第9章-網(wǎng)絡(luò)防御概述

第九章網(wǎng)絡(luò)防御概述2023/2/10網(wǎng)絡(luò)攻防技術(shù)2本章主要內(nèi)容9.1網(wǎng)絡(luò)安全模型9.2網(wǎng)絡(luò)安全管理9.3網(wǎng)絡(luò)防御技術(shù)的發(fā)展趨勢9.1網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)安全是一個系統(tǒng)工程，它既不是防火墻、入侵檢測，也不是VPN（VirtualPrivateNetwork，虛擬私有網(wǎng)絡(luò)），或者認(rèn)證和授權(quán)。它不是這些東西的簡單疊加，網(wǎng)絡(luò)安全更為復(fù)雜。網(wǎng)絡(luò)安全應(yīng)該是一個動態(tài)的概念，應(yīng)當(dāng)采用網(wǎng)絡(luò)動態(tài)安全模型描述，給用戶提供更完整、更合理的安全機(jī)制。2023/2/10網(wǎng)絡(luò)攻防技術(shù)39.1網(wǎng)絡(luò)安全模型APPDRR模型就是動態(tài)安全模型的代表，隱含了網(wǎng)絡(luò)安全的相對性和動態(tài)螺旋上升的過程。該模型由6個英文單詞的首字符組成：風(fēng)險評估（Assessment）、安全策略（Policy）、系統(tǒng)防護(hù)（Protection）、安全檢測（Detection）、安全響應(yīng)（Reaction）和災(zāi)難恢復(fù)（Restoration）。2023/2/10網(wǎng)絡(luò)攻防技術(shù)4APPDRR動態(tài)安全模型2023/2/10網(wǎng)絡(luò)攻防技術(shù)59.1網(wǎng)絡(luò)安全模型APPDRR模型六個部分構(gòu)成了一個動態(tài)的信息安全周期。通過這六個環(huán)節(jié)的循環(huán)流動，網(wǎng)絡(luò)安全逐漸地得以完善和提高，從而達(dá)到網(wǎng)絡(luò)的安全目標(biāo)。2023/2/10網(wǎng)絡(luò)攻防技術(shù)69.1網(wǎng)絡(luò)安全模型根據(jù)APPDRR模型，網(wǎng)絡(luò)安全的第一個重要環(huán)節(jié)是風(fēng)險評估。通過風(fēng)險評估，掌握網(wǎng)絡(luò)安全面臨的風(fēng)險信息，進(jìn)而采取必要的處置措施，使信息組織的網(wǎng)絡(luò)安全水平呈現(xiàn)動態(tài)螺旋上升的趨勢。2023/2/10網(wǎng)絡(luò)攻防技術(shù)79.1網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)安全策略是APPDRR模型的第二個重要環(huán)節(jié)，起著承上啟下的作用。一方面，安全策略應(yīng)當(dāng)隨著風(fēng)險評估的結(jié)果和安全需求的變化做相應(yīng)的更新；另一方面，安全策略在整個網(wǎng)絡(luò)安全工作中處于原則性的指導(dǎo)地位，其后的監(jiān)測、響應(yīng)諸環(huán)節(jié)都應(yīng)在安全策略的基礎(chǔ)上展開。2023/2/10網(wǎng)絡(luò)攻防技術(shù)89.1網(wǎng)絡(luò)安全模型系統(tǒng)防護(hù)是安全模型中的第三個環(huán)節(jié)，體現(xiàn)了網(wǎng)絡(luò)安全的靜態(tài)防護(hù)措施。系統(tǒng)防護(hù)是系統(tǒng)安全的第一條防線，根據(jù)系統(tǒng)已知的所有安全問題做出防御措施，如打補(bǔ)丁、訪問控制、數(shù)據(jù)加密等。第二條防線就是實(shí)時監(jiān)測，攻擊者即使穿過了第一條防線，我們還可通過監(jiān)測系統(tǒng)檢測出攻擊者的入侵行為，確定其身份，包括攻擊源、系統(tǒng)損失等。2023/2/10網(wǎng)絡(luò)攻防技術(shù)99.1網(wǎng)絡(luò)安全模型一旦檢測出入侵，實(shí)時響應(yīng)系統(tǒng)開始響應(yīng)包括事件處理等其他業(yè)務(wù)。安全模型的最后一條防線是災(zāi)難恢復(fù)。在發(fā)生入侵事件，并確認(rèn)事故原因后，或把系統(tǒng)恢復(fù)到原來的狀態(tài)，或修改安全策略，更新防御系統(tǒng)，確保相同類型的入侵事件不再發(fā)生。2023/2/10網(wǎng)絡(luò)攻防技術(shù)109.1網(wǎng)絡(luò)安全模型在APPDRR模型中，并非各個部分的重要程度都是等同的。在安全策略的指導(dǎo)下，進(jìn)行必要的系統(tǒng)防護(hù)有積極的意義。但是，由于網(wǎng)絡(luò)安全動態(tài)性的特點(diǎn)，在攻擊與防御的較量中，安全監(jiān)測應(yīng)該處于一個核心地位。2023/2/10網(wǎng)絡(luò)攻防技術(shù)119.1.1風(fēng)險評估網(wǎng)絡(luò)安全評估是信息安全生命周期中的一個重要環(huán)節(jié)，它對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、重要服務(wù)器的位置、帶寬、協(xié)議、硬件、與Internet的接口、防火墻的配置、安全管理措施及應(yīng)用流程等進(jìn)行全面地安全分析，并提出安全風(fēng)險分析報告和改進(jìn)建議書。2023/2/10網(wǎng)絡(luò)攻防技術(shù)129.1.1風(fēng)險評估網(wǎng)絡(luò)安全評估具有如下作用：(1)明確企業(yè)信息系統(tǒng)的安全現(xiàn)狀

進(jìn)行信息安全評估后，可以讓企業(yè)準(zhǔn)確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰企業(yè)的安全需求。(2)確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險

在對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進(jìn)行信息安全評估并進(jìn)行風(fēng)險分級后，可以確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險，并讓企業(yè)選擇避免、降低、接受等風(fēng)險處置措施。2023/2/10網(wǎng)絡(luò)攻防技術(shù)139.1.1風(fēng)險評估網(wǎng)絡(luò)安全評估具有如下作用：(3)指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)

