美國發布網路安全框架

① 美國系統網路安全協會公布20大安全威脅

據國外媒體報道，美國系統網路安全協會（SANS）近日發布了2007年20大互聯網安全威脅，結果殺毒軟體也榜上有名。
與2006年相比，今年的20大威脅中有很多是相同的。網路瀏覽器、媒體播放器等仍然是黑客攻擊企敗局業網路、盜取敏感信息的藉助工具吵碧。

另外，保護網路安全的殺毒軟體也榜上有名。以下為SANS評出的2007年20大互聯網威脅（實為18種威脅）：

客戶端威脅：

1. 網路瀏覽器

2. Office軟體

3. 電子郵件客戶端

4. 媒體播放器

伺服器端威脅：

1. Web應用

2. Windows服務

3. Unix和Mac OS服務

4.備份軟體

5. 殺毒軟體

6. 管理伺服器

7. 資料庫軟體

安全策略威脅：

1. 過多的用戶許可權及未授權設備

2. 釣魚式攻擊

3. 未加密筆記本和便攜媒介

應用威脅：

察碰讓1. IM

2.P2P程序

網路設備威脅：

1.VoIP伺服器和電話

2.零日攻擊

② 紅藍對抗之藍隊防守：ATT&CK框架的應用

文章來 源： HACK之道

企業大規模數字化轉型的浪潮下，各類網路入侵事件頻發、APT和黑客團伙活動猖獗，合規性驅動的傳統安全防護建設已無法滿足需求。近年來隨著各級紅藍對抗行動的開展，企業安全建設正逐步向實戰化轉型，而MITRE（一個向美國政府提供系統工程、研究開發和信息技術支持的非營利性組織）提出的ATT&CK框架正是在這一過程中能夠起到指導性作用的重要參考。

ATT&CK框架在2019年的Gartner Security & Risk Management Summit會上，被F-Secure評為十大關注熱點。ATT&CK是一套描述攻擊者戰術、穗遲技術和執行過程的共享知識庫，能夠關聯已知的黑客組織、攻擊工具、檢測數據源和檢測思路、緩解措施等內容。ATT&CK能夠全面覆蓋洛克希德-馬丁公司提出的Kill Chain內容，並在此基礎上提供更細粒度的攻擊技術矩陣和技術詳情。ATT&CK分為三個部分，分別是PRE-ATT&CK，ATT&CK for Enterprise和ATT&CK for Mobile。其中，PRE-ATT&CK包含的戰術有優先順序定義、選擇目標、信息收集、脆弱性識別者族仿、攻擊者開放性平台、建立和維護基礎設施、人員的開發。ATT&CK for Enterprise包括的戰術有初始化訪問、執行、持久化、許可權提升、防禦逃避、憑據訪問、發現、橫向移動、收集、命令與控制、數據外傳、影響。這些基於APT組織及首纖黑客團伙的披露信息進行分析梳理的詳細信息能夠有效指導實戰化的紅藍對抗，目前已在多個領域得到較好的應用。

在紅藍對抗中，防守方都可以按照事前、事中、事後三個階段進行應對，在ATT&CK框架的指導下實現安全體系建立、運營和提升的閉環改進。

一、准備階段

攻擊面評估

攻擊面指企業在遭受內、外部入侵時可能的起始突破點或中間跳板，包括但不限於：對外提供業務的Web系統、郵件系統、VPN系統，對內提供服務的OA系統、運維系統、開發環境，員工使用的各類賬號、辦公終端等。

企業的攻擊面是廣泛存在的，在企業內進行攻擊面評估屬於信息收集和脆弱性識別的過程，能夠幫助企業在早期應對攻擊者入侵活動。該過程映射到攻擊鏈中屬於「偵察」階段。

由於攻防的不對稱性，在紅藍對抗中防守方往往處於弱勢，攻擊方只需要單點突破即可，而防守方需要建立覆蓋所有攻擊面的縱深防禦體系，很難做到萬無一失。但在 信息收集階段，是為數不多的防守方占優的階段，主要原因包括：

1. 攻擊方只能通過互聯網公開信息（Google、社交網站、Github）或傳統社工方式獲取部分企業信息，而防守方能夠獲得完整的企業內部信息，包括網路架構、業務系統、資產信息、員工信息等等，掌握以上信息不但能夠梳理潛在入侵點、發現防禦中的薄弱環節，還能夠結合誘騙或欺詐技術（Deception，如蜜罐），在攻擊者能夠獲取到的信息中埋點，實現類似軟體「動態污染」的檢測和追蹤效果。

2. 攻擊面評估能夠在特定階段（如重保時期）通過採取更嚴格的管控措施降低入侵風險， 通過有限的代價獲取最大攻擊者入侵難度提升 ，具有很高的投資回報率。例如，獲取VPN通道，相當於突破了企業傳統的防護邊界，直接獲取內網漫遊的許可權。在特定情況下，通過增強VPN防護，能夠大大縮減攻擊者入侵成功的可能性。突破VPN主要有2種方式，利用VPN伺服器本身的漏洞或通過合法VPN賬號入侵。對於第一種方式，關注VPN廠商漏洞披露信息、做好補丁升級管理，能夠有效減少大部分威脅；對於利用0day漏洞攻擊VPN獲取遠程訪問許可權的場景，通過VPN自身日誌審計的方式，關聯VPN賬號新建、變更及VPN伺服器自身發起的訪問內網的流量，也能夠及時發現未知的漏洞攻擊行為。對於第二種攻擊VPN合法賬號的入侵方式，增加VPN賬號的口令復雜度要求、臨時要求修改VPN賬號口令並增加雙因子驗證（如綁定手機號簡訊驗證），都可以在犧牲部分用戶體驗的情況下極大削減攻擊者攻擊成功的可能性。

ATT&CK框架內所有攻擊技術都有對應的攻擊目的和執行攻擊所需的環境、依賴，對其分解可以提取每項攻擊技術適用的攻擊對象，參照企業內的資產和服務，評估攻擊面暴露情況和風險等級，能夠幫助制定有效的攻擊面縮減、消除或監控手段。例如，防守方需要在紅藍對抗前檢查企業內部的共享目錄、文件伺服器、BYOD設備是否符合安全基線要求，是否存在敏感信息，並針對這些內容設定合規性要求和強制措施，以縮減該攻擊面暴露情況。

綜上，ATT&CK框架可以幫助防守方了解攻擊目標、提煉攻擊面並制定攻擊面縮減手段，同時也能夠通過攻擊面評估為後續增強威脅感知能力、總結防禦差距、制定改進方案提供參考標准。

威脅感知體系建立

傳統的安全防護和管控措施存在的主要問題在於沒有全景威脅感知的體系，無法及時有效地監測威脅事件、安全風險和入侵過程。威脅感知體系的建立，可以有效地把孤立的安全防禦和安全審計手段串聯起來，形成完整的企業安全態勢，為防守方實現實時威脅監控、安全分析、響應處置提供基礎。建立威脅感知體系主要包括以下准備工作：

1.數據源梳理： 數據是實現安全可見性的基礎元素，缺少多維度和高質量的數據會嚴重影響監控覆蓋面；同時，很多企業會為了滿足網路安全法、等保標准等法律和標准要求存儲大量設備、系統和業務日誌數據。因此，在數據源的規劃、管理上，由威脅驅動的數據源需求和由合規驅動的日誌數據留存，存在匹配度低、使用率低、有效性低的諸多問題，需要防守方加以解決。

* We can』t detect what we can』t see.

在進行數據源規劃時，需根據企業實際存在的攻擊面、威脅場景和風險情況進行設計。例如：針對員工郵箱賬號可能會遭受攻擊者暴力破解、泄露社工庫撞庫的風險，需要採集哪些數據？首先需要考慮企業實際的郵件系統情況，比如使用自建的Exchange郵件服務，需要採集的數據包括：Exchange郵件追蹤日誌、IIS中間件日誌、SMTP/POP3/IMAP等郵件協議日誌。其次還需要具體考慮攻擊者是通過OWA訪問頁面爆破？還是通過郵件協議認證爆破？還是通過Webmail或客戶端介面撞庫？不同的企業開放的郵箱訪問方式不同，暴露的攻擊面和遭受的攻擊方法也有所區別，需要根據實情梳理所需的數據源。

在數據源梳理上，由於涉及到的威脅類型、攻擊方法眾多，考慮周全很困難，可以通過參考ATT&CK框架選取企業相關的攻擊技術，統計所需的數據源類型，並梳理數據源採集、接入優先順序。關於數據源優先順序篩選，2019年MITRE ATT&CKcon 2.0會議上Red Canary發布的議題：Prioritizing Data Sources for Minimum Viable Detection 根據總體數據源使用的頻率做了Top 10排序，如下圖所示：

該統計結果並未考慮企業實際攻擊面范圍、數據源獲取的難易程度等，不應生搬硬套照抄。但在大部分情況下可以考慮先構建包括網路鏡像流量、終端行為審計日誌、關鍵應用服務日誌在內的基礎數據源的採集規劃，再通過實際的檢測效果增強補充。

