美国发布网络安全框架

① 美国系统网络安全协会公布20大安全威胁

据国外媒体报道，美国系统网络安全协会（SANS）近日发布了2007年20大互联网安全威胁，结果杀毒软件也榜上有名。
与2006年相比，今年的20大威胁中有很多是相同的。网络浏览器、媒体播放器等仍然是黑客攻击企败局业网络、盗取敏感信息的借助工具吵碧。

另外，保护网络安全的杀毒软件也榜上有名。以下为SANS评出的2007年20大互联网威胁（实为18种威胁）：

客户端威胁：

1. 网络浏览器

2. Office软件

3. 电子邮件客户端

4. 媒体播放器

服务器端威胁：

1. Web应用

2. Windows服务

3. Unix和Mac OS服务

4.备份软件

5. 杀毒软件

6. 管理服务器

7. 数据库软件

安全策略威胁：

1. 过多的用户权限及未授权设备

2. 钓鱼式攻击

3. 未加密笔记本和便携媒介

应用威胁：

察碰让1. IM

2.P2P程序

网络设备威胁：

1.VoIP服务器和电话

2.零日攻击

② 红蓝对抗之蓝队防守：ATT&CK框架的应用

文章来 源： HACK之道

企业大规模数字化转型的浪潮下，各类网络入侵事件频发、APT和黑客团伙活动猖獗，合规性驱动的传统安全防护建设已无法满足需求。近年来随着各级红蓝对抗行动的开展，企业安全建设正逐步向实战化转型，而MITRE（一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织）提出的ATT&CK框架正是在这一过程中能够起到指导性作用的重要参考。

ATT&CK框架在2019年的Gartner Security & Risk Management Summit会上，被F-Secure评为十大关注热点。ATT&CK是一套描述攻击者战术、穗迟技术和执行过程的共享知识库，能够关联已知的黑客组织、攻击工具、检测数据源和检测思路、缓解措施等内容。ATT&CK能够全面覆盖洛克希德-马丁公司提出的Kill Chain内容，并在此基础上提供更细粒度的攻击技术矩阵和技术详情。ATT&CK分为三个部分，分别是PRE-ATT&CK，ATT&CK for Enterprise和ATT&CK for Mobile。其中，PRE-ATT&CK包含的战术有优先级定义、选择目标、信息收集、脆弱性识别者族仿、攻击者开放性平台、建立和维护基础设施、人员的开发。ATT&CK for Enterprise包括的战术有初始化访问、执行、持久化、权限提升、防御逃避、凭据访问、发现、横向移动、收集、命令与控制、数据外传、影响。这些基于APT组织及首纤黑客团伙的披露信息进行分析梳理的详细信息能够有效指导实战化的红蓝对抗，目前已在多个领域得到较好的应用。

在红蓝对抗中，防守方都可以按照事前、事中、事后三个阶段进行应对，在ATT&CK框架的指导下实现安全体系建立、运营和提升的闭环改进。

一、准备阶段

攻击面评估

攻击面指企业在遭受内、外部入侵时可能的起始突破点或中间跳板，包括但不限于：对外提供业务的Web系统、邮件系统、VPN系统，对内提供服务的OA系统、运维系统、开发环境，员工使用的各类账号、办公终端等。

企业的攻击面是广泛存在的，在企业内进行攻击面评估属于信息收集和脆弱性识别的过程，能够帮助企业在早期应对攻击者入侵活动。该过程映射到攻击链中属于“侦察”阶段。

由于攻防的不对称性，在红蓝对抗中防守方往往处于弱势，攻击方只需要单点突破即可，而防守方需要建立覆盖所有攻击面的纵深防御体系，很难做到万无一失。但在 信息收集阶段，是为数不多的防守方占优的阶段，主要原因包括：

1. 攻击方只能通过互联网公开信息（Google、社交网站、Github）或传统社工方式获取部分企业信息，而防守方能够获得完整的企业内部信息，包括网络架构、业务系统、资产信息、员工信息等等，掌握以上信息不但能够梳理潜在入侵点、发现防御中的薄弱环节，还能够结合诱骗或欺诈技术（Deception，如蜜罐），在攻击者能够获取到的信息中埋点，实现类似软件“动态污染”的检测和追踪效果。

2. 攻击面评估能够在特定阶段（如重保时期）通过采取更严格的管控措施降低入侵风险， 通过有限的代价获取最大攻击者入侵难度提升 ，具有很高的投资回报率。例如，获取VPN通道，相当于突破了企业传统的防护边界，直接获取内网漫游的权限。在特定情况下，通过增强VPN防护，能够大大缩减攻击者入侵成功的可能性。突破VPN主要有2种方式，利用VPN服务器本身的漏洞或通过合法VPN账号入侵。对于第一种方式，关注VPN厂商漏洞披露信息、做好补丁升级管理，能够有效减少大部分威胁；对于利用0day漏洞攻击VPN获取远程访问权限的场景，通过VPN自身日志审计的方式，关联VPN账号新建、变更及VPN服务器自身发起的访问内网的流量，也能够及时发现未知的漏洞攻击行为。对于第二种攻击VPN合法账号的入侵方式，增加VPN账号的口令复杂度要求、临时要求修改VPN账号口令并增加双因子验证（如绑定手机号短信验证），都可以在牺牲部分用户体验的情况下极大削减攻击者攻击成功的可能性。

ATT&CK框架内所有攻击技术都有对应的攻击目的和执行攻击所需的环境、依赖，对其分解可以提取每项攻击技术适用的攻击对象，参照企业内的资产和服务，评估攻击面暴露情况和风险等级，能够帮助制定有效的攻击面缩减、消除或监控手段。例如，防守方需要在红蓝对抗前检查企业内部的共享目录、文件服务器、BYOD设备是否符合安全基线要求，是否存在敏感信息，并针对这些内容设定合规性要求和强制措施，以缩减该攻击面暴露情况。

综上，ATT&CK框架可以帮助防守方了解攻击目标、提炼攻击面并制定攻击面缩减手段，同时也能够通过攻击面评估为后续增强威胁感知能力、总结防御差距、制定改进方案提供参考标准。

威胁感知体系建立

传统的安全防护和管控措施存在的主要问题在于没有全景威胁感知的体系，无法及时有效地监测威胁事件、安全风险和入侵过程。威胁感知体系的建立，可以有效地把孤立的安全防御和安全审计手段串联起来，形成完整的企业安全态势，为防守方实现实时威胁监控、安全分析、响应处置提供基础。建立威胁感知体系主要包括以下准备工作：

1.数据源梳理： 数据是实现安全可见性的基础元素，缺少多维度和高质量的数据会严重影响监控覆盖面；同时，很多企业会为了满足网络安全法、等保标准等法律和标准要求存储大量设备、系统和业务日志数据。因此，在数据源的规划、管理上，由威胁驱动的数据源需求和由合规驱动的日志数据留存，存在匹配度低、使用率低、有效性低的诸多问题，需要防守方加以解决。

* We can’t detect what we can’t see.

在进行数据源规划时，需根据企业实际存在的攻击面、威胁场景和风险情况进行设计。例如：针对员工邮箱账号可能会遭受攻击者暴力破解、泄露社工库撞库的风险，需要采集哪些数据？首先需要考虑企业实际的邮件系统情况，比如使用自建的Exchange邮件服务，需要采集的数据包括：Exchange邮件追踪日志、IIS中间件日志、SMTP/POP3/IMAP等邮件协议日志。其次还需要具体考虑攻击者是通过OWA访问页面爆破？还是通过邮件协议认证爆破？还是通过Webmail或客户端接口撞库？不同的企业开放的邮箱访问方式不同，暴露的攻击面和遭受的攻击方法也有所区别，需要根据实情梳理所需的数据源。

在数据源梳理上，由于涉及到的威胁类型、攻击方法众多，考虑周全很困难，可以通过参考ATT&CK框架选取企业相关的攻击技术，统计所需的数据源类型，并梳理数据源采集、接入优先级。关于数据源优先级筛选，2019年MITRE ATT&CKcon 2.0会议上Red Canary发布的议题：Prioritizing Data Sources for Minimum Viable Detection 根据总体数据源使用的频率做了Top 10排序，如下图所示：