對企業(yè)進(jìn)行信息安全評估后，可以制定企業(yè)網(wǎng)絡(luò)和系統(tǒng)的安全策略及安全解決方案，從而指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系（如部署防火墻、入侵檢測與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎(chǔ)設(shè)施等）與管理體系（安全組織保證、安全管理制度及安全培訓(xùn)機(jī)制等）的建設(shè)。2023/2/10網(wǎng)絡(luò)攻防技術(shù)149.1.1風(fēng)險評估網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全評估的行動指南。可信計(jì)算機(jī)系統(tǒng)安全評估標(biāo)準(zhǔn)（TrustedComputerSystemEvaluationCriteria，TCSEC）信息技術(shù)安全評估標(biāo)準(zhǔn)（InformationTechnologySecurityEvaluationCriteria，ITSEC）信息技術(shù)安全評價的通用標(biāo)準(zhǔn)（CC）2023/2/10網(wǎng)絡(luò)攻防技術(shù)159.1.1風(fēng)險評估網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全評估的行動指南。ISO13335標(biāo)準(zhǔn)BS7799AS/NZS4360:1999OCTAVE（OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation）2023/2/10網(wǎng)絡(luò)攻防技術(shù)169.1.1風(fēng)險評估網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全評估的行動指南。GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》ISO15408-2：1999《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》2023/2/10網(wǎng)絡(luò)攻防技術(shù)179.1.1風(fēng)險評估風(fēng)險分析的方法有定性分析、半定量分析和定量分析?，F(xiàn)有信息安全評估標(biāo)準(zhǔn)主要采用定性分析法對風(fēng)險進(jìn)行分析，即通常采取安全事件發(fā)生的概率來計(jì)算風(fēng)險。現(xiàn)有信息安全評估標(biāo)準(zhǔn)尚不能定量分析。各家專業(yè)評估公司大多數(shù)是憑借各自積累的經(jīng)驗(yàn)來解決，因此，需要一個統(tǒng)一的信息安全評估標(biāo)準(zhǔn)出臺。2023/2/10網(wǎng)絡(luò)攻防技術(shù)189.1.2安全策略1.什么是安全策略？所有網(wǎng)絡(luò)安全都起始于安全策略，這幾乎已經(jīng)成為了工業(yè)標(biāo)準(zhǔn)。RFC2196“站點(diǎn)安全手冊”中對安全策略給出了定義：安全策略是組織的技術(shù)人員和信息使用人員必須遵守的一系列規(guī)則的正規(guī)表達(dá)。2023/2/10網(wǎng)絡(luò)攻防技術(shù)199.1.2安全策略按照授權(quán)行為可把安全策略分為基于身份的安全策略和基于規(guī)則的安全策略兩種?；谏矸莸陌踩呗裕浩淠康氖菍?shù)據(jù)或資源的訪問進(jìn)行篩選，即用戶可訪問他們的資源的一部分（訪問控制表），或由系統(tǒng)授予用戶特權(quán)標(biāo)記或權(quán)力。在這兩種情況下，可訪問的數(shù)據(jù)項(xiàng)的多少會有很大變化。2023/2/10網(wǎng)絡(luò)攻防技術(shù)209.1.2安全策略按照授權(quán)行為可把安全策略分為基于身份的安全策略和基于規(guī)則的安全策略兩種?；谝?guī)則的安全策略：基于規(guī)則的安全策略是系統(tǒng)給主體（用戶、進(jìn)程）和客體（數(shù)據(jù)）分別標(biāo)注相應(yīng)的安全標(biāo)記，規(guī)定出訪問權(quán)限，此標(biāo)記將作為數(shù)據(jù)項(xiàng)的一部分。2023/2/10網(wǎng)絡(luò)攻防技術(shù)219.1.2安全策略2.合理制定安全策略根據(jù)系統(tǒng)的實(shí)際情況和安全要求，合理地確定安全策略是復(fù)雜且重要的。因?yàn)榘踩窍鄬Φ模踩夹g(shù)也是不斷發(fā)展的，安全應(yīng)有一個合理、明確的要求，這主要體現(xiàn)在安全策略中。網(wǎng)絡(luò)系統(tǒng)的安全要求主要是完整性、可用性和機(jī)密性。每個內(nèi)部網(wǎng)要根據(jù)自身的要求確定安全策略。2023/2/10網(wǎng)絡(luò)攻防技術(shù)229.1.2安全策略2.合理制定安全策略目前的問題是：硬件和軟件大多技術(shù)先進(jìn)，功能多樣，而在安全保密方面沒有明確的安全策略，一旦投入使用，安全漏洞很多。如果在總體設(shè)計(jì)時就按照安全要求制定出網(wǎng)絡(luò)的安全策略并逐步實(shí)施，則系統(tǒng)的漏洞就會減少、運(yùn)行效果更好。2023/2/10網(wǎng)絡(luò)攻防技術(shù)239.1.2安全策略2.合理制定安全策略網(wǎng)絡(luò)的安全問題，是一個比較棘手的事情，它既有軟、硬件的問題，也有人的問題。網(wǎng)絡(luò)的整體安全十分重要，方方面面應(yīng)當(dāng)考慮周全，這包括對設(shè)備、數(shù)據(jù)、郵件、Internet等的使用策略。在對網(wǎng)絡(luò)的安全策略的規(guī)劃、設(shè)計(jì)、實(shí)施與維護(hù)過程中，必須對保護(hù)數(shù)據(jù)信息所需的安全級別有一個較透徹的理解；必須對信息的敏感性加以研究與評估，從而制定出一個能夠提供所需保護(hù)級別的安全策略。2023/2/10網(wǎng)絡(luò)攻防技術(shù)249.1.2安全策略3.安全策略的實(shí)施方法安全策略是網(wǎng)絡(luò)中的安全系統(tǒng)設(shè)計(jì)和運(yùn)行的指導(dǎo)方針，安全系統(tǒng)設(shè)計(jì)人員可利用安全策略作為建立有效的安全系統(tǒng)的基準(zhǔn)點(diǎn)。當(dāng)然，有了安全策略還要使其發(fā)揮作用，就必須確保開發(fā)策略的過程中所涉及的風(fēng)險承擔(dān)者的選擇是正確的，以使組織的安全目標(biāo)得以實(shí)現(xiàn)。實(shí)施安全策略的主要手段有以下四種：

