走进新安全――读懂网络安全威胁、技术与新思想

本书从作者在网络安全产业研究中多年积累的实践经验出发，深入浅出地介绍网络安全领域的基础知识和发展现状。本书主要分为安全基础、安全建设和安全发展三部分，共9章，内容包括网络安全简史，网络威胁的形式与影响，网络安全常用的关键技术，现代网络安全观与方法论，网络安全体系的规划、建设与运营，网络安全实战攻防演习，网络安全人才培养，网络安全发展的热点方向，网络安全拓展阅读，以期帮助读者读懂网络安全威胁、技术与新思想。本书是一本面向企业管理人员和网络安全爱好者的网络安全科普读物，不涉及复杂的网络安全问题与技术细节，主要介绍网络安全相关现象、应用和特点。因此，读者无须具备通信、计算机或网络安全方面的专业知识，也可顺畅地阅读本书的大部分内容。

奇安信行业安全研究中心是奇安信集团专注于行业网络安全研究的机构，为交通、金融、医疗卫生、教育、能源等行业客户及监管机构提供专业的安全分析与研究服务。奇安信行业安全研究中心以安全大数据、全球威胁情报大数据为基础，结合前沿网络安全技术、国内外政策法规，以及两千余起网络安全应急响应事件的处置经验，全面展开行业级、领域级网络安全研究。奇安信行业安全研究中心自2016年成立以来，已累计发布各类专业研究报告一百余篇，共三百余万字，在勒索病毒、信息泄露、网站安全、APT攻击、应急响应、人才培养等多个领域的研究成果受到海内外网络安全从业者的高度关注。同时，奇安信行业安全研究中心还联合各专业团队出版了多部网络安全图书，为网络安全知识的深度传播做出贡献。

序

新一轮科技革命引发全球产业变革，网络安全产业正在翻开新的一页。

网络安全需求进入爆炸式增长期。《中华人民共和国网络安全法》《网络安全审查办法》等的出台，勒索病毒、APT攻击等威胁的增加，物理世界和网络世界边界的逐步消失，使越来越多的人关注网络安全。未来，不法分子对网络世界的攻击会直接对物理世界造成伤害，因此加大网络安全投入力度迫在眉睫。

网络安全场景进入多元化发展期。5G、大数据、云计算等技术的应用正在加速自动驾驶、健康医疗、工业互联网、智慧城市等新兴技术的落地。相比传统互联网，新应用场景的网络环境更为复杂，每个细分场景都会催生大量个性化安全防护需求，以保障不同业务场景的正常稳定运行。

网络安全技术进入升级换代核心期。以往的网络安全技术针对的是封闭的网络环境，采用的是在边界解决安全问题的思路。这种被动防御思维已经不适应新的安全形势。网络安全技术需要从注重边界的“金鸡独立”转向边界、终端和大数据的“三足鼎立”，终端和大数据的重要性甚至要超过边界。

在这样的趋势下，我们要用全新的视角来审视网络安全问题。奇安信集团从成立时起，就一直致力于成为网络安全产业的弄潮儿。针对不同时期的网络安全特点，判断网络安全最新趋势、研究解决之法，是所有奇安信人不懈的追求。

本书是奇安信行业安全研究中心撰写的网络安全科普读物。本书从网络安全产业的发展历程出发，详细分析了网络威胁的典型形式与影响，阐述了现代网络安全观和方法论及网络安全体系规划、建设与运营的整体方案。同时，本书还基于实战攻防演习、网络安全人才培养等全新视角，探讨了网络安全发展的热点方向。

网络安全领域的知识结构复杂、学术性强，但本书用通俗易懂的语言和生动巧妙的案例，对碎片化的网络安全知识进行了梳理。我们相信，读者无论从事什么行业，阅读完本书都会对网络安全有一个清晰的认知，并能掌握保障网络安全的基础理论和方法，产生新的感悟。

奇安信集团董事长 齐向东

前言

随着数字经济的发展，我们的生活方式与社会形态也在发生深刻改变。越来越多的信息化系统逐渐成为我们生产和生活的关键要素，网络安全工作的重要性愈发明显。

网络安全非常重要，且与我们每个人息息相关，但网络安全工作本身极具专业性和技术性，“外行人”难以理解，特别是企业和机构的网络安全建设，不仅与信息技术架构有关，而且与业务体系、生产方式及人的管理密切相关，是一个复杂的系统工程。

