Document

Download Report

Transcript Document 

网络安全新技术
的发展及防范
Page
1
目录
1
常见攻击技术解析
2
网络安全防范手段
信息系统中的威胁
错误
操作
黑客
攻击
木马
病毒
外部
原因
流氓
软件
攻击
内部
尝试
原因
管理
缺失
蓄意
破坏
系统
漏洞
主机
网络
数据
库
信息资产
3
Page
3
新型攻击方法
 伪造基站攻击
 BIOS后门攻击
 高斯病毒
 水坑攻击
 短信僵尸攻击
 雾计算
Page
4
伪造基站攻击
 该伪造基站能监控频率为:900、1800和1900MHZ。控
制者通过SMS短信方式对伪造基站进行监控。
 系统特点:






可以监控200个电话号码
网络自动配置
区域覆盖能力强
远程操作
远程重启
额外电源
Page
5
伪造基站攻击示意图
Page
6
BIOS后门攻击
 该攻击一般入侵设备的BIOS,然后驻留其中,开放接口
,供后台人员使用,最早常见于X86系统,近年有蔓延趋
势。我们常见的网络核心节点—路由器、交换机、防火墙
等设备都可能遭受此类攻击。下面介绍目前已经存在的几
种设备的攻击:华为路由器、思科防火墙、juniper
Page
7
BIOS后门攻击—华为
 华为路由器后门:通过升级华为路由器固件安装,在设备
重启后,后门软件寻找补丁点,修改网络输入数据处理流
程,可以实现命令解析、数据分析、设备控制等功能
Page
8
BIOS后门攻击--Cisco
 Cisco PIX防火墙后门:在系统启动时,修改防火墙固件
操作系统,安装后门程序。该后门应用于Cisco 500系列
防火墙和ASA防火墙(5505、5510、5520、5540、5550)
等
Page
9
BIOS后门攻击--juniper
 Juniper防火墙后门:在系统启动时,修改防火墙固件操
作系统,安装后门程序。该后门可用于NetScreen防火墙
、ns5xt、ns50、ns200、ns500和ISG1000等
Page
10
高斯病毒
 该病毒能够在暗中监视银行交易状况,并盗取社交网站、
电子邮件和即时通讯系统用户的登录信息。
 可能与“震网(Stuxnet)”病毒出自相同的实验室。外界广
泛认为美国和以色列已经使用“震网”这种计算机蠕虫病毒
对伊朗的核项目实施攻击。目前已发现有2500多台个人
计算机遭“高斯”病毒感染。其中大部分计算机在黎巴嫩、
以色列以及巴勒斯坦领土境内。该病毒的袭击目标包括黎
巴嫩的BLOM银行、比卜鲁斯银行和黎巴嫩信贷银行,以
及花旗银行集团旗下的花旗银行和PayPal公司的网络支
付系统。
Page
11
高斯-网络病毒
卡巴斯基实验室近日发表声明称
,在中东地区发现了一种新型网
络病毒“高斯(Gauss)”。该
病毒能够在暗中监视银行交易状
况,并盗取社交网站、电子邮件
和即时通讯系统用户的登录信息
。
卡巴斯基表示,在对“震网”、
Duqu和“火焰”病毒进行分析后
,可以非常确定地断言,“高斯
”病毒由相同的“工厂”编写。
Page
12
水坑攻击
 所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动
规律,寻找被攻击者经常访问的网站的弱点,先攻下该网
站并植入攻击代码,等待被攻击者来访时实施攻击。这种
攻击行为类似《动物世界》纪录片中的一种情节:捕食者
埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻
击猎取食物。
 在技术日新月异的今天,网络攻防永无止日。技术的发展
使得网络攻击形态不断变化,并衍生出不少新的攻击方法
,水坑攻击便是其中一种。根据权威报告显示,水坑攻击
已经成为APT攻击的一种常用手段,影响范围也越来越广
。
Page
13
水坑攻击
 水坑攻击属于APT攻击的一种,与钓鱼攻击相比,黑客无
需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐
蔽性比较强。在人们安全意识不断加强的今天,黑客处心
积虑地制作钓鱼网站却被有心人轻易识破,而水坑攻击则
利用了被攻击者对网站的信任。水坑攻击利用网站的弱点
在其中植入攻击代码,攻击代码利用浏览器的缺陷,被攻
击者访问网站时终端会被植入恶意程序或者直接被盗取个
人重要信息。
 因此,水坑攻击相对于通过社会工程方式引诱目标用户访
问恶意网站更具欺骗性,效率也更高。水坑方法主要被用
于有针对性的间谍攻击,而Adobe Reader、Java运行时
环境(JRE)、Flash和IE中的零日漏洞被用于安装恶意
软件。
Page
14
水坑攻击 的攻击流程