该统计结果并未考虑企业实际攻击面范围、数据源获取的难易程度等，不应生搬硬套照抄。但在大部分情况下可以考虑先构建包括网络镜像流量、终端行为审计日志、关键应用服务日志在内的基础数据源的采集规划，再通过实际的检测效果增强补充。

2. 检测规则开发：大数据智能安全平台（或参考Gartner所提的Modern SIEM架构）已逐步取代传统的SIEM产品，成为企业威胁感知体系的核心大脑。传统的攻击检测方法大多是基于特征签名（Signature），采用IOC碰撞的方式执行，在实际攻防对抗过程中存在告警噪音过多、漏报严重、外部情报数据和特征库更新不及时等问题，且在防守方看来无法做到检测效果的衡量和能力评估。因此，新的检测理念需要从行为和动机出发，针对攻击者可能执行的操作完善审计和监控机制，再采用大数据关联分析的方式去识别攻击活动。

ATT&CK框架在这里就起到了非常重要的参考作用，框架中的每项攻击技术，知识库都描述了相应的检测手段和过程，以T1110暴力破解为例，其Detection描述如下图所示。

虽然没有抽象出具体检测方法、检测规则，但提炼出了需要监控的设备以及能够提炼攻击痕迹的日志。参考这部分描述，防守方能高效的通过相关资料收集、内部攻击技术模拟、特征提炼等方式完成检测方法和检测规则的开发、部署、测试。此外，高级持续性威胁（APT）使用了较多的白利用技术，无法有效区分攻击者和普通工作人员。但通过开发检测规则对数据源进行过滤提炼，打上技术标签，后续再综合所有异常行为能够发现此类攻击活动。这样再与传统的检测方法结合，就提供了更加有效的补充手段。

综上，威胁感知体系的建立，需要通过数据源梳理和检测规则开发来完成基础准备工作，ATT&CK框架可以帮助防守方快速了解所需数据源、并协助开发对应的检测规则，使防守方脱离安全可见性盲区，实现安全防护能力的可量化、可改进。

内部模拟对抗

为摸清目前网络安全防御能力并找出薄弱点，部分企业会进行内部红蓝对抗模拟演练，ATT&CK知识库在模拟红队攻击、组织内部对抗预演上具有非常高的参考价值。

1.红队技术指导：ATT&CK框架包含了266种攻击技术描述，模拟红队可以借鉴其中部分技术进行特定战术目的的专项测试或综合场景测试。在开展内网信息收集专项测试时，可以通过参考并复现“发现”、“收集”战术目的下的攻击技术，对内网暴露的攻击面逐一测试；在开展模拟场景演练时，可以挑选不同的战术目的制定模拟攻击流程，从矩阵中选择相关技术实施。以典型的红队钓鱼攻击场景为例，攻击技术链包括：钓鱼 -> hta执行 -> 服务驻留 -> 凭证获取 -> 远程系统发现 -> 管理员共享，如下图红色链路所示。

2. 蓝队效果评估：内部模拟对抗是企业防守方检查实际威胁感知能力的最佳手段，对蓝队来说具有查漏补缺的效果。攻击行为是否被记录、检测规则是否有效、有无绕过或误报、攻击面梳理是否遗漏、威胁场景是否考虑充分等很多问题只有在实际测试中才会暴露。同时，防守方也可以通过模拟演练提炼极端情况下的缓解预案，包括：临时增加防御拦截措施、增加业务访问管控要求、加强人员安全意识教育和基线管理等。

综上，内部模拟是红蓝对抗实战阶段验证所有准备工作有效性的手段，作为大考前的模拟考，对防守方具有很大的查漏补缺、优化完善的作用，而ATT&CK框架在这个阶段，对模拟红队攻击、协助蓝队查找问题都起到了参考作用。

二、开展阶段

准备过程越充分，在实际红蓝对抗行动开展阶段对防守方来说就越轻松。经过验证的威胁感知体系在这里将起到主导作用。

资产风险监控

除了封堵、上报潜在的红队攻击IP外，对于已突破边界防护进入内网漫游阶段的攻击者，基于ATT&CK框架能够有效识别资产（终端/服务器）风险，发现疑似被攻陷的内网主机。

通过为每个资产创建独立的ATT&CK主机威胁分布矩阵图，汇聚该主机上近期被检测到的所有攻击技术活动，然后根据该矩阵图上所标注的攻击技术的分布特征训练异常模型，监控主机是否失陷。异常模型从以下三个维度识别攻击：

1.攻击技术分布异常：多个战术下发生攻击、某个战术下发生多个不同攻击等。

2. 攻击技术数量异常：主机上检测到大量攻击技术，与基线对比偏差很大。

3. 特定高置信度失陷指标：主机上触发了高置信度规则检测到的高风险告警（传统的Trigger机制）。

以下图为例，主机短时间内触发一系列“发现”战术下的攻击技术，这在日常运维中是较为少见的，与该主机或同类型主机基线对比偏差非常大。在受害主机被控制后可能会执行大量此类操作，故该机器风险很高，判定为失陷/高危资产。

可疑进程判定与溯源

根据采集的终端行为日志（包括：进程活动、注册表活动、文件活动和网络活动），可以通过唯一进程ID（GUID）进行父子进程关联操作。当发现可疑进程活动时，能够回溯该进程的进程树，向上直到系统初始调用进程，向下包含所有子进程，并且为进程树中所有可疑进程添加ATT&CK攻击技术标签，如网络请求、域名请求、文件释放等丰富化信息，帮助防守方的安全分析人员判断该进程是否可疑并及时采取处置措施。

以下图为例，发现可疑进程wscript.exe后溯源其进程树，其中标记了感叹号的子进程为命中了ATT&CK攻击技术的进程，无感叹号的子进程也属于该可疑进程树下，有可能是攻击者利用的正常系统进程或规避了检测规则导致未检出的进程。通过该进程树展示的信息，可以直观发现wscript进程及其派生的powershell进程存在大量可疑行为，这些进程信息也为后续联动终端防护软件处置或人工上机排查处置提供了充足的信息。

应急响应对接

在发现失陷资产、溯源到可疑进程后可导出其进程树上的进程实体路径、进程命令行、进程创建文件、进程网络连接等信息提交给应急响应组进行清除工作。应急响应组通过以上信息可以快速在主机上处置并开展入侵路径分析，通过回溯攻击者入侵植入木马的手段，进一步排查是否存在数据缺失、规则缺失导致的攻击漏报；并通过关联所有具有相似行为的终端，确认是否存在其他未知失陷资产。

以上基于ATT&CK框架建立的资产风险监控和可疑进程判定方法，能够有效地在红蓝对抗过程中及时发现攻击者攻击成功的痕迹，并为溯源和应急响应处置提供数据支撑。而这些都脱离不了以威胁感知体系为核心的蓝队建设思路，更多与ATT&CK框架适配的应用方法也会在后续不断丰富、增强。

三、复盘阶段

防御效果评估

在红蓝对抗结束复盘阶段，防守方对防御效果的评估是非常重要的环节。具体包括以下内容：

安全设备漏报分析：结合攻击方提供的报告，把各个攻击类型归属到相应的安全检测设备，查看相关设备的告警与报告中的攻击过程是否匹配，分析当前安全设备检测能力，较低检出率的设备需要后续协调厂商优化、更新规则等，以加强完善。

规则误报调优：在红蓝对抗开展阶段，为了确保对攻击方攻击过程的全面覆盖检测，通常会采用限制条件较宽松的规则检测模式，以防漏报对防守方造成的失分影响。例如，对暴力破解场景，触发告警的连续登录失败请求阈值可能设定的较低；对Webshell植入场景，可能对所有尝试上传动态脚本文件的行为都做监控或拦截，以防攻击者通过一些编码、混淆的方式绕过特征检测等。这些限制条件宽松的检测规则，在红蓝对抗过程中能够尽量减少攻击漏报，具有比较好的效果；但同时，由于限制不严导致的告警噪音也会随之增加。在红蓝对抗结束复盘过程中，需要对产生误报的数据和误报原因进行统计分析，完善检测规则逻辑、边界条件限制，配置适当的白名单过滤，为后续能够日常运营提供更具备可操作性和更实用的威胁检测规则。

