導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)攻防與安全滲透，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：OpenStack；云平臺(tái)；網(wǎng)絡(luò)攻防；靶場(chǎng)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2017）01-0027-02

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展及其在各領(lǐng)域的廣泛應(yīng)用，社會(huì)各界也越來越重視信息網(wǎng)絡(luò)安全問題，不斷投入資源進(jìn)行網(wǎng)絡(luò)攻防演練和信息安全研究。考慮到計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用服務(wù)的實(shí)時(shí)性和高可靠性要求，難以直接在業(yè)務(wù)網(wǎng)絡(luò)尤其是生產(chǎn)系統(tǒng)上進(jìn)行網(wǎng)絡(luò)攻防演練和滲透測(cè)試研究。網(wǎng)絡(luò)靶場(chǎng)技術(shù)能夠?qū)φ鎸?shí)業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行模擬，在其上進(jìn)行攻防演練能夠避免對(duì)真實(shí)業(yè)務(wù)網(wǎng)絡(luò)的破壞，并且成本低、部署靈活、過程可重復(fù)，是網(wǎng)絡(luò)攻防演練和測(cè)試研究的有效途徑。

網(wǎng)絡(luò)靶場(chǎng)概念最初在軍事領(lǐng)域提出，是為了滿足信息化武器系統(tǒng)的研究需求而構(gòu)建的信息安全試驗(yàn)平臺(tái)，是一個(gè)貼近實(shí)戰(zhàn)的信息戰(zhàn)模擬環(huán)境[1]。由于網(wǎng)絡(luò)靶場(chǎng)可以進(jìn)行各種攻擊手段和防御技術(shù)的研究，針對(duì)性制定安全性策略以及安全方案，并可進(jìn)行定量和定性的安全評(píng)估，因此其在軍事領(lǐng)域之外的其他信息安全研究領(lǐng)域也得到了廣泛的應(yīng)用。

本文根據(jù)網(wǎng)絡(luò)攻擊及防護(hù)技術(shù)在真實(shí)網(wǎng)絡(luò)環(huán)境中的應(yīng)用特點(diǎn)，基于云計(jì)算技術(shù)構(gòu)建了網(wǎng)絡(luò)攻防靶場(chǎng)平臺(tái)，能夠?yàn)榫W(wǎng)絡(luò)攻防演練、滲透測(cè)試以及防護(hù)技術(shù)研究提供綜合模擬環(huán)境，可應(yīng)用于政府、企業(yè)以及高校等行業(yè)的網(wǎng)絡(luò)安全實(shí)驗(yàn)室。

2 OpenStack云計(jì)算技術(shù)

云計(jì)算是一種基于互聯(lián)網(wǎng)的計(jì)算方式和服務(wù)模式，它具有靈活動(dòng)態(tài)分配資源、統(tǒng)一管理、有效降低管理維護(hù)成本等優(yōu)勢(shì)，因此基于云計(jì)算平臺(tái)的網(wǎng)絡(luò)靶場(chǎng)也具有高性價(jià)比和便于管理維護(hù)等優(yōu)點(diǎn)。OpenStack是由開源社區(qū)開發(fā)維護(hù)的一個(gè)開源云計(jì)算平臺(tái)，采用組件化的服務(wù)形式管理計(jì)算、存儲(chǔ)以及網(wǎng)絡(luò)資源池，支持自定義方式搭建靈活的云計(jì)算環(huán)境，其主要組件包括：

（1）運(yùn)算組件Nova，是OpenStack的核心組件，負(fù)責(zé)虛擬運(yùn)算和資源的調(diào)度；

（2）對(duì)象存儲(chǔ)組件Swift，其以分布式對(duì)象存儲(chǔ)方式存放虛擬機(jī)鏡像文件；

（3）區(qū)塊存儲(chǔ)組件Cinder，分塊存儲(chǔ)，為虛擬機(jī)提供塊存儲(chǔ)設(shè)備；

（4）網(wǎng)絡(luò)組件Quantum，管理虛擬網(wǎng)絡(luò)系統(tǒng)；

（5）身份認(rèn)證組件Keystone，用于身份認(rèn)證和授權(quán)；

（6）鏡像文件管理組件Glance，對(duì)虛擬機(jī)鏡像文件進(jìn)行管理；

（7）儀表盤組件Horizon，提供UI操作界面。

OpenStack通過以上組件提供可擴(kuò)展、靈活的云計(jì)算平臺(tái)，并且鑒于其開源特性以及強(qiáng)大的社區(qū)開發(fā)模式，本文采用OpenStack作為云平臺(tái)構(gòu)建網(wǎng)絡(luò)靶場(chǎng)。

3 基于OpenStack技術(shù)的網(wǎng)絡(luò)攻防靶場(chǎng)平臺(tái)構(gòu)建

3.1 設(shè)計(jì)目標(biāo)

在實(shí)際業(yè)務(wù)環(huán)境中，網(wǎng)絡(luò)攻擊和防御是“道高一尺魔高一丈”的關(guān)系，手段也呈現(xiàn)多樣性特點(diǎn)，所以近似真實(shí)業(yè)務(wù)網(wǎng)絡(luò)是靶場(chǎng)設(shè)計(jì)的基本要求，并且靶場(chǎng)的設(shè)計(jì)應(yīng)滿足以下目標(biāo)：

（1）網(wǎng)絡(luò)攻防的指標(biāo)參數(shù)應(yīng)可以根據(jù)需要進(jìn)行配置，比如拓?fù)浣Y(jié)構(gòu)、漏洞等級(jí)、設(shè)備參數(shù)以及評(píng)價(jià)指標(biāo)等。

（2）可以進(jìn)行多種模式的演練，以滿足不同的演練需求，包括紅藍(lán)對(duì)抗和單兵作戰(zhàn)。

（3）能夠?qū)ρ菥氝^程和成績(jī)進(jìn)行實(shí)時(shí)監(jiān)控和統(tǒng)計(jì)，并以圖形化界面全程展示演練情況，具備一定的態(tài)勢(shì)感知能力。

（4）在演練過程中，靶場(chǎng)應(yīng)能夠在運(yùn)行資源和管理資源方面支持不同攻防場(chǎng)景的快速部署，從而全方位地對(duì)靶場(chǎng)進(jìn)行安全性評(píng)估，重點(diǎn)完善薄弱環(huán)節(jié)，也能夠通過豐富的演練場(chǎng)景，掌握網(wǎng)絡(luò)攻擊與防護(hù)的理論知識(shí)和實(shí)踐技能。

（5）演練數(shù)據(jù)應(yīng)被詳細(xì)記錄，通過數(shù)據(jù)處理和分析，評(píng)估靶場(chǎng)的安全性以及演練人員的技能水平，并進(jìn)一步形成和豐富網(wǎng)絡(luò)攻防實(shí)驗(yàn)?zāi)Ｐ秃蛯?shí)驗(yàn)數(shù)據(jù)庫。

3.2 總體架構(gòu)

根據(jù)前述設(shè)計(jì)目標(biāo)，基于云平臺(tái)的網(wǎng)絡(luò)攻防靶場(chǎng)在OpenStack基礎(chǔ)設(shè)施之上模擬出多種設(shè)備和系統(tǒng)，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備以及操作系統(tǒng)，并能夠完全貼近網(wǎng)絡(luò)安全的各應(yīng)用領(lǐng)域，例如網(wǎng)絡(luò)設(shè)備安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、Web應(yīng)用安全、主機(jī)程序安全、移動(dòng)設(shè)備安全以及中間件安全。功能模塊主要有靶場(chǎng)信息管理系統(tǒng)、紅藍(lán)對(duì)抗系統(tǒng)和單兵作戰(zhàn)系統(tǒng)。靶場(chǎng)系統(tǒng)又包括各種靶場(chǎng)場(chǎng)景，可以預(yù)設(shè)和修改，主要靶場(chǎng)場(chǎng)景包括ServU漏洞利用靶場(chǎng)、Windows漏洞靶場(chǎng)、Linux漏洞靶場(chǎng)、webshell利用、SqlServer提權(quán)靶場(chǎng)、SQL注入靶場(chǎng)、cookie分析靶場(chǎng)、ftp弱口令利用靶場(chǎng)、telnet弱口令利用靶場(chǎng)、系統(tǒng)登錄弱口令利用靶場(chǎng)、電商網(wǎng)站靶場(chǎng)、新聞系統(tǒng)靶場(chǎng)、個(gè)人博客靶場(chǎng)、Wiki靶場(chǎng)、OA系統(tǒng)靶場(chǎng)等。系統(tǒng)總體架構(gòu)如圖1所示。

3.3 功能模塊

3.3.1 靶場(chǎng)管理信息系統(tǒng)

靶場(chǎng)管理信息系統(tǒng)對(duì)整個(gè)靶場(chǎng)平臺(tái)進(jìn)行統(tǒng)一管理調(diào)度，采用B/S架構(gòu)模式，無需安裝客戶端，升級(jí)維護(hù)靈活方便。其一方面通過API接口訪問OpenStack云計(jì)算資源，另一方面負(fù)責(zé)對(duì)靶場(chǎng)場(chǎng)景進(jìn)行鏡像管理和參數(shù)配置，并提供實(shí)時(shí)監(jiān)控、分析統(tǒng)計(jì)、可視化展示、系統(tǒng)管理等功能。靶場(chǎng)管理信息系統(tǒng)自身具備較高的安全防護(hù)能力，能夠防止在攻防演練中受到攻擊導(dǎo)致整個(gè)靶場(chǎng)平臺(tái)的失效。

3.3.2 紅藍(lán)對(duì)抗系統(tǒng)

呈現(xiàn)紅藍(lán)對(duì)抗演練模式，即將演練者分為紅方和藍(lán)方兩組進(jìn)行網(wǎng)絡(luò)攻防的對(duì)抗演練，以CTF（Capture the Flag）奪旗比賽模式進(jìn)行，紅方試圖利用藍(lán)方的安全防護(hù)漏洞獲取藍(lán)方的Flag，藍(lán)方則盡力堵住自身安全漏洞，并反利用紅方漏洞獲取紅方Flag，是一種對(duì)抗激烈的演練模式，對(duì)演練者的技能水平有較高考驗(yàn)。

3.3.3 單兵作戰(zhàn)系統(tǒng)

主要訓(xùn)練考核演練者的攻擊水平，系統(tǒng)為演練者提供了兩臺(tái)攻擊機(jī)以及目標(biāo)靶機(jī)，攻擊機(jī)分別為預(yù)置有攻擊工具的Windows操作系統(tǒng)和Kali Linux操作系統(tǒng)，目標(biāo)靶機(jī)由系統(tǒng)管理員從靶場(chǎng)場(chǎng)景中選取設(shè)置，演練者通過攻擊機(jī)對(duì)靶機(jī)進(jìn)行滲透，獲取過關(guān)文件，向系統(tǒng)提交過關(guān)文件后由系統(tǒng)自動(dòng)進(jìn)行判分，并給出實(shí)時(shí)成績(jī)。

4 網(wǎng)絡(luò)攻防滲透測(cè)試實(shí)例

本文對(duì)系統(tǒng)功能和各靶場(chǎng)場(chǎng)景逐一進(jìn)行了測(cè)試，此處以Windows漏洞利用靶場(chǎng)場(chǎng)景為例闡述滲透測(cè)試過程。該靶場(chǎng)場(chǎng)景部署Windows xp SP1版本操作系統(tǒng)作為目標(biāo)靶機(jī)，測(cè)試時(shí)使用靶場(chǎng)平臺(tái)提供的Kali Linux作為攻擊機(jī)，在攻擊機(jī)運(yùn)行漏洞掃描程序?qū)δ繕?biāo)靶機(jī)進(jìn)行漏洞掃描，發(fā)現(xiàn)目標(biāo)靶機(jī)存在MS08-067高危漏洞。于是攻擊機(jī)啟動(dòng)Metasploit攻擊框架，使用攻擊模塊，加載攻擊載荷，對(duì)靶機(jī)進(jìn)行滲透，從而獲取到靶機(jī)的命令行權(quán)限，并添加用戶、提權(quán)，最終獲得靶機(jī)的最高控制權(quán)，取得Flag，滲透成功。

通過對(duì)網(wǎng)絡(luò)攻防靶場(chǎng)系統(tǒng)全部功能模塊和靶場(chǎng)場(chǎng)景的測(cè)試以及實(shí)踐檢驗(yàn)，證明該系統(tǒng)功能全面、運(yùn)行穩(wěn)定，達(dá)到了預(yù)期設(shè)計(jì)目標(biāo)。

5 結(jié)語

本文根據(jù)網(wǎng)絡(luò)攻擊及防護(hù)技術(shù)在真實(shí)網(wǎng)絡(luò)業(yè)務(wù)環(huán)境中的應(yīng)用特點(diǎn)，基于OpenStack云計(jì)算技術(shù)構(gòu)建了網(wǎng)絡(luò)攻防靶場(chǎng)平臺(tái)，能夠?yàn)榫W(wǎng)絡(luò)攻防演練、滲透測(cè)試以及防護(hù)技術(shù)研究提供綜合模擬環(huán)境，避免對(duì)真網(wǎng)絡(luò)的影響和危害，可應(yīng)用于政府、企業(yè)以及高校等行業(yè)的網(wǎng)絡(luò)安全實(shí)驗(yàn)室。

篇2

摘要：本文結(jié)合筆者的實(shí)際教學(xué)經(jīng)驗(yàn)，從課程實(shí)驗(yàn)課的教學(xué)目標(biāo)、教學(xué)方法和考核方式三個(gè)方面探索了新的教學(xué)方法。

關(guān)鍵詞：網(wǎng)絡(luò)攻防技術(shù)；實(shí)驗(yàn)課；教學(xué)研究

中圖分類號(hào)：G642

文獻(xiàn)標(biāo)識(shí)碼：B

實(shí)驗(yàn)教學(xué)在高校教學(xué)體系中占有十分重要的地位，進(jìn)行實(shí)驗(yàn)教學(xué)改革與探索的目的是提高實(shí)驗(yàn)教學(xué)質(zhì)量，使實(shí)驗(yàn)教學(xué)在人才培養(yǎng)中發(fā)揮更大的作用。下面結(jié)合筆者自身的教學(xué)經(jīng)驗(yàn)，從教學(xué)目標(biāo)、教學(xué)方法和考核方式三個(gè)方面對(duì)實(shí)驗(yàn)課的教學(xué)進(jìn)行了一些探索。

1完善教學(xué)內(nèi)容

1.1教學(xué)內(nèi)容設(shè)計(jì)

“網(wǎng)絡(luò)攻防技術(shù)”課程實(shí)驗(yàn)課的教學(xué)目標(biāo)就是以實(shí)驗(yàn)為手段，使學(xué)生在實(shí)際操作過程中鞏固已有的網(wǎng)絡(luò)攻防理論知識(shí)，并以此為基礎(chǔ)了解目前常見的漏洞和攻擊模式，熟練配置一個(gè)安全的網(wǎng)絡(luò)系統(tǒng)，培養(yǎng)學(xué)生使用計(jì)算機(jī)網(wǎng)絡(luò)工具和設(shè)備來組建、配置和調(diào)試安全的局域網(wǎng)。

我們認(rèn)為，目前的網(wǎng)絡(luò)攻防技術(shù)課程實(shí)驗(yàn)課教學(xué)設(shè)計(jì)具有兩大特點(diǎn)：一是要突出實(shí)驗(yàn)課在網(wǎng)絡(luò)攻防課程教學(xué)中的地位和作用；二是要以培養(yǎng)學(xué)生技術(shù)應(yīng)用能力為主線設(shè)計(jì)實(shí)驗(yàn)課的教學(xué)內(nèi)容。為此，結(jié)合我院網(wǎng)絡(luò)實(shí)驗(yàn)室已有的實(shí)驗(yàn)設(shè)備和工具情況，我們?cè)O(shè)計(jì)了如下教學(xué)內(nèi)容。

(1) 網(wǎng)絡(luò)安全漏洞測(cè)試與評(píng)估實(shí)驗(yàn)：安裝并使用安全測(cè)試評(píng)估工具Shadow Security Scanner；使用Shadow Security Scanner對(duì)局域網(wǎng)的特定主機(jī)進(jìn)行網(wǎng)絡(luò)安全檢測(cè)；分析并撰寫安全評(píng)估報(bào)告，及安全加固措施。

(2) 網(wǎng)絡(luò)嗅探與欺騙實(shí)驗(yàn)：使用網(wǎng)絡(luò)嗅探工具Iris對(duì)局域網(wǎng)的特定主機(jī)進(jìn)行ARP、ICMP、TCP、UDP等協(xié)議的數(shù)據(jù)報(bào)網(wǎng)絡(luò)嗅探；使用Iris對(duì)局域網(wǎng)的特定主機(jī)進(jìn)行ARP欺騙。

(3) 計(jì)算機(jī)木馬與后門實(shí)驗(yàn)：使用后門工具Hkdoor對(duì)局域網(wǎng)的特定主機(jī)進(jìn)行FindPass、Shutdown等遠(yuǎn)程監(jiān)控；使用HkDoor與局域網(wǎng)的特定主機(jī)進(jìn)行FTP數(shù)據(jù)傳輸。

(4) 軟件緩沖區(qū)溢出漏洞利用設(shè)計(jì)實(shí)驗(yàn)：編寫并運(yùn)用由MessageBoxA顯示信息的ShellCode代碼；編寫具有安全漏洞實(shí)例代碼的攻擊利用程序，并測(cè)試通過。

1.2實(shí)驗(yàn)環(huán)境設(shè)置

網(wǎng)絡(luò)攻防實(shí)驗(yàn)與其他實(shí)驗(yàn)有著很大的區(qū)別，主要表現(xiàn)為系統(tǒng)性與繼承性。

系統(tǒng)性是指網(wǎng)絡(luò)攻防面對(duì)的是系統(tǒng)集成問題，其實(shí)驗(yàn)的對(duì)象和環(huán)境是一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)。計(jì)算機(jī)網(wǎng)絡(luò)所面對(duì)的系統(tǒng)集成問題與電子測(cè)量、電子技術(shù)、微機(jī)接口等實(shí)驗(yàn)課程不大一樣。微機(jī)接口等實(shí)驗(yàn)立足與元件級(jí)，即把一些元件按實(shí)驗(yàn)內(nèi)容設(shè)計(jì)出電路圖，再連接成相應(yīng)的電路，實(shí)驗(yàn)結(jié)果是完成某一功能。由于功能單一，整體結(jié)構(gòu)簡(jiǎn)單，因而安裝、調(diào)試過程難度均不大。而網(wǎng)絡(luò)攻防實(shí)驗(yàn)無論硬件和軟件的復(fù)雜程度都大大超過微機(jī)接口實(shí)驗(yàn)，系統(tǒng)集成后復(fù)雜程度更高。因此，我們?cè)趯?shí)驗(yàn)中更要注意從系統(tǒng)的、聯(lián)系的觀點(diǎn)看問題，這也是培養(yǎng)學(xué)生處理大系統(tǒng)，從事系統(tǒng)開發(fā)和提高系統(tǒng)集成能力的好機(jī)會(huì)。

繼承性有硬件、軟件方面的。硬件方面繼承性是指只有完成了基本的組網(wǎng)實(shí)驗(yàn)，后繼實(shí)驗(yàn)才能順利地在此環(huán)境下進(jìn)行。軟件方面的繼承性是指每一種網(wǎng)絡(luò)環(huán)境下的實(shí)驗(yàn)，都基于特定的網(wǎng)絡(luò)操作系統(tǒng)，只有完成了有關(guān)網(wǎng)絡(luò)操作系統(tǒng)的安裝、配置，這個(gè)網(wǎng)絡(luò)環(huán)境下的其他實(shí)驗(yàn)才能順利進(jìn)行。因?yàn)榫W(wǎng)絡(luò)實(shí)驗(yàn)的系統(tǒng)性和繼承性，使得網(wǎng)絡(luò)攻防的實(shí)驗(yàn)對(duì)實(shí)驗(yàn)環(huán)境要求較高，涉及實(shí)驗(yàn)的設(shè)備與組織管理多方面，實(shí)驗(yàn)前后的許多工作需要實(shí)驗(yàn)室的支持與配合，實(shí)驗(yàn)指導(dǎo)老師需要對(duì)實(shí)驗(yàn)環(huán)境有較深的了解，每一個(gè)實(shí)驗(yàn)項(xiàng)目都要考慮其可行性和可操作性。開設(shè)網(wǎng)絡(luò)教學(xué)實(shí)驗(yàn)，需要有更多的實(shí)驗(yàn)設(shè)備與技術(shù)力量的支持，相對(duì)于計(jì)算機(jī)課程的其他實(shí)驗(yàn)，難度更大。因此實(shí)驗(yàn)前的準(zhǔn)備功夫一定要做好，只有這樣才能理清實(shí)驗(yàn)?zāi)康?、要求，列出?shí)驗(yàn)步驟，對(duì)可能出現(xiàn)的問題有充分的準(zhǔn)備，才不會(huì)臨到實(shí)驗(yàn)時(shí)手忙腳亂、窮于應(yīng)付。

