网络安全事件定义(合集7篇)

时间：2023-08-12 09:05:48

网络安全事件定义第1篇

[论文摘要]网络恐怖主义是一个非传统安全领域的、新的全球性问题，是对公共信息安全的野蛮挑战。公共信息安全已经成为一个国家政治、经济、文化、军事安全的集中体现，我国的网络快速发展与公共信息安全保卫措施滞后之间的突出矛盾，反映了当代反网络恐怖主义的现实性和艰巨性。如何加紧这方面的科研和备战以打赢这场新形势下的特殊战争，切实维护公共信息安全，是我们必须认真思考的课题。

网络恐怖主义(cyberterrorism)，是指由特定组织或个人以网络为手段和活动空间，有预谋、有政治目的的软暴力攻击活动。它针对或利用信息、计算机程序和数据以及网络系统制造恐怖气氛，威胁、破坏公共信息社会和相关政府、国家利益，其危害足以导致人们心理的恐慌、财产的损失甚至人员的伤亡。

从1993年底我国首次与Internet联网以来，尤其是1999年1月我国启动“政府上网工程”以来，我国因特网业得到了迅速发展，伴随而来的是网络犯罪也呈明显上升趋势，甚至在一些案件中出现了网络恐怖主义这种新型犯罪的苗头，给我国公共信息安全和社会稳定带来了巨大的潜在威胁。放眼世界，尤其是日本和欧美，无论是其电力、金融、能源等国家重要基础设施，还是卫星、飞机、航天等军事技术，以及教育、商业、文化等等社会各方面，都日益依赖网络系统而进行，“当超过100亿美元的网络经济建立在上世纪七十年代的网络基础上时，人们有理由严肃地质疑其安全性。公共信息安全日益成为这些国家关注的重大课题。而另一方面，网络恐怖主义极有可能成为21世纪恐怖分子或犯罪组织青睐的攻击方式，成为对全球公共利益和国际安全的一种新的巨大威胁。

一网络恐怖主义的特征

与爆炸、绑架、劫持飞机自杀性爆炸和利用生化武器施毒等传统意义上的恐怖主义方式相比，初步显现的网络恐怖主义表现出如下的特征：

(一)超级恐惧性

恐怖主义的本质特征之一就在于其恐惧性，包括美国的“9·11’’事件在内，传统恐怖方式造成的恐怖效应，由于地缘以及与国家、人们生活关联度等因素的影响，其扩散规律是由中心向四周减量辐射，波及的范围和危害程度是有限的、可控制的，最终必定会限制在一定的区域和社会中，恐惧性因此适可而止。而网络恐怖主义则不同，其不仅破坏“信息社会眼睛”和“第三传媒”的网络传媒，而且直接毁损人们日益依赖的网络系统，其扩散规律必然是等量、甚至有时是增量地由事件中心向外辐射，波及的范围和危害程度是无限的、难以控制的。一次局部的网络恐怖事件，往往会在很大范围内连锁反应，从而使信息社会的大部分或全部陷入混乱盲目状态，甚至引发社会危机。这种新的恐怖方式较传统方式而言，更具有难以预测性、突发性和象征性，一旦发生，必然加剧人们心理上对信息社会的不信任感，甚至留下“核冬天”样的长期损害，从而也加剧了下一次网络恐怖事件的恐怖效应。

(二)非暴力性

暴力或暴力威胁是恐怖主义的内涵。很大程度上说，离开暴力性谈恐怖主义是不全面的。但是网络恐怖主义修改了这一传统说法。它针对或利用的是网络本身，并不以造成人身安全的危害为直接或间接追求效果，因而只有对物的破坏性而不具有对人的直接暴力性，因此也显得文明些，少有血腥味，这对于日益强调人身安全等私权的当代国际社会来说，具有很大的蒙蔽性。人们也一度模糊了它与一般犯罪行为的区别，放松了对它的打击力度，甚至有极少数人不分青红皂白地盲目崇拜，甚至以此为荣。我们应该清醒地看到，其非暴力性丝毫未能改变其恐惧性、政治性和被袭击目标的无辜性等恐怖主义内涵，因此，我们在确认其具有非暴力性的新特征的同时，也应透过现象看本质，用发展的眼光来看清它的恐怖主义根本属性。

(三)高度隐蔽性

网络恐怖袭击是一种非常规的破坏活动。从形态上看，是一种网络上的快速符码运动。本身就具有难以跟踪的隐蔽特征。国外的资料显示。越来越多的恐怖分子或恐怖组织，一改传统做法，身份彻底虚拟化，在网络恐怖事件中，事前不声张，事后匿名退出。其匿名性的特点也越来越明显。随着网络的日益普及，网络管理滞后，袭击手段的不对称发展和攻击目标的模糊性等诸多因素的影响，使得网络恐怖分子可以多维、多点、多次进攻，而将自身的风险降到最低。因而从网络恐怖事件的筹划、实施到完成的整个过程来看，具有难以预测、难以防范、难以取证的特点，具有高度的隐蔽性。

(四)低成本与高破坏的极度失衡性

网络系统对故障和病毒缺乏免疫力，而进入系统的程序和信息内容具有难以检测的特点，这就使得网络系统十分脆弱，易受攻击。网络科技日益普及，其全球性、开放性、共享性和快捷性的特征·，也使得那些针对网络天然弱点，逆用科技，研制、掌握攻击网络系统的成本十分低廉。一台入网的计算机、一个调制解调器，恐怖分子或恐怖组织就可以发动一场网络恐怖袭击，其进入成本十分低廉。而与低成本相对应的是巨大的破坏性。近年的“情书”、“求职信”病毒恐怖袭击，全球生产损失额高达88亿美元和90亿美元，2003年3月上旬新型蠕虫病毒SQLoverflow开始的5天内便造成了9．5亿美元的生产性损失。一次网络恐怖事件，可能超几十次其它类恐怖事件的损失总和。这种低成本和高破坏的“高效”恐怖方式极大地满足了恐怖分子所追求的恐怖效应，从而有可能刺激其制造出更多更大的网络恐怖事件，反过来加剧了这种失衡性。

二网络恐怖主义发展趋势

目前，在我国，网络恐怖主义尚处于组织联络、筹措经费等初始状态，现实的网络恐怖事件多发生于西方一些网络程度较高的国家。但是它正日益成为一个非传统安全领域的新的、全球性的问题，并呈现出一些新的发展趋势。

(一)个人网络恐怖主义趋势

网络袭击的武器易获得、网络目标的脆弱、攻击结果的高危害等属性，使得恐怖分子可以利用极少的个人资源对拥有强大社会资源的公共信息社会和相关政府发动灾难性袭击，恐怖分子个人行为就能达到甚至超过传统意义上的恐怖组织所追求的效果。同时，个人行为也更符合现代恐怖主义追求隐蔽的特点，因此，在某种程度上，随着多样性和信息技术的日益发展，网络恐怖主义的组织性将更加弱化，个人化的倾向将更加突出。

(二)计算机黑客恐怖化趋势

网络恐怖分子必然是利用计算机黑客技术和病毒技术等手段进行袭击，这就使得一些计算机黑客由无害的科技探索者或普通的违法犯罪者向恐怖分子堕落成为可能。甚至有一种说法：“黑客+病毒=恐怖袭击。”国外资料表明，高水平的网络攻击多数来自有恐怖主义思想的黑客。人们在迈向信息社会的进程中，些人在享受人类科技成果的同时，精神世界的改造却相对滞后，淡化了道德观念，导致人格空虚，一些计算机黑客道德缺失，其心理泛滥为仇恨、冷酷、狂热的恐怖心理，而为恐怖分子、恐怖组织所利用、雇佣或自甘堕落为反科技进步、反人类社会的网络恐怖事件的制造者。 (三)国家背景支持的网络恐怖主义趋势

