網絡安全事件處置與追蹤溯源技術 吳雲坤 9787121500374 【台灣高等教育出版社】
物品所在地:中國大陸
原出版社:電子工業
商品介紹
下訂前請慎重考慮!下訂前請慎重考慮!謝謝。
*完成訂單後正常情形下約兩周可抵台。
*本賣場提供之資訊僅供參考,以到貨標的為正確資訊。
印行年月:202507*若逾兩年請先於客服中心或Line洽詢存貨情況,謝謝。
台灣(台北市)在地出版社,每筆交易均開具統一發票,祝您中獎最高1000萬元。
書名:網絡安全事件處置與追蹤溯源技術
ISBN:9787121500374
出版社:電子工業
著編譯者:吳雲坤
頁數:304
所在地:中國大陸 *此為代購商品
書號:1745012
可大量預訂,請先連絡。
內容簡介
《網絡安全事件處置與追蹤溯源技術》共9章,圍繞”網絡空間安全導論”這一主題,系統介紹網絡空間安全的事件處置和追蹤溯源技術。其中,第1章 概括性介紹網絡安全與事件處置,包括網絡空間安全事件處置的目的、作用、原則、方法、觸發條件、內外協作和追蹤溯源技術發展和主流技術等。第2章 介紹網絡安全事件分類與分級,包括網絡安全事件的分類方法和類別,網絡安全事件的分級,網絡安全事件類別和級別的關聯關係。第3章 介紹網絡安全事件處置流程和方法,包括事件處置的一般流程、準備階段、檢測階段、抑制階段、固證與溯源階段、根除與恢復階段、反制階段、信息通報和預警階段和事件原因分析與安全建設整改。第4章 介紹事件處置的組織保障,包括基本框架、協調中心、決策中心、IT技術支撐、業務線支撐、外部協調和事件處置組織能力建設。第5章 介紹事件處置關鍵技術,包括網絡安全事件發現關鍵技術、處置和分析常用工具及事件響應關鍵技術。第6章 介紹追蹤溯源術,包括追蹤溯源的網絡技術基礎,身份識別技術,身份隱藏技術,日誌,溯源分析常用工具,威脅情報和入侵檢測指標等內容。第7章 介紹溯源分析的組織與方法,包括溯源分析的基本概念,痕跡採集與分析,歷史軌跡溯源,網絡空間測繪技術和公開信息採集等內容。第8章 介紹常見安全事件響應處置及溯源方法,包括釣魚郵件溯源、勒索病毒溯源、挖礦木馬溯源、Webshell溯源、惡意網站溯源、DDoS溯源、掃描器溯源、APT攻擊溯源和流量劫持等內容。第9章 介紹基於大數據的溯源分析,包括威脅數據的採集與彙聚、關聯分析的原則與方法、大數據可視化分析技術、互聯網威脅研判技術和告警降噪等內容。
《網絡安全事件處置與追蹤溯源技術》是高等院校網絡空間安全專業實戰化人才培養系列教材之一,可作為網絡空間安全專業的專業課教材,適合網絡空間安全專業、信息安全專業以及相關專業的大學生、研究生系統學習,也適合各單位各部門從事網絡安全工作者、科研機構和網絡安全企業的研究人員閱讀。
作者簡介
吳雲坤,正高級工程師,畢業于南京航空航天大學。現任奇安信科技集團股份有限公司總裁,兼任中國電子信息產業集團首席科學家、科技委副主任。長期從事網絡安全領域相關科研攻關、產品規劃、戰略管理和投融資管理,曾多次擔任網絡安全領域國家級重大項目、重點工程負責人及技術核心成員,獲得省部級科技獎一等獎近十項,完成了北京冬奧會等超百次國家重大活動網絡安全保障任務,帶領奇安信科技集團僅用七年時間快速發展成為網絡安全行業龍頭企業。
目錄
第1章 概述
1 1 網絡安全與事件處置 1
1 1 1 網絡安全與網絡安全事件 1
1 1 2 事件處置的目的和作用 3
1 1 3 事件處置的原則與方法 4
1 1 4 事件處置的觸發條件 6
1 1 5 事件處置的內外協作 8
1 2 事件響應與追蹤溯源 9
1 2 1 追蹤溯源的目的與作用 9
1 2 2 內部溯源與外部溯源 10
1 3 追蹤溯源技術發展和主流技術 13
1 3 1 早期追蹤溯源關注點 13
1 3 2 追蹤溯源技術的發展 13
1 3 主流的網絡攻擊追蹤溯源技術 14
1 3 如何應用網絡攻擊追蹤溯源技術 17
習題 17
第2章 網絡安全事件分類與分極
2 1 網絡安全事件的分類方法和類別 18
2 1 1 惡意程序事件 18
2 1 2 網絡攻擊事件 19
2 1 3 數據安全事件 21
2 1 4 信息內容安全事件 22
2 1 5 設備設施故障事件 22
2 1 6 違規操作事件 23
2 1 7 安全隱患事件 24
2 1 8 異常行為事件 25
2 1 9 不可抗力事件 25
2 2 網絡安全事件的分級 26
2 2 1 網絡安全事件分級的目的 26
