1信息安全背景及趋势

信息安全背景及趋势1启明星辰培训部—张镇Zhangzhen@venustech.com.cn信息安全背景及趋势安全背景及趋势什么是信息安全安全的基本要求及特性黑客简史黑客攻击分类黑客攻击的思路和步骤常见黑客攻击手段介绍2背景数据政府、军事、邮电和金融网络是黑客攻击的主要目标。即便已经拥有高性能防火墙等安全产品，依然抵挡不住这些黑客对网络和系统的破坏。据统计，几乎每20秒全球就有一起黑客事件发生，仅美国每年所造成的经济损失就超过100亿美元。随着中国互联网越来越快的发展,互联网的安全现状也就慢慢的凸显出来,网络攻击、非法入侵、挂马等行为每年都在呈上升趋势,何以保障企业、机构的网络安全？灰鸽子等黑色产业链给中国互联网造成经济损失高达上百亿元3近期安全事件百度首页被黑微软官方网站被黑，页面嵌入成人网站内容近期安全事件当当网被黑近期安全事件近期安全事件网易邮箱被黑近期安全事件瑞星网站遭黑客攻击近期安全事件中国移动遭黑客攻击近期安全事件CSDN泄密门CSDN天涯猫扑人人多玩嘟嘟牛1787k7k。。。。近期安全事件中菲黑客网络战争中，大批菲律宾政府企业站点被黑黑色产业链现实教训某运营商充值卡被盗13目前网络安全事件的特点1.拒绝服务攻击频繁发生，入侵者难以追踪。使用分布式拒绝服务的攻击方法利用跳板发动攻击2.攻击者需要的技术水平逐渐降低，手段更加灵活，联合攻击急剧增多攻击工具易于从网络下载网络蠕虫具有隐蔽性、传染性、破坏性、自主攻击能力新一代网络蠕虫和黑客攻击、计算机病毒之间的界限越来越模糊14目前网络安全事件的特点3.系统漏洞、软件漏洞、网络漏洞发现加快，攻击爆发时间变短在所有新攻击方法中，64%的攻击针对一年之内发现的漏洞最短的大规模攻击距相应漏洞被公布的时间仅仅为28天4.垃圾邮件问题依然严重垃圾邮件中不仅有毫无用处的信息，还有病毒和恶意代码5.间谍软件、恶意软件威胁安全。15信息安全的发展趋势1.集团化、产业化的趋势产业链：病毒木马编写者－专业盗号人员－销售渠道－专业玩家病毒不再安于破坏系统，销毁数据，而是更关注财产和隐私。电子商务成为热点，针对网络银行的攻击也更加明显近些年的病毒会更加紧盯在线交易环节，从早期的虚拟价值盗窃转向直接金融犯罪。16信息安全的发展趋势2.“黑客”逐渐变成犯罪职业财富的诱惑，使得黑客袭击不再是一种个人兴趣，而是越来越多的变成一种有组织的、利益驱使的职业犯罪事例：拒绝服务相关的敲诈勒索和“网络钓鱼”。17信息安全的发展趋势3.恶意软件的转型我国仍然是恶意软件最多的国家恶意软件在行为上将有所改观，病毒化特征削弱，但手段更“高明”，包含更多的钓鱼欺骗元素18信息安全的发展趋势4.网页挂马危害继续延续服务器端系统资源和流量带宽资源大量损失成为网络木马传播的“帮凶”。客户端的用户个人隐私受到威胁19信息安全的发展趋势5.利用应用软件漏洞的攻击将更为迅猛新的漏洞出现要比设备制造商修补的速度更快一些嵌入式系统中的漏洞难以修补20信息安全的发展趋势6.Web2.0的产品将受到挑战以博客、论坛为首的web2.0产品将成为病毒和网络钓鱼的首要攻击目标社区网站上带有社会工程学性质的欺骗往往超过安全软件所保护的范畴自动邮件发送工具日趋成熟，垃圾邮件制造者正在将目标转向音频和视频垃圾邮件21信息安全背景及趋势安全背景及趋势什么是信息安全安全的基本要求及特性黑客简史黑客攻击分类黑客攻击的思路和步骤常见黑客攻击手段介绍22什么是信息安全欧共体对信息安全的定义：网络与信息安全可被理解为在既定的密级条件下，网络与信息系统抵御意外事件或恶意行为的能力。这些事件和行为将危及所存储或传输达到数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和秘密性。国信办讨论中的一种定义信息安全是为防止意外事故和恶意攻击而对信息基础设施、应用服务和信息内容的保密性、完整性、可用性、可控性和不可否认性进行的安全保护。◆安全的定义：23什么是信息安全国际标准化组织（ISO）引用ISO74982文献中对安全的定义：安全就是最大程度地减少数据和资源被攻击的可能性。我国安全保护条例的安全定义：计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。24◆安全的定义：信息安全背景及趋势安全背景及趋势什么是信息安全安全的基本要求及特性黑客简史黑客攻击分类黑客攻击的思路和步骤常见黑客攻击手段介绍25信息安全的特征（CIA）ISO27001中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三个特征：机密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。26安全的基本要求完整性：（Integrity）拥有的信息是否正确；保证信息从真实的信源发往真实的信宿，传输、存储、处理中未被删改、增添、替换。机密性：（Confidentiality）谁能拥有信息，保证国家秘密和敏感信息仅为授权者享有可用性：（Availability）信息和信息系统是否能够使用保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。可控性：（Controllability）是否能够监控管理信息和系统，保证信息和信息系统的授权认证和监控管理。不可否认性：（Non-repudiation）为信息行为承担责任，保证信息行为人不能否认其信息行为。