网络攻防技术课件第9章网络防御概述第1节.pptx

1、第九章 网络防御概述2022-10-9网络攻防技术2本章主要内容9.1 网络安全模型 9.2 网络安全管理 9.3 网络防御技术的发展趋势 9.1 网络安全模型 网络安全是一个系统工程，它既不是防火墙、入侵检测，也不是VPN（Virtual Private Network，虚拟私有网络），或者认证和授权。它不是这些东西的简单叠加，网络安全更为复杂。网络安全应该是一个动态的概念，应当采用网络动态安全模型描述，给用户提供更完整、更合理的安全机制。2022-10-9网络攻防技术39.1 网络安全模型 APPDRR模型就是动态安全模型的代表，隐含了网络安全的相对性和动态螺旋上升的过程。该模型由6个英文

2、单词的首字符组成：风险评估（Assessment）、安全策略（Policy）、系统防护（Protection）、安全检测（Detection）、安全响应（Reaction）和灾难恢复（Restoration）。2022-10-9网络攻防技术4APPDRR动态安全模型2022-10-9网络攻防技术59.1 网络安全模型 APPDRR模型六个部分构成了一个动态的信息安全周期。通过这六个环节的循环流动，网络安全逐渐地得以完善和提高，从而达到网络的安全目标。2022-10-9网络攻防技术69.1 网络安全模型 根据APPDRR模型，网络安全的第一个重要环节是风险评估。通过风险评估，掌握网络安全面临的风

3、险信息，进而采取必要的处置措施，使信息组织的网络安全水平呈现动态螺旋上升的趋势。2022-10-9网络攻防技术79.1 网络安全模型 网络安全策略是APPDRR模型的第二个重要环节，起着承上启下的作用。一方面，安全策略应当随着风险评估的结果和安全需求的变化做相应的更新；另一方面，安全策略在整个网络安全工作中处于原则性的指导地位，其后的监测、响应诸环节都应在安全策略的基础上展开。2022-10-9网络攻防技术89.1 网络安全模型 系统防护是安全模型中的第三个环节，体现了网络安全的静态防护措施。系统防护是系统安全的第一条防线，根据系统已知的所有安全问题做出防御措施，如打补丁、访问控制、数据加密等

4、。第二条防线就是实时监测，攻击者即使穿过了第一条防线，我们还可通过监测系统检测出攻击者的入侵行为，确定其身份，包括攻击源、系统损失等。2022-10-9网络攻防技术99.1 网络安全模型 一旦检测出入侵，实时响应系统开始响应包括事件处理等其他业务。安全模型的最后一条防线是灾难恢复。在发生入侵事件，并确认事故原因后，或把系统恢复到原来的状态，或修改安全策略，更新防御系统，确保相同类型的入侵事件不再发生。2022-10-9网络攻防技术109.1 网络安全模型 在APPDRR模型中，并非各个部分的重要程度都是等同的。在安全策略的指导下，进行必要的系统防护有积极的意义。但是，由于网络安全动态性的特点，

5、在攻击与防御的较量中，安全监测应该处于一个核心地位。2022-10-9网络攻防技术119.1.1 风险评估 网络安全评估是信息安全生命周期中的一个重要环节，它对网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的接口、防火墙的配置、安全管理措施及应用流程等进行全面地安全分析，并提出安全风险分析报告和改进建议书。2022-10-9网络攻防技术129.1.1 风险评估 网络安全评估具有如下作用：(1)明确企业信息系统的安全现状 进行信息安全评估后，可以让企业准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状，从而明晰企业的安全需求。(2)确定企业信息系统的主要安全风险

6、在对网络和应用系统进行信息安全评估并进行风险分级后，可以确定企业信息系统的主要安全风险，并让企业选择避免、降低、接受等风险处置措施。2022-10-9网络攻防技术139.1.1 风险评估 网络安全评估具有如下作用：(3)指导企业信息系统安全技术体系与管理体系的建设 对企业进行信息安全评估后，可以制定企业网络和系统的安全策略及安全解决方案，从而指导企业信息系统安全技术体系（如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施等）与管理体系（安全组织保证、安全管理制度及安全培训机制等）的建设。2022-10-9网络攻防技术149.1.1 风险评估 网络安全评估标准是网络

7、安全评估的行动指南。可信计算机系统安全评估标准（Trusted Computer System Evaluation Criteria，TCSEC）信息技术安全评估标准（Information Technology Security Evaluation Criteria，ITSEC）信息技术安全评价的通用标准（CC）2022-10-9网络攻防技术159.1.1 风险评估 网络安全评估标准是网络安全评估的行动指南。ISO13335标准 BS7799 AS/NZS4360:1999 OCTAVE（Operationally Critical Threat,Asset,and Vulnerabil

