软考-信息安全-网络安全主动防御技术与应用

15.1 入侵阻断技术与应用

• 入侵阻断是网络安全主动防御的技术方法，其基本原理是通过对目标对象的网络攻击行为进行阻断，从而达到保护目标对象的目的。

15.1.1 入侵阻断技术原理

• IPS具备防火墙和入侵检测的多种功能，原理是根据网络包的特性及上下文进行攻击行为判断来控制包转发。

15.1.2 入侵阻断技术应用

• IPS、SPS主要作用是过滤掉有害的网络信息流，阻断入侵者对目标的攻击行为。IPS、SPS主要功能如下：
  • 屏蔽指定IP地址。
  • 屏蔽指定网络端口。
  • 屏蔽指定域名
  • 封锁指定URL，阻断特定攻击类型
  • 为零日漏洞（Zero-day Vulnerabilities）提供热补丁。
• SPS（Side Prevent System，SPS）基于旁路阻断。

15.2 软件白名单技术与应用

• 针对网络信息系统恶意软件攻击，通过软件白名单技术来限制非授权安装软件包，阻止系统非授权修改，避免恶意代码植入目标对象，从而减少网络安全威胁。

15.2.1 软件白名单技术原理

• 软件白名单技术方法是指设置可信任的软件名单列表，以阻止恶意的软件在相关的网络信息系统运行。
• 在软件白名单技术的实现过程中，常利用软件对应的进程名称，软件文件名称，软件发行商名称，软件二进制程序等相关信息经过密码技术处理后，形成软件白名单身份标识，如软件数字签名或软件Hash值。

15.2.2 软件白名单技术应用

• 软件白名单技术可应用于多种安全场景。
• 1.构建安全，可信的移动互联网安全生态环境
• 2.恶意代码防护
• 3.”白环境“保护
  • 其安全机制是基于白名单安全策略，只有可信任的设备才能接入控制网络，只有可信任的消息才能在网络上传输，只有可信任的软件才允许被执行。

15.3 网络流量清洗技术与应用

• 网络信息系统常常受到DoS，DDoS等各种恶意网络流量攻击，导致网络服务质量下降，甚至服务瘫痪，网上业务中断。
• 网络流量清洗技术主要用于清除目标对象的恶意网络流量，以保障正常网络服务通信。

15.3.1 网络流量清洗技术原理

• 原理是通过异常网络流量检测，而将原本发送给目标设备系统的流量牵引到流量清洗中心，当异常流量清洗完毕后，再把清洗后留存的正常流量转送到目标设备系统。
• 1.流量监测
  • 基于深度数据包检测技术DPI监测等。
• 2.流量牵引与清洗
  • 流量牵引方法主要有BGP，DNS
  • 流量清洗即拒绝对指向目标系统的恶意流量进行路由转发，从而使得恶意流量无法影响到目标系统。
• 3.流量回注
  • 指将清洗后的干净流量回送给目标系统，用户正常的网络流量不受清洗影响。

15.3.2 网络流量清洗技术应用

• 1.畸形数据报文过滤
  • LAND，Fraggle，Smurf，Winnuke，Ping of Death，Tear Drop和TCP Error Flag等
• 2.抗拒绝服务攻击
  • 常见的拒绝服务流量包括同步风暴（SYN Flood），UDP风暴（UDP Flood），ICMP风暴，DNS查询请求风暴，HTTP Get风暴，CC攻击等网络攻击流量。
• 3.Web应用保护
  • HTTP Get Flood，HTTP Post Flood， HTTP Slow Header、Post，HTTPS Flood攻击等
• 4.DDoS高防IP服务

15.4 可信计算技术与应用

• 可信计算是网络信息安全的核心关键技术，其技术思想是通过确保计算平台的可信性以保障网络安全。
• 可信验证成为国家网络安全等级保护2.0的新要求，已经成为《信息安全技术 网络安全等级保护基本要求（GB/T 22239-2019)》的重要组成内容。

