Transcript Document
网络安全新技术
的发展及防范
Page
1
目录
1
常见攻击技术解析
2
网络安全防范手段
信息系统中的威胁
错误
操作
黑客
攻击
木马
病毒
外部
原因
流氓
软件
攻击
内部
尝试
原因
管理
缺失
蓄意
破坏
系统
漏洞
主机
网络
数据
库
信息资产
3
Page
3
新型攻击方法
伪造基站攻击
BIOS后门攻击
高斯病毒
水坑攻击
短信僵尸攻击
雾计算
Page
4
伪造基站攻击
该伪造基站能监控频率为:900、1800和1900MHZ。控
制者通过SMS短信方式对伪造基站进行监控。
系统特点:
可以监控200个电话号码
网络自动配置
区域覆盖能力强
远程操作
远程重启
额外电源
Page
5
伪造基站攻击示意图
Page
6
BIOS后门攻击
该攻击一般入侵设备的BIOS,然后驻留其中,开放接口
,供后台人员使用,最早常见于X86系统,近年有蔓延趋
势。我们常见的网络核心节点—路由器、交换机、防火墙
等设备都可能遭受此类攻击。下面介绍目前已经存在的几
种设备的攻击:华为路由器、思科防火墙、juniper
Page
7
BIOS后门攻击—华为
华为路由器后门:通过升级华为路由器固件安装,在设备
重启后,后门软件寻找补丁点,修改网络输入数据处理流
程,可以实现命令解析、数据分析、设备控制等功能
Page
8
BIOS后门攻击--Cisco
Cisco PIX防火墙后门:在系统启动时,修改防火墙固件
操作系统,安装后门程序。该后门应用于Cisco 500系列
防火墙和ASA防火墙(5505、5510、5520、5540、5550)
等
Page
9
BIOS后门攻击--juniper
Juniper防火墙后门:在系统启动时,修改防火墙固件操
作系统,安装后门程序。该后门可用于NetScreen防火墙
、ns5xt、ns50、ns200、ns500和ISG1000等
Page
10
高斯病毒
该病毒能够在暗中监视银行交易状况,并盗取社交网站、
电子邮件和即时通讯系统用户的登录信息。
可能与“震网(Stuxnet)”病毒出自相同的实验室。外界广
泛认为美国和以色列已经使用“震网”这种计算机蠕虫病毒
对伊朗的核项目实施攻击。目前已发现有2500多台个人
计算机遭“高斯”病毒感染。其中大部分计算机在黎巴嫩、
以色列以及巴勒斯坦领土境内。该病毒的袭击目标包括黎
巴嫩的BLOM银行、比卜鲁斯银行和黎巴嫩信贷银行,以
及花旗银行集团旗下的花旗银行和PayPal公司的网络支
付系统。
Page
11
高斯-网络病毒
卡巴斯基实验室近日发表声明称
,在中东地区发现了一种新型网
络病毒“高斯(Gauss)”。该
病毒能够在暗中监视银行交易状
况,并盗取社交网站、电子邮件
和即时通讯系统用户的登录信息
。
卡巴斯基表示,在对“震网”、
Duqu和“火焰”病毒进行分析后
,可以非常确定地断言,“高斯
”病毒由相同的“工厂”编写。
Page
12
水坑攻击
所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动
规律,寻找被攻击者经常访问的网站的弱点,先攻下该网
站并植入攻击代码,等待被攻击者来访时实施攻击。这种
攻击行为类似《动物世界》纪录片中的一种情节:捕食者
埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻
击猎取食物。
在技术日新月异的今天,网络攻防永无止日。技术的发展
使得网络攻击形态不断变化,并衍生出不少新的攻击方法
,水坑攻击便是其中一种。根据权威报告显示,水坑攻击
已经成为APT攻击的一种常用手段,影响范围也越来越广
。
Page
13
水坑攻击
水坑攻击属于APT攻击的一种,与钓鱼攻击相比,黑客无
需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐
蔽性比较强。在人们安全意识不断加强的今天,黑客处心
积虑地制作钓鱼网站却被有心人轻易识破,而水坑攻击则
利用了被攻击者对网站的信任。水坑攻击利用网站的弱点
在其中植入攻击代码,攻击代码利用浏览器的缺陷,被攻
击者访问网站时终端会被植入恶意程序或者直接被盗取个
人重要信息。
因此,水坑攻击相对于通过社会工程方式引诱目标用户访
问恶意网站更具欺骗性,效率也更高。水坑方法主要被用
于有针对性的间谍攻击,而Adobe Reader、Java运行时
环境(JRE)、Flash和IE中的零日漏洞被用于安装恶意
软件。
Page
14
水坑攻击 的攻击流程
Page
15
短信僵尸
“短信僵尸”木马伪装成动态壁纸安装到用户手机后,会诱
导用户安装名为“Android系统服务”的恶意软件子包,激
活该服务后,“短信僵尸”就会通过服务器远程控制。该木
马不但能通过服务器远程下发关键词等方式,持续监看用
户短信中指定的重要隐私信息;还能随时把受害者的手机
号、银行卡、信用卡以及账单支付等特定网银信息发送到
木马作者指定的手机号;与此同时,还可利用中毒手机自
动发送诈骗短信。该木马通过服务器远程控制,可以手机
机主的名义向通讯录中的联系人发送短信。此外,该木马
还可伪造发信人地址,以此实现“钓鱼”短信诈骗。
Page
16
“短信僵尸”高危手机间谍木马
Page
17
雾计算
"雾计算"技术最初是AST 公司为保障云计算环境中的用
户信息安全而开发的。由于云计算带来了新的计算和通信
模式,已有的数据保护机制已不能满足云环境下信息安全
的要求,特别是来自云环境内部的数据攻击和偷窃行为比
来自外部的攻击更加容易,危害也更大。为此,AST公司
提出了一种诱捕信息技术(亦称为"假情报技术"),通过该
技术可以监控云环境中来自内部的数据访问,并能够侦测
到异常的数据访问模式。当侦测到未经授权的内部访问时
,系统会向访问者发送大量迷雾般的虚假信息,并通过追
踪这些信息的分发和使用情况来锁定恶意访问者。因此,
AST 公司将此项技术称为"雾计算"技术。
Page
18
雾计算系统框架
Page
19
网络安全CIA属性
完整性
完整性是网络信息未经授权不能进行改变的特性,即网络信息在存储或
传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插
入等破坏和丢失的特性。
保障网络信息完整性的主要方法有:
协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的 字段
、失效的字段和被修改的字段;
纠错编码方法:由此完成纠错和纠错功能。最简单和常用的纠错编码方法是
奇偶校验法;
密码校验和方法:它是抗篡改和传输失败的重要手段;
数字签名:保障信息的真实性;
公证:请求网络管理或中介机构证明信息的真实性。
不可抵赖性
不可抵赖性也称作不可否认性。在网络信息系统的信息交互过程中,确
信参与者的真实同一性,即,所有参与者都不可能否认或抵赖曾经完成
的操作和承诺。
可控性
可控性是对网络信息的传播及内容具有控制能力的特性。
Page
20
信息安全意识
Page
21
物理安全
自然灾害(地震、火灾、洪水等)、物理损坏(硬盘损坏、设
备使用寿命到期、外力破损等)、设备故障(停电断电、电磁
干扰等)
电磁辐射(如侦听微机操作过程),乘机而入(如合法用户进
入安全进程后半途离开),痕迹泄露(如口令密钥等保管不善
,被非法用户获得)等
操作失误(偶然删除文件、格式化硬盘、线路拆除等),意外
疏漏(系统掉电、“死机”等系统崩溃)。
安全控制措施
操作系统的安全控制
网络接口模块的安全控制
网络互连设备的安全控制
Page
22
安全服务
安全机制是利用密码算法对重要而敏感的数据进行处理
安全连接是在安全处理前与网络通信方之间的连接过程
安全协议
安全策略
Page
23
防火墙技术
