网络安全威胁情报分析精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全威胁情报分析主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全威胁情报分析范文

信息技术的飞速发展，带动了互联网的普及，而伴随着互联网开发性和便捷性的日渐凸显，网络安全问题也随之产生，并且迅速成为社会发展中一个热门话题，受到了越来越多的重视。自2010年Google公司受到黑客攻击后，APT攻击成为网络安全防御的主要对象之一。文章对APT攻击的概念和特点进行了讨论，结合其攻击原理研究了对于网络安全防御的冲击，并提出了切实可行的应对措施。

关键词：

APT攻击；网络安全防御；冲击；应对

前言

在科学技术迅猛发展的带动下，网络信息技术在人们的日常生活中得到了越发广泛的应用，如网络银行、网上购物等，在潜移默化中改变着人们的生活方式。但是，网络本身的开放性为一些不法分子提供的便利，一些比较敏感的数据信息可能会被其窃取和利用，给人们带来损失。在这种情况下，网络安全问题受到了人们的广泛关注。

1APT攻击的概念和特点

APT，全称AdvancedPersistentThreat，高级持续性威胁，这是信息网络背景下的一种新的攻击方式，属于特定类型攻击，具有组织性、针对性、长期性的特性，其攻击持续的时间甚至可以长达数年。之所以会持续如此之久，主要是由于其前两个特性决定的，攻击者有组织的对某个特定目标进行攻击，不断尝试各种攻击手段，在渗透到目标内部网络后，会长期蛰伏，进行信息的收集。APT攻击与常规的攻击方式相比，在原理上更加高级，技术水平更高，在发动攻击前，会针对被攻击对象的目标系统和业务流程进行收集，对其信息系统和应用程序中存在的漏洞进行主动挖掘，然后利用漏洞组件攻击网络，开展攻击行为[1]。APT攻击具有几个非常显著的特点，一是潜伏性，在攻破网络安全防御后，可能会在用户环境中潜伏较长的时间，对信息进行持续收集，直到找出重要的数据。基本上APT攻击的目标并非短期内获利，而是希望将被控主机作为跳板，进行持续搜索，其实际应该算是一种“恶意商业间谍威胁”；二是持续性，APT攻击的潜伏时间可以长达数年之久，在攻击爆发前，管理人员很难察觉；三是指向性，即对于特定攻击目标的锁定，开展有计划、组织的情报窃取行为。

2APT攻击对于网络安全防御的冲击

相比较其他攻击方式，APT攻击对于网络安全防御系统的冲击是非常巨大的，一般的攻击都可以被安全防御系统拦截，但是就目前统计分析结果，在许多单位，即使已经部署了完善的纵深安全防御体系，设置了针对单个安全威胁的安全设备，并且通过管理平台，实现了对于各种安全设备的整合，安全防御体系覆盖了事前、事中和事后的各个阶段，想要完全抵御APT攻击却仍然是力有不逮。由此可见，APT攻击对于网络安全防御的影响和威胁不容忽视[2]。就APT攻击的特点和原理进行分析，其攻击方式一般包括几种：一是社交欺骗，通过收集目标成员的兴趣爱好、社会关系等，设下圈套，发送几可乱真的社交信函等，诱骗目标人员访问恶意网站或者下载病毒文件，实现攻击代码的有效渗透；二是漏洞供给，在各类软禁系统和信息系统中，都必然会存在漏洞，APT攻击为了能够实现在目标网络中的潜伏和隐蔽传播，通常都是借助漏洞，提升供给代码的权限，比较常见的包括火焰病毒、震网病毒、ZeroAccess等；三是情报分析，为了能够更加准确的获取目标对象的信息，保证攻击效果，APT攻击人员往往会利用社交网站、论坛、聊天室等，对目标对象的相关信息进行收集，设置针对性的攻击计划。APT攻击对于信息安全的威胁是显而易见的，需要相关部门高度重视，做出积极应对，强化APT攻击防范，保护重要数据的安全。

3APT攻击的有效应对

3.1强化安全意识

在防范APT攻击的过程中，人员是核心也是关键，因此，在构建网络安全防护体系的过程中，应该考虑人员因素，强化人员的安全防范意识。从APT攻击的具体方式可知，在很多时候都是利用人的心理弱点，通过欺骗的方式进行攻击渗透。对此，应该针对人员本身的缺陷进行弥补，通过相应的安全培训，提升其安全保密意识和警惕性，确保人员能够针对APT攻击进行准确鉴别，加强对于自身的安全防护。对于信息系统运维管理人员而言，还应该强化对于安全保密制度及规范的执行力，杜绝违规行为。另外，应该提升安全管理工作的效率，尽可能减低安全管理给正常业务带来的负面影响，引入先进的信息化技术，对管理模式进行改进和创新，提升安全管理工作的针对性和有效性。