攻击面再评估和数据可见性分析：在红蓝对抗准备和红蓝对抗开展阶段，防守方和攻击方分别进行了攻击面评估、攻击目标信息收集的工作，因此在复盘阶段可以通过对比双方掌握的攻击面信息和攻击目标的选择，来挖掘是否存在先前遗漏的边缘资产、未知攻击面，通过攻方视角查漏补缺。同时对遗漏的攻击面可以做相关的数据源需求分析，补充缺失的数据可见性和威胁感知能力。

防御差距评估与改进：针对红蓝对抗中发现的薄弱环节，防守方可以提炼改进目标、指导后续的安全建设工作。由于不同企业存在的攻击面差异性较大，重点关注的核心资产、靶标也有所差别，在准备过程中可能根据优先级选择了比较关键的几个领域优先开展，而通过红蓝对抗发现的其他薄弱环节，为后续开展哪些方向的工作提供了参考。例如，重点加强生产环境安全防护的，可能忽略了员工安全意识培训，导致被攻击者钓鱼的方式突破入侵；重点关注网站安全的，可能忽略了服务器存在其他暴露在外的端口或服务，被攻击者通过探测发现，利用已知漏洞或0day漏洞控制服务器绕过。结合ATT&CK框架补充对应的数据源和攻击技术检测手段，可以快速补足这方面的遗漏。

防御效果评估是红蓝对抗复盘阶段重要的总结过程，也为后续持续优化改进提供参考。在这里ATT&CK框架起到的作用主要是统一攻防双方语言，将每一个攻击事件拆分成双方都可理解的技术和过程，为红蓝对抗走向红蓝合作提供可能。

③ 15项世界互联网领先科技成果发布，彰显“科技向善”的力量

在昨天的乌镇世界互联网大会·互联网发展论坛上，2020年“世界互联网领先 科技 成果发布活动”在乌镇举行，共发布了15项世界互联网领先 科技 成果，包括腾讯、阿里、网络、微软、奇安信等15项国内外有代表性的领先 科技 成果获评。

奇安信内生安全框架：数字化时代的保障需要内生安全

奇安信推出的新一代企业网络安全框架（内生安全框架），荣膺2020世界互联网领先 科技 成果。

“数字化时代的到来，彻底打破了网络世界和物理世界的边界，带来了新的安全风险。以前的静态边界防护思路，不再适应新时代的需求，数字化时代的保障需要内生安全。”在领先 科技 成果发布会上，奇安信集团董事长齐向东介绍，内生安全是指在信息化环境下，内置并不断自我生长的安全能力，通过“一个中心五张滤网”，从网络、数据、应用、行为、身份五个层面，建立无处不在的网络安全“免疫力”，从而极大降低网络攻击风险，真正保证业务安全。

在领先成果发布活动上，齐向东演示了网络安全防御模型：通过演示视频，可以清晰、形象地看见，在面对网络攻击时，新一代企业网络安全框架（内生安全框架）在不同区域间，通过纵深的网络访问防护等措施，限制跨区域网络横向移动攻击路径，不断消除对外风险和资产暴露面；在同一区域内，结合主动防护和被动诱捕技术，发现和清除入侵者的内部据点，修复漏洞缺陷，保证内部网络安全。最后，结合外部安全信息和大数据分析，实施快速安全响应和处置，将威胁阻隔在政企机构之外。

齐向东表示，新一代企业网络安全框架（内生安全框架）不仅为政企机构建立“事前防控”的安全体系，也使网络安全逐渐从边缘走向核心、从外挂走向内生、从“合规”转向“实战”，推进网络安全向基础设施化、服务化模式发展。

“面向数字化时代网络安全规划的‘十大工程五大任务’，适用于几乎所有应用场景，能指导不同行业输出符合其特点的网络安全架构，构建动态综合的网络安全防御体系,全方位满足数字化时代的安全保障需求。”齐向东如是说。

据了解，奇安信新一代企业网络安全框架（内生安全框架）相关组件，已获得了超过1000项的网络安全领域发明专利和计算机软件着作权，另有850项发明专利申请正在审核中。

在此前的主论坛上，齐向东表示，网络安全是数字技术的底板，没有网络安全，数字技术的作用就会大打折扣。“木桶有短板就装不满水，但木桶底板有洞就装不了水，我们既要善于补短板，更要注意加固底板”。齐向东认为，数字时代，打造网络安全底板，要靠数据驱动的内生安全框架。

腾讯会议实践：成首个获奖的视频会议产品

今年以来，疫情的爆发让所有人措手不及，企业停工、学校停课，贸易中止……对中国经济 社会 生活的各个方面都产生了重大影响。腾讯会议通过打造的多方音视频协同能力，为海内外搭建了无边界的沟通桥梁，彰显了“ 科技 向善”的力量。

据悉，疫情爆发后，腾讯会议紧急部署，快速开放300方会议能力，并在第一时间迅速扩容，8天时间里，腾讯会议总共扩容超过10万台云主机，投入超过百万核的计算资源，完成了全球超过100多个国家和地区的服务覆盖。此举创下了中国云计算史上前所未有的纪录，体现了 科技 产品的中国速度，同时也进一步保障了包括政府、企业、学校等在内的各行各业在抗疫经验、贸易等方面的互动和经济发展。

速度背后，更有技术。为了支撑大规模的线上协同，腾讯会议解决方案包含多项强大的腾讯自研基础技术支撑，包括历经十多年自主研发的高性能、金融级高可用分布式数据库技术TDSQL。基于TDSQL支持，腾讯会议平稳支撑超过一亿用户的使用需求，无惧任何时候的流量突增、故障灾难，为用户时刻提供高速流畅、稳定可靠的服务和体验。

根据北京大学互联网发展研究中心发布的《在线会议 社会 价值与未来发展报告》显示，今年1月至5月期间，腾讯会议直接节约 社会 成本达714亿元，为包括技术、文化、经济等多个层面带来了巨大 社会 价值和贡献。

阿里云神龙架构：云计算行业第三代虚拟化技术代表

昨天，阿里云自主研发的神龙云服务器架构入选世界互联网领先 科技 成果。简单来说，神龙解决了困扰云计算行业多年的虚拟化性能损耗问题，让服务器发挥出更高的性能、更加稳定。

来自大会评审的评价认为，神龙架构是云计算行业第三代虚拟化技术的典型代表，它为云而生，不仅解决了云上虚拟化性能损耗的痛点，更让云服务器的性能超越了物理机。今天的神龙架构承载了中国超80%的 科技 企业上云，广泛应用于医疗、新政务、智能制造、互联网、教育等多个行业。

阿里巴巴合伙人、阿里云基础产品负责人蒋江伟领奖时表示：“神龙是阿里云关键的创新技术之一，可加速云计算的普惠。”据悉，阿里云自研的神龙架构，通过把虚拟化转移到专用硬件中进行加速，可将物理机的高性能与虚拟机的灵活性融为一体，虚拟化损耗几乎为零，性能比传统物理机更强劲，还可随时扩容，极大降低了客户的成本。

360全息星图网络空间测绘系统：照亮网络空间的“暗黑森林”

此次获评“世界互联网领先 科技 成果”的360全息星图网络空间测绘系统，是360安全基础设施的云端应用，可通过将数据转化为实实在在的全面感知能力，照亮网络空间的“暗黑森林”。

360首席科学家潘剑锋表示，在技术层面，360全息星图网络空间测绘系统将网络空间探测、数据分析和地图绘制能力提升到一个新的高度，结合自研的Vscan探测引擎和360安全大数据，可把局部视角转化为全局视野，有助于将被动响应转化为主动监测与主动预警。

在应用层面，360全息星图测绘系统已累计获得全网数十亿数据，依靠知识库和安全专家团队的整体能力，可帮助党政军企多端用户，实现对网络空间风险主动探测、提前预警、支撑网络安全态势感知、对高级威胁追踪溯源、以及持续更新全球安全风险。

同时，在360新一代网络安全能力体系的赋能与指挥下，360全息星图网络空间测绘系统还能与全体系中的情报云、漏洞云、查杀云、分析云等其他安全基础设施，建立持续运营和协同作战机制，打造出联防联控的体系化安全防护力。