（1）主動實(shí)時監(jiān)控（2）被動技術(shù)檢查

（3）安全行政檢查（4）契約依從檢查2023/2/10網(wǎng)絡(luò)攻防技術(shù)259.1.2安全策略3.安全策略的實(shí)施方法（1）主動實(shí)時監(jiān)控實(shí)時監(jiān)控技術(shù)是確保安全策略實(shí)施最容易、最全面的方法。利用此方法，在沒有操作人員干涉的情況下，用技術(shù)手段來確保特定策略的實(shí)施。如在防火墻中阻塞入站ICMP，以防止外部對防火墻后面網(wǎng)絡(luò)的探測。（2）被動技術(shù)檢查可以定期或不定期進(jìn)行技術(shù)檢查，逐個或隨機(jī)進(jìn)行策略依從度檢查。技術(shù)作為一種支持，輔助安全人員實(shí)施安全策略，而無需操作人員進(jìn)行干預(yù)。如利用一些檢查工具，在操作人員的主機(jī)上，檢查操作人員的口令設(shè)置、上網(wǎng)記錄、操作日志、處理的秘密信息等。2023/2/10網(wǎng)絡(luò)攻防技術(shù)269.1.2安全策略3.安全策略的實(shí)施方法（3）安全行政檢查與網(wǎng)絡(luò)技術(shù)人員利用網(wǎng)絡(luò)技術(shù)進(jìn)行檢查相比，行政管理人員更多地通過行政手段檢查操作人員使用網(wǎng)絡(luò)的情況。比如是否在玩游戲、看電影、聊天或從事與業(yè)務(wù)無關(guān)的工作等。（4）契約依從檢查契約依從檢查建立在每個用戶都知道自己在網(wǎng)絡(luò)安全系統(tǒng)中的職責(zé)，而且承諾通過契約形式遵守規(guī)則的基礎(chǔ)之上。這和2、3的檢查結(jié)果有密切關(guān)聯(lián)，實(shí)際上就是在每條策略后面添加說明，將違反策略的后果告知用戶，任何被發(fā)現(xiàn)違反此策略的員工都會受到處罰。這是安全管理的根本，每個操作人員都必須受此類策略的約束。2023/2/10網(wǎng)絡(luò)攻防技術(shù)279.1.3系統(tǒng)防護(hù)目前，網(wǎng)絡(luò)安全威脅層出不窮、攻擊手段日趨多樣化，僅僅利用某一種或幾種防御技術(shù)已經(jīng)很難抵御威脅，我們需要的是縱深化的、全面的防御，只有構(gòu)建了綜合的、多點(diǎn)的防御，才能使網(wǎng)絡(luò)信息安全得到充分的保障?？v深防御體系被認(rèn)為是一種最佳的安全做法。這種方法就是在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)中的多個點(diǎn)使用多種安全技術(shù)，從而總體上減少攻擊者利用關(guān)鍵業(yè)務(wù)將資源或信息泄露到外部的可能性。在消息傳遞和協(xié)作環(huán)境中，縱深防御體系還可以幫助管理員及時阻斷惡意行為及惡意代碼的傳播，從而降低威脅進(jìn)入內(nèi)部網(wǎng)絡(luò)的可能性。2023/2/10網(wǎng)絡(luò)攻防技術(shù)289.1.3系統(tǒng)防護(hù)縱深防御的特點(diǎn)主要有：①多點(diǎn)防御和多層防御；②根據(jù)所保護(hù)的對象和應(yīng)用中所存在的威脅確定安全強(qiáng)度；③所采用的密鑰管理機(jī)制和公鑰基礎(chǔ)設(shè)施必須能夠支持所有集成的信息保障技術(shù)并具有高度的抗攻擊性能；④所采用網(wǎng)絡(luò)防御措施必須能檢測入侵行為并可根據(jù)對檢測結(jié)果的分析做出相應(yīng)反應(yīng)。2023/2/10網(wǎng)絡(luò)攻防技術(shù)299.1.3系統(tǒng)防護(hù)縱深防御并非依賴于單一技術(shù)來防御攻擊，從而消除整個網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的單點(diǎn)故障。一般在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)內(nèi)四個點(diǎn)采取保護(hù)措施，即網(wǎng)絡(luò)邊界、服務(wù)器、客戶端以及信息本身。(1)訪問控制網(wǎng)絡(luò)防御必須防止未經(jīng)授權(quán)訪問網(wǎng)絡(luò)、應(yīng)用程序和網(wǎng)絡(luò)數(shù)據(jù)的情況。這需要在網(wǎng)關(guān)或非軍事區(qū)提供防火墻保護(hù)。這層保護(hù)可以使內(nèi)部服務(wù)器免受惡意訪問的影響，包括利用系統(tǒng)和應(yīng)用程序的網(wǎng)絡(luò)攻擊。訪問控制的一般策略主要有自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制，常見的控制方法有口令、訪問控制表、訪問能力表和授權(quán)關(guān)系表等。2023/2/10網(wǎng)絡(luò)攻防技術(shù)309.1.3系統(tǒng)防護(hù)(2)邊界防護(hù)網(wǎng)絡(luò)的安全威脅來自內(nèi)部與邊界兩個方面：內(nèi)部安全是指網(wǎng)絡(luò)的合法用戶在使用網(wǎng)絡(luò)資源的時候，發(fā)生的不合規(guī)則的行為、誤操作及惡意破壞等，也包括系統(tǒng)自身的健康問題，如軟、硬件的穩(wěn)定性帶來的系統(tǒng)中斷。邊界安全是指網(wǎng)絡(luò)與外界互通引起的安全問題，跨邊界的攻擊種類繁多、破壞力強(qiáng)，主要有病毒攻擊。由此，網(wǎng)絡(luò)邊界既要能夠保護(hù)網(wǎng)絡(luò)及訪問免受內(nèi)部的破壞，還要能夠防止網(wǎng)絡(luò)遭受外部的攻擊。一般情況下，可以同時在網(wǎng)絡(luò)邊界或網(wǎng)關(guān)位置采用防火墻、安全代理、網(wǎng)閘等措施防止外部攻擊，同時采用防病毒和反垃圾郵件保護(hù)，阻止通過郵件將攻擊帶入內(nèi)部網(wǎng)絡(luò)。更細(xì)一步講，邊界防護(hù)的目的有四點(diǎn)，分別是網(wǎng)絡(luò)隔離、防范攻擊、優(yōu)化網(wǎng)絡(luò)與用戶管理。2023/2/10網(wǎng)絡(luò)攻防技術(shù)319.1.3系統(tǒng)防護(hù)(3)客戶端防護(hù)病毒是一段計(jì)算機(jī)可執(zhí)行的惡意代碼，用戶通過拷貝文件、訪問網(wǎng)站、接收郵件等操作，都可能導(dǎo)致系統(tǒng)被其感染，有些病毒甚至能夠利用系統(tǒng)的漏洞，自動尋找目標(biāo)進(jìn)行傳播。一旦計(jì)算機(jī)被感染上病毒，這些可執(zhí)行代碼可以自動執(zhí)行，破壞計(jì)算機(jī)系統(tǒng)。防病毒軟件根據(jù)病毒的特征，檢查并清除用戶系統(tǒng)上的病毒。安裝并經(jīng)常更新防病毒軟件會對系統(tǒng)安全起防護(hù)作用。除了防病毒，客戶端還需要提供個人防火墻的保護(hù)，還可以根據(jù)需要在客戶端部署防止用戶轉(zhuǎn)發(fā)、打印或共享機(jī)密材料的信息控制技術(shù)。2023/2/10網(wǎng)絡(luò)攻防技術(shù)329.1.3系統(tǒng)防護(hù)(4)服務(wù)器防護(hù)安全威脅可能來自網(wǎng)絡(luò)外部也可能來自網(wǎng)絡(luò)內(nèi)部，可能是通過授權(quán)的計(jì)算機(jī)發(fā)起的攻擊。例如，一個粗心的內(nèi)部人員可能無意中將一個受病毒感染的文件從優(yōu)盤復(fù)制到一臺安全計(jì)算機(jī)中，從而造成內(nèi)網(wǎng)的安全威脅。在服務(wù)器中安裝防病毒軟件則可以提供額外的防線，并遏制內(nèi)部安全事件的威脅，讓它們永遠(yuǎn)不能到達(dá)網(wǎng)關(guān)。2023/2/10網(wǎng)絡(luò)攻防技術(shù)339.1.3系統(tǒng)防護(hù)(5)信息保護(hù)數(shù)字信息的保護(hù)是信息化帶來的新挑戰(zhàn)。一般情況下使用基于周邊的安全方法來保護(hù)數(shù)字信息。防火墻可以限制對于網(wǎng)絡(luò)的訪問，而訪問控制列表可以限制對于特定數(shù)據(jù)的訪問。此外，還可以使用加密技術(shù)保護(hù)數(shù)據(jù)在存儲和傳輸中的安全。2023/2/10網(wǎng)絡(luò)攻防技術(shù)349.1.4安全檢測檢測有兩種含義：一是自己對系統(tǒng)進(jìn)行安全檢查，發(fā)現(xiàn)漏洞；二是在網(wǎng)絡(luò)內(nèi)部檢測所有的網(wǎng)絡(luò)數(shù)據(jù)，從中發(fā)現(xiàn)入侵行為。上面提到防護(hù)系統(tǒng)可以阻止大多數(shù)的入侵事件的發(fā)生，但是它不能阻止所有的入侵，特別是那些利用未公開的系統(tǒng)缺陷、新的攻擊手段的入侵，而對內(nèi)部違規(guī)操作更是力不從心。1.漏洞掃描2.入侵檢測2023/2/10網(wǎng)絡(luò)攻防技術(shù)359.1.4安全檢測1.漏洞掃描主要目的是發(fā)現(xiàn)系統(tǒng)漏洞，修補(bǔ)系統(tǒng)和網(wǎng)絡(luò)漏洞，提高系統(tǒng)安全性能，從而消除入侵和攻擊的條件。漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：①在端口掃描后得知目標(biāo)主機(jī)開啟的端口號以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；②通過模擬攻擊者的攻擊手法，對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測試弱口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。2023/2/10網(wǎng)絡(luò)攻防技術(shù)369.1.4安全檢測2.入侵檢測入侵檢測是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。2023/2/10網(wǎng)絡(luò)攻防技術(shù)379.1.4安全檢測2.入侵檢測在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時監(jiān)測，被認(rèn)為是防火墻之后的第二道安全閘門。這些都通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警；異常行為模式的統(tǒng)計(jì)分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)審計(jì)跟蹤管理，并識別用戶違反安全策略行為。2023/2/10網(wǎng)絡(luò)攻防技術(shù)389.1.5安全響應(yīng)響應(yīng)就是發(fā)現(xiàn)一個攻擊事件之后，對其進(jìn)行處理。入侵事件的報警可以是入侵檢測系統(tǒng)的報警，也可以是通過其他方式的匯報。響應(yīng)的主要工作也可以分為兩種：應(yīng)急響應(yīng)：當(dāng)安全事件發(fā)生時采取應(yīng)對措施，包括進(jìn)行審計(jì)跟蹤、查找事故發(fā)生原因、確定攻擊的來源、定位攻擊損失、落實(shí)下一步的防范措施等。其他事件處理：主要包括咨詢、培訓(xùn)和技術(shù)支持。2023/2/10網(wǎng)絡(luò)攻防技術(shù)399.1.5安全響應(yīng)安全響應(yīng)的基本流程如下：(1)密切關(guān)注安全事件報告

