相关典型案例及网络攻防技术演示20140430

典型案例及网络攻防技术演示黄遵国副研究员国防科大计算机学院2目录棱镜风波手机泄密问题简短的结论三五二网络破坏问题四信息安全管窥一一、信息安全管窥2020年2月13日星期四关于信息安全的基本属性•机密性（Confidentiality）：反映了信息与信息系统的不可被非授权者所利用•真实性（Authentication）：反映了信息与信息系统的行为不被伪造、篡改、冒充•可控性（controllability）：反映了信息的流动与信息系统可被控制者所监控•可用性（Availability）：反映了信息与信息系统可被授权者所正常使用4信息安全的基本属性视点5机密性（Cf）真实性（Au）可控性（Ct）可用性（Av）信息安全四要素：CACA关于信息安全的两个主要视点6管理/人员安全数据/信息安全运行安全实体/物理安全信息安全分层结构面向应用的信息安全框架信息安全金三角（CIA）面向属性的信息安全框架机密性(Confidentiality)完整性可用性（Integrity）(Availability)信息网络安全技术物理安全技术：•设备安全•能源安全•环境安全•电磁安全•人员安全•介质安全2020年2月13日星期四7运行安全技术(APPDRR)安全分析（A）:信息网络安全分析技术•网络安全协议分析技术;•系统安全漏洞扫描技术;•网络与系统安全测试技术;•网络与系统安全风险评估技术策略（P）:•网络与系统安全策略;•信息系统安全等级保护技术;•网络安全模型技术;•网络与系统安全指标体系2020年2月13日星期四8运行安全技术（续）防护（P）:•网络与系统防护技术;•网络安全管理技术;•网络安全隔离技术;•统一威胁防范（UTM）技术;•入侵防护系统（IPS）技术;•网络安全主动防御技术;•网络防火墙技术;•可信计算平台技术2020年2月13日星期四9运行安全技术（续）检测（D）:•入侵检测（IDS）技术；•网络监控（NDS）技术;•恶意代码检测技术;•主机监控（HDS）技术;•蜜罐/蜜网/蜜猴技术;•网络安全态势感知技术2020年2月13日星期四10运行安全技术（续）响应（R）:•网络安全应急响应技术;•网络安全审计技术;•网络取证技术;•网络攻击阻断技术;•网络攻击清洗技术;•IP地址溯源技术;•网络与系统容侵技术;•网络攻击躲避技术2020年2月13日星期四11运行安全技术（续）恢复（R）：•网络安全恢复技术;•网络与系统可生存技术;•数据备份技术;•网络与系统降级技术;•网络与系统可靠性技术2020年2月13日星期四12数据安全技术防窃密：•密码技术;•对称密钥加密技术;•公钥加密技术防篡改：•数据完整性技术防抵赖：•数字签名技术防伪造：•身份认证技术2020年2月13日星期四13内容安全技术信息过滤技术舆情分析技术信息隐藏技术数字水印技术2020年2月13日星期四14信息系统安全工程•安全生命周期过程•安全与功能权衡技术•风险评估技术•信息安全保证技术2020年2月13日星期四15信息安全的技术层次视点16系统安全信息安全层次结构层面模型系统安全物理安全系统安全运行安全信息安全数据安全信息安全内容安全信息对抗信息内容对抗信息自身方面的安全信息对抗信息利用方面的安全信息的隐藏与发现信息的干绕与提取关于信息利用的安全•指对信息有效内容真实性的隐藏、保护与分析。主要涉及信息有效内容的机密性、完整性等•所涉及的主要技术：–数据挖掘技术：发现信息–隐写技术、水印技术：保护信息–即时通、MSN等协议的分析技术：对特定协议的理解，–VoIP识别技术：对数字化语音信息的理解–音频识别与按内容匹配：锁定音频目标进行17863计划关注的重要技术灾难恢复与故障容错技术网络可生存性技术空间信息系统安全技术信息安全的技术层次视点18Systemsecurity物理安全Systemsecurity运行安全Informationsecurity数据安全Informationsecurity内容安全系统自身的安全“系统安全”InformationSecurity信息利用的安全“信息对抗”信息自身的安全“信息安全”层次结构结构层次三级信息安全框架信息内容对抗二、棱镜风波棱镜门2013年6月，前美国中央情报局雇员、现国家安全局防务承包商博斯艾伦公司雇员斯诺登揭露美国政府的相关秘密监控工程和入侵行为。