2. 檢測規則開發：大數據智能安全平台（或參考Gartner所提的Modern SIEM架構）已逐步取代傳統的SIEM產品，成為企業威脅感知體系的核心大腦。傳統的攻擊檢測方法大多是基於特徵簽名（Signature），採用IOC碰撞的方式執行，在實際攻防對抗過程中存在告警噪音過多、漏報嚴重、外部情報數據和特徵庫更新不及時等問題，且在防守方看來無法做到檢測效果的衡量和能力評估。因此，新的檢測理念需要從行為和動機出發，針對攻擊者可能執行的操作完善審計和監控機制，再採用大數據關聯分析的方式去識別攻擊活動。

ATT&CK框架在這里就起到了非常重要的參考作用，框架中的每項攻擊技術，知識庫都描述了相應的檢測手段和過程，以T1110暴力破解為例，其Detection描述如下圖所示。

雖然沒有抽象出具體檢測方法、檢測規則，但提煉出了需要監控的設備以及能夠提煉攻擊痕跡的日誌。參考這部分描述，防守方能高效的通過相關資料收集、內部攻擊技術模擬、特徵提煉等方式完成檢測方法和檢測規則的開發、部署、測試。此外，高級持續性威脅（APT）使用了較多的白利用技術，無法有效區分攻擊者和普通工作人員。但通過開發檢測規則對數據源進行過濾提煉，打上技術標簽，後續再綜合所有異常行為能夠發現此類攻擊活動。這樣再與傳統的檢測方法結合，就提供了更加有效的補充手段。

綜上，威脅感知體系的建立，需要通過數據源梳理和檢測規則開發來完成基礎准備工作，ATT&CK框架可以幫助防守方快速了解所需數據源、並協助開發對應的檢測規則，使防守方脫離安全可見性盲區，實現安全防護能力的可量化、可改進。

內部模擬對抗

為摸清目前網路安全防禦能力並找出薄弱點，部分企業會進行內部紅藍對抗模擬演練，ATT&CK知識庫在模擬紅隊攻擊、組織內部對抗預演上具有非常高的參考價值。

1.紅隊技術指導：ATT&CK框架包含了266種攻擊技術描述，模擬紅隊可以借鑒其中部分技術進行特定戰術目的的專項測試或綜合場景測試。在開展內網信息收集專項測試時，可以通過參考並復現「發現」、「收集」戰術目的下的攻擊技術，對內網暴露的攻擊面逐一測試；在開展模擬場景演練時，可以挑選不同的戰術目的制定模擬攻擊流程，從矩陣中選擇相關技術實施。以典型的紅隊釣魚攻擊場景為例，攻擊技術鏈包括：釣魚 -> hta執行 -> 服務駐留 -> 憑證獲取 -> 遠程系統發現 -> 管理員共享，如下圖紅色鏈路所示。

2. 藍隊效果評估：內部模擬對抗是企業防守方檢查實際威脅感知能力的最佳手段，對藍隊來說具有查漏補缺的效果。攻擊行為是否被記錄、檢測規則是否有效、有無繞過或誤報、攻擊面梳理是否遺漏、威脅場景是否考慮充分等很多問題只有在實際測試中才會暴露。同時，防守方也可以通過模擬演練提煉極端情況下的緩解預案，包括：臨時增加防禦攔截措施、增加業務訪問管控要求、加強人員安全意識教育和基線管理等。

綜上，內部模擬是紅藍對抗實戰階段驗證所有準備工作有效性的手段，作為大考前的模擬考，對防守方具有很大的查漏補缺、優化完善的作用，而ATT&CK框架在這個階段，對模擬紅隊攻擊、協助藍隊查找問題都起到了參考作用。

二、開展階段

准備過程越充分，在實際紅藍對抗行動開展階段對防守方來說就越輕松。經過驗證的威脅感知體系在這里將起到主導作用。

資產風險監控

除了封堵、上報潛在的紅隊攻擊IP外，對於已突破邊界防護進入內網漫遊階段的攻擊者，基於ATT&CK框架能夠有效識別資產（終端/伺服器）風險，發現疑似被攻陷的內網主機。

通過為每個資產創建獨立的ATT&CK主機威脅分布矩陣圖，匯聚該主機上近期被檢測到的所有攻擊技術活動，然後根據該矩陣圖上所標注的攻擊技術的分布特徵訓練異常模型，監控主機是否失陷。異常模型從以下三個維度識別攻擊：

1.攻擊技術分布異常：多個戰術下發生攻擊、某個戰術下發生多個不同攻擊等。

2. 攻擊技術數量異常：主機上檢測到大量攻擊技術，與基線對比偏差很大。

3. 特定高置信度失陷指標：主機上觸發了高置信度規則檢測到的高風險告警（傳統的Trigger機制）。

以下圖為例，主機短時間內觸發一系列「發現」戰術下的攻擊技術，這在日常運維中是較為少見的，與該主機或同類型主機基線對比偏差非常大。在受害主機被控制後可能會執行大量此類操作，故該機器風險很高，判定為失陷/高危資產。

可疑進程判定與溯源

根據採集的終端行為日誌（包括：進程活動、注冊表活動、文件活動和網路活動），可以通過唯一進程ID（GUID）進行父子進程關聯操作。當發現可疑進程活動時，能夠回溯該進程的進程樹，向上直到系統初始調用進程，向下包含所有子進程，並且為進程樹中所有可疑進程添加ATT&CK攻擊技術標簽，如網路請求、域名請求、文件釋放等豐富化信息，幫助防守方的安全分析人員判斷該進程是否可疑並及時採取處置措施。

以下圖為例，發現可疑進程wscript.exe後溯源其進程樹，其中標記了感嘆號的子進程為命中了ATT&CK攻擊技術的進程，無感嘆號的子進程也屬於該可疑進程樹下，有可能是攻擊者利用的正常系統進程或規避了檢測規則導致未檢出的進程。通過該進程樹展示的信息，可以直觀發現wscript進程及其派生的powershell進程存在大量可疑行為，這些進程信息也為後續聯動終端防護軟體處置或人工上機排查處置提供了充足的信息。

應急響應對接

在發現失陷資產、溯源到可疑進程後可導出其進程樹上的進程實體路徑、進程命令行、進程創建文件、進程網路連接等信息提交給應急響應組進行清除工作。應急響應組通過以上信息可以快速在主機上處置並開展入侵路徑分析，通過回溯攻擊者入侵植入木馬的手段，進一步排查是否存在數據缺失、規則缺失導致的攻擊漏報；並通過關聯所有具有相似行為的終端，確認是否存在其他未知失陷資產。

以上基於ATT&CK框架建立的資產風險監控和可疑進程判定方法，能夠有效地在紅藍對抗過程中及時發現攻擊者攻擊成功的痕跡，並為溯源和應急響應處置提供數據支撐。而這些都脫離不了以威脅感知體系為核心的藍隊建設思路，更多與ATT&CK框架適配的應用方法也會在後續不斷豐富、增強。

三、復盤階段

防禦效果評估

在紅藍對抗結束復盤階段，防守方對防禦效果的評估是非常重要的環節。具體包括以下內容：

安全設備漏報分析：結合攻擊方提供的報告，把各個攻擊類型歸屬到相應的安全檢測設備，查看相關設備的告警與報告中的攻擊過程是否匹配，分析當前安全設備檢測能力，較低檢出率的設備需要後續協調廠商優化、更新規則等，以加強完善。

規則誤報調優：在紅藍對抗開展階段，為了確保對攻擊方攻擊過程的全面覆蓋檢測，通常會採用限制條件較寬松的規則檢測模式，以防漏報對防守方造成的失分影響。例如，對暴力破解場景，觸發告警的連續登錄失敗請求閾值可能設定的較低；對Webshell植入場景，可能對所有嘗試上傳動態腳本文件的行為都做監控或攔截，以防攻擊者通過一些編碼、混淆的方式繞過特徵檢測等。這些限制條件寬松的檢測規則，在紅藍對抗過程中能夠盡量減少攻擊漏報，具有比較好的效果；但同時，由於限制不嚴導致的告警噪音也會隨之增加。在紅藍對抗結束復盤過程中，需要對產生誤報的數據和誤報原因進行統計分析，完善檢測規則邏輯、邊界條件限制，配置適當的白名單過濾，為後續能夠日常運營提供更具備可操作性和更實用的威脅檢測規則。

攻擊面再評估和數據可見性分析：在紅藍對抗准備和紅藍對抗開展階段，防守方和攻擊方分別進行了攻擊面評估、攻擊目標信息收集的工作，因此在復盤階段可以通過對比雙方掌握的攻擊面信息和攻擊目標的選擇，來挖掘是否存在先前遺漏的邊緣資產、未知攻擊面，通過攻方視角查漏補缺。同時對遺漏的攻擊面可以做相關的數據源需求分析，補充缺失的數據可見性和威脅感知能力。