15.4.1 可信计算技术原理

• 早在20世纪70年代初期，James P.Anderson就提出了可信系统（Trusted System）的概念。
• 早期的可信研究主要集中于操作系统的安全机制和容错计算（Fault-Tolerant Computing）。
• 1999年10月，由Intel，Compaq，HP，IBM以及Microsoft发起成立了一个”可信计算平台联盟“（Trusted Computing Platform Alliance，TCPA）。
• 该组织致力于促成新一代具有安全，信任能力的硬件运算平台。
• 2003年TCPA重新改组为”可信计算组织”（Trusted Computing Group，TCG）。
• 目前TCG制定了一系列可信计算方面的标准，其中主要包括Trusted Platform Module（简写为TPM）标准和TCG Trusted Network Connect（简写为TNC）标准。
• TCG正试图构建一个可信计算体系结构，从硬件，BIOS，操作系统等各个层次上增强计算系统平台的可信性。
• 拟建立以安全芯片（TPM）为信任根的完整性度量机制，使得计算系统平台运行时可鉴别组件的完整性，防止篡改计算组件运行。
• TPM安全芯片保证其完整性，大致工作示意方向如下：
  • BIOS引导模块-BIOS-OS加载-OS-应用 这过程期间会进行完整性测量。
• 可信计算的技术原理是首先构建一个信任根，再建立一条信任链，从信任根开始到硬件平台，到操作系统，再到应用，一级认证一级，一级信任一级，把这种信任扩展到整个计算机系统，从而确保整个计算机系统的可信。
• 可信根-可信硬件平台-可信操作系统-可信应用系统
• TPM是可信计算平台的信任根，是可信计算的关键部件。
• TCG定义可信计算平台的信任根包括三个根：
  • 可信度量根RTM
  • 可信存储根RTS
  • 可信报告根RTR
  • 可信度量根RTM是一个软件模块
  • 可信存储根RTS由可信平台模块TPM芯片和存储根密钥SRK组成
  • 可信报告根RTR由可信平台模块TPM芯片和根密钥EK组成
  • 可信计算是网络信息安全的核心关键技术，中国基于自主密码算法建立起以TCM为核心的自主可信计算标准体系。
  • 全国信息安全标准委员会设立了可信计算标准工作小组，国家安全主管部门发布了 《信息安全技术 可信计算密码支撑平台功能与接口规范》
  • 可信计算密码支撑平台以密码技术为基础，实现平台自身的完整性，身份可信性和数据安全性等安全功能。
  • 平台主要由可信密码模块（TCM）和TCM服务模块（TSM）两大部分组成。
  • 可信密码模块（TCM）是可信计算密码支撑平台必备的关键基础部件。提供独立的密码算法支撑。
  • TCM是硬件和固件的集合，可以采用独立的封装形式，也可以采用IP核的方式和其他类型芯片集成在一起，提供TCM功能。
• TCM的各组件部分的功能用途描述如下：
  • I/O：TCM的输入输出硬件接口
  • SMS4引擎：执行SMS4对称密码运算
  • SM2引擎：产生SM2密钥对和执行SM2加/解密，签名运算
  • SM3引擎：执行杂凑运算
  • 随机数产生器：生成随机数
  • HMAC引擎：基于SM3引擎来计算消息认证码
  • 执行引擎：TCM的运算执行单元
  • 非易失性存储器：存储永久数据
  • 易失性存储器：存储TCM运行时的临时数据

15.4.2 可信计算技术应用

• 可信计算技术可应用于计算平台，网络通信连接，应用程序，恶意代码防护等多种保护场景。
• 1.计算平台安全保护
  • 利用TPM/TCM安全芯片对计算平台的关键组件进行完整性度量和检查，防止恶意代码篡改BIOS，操作系统和应用软件。
  • 国内中标麒麟可信操作系统支持TCM/TPCM和TPM2.0可信计算技术规范，通过中标软件可信度量模块CTMM（CS2C Trusted Measure Module）提供可信引导和可运行控制等功能。利用信任链的创建传递过程，实现对平台软硬件的完整性度量。
• 2.可信网络连接
  • 传统的网络接入控制通过网络接入设备要求终端提供终端的安全状态信息，如操作系统补丁状况，杀毒软件安装状况，然后网络准入服务器根据终端提供的安全状态信息，检查分析终端是否符合安全策略要求，以此判断是否允许终端接入网络中，传统的网络接入控制面临安全状态伪造问题，接入后配置修改问题以及设备假冒接入问题。
  • 针对传统的网络接入控制系列安全问题，可信网络连接（Trusted Network Connect，TNC）利用TPM/TCM安全芯片实现平台身份认证和完整性验证，从而解决终端的安全状态认证，接入后控制问题。
  • TNC的组成结构分为完整性度量层，完整性评估层，网络访问层。
    • 完整性度量层，该层负责搜集和验证AR（访问者请求）的完整性信息。
    • 完整性评估层，该层依据安全策略，评估AR（访问者请求）的完整性状况。
    • 网络访问层，该层负责网络访问请求处理，安全策略执行，网络访问授权。
  • TNC通过对网络访问者的设备进行完整性度量，防止非授权的设备接入网络中，从而确保网络连接的可信。
• 3.可信验证
  • 网络安全等级保护标准2.0构建以可信计算技术为基础的等级保护核心技术体系，要求基于可信根对通信设备，边界设备，计算设备等保护对象的系统引导程序，系统程序，重要配置参数等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。
  • 对于高安全等级的系统，要求对应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。
  • 对于恶意代码攻击，采取主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。
  • 可信验证的技术原理是基于可信根，构建信任链，一级度量一级，一级信任一级，把信任关系扩大到整个计算节点，从而确保计算节点可信。

