第 9 章 网络安全新技术及应用

本章学习学习目标 随着现代信息技术及通信网络技术的迅猛发展，近年来

出现了可信计算、蜜罐网络等安全技术，从崭新的角度来解决网络安全问题。通过本章的学习使学生了解可信计算的基本功能和体系结构，电子取证的概念基本特征以及取证过程，蜜罐网络和基本特征，最后了解安全评估的基本准则及步骤。

本章知识点 可信计算体系结构和功能 电子取证的概念、特征及计算机取证步骤 蜜罐网络的发展、基本特征和体系架构 安全风险评估的基本准则及步骤

23/4/21 2

第 9 章 网络安全新技术及应用

9.1 可信计算9.2 电子取证技术9.3 蜜罐网络技术9.4 信息安全风险评估

23/4/21 3

9.1 可信计算

9.1.1 可信计算发展历程 可信计算技术的发展历程可以分为以下四个阶

段 : 1. 20 世纪 70 年代初期， J.P.Anderson 首次提出可

信系统（ Trusted System ）概念。 2. 20 世纪 80 年代初期，美国国防部提出了可信计算机

系统安全的评价准则 TCSEC ，这就是安全领域著名的橙皮书，其中包括可信计算基的概念。

3. 本世纪初，由 Intel 、 Compaq 、 HP 、 IBM 等国际著名 IT 公司联合组建了’’可信计算平台联盟”。 2002 年初微软提出了“可信赖的计算”

4. 2003 年 4 月， TCPA 被重组为“可信计算组织” ( 简称 TCG ）。

9.1.2 可信计算的概念及本质

9.1.2 可信计算的概念及本质 1. 概念 目前关于“可信”的概念，并没有一个公认的定义，但在不同文献中所定义的可信基本特征是一致的。代表性的概念解释有 4 种。

2. 本质 依据 TCG 的观点，可信计算的本质为：通过增强现有的终端体系结构的安全性来保证整个系统的安全，从终端安全启动到关键组件

23/4/21 4

9.1.2 可信计算的概念及本质

运行时可信，不断地延伸信任链，最后通过可信的网络连接将信任域推广到整个网络。

23/4/21 5

9.1.3 可信计算平台基本属性与功能

1. 基本属性 （ 1 ）用户身份的唯一性，用户工作空间的完整性与私有性；

（ 2 ）硬件环境配置、 OS 内核、服务及应用程序的完整性；

（ 3 ）存储、处理、传输信息的保密性和完整性 2. 基本功能 （ 1 ）保护能力

23/4/21 6

9.1.3 可信计算平台基本属性与功能

（ 2 ）完整性度量 （ 3 ）完整性存储 （ 4 ）完整性报告 9.1.4 可信平台芯片模块 (TPM) 9.1.5 可信 PC 软件体系架构 9.1.6 可信网络连接 可信网络连接（简称 TNC ），本质上就是要从终端的完整性开始，建立安全的网络连接。

23/4/21 7

9.1.3 可信计算平台基本属性与功能

首先，需要创建一套在可信网络内部系统运行状况的策略，然后只有遵守网络设定策略终端才能访问网络，网络将隔离和定位那些不遵守策略的设备。

TNC框架主要提供如下功能： 1. 平台认证 2. 终端安全策略 3. 访问策略

23/4/21 8

9.1.3 可信计算平台基本属性与功能

4. 评估、隔离及补救 TNC 的架构分为三类实体：请求访问者、策略执行者、策略定义者。

TNC 体系架构在纵向分为三个层次，从下到上为：

1. 网络访问层 2. 完整性评估层 3. 完整性度量层

23/4/21 9

9.1.7 可信计算所面临的挑战

目前，可信计算技术正逐步走向成熟，其中所存在的主要问题及面临的挑战如下：

1.TPM 安全性与测评 2. 信任基础设施构建研究 3.远程证明中平台隐私保护研究

23/4/21 10

9.2 电子取证技术

9.2.1 电子取证技术概述 在国外打击计算机犯罪已有二三十年的历史，对计算

机取证的技术研究、专门工具软件的开发以及相关商业服务出现始于 90 年代中后期，出现了许多专门的计算机取证部门、实验室和咨询服务公司。

我国的计算机普及与应用起步较晚，有关计算机取证的研究与实践工作也仅有 10 年的历史，计算机取证相关行业却取得了长足进步，各个省市都建立了专门打击计算机犯罪的网络警察队伍。

