1、第 一 章 绪论内容提纲网络空间与网络空间安全2网络攻击网络攻击3网络防护网络防护4网络战时代1黑客5 1993年,美国兰德公司的两位学者首次提出“网络战”的概念。网络战是为干扰、破坏敌方网络信息系统,并保证己方网络信息系统的正常运行而采取的一系列网络攻防行动,正在成为高技术战争的一种日益重要的作战样式。它可以破坏敌方的指挥控制、情报信息和防空等军用网络系统,甚至可以悄无声息地破坏、瘫痪、控制敌方的商务、政务等民用网络系统,不战而屈人之兵网络战 各国网络战部队建设情况网络战 2009年6月:美国国防部长盖茨宣布正式成立网络战司令部,将于2030年左右完成网络战部队的全面组建由攻击代替防御,实现
2、网络威慑战略全面发展“先发制人”的网络攻击能力 2013年3月:美国网络战司令部司令亚历山大在国会宣布,新增40支网络 战部队(13支:用来进攻)网络战部队:美国 2018.5:隶属于美军战略司令部的网络战司令部正式升格为独立的作战司令部 2018.6:美军颁布了新的非保密版的网络空间作战联合条令(Joint Publication 3-12)2018.6:特朗普宣布取消奥巴马时期的“网络中立(Network Neutrality)”原则网络战部队:美国 俄罗斯、英国、日本、韩国、以色列以及我国的台湾地区都提出了自己的互联网安全战略,同时,都已组建或正在积极组建、发展自己的网络战部队网络战部队
3、APT APT:Advanced Persistent Threat,高级持续性威胁(攻击)。针对特定对象,长期、有计划、有组织的网络攻击行为:潜伏性、持续性、复杂性 网络战时代的重要标志APT网络防御:计算机、网络或信息通信系统所有者(或经所有者授权的人员)和相应使用者,利用特定工具,为保护该计算机、网络或系统本身,或其存储、处理、传输的数据,或其控制的基础设施,而进行的计划、行动。美第20号总统政策指令网络恶意活动:未经授权或违反本国法律,为了达到以下目标,对特定计算机、信息通信系统、网络采取的攻击行为。窃取计算机、信息通信系统、网络中存储、处理、传输的信息;控制计算机、信息通信系统、网络
4、的运行;破坏计算机、信息通信系统、网络本身或其控制的有形或无形的基础设施美第20号总统政策指令网络效应:计算机、信息通信系统、网络本身或其存储、处理、传输的数据,或其控制的基础设施,被他人控制、运行中断、拒绝执行指令、性能降级,甚至完全破坏网络行动:网络情报收集、防御性网络效应行动(包括非入侵性防御措施)、进攻性网络效应行动美第20号总统政策指令网络情报收集:在用户不知情的情况下,美国政府直接或间接侵入计算机、信息通信系统、网络收集情报信息。情报收集过程中,美国政府或其授权人将采取必要措施达到目的,即便该措施可能对网络空间产生负面影响。美第20号总统政策指令防御性网络效应行动(DCEO):在网
5、络防御和网络情报收集之外,美国政府直接或间接对除美国政府网络以外的网络空间采取特定行动,使其产生网络效应,旨在对抗网络攻击和恶意网络活动,消除来自国内外网络空间的紧迫威胁。非入侵性防御措施(NDCM)采用本措施消除网络威胁时,无须入侵特定计算机、信息通信系统、网络,可将网络效应降低到最低限度。(优先使用)美第20号总统政策指令指令规定:在未获得总统指令规定:在未获得总统批准的情况下,美国政府批准的情况下,美国政府不得在境内实施产生网络不得在境内实施产生网络效应的效应的DCEO和和OCEO,但在紧急网络行动时除外。但在紧急网络行动时除外。指令还规定:美国政府应当通过国土安全部、商务部以及其他部门
6、,与私营机构合作,共同保护关键基础设施,尽量减少利用DCEO应对恶意网络活动的频次.但是,美国政府仍保留实施DCEO的权利,将其作为保护关键基础设施的手段之一。美国政府应当协调国土安全部、执法机构以及其他相关部门各机构,征得网络、计算机所有者的同意,让美国政府代表他们实施DCEO,打击恶意网络活动。但是如果美国政府行使自卫权,或经政策审查无须征得使用者同意,则可直接实施DCEO进攻性网络效应行动(OCEO):在网络防御、网络情报收集以及DCEO之外,美国政府直接或间接对除美国政府网络以外的网络空间采取特定行动,使其产生网络效应。OCEO提供独特和非常规的行动能力,在事先几乎不对敌人或攻击目标发