很多單位在購買和應(yīng)用安全設(shè)備之后，就再也沒有關(guān)注過這些設(shè)備，根本不知道那里發(fā)生了什么，甚至連防火墻被穿透或攻破都未察覺。實(shí)際上，大多數(shù)安全設(shè)備都具有報警功能，并會產(chǎn)生詳細(xì)的安全事件報告，它能及時提醒用戶可能正在受到攻擊，因此，用戶應(yīng)該將安全設(shè)備的報警與電子郵件等聯(lián)系，密切關(guān)注系統(tǒng)信息和日志，以便能在第一時間獲知可疑行為和事件。2023/2/10網(wǎng)絡(luò)攻防技術(shù)409.1.5安全響應(yīng)安全響應(yīng)的基本流程如下：(2)評估可疑的行為

一方面，在安全技術(shù)還不夠完善的情況下，例如入侵檢測系統(tǒng)的誤報率就相對較高，嚴(yán)格地說報警只是一種提示，安全管理員應(yīng)該根據(jù)實(shí)際情況進(jìn)行判斷，以確定是否為真實(shí)攻擊行為。另一方面，對于確定的多處攻擊或非授權(quán)行為，單位還要根據(jù)重要資產(chǎn)優(yōu)先的原則，根據(jù)受影響系統(tǒng)的優(yōu)先級順序和事故嚴(yán)重度，分析和評估安全事件等級。2023/2/10網(wǎng)絡(luò)攻防技術(shù)419.1.5安全響應(yīng)安全響應(yīng)的基本流程如下：(3)及時做出正確的響應(yīng)

單位應(yīng)該針對不同類型的攻擊制定明細(xì)的安全響應(yīng)步驟，以免在面對攻擊時不知所措。例如調(diào)整包括防火墻在內(nèi)的安全設(shè)備所配置的安全策略，甚至斷開網(wǎng)絡(luò)連接，以防止攻擊的進(jìn)一步進(jìn)行；修補(bǔ)系統(tǒng)漏洞，關(guān)閉不必要的服務(wù)，避免類似攻擊發(fā)生；如果有數(shù)據(jù)被破壞，注意及時恢復(fù)數(shù)據(jù)，同時還要注意保留證據(jù)，甚至進(jìn)行追蹤溯源，以便在需要時追究其法律責(zé)任。2023/2/10網(wǎng)絡(luò)攻防技術(shù)429.1.5安全響應(yīng)安全響應(yīng)的基本流程如下：(4)最后，還要對安全事件進(jìn)行調(diào)查和研究，并吸取經(jīng)驗(yàn)教訓(xùn)

