【正文】 ? 網(wǎng)絡(luò)安全問題本身具有動態(tài)性特點：今天的安全問題到明天也許不再稱為問題；而今天不為人們關(guān)注的環(huán)節(jié)，明天可能稱為嚴重的安全威脅。 ? 目前，我國針對信息網(wǎng)絡(luò)安全的屬于行政法規(guī)的有 《 電信條例 》 、《 商用密碼管理條例 》 、 《 計算機信息系統(tǒng)安全保護條例 》 、《 計算機軟件保護條例 》 等 5個。例如，在訴訟法、刑法、行政法等法律中規(guī)定與網(wǎng)絡(luò)相關(guān)的內(nèi)容。 ? 這種規(guī)定，是維護網(wǎng)絡(luò)世界正常關(guān)系的必要條件，是網(wǎng)絡(luò)主體正當行使網(wǎng)絡(luò)權(quán)利、履行網(wǎng)絡(luò)義務和依法實施網(wǎng)絡(luò)行為的法律保障。 ? 進一步加強互聯(lián)網(wǎng)管理，創(chuàng)建安全、健康、有序的網(wǎng)絡(luò)環(huán)境。 ? 信息安全標準化工作是一個國際性的工作，共性的問題多于個性，本著積極采用國際標準的原則，適時地轉(zhuǎn)化了一些國際信息安全基礎(chǔ)技術(shù)標準為我國信息化建設(shè)服務，會對中國的信息安全技術(shù)起到一個快速發(fā)展的作用。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 89 我國信息安全標準化的現(xiàn)狀 ? 目前，我國按照國務院授權(quán)，在國家質(zhì)量監(jiān)督撿驗撿疫總局管理下，由國家標準化管理委員會統(tǒng)一管理全國標準化工作，下設(shè)有 255個專業(yè)技術(shù)委員會。 ? 在信息安全標準化方面，主要與 ISO聯(lián)合成立了JTC1下分委員會外，還在電信、電子系統(tǒng)、信息技術(shù)和電磁兼容等方面成立技術(shù)委員會，如 TC56可靠性、 TC74 IT設(shè)備安全和功效、 TC77 電磁兼容、 TC 108音頻 /視頻、信息技術(shù)和通訊技術(shù)電子設(shè)備的安全等，并制定相關(guān)國際標準，如信息技術(shù)設(shè)備安全（ IEC 60950）等。 ? 對于特定的人員要進行特定的安全培訓。 ?為了保證安全的成功和有效，高級管理部門應當對組織各級管理人員、用戶、技術(shù)人員進行安全培訓。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 78 動態(tài)安全防御體系 (3) ? 目前黑客攻擊的方式具有高技巧性、分散性、隨機性和局部持續(xù)性的特點，因此即使是多層面的安全防御體系，如果是靜態(tài)的，也無法抵御來自外部和內(nèi)部的攻擊。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 73 IDS技術(shù)的發(fā)展趨勢 (3) ? 此外，實時監(jiān)測網(wǎng)絡(luò)流量并及時發(fā)現(xiàn)攻擊行為，亦是 IDS的一項基本特征。加強攻擊檢測是減少 “ 漏報 ” 和 “ 誤報 ” 現(xiàn)象的首要手段。不僅應該能夠檢測盡可能多的間諜軟件，毫無殘留地消除 “ 間諜 ” 在系統(tǒng)每一個角落中留下的殘渣余孽，避免死灰復燃，還應該安裝和部署簡便，可以方便地升級間諜軟件特征表。應對間諜軟件的首要任務就是要有一個清晰的標準來定義什么是間諜軟件，然后以此為準繩進行判斷和查殺。 ? 組建安全聯(lián)盟，形成一個大的安全體系，自己成為其中一個基石。 ? 隨著應用的增多和對安全性要求的提高，對這種開放端口的服務器同樣需要保護，在網(wǎng)絡(luò)層狀態(tài)檢查的基礎(chǔ)上需要擴展到應用層的狀態(tài)檢查，從而對暴露在網(wǎng)絡(luò)中的服務器進行保護。而針對這些協(xié)議，用戶需要進行控制。在性能不能解決的情況下，選擇 NP是必然的做法。也就是說迫使郵件發(fā)送者只能從正常渠道，以正常方式發(fā)送郵件，從而使得郵件的發(fā)送處于受控狀態(tài)。 ? 依賴關(guān)鍵字規(guī)則判別垃圾郵件，導致誤判率較高，垃圾郵件識別準確性低，效果差 。 ?基于行為的反防毒保護并不依靠一對一的簽名校對來實現(xiàn)惡性代碼的識別，而是通過檢查病毒及蠕蟲的共有特征發(fā)現(xiàn)可能的惡性軟件。每個Inter系統(tǒng)遭受攻擊的可能性取決于連接到全球 Inter上其他系統(tǒng)的安全狀態(tài)。新發(fā)現(xiàn)的各種系統(tǒng)與網(wǎng)絡(luò)安全漏洞每年都要增加一倍，每年都會發(fā)現(xiàn)安全漏洞的新類型，這些漏洞在補丁未開發(fā)出來之前很難防御攻擊者的破壞。 ? 傳播攻擊階段 ：以前依靠人工啟動攻擊軟件工具發(fā)起的攻擊，現(xiàn)在發(fā)展到由攻擊工具本身只能發(fā)起新的攻擊。