7、出警告的情况下,实施不同程度网络破坏效果,从而推动美国在世界各地的利益目标政府应当确定OCEO的潜在攻击目标,这些目标关系重在国家利益,而且在实现这些目标时,OCEO能较好地实现效果与风险之间的平衡(与其它国家强力手段相较)美第20号总统政策指令 美国政府实施美国政府实施DCEO和和OCEO时,应当时,应当事先获得实施该行动的计算机或系统所在事先获得实施该行动的计算机或系统所在国(境外实施行动的情况下)和网络效应国(境外实施行动的情况下)和网络效应产生国的同意。以下情况除外:产生国的同意。以下情况除外:(1)经总统批准实施军事行动时,国防部部长可在未经网络效应产生国同意的情况下实施DCEO和O
8、CEO;(2)美国行使国际法规定的自卫权时实施的DCEO.严重后果:生命损失、针对美国的严重报复活动、重大财产损失、严重的外交和经济影响。美国国家利益:指对美国至关重要的利益,包括国家安全、公共安全、国家经济安全、“关键基础设施”的安全可靠运行、“关键资源”的控制权美第20号总统政策指令 由部门或机构负责人决定实施由部门或机构负责人决定实施的,可能造成的,可能造成“严重后果严重后果”的网的网络行动(包括网络情报收集、络行动(包括网络情报收集、DCEO、OCEO)必须获得总统)必须获得总统的专项批准。的专项批准。紧急网络行动:情急情况下,为了应对即将损害美国国家利益的紧迫威胁或网络攻击,相关部门
9、或机构负责人认为采取网络行动是必须且符合本指令规定的,可立即采取该行动,无须获得总统事先批准。其他情况下,网络行动必须经总统事先批准。可能在境内产生网络效应的紧急网络行动应当获得总统的批准,并依照程序和要求实施。美第20号总统政策指令1.依据国家自卫权实施紧急网络行动,以避免人员伤亡或严重损害。该严重损害对国家应急能力、关键基础设施、关键资源、军事力量产生持续性影响。2.时间紧迫,采取一般网络防御和执法措施不足以或无法达到目的,其他获得事先批准的应急措施并不比DCEO更合适。3.该紧急网络行动引发严重后果的可能性很小。该紧急网络行动引发严重后果的可能性很小。4.该紧急网络行动的目的、过程、结果
10、均不具致命性。5.该紧急网络行动的强度、范围、持续时间将控制在该紧急网络行动的强度、范围、持续时间将控制在消除网络威胁、遏制网络攻击所必须的限度内。消除网络威胁、遏制网络攻击所必须的限度内。内容提纲网络空间与网络空间安全2网络攻击网络攻击3网络防护网络防护4网络战时代1黑客5 网络空间(Cyberspace)网络空间安全 网络空间(Cyberspace)俄罗斯:信息空间中的一个活动范围,其构成要素包括互联网和其它电信网络的通信信道,还有确保其正常运转以及确保在其上所发生的任何形式的人类(个人、组织、国家)活动的技术基础设施。按此定义,网络空间包含设施、承载的数据、人以及操作网络空间安全 网络空
11、间(Cyberspace)网络空间安全 网络空间(Cyberspace)网络空间安全 网络空间(Cyberspace)网络空间安全 网络空间安全(Cyberspace Security)网络空间安全 网络是否安全主要通过“安全属性”来评估 机密性(Confidentiality或Security)完整性(Integrity),包括:系统完整性和数据完整性 可用性(Availability)不可否认性(Non-repudiation)或不可抵赖性 可靠性(Reliability)、可信性(Dependability or Trusty)传统网络安全属性网络空间安全属性属性空间以保护信息为主的属性
12、以保护系统为主的属性可用性可控性机密性可鉴别性可用性:系统可以随时提供给授权者使用:系统运行稳定(稳定性)、可靠(可靠性)、易于维护(可维护性),在最坏情况下至少要保证系统能够为用户提供最核心的服务(可生存性)可鉴别性:保证信息的真实状态是可以鉴别的,即信息没有被篡改(完整性)、身份是真实的(真实性)、对信息的操作是不可抵赖的(不可抵赖性)机密性:保证信息在产生、传输、处理和存储的各个环节中不被非授权获取以及非授权者不可理解的属性可控性:系统对拥有者来说是可掌控的,管理者能够分配资源(可管理性),决定系统的服务状态(可记账性),溯源操作的主体(可追溯性),审查操作是否合规(可审计性)网络空间安
13、全(Cyberspace Security)方滨兴:在信息通信技术的硬件、代码、数据、应用4个层面,围绕着信息的获取、传输、处理、利用4个核心功能,针对网络空间的设施、数据、用户、操作4个核心要素来采取安全措施,以确保网络空间的机密性、可鉴别性、可用性、可控性4个核心安全属性得到保障,让信息通信技术系统能够提供安全、可信、可靠、可控的服务,面对网络空间攻防对抗的态势,通过信息、软件、系统、服务方面的确保手段、事先预防、事前发现、事中响应、事后恢复的应用措施,以及国家网络空间主权的行使,既要应对信息通信技术系统及其所受到的攻击,也要应对信息通信技术相关活动的衍生出政治安全、经济安全、文化安全、社