Page
15
短信僵尸
 “短信僵尸”木马伪装成动态壁纸安装到用户手机后,会诱
导用户安装名为“Android系统服务”的恶意软件子包,激
活该服务后,“短信僵尸”就会通过服务器远程控制。该木
马不但能通过服务器远程下发关键词等方式,持续监看用
户短信中指定的重要隐私信息;还能随时把受害者的手机
号、银行卡、信用卡以及账单支付等特定网银信息发送到
木马作者指定的手机号;与此同时,还可利用中毒手机自
动发送诈骗短信。该木马通过服务器远程控制,可以手机
机主的名义向通讯录中的联系人发送短信。此外,该木马
还可伪造发信人地址,以此实现“钓鱼”短信诈骗。
Page
16
“短信僵尸”高危手机间谍木马
Page
17
雾计算
 "雾计算"技术最初是AST 公司为保障云计算环境中的用
户信息安全而开发的。由于云计算带来了新的计算和通信
模式,已有的数据保护机制已不能满足云环境下信息安全
的要求,特别是来自云环境内部的数据攻击和偷窃行为比
来自外部的攻击更加容易,危害也更大。为此,AST公司
提出了一种诱捕信息技术(亦称为"假情报技术"),通过该
技术可以监控云环境中来自内部的数据访问,并能够侦测
到异常的数据访问模式。当侦测到未经授权的内部访问时
,系统会向访问者发送大量迷雾般的虚假信息,并通过追
踪这些信息的分发和使用情况来锁定恶意访问者。因此,
AST 公司将此项技术称为"雾计算"技术。
Page
18
雾计算系统框架
Page
19
网络安全CIA属性
 完整性
完整性是网络信息未经授权不能进行改变的特性,即网络信息在存储或
传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插
入等破坏和丢失的特性。
保障网络信息完整性的主要方法有:
 协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的 字段
、失效的字段和被修改的字段;
 纠错编码方法:由此完成纠错和纠错功能。最简单和常用的纠错编码方法是
奇偶校验法;
 密码校验和方法:它是抗篡改和传输失败的重要手段;
 数字签名:保障信息的真实性;
 公证:请求网络管理或中介机构证明信息的真实性。
 不可抵赖性
不可抵赖性也称作不可否认性。在网络信息系统的信息交互过程中,确
信参与者的真实同一性,即,所有参与者都不可能否认或抵赖曾经完成
的操作和承诺。
 可控性
可控性是对网络信息的传播及内容具有控制能力的特性。
Page
20
信息安全意识
Page
21
物理安全
 自然灾害(地震、火灾、洪水等)、物理损坏(硬盘损坏、设
备使用寿命到期、外力破损等)、设备故障(停电断电、电磁
干扰等)
 电磁辐射(如侦听微机操作过程),乘机而入(如合法用户进
入安全进程后半途离开),痕迹泄露(如口令密钥等保管不善
,被非法用户获得)等
 操作失误(偶然删除文件、格式化硬盘、线路拆除等),意外
疏漏(系统掉电、“死机”等系统崩溃)。
 安全控制措施
 操作系统的安全控制
 网络接口模块的安全控制
 网络互连设备的安全控制
Page
22
安全服务
 安全机制是利用密码算法对重要而敏感的数据进行处理
 安全连接是在安全处理前与网络通信方之间的连接过程
 安全协议
 安全策略
Page
23
防火墙技术
 防火墙(Firewall)技术
 分组过滤
这是一种基于路由器的防火墙。它是在网间的路由器中按网络安
全策略设置一张访问表或黑名单。防火墙的职责就是根据访问表(
或黑名单)对进出路由器的分组进行检查和过滤、凡符合要求的放
行,不符合的拒之门外。这种防火墙简单易行,但不能完全有效
地防范非法攻击。
 代理服务
是一种基于代理服务的防火墙,它的安全性高,增加了身份认证
与审计跟踪功能,但速度较慢。
Page
24
访问控制技术
 除了计算机网络硬设备之外,网络操作系统是确保计算机
网络安全的最基本部件。它是计算机网络资源的管理者,
如果它具有安全的控制策略和保护机制,便可以将非法人
侵者拒之门外。否则,非法人侵者便可攻破设防而非法获
取资源。网络操作系统安全保密的核心是访问控制,即确
保主体对客体的访问只能是授权的,未经授权的访问是不
允许的,而且操作是无效的。因此,授权策略和授权机制
的安全性显得特别重要。
 物理隔离:使必须隔离的进程使用不同的物理客体。
 时间隔离:使具有不同安全要求的进程在不同的时间运行
 逻辑隔离:实施存取控制,使进程不能存取允许范围以外
的客体。
 密码隔离:使进程以一种其它进程不能解密的方式险蔽数
据以及计算。
Page
25
服务器安全
 目前服务器常用的操作系统有三类:
• Unix
• Linux
• Windows
 UNIX系统