防禦差距評估與改進：針對紅藍對抗中發現的薄弱環節，防守方可以提煉改進目標、指導後續的安全建設工作。由於不同企業存在的攻擊面差異性較大，重點關注的核心資產、靶標也有所差別，在准備過程中可能根據優先順序選擇了比較關鍵的幾個領域優先開展，而通過紅藍對抗發現的其他薄弱環節，為後續開展哪些方向的工作提供了參考。例如，重點加強生產環境安全防護的，可能忽略了員工安全意識培訓，導致被攻擊者釣魚的方式突破入侵；重點關注網站安全的，可能忽略了伺服器存在其他暴露在外的埠或服務，被攻擊者通過探測發現，利用已知漏洞或0day漏洞控制伺服器繞過。結合ATT&CK框架補充對應的數據源和攻擊技術檢測手段，可以快速補足這方面的遺漏。

防禦效果評估是紅藍對抗復盤階段重要的總結過程，也為後續持續優化改進提供參考。在這里ATT&CK框架起到的作用主要是統一攻防雙方語言，將每一個攻擊事件拆分成雙方都可理解的技術和過程，為紅藍對抗走向紅藍合作提供可能。

③ 15項世界互聯網領先科技成果發布，彰顯「科技向善」的力量

在昨天的烏鎮世界互聯網大會·互聯網發展論壇上，2020年「世界互聯網領先 科技 成果發布活動」在烏鎮舉行，共發布了15項世界互聯網領先 科技 成果，包括騰訊、阿里、網路、微軟、奇安信等15項國內外有代表性的領先 科技 成果獲評。

奇安信內生安全框架：數字化時代的保障需要內生安全

奇安信推出的新一代企業網路安全框架（內生安全框架），榮膺2020世界互聯網領先 科技 成果。

「數字化時代的到來，徹底打破了網路世界和物理世界的邊界，帶來了新的安全風險。以前的靜態邊界防護思路，不再適應新時代的需求，數字化時代的保障需要內生安全。」在領先 科技 成果發布會上，奇安信集團董事長齊向東介紹，內生安全是指在信息化環境下，內置並不斷自我生長的安全能力，通過「一個中心五張濾網」，從網路、數據、應用、行為、身份五個層面，建立無處不在的網路安全「免疫力」，從而極大降低網路攻擊風險，真正保證業務安全。

在領先成果發布活動上，齊向東演示了網路安全防禦模型：通過演示視頻，可以清晰、形象地看見，在面對網路攻擊時，新一代企業網路安全框架（內生安全框架）在不同區域間，通過縱深的網路訪問防護等措施，限制跨區域網路橫向移動攻擊路徑，不斷消除對外風險和資產暴露面；在同一區域內，結合主動防護和被動誘捕技術，發現和清除入侵者的內部據點，修復漏洞缺陷，保證內部網路安全。最後，結合外部安全信息和大數據分析，實施快速安全響應和處置，將威脅阻隔在政企機構之外。

齊向東表示，新一代企業網路安全框架（內生安全框架）不僅為政企機構建立「事前防控」的安全體系，也使網路安全逐漸從邊緣走向核心、從外掛走向內生、從「合規」轉向「實戰」，推進網路安全向基礎設施化、服務化模式發展。

「面向數字化時代網路安全規劃的『十大工程五大任務』，適用於幾乎所有應用場景，能指導不同行業輸出符合其特點的網路安全架構，構建動態綜合的網路安全防禦體系,全方位滿足數字化時代的安全保障需求。」齊向東如是說。

據了解，奇安信新一代企業網路安全框架（內生安全框架）相關組件，已獲得了超過1000項的網路安全領域發明專利和計算機軟體著作權，另有850項發明專利申請正在審核中。

在此前的主論壇上，齊向東表示，網路安全是數字技術的底板，沒有網路安全，數字技術的作用就會大打折扣。「木桶有短板就裝不滿水，但木桶底板有洞就裝不了水，我們既要善於補短板，更要注意加固底板」。齊向東認為，數字時代，打造網路安全底板，要靠數據驅動的內生安全框架。

騰訊會議實踐：成首個獲獎的視頻會議產品

今年以來，疫情的爆發讓所有人措手不及，企業停工、學校停課，貿易中止……對中國經濟 社會 生活的各個方面都產生了重大影響。騰訊會議通過打造的多方音視頻協同能力，為海內外搭建了無邊界的溝通橋梁，彰顯了「 科技 向善」的力量。

據悉，疫情爆發後，騰訊會議緊急部署，快速開放300方會議能力，並在第一時間迅速擴容，8天時間里，騰訊會議總共擴容超過10萬台雲主機，投入超過百萬核的計算資源，完成了全球超過100多個國家和地區的服務覆蓋。此舉創下了中國雲計算史上前所未有的紀錄，體現了 科技 產品的中國速度，同時也進一步保障了包括政府、企業、學校等在內的各行各業在抗疫經驗、貿易等方面的互動和經濟發展。

速度背後，更有技術。為了支撐大規模的線上協同，騰訊會議解決方案包含多項強大的騰訊自研基礎技術支撐，包括歷經十多年自主研發的高性能、金融級高可用分布式資料庫技術TDSQL。基於TDSQL支持，騰訊會議平穩支撐超過一億用戶的使用需求，無懼任何時候的流量突增、故障災難，為用戶時刻提供高速流暢、穩定可靠的服務和體驗。

根據北京大學互聯網發展研究中心發布的《在線會議 社會 價值與未來發展報告》顯示，今年1月至5月期間，騰訊會議直接節約 社會 成本達714億元，為包括技術、文化、經濟等多個層面帶來了巨大 社會 價值和貢獻。

阿里雲神龍架構：雲計算行業第三代虛擬化技術代表

昨天，阿里雲自主研發的神龍雲伺服器架構入選世界互聯網領先 科技 成果。簡單來說，神龍解決了困擾雲計算行業多年的虛擬化性能損耗問題，讓伺服器發揮出更高的性能、更加穩定。

來自大會評審的評價認為，神龍架構是雲計算行業第三代虛擬化技術的典型代表，它為雲而生，不僅解決了雲上虛擬化性能損耗的痛點，更讓雲伺服器的性能超越了物理機。今天的神龍架構承載了中國超80%的 科技 企業上雲，廣泛應用於醫療、新政務、智能製造、互聯網、教育等多個行業。

阿里巴巴合夥人、阿里雲基礎產品負責人蔣江偉領獎時表示：「神龍是阿里雲關鍵的創新技術之一，可加速雲計算的普惠。」據悉，阿里雲自研的神龍架構，通過把虛擬化轉移到專用硬體中進行加速，可將物理機的高性能與虛擬機的靈活性融為一體，虛擬化損耗幾乎為零，性能比傳統物理機更強勁，還可隨時擴容，極大降低了客戶的成本。

360全息星圖網路空間測繪系統：照亮網路空間的「暗黑森林」

此次獲評「世界互聯網領先 科技 成果」的360全息星圖網路空間測繪系統，是360安全基礎設施的雲端應用，可通過將數據轉化為實實在在的全面感知能力，照亮網路空間的「暗黑森林」。

360首席科學家潘劍鋒表示，在技術層面，360全息星圖網路空間測繪系統將網路空間探測、數據分析和地圖繪制能力提升到一個新的高度，結合自研的Vscan探測引擎和360安全大數據，可把局部視角轉化為全局視野，有助於將被動響應轉化為主動監測與主動預警。

在應用層面，360全息星圖測繪系統已累計獲得全網數十億數據，依靠知識庫和安全專家團隊的整體能力，可幫助黨政軍企多端用戶，實現對網路空間風險主動探測、提前預警、支撐網路安全態勢感知、對高級威脅追蹤溯源、以及持續更新全球安全風險。

同時，在360新一代網路安全能力體系的賦能與指揮下，360全息星圖網路空間測繪系統還能與全體系中的情報雲、漏洞雲、查殺雲、分析雲等其他安全基礎設施，建立持續運營和協同作戰機制，打造出聯防聯控的體系化安全防護力。