14、会安全与国防安全的问题网络空间安全 网络空间安全(Cyberspace Security)网络空间安全网络空间安全网络空间安全一级学科论证报告给出的网络空间安全知识体系 网络空间安全美国NICE列出的网络空间安全知识体系内容提纲网络空间与网络空间安全2网络攻击3网络防护网络防护4网络战时代1黑客5 网络攻击是指采用技术或非技术手段,利用目标网络信息系统的安全缺陷,破坏网络信息系统的安全属性的措施和行为,其目的是窃取、修改、伪造或破坏信息或系统,以及降低、破坏网络和系统的使用效能网络攻击 从发起攻击的来源来分,可将攻击分为三类:外部攻击、内部攻击和行为滥用 从攻击对被攻击对象的影响来分,可分为被
15、动攻击和主动攻击 主动攻击:伪装、重放、修改报文、拒绝服务 被动攻击:监听传输的报文内容、通信流量分析 网络攻击分类 Stallings:基于攻击实施手段的网络攻击分类 网络攻击分类截获截获篡改篡改伪造伪造中断中断消极攻击消极攻击积极攻击积极攻击目的站目的站源站源站源站源站源站源站源站源站目的站目的站目的站目的站目的站目的站被动攻击被动攻击主动攻击主动攻击 Icove分类:基于经验术语分类方法网络攻击分类u 病毒和蠕虫u 资料欺骗u 拒绝服务u 非授权资料拷贝u 侵扰u 软件盗版u 特洛伊木马u 隐蔽信道u 搭线窃听u 会话截持u IP欺骗欺骗u 口令窃听口令窃听u 越权访问越权访问u 扫描扫
16、描u 逻辑炸弹逻辑炸弹u 陷门攻击陷门攻击u 隧道隧道u 伪装伪装u 电磁泄露电磁泄露u 服务干扰服务干扰 从网络战的角度看,美军将“计算机网络作战(Computer Network Operations,CNO)”分为:计算机网络攻击(Computer Network Attack,CNA),是指通过计算机网络扰乱(Disrupt)、否认(Deny)、功能或性能降级(Degrade)、损毁(Destroy)计算机和计算机网络内的信息、计算机或网络本身的行为;网络攻击分类 从网络战的角度看,美军将“计算机网络作战(Computer Network Operations,CNO)”分为:计算机网
17、络利用(Computer Network Exploitation,CNE),是指从目标信息系统或网络收集信息并加以利用的行为;网络攻击分类 从网络战的角度看,美军将“计算机网络作战(Computer Network Operations,CNO)”分为:计算机网络防御(Computer Network Defense,CND),是指使用计算机网络分析、探测、监控和阻止攻击、入侵、扰乱以及对网络的非授权访问网络攻击分类一般攻击过程足迹追踪:足迹追踪:Target Footprinting远端扫描:远端扫描:Remote Scaning资源列举:资源列举:Resource Enumerating
18、权限获取:权限获取:Access Gaining权限提升:权限提升:Privilege Escalating设置后门:设置后门:Backdoors Creating毁踪灭迹:毁踪灭迹:Tracks Covering一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程APT攻击过程APT攻击过程内容提纲网络空间与网络空间安全2网络攻击网络攻击3网络防护4网络战时代1黑客5 网络防护是指为保护己方网络和系统正常工作以及信息的安全而采取的措施和行动,其目的是保证己方网络、系统、信息的安全属性不被破坏网络防护 定义:是指计
19、算机网络中的硬件资源和信息资源的安全性,它通过网络信息的产生、存储、传输和使用过程来体现,包括:网络设备(包括设备上运行的网络软件)的安全性,使其能够正常地提供网络服务;网络中信息的安全性,即网络系统的信息安全。其目的是保护网络设备、软件、数据,使其能够被合法用户正常使用或访问,同时要免受非授权的使用或访问计算机网络安全 定义:信息系统安全、信息自身安全和信息行为安全的总称,目的是保护信息和信息系统免遭偶发的或有意的非授权泄露、修改、破坏或失去处理信息的能力,实质是保护信息的安全属性,如机密性、完整性、可用性和不可否认性等信息安全 定义:指计算机硬件、软件以及其中的数据的安全性(机密性、完整性