2改革實(shí)驗(yàn)課教學(xué)方法

2.1教師的主導(dǎo)作用

一直以來，計(jì)算機(jī)課程實(shí)驗(yàn)主要是驗(yàn)證性實(shí)驗(yàn)，嚴(yán)格來說這種實(shí)驗(yàn)只能稱為上機(jī)，談不上實(shí)驗(yàn)教學(xué)。改革實(shí)驗(yàn)教學(xué)方法，規(guī)范管理，提高教學(xué)水平，就是要注重學(xué)生是教育主體的作用，通過對(duì)學(xué)生的引導(dǎo)、幫助和促進(jìn)，充分調(diào)動(dòng)他們獲取知識(shí)的積極性和主動(dòng)性，增強(qiáng)能力，提高素質(zhì)。實(shí)驗(yàn)是教學(xué)過程中的一個(gè)重要環(huán)節(jié)，因此實(shí)驗(yàn)教學(xué)方法的好壞直接影響著學(xué)生對(duì)實(shí)驗(yàn)的態(tài)度，影響著他們的動(dòng)手能力，創(chuàng)新意識(shí)的培養(yǎng)。我們認(rèn)為網(wǎng)絡(luò)攻防技術(shù)這門課程既有一般計(jì)算機(jī)課程的普遍性，也有其自身特性，網(wǎng)絡(luò)攻防技術(shù)實(shí)驗(yàn)不僅是理論的驗(yàn)證，更重要的是通過網(wǎng)絡(luò)與系統(tǒng)安全的實(shí)驗(yàn)操作，培養(yǎng)學(xué)生對(duì)網(wǎng)絡(luò)安全的分析、設(shè)計(jì)、管理和應(yīng)用的實(shí)驗(yàn)技能，加深對(duì)網(wǎng)絡(luò)攻防理論知識(shí)的理解和應(yīng)用。

在教師主導(dǎo)作用方面，我們首先改變過去按部就班的教學(xué)模式[3]，以啟發(fā)式的方式指導(dǎo)實(shí)驗(yàn)。教師在備課時(shí)，對(duì)每次實(shí)驗(yàn)重點(diǎn)和難點(diǎn)、實(shí)驗(yàn)中可能出現(xiàn)的問題、實(shí)驗(yàn)的數(shù)據(jù)和結(jié)果做到心中有數(shù)。實(shí)驗(yàn)過程中，教師加強(qiáng)巡視，出現(xiàn)問題，一般由學(xué)生自主研究解決，教師作啟發(fā)提示、釋疑和引導(dǎo)。這樣的實(shí)驗(yàn)不光是學(xué)生動(dòng)手做，教師在整個(gè)實(shí)驗(yàn)中起著主導(dǎo)作用。

在學(xué)生主體方面，由于實(shí)驗(yàn)報(bào)告是培養(yǎng)學(xué)生寫作能力、表達(dá)能力、分析能力和總結(jié)能力的一種較好方式。因此，要求學(xué)生每一個(gè)實(shí)驗(yàn)都要提交實(shí)驗(yàn)報(bào)告。在報(bào)告中注重分析、總結(jié)實(shí)驗(yàn)中的收獲、體會(huì)，使學(xué)生從實(shí)驗(yàn)中不斷積累經(jīng)驗(yàn)，獲得更多的實(shí)驗(yàn)技能。在實(shí)驗(yàn)課結(jié)束時(shí)，組織實(shí)驗(yàn)技能考核，最后根據(jù)學(xué)生實(shí)驗(yàn)情況、實(shí)驗(yàn)報(bào)告、考核及平時(shí)成績(jī)，客觀評(píng)價(jià)學(xué)生的實(shí)驗(yàn)成績(jī)。

通過以上措施，提高了學(xué)生對(duì)實(shí)驗(yàn)課的重視程度，同時(shí)對(duì)指導(dǎo)老師也提出了更高的要求?？梢姡呀處煹闹鲗?dǎo)作用和學(xué)生的主體作用結(jié)合起來，有利于提高實(shí)驗(yàn)教學(xué)水平。

2.2學(xué)生的組織管理

我院根據(jù)網(wǎng)絡(luò)攻擊技術(shù)實(shí)驗(yàn)的特點(diǎn)，采取了獨(dú)立實(shí)驗(yàn)和分組實(shí)驗(yàn)等多種形式進(jìn)行實(shí)驗(yàn)操作。更多地采用分批分組來組織實(shí)驗(yàn)，學(xué)生相互學(xué)習(xí)、相互討論切磋，提出一個(gè)最優(yōu)方案，然后實(shí)施。

在實(shí)踐中，我們發(fā)現(xiàn)分組實(shí)驗(yàn)的許多優(yōu)點(diǎn)。網(wǎng)絡(luò)安全從軟件、硬件和通信幾個(gè)方面來說，都是一個(gè)復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)攻防的信息探測(cè)、分析、漏洞掃描、實(shí)施，以及滲透測(cè)試一般都是一個(gè)群體來實(shí)現(xiàn)的，學(xué)生將來如何從事網(wǎng)絡(luò)攻防方面的工作，也需要與人合作，分組實(shí)踐，加強(qiáng)了學(xué)生之間相互學(xué)習(xí)研究、溝通和合作的精神。對(duì)于實(shí)驗(yàn)?zāi)芰^強(qiáng)的學(xué)生，可以指定他們做一些實(shí)驗(yàn)輔導(dǎo)工作，由他們負(fù)責(zé)所在小組的實(shí)驗(yàn)，這種變教師指導(dǎo)實(shí)驗(yàn)為學(xué)生指導(dǎo)實(shí)驗(yàn)的教學(xué)方式，充分調(diào)動(dòng)了學(xué)生參加實(shí)驗(yàn)教學(xué)的積極性。網(wǎng)絡(luò)攻防實(shí)驗(yàn)不光是需要計(jì)算機(jī)和網(wǎng)絡(luò)，還需要一些配套設(shè)施，且操作有一定的破壞性，一人一套設(shè)備有時(shí)是不可能也沒必要，以小組為單位，有利于實(shí)驗(yàn)室的恢復(fù)和維護(hù)。不過，分組實(shí)驗(yàn)有些問題也要引起注意。如在一個(gè)小組中，學(xué)生的能力相對(duì)有強(qiáng)弱之分，如果以小組為單位完成某個(gè)實(shí)驗(yàn)，那么學(xué)生為盡早完成，可能由能力強(qiáng)的學(xué)生做完了事，而其他同學(xué)，尤其是能力較差的學(xué)生就沒有得到應(yīng)用的實(shí)踐。所以，在實(shí)驗(yàn)的組織與管理中，應(yīng)當(dāng)注意對(duì)不同層次學(xué)生做不同要求，采取多種形式提高學(xué)生對(duì)實(shí)驗(yàn)的興趣，加強(qiáng)分組分配的合理性以及實(shí)驗(yàn)過程中鼓勵(lì)弱勢(shì)學(xué)生的積極參與。

2.3實(shí)驗(yàn)課教學(xué)方法改進(jìn)

實(shí)驗(yàn)課是培養(yǎng)學(xué)生動(dòng)手能力的最基本環(huán)節(jié)，在很大程度上影響著實(shí)驗(yàn)課的教學(xué)目標(biāo)能否順利實(shí)現(xiàn)。因此，結(jié)合網(wǎng)絡(luò)攻防技術(shù)課程實(shí)驗(yàn)課的教學(xué)特點(diǎn)，我院對(duì)本課程實(shí)驗(yàn)教學(xué)方法進(jìn)行了積極的探索和改革。

(1) 規(guī)范操作流程。實(shí)驗(yàn)之前，要求學(xué)生撰寫并提交以明確實(shí)驗(yàn)?zāi)康摹?shí)驗(yàn)任務(wù)、分析或預(yù)測(cè)可能困難為目標(biāo)的預(yù)習(xí)報(bào)告；實(shí)驗(yàn)過程中，應(yīng)按規(guī)定操作，并遵守實(shí)驗(yàn)室各項(xiàng)規(guī)章制度；實(shí)驗(yàn)完成后，應(yīng)及時(shí)提交實(shí)驗(yàn)報(bào)告、實(shí)驗(yàn)心得以及經(jīng)驗(yàn)總結(jié)等相應(yīng)資料。

(2) 改革教學(xué)模式。減少演示性實(shí)驗(yàn)內(nèi)容，增加技能性、設(shè)計(jì)性和綜合性實(shí)踐教學(xué)內(nèi)容；在教學(xué)過程中，結(jié)合流行的新網(wǎng)絡(luò)技術(shù)講解，激發(fā)學(xué)生學(xué)習(xí)的積極性，在實(shí)驗(yàn)課中使學(xué)生由被動(dòng)受教育轉(zhuǎn)為積極主動(dòng)受教育。

(3) 改革教學(xué)方式。減少教師手把手的教學(xué)方式，指導(dǎo)和啟發(fā)學(xué)生分析、解決問題，盡可能地讓學(xué)生通過自己查找資料、相互討論，解決實(shí)踐過程中遇到的問題。

(4) 激發(fā)學(xué)生的創(chuàng)造性思維。鼓勵(lì)學(xué)生對(duì)同一個(gè)實(shí)際問題從不同角度來思考，并提出不同的解決方案。教師在規(guī)定問題求解的大范圍前提下，可讓學(xué)生自行完成方案設(shè)計(jì)和實(shí)驗(yàn)操作，充分挖掘?qū)W生的創(chuàng)新性、靈活性等，并讓優(yōu)秀方案設(shè)計(jì)者談?wù)勂湓O(shè)計(jì)思路、心得體會(huì)，促進(jìn)學(xué)生間的相互交流，營造濃厚的學(xué)習(xí)氛圍。

(5) 培養(yǎng)學(xué)生查找和搜索專業(yè)資料的能力。教師可以在實(shí)驗(yàn)課的不同階段，布置一些與本階段學(xué)習(xí)相關(guān)的最前沿的主題，讓學(xué)生自己去查找，并進(jìn)行相互之間的交流，這不僅僅可以開闊學(xué)生的知識(shí)視野，也為最后階段的綜合網(wǎng)絡(luò)實(shí)踐順利完成提供了文獻(xiàn)查閱方面的保障。

(6) 鼓勵(lì)學(xué)生深入實(shí)驗(yàn)。在完成規(guī)定的教學(xué)內(nèi)容外，安排一些更具有實(shí)用性、工程性特點(diǎn)的實(shí)驗(yàn)內(nèi)容，加強(qiáng)對(duì)學(xué)生動(dòng)手能力的訓(xùn)練。

3結(jié)束語

隨著計(jì)算機(jī)業(yè)的發(fā)展，網(wǎng)絡(luò)環(huán)境下的實(shí)驗(yàn)在不斷更新，實(shí)驗(yàn)內(nèi)容也必須隨之而更新，這對(duì)于提高實(shí)驗(yàn)教學(xué)質(zhì)量有著重要作用，因此改革之路仍然漫長，我們?nèi)孕璨粩嗵剿鳌?/p>

篇3

會(huì)議擬請(qǐng)公安、工業(yè)和信息化、國家保密、國家密碼管理主管部門、中國科學(xué)院、國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心等部門擔(dān)任指導(dǎo)單位，同時(shí)將出版論文集，經(jīng)專家評(píng)選的部分優(yōu)秀論文，將推薦至國家核心期刊發(fā)表。現(xiàn)就會(huì)議征文的有關(guān)情況通知如下：

一、征文范圍

1. 新技術(shù)應(yīng)用環(huán)境下信息安全等級(jí)保護(hù)技術(shù)：物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、工控系統(tǒng)、移動(dòng)接入網(wǎng)、下一代互聯(lián)網(wǎng)（IPv6）等新技術(shù)、環(huán)境下的等級(jí)保護(hù)支撐技術(shù)，等級(jí)保護(hù)技術(shù)體系在新環(huán)境下的應(yīng)用方法；

2. 關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)技術(shù)：政府部門及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務(wù)信息系統(tǒng)等安全威脅、隱患分析及防范措施；

3. 國內(nèi)外信息安全管理政策與策略：信息安全管理政策和策略研究，信息安全管理體制和機(jī)制特點(diǎn)，信息安全管理標(biāo)準(zhǔn)發(fā)展對(duì)策，網(wǎng)絡(luò)恐怖的特點(diǎn)、趨勢(shì)、危害研究；

4. 信息安全預(yù)警與突發(fā)事件應(yīng)急處置技術(shù)：攻擊監(jiān)測(cè)技術(shù)，態(tài)勢(shì)感知預(yù)警技術(shù)，安全監(jiān)測(cè)技術(shù)，安全事件響應(yīng)技術(shù)，應(yīng)急處置技術(shù)，災(zāi)難備份技術(shù)，恢復(fù)和跟蹤技術(shù)，風(fēng)險(xiǎn)評(píng)估技術(shù)；

5. 信息安全等級(jí)保護(hù)建設(shè)技術(shù)：密碼技術(shù)，可信計(jì)算技術(shù)，網(wǎng)絡(luò)實(shí)名制等體系模型與構(gòu)建技術(shù)，漏洞檢測(cè)技術(shù)，網(wǎng)絡(luò)監(jiān)測(cè)與監(jiān)管技術(shù)，網(wǎng)絡(luò)身份認(rèn)證技術(shù)，網(wǎng)絡(luò)攻防技術(shù)，軟件安全技術(shù)，信任體系研究；

6. 信息安全等級(jí)保護(hù)監(jiān)管技術(shù)：用于支撐安全監(jiān)測(cè)的數(shù)據(jù)采集、挖掘與分析技術(shù)，用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護(hù)技術(shù)，安全態(tài)勢(shì)評(píng)估技術(shù)，安全事件關(guān)聯(lián)分析技術(shù)、安全績(jī)效評(píng)估技術(shù)，電子數(shù)據(jù)取證和鑒定技術(shù)；

7. 信息安全等級(jí)保護(hù)測(cè)評(píng)技術(shù)：標(biāo)準(zhǔn)符合性檢驗(yàn)技術(shù)，安全基準(zhǔn)驗(yàn)證技術(shù)，源代碼安全分析技術(shù)，逆向工程剖析技術(shù)，滲透測(cè)試技術(shù)，測(cè)評(píng)工具和測(cè)評(píng)方法；

8. 信息安全等級(jí)保護(hù)策略與機(jī)制：網(wǎng)絡(luò)安全綜合防控體系建設(shè)，重要信息系統(tǒng)的安全威脅與脆弱性分析，縱深防御策略，大數(shù)據(jù)安全保護(hù)策略，信息安全保障工作評(píng)價(jià)機(jī)制、應(yīng)急響應(yīng)機(jī)制、安全監(jiān)測(cè)預(yù)警機(jī)制。

二、投稿要求

1. 來稿內(nèi)容應(yīng)屬于作者的科研成果，數(shù)據(jù)真實(shí)、可靠，未公開發(fā)表過，引用他人成果已注明出處，署名無爭(zhēng)議，論文摘要及全文不涉及保密內(nèi)容；

2. 會(huì)議只接受以Word排版的電子稿件，稿件一般不超過5000字；

3. 稿件以Email方式發(fā)送到征稿郵箱；

4. 凡投稿文章被錄用且未作特殊聲明者，視為已同意授權(quán)出版；

5. 提交截止日期： 2014年5月25日。

三、聯(lián)系方式

通信地址：北京市海淀區(qū)首都體育館南路1號(hào)

郵編：100048

Email：.cn

聯(lián)系人： 范博、王晨

聯(lián)系電話：010-68773930，

13717905088，13581879819

篇4

新戰(zhàn)略對(duì)我國網(wǎng)絡(luò)空間安全的主要威脅與挑戰(zhàn)

美國是世界信息技術(shù)革命的“領(lǐng)跑者”。近來，美國在網(wǎng)絡(luò)空間不斷取得新的突破對(duì)我國網(wǎng)絡(luò)空間安全帶來嚴(yán)峻威脅與挑戰(zhàn)。

第一，美國從“全面防御”到“營造威懾態(tài)勢(shì)”對(duì)我國網(wǎng)絡(luò)空間安全和社會(huì)穩(wěn)定帶來巨大沖擊。

美國新版網(wǎng)絡(luò)戰(zhàn)略與前幾屆政府的網(wǎng)絡(luò)戰(zhàn)略重心形成了鮮明對(duì)比。一是把營造威懾態(tài)勢(shì)作為美網(wǎng)絡(luò)戰(zhàn)略的關(guān)鍵目標(biāo)。奧巴馬執(zhí)政后，美國將威懾作為網(wǎng)絡(luò)戰(zhàn)略的關(guān)鍵部分。未來10年，美軍將不再僅僅是打造防火墻，而是要明確告訴敵對(duì)分子，他們要為自己的網(wǎng)絡(luò)攻擊行為付出代價(jià)。新戰(zhàn)略列出了美認(rèn)為在網(wǎng)絡(luò)安全面臨最大威脅的對(duì)手――俄羅斯、中國、伊朗和朝鮮。二是全面提升網(wǎng)絡(luò)戰(zhàn)略威懾能力。新戰(zhàn)略聲稱，為阻止網(wǎng)絡(luò)攻擊，必須在網(wǎng)絡(luò)惡意行為發(fā)生前威懾此類行為。為有效實(shí)施威懾戰(zhàn)略，美將重點(diǎn)打造三種能力：通過政策宣示展現(xiàn)反擊的態(tài)度；形成強(qiáng)大的防御能力，保護(hù)國防部和整個(gè)國家免受復(fù)雜網(wǎng)絡(luò)攻擊，實(shí)現(xiàn)“拒止”威懾；提高網(wǎng)絡(luò)系統(tǒng)的恢復(fù)能力，確保遭受攻擊后能繼續(xù)運(yùn)轉(zhuǎn)，降低對(duì)手網(wǎng)絡(luò)攻擊的成功幾率。三是美新戰(zhàn)略對(duì)我國網(wǎng)絡(luò)空間安全和社會(huì)穩(wěn)定帶來巨大沖擊。目前，美憑借在網(wǎng)絡(luò)空間追求一種遠(yuǎn)超對(duì)手能力甚至遠(yuǎn)超盟友能力的“絕對(duì)優(yōu)勢(shì)”，企圖通過掌控網(wǎng)絡(luò)空間“單方面自由和透明”，達(dá)到遏制威懾對(duì)手、顛覆我國政權(quán)目的。

第二，美國從“主動(dòng)防御”到塑造“進(jìn)攻性網(wǎng)絡(luò)作戰(zhàn)能力”對(duì)我網(wǎng)絡(luò)空間和作戰(zhàn)能力提升帶來嚴(yán)峻挑戰(zhàn)。美新版網(wǎng)絡(luò)戰(zhàn)略突出的“進(jìn)攻能力”與過去的“主動(dòng)防御”相比更顯戰(zhàn)略透明。一是新戰(zhàn)略首次將網(wǎng)絡(luò)戰(zhàn)列為戰(zhàn)術(shù)選項(xiàng)；二是美國必須擁有多種網(wǎng)絡(luò)進(jìn)攻能力和手段；三是明確總統(tǒng)或國防部長開展網(wǎng)絡(luò)行動(dòng)的指揮權(quán)；四是美對(duì)我國網(wǎng)絡(luò)空間和作戰(zhàn)能力提升帶來嚴(yán)峻挑戰(zhàn)。

第三，美國從“國際伙伴關(guān)系倡議”到“國際網(wǎng)絡(luò)同盟控制世界”對(duì)我網(wǎng)絡(luò)空間國家利益形成嚴(yán)重?cái)D壓。