根据电子证据的来源，电子证据可以分成两类：主机电子取证和网络电子取证。

23/4/21 11

9.2.1 电子证据特点和取证原则

电子证据具有以下特性： 1 、高科技性 2 、易破坏性 3 、隐蔽性 4 、表现形式的多样性 5 、能被精确复制 6 、可恢复性

23/4/21 12

9.2.2 电子证据特点和取证原则 电子证据的取证原则： 1. 保持数据的原始性 2. 保持数据在分析和传递过程中的完整性 3. 保持证据连续性 4. 取证过程的可认证性 5. 取证过程和结论可重现

23/4/21 13

9.2.3 静态取证技术

9.2.3静态取证技术 1. 静态取证步骤 共分为 5 个步骤 2. 静态取证系统结构 3. 静态取证的关键技术 （ 1 ）磁盘映像拷贝技术 （ 2 ）数据恢复技术 （ 3 ）证据分析技术 （ 4 ）加密解密技术

23/4/21 14

9.2.4 动态取证技术

网络动态电子取证技术，在是取证人员取得授权的情况下，将取证设施部署于犯罪者最可能经过的网络，利用已掌握的犯罪特征，从网络中过滤出正在实施的犯罪，因此基于网络的动态取证属于犯罪过程中取证，更有利于及时抓捕犯罪分子，降低其社会危害。

动态取证的证据主要包括两部分，其一是实施犯罪的原始网络数据，另一则是实施犯罪的网络数据在经过的网络设备和目标系统中留下的检测信息、各种日志等。

网络动态电子取证的过程

23/4/21 15

9.2.5 电子取证相关工具 9.2.5 电子取证相关工具 1. EnCase 软件 Encase 软件由美国 Software Guidance 公司研发

，是一个基于 Windows 操作系统的取证应用程序，为目前使用最为广泛的计算机取证工具。

2. Forensic Toolkit

Forensic Toolkit 由美国 Access Data 公司研发，是一系列基于命令行的工具包，是美国警方标准配备。

3. TCT

为了协助计算机取证而设计的软件包。

23/4/21 16

23/4/21 17

9.3 蜜罐网络技术

9.3.1 蜜网的概念与发展历程 9.3.2 蜜网技术的特点 9.3.3 蜜网的局限性 9.3.4 蜜网体系的核心机制 9.3.5 第一代蜜网技术 9.3.6 第二代蜜网技术 9.3.7 虚拟蜜网技术 9.3.8 第三代蜜网技术 9.3.9 蜜网应用实例 9.3.10 蜜网技术展望

9.3.1 蜜网的概念与发展历程

9.3.1 蜜网的概念与发展历程 1. 蜜网概念 2. 发展历程 蜜网技术的发展主要经历三个阶段 : （ 1 ）第一代蜜网技术 (1999-2001 年 ) ：蜜网早期研究关注于验证蜜网理论，试验蜜网模型。

（ 2 ）第二代蜜网技术 (2002-2004 年 ) ：从早期的验证蜜网理论转移到简化蜜网应用。

（ 3 ）第三代蜜网技术（ 2005 年至今）：具有多层次的数据控制机制，全面的数据捕获机制，深层次的数据分析机制以及高效、灵活的配置和管理机制。

23/4/21 18

9.3.2 蜜网技术的特点

1. 蜜网是一个网络系统，而并非单一主机。 2. 蜜网作为一种主动防御方式，在主动搜集进攻者情报的基础上，事先做好预警和准备，把进攻者的攻击扼杀于萌芽状态，最少是可以降低攻击者进攻的有效性。