“棱镜”工程是美国国家安全局（NSA）所使用的网络情报系统的组成部分，利用美国主要互联网企业所提供的接口进行数据检索、查询和收集工作。谷歌、微软、苹果、脸谱等美国主流IT企业大多与此计划相关。美国国家安全局下属机构TAO对中国进行了长达15年的攻击，相关行动得到了思科的帮助。美国四大秘密监视项目美国国家安全局（NSA）执行的4个监视项目：棱镜计划棱镜监控的主要有10类信息：–电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料–所有细节都被政府监控。通过棱镜项目，国安局甚至可以实时监控一个人正在进行的网络搜索内容综合情报文件“总统每日简报”中在2012年内在1,477个计划使用了来自PRISM计划的资料美国软硬件产品的部分后门传言时间事件1999.8微软预留美国国家安全局密钥事件2003FreeBSD操作系统预留后门2005.7思科预留后门传言-----英特尔CPU特定指令序列可致自毁传言2007.5赛门铁克查杀微软系统文件致蓝屏，引发微软后门传言2008.10微软黑屏事件布什政府把信息安全真正提高到国家安全的高度，这对全世界信息安全的发展，对各国信息安全管理所产生的影响都是划时代的三件具有划时代意义的事情破天荒地设立了总统信息安全顾问，负责美国众多信息系统和网络的安全管理与协调工作；2003年颁布了《网络空间国家安全战略》，这是一个国家为信息安全首次出台的一个国家信息安全战略；在布什总统任期结束前，推出了更加全面系统的《国家网路安全综合计划》，意在全面提高政府部门的整体网络安全。奥巴马：在全球化的当今世界中，保护我们的繁荣和安全将是一场长期而艰难的斗争，需要长年的耐心和坚韧不拔研制下一代安全计算机和网络制定严格的新标准突显“加强领导，保护要害，打击重点”特色的安全网络信息安全的“曼哈顿计划”《国家网络安全综合计划》（CNCI）于2008年1月8日由布什以第54号国家安全总统令和第23号国土安全总统令的形式签署《国家网络安全综合计划》（CNCI）高度、强度和广度体现了强烈的国家意志，因而被称为信息安全的“曼哈顿计划”预算高达300—400亿美元，属高度机密曼哈顿计划主要政策分析1.部署一个覆盖整个联邦政府的网络入侵感应系统2.在所有联邦机构中安装网络入侵防御系统3.制定并执行政府网络反情报（CI）计划4.制定有效的威慑战略和计划5.建立全方位的全球供应链风险管理机制我们在其中爱因斯坦向美国建议的原子弹计划，即曼哈顿工程一代加速了二战的结束曼哈顿工程二代也必将在历史上留下浓墨重彩的一笔这一次，我们都在这场信息安全保卫战中，是战士，也是卫士——F-Secure公司首席研究总监2012HackinParis黑客大会Nuclearphysicslotsit'sinnocencein1945.Computersciencelostit’sinnocencein2009.“1945年核物理不再纯洁，2009年计算机科学与技术已经不再纯洁”.（有感于2009年震网病毒发作）当从事编译、软件工程、密码学、网络通信、社会工程学等方面研究的计算机科学专家开始研究如何将他们的技术应用到病毒和网络战争的时候，计算机科学与技术的研究动机早已经不再纯洁曼哈顿计划的目标建立应对当前紧迫威胁的防线通过建立和提高联邦政府内部对网络漏洞、威胁和安全事故风险的认识，最终通过各级政府和私营部门的合作，提高全社会采取果断行动、减少漏洞并预防入侵的能力；全面应对各类威胁通过增强美国的反情报能力和增进关键信息技术供应链的安全，应对各种性质的网络安全威胁；强化未来网络安全环境通过发展网络教育，协调和调整联邦政府相关研发工作，制定阻止敌对或恶意网络活动的战略，强化未来网络空间安全。