在每一次的攻擊事件中，用戶不僅能了解到攻擊者的攻擊途徑和手段，還能從中發(fā)現(xiàn)攻擊的針對點(diǎn)和信息系統(tǒng)的薄弱點(diǎn)，如果事后能借助經(jīng)驗(yàn)豐富的信息安全專家進(jìn)行仔細(xì)分析，找出攻擊技術(shù)的要點(diǎn)以及安全系統(tǒng)的弱點(diǎn)和管理的漏洞，進(jìn)一步完善網(wǎng)絡(luò)的防御系統(tǒng)和響應(yīng)機(jī)制，就能減少以后受攻擊的威脅。2023/2/10網(wǎng)絡(luò)攻防技術(shù)439.1.6災(zāi)難恢復(fù)災(zāi)難恢復(fù)是APPDRR模型中的最后一個環(huán)節(jié)。災(zāi)難恢復(fù)是事件發(fā)生后，把系統(tǒng)恢復(fù)到原來的狀態(tài)，或者比原來更安全的狀態(tài)。災(zāi)難恢復(fù)分為兩個方面：1.系統(tǒng)恢復(fù)2.信息恢復(fù)2023/2/10網(wǎng)絡(luò)攻防技術(shù)449.1.6災(zāi)難恢復(fù)1.系統(tǒng)恢復(fù)

系統(tǒng)恢復(fù)指的是修補(bǔ)該事件所利用的系統(tǒng)缺陷，杜絕攻擊者再次利用這樣的漏洞入侵。一般系統(tǒng)恢復(fù)包括系統(tǒng)升級、軟件升級和打補(bǔ)丁等。系統(tǒng)恢復(fù)的另一個重要工作是去除后門。一般來說，攻擊者在第一次入侵的時候都是利用系統(tǒng)的缺陷。在第一次入侵成功之后，攻擊者就在系統(tǒng)打開一些后門，如安裝一個木馬程序。所以，盡管系統(tǒng)缺陷已經(jīng)打補(bǔ)丁，攻擊者下一次還是可以通過后門進(jìn)入系統(tǒng)。系統(tǒng)恢復(fù)都是根據(jù)檢測和響應(yīng)環(huán)節(jié)提供有關(guān)事件的資料進(jìn)行的。2023/2/10網(wǎng)絡(luò)攻防技術(shù)459.1.6災(zāi)難恢復(fù)2.信息恢復(fù)