3.2填补系统漏洞

在软件系统的设计中，缺陷的存在难以避免，而不同的系统在实现互连互操作时，由于管理策略、配置等的不一致，同样会产生关联漏洞，影响系统的安全性。因此，从防范APT攻击的角度分析，应该尽量对系统中存在的漏洞进行填补。一是应该强化对于项目的测试以及源代码的分析，构建完善的源代码测试分析机制，开发出相应的漏洞测试工具；二是应该尽量选择具备自主知识产权的设备和系统，尽量避免漏洞和预置后门；三是对于一些通用的商业软件，必须强化对恶意代码和漏洞的动态监测，确保基础设施以及关键性的应用服务系统自主开发[3]。

3.3落实身份认证

在网络环境下，用户之间的信息交互一般都需要进行身份认证，这个工作通常由本地计算环境中的相关程序完成，换言之，用户身份的认证实际上是程序之间的相互认证，如果程序本身的真实性和完整性没有得到验证，则无法对作为程序运行载体的硬件设备进行验证，从而导致漏洞的存在，攻击者可能冒充用户身份进行攻击。针对这个问题，应该对现有的身份认证体系进行完善，构建以硬件可信根为基础的软硬件系统认证体系，保证用户的真实可信，然后才能进行用户之间的身份认证。

3.4构建防御机制

应该针对APT攻击的特点，构建预应力安全防御机制，以安全策略为核心，结合可信计算技术以及高可信软硬件技术，提升网络系统对于攻击的抵御能力，然后通过风险评估，分析系统中存在的不足，采取针对性的应对措施，提升安全风险管理能力。具体来讲，一是应该将数据安全分析、漏洞分析、恶意代码分析等进行整合，统一管理；二是应该构建生态环境库，对各种信息进行记录，为安全分析提供数据支撑；三是应该完善取证系统，为违规事件的分析和追查奠定良好的基础[4]。

4结束语

总而言之，作为一种新的攻击方式，APT攻击对于网络安全的威胁巨大，而且其本身的特性使得管理人员难以及时发现，一旦爆发，可能给被攻击目标造成难以估量的损失。因此，应该加强对于APT攻击的分析，采取切实有效的措施进行应对，尽可能保障网络系统运行的稳定性和安全性。

作者：李杰 单位：九江职业大学

参考文献

[1]陈伟，赵韶华.APT攻击威胁网络安全的全面解析与防御探讨[J].信息化建设，2015（11）：101.

[2]王宇，韩伟杰.APT攻击特征分析与对策研究[J].保密科学技术，2013（12）：32-43.

第2篇：网络安全威胁情报分析范文

[关键词]虚拟企业　分布式竞争情报系统　竞争情报系统

[分类号]G352 G203

1　虚拟企业和竞争情报系统

1.1　虚拟企业概述

1.1.1 虚拟企业的定义及特点 到目前为止，虚拟企业尚没有统一的定义。理论界通常从组织形式、运行技术、运作方式三个角度来定义虚拟企业。虚拟企业指由两个或两个以上的成员公司组成的一种有时限的、暂时的、非固定的且相互依赖、信任、合作的组织，以便以最少的投资、最快的速度(或最短的反应时间)对市场机遇做出反应。为了共同的利益，每个成员只做自己的专长工作，成员之间是平等合作的伙伴关系，实行知识产权、技能和信息等资源的有偿共享。一旦产品或项目生命周期结束，则虚拟企业自动解散或重新开始新一轮的动态组合过程。

与传统企业相比，虚拟企业具有其独特的特点：①暂时性和动态性；②成员能力独特性及互补性；③企业形式虚拟性和成员经营实体性；④相互信任及合作竞争。

1.1.2　虚拟企业的构建模式及运行机制 虚拟企业包括核心层(核心企业)和层(企业)两层结构框架如图1所示：

按照核心成员的数量与成员间的关系，虚拟企业的组织模式可分为联邦模式、星型模式和平行模式三种。

联邦模式由若干骨干企业构成核心层，以项目产品或市场机遇为中心选择合作伙伴，形成层；星型模式又称有盟主的虚拟企业组织模式，它与联邦模式的不同在于核心层只有一个企业盟主，其他合作伙伴则组成层；平行模式不存在盟主，没有核心层和层的区别，所有成员完全平等。现实中，联邦模式是最具一般意义的虚拟企业组织形式，它通过一个或几个核心企业建立一个共同的协调指挥委员会(AllianceSteering Committee，ASC)或类似机构来负责整个虚拟企业的构建、协调、决策等事宜。