2003年5月伊拉克战争结束之后，国际反恐形势发生了很大变化，一些西方国家实行双重标准，将特定的国家、民族组织妖魔化、恐怖化的倾向越来越明显，打击恐怖主义时常成为强国干涉他国主权和内政的借口，甚而侵犯他国信息安全，对网络恐怖主义视作实用工具的某些强国，也很可能把它当作“挥舞大棒”、推行强权政治的一个法宝；一些欠发达国家、贫国和弱国在全球化过程中被边缘化，在受到霸权主义或强权政治的欺压时，或明或暗地支持包括网络恐怖主义在内的各种恐怖活动，甚至把支持网络恐怖主义当作反对信息霸权、对付强权政治的秘密武器。网络恐怖具有高度隐蔽性的特点，承担的政治风险几乎为零，传统的恐怖活动方式在国际社会的强力打压下，活动空间日益狭小，而国家背景支持的网络恐怖主义将得到某种程度的发展，全球反网络恐怖主义形势将更加复杂。

(四)袭击手段的多样化趋势

网络恐怖主义，从另一种角度上讲，实质上是特殊形式下的信息战。网络恐怖分子和组织可利用的攻击手段是多种多样的。如恐怖分子可利用网络传播快捷的特点，直接散布恐怖信息，大打网络心理战，这种手段简单，效果有限，发展空间小，容易被排除。但恐怖分子将之与其它手段综合运用，将产生极大的威慑和破坏作用，较为常见的袭击手段是采用计算机病毒实施黑客袭击。无论是“蠕虫”、“逻辑炸弹”、“计算机陷阱”，还是“软件嗅探”等各种破坏性病毒，其传染性、变异性、潜伏性、持续性的特点，决定了其作为网络恐怖事件首选袭击武器的可能。全球最大的网络安全公司Symantec曾警示，新开发的未知病毒，尤其是极具毁灭性的混合病毒，将越来越多地在网络恐怖事件中使用。

三对策思考

网络恐怖主义是对公共信息安全的野蛮挑战，防御网络恐怖主义已成为国家安全防御体系中的重要组成部分，这将是一场没有硝烟的战争。针对网络恐怖主义难以预警等特点，必须采取多种措施加以制约和反击。

(一)加强反网络恐怖的理论研究．建立完整的作战理论体系

公共信息安全是信息社会健康发展的保证，反网络恐怖主义，对我国来说，是一个全新的研究课题，只有高度重视，建立完整的反应机制，才能掌握主动，占据优势。目前，建立该理论体系，应考虑以下几个方面的因素：第一，要针对网络恐怖主义的特征和发展趋势进行研究，并借鉴我国反恐怖斗争中已取得的经验和研究成果，从法律、政策层面对网络恐怖主义进行有力的警示和惩戒，为反网络恐怖主义提供坚强的法律保障和政策支持。如政府可出台《公共信息安全事件管理办法》等法律法规，对信息安全工作作出更加全面、明确的规定和要求，像防范“非典”一样，对重大信息安全事件报告、事件分类定级、调查处理和应急响应工作等提出明确的要求，做到快速反应，积极主动。第二，“因特网无国界，网络恐怖主义通常具有跨国犯罪特征，打击网络恐怖主义正成为各国的共同目标”。因此，必须加强国际合作，参与形成一套全球监控、防范和反击的安全体系，在促进、发展和落宴全球性的网络安全文化中发挥我国的影响，并注意在合作中实行“拿来主义”，借鉴国外反网络恐怖的实战经验和理论研究成果为我所用。第三，要突出我国反网络恐怖主义的主要矛盾，有针对性的进行防御。目前，境内外邪教组织、“东突”和“藏独”等民族分裂势力是我国面临的恐怖主义的主要源头。其中，个别邪教组织已针对我国卫星电视进行了多次侵扰，今后我们不排除它们与国外敌对势力相勾结，造谣煽动，发动网络恐怖袭击的可能。对此，我们要高度警惕，通过建立功能强大的监测系统，对可能的网络恐怖活动进行密切监控，采取多种方式进行反击。

(二)加强反网络恐怖作战的技术研究与开发工作。不断完善技术装备。加强科技练兵

反网络恐怖实质上是一场科技战，魔高一尺，道高一丈，拥有先进独特的技术和自主的知识产权的硬件、软件才是打击网络恐怖主义、维护公共信息安全的基本保障。和美、13等发达国家相比，我国的网络安全技术、反网络恐怖作战还处于初始期，因此我们必须大力加强网络安全方面的硬件研制和软件开发力度，强化基础设施，建立自主的骨干信息网络，加强芯片和操作系统的研制，发展民族的防火墙、路由器、数据密码技术等公共信息安全产品，并密切跟踪国际反网络恐怖的科技新发展。甚至在条件适当的时候可以考虑建立更安全、独立于因特网之外的独有网络，构筑我国坚实的网上边疆。只有在网络技术方面占有先机优势，加大科技练兵，才能运用高科技保卫我国网上领土的安全和主权，打赢将来可能发生的反网络恐怖主义信息战。

(三)强化军警民联合反网络恐怖机制。多管齐下。将网络恐怖主义消灭在萌芽状态

网络安全事件定义第2篇

从1993年底我国首次与internet联网以来，尤其是1999年1月我国启动“政府上网工程”以来，我国因特网业得到了迅速发展，伴随而来的是网络犯罪也呈明显上升趋势，甚至在一些案件中出现了网络恐怖主义这种新型犯罪的苗头，给我国公共信息安全和社会稳定带来了巨大的潜在威胁。放眼世界，尤其是日本和欧美，无论是其电力、金融、能源等国家重要基础设施，还是卫星、飞机、航天等军事技术，以及教育、商业、文化等等社会各方面，都日益依赖网络系统而进行，“当超过100亿美元的网络经济建立在上世纪七十年代的网络基础上时，人们有理由严肃地质疑其安全性。公共信息安全日益成为这些国家关注的重大课题。而另一方面，网络恐怖主义极有可能成为21世纪或犯罪组织青睐的攻击方式，成为对全球公共利益和国际安全的一种新的巨大威胁。

一网络恐怖主义的特征

与爆炸、绑架、劫持飞机自杀性爆炸和利用生化武器施毒等传统意义上的恐怖主义方式相比，初步显现的网络恐怖主义表现出如下的特征：

(一)超级恐惧性

(二)非暴力性

(三)高度隐蔽性

网络恐怖袭击是一种非常规的破坏活动。从形态上看，是一种网络上的快速符码运动。本身就具有难以跟踪的隐蔽特征。国外的资料显示。越来越多的或恐怖组织，一改传统做法，身份彻底虚拟化，在网络恐怖事件中，事前不声张，事后匿名退出。其匿名性的特点也越来越明显。随着网络的日益普及，网络管理滞后，袭击手段的不对称发展和攻击目标的模糊性等诸多因素的影响，使得网络可以多维、多点、多次进攻，而将自身的风险降到最低。因而从网络恐怖事件的筹划、实施到完成的整个过程来看，具有难以预测、难以防范、难以取证的特点，具有高度的隐蔽性。