20、、可用性、可控性等)不受自然和人为有害因素的威胁和危害计算机安全 网络安全模型以建模的方式给出解决安全问题的过程和方法,主要包括:准确描述构成安全保障机制的要素以及要素之间的相互关系;准确描述信息系统的行为和运行过程;准确描述信息系统行为与安全保障机制之间的相互关系 网络安全模型 DoD提出:防护(Protection)、检测(Detection)、恢复(Recovery)、响应(Response)PDRR模型加密机制数字签名机制访问控制机制认证机制信息隐藏防火墙技术入侵检测系统脆弱性检测数据完整性检测攻击性检测数据备份数据恢复系统恢复应急策略应急机制应急手段入侵过程分析安全状态评估防护检测响
21、应恢复 ISC提出 P2DR模型保护保护(Protection)(Protection)检测检测(Detection)(Detection)响应响应(Response)(Response)备份备份(Recovery)(Recovery)策略策略(Policy)(Policy)时间时间Time IATF从整体、过程的角度看待信息安全问题,认为稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施,其代表理论为“深度防护战略”。IATF强调人、技术、操作三个核心要素,关注四个信息安全保障领域:保护网络和基础设施、保护边界、保护计算环境、支撑基础设施
22、,为建设信息保障系统及其软硬件组件定义了一个过程,依据纵深防御策略,提供一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全 IATF框架 IATF定义的三要素中,人是信息体系的主体,是信息系统的拥有者、管理者和使用者,是信息保障体系的核心,同时也是最脆弱的。人是第一位的要素:安全管理的重要性 针对人的攻击:社会工程学攻击 IATF框架 CGS框架 ISO于1988年发布了ISO 7498-2标准,即开放系统互联(OSI,Open System Interconnection)安全体系结构标准,该标准等同于国家标准的GB/T 9387.2-1995。1990年,ITU决定采用ISO 74
23、98-2作为其X.800推荐标准。因此,X.800和ISO 7498-2标准基本相同。1998年,RFC 2401给出了Internet协议的安全结构,定义了IPsec适应系统的基本结构,这一结构的目的是为IP层传输提供多种安全服务网络安全体系结构 提供了安全服务和安全机制的一般性描述(这些安全服务和安全机制都是网络系统为保证安全所配置的哪些部分、哪些位置必须配备哪些安全服务和安全机制),指明在网络系统中,并规定如何进行安全管理安全体系结构 定义:用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程(或实现该过程的设备、系统、措施或技术)安全机制 定义:指加强数据处理系统和信息传输的安全性的处
24、理过程或通信服务,主要利用一种或多种安全机制对攻击进行反制来实现安全服务ISO安全机制与安全服务ISO7498-2定义了5类安全服务、8种特定的安全机制、5种普遍性安全机制,确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置、OSI安全体系的管理。ISO安全机制与安全服务ISO安全机制与安全服务网络防护技术发展过程1、安全技术发展的三个阶段第 1 代安全技术(阻止入侵)第 2 代安全技术(入侵检测,限制破坏)第 3 代安全技术(入侵容忍)入侵将出现 一些攻击将成功 访问控制及物理安全 密码技术 防火墙(Firewalls)入侵检测系统(IDS)虚拟专用网(VPN)公钥基础结构(
25、PKI)实时状况感知及响应 实时性能、功能、安全调整 容侵技术 第一代安全技术 目的:以“保护”为目的的第一代网络安全技术,主要针对系统的保密性和完整性。方法:通过划分明确的网络边界,利用各种保护和隔离技术手段,如用户鉴别和认证,访问控制、权限管理和信息加解密等,试图在网络边界上阻止非法入侵,达到信息安全的目的。第一代安全技术(续)问题:通用的商用产品对安全技术的支持不够(特别是在操作系统这一层次),因而也限制了安全技术在军事中的应用。对一些攻击行为如计算机病毒、用户身份假冒、系统漏洞攻击等显得无能为力,于是出现了第二代安全技术。第二代安全技术 目的:以检测技术为核心,以恢复技术为后盾,融合了