为了帮助更多的读者进入网络安全的世界，普及网络安全的基础知识，促进全民网络安全意识的提升，助力企业和机构持续加强网络安全建设，我们编写了本书。本书主要分为安全基础、安全建设和安全发展三部分，共9章，内容包括网络安全简史，网络威胁的形式与影响，网络安全常用的关键技术，现代网络安全观与方法论，网络安全体系的规划、建设与运营，网络安全实战攻防演习，网络安全人才培养，网络安全发展的热点方向，网络安全拓展阅读。

本书以奇安信集团网络安全产业研究的多年实践经验为基础，由一线网络安全专家共同创作完成。本书之所以强调“新安全”，主要是因为我们在介绍基础网络安全科普知识的同时，更多地聚焦了网络安全的新威胁、安全建设的新思想及政策法规的新实践，用发展的眼光看待新形势下的新问题，其中很多新威胁、新思想和新实践都是第一次以图书的形式提出的。本书是一本面向企业管理人员和网络安全爱好者的网络安全科普读物，不涉及复杂的网络安全问题与技术细节，主要介绍网络安全相关现象、应用和特点。因此，读者无须具备通信、计算机或网络安全方面的专业知识，也可顺畅地阅读本书的大部分内容。

由于编写时间有限，书中难免存在不足之处，殷切希望广大读者对本书提出宝贵意见和建议，这将有利于我们今后不断更新、完善本书内容。

奇安信行业安全研究中心

第1部分 安全基础
第1章 网络安全简史
1．1 威胁简史
1．1．1 萌芽时代
1．1．2 黑客时代
1．1．3 黑产时代
1．1．4 高级威胁时代
1．2 思想简史
1．2．1 网络安全认知范围的延展
1．2．2 网络安全建设思想的进步
1．3 技术简史
1．3．1 第一代：特征码查黑
1．3．2 第二代：云查杀 + 白名单
1．3．3 第三代：大数据 + 威胁情报
1．4 政策简史
1．4．1 20世纪90年代―2002年：探索和起步阶段
1．4．2 2003―2013年：深入和强化阶段
1．4．3 2014―2020年：统筹和加速阶段
第2章 网络威胁的形式与影响
2．1 网络威胁产生的环境
2．1．1 安全漏洞层出不穷
2．1．2 网络攻击场景多样化
2．1．3 安全建设基础薄弱
2．2 网络威胁产生的位置
2．2．1 来自外部的网络威胁
2．2．2 来自内部的网络威胁
2．2．3 来自供应链的网络威胁
2．3 网络威胁的典型形式
2．3．1 病毒和木马
2．3．2 勒索病毒
2．3．3 挂马
2．3．4 钓鱼网站
2．3．5 域名劫持
2．3．6 暴力破解
2．3．7 撞库攻击
2．3．8 网络诈骗
2．3．9 邮件攻击
2．3．10 网页篡改
2．3．11 DDoS攻击
2．3．12 APT攻击
2．4 网络威胁带来的影响
2．4．1 业务或系统中断
2．4．2 数据丢失或泄露
2．4．3 经济损失
2．4．4 企业声誉受损
2．4．5 威胁人身安全
2．4．6 破坏社会秩序
2．4．7 危害国家安全
第3章 网络安全常用的关键技术
3．1 终端安全
3．1．1 安全引擎技术
3．1．2 云查杀技术
3．1．3 白名单技术
3．1．4 沙箱技术
3．2 边界安全
3．2．1 防火墙
3．2．2 网闸
3．3 网络识别
3．3．1 网络资产识别
3．3．2 网络流量识别
3．3．3 身份识别
3．4 威胁检测
3．4．1 网络入侵检测
3．4．2 流量威胁检测
3．4．3 网络安全扫描
3．5 安全运营与监管
3．5．1 终端检测响应技术
3．5．2 网络检测响应技术
3．5．3 安全运营平台
3．5．4 态势感知平台
3．5．5 威胁情报
3．5．6 安全编排自动化与响应
3．6 其他重要网络安全技术
3．6．1 数据加密
3．6．2 蜜罐技术
3．6．3 日志审计
3．6．4 上网行为管理
3．6．5 灾备技术
3．6．6 DevSecOps
第2部分 安全建设