手機漏洞挖掘技術(shù)的發(fā)展，也將促進這一領(lǐng)域內(nèi)手機病毒的大量滋生。 2023年，垃圾郵件事件依然在以驚人的速度增長，垃圾郵件廠商與反垃圾郵件廠商究竟是一起賺錢，或者能拼出個高下，尚無從得知，斗爭依然熱鬧非凡。 ? 據(jù)湖北省公安廳估算，被 “ 熊貓燒香 ” 病毒控制的 “ 網(wǎng)絡(luò)僵尸 ” 數(shù)以百萬計，按其訪問流量付費的網(wǎng)站，一年下來可為整個 “ 燒香 ” 入侵之后一整套 “ 推廣 ” 網(wǎng)絡(luò)累計獲利數(shù)千萬元。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 26 網(wǎng)絡(luò)安全面臨的新挑戰(zhàn) ?針對網(wǎng)絡(luò)安全的挑戰(zhàn)更是層出不窮，下面列出了目前網(wǎng)絡(luò)安全面臨的幾大問題： ? 更多網(wǎng)絡(luò)犯罪直接以經(jīng)濟利益為目的 ? 拒絕服務攻擊泛濫 ? 垃圾郵件與反垃圾郵件之間的斗爭愈演愈烈 ? 惡意軟件橫行， web攻擊頻發(fā) ? 對非 PC設(shè)備（例如手機）的威脅增加 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 27 更多網(wǎng)絡(luò)犯罪直接以經(jīng)濟利益為目的 ? 最吸引國人眼球的應該是騰訊， 2023年兩次 大規(guī)模無法使用，尤其是此后影影綽綽的勒索傳言，有人驚呼：中國網(wǎng)絡(luò)恐怖主義誕生了。因此，許多人干脆拿它來當作遠程控制軟件來進行合法的網(wǎng)絡(luò)管理。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 22 分布式拒絕服務攻擊的啟示 ? 從雅虎遭到強大的 DDoS攻擊中得到的啟示： ? 要阻止這種攻擊關(guān)鍵是網(wǎng)絡(luò)出口反欺騙過濾器的功能是否強大。病毒會刪除擴展名為 .gho的文件，使用戶的系統(tǒng)備份文件丟失。 ?為阻斷惡意蠕蟲的傳播，往往需要在和廣域網(wǎng)的接口之間設(shè)置過濾器，或者干脆暫時斷開和廣域網(wǎng)的連接。 ? 當時傳言尼姆達病毒的散布為了試探美國對網(wǎng)絡(luò)恐怖襲擊的快速反應能力，一些安全專家甚至喊出了“ 我們現(xiàn)在急需制定另一個 ‘ 曼哈頓計劃 ’ ，以隨時應對網(wǎng)絡(luò)恐怖主義 ” 的口號，由此可見尼姆達在當時給人們造成的恐慌。 ?信息安全組織和專業(yè)人士紛紛迅速行動起來，使用蜜罐 (honeypots)技術(shù)從因特網(wǎng)上捕獲數(shù)據(jù)包進行分析，最終發(fā)現(xiàn)這是一利用微軟 IIS緩沖溢出漏洞進行感染的變種蠕蟲。第 12章 網(wǎng)絡(luò)安全發(fā)展與未來 張玉清 國家計算機網(wǎng)絡(luò)入侵防范中心 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 2 本章內(nèi)容安排 ? 網(wǎng)絡(luò)安全現(xiàn)狀與挑戰(zhàn) ? 網(wǎng)絡(luò)安全的發(fā)展趨勢 ? 網(wǎng)絡(luò)安全與法律法規(guī) ? 小結(jié) 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 3 網(wǎng)絡(luò)安全現(xiàn)狀與挑戰(zhàn) ? 網(wǎng)絡(luò)安全現(xiàn)狀 ? 網(wǎng)絡(luò)安全面臨的新挑戰(zhàn) 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 4 網(wǎng)絡(luò)安全現(xiàn)狀 ?過去的數(shù)年中，互聯(lián)網(wǎng)遭受了一波又一波的攻擊 ——傳播速度超快、影響范圍廣泛、造成損失巨大的惡意攻擊不斷出現(xiàn)。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 10 紅色代碼 (2) ?其實這一安全漏洞早在一個月以前就已經(jīng)被eEye Digital Security發(fā)現(xiàn)，微軟也發(fā)布了相應的補丁程序，但是卻很少有組織和企業(yè)的網(wǎng)絡(luò)引起了足夠的重視，下載并安裝了該補丁。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 15 尼姆達 (2) ?尼姆達病毒是在早上 9： 08發(fā)現(xiàn)的，它明顯地比紅碼病毒更快、更具有摧毀功能，半小時之內(nèi)就傳遍了整個世界。 ?在電子郵件客戶端和網(wǎng)絡(luò)瀏覽器中禁止任意腳本的執(zhí)行對網(wǎng)絡(luò)安全性來說是很關(guān)鍵的。 ? 具有極強的變種能力，僅兩個多月的時間，變種就多達 70余種。