15.5 数字水印技术与应用

• 数字水印是一门新兴的网络信息安全技术，主要阐述数字水印的技术原理，分析其应用场景，主要包括敏感信息增强保护，防范电子文件非授权扩散，知识产权保护，网络攻击活动溯源，敏感信息访问控制等。

15.5.1 数字水印技术原理

• 数字水印是指通过数字信号处理方法，在数字化的媒体文件中嵌入特定的标记。
• 水印分为可感知和不易感知的两种。
• 数字水印技术通常由水印的嵌入和水印的提取两个部分组成。
• 数字水印的嵌入方法主要分为空间域方法和变换域方法。
• 数字水印嵌入过程-原始载体-水印-嵌入数字水印算法-添加水印后载体。
• 数字水印提取过程-添加水印后载体-提取数字水印算法-水印。
• 1.空间域方法
  • 空间域方法是将水印信息直接叠加到数字载体的空间域上。
  • 典型的算法由由Schyndel算法和Patchwork算法。
• 2.变换域方法
  • 变换域方法是利用扩展频谱通信技术，先计算图像的离散余弦变换（DCT），再将水印叠加到DCT域中幅值最大的前L个系数上（不包括直流分量），通常为图像的低频分量。

15.5.2 数字水印技术应用

• 数字水印常见的应用场景主要由版权保护，信息隐藏，信息溯源，访问控制等。
• 1.版权保护
• 2.信息隐藏
• 3.信息溯源
• 4.访问控制
  • 利用数字水印技术，将访问控制信息嵌入需要保护的载体中，在用户访问受保护的载体之前通过检测水印以判断是否有权访问。

15.6 网络攻击陷阱技术与应用

• 网络攻击陷阱技术拟通过改变保护目标对象的信息，欺骗网络攻击者，从而改变网络安全防守方的被动性，提升网络安全防护能力。

15.6.1 网络攻击陷阱技术原理

• 网络诱骗技术是一种主动的防御方法，作为网络安全的重要策略和技术方法，它有利于网络安全管理者获得信息优势，网络攻击诱骗网络攻击陷阱可以消耗攻击者所拥有的资源，加重攻击者的工作量，迷惑攻击者，甚至可以事先掌握攻击者的行为，跟踪攻击者，并有效地制止攻击者的破坏行为，形成威慑攻击者的力量。目前网络攻击诱骗技术有蜜罐主机技术和陷阱网络技术。
• 1.蜜罐主机技术
• 蜜罐主机技术包括空系统，镜像系统，虚拟系统等。
• 空系统
  • 空系统是标准的机器，上面运行着真实完整的操作系统及应用程序。在空系统中可以找到真实系统中存在的各种漏洞，与真实系统没有实质区别，没有刻意地模拟某种环境或者故意地使系统不安全。任何欺骗系统做得再逼真，也绝不可能与原系统完全一样，利用空系统做蜜罐是一种简单的选择。
• 镜像系统
  • 攻击者要攻击的往往是那些对外提供服务的主机，当攻击者被诱导到空系统或模拟系统的时候，会很快发现这些系统并不是他们期望攻击的目标。所以更有效的做法是，建立一些提供敌手感兴趣的服务的服务器镜像系统，这些系统上安装的操作系统，应用软件以及具体的配置与真实的服务器基本一致。镜像系统对攻击者有较强的欺骗性，并且，通过分析攻击者对镜像系统所采用的攻击方法，有利于我们加强真实系统的安全。
• 虚拟系统
  • 是指在一台真实的物理机上运行一些仿真软件，通过仿真软件对计算机硬件进行模拟，使得仿真平台上可以运行多个不同的操作系统，这样一台真实的机器就变成了多台主机（成为虚拟机）。
• 2.陷阱网络技术
  • 陷阱网络由多个蜜罐主机，路由器，防火墙，IDS，审计系统共同组成，为攻击者制造一个攻击环境，供防御者研究攻击者的攻击行为。
  • 陷阱网络一般需要实现蜜罐系统，数据控制系统，数据捕获系统，数据记录，数据分析，数据管理等功能。
  • 目前国内相关商业产品有明鉴迷网系统-蜜罐HPOT，开源的网络攻击陷阱系统有，Honeyd，工业控制系统蜜罐Conpot，口令蜜罐Honeywords等。