美國在《網(wǎng)絡(luò)政策評(píng)估報(bào)告》中提出“加強(qiáng)與國際伙伴關(guān)系”倡議，并持續(xù)發(fā)力，拉攏傳統(tǒng)盟國打造國際網(wǎng)絡(luò)同盟。一是在歐洲利用北約“借尸還魂”。美先后主導(dǎo)北約新版“網(wǎng)絡(luò)防御政策”、召開網(wǎng)絡(luò)安全國防部長會(huì)議，頻繁舉行“網(wǎng)絡(luò)聯(lián)盟”“鎖定盾牌”“堅(jiān)定爵士”等演習(xí)。二是在亞太玩弄網(wǎng)絡(luò)空間的“亞太再平衡”。美國于2011年與澳大利亞達(dá)成協(xié)議，在雙邊共同防御條約中納入網(wǎng)絡(luò)安全方面的內(nèi)容；2013年與日本舉行首次網(wǎng)絡(luò)安全綜合對(duì)話，就共享網(wǎng)絡(luò)威脅情報(bào)、開展網(wǎng)絡(luò)培訓(xùn)等達(dá)成共識(shí)。今年在“山櫻”聯(lián)合演習(xí)中首次演練網(wǎng)絡(luò)戰(zhàn)課目，兩國還宣稱，將在新版《美日防衛(wèi)合作指針》中加入網(wǎng)絡(luò)安全合作內(nèi)容。美國還將在關(guān)鍵地區(qū)“優(yōu)先”合作對(duì)象，建立強(qiáng)大的同盟體系和伙伴關(guān)系。三是美企圖重構(gòu)虛擬世界國際秩序，擠壓我國網(wǎng)絡(luò)空間國家利益。美國認(rèn)為，在現(xiàn)代安全局勢(shì)下，聯(lián)盟作戰(zhàn)是政治上最易被接受、經(jīng)濟(jì)上最可持續(xù)的方法。新版戰(zhàn)略的出臺(tái)，意味著美國將在打造國際網(wǎng)絡(luò)同盟的問題上尋找更多著力點(diǎn)。

應(yīng)對(duì)新戰(zhàn)略威脅的體系能力構(gòu)建策略

網(wǎng)絡(luò)空間安全威脅不是危言聳聽，我們應(yīng)遵循網(wǎng)絡(luò)空間的特點(diǎn)規(guī)律，從國家安全戰(zhàn)略高度，優(yōu)化戰(zhàn)略領(lǐng)導(dǎo)機(jī)構(gòu)，重塑新質(zhì)力量體系，確立攻勢(shì)行動(dòng)戰(zhàn)略，開展國際合作與斗爭(zhēng)。

第一，網(wǎng)絡(luò)空間的復(fù)雜屬性，決定我國網(wǎng)絡(luò)空間安全必須加快“重塑體系”，建立我國軍警民戰(zhàn)略應(yīng)急指揮機(jī)構(gòu)。

網(wǎng)絡(luò)空間信息依托網(wǎng)絡(luò)和電磁信號(hào)的傳遞無形無聲、瞬間同步，形成實(shí)體層和虛擬層相互貫通，多域融合的復(fù)雜虛擬空間。這一復(fù)雜特性決定了重塑網(wǎng)絡(luò)空間力量體系，應(yīng)遵循網(wǎng)絡(luò)空間系統(tǒng)的共性規(guī)律，按照“明確定位、找準(zhǔn)問題、體系構(gòu)建、整體推進(jìn)”的思想，重塑新常態(tài)下中國特色的網(wǎng)絡(luò)空間力量體系。一是組建國家層次的網(wǎng)絡(luò)空間戰(zhàn)略指揮機(jī)構(gòu)。著眼適應(yīng)國家網(wǎng)絡(luò)空間安全管控的需求，組建國家層次的網(wǎng)絡(luò)空間戰(zhàn)略指揮機(jī)構(gòu)，整合網(wǎng)絡(luò)空間力量體系，負(fù)責(zé)網(wǎng)絡(luò)空間應(yīng)急行動(dòng)的力量動(dòng)員和組織指揮，充分發(fā)揮在關(guān)鍵時(shí)刻、關(guān)鍵問題、關(guān)鍵行動(dòng)上的戰(zhàn)略指揮優(yōu)勢(shì)。二是確立軍警民協(xié)調(diào)機(jī)制。著眼國家網(wǎng)絡(luò)空間安全大局需要，健全跨領(lǐng)域跨部門的合作與協(xié)調(diào)制度，明確職責(zé)任務(wù)，制定應(yīng)急預(yù)案，確保有效應(yīng)對(duì)網(wǎng)絡(luò)空間安全突發(fā)事件，最大限度地發(fā)揮國家整體合力優(yōu)勢(shì)。三是建立國家網(wǎng)絡(luò)空間安全管控常態(tài)化運(yùn)行制度。根據(jù)我國網(wǎng)絡(luò)空間安全管控平戰(zhàn)一體、軍民一體、聯(lián)合制勝的要求，建立情報(bào)搜集、信息共享、動(dòng)態(tài)感知、聯(lián)合反制的運(yùn)行機(jī)制，保持常態(tài)化運(yùn)行，確保隨時(shí)應(yīng)對(duì)各種網(wǎng)絡(luò)空間安全的突發(fā)事件。

第二，網(wǎng)絡(luò)空間攻防的分離性，決定了我國網(wǎng)絡(luò)空間安全必須堅(jiān)持“攻勢(shì)戰(zhàn)略”，將攻勢(shì)行動(dòng)作為奪取主動(dòng)權(quán)的重要方式。

面對(duì)網(wǎng)絡(luò)空間安全的威脅與挑戰(zhàn)，一是積極貫徹攻勢(shì)戰(zhàn)略的思想。我國應(yīng)立足國家實(shí)際，突出網(wǎng)絡(luò)空間攻防中的攻勢(shì)行動(dòng)，扭轉(zhuǎn)敵攻我守、敵進(jìn)我弱的戰(zhàn)略態(tài)勢(shì)，打好網(wǎng)絡(luò)空間安全的主動(dòng)仗。二是堅(jiān)持網(wǎng)絡(luò)空間攻勢(shì)管控行動(dòng)。網(wǎng)絡(luò)空間作戰(zhàn)能夠以非對(duì)稱信息迅速顛覆實(shí)體空間的客觀現(xiàn)實(shí)，改變戰(zhàn)爭(zhēng)進(jìn)程和格局。網(wǎng)絡(luò)空間攻勢(shì)行動(dòng)應(yīng)突出應(yīng)對(duì)危機(jī)的主動(dòng)性、靈活性和攻防行動(dòng)的整體性。三是爭(zhēng)奪網(wǎng)絡(luò)空間技術(shù)自主創(chuàng)新主動(dòng)權(quán)。著力提高核心信息技術(shù)的研發(fā)能力，堅(jiān)持把核心信息技術(shù)研發(fā)作為國家科技創(chuàng)新發(fā)展的重大項(xiàng)目。制定滿足新型網(wǎng)絡(luò)空間安全管控技術(shù)標(biāo)準(zhǔn)，用足后發(fā)優(yōu)勢(shì)實(shí)現(xiàn)跨越式發(fā)展。建立自主創(chuàng)新“孵化”基地，加快創(chuàng)新成果的產(chǎn)品轉(zhuǎn)化。

第三，網(wǎng)絡(luò)戰(zhàn)爭(zhēng)“制勝機(jī)理”的特殊屬性，決定我國必須將網(wǎng)絡(luò)空間作戰(zhàn)作為“新質(zhì)作戰(zhàn)力量”重點(diǎn)發(fā)展。

信息技術(shù)正以驚人的速度向各領(lǐng)域滲透，網(wǎng)絡(luò)空間正以超乎想象的速度在全球擴(kuò)張，成為影響社會(huì)穩(wěn)定、國家安全、軍事經(jīng)濟(jì)發(fā)展和文化傳播的第五維國家安全空間。一是網(wǎng)絡(luò)空間戰(zhàn)爭(zhēng)“制勝機(jī)理”改寫戰(zhàn)場(chǎng)規(guī)則。未來戰(zhàn)爭(zhēng)形態(tài)已發(fā)生了深刻變化，網(wǎng)絡(luò)空間戰(zhàn)爭(zhēng)的制勝機(jī)理顛覆了傳統(tǒng)戰(zhàn)爭(zhēng)的作戰(zhàn)方式。未來網(wǎng)絡(luò)空間作戰(zhàn)將按照實(shí)時(shí)感知、靈敏響應(yīng)、毀源斷鏈、聯(lián)合制勝的“制勝機(jī)理”刷新戰(zhàn)場(chǎng)規(guī)則。二是網(wǎng)絡(luò)空間力量成長為一種新質(zhì)作戰(zhàn)力量。信息時(shí)代的戰(zhàn)爭(zhēng)，以網(wǎng)絡(luò)為中心，依靠信息力制勝，打“網(wǎng)絡(luò)戰(zhàn)+火力戰(zhàn)”。未來網(wǎng)絡(luò)空間作戰(zhàn)力量是指“相互依賴的信息技術(shù)基礎(chǔ)設(shè)施網(wǎng)，包括互聯(lián)網(wǎng)、電信網(wǎng)、計(jì)算機(jī)系統(tǒng)以及重要行業(yè)的嵌入式處理器和控制器”。這些網(wǎng)絡(luò)空間作戰(zhàn)力量逐漸從支援保障力量向核心作戰(zhàn)力量遷移，成為一種新質(zhì)作戰(zhàn)力量。三是重點(diǎn)發(fā)展網(wǎng)絡(luò)空間新質(zhì)作戰(zhàn)力量。近年來，美國高調(diào)宣布成立網(wǎng)絡(luò)司令部。新戰(zhàn)略中，美國防部長卡特還在硅谷聯(lián)絡(luò)高科技企業(yè)和專家，保證美國軍方擁有尖端網(wǎng)絡(luò)技術(shù)。美國還成立了一個(gè)由現(xiàn)役軍人、平民和預(yù)備役軍人組成的全日制機(jī)構(gòu)，專門網(wǎng)羅可用于情報(bào)工作的創(chuàng)新技術(shù)。目前我國還沒有形成完整的網(wǎng)絡(luò)空間作戰(zhàn)力量體系，缺少既會(huì)網(wǎng)絡(luò)技術(shù)又懂作戰(zhàn)指揮的高端人才，加強(qiáng)網(wǎng)絡(luò)空間作戰(zhàn)力量建設(shè)勢(shì)在必行。

篇5

【 關(guān)鍵詞 】 高級(jí)隱遁技術(shù)；高級(jí)持續(xù)性攻擊；檢測(cè)方法

China’s Situation of Protection Techniques against Special Network Attacks

Xu Jin-wei

（The Chinese PLA Zongcan a Research Institute Beijing 100091）

【 Abstract 】 By the end of 2013，the author visited more than ten domestic well-known information security companies to make a special investigation and research on the focused “APT” attack issue. During the visit， the author made deeply exchange and discussion with the first-line professional research and management personnel and gained much knowledge. This article mainly introduces the present situation of protect technology construction by some of domestic information security companies against network attacks， as an inspiration to the colleagues？and units in the information security industry.

【 Keywords 】 advanced evasion techniques； advanced persistent threat； detection methods

1 引言

2010年發(fā)生的“震網(wǎng)”病毒對(duì)伊朗布什爾核電站離心機(jī)的攻擊和2013年的“斯諾登”事件，標(biāo)志著信息安全進(jìn)入了一個(gè)全新的時(shí)代：新型攻擊者（國家組織的專業(yè)團(tuán)隊(duì)），采用全新的方式（APT[注1]）攻擊國家的重要基礎(chǔ)設(shè)施。

APT攻擊因其采用了各種組合隱遁技術(shù)，具有極強(qiáng)的隱蔽攻擊能力，傳統(tǒng)的依賴攻擊特征庫比對(duì)模式的IDS/IPS無法檢測(cè)到它的存在，APT攻擊得手后并不馬上進(jìn)行破壞的特性更是難以發(fā)覺。它甚至能在重要基礎(chǔ)網(wǎng)絡(luò)中自由進(jìn)出長時(shí)間潛伏進(jìn)行偵察活動(dòng)，一旦時(shí)機(jī)成熟即可通過在正常網(wǎng)絡(luò)通道中構(gòu)筑的隱蔽通道盜取機(jī)密資料或進(jìn)行目標(biāo)破壞活動(dòng)，APT的出現(xiàn)給網(wǎng)絡(luò)安全帶來了極大危害。目前在西方先進(jìn)國家，APT攻擊已經(jīng)成為國家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)。例如，美國國防部的High Level網(wǎng)絡(luò)作戰(zhàn)原則中，明確指出針對(duì)APT攻擊行為的檢測(cè)與防御是整個(gè)風(fēng)險(xiǎn)管理鏈條中至關(guān)重要也是最基礎(chǔ)的組成部分。

從資料中得知，國外有些著名的信息安全廠商和研究機(jī)構(gòu)，例如美國電信公司Verizon Business的ICSA實(shí)驗(yàn)室，芬蘭的Stonesoft公司幾年前就開展了高級(jí)隱遁技術(shù)的研究；2013年美國的網(wǎng)絡(luò)安全公司FireEye（FEYE）受到市場(chǎng)追捧，因?yàn)镕ireEye能夠解決兩大真正的安全難題――能夠阻止那種許多公司此前無法阻止的網(wǎng)絡(luò)攻擊，即所謂的“零天（Zeroday）”攻擊和“高級(jí)持續(xù)性威脅（APT）”。零天攻擊是指利用軟件廠商還未發(fā)現(xiàn)的軟件漏洞來發(fā)動(dòng)網(wǎng)絡(luò)攻擊，也就是說，黑客在發(fā)現(xiàn)漏洞的當(dāng)天就發(fā)動(dòng)攻擊，而不會(huì)有延遲到后幾天再發(fā)動(dòng)攻擊，軟件廠商甚至都來不及修復(fù)這些漏洞。高級(jí)持續(xù)性威脅則是由那些想進(jìn)入特殊網(wǎng)絡(luò)的黑客所發(fā)動(dòng)的一系列攻擊。FireEye的安全應(yīng)用整合了硬件和軟件功能，可實(shí)時(shí)通過在一個(gè)保護(hù)區(qū)來運(yùn)行可疑代碼或打開可疑電子郵件的方式來查看這些可疑代碼或可疑電子郵件的行為，進(jìn)而發(fā)現(xiàn)黑客的攻擊行為。

APT攻擊的方式和危害后果引起了我國信息安全管理機(jī)構(gòu)和信息安全專業(yè)檢測(cè)及應(yīng)急支援隊(duì)伍的高度重視。國家發(fā)改委在關(guān)于組織實(shí)施2013年信息安全專項(xiàng)通知中的 “信息安全產(chǎn)品產(chǎn)業(yè)化”項(xiàng)目中，首次明確指明“高級(jí)可持續(xù)威脅（APT）安全監(jiān)測(cè)產(chǎn)品”是支持重點(diǎn)產(chǎn)品之一。我國的眾多信息安全廠商到底有沒有掌握檢測(cè)和防護(hù)APT的技術(shù)手段？2013年底，帶著這個(gè)疑問專門走訪了幾家對(duì)此有研究和技術(shù)積累的公司，聽取了他們近年來在研究防護(hù)APT攻擊方面所取得的成果介紹，并與技術(shù)人員進(jìn)行了技術(shù)交流。

2 高級(jí)隱遁技術(shù)（AET[注2]）

根據(jù)IMB X-force小組針對(duì)2011年典型攻擊情況的采樣分析調(diào)查，如圖1所示可以看出，有許多的攻擊是未知（Unknown）原因的攻擊。Gartner《Defining Next-Generation Network Intrusion Prevention》文章中也明確提出了利用先進(jìn)技術(shù)逃避網(wǎng)絡(luò)安全設(shè)備檢查的事件越來越多。同時(shí)，NSS Lab最新的IPS測(cè)試標(biāo)準(zhǔn)《NSS Labs ips group 滲透測(cè)試工具t methodology v6.2》，已經(jīng)把layered evasion（也就是AET）作為必須的測(cè)試項(xiàng)。

結(jié)合近年情況，各國基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)所面臨的最新和最大的信息安全問題，即APT攻擊，我們相信高級(jí)隱遁技術(shù)有可能已經(jīng)在APT中被黑客廣泛采用。

目前，各企事業(yè)單位為了應(yīng)對(duì)網(wǎng)絡(luò)外部攻擊威脅，均在網(wǎng)絡(luò)邊界部署了入侵檢測(cè)系統(tǒng)（簡(jiǎn)稱IDS）和入侵防御系統(tǒng)（簡(jiǎn)稱IPS），這些措施確實(shí)有效地保護(hù)了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。黑客們?yōu)榱嗽噲D逃避IPS這類系統(tǒng)的檢測(cè)，使用了大量的逃避技術(shù)。近年來，國外信息安全機(jī)構(gòu)發(fā)現(xiàn)了一套新型逃避技術(shù)，即將以前的逃避技術(shù)進(jìn)行各種新的組合，以增加IPS對(duì)入侵檢測(cè)的難度。這些新型逃避技術(shù)，我們稱之為高級(jí)隱遁技術(shù)（AET）。AET可利用協(xié)議的弱點(diǎn)以及網(wǎng)絡(luò)通信的隨意性，從而使逃避技術(shù)的數(shù)量呈指數(shù)級(jí)增長，這些技術(shù)的出現(xiàn)對(duì)信息安全而言無疑是個(gè)新的挑戰(zhàn)。

使用畸形報(bào)頭和數(shù)據(jù)流以及迷惑性代碼調(diào)用的AET攻擊的原理：包含AET攻擊代碼的非常規(guī)IP數(shù)據(jù)流首先躲避過IDS/IPS的檢測(cè)，悄悄滲透到企業(yè)網(wǎng)中；之后，這些數(shù)據(jù)流被用規(guī)范方式重新組裝成包并被發(fā)送至目標(biāo)終端上。以上過程看似正常，但這樣的IP包經(jīng)目標(biāo)終端翻譯后，則會(huì)形成一個(gè)可攻擊終端系統(tǒng)的漏洞利用程序，從而給企業(yè)的信息資源造成大規(guī)模破壞，只留下少量或根本不會(huì)留下任何審計(jì)數(shù)據(jù)痕跡，這類攻擊就是所謂的隱遁攻擊。

2.1 常見的高級(jí)隱遁技術(shù)攻擊方法

常見的高級(jí)隱遁技術(shù)攻擊方法有字符串混淆、加密和隧道、碎片技術(shù)和協(xié)議的違規(guī)。這些僅列舉了TCP協(xié)議某層的幾種隱遁攻擊的技術(shù)，實(shí)際上高級(jí)隱遁技術(shù)千變?nèi)f化，種類疊加后更是天文數(shù)字。

2.2 高級(jí)隱遁技術(shù)的測(cè)試

為了研究AET的特點(diǎn)，研發(fā)AET檢測(cè)、防護(hù)工具，國內(nèi)有必要搭建自己的高級(jí)隱遁監(jiān)測(cè)審計(jì)平臺(tái)來對(duì)現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備進(jìn)行測(cè)試和分析，并根據(jù)檢測(cè)結(jié)果來改進(jìn)或重新部署現(xiàn)有網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全設(shè)備。

國內(nèi)某信息安全公司最近研制成功一款專門針對(duì)高級(jí)隱遁技術(shù)測(cè)試的工具CNGate-TES。CNGate-TES有針對(duì)CVE-2008-4250/CVE-2004-1315/CVE-2012-0002漏洞的各種組合、疊加隱遁模擬的測(cè)試工具，從IP、TCP、NetBios、SMB、MSRPC、HTTP等各層都有自己相應(yīng)的隱遁技術(shù)。各個(gè)層之間的隱遁可以互相疊加組合，同一層內(nèi)的隱遁技術(shù)也可以互相疊加組合。

測(cè)試的目的是檢驗(yàn)網(wǎng)絡(luò)中的IDS/IPS是否具備檢測(cè)和防護(hù)AET的能力。

CNGate-TES測(cè)試環(huán)境部署如圖2所示。

3 下一代威脅與 APT

下一代威脅主要是指攻擊者采取了現(xiàn)有檢測(cè)體系難以檢測(cè)的方式（未知漏洞利用、已知漏洞變形、特種木馬等），組合各種其他手段（社會(huì)工程、釣魚、供應(yīng)鏈植入等），有針對(duì)性地對(duì)目標(biāo)發(fā)起的攻擊。這種攻擊模式能有效穿透大多數(shù)公司的內(nèi)網(wǎng)防御體系，攻擊者成功控制了內(nèi)網(wǎng)主機(jī)之后，再進(jìn)行內(nèi)部滲透或收集信息。

對(duì)信息系統(tǒng)的下一代威脅和特征有幾點(diǎn)。

0DAY漏洞威脅：0DAY漏洞由于系統(tǒng)還未修補(bǔ)，而大多數(shù)用戶、廠商也不知道漏洞的存在，因此是攻擊者入侵系統(tǒng)的利器。也有很多利用已修復(fù)的漏洞，但由于補(bǔ)丁修復(fù)不普遍（如第三方軟件），通過變形繞過現(xiàn)有基于簽名的檢測(cè)體系而發(fā)起攻擊的案例。

多態(tài)病毒木馬威脅：已有病毒木馬通過修改變形就可以形成一個(gè)新的未知的病毒和木馬，而惡意代碼開發(fā)者也還在不斷開發(fā)新的功能更強(qiáng)大的病毒和木馬，他們可以繞過現(xiàn)有基于簽名的檢測(cè)體系發(fā)起攻擊。