虚拟企业运行的基础平台在很大程度上影响着虚拟企业的运作和管理。目前研究认为，支持虚拟企业运行的基础平台包括知识／技能网络平台、信息网络平台、物流网络平台、动态合同网络平台和文化信任平台。此外，运行机制的建立也至关重要，其中包括合作信任机制、沟通协调机制、决策监控机制、激励约束机制和利益分配机制。

1.1.3 虚拟企业的信息需求及知识管理 虚拟企业的信息需求大致分为技术信息、市场信息、竞争情报三类。虚拟企业在运作中，通过识别、搜集、组织、共享、学习、应用、创新等循环过程产生大量高价值的知识。虚拟企业也应充分发掘知识的价值。一个可靠稳定的技术保障、良好的沟通手段和学习氛围才有助于虚拟企业高效地管理知识。虚拟企业信息需求和知识管理结构图如图2所示：

1.2　竞争情报系统

1.2.1 竞争情报系统的定义及特点 中国科学技术情报学会竞争情报分会名誉理事长包昌火研究员指出：竞争情报系统是以人的智能为主导、信息网络为手段、增强企业竞争力为目标的人机结合的竞争战略决策支持和咨询系统，是企业信息化的重要构成。竞争情报系统具有管理系统、信息系统、开放系统、战略系统等方面的特点。

1.2.2 竞争情报系统的构建模式 常见的竞争情报系统构建模式包括分散式、集中式、重点式和独立式等。分散式竞争情报系统按照企业现有的职能部门和结构所建立；集中式将企业内外部的信息收集、处理和分析等工作均交给一个情报中心统一完成；重点式是将接触情报最频繁的重点职能部门作为竞争情报系统的核心而建立的一种竞争情报系统模式；独立式指设立一个独立经营、自负盈亏的竞争情报部门来进行满足企业情报需求的工作。企业应根据自身的信息需求和特点来决定采用何种模式。

1.2.3 企业竞争情报系统的基本功能 企业竞争情报系统是企业感知外部环境变化的预警系统，能帮助企业及时获得宏观环境下的变化信息，及早发现企业面临的威胁和机遇；能对市场作出早期预警，严密关注竞争对手动态信息，紧跟技术发展步伐，以便于企业指定战略决策和调整经营方针。

1.3　竞争情报系统对于虚拟企业的重要意义

虚拟企业把不同地域的现有资源迅速组合成一种超越空间约束、依靠信息技术联系并统一指挥的经营实体，并通过信息的快速集成管理，发挥信息的整体效力，从而以最快的速度推出高质量、低成本、多样化的新产品，从而获取企业的竞争优势。

竞争情报系统成为虚拟企业实现信息快速集成的良好平台，有利于虚拟企业实现信息集成；有利于虚拟企业成员间良好的沟通，建立互信的友好氛围；有利于虚拟企业整合资源，迎接全球化竞争。

2　基于虚拟企业的分布式竞争情报系统

2.1　分布式竞争情报系统

虚拟企业各结盟企业具有地理上的分散性、职能自主性和充分的自治性的特点，使得虚拟企业的竞争情报系统必须是分布的、可重构的、可重用的、可扩充的，能快速地集成信息，因此提出分布式竞争情报系统的构建。

基于虚拟企业的分布式竞争情报系统并非一个完全独立的竞争情报系统，其每一个功能模块都由对应合作伙伴的竞争情报系统来实现，各个模块通过组合和协调，形成物理上分布、逻辑上集中、功能完整、统一协调的虚拟企业分布式竞争情报系统。同时，各合作伙伴的竞争情报系统仍能独立运行，为企业自身提供竞争情报支持。分布式竞争情报系统的运行模式见图3。

2.2　分布式竞争情报系统的特点

分布式竞争情报系统与传统竞争情报系统有显著的区别，其特点如下：①分布性。分布式竞争情报系统在物理上是分布的，逻辑上是集中的。②可重构性。虚拟企业成员是流动的、动态变化的，这要求分布式竞争情报系统具有动态的快速可重构性能。③可扩充性。虚拟企业成员数量是不确定的，可扩充性保证了新成员融入虚拟企业集成信息环境中。④独立性。各成员的竞争情报系统自身是相对独立的，可独立运行。⑤动态性和开放性。各企业竞争情报系统之间应能进行动态的信息交换和资源共享。⑥安全性。虚拟企业各成员应更加注重核心资源的保密工作，应采用各种管理和技术上的措施，确保核心机密不被泄露。