15.6.2 网络攻击陷阱技术应用

• 网络攻击陷阱技术是一种主动性网络安全技术，已经逐步取得了用户的认可，其主要应用场景为恶意代码监测，增强抗攻击能力和网络态势感知。
• 1.恶意代码监测
• 2.增强抗攻击能力
• 3.网络态势感知

15.7 入侵容忍及系统生存技术与应用

• 入侵容忍及系统生存技术是网络安全防御思想的重大变化，其技术目标是实现网络安全弹性，确保网络信息系统具有容侵能力，可恢复能力，保护业务持续运营。

15.7.1 入侵容忍及系统生存技术原理

• 传统的网络信息安全技术中，安全1.0理念是把入侵者挡在保护系统之外。

• 安全2.0理念是检测网络安全威胁，阻止网络安全威胁，实现网络安全隔离。

• 安全3.0理念是容忍入侵，对网络安全威胁进行响应，使受害的系统具有可恢复性。

• 入侵容忍及系统生存技术的思想是假定在遭受入侵的情况下，保证网络信息系统仍能按用户要求完成任务。

• 国外研究人员提出生存性3R方法，该方法首先将系统划分成不可攻破的安全核和可恢复部分。然后对一定的攻击模式，给出相应的3R策略。

• 抵抗（Resistance），识别（Recognition）和恢复（Recovery）。

• 将系统分为正常服务模式和被黑客利用的入侵模式，给出系统需要重点保护的基本功能服务和关键信息，针对两种模式分析系统的3R策略，找出其弱点并改进。

• 最后根据使用和入侵模式的变化重复以上的过程。

• 3R方法是假定基本服务不可被攻破，入侵模式是有限集，维持攻防的动态平衡是生存性的前提。

15.7.2 入侵容忍及系统生存技术应用

• 1.弹性CA系统
• 2.区块链

15.8 隐私保护技术与应用

15.8.1 隐私保护类型及技术原理

• 隐私可以分为身份隐私，属性隐私，社交关系隐私，位置轨迹隐私等几大类。
• 1.身份隐私
• 2.属性隐私
  • 是指用来描述个人用户的属性特征，例如：用户年龄，用户性别，用户薪水，用户购物史。
  • 属性隐私保护的目标是对用户相关的属性信息进行安全保护处理，防止用户敏感属性特征泄露。
• 3.社交关系隐私
• 4.位置轨迹隐私
  • 1）k-匿名方法
  • 2）差分隐私方法

15.8.2 隐私保护技术应用

• 参考《信息安全技术 个人信息安全规范》。
• 个人信息是指电子或者其他方式记录的能够单独或者其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
• 1.匿名化处理个人信息
• 2.对个人信息去标识化处理

15.9 网络安全前沿技术发展动向

15.9.1 网络威胁情报服务

• 网络威胁情报是指有关网络信息系统遭受安全威胁的信息，主要包括安全漏洞，攻击来源，IP地址，恶意邮箱，恶意域名，攻击工具等。

15.9.2 域名服务安全保障

15.9.3 同态加密技术

• 同态加密是指一种加密函数，对明文的加法和乘法运算再加密，与加密后对密文进行相应的运算，结果是等价的。