防火墙(Firewall)技术
分组过滤
这是一种基于路由器的防火墙。它是在网间的路由器中按网络安
全策略设置一张访问表或黑名单。防火墙的职责就是根据访问表(
或黑名单)对进出路由器的分组进行检查和过滤、凡符合要求的放
行,不符合的拒之门外。这种防火墙简单易行,但不能完全有效
地防范非法攻击。
代理服务
是一种基于代理服务的防火墙,它的安全性高,增加了身份认证
与审计跟踪功能,但速度较慢。
Page
24
访问控制技术
除了计算机网络硬设备之外,网络操作系统是确保计算机
网络安全的最基本部件。它是计算机网络资源的管理者,
如果它具有安全的控制策略和保护机制,便可以将非法人
侵者拒之门外。否则,非法人侵者便可攻破设防而非法获
取资源。网络操作系统安全保密的核心是访问控制,即确
保主体对客体的访问只能是授权的,未经授权的访问是不
允许的,而且操作是无效的。因此,授权策略和授权机制
的安全性显得特别重要。
物理隔离:使必须隔离的进程使用不同的物理客体。
时间隔离:使具有不同安全要求的进程在不同的时间运行
逻辑隔离:实施存取控制,使进程不能存取允许范围以外
的客体。
密码隔离:使进程以一种其它进程不能解密的方式险蔽数
据以及计算。
Page
25
服务器安全
目前服务器常用的操作系统有三类:
• Unix
• Linux
• Windows
UNIX系统
(1)可靠性高
(2)极强的伸缩性
(3)网络功能强
(4)强大的数据库支持功能
(5)开放性好
Linux系统
Page
26
服务器安全
Linux系统
完全免费
完全兼容POSIX 1.0标准
多用户、多任务
良好的界面
丰富的网络功能
可靠的安全、稳定性能
支持多种平台
Windows系统
支持多种网络协议
内置Internet功能
支持NTFS文件系统
Page
27
入侵检测系统
入侵检测系统IDS(Intrusion Detection System)指的是
一种硬件或者软件系统,该系统对系统资源的非授权使用
能够做出及时的判断、记录和报警。没有一个应用系统不
会发生错误,原因主要有四个方面。
缺乏共享数据的机制
缺乏集中协调的机制
缺乏揣摩数据在一段时间内变化的能力
缺乏有效的跟踪分析
Page
28
入侵检测的方法
入侵检测方法有三种分类依据:
根据物理位置进行分类。
根据建模方法进行分类。
根据时间分析进行分类。
常用的方法有三种:
静态配置分析
异常性检测方法
基于行为的检测方法。
Page
29
入侵检测的步骤
入侵检测的步骤
信息收集
数据分析
根据数据分析的不同方式可将入侵检测系统分为两类:
异常入侵检测
误用入侵检测
响应
将分析结果记录在日志文件中,并产生相应的报告。
触发警报:如在系统管理员的桌面上产生一个告警标志 位,向系统
管理员发送传呼或电子邮件等等。
修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连
接,或更改防火墙配置等。
Page
30
如何保障信息安全
• 人是最关键的因素
判断威胁来源,综合认为因素和系统自身逻辑与物理上诸
多因素在一起,归根结底,还是人起着决定性的作用
正是因为人在有意(恶意攻击)或无意(误操作、误配置)
间的活动,才给信息系统安全带来了隐患和威胁
• 信息资产对我们很重要,是要保护的对象
• 威胁就像苍蝇一样,挥之不去,无所不在
• 资产自身又有各种弱点,给威胁带来可乘之机
• 面临各种风险,一旦发生就成为安全事件、事故
Page
31
如何保障信息安全
我们应该.....
•
•
•
•
严防威胁
消减弱点
应急响应
保护资产
Page
32
安全是一个连续的过程
分析阶段: 需求分析、漏洞扫描
保护阶段: 防火墙、VPN 、防病毒
检测阶段: 入侵检测、授权、认证、签名
管理阶段: 审计系统、访问控制
恢复阶段: 数据备份、系统恢复
Page
33
结束!
Page
34