【正文】 新一代 NP技術(shù) ? NP是網(wǎng)絡(luò)處理器（ Net Processor）的簡稱，顧名思義， NP是專門設(shè)計用于網(wǎng)絡(luò)封包處理的一種處理器，作為被業(yè)內(nèi)普遍推崇的一種革命性技術(shù)，NP至今尚未能達到人們預(yù)期的應(yīng)用水平。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 59 新一代 NP技術(shù) (3) ? 這兩年推出的新一代網(wǎng)絡(luò)業(yè)務(wù) NP，通過直接集成多個通用 CPU在一個處理器中，既可以保證高性能，又能借助軟件的靈活性處理高層業(yè)務(wù)數(shù)據(jù)。 ? 而這些功能，僅僅依靠傳統(tǒng)防火墻技術(shù)實現(xiàn)的對網(wǎng)絡(luò)層信息進行檢查和判斷，是不能實現(xiàn)的，需要檢查報文中的更深層次的內(nèi)容，于是發(fā)展出了深度檢測技術(shù)。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 63 安全技術(shù)融合 ? 傳統(tǒng)的網(wǎng)絡(luò)層安全技術(shù)，如 NAT、狀態(tài)防火墻、VPN將不再作為專有設(shè)備，網(wǎng)絡(luò)中路由器、交換機性能的提升和硬件構(gòu)架的換代將直接提供網(wǎng)絡(luò)層的安全功能，傳統(tǒng)意義上的防火墻功能可以集成在路由器中。但是，由于 VPN設(shè)備對數(shù)據(jù)的隧道封裝會導(dǎo)致防火墻設(shè)備上對 VPN數(shù)據(jù)檢測出現(xiàn)失準的現(xiàn)象，而同時維護兩套配置策略也是沒有必要的。 ? 通常的定義：任何在計算機用戶不知不覺的情況下，秘密搜集使用者的相關(guān)信息，并將其發(fā)給幕后操縱者的軟件都可以稱之為間諜軟件。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 70 反間諜技術(shù)的應(yīng)用嘗試與發(fā)展 (3) ? 目前，“從什么位置阻擋間諜軟件是最有效的”這個問題還有爭論。 ?而今天，它只是 IDS的一個重要方面。 ? 這種在審計和監(jiān)控等多項功能上得到加強的IDS已經(jīng)超越了傳統(tǒng)意義上的 IDS，是適用于用戶需求、保護用戶網(wǎng)絡(luò)健康的新型 IDS。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 79 加強安全意識與技能培訓(xùn) ?網(wǎng)絡(luò)安全保護的對象由 人創(chuàng)建、由人在用、由人在管 。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 82 加強安全意識與技能培訓(xùn) (4) ? 在安全教育具體實施過程中應(yīng)該有一定的層次性： ? 主管網(wǎng)絡(luò)安全工作的高級負責(zé)人或各級管理人員。 ? 在組織中建立安全文化并容納到整個組織文化體系中才是最根本的解決辦法。SG17組主要研究的有：通信安全項目、安全架構(gòu)和框架、計算安全、安全管理、用于安全的生物測定、安全通信服務(wù)。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 90 我國信息安全標準化的現(xiàn)狀 (2) ? 成立于 1984年的全國信息技術(shù)安全標準化技術(shù)委員會（ CITS），在國家標準化管理委員會和信息產(chǎn)業(yè)部的共同領(lǐng)導(dǎo)下負責(zé)全國信息技術(shù)領(lǐng)域以及與ISO/IEC JTC1相對應(yīng)的標準化工作，目前下設(shè)24個分技術(shù)委員會和特別工作組，是目前國內(nèi)最大的標準化技術(shù)委員會。 ?我們應(yīng)該采取積極的態(tài)度，對國際標準要花大力氣，認真分析、研究，逐步使我國的信息安全標準化工作與國際標準化工作的計劃、速度以及試驗驗證工作接軌。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 97 現(xiàn)有標準 ? 國際上早在 20世紀 70年代就開始信息安全的標準工作。網(wǎng)站和網(wǎng)民究竟有什么權(quán)利和義務(wù)、它們互相之間究竟有什么權(quán)利和義務(wù)，都是急需立法進行規(guī)定的。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 105 用戶的行為規(guī)范 ? Inter最初的教育科研背景對 Inter文化的形成起到了重要的作用，這種文化已經(jīng)規(guī)定了網(wǎng)絡(luò)用戶的行為規(guī)范，要求用戶遵守某些行為規(guī)范。 ? 《 中華人民共和國保守國家秘密法 》 、 《 中華人民共和國標準法 》 、 《 中華人民共和國國家安全法 》 、 《 中華人民共和國商標法 》 、 《 中華人民共和國刑法 》 、 《 中華人民共和國治安管理處罰條例 》 和 《 中華人民共和國專利法 》 等多個法律也增加了涉及到互聯(lián)網(wǎng)管理和信息安全的條款。 ? 網(wǎng)絡(luò)安全管理人員在任何時候都不可掉以輕心，輕信目前網(wǎng)絡(luò)的安全狀態(tài)。 ? 隨著技術(shù)的不斷進步，各種新型網(wǎng)絡(luò)攻擊會不斷出現(xiàn)。因此對用戶網(wǎng)絡(luò)行為的規(guī)范化是網(wǎng)絡(luò)健康合理應(yīng)用的關(guān)鍵問題之一。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 104 網(wǎng)絡(luò)立法的形式 ? 網(wǎng)絡(luò)立法的形式應(yīng)當是： ? 建立一部類似于 《 著作權(quán)法 》 、 《 商標法 》 或 《 專利法 》的法律，用來全面規(guī)定網(wǎng)絡(luò)的法律問題。當前正在制定的關(guān)于對網(wǎng)絡(luò)進行規(guī)制的部門規(guī)章，就是屬于這一部分的內(nèi)容。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 96 明確安全標準化研究方向 ? 扎扎實實地抓好基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)，繼續(xù)推進信息安全等級保護、信息安全風(fēng)險評估、信息安全產(chǎn)品認證認可等基礎(chǔ)性工作。 ? 據(jù)統(tǒng)計，我國從 1985年發(fā)布了第一個有關(guān)信息安全方面的標準以來到 2023年底共制定、報批和發(fā)布有關(guān)信息安全技術(shù)、產(chǎn)品、測評和管理的國家標準 76個，正在制定中的標準 51個，為信息安全的開展奠定了基礎(chǔ)。目前， IETF已成為全球互聯(lián)網(wǎng)界最具權(quán)威的大型技術(shù)研究組織。 ? ISO/IEC JTC1負責(zé)制定標準主要是開放系統(tǒng)互連、密鑰管理、數(shù)字簽名、安全的評估等方面的內(nèi)容。 ? 用戶。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 80 加強安全意識與技能培訓(xùn) (2) ?與安全技術(shù)相比，涉及人的安全管理非常重要，應(yīng)包括安全策略管理、安全組織規(guī)范、資產(chǎn)分類與控制、人員安全管理措施、物理與環(huán)境安全保障、通訊與操作管理程序、訪問控制要求、系統(tǒng)開發(fā)與維護規(guī)程、業(yè)務(wù)連續(xù)性管理辦法和法律法規(guī)一致性規(guī)定等內(nèi)容。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 76 動態(tài)安全防御體系 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 77 動態(tài)安全防御體系 (2) ?靜態(tài)的安全產(chǎn)品不可能解決動態(tài)的安全問題，應(yīng)該使之可定制、可定義、可管理。例如，在恢復(fù) HTTP的通信內(nèi)容時，可恢復(fù)出其中的文本與圖形等信息 。因此，應(yīng)該在網(wǎng)關(guān)處采取防護措施。 ?雖然惡意軟件與傳統(tǒng)病毒存在區(qū)別，但是防范它們的目標是相同的，即保護客戶電腦不受有害軟件的侵擾。 ?防火墻中各個功能的協(xié)調(diào)工作，以及和網(wǎng)絡(luò)中其他硬件、軟件組件的配合聯(lián)動，才能達到真正意義上的智能安全和主動防御。那么，傳統(tǒng)的安全廠商如何發(fā)展？ ? 把自己融合進網(wǎng)絡(luò)設(shè)備廠商。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 62 應(yīng)用狀態(tài)檢測 ? 安全領(lǐng)域中長期依賴、發(fā)揮最大作用的無非是狀態(tài)防火墻，通過協(xié)議狀態(tài)檢測技術(shù)實現(xiàn)數(shù)據(jù)訪問單向流動，從而有效的保護內(nèi)部網(wǎng)絡(luò)不受攻擊。通過對報文網(wǎng)絡(luò)層信息的檢測，來實現(xiàn)在網(wǎng)絡(luò)層上對報文的控制。在能達到同樣性能的情況下，優(yōu)選 CPU，其次是NP，然后是 ASIC。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 55 反垃圾郵件發(fā)展趨勢 (cont.) ? 采用垃圾郵件行為模式識別模型不僅大大提高了垃圾郵件辨別的準確率，而且不需要對信件的全部內(nèi)容進行掃描，所以又可以大大提高計算處理能力，為電信級的郵件過濾打下了堅實的基礎(chǔ)。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 51 傳統(tǒng)反垃圾郵件難以克服的問題 ? 