④ 密碼技術的安全性表現在哪幾方面求大神幫助

這個問題設計面積太廣了！我就弄了些皮毛！希望能幫到你2.1 對稱密碼 對稱密碼技術也叫做單鑰或常規密碼技術，其包括分組密碼技術和流密碼技術這兩個重要的分支。在公鑰密碼技術出現之前，它是惟一的加密類型。2.1.1 基本原理前不久，美國計算機安全專家又提出了一種新的安全框架，除機密性、完整性、可用性、真實性之外，又增加了實用性和佔有性，認為這樣才能解釋各種網路安全問題。實用性是指信息加密密鑰不可丟失（不是泄密），丟失了密鑰的信息也就丟失了信息的實用性，成為垃圾。佔有性是指存儲信息的節點、磁碟等信息載體不被盜用，即對信息的佔用權不能喪失。保護信息佔有性的方法有使用版權、專利、商業秘密性，提供物理和邏輯的存取限制方法；維護和檢查有關盜竊文件的審計記錄、使用標簽等。對於分析者來說，可以得到加密、解密演算法和從不安全的信道上得到密文C，而不能得到的是通過安全信道傳輸的密鑰K。這樣，對稱密碼必須滿足如下要求： ● 演算法要足夠強大。就是說，從截獲的密文或某些已知明文密文對時，計算出密鑰或明文是不可行的。● 不依賴於演算法的保密，而依賴於密鑰。這就是著名的Kerckhoff原則。● 密鑰空間要足夠大，且加密和解密演算法適用於密鑰空間所有的元素。這也是非對稱密碼技術必須滿足的條件。除此之外，在實際運用中，發送方和接收方必須保證用安全的方法獲得密鑰的副本。2.1.2 分組密碼分組密碼(BlockCipher)是一個明文分組被作為一個整體來產生一個等長的密文分組密碼，通常使用的是64bit的分組大小。當前使用的許多分組加密演算法幾乎都基於Feistel分組密碼結構。2.1.2.1 基本原理 擴散(Diffusion)和擾亂(Confusion)是由香農引進描述任意密碼系統的兩個基本組成模塊時提出的兩個術語。這兩種方法是為了挫敗基於統計分析的密碼破譯。擴散，就是把明文的統計結構擴散消失到密文的長程統計特性中。做到這一點的方法是讓明文的每個數字影響許多密文數字的取值，也就是說，每個密文數字被許多明文數字影響。其結果是在密文中各種字母的出現頻率比在明文中更接近平均；雙字母組合的出現頻率也更接近平均。所有分組密碼都包含從明文分組到密文分組的變換，具體如何變換則依賴於密鑰。擴散機制使得明文和密文之間的統計關系盡量復雜，以便挫敗推測密鑰的嘗試。擾亂試圖使得密文的統計特性與加密密鑰取值之間的關系盡量復雜，同樣是為了挫敗發現密鑰的嘗試。這樣一來，即使攻擊者掌握了密文的某些統計特性，由於密鑰產生密文的方式非常復雜，攻擊者也難於從中推測出密鑰。要實現這個目的，可以使用一個復雜的替代演算法，而一個簡單的線性函數就起不到多少作用。2.1.2.2 常見的分組加密演算法本節介紹經典的 「數據加密標准」(DataEncryptionStandard，DES)和拋棄了Feistel網路結構的 「高級加密演算法」(AES)，同時也簡要介紹了其他常見的分組加密演算法。1.數據加密標准DES1973年5月15日，美國國家標准局NBS(NationalBureauOfStandard，現在的美國國家標准與技術局——NIST)在聯邦記錄(Federal Register)上發布了一條通知，徵求密碼演算法，用於在傳輸和存儲期間保護數據。IBM提交了一個候選演算法，它是由IBM內部開發的，名為LUCIFER。在美國國家安全局NSA (NationalSecurityAgency)的協助下完成了演算法評估之後，1977年7月15日，NBS採納了LUCIFER演算法的修正版作為數據加密標准DES。1994年，NIST把聯邦政府使用DES的有效期延長了5年，還建議把DES用於政府或軍事機密信息防護以外的其他應用。DES是一種對二元數據進行加密的演算法，將明文消息分成64bit(8B)一組進行加密。密文分組的長度也是64bit，沒有數據擴展。DES使用「密鑰」進行加密，從符號的角度來看，「密鑰」的長度是8B(或64bit)。但是，由於某些原因，DES演算法中每逢第8bit就被忽略，這造成密鑰的實際大小變成56bit。DES的整個體制是公開的，系統的安全性完全依賴密鑰的保密。DES演算法主要包括：初始置換p，16輪迭代的乘積變換，逆初始置換ip-1以及16個密鑰產生器。在DES加密演算法的一般描述的左邊部分，可以看到明文的處理經過了3個階段：第一個階段，64bit的明文經過一個初始置換Ⅲ後，比特重排產生經過置換的輸出。第二個階段，由同一個函數的16次循環構成，這個函數本身既有置換又有替代功能。最後一個循環(第16個)的輸出由64bit組成，其輸出的左邊和右邊兩個部分經過交換後就得到預輸出。最後，在第三階段，預輸出通過逆初始置換ip-l生成64bit的密文。除了初始置換和逆初始置換之外，DES具有嚴格的Feistel密碼結構。56bit密鑰的使用方式。密鑰首先通過一個置換函數，接著於16個循環的每一個，都通過一個循環左移操作和一個置換操作的組合產生一個子密鑰KI。對於每一個循環來說，置換函數是相同的，但由於密鑰比特的重復移動，產生的子密鑰並不相同。DES的解密和加密使用相同的演算法，只是將子密鑰的使用次序反過來。DES具有雪崩效應：明文或密鑰的lbit的改變引起密文許多Bit的改變。如果密文的變化太小，就可能找到一種方法減小要搜索的明文和密鑰空間。當密鑰不變，明文產生lbit變化，在3次循環後，兩個分組有21bit不同，而整個加密過程結束後，兩個密文有34個位置不同。作為對比，明文不變，密鑰發生lbit變化時，密文中有大約一半的Bit不同。因此，DES具有一種很強的雪崩效應，這是一個非常好的特性。DES的強度依賴於演算法自身和其使用的56bit密鑰。一種攻擊利用DES演算法的特點使分析密碼成為可能。多年來，DES已經經歷了無數次尋找和利用演算法弱點的嘗試，成了當今研究得最多的加密演算法。即使這樣，仍然沒有人公開宣稱成功地發現了DES的致命弱點。然而，密鑰長度是更嚴峻的問題。DES的密鑰空間為256，如假設僅一半的密鑰空間需要搜索，則一台1us完成一次DES加密的機器需要1000年才能破譯DES密鑰。事實卻沒有這么樂觀，早在1977年，Diffie和Hellman就設想有一種技術可以製造出具有100萬個加密設備的並行機，其中的每一個設備都可以在1lls之內完成一次加密。這樣平均搜索時間就減少到lOh。在1977年，這兩位作者估計這種機器在當時約價值2000萬美元。到1998年7月，EFF(Electronic FrontierFoundation)宣布攻破了DES演算法，他們使用的是不到25萬美元的特殊「DES破譯機」，這種攻擊只需要不到3天的時間。在已知密文／明文對時，密鑰搜索攻擊就是簡單地搜索所有可能的密鑰；如果沒有已知的密文／明文對時，攻擊者必須自己識別明文。這是一個有相當難度的工作。如果報文是以普通英語寫成的，可以使用程序自動完成英語的識別。如果明文報文在加密之前做過壓縮，那麼識別工作就更加困難。如果報文是某種更一般的類型，如二進制文件，那麼問題就更加難以自動化。因此，窮舉搜索還需要一些輔助信息，這包括對預期明文的某種程度的了解和自動區分明文與亂碼的某種手段。2.三重DES 三重DES(Triple-DES)是人們在發現DES密鑰過短，易於受到蠻力攻擊而提出的一種替代加密演算法。三重DES最初由Tuchman提出，在1985年的ASNI標准X9.17中第一次針對金融應用進行了標准化。在1999年，三重DES合並入數據加密標准中。 三重DES使用3個密鑰，執行3次DES演算法，如下動畫所示。加密過程為加密一解密一加密(EDE)，可表述為如下的公式：C ＝ EK3（DK2（EK1（M）））解密時按密鑰相反次序進行同樣的操作，表述為：M＝ DK1（EK2（DK3（C））） 其中，C表示密文，M表示明文，EK(X)表示使用密鑰K對X進行加密，DK(X)表示使用密鑰K對X進行解密。 為了避免三重DES使用3個密鑰進行三階段加密帶來的密鑰過長的缺點(56X3=168bit)，Tuchman提出使用兩個密鑰的三重加密方法，這個方法只要求112bit密鑰，即令其K1=K3：C = EK1(DK2(EK1(M))) 三重DES的第二階段的解密並沒有密碼編碼學上的意義。它的惟一優點是可以使用三重DES解密原來的單次DES加密的數據，即：K1=K2=K3。C=EK1(DKl(EKl(M)))=EKl(M)本答案參考於： http://bbs.xml.org.cn/dispbbs.asp?boardID=65&ID=69204

⑤ 確保網路空間安全的國家戰略是什麼發布的國家戰略

美國。根據美國政府官網查詢做爛顯示，美國在2003年公布了《確保網路空間安全的國家戰略》，這份文件明確了中國在網路空間安全方面的基本政策和主要任務，提出了加強網備橋絡空間安全的措施和建議。仿胡猛