8、ity Evaluation）2022-10-9网络攻防技术169.1.1 风险评估 网络安全评估标准是网络安全评估的行动指南。GB17895-1999计算机信息系统安全保护等级划分准则 ISO 15408-2：1999信息技术 安全技术 信息技术安全性评估准则2022-10-9网络攻防技术179.1.1 风险评估 风险分析的方法有定性分析、半定量分析和定量分析。现有信息安全评估标准主要采用定性分析法对风险进行分析，即通常采取安全事件发生的概率来计算风险。现有信息安全评估标准尚不能定量分析。各家专业评估公司大多数是凭借各自积累的经验来解决，因此，需要一个统一的信息安全评估标准出台。2022-1

9、0-9网络攻防技术189.1.2 安全策略 1.什么是安全策略？所有网络安全都起始于安全策略，这几乎已经成为了工业标准。RFC 2196“站点安全手册”中对安全策略给出了定义：安全策略是组织的技术人员和信息使用人员必须遵守的一系列规则的正规表达。2022-10-9网络攻防技术199.1.2 安全策略 按照授权行为可把安全策略分为基于身份的安全策略和基于规则的安全策略两种。基于身份的安全策略：其目的是对数据或资源的访问进行筛选，即用户可访问他们的资源的一部分（访问控制表），或由系统授予用户特权标记或权力。在这两种情况下，可访问的数据项的多少会有很大变化。2022-10-9网络攻防技术209.1.

10、2 安全策略 按照授权行为可把安全策略分为基于身份的安全策略和基于规则的安全策略两种。基于规则的安全策略：基于规则的安全策略是系统给主体（用户、进程）和客体（数据）分别标注相应的安全标记，规定出访问权限，此标记将作为数据项的一部分。2022-10-9网络攻防技术219.1.2 安全策略 2.合理制定安全策略 根据系统的实际情况和安全要求，合理地确定安全策略是复杂且重要的。因为安全是相对的，安全技术也是不断发展的，安全应有一个合理、明确的要求，这主要体现在安全策略中。网络系统的安全要求主要是完整性、可用性和机密性。每个内部网要根据自身的要求确定安全策略。2022-10-9网络攻防技术229.1.

11、2 安全策略 2.合理制定安全策略 目前的问题是：硬件和软件大多技术先进，功能多样，而在安全保密方面没有明确的安全策略，一旦投入使用，安全漏洞很多。如果在总体设计时就按照安全要求制定出网络的安全策略并逐步实施，则系统的漏洞就会减少、运行效果更好。2022-10-9网络攻防技术239.1.2 安全策略 2.合理制定安全策略 网络的安全问题，是一个比较棘手的事情，它既有软、硬件的问题，也有人的问题。网络的整体安全十分重要，方方面面应当考虑周全，这包括对设备、数据、邮件、Internet等的使用策略。在对网络的安全策略的规划、设计、实施与维护过程中，必须对保护数据信息所需的安全级别有一个较透彻的理解

12、；必须对信息的敏感性加以研究与评估，从而制定出一个能够提供所需保护级别的安全策略。2022-10-9网络攻防技术249.1.2 安全策略 3.安全策略的实施方法 安全策略是网络中的安全系统设计和运行的指导方针，安全系统设计人员可利用安全策略作为建立有效的安全系统的基准点。当然，有了安全策略还要使其发挥作用，就必须确保开发策略的过程中所涉及的风险承担者的选择是正确的，以使组织的安全目标得以实现。实施安全策略的主要手段有以下四种：（1）主动实时监控 （2）被动技术检查 （3）安全行政检查 （4）契约依从检查2022-10-9网络攻防技术259.1.2 安全策略 3.安全策略的实施方法（1）主动实时

13、监控 实时监控技术是确保安全策略实施最容易、最全面的方法。利用此方法，在没有操作人员干涉的情况下，用技术手段来确保特定策略的实施。如在防火墙中阻塞入站ICMP，以防止外部对防火墙后面网络的探测。（2）被动技术检查 可以定期或不定期进行技术检查，逐个或随机进行策略依从度检查。技术作为一种支持，辅助安全人员实施安全策略，而无需操作人员进行干预。如利用一些检查工具，在操作人员的主机上，检查操作人员的口令设置、上网记录、操作日志、处理的秘密信息等。2022-10-9网络攻防技术269.1.2 安全策略 3.安全策略的实施方法（3）安全行政检查 与网络技术人员利用网络技术进行检查相比，行政管理人员更多地

14、通过行政手段检查操作人员使用网络的情况。比如是否在玩游戏、看电影、聊天或从事与业务无关的工作等。（4）契约依从检查 契约依从检查建立在每个用户都知道自己在网络安全系统中的职责，而且承诺通过契约形式遵守规则的基础之上。这和2、3的检查结果有密切关联，实际上就是在每条策略后面添加说明，将违反策略的后果告知用户，任何被发现违反此策略的员工都会受到处罚。这是安全管理的根本，每个操作人员都必须受此类策略的约束。2022-10-9网络攻防技术279.1.3 系统防护 目前，网络安全威胁层出不穷、攻击手段日趋多样化，仅仅利用某一种或几种防御技术已经很难抵御威胁，我们需要的是纵深化的、全面的防御，只有构建了综