(四)低成本与高破坏的极度失衡性

网络系统对故障和病毒缺乏免疫力，而进入系统的程序和信息内容具有难以检测的特点，这就使得网络系统十分脆弱，易受攻击。网络科技日益普及，其全球性、开放性、共享性和快捷性的特征·，也使得那些针对网络天然弱点，逆用科技，研制、掌握攻击网络系统的成本十分低廉。一台入网的计算机、一个调制解调器，或恐怖组织就可以发动一场网络恐怖袭击，其进入成本十分低廉。而与低成本相对应的是巨大的破坏性。近年的“情书”、“求职信”病毒恐怖袭击，全球生产损失额高达88亿美元和90亿美元，2003年3月上旬新型蠕虫病毒sqloverflow开始的5天内便造成了9．5亿美元的生产性损失。一次网络恐怖事件，可能超几十次其它类恐怖事件的损失总和。这种低成本和高破坏的“高效”恐怖方式极大地满足了所追求的恐怖效应，从而有可能刺激其制造出更多更大的网络恐怖事件，反过来加剧了这种失衡性。

二网络恐怖主义发展趋势

(一)个人网络恐怖主义趋势

网络袭击的武器易获得、网络目标的脆弱、攻击结果的高危害等属性，使得可以利用极少的个人资源对拥有强大社会资源的公共信息社会和相关政府发动灾难性袭击，个人行为就能达到甚至超过传统意义上的恐怖组织所追求的效果。同时，个人行为也更符合现代恐怖主义追求隐蔽的特点，因此，在某种程度上，随着多样性和信息技术的日益发展，网络恐怖主义的组织性将更加弱化，个人化的倾向将更加突出。

(二)计算机黑客恐怖化趋势

网络必然是利用计算机黑客技术和病毒技术等手段进行袭击，这就使得一些计算机黑客由无害的科技探索者或普通的违法犯罪者向堕落成为可能。甚至有一种说法：“黑客+病毒=恐怖袭击。”国外资料表明，高水平的网络攻击多数来自有恐怖主义思想的黑客。人们在迈向信息社会的进程中，些人在享受人类科技成果的同时，精神世界的改造却相对滞后，淡化了道德观念，导致人格空虚，一些计算机黑客道德缺失，其心理泛滥为仇恨、冷酷、狂热的恐怖心理，而为、恐怖组织所利用、雇佣或自甘堕落为反科技进步、反人类社会的网络恐怖事件的制造者。

(三)国家背景支持的网络恐怖主义趋势

2003年5月伊拉克战争结束之后，国际反恐形势发生了很大变化，一些西方国家实行双重标准，将特定的国家、民族组织妖魔化、恐怖化的倾向越来越明显，打击恐怖主义时常成为强国干涉他国和内政的借口，甚而侵犯他国信息安全，对网络恐怖主义视作实用工具的某些强国，也很可能把它当作“挥舞大棒”、推行强权政治的一个法宝；一些欠发达国家、贫国和弱国在全球化过程中被边缘化，在受到霸权主义或强权政治的欺压时，或明或暗地支持包括网络恐怖主义在内的各种恐怖活动，甚至把支持网络恐怖主义当作反对信息霸权、对付强权政治的秘密武器。网络恐怖具有高度隐蔽性的特点，承担的政治风险几乎为零，传统的恐怖活动方式在国际社会的强力打压下，活动空间日益狭小，而国家背景支持的网络恐怖主义将得到某种程度的发展，全球反网络恐怖主义形势将更加复杂。

(四)袭击手段的多样化趋势

网络恐怖主义，从另一种角度上讲，实质上是特殊形式下的信息战。网络和组织可利用的攻击手段是多种多样的。如可利用网络传播快捷的特点，直接散布恐怖信息，大打网络心理战，这种手段简单，效果有限，发展空间小，容易被排除。但将之与其它手段综合运用，将产生极大的威慑和破坏作用，较为常见的袭击手段是采用计算机病毒实施黑客袭击。无论是“蠕虫”、“逻辑炸弹”、“计算机陷阱”，还是“软件嗅探”等各种破坏性病毒，其传染性、变异性、潜伏性、持续性的特点，决定了其作为网络恐怖事件首选袭击武器的可能。全球最大的网络安全公司symantec曾警示，新开发的未知病毒，尤其是极具毁灭性的混合病毒，将越来越多地在网络恐怖事件中使用。

三对策思考

(一)加强反网络恐怖的理论研究．建立完整的作战理论体系

公共信息安全是信息社会健康发展的保证，反网络恐怖主义，对我国来说，是一个全新的研究课题，只有高度重视，建立完整的反应机制，才能掌握主动，占据优势。目前，建立该理论体系，应考虑以下几个方面的因素：第一，要针对网络恐怖主义的特征和发展趋势进行研究，并借鉴我国反恐怖斗争中已取得的经验和研究成果，从法律、政策层面对网络恐怖主义进行有力的警示和惩戒，为反网络恐怖主义提供坚强的法律保障和政策支持。如政府可出台《公共信息安全事件管理办法》等法律法规，对信息安全工作作出更加全面、明确的规定和要求，像防范“非典”一样，对重大信息安全事件报告、事件分类定级、调查处理和应急响应工作等提出明确的要求，做到快速反应，积极主动。第二，“因特网无国界，网络恐怖主义通常具有跨国犯罪特征，打击网络恐怖主义正成为各国的共同目标”。因此，必须加强国际合作，参与形成一套全球监控、防范和反击的安全体系，在促进、发展和落宴全球性的网络安全文化中发挥我国的影响，并注意在合作中实行“拿来主义”，借鉴国外反网络恐怖的实战经验和理论研究成果为我所用。第三，要突出我国反网络恐怖主义的主要矛盾，有针对性的进行防御。目前，境内外组织、“东突”和“”等民族分裂势力是我国面临的恐怖主义的主要源头。其中，个别组织已针对我国卫星电视进行了多次侵扰，今后我们不排除它们与国外敌对势力相勾结，造谣煽动，发动网络恐怖袭击的可能。对此，我们要高度警惕，通过建立功能强大的监测系统，对可能的网络恐怖活动进行密切监控，采取多种方式进行反击。

(二)加强反网络恐怖作战的技术研究与开发工作。不断完善技术装备。加强科技练兵

反网络恐怖实质上是一场科技战，魔高一尺，道高一丈，拥有先进独特的技术和自主的知识产权的硬件、软件才是打击网络恐怖主义、维护公共信息安全的基本保障。和美、13等发达国家相比，我国的网络安全技术、反网络恐怖作战还处于初始期，因此我们必须大力加强网络安全方面的硬件研制和软件开发力度，强化基础设施，建立自主的骨干信息网络，加强芯片和操作系统的研制，发展民族的防火墙、路由器、数据密码技术等公共信息安全产品，并密切跟踪国际反网络恐怖的科技新发展。甚至在条件适当的时候可以考虑建立更安全、独立于因特网之外的独有网络，构筑我国坚实的网上边疆。只有在网络技术方面占有先机优势，加大科技练兵，才能运用高科技保卫我国网上领土的安全和，打赢将来可能发生的反网络恐怖主义信息战。

(三)强化军警民联合反网络恐怖机制。多管齐下。将网络恐怖主义消灭在萌芽状态

网络安全事件定义第3篇

从1993年底我国首次与internet联网以来，尤其是1999年1月我国启动“政府上网工程”以来，我国因特网业得到了迅速发展，伴随而来的是网络犯罪也呈明显上升趋势，甚至在一些案件中出现了网络恐怖主义这种新型犯罪的苗头，给我国公共信息安全和社会稳定带来了巨大的潜在威胁。放眼世界，尤其是日本和欧美，无论是其电力、金融、能源等国家重要基础设施，还是卫星、飞机、航天等军事技术，以及教育、商业、文化等等社会各方面，都日益依赖网络系统而进行，“当超过100亿美元的网络经济建立在上世纪七十年代的网络基础上时，人们有理由严肃地质疑其安全性。公共信息安全日益成为这些国家关注的重大课题。而另一方面，网络恐怖主义极有可能成为21世纪恐怖分子或犯罪组织青睐的攻击方式，成为对全球公共利益和国际安全的一种新的巨大威胁。