垃圾郵件內(nèi)容變化快，數(shù)量遠遠大于病毒，任何一家安全公司都很難保證樣本采集的數(shù)量和及時性，也就很難保證反垃圾郵件的使用效果和效果的持久性 。 ?企業(yè)要想有效地制止攻擊，行為識別是首選的解決方案。 ? 從黑客攻擊防火墻的過程看，大概可以分為兩類： ? 第一類攻擊防火墻的方法是探測在目標網(wǎng)絡(luò)上安全的是何種防火墻系統(tǒng)，并且找出此防火墻系統(tǒng)允許哪些服務(wù)開放 —— 防火墻的探測攻擊； ? 第二類攻擊防火墻的方法是采取地址欺騙， TCP序列號攻擊等手法繞過防火墻的認證機制，達到攻擊防火墻和內(nèi)部網(wǎng)絡(luò)的目的。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 42 趨勢 3：漏洞發(fā)現(xiàn)、利用速度愈來愈快 ? 安全漏洞是危害網(wǎng)絡(luò)安全的最主要因素，安全漏洞在所有的操作系統(tǒng)和應(yīng)用軟件都是普遍存在的，特別是軟件系統(tǒng)的各種漏洞。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 38 網(wǎng)絡(luò)安全的發(fā)展趨勢 ? 網(wǎng)絡(luò)攻擊的發(fā)展趨勢 ? 防御技術(shù)的發(fā)展趨勢 ? 動態(tài)安全防御體系 ? 加強安全意識與技能培訓(xùn) ? 標準化進程 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 39 網(wǎng)絡(luò)攻擊的發(fā)展 ?通過對大量網(wǎng)絡(luò)攻擊事件的分析和歸納得出，網(wǎng)絡(luò)攻擊技術(shù)正在朝以下幾個方面迅速發(fā)展： ? 趨勢 1：網(wǎng)絡(luò)攻擊階段自動化 ? 趨勢 2：網(wǎng)絡(luò)攻擊工具智能化 ? 趨勢 3：漏洞發(fā)現(xiàn)、利用速度愈來愈快 ? 趨勢 4：防火墻等的滲透率愈來愈高 ? 趨勢 5：安全威脅的不對稱性在增加 ? 趨勢 6：對網(wǎng)絡(luò)基礎(chǔ)設(shè)施產(chǎn)生的破壞力越來越強 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 40 趨勢 1：網(wǎng)絡(luò)攻擊階段自動化 ? 自動化攻擊一般涉及四個階段： ? 掃描階段 ：攻擊者采用各種新出現(xiàn)的掃描技術(shù)（隱蔽掃描、智能掃描、指紋識別等），使得攻擊者能夠利用更先進的掃描模式來改善掃描效果，提高掃描速度。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 36 對非 PC設(shè)備（如手機）的威脅增加 ? 手機的 PC化為手機病毒的制造和傳播準備了基礎(chǔ)，智能手機的加速普及又將降低手機病毒在傳播過程中因為手機制式的不同而形成的障礙， 3G的到來終將引爆無線互聯(lián)網(wǎng)，包括手機病毒在內(nèi)的手機安全問題將日益凸現(xiàn)。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 33 垃圾郵件與反垃圾郵件之間的斗爭愈演愈烈 ? 網(wǎng)絡(luò)服務(wù)商和郵件運營商們紛紛提出了自己的技術(shù)方案：雅虎的 “ DomainKeys”，它利用公 /私鑰加密技術(shù)為每個電子郵件地址生成一個唯一的簽名，實現(xiàn)對郵件發(fā)送者的身份驗證；微軟的 “ 電子郵票 ” 有償發(fā)送郵件方案；而 AOL正在試驗一種名為 “ Sender permitted From”（ SPF）的新電子郵件協(xié)議，禁止通過修改域名系統(tǒng)（ DNS）偽造電子郵件地址；等等 …… ? 但垃圾郵件發(fā)送者并不是坐以待斃，而是主動出擊，繼續(xù)他們沒完沒了的 “ 發(fā)送事業(yè) ” 。 ? 經(jīng)病毒購買者進一步傳播，該病毒的各種變種在網(wǎng)上大面積傳播，通過入侵可盜取證券、銀行、信用卡的賬號，其非法所得通過購買網(wǎng)絡(luò)貨幣，完成 “ 漂白 ” 的洗錢過程；而通過病毒盜取的游戲賬號、虛擬錢幣，則通過中間批發(fā)商直接變現(xiàn)，再進入傳統(tǒng)銷售渠道。 ? 此外，還出現(xiàn)了一種新型功能的木馬 ——“敲詐 ”型木馬，它的主要特點是試圖隱藏用戶文檔，讓用戶誤以為文件丟失，木馬乘機以幫助用戶恢復(fù)數(shù)據(jù)的名義，要求用戶向指定的銀行賬戶內(nèi)匯入定額款項。安裝 BO主要目的是：黑客通過網(wǎng)絡(luò)遠程入侵并控制受攻擊的 Win95系統(tǒng)，從而使受侵機器 “ 言聽計從 ” 。利用互聯(lián)網(wǎng)上大量的機器進行 DDoS ，分布式掃描和分布式口令破解等，一個攻擊者能夠達到意想不到的強大效果。 ? 在硬盤各個分區(qū)下生成文件 ，可以通過 U盤和移動硬盤等方式進行傳播，并且利用 Windows系統(tǒng)的自動播放功能來運行，搜索硬盤中的 .exe可執(zhí)行文件并感染，感染后的文件圖標變成