15、合的、多点的防御，才能使网络信息安全得到充分的保障。纵深防御体系被认为是一种最佳的安全做法。这种方法就是在网络基础结构中的多个点使用多种安全技术，从而总体上减少攻击者利用关键业务将资源或信息泄露到外部的可能性。在消息传递和协作环境中，纵深防御体系还可以帮助管理员及时阻断恶意行为及恶意代码的传播，从而降低威胁进入内部网络的可能性。2022-10-9网络攻防技术289.1.3 系统防护 纵深防御的特点主要有：多点防御和多层防御；根据所保护的对象和应用中所存在的威胁确定安全强度；所采用的密钥管理机制和公钥基础设施必须能够支持所有集成的信息保障技术并具有高度的抗攻击性能；所采用网络防御措施必须能检测入

16、侵行为并可根据对检测结果的分析做出相应反应。2022-10-9网络攻防技术299.1.3 系统防护 纵深防御并非依赖于单一技术来防御攻击，从而消除整个网络安全体系结构中的单点故障。一般在网络基础结构内四个点采取保护措施，即网络边界、服务器、客户端以及信息本身。(1)访问控制 网络防御必须防止未经授权访问网络、应用程序和网络数据的情况。这需要在网关或非军事区提供防火墙保护。这层保护可以使内部服务器免受恶意访问的影响，包括利用系统和应用程序的网络攻击。访问控制的一般策略主要有自主访问控制、强制访问控制和基于角色的访问控制，常见的控制方法有口令、访问控制表、访问能力表和授权关系表等。2022-10-

17、9网络攻防技术309.1.3 系统防护 (2)边界防护 网络的安全威胁来自内部与边界两个方面：内部安全是指网络的合法用户在使用网络资源的时候，发生的不合规则的行为、误操作及恶意破坏等，也包括系统自身的健康问题，如软、硬件的稳定性带来的系统中断。边界安全是指网络与外界互通引起的安全问题，跨边界的攻击种类繁多、破坏力强，主要有病毒攻击。由此，网络边界既要能够保护网络及访问免受内部的破坏，还要能够防止网络遭受外部的攻击。一般情况下，可以同时在网络边界或网关位置采用防火墙、安全代理、网闸等措施防止外部攻击，同时采用防病毒和反垃圾邮件保护，阻止通过邮件将攻击带入内部网络。更细一步讲，边界防护的目的有四点

18、，分别是网络隔离、防范攻击、优化网络与用户管理。2022-10-9网络攻防技术319.1.3 系统防护 (3)客户端防护 病毒是一段计算机可执行的恶意代码，用户通过拷贝文件、访问网站、接收邮件等操作，都可能导致系统被其感染，有些病毒甚至能够利用系统的漏洞，自动寻找目标进行传播。一旦计算机被感染上病毒，这些可执行代码可以自动执行，破坏计算机系统。防病毒软件根据病毒的特征，检查并清除用户系统上的病毒。安装并经常更新防病毒软件会对系统安全起防护作用。除了防病毒，客户端还需要提供个人防火墙的保护，还可以根据需要在客户端部署防止用户转发、打印或共享机密材料的信息控制技术。2022-10-9网络攻防技术3

19、29.1.3 系统防护 (4)服务器防护 安全威胁可能来自网络外部也可能来自网络内部，可能是通过授权的计算机发起的攻击。例如，一个粗心的内部人员可能无意中将一个受病毒感染的文件从优盘复制到一台安全计算机中，从而造成内网的安全威胁。在服务器中安装防病毒软件则可以提供额外的防线，并遏制内部安全事件的威胁，让它们永远不能到达网关。2022-10-9网络攻防技术339.1.3 系统防护 (5)信息保护 数字信息的保护是信息化带来的新挑战。一般情况下使用基于周边的安全方法来保护数字信息。防火墙可以限制对于网络的访问，而访问控制列表可以限制对于特定数据的访问。此外，还可以使用加密技术保护数据在存储和传输中

20、的安全。2022-10-9网络攻防技术349.1.4 安全检测 检测有两种含义：一是自己对系统进行安全检查，发现漏洞；二是在网络内部检测所有的网络数据，从中发现入侵行为。上面提到防护系统可以阻止大多数的入侵事件的发生，但是它不能阻止所有的入侵，特别是那些利用未公开的系统缺陷、新的攻击手段的入侵，而对内部违规操作更是力不从心。1.漏洞扫描 2.入侵检测2022-10-9网络攻防技术359.1.4 安全检测 1.漏洞扫描 主要目的是发现系统漏洞，修补系统和网络漏洞，提高系统安全性能，从而消除入侵和攻击的条件。漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口