④ 密码技术的安全性表现在哪几方面求大神帮助

这个问题设计面积太广了！我就弄了些皮毛！希望能帮到你2.1 对称密码 对称密码技术也叫做单钥或常规密码技术，其包括分组密码技术和流密码技术这两个重要的分支。在公钥密码技术出现之前，它是惟一的加密类型。2.1.1 基本原理前不久，美国计算机安全专家又提出了一种新的安全框架，除机密性、完整性、可用性、真实性之外，又增加了实用性和占有性，认为这样才能解释各种网络安全问题。实用性是指信息加密密钥不可丢失（不是泄密），丢失了密钥的信息也就丢失了信息的实用性，成为垃圾。占有性是指存储信息的节点、磁盘等信息载体不被盗用，即对信息的占用权不能丧失。保护信息占有性的方法有使用版权、专利、商业秘密性，提供物理和逻辑的存取限制方法；维护和检查有关盗窃文件的审计记录、使用标签等。对于分析者来说，可以得到加密、解密算法和从不安全的信道上得到密文C，而不能得到的是通过安全信道传输的密钥K。这样，对称密码必须满足如下要求： ● 算法要足够强大。就是说，从截获的密文或某些已知明文密文对时，计算出密钥或明文是不可行的。● 不依赖于算法的保密，而依赖于密钥。这就是着名的Kerckhoff原则。● 密钥空间要足够大，且加密和解密算法适用于密钥空间所有的元素。这也是非对称密码技术必须满足的条件。除此之外，在实际运用中，发送方和接收方必须保证用安全的方法获得密钥的副本。2.1.2 分组密码分组密码(BlockCipher)是一个明文分组被作为一个整体来产生一个等长的密文分组密码，通常使用的是64bit的分组大小。当前使用的许多分组加密算法几乎都基于Feistel分组密码结构。2.1.2.1 基本原理 扩散(Diffusion)和扰乱(Confusion)是由香农引进描述任意密码系统的两个基本组成模块时提出的两个术语。这两种方法是为了挫败基于统计分析的密码破译。扩散，就是把明文的统计结构扩散消失到密文的长程统计特性中。做到这一点的方法是让明文的每个数字影响许多密文数字的取值，也就是说，每个密文数字被许多明文数字影响。其结果是在密文中各种字母的出现频率比在明文中更接近平均；双字母组合的出现频率也更接近平均。所有分组密码都包含从明文分组到密文分组的变换，具体如何变换则依赖于密钥。扩散机制使得明文和密文之间的统计关系尽量复杂，以便挫败推测密钥的尝试。扰乱试图使得密文的统计特性与加密密钥取值之间的关系尽量复杂，同样是为了挫败发现密钥的尝试。这样一来，即使攻击者掌握了密文的某些统计特性，由于密钥产生密文的方式非常复杂，攻击者也难于从中推测出密钥。要实现这个目的，可以使用一个复杂的替代算法，而一个简单的线性函数就起不到多少作用。2.1.2.2 常见的分组加密算法本节介绍经典的 “数据加密标准”(DataEncryptionStandard，DES)和抛弃了Feistel网络结构的 “高级加密算法”(AES)，同时也简要介绍了其他常见的分组加密算法。1.数据加密标准DES1973年5月15日，美国国家标准局NBS(NationalBureauOfStandard，现在的美国国家标准与技术局——NIST)在联邦记录(Federal Register)上发布了一条通知，征求密码算法，用于在传输和存储期间保护数据。IBM提交了一个候选算法，它是由IBM内部开发的，名为LUCIFER。在美国国家安全局NSA (NationalSecurityAgency)的协助下完成了算法评估之后，1977年7月15日，NBS采纳了LUCIFER算法的修正版作为数据加密标准DES。1994年，NIST把联邦政府使用DES的有效期延长了5年，还建议把DES用于政府或军事机密信息防护以外的其他应用。DES是一种对二元数据进行加密的算法，将明文消息分成64bit(8B)一组进行加密。密文分组的长度也是64bit，没有数据扩展。DES使用“密钥”进行加密，从符号的角度来看，“密钥”的长度是8B(或64bit)。但是，由于某些原因，DES算法中每逢第8bit就被忽略，这造成密钥的实际大小变成56bit。DES的整个体制是公开的，系统的安全性完全依赖密钥的保密。DES算法主要包括：初始置换p，16轮迭代的乘积变换，逆初始置换ip-1以及16个密钥产生器。在DES加密算法的一般描述的左边部分，可以看到明文的处理经过了3个阶段：第一个阶段，64bit的明文经过一个初始置换Ⅲ后，比特重排产生经过置换的输出。第二个阶段，由同一个函数的16次循环构成，这个函数本身既有置换又有替代功能。最后一个循环(第16个)的输出由64bit组成，其输出的左边和右边两个部分经过交换后就得到预输出。最后，在第三阶段，预输出通过逆初始置换ip-l生成64bit的密文。除了初始置换和逆初始置换之外，DES具有严格的Feistel密码结构。56bit密钥的使用方式。密钥首先通过一个置换函数，接着于16个循环的每一个，都通过一个循环左移操作和一个置换操作的组合产生一个子密钥KI。对于每一个循环来说，置换函数是相同的，但由于密钥比特的重复移动，产生的子密钥并不相同。DES的解密和加密使用相同的算法，只是将子密钥的使用次序反过来。DES具有雪崩效应：明文或密钥的lbit的改变引起密文许多Bit的改变。如果密文的变化太小，就可能找到一种方法减小要搜索的明文和密钥空间。当密钥不变，明文产生lbit变化，在3次循环后，两个分组有21bit不同，而整个加密过程结束后，两个密文有34个位置不同。作为对比，明文不变，密钥发生lbit变化时，密文中有大约一半的Bit不同。因此，DES具有一种很强的雪崩效应，这是一个非常好的特性。DES的强度依赖于算法自身和其使用的56bit密钥。一种攻击利用DES算法的特点使分析密码成为可能。多年来，DES已经经历了无数次寻找和利用算法弱点的尝试，成了当今研究得最多的加密算法。即使这样，仍然没有人公开宣称成功地发现了DES的致命弱点。然而，密钥长度是更严峻的问题。DES的密钥空间为256，如假设仅一半的密钥空间需要搜索，则一台1us完成一次DES加密的机器需要1000年才能破译DES密钥。事实却没有这么乐观，早在1977年，Diffie和Hellman就设想有一种技术可以制造出具有100万个加密设备的并行机，其中的每一个设备都可以在1lls之内完成一次加密。这样平均搜索时间就减少到lOh。在1977年，这两位作者估计这种机器在当时约价值2000万美元。到1998年7月，EFF(Electronic FrontierFoundation)宣布攻破了DES算法，他们使用的是不到25万美元的特殊“DES破译机”，这种攻击只需要不到3天的时间。在已知密文／明文对时，密钥搜索攻击就是简单地搜索所有可能的密钥；如果没有已知的密文／明文对时，攻击者必须自己识别明文。这是一个有相当难度的工作。如果报文是以普通英语写成的，可以使用程序自动完成英语的识别。如果明文报文在加密之前做过压缩，那么识别工作就更加困难。如果报文是某种更一般的类型，如二进制文件，那么问题就更加难以自动化。因此，穷举搜索还需要一些辅助信息，这包括对预期明文的某种程度的了解和自动区分明文与乱码的某种手段。2.三重DES 三重DES(Triple-DES)是人们在发现DES密钥过短，易于受到蛮力攻击而提出的一种替代加密算法。三重DES最初由Tuchman提出，在1985年的ASNI标准X9.17中第一次针对金融应用进行了标准化。在1999年，三重DES合并入数据加密标准中。 三重DES使用3个密钥，执行3次DES算法，如下动画所示。加密过程为加密一解密一加密(EDE)，可表述为如下的公式：C ＝ EK3（DK2（EK1（M）））解密时按密钥相反次序进行同样的操作，表述为：M＝ DK1（EK2（DK3（C））） 其中，C表示密文，M表示明文，EK(X)表示使用密钥K对X进行加密，DK(X)表示使用密钥K对X进行解密。 为了避免三重DES使用3个密钥进行三阶段加密带来的密钥过长的缺点(56X3=168bit)，Tuchman提出使用两个密钥的三重加密方法，这个方法只要求112bit密钥，即令其K1=K3：C = EK1(DK2(EK1(M))) 三重DES的第二阶段的解密并没有密码编码学上的意义。它的惟一优点是可以使用三重DES解密原来的单次DES加密的数据，即：K1=K2=K3。C=EK1(DKl(EKl(M)))=EKl(M)本答案参考于： http://bbs.xml.org.cn/dispbbs.asp?boardID=65&ID=69204