一网络恐怖主义的特征

与爆炸、绑架、劫持飞机自杀性爆炸和利用生化武器施毒等传统意义上的恐怖主义方式相比，初步显现的网络恐怖主义表现出如下的特征：

(一)超级恐惧性

(二)非暴力性

(三)高度隐蔽性

(四)低成本与高破坏的极度失衡性

网络系统对故障和病毒缺乏免疫力，而进入系统的程序和信息内容具有难以检测的特点，这就使得网络系统十分脆弱，易受攻击。网络科技日益普及，其全球性、开放性、共享性和快捷性的特征·，也使得那些针对网络天然弱点，逆用科技，研制、掌握攻击网络系统的成本十分低廉。一台入网的计算机、一个调制解调器，恐怖分子或恐怖组织就可以发动一场网络恐怖袭击，其进入成本十分低廉。而与低成本相对应的是巨大的破坏性。近年的“情书”、“求职信”病毒恐怖袭击，全球生产损失额高达88亿美元和90亿美元，2003年3月上旬新型蠕虫病毒sqloverflow开始的5天内便造成了9．5亿美元的生产性损失。一次网络恐怖事件，可能超几十次其它类恐怖事件的损失总和。这种低成本和高破坏的“高效”恐怖方式极大地满足了恐怖分子所追求的恐怖效应，从而有可能刺激其制造出更多更大的网络恐怖事件，反过来加剧了这种失衡性。

二网络恐怖主义发展趋势

(一)个人网络恐怖主义趋势

(二)计算机黑客恐怖化趋势

(三)国家背景支持的网络恐怖主义趋势

(四)袭击手段的多样化趋势

网络恐怖主义，从另一种角度上讲，实质上是特殊形式下的信息战。网络恐怖分子和组织可利用的攻击手段是多种多样的。如恐怖分子可利用网络传播快捷的特点，直接散布恐怖信息，大打网络心理战，这种手段简单，效果有限，发展空间小，容易被排除。但恐怖分子将之与其它手段综合运用，将产生极大的威慑和破坏作用，较为常见的袭击手段是采用计算机病毒实施黑客袭击。无论是“蠕虫”、“逻辑炸弹”、“计算机陷阱”，还是“软件嗅探”等各种破坏性病毒，其传染性、变异性、潜伏性、持续性的特点，决定了其作为网络恐怖事件首选袭击武器的可能。全球最大的网络安全公司symantec曾警示，新开发的未知病毒，尤其是极具毁灭性的混合病毒，将越来越多地在网络恐怖事件中使用。

三对策思考

(一)加强反网络恐怖的理论研究．建立完整的作战理论体系

(二)加强反网络恐怖作战的技术研究与开发工作。不断完善技术装备。加强科技练兵

(三)强化军警民联合反网络恐怖机制。多管齐下。将网络恐怖主义消灭在萌芽状态

网络安全事件定义第4篇

关键词：网络安全安全态势建模安全态势生成知识发现

网络安全态势感知在安全告警事件的基础上提供统一的网络安全高层视图，使安全管理员能够快速准确地把握网络当前的安全状态，并以此为依据采取相应的措施。实现网络安全态势感知，需要在广域网环境中部署大量的、多种类型的安全传感器，来监测目标网络系统的安全状态。通过采集这些传感器提供的信息，并加以分析、处理，明确所受攻击的特征，包括攻击的来源、规模、速度、危害性等，准确地描述网络的安全状态，并通过可视化手段显示给安全管理员，从而支持对安全态势的全局理解和及时做出正确的响应。

1.网络安全态势建模

安全态势建模的主要目的是构建适应于度量网络安全态势的数据模型，以支持安全传感器的告警事件精简、过滤和融合的通用处理过程。用于安全态势建模的数据源主要是分布式异构传感器采集的各种安全告警事件。网络安全态势建模过程是由多个阶段组成的。在初始的预处理阶段，通过告警事件的规格化，将收到的所有安全事件转化为能够被数据处理模块理解的标准格式。这些告警事件可能来自不同的传感器，并且告警事件的格式各异，例如IDS的事件、防火墙日志、主机系统日志等。规格化的作用是将传感器事件的相关属性转换为一个统一的格式。我们针对不同的传感器提供不同的预处理组件，将特定传感器的信息转换为预定义的态势信息模型属性值。根据该模型，针对每个原始告警事件进行预处理，将其转换为标准的格式，各个属性域被赋予适当的值。在态势数据处理阶段，将规格化的传感器告警事件作为输入，并进行告警事件的精简、过滤和融合处理。其中，事件精简的目标是合并传感器检测到的相同攻击的一系列冗余事件。典型的例子就是在端口扫描中，IDS可能对各端口的每个扫描包产生检测事件，通过维护一定时间窗口内的事件流，对同一来源、同一目标主机的同类事件进行合并，以大大减少事件数量。事件过滤的目标是删除不满足约束要求的事件，这些约束要求是根据安全态势感知的需要以属性或者规则的形式存储在知识库中。例如，将关键属性空缺或不满足要求范围的事件除去，因为这些事件不具备态势分析的意义。另外，通过对事件进行简单的确认，可以区分成功攻击和无效攻击企图。在事件的过滤处理时，无效攻击企图并不被简单地丢弃，而是标记为无关事件，因为即使是无效攻击也代表着恶意企图，对最终的全局安全状态会产生某种影响。通过精简和过滤，重复的安全事件被合并，事件数量大大减少而抽象程度增加，同时其中蕴含的态势信息得到了保留。事件融合功能是基于D-S证据理论提供的，其通过将来自不同传感器的、经过预处理、精简和过滤的事件引入不同等级的置信度，融合多个属性对网络告警事件进行量化评判，从而有效降低安全告警事件的误报率和漏报率，并且可以为网络安全态势的分析、推理和生成提供支持。

2.网络安全态势生成

2.1知识发现的关联规则提取

用于知识发现的数据来源主要有两个：模拟攻击产生的安全告警事件集和历史安全告警事件集。知识发现就是在这样的告警事件集上发现和抽取出态势关联所需要的知识。由于安全报警事件的复杂性，这个过程难以完全依赖于人工来完成。可以通过知识发现的方法，针对安全告警事件集进行模式挖掘、模式分析和学习，以实现安全态势关联规则的提取。

2.2安全告警事件精简和过滤

通过实验观察发现，安全传感器的原始告警事件集中存在大量无意义的频繁模式，而且这些频繁模式大多是与系统正常访问或者配置问题相关的。如果直接在这样的原始入侵事件集上进行知识发现，必然产生很多无意义的知识。因此，需要以D-S证据理论为基础建立告警事件筛选机制，根据告警事件的置信度进行程序的统计分析。首先，利用程序自动统计各类安全事件的分布情况。然后，利用D-S证据理论，通过精简和过滤规则评判各类告警事件的重要性，来删除无意义的事件。

2.3安全态势关联规则提取

在知识发现过程中发现的知识，通过加入关联动作转化为安全态势的关联规则，用于网络安全态势的在线关联分析。首先，分析FP-Tree算法所挖掘的安全告警事件属性间的强关联规则，如果该规则所揭示的规律与某种正常访问相关，则将其加入删除动作，并转化成安全告警事件的过滤规则。接着，分析Winepi算法所挖掘的安全告警事件间的序列关系。如果这种序列关系与某种类型的攻击相关，形成攻击事件的组合规则，则增加新的安全攻击事件。最后，将形成的关联规则转化成形式化的规则编码，加入在线关联知识库。