混合性威脅：攻擊者混合多種路徑、手段和目標(biāo)來發(fā)起攻擊，如果防御體系中存在著一個(gè)薄弱點(diǎn)就會(huì)被攻破，而現(xiàn)有安全防御體系之間缺乏關(guān)聯(lián)而是獨(dú)立防御，即使一個(gè)路徑上檢測(cè)到威脅也無法將信息共享給其他的檢測(cè)路徑。

定向攻擊威脅：攻擊者發(fā)起針對(duì)具體目標(biāo)的攻擊，大多數(shù)情況下是從郵件、IM、SNS發(fā)起，因?yàn)檫@些系統(tǒng)賬戶背后標(biāo)記的都是一個(gè)真實(shí)固定的人，而定向到人與他周邊的關(guān)系，是可以在和攻擊者目標(biāo)相關(guān)的人與系統(tǒng)建立一個(gè)路徑關(guān)系。定向攻擊如果是小范圍發(fā)起，并和多種滲透手段組合起來，就是一種APT攻擊，不過定向攻擊也有大范圍發(fā)起的，這種情況下攻擊者出于成本和曝光風(fēng)險(xiǎn)考慮，攻擊者往往使用已知的安全漏洞來大規(guī)模發(fā)起，用于撒網(wǎng)和撈魚（攻擊一大片潛在受害者，再從成功攻擊中查找有價(jià)值目標(biāo)或作為APT攻擊的滲透路徑點(diǎn)）。

高級(jí)持續(xù)性威脅： APT是以上各種手段（甚至包括傳統(tǒng)間諜等非IT技術(shù)手段）的組合，是威脅中最可怕的威脅。APT是由黑客團(tuán)隊(duì)精心策劃，為了達(dá)成即定的目標(biāo)，長期持續(xù)的攻擊行為。攻擊者一旦攻入系統(tǒng)，會(huì)長期持續(xù)的控制、竊取系統(tǒng)信息，關(guān)鍵時(shí)也可能大范圍破壞系統(tǒng)，會(huì)給受害者帶來重大的損失（但受害者可能渾然不知）。APT攻擊，其實(shí)是一種網(wǎng)絡(luò)情報(bào)、間諜和軍事行為。很多時(shí)候，APT都具有國家和有政治目的組織的背景，但為了商業(yè)、知識(shí)產(chǎn)權(quán)和經(jīng)濟(jì)目的的APT攻擊，也不少見。

3.1 APT攻擊過程和技術(shù)手段

APT攻擊可以分為大的三個(gè)環(huán)節(jié)，每個(gè)環(huán)節(jié)具體的工作內(nèi)容，如圖3所示。

在攻擊前奏環(huán)節(jié)，攻擊者主要是做入侵前的準(zhǔn)備工作。主要是收集信息：了解被攻擊目標(biāo)的IT環(huán)境、保護(hù)體系、人際關(guān)系、可能的重要資產(chǎn)等信息，用于指導(dǎo)制定入侵方案，開發(fā)特定的攻擊工具。在收集信息時(shí)，攻擊者可以利用多種方式來收集信息，主要有網(wǎng)絡(luò)公開信息收集、釣魚收集、人肉搜集、嗅探、掃描等，信息收集是貫穿全攻擊生命周期的，攻擊者在攻擊計(jì)劃中每獲得一個(gè)新的控制點(diǎn)，就能掌握更多的信息，指導(dǎo)后續(xù)的攻擊。

技術(shù)準(zhǔn)備：根據(jù)獲取的信息，攻擊者做相應(yīng)的技術(shù)準(zhǔn)備，主要有入侵路徑設(shè)計(jì)并選定初始目標(biāo)，尋找漏洞和可利用代碼及木馬（漏洞、利用代碼和木馬，我們統(tǒng)稱為攻擊負(fù)載），選擇控制服務(wù)器和跳板。

周邊滲透準(zhǔn)備：入侵實(shí)際攻擊目標(biāo)可信的外部用戶主機(jī)、外部用戶的各種系統(tǒng)賬戶、外部服務(wù)器、外部基礎(chǔ)設(shè)施等。

在入侵實(shí)施環(huán)節(jié)，攻擊者針對(duì)實(shí)際的攻擊目標(biāo)，展開攻擊；主要內(nèi)容有攻擊者利用常規(guī)的手段，將惡意代碼植入到系統(tǒng)中；常見的做法有通過病毒傳播感染目標(biāo)、通過薄弱安全意識(shí)和薄弱的安全管理控制目標(biāo)，利用缺陷入侵、漏洞入侵、通過社會(huì)工程入侵、通過供應(yīng)鏈植入等。

SHELLCODE執(zhí)行：大多數(shù)情況攻擊者利用漏洞觸發(fā)成功后，攻擊者可以在漏洞觸發(fā)的應(yīng)用母體內(nèi)執(zhí)行一段特定的代碼（由于這段代碼在受信應(yīng)用空間內(nèi)執(zhí)行，很難被檢測(cè)），實(shí)現(xiàn)提權(quán)并植入木馬。

木馬植入：木馬植入方式有遠(yuǎn)程下載植入、綁定文檔植入、綁定程序植入、激活后門和冬眠木馬。

滲透提權(quán)：攻擊者控制了內(nèi)網(wǎng)某個(gè)用戶的一臺(tái)主機(jī)控制權(quán)之后，還需要在內(nèi)部繼續(xù)進(jìn)行滲透和提權(quán)，最終逐步滲透到目標(biāo)資產(chǎn)存放主機(jī)或有特權(quán)訪問攻擊者目標(biāo)資產(chǎn)的主機(jī)上，到此攻擊者已經(jīng)成功完成了入侵。

在后續(xù)攻擊環(huán)節(jié)，攻擊者竊取大量的信息資產(chǎn)或進(jìn)行破壞，同時(shí)還在內(nèi)部進(jìn)行深度的滲透以保證發(fā)現(xiàn)后難以全部清除，主要環(huán)節(jié)有價(jià)值信息收集、傳送與控制、等待與破壞；一些破壞性木馬，不需要傳送和控制，就可以進(jìn)行長期潛伏和等待，并按照事先確定的邏輯條件，觸發(fā)破壞流程，如震網(wǎng)，探測(cè)到是伊朗核電站的離心機(jī)環(huán)境，就觸發(fā)了修改離心機(jī)轉(zhuǎn)速的破壞活動(dòng)，導(dǎo)致1000臺(tái)離心機(jī)癱瘓。

深度滲透：攻擊者為了長期控制，保證被受害者發(fā)現(xiàn)后還能復(fù)活，攻擊者會(huì)滲透周邊的一些機(jī)器，然后植入木馬。

痕跡抹除：為了避免被發(fā)現(xiàn)，攻擊者需要做很多痕跡抹除的工作，主要是銷毀一些日志，躲避一些常規(guī)的檢測(cè)手段等。

3.2 APT檢測(cè)方法

隨著APT攻擊被各國重視以來，一些國際安全廠商逐步提出了一些新的檢測(cè)技術(shù)并用于產(chǎn)品中，并且取得了良好的效果，這些檢測(cè)技術(shù)主要有兩種。

虛擬執(zhí)行分析檢測(cè)：通過在虛擬機(jī)上執(zhí)行檢測(cè)對(duì)抗，基于運(yùn)行行為來判定攻擊。這種檢測(cè)技術(shù)原理和主動(dòng)防御類似，但由于不影響用戶使用，可以采用更深更強(qiáng)的防繞過技術(shù)和在虛擬機(jī)下層進(jìn)行檢測(cè)。另外，可疑可以由對(duì)安全研究更深入的人員進(jìn)行專業(yè)判定和驗(yàn)證。國外多家廠商APT檢測(cè)的產(chǎn)品主要使用該技術(shù)。

內(nèi)容無簽名算法檢測(cè)：針對(duì)內(nèi)容深度分析發(fā)現(xiàn)可疑特征，再配合虛擬執(zhí)行分析檢測(cè)。該技術(shù)需要對(duì)各種內(nèi)容格式進(jìn)行深入研究，并分析攻擊者負(fù)載內(nèi)容的原理性特征。該技術(shù)可以幫助快速過濾檢測(cè)樣本，降低虛擬執(zhí)行分析檢測(cè)的性能壓力，同時(shí)虛擬執(zhí)行分析檢測(cè)容易被對(duì)抗，而攻擊原理性特征比較難繞過。國外幾個(gè)最先進(jìn)的APT檢測(cè)廠商檢測(cè)的產(chǎn)品里部分使用了該技術(shù)。

國內(nèi)某公司總結(jié)了近年來對(duì)APT攻擊特點(diǎn)的研究和檢測(cè)實(shí)踐，提出了建立新一代安全檢測(cè)體系的設(shè)想。

3.2.1基于攻擊生命周期的縱深檢測(cè)體系

從攻擊者發(fā)起的攻擊生命周期角度，可以建立一個(gè)縱深檢測(cè)體系，覆蓋攻擊者攻擊的主要環(huán)節(jié)。這樣即使一點(diǎn)失效和被攻擊者繞過，也可以在后續(xù)的點(diǎn)進(jìn)行補(bǔ)充，讓攻擊者很難整體逃逸檢測(cè)。

信息收集環(huán)節(jié)的檢測(cè)：攻擊者在這個(gè)環(huán)節(jié)，會(huì)進(jìn)行掃描、釣魚郵件等類型的刺探活動(dòng)，這些刺探活動(dòng)的信息傳遞到受害者網(wǎng)絡(luò)環(huán)境中，因此可以去識(shí)別這類的行為來發(fā)現(xiàn)攻擊準(zhǔn)備。

入侵實(shí)施環(huán)節(jié)的檢測(cè)：攻擊者在這個(gè)環(huán)節(jié)，會(huì)有基于漏洞利用的載體、木馬病毒的載體傳遞到受害者網(wǎng)絡(luò)環(huán)境中，因此可以去識(shí)別這類的行為和載體來發(fā)現(xiàn)攻擊發(fā)起。

木馬植入環(huán)節(jié)：攻擊者在這個(gè)環(huán)節(jié)，會(huì)釋放木馬并突破防御體系植入木馬。因此可以去識(shí)別這類的行為來發(fā)現(xiàn)入侵和入侵成功。

控制竊取與滲透環(huán)節(jié)：攻擊者在這個(gè)環(huán)節(jié)，會(huì)收集敏感信息，傳遞敏感信息出去，與控制服務(wù)器通訊，在本地滲透等行為。因此可以去識(shí)別已經(jīng)受害的主機(jī)和潛在被攻擊的主機(jī)。

3.2.2基于信息來源的多覆蓋檢測(cè)

從攻擊者可能采用的攻擊路徑的角度，可以建立一個(gè)覆蓋廣泛的檢測(cè)體系，覆蓋攻擊者攻擊的主要路徑。這樣避免存在很大的空區(qū)讓攻擊者繞過，同時(shí)增加信息的來源度進(jìn)行檢測(cè)。

從攻擊載體角度覆蓋：攻擊者發(fā)起攻擊的內(nèi)容載體主要包括：數(shù)據(jù)文件、可執(zhí)行文件、URL、HTML、數(shù)據(jù)報(bào)文等，主要發(fā)起來源的載體包括郵件、HTTP流量和下載、IM通訊、FTP下載、P2P通訊。

雙向流量覆蓋：攻擊者在信息收集環(huán)節(jié)、入侵實(shí)施環(huán)節(jié)主要是外部進(jìn)入內(nèi)部的流量。但在木馬植入環(huán)節(jié)、控制竊取與滲透環(huán)節(jié)，則包含了雙向的流量。對(duì)內(nèi)部到外部的流量的檢測(cè)，可以發(fā)現(xiàn)入侵成功信息和潛在可疑已被入侵的主機(jī)等信息。

從攻擊類型角度覆蓋：覆蓋主要的可以到達(dá)企業(yè)內(nèi)容的攻擊類型，包括但不限于基于數(shù)據(jù)文件應(yīng)用的漏洞利用攻擊、基于瀏覽器應(yīng)用的漏洞利用攻擊、基于系統(tǒng)邏輯的漏洞利用攻擊、基于XSS、CSRF的漏洞利用攻擊、進(jìn)行信息收集的惡意程序的竊取、掃描、嗅探等。

從信息來源角度覆蓋：主要覆蓋網(wǎng)絡(luò)流來收集流量，但是考慮到加密流量、移動(dòng)介質(zhì)帶入的攻擊等方式，還需要補(bǔ)充客戶端檢測(cè)機(jī)制。同時(shí)為了發(fā)現(xiàn)更多的可疑點(diǎn)，針對(duì)主機(jī)的日志挖掘，也是一個(gè)非常重要的信息補(bǔ)充。

3.2.3基于攻擊載體的多維度檢測(cè)

針對(duì)每個(gè)具體攻擊載體點(diǎn)的檢測(cè)，則需要考慮多維度的深度檢測(cè)機(jī)制，保證攻擊者難以逃過檢測(cè)。

基于簽名的檢測(cè)：采用傳統(tǒng)的簽名技術(shù)，可以快速識(shí)別一些已知的威脅。

基于深度內(nèi)容的檢測(cè)：通過對(duì)深度內(nèi)容的分析，發(fā)現(xiàn)可能會(huì)導(dǎo)致危害的內(nèi)容，或者與正常內(nèi)容異常的可疑內(nèi)容?；谏疃葍?nèi)容的檢測(cè)是一種廣譜但無簽名檢測(cè)技術(shù)，讓攻擊者很難逃逸，但是又可以有效篩選樣本，降低后續(xù)其他深度分析的工作量。

基于虛擬行為的檢測(cè)：通過在沙箱中，虛擬執(zhí)行漏洞觸發(fā)、木馬執(zhí)行、行為判定的檢測(cè)技術(shù)，可以分析和判定相關(guān)威脅。

基于事件關(guān)聯(lián)的檢測(cè)：可以從網(wǎng)絡(luò)和主機(jī)異常行為事件角度，通過分析異常事件與發(fā)現(xiàn)的可疑內(nèi)容事件的時(shí)間關(guān)聯(lián)，輔助判定可疑內(nèi)容事件與異常行為事件的威脅準(zhǔn)確性和關(guān)聯(lián)性。

基于全局?jǐn)?shù)據(jù)分析的檢測(cè)：通過全局收集攻擊樣本并分析，可以獲得攻擊者全局資源的信息，如攻擊者控制服務(wù)器、協(xié)議特征、攻擊發(fā)起方式，這些信息又可以用于對(duì)攻擊者的檢測(cè)。

對(duì)抗處理與檢測(cè)：另外需要考慮的就是，攻擊者可以采用的對(duì)抗手段有哪些，被動(dòng)的對(duì)抗手段（條件觸發(fā)）可以通過哪些模擬環(huán)境手段仿真，主動(dòng)的對(duì)抗手段（環(huán)境檢測(cè)）可以通過哪些方式檢測(cè)其對(duì)抗行為。

綜上所述，新一代的威脅檢測(cè)思想，就是由時(shí)間線（攻擊的生命周期）、內(nèi)容線（信息來源覆蓋）、深度線（多維度檢測(cè)），構(gòu)成一個(gè)立體的網(wǎng)狀檢測(cè)體系，攻擊者可能會(huì)饒過一個(gè)點(diǎn)或一個(gè)面的檢測(cè)，但想全面地逃避掉檢測(cè)，則非常困難。只有逐步實(shí)現(xiàn)了以上的檢測(cè)體系，才是一個(gè)最終完備的可以應(yīng)對(duì)下一代威脅（包括APT）的新一代安全檢測(cè)體系。

4 結(jié)束語

結(jié)合目前我國防護(hù)特種網(wǎng)絡(luò)攻擊技術(shù)現(xiàn)狀，針對(duì)AET和APT的防護(hù)提出三點(diǎn)建議。

一是國家信息安全主管部門應(yīng)將高級(jí)隱遁攻擊和APT技術(shù)研究列入年度信息安全專項(xiàng)，引導(dǎo)國內(nèi)信息安全廠商重點(diǎn)開展針對(duì)高級(jí)隱遁攻擊和高級(jí)持續(xù)性威脅的防御技術(shù)研發(fā)，推動(dòng)我國具有自主知識(shí)產(chǎn)權(quán)的新一代IDS和IPS產(chǎn)品產(chǎn)業(yè)化。

二是有條件的網(wǎng)絡(luò)安全設(shè)備廠商應(yīng)建設(shè)網(wǎng)絡(luò)攻防實(shí)驗(yàn)室，搭建仿真實(shí)驗(yàn)環(huán)境，對(duì)網(wǎng)絡(luò)IDS/IPS進(jìn)行高級(jí)隱遁技術(shù)和APT的攻防測(cè)試，收集此類攻擊的案例，積累檢測(cè)和防御此類攻擊的方法和經(jīng)驗(yàn)。

三是在業(yè)界成立“防御特種網(wǎng)絡(luò)攻擊”學(xué)術(shù)聯(lián)盟，定期開展學(xué)術(shù)交流并嘗試制定特網(wǎng)攻擊應(yīng)急響應(yīng)的防護(hù)技術(shù)要求和檢測(cè)標(biāo)準(zhǔn)。

[注1] APT（Advanced Persistent Threat）直譯為高級(jí)持續(xù)性威脅。這種威脅的特點(diǎn)：一是具有極強(qiáng)的隱蔽能力和很強(qiáng)的針對(duì)性；二是一種長期而復(fù)雜的威脅方式。它通常使用特種攻擊技術(shù)（包括高級(jí)隱遁技術(shù)）對(duì)目標(biāo)進(jìn)行長期的、不定期的探測(cè)（攻擊）。

[注2] AET（Advanced Evasion Techniques），有的文章譯為高級(jí)逃避技術(shù)、高級(jí)逃逸技術(shù)，筆者認(rèn)為譯為高級(jí)隱遁技術(shù)比較貼切，即說明采用這種技術(shù)的攻擊不留痕跡，又可躲避IDS、IPS的檢測(cè)和阻攔。

參考文獻(xiàn)

[1] 關(guān)于防御高級(jí)逃逸技術(shù)攻擊的專題報(bào)告.

[2] Mark Boltz、Mika Jalava、Jack Walsh（ICSA實(shí)驗(yàn)室）Stonesoft公司.高級(jí)逃逸技術(shù)-避開入侵防御技術(shù)的新方法和新組合 .

[3] 惡意代碼綜合監(jiān)控系統(tǒng)技術(shù)白皮書.國都興業(yè)信息審計(jì)系統(tǒng)技術(shù)（北京）有限公司.

[4] 杜躍進(jìn).從RSA2012看中國的網(wǎng)絡(luò)安全差距.2012信息安全高級(jí)論壇.

[5] 張帥.APT攻擊那些事.金山網(wǎng)絡(luò)企業(yè)安全事業(yè)部.

[6] 徐金偉，徐圣凡.我國信息安全產(chǎn)業(yè)現(xiàn)狀調(diào)研報(bào)告.2012.5.

[7] 徐金偉.我國專業(yè)公司網(wǎng)絡(luò)流量監(jiān)控技術(shù)現(xiàn)狀. 2012.6.

[8] 北京科能騰達(dá)信息技術(shù)股份有限公司.CNGate-TES測(cè)試手冊(cè).

[9] 南京翰海源信息技術(shù)有限公司.星云2技術(shù)白皮書V1.0.

