网络安全意识与案例分析

网络安全意识与案例分析问题•我们希望达到什么样的安全？•我们该如何发现存在的安全威胁？•针对存在的安全威胁我们应该如何应对？大纲现实教训信息安全现状安全威胁分析黑客攻击思路和步骤常见的黑客攻击技术及演示信息安全防御体系信息安全管理体系日常桌面系统的安全日常安全习惯典型的网络拓扑(一)InternetInternetA地C地总部……B地•一个主机感染病毒导致整个网络中断现实教训现实教训•某运营商充值卡被盗现实教训广东某市政府某局网站入侵报告事件背景广东某市C局所属网站(IP:61.xxx.xxx.17)于2001年4月期间遭到黑客恶意攻击，造成网站网页被修改。在此情况下，XX公司于2001年4月17日受某市S局的委托，前往机房现场取证。服务器基本情况以及已获取资料该服务器操作系统为WindowsNtServer4.0，安装有IIS4.0，对外使用FIREWALL屏蔽，只开放WEB服务。我方技术员收集获得MSIIS4.02001年4月13日至4月17日HTTPLOG和FTPLOG。分析由于该站受入侵后的直接现象为网页被修改.并且该站受到PIXFIREWALL防卫，对外只开放80端口，所以初步估计是通过IIS远程漏洞获得系统控制权的，IIS4.0默认下存在ism.dll，msadcs.dll，unicode等获得网页修改权限的远程漏洞。于是我公司技术人员对该服务器的MSIIS4.02001年8月17日至月17日HTTPLOG日志文件进行详细的分析和过滤，得出以下结论：入侵者利用unicode漏洞从而可以使用web端口提交执行命令的请求,修改网站主页.现实教训2006年腾讯入侵事件现实教训•物理安全相关现实教训•2006年2月21日晚，英国央行位于肯特郡的汤布里奇金库被劫，劫匪抢走5800万英镑（75,400万人民币）。为什么会发生？问题出在哪？系统漏洞导致的损失•2004年，Mydoom所造成的经济损失已经达到261亿美元。•2005年，Nimda电脑病毒在全球各地侵袭了830万部电脑，总共造成5亿9000万美元的损失。•2006年，美国联邦调查局公布报告估计：“僵尸网络”、蠕虫、特洛伊木马等电脑病毒给美国机构每年造成的损失达119亿美元。日益增长的网络安全威胁•据风险管理公司MI2G公布的调查结果显示，病毒、蠕虫和特洛伊木马等恶意程序共给全球造成了1690亿美元的经济损失。•据ComputerEconomics资料显示，严重肆虐全球个人电脑(PC)的知名病毒Sasser和Netsky，均曾导致高达百万部电脑中毒，财务损失和修复成本分别高达35亿美元、27.5亿美元。大纲现实教训信息安全现状安全威胁分析黑客攻击思路和步骤常见的黑客攻击技术及演示信息安全管理体系日常桌面系统的安全日常安全习惯信息安全现状•信息安全的概述•从历史的角度看安全•信息安全背景趋势•信息安全建设的重要性什么是信息安全•欧共体对信息安全的定义：网络与信息安全可被理解为在既定的密级条件下，网络与信息系统抵御意外事件或恶意行为的能力。这些事件和行为将危及所存储或传输达到数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和保密性。•我国安全保护条例的安全定义：计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。◆信息安全的定义什么是信息安全ISO27001中的描述“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”•信息安全：保护信息免受各方威胁确保组织业务连续性将信息不安全带来的损失降低到最小获得最大的投资回报和商业机会信息安全的特征（CIA）ISO27001中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability•信息在安全方面三个特征：机密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。信息安全现状•信息安全的概述•从历史的角度看安全•信息安全背景趋势•信息安全建设的重要性第一阶段：通信保密•上世纪40年代－70年代–重点是通过密码技术解决通信保密问题，保证数据的保密性与完整性–主要安全威胁是搭线窃听、密码学分析–主要保护措施是加密第二阶段：计算机安全•上世纪70－80年代–重点是确保计算机系统中硬件、软件及正在处理、存储、传输的信息的机密性、完整性和可控性–主要安全威胁扩展到非法访问、恶意代码、脆弱口令等–主要保护措施是安全操作系统设计技术（TCB）第三阶段：信息系统安全•上世纪90年代以来–重点需要保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，强调信息的保密性、完整性、可控性、可用性。–主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等VPN虚拟专用网防火墙内容检测防病毒入侵检测第四阶段：信息安全保障人员安全安全培训安全意识安全管理物理安全计算环境安全运行人边界安全灾难恢复备份与基础设施网络安全证书系统监控检测安全评估授权系统技术人员安全安全培训安全意识安全管理物理安全计算环境安全运行人边界安全灾难恢复备份与基础设施网络安全证书系统监控检测安全评估授权系统技术人，借助技术的支持，实施一系列的操作过程，最终实现信息保障目标。