3.网络安全态势生成算法

网络安全态势就是被监察的网络区域在一定时间窗口内遭受攻击的分布情况及其对安全目标的影响程度。网络安全态势信息与时间变化、空间分布均有关系，对于单个节点主要表现为攻击指数和资源影响度随时间的变化，对于整个网络区域则还表现为攻击焦点的分布变化。对于某一时刻网络安全态势的计算，必须考虑一个特定的评估时间窗口T，针对落在时间窗口内的所有事件进行风险值的计算和累加。随着时间的推移，一些告警事件逐渐移出窗口，而新的告警事件则进入窗口。告警事件发生的频度反映了安全威胁的程度。告警事件频发时，网络系统的风险值迅速地累积增加；而当告警事件不再频发时，风险值则逐渐地降低。首先，需要根据融合后的告警事件计算网络节点的风险等级。主要考虑以下因素：告警置信度c、告警严重等级s、资源影响度m。其中，告警可信度通过初始定义和融合计算后产生；告警严重等级被预先指定，包含在告警信息中；资源影响度则是指攻击事件对其目标的具体影响程度，不同攻击类别对不同资源造成的影响程度不同，与具体配置、承担的业务等有关。此外，还应考虑节点的安全防护等级Pn、告警恢复系数Rn等因素。

4.结束语

本文提出了一个基于知识发现的网络安全态势建模和生成框架。在该框架的基础上设计并实现了网络安全态势感知系统，系统支持网络安全态势的准确建模和高效生成。实验表明本系统具有统一的网络安全态势建模和生成框架；准确构建网络安全态势度量的形式模型；通过知识发现方法，有效简化告警事件库，挖掘频繁模式和序列模式并转化为态势关联规则。

参考文献：

网络安全事件定义第5篇

[关键词]分布式防火墙分布式入侵检测专家系统

一、现行贵州省图书馆数字化系统传统式防火墙设置的安全性改良

如今,数字化图书馆面对的网络攻击主要以网络协议自身的不安全性和操作系统、应用程序的bug或弱点这两种途径作为切入点,采用的形式越来越复杂。而网络攻击工具在网络上广为传播,人们可以很容易的利用这些工具对计算机网络系统造成破坏,造成严重损失。CSI/FBI Computer Crime and Security Survey调查结果显示,被调查组织由网络安全造成的经济损失逐年增加,网络安全形势日益严峻。在这种情况下,相应的网络安全措施也层出不穷,然而网络安全事件的数量和影响并没有因此而减少。其原因是:

(1)由于当今的网络安全产品往往基于单一的安全技术,产品之间缺乏协作能力,只能提供一定程度的安全保护;

(2)无法动态适应网络安全事件的动态变化特性。针对此,本文以分布式防火墙为基础,结合分布式入侵检测技术,提出一种新型的安全系统。

二、贵州省图书馆数字化系统的防火墙安全隐患

贵州省图书馆目前的防火墙设置方式为传统的边界式和主机防火墙相结合的模式。该模式作为一种成熟有效的安全技术,是解决网络安全问题的一个行之有效的方法,但是传统防火墙模式存在着先天缺陷。边界防火墙依赖于网络拓扑结构,形成网络流量瓶颈,只能提供粗粒度(gross granularity)的安全保护,且无法防御来自受保护网络的内部攻击;主机防火墙自身的处理能力往往十分有限,它的安全策略可以由主机使用者自行设置,这样作为一个组织或企业,无法对主机防火墙进行集中、有效的安全配置,来实现本组织的网络安全保护。

三、采用分布式防火墙解决问题

分布式防火墙(Distributed FireWall,DFW)基于传统防火墙技术,集中管理、分布防御,即集中制定安全策略、由分布于网络中的各个防火墙实施策略。DFW内外皆防,可以提供细粒度(fine granularity)的网络安全保护,已成为防火墙技术发展的一个重要方向。

分布式防火墙,可以分为狭义分布式防火墙和广义分布式防火墙两种。狭义DFW即是分布式的主机防火墙,安全策略的执行主体是主机防火墙。广义DFW是分布式的主机防火墙、边界防火墙。在集中的管理下,主机和边界防火墙均作为安全策略的执行主体。两种类型的DFW最大的差别就是是否使用边界防火墙作为执行主体。狭义DFW相较广义DFW,其长处是由于摈弃了边界防火墙,该体系结构完全不依赖于网络拓扑。然而,广义DFW在安全性和处理能力的综合性能上比狭义分布式防火墙具有更多的优点:

(1)广义DFW为网络用户提供了一个多层次的安全保护。广义DFW中的边界防火墙模块(简记为D-BFW)通常作用在受保护网络的边界,为受保护网络提供第一层基本的安全保护,可以对来自外部的大多数攻击进行防范;广义分布式防火墙中的主机防火墙模块(简记为D-HFW),则运行于受保护网络中需要进一步保护的主机和服务器或者网络外远程受保护主机上,提供更细粒度的安全保护。

(2)广义DFW中D-HFW的处理负荷相较狭义DFW大大减少。广义DFW中受保护网络的D-HFW只需要针对不同的要求,来处理已经被D-BFW过滤的网络数据。

(3)广义DFW中的D-BFW在过滤某种针对整个网络的攻击等方面更为有效,如拒绝服务攻击,碎片攻击等。

四、技术方案

1.建立协同工作的网络安全系统

网络安全问题是一个动态的过程。DFW自身仍然是一个静态防御系统,主要是完成访问控制功能,在入侵检测、动态实时获知安全状况方面的能力薄弱,也就难以动态的调整其安全策略以有针对性的采取措施进行防御,使安全损失达到最小。因此单一的DFW系统在网络防御上能力有限,必须结合其他的网络安全技术。

入侵检测系统(Intrusion Detection System,IDS)是动态发现系统,是为保障网络系统的安全而设计与配置的一种能够及时发现并报告网络中异常或未授权现象的系统。分布式入侵检测(Distributed Intrusion Detection System,DIDS)则是利用多个检测主体,采用多种检测方法,依靠分布于网络中的多个入侵数据来源,通过协同工作来实现检测。当前的网络入侵行为通常表现出相互协作入侵的特点,采用分布式入侵检测,利用多个检测主体协作,可以更全面的、更准确的检测入侵。然而,DIDS的防御能力有限,通常对检测到的入侵事件仅能提示、报警。由此可见,DFW与DIDS两种技术各有所长,可以把两者相结合形成一种新型的网络安全系统:

首先,DFW的分布式架构为DIDS提供了良好的平台。DFW自身的分布性,适合于将分布在网络各个受保护节点的防火墙与DIDS的各个检测主体共同整合在一起,进而可以使之协同工作。

其次,DFW为网络以及网络中各主机提供了一个多层次的防御体系,而且DFW可以过滤掉大量无用的数据,减少传递各个入侵检测主体的数据量,增强了入侵检测的检测能力。因此DIDS的实时检测结果可以动态的反映网络的安全状况,以此作为DFW安全策略的设置依据,以提升其机动性和实时反应能力。

2.基于DFW的安全系统

据上述,提出一种新型的网络安全系统。本系统主要由四个部件组成:分布式防火墙部件(DFW部件),分布式入侵检测部件(DIDS部件),信息综合部件,管理决策部件。其中DFW部件采用广义分布式防火墙的结构。DIDS部件的主机入侵检测模块(D-HIDS)与DFW部件的主机防火墙模块(D-HFW)在一个受保护主机中共同构成主机防御子系统;DIDS部件的网络入侵检测模块(D-NIDS)和DFW部件的边界防火墙模块(D-BFW)在一个受保护网络的边界,共同构成了边界防御子系统。信息综合部件与管理决策部件共存于系统服务器中。系统服务器集中管理各个分布在网络中的防御子系统。系统中DFW部件是该系统防御功能的主要实施者,DFW部件的D-HFW、D-BFW各模块接收并执行管理决策部件的安全策略,过滤网络数据。DIDS部件实时监控网络安全状况,它与管理决策部件、信息综合部件结合,采用了分层的结构。DIDS部件的D-NIDS、D-HIDS模块分布于网络中,其工作方式是:

首先彼此独立地检测入侵,将检测结果传送到系统服务器;而后由信息综合部件、管理决策部件对其检测结果进行进一步地综合处理。信息综合部件的功能作用,实际上是记录整个系统的日志数据、入侵告警数据、事务信息,并实施进一步的综合分析,从而可以发现DIDS部件各个模块自身无法独立发现的可能入侵(例如对多个主机的并行扫描);检测到入侵后,及时将入侵信息传送给管理决策部件,以对其进行响应。管理决策部件是整个网络防御系统的控制决策中心,是使系统各个部件协同工作、有机互动的关键。

管理决策部件有两个功能:

(1)系统安全管理员配置DFW、DIDS部件的各个模块的安全策略和规则,这一功能根据组织内部制定的安全政策,通过设置良好的管理员界面即可以实现,

(2)该部件针对DIDS部件和信息综合部件发送来的入侵告警信息,进行安全防御的响应决策。响应决策的任务包括:确定具体的响应执行模块;确定响应执行模块应当执行的响应动作;将响应动作转换为安全策略和规则的形式分发给响应执行模块。因此针对网络安全状况,实时、智能地调整系统其他各个部件的安全策略,是对这个部件的一个基本要求。对此,管理决策部件应用专家系统作为实施方案。

如图所示虚线框内部分是采用了专家系统的管理决策部件的结构图,其中知识库中存储的是关于入侵事件-响应对(Incident-esponse Parings)的知识。知识库中的知识可以预先通过系统提供的人机界面来手工设定,而后根据实际网络安全状况以及组织安全政策的变化,进行动态的刷新。事实库负责存储来自信息综合部件和DIDS部件的入侵事件,以及推理机推理生成的事件。推理机是该部件的核心,根据事实库中的入侵事件,利用知识库中的知识,进行推理,以确定对入侵事件的响应,再设置DIDS、DFW各部件的策略,及时防御入侵并追踪入侵源。这样,利用专家系统,结合动态更新的专家知识,不需人为介入,即可实现对检测到的入侵或攻击行为的自动响应。

五、分布式防火墙在图书馆数字化系统安全性中所能产生作用的展望

本文论述的安全系统,以分布式防火墙为基础,结合分布式入侵技术与专家系统,提供一个立体的防护体系,动态的适应不断变化的网络环境;在规模上,该系统采用分级管理的方法,能够容纳、处理图书馆数字化系统所面对的网络用户的需求。该系统一旦投入使用,将大大的提高图书馆数字化系统的安全性。

参考文献:

[1]Lawrence A, Martin P, William L, et al. CSI/FBI Computer Crime and Security Survey 2004[EB/OL]. http: // cybercrime. gov/CSI_FBI.htm, 2004-06-20.

[2]Bellovin S M. Distributed Firewalls[EB/OL]. research.省略/~smb/papers/distfw.pdf, 2004-06-25.

网络安全事件定义第6篇

提升网络安全保护水平

《中华人民共和国网络安全法》(以下简称《网络安全法》)已于2017年6月1日起施行。《网络安全法》明确了网络安全保护和监管的工作原则、管理体制和管理制度，为维护我国网络空间主权、国家安全和社会公共利益提供了有力的法律保障，为公安网安部门履行网络安全监管职责提供了有力的法律武器，为公安机关维护社会大局稳定、促进社会公平正义、保障人民群众安居乐业提供了有力的支持。公安机关尤其是公安网安部门必须深入学习《网络安全法》，主动应对其带来的各种变化，依法履行网络安全监管职能，大力推动《网络安全法》执法实践。本文从深入理解领会、把握职能定位和厘清竞合适用三个维度探讨公安机关如何贯彻落实《网络安全法》，重点解读《网络安全法》与相关网络安全管理法律、行政法规和规章在七项管理制度上的交叉理解和竞合适用问题。

深入理解领会

作为我国第一部网络安全的基础性法律，《网络安全法》贯穿了网络空间主权维护、网络安全与信息化发展并重、网络安全综合治理、网络安全重点保护四项原则，体现了我国对网络安全规律认识的逐步深化；规定了国家网信部门统筹协调，电信、公安依法履行安全保护和监督管理的管理体制，有助于进一步强化各部门的资源整合和行动协同；确立或重申了网络安全等级保护、网络产品和服务管理、网络实名、个人信息保护、网络信息和应用管理、关键信息基础设施保护(含国家安全审查、个人信息和重要数据境内存储)、监测预警和应急处置等七大制度，规定了执法协助、危害行为规制、责任追究等三大项行政立法的通用要求(见下图)；总体来看，《网络安全法》形成了网络自身保护与网络服务保护相结合，网络技术安全与内容安全相结合，网络生命周期管控与网络供应链条管控相结合，教育、查处和信用惩戒相结合的制度体系。

《网络安全法》的体系架构图

把握职能定位

在网络安全监督管理体制方面，《网络安全法》第八条规定国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。目前其他规定网络安全职责问题的“法律、行政法规”主要有《中华人民共和国警察法》、《互联网信息服务管理办法》、《中华人民共和国计算机信息系统安全保护条例》(以下简称《条例》)、《计算机信息网络国际联网安全保护管理办法》(以下简称《办法》)等。《中华人民共和国警察法》、《条例》和《办法》分别明确了公安机关的人民警察主管计算机信息系统安全监察工作、公安部主管全国计算机信息系统安全保护工作、公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。综上所述，国家网信部门是网络安全的统筹协调部门，而公安机关是网络安全的法定主管部门，因而《网络安全法》中，除了明确规定由公安机关负责的事项，对于未列明监管部门或者宽泛规定由“有关主管部门”负责的事项，公安机关均应承担监管职责。公安机关应准确把握职能定位，推动各级公安网安部门积极开展《网络安全法》的执法工作。

厘清竞合适用

《网络安全法》不少制度、条款、术语与其他网络安全管理相关法律、行政法规、规章存在交叉和不一致，网络安全等级保护、网络实名、个人信息保护、网络信息和应用软件管理、关键信息基础设施保护、执法协助、危害行为规制等七项管理制度须重点进行关联解读和适用理解。

1)网络安全等级保护

《网络安全法》第二十一条、第二十五条规定了等级保护目的在于“保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”，从管理制度、操作规程、安全负责人、防病毒、攻击、侵入、数据保护以及应急处置等方面强化网络安全等级保护义务，并明确了还需落实“法律、行政法规规定的其他义务”，违者根据第五十九条处罚。目前，明确对网络安全等级保护做出规定的行政法规有《条例》第九条“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”并在第二十条规定违反等级保护制度可以警告或者停机整顿的行政处罚。为落实《条例》，公安部会同国家保密局、国家密码管理局、国家信息化领导小组办公室于2007年出台了《信息安全等级保护管理办法》，规定了等级保护的定级、备案、建设、整改、测评等流程以及三级以上信息系统选用安全专用产品和测评机构的要求，在具体的安全管理制度和技术措施方面则指向了推荐性的行业标准。因此，违反《信息安全等级保护管理办法》关于流程方面的强制性规定，则违反了《条例》第九条，可以按照《条例》第二十条处罚。而根据《网络安全法》的规定，《条例》及《信息安全等级保护管理办法》规定的等级保护有关义务属于《网络安全法》第二十一条规定的“法律、行政法规规定的其他义务”，因此，应适用《网络安全法》第五十九条处罚。此外，还有《办法》中规定的安全义务，虽然未列明属于等级保护，但如其属于实体安全、运行安全、数据安全范畴，目的在于“保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”的，也应适用《网络安全法》第五十九条处罚。而根据《办法》制订的《互联网安全保护技术措施规定》(以下简称《规定》)规定的运行安全、数据安全义务，在处罚时应引用《办法》，将《规定》规定的细化要求视为《办法》中有关安全义务的解释，在此基础上运用《网络安全法》实施处罚。