(1)可靠性高
(2)极强的伸缩性
(3)网络功能强
(4)强大的数据库支持功能
(5)开放性好
 Linux系统
Page
26
服务器安全
 Linux系统
 完全免费
 完全兼容POSIX 1.0标准
 多用户、多任务
 良好的界面
 丰富的网络功能
 可靠的安全、稳定性能
 支持多种平台
 Windows系统
 支持多种网络协议
 内置Internet功能
 支持NTFS文件系统
Page
27
入侵检测系统
 入侵检测系统IDS(Intrusion Detection System)指的是
一种硬件或者软件系统,该系统对系统资源的非授权使用
能够做出及时的判断、记录和报警。没有一个应用系统不
会发生错误,原因主要有四个方面。
 缺乏共享数据的机制
 缺乏集中协调的机制
 缺乏揣摩数据在一段时间内变化的能力
 缺乏有效的跟踪分析
Page
28
入侵检测的方法
入侵检测方法有三种分类依据:
 根据物理位置进行分类。
 根据建模方法进行分类。
 根据时间分析进行分类。
常用的方法有三种:
 静态配置分析
 异常性检测方法
 基于行为的检测方法。
Page
29
入侵检测的步骤
 入侵检测的步骤
 信息收集
 数据分析
根据数据分析的不同方式可将入侵检测系统分为两类:
 异常入侵检测
 误用入侵检测
 响应
 将分析结果记录在日志文件中,并产生相应的报告。
 触发警报:如在系统管理员的桌面上产生一个告警标志 位,向系统
管理员发送传呼或电子邮件等等。
 修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连
接,或更改防火墙配置等。
Page
30
如何保障信息安全
• 人是最关键的因素
判断威胁来源,综合认为因素和系统自身逻辑与物理上诸
多因素在一起,归根结底,还是人起着决定性的作用
正是因为人在有意(恶意攻击)或无意(误操作、误配置)
间的活动,才给信息系统安全带来了隐患和威胁
• 信息资产对我们很重要,是要保护的对象
• 威胁就像苍蝇一样,挥之不去,无所不在
• 资产自身又有各种弱点,给威胁带来可乘之机
• 面临各种风险,一旦发生就成为安全事件、事故
Page
31
如何保障信息安全
我们应该.....
•
•
•
•
严防威胁
消减弱点
应急响应
保护资产
Page
32
安全是一个连续的过程
分析阶段: 需求分析、漏洞扫描
保护阶段: 防火墙、VPN 、防病毒
检测阶段: 入侵检测、授权、认证、签名
管理阶段: 审计系统、访问控制
恢复阶段: 数据备份、系统恢复
Page
33
结束!
Page
34