网络安全新技术应用和应用

网络安全新技术应用和应用11/7/20232第9章网络安全新技术及应用可信计算电子取证技术蜜罐网络技术信息安全风险评估39.1可信计算9.1.1可信计算发展历程可信计算技术的发展历程可以分为以下四个阶段:20世纪70年代初期，首次提出可信系统（TrustedSystem）概念。20世纪80年代初期，美国国防部提出了可信计算机系统安全的评价准则TCSEC，这就是安全领域著名的橙皮书，其中包括可信计算基的概念。本世纪初，由Intel、Compaq、HP、IBM等国际著名IT公司联合组建了’’可信计算平台联盟”。2002年初微软提出了“可信赖的计算”2003年4月，TCPA被重组为“可信计算组织”(简称11/7T/C2G02）3

。11/7/202349.1.2可信计算的概念及本质9.1.2可信计算的概念及本质

1.概念目前关于“可信”的概念，并没有一个公认的定义，但在不同文献中所定义的可信基本特征是一致的。代表性的概念解释有4种。2.本质依据TCG的观点，可信计算的本质为：通过增强现有的终端体系结构的安全性来保证整个系统的安全，从终端安全启11/7/202359.1.2可信计算的概念及本质运行时可信，不断地延伸信任链，最后通过可信的网络连接将信任域推广到整个网络。69.1.3可信计算平台基本属性与功能1.基本属性用户身份的唯一性，用户工作空间的完整性与私有性；硬件环境配置、OS内核、服务及应用程序的完整性；存储、处理、传输信息的保密性和完整性2.基本功能11（/7/210）23保护能力79.1.3可信计算平台基本属性与功能完整性度量完整性存储完整性报告可信平台芯片模块(TPM)可信PC软件体系架构可信网络连接可信网络连接（简称TNC），本质上就是要从终端的完整性开始，建立安全的11/网7/20络23

连接。9.1.3可信计算平台基本属性与功能11/7/20238

首先，需要创建一套在可信网络内部系统运行状况的策略，然后只有遵守网络设定策略终端才能访问网络，网络将隔离和定位那些不遵守策略的设备。TNC框架主要提供如下功能：平台认证终端安全策略访问策略9.1.3可信计算平台基本属性与功能11/7/202394.评估、隔离及补救

TNC的架构分为三类实体：请求访问者、策略执行者、策略定义者。

TNC体系架构在纵向分为三个层次，从下到上为：网络访问层完整性评估层完整性度量层9.1.7可信计算所面临的挑战11/7/202310 目前，可信计算技术正逐步走向成熟，其中所存在的主要问题及面临的挑战如下：1.TPM安全性与测评2.信任基础设施构建研究3.远程证明中平台隐私保护研究9.2.1电子证据特点和取证原则11/7/202312电子证据具有以下特性：

1、高科技性2、易破坏性3、隐蔽性4、表现形式的多样性5、能被精确复制6、可恢复性9.2.2电子证据特点和取证原则11/7/202313电子证据的取证原则：保持数据的原始性保持数据在分析和传递过程中的完整性保持证据连续性取证过程的可认证性取证过程和结论可重现9.2.3静态取证技术11/7/202314静态取证技术

1.静态取证步骤共分为5个步骤2.静态取证系统结构3.静态取证的关键技术磁盘映像拷贝技术数据恢复技术证据分析技术加密解密技术9.2.4

动态取证技术11/7/202315

网络动态电子取证技术，在是取证人员取得授权的情况下，将取证设施部署于犯罪者最可能经过的网络，

利用已掌握的犯罪特征，从网络中过滤出正在实施的

犯罪，因此基于网络的动态取证属于犯罪过程中取证，更有利于及时抓捕犯罪分子，降低其社会危害。

动态取证的证据主要包括两部分，其一是实施犯罪的原始网络数据，另一则是实施犯罪的网络数据在经过的网络设备和目标系统中留下的检测信息、各种日志等。网络动态电子取证的过程9.2.5电子取证相关工具11/7/2023169.2.5电子取证相关工具EnCase软件Encase软件由美国Software