2.3　基于虚拟企业的分布式竞争情报系统的功能

分布式竞争情报系统对虚拟企业的运行主要有以下功能：①快速获取各领域的核心竞争信息，传统企业不可能在收集信息时做到面面俱到，基于虚拟企业的分布性竞争情报系统使得企业全方位地获取各领域的信息成为可能；②利用先进的信息平台快速集成信息，

分布式竞争情报系统为快速、高效的整合信息资源提供便利，提高了虚拟企业的反应速度，减少了反应时间，增强了虚拟企业的市场竞争力；③各成员之间可进行信息交流与资源共享，以增强虚拟企业互信的合作氛围，合作打造更为牢固的基础。

3　基于虚拟企业的分布式竞争情报系统构建策略

3.1　构建原则

构建基于虚拟企业的分布式竞争情报系统，除建设竞争情报系统的基本原则(针对性、经济性、客观性)外，还应遵循以下特殊原则：①信息一致性。基于虚拟企业的分布式竞争情报系统应保证信息从一种状态向另一种状态转换时整个系统中信息保持一致。信息一致性不仅包括信息内容的一致性，还包括信息交流共享方式的一致性，以便于信息共享。②平台交互性。虚拟企业各成员在构建各自的竞争情报系统时所使用的设计方法和技术往往具有很大的差异性，为了满足各成员间的数据交换和信息共享，虚拟企业分布式竞争情报系统必须满足各成员系统异构平台的交互需求。③信息安全性。由于各成员的竞争情报系统中拥有本企业的机密信息和数据，在各成员系统互连条件下，信息必然存在着泄露的巨大风险，基于虚拟企业的分布式竞争情报系统在信息交换和共享过程中，不仅要采用防火墙、存取控制、入侵检测系统等技术保证信息安全，还要建立严格有效的安全管理制度。

3.2　成员企业竞争情报系统构建

3.2.1 成员企业竞争情报系统构建模式选择　虚拟企业各成员常常在某一职能领域内(如生产、研发、设计、营销等)拥有核心能力，那么企业在核心职能领域方面必然拥有大量高价值的信息和知识。同时，此领域也必定是企业最关注、需求最迫切的信息源。由于各企业是依靠自身的核心能力加入虚拟企业的，其核心能力必定是优先共享的资源，处于整个虚拟企业竞争力的关键环节。正因为虚拟企业核心能力的分散性，虚拟企业的成员在构建自身的竞争情报系统时宜使用重点式模式，在涉及企业竞争优势的部门构建竞争情报系统，以突出企业优势，便于融入虚拟企业实现核心竞争力和信息能力的集成。成员企业竞争情报系统集中式模式如图4所示：

3.2.2　成员企业竞争情报系统构建平台的标准化虚拟企业要实现成员间及时高效的信息交流和共享，其信息平台应该是开放的、标准的或通用的通信协议和信息描述方法，以便实现信息共享。应用标准的分布式对象技术，集成异构的和分布的过程、数据和计算环境，以便各成员能够在不同的数据结构、过程及计算环境中进行协作。常用的标准化技术有：①XML(Extensible Marku PLanguage，可扩展标记语言)，基于XML的SOAP(简单对象访问协议)可以使互联网上的各应用软件进行互操作，基于XML的WSDL(WEB服务描述语言)和UDDI(通用描述、发现和集成规范)可以使不同企业能以标准方式描述自己提供的服务和查询其他企业提供的服务。②分布式对象(组件)技术，组件可以在位置透明、语言独立和平立的情况下互相发送消息，实现请求服务；目前主要的分布式互操作标准有Microsoft的OLE／COM／DCOM标准、SUN公司的Java RMI标准和OMG组织的CORBA标准。常用的分布式对象技术应用框架包括SUN公司的J2EE平台和Microsoft公司的.NET平台。③Web服务，Web服务为程序到程序的交互提供支持，Web服务相关的技术标准包括SOAP、WSDL、UDDI。④中间件，中间件支持分布计算，提供跨网络、跨硬件和跨操作系统平台的透明性的应用或服务交互，支持标准的协议，互操作性强，可移植性好。中间件已成为许多标准化工作的主要部件。

3.2.3 成员企业竞争情报系统构建平台的安全性虚拟企业在利用分布式竞争情报系统实现信息资源整合和共享时，也产生了各企业成员核心机密泄露的巨大风险。保证信息的安全，通常要从人和技术两个角度采取措施：首先要制定严格的安全管理防范制度，并彻底贯彻执行；技术上应实施网络安全防范措施来确保网络物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输等(见图5)。可以采用虚拟局域网(VLAN)技术、防火墙技术、入侵检测技术和病毒防范技术等。同时，还可采用虚拟专用网(VPN)、数字认证、PKI／CA等信息技术保证网络环境下的商务信息安全，确保企业间各种信息交流共享和商业活动的顺利进行。