2)网络实名

《网络安全法》第二十四条规定了“网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息、即时通讯等服务”等服务，“应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。”第六十一条规定了处罚。而《中华人民共和国反恐怖主义法》(以下简称《反恐法》)第二十一条规定，“电信、互联网、金融、住宿、长途客运、机动车租赁等业务经营者、服务提供者，应当对客户身份进行查验。对身份不明或者拒绝身份查验的，不得提供服务”，并在第八十六条规定了处罚。《规定》第八条、第九条、第十条则规定了接入服务、互联网数据中心服务单位和联网单位要记录并留存用户注册信息，开办电子公告服务的，具有用户注册信息和信息审计功能。综上所述，网络实名的完整要求包括了要求用户提供真实身份信息、真实身份信息的核验、对真实身份信息的留存、不提供则不服务四个方面，分别在《网络安全法》、《反恐法》、《规定》作了要求，对违反者应分别适用相应依据处罚。

3)个人信息保护

《网络安全法》第四十二条规定网络运营者“未经被收集者同意，不得向他人提供个人信息”，而第四十四条规定“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息”，相应的法律责任分别由第六十四条第一款和第二款作了规定，存在竞合之处，前者规定的是特殊主体“网络运营者”，后者是一般主体“任何个人和组织”。对网络运营者的违法行为应依照第六十四条第一款处罚，对其他主体(包括网络运营者内部员工的个人违法行为)则依据依照第六十四条第二款处罚。

4)网络信息和应用软件管理

《网络安全法》第四十七条规定，“网络运营者应当加强对其用户的信息的管理，发现法律、行政法规禁止或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告”。但在第六十八条第一款仅规定“违反本法第四十七条规定，对法律、行政法规禁止或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的”给予处罚，并将“向有关主管部门报告”纳入在内。而对违法信息未停止传输、采取消除等措施既包括了未“加强对用户的信息的管理”，还包括了“发现”违法信息但未采取措施。此外，《规定》中第九条、第十条明确了互联网信息服务、互联网数据中心服务提供者和联网单位要“在公共信息服务中发现、停止传输违法信息，并保留相关记录”，与《网络安全法》的规定竞合，应适用《网络安全法》。

另外，《网络安全法》第四十八条规定，“电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。”并在第六十八条第二款明确了法律责任，其适用对象是电子信息发送服务提供者(似乎指的是通信网络的短信息)和应用软件下载提供者，将安全义务、处置义务、报告义务全面纳入，适用的行为是发送信息及提供应用软件，而不仅仅是信息。

5)关键信息基础设施保护

《网络安全法》第三十八条规定，“除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务”，并在第五十九条第二款规定了处罚。因此，第三十八条对关键信息基础设施运营者的安全义务的规定包含了第三十八条的内容，关键信息基础设施的运营者不履行第三十八条的义务，应按照第五十九条第二款处罚。第三十八条规定“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”其“检测评估”与《信息安全等级保护管理办法》规定的“等级测评”存在交叉。由于关键信息基础设施保护是“在网络安全等级保护制度的基础上，实行重点保护”，因此，关键信息基础设施的等级测评仍应开展。

6)执法协助

《网络安全法》规定了情况报告机制、技术支持协助、配合监督检查、配合信息处置等执法协助义务，与《反恐法》、《条例》、《办法》存在复杂的竞合关系，须正确理解适用。

(1)情况报告。《网络安全法》第十四条、第二十二条、第二十五条、第四十二条、第四十七条、第四十八条规定了危害网络安全行为举报、网络产品和服务风险报告、网络安全事件报告、个人信息事件报告、违法信息报告、恶意程序报告等制度。第十四条规定，“任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报”。第二十二条规定网络产品、服务“发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”。第二十五条规定网络运营者“在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告”。第四十二条规定网络运营者“在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”。第四十七条规定网络运营者“发现法律、行政法规禁止或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告”。第四十八条规定电子信息发送服务提供者和应用软件下载服务提供者发现其用户发送的电子信息、提供的应用软件，设置恶意程序，或者含有法律、行政法规禁止或者传输的信息应“并向有关主管部门报告。”《网络安全法》第五十九条、第六十条、第六十四条、第六十八条规定违反网络产品和服务风险报告、网络安全事件报告、个人信息事件报告、电子信息发送服务提供者和应用软件下载服务提供者对违法信息和恶意程序的报告由有关主管部门处罚。而《条例》第十四条也规定“对计算机信息系统中发生的案件，有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告”，并在第二十条中规定了处罚。因此，对于违反《网络安全法》规定的网络产品和服务风险报告、网络安全事件报告、个人信息事件报告，以及电子信息发送服务提供者和应用软件下载服务提供者的恶意程序和违法信息报告等责任，未向公安机关履行报告义务的，公安机关可以根据《网络安全法》相关条款处罚，对于其他案件包括违法信息的报告，其法律责任仍适用《条例》第二十条。

(2)技术支持协助。《网络安全法》第二十八条规定“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助”，并在法律责任中规定了由有关主管部门处罚。该条系借鉴《反恐法》第十八条所作的规定。但未明确提到十八条规定的“接术接口和解密”。《反恐法》规定了由主管部门处罚，情节严重的并可以由公安机关处以行政拘留。而《办法》第八条则规定“从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为”，并规定了公安机关对拒不如实提供有关安全保护的信息、资料及数据文件行为的处罚。《规定》第十六条规定“互联网服务提供者依照本规定采取的互联网安全保护技术措施应当具有符合公共安全行业技术标准的联网接口”，并规定了违者适用《办法》予以处罚。具体适用上，如属于防范、调查恐怖活动的情形，适用《反恐法》，如属于其他维护国家安全和侦查犯罪的情形，适用《网络安全法》。如果不属于维护国家安全、侦查犯罪以及防范和调查恐怖活动的情形，未如实提供有关安全保护的信息、资料及数据文件，互联网服务提供者互联网安全保护技术措施未具有符合公共安全行业技术标准的联网接口，则适用《办法》。

(3)配合监督检查。《网络安全法》第六十九条规定了对“拒绝、阻碍有关部门依法实施的监督检查”的行为实施处罚。而《中华人民共和国治安管理处罚法》(以下简称《治安管理处罚法》)第五十条规定了对“阻碍人民警察依法执行职务”的处罚。因此，拒绝公安机关依法实施的网络安全监督检查的，根据《网络安全法》第六十九条第(二)项处罚。阻碍公安机关依法实施的网络安全监督检查的，对“单位”根据《网络安全法》第六十九条第(二)项处罚，对“其直接负责的主管人员和其他直接责任人员”依据《治安管理处罚法》第五十条予以处罚。