26、保护、检测、响应、恢复四大技术。它通过检测和恢复技术,发现网络系统中异常的用户行为,根据事件的严重等级,提示系统管理员,采取相应的措施。基本假定:如果挡不住敌人,至少要能发现敌人和敌人的破坏。例如,能够发现系统死机,发现有人扫描网络,发现网络流量异常。通过发现,可以采取一定的响应措施,当发现严重情况时,可以采用恢复技术,恢复系统原始的状态。第二代安全技术(续)技术:防火墙 入侵检测系统 虚拟专用网 公钥基础设施 安全操作系统 其他技术:审计系统,漏洞扫描,防病毒等 第二代安全技术(续)广泛应用于军民各领域 问题:依赖于检测结论,检测系统的性能就成为信息保障技术中最为关键的部分。挑战:检测系统能
27、否检测到全部的攻击?要发现全部的攻击不可能 准确区分正确数据和攻击数据不可能 准确区分正常系统和有木马的系统不可能 准确区分有漏洞的系统和没有漏洞的系统不可能 第三代安全技术 第三代安全技术是一种信息生存技术,即系统在攻击、故障和意外事故已发生的情况下,在限定时间内完成全部或关键使命的能力。第三代安全技术与前两代安全技术的最重要差别在于设计理念上:它假定我们不能完全正确地检测、阻止对系统的入侵行为。核心:入侵容忍技术第三代安全技术(续)由于安全漏洞是因系统中的程序存在错误所致,而人们又不可能发现并修正系统中存在的所有错误,因此,必须设计一种能够容忍漏洞存在的系统体系结构(称为顽存系统体系结构)
28、,当入侵和故障突然发生时,能够利用“容忍”技术来解决系统的“生存”问题,以确保信息系统的机密性、完整性、可用性 网络安全服务化、云化、智能化、自动化、人性化?现在呢?内容提纲网络空间与网络空间安全2网络攻击网络攻击3网络防护网络防护4网络战时代1黑客5(一)认识“黑客”(1/4)试图闯入计算机并试图造成破坏的人?(一)认识“黑客”(2/4)黑客(hacker)Hack:“劈,砍”,引伸为“干了一件非常漂亮工作”Hacker:a person who uses computers for a hobby,esp.to gain unauthorized access to data.起源:20世
29、纪50年代MIT的实验室:早期MIT俚语:“恶作剧”,尤指手法巧妙、技术高明的恶作剧。60年代,极富褒义:独立思考、智力超群、奉公守法的计算机迷,“熟悉操作系统知识、具有较高的编程水平、热衷于发现系统漏洞并将漏洞公开与他人共享的一类人”日本的新黑客字典:“喜欢探索软件程序奥秘、并从中增长其个人才干的人。”现指:电脑系统的非法入侵者。(一)认识“黑客”(3/4)其它相关词汇:飞客(Phreak):早期攻击电话网的青少年,研究各种盗打电话而不用付费的技术。骇客(Cracker):闯入计算机系统和网络试图破坏和偷窃个人信息的个体,与没有兴趣做破坏只是对技术上的挑战感兴趣的黑客相对应。快客(Whack
30、er):从事黑客活动但没有黑客技能的人,whacker是穿透系统的人中,在技术和能力上最不复杂的一类。武士(Samurai):被他人雇佣的帮助他人提高网络安全的黑客,武士通常被公司付给薪金来攻击网络。幼虫(Lara):一个崇拜真正黑客的初级黑客(一)认识“黑客”(4/4)其它相关词汇(Cont.)欲望蜜蜂(Wannabee):处于幼虫的初始阶段的黑客的称呼,他们急于掌握入侵技术,但由于他们没有经验,因此即使没有恶意也可能造成很大危险 黑边黑客(Dark-Side):是指由于种种原因放弃黑客的道德信念而恶意攻击的黑客 半仙(Demigod):一个具有多年经验在黑客团体具有世界级声誉的黑客。入侵者
31、(Intruder):有目的的破坏者。极客(Geek)(二)黑客的成长 余弦:问:相要成为黑客,如何入门?答:如果你连门都入不了,还想成为黑客?问:黑客细分领域太多,知识大爆炸,怎么办?答:聚焦,所谓精而悟道(二)黑客的成长除了技术,还有什么?(二)黑客的成长 余弦:黑客攻击是一门艺术,哪怕粗暴也是一种美学(二)黑客的成长 余弦:原则守正出奇且具备创新力(二)黑客的成长 余弦:规则这个世界有规则,但却是用来打破的,为了更好的创新力(二)黑客的成长 余弦:在黑客眼里,能打破规则的就是漏洞(二)黑客的成长 余弦:黑掉你,根本不在你认为的那个点上!(三)黑客的未来 很多为政府和公司服务,提高单位网络的安全性。被政府“招安”成为有名的安全专家 ISS 公司创始人 Christopher Klaus 作为少年黑客,曾进入美国国防部和NASA 信息战需要更多高水平的“黑客”本章小结作业