三、手机泄密第一代：模拟移动通信第二代：数字移动通信第三代：宽带移动通信1980199020002010年代欧洲TACS北美AMPS中国TACS/AMPS…话音业务（模拟）欧洲GSM北美CDMA中国CDMA/GSM话音（数字）中低速率数据业务WCDMA/cdma2000/TD-SCDMA多媒体业务GSM的系统组成基站控制器BSC基站收发信机BTS移动交换中心MSC\归属位置登记器HLR\拜访位置登记器VLR\鉴权中心AUCMS+SIM移动台基站子系统BSS移动交换子系统MSSA接口Um接口第一代：几乎没有安全机制第二代：存在很多安全漏洞第三代：安全机制较完备，仍有漏洞美国的GSM2060TP空中截获GSM用户空中接口截获泄密实例美国的GSM-8移动电话拦截系统美国GSM3060，实时破解GSM加密算法A5.1问题：关机能防止被窃听吗？只要手机装有电池，就存在被窃听的可能。所以在必要时应将手机的电池取出，彻底断绝手机的电源，或者将手机放在远离谈话场所的地方，避免遭到窃听。回答：不能特殊仪器可以摇控打开手机话筒进行窃听手机中有监听芯片通信信息泄露思考题•位置信息泄露途径1）无线电测向2）移动定位系统3）网络设备中的用户位置信息4）手机中的位置信息5）手机中的定位芯片身份信息泄露隐患•手机身份标识–外部身份与内部身份–一般来说，通信信息泄露和位置信息泄露的前提就是要知道手机的身份，特别是内部身份•身份信息泄露途径–无线截获–手机卡破解–网络泄露移动增值业务是由移动运营商、增值业务服务提供商（SP）和增值业务内容提供商（CP），通过计算机互联网和移动通信网的结合，共同向用户提供服务。移动新业务与安全保密性比较脆弱的互联网紧密联系着，秘密信息可能传播到互联网上，也可能受到来自互联网的攻击。计算机被攻击导致泄密容易泄露位置信息感染手机病毒短信、无线上网、彩铃、彩信、移动位置服务、手机游戏、手机音乐、手机报纸、手机电视等移动增值业务泄密隐患6、其他泄密隐患•手机处于通话状态，实际上就是一部窃听器•有些手机可能被安装窃听装置。对外交往•进口手机、进口芯片，难以保证没有安全隐患遥控开关手机手机在没有任何显示的情况下报告位置不为用户所知拨打电话记录通话内容、将通话内容发往第三方等手机通过交叉调制把手机周围的电磁波信息调制发射出去，造成信息泄露交叉调制泄露调查结果(调查对象:100名大学生):•用自已的中文拼音最多的-----37人如：wanghai、zhangli等•用常用的英文单词-----23人如：hello、good、anything等•用计算机中经常出现的单词-----不安全口令是？•18人如：system、command、copy、harddisk等•用自已的出生日期-----7人如：780403、199703等在测试中，选择两个相同口令的有21人，接近相同的有33人。53“鹿弹扬基”行动（OperationBuckshotYankee）案例1–面向关键信息系统《外交》杂志，“DefendingaNewDomain”，2010年9月被认为是美军信息作战战略转型的重要推手之一2007年4月~5月，网络攻击规模广泛而且深入，被攻击目标包括国会、政府部门、银行乃至媒体网站等被部分专家视为第一场国家层次的网络战争54俄罗斯与爱沙尼亚、格鲁吉亚之间爆发的网络冲突案例2–面向以互联网为代表的民用信息基础设施2008年7~8月战前，格信息基础设施即遭受网络攻击与战争同步，格媒体、通信、交通以及大部分政府网站遭受攻击，总统萨卡什维利的个人主页被篡改俄罗斯方面则表示，来自格鲁吉亚的黑客攻击了俄新社等新闻机构以及南奥塞梯政府官方网站俄罗斯与爱沙尼亚、格鲁吉亚之间爆发的网络冲突案例3–面向以互联网为代表的民