信息恢復(fù)指的是恢復(fù)丟失的數(shù)據(jù)。數(shù)據(jù)丟失的原因可能是由于攻擊者入侵造成，也可以是由于系統(tǒng)故障、自然災(zāi)害等原因造成的。信息恢復(fù)就是從備份和歸檔的數(shù)據(jù)恢復(fù)原來數(shù)據(jù)。信息恢復(fù)過程跟數(shù)據(jù)備份過程有很大的關(guān)系。數(shù)據(jù)備份做得是否充分對信息恢復(fù)有很大的影響。信息恢復(fù)過程的一個特點(diǎn)是有優(yōu)先級別。直接影響日常生活和工作的信息必須先恢復(fù)，這樣可以提高信息恢復(fù)的效率。2023/2/10網(wǎng)絡(luò)攻防技術(shù)462023/2/10網(wǎng)絡(luò)攻防技術(shù)47本章主要內(nèi)容9.1網(wǎng)絡(luò)安全模型9.2網(wǎng)絡(luò)安全管理9.3網(wǎng)絡(luò)防御技術(shù)的發(fā)展趨勢9.2網(wǎng)絡(luò)安全管理APPDRR模型側(cè)重于技術(shù)，對管理的因素并沒有過多的強(qiáng)調(diào)。網(wǎng)絡(luò)安全體系應(yīng)該是融合了技術(shù)和管理在內(nèi)的一個全面解決安全問題的體系結(jié)構(gòu)。網(wǎng)絡(luò)安全管理的內(nèi)容主要包括：1.制定網(wǎng)絡(luò)安全策略2.進(jìn)行網(wǎng)絡(luò)安全風(fēng)險評估3.網(wǎng)絡(luò)安全風(fēng)險管理4.確定管制目標(biāo)和選定管理措施2023/2/10網(wǎng)絡(luò)攻防技術(shù)489.2網(wǎng)絡(luò)安全管理1.制定網(wǎng)絡(luò)安全策略在定義安全策略時，要使組織的安全策略和自身的性質(zhì)一致。作為組織網(wǎng)絡(luò)安全的最高方針，必須形成書面的文件，并對員工進(jìn)行信息安全策略的培訓(xùn)，對網(wǎng)絡(luò)安全負(fù)有責(zé)任的人員要進(jìn)行特殊的培訓(xùn)，使網(wǎng)絡(luò)安全的策略落實(shí)到實(shí)際工作中。2023/2/10網(wǎng)絡(luò)攻防技術(shù)499.2網(wǎng)絡(luò)安全管理2.網(wǎng)絡(luò)安全風(fēng)險評估網(wǎng)絡(luò)安全風(fēng)險評估的復(fù)雜度取決于風(fēng)險的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度，所采用的評估措施應(yīng)與組織對信息資產(chǎn)的保護(hù)要求相一致。對網(wǎng)絡(luò)進(jìn)行風(fēng)險評估時，不能有僥幸心理，必須將直接后果和潛在后果一并考慮，同時對已存在的或已規(guī)劃的安全管理措施進(jìn)行鑒定。2023/2/10網(wǎng)絡(luò)攻防技術(shù)509.2網(wǎng)絡(luò)安全管理3.網(wǎng)絡(luò)安全風(fēng)險管理網(wǎng)絡(luò)安全的風(fēng)險很多，且不斷發(fā)生變化，在進(jìn)行風(fēng)險評估之后，必須對風(fēng)險進(jìn)行管理。管理風(fēng)險有以下四種手段：(1)降低風(fēng)險。幾乎所有風(fēng)險都可以被降低，甚至被消滅。(2)避免風(fēng)險。通過采用不同的技術(shù)、更改操作流程等可能避免風(fēng)險。(3)轉(zhuǎn)嫁風(fēng)險。一般用于那些低概率、但一旦風(fēng)險發(fā)生時會對組織單位有重大影響的風(fēng)險。(4)接受風(fēng)險。采取了降低風(fēng)險和避免風(fēng)險的措施后，出于實(shí)際和經(jīng)濟(jì)的原因，只要組織進(jìn)行運(yùn)營，就必然存在并必須接受的風(fēng)險。2023/2/10網(wǎng)絡(luò)攻防技術(shù)519.2網(wǎng)絡(luò)安全管理4.選擇安全管理措施安全管理包括監(jiān)視網(wǎng)絡(luò)危險情況，對危險進(jìn)行隔離，并把危險控制在最小的范圍內(nèi)；身份認(rèn)證、權(quán)限設(shè)置；對資源和用戶的動態(tài)審計(jì)；對違規(guī)事件進(jìn)行全面記錄，及時進(jìn)行分析和審計(jì)；口令管理，對無權(quán)操作人員進(jìn)行控制；密鑰管理，設(shè)置密鑰的生命期、密鑰備份等管理功能；冗余備份，提高關(guān)鍵數(shù)據(jù)和服務(wù)的可靠性。2023/2/10網(wǎng)絡(luò)攻防技術(shù)522023/2/10網(wǎng)絡(luò)攻防技術(shù)53本章主要內(nèi)容9.1網(wǎng)絡(luò)安全模型9.2網(wǎng)絡(luò)安全管理9.3網(wǎng)絡(luò)防御技術(shù)的發(fā)展趨勢9.3網(wǎng)絡(luò)防御技術(shù)的發(fā)展趨勢現(xiàn)有的網(wǎng)絡(luò)安全防御體系綜合采用防火墻、入侵檢測、主機(jī)監(jiān)控、身份認(rèn)證、防病毒軟件、漏洞修補(bǔ)等多種手段構(gòu)筑堡壘式的剛性防御體系，阻擋或隔絕外界入侵。這種靜態(tài)分層的防御體系是基于威脅特征感知的精確防御，在面對己知攻擊時，具有反應(yīng)迅速、防護(hù)有效的優(yōu)點(diǎn)，但在對抗未知攻擊對手時，則力不從心，且存在自身易被攻擊的危險。2023/2/10網(wǎng)絡(luò)攻防技術(shù)549.3網(wǎng)絡(luò)防御技術(shù)的發(fā)展趨勢目前網(wǎng)絡(luò)安全“易攻難守”的不對稱態(tài)勢也是被動防御理論體系和技術(shù)的基因缺陷所致。更為嚴(yán)峻的是，網(wǎng)絡(luò)空間信息系統(tǒng)架構(gòu)和防御體系本質(zhì)上說都是“靜態(tài)的、相似的和確定的”，體系架構(gòu)透明、處理空間單一，缺乏多樣性。2023/2/10網(wǎng)絡(luò)攻防技術(shù)559.3網(wǎng)絡(luò)防御技術(shù)的發(fā)展趨勢軟件的遺產(chǎn)繼承將導(dǎo)致安全鏈難以閉合，系統(tǒng)缺陷和脆弱性持續(xù)暴露且易于攻擊，使之成為了網(wǎng)絡(luò)空間最大的安全黑洞。為有效開展網(wǎng)絡(luò)防御，學(xué)術(shù)界和業(yè)界提出主動防御、動態(tài)防御、軟件定義安全（SoftwareDefinedSecurity，SDS）等防御思想和方法。2023/2/10網(wǎng)絡(luò)攻防技術(shù)569.3.1主動防御《美國國防部2011年網(wǎng)絡(luò)空間防御戰(zhàn)略》首先提出主動防御戰(zhàn)略，旨在提高信息系統(tǒng)同步、實(shí)時地發(fā)現(xiàn)、檢測、分析和遷移威脅及脆弱性的能力，特別提高防御方的“反擊攻擊能力、中止攻擊能力和主動欺騙能力”，力求在攻擊鏈的網(wǎng)絡(luò)結(jié)合帶（NetworkEngagementZone，NEZ）發(fā)現(xiàn)并控制攻擊行動。2023/2/10網(wǎng)絡(luò)攻防技術(shù)579.3.1主動防御2023/2/10網(wǎng)絡(luò)攻防技術(shù)589.3.1主動防御網(wǎng)絡(luò)主動防御技術(shù)主要包括：1.可信計(jì)算2.主動認(rèn)證3.沙箱4.蜜罐5.微虛擬機(jī)6.主動誘騙等技術(shù)2023/2/10網(wǎng)絡(luò)攻防技術(shù)599.3.1主動防御1.可信計(jì)算2023/2/10網(wǎng)絡(luò)攻防技術(shù)609.3.1主動防御1.可信計(jì)算基本思想：1）首先在計(jì)算機(jī)系統(tǒng)中建立一個信任根。2）再建立一條信任鏈。3）以此類推，從信任根到硬件平臺，到操作系統(tǒng)，再到應(yīng)用程序，一級測量認(rèn)證一級，一級信任一級，把這種信任擴(kuò)展到整個計(jì)算機(jī)系統(tǒng)，從而確保整個計(jì)算機(jī)系統(tǒng)的可信。2023/2/10網(wǎng)絡(luò)攻防技術(shù)619.3.1主動防御2.主動認(rèn)證主動認(rèn)證技術(shù)是一種新型的認(rèn)證技術(shù)，能夠不依賴于傳統(tǒng)的口令、密碼、令牌等認(rèn)證方式，實(shí)現(xiàn)對用戶或系統(tǒng)的不間斷、實(shí)時、可靠的認(rèn)證。目前，主動認(rèn)證技術(shù)主要研究可大規(guī)模部署、且無需依賴額外硬件的基于生物特征的認(rèn)證技術(shù)，如“認(rèn)知指紋”、“可計(jì)算指紋”等。認(rèn)知指紋的可計(jì)算行為特征包括：按鍵、眼睛掃描、用戶搜索信息方式、用戶選擇信息方式、用戶閱讀材料方式（包括眼睛對頁面的追蹤、閱讀速度等）、交流方式和結(jié)構(gòu)（電子郵件交換）等。2023/2/10網(wǎng)絡(luò)攻防技術(shù)629.3.1主動防御3.沙箱沙箱是指為一些不可靠的程序提供試驗(yàn)而不影響系統(tǒng)運(yùn)行的環(huán)境。以Sandboxie應(yīng)用層的沙箱為例，它能夠?qū)?yīng)用程序限制在一個沙箱中運(yùn)行，任何操作只影響沙箱，不能對計(jì)算機(jī)造成永久性的改變。但是類似于Sandboxie這樣的應(yīng)用層沙箱，以及類似于Adobe或Chrome中的主從式（Master/Salve）沙箱，都無法抵御針對操作系統(tǒng)內(nèi)核缺陷的攻擊。因?yàn)樯诚錈o法限制與自己權(quán)限相等或更高的代碼執(zhí)行，一旦攻擊者利用內(nèi)核缺陷執(zhí)行任意的代碼，就能繞開沙箱的限制。2023/2/10網(wǎng)絡(luò)攻防技術(shù)639.3.1主動防御4.蜜罐蜜罐技術(shù)是利用虛擬機(jī)構(gòu)造一個虛假的系統(tǒng)運(yùn)行環(huán)境，提供給攻擊者探測、攻擊和損害，以幫助防御人員識別攻擊的行為模式（包括戰(zhàn)術(shù)、技術(shù)和過程）。以DataSoft公司的Nova為例，它是一個典型的智能蜜罐系統(tǒng)，能夠自動掃描真實(shí)網(wǎng)絡(luò)配置（系統(tǒng)及服務(wù)）并采用大量Honeyd輕量級蜜罐生成近真實(shí)的虛擬網(wǎng)絡(luò)；能夠基于包的大小、分布、TCP標(biāo)志比例等流量統(tǒng)計(jì)特性自動識別攻擊威脅，對登錄嘗試報警。2023/2/10網(wǎng)絡(luò)攻防技術(shù)649.3.1主動防御5.微虛擬機(jī)微虛擬機(jī)技術(shù)是一種超輕量級的虛擬機(jī)生成技術(shù)，它能夠在毫秒級創(chuàng)建虛擬機(jī)，提供基于硬件虛擬化技術(shù)（VirtualizationTechnology，VT）支持的、任務(wù)級的虛擬隔離。提供實(shí)時攻擊檢測和取證分析能力，在任務(wù)中創(chuàng)建子進(jìn)程時，在任務(wù)中打開、保存或讀取文件時，直接訪問原始存儲設(shè)備時，對剪貼板進(jìn)行訪問時，對內(nèi)核內(nèi)存和重要系統(tǒng)文件進(jìn)行修改時，甚至當(dāng)有PDF提交DNS解析申請時，都會觸發(fā)警報信息。在攻擊遏制方面，與檢測后阻塞攻擊、采用沙箱限制攻擊相比，微虛擬機(jī)防范攻擊具有隔離攻擊更加徹底、對系統(tǒng)造成的影響最小的鮮明特點(diǎn)。2023/2/10網(wǎng)絡(luò)攻防技術(shù)659.3.1主動防御6.主動誘騙主動誘騙技術(shù)屬于數(shù)據(jù)丟失中止（DataLossPrevention，DLP）或數(shù)據(jù)丟失告警（DataLossAlerting，DLA）技術(shù)，包括對敏感文檔嵌入水印，裝配誘騙性文檔并對其訪問行為報警，文檔被非授權(quán)訪問時的自銷毀技術(shù)等。特別適用于發(fā)現(xiàn)內(nèi)部人員竊密或身份冒充竊密。2023/2/10網(wǎng)絡(luò)攻防技術(shù)669.3.1主動防御6.主動誘騙此外，主動誘騙技術(shù)的應(yīng)用還包括：(1)網(wǎng)絡(luò)和行為誘騙。通過偽造網(wǎng)絡(luò)數(shù)據(jù)流并嵌入用戶登錄憑證的方式，誘騙網(wǎng)絡(luò)監(jiān)聽攻擊者使用截獲的憑證登錄取證系統(tǒng)或服務(wù)，進(jìn)而檢測攻擊行為；(2)基于云的誘騙。云端服務(wù)一旦發(fā)現(xiàn)攻擊則提供虛假的數(shù)據(jù)或計(jì)算資源；(3)移動誘騙。采用與真實(shí)App相似的誘騙App，引誘攻擊者下載安裝。2023/2/10網(wǎng)絡(luò)攻防技術(shù)679.3.2動態(tài)防御動態(tài)防御體現(xiàn)了網(wǎng)絡(luò)空間安全游戲規(guī)則的新理念和新技術(shù)。這種技術(shù)旨在通過部署和運(yùn)行不確定、隨機(jī)動態(tài)的網(wǎng)絡(luò)和系統(tǒng)，大幅提高攻擊成本，改變網(wǎng)絡(luò)防御的被動態(tài)勢。動態(tài)防御的方向一經(jīng)確立，相關(guān)研究迅速展開，美國政府、陸軍、海軍、空軍相繼安排了動態(tài)防御研發(fā)項(xiàng)目，在理論研究和技術(shù)實(shí)現(xiàn)的兩個方面都取得了初步成果。2023/2/10網(wǎng)絡(luò)攻防技術(shù)689.3.2動態(tài)防御1.動態(tài)防御主要思想從防御思想上分類，動態(tài)防御主要有：（1）移動目標(biāo)防御（2）網(wǎng)絡(luò)空間擬態(tài)防御（3）動態(tài)賦能網(wǎng)絡(luò)空間防御2023/2/10網(wǎng)絡(luò)攻防技術(shù)699.3.2動態(tài)防御1.動態(tài)防御主要思想（1）移動目標(biāo)防御