Guidance公司研发，是一个基于Windows操作系统的取证应用程序，为目前使用最为广泛的计算机取证工具。Forensic

ToolkitForensic

Toolkit由美国Access

Data公司研发，是一系列基于命令行的工具包，是美国警方标准配备。TCT为了协助计算机取证而设计的软件包。9.3蜜罐网络技术11/7/2023179.3.1蜜网的概念与发展历程9.3.2蜜网技术的特点9.3.3蜜网的局限性9.3.4蜜网体系的核心机制9.3.5第一代蜜网技术9.3.6第二代蜜网技术9.3.7虚拟蜜网技术9.3.8第三代蜜网技术9.3.9蜜网应用实例9.3.10蜜网技术展望9.3.1蜜网的概念与发展历程11/7/2023189.3.1蜜网的概念与发展历程蜜网概念发展历程蜜网技术的发展主要经历三个阶段:第一代蜜网技术(1999-2001年)：蜜网早期研究关注于验证蜜网理论，试验蜜网模型。第二代蜜网技术(2002-2004年)：从早期的验证蜜网理论转移到简化蜜网应用。第三代蜜网技术（2005年至今）：具有多层次的数据控制机制，全面的数据捕获机制，深层次的数据分析机制以及高效、灵活的配置和管理机制。9.3.2

蜜网技术的特点

1.蜜网是一个网络系统，而并非单一主机。

2.蜜网作为一种主动防御方式，在主动搜集进攻者情报的基础上，事先做好预警和准备，把进攻者的攻击扼杀于萌芽状态，最少是可以降低攻击者进攻的有效性。

3.蜜网除了主动防御黑客攻击外，也可以了解自身的安全状况。11/7/2023

194.蜜网是为了了解攻击者的信息而设计9.3.3蜜网的局限性11/7/2023209.3.3蜜网的局限性蜜网的最大局限性是有限的观察能力，它仅能监听与分 析针对蜜网内部蜜罐的攻击行为。蜜网虽然具有观察、捕获、学习攻击的能力，但学习到新的攻击方法仍及时需要补充到入侵检测系统的知识库中，这样才能提高入侵检测的性能和整个系统的安全性。蜜网是一种有效的主动防御技术，它的优势是传统的被动防御手段所无法比拟的，但是我们也不能忽视蜜网的实施给系统安全所带来的风险。（三类风险）9.3.4