⑤ 确保网络空间安全的国家战略是什么发布的国家战略

美国。根据美国政府官网查询做烂显示，美国在2003年公布了《确保网络空间安全的国家战略》，这份文件明确了中国在网络空间安全方面的基本政策和主要任务，提出了加强网备桥络空间安全的措施和建议。仿胡猛

⑥ 关于电信网络关键信息基础设施保护的思考

文 华为技术有限公司中国区网络安全与用户隐私保护部 冯运波 李加赞 姚庆天

根据我国《网络安全法》及《关键信息基础设施安全保护条例》，关键信息基础设施是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统”。其中，电信网络自身是关键信息基础设施，同时又为其他行业的关键信息基础设施提供网络通信和信息服务，在国家经济、科教、文化以及 社会 管理等方面起到基础性的支撑作用。电信网络是关键信息基础设施的基础设施，做好电信网络关键信息基础设施的安全保护尤为重要。

一、电信网络关键信息基础设施的范围

依据《关键信息基础设施安全保护条例》第 9条，应由通信行业主管部门结合本行业、本领域实际，制定电信行业关键信息基础设施的认定规则。

不同于其他行业的关键信息基础设施，承载话音、数据、消息的电信网络（以 CT 系统为主）与绝大多数其他行业的关键信息基础设施（以 IT 系统为主）不同，电信网络要复杂得多。电信网络会涉及移动接入网络（2G/3G/4G/5G）、固定接入网、传送网、IP 网、移动核心网、IP 多媒体子系统核心网、网管支撑网、业务支撑网等多个通信网络，任何一个网络被攻击，都会对承载在电信网上的话音或数据业务造成影响。

在电信行业关键信息基础设施认定方面，美国的《国家关键功能集》可以借鉴。2019 年 4 月，美国国土安全部下属的国家网络安全和基础设施安全局（CISA）国家风险管理中心发布了《国家关键功能集》，将影响国家关键功能划分为供应、分配、管理和连接四个领域。按此分类方式，电信网络属于连接类。

除了上述电信网络和服务外，支撑网络运营的大量 IT 支撑系统，如业务支撑系统（BSS）、网管支撑系统（OSS），也非常重要，应考虑纳入关键信息基础设施范围。例如，网管系统由于管理着电信网络的网元设备，一旦被入侵，通过网管系统可以控制核心网络，造成网络瘫痪；业务支撑系统（计费）支撑了电信网络运营，保存了用户数据，一旦被入侵，可能造成用户敏感信息泄露。

二、电信网络关键信息基础设施的保护目标和方法

电信网络是数字化浪潮的关键基础设施，扮演非常重要的角色，关系国计民生。各国政府高度重视关键基础设施安全保护，纷纷明确关键信息基础设施的保护目标。

2007 年，美国国土安全部（DHS）发布《国土安全国家战略》，首次指出面对不确定性的挑战，需要保证国家基础设施的韧性。2013 年 2 月，奥巴马签发了《改进关键基础设施网络安全行政指令》，其首要策略是改善关键基础设施的安全和韧性，并要求美国国家标准与技术研究院（NIST）制定网络安全框架。NIST 于 2018 年 4 月发布的《改进关键基础设施网络安全框架》（CSF）提出，关键基础设施保护要围绕识别、防护、检测、响应、恢复环节，建立网络安全框架，管理网络安全风险。NIST CSF围绕关键基础设施的网络韧性要求，定义了 IPDRR能力框架模型，并引用了 SP800-53 和 ISO27001 等标准。IPDRR能力框架模型包括风险识别（Identify）、安全防御（Protect）、安全检测（Detect）、安全响应（Response）和安全恢复（Recovery）五大能力，是这五个能力的首字母。2018 年 5 月，DHS 发布《网络安全战略》，将“通过加强政府网络和关键基础设施的安全性和韧性，提高国家网络安全风险管理水平”作为核心目标。

2009 年 3 月，欧盟委员会通过法案，要求保护欧洲网络安全和韧性；2016 年 6 月，欧盟议会发布“欧盟网络和信息系统安全指令”（NISDIRECTIVE），牵引欧盟各国关键基础设施国家战略设计和立法；欧盟成员国以 NIS DIRECTIVE为基础，参考欧盟网络安全局（ENISA）的建议开发国家网络安全战略。2016 年，ENISA 承接 NISDIRECTIVE，面向数字服务提供商（DSP）发布安全技术指南，定义 27 个安全技术目标（SO），该SO 系列条款和 ISO 27001/NIST CSF之间互相匹配，关键基础设施的网络韧性成为重要要求。

借鉴国际实践，我国电信网络关键信息基础设施安全保护的核心目标应该是：保证网络的可用性，确保网络不瘫痪，在受到网络攻击时，能发现和阻断攻击、快速恢复网络服务，实现网络高韧性；同时提升电信网络安全风险管理水平，确保网络数据和用户数据安全。

我国《关键信息基础设施安全保护条例》第五条和第六条规定：国家对关键信息基础设施实行重点保护，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。我国《国家网络空间安全战略》也提出，要着眼识别、防护、检测、预警、响应、处置等环节，建立实施关键信息基础设施保护制度。

参考 IPDRR 能力框架模型，建立电信网络的资产风险识别（I）、安全防护（P）、安全检测（D）、安全事件响应和处置（R）和在受攻击后的恢复（R）能力，应成为实施电信网络关键信息基础设施安全保护的方法论。参考 NIST 发布的 CSF，开展电信网络安全保护，可按照七个步骤开展。一是确定优先级和范围，确定电信网络单元的保护目标和优先级。二是定位，明确需要纳入关基保护的相关系统和资产，识别这些系统和资产面临的威胁及存在的漏洞、风险。三是根据安全现状，创建当前的安全轮廓。四是评估风险，依据整体风险管理流程或之前的风险管理活动进行风险评估。评估时，需要分析运营环境，判断是否有网络安全事件发生，并评估事件对组织的影响。五是为未来期望的安全结果创建目标安全轮廓。六是确定当期风险管理结果与期望目标之间的差距，通过分析这些差距，对其进行优先级排序，然后制定一份优先级执行行动计划以消除这些差距。七是执行行动计划，决定应该执行哪些行动以消除差距。

三、电信网络关键信息基础设施的安全风险评估

做好电信网络的安全保护，首先要全面识别电信网络所包含的资产及其面临的安全风险，根据风险制定相应的风险消减方案和保护方案。

1. 对不同的电信网络应分别进行安全风险评估

不同电信网络的结构、功能、采用的技术差异很大，面临的安全风险也不一样。例如，光传送网与 5G 核心网（5G Core）所面临的安全风险有显着差异。光传送网设备是数据链路层设备，转发用户面数据流量，设备分散部署，从用户面很难攻击到传送网设备，面临的安全风险主要来自管理面；而5G 核心网是 5G 网络的神经中枢，在云化基础设施上集中部署，由于 5G 网络能力开放，不仅有来自管理面的风险，也有来自互联网的风险，一旦被渗透攻击，影响面极大。再如，5G 无线接入网（5GRAN）和 5G Core 所面临的安全风险也存在显着差异。5G RAN 面临的风险主要来自物理接口攻击、无线空口干扰、伪基站及管理面，从现网运维实践来看，RAN 被渗透的攻击的案例极其罕见，风险相对较小。5G Core 的云化、IT 化、服务化（SBA）架构，传统的 IT 系统的风险也引入到电信网络；网络能力开放、用户端口功能（UPF）下沉到边缘等，导致接口增多，暴露面扩大，因此，5G Core 所面临的安全风险客观上高于 5G RAN。在电信网络的范围确定后，运营商应按照不同的网络单元，全面做好每个网络单元的安全风险评估。

2. 做好电信网络三个平面的安全风险评估

电信网络分为三个平面：控制面、管理面和用户面，对电信网络的安全风险评估，应从三个平面分别入手，分析可能存在的安全风险。

控制面网元之间的通信依赖信令协议，信令协议也存在安全风险。以七号信令（SS7）为例，全球移动通信系统协会（GSMA）在 2015 年公布了存在 SS7 信令存在漏洞，可能导致任意用户非法位置查询、短信窃取、通话窃听；如果信令网关解析信令有问题，外部攻击者可以直接中断关键核心网元。例如，5G 的 UPF 下沉到边缘园区后，由于 UPF 所处的物理环境不可控，若 UPF 被渗透，则存在通过UPF 的 N4 口攻击核心网的风险。