(4)配合信息处置。《网络安全法》第五十条规定，“国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。”并在第六十九条规定了处罚。而《办法》第十八条规定“公安机关计算机管理监察机构发现含有本办法第五条所列内容的地址、目录或者服务器时，应当通知有关单位关闭或者删除”。《反恐法》第十九条第二款规定“网信、电信、公安、国家安全等主管部门对含有恐怖主义、极端主义内容的信息，应当按照职责分工，及时责令有关单位停止传输、删除相关信息，或者关闭相关网站、关停相关服务。有关单位应当立即执行，并保存相关记录，协助进行调查。对互联网上跨境传输的含有恐怖主义、极端主义内容的信息，电信主管部门应当采取技术措施，阻断传播。”并在第八十四条规定了处罚。因此，不按照公安机关的要求对法律、行政法规禁止或者传输的信息，采取停止传输、消除等处置措施的，公安机关可以依照《网络安全法》第六十九条给予处罚。电信业务经营者、互联网服务提供者未落实安全、信息内容监督制度和安全技术防范措施，造成含有恐怖主义、极端主义内容的信息传播，由公安机关依照《反恐法》处罚。至于处置措施，除了停止传输、消除外，还可使用《反恐法》所提到的关闭相关网站、关停相关服务，还有《办法》提到的关闭地址、目录、服务器。

7)危害行为规制

《网络安全法》第二十七条规定了“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具”，并在第六十三条规定了违反第二十七条的行政处罚，其目的是与《刑法》第二百八十五条、第二百八十六条相衔接，但在细节上有所不同，在危害网络安全活动的程序、工具方面，《刑法》列明是“用于侵入、非法控制”。而《网络安全法》列明“用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动”，隐含了“非法控制”这一类。

网络安全事件定义第7篇

针对当前网络安全态势信息的共享、复用问题，建立一种基于本体的网络安全态势要素知识库模型，来解决无法统一的难题。利用网络安全态势要素知识的多源异构性，从分类和提取中建立由领域本体、应用本体和原子本体为组成的网络安全态势要素知识库模型，并通过具体态势场景来验证其有效性。

【关键词】

网络安全态势感知；本体；知识库；态势场景

现代网络环境的复杂化、多样化、异构化趋势，对于网络安全问题日益引起广泛关注。网络安全态势作为网络安全领域研究的重要难题，如何从网络入侵检测、网络威胁感知中来提升安全目标，防范病毒入侵，自有从网络威胁信息中进行协同操作，借助于网络安全态势感知领域的先进技术，实现对多源安全设备的信息融合。然而，面对网络安全态势问题，由于涉及到异构格式处理问题，而要建立这些要素信息的统一描述，迫切需要从网络安全态势要素知识库模型构建上，解决多源异构数据间的差异性，提升网络安全管理人员的防范有效性。

1网络安全态势要素知识库模型研究概述

对于知识库模型的研究，如基于XML的知识库模型，能够从语法规则上进行跨平台操作，具有较高的灵活性和延伸性；但因XML语言缺乏描述功能，对于语义丰富的网络安全态势要素知识库具有较大的技术限制；对于基于IDMEF的知识库模型，主要是通过对入侵检测的交互式访问来实现，但因针对IDS系统，无法实现多源异构系统的兼容性要求；对于基于一阶逻辑的知识库模型，虽然能够从知识推理上保持一致性和正确性，但由于推理繁复，对系统资源占用较大；基于本体的多源信息知识库模型，不仅能够实现对领域知识的一致性表达，还能够满足多源异构网络环境，实现对多种语义描述能力的逻辑推理。如AlirezaSadighian等人通过对上下文环境信息的本体报警来进行本体表达和存储警报信息，以降低IDS误报率；IgorKotenko等人利用安全指标本体分析方法，从拓扑指标、攻击指标、犯罪指标、代价指标、系统指标、漏洞攻击指标等方面，对安全细心及事件管理系统进行安全评估，并制定相应的安全策略；王前等人利用多维分类攻击模型，从逻辑关系和层次化结构上来构建攻击知识的描述、共享和复用；吴林锦等人借助于入侵知识库分类，从网络入侵知识库模型中建立领域本体、任务本体、应用本体和原子本体，能够实现对入侵知识的复用和共享。总的来看，对于基于本体的网络安全态势要素知识库模型的构建，主要是针对IDS警报，从反应网络安全状态上来进行感知，对各安全要素的概念定义较为模糊和抽象，在实际操作中缺乏实用性。

2网络安全态势要素的分类与提取

针对多源异构网络环境下的网络安全状态信息，在对各要素进行分类上，依据不同的数据来源、互补性、可靠性、实时性、冗余度等原则，主要分为网络环境、网络漏洞、网络攻击三类。对于网络环境，主要是构建网络安全态势的基础环境，如各类网络设备、网络主机、安全设备，以及构建网络安全的拓扑结构、进程和应用配置等内容；对于网络漏洞，是构成网络安全态势要素的核心，也是对各类网络系统中带来威胁的协议、代码、安全策略等内容；这些程序缺陷是诱发系统攻击、危害网络安全的重点。对于网络攻击，主要是利用各种攻击手段形成非法入侵、窃取网络信息、破坏网络环境的攻击对象，如攻击工具、攻击者、攻击属性等。在对网络环境进行安全要素提取中，并非是直接获取，而是基于相关的网络安全事件，从大量的网络安全事件中来提取态势要素。这些构成网络威胁的安全事件，往往被记录到网络系统的运行日志中，如原始事件、日志事件。

3构建基于本体的网络安全态势要素知识库模型

在构建网络安全态势要素知识库模型中，首先要明确本体概念。对于本体，主要是基于逻辑、语义丰富的形式化模型，用于描述某一领域的知识。其次，在构建方法选择上，利用本体的特异性，从本体的领域范围、抽象出领域的关键概念来作为类，并从类与实例的定义中来描述概念与个体之间的关系。如要明确定义类与类、实例与实例之间、类与实例之间的层次化关系；将网络安全态势要素知识进行分类，形成知识领域本体、应用本体和原子本体三个类别。

3.1态势要素知识领域本体

领域本体是构建网络安全态势要素知识库的最高本体，也是对领域内关系概念进行分类和定义的集合。如核心概念类、关键要素类等。从本研究中设置四个关键类，即Context表示网络环境、Attack表示网络攻击、Vulnerability表示网络漏洞、Event表示网络安全事件。在关系描述上设置五种关系，如isExploitedBy表示为被攻击者利用；hasVulnerability表示存在漏洞；happenIn表示安全事件发生在网络环境中；cause表示攻击引发的事件；is-a表示为子类关系。

3.2态势要素知识应用本体

对于领域本体内的应用本体，主要是表现为网络安全态势要素的构成及方式，在描述上分为四类：一是用于描述网络拓扑结构和网络配置状况；二是对网络漏洞、漏洞属性和利用方法进行描述；三是对攻击工具、攻击属性、安全状况、攻击结果的描述；四是对原始事件或日志事件的描述。

3.3态势要素知识原子本体

对于原子本体是可以直接运用的实例化说明，也最底层的本体。如各类应用本体、类、以及相互之间的关系等。利用形式化模型来构建基于本体的描述逻辑，以实现语义的精确描述。对于网络拓扑中的网络节点、网关，以及网络配置系统中的程序、服务、进程和用户等。这些原子本体都是进行逻辑描述的重点内容。如对于某一节点，可以拥有一个地址，属于某一网络。对于网络漏洞领域内的原子本体，主要有漏洞严重程度、结果类型、访问需求、情况；漏洞对象主要有代码漏洞、配置漏洞、协议漏洞；对漏洞的利用方法有邮箱、可移动存储介质、钓鱼等。以漏洞严重程度为例，可以设置为高、中、低三层次；对于访问需求可以分为远程访问、用户访问、本地访问；对于结果类型有破坏机密性、完整性、可用性和权限提升等。

3.4网络安全态势知识库模型的特点