第4章 现代网络安全观与方法论
4．1 网络安全建设的前提假设
4．1．1 四大安全假设
4．1．2 两大失效定律
4．2 网络安全滑动标尺模型
4．2．1 架构安全
4．2．2 被动防御
4．2．3 积极防御
4．2．4 威胁情报
4．2．5 进攻反制
4．3 网络安全建设的三同步原则
4．4 网络安全的新思想
4．4．1 数据驱动安全
4．4．2 人是安全的尺度
4．4．3 内生安全
4．4．4 零信任
4．5 三位一体的安全能力
4．5．1 高位能力
4．5．2 中位能力
4．5．3 低位能力
第5章 网络安全体系的规划、建设与运营
5．1 网络安全体系的规划
5．1．1 认识网络安全体系规划
5．1．2 网络安全体系规划的目的
5．1．3 网络安全体系规划的阶段
5．1．4 网络安全体系规划的注意事项
5．2 网络安全体系的建设
5．2．1 网络安全体系的建设思想
5．2．2 网络安全体系的建设方法
5．3 网络安全体系的运营
5．3．1 常态化的网络安全体系运营
5．3．2 建立网络安全应急处置机制
5．4 新一代企业网络安全体系框架
5．4．1 简介
5．4．2 十大工程
5．4．3 五大任务
第6章 网络安全实战攻防演习
6．1 红队视角下的防御体系突破
6．1．1 红队：攻击方
6．1．2 攻击的三个阶段
6．1．3 常用的攻击战术
6．1．4 经典攻击案例
6．1．5 红队眼中的防守弱点
6．2 蓝队视角下的防御体系构建
6．2．1 蓝队：防守方
6．2．2 防守的三个阶段
6．2．3 应对攻击的常用策略
6．2．4 建立实战化的安全体系
6．3 紫队视角下的实战攻防演习组织
6．3．1 紫队：组织方
6．3．2 实战攻防演习组织的四个阶段
6．3．3 实战攻防演习风险规避措施
第3部分 安全发展
第7章 网络安全人才培养
7．1 国际网络安全人才培养现状
7．1．1 美国网络安全人才队伍建设
7．1．2 其他国家和地区网络安全人才队伍建设
7．1．3 国际网络安全认证体系
7．2 我国网络安全人才培养的现状与问题
7．2．1 我国高度重视网络安全人才
7．2．2 我国网络安全人才缺口大
7．2．3 职业教育发展迅速
7．2．4 学历教育应更加关注产业界需求
7．3 网络安全人才培养模式的探索与创新
7．3．1 高校与安全企业联合培养，深化产教融合
7．3．2 建设网络安全人才培养基地
7．3．3 职业培训与技能认证体系
7．3．4 网络安全竞赛促进专项人才选拔培养
第8章 网络安全发展的热点方向
8．1 零信任架构
8．1．1 零信任架构出现的必然性
8．1．2 零信任架构的核心能力
8．1．3 零信任架构的核心逻辑架构
8．1．4 零信任架构的内生安全机制
8．1．5 小结
8．2 云安全
8．2．1 云计算带来的安全风险
8．2．2 云安全的概念与分类
8．2．3 云安全威胁
8．2．4 云安全威胁的防御与治理
8．3 数据安全
8．3．1 数据安全的重要性
8．3．2 数据安全面临的挑战
8．3．3 数据安全的防护方法
8．4 工业互联网安全
8．4．1 工业互联网安全及其重要性
8．4．2 工业互联网安全的显著特征
8．4．3 工业互联网安全的当前形势
8．4．4 工业互联网的安全框架及防护对象
8．5 5G安全
8．5．1 聚焦5G内生安全需求
8．5．2 构建5G安全新防线
8．6 远程办公安全
8．6．1 国内远程办公热度增加
8．6．2 远程办公普及或致网络安全威胁激增
8．6．3 远程办公常态化趋势下的安全思考
第9章 网络安全拓展阅读
9．1 安全引擎技术的升级换代
9．2 安全漏洞是如何被发现的
9．3 企业网络安全意识管理的要点
9．4 怎样设置一个安全的口令
9．5 人脸识别技术的安全新挑战
附录A 网络安全分析研究机构
附录B 网络安全国际会议