⑥ 關於電信網路關鍵信息基礎設施保護的思考

文 華為技術有限公司中國區網路安全與用戶隱私保護部 馮運波 李加贊 姚慶天

根據我國《網路安全法》及《關鍵信息基礎設施安全保護條例》，關鍵信息基礎設施是指「公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的網路設施和信息系統」。其中，電信網路自身是關鍵信息基礎設施，同時又為其他行業的關鍵信息基礎設施提供網路通信和信息服務，在國家經濟、科教、文化以及 社會 管理等方面起到基礎性的支撐作用。電信網路是關鍵信息基礎設施的基礎設施，做好電信網路關鍵信息基礎設施的安全保護尤為重要。

一、電信網路關鍵信息基礎設施的范圍

依據《關鍵信息基礎設施安全保護條例》第 9條，應由通信行業主管部門結合本行業、本領域實際，制定電信行業關鍵信息基礎設施的認定規則。

不同於其他行業的關鍵信息基礎設施，承載話音、數據、消息的電信網路（以 CT 系統為主）與絕大多數其他行業的關鍵信息基礎設施（以 IT 系統為主）不同，電信網路要復雜得多。電信網路會涉及移動接入網路（2G/3G/4G/5G）、固定接入網、傳送網、IP 網、移動核心網、IP 多媒體子系統核心網、網管支撐網、業務支撐網等多個通信網路，任何一個網路被攻擊，都會對承載在電信網上的話音或數據業務造成影響。

在電信行業關鍵信息基礎設施認定方面，美國的《國家關鍵功能集》可以借鑒。2019 年 4 月，美國國土安全部下屬的國家網路安全和基礎設施安全局（CISA）國家風險管理中心發布了《國家關鍵功能集》，將影響國家關鍵功能劃分為供應、分配、管理和連接四個領域。按此分類方式，電信網路屬於連接類。

除了上述電信網路和服務外，支撐網路運營的大量 IT 支撐系統，如業務支撐系統（BSS）、網管支撐系統（OSS），也非常重要，應考慮納入關鍵信息基礎設施范圍。例如，網管系統由於管理著電信網路的網元設備，一旦被入侵，通過網管系統可以控制核心網路，造成網路癱瘓；業務支撐系統（計費）支撐了電信網路運營，保存了用戶數據，一旦被入侵，可能造成用戶敏感信息泄露。

二、電信網路關鍵信息基礎設施的保護目標和方法

電信網路是數字化浪潮的關鍵基礎設施，扮演非常重要的角色，關系國計民生。各國政府高度重視關鍵基礎設施安全保護，紛紛明確關鍵信息基礎設施的保護目標。

2007 年，美國國土安全部（DHS）發布《國土安全國家戰略》，首次指出面對不確定性的挑戰，需要保證國家基礎設施的韌性。2013 年 2 月，奧巴馬簽發了《改進關鍵基礎設施網路安全行政指令》，其首要策略是改善關鍵基礎設施的安全和韌性，並要求美國國家標准與技術研究院（NIST）制定網路安全框架。NIST 於 2018 年 4 月發布的《改進關鍵基礎設施網路安全框架》（CSF）提出，關鍵基礎設施保護要圍繞識別、防護、檢測、響應、恢復環節，建立網路安全框架，管理網路安全風險。NIST CSF圍繞關鍵基礎設施的網路韌性要求，定義了 IPDRR能力框架模型，並引用了 SP800-53 和 ISO27001 等標准。IPDRR能力框架模型包括風險識別（Identify）、安全防禦（Protect）、安全檢測（Detect）、安全響應（Response）和安全恢復（Recovery）五大能力，是這五個能力的首字母。2018 年 5 月，DHS 發布《網路安全戰略》，將「通過加強政府網路和關鍵基礎設施的安全性和韌性，提高國家網路安全風險管理水平」作為核心目標。

2009 年 3 月，歐盟委員會通過法案，要求保護歐洲網路安全和韌性；2016 年 6 月，歐盟議會發布「歐盟網路和信息系統安全指令」（NISDIRECTIVE），牽引歐盟各國關鍵基礎設施國家戰略設計和立法；歐盟成員國以 NIS DIRECTIVE為基礎，參考歐盟網路安全局（ENISA）的建議開發國家網路安全戰略。2016 年，ENISA 承接 NISDIRECTIVE，面向數字服務提供商（DSP）發布安全技術指南，定義 27 個安全技術目標（SO），該SO 系列條款和 ISO 27001/NIST CSF之間互相匹配，關鍵基礎設施的網路韌性成為重要要求。

借鑒國際實踐，我國電信網路關鍵信息基礎設施安全保護的核心目標應該是：保證網路的可用性，確保網路不癱瘓，在受到網路攻擊時，能發現和阻斷攻擊、快速恢復網路服務，實現網路高韌性；同時提升電信網路安全風險管理水平，確保網路數據和用戶數據安全。

我國《關鍵信息基礎設施安全保護條例》第五條和第六條規定：國家對關鍵信息基礎設施實行重點保護，在網路安全等級保護的基礎上，採取技術保護措施和其他必要措施，應對網路安全事件，保障關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。我國《國家網路空間安全戰略》也提出，要著眼識別、防護、檢測、預警、響應、處置等環節，建立實施關鍵信息基礎設施保護制度。

參考 IPDRR 能力框架模型，建立電信網路的資產風險識別（I）、安全防護（P）、安全檢測（D）、安全事件響應和處置（R）和在受攻擊後的恢復（R）能力，應成為實施電信網路關鍵信息基礎設施安全保護的方法論。參考 NIST 發布的 CSF，開展電信網路安全保護，可按照七個步驟開展。一是確定優先順序和范圍，確定電信網路單元的保護目標和優先順序。二是定位，明確需要納入關基保護的相關系統和資產，識別這些系統和資產面臨的威脅及存在的漏洞、風險。三是根據安全現狀，創建當前的安全輪廓。四是評估風險，依據整體風險管理流程或之前的風險管理活動進行風險評估。評估時，需要分析運營環境，判斷是否有網路安全事件發生，並評估事件對組織的影響。五是為未來期望的安全結果創建目標安全輪廓。六是確定當期風險管理結果與期望目標之間的差距，通過分析這些差距，對其進行優先順序排序，然後制定一份優先順序執行行動計劃以消除這些差距。七是執行行動計劃，決定應該執行哪些行動以消除差距。

三、電信網路關鍵信息基礎設施的安全風險評估

做好電信網路的安全保護，首先要全面識別電信網路所包含的資產及其面臨的安全風險，根據風險制定相應的風險消減方案和保護方案。

1. 對不同的電信網路應分別進行安全風險評估

不同電信網路的結構、功能、採用的技術差異很大，面臨的安全風險也不一樣。例如，光傳送網與 5G 核心網（5G Core）所面臨的安全風險有顯著差異。光傳送網設備是數據鏈路層設備，轉發用戶面數據流量，設備分散部署，從用戶面很難攻擊到傳送網設備，面臨的安全風險主要來自管理面；而5G 核心網是 5G 網路的神經中樞，在雲化基礎設施上集中部署，由於 5G 網路能力開放，不僅有來自管理面的風險，也有來自互聯網的風險，一旦被滲透攻擊，影響面極大。再如，5G 無線接入網（5GRAN）和 5G Core 所面臨的安全風險也存在顯著差異。5G RAN 面臨的風險主要來自物理介面攻擊、無線空口乾擾、偽基站及管理面，從現網運維實踐來看，RAN 被滲透的攻擊的案例極其罕見，風險相對較小。5G Core 的雲化、IT 化、服務化（SBA）架構，傳統的 IT 系統的風險也引入到電信網路；網路能力開放、用戶埠功能（UPF）下沉到邊緣等，導致介面增多，暴露面擴大，因此，5G Core 所面臨的安全風險客觀上高於 5G RAN。在電信網路的范圍確定後，運營商應按照不同的網路單元，全面做好每個網路單元的安全風險評估。

2. 做好電信網路三個平面的安全風險評估

電信網路分為三個平面：控制面、管理面和用戶面，對電信網路的安全風險評估，應從三個平面分別入手，分析可能存在的安全風險。

控制面網元之間的通信依賴信令協議，信令協議也存在安全風險。以七號信令（SS7）為例，全球移動通信系統協會（GSMA）在 2015 年公布了存在 SS7 信令存在漏洞，可能導致任意用戶非法位置查詢、簡訊竊取、通話竊聽；如果信令網關解析信令有問題，外部攻擊者可以直接中斷關鍵核心網元。例如，5G 的 UPF 下沉到邊緣園區後，由於 UPF 所處的物理環境不可控，若 UPF 被滲透，則存在通過UPF 的 N4 口攻擊核心網的風險。

電信網路的管理面風險在三個平面中的風險是最高的。例如，歐盟將 5G 管理面管理和編排（MANO）風險列為最高等級。全球電信網路安全事件顯示，電信網路被攻擊的實際案例主要是通過攻擊管理面實現的。雖然運營商在管理面部署了統一安全管理平台解決方案（4A）、堡壘機、安全運營系統（SOC）、多因素認證等安全防護措施，但是，在通信網安全防護檢查中，經常會發現管理面安全域劃分不合理、管控策略不嚴，安全防護措施不到位、遠程接入 VPN 設備及 4A 系統存在漏洞等現象，導致管理面的系統容易被滲透。