电信网络的管理面风险在三个平面中的风险是最高的。例如，欧盟将 5G 管理面管理和编排（MANO）风险列为最高等级。全球电信网络安全事件显示，电信网络被攻击的实际案例主要是通过攻击管理面实现的。虽然运营商在管理面部署了统一安全管理平台解决方案（4A）、堡垒机、安全运营系统（SOC）、多因素认证等安全防护措施，但是，在通信网安全防护检查中，经常会发现管理面安全域划分不合理、管控策略不严，安全防护措施不到位、远程接入 VPN 设备及 4A 系统存在漏洞等现象，导致管理面的系统容易被渗透。

电信网络的用户面传输用户通信数据，电信网元一般只转发用户面通信内容，不解析、不存储用户数据，在做好终端和互联网接口防护的情况下，安全风险相对可控。用户面主要存在的安全风险包括：用户面信息若未加密，在网络传输过程中可能被窃听；海量用户终端接入可能导致用户面流量分布式拒绝服务攻击（DDoS）；用户面传输的内容可能存在恶意信息，例如恶意软件、电信诈骗信息等；电信网络设备用户面接口可能遭受来自互联网的攻击等。

3. 做好内外部接口的安全风险评估

在开展电信网络安全风险评估时，应从端到端的视角分析网络存在的外部接口和网元之间内部接口的风险，尤其是重点做好外部接口风险评估。以 5G 核心网为例，5G 核心网存在如下外部接口：与 UE 之间的 N1 接口，与基站之间的 N2 接口、与UPF 之间的 N4 接口、与互联网之间的 N6 接口等，还有漫游接口、能力开放接口、管理面接口等。每个接口连接不同的安全域，存在不同风险。根据3GPP 协议标准定义，在 5G 非独立组网（NSA）中，当用户漫游到其他网络时，该用户的鉴权、认证、位置登记，需要在漫游网络与归属网络之间传递。漫游边界接口用于运营商之间互联互通，需要经过公网传输。因此，这些漫游接口均为可访问的公网接口，而这些接口所使用的协议没有定义认证、加密、完整性保护机制。

4. 做好虚拟化/容器环境的安全风险评估

移动核心网已经云化，云化架构相比传统架构，引入了通用硬件，将网络功能运行在虚拟环境/容器环境中，为运营商带来低成本的网络和业务的快速部署。虚拟化使近端物理接触的攻击变得更加困难，并简化了攻击下的灾难隔离和灾难恢复。网络功能虚拟化（NFV）环境面临传统网络未遇到过的新的安全威胁，包括物理资源共享打破物理边界、虚拟化层大量采用开源和第三方软件引入大量开源漏洞和风险、分层多厂商集成导致安全定责与安全策略协同更加困难、传统安全静态配置策略无自动调整能力导致无法应对迁移扩容等场景。云化环境中网元可能面临的典型安全风险包括：通过虚拟网络窃听或篡改应用层通信内容，攻击虚拟存储，非法访问应用层的用户数据，篡改镜像，虚拟机（VM）之间攻击、通过网络功能虚拟化基础设施（NFVI）非法攻击 VM，导致业务不可用等。

5. 做好暴露面资产的安全风险评估

电信网络规模大，涉及的网元多，但是，哪些是互联网暴露面资产，应首先做好梳理。例如，5G网络中，5G 基站（gNB）、UPF、安全电子支付协议（SEPP）、应用功能（AF）、网络开放功能（NEF）等网元存在与非可信域设备之间的接口，应被视为暴露面资产。暴露面设备容易成为入侵网络的突破口，因此，需重点做好暴露面资产的风险评估和安全加固。

四、对运营商加强电信网络关键信息基础设施安全保护的建议

参考国际上通行的 IPDRR 方法，运营商应根据场景化安全风险，按照事前、事中、事后三个阶段，构建电信网络安全防护能力，实现网络高韧性、数据高安全性。

1. 构建电信网络资产、风险识别能力

建设电信网络资产风险管理系统，统一识别和管理电信网络所有的硬件、平台软件、虚拟 VNF网元、安全关键设备及软件版本，定期开展资产和风险扫描，实现资产和风险可视化。安全关键功能设备是实施网络监管和控制的关键网元，例如，MANO、虚拟化编排器、运维管理接入堡垒机、位于安全域边界的防火墙、活动目录（AD）域控服务器、运维 VPN 接入网关、审计和监控系统等。安全关键功能设备一旦被非法入侵，对电信网络的影响极大，因此，应做好对安全关键功能设备资产的识别和并加强技术管控。

2. 建立网络纵深安全防护体系

一是通过划分网络安全域，实现电信网络分层分域的纵深安全防护。可以将电信网络用户面、控制面的系统划分为非信任区、半信任区、信任区三大类安全区域；管理面的网络管理安全域（NMS），其安全信任等级是整个网络中最高的。互联网第三方应用属于非信任区；对外暴露的网元（如 5G 的 NEF、UPF）等放在半信任区，核心网控制类网元如接入和移动管理功能（AMF）等和存放用户认证鉴权网络数据的网元如归属签约用户服务器（HSS）、统一数据管理（UDM）等放在信任区进行保护，并对用户认证鉴权网络数据进行加密等特别的防护。二是加强电信网络对外边界安全防护，包括互联网边界、承载网边界，基于对边界的安全风险分析，构建不同的防护方案，部署防火墙、入侵防御系统（IPS）、抗DDoS 攻击、信令防护、全流量监测（NTA）等安全防护设备。三是采用防火墙、虚拟防火墙、IPS、虚拟数据中心（VDC）/虚拟私有网络（VPC）隔离，例如通过防火墙（Firewall）可限制大部分非法的网络访问，IPS 可以基于流量分析发现网络攻击行为并进行阻断，VDC 可以实现云内物理资源级别的隔离，VPC 可以实现虚拟化层级别的隔离。四是在同一个安全域内，采用虚拟局域网（VLAN）、微分段、VPC 隔离，实现网元访问权限最小化控制，防止同一安全域内的横向移动攻击。五是基于网元间通信矩阵白名单，在电信网络安全域边界、安全域内实现精细化的异常流量监控、访问控制等。

3. 构建全面威胁监测能力

在电信网络外部边界、安全域边界、安全域内部署网络层威胁感知能力，通过部署深度报文检测（DPI）类设备，基于网络流量分析发现网络攻击行为。基于设备商的网元内生安全检测能力，构建操作系统（OS）入侵、虚拟化逃逸、网元业务面异常检测、网元运维面异常检测等安全风险检测能力。基于流量监测、网元内生安全组件监测、采集电信网元日志分析等多种方式，构建全面威胁安全态势感知平台，及时发现各类安全威胁、安全事件和异常行为。

4. 加强电信网络管理面安全风险管控

管理面的风险最高，应重点防护。针对电信网络管理面的风险，应做好管理面网络隔离、运维终端的安全管控、管理员登录设备的多因素认证和权限控制、运维操作的安全审计等，防止越权访问，防止从管理面入侵电信网络，保护用户数据安全。

5. 构建智能化、自动化的安全事件响应和恢复能力

在网络级纵深安全防护体系基础上，建立安全运营管控平台，对边界防护、域间防护、访问控制列表（ACL）、微分段、VPC 等安全访问控制策略实施统一编排，基于流量、网元日志及网元内生组件上报的安全事件开展大数据分析，及时发现入侵行为，并能对攻击行为自动化响应。

（本文刊登于《中国信息安全》杂志2021年第11期）

⑦ 世界上第一个计算机网络安全标准是什么标准

•在20世纪60年代，美国国防部成立了专门机构，开始研究计算机使用环境中的安全策略问题，70年代又在KSOS、PSOS和KVM操作系统上展开了进一步的研究工作，80年代，美国国防部发布了“可信计算机系统评估准则”（TCSEC，Trusted Computer System Evaluation Criteria），简称桔皮书，后经修改用作了美国国防部的标准，并相继发布了可信数据库解释（TDI）、可信网络解释（TNI）等一系列相关的说明和指南。