3.3　基于虚拟企业的分布式竞争情报系统构建

3.3.1 虚拟企业分布式竞争情报系统模式选择　虚拟企业各成员对应于其运作的各关键职能部门，运作效率和信息沟通成为虚拟企业稳定运作的基本保证。因此，在构建虚拟企业的分布式竞争情报系统时宜使用分散式模式，按照各企业所拥有的核心竞争力领域(如设计、研发、制造、营销等)来建立。各成员企业的竞争情报系统负责收集本职能领域的情报信息，同时又使虚拟企业运作中需要的有关本企业核心能力方面的竞争情报在分布式竞争情报系统中得以交流和共享，给予虚拟企业决策支持。基于分散模式的分布式竞争情报系统模式如图6所示：

3.3.2　基于虚拟企业的分布式竞争情报系统的框架

基于虚拟企业的分布式竞争情报系统是在成员企业自身的竞争情报系统基础上构建的，分布式竞争情报系统的各功能子模块就是各合作伙伴独立的竞争情报系统。由于各企业的竞争情报系统在物理上是相互独立的，所以它们具有竞争情报系统的一般框架结构。但虚拟企业的分布性、不确定性、敏捷性等特征决定了其分布式竞争情报系统还具有独特的框架结构：

・网络平台。分布式竞争情报系统的网络平台具有分布性、范围广、异构性、复杂性等特点。虚拟企业各成员通常分布广泛，各成员通过Internet实现互连，此外，不同企业的网络构架和平台也不尽相同，这就增加了系统信息集成的复杂性。

・ASC(协调指挥委员会)。由于虚拟企业组建的分布性及动态性，没有必要专门成立一个专职的虚拟企业情报中心，完全可以由ASC或在ASC中设置专人或小组负责。ASC在虚拟企业中的角色应该是虚拟企业的协调员、激励者、监督者、决策者及信息处理中心。此外，虚拟企业的分布式竞争情报系统的三个子功能(收集、分析、服务)，一般由组成ASC的核心企业竞争情报系统承担，各层企业将涉及自身核心能力领域的情报信息通过网络传送至核心层企业竞争情报收集子系统，核心层企业将收集来的各个领域的关键信息进行分析处理，产生有价值的竞争情报予以在成员间共享，及时有效为虚拟企业的运行提供决策支持和竞争情报服务。同时，由于虚拟企业信息的共享性，其他合作伙伴也可将各成员共享的情报信息为己所用，使用各自的竞争情报分析和服务子系统为本企业服务。分布式竞争情报系统扩大了情报收集来源，增强了情报信息的准确性，具有更大的市场价值，如图7所示：

・网络安全模块。传统的竞争情报系统所面临的外部攻击或威胁相对较少。分布式竞争情报系统由于直接连入因特网，各成员竞争情报系统面临着内外双重的安全威胁。因此各合作伙伴需要为其竞争情报系统构建有效的安全模块，以确保企业内部核心机密信息的安全。

・开放的接口。系统需要有标准的、开放的接口，以便新成员的随时加入。

3.3.3 基于虚拟企业的分布式竞争情报系统运作机制　各成员本身的竞争情报系统可以单独为本企业提供信息支持，单独完成企业本身需要的信息项目，也可以与虚拟企业其他成员合作完成共同的项目，提供信息支持。各企业成员之间通过标准化的、开放的通信协议和技术，实现各成员间信息无缝的交流与传递，为各企业的信息资源共享提供坚实的基础，为虚拟企业的运行提供全面有效的情报支持。

3.4　基于虚拟企业的分布式竞争情报系统的相关支撑技术

基于虚拟企业的分布式竞争情报系统会随着虚拟企业的组建而组建、分解而分解、动态演化。可演化软件系统的支撑技术主要包括：①面向服务的构架(SOA)，SOA是目前最具有能够满足系统的动态演化要求的柔性和松耦合特征的体系结构；②工作流管理技术，工作流管理技术作为现代企业实现过程管理与过程控制的一项关键技术，为企业的经营过程提供了一个从模型建立、管理到运行、分析的完整框架；③计算机协同工作，虚拟企业各成员之间建立了广泛的相互协作关系，为共同目标贡献本企业的力量，各企业的竞争情报系统也应具有广泛协作功能。