電信網路的用戶面傳輸用戶通信數據，電信網元一般只轉發用戶面通信內容，不解析、不存儲用戶數據，在做好終端和互聯網介面防護的情況下，安全風險相對可控。用戶面主要存在的安全風險包括：用戶面信息若未加密，在網路傳輸過程中可能被竊聽；海量用戶終端接入可能導致用戶面流量分布式拒絕服務攻擊（DDoS）；用戶面傳輸的內容可能存在惡意信息，例如惡意軟體、電信詐騙信息等；電信網路設備用戶面介面可能遭受來自互聯網的攻擊等。

3. 做好內外部介面的安全風險評估

在開展電信網路安全風險評估時，應從端到端的視角分析網路存在的外部介面和網元之間內部介面的風險，尤其是重點做好外部介面風險評估。以 5G 核心網為例，5G 核心網存在如下外部介面：與 UE 之間的 N1 介面，與基站之間的 N2 介面、與UPF 之間的 N4 介面、與互聯網之間的 N6 介面等，還有漫遊介面、能力開放介面、管理面介面等。每個介面連接不同的安全域，存在不同風險。根據3GPP 協議標準定義，在 5G 非獨立組網（NSA）中，當用戶漫遊到其他網路時，該用戶的鑒權、認證、位置登記，需要在漫遊網路與歸屬網路之間傳遞。漫遊邊界介面用於運營商之間互聯互通，需要經過公網傳輸。因此，這些漫遊介面均為可訪問的公網介面，而這些介面所使用的協議沒有定義認證、加密、完整性保護機制。

4. 做好虛擬化/容器環境的安全風險評估

移動核心網已經雲化，雲化架構相比傳統架構，引入了通用硬體，將網路功能運行在虛擬環境/容器環境中，為運營商帶來低成本的網路和業務的快速部署。虛擬化使近端物理接觸的攻擊變得更加困難，並簡化了攻擊下的災難隔離和災難恢復。網路功能虛擬化（NFV）環境面臨傳統網路未遇到過的新的安全威脅，包括物理資源共享打破物理邊界、虛擬化層大量採用開源和第三方軟體引入大量開源漏洞和風險、分層多廠商集成導致安全定責與安全策略協同更加困難、傳統安全靜態配置策略無自動調整能力導致無法應對遷移擴容等場景。雲化環境中網元可能面臨的典型安全風險包括：通過虛擬網路竊聽或篡改應用層通信內容，攻擊虛擬存儲，非法訪問應用層的用戶數據，篡改鏡像，虛擬機（VM）之間攻擊、通過網路功能虛擬化基礎設施（NFVI）非法攻擊 VM，導致業務不可用等。

5. 做好暴露面資產的安全風險評估

電信網路規模大，涉及的網元多，但是，哪些是互聯網暴露面資產，應首先做好梳理。例如，5G網路中，5G 基站（gNB）、UPF、安全電子支付協議（SEPP）、應用功能（AF）、網路開放功能（NEF）等網元存在與非可信域設備之間的介面，應被視為暴露面資產。暴露面設備容易成為入侵網路的突破口，因此，需重點做好暴露面資產的風險評估和安全加固。

四、對運營商加強電信網路關鍵信息基礎設施安全保護的建議

參考國際上通行的 IPDRR 方法，運營商應根據場景化安全風險，按照事前、事中、事後三個階段，構建電信網路安全防護能力，實現網路高韌性、數據高安全性。

1. 構建電信網路資產、風險識別能力

建設電信網路資產風險管理系統，統一識別和管理電信網路所有的硬體、平台軟體、虛擬 VNF網元、安全關鍵設備及軟體版本，定期開展資產和風險掃描，實現資產和風險可視化。安全關鍵功能設備是實施網路監管和控制的關鍵網元，例如，MANO、虛擬化編排器、運維管理接入堡壘機、位於安全域邊界的防火牆、活動目錄（AD）域控伺服器、運維 VPN 接入網關、審計和監控系統等。安全關鍵功能設備一旦被非法入侵，對電信網路的影響極大，因此，應做好對安全關鍵功能設備資產的識別和並加強技術管控。

2. 建立網路縱深安全防護體系

一是通過劃分網路安全域，實現電信網路分層分域的縱深安全防護。可以將電信網路用戶面、控制面的系統劃分為非信任區、半信任區、信任區三大類安全區域；管理面的網路管理安全域（NMS），其安全信任等級是整個網路中最高的。互聯網第三方應用屬於非信任區；對外暴露的網元（如 5G 的 NEF、UPF）等放在半信任區，核心網控制類網元如接入和移動管理功能（AMF）等和存放用戶認證鑒權網路數據的網元如歸屬簽約用戶伺服器（HSS）、統一數據管理（UDM）等放在信任區進行保護，並對用戶認證鑒權網路數據進行加密等特別的防護。二是加強電信網路對外邊界安全防護，包括互聯網邊界、承載網邊界，基於對邊界的安全風險分析，構建不同的防護方案，部署防火牆、入侵防禦系統（IPS）、抗DDoS 攻擊、信令防護、全流量監測（NTA）等安全防護設備。三是採用防火牆、虛擬防火牆、IPS、虛擬數據中心（VDC）/虛擬私有網路（VPC）隔離，例如通過防火牆（Firewall）可限制大部分非法的網路訪問，IPS 可以基於流量分析發現網路攻擊行為並進行阻斷，VDC 可以實現雲內物理資源級別的隔離，VPC 可以實現虛擬化層級別的隔離。四是在同一個安全域內，採用虛擬區域網（VLAN）、微分段、VPC 隔離，實現網元訪問許可權最小化控制，防止同一安全域內的橫向移動攻擊。五是基於網元間通信矩陣白名單，在電信網路安全域邊界、安全域內實現精細化的異常流量監控、訪問控制等。

3. 構建全面威脅監測能力

在電信網路外部邊界、安全域邊界、安全域內部署網路層威脅感知能力，通過部署深度報文檢測（DPI）類設備，基於網路流量分析發現網路攻擊行為。基於設備商的網元內生安全檢測能力，構建操作系統（OS）入侵、虛擬化逃逸、網元業務面異常檢測、網元運維面異常檢測等安全風險檢測能力。基於流量監測、網元內生安全組件監測、採集電信網元日誌分析等多種方式，構建全面威脅安全態勢感知平台，及時發現各類安全威脅、安全事件和異常行為。

4. 加強電信網路管理面安全風險管控

管理面的風險最高，應重點防護。針對電信網路管理面的風險，應做好管理面網路隔離、運維終端的安全管控、管理員登錄設備的多因素認證和許可權控制、運維操作的安全審計等，防止越權訪問，防止從管理面入侵電信網路，保護用戶數據安全。

5. 構建智能化、自動化的安全事件響應和恢復能力

在網路級縱深安全防護體系基礎上，建立安全運營管控平台，對邊界防護、域間防護、訪問控制列表（ACL）、微分段、VPC 等安全訪問控制策略實施統一編排，基於流量、網元日誌及網元內生組件上報的安全事件開展大數據分析，及時發現入侵行為，並能對攻擊行為自動化響應。

（本文刊登於《中國信息安全》雜志2021年第11期）

⑦ 世界上第一個計算機網路安全標準是什麼標准

•在20世紀60年代，美國國防部成立了專門機構，開始研究計算機使用環境中的安全策略問題，70年代又在KSOS、PSOS和KVM操作系統上展開了進一步的研究工作，80年代，美國國防部發布了「可信計算機系統評估准則」（TCSEC，Trusted Computer System Evaluation Criteria），簡稱桔皮書，後經修改用作了美國國防部的標准，並相繼發布了可信資料庫解釋（TDI）、可信網路解釋（TNI）等一系列相關的說明和指南。

⑧ NIST發布《SP 800-53 第5版 信息系統和組織的安全和隱私控制》

        9月23日，NIST發布《SP 800-53 第5版 信息系統和組織的安全和隱私控制》，該文件一直被視作NIST信息安全的支撐性文件，本次更新旨在開發一個全面的安全和隱私控制目錄，用於管理不同規模的組織從超級計算機到工業控制系統再到物聯網（IoT）設備的所有類型的系統風險。這些控制措施提供了一種主動而又系統的方法，以確保關鍵的系統、組件和服務具有足夠的可信度和必要的網路彈性，從而維護美國的國家安全和經濟利益。

      【注】SP800（SP，Special Publications）是美國國家標准與技術研究院（NIST）發布的一系列關於「信息安全的指南」。在NIST的標准系列文件中，雖然NIST SP並不作為正式法定標准，但在實際工作中，已經成為美國和國際安全界得到廣泛認可的事實標准和權威指南。NIST SP800系列成為了指導美國信息安全管理建設的主要標准和參考資料。