2 2 2 網絡安全事件分級方法 27
2 2 3 網絡安全事件級別 29
2 2 4 網絡安全事件分級流程 30
2 3 網絡安全事件類別和級別的關聯關係 31
習題 32
第3章 網絡安全事件處置流程和方法
3 1 事件處置的一般流程 33
3 2 準備階段 35
3 3 檢測階段與抑制階段 36
3 3 1 檢測階段 36
3 3 2 抑制階段 37
3 4 固證與溯源階段 38
3 4 1 固證 38
3 4 2 溯源 40
3 5 根除與恢復階段 40
3 5 1 根除階段 40
3 5 2 恢復階段 41
3 6 反制階段 42
3 6 1 反制任務和時機 42
3 6 2 反制常用技術和方法 43
3 7 信息通報和預警階段 46
3 7 1 網絡安全事件通報分級 46
3 7 2 信息通報流程 46
3 7 3 預警內容和流程 47
3 8 事件原因分析與安全建設整改 48
習題 50
第4章 事件處置的組織保障
4 1 基本框架 51
4 2 協調中心 51
4 3 決策中心 53
4 4 IT技術支撐 53
4 5 業務線支撐 54
4 6 外部協調 55
4 7 網絡安全事件處置組織能力建設 56
習題 57
第5章 事件處置關鍵技術
5 1 網絡安全事件發現關鍵技術 58
5 1 1 入侵檢測技術 58
5 1 2 蜜罐技術 67
5 1 3 威脅情報技術 73
5 1 4 漏洞管理 79
5 2 網絡安全事件處置和分析常用工具 89
5 2 1 網絡安全事件分析典型流程 89
5 2 2 事件處置常用工具 89
5 3 事件響應關鍵技術 91
5 3 1 終端檢測響應技術 91
5 3 2 網絡檢測響應技術 92
5 3 3 安全運營平臺 92
5 3 4 態勢感知平臺 93
5 3 5 安全編排自動化與響應 93
習題 94
第6章 追蹤溯源技術
第7章 溯源分析的組織與方法
第8章 常見安全事件響應處置及溯源方法
第9章 基於大數據的溯源分析
參考書目 305
精彩書摘
第1章 概述
本章 主要介紹網絡安全與事件處置、事件處置與追蹤溯源、相關領域的技術發展、相關政策法規與標準,為網絡安全事件處置和追蹤溯源奠定基礎。主要內容包括:網絡安全事件處置的目標、作用、原則和方法,事件處置的觸發條件,進行網絡安全事件處置的協作方法,溯源分析的目的、作用和方法,追蹤溯源的常用技術和相關領域的技術發展,我國網絡安全事件的處置和處置方面的國家戰略、法律法規、部門規章 規範,以及國家發佈的相關標準。
1 1 網絡安全與事件處置
1 1 1 網絡安全與網絡安全事件
1 網絡安全的基本含義
《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)將網絡安全的範圍確定為網絡運行安全和網絡數據(含信息)安全,主要包括以下幾方面。一是網絡空間主權,包括國內管轄權、獨立權、自衛權、依賴性主權;對境外攻擊破壞行為的管轄權,包括防禦防範網絡攻擊、懲治打擊網絡犯罪、外交制裁、凍結財產等手段。二是確立了國家網絡安全等級保護制度。三是明確了關鍵信息基礎設施保護,關鍵信息基礎設施重要數據跨境傳輸要求。四是明確了網絡運營者、網絡產品和服務提供者的責任義務。五是保障網絡信息安全和個人信息安全。六是採取監測預警與應急處置等重要措施。
網絡安全包含五個屬性:保密性、完整性、可用性、可控性和不可抵賴性。
(1)保密性,是指網絡中的信息不被非授權實體(包括用戶和進程等)獲取與使用,信息不洩露給非授權用戶、實體或過程,或供其利用的特性。這些信息不僅包括國家機密,也包括企業和社會團體的商業機密和工作機密,還包括個人信息。人們在應用網絡時很自然地要求網絡能提供保密性服務,而被保密的信息既包括在網絡中傳輸的信息,也包括存儲在計算機系統中的信息。
(2)完整性,是指數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和避免丟失的特性。數據的完整性保證計算機系統上的數據和信息處於一種完整和未受損害的狀態,這就是說數據不會因為有意或無意的事件而被改變或丟失。除了數據本身不能被破壞外,數據的完整性還要求數據的來源具有正確性和可信性,也就是說需要首先驗證數據是真實可信的,然後再檢驗數據是否被破壞。