篇6

“數(shù)據(jù)那些事兒”理念很重要

UZER、安全工作空間、數(shù)據(jù)不落地……，一個(gè)個(gè)新興詞匯蹦入眼簾，對(duì)此諧桐科技CTO張之收表示，隨著后移動(dòng)時(shí)代的到來，信息存在的場(chǎng)景以及使用的方式與設(shè)備變得更加多樣化，導(dǎo)致之前的安全防護(hù)方式有了很明顯的變化。盡管近些年人們都十分注重企業(yè)數(shù)據(jù)安全方面的投入，但是安全事件依然頻發(fā)，“我們覺得這是非常好的創(chuàng)業(yè)發(fā)展契機(jī)，確實(shí)想通過自身的不斷努力去實(shí)踐一些創(chuàng)新的想法?！睆堉諏?duì)《中國信息化周報(bào)》記者說。

據(jù)筆者了解，UZER安全工作空間與傳統(tǒng)的攻防類安全產(chǎn)品有很大不同，它除了與傳統(tǒng)的安全產(chǎn)品相結(jié)合外，還補(bǔ)足其在移動(dòng)端方面的不足，是一種“不走尋常路”的創(chuàng)新。產(chǎn)品將視角專注于適應(yīng)越來越復(fù)雜網(wǎng)絡(luò)環(huán)境，尤其是復(fù)雜的WiFi環(huán)境以及BYOD趨勢(shì)。張之收認(rèn)為，依照傳統(tǒng)的攻防形式保障數(shù)據(jù)安全，即使一個(gè)企業(yè)部署了防火墻、加密安全產(chǎn)品，架構(gòu)完整的安全體系，仍很難從源頭上有效制止數(shù)據(jù)泄露，諧桐科技的理念恰好相反，遵循“大道至簡(jiǎn)”的規(guī)律原則，認(rèn)為越復(fù)雜的部署反而不利于安全的管控，因此UZER安全工作空間并不做出復(fù)雜的部署，并且提供給運(yùn)維人員行之有效的便利。

例如在投資銀行的業(yè)務(wù)工作中，公司往往會(huì)在相關(guān)人員的便攜設(shè)備上安裝諸多監(jiān)控，當(dāng)負(fù)責(zé)人員使用沒有認(rèn)證過的軟件或者登錄沒有認(rèn)證過的網(wǎng)址時(shí)，系統(tǒng)就會(huì)報(bào)警，但系統(tǒng)本身對(duì)于安全與否的鑒定又不十分準(zhǔn)確，如此看來就會(huì)對(duì)用戶體驗(yàn)造成很明顯的困擾。UZER安全工作空間正是從不給用戶使用帶來負(fù)擔(dān)，不增加運(yùn)維人員的安全運(yùn)維難度的角度出發(fā)，力圖通過最簡(jiǎn)單的方式提供安全使用環(huán)境的一款產(chǎn)品。

數(shù)據(jù)不落地 一切在云端

眾所周知，傳統(tǒng)的安全防護(hù)是通過防火墻，包括網(wǎng)絡(luò)端防火墻以及應(yīng)用層防火墻來攔截攻擊，而客戶端主要是通過殺毒軟件來避免設(shè)備被黑客控制。概括來講安全環(huán)境就意味著后臺(tái)服務(wù)器的安全以及員工設(shè)備的安全，但傳統(tǒng)的邊界式防護(hù)，通常無法解決通過移動(dòng)設(shè)備繞到內(nèi)網(wǎng)中進(jìn)行破壞的行為。張之收說：“后臺(tái)服務(wù)器的安全相對(duì)來說可控性較高，但是個(gè)人設(shè)備的安全就沒有很大的保證。因?yàn)樵O(shè)備掌握在人的手中，可以被攜帶到任何地點(diǎn)的任何環(huán)境，也可以在其中安裝各種軟件，所以說在用戶的設(shè)備上進(jìn)行安全防護(hù)是十分復(fù)雜的，無論是從安全還是運(yùn)維抑或其他方面。

傳統(tǒng)的辦公環(huán)境中設(shè)備與人相互綁定，也就是說人的身份得到認(rèn)證后就代表所使用的設(shè)備安全性同時(shí)得到默認(rèn)，目前的企業(yè)辦公系統(tǒng)還沒有辦法在短時(shí)間內(nèi)有效界定設(shè)備是否安全，這就會(huì)很容易造成在使用公司數(shù)據(jù)時(shí)，由于自身的設(shè)備漏洞造成安全隱患。”從員工使用公司數(shù)據(jù)的一般流程來說，在某個(gè)環(huán)境中登錄客戶端或者相關(guān)應(yīng)用，對(duì)辦公數(shù)據(jù)進(jìn)行修改、上傳。但復(fù)雜的網(wǎng)絡(luò)環(huán)境就有可能造成數(shù)據(jù)被篡改、泄露；或被植入一些木馬病毒造成數(shù)據(jù)的感染，當(dāng)用戶上傳被感染的數(shù)據(jù)到服務(wù)器端就會(huì)造成一次安全事故。也就是說黑客就可以輕松繞過防火墻、審計(jì)以及加密等設(shè)置，達(dá)成不良的目的。“面對(duì)這種數(shù)據(jù)泄露的方式，我們的產(chǎn)品是將公司的數(shù)據(jù)以及相關(guān)軟件應(yīng)用始終部署在后臺(tái)服務(wù)器端，軟件應(yīng)用和數(shù)據(jù)的結(jié)合也是在服務(wù)器端。使用的是應(yīng)用軟件與服務(wù)器端瞬間組合而成的、可供使用的安全的臨時(shí)環(huán)境，然后以視頻流的方式推送到用戶終端，用戶看到的畫面其實(shí)是一個(gè)視頻，而且是經(jīng)過加密的。”張之收補(bǔ)充道。

當(dāng)用戶進(jìn)行常規(guī)操作時(shí)，不需要將數(shù)據(jù)下載到本地，只是本地的鼠標(biāo)鍵盤事件通過一個(gè)加密的通道上傳到后臺(tái)，后臺(tái)的軟件接收到鼠標(biāo)鍵盤事件后進(jìn)行對(duì)應(yīng)的處理，在本地沒有任何數(shù)據(jù)落地，內(nèi)存中也找不到任何數(shù)據(jù)痕跡，加密視頻播放之后也隨之消失于無形?！斑@就在服務(wù)端和客戶端形成了一條隔離帶，讓用戶沒有辦法獲取超越其權(quán)限的數(shù)據(jù)，避免了因?yàn)楸镜卦O(shè)備受到黑客控制造成的數(shù)據(jù)泄露?！敝C桐科技執(zhí)行副總裁陳立言解釋道。

由于應(yīng)用和數(shù)據(jù)始終保存在后臺(tái)服務(wù)器上，在數(shù)據(jù)不落地的情況下，保障數(shù)據(jù)安全；而視頻也通過加密傳輸?shù)娇蛻舳?，在傳輸?shù)倪^程中視頻始終呈現(xiàn)加密狀態(tài)，即使在網(wǎng)絡(luò)環(huán)境中被截取，視頻的內(nèi)容也是不可見的，只是一種行為的呈現(xiàn)。

靈活接入、報(bào)警留據(jù)

一個(gè)不落

所謂“離職季，你的數(shù)據(jù)又丟了多少”，形象生動(dòng)地展現(xiàn)了數(shù)據(jù)泄露在很大程度上取決于內(nèi)部人員。因?yàn)閿?shù)據(jù)本身存儲(chǔ)在服務(wù)器中，UZER安全工作空間做到讓員工用戶只是通過設(shè)備去安全查看、修改以及上傳，如果發(fā)現(xiàn)有任何不軌的行為，后臺(tái)隨時(shí)可以報(bào)警，但是這個(gè)報(bào)警的行為只有用戶在使用安全工作空間時(shí)才會(huì)觸發(fā)，換句話說，只有進(jìn)入安全空間后才可能訪問到企業(yè)數(shù)據(jù)，因此員工的個(gè)人行為不會(huì)受到監(jiān)控，保證員工的隱私不會(huì)被侵犯。不同的員工根據(jù)不同的工作內(nèi)容會(huì)有不同的權(quán)限，如果存在問題就會(huì)被直接鎖定控制，瞬間將風(fēng)險(xiǎn)控制到最小，面對(duì)嚴(yán)重問題后臺(tái)還可以留據(jù)，做到做到信息可以追溯，給具體的員工以警示。

“UZER安全工作空間，成功地將公司的應(yīng)用與數(shù)據(jù)以及個(gè)人的應(yīng)用與數(shù)據(jù)分離，我們不監(jiān)控員工在個(gè)人設(shè)備上購物，看網(wǎng)頁等個(gè)人行為，這樣就不會(huì)給員工帶來反感和排斥，在不改變用戶習(xí)慣的前提下完成了監(jiān)控。我們無法控制每個(gè)員工嚴(yán)格按照安全守則的規(guī)則操作個(gè)人設(shè)備，也無法避免他們不去點(diǎn)擊那些高度偽裝的釣魚]件。所以我們換了一個(gè)思路，從服務(wù)器端解決問題，讓應(yīng)用與數(shù)據(jù)做到真正的不落地，最終解決移動(dòng)設(shè)備的安全性所帶來的風(fēng)險(xiǎn)?！标惲⒀哉J(rèn)為。

篇7

 

0 引言

 

在信息時(shí)代里，網(wǎng)絡(luò)化的信息系統(tǒng)已經(jīng)成為國防力量的重要標(biāo)志，軍事活動(dòng)中，軍事信息的交流行為越來越多，局城網(wǎng)、廣城網(wǎng)等技術(shù)也逐步成為了軍事活動(dòng)中不可或缺的內(nèi)容，確保網(wǎng)絡(luò)環(huán)境下軍事信息的安全就是一項(xiàng)非常重要任務(wù)。

 

1 網(wǎng)絡(luò)環(huán)境下軍事信息安全面臨的威脅

 

軍事信息安全的主要威脅有：網(wǎng)絡(luò)攻擊、蓄意入侵、計(jì)算機(jī)病毒等。

 

1.1 計(jì)算機(jī)病毒

 

現(xiàn)代計(jì)算機(jī)病毒可以借助文件、郵件、網(wǎng)頁、局域網(wǎng)中的任何一種方式進(jìn)行傳播，具有自動(dòng)啟動(dòng)功能，并且常潛人系統(tǒng)核心與內(nèi)存，利用控制的計(jì)算機(jī)為平臺(tái)，對(duì)整個(gè)網(wǎng)絡(luò)里面的軍事信息進(jìn)行大肆攻擊。病毒一旦發(fā)作，能沖擊內(nèi)存、影響性能、修改數(shù)據(jù)或刪除文件，將使軍事信息受到損壞或者泄露。

 

1.2 網(wǎng)絡(luò)攻擊

 

對(duì)于網(wǎng)絡(luò)的安全侵害主要來自于敵對(duì)勢(shì)力的竊取、纂改網(wǎng)絡(luò)上的特定信息和對(duì)網(wǎng)絡(luò)環(huán)境的蓄意破壞等幾種情況。目前來看各類攻擊給網(wǎng)絡(luò)使用或維護(hù)者造成的損失已越來越大了，有的損失甚至是致命的。一般來講，常見的網(wǎng)絡(luò)攻擊有如下幾種：

 

(1)竊取軍事秘密：這類攻擊主要是利用系統(tǒng)漏洞，使入侵者可以用偽裝的合法身份進(jìn)入系統(tǒng)，獲取軍事秘密信息。

 

(2)軍事信息網(wǎng)絡(luò)控制：這類攻擊主要是依靠在目標(biāo)網(wǎng)絡(luò)中植入黑客程序，使系統(tǒng)中的軍事信息在不知不覺中落入指定入侵者的手中。

 

(3)欺騙性攻擊：它主要是利用網(wǎng)絡(luò)協(xié)議與生俱來的某些缺陷，入侵者進(jìn)行某些偽裝后對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。主要欺騙性攻擊方式有：IP欺騙，ARP欺騙，Web欺騙、電子郵件欺騙、源路由欺騙，地址欺騙等。

 

(4)破壞信息傳輸完整性：信息在傳輸中可能被修改，通常用加密方法可阻止大部分的篡改攻擊。當(dāng)加密和強(qiáng)身份標(biāo)識(shí)、身份鑒別功能結(jié)合在一起時(shí)，截獲攻擊便難以實(shí)現(xiàn)。

 

(5)破壞防火墻：防火墻由軟件和硬件組成，目的是防止非法登錄訪問或病毒破壞，但是由于它本身在設(shè)計(jì)和實(shí)現(xiàn)上存在著缺陷。這就導(dǎo)致攻擊的產(chǎn)生，進(jìn)而出現(xiàn)軍事信息的泄露。

 

1.3 人為因素造成的威脅

 

因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)是一個(gè)巨大的人機(jī)系統(tǒng)，除了技術(shù)因素之外，還必須考慮到工作人員的安全保密因素。如國外的情報(bào)機(jī)構(gòu)的滲透和攻擊，利用系統(tǒng)值班人員和掌握核心技術(shù)秘密的人員，對(duì)軍事信息進(jìn)行竊取等攻擊。網(wǎng)絡(luò)運(yùn)用的全社會(huì)廣泛參與趨勢(shì)將導(dǎo)致控制權(quán)分散，由于人們利益、目標(biāo)、價(jià)值的分歧，使軍事信息資源的保護(hù)和管理出現(xiàn)脫節(jié)和真空，從而使軍事信息安全問題變得廣泛而復(fù)雜。

 

2 網(wǎng)絡(luò)環(huán)境下軍事信息安全的應(yīng)對(duì)策略

 

2.1 確立網(wǎng)絡(luò)信息安全的戰(zhàn)略意識(shí)

 

要確保網(wǎng)絡(luò)信息的完整性、可用性和保密性，當(dāng)前最為緊要的是各級(jí)都要確立網(wǎng)絡(luò)信息安全的戰(zhàn)略意識(shí)。必須從保證信息安全，就是保證國家主權(quán)安全，掌握軍事斗爭(zhēng)準(zhǔn)備主動(dòng)權(quán)和打贏信息化戰(zhàn)爭(zhēng)主動(dòng)權(quán)的高度，來認(rèn)識(shí)網(wǎng)絡(luò)信息安全的重要性。要堅(jiān)決克服那種先把網(wǎng)絡(luò)建起來，解決了"有"的問題之后，再去考慮信息安全保密問題的錯(cuò)誤認(rèn)識(shí)。注意從系統(tǒng)的整體性出發(fā)，統(tǒng)籌考慮，同步進(jìn)行，協(xié)調(diào)發(fā)展。

 

2.2 重視網(wǎng)絡(luò)信息安全人才的培養(yǎng)。

 

加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)指揮人員的培訓(xùn)，使網(wǎng)絡(luò)指揮人員熟練通過計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施正確的指揮和對(duì)信息進(jìn)行有效的安全管理，保證部隊(duì)的網(wǎng)絡(luò)信息安全。加強(qiáng)操作人員和管理人員的安全培訓(xùn)，主要是在平時(shí)訓(xùn)練過程中提高能力，通過小間斷的培訓(xùn)，提高保密觀念和責(zé)任心，加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn)，提高操作技能;對(duì)內(nèi)部涉密人員更要加強(qiáng)人事管理，定期組織思想教育和安全業(yè)務(wù)培訓(xùn)，不斷提高人員的思想素質(zhì)、技術(shù)素質(zhì)和職業(yè)道德。

 

積極鼓勵(lì)廣大官兵研究軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)攻防戰(zhàn)的特點(diǎn)規(guī)律，尋找進(jìn)入和破壞敵力網(wǎng)絡(luò)系統(tǒng)的辦法，探索竭力阻止敵人網(wǎng)絡(luò)入侵，保護(hù)己方網(wǎng)絡(luò)系統(tǒng)安全的手段。只有擁有一支訓(xùn)練有素、善于信息安全管理的隊(duì)伍，才能保證軍隊(duì)在未來的信息化戰(zhàn)爭(zhēng)中占據(jù)主動(dòng)權(quán)。

 

2.3 加強(qiáng)網(wǎng)絡(luò)信息安全的技術(shù)手段

 

在進(jìn)行軍隊(duì)信息化建設(shè)時(shí)，要大力開發(fā)各種信息安全技術(shù)，普及和運(yùn)用強(qiáng)有力的安全技術(shù)手段。技術(shù)的不斷創(chuàng)新和進(jìn)步，才是網(wǎng)絡(luò)信息安全的關(guān)鍵，才是實(shí)現(xiàn)網(wǎng)絡(luò)信息安全最重要、最有力的武器。

 

2.3.1 防火墻技術(shù)

 

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)使用者的安全政策控制出入網(wǎng)絡(luò)的信息流。根據(jù)防火墻所采用的技術(shù)和對(duì)數(shù)據(jù)的處理方式不同，我們可以將它分為三種基本類型：過濾型，型和監(jiān)測(cè)型。

 

2.3.2 數(shù)據(jù)加密技術(shù)

 

數(shù)據(jù)加密是對(duì)軍信息內(nèi)容進(jìn)行某種方式的改變，從而使其他人在沒有密鑰的前提下不能對(duì)其進(jìn)行正常閱讀，這一處理過程稱為"加密"。

 

在計(jì)算機(jī)網(wǎng)絡(luò)中，加密可分為"通信加密"和"文件加密"，這些加密技術(shù)可用于維護(hù)數(shù)據(jù)庫的隱蔽性、完整性、反竊聽等安全防護(hù)工作，它的核心思想就是：既然網(wǎng)絡(luò)本身并不安全、可靠，那么，就要對(duì)全部重要的信息都進(jìn)行加密處理，密碼體制能將信息進(jìn)行偽裝，使得任何未經(jīng)授權(quán)者無法了解其真實(shí)內(nèi)容。加密的過程，關(guān)鍵在于密鑰。

 

2.3.3安裝入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)誘騙系統(tǒng)。入侵檢測(cè)能力是衡量個(gè)防御體系是否完整有效的重要因素，入侵檢測(cè)的軟件和硬件共同組成了入侵檢測(cè)系統(tǒng)。

 

強(qiáng)大的、完整的入侵檢測(cè)系統(tǒng)可以彌補(bǔ)軍隊(duì)網(wǎng)絡(luò)防火墻相對(duì)靜態(tài)防御的小足，可以對(duì)內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時(shí)防護(hù)，當(dāng)軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害之前進(jìn)行報(bào)攔截和響應(yīng)，為系統(tǒng)及時(shí)消除威脅。網(wǎng)絡(luò)誘騙系統(tǒng)是通過構(gòu)建個(gè)欺騙環(huán)境真實(shí)的網(wǎng)絡(luò)、主機(jī)，或用軟件模擬的網(wǎng)絡(luò)和主機(jī))，誘騙入侵者對(duì)其進(jìn)行攻擊或在檢測(cè)出對(duì)實(shí)際系統(tǒng)的攻擊行為后，將攻擊重定向到該嚴(yán)格控制的環(huán)境中，從而保護(hù)實(shí)際運(yùn)行的系統(tǒng);同時(shí)收集入侵信息，借以觀察入侵者的行為，記錄其活動(dòng)，以便分析入侵者的水平、目的、所用上具、入侵手段等，并對(duì)入侵者的破壞行為提供證據(jù)。

 

要確保軍事信息網(wǎng)絡(luò)安全，技術(shù)是安全的主體，管理是安全的保障，人才是安全的靈魂。當(dāng)前最為緊要的是各級(jí)都要樹立信息網(wǎng)絡(luò)安全意識(shí)，從系統(tǒng)整體出發(fā)，進(jìn)一步完善和落實(shí)好風(fēng)險(xiǎn)評(píng)估制度，建立起平時(shí)和戰(zhàn)時(shí)結(jié)合、技術(shù)和管理一體、綜合完善的多層次、多級(jí)別、多手段的軍事安全信息網(wǎng)絡(luò)。

篇8

關(guān)鍵詞：高職院校；信息安全專業(yè); 專業(yè)實(shí)驗(yàn)室；方案設(shè)計(jì)

1、引言

目前，信息安全已發(fā)展成為一個(gè)綜合、交叉的學(xué)科領(lǐng)域，它需要綜合利用計(jì)算機(jī)、通信、微電子、數(shù)學(xué)、法律、管理、教育等等諸多學(xué)科的長期知識(shí)積累和最新研究成果。信息安全也是一個(gè)復(fù)雜的系統(tǒng)工程，涉及到信息基礎(chǔ)建設(shè)、網(wǎng)絡(luò)與系統(tǒng)的構(gòu)造、信息系統(tǒng)與業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)、信息安全的法律法規(guī)、安全管理體系等。信息安全作為一門新興、綜合、交叉學(xué)科，涉及的領(lǐng)域也很多，因此除了工程教育共有的特點(diǎn)，信息安全人才培養(yǎng)有其獨(dú)有的特點(diǎn)：信息安全領(lǐng)域知識(shí)覆蓋面寬、信息安全知識(shí)更新快、信息安全教育是一種持續(xù)教育、信息安全教育需要面向多樣化、層次化的人才需求、信息安全教育更注重應(yīng)用和實(shí)踐能力。

作為高職院校信息安全專業(yè)，應(yīng)該在專業(yè)培養(yǎng)目標(biāo)明確的前提下，充分考慮信息安全人才培養(yǎng)的特點(diǎn)，對(duì)專業(yè)實(shí)驗(yàn)室建設(shè)進(jìn)行科學(xué)設(shè)計(jì)，準(zhǔn)確定位，才能發(fā)揮專業(yè)實(shí)驗(yàn)室對(duì)培養(yǎng)學(xué)生核心能力，提高動(dòng)手能力的重要作用。