27安全工作的目标将风险降到最低28信息安全背景及趋势安全背景及趋势什么是信息安全安全的基本要求及特性黑客简史黑客攻击分类黑客攻击的思路和步骤常见黑客攻击手段介绍29黑客帝国黑客帝国浪漫主义的黑客电影30箭鱼行动箭鱼行动写实主义的黑客电影31黑客起源的背景起源地：美国精神支柱：对技术的渴求对自由的渴求历史背景：越战与反战活动马丁·路德金与自由嬉皮士与非主流文化电话飞客与计算机革命32中国的“黑客文化”中国缺乏欧美抚育黑客文化的土壤缺少庞大的中产阶层缺少丰富的技术积累中国的黑客文化更多带有“侠”的色彩侠之大者，为国为民侠之小者，除暴安良中国的黑客被称为“红客”经典的红客联盟一次又一次的爱国网络战争33中国“黑客”重要历史事件1998年印尼事件1999年南联盟事件中美五一黑客大战事件熊猫烧香事件34“黑客”的分类灰帽子破解者•破解已有系统•发现问题/漏洞•突破极限/禁制•展现自我计算机为人民服务漏洞发现-袁哥等软件破解-0Day工具提供-Numega白帽子创新者•设计新系统•打破常规•精研技术•勇于创新没有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破坏者•随意使用资源•恶意破坏•散播蠕虫病毒•商业间谍人不为己，天诛地灭入侵者-K.米特尼克CIH-陈英豪攻击Yahoo者-匿名恶渴求自由35信息安全背景及趋势安全背景及趋势什么是信息安全安全的基本要求及特性黑客简史黑客攻击分类黑客攻击的思路和步骤常见黑客攻击手段介绍3637信息资产拒绝服务流氓软件黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统漏洞硬件故障网络通信故障供电中断失火雷雨地震潜在的安全威胁黑客攻击分类按照攻击方式进行分类主动攻击被动攻击按照攻击者目的分类DOS（拒绝服务攻击）和DDOS（分布式拒绝服务攻击）sniffer监听会话劫持与网络欺骗获得被攻击主机的控制权按危害范围分类局域网范围广域网范围38信息安全背景及趋势安全背景及趋势什么是信息安全安全的基本要求及特性黑客简史黑客攻击分类黑客攻击的思路和步骤常见黑客攻击手段介绍39黑客攻击一般过程踩点扫描破坏攻击渗透攻击获得访问权获得控制权清除痕迹安装后门远程控制转移目标窃密破坏40获取信息相关命令获取手工获取banner相关漏洞扫描工具41相关网络命令Windows本身自带的netstat命令，可以显示协议统计和当前的TCP/IP网络连接。Netstat–an：42相关网络命令--PINGPing命令经常用来对TCP/IP网络进行诊断。通过向目标计算机发送一个ICMP数据包，目标计算机收到后再反送回来，如果返回的数据包和发送的数据包一致，就说明网络能够连通。通过Ping命令，可以判断目标计算机是否正在运行，以及网络的大致延时（数据包从发送到返回需要的时间）。C:\ping192.168.0.162Pinging192.168.0.162with32bytesofdata:Replyfrom192.168.0.162:bytes=32time10msTTL=128Replyfrom192.168.0.162:bytes=32time10msTTL=128C:\ping192.168.0.241Pinging192.168.0.241with32bytesofdata:Replyfrom192.168.0.241:bytes=32time10msTTL=255Replyfrom192.168.0.241:bytes=32time10msTTL=25543相关网络命令Nslookup：DNS域名解析44获取信息相关命令获取手工获取banner(版本信息)相关漏洞扫描工具45手工获取BANNER46c:\telnet192.168.0.241Trying192.168.0.241...正在连接到192.168.0.241...Escapecharacteris'^]'.SUNOS5.6(ttyp2)login:c:\telnet192.168.0.162Microsoft(R)Windows2000(TM)版本5.00(内部版本号2195)欢迎使用MicrosoftTelnetClientTelnetClient内部版本号5.00.99203.1Escape字符为'CTRL+]'手工获取BANNER47网络信息收集方式PingSweepDnsSweepSnmpSweepTracertNslookup（zonetransfer）WHOISfinger浏览器48获取信息相关命令获取手工获取banner相关漏洞扫描工具49网络漏洞扫描IpScanSuperScanNMAPNESSUSRETINASSSX-SCAN流光50网络漏洞扫描51消除踪迹删除添加的帐号删除/修改日志删除临时使用文件52消除踪迹删除临时账号hacker：netuserhacker/del删除账户管理员权限：netlocalgroupadministratorshacker/del53消灭踪迹删除或修改日志54消灭踪迹清除系统事件应用程序日志安全日志系统日志计划任务日志IIS等应用日志55消灭踪迹UNIX系统日志56信息安全背景及趋势安全背景及趋势什么是信息安全安全的基本要求及特性黑客简史黑客攻击分类黑客攻击的思路和步骤常见黑客攻击手段介绍57常见攻击行为暴力猜解利用已知漏洞攻击特洛伊木马拒绝服务攻击嗅探sniffer社会工程暴力猜解暴力猜解就是从口令侯选器中一一选取单词，或用枚举法选取，然后用各种同样的加密算法进行加密再比较。一致则猜测成功，否则再尝试。口令候选器枚举法口令加密口令比较获取口令的方法防御方法暴力猜解攻击攻击实例：破解Win2000用户密码暴力猜解可被猜解的协议Telnet、Ftp、Ssh、RexecHttp、Https、Nntp、CvsHttp