3. 蜜网除了主动防御黑客攻击外，也可以了解自身的安全状况。

4. 蜜网是为了了解攻击者的信息而设计的。

23/4/21 19

9.3.3 蜜网的局限性

9.3.3 蜜网的局限性1. 蜜网的最大局限性是有限的观察能力，它仅能监听与

分析针对蜜网内部蜜罐的攻击行为。2. 蜜网虽然具有观察、捕获、学习攻击的能力，但学习

到新的攻击方法仍及时需要补充到入侵检测系统的知识库中，这样才能提高入侵检测的性能和整个系统的安全性。

3. 蜜网是一种有效的主动防御技术，它的优势是传统的被动防御手段所无法比拟的，但是我们也不能忽视蜜网的实施给系统安全所带来的风险。（三类风险）

23/4/21 20

9.3.4 蜜网体系的核心机制

蜜网体系通常具有三种核心机制：数据控制、数据捕获和数据采集，它们一起协同工作用来实现蜜网主动防御的核心价值和功能，并有效地降低系统风险。

1. 数据控制：目的是确保蜜网中被攻陷的蜜罐主机不会被利用攻击蜜网之外的其他主机。

2.数据捕获：目的是在黑客无察觉的状态下捕获所有活动与攻击行为所产生的网络通信量，从而才能进一步分析黑客的攻击目的、所使用的策略与攻击工具等

3 、数据采集：目的是针对预先部署的具有多个逻辑或物理的蜜网所构成的分布式蜜网体系结构，对捕获的黑客行为信息进行收集。

23/4/21 21

9.3.5 第一代蜜网技术

第一代蜜网技术产生于 1999 年，它是第一个可以实现真正交互性的蜜罐，并且在捕获大量信息以及未知攻击方式方面优于传统的蜜罐方案。

1.数据控制：在第一代蜜网体系结构中，数据控制机制是由防火墙、入侵检测系统和路由器共同联动实现

2. 数据捕获：从多个层次、多个数据源中捕获数据，将会掌握更多的黑客攻击行为。

3. 第一代蜜网体系架构属于单个部署的蜜网，因此除了在蜜网本身内部的数据管理之外，数据采集机制在这里没有体现。

23/4/21 22

9.3.6 第二代蜜网技术

第二代蜜网技术与第一代蜜网相比，在系统灵活性、可管理性和安全性等方面都有所改进 .

1.数据控制机制的改进 2.数据捕获机制的改进

23/4/21 23

9.3.7 虚拟蜜网技术

目前可以将虚拟蜜网体系结构细分为两类：自治型虚拟蜜网和混杂型虚拟蜜网。

1. 自治型虚拟蜜网 它是将整个蜜网系统在一台物理机器上集中实

现，包括用于完成数据控制和数据捕获的二层网关和多个虚拟蜜罐。

2. 混杂型虚拟蜜网 多个蜜罐仍然在另一个机器上基于虚拟机技术

在不同的客户操作系统上运行。

23/4/21 24

9.3.8 第三代蜜网技术

1. 数据控制机制 第三代蜜网体系结构中在蜜网网关上使用了多层次的数据控制机制。

2. 数据捕获机制 第三代蜜网体系结构中主要结合 Argus （流监视器）、 Snort （入侵检测系统）、 p0f （被动操作系统识别器）、 Sebek （数据收集器）等关键组件对黑客攻击行为进行多层次捕获。

3. 数据集中与分析机制

23/4/21 25

9.3.9 蜜网应用实例

本节给出一个基于第三代蜜网技术的应用实例，介绍蜜网体系结构在安全局域网的主动防御中的具体应用与部署。

23/4/21 26

9.3.10 蜜网技术展望

密网技术经过近十年的发展，具有主动防御的显著特点，但在核心机制上还不够完善，有待于进一步的改进。

1. 有效地提高蜜网的三种关键核心机制 . 2. 增强蜜网体系的跨平台能力 3. 需要平衡高交互能力和高风险两者之间的矛盾 4.确保蜜网体系的可生存性值得进一步地探索。 5. 拓展蜜网技术的应用背景，使其能够面向多种通

信网络环境，发挥其主动防御的能力。

23/4/21 27

9.4 信息安全风险评估 人们对信息安全内涵的认识不断深入，从最初的信息保

密性发展到了信息的完整性、可用性、可控性和不可否认性，进而又提出和发展了“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”众多方面基础理论和专业技术，其中信息安全风险评估逐渐成为安全管理领域的一个重要手段和工具。

信息安全是一个动态的复杂过程，贯穿信息资产和信息系统的整个生命周期，是信息安全管理的基础和关键环节，必须按照风险管理思想，对可能的威胁、脆弱性和需要保护的信息资产进行分析，依据风险评估结果对信息系统选择适当的安全措施，以妥善应对可能面对的威胁和可能发生的风险，有针对性进行管理。