(3)可用性,是指對信息或資源的使用期望,即可授權實體或用戶訪問並按要求使用信息的特性。簡單地說,就是保證信息在需要時能為授權者所用,防止由於主客觀因素造成的系統拒絕服務。例如,網絡環境下的拒絕服務、破壞網絡和有關係統的正常運行等都屬_xFFFF_對可用性的攻擊。數據不可用也可能是由軟件缺陷造成的。
(4)可控性,是指人們對信息的傳播路徑、範圍及其內容所具有的控制能力,即不允許不良內容通過公共網絡進行傳輸,使信息在合法用戶的有效掌控之中。
(5)不可抵賴性,也稱不可否認性,是指在信息交換過程中,確信參與方的真實同一性,即所有參與者都不能否認和抵賴曾經完成的操作和承諾。簡單地說,就是發送信息方不能否認發送過信息,信息的接收方不能否認接收過信息。利用信息源證據可以防止發信方否認已發送過信息,利用接收證據可以防止接收方事後否認已經接收到信息。
2 網絡安全的主要類型
網絡安全由於不同的環境和應用而產生了不同的類型,主要有以下幾種。
(1)系統安全。運行系統安全即保證信息處理和傳輸系統的安全。它側重于保證系統正常運行,避免因為系統的崩潰和損壞而對系統存儲、處理和傳輸的消息造成破壞。避免由於電磁洩漏,產生信息洩露,干擾他人或受他人干擾。
(2)網絡信息安全。網絡上系統信息的安全,包括用戶口令鑒別、用戶存取權限控制、數據存取權限和方式的控制、安全審計、計算機病毒防治、數據加密等。
(3)信息傳播安全。網絡上信息傳播安全,即信息傳播過程和結果的安全,包括信息過濾等,側重於防止和控制由於非法、有害的信息傳播所產生的後果,避免公用網絡上自由傳輸的信息失控。
(4)信息內容安全。網絡上信息內容的安全,側重於保護信息的保密性、真實性和完整性,避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損用戶合法權益的行為,其本質是保護用戶的利益和隱私。
3 網絡安全事件的基本含義
危害網絡系統、通信網絡設施和數據安全的事件稱為網絡安全事件,包括網絡中斷(擁塞)、系統癱瘓(異常)、數據洩露(丟失)、病毒傳播等事件。事件的主體可能是自然界、系統自身故障、組織內部或外部的人、計算機病毒或蠕蟲等。
根據《信息安全技術網絡安全事件分類分級指南》等國家有關標準規範,綜合考慮網絡安全事件的起因、威脅、攻擊方式、損害後果等因素,將網絡安全事件分為10類,包括惡意程序事件、網絡攻擊事件、數據安全事件、信息內容安全事件、設備設施故障事件、違規操作事件、安全隱患事件、異常行為事件、不可抗力事件和其他事件等。按照事件影響對象的重要程度、業務損失的嚴重程度和社會危害的嚴重程度三個要素,將網絡安全事件分為4個級別,包括”特別重大事件、重大事件、較大事件和一般事件”,由高到低分別為一級、二級、三級和四級。詳見第2章 。
前言/序言
序
在數字化智慧化高速發展的今天,網絡和數據安全的重要性愈發凸顯,直接關係到國家政治、經濟、國防、文化、社會等各個領域的安全和發展。網絡空間技術對抗能力是國家整體實力的重要方面,面對日益複雜的網絡安全威脅和挑戰,按照”打造一支攻防兼備的隊伍,開展一組實戰行動,建設一批網絡與數據安全基地”的思路,培養具有實戰化能力的網絡安全人才隊伍,已成為國家重大戰略需求。
一、培養網絡安全實戰化人才的根本目的
在網絡安全”三化六防”(實戰化、體系化、常態化;動態防禦、主動防禦、縱深防禦、精準防護、整體防控、聯防聯控)理念的指引下,網絡安全業務越來越貼近實戰。實戰行動和實戰措施都離不開實戰化人才隊伍的支撐。培養網絡安全實戰化人才的根本目的,在於培養一批既具備扎實的理論基礎,又掌握高新技術和前沿技術、具備攻防技術對抗能力,還能靈活運用各種技術措施和手段,應對各種網絡安全威脅的高素質實戰化人才,打造”攻防兼備”和具有網絡安全新質戰鬥力的隊伍,支撐國家網絡安全整體實戰能力的提升。
二、培養網絡安全實戰化人才的重大意義
習近平總書記強調:”網絡空間的競爭,歸根結底是人才競爭”,”網絡安全的本質在對抗,對抗的本質在攻防兩端能力較量”。要建設網絡強國,必須打造一支高素質的網絡安全實戰化人才隊伍。我國網絡安全人才特別是實戰化人才嚴重缺乏,因此,破解難題,從網絡安全保衛、保護、保障三個方面加強實戰化人才教育訓練,已成為國家重大戰略需求。
當前,國家在加快推進數字化智慧化建設,本質是打造數字化生態,而數字化建設面臨的最大威脅是網絡攻擊。與此同時,國家網絡安全進入新時代,新時代網絡安全最顯著的特徵是技術對抗。因此,新時代要求我們要樹立新理念、採取新舉措,從網絡安