2、專業(yè)實(shí)驗(yàn)室建設(shè)的定位

高等職業(yè)教育培養(yǎng)的是面向生產(chǎn)、建設(shè)、服務(wù)和管理第一線的高級(jí)應(yīng)用型人才，“高級(jí)”強(qiáng)調(diào)的是理論基礎(chǔ)寬厚，“應(yīng)用型”強(qiáng)調(diào)的是技能熟練程度，因此培養(yǎng)具備較扎實(shí)的專業(yè)理論知識(shí)和一定實(shí)踐操作技能的“高級(jí)藍(lán)領(lǐng)”（社會(huì)上把企業(yè)中的人員按其受教育程度、工作性質(zhì)、創(chuàng)造的價(jià)值、獲取的報(bào)酬等綜合因素分為金領(lǐng)、白領(lǐng)、藍(lán)領(lǐng)。隨著我國加入WTO與經(jīng)濟(jì)全球化的發(fā)展，我國的國民經(jīng)濟(jì)結(jié)構(gòu)調(diào)整使許多企業(yè)進(jìn)行了產(chǎn)品結(jié)構(gòu)的調(diào)整，崗位技術(shù)含量正在不斷增加，“藍(lán)領(lǐng)”“白領(lǐng)”的邊際正在模糊和淡化，“高級(jí)藍(lán)領(lǐng)”應(yīng)運(yùn)而生。

以浙江警官職業(yè)學(xué)院司法信息安全專業(yè)為例，該專業(yè)的培養(yǎng)目標(biāo)是為司法行政機(jī)關(guān)及其他行政機(jī)關(guān)、企事業(yè)單位培養(yǎng)信息安全管理員(運(yùn)行維護(hù))，為信息安全企業(yè)培養(yǎng)安全服務(wù)工程師，為公安機(jī)關(guān)培養(yǎng)網(wǎng)絡(luò)警察，培養(yǎng)能夠勝任“信息安全事件的預(yù)防、發(fā)現(xiàn)、處置”工作的技能型、管理型、復(fù)合型人才，主要滿足一線工作崗位、實(shí)踐操作技能強(qiáng)、具有大專學(xué)歷層次的信息安全人才需求。因此，高職院校司法信息安全專業(yè)更加注重實(shí)踐教學(xué)，更加注重學(xué)生動(dòng)手能力的培養(yǎng)，更加注重學(xué)生職業(yè)能力的培養(yǎng)。

3、專業(yè)實(shí)驗(yàn)室規(guī)劃與設(shè)計(jì)

3.1專業(yè)實(shí)驗(yàn)室規(guī)劃

信息安全綜合實(shí)訓(xùn)室的建設(shè)緊緊圍繞網(wǎng)絡(luò)信息安全事件“預(yù)防發(fā)現(xiàn)處置”工作流程為主線，以學(xué)生職業(yè)能力培養(yǎng)為中心，實(shí)現(xiàn)“教、學(xué)、做”一體。目標(biāo)為培養(yǎng)掌握最前沿高級(jí)信息安全的實(shí)用技能型人才，突出網(wǎng)絡(luò)信息安全事件處置能力的培養(yǎng)，加強(qiáng)網(wǎng)絡(luò)安全技術(shù)應(yīng)用與管理能力、信息安全事件處置能力的實(shí)訓(xùn)。

3.2專業(yè)實(shí)驗(yàn)室設(shè)計(jì)

信息安全綜合實(shí)訓(xùn)室實(shí)驗(yàn)實(shí)訓(xùn)綜合系統(tǒng)分別由信息安全基礎(chǔ)實(shí)驗(yàn)室系統(tǒng)(實(shí)驗(yàn)性質(zhì)、仿真環(huán)境)、信息安全仿真實(shí)訓(xùn)平臺(tái)(實(shí)訓(xùn)性質(zhì)、仿真環(huán)境)、信息安全綜合實(shí)訓(xùn)平臺(tái)(實(shí)訓(xùn)性質(zhì)、全真環(huán)境)三部分組成,學(xué)生通過該實(shí)驗(yàn)實(shí)訓(xùn)系統(tǒng)的訓(xùn)練，逐步完成從基本技能培養(yǎng)崗位能力建立崗位能力提升及強(qiáng)化三個(gè)層次職業(yè)能力的三次提升。

（1）信息安全基礎(chǔ)實(shí)驗(yàn)室系統(tǒng)——（實(shí)驗(yàn)性質(zhì)、仿真環(huán)境）

信息安全基礎(chǔ)實(shí)驗(yàn)室系統(tǒng)能夠提供多種常用信息安全產(chǎn)品的仿真環(huán)境，能夠完成人機(jī)操作、多機(jī)操作等攻防實(shí)驗(yàn)內(nèi)容。配合理論教學(xué)供學(xué)生進(jìn)行日常上機(jī)實(shí)驗(yàn)，教師可以參照實(shí)驗(yàn)室教材與標(biāo)準(zhǔn)講義，指導(dǎo)學(xué)生通過實(shí)際操作理解典型網(wǎng)絡(luò)攻擊的原理與手法，進(jìn)而掌握針對(duì)這些典型攻擊的各種網(wǎng)絡(luò)安全防御手段，同時(shí)掌握常用網(wǎng)絡(luò)安全防御軟件的配置使用方法。 （教學(xué)軟件+硬件集成為一體） 

要求滿足：50人能同時(shí)進(jìn)行交互操作。

（2）信息安全仿真實(shí)訓(xùn)平臺(tái)——（實(shí)訓(xùn)性質(zhì)、仿真環(huán)境）

信息安全仿真實(shí)訓(xùn)平臺(tái)通過還原職業(yè)活動(dòng)情景的方式，仿真多種企業(yè)環(huán)境，重建企業(yè)不同的網(wǎng)絡(luò)安全需求，采用案例分析模式，任務(wù)驅(qū)動(dòng)的教學(xué)方式，培養(yǎng)學(xué)生對(duì)企業(yè)各種安全問題的綜合處理能力，使其掌握不同網(wǎng)絡(luò)環(huán)境下對(duì)一系列安全產(chǎn)品的綜合部署和配置方法。支持多人配合完成實(shí)訓(xùn)任務(wù)，具有高互動(dòng)性和真實(shí)性，培養(yǎng)學(xué)生團(tuán)隊(duì)工作意識(shí)。實(shí)訓(xùn)方案來源于真實(shí)企業(yè)需求，并參照國家職業(yè)技能鑒定標(biāo)準(zhǔn)符合當(dāng)前信息安全保障工作對(duì)實(shí)用型信息安全人才的要求，實(shí)現(xiàn)學(xué)習(xí)與就業(yè)的無縫銜接。（教學(xué)軟件+硬件集成為一體）

要求滿足：50人能同時(shí)進(jìn)行交互操作。

4、結(jié)語

信息安全綜合實(shí)訓(xùn)室主要是針對(duì)司法信息安全專業(yè)崗位（信息安全管理員-運(yùn)行維護(hù)）所要求的核心能力（網(wǎng)絡(luò)安全技術(shù)應(yīng)用能力和信息安全事件的綜合處置能力），進(jìn)行設(shè)計(jì)的。信息安全綜合實(shí)訓(xùn)室的建設(shè)為信息安全人才培養(yǎng)提供了全方位的實(shí)驗(yàn)環(huán)境, 學(xué)生在這里通過實(shí)驗(yàn)、實(shí)訓(xùn)，能夠加深對(duì)網(wǎng)絡(luò)攻擊技術(shù)、網(wǎng)絡(luò)滲透技術(shù)、服務(wù)器入侵技術(shù)、網(wǎng)絡(luò)防護(hù)技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)及計(jì)算機(jī)信息的加密與解密等技術(shù)原理的理解，掌握防火墻、IDS等網(wǎng)絡(luò)安全產(chǎn)品的搭建、配置與使用，電子證據(jù)的固定與分析，電子數(shù)據(jù)恢復(fù)，信息安全事件的綜合處置等核心技能，對(duì)于提升學(xué)生就業(yè)能力將有直接幫助，同時(shí)，對(duì)改善學(xué)校辦學(xué)條件、提高教學(xué)質(zhì)量、培養(yǎng)高素質(zhì)操作技能強(qiáng)的信息安全人才具有十分重要的意義。

參考文獻(xiàn)

[1]李建華，張愛新等.信息安全實(shí)驗(yàn)室的建設(shè)方案[J].實(shí)驗(yàn)室研究與探索，2009（3）：65-67

[2]鐘平,王會(huì)林.高校網(wǎng)絡(luò)安全實(shí)驗(yàn)室建設(shè)探索[J].實(shí)驗(yàn)室科學(xué),2010(2):122-124

篇9

關(guān)鍵詞：網(wǎng)絡(luò)技術(shù)；實(shí)訓(xùn)；模塊

中圖分類號(hào)：TG76-4 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599(2012)04-0000-02

隨著經(jīng)濟(jì)和技術(shù)水平的迅猛發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)生著日新月異的變化，互聯(lián)網(wǎng)的普及與網(wǎng)民人數(shù)的絕不斷攀升，各行各業(yè)都離不開網(wǎng)絡(luò)技術(shù)。網(wǎng)絡(luò)技術(shù)學(xué)習(xí)和網(wǎng)絡(luò)人才培養(yǎng)在各級(jí)、各類教育中也占據(jù)了重要的地位。隨著各種高新技術(shù)的流入，對(duì)各行各業(yè)人才也提出了較高要求。一些非網(wǎng)絡(luò)專業(yè)的學(xué)生在今后的職業(yè)生涯中都會(huì)和網(wǎng)絡(luò)技術(shù)打交道，但是他們?cè)诼殬I(yè)教育中沒有接觸任何網(wǎng)絡(luò)技術(shù)方面的知識(shí)甚至是動(dòng)手的機(jī)會(huì)，可能連網(wǎng)線斷了這樣的的問題也無從下手。高等職業(yè)教育的根本任務(wù)是為國民經(jīng)濟(jì)建設(shè)培養(yǎng)造就大批的應(yīng)用型、技能型的人才，這就要求高職院校的實(shí)踐模式必須適應(yīng)高新技術(shù)的發(fā)展。

如何針對(duì)傳統(tǒng)高職教育中網(wǎng)絡(luò)教學(xué)的缺點(diǎn)進(jìn)行課程模式和教學(xué)方法的改革？如何使各專業(yè)學(xué)生能夠適應(yīng)新的網(wǎng)絡(luò)教學(xué)體系？網(wǎng)絡(luò)教學(xué)如何適應(yīng)飛速發(fā)展的網(wǎng)絡(luò)技術(shù)的日新月異的技術(shù)標(biāo)準(zhǔn)？如何使畢業(yè)生盡快適應(yīng)企業(yè)的工作需求？這些都是目前網(wǎng)絡(luò)技術(shù)教育工作者思考和探索的問題。

一、模塊化網(wǎng)絡(luò)實(shí)訓(xùn)教學(xué)的必要性

（一）對(duì)提高網(wǎng)絡(luò)教學(xué)水平意義重大

模塊化網(wǎng)絡(luò)實(shí)訓(xùn)教學(xué)的研究對(duì)提高網(wǎng)絡(luò)教學(xué)水平的意義體現(xiàn)在兩個(gè)方面：一，增加了網(wǎng)絡(luò)實(shí)訓(xùn)教學(xué)這門課；二，提高教師的教學(xué)水平。

（二）提高個(gè)各專業(yè)人才對(duì)網(wǎng)絡(luò)技術(shù)的需求

通過模塊化網(wǎng)絡(luò)實(shí)訓(xùn)教學(xué)，各專業(yè)各層次人才能夠?qū)W(wǎng)絡(luò)技術(shù)有一定的了解，能夠提高網(wǎng)絡(luò)動(dòng)手能力。

（三）對(duì)學(xué)生就業(yè)意義重大

模塊化網(wǎng)絡(luò)實(shí)訓(xùn)教學(xué)提供了真實(shí)的網(wǎng)絡(luò)環(huán)境，可以讓學(xué)生親自搭建網(wǎng)絡(luò)、親自動(dòng)手調(diào)試、配置網(wǎng)絡(luò)，加深對(duì)網(wǎng)絡(luò)原理、協(xié)議、標(biāo)準(zhǔn)的認(rèn)識(shí)。通過模塊化網(wǎng)絡(luò)實(shí)訓(xùn)基地的學(xué)習(xí)，提高學(xué)生的網(wǎng)絡(luò)技能和實(shí)戰(zhàn)能力，在將來的就業(yè)競(jìng)爭(zhēng)中非常明顯的競(jìng)爭(zhēng)優(yōu)勢(shì)。

（四）促進(jìn)學(xué)校品牌的建設(shè)

模塊化網(wǎng)絡(luò)實(shí)訓(xùn)的建設(shè)，可以提高學(xué)校的教師的教學(xué)力量；其次，模塊化網(wǎng)絡(luò)實(shí)訓(xùn)教學(xué)還可以提高學(xué)生的動(dòng)手能力，在日漸激烈的就業(yè)市場(chǎng)中更有競(jìng)爭(zhēng)力。

二、模塊化網(wǎng)絡(luò)實(shí)訓(xùn)教學(xué)改革的目標(biāo)和原則

（一）完成模塊化網(wǎng)絡(luò)實(shí)訓(xùn)教學(xué)的目標(biāo)。第一個(gè)層次是實(shí)訓(xùn)類別的完備；第二個(gè)層次是實(shí)訓(xùn)模擬情境的完備；第三個(gè)層次是實(shí)訓(xùn)功能的完備；第四個(gè)層次是實(shí)訓(xùn)布局的完備性；第五個(gè)層次是效益的完備性；最終建成一個(gè)高水平的綜合模塊化網(wǎng)絡(luò)實(shí)訓(xùn)，在其平臺(tái)上運(yùn)行多種實(shí)訓(xùn)系統(tǒng)。使實(shí)訓(xùn)中心成為滿足不同層次教學(xué)需要的面向全校學(xué)生開放的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)訓(xùn)基地和人才培養(yǎng)基地。（二）建設(shè)模塊化網(wǎng)絡(luò)實(shí)訓(xùn)教學(xué)的原則。為達(dá)到模塊化網(wǎng)絡(luò)實(shí)訓(xùn)教學(xué)建設(shè)的目標(biāo)，綜合考慮近幾年IP技術(shù)的發(fā)展和數(shù)據(jù)承載網(wǎng)絡(luò)的發(fā)展，在實(shí)訓(xùn)教學(xué)設(shè)計(jì)構(gòu)建中，應(yīng)始終堅(jiān)持以下原則：第一，高可靠性；第二，標(biāo)準(zhǔn)性及開放性；第三，靈活性及可擴(kuò)展性；第四，先進(jìn)性；第五，可管理性；第六，安全性；第七，綜合性和統(tǒng)一性；第八，模塊化設(shè)計(jì)；第九，分離式理念。

三、模塊化網(wǎng)絡(luò)實(shí)訓(xùn)教學(xué)改革思路

（一）通過將專業(yè)分類的方式對(duì)各專業(yè)對(duì)網(wǎng)絡(luò)技術(shù)的不同需求

A類：計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

B類：信息相關(guān)專業(yè)，包括電子商務(wù)、信息安全、計(jì)算機(jī)應(yīng)用技術(shù)、多媒體技術(shù)等相關(guān)專業(yè)

C類：其它專業(yè)

（二）由于不同專業(yè)的知識(shí)基礎(chǔ)不同，對(duì)網(wǎng)絡(luò)知識(shí)的攫取要求也是不一樣的，通過模塊化細(xì)分確定不同總類專業(yè)對(duì)網(wǎng)絡(luò)技術(shù)的需求

（三）分析各高職類專業(yè)網(wǎng)絡(luò)實(shí)訓(xùn)常用模塊，將網(wǎng)絡(luò)實(shí)訓(xùn)部分進(jìn)行模塊化分類：網(wǎng)絡(luò)基礎(chǔ)部分、網(wǎng)絡(luò)技術(shù)應(yīng)用部分（含服務(wù)器搭建、網(wǎng)絡(luò)維護(hù)、設(shè)備操作）、路由交換技術(shù)實(shí)訓(xùn)模塊、無線技術(shù)實(shí)訓(xùn)模塊、網(wǎng)絡(luò)安全與管理（含協(xié)議分析、災(zāi)難修復(fù)、網(wǎng)絡(luò)攻防）、網(wǎng)絡(luò)管理實(shí)訓(xùn)模塊

（四）建立菜單式網(wǎng)絡(luò)技術(shù)實(shí)訓(xùn)教學(xué)模塊，并分析出前驅(qū)知識(shí)點(diǎn)、適用專業(yè)與人員類型、每個(gè)模塊理論知識(shí)基礎(chǔ)、實(shí)訓(xùn)目的、考核標(biāo)準(zhǔn)、實(shí)訓(xùn)條件要求等；

四、模塊化網(wǎng)絡(luò)實(shí)訓(xùn)教學(xué)建設(shè)需求分析

（一）培養(yǎng)網(wǎng)絡(luò)技術(shù)人才的目標(biāo)。職業(yè)學(xué)校主要培養(yǎng)生產(chǎn)、建設(shè)、管理、服務(wù)第一線需要的，德、智、體全面發(fā)展的技術(shù)應(yīng)用性人才。本著“系統(tǒng)性、整體性、綜合性、應(yīng)用性”的原則，形成了以素質(zhì)教育和能力培養(yǎng)為主線、理論教學(xué)和實(shí)踐教學(xué)互相滲透的人才培養(yǎng)模式，注重對(duì)學(xué)生實(shí)際能力的培養(yǎng)的同時(shí)，同時(shí)積極開展多種職業(yè)技能培訓(xùn)。（二）職業(yè)學(xué)校的網(wǎng)絡(luò)人才培養(yǎng)需求。職業(yè)技術(shù)教育培養(yǎng)目標(biāo)是應(yīng)用型（技能型）人才，職業(yè)教育的發(fā)展特性決定了它堅(jiān)持以就業(yè)為導(dǎo)向。首先，要實(shí)現(xiàn)辦學(xué)思想的轉(zhuǎn)變；第二，要適應(yīng)就業(yè)市場(chǎng)、勞動(dòng)力市場(chǎng)的需要，要面向社會(huì)、面向市場(chǎng)、面向企業(yè)、面向群眾需求來辦學(xué)。第三，要實(shí)行更大范圍工學(xué)結(jié)合。

五、模塊化網(wǎng)絡(luò)實(shí)訓(xùn)教學(xué)的應(yīng)用需求

提供真實(shí)的網(wǎng)絡(luò)實(shí)訓(xùn)教學(xué)環(huán)境，滿足不同層次實(shí)訓(xùn)的需要，提供實(shí)訓(xùn)基地配套的實(shí)訓(xùn)教學(xué)系統(tǒng)，實(shí)操技能型實(shí)訓(xùn)能在實(shí)訓(xùn)基地完成，有效地對(duì)實(shí)訓(xùn)教學(xué)進(jìn)行管理，解決學(xué)生將來就業(yè)的通用性問題，模塊化網(wǎng)絡(luò)實(shí)訓(xùn)基地和職業(yè)教育認(rèn)證培訓(xùn)結(jié)合。

篇10

關(guān)鍵詞：電力系統(tǒng)；智能終端；安全挑戰(zhàn)與風(fēng)險(xiǎn)；安全防護(hù)

0引言

為應(yīng)對(duì)全球節(jié)能減排、能源綜合利用效率提升的挑戰(zhàn)，發(fā)展能源互聯(lián)網(wǎng)成為推動(dòng)后危機(jī)時(shí)代經(jīng)濟(jì)轉(zhuǎn)型、發(fā)展低碳經(jīng)濟(jì)的重要手段[1]。能源互聯(lián)網(wǎng)的建設(shè)使得現(xiàn)代電網(wǎng)向開放、互聯(lián)、以用戶為中心的方向發(fā)展，實(shí)現(xiàn)多類型能源開放互聯(lián)、各種設(shè)備與系統(tǒng)開放對(duì)等接入。2019年，國家電網(wǎng)有限公司提出了“三型兩網(wǎng)”的戰(zhàn)略發(fā)展目標(biāo)，在建設(shè)堅(jiān)強(qiáng)智能電網(wǎng)的基礎(chǔ)上，重點(diǎn)建設(shè)泛在電力物聯(lián)網(wǎng)，以構(gòu)建世界一流能源互聯(lián)網(wǎng)。泛在電力物聯(lián)網(wǎng)將充分應(yīng)用移動(dòng)互聯(lián)、人工智能等現(xiàn)代信息技術(shù)和先進(jìn)通信技術(shù)，實(shí)現(xiàn)電力系統(tǒng)各個(gè)環(huán)節(jié)萬物互聯(lián)、人機(jī)交互，打造電網(wǎng)狀態(tài)全面感知、信息高效處理、應(yīng)用便捷靈活的能力。泛在電力物聯(lián)網(wǎng)的建設(shè)主要包括感知層、網(wǎng)絡(luò)層、平臺(tái)層、應(yīng)用層4個(gè)部分，其中感知層重點(diǎn)實(shí)現(xiàn)終端標(biāo)準(zhǔn)化統(tǒng)一接入，以及通信、計(jì)算等資源共享，在源端實(shí)現(xiàn)數(shù)據(jù)融通和邊緣智能。在此背景下，智能表計(jì)、新一代配電終端、源網(wǎng)荷友好互動(dòng)終端、電動(dòng)汽車充電樁等多類型電力系統(tǒng)智能終端在電網(wǎng)中得以廣泛應(yīng)用[2]，成為連接電力骨干網(wǎng)絡(luò)與電力一次系統(tǒng)、用戶的第一道門戶。電力系統(tǒng)智能終端作為能源互聯(lián)中多網(wǎng)“融合控制”的紐帶節(jié)點(diǎn)，實(shí)現(xiàn)了電網(wǎng)監(jiān)測(cè)數(shù)據(jù)的“本地疏導(dǎo)”以及電網(wǎng)對(duì)外控制的“功能聚合”[3]，其安全性直接關(guān)系到電網(wǎng)的安全穩(wěn)定運(yùn)行，研究電力系統(tǒng)智能終端的信息安全防護(hù)技術(shù)意義重大。