也就是說如果你的 Web服務器收到的數(shù)據(jù)包的源 IP地址是偽造的話，你的邊界路由器或防火墻必須能夠識別出來并將其丟棄。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 24 遠程控制特洛伊木馬后門 (2) ? BO的成功后來也迅速地帶動和產(chǎn)生了許多類似的遠程控制工具，像 SubSeven， NetBus， HackaTack 和 Back Orifice 2023 (BO2K)等。 ? 傳言畢竟只是傳言，相比之下，一群巴西網(wǎng)絡(luò)銀行駭客的落網(wǎng)或許更能讓你真切感受到網(wǎng)絡(luò)犯罪離你多近，僅僅一年多的時間，他們從銀行中竊取了大約 2758萬美元 …… ? 依稀能看見商業(yè)間諜、軍事間諜或者是一群僅僅為了金錢徹夜不眠地進行攻擊攻擊再攻擊的人們 …… 勿庸置疑，這些事實僅僅是冰山一角。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 31 職業(yè)黑客的網(wǎng)絡(luò)時代 ? “300元，兩天之內(nèi)破解一個電子郵箱； 1000元，攻擊一次或一個服務器 ……” ? 這個價錢是一個職業(yè)黑客開出的價錢。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 35 惡意代碼橫行， web攻擊頻發(fā) ? MYDOOM/Netsky/Bagle/震蕩波 /SCO炸彈/尾巴 /MSN射手等一系列新病毒和蠕蟲的出現(xiàn)，造成了巨大的經(jīng)濟損失。顯然，手機等這類移動終端的安全問題，正面臨著嚴峻的考驗。 ? 攻擊工具協(xié)調(diào)管理階段 ：隨著分布式攻擊工具的出現(xiàn)，攻擊者可以容易地控制和協(xié)調(diào)分布在 Inter上的大量已部署的攻擊工具。 ? 網(wǎng)絡(luò)安全管理員需要不斷用最新的補丁修補相應漏洞。 ? 由于攻擊技術(shù)水平的進步，一個攻擊者可以比較容易地利用那些不安全系統(tǒng)，對一個受害者發(fā)動破壞性的攻擊。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 49 病毒防御技術(shù)發(fā)展趨勢 (3) ?采用這一技術(shù)的優(yōu)勢在于：該技術(shù)可識別未知的病毒，以抵御“零日”攻擊。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 52 傳統(tǒng)反垃圾郵件難以克服的問題 (2) ?系統(tǒng)自維護能力差，管理員維護大量規(guī)則庫，工作量大； ?信件必須接收完整才能進行內(nèi)容過濾，導致國際網(wǎng)絡(luò)流量費用高； ?通過拆信檢查內(nèi)容的方式進行反垃圾郵件，侵犯了公民電子郵件通信自由權(quán)和隱私權(quán)，這種內(nèi)容過濾技術(shù)將受到廣泛的法律質(zhì)疑。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 56 防火墻技術(shù)發(fā)展趨勢 ?目前的防火墻已經(jīng)不僅僅只是進行狀態(tài)檢測，還需提供更多的安全功能，從各個方面對網(wǎng)絡(luò)安全威脅進行防護，主動擴大戰(zhàn)線。 ? 但不管是 IBM，還是 Intel的 NP，一個主要問題是開發(fā)成本太高，代碼的開發(fā)難度和進度都不是普通公司能夠短期搞定的，而帶來的維護成本和對客戶的響應速度都是很大的問題。比如，需要控制用戶不能訪問非法網(wǎng)址，帶有惡意信息的報文不能進入內(nèi)網(wǎng)。 ? 這種趨勢會產(chǎn)生一系列的應用層安全網(wǎng)關(guān)，比如Web安全網(wǎng)關(guān)、語音安全網(wǎng)關(guān)等專用協(xié)議網(wǎng)關(guān)。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 65 VPN功能集成 ? 從廠商的角度來說，希望一個環(huán)境中既使用 VPN設(shè)備，又使用防火墻。但難點恰巧是這個標準很難定義。 ? 好的反間諜工具應該提供迅捷明了的狀態(tài)顯示報告，可以讓用戶及時了解間諜軟件給公司造成多大的損害，最大的風險和威脅在哪里。過去，攻擊檢測是 IDS的全部?，F(xiàn)在的 IDS產(chǎn)品增加了對網(wǎng)絡(luò)實時監(jiān)控和診斷功能，尤其是增加了掃描器，能對全網(wǎng)絡(luò)進行主動掃描，實時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常，并給出詳細的檢測報告。 ? 只有將眾多的攻擊手法進行搜集、歸類、分析、消化、綜合，將其體系化，才有可能使防御系統(tǒng)與之相匹配、相耦合，以自動適應攻擊的變化，從而形成動態(tài)的安全防御體系。 ?所有的組織人員必須了解