為解決易攻難守這一當(dāng)前網(wǎng)絡(luò)安全面臨的核心問題，移動目標(biāo)防御提出“允許系統(tǒng)漏洞存在，但不允許對方利用”的全新安全思路，其核心思想是通過增加系統(tǒng)的隨機(jī)性（不確定性）或者是減少系統(tǒng)的可預(yù)見性，來對抗攻擊者利用網(wǎng)絡(luò)系統(tǒng)相對靜止的屬性發(fā)動的進(jìn)攻。2023/2/10網(wǎng)絡(luò)攻防技術(shù)709.3.2動態(tài)防御1.動態(tài)防御主要思想（2）網(wǎng)絡(luò)空間擬態(tài)防御

擬態(tài)現(xiàn)象（MP）是指一種生物在色彩、紋理和形狀等特征上模擬另一種生物或環(huán)境，從而使一方或雙方受益的生態(tài)適應(yīng)現(xiàn)象。按防御行為分類可將其列入基于內(nèi)生機(jī)理的主動防御范疇，又可稱之為擬態(tài)偽裝（MG）。如果這種偽裝不僅限于色彩、紋理和形狀上，而且在行為和形態(tài)上也能模擬另一種生物或環(huán)境，稱之為“擬態(tài)防御”（MD）。2023/2/10網(wǎng)絡(luò)攻防技術(shù)719.3.2動態(tài)防御1.動態(tài)防御主要思想（2）網(wǎng)絡(luò)空間擬態(tài)防御

將擬態(tài)防御引入到網(wǎng)絡(luò)空間，能夠幫助解決網(wǎng)絡(luò)空間安全問題，尤其是面對當(dāng)前最大的安全威脅——未知漏洞后門，病毒木馬等不確定威脅時，具有顯著效果，克服了傳統(tǒng)安全方法的諸多問題，網(wǎng)絡(luò)空間擬態(tài)防御（CyberspaceMimicDefense，CMD）理論應(yīng)運(yùn)而生。2023/2/10網(wǎng)絡(luò)攻防技術(shù)729.3.2動態(tài)防御1.動態(tài)防御主要思想（2）網(wǎng)絡(luò)空間擬態(tài)防御