針對(duì)電力系統(tǒng)信息安全防護(hù)問題，自2002年起中國提出了以網(wǎng)絡(luò)邊界隔離保護(hù)為主的電力二次安全防護(hù)體系[4]，有效保障了電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)的安全穩(wěn)定運(yùn)行。電力二次安全防護(hù)體系制定了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的安全防護(hù)策略，重點(diǎn)強(qiáng)調(diào)了通過內(nèi)網(wǎng)隔離保護(hù)的方式確保電力二次系統(tǒng)的安全防護(hù)[5]，然而對(duì)新形勢(shì)下電力系統(tǒng)智能終端的安全防護(hù)并未考慮。一方面，與傳統(tǒng)信息安全相比，泛在電力物聯(lián)網(wǎng)中各環(huán)節(jié)數(shù)億規(guī)模終端具有異構(gòu)與分散特性，后天標(biāo)準(zhǔn)化的終端自身安全防護(hù)理論與技術(shù)難以獲得，如何兼顧實(shí)時(shí)性和安全性雙重約束進(jìn)行電力系統(tǒng)終端自身安全防護(hù)成為需要考慮的問題，電力系統(tǒng)智能終端自身安全性保證需求迫切。另一方面，隨著泛在電力物聯(lián)網(wǎng)建設(shè)推進(jìn)，電力系統(tǒng)智能終端廣泛采用無線傳感網(wǎng)絡(luò)等公共網(wǎng)絡(luò)與電網(wǎng)主站系統(tǒng)進(jìn)行通信[6]，在電力二次安全防護(hù)體系隔離保護(hù)邊界外形成具有泛在互聯(lián)、開放共享特性的邊緣計(jì)算網(wǎng)絡(luò)。這必然會(huì)將網(wǎng)絡(luò)攻擊威脅傳導(dǎo)至電力系統(tǒng)本體，使得因網(wǎng)絡(luò)攻擊造成的大停電風(fēng)險(xiǎn)陡增。

為應(yīng)對(duì)以上安全威脅，2014年國家發(fā)改委和能源局了《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》[7]，要求電力生產(chǎn)控制大區(qū)設(shè)立安全接入?yún)^(qū)，對(duì)使用無線通信網(wǎng)等方式縱向接入生產(chǎn)控制大區(qū)的電力系統(tǒng)智能終端進(jìn)行網(wǎng)絡(luò)隔離。因此，在當(dāng)前網(wǎng)絡(luò)攻擊手段呈現(xiàn)高級(jí)定制化、特征不確定化的嚴(yán)峻形勢(shì)下，如何解決異構(gòu)多樣、數(shù)量龐大的電力系統(tǒng)智能終端邊緣接入過程中的網(wǎng)絡(luò)攻擊實(shí)時(shí)監(jiān)控發(fā)現(xiàn)和防滲透成為需要考慮的另外一項(xiàng)重要問題。

為此，本文圍繞電力系統(tǒng)智能設(shè)備安全互聯(lián)需求，首先分析電力系統(tǒng)智能終端業(yè)務(wù)特征和信息安全風(fēng)險(xiǎn)，明確電力系統(tǒng)智能終端信息安全防護(hù)特性；在此基礎(chǔ)上，本文總結(jié)提出了電力系統(tǒng)智能終端信息安全防護(hù)面臨的關(guān)鍵技術(shù)問題；然后，設(shè)計(jì)構(gòu)建了覆蓋芯片層、終端層、交互層的電力系統(tǒng)智能終端信息安全防護(hù)研究框架；最后，對(duì)電力系統(tǒng)智能終端信息安全防護(hù)關(guān)鍵技術(shù)進(jìn)行了展望。

1電力系統(tǒng)智能終端信息安全風(fēng)險(xiǎn)

近年來網(wǎng)絡(luò)空間安全事件頻發(fā)，國家級(jí)、集團(tuán)式網(wǎng)絡(luò)安全威脅層出不窮[8-10]。電力等重要基礎(chǔ)設(shè)施領(lǐng)域成為“網(wǎng)絡(luò)戰(zhàn)”的重點(diǎn)攻擊目標(biāo)之一，信息安全形勢(shì)異常嚴(yán)峻[11]。2010年“震網(wǎng)”病毒事件中，西門子可編程邏輯控制器(PLC)終端受病毒攻擊導(dǎo)致1000多臺(tái)離心機(jī)損毀，使得核電站癱瘓。2015年烏克蘭停電事件，以終端為攻擊跳板癱瘓電力控制系統(tǒng)導(dǎo)致，成為全球首例公開報(bào)道的因黑客攻擊導(dǎo)致大范圍停電事件[12]。以上事件均表明，電力系統(tǒng)智能終端已成為攻擊電網(wǎng)的重要目標(biāo)和主要跳板[13]，面臨著嚴(yán)峻的信息安全風(fēng)險(xiǎn)。本文從信息安全防護(hù)的保密性、完整性、可用性3項(xiàng)重要目標(biāo)角度出發(fā)[14-15]，結(jié)合電力系統(tǒng)智能終端的組成結(jié)構(gòu)和業(yè)務(wù)特征對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行分析，具體涉及芯片層、終端層、交互層3個(gè)方面，如圖1所示。

1)芯片層：電力系統(tǒng)智能終端芯片自主可控性和安全性不足，在非受控環(huán)境下面臨后門漏洞被利用風(fēng)險(xiǎn)。

2018年Intel芯片漏洞事件，爆出Intel芯片存在融毀漏洞以及幽靈漏洞，利用該漏洞進(jìn)行攻擊，可獲取用戶的賬號(hào)密碼、通信信息等隱私，智能終端均受波及，電力系統(tǒng)智能終端芯片同樣面臨漏洞、后門隱患的巨大問題。隨著電力系統(tǒng)智能終端的開放性逐漸增強(qiáng)，與外界交互范圍逐漸擴(kuò)大，電力系統(tǒng)智能終端芯片安全性的不足逐漸凸顯，主要表現(xiàn)在電力系統(tǒng)智能終端芯片自主可控程度低、芯片安全設(shè)計(jì)不足，導(dǎo)致當(dāng)前電力系統(tǒng)智能終端存在“帶病”運(yùn)行，漏洞隱患易被攻擊利用造成安全事件。為此，需要在芯片層面提高電力系統(tǒng)智能終端芯片的安全性，從芯片層面提高電網(wǎng)的安全防護(hù)能力。

2)終端層：異構(gòu)電力系統(tǒng)智能終端計(jì)算環(huán)境安全保證不足，存在終端被惡意控制破壞的風(fēng)險(xiǎn)。

據(jù)數(shù)據(jù)統(tǒng)計(jì)表明，目前中國電網(wǎng)已部署各類型電力系統(tǒng)智能終端總數(shù)超4億，規(guī)劃至2030年接入各類保護(hù)、采集、控制終端設(shè)備數(shù)量將達(dá)到20億。各類電力系統(tǒng)智能終端覆蓋了電力“發(fā)電、輸電、變電、配電、用電、調(diào)度”等各個(gè)環(huán)節(jié)，終端形態(tài)各異且業(yè)務(wù)邏輯差異巨大。終端復(fù)雜多樣的嵌入式硬件計(jì)算環(huán)境、異構(gòu)的軟件應(yīng)用環(huán)境和多類型私有通信協(xié)議等特性，使得其安全防護(hù)尚未形成統(tǒng)一標(biāo)準(zhǔn)。各類終端安全防護(hù)措施和水平亦參差不齊，在面對(duì)病毒、木馬等網(wǎng)絡(luò)攻擊時(shí)整體安全防護(hù)能力薄弱。同時(shí)，電力系統(tǒng)智能終端在研發(fā)、生產(chǎn)、制造等環(huán)節(jié)無法避免的漏洞后門隱患也存在被攻擊者利用的巨大安全風(fēng)險(xiǎn)。隨著電力系統(tǒng)智能化水平的不斷升級(jí)，各類型電力系統(tǒng)智能終端越來越多地承載了大量異構(gòu)封閉、連續(xù)作業(yè)的電力生產(chǎn)運(yùn)營應(yīng)用，運(yùn)行可靠性、實(shí)時(shí)性要求較高。電力系統(tǒng)智能終端一旦遭受惡意網(wǎng)絡(luò)攻擊，將可能導(dǎo)致終端生產(chǎn)監(jiān)測(cè)信息采集失真，甚至造成終端誤動(dòng)作引發(fā)停電風(fēng)險(xiǎn)，傳統(tǒng)事后響應(yīng)型的終端被動(dòng)防護(hù)技術(shù)無法滿足電力安全防護(hù)的需要。因此，確保電力系統(tǒng)智能終端軟硬件計(jì)算環(huán)境安全的標(biāo)準(zhǔn)化防護(hù)技術(shù)，以及事前防御型的主動(dòng)防御技術(shù)研究需求迫切。

3)交互層：電力系統(tǒng)智能終端廣泛互聯(lián)互通導(dǎo)致網(wǎng)絡(luò)開放性擴(kuò)大，引入網(wǎng)絡(luò)攻擊滲透破壞風(fēng)險(xiǎn)。

泛在電力物聯(lián)網(wǎng)的建設(shè)，其核心目標(biāo)是將電力用戶及其設(shè)備、電網(wǎng)企業(yè)及其設(shè)備、發(fā)電企業(yè)及其設(shè)備、供應(yīng)商及其設(shè)備，以及人和物連接起來，產(chǎn)生共享數(shù)據(jù)，為用戶、電網(wǎng)、發(fā)電、供應(yīng)商和政府社會(huì)服務(wù)。以電網(wǎng)為樞紐，發(fā)揮平臺(tái)和共享作用，為全行業(yè)和更多市場(chǎng)主體發(fā)展創(chuàng)造更大機(jī)遇，提供價(jià)值服務(wù)。因此，泛在電力物聯(lián)網(wǎng)環(huán)境下的電力系統(tǒng)智能終端將廣泛采用電力無線專網(wǎng)、NB-IoT、北斗定位、IPv6和5G等無線、公共網(wǎng)絡(luò)與電網(wǎng)主站系統(tǒng)進(jìn)行通信，使得電力系統(tǒng)智能終端的通信交互形式將呈現(xiàn)數(shù)量大、層級(jí)多、分布廣、種類雜等特點(diǎn)，極大地增加了遭受網(wǎng)絡(luò)攻擊的暴露面。無論是電力系統(tǒng)智能終端，還是主站電力系統(tǒng)，被網(wǎng)絡(luò)攻擊滲透破壞的風(fēng)險(xiǎn)均進(jìn)一步增大。在當(dāng)前網(wǎng)絡(luò)空間安全異常嚴(yán)峻的形勢(shì)下，新型網(wǎng)絡(luò)攻擊手段不斷衍變衍生，呈高級(jí)、定制化、持續(xù)性發(fā)展，尤其是面向工控環(huán)境的攻擊更具有高度定制化、危害大的特點(diǎn)，使得電力系統(tǒng)智能終端通信交互過程中面臨著新型網(wǎng)絡(luò)攻擊被動(dòng)處置的局面。例如在烏克蘭停電事件中，黑客通過欺騙電力公司員工信任、植入木馬、后門連接等方式，繞過認(rèn)證機(jī)制，對(duì)烏克蘭境內(nèi)3處變電站的數(shù)據(jù)采集與監(jiān)控(SCADA)系統(tǒng)發(fā)起攻擊，刪除磁盤所有文件，造成7個(gè)110kV和23個(gè)35kV變電站發(fā)生故障，從而導(dǎo)致該地區(qū)發(fā)生大面積停電事件。

綜上可知，電力系統(tǒng)智能終端面臨的芯片層、終端層信息安全風(fēng)險(xiǎn)主要由終端芯片、計(jì)算環(huán)境安全性不可控和漏洞被利用等原因造成，可歸納為終端“自身安全”問題。交互層信息安全風(fēng)險(xiǎn)產(chǎn)生的原因主要為電力系統(tǒng)智能終端在互聯(lián)接入過程中存在被滲透攻擊可能性造成的，可歸納為“攻擊防御”問題。

2電力系統(tǒng)智能終端信息安全防護(hù)技術(shù)問題剖析

為了解決電力系統(tǒng)智能終端“自身安全”和“攻擊防御”問題，國內(nèi)外學(xué)者開展了諸多信息安全防護(hù)技術(shù)研究，主要從傳統(tǒng)信息安全的角度探索密碼技術(shù)在終端自身數(shù)據(jù)保護(hù)、通信協(xié)議安全、安全接入傳輸方面的應(yīng)用[16]。然而，受制于當(dāng)前中國的芯片自主可控水平限制，以及電力系統(tǒng)智能終端異構(gòu)多樣的復(fù)雜計(jì)算環(huán)境和高安全、高實(shí)時(shí)運(yùn)行特性限制，加之網(wǎng)絡(luò)攻擊特征不確定的混合約束，電力系統(tǒng)智能終端的整體安全防護(hù)尚存在待突破的技術(shù)問題，具體如下。

1)技術(shù)問題1：覆蓋電路級(jí)、CPU內(nèi)核及片上內(nèi)嵌入式操作系統(tǒng)的芯片全通路安全防護(hù)機(jī)制及適應(yīng)各類異構(gòu)終端的普適性主動(dòng)免疫問題。

根據(jù)安全風(fēng)險(xiǎn)分析可知，解決電力系統(tǒng)智能終端“自身安全”問題，必須實(shí)現(xiàn)芯片安全和終端計(jì)算環(huán)境安全。

在電力系統(tǒng)智能終端芯片層，面臨的安全隱患表現(xiàn)為芯片各層次防護(hù)理論和技術(shù)無法滿足安全需求。然而，當(dāng)前電力系統(tǒng)智能終端采用了大量先進(jìn)工藝條件制造的芯片，此類芯片主要由國外掌控，自主可控程度很低，其安全性保障技術(shù)更是存在空白。隨著中國自主先進(jìn)芯片技術(shù)發(fā)展，電力系統(tǒng)智能終端芯片在實(shí)現(xiàn)自主可控的同時(shí)應(yīng)充分考慮芯片的安全防護(hù)，同步設(shè)計(jì)、同步發(fā)展。首先需從芯片設(shè)計(jì)理論的安全建模方面進(jìn)行技術(shù)突破，確保理論層面的可證明安全。其次，應(yīng)突破電路級(jí)、CPU內(nèi)核以及片上內(nèi)嵌入式操作系統(tǒng)等芯片核心組件的安全防護(hù)技術(shù)，從而構(gòu)建芯片全通路安全防護(hù)技術(shù)體系。在電力系統(tǒng)智能終端計(jì)算環(huán)境安全方面，由于電力系統(tǒng)智能終端異構(gòu)多樣、資源受限、長期運(yùn)行，傳統(tǒng)終端被動(dòng)式、個(gè)性化安全技術(shù)無法適用。因此需開展結(jié)合芯片層面的終端安全技術(shù)研究，構(gòu)建適用于電力系統(tǒng)智能終端不同硬件架構(gòu)、不同系統(tǒng)環(huán)境、不同應(yīng)用環(huán)境的標(biāo)準(zhǔn)化安全防護(hù)框架，且能夠在網(wǎng)絡(luò)安全事件發(fā)生前、發(fā)生時(shí)確保終端計(jì)算環(huán)境的安全性和完整性，最終形成電力系統(tǒng)智能終端的普適性主動(dòng)免疫技術(shù)體系。

2)技術(shù)問題2：攻擊特征不確定、終端/業(yè)務(wù)/網(wǎng)絡(luò)強(qiáng)耦合條件下，終端安全狀態(tài)建模、精確感知及威脅阻斷問題。

解決電力系統(tǒng)智能終端“攻擊防御”問題，重點(diǎn)需突破電力系統(tǒng)終端遠(yuǎn)程接入交互過程中的攻擊監(jiān)測(cè)和防滲透技術(shù)。然而，電力系統(tǒng)智能終端點(diǎn)多面廣、業(yè)務(wù)系統(tǒng)專業(yè)性強(qiáng)、互聯(lián)網(wǎng)絡(luò)組成復(fù)雜度高，且三者間相互耦合，而針對(duì)電力系統(tǒng)的網(wǎng)絡(luò)攻擊呈現(xiàn)定制化、隱蔽化和高級(jí)化等特點(diǎn)，難以清晰描述基于零日漏洞的高級(jí)持續(xù)性網(wǎng)絡(luò)攻擊的機(jī)理和特征，不同電力系統(tǒng)智能終端、系統(tǒng)、網(wǎng)絡(luò)在攻擊下的表現(xiàn)不一，因此無法單一根據(jù)攻擊特征進(jìn)行識(shí)別和阻斷。傳統(tǒng)監(jiān)測(cè)手段缺少對(duì)電力業(yè)務(wù)場(chǎng)景的安全建模，監(jiān)測(cè)數(shù)據(jù)源僅涉及CPU內(nèi)存等基礎(chǔ)資源狀態(tài)和基礎(chǔ)網(wǎng)絡(luò)流量，未面向電網(wǎng)業(yè)務(wù)流、專用協(xié)議和應(yīng)用特征進(jìn)行深度監(jiān)控與分析，難以精確、深入地感知電力系統(tǒng)智能終端系統(tǒng)安全狀態(tài)，需要探索終端安全精確感知與攻擊阻斷技術(shù)。同時(shí)，在電力設(shè)備廣泛互聯(lián)后，邊緣側(cè)安全防護(hù)能力不足，需突破混合電力業(yè)務(wù)可信邊緣接入與多級(jí)安全隔離技術(shù)。

3電力系統(tǒng)智能終端信息安全防護(hù)技術(shù)研究思路

針對(duì)電力系統(tǒng)智能設(shè)備安全互聯(lián)的需求，以解決電力系統(tǒng)智能終端“自身安全”和“攻擊防御”問題為核心，本文提出了覆蓋“芯片層、終端層、交互層”的3層安全防護(hù)研究脈絡(luò)，構(gòu)建電力系統(tǒng)智能終端安全防護(hù)技術(shù)研究模型，如圖2所示。

具體來說，首先需解決“覆蓋電路級(jí)、CPU內(nèi)核及片上內(nèi)嵌入式操作系統(tǒng)的芯片全通路安全防護(hù)機(jī)制及適應(yīng)各類異構(gòu)終端的普適性主動(dòng)免疫問題”，從芯片層安全和終端層安全開展關(guān)鍵技術(shù)研究，以確保電力系統(tǒng)智能終端自身安全。在芯片層，需開展芯片電路級(jí)安全、專用CPU內(nèi)核、片上內(nèi)嵌入式操作系統(tǒng)安全等3方面技術(shù)研究，為電力系統(tǒng)智能終端計(jì)算環(huán)境安全提供滿足安全性、實(shí)時(shí)性要求的電力專用芯片，為終端主動(dòng)免疫能力構(gòu)建提供基礎(chǔ)。在終端層，需從終端計(jì)算環(huán)境安全、應(yīng)用安全、通信安全角度，重點(diǎn)研究具有主動(dòng)免疫能力的電力系統(tǒng)智能終端內(nèi)嵌入式組件和控制單元技術(shù)，并研制具備主動(dòng)免疫能力的電力嵌入式組件、控制單元和終端。芯片層研究和終端層研究的成果共同解決終端主動(dòng)免疫問題；同時(shí)，終端層將為交互層提供終端安全監(jiān)測(cè)數(shù)據(jù)，并向交互層終端邊緣接入防護(hù)提供業(yè)務(wù)場(chǎng)景和接入需求。