        SP 800-53是信息安全風險管理框架的重要組成部分，為選擇和規定信息系統安全控制措施提供了指導原則。主要介紹了安全控制措施選擇和規范化的基本概念以及為信息系統選擇和說明控制措施的過程，以幫助組織達到對信息系統安全和風險的有效管理。

         SP 800-53 是不定期更新的文檔，第5版的重要變更如下：

         控制要求變為結果導向：從控制說明中刪除了「由信息系統、組織滿足控制要求」，強調通過應用來實現安全保障作用。為了與上版內容保持連貫，新版在附錄C（控制的總結）中額外增加了內容為「由『系統/組織』實現」的一列。

         合並控制目錄：將信息安全和隱私控制集成到系統和組織的統一控制目錄中。原修訂版4附錄J中的隱私控制已合並到新的隱私體系和現有的程序管理體系中。此外，一些隱私控制還被合並到當前的安全控制中，從而使這些控制既可以服務於安全又可以保護隱私，進一步提升了控制功能。

         整合供應鏈風險管理：建立了一個新的供應鏈風險管理（SCRM）控制體系，並將這個新的體系與已有體系相結合，以保護關鍵系統和基礎設施中的系統組件、產品和服務。SCRM控制體系有助於解決國家乃至全球供應鏈在整個系統開發生命周期中的隱私安全和威脅問題。

         將選擇控制過程與控制目錄分離：新版本擁有一個統一的、獨立的控制目錄，可允許系統工程師、安全架構師、軟體開發人員、企業架構師、系統安全和隱私工程師、業務所有者等各類人員根據組織策略和業務需要使用個性化的流程來選擇控制，並使其更好地協作。

         將控制基線和裁剪指南轉移到單獨的出版物：將控制基線移到了新的NIST SP 800-53B《信息系統和組織的控制基線》中。這三條安全基線和一條隱私基線適用於聯邦機構，反映了《聯邦信息安全現代化法案（FISMA）》和《管理和預算辦公室（OMB）A-130號通知》的具體要求。其他組織可根據其業務需要和組織風險承受能力，選擇制定自己的定製基線。

         改進對內容關系的描述：澄清了要求和控制之間的關系，以及安全和隱私控制之間的關系。這些關系有助於用戶判斷是在企業級選擇和實施控制，還是將其作為基於生命周期的系統工程過程的一部分。

         新增可實踐控制：隨著網路威脅的迅速發展，需要新的保障措施和對策來保護組織的重要資產，包括個人隱私和個人身份信息。版本5基於最新的威脅情報和網路攻擊數據增加了新的控制（如支持網路彈性、安全系統設計、安全和隱私治理等）。

         目前，NIST SP 800系列已經出版了近90本同信息安全相關的正式文件，形成了從計劃、風險管 理、安全意識培訓和教育以及安全控制措施的一整套信息安全管理體系，如：

NIST SP800-53和SP800-60描述了信息系統與安全目標及風險級別對應指南

NIST SP800-26和SP800-30分別描述了自評估指南和風險管理指南

NIST SP800-51描述通用缺陷和暴露（CVE）缺陷命名方案的使用

NIST SP800-30分別描述了自評估指南和風險管理指南

NIST SP800-34信息技術系統應急計劃指南

NIST SP800-34安全內容自動化協議（SCAP）指南

         此外，NIST還陸續發布了多種框架來幫助用戶選擇和實施這些控制，包括風險管理框架（RMF）、網路安全框架（CSF）、隱私框架（PF）。這次新版控制目錄的內容NIST將以不同格式陸續發布，詳情可參見NIST官網：https://csrc.nist.gov。