9.4.1 信息安全风险评估的概念1 、信息安全风险评估的定义 信息安全风险评估是从风险管理角度，运用定性、定量

的科学分析方法和手段，系统地分析信息和信息系统等资产所面临的人为的和自然的威胁，以及威胁事件一旦发生系统可能遭受的危害程度，有针对性地提出抵御威胁的安全等级防护对策和整改措施，从而最大限度地减少经济损失和负面影响。

9.4.1 信息安全风险评估的概念

2 、相关概念 资产 (Asset) 资产价值（ Asset Value ） 信息安全风险（ Information Security Risk ） 信息安全风险评估（ Information Security Risk Assessment ） 威胁（ Threat ） 脆弱性（ Vulnerability ） 安全事件（ Security Event ） 安全措施（ Security Measure ） 安全需求（ Security Requirement ） 残余风险（ Residual Risk ）

9.4.1 信息安全风险评估的概念

3 、风险评估的基本要素及关系

脆弱性 资产

业务战略

资产价值

威胁 风险 安全需求

安全事件 残余风险 安全措施

依赖

暴露 具有

利用 增加

增加

未被满足成本

导出

演变 抵御 减低

可能诱发 未控制

被满足

9.4.2 信息安全风险评估的发展历程

第一个阶段（ 20 世纪 60~70 年代），以计算机为对象的信息保密阶段。

第二个阶段（ 20 世纪 80~90 年代），以计算机和网络为对象信息安全保护阶段。

第三个阶段（ 20 世纪 90 年代末至今），以信息系统关键基础设施为对象的信息保障阶段。

9.4.3 我国在信息安全风险评估方面的政策和工作

进入 21 世纪，我国的风险评估工作取得了较快的发展，中办发 [2003]27 号文件“国家信息化领导小组关于加强信息安全保障工作的意见”明确提出“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防范措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理”。

2004 年 1 月首次全国信息安全保障工作会议要求“抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范，并组织力量提供技术支持。

9.4.3 我国在信息安全风险评估方面的政策和工作

2003 年 7 月委托国家信息中心组建成立了“信息安全风险评估课题组”

2004 年 9 月，“信息安全风险评估规范”和“信息安全风险管理指南”两个标准的初稿完成

2005 年，有国务院信息办组织，在北京、上海、黑龙江、云南、人民银行、国家税务总局、国家电力总公司和国家信息中心开展风险评估的试点工作

2006 年 1 月国务院信息化办公室下发了“关于开展信息安全风险评估工作的意见”，明确了信息安全风险评估工作的基本内容和原则，对风险评估工作提出了要求

9.4.4 信息安全风险评估的参考流程

准备和计划

资产评估

威胁评估安全控制措施评估脆弱性评估

影响 可能性

评价风险

推荐对策

汇报及验收

准备阶段

识别阶段

分析阶段

验收阶段

图 9-12 信息安全风险评估的参考流程图

9.4.5 威胁识别

威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。

1 、威胁识别2 、威胁分类3 、威胁赋值

9.4.6 脆弱性识别

脆弱性是指资产中可能被威胁所利用的弱点。 1 、脆弱性识别 问卷调查

工具检测 人工检查

文档查阅

渗透性测试 2 、脆弱性赋值

通用弱点评价体系（ CVSS ） 目前业界对脆弱性没有通用统一的评价体系标准，因此不同的评价方法对统一脆弱性进行评估的差异也比较大

通用弱点评价体系（ CVSS ）是由 NIAC开发、 FIRST维护的一个开放并且能够被产品厂商免费采用的标准。 CVSS 最早于 2005 年 2 月 23日被公开发布于美国国土安全部的网站上，可以参考该标准对脆弱性进行评分。

9.4.7 风险分析计算

完成了资产识别、威胁识别、脆弱性识别以及对已有安全措施的识别和确认之后，应进入风险分析阶段，该

阶段的主要任务就是完成风险的分析和计算。 风险计算方法分为 :

定量计算　　　　定性计算

9.4.7 风险分析计算　　　考虑已有控制措施因素后的当前资产风险（ Risk

），可以按照以下公式进行定性计算：

　　　　

　　　　其中， A ：资产价值（ Asset Value ）， Tx：综合威胁来源和影响程度后的最终威胁值（ Threat）， V ：脆弱性值（ Vulnerability ）， Px：为已有控制措施针对资产所面临每一特定威胁进行保护的有效性，是一个从 0 到 100%之间的一个数值， x ：为单个资产面对的某一个威胁。