⑧ NIST发布《SP 800-53 第5版 信息系统和组织的安全和隐私控制》

        9月23日，NIST发布《SP 800-53 第5版 信息系统和组织的安全和隐私控制》，该文件一直被视作NIST信息安全的支撑性文件，本次更新旨在开发一个全面的安全和隐私控制目录，用于管理不同规模的组织从超级计算机到工业控制系统再到物联网（IoT）设备的所有类型的系统风险。这些控制措施提供了一种主动而又系统的方法，以确保关键的系统、组件和服务具有足够的可信度和必要的网络弹性，从而维护美国的国家安全和经济利益。

      【注】SP800（SP，Special Publications）是美国国家标准与技术研究院（NIST）发布的一系列关于“信息安全的指南”。在NIST的标准系列文件中，虽然NIST SP并不作为正式法定标准，但在实际工作中，已经成为美国和国际安全界得到广泛认可的事实标准和权威指南。NIST SP800系列成为了指导美国信息安全管理建设的主要标准和参考资料。

        SP 800-53是信息安全风险管理框架的重要组成部分，为选择和规定信息系统安全控制措施提供了指导原则。主要介绍了安全控制措施选择和规范化的基本概念以及为信息系统选择和说明控制措施的过程，以帮助组织达到对信息系统安全和风险的有效管理。

         SP 800-53 是不定期更新的文档，第5版的重要变更如下：

         控制要求变为结果导向：从控制说明中删除了“由信息系统、组织满足控制要求”，强调通过应用来实现安全保障作用。为了与上版内容保持连贯，新版在附录C（控制的总结）中额外增加了内容为“由‘系统/组织’实现”的一列。

         合并控制目录：将信息安全和隐私控制集成到系统和组织的统一控制目录中。原修订版4附录J中的隐私控制已合并到新的隐私体系和现有的程序管理体系中。此外，一些隐私控制还被合并到当前的安全控制中，从而使这些控制既可以服务于安全又可以保护隐私，进一步提升了控制功能。

         整合供应链风险管理：建立了一个新的供应链风险管理（SCRM）控制体系，并将这个新的体系与已有体系相结合，以保护关键系统和基础设施中的系统组件、产品和服务。SCRM控制体系有助于解决国家乃至全球供应链在整个系统开发生命周期中的隐私安全和威胁问题。

         将选择控制过程与控制目录分离：新版本拥有一个统一的、独立的控制目录，可允许系统工程师、安全架构师、软件开发人员、企业架构师、系统安全和隐私工程师、业务所有者等各类人员根据组织策略和业务需要使用个性化的流程来选择控制，并使其更好地协作。

         将控制基线和裁剪指南转移到单独的出版物：将控制基线移到了新的NIST SP 800-53B《信息系统和组织的控制基线》中。这三条安全基线和一条隐私基线适用于联邦机构，反映了《联邦信息安全现代化法案（FISMA）》和《管理和预算办公室（OMB）A-130号通知》的具体要求。其他组织可根据其业务需要和组织风险承受能力，选择制定自己的定制基线。

         改进对内容关系的描述：澄清了要求和控制之间的关系，以及安全和隐私控制之间的关系。这些关系有助于用户判断是在企业级选择和实施控制，还是将其作为基于生命周期的系统工程过程的一部分。

         新增可实践控制：随着网络威胁的迅速发展，需要新的保障措施和对策来保护组织的重要资产，包括个人隐私和个人身份信息。版本5基于最新的威胁情报和网络攻击数据增加了新的控制（如支持网络弹性、安全系统设计、安全和隐私治理等）。

         目前，NIST SP 800系列已经出版了近90本同信息安全相关的正式文件，形成了从计划、风险管 理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系，如：

NIST SP800-53和SP800-60描述了信息系统与安全目标及风险级别对应指南

NIST SP800-26和SP800-30分别描述了自评估指南和风险管理指南

NIST SP800-51描述通用缺陷和暴露（CVE）缺陷命名方案的使用

NIST SP800-30分别描述了自评估指南和风险管理指南

NIST SP800-34信息技术系统应急计划指南

NIST SP800-34安全内容自动化协议（SCAP）指南

         此外，NIST还陆续发布了多种框架来帮助用户选择和实施这些控制，包括风险管理框架（RMF）、网络安全框架（CSF）、隐私框架（PF）。这次新版控制目录的内容NIST将以不同格式陆续发布，详情可参见NIST官网：https://csrc.nist.gov。