蜜网体系的核心机制11/7/202321

蜜网体系通常具有三种核心机制：数据控制、数据捕获和数据采集，它们一起协同工作用来实现蜜网主动防御的核心价值和功能，并有效地降低系统风险。

1.数据控制：目的是确保蜜网中被攻陷的蜜罐主机不会被利用攻击蜜网之外的其他主机。

2.数据捕获：目的是在黑客无察觉的状态下捕获所有活动与攻击行为所产生的网络通信量，从而才能进一步

分析黑客的攻击目的、所使用的策略与攻击工具等

3、数据采集：目的是针对预先部署的具有多个逻辑或物理的蜜网所构成的分布式蜜网体系结构，对捕获的黑客行为信息进行收集。9.3.5

第一代蜜网技术11/7/202322

第一代蜜网技术产生于1999年，它是第一个可以实现真正交互性的蜜罐，并且在捕获大量信息以及未知攻击方式方面优于传统的蜜罐方案。

1.数据控制：在第一代蜜网体系结构中，数据控制机制是由防火墙、入侵检测系统和路由器共同联动实现

2.数据捕获：从多个层次、多个数据源中捕获数据，将会掌握更多的黑客攻击行为。

3.第一代蜜网体系架构属于单个部署的蜜网，因此除了在蜜网本身内部的数据管理之外，数据采集机制在这里没有体现。9.3.6

第二代蜜网技术11/7/202323 第二代蜜网技术与第一代蜜网相比，在系统灵活性、可管理性和安全性等方面都有所改进.1.数据控制机制的改进2.数据捕获机制的改进9.3.7虚拟蜜网技术11/7/202324 目前可以将虚拟蜜网体系结构细分为两类：自治型虚拟蜜网和混杂型虚拟蜜网。1.自治型虚拟蜜网它是将整个蜜网系统在一台物理机器上集中实现，包括用于完成数据控制和数据捕获的二层网关和多个虚拟蜜罐。2.混杂型虚拟蜜网多个蜜罐仍然在另一个机器上基于虚拟机技术在不同的客户操作系统上运行。9.3.8第三代蜜网技术11/7/2023251.数据控制机制第三代蜜网体系结构中在蜜网网关上使用了多层次的数据控制机制。2.数据捕获机制第三代蜜网体系结构中主要结合Argus（流监视器）、Snort（入侵检测系统）、p0f

（被动操作系统识别器）、Sebek（数据收集器）等关键组件对黑客攻击行为进行多层次捕获。3.数据集中与分析机制9.3.9蜜网应用实例11/7/202326

本节给出一个基于第三代蜜网技术的应用实例，介绍蜜网体系结构在安全局域网的主动防御中的具体应用与部署。9.3.10蜜网技术展望11/7/202327

密网技术经过近十年的发展，具有主动防御的显著特点，但在核心机制上还不够完善，有待于进一步的改进。有效地提高蜜网的三种关键核心机制.增强蜜网体系的跨平台能力需要平衡高交互能力和高风险两者之间的矛盾确保蜜网体系的可生存性值得进一步地探索。拓展蜜网技术的应用背景，使其能够面向多种通信网络环境，发挥其主动防御的能力。9.4

信息安全风险评估人们对信息安全内涵的认识不断深入，从最初的信息保密性发展到了信息的完整性、可用性、可控性和不可否认性，进而又提出和发展了“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”众多方面基础理论和专业技术，其中信息安全风险评估逐渐成为安全管理领域的一个重要手段和工具。信息安全是一个动态的复杂过程，贯穿信息资产和信息系统

的整个生命周期，是信息安全管理的基础和关键环节，必须按照

风险管理思想，对可能的威胁、脆弱性和需要保护的信息资产进

行分析，依据风险评估结果对信息系统选择适当的安全措施，以

妥善应对可能面对的威胁和可能发生的风险，有针对性进行管理。9.4.1信息安全风险评估的概念1、信息安全风险评估的定义信息安全风险评估是从风险管理角度，运用定性、定量的科学分析方法和手段，系统地分析信息和信息系统等资产所面临的人

为的和自然的威胁，以及威胁事件一旦发生系统可能遭受的危害

程度，有针对性地提出抵御威胁的安全等级防护对策和整改措施，从而最大限度地减少经济损失和负面影响。9.4.1信息安全风险评估的概念2、相关概念资产(Asset)资产价值（Asset

Value）信息安全风险（Information

Security

Risk）信息安全风险评估（Information

Security

Risk

Assessment）威胁（Threat）脆弱性（Vulnerability）安全事件（Security

Event）安全措施（Security

Measure）安全需求（Security

Requirement）残余风险（Residual

Risk）9.4.1信息安全风险评估的概念3、风险评估的基本要素及关系9.4.2信息安全风险评估的发展历程

第一个阶段（20世纪60~70年代），以计算机为对象的信息保密阶段。

第二个阶段（20世纪80~90年代），以计算机和网络为对象信息安全保护阶段。

第三个阶段（20世纪90年代末至今），以信息系统关键基础设施为对象的信息保障阶段。9.4.3我国在信息安全风险评估方面的政策和工作•

进入21世纪，我国的风险评估工作取得了较快的发展，中办发[2003]27号文件“国家信息化领导小组关于加强信息安全保障工作的意见”明确提出“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防范措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理”。2004年1月首次全国信息安全保障工作会议要求“抓紧研究制定基础信息