CMD在技術(shù)上以融合多種主動防御要素為宗旨：以異構(gòu)性、多樣或多元性改變目標(biāo)系統(tǒng)的相似性、單一性；以動態(tài)性、隨機(jī)性改變目標(biāo)系統(tǒng)的靜態(tài)性、確定性；以異構(gòu)冗余多模裁決機(jī)制識別和屏蔽未知缺陷與未明威脅；以高可靠性架構(gòu)增強(qiáng)目標(biāo)系統(tǒng)服務(wù)功能的柔韌性或彈性；以系統(tǒng)的視在不確定屬性防御或拒止針對目標(biāo)系統(tǒng)的不確定性威脅。用基于動態(tài)異構(gòu)冗余（DHR）的一體化技術(shù)架構(gòu)集約化地實(shí)現(xiàn)上述目標(biāo)。2023/2/10網(wǎng)絡(luò)攻防技術(shù)739.3.2動態(tài)防御1.動態(tài)防御主要思想（2）網(wǎng)絡(luò)空間擬態(tài)防御

CMD的基本概念可以簡單歸納為“五個一”：一個公理，“人人都存在這樣或那樣的缺點(diǎn)，但極少出現(xiàn)在獨(dú)立完成同樣任務(wù)時，多數(shù)人在同一個地方、同一時間、犯完全一樣錯誤的情形”；一種架構(gòu)，動態(tài)異構(gòu)冗余架構(gòu)；一種運(yùn)行機(jī)制，“去協(xié)同化”條件下的多模裁決和多維動態(tài)重構(gòu)機(jī)制；一個思想，“移動攻擊表面”（MAS）思想；一種非線性安全增益，純粹通過架構(gòu)內(nèi)生機(jī)理獲得的擬態(tài)防御增益（MDG）。2023/2/10網(wǎng)絡(luò)攻防技術(shù)749.3.2動態(tài)防御1.動態(tài)防御主要思想（3）動態(tài)賦能網(wǎng)絡(luò)空間防御

動態(tài)賦能網(wǎng)絡(luò)空間防御將“變”的思想應(yīng)用于網(wǎng)絡(luò)空間防御體系中，提出動態(tài)賦能理念，在不可預(yù)測性的基礎(chǔ)上，將“變”的思想進(jìn)行系統(tǒng)化、體系化的應(yīng)用，通過動態(tài)變化的技術(shù)機(jī)理和體系，制造網(wǎng)絡(luò)空間的“迷霧”，使攻擊者找不到攻擊目標(biāo)、接入路徑和系統(tǒng)漏洞，以期徹底改變安全防護(hù)工作長期以來的被動局面。2023/2/10網(wǎng)絡(luò)攻防技術(shù)759.3.2動態(tài)防御1.動態(tài)防御主要思想（3）動態(tài)賦能網(wǎng)絡(luò)空間防御

使得攻擊者在攻擊信息系統(tǒng)時達(dá)到以下效果的一部分或者全部：①難以發(fā)現(xiàn)目標(biāo)；②發(fā)現(xiàn)錯誤目標(biāo)；③發(fā)現(xiàn)目標(biāo)而不可實(shí)施攻擊；④實(shí)施攻擊而不可持續(xù)；⑤實(shí)施攻擊但很快被檢測到。任何適應(yīng)以上范疇的技術(shù)都可以隸屬到動態(tài)賦能網(wǎng)絡(luò)安全防御技術(shù)的范疇。2023/2/10網(wǎng)絡(luò)攻防技術(shù)769.3.2動態(tài)防御2.動態(tài)防御主要技術(shù)動態(tài)防御的每一種技術(shù)都是以保護(hù)信息系統(tǒng)中的某種實(shí)體為目的。一般來說，信息系統(tǒng)中的實(shí)體主要包括軟件、網(wǎng)絡(luò)節(jié)點(diǎn)、計(jì)算平臺、數(shù)據(jù)等。為此，動態(tài)防御技術(shù)也可主要分為軟件動態(tài)防御技術(shù)、網(wǎng)絡(luò)動態(tài)防御技術(shù)、平臺動態(tài)防御技術(shù)和數(shù)據(jù)動態(tài)防御技術(shù)四種。2023/2/10網(wǎng)絡(luò)攻防技術(shù)779.3.2動態(tài)防御2.動態(tài)防御主要技術(shù)2023/2/10網(wǎng)絡(luò)攻防技術(shù)789.3.2動態(tài)防御2.動態(tài)防御主要技術(shù)（1）軟件動態(tài)防御技術(shù)

軟件動態(tài)防御技術(shù)指動態(tài)更改應(yīng)用程序自身及其執(zhí)行環(huán)境的技術(shù)，包括更改指令集、內(nèi)存空間分布以及更改程序指令或其執(zhí)行順序、分組或格式等。相關(guān)技術(shù)主要有地址空間布局隨機(jī)化技術(shù)、指令集隨機(jī)化技術(shù)、就地代碼隨機(jī)化技術(shù)、軟件多態(tài)化技術(shù)和多變體執(zhí)行技術(shù)等。2023/2/10網(wǎng)絡(luò)攻防技術(shù)799.3.2動態(tài)防御2.動態(tài)防御主要技術(shù)（2）網(wǎng)絡(luò)動態(tài)防御技術(shù)

網(wǎng)絡(luò)動態(tài)防御技術(shù)指在網(wǎng)絡(luò)層面實(shí)施動態(tài)防御，具體是指在網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)資源、網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)絡(luò)業(yè)務(wù)等網(wǎng)絡(luò)要素方面，通過動態(tài)化、虛擬化和隨機(jī)化方法，打破網(wǎng)絡(luò)各要素靜態(tài)性、確定性和相似性的缺陷，抵御針對目標(biāo)網(wǎng)絡(luò)的惡意攻擊，提升攻擊者網(wǎng)絡(luò)探測和內(nèi)網(wǎng)節(jié)點(diǎn)滲透的攻擊難度。2023/2/10網(wǎng)絡(luò)攻防技術(shù)809.3.2動態(tài)防御2.動態(tài)防御主要技術(shù)（2）網(wǎng)絡(luò)動態(tài)防御技術(shù)

相關(guān)技術(shù)主要有動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)、網(wǎng)絡(luò)地址空間隨機(jī)化分配技術(shù)、端口跳變技術(shù)、地址跳變技術(shù)、路徑跳變技術(shù)、端信息跳變防護(hù)技術(shù)及基于覆蓋網(wǎng)絡(luò)的相關(guān)動態(tài)防護(hù)技術(shù)等。2023/2/