⑨ 計算機網路安全的詳細解釋

計算機網路安全概述上海共享網
上海共享網
互聯網路（Internet）起源於1969年的ARPANet，最初用於軍事目的，1993年開始用於商業應用，進入快速發展階段。到目前為止，互連網已經覆蓋了175個國家和地區的數千萬台計算機，用戶數量超過一億。隨著計算機網路的普及，計算機網路的應用向深度和廣度不斷發展。企業上網、政府上網、網上學校、網上購物......，一個網路化社會的雛形已經展現在我們面前。在網路給人們帶來巨大的便利的同時，也帶來了一些不容忽視的問題，網路信息的安全保密問題就是其中之一。上海共享網
上海共享網
一．網路信息安全的涵義上海共享網
網路信息既有存儲於網路節點上信息資源，即靜態信息，又有傳播於網路節點間的信息，即動態信息。而這些靜態信息和動態信息中有些是開放的，如廣告、公共信息等，有些是保密的，如:私人間的通信、政府及軍事部門、商業機密等。網路信息安全一般是指網路信息的機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）及真實性（Authenticity）。網路信息的機密性是指網路信息的內容不會被未授權的第三方所知。網路信息的完整性是指信息在存儲或傳輸時不被修改、破壞，不出現信息包的丟失、亂序等，即不能為未授權的第三方修改。信息的完整性是信息安全的基本要求，破壞信息的完整性是影響信息安全的常用手段。當前，運行於互聯網上的協議（如TCP/IP）等，能夠確保信息在數據包級別的完整性，即做到了傳輸過程中不丟信息包，不重復接收信息包，但卻無法制止未授權第三方對信息包內部的修改。網路信息的可用性包括對靜態信息的可得到和可操作性及對動態信息內容的可見性。網路信息的真實性是指信息的可信度，主要是指對信息所有者或發送者的身份的確認。上海共享網
前不久，美國計算機安全專家又提出了一種新的安全框架，包括：機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、真實性（Authenticity）、實用性（Utility）、佔有性（Possession），即在原來的基礎上增加了實用性、佔有性，認為這樣才能解釋各種網路安全問題：網路信息的實用性是指信息加密密鑰不可丟失（不是泄密），丟失了密鑰的信息也就丟失了信息的實用性,成為垃圾。網路信息的佔有性是指存儲信息的節點、磁碟等信息載體被盜用，導致對信息的佔用權的喪失。保護信息佔有性的方法有使用版權、專利、商業秘密性，提供物理和邏輯的存取限制方法；維護和檢查有關盜竊文件的審記記錄、使用標簽等。上海共享網
上海共享網
二．攻擊互聯網路安全性的類型上海共享網
對互聯網路的攻擊包括對靜態數據的攻擊和對動態數據的攻擊。 對靜態數據的攻擊主要有：上海共享網
口令猜測：通過窮舉方式搜索口令空間，逐一測試，得到口令，進而非法入侵系統。上海共享網
IP地址欺騙：攻擊者偽裝成源自一台內部主機的一個外部地點傳送信息包，這些信息包中包含有內部系統的源IP地址，冒名他人，竊取信息。上海共享網
指定路由：發送方指定一信息包到達目的站點的路由，而這條路由是經過精心設計的、繞過設有安全控制的路由。上海共享網
根據對動態信息的攻擊形式不同，可以將攻擊分為主動攻擊和被動攻擊兩種。上海共享網
被動攻擊主要是指攻擊者監聽網路上傳遞的信息流，從而獲取信息的內容（interception），或僅僅希望得到信息流的長度、傳輸頻率等數據，稱為流量分析（traffic analysis）。被動攻擊和竊聽示意圖如圖1、圖2所示：上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
除了被動攻擊的方式外，攻擊者還可以採用主動攻擊的方式。主動攻擊是指攻擊者通過有選擇的修改、刪除、延遲、亂序、復制、插入數據流或數據流的一部分以達到其非法目的。主動攻擊可以歸納為中斷、篡改、偽造三種（見圖3）。中斷是指阻斷由發送方到接收方的信息流，使接收方無法得到該信息，這是針對信息可用性的攻擊（如圖4）。篡改是指攻擊者修改、破壞由發送方到接收方的信息流，使接收方得到錯誤的信息，從而破壞信息的完整性（如圖5）。偽造是針對信息的真實性的攻擊，攻擊者或者是首先記錄一段發送方與接收方之間的信息流，然後在適當時間向接收方或發送方重放（playback）這段信息，或者是完全偽造一段信息流，冒充接收方可信任的第三方，向接收方發送。（如圖6）上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
上海共享網
三。網路安全機制應具有的功能上海共享網
由於上述威脅的存在，因此採取措施對網路信息加以保護，以使受到攻擊的威脅減到最小是必須的。一個網路安全系統應有如下的功能：上海共享網
1．身份識別：身份識別是安全系統應具備的最基本功能。這是驗證通信雙方身份的有效手段，用戶向其系統請求服務時，要出示自己的身份證明，例如輸入User ID和Password。而系統應具備查驗用戶的身份證明的能力，對於用戶的輸入，能夠明確判別該輸入是否來自合法用戶。上海共享網
2．存取許可權控制：其基本任務是防止非法用戶進入系統及防止合法用戶對系統資源的非法使用。在開放系統中，網上資源的使用應制訂一些規定：一是定義哪些用戶可以訪問哪些資源，二是定義可以訪問的用戶各自具備的讀、寫、操作等許可權。上海共享網
3．數字簽名：即通過一定的機制如RSA公鑰加密演算法等，使信息接收方能夠做出「該信息是來自某一數據源且只可能來自該數據源」的判斷。上海共享網
4．保護數據完整性：既通過一定的機制如加入消息摘要等，以發現信息是否被非法修改，避免用戶或主機被偽信息欺騙。上海共享網
5．審計追蹤：既通過記錄日誌、對一些有關信息統計等手段，使系統在出現安全問題時能夠追查原因。上海共享網
密鑰管理：信息加密是保障信息安全的重要途徑，以密文方式在相對安全的信道上傳遞信息，可以讓用戶比較放心地使用網路，如果密鑰泄露或居心不良者通過積累大量密文而增加密文的破譯機會，都會對通信安全造成威脅。因此，對密鑰的產生、存儲、傳遞和定期更換進行有效地控制而引入密鑰管理機制，對增加網路的安全性和抗攻擊性也是非常重要的。上海共享網
上海共享網
四。網路信息安全常用技術上海共享網
通常保障網路信息安全的方法有兩大類：以「防火牆」技術為代表的被動防衛型和建立在數據加密、用戶授權確認機制上的開放型網路安全保障技術。上海共享網
1．防火牆技術：「防火牆」（Firewall）安全保障技術主要是為了保護與互聯網相連的企業內部網路或單獨節點。它具有簡單實用的特點，並且透明度高,可以在不修改原有網路應用系統的情況下達到一定的安全要求。防火牆一方面通過檢查、分析、過濾從內部網流出的IP包，盡可能地對外部網路屏蔽被保護網路或節點的信息、結構，另一方面對內屏蔽外部某些危險地址，實現對內部網路的保護。上海共享網
2．數據加密與用戶授權訪問控制技術：與防火牆相比，數據加密與用戶授權訪問控制技術比較靈活，更加適用於開放網路。用戶授權訪問控制主要用於對靜態信息的保護，需要系統級別的支持，一般在操作系統中實現。數據加密主要用於對動態信息的保護。前面已經提到，對動態數據的攻擊分為主動攻擊和被動攻擊，我們注意到，對於主動攻擊，雖無法避免，但卻可以有效的檢測；而對於被動攻擊，雖無法檢測，但卻可以避免，而實現這一切的基礎就是數據加密。數據加密實質上是對以符號為基礎的數據進行移位和置換的變換演算法。這種變換是受稱為密鑰的符號串控制的。在傳統的加密演算法中，加密密鑰與解密密鑰是相同的，或者可以由其中一個推知另一個，稱為對稱密鑰演算法。這樣的密鑰必須秘密保管，只能為授權用戶所知，授權用戶既可以用該密鑰加密信息，也可以用該密鑰解密信息。DES （Data Encryption Standard）是對稱加密演算法中最具代表性的,它是IBM公司W.tuchman 和C.meyer 在1971年到1972年研製成功的，在1977年5月由美國國家標准局頒部為數據加密標准。DES可以對任意長度的數據加密，密鑰長度64比特，實際可用密鑰長度56比特，加密時首先將數據分為64比特的數據塊，採用ECB（Electronic CodeBook）、CBC（Ciper Block Chaining）、CFB（Ciper Block Feedback）等模式之一，每次將輸入的64比特明文變換為64比特密文。最終，將所有輸出數據塊合並，實現數據加密。如果加密、解密過程各有不相乾的密鑰，構成加密、解密密鑰對，則稱這種加密演算法為非對稱加密演算法，或稱為公鑰加密演算法，相應的加密、解密密鑰分別稱為公鑰、私鑰。在公鑰加密演算法下，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發送給私鑰擁有者；私鑰是保密的，用於解密其接收的公鑰加密過的信息。典型的公鑰加密演算法如RSA （Ronald L Rivest,Adi Shamir,Leonard Adleman），是目前使用比較廣泛的加密演算法。在互聯網上的數據安全傳輸，如Netscape Navigator 和 Microsoft Internet Explorer都使用了該演算法。RSA演算法建立在大數因子分解的復雜性上，簡單來說，先選取兩個素數p、q，一般要求兩數均大於10的100次冪，計算 n=p*q，z=（p - 1）*（q - 1），選擇一個與z互質的數d，找一個數e滿足d*e ≡1 （mod z），將（e，n）作為公鑰，將（d，z）作為密鑰。RSA的保密性在於n的分解難度上，如果n分解成功，則可推知（d，z），也就無保密性可言了。上海共享網
有了信息加密的手段，我們就可以對動態信息採取保護措施了。為了防止信息內容泄露，我們可以將被傳送的信息加密，使信息以密文的形式在網路上傳輸。這樣，攻擊者即使截獲了信息，也只是密文，而無法知道信息的內容。為了檢測出攻擊者篡改了消息內容，可以採用認證的方法，即或是對整個信息加密，或是由一些消息認證函數（MAC函數）生成消息認證碼（Message Authentication Code），再對消息認證碼加密，隨信息一同發送。攻擊者對信息的修改將導致信息與消息認證碼的不一致，從而達到檢測消息完整性的目的。為了檢測出攻擊者偽造信息，可以在信息中加入加密的消息認證碼和時間戳，這樣，若是攻擊者發送自己生成的信息，將無法生成對應的消息認證碼，若是攻擊者重放以前的合法信息，接收方可以通過檢驗時間戳的方式加以識別。上海共享網
上海共享網
五。對網路信息安全的前景的展望上海共享網
隨著網路的發展，技術的進步，網路安全面臨的挑戰也在增大。一方面，對網路的攻擊方式層出不窮：1996年以報道的攻擊方式有400種，1997年達到 1000種，1998年即達到4000種，兩年間增加了十倍，攻擊方式的增加意味著對網路威脅的增大；隨著硬體技術和並行技術的發展，計算機的計算能力迅速提高，原來認為安全的加密方式有可能失效，如1994年4月26日，人們用計算機破譯了RSA發明人17年前提出的數學難題：一個129位數數字中包含的一條密語，而在問題提出時預測該問題用計算機需要850萬年才能分解成功；針對安全通信措施的攻擊也不斷取得進展，如1990年6月20日美國科學家找到了155位大數因子的分解方法，使「美國的加密體制受到威脅」。另一方面，網路應用范圍的不斷擴大，使人們對網路依賴的程度增大，對網路的破壞造成的損失和混亂會比以往任何時候都大。這些網路信息安全保護提出了更高的要求，也使網路信息安全學科的地位越顯得重要，網路信息安全必然隨著網路應用的發展而不斷發展。上海共享網

⑩ 網路三級：美國國防部安全准則中安全級別。

美國國防部不使用WINDOWS也不定義安全級別
NCSC領導著計算機和網路安全的研究工作,研製計算機安全技術標准,它在1983年提出了 "可信計算機系統評測標准"(TCSEC-TrustedComputer System Evaluation Crite ria),規定了安全計算機的基本准則。1987年又發布了"可用網路說明"(TNI-Trusted Ne twork In
terpr etation),規定了一個安全網路的基本准則,根據不同的安全強度要求,將網路分為四級安全模型。
在TCSEC准則中將計算機系統的安全分為了四大類,依次為D、B、C和A,A是最高的一類, 每一類都代表一個保護敏感信息的評判准則,並且一類比一類嚴格。在C和B中又分若干個子類,我們稱為級,下面分
別進行介紹。
·D類:最小的保護。這是最低的一類,不再分級,這類是那些通過評測但達不到較高級別安全要求的系統。早期商用系統屬於這一類。
·C類:無條件的保護。C類提供的無條件的保護也就是"需要則知道"(need-to-know n)的保護,又分兩個子類。
——C1:無條件的安全保護。這是C類中較低的一個子類,提供的安全策略是無條件的訪問控制,具有識別與授權的責任。早期的UNIX系統屬於這一類。
——C2:有控制的存取保護。這是C類中較高的一個子類,除了提供C1中的策略與責任外,還有訪問保護和審計跟蹤功能。
·B類:屬強制保護,要求系統在其生成的數據結構中帶有標記,並要求提供對數據流的監視,B類又分三個子類:
——B1:標記安全保護,是B類中的最低子類,除滿足C類要求外,要求提供數據標記。
——B2:結構安全保護,是B類中的中間子類,除滿足B1要求外,要實行強制性的控制。
——B3:安全域保護,是B類中的最高子類,提供可信設備的管理和恢復,即使計算機崩潰,也不會泄露系統信息。
·A類:經過驗證的保護,是安全系統等級的最高類,這類系統可建立在具有結構、規范和信息流密閉的形式模型基礎之上。
A1:經過驗證保護。
TCSEC共定義了四類7級可信計算機系統准則,銀行界一般都使用滿足C2級或更高的計算機系統