21、号以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟攻击者的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。2022-10-9网络攻防技术369.1.4 安全检测 2.入侵检测 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象。2022-10-9网络攻防

22、技术379.1.4 安全检测 2.入侵检测 在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时监测，被认为是防火墙之后的第二道安全闸门。这些都通过它执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统审计跟踪管理，并识别用户违反安全策略行为。2022-10-9网络攻防技术389.1.5 安全响应 响应就是发现一个攻击事件之后，对其进行处理。入侵事件的报警可以是入侵检测系统的报警，也可以是通过其他方式的汇报。响应的主要工作也可以分为两种：应

23、急响应：当安全事件发生时采取应对措施，包括进行审计跟踪、查找事故发生原因、确定攻击的来源、定位攻击损失、落实下一步的防范措施等。其他事件处理：主要包括咨询、培训和技术支持。2022-10-9网络攻防技术399.1.5 安全响应 安全响应的基本流程如下：(1)密切关注安全事件报告 很多单位在购买和应用安全设备之后，就再也没有关注过这些设备，根本不知道那里发生了什么，甚至连防火墙被穿透或攻破都未察觉。实际上，大多数安全设备都具有报警功能，并会产生详细的安全事件报告，它能及时提醒用户可能正在受到攻击，因此，用户应该将安全设备的报警与电子邮件等联系，密切关注系统信息和日志，以便能在第一时间获知可疑行为

24、和事件。2022-10-9网络攻防技术409.1.5 安全响应 安全响应的基本流程如下：(2)评估可疑的行为 一方面，在安全技术还不够完善的情况下，例如入侵检测系统的误报率就相对较高，严格地说报警只是一种提示，安全管理员应该根据实际情况进行判断，以确定是否为真实攻击行为。另一方面，对于确定的多处攻击或非授权行为，单位还要根据重要资产优先的原则，根据受影响系统的优先级顺序和事故严重度，分析和评估安全事件等级。2022-10-9网络攻防技术419.1.5 安全响应 安全响应的基本流程如下：(3)及时做出正确的响应 单位应该针对不同类型的攻击制定明细的安全响应步骤，以免在面对攻击时不知所措。例如调整

25、包括防火墙在内的安全设备所配置的安全策略，甚至断开网络连接，以防止攻击的进一步进行；修补系统漏洞，关闭不必要的服务，避免类似攻击发生；如果有数据被破坏，注意及时恢复数据，同时还要注意保留证据，甚至进行追踪溯源，以便在需要时追究其法律责任。2022-10-9网络攻防技术429.1.5 安全响应 安全响应的基本流程如下：(4)最后，还要对安全事件进行调查和研究，并吸取经验教训 在每一次的攻击事件中，用户不仅能了解到攻击者的攻击途径和手段，还能从中发现攻击的针对点和信息系统的薄弱点，如果事后能借助经验丰富的信息安全专家进行仔细分析，找出攻击技术的要点以及安全系统的弱点和管理的漏洞，进一步完善网络的防

26、御系统和响应机制，就能减少以后受攻击的威胁。2022-10-9网络攻防技术439.1.6 灾难恢复 灾难恢复是APPDRR模型中的最后一个环节。灾难恢复是事件发生后，把系统恢复到原来的状态，或者比原来更安全的状态。灾难恢复分为两个方面：1.系统恢复 2.信息恢复2022-10-9网络攻防技术449.1.6 灾难恢复 1.系统恢复 系统恢复指的是修补该事件所利用的系统缺陷，杜绝攻击者再次利用这样的漏洞入侵。一般系统恢复包括系统升级、软件升级和打补丁等。系统恢复的另一个重要工作是去除后门。一般来说，攻击者在第一次入侵的时候都是利用系统的缺陷。在第一次入侵成功之后，攻击者就在系统打开一些后门，如安装一个木马程序。所以，尽管系统缺陷已经打补丁，攻击者下一次还是可以通过后门进入系统。系统恢复都是根据检测和响应环节提供有关事件的资料进行的。2022-10-9网络攻防技术459.1.6 灾难恢复 2.信息恢复 信息恢复指的是恢复丢失的数据。数据丢失的原因可能是由于攻击者入侵造成，也可以是由于系统故障、自然灾害等原因造成的。信息恢复就是从备份和归档的数据恢复原来数据。信息恢复过程跟数据备份过程有很大的关系。数据备份做得是否充分对信息恢复有很大的影响。信息恢复过程的一个特点是有优先级别。直接影响日常生活和工作的信息必须先恢复，这样可以提高信息恢复的效率。2022-10-9网络攻防技术46