在此基礎(chǔ)上，為解決“攻擊特征不確定、終端/業(yè)務(wù)/網(wǎng)絡(luò)強(qiáng)耦合條件下，終端安全狀態(tài)建模、精確感知及威脅阻斷”的問題，需從交互層安全開展關(guān)鍵技術(shù)研究以確保外部攻擊防御。具體來說，面向主動(dòng)免疫終端的互聯(lián)應(yīng)用場(chǎng)景，研究提供網(wǎng)絡(luò)監(jiān)控防御和安全交互保障技術(shù)；從終端狀態(tài)感知、攻擊識(shí)別、威脅阻斷等3個(gè)監(jiān)控與防滲透必要環(huán)節(jié)，研究終端、業(yè)務(wù)、網(wǎng)絡(luò)多維融合狀態(tài)感知、關(guān)聯(lián)電力業(yè)務(wù)邏輯的深度攻擊識(shí)別、終端網(wǎng)絡(luò)聯(lián)動(dòng)的威脅阻斷技術(shù)，實(shí)現(xiàn)終端安全威脅精確感知與阻斷，為電力系統(tǒng)智能終端提供網(wǎng)絡(luò)攻擊防滲透決策控制服務(wù)。同時(shí)，研究電力系統(tǒng)智能終端的統(tǒng)一邊緣接入場(chǎng)景安全防護(hù)，為終端的邊緣接入安全、數(shù)據(jù)安全和隔離保護(hù)提供技術(shù)支撐，為具有自免疫能力的電力系統(tǒng)智能終端的邊緣接入提供安全傳輸通道。

4電力系統(tǒng)智能終端信息安全防護(hù)關(guān)鍵技術(shù)

下文將從芯片層、終端層、交互層等3個(gè)方面對(duì)電力系統(tǒng)智能終端安全防護(hù)需突破的關(guān)鍵技術(shù)展開闡述。

1)芯片層安全防護(hù)關(guān)鍵技術(shù)：芯片電路級(jí)可證明安全防護(hù)技術(shù)和內(nèi)核故障自修復(fù)技術(shù)。

針對(duì)復(fù)雜環(huán)境、先進(jìn)工藝條件以及新型攻擊模型帶來的一系列芯片安全問題，研究覆蓋電路級(jí)、CPU內(nèi)核以及嵌入式操作系統(tǒng)的具有完全自主知識(shí)產(chǎn)權(quán)的電力芯片安全技術(shù)[17]。滿足電力系統(tǒng)終端對(duì)電力專用芯片的高安全、高可靠、高實(shí)時(shí)性要求。

首先需要進(jìn)行芯片級(jí)安全防護(hù)理論研究，針對(duì)集成電路器件的信息泄露產(chǎn)生源問題[18]，具體理論研究方法為：研究先進(jìn)工藝下電流、光、熱等物理信息的產(chǎn)生機(jī)理[19]，掌握其內(nèi)在物理特性和工藝間的關(guān)系；分析芯片電路元件的組合物理特性，以及多元并行數(shù)據(jù)在信息泄露上的相互影響；在芯片內(nèi)部特征差異和外部噪聲環(huán)境下，研究先進(jìn)工藝下電力專用芯片物理信息泄露的精準(zhǔn)建模方法，構(gòu)建普適性物理信息泄露模型；研究可證明安全的泄露信息掩碼、隱藏技術(shù)以及抵御高階分析和模式類分析的防護(hù)技術(shù)，提升芯片安全設(shè)計(jì)理論與方法；研究層次化芯片安全防御體系架構(gòu)。通過研究芯片運(yùn)行電磁環(huán)境監(jiān)測(cè)、運(yùn)行狀態(tài)監(jiān)測(cè)、多源故障檢測(cè)技術(shù)，實(shí)現(xiàn)芯片的環(huán)境監(jiān)測(cè)和內(nèi)部監(jiān)測(cè)。研究CPU指令流加密和簽名、平衡電路構(gòu)建、數(shù)字真隨機(jī)數(shù)電路等技術(shù)，實(shí)現(xiàn)芯片內(nèi)部數(shù)據(jù)的存儲(chǔ)加密、總線擾動(dòng)、電路掩碼。提出可證明安全的自主知識(shí)產(chǎn)權(quán)芯片電路級(jí)防護(hù)方法，滿足電力專用芯片的高安全要求。

在理論研究基礎(chǔ)上，需基于可證明安全的芯片電路級(jí)防護(hù)方法進(jìn)行芯片電路級(jí)防護(hù)實(shí)現(xiàn)技術(shù)研究。首先，基于自主知識(shí)產(chǎn)權(quán)的CPU架構(gòu)，研發(fā)帶有高安全、高可靠特性的CPU內(nèi)核，并對(duì)以上技術(shù)進(jìn)行仿真驗(yàn)證，研究形成CPU內(nèi)核故障自修復(fù)技術(shù)，滿足電力專用芯片的高可靠性要求；然后，確定仿真驗(yàn)證可行性，并采用以上關(guān)鍵技術(shù)研制低功耗、高速特性的電力專用芯片，開發(fā)適用于電力應(yīng)用的片上內(nèi)嵌入式操作系統(tǒng)，滿足電力專用芯片的高實(shí)時(shí)性要求。

最后，對(duì)研制的電力專用芯片和內(nèi)嵌入式操作系統(tǒng)進(jìn)行全套模擬測(cè)試，以確定滿足后續(xù)電力智能終端的開發(fā)應(yīng)用。通過芯片層安全研究方法確保電力專用芯片滿足安全防護(hù)要求，實(shí)現(xiàn)功耗電磁隱藏、數(shù)據(jù)命令掩碼、電路屏蔽，以抵御模板攻擊、電磁注入攻擊等新型信道攻擊、故障攻擊、侵入式攻擊。具體研究框架如圖3所示。

2)終端層安全防護(hù)關(guān)鍵技術(shù)：融合可信計(jì)算和業(yè)務(wù)安全的異構(gòu)智能終端主動(dòng)免疫技術(shù)。

針對(duì)電力智能終端異構(gòu)、資源受限條件帶來的終端易被惡意控制和破壞的風(fēng)險(xiǎn)，提出研究融合可信計(jì)算和業(yè)務(wù)安全的異構(gòu)智能終端主動(dòng)免疫技術(shù)。首先，根據(jù)電力多場(chǎng)景業(yè)務(wù)應(yīng)用情況，分析各類電力系統(tǒng)智能終端的安全防護(hù)需求，提取異構(gòu)智能終端的主動(dòng)免疫需求特征；然后，根據(jù)異構(gòu)終端的主動(dòng)免疫需求特征，研究建立適應(yīng)電力系統(tǒng)智能終端的普適性主動(dòng)免疫安全架構(gòu)。①在硬件安全架構(gòu)技術(shù)研究方面，針對(duì)電力終端特性研究基于電力專用芯片的電力終端可信根[20]，實(shí)現(xiàn)對(duì)電力終端操作系統(tǒng)、業(yè)務(wù)應(yīng)用程序的可信量度，保證終端狀態(tài)的可信[21-22]；設(shè)計(jì)以可信根為基礎(chǔ)、以嵌入式微控制單元(MCU)為應(yīng)用的終端可信邏輯硬件架構(gòu)，研究端口安全訪問機(jī)制和接口驅(qū)動(dòng)安全機(jī)制，實(shí)現(xiàn)終端的主動(dòng)免疫能力。②在軟件架構(gòu)技術(shù)研究方面，針對(duì)電力終端在數(shù)據(jù)交互、訪問機(jī)制、檢查機(jī)制、審計(jì)機(jī)制方面存在的漏洞，研究數(shù)據(jù)安全保護(hù)機(jī)制[23]，保證各個(gè)應(yīng)用和各部分?jǐn)?shù)據(jù)的獨(dú)立安全；研究滿足電力系統(tǒng)需求的安全訪問控制機(jī)制，外層訪問和軟件平臺(tái)之間的安全檢查機(jī)制；研究適應(yīng)外層、軟件平臺(tái)訪問的安全訪問審計(jì)機(jī)制。

在電力系統(tǒng)智能終端普適性主動(dòng)免疫安全架構(gòu)基礎(chǔ)上，為實(shí)現(xiàn)終端計(jì)算環(huán)境安全、業(yè)務(wù)應(yīng)用安全和對(duì)外通信安全，提升多種場(chǎng)景下異構(gòu)電力系統(tǒng)智能終端的安全防護(hù)能力。需開展系統(tǒng)安全訪問、數(shù)據(jù)安全保護(hù)、信任鏈構(gòu)建、可信量度與可信管理、可信證明與可信證據(jù)收集、數(shù)據(jù)安全交互、核心功能保護(hù)、快速恢復(fù)及通信完整性保護(hù)等方面的關(guān)鍵技術(shù)研究，建立適應(yīng)電力系統(tǒng)異構(gòu)終端的普適性主動(dòng)免疫體系。具體研究框架如圖4所示。

3)交互層安全防護(hù)關(guān)鍵技術(shù)一：面向不確定攻擊特征的終端威脅精確感知與阻斷技術(shù)。

針對(duì)電力終端接入和互聯(lián)過程中的攻擊監(jiān)測(cè)、異常處理與安全防護(hù)需求存在的問題，研究基于“異常監(jiān)測(cè)—阻斷響應(yīng)—安全防護(hù)”的交互層安全技術(shù)。

首先，研究多級(jí)分布式監(jiān)測(cè)與防滲透架構(gòu)，構(gòu)建監(jiān)測(cè)布點(diǎn)機(jī)制和終端防滲透模型：①針對(duì)典型電力終端業(yè)務(wù)場(chǎng)景，分析不同場(chǎng)景的脆弱性和安全威脅，研究基于業(yè)務(wù)場(chǎng)景的終端網(wǎng)絡(luò)滲透路徑；②對(duì)終端系統(tǒng)中已有的安全防御措施進(jìn)行建模；③綜合防御模型與終端網(wǎng)絡(luò)滲透路徑，形成不同業(yè)務(wù)場(chǎng)景的監(jiān)控與防滲透模型。

其次，針對(duì)網(wǎng)絡(luò)滲透攻擊特征的不確定性，需研究終端、業(yè)務(wù)、網(wǎng)絡(luò)多維融合安全狀態(tài)建模與感知方法，建立各維度安全狀態(tài)基準(zhǔn)，采用異常特征抽取技術(shù)獲取各類攻擊和異常特征的映射關(guān)系，反向推導(dǎo)可能發(fā)生的滲透攻擊，實(shí)現(xiàn)異常識(shí)別。在終端安全狀態(tài)感知方面，需分析多源異構(gòu)嵌入式電力智能終端硬件資源、可信模塊、配置文件、關(guān)鍵進(jìn)程等運(yùn)行狀態(tài)特征，構(gòu)建面向終端狀態(tài)異常行為的分類和診斷模型，實(shí)現(xiàn)對(duì)多源異構(gòu)終端的有效異常感知。在業(yè)務(wù)安全狀態(tài)感知方面，開展基于協(xié)議深度分析的業(yè)務(wù)異常感知的研究。分析電力協(xié)議的格式規(guī)范、業(yè)務(wù)指令特征和操作邏輯，對(duì)協(xié)議進(jìn)行深度解析并提取指令級(jí)特征[24]；分析單一數(shù)據(jù)報(bào)文的合規(guī)性，識(shí)別畸形報(bào)文；分析組合數(shù)據(jù)報(bào)文，還原業(yè)務(wù)操作行為，實(shí)現(xiàn)對(duì)違規(guī)行為的異常感知。在網(wǎng)絡(luò)安全狀態(tài)感知方面，從通信路徑、通信頻率、流量大小、流量類型等多維角度分析電力終端流量特征[25]，并融合歸一化處理，以自學(xué)習(xí)的方式確定行為基線，實(shí)現(xiàn)流量異常識(shí)別。

在此基礎(chǔ)上，針對(duì)電力系統(tǒng)遭受滲透攻擊后的準(zhǔn)確有效響應(yīng)需求，結(jié)合各類電力系統(tǒng)業(yè)務(wù)場(chǎng)景，研究基于特征提取和模式識(shí)別的攻擊關(guān)聯(lián)分析方法，構(gòu)建概率關(guān)聯(lián)模型和因果關(guān)聯(lián)模型，對(duì)攻擊特征進(jìn)行關(guān)聯(lián)分析[26]，作為攻擊識(shí)別技術(shù)的支撐基礎(chǔ)。對(duì)具有較顯著特征的攻擊行為，構(gòu)建多模式快速匹配模型，實(shí)現(xiàn)攻擊的快速匹配識(shí)別，對(duì)特征相對(duì)不很顯著的復(fù)雜攻擊行為，利用機(jī)器學(xué)習(xí)，實(shí)現(xiàn)攻擊的有效檢測(cè)。

最后需研究防滲透策略管理和隔離阻斷技術(shù)，形成網(wǎng)絡(luò)和終端設(shè)備的策略下發(fā)、執(zhí)行和優(yōu)化等綜合管理方法；對(duì)于被入侵的高風(fēng)險(xiǎn)終端，產(chǎn)生終端隔離策略或網(wǎng)絡(luò)阻斷策略，對(duì)于受影響終端，生成風(fēng)險(xiǎn)規(guī)避策略。并需要研究策略優(yōu)化、沖突檢測(cè)、沖突消除算法，實(shí)現(xiàn)融合“終端隔離”與“網(wǎng)絡(luò)阻斷”的多層協(xié)同防御策略，最終基于攻擊危害評(píng)估的隔離阻斷技術(shù)實(shí)現(xiàn)攻擊的抵御和消解。具體研究框架如圖5所示。

4)交互層安全防護(hù)關(guān)鍵技術(shù)二：電力系統(tǒng)智能終端互聯(lián)場(chǎng)景下終端邊緣安全接入和混合業(yè)務(wù)隔離保護(hù)技術(shù)。

首先研究電力系統(tǒng)智能終端邊緣接入體系架構(gòu)和安全防護(hù)體系，為電力監(jiān)控系統(tǒng)、智慧能源系統(tǒng)、能源計(jì)量系統(tǒng)的終端互聯(lián)安全提供基礎(chǔ)支撐。

在此基礎(chǔ)上，針對(duì)電力系統(tǒng)智能終端互聯(lián)、混合業(yè)務(wù)統(tǒng)一接入場(chǎng)景下，海量多樣化終端的合法快速接入認(rèn)證問題，需采用分布式授權(quán)接入控制、輕量級(jí)驗(yàn)簽等方法，研究快速接入認(rèn)證技術(shù)；在輕量級(jí)公鑰、私鑰研究的基礎(chǔ)上，提出輕量級(jí)簽名算法以及公鑰對(duì)生成算法[27]，通過軟硬件結(jié)合方式構(gòu)建輕量級(jí)的驗(yàn)簽體系，支撐系統(tǒng)的實(shí)時(shí)驗(yàn)簽處理。實(shí)現(xiàn)終端分布式授權(quán)和高速安全接入認(rèn)證。同時(shí)，需針對(duì)不同邊緣側(cè)業(yè)務(wù)、環(huán)境、時(shí)間、跨度，實(shí)現(xiàn)不同安全需求的邊緣側(cè)認(rèn)證授權(quán)技術(shù)，即在知識(shí)庫、規(guī)則庫構(gòu)建的基礎(chǔ)上，基于自學(xué)習(xí)方法構(gòu)建完整的電力系統(tǒng)邊緣計(jì)算認(rèn)證因子體系[28]，實(shí)現(xiàn)多種認(rèn)證因子共存的“白名單”最小化授權(quán)認(rèn)證。

針對(duì)邊緣接入過程中的數(shù)據(jù)安全防護(hù)問題，需研究輕量級(jí)密鑰更新和數(shù)據(jù)安全處理與質(zhì)量保障技術(shù)，實(shí)現(xiàn)全實(shí)時(shí)數(shù)據(jù)安全防護(hù)。首先設(shè)計(jì)密鑰管理、協(xié)商、更新機(jī)制，重點(diǎn)研究混合業(yè)務(wù)分級(jí)分類安全存儲(chǔ)、高速接入場(chǎng)景動(dòng)態(tài)協(xié)調(diào)存儲(chǔ)方法，滿足數(shù)據(jù)高速增量存儲(chǔ)。在此基礎(chǔ)上，研究高性能的安全多方計(jì)算方法，實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)流的安全、高速處理和隱私保護(hù)，在計(jì)算能力和帶寬約束條件下解決數(shù)據(jù)篡改、數(shù)據(jù)失真等安全問題，并在邊緣計(jì)算能力和帶寬約束條件下實(shí)現(xiàn)數(shù)據(jù)清洗、融合、治理，定量化提升數(shù)據(jù)質(zhì)量。

最后針對(duì)多業(yè)務(wù)互聯(lián)過程中的業(yè)務(wù)隔離困難的問題[29]，需結(jié)合資源虛擬化調(diào)度和切片技術(shù)，研究多業(yè)務(wù)安全隔離技術(shù)，選擇合適的切片粒度和生命周期，平衡切片的靈活性和復(fù)雜性，實(shí)現(xiàn)多業(yè)務(wù)共享資源的切片式安全隔離，支持混合業(yè)務(wù)可信敏捷接入與多級(jí)安全隔離。同時(shí)為了確保業(yè)務(wù)連續(xù)性不受影響，充分利用不同通道的優(yōu)勢(shì)，需采用通道切換的方法進(jìn)行多模通道自動(dòng)倒換，實(shí)現(xiàn)通道使用優(yōu)化，提高業(yè)務(wù)接入和備份能力，確保業(yè)務(wù)狀態(tài)不中斷。具體研究框架如圖6所示。

5電力系統(tǒng)智能終端信息安全防護(hù)能力測(cè)試驗(yàn)證技術(shù)

電力系統(tǒng)智能終端信息安全防護(hù)需要多方面的關(guān)鍵技術(shù)，目前國內(nèi)外尚無適用于電力系統(tǒng)智能終端業(yè)務(wù)環(huán)境的安全性測(cè)評(píng)驗(yàn)證技術(shù)。本文嘗試從安全防護(hù)技術(shù)集成優(yōu)化、實(shí)驗(yàn)室測(cè)試驗(yàn)證、多業(yè)務(wù)綜合試驗(yàn)驗(yàn)證等3個(gè)方面，對(duì)電力系統(tǒng)智能終端信息安全防護(hù)技術(shù)有效性進(jìn)行分析和展望。

1)安全防護(hù)關(guān)鍵技術(shù)集成優(yōu)化。電力系統(tǒng)智能終端安全防護(hù)涉及了芯片層、終端層、交互層3個(gè)方面，相關(guān)技術(shù)在應(yīng)用過程中需兼容電力不同業(yè)務(wù)系統(tǒng)應(yīng)用場(chǎng)景、防護(hù)要求及措施的差異。同時(shí)，需要兼顧與各業(yè)務(wù)系統(tǒng)在功能模型、性能指標(biāo)、安全策略等方面的匹配性，考慮與已有防護(hù)策略的優(yōu)化集成應(yīng)用需求，以支撐芯片層—終端層—交互層安全防護(hù)技術(shù)的整體研發(fā)與應(yīng)用。

2)安全性實(shí)驗(yàn)室測(cè)試驗(yàn)證。為滿足電力系統(tǒng)智能終端信息安全防護(hù)技術(shù)有效性驗(yàn)證需求，需基于電力業(yè)務(wù)系統(tǒng)運(yùn)行場(chǎng)景模擬，研究安全防護(hù)能力的實(shí)驗(yàn)室測(cè)試技術(shù)，構(gòu)建終端安全性檢驗(yàn)測(cè)試平臺(tái)，實(shí)現(xiàn)安全功能符合性、穿透性測(cè)試。此外，需研究考慮不同攻擊密度、攻擊特征及目標(biāo)定位的攻擊用例，構(gòu)建安全攻防驗(yàn)證平臺(tái)，實(shí)現(xiàn)主動(dòng)免疫電力系統(tǒng)智能終端及安全監(jiān)測(cè)與防滲透系統(tǒng)安全功能的有效性測(cè)試。

3)安全性綜合驗(yàn)證評(píng)估。綜合考慮實(shí)際業(yè)務(wù)環(huán)境中的負(fù)荷特點(diǎn)、供電可靠性要求等因素，在安全防護(hù)技術(shù)應(yīng)用到生產(chǎn)環(huán)境后，為對(duì)相關(guān)安全技術(shù)有效性以及業(yè)務(wù)影響性進(jìn)行測(cè)評(píng)驗(yàn)證。需考慮通過紅隊(duì)攻擊和專家組驗(yàn)證等方式，采用終端自身攻擊、縱向通信攻擊、主站下行攻擊等方式，驗(yàn)證主動(dòng)免疫電力終端、終端安全監(jiān)測(cè)與防滲透系統(tǒng)、邊緣計(jì)算安全接入設(shè)備的安全功能有效性，并評(píng)估對(duì)業(yè)務(wù)系統(tǒng)實(shí)時(shí)性、正確性、可靠性等方面的影響及對(duì)現(xiàn)有防護(hù)體系的提升能力。