⑨ 计算机网络安全的详细解释

计算机网络安全概述上海共享网
上海共享网
互联网络（Internet）起源于1969年的ARPANet，最初用于军事目的，1993年开始用于商业应用，进入快速发展阶段。到目前为止，互连网已经覆盖了175个国家和地区的数千万台计算机，用户数量超过一亿。随着计算机网络的普及，计算机网络的应用向深度和广度不断发展。企业上网、政府上网、网上学校、网上购物......，一个网络化社会的雏形已经展现在我们面前。在网络给人们带来巨大的便利的同时，也带来了一些不容忽视的问题，网络信息的安全保密问题就是其中之一。上海共享网
上海共享网
一．网络信息安全的涵义上海共享网
网络信息既有存储于网络节点上信息资源，即静态信息，又有传播于网络节点间的信息，即动态信息。而这些静态信息和动态信息中有些是开放的，如广告、公共信息等，有些是保密的，如:私人间的通信、政府及军事部门、商业机密等。网络信息安全一般是指网络信息的机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）及真实性（Authenticity）。网络信息的机密性是指网络信息的内容不会被未授权的第三方所知。网络信息的完整性是指信息在存储或传输时不被修改、破坏，不出现信息包的丢失、乱序等，即不能为未授权的第三方修改。信息的完整性是信息安全的基本要求，破坏信息的完整性是影响信息安全的常用手段。当前，运行于互联网上的协议（如TCP/IP）等，能够确保信息在数据包级别的完整性，即做到了传输过程中不丢信息包，不重复接收信息包，但却无法制止未授权第三方对信息包内部的修改。网络信息的可用性包括对静态信息的可得到和可操作性及对动态信息内容的可见性。网络信息的真实性是指信息的可信度，主要是指对信息所有者或发送者的身份的确认。上海共享网
前不久，美国计算机安全专家又提出了一种新的安全框架，包括：机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、真实性（Authenticity）、实用性（Utility）、占有性（Possession），即在原来的基础上增加了实用性、占有性，认为这样才能解释各种网络安全问题：网络信息的实用性是指信息加密密钥不可丢失（不是泄密），丢失了密钥的信息也就丢失了信息的实用性,成为垃圾。网络信息的占有性是指存储信息的节点、磁盘等信息载体被盗用，导致对信息的占用权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密性，提供物理和逻辑的存取限制方法；维护和检查有关盗窃文件的审记记录、使用标签等。上海共享网
上海共享网
二．攻击互联网络安全性的类型上海共享网
对互联网络的攻击包括对静态数据的攻击和对动态数据的攻击。 对静态数据的攻击主要有：上海共享网
口令猜测：通过穷举方式搜索口令空间，逐一测试，得到口令，进而非法入侵系统。上海共享网
IP地址欺骗：攻击者伪装成源自一台内部主机的一个外部地点传送信息包，这些信息包中包含有内部系统的源IP地址，冒名他人，窃取信息。上海共享网
指定路由：发送方指定一信息包到达目的站点的路由，而这条路由是经过精心设计的、绕过设有安全控制的路由。上海共享网
根据对动态信息的攻击形式不同，可以将攻击分为主动攻击和被动攻击两种。上海共享网
被动攻击主要是指攻击者监听网络上传递的信息流，从而获取信息的内容（interception），或仅仅希望得到信息流的长度、传输频率等数据，称为流量分析（traffic analysis）。被动攻击和窃听示意图如图1、图2所示：上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
除了被动攻击的方式外，攻击者还可以采用主动攻击的方式。主动攻击是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数据流或数据流的一部分以达到其非法目的。主动攻击可以归纳为中断、篡改、伪造三种（见图3）。中断是指阻断由发送方到接收方的信息流，使接收方无法得到该信息，这是针对信息可用性的攻击（如图4）。篡改是指攻击者修改、破坏由发送方到接收方的信息流，使接收方得到错误的信息，从而破坏信息的完整性（如图5）。伪造是针对信息的真实性的攻击，攻击者或者是首先记录一段发送方与接收方之间的信息流，然后在适当时间向接收方或发送方重放（playback）这段信息，或者是完全伪造一段信息流，冒充接收方可信任的第三方，向接收方发送。（如图6）上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
上海共享网
三。网络安全机制应具有的功能上海共享网
由于上述威胁的存在，因此采取措施对网络信息加以保护，以使受到攻击的威胁减到最小是必须的。一个网络安全系统应有如下的功能：上海共享网
1．身份识别：身份识别是安全系统应具备的最基本功能。这是验证通信双方身份的有效手段，用户向其系统请求服务时，要出示自己的身份证明，例如输入User ID和Password。而系统应具备查验用户的身份证明的能力，对于用户的输入，能够明确判别该输入是否来自合法用户。上海共享网
2．存取权限控制：其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。在开放系统中，网上资源的使用应制订一些规定：一是定义哪些用户可以访问哪些资源，二是定义可以访问的用户各自具备的读、写、操作等权限。上海共享网
3．数字签名：即通过一定的机制如RSA公钥加密算法等，使信息接收方能够做出“该信息是来自某一数据源且只可能来自该数据源”的判断。上海共享网
4．保护数据完整性：既通过一定的机制如加入消息摘要等，以发现信息是否被非法修改，避免用户或主机被伪信息欺骗。上海共享网
5．审计追踪：既通过记录日志、对一些有关信息统计等手段，使系统在出现安全问题时能够追查原因。上海共享网
密钥管理：信息加密是保障信息安全的重要途径，以密文方式在相对安全的信道上传递信息，可以让用户比较放心地使用网络，如果密钥泄露或居心不良者通过积累大量密文而增加密文的破译机会，都会对通信安全造成威胁。因此，对密钥的产生、存储、传递和定期更换进行有效地控制而引入密钥管理机制，对增加网络的安全性和抗攻击性也是非常重要的。上海共享网
上海共享网
四。网络信息安全常用技术上海共享网
通常保障网络信息安全的方法有两大类：以“防火墙”技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障技术。上海共享网
1．防火墙技术：“防火墙”（Firewall）安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点。它具有简单实用的特点，并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包，尽可能地对外部网络屏蔽被保护网络或节点的信息、结构，另一方面对内屏蔽外部某些危险地址，实现对内部网络的保护。上海共享网
2．数据加密与用户授权访问控制技术：与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密主要用于对动态信息的保护。前面已经提到，对动态数据的攻击分为主动攻击和被动攻击，我们注意到，对于主动攻击，虽无法避免，但却可以有效的检测；而对于被动攻击，虽无法检测，但却可以避免，而实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法。这种变换是受称为密钥的符号串控制的。在传统的加密算法中，加密密钥与解密密钥是相同的，或者可以由其中一个推知另一个，称为对称密钥算法。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信息，也可以用该密钥解密信息。DES （Data Encryption Standard）是对称加密算法中最具代表性的,它是IBM公司W.tuchman 和C.meyer 在1971年到1972年研制成功的，在1977年5月由美国国家标准局颁部为数据加密标准。DES可以对任意长度的数据加密，密钥长度64比特，实际可用密钥长度56比特，加密时首先将数据分为64比特的数据块，采用ECB（Electronic CodeBook）、CBC（Ciper Block Chaining）、CFB（Ciper Block Feedback）等模式之一，每次将输入的64比特明文变换为64比特密文。最终，将所有输出数据块合并，实现数据加密。如果加密、解密过程各有不相干的密钥，构成加密、解密密钥对，则称这种加密算法为非对称加密算法，或称为公钥加密算法，相应的加密、解密密钥分别称为公钥、私钥。在公钥加密算法下，公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者；私钥是保密的，用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA （Ronald L Rivest,Adi Shamir,Leonard Adleman），是目前使用比较广泛的加密算法。在互联网上的数据安全传输，如Netscape Navigator 和 Microsoft Internet Explorer都使用了该算法。RSA算法建立在大数因子分解的复杂性上，简单来说，先选取两个素数p、q，一般要求两数均大于10的100次幂，计算 n=p*q，z=（p - 1）*（q - 1），选择一个与z互质的数d，找一个数e满足d*e ≡1 （mod z），将（e，n）作为公钥，将（d，z）作为密钥。RSA的保密性在于n的分解难度上，如果n分解成功，则可推知（d，z），也就无保密性可言了。上海共享网
有了信息加密的手段，我们就可以对动态信息采取保护措施了。为了防止信息内容泄露，我们可以将被传送的信息加密，使信息以密文的形式在网络上传输。这样，攻击者即使截获了信息，也只是密文，而无法知道信息的内容。为了检测出攻击者篡改了消息内容，可以采用认证的方法，即或是对整个信息加密，或是由一些消息认证函数（MAC函数）生成消息认证码（Message Authentication Code），再对消息认证码加密，随信息一同发送。攻击者对信息的修改将导致信息与消息认证码的不一致，从而达到检测消息完整性的目的。为了检测出攻击者伪造信息，可以在信息中加入加密的消息认证码和时间戳，这样，若是攻击者发送自己生成的信息，将无法生成对应的消息认证码，若是攻击者重放以前的合法信息，接收方可以通过检验时间戳的方式加以识别。上海共享网
上海共享网
五。对网络信息安全的前景的展望上海共享网
随着网络的发展，技术的进步，网络安全面临的挑战也在增大。一方面，对网络的攻击方式层出不穷：1996年以报道的攻击方式有400种，1997年达到 1000种，1998年即达到4000种，两年间增加了十倍，攻击方式的增加意味着对网络威胁的增大；随着硬件技术和并行技术的发展，计算机的计算能力迅速提高，原来认为安全的加密方式有可能失效，如1994年4月26日，人们用计算机破译了RSA发明人17年前提出的数学难题：一个129位数数字中包含的一条密语，而在问题提出时预测该问题用计算机需要850万年才能分解成功；针对安全通信措施的攻击也不断取得进展，如1990年6月20日美国科学家找到了155位大数因子的分解方法，使“美国的加密体制受到威胁”。另一方面，网络应用范围的不断扩大，使人们对网络依赖的程度增大，对网络的破坏造成的损失和混乱会比以往任何时候都大。这些网络信息安全保护提出了更高的要求，也使网络信息安全学科的地位越显得重要，网络信息安全必然随着网络应用的发展而不断发展。上海共享网

⑩ 网络三级：美国国防部安全准则中安全级别。

美国国防部不使用WINDOWS也不定义安全级别
NCSC领导着计算机和网络安全的研究工作,研制计算机安全技术标准,它在1983年提出了 "可信计算机系统评测标准"(TCSEC-TrustedComputer System Evaluation Crite ria),规定了安全计算机的基本准则。1987年又发布了"可用网络说明"(TNI-Trusted Ne twork In
terpr etation),规定了一个安全网络的基本准则,根据不同的安全强度要求,将网络分为四级安全模型。
在TCSEC准则中将计算机系统的安全分为了四大类,依次为D、B、C和A,A是最高的一类, 每一类都代表一个保护敏感信息的评判准则,并且一类比一类严格。在C和B中又分若干个子类,我们称为级,下面分
别进行介绍。
·D类:最小的保护。这是最低的一类,不再分级,这类是那些通过评测但达不到较高级别安全要求的系统。早期商用系统属于这一类。
·C类:无条件的保护。C类提供的无条件的保护也就是"需要则知道"(need-to-know n)的保护,又分两个子类。
——C1:无条件的安全保护。这是C类中较低的一个子类,提供的安全策略是无条件的访问控制,具有识别与授权的责任。早期的UNIX系统属于这一类。
——C2:有控制的存取保护。这是C类中较高的一个子类,除了提供C1中的策略与责任外,还有访问保护和审计跟踪功能。
·B类:属强制保护,要求系统在其生成的数据结构中带有标记,并要求提供对数据流的监视,B类又分三个子类:
——B1:标记安全保护,是B类中的最低子类,除满足C类要求外,要求提供数据标记。
——B2:结构安全保护,是B类中的中间子类,除满足B1要求外,要实行强制性的控制。
——B3:安全域保护,是B类中的最高子类,提供可信设备的管理和恢复,即使计算机崩溃,也不会泄露系统信息。
·A类:经过验证的保护,是安全系统等级的最高类,这类系统可建立在具有结构、规范和信息流密闭的形式模型基础之上。
A1:经过验证保护。
TCSEC共定义了四类7级可信计算机系统准则,银行界一般都使用满足C2级或更高的计算机系统