信息安全现状•信息安全的概述•从历史的角度看安全•信息安全背景趋势•信息安全建设的重要性安全现状1713453112624171,0902,4374,1293,7843,7805,9908,0647,23601000200030004000500060007000800090001995199619971998199920002001200220032004200520062007Totalvulnerabilities全球漏洞数持续快速增长应用软件漏洞增势明显从发现漏洞到攻击的时间在不断缩短漏洞产业链已形成，可以自由交易系统漏洞多，容易被攻击，被攻击时很难发现；有组织有计划的入侵无论在数量上还是在质量上都呈现快速增长趋势；病毒蠕虫泛滥。攻击工具化。有制度、措施、标准，大部分流于形式，缺乏安全宣传教育。◆信息系统安全领域存在的挑战信息安全背景趋势安全背景趋势安全背景趋势安全背景趋势新一代恶意代码（蠕虫、木马）2002安全背景趋势◆黑客攻击技术多种攻击技术的融合◇攻击工具体系化安全背景趋势信息安全背景趋势◇黑客大聚会信息安全背景趋势◇攻击经验切磋信息安全的相对性•安全没有100%–完美的健康状态永远也不能达到；•安全工作的目标：将风险降到最低信息安全现状•信息安全的概述•从历史的角度看安全•信息安全背景趋势•信息安全建设的重要性信息安全建设的重要性•业务需求•政策的需求•安全影响个人绩效大纲现实教训信息安全现状安全威胁分析黑客攻击思路和步骤常见的黑客攻击技术及演示信息安全防御体系信息安全管理体系日常桌面系统的安全日常安全习惯谁会攻击我们？信息安全面临威胁分析国家由政府主导，有很好的组织和充足的财力；利用国外的服务引擎来收集来自被认为是敌对国的信息黑客攻击网络和系统以发现在运行系统中的弱点或其它错误的一些个人恐怖分子/计算机恐怖分子代表使用暴力或威胁使用暴力以迫使政府或社会同意其条件的恐怖分子或团伙有组织的犯罪有协调的犯罪行为，包括赌博、诈骗、贩毒和许多其它的行为其它犯罪团体犯罪社团之一，一般没有好的组织或财力。通常只有很少的几个人，甚至完全是个人的行为国际媒体向纸业和娱乐业的媒体收集并散发——有时是非授权的——新闻的组织。包括收集任何时间关于任何一个人的任意一件新闻工业竞争者在市场竞争中运行的国内或国际企业常以企业间谍的形式致力于非授权收集关于竞争对手或外国政府的信息有怨言的员工怀有危害局域网络或系统想法的气愤、不满的员工粗心或未受到良好训练的员工那些或因缺乏训练，或因缺乏考虑，或因缺乏警惕的人给信息系统带来的威胁。这是内部威胁与敌人的另一个例子。◇威胁来源（NSA的观点）安全威胁分析黑客带来的威胁类型病毒蠕虫后门拒绝服务非授权访问暴力猜解物理威胁系统漏洞利用嗅探问题•试分析本单位面临的主要安全威胁。大纲现实教训信息安全现状安全威胁分析黑客攻击思路和步骤常见的黑客攻击技术及演示信息安全防御体系信息安全管理体系日常桌面系统的安全日常安全习惯预攻击内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的：收集信息，进行进一步攻击决策黑客入侵的一般过程攻击内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：进行攻击，获得系统的一定权限后攻击内容：删除日志修补明显的漏洞植入后门木马进一步渗透扩展目的：消除痕迹，长期维持一定的权限大纲现实教训信息安全现状安全威胁分析黑客攻击思路和步骤常见的黑客攻击技术及演示信息安全防御体系信息安全管理体系日常桌面系统的安全日常安全习惯常见黑客攻击手段隐藏自身确定攻击目标扫描探测社会工程预攻击阶段暴力猜解SQLinjection攻击拒绝服务攻击缓冲区溢出攻击网络嗅探攻击网络欺骗攻击特洛伊木马消灭踪迹攻击阶段后攻击阶段•以已经取得控制权的主机为跳板攻击其他主机隐藏自身常见黑客攻击手段确定攻击目标•使用简单的工具，通过各种途径，获取目标与安全相关的信息。主要包括：–领导、技术人员的信息（姓名、电话、邮件、生日等）–域名、IP地址范围；–DNS服务器、邮件服务器；拨号服务器；–防火墙、路由器型号等•漏洞扫描技术–确定目标网络中哪些主机活着；–标识目标系统开放的端口与服务（PortScan技术）；–操作系统识别（OperatingSystemIdentification/Fingerprinting技术）；–目标系统存在的漏洞。扫描探测常见黑客攻击手段预攻击—漏洞扫描预攻击—漏洞扫描社会工程学•社会工程学–通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。•如果给你100万，让你获取某系统的重要资料你会怎么办？•如果你在公司大楼门前捡到一个漂亮的U盘，你会怎么办？缓冲区溢出攻击•缓冲区溢出技术原理通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。Stack(栈)Heap(堆)Bss(非初始化文本区域)初始化文本区域Text(文本区)内存低址缓冲区溢出攻击•攻击实例：缓冲区溢出攻击“拒绝服务攻击（DenialofService）”的方法，简称DoS。它的恶毒之处是通过向服务器发送大量的虚假请求，服务器由于不断应付这些无用信息而最终筋疲力尽，而合法的用户却由此无法享受到相应服务，实际上就是遭到服务器的拒绝服务。拒绝服务攻击站点演示大家可能经常听过，XXX站点又被黑了。但是大家又没有想过，这星球上站点的数目可是以千万单位计算的。大纲现实教训信息安全现状安全威胁分析黑客攻击思路和步骤常见的黑客攻击技术及演示信息安全防御体系信息安全管理体系日常桌面系统的安全日常安全习惯动态防御体系目前普遍应用的信息安全技术•访问控制–操作系统访问控制–网络防火墙–统一威胁管理（UTM）•审计跟踪–IDS–VA漏洞扫描–日志–审计系统•加密•存储和备份•鉴别和认证–PKI和CA–双因子认证–