1、网络安全新技术的发展及防范Page 1目录目录网络安全防范手段12常见攻击技术解析信息系统中的威胁信息系统中的威胁Page 33新型攻击方法新型攻击方法 伪造基站攻击 BIOS后门攻击 高斯病毒 水坑攻击 短信僵尸攻击 雾计算Page 4伪造基站攻击伪造基站攻击 该伪造基站能监控频率为:900、1800和1900MHZ。控制者通过SMS短信方式对伪造基站进行监控。系统特点:n 可以监控200个电话号码n 网络自动配置n 区域覆盖能力强n 远程操作n 远程重启n 额外电源Page 5伪造基站攻击示意图伪造基站攻击示意图Page 6BIOS后门攻击后门攻击 该攻击一般入侵设备的BIOS,然后驻留其
2、中,开放接口,供后台人员使用,最早常见于X86系统,近年有蔓延趋势。我们常见的网络核心节点路由器、交换机、防火墙等设备都可能遭受此类攻击。下面介绍目前已经存在的几种设备的攻击:华为路由器、思科防火墙、juniperPage 7BIOS后门攻击后门攻击华为华为 华为路由器后门:通过升级华为路由器固件安装,在设备重启后,后门软件寻找补丁点,修改网络输入数据处理流程,可以实现命令解析、数据分析、设备控制等功能Page 8BIOS后门攻击后门攻击-Cisco Cisco PIX防火墙后门:在系统启动时,修改防火墙固件操作系统,安装后门程序。该后门应用于Cisco 500系列防火墙和ASA防火墙(550
3、5、5510、5520、5540、5550)等Page 9BIOS后门攻击后门攻击-juniper Juniper防火墙后门:在系统启动时,修改防火墙固件操作系统,安装后门程序。该后门可用于NetScreen防火墙、ns5xt、ns50、ns200、ns500和ISG1000等Page 10高斯病毒高斯病毒 该病毒能够在暗中监视银行交易状况,并盗取社交网站、电子邮件和即时通讯系统用户的登录信息。可能与“震网(Stuxnet)”病毒出自相同的实验室。外界广泛认为美国和以色列已经使用“震网”这种计算机蠕虫病毒对伊朗的核项目实施攻击。目前已发现有2500多台个人计算机遭“高斯”病毒感染。其中大部分计
4、算机在黎巴嫩、以色列以及巴勒斯坦领土境内。该病毒的袭击目标包括黎巴嫩的BLOM银行、比卜鲁斯银行和黎巴嫩信贷银行,以及花旗银行集团旗下的花旗银行和PayPal公司的网络支付系统。Page 11高斯高斯-网络病毒网络病毒Page 12卡巴斯基实验室近日发表声明称,在中东地区发现了一种新型网络病毒“高斯(Gauss)”。该病毒能够在暗中监视银行交易状况,并盗取社交网站、电子邮件和即时通讯系统用户的登录信息。卡巴斯基表示,在对“震网”、Duqu和“火焰”病毒进行分析后,可以非常确定地断言,“高斯”病毒由相同的“工厂”编写。水坑攻击水坑攻击 所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻
5、找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似动物世界纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。在技术日新月异的今天,网络攻防永无止日。技术的发展使得网络攻击形态不断变化,并衍生出不少新的攻击方法,水坑攻击便是其中一种。根据权威报告显示,水坑攻击已经成为APT攻击的一种常用手段,影响范围也越来越广。Page 13水坑攻击水坑攻击 水坑攻击属于APT攻击的一种,与钓鱼攻击相比,黑客无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强。在人们安全意识不断加强的今天,黑客处心积虑地制作钓
6、鱼网站却被有心人轻易识破,而水坑攻击则利用了被攻击者对网站的信任。水坑攻击利用网站的弱点在其中植入攻击代码,攻击代码利用浏览器的缺陷,被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。因此,水坑攻击相对于通过社会工程方式引诱目标用户访问恶意网站更具欺骗性,效率也更高。水坑方法主要被用于有针对性的间谍攻击,而Adobe Reader、Java运行时环境(JRE)、Flash和IE中的零日漏洞被用于安装恶意软件。Page 14水坑攻击水坑攻击 的攻击流程的攻击流程Page 15短信僵尸短信僵尸“短信僵尸”木马伪装成动态壁纸安装到用户手机后,会诱导用户安装名为“Android系统服务
7、”的恶意软件子包,激活该服务后,“短信僵尸”就会通过服务器远程控制。该木马不但能通过服务器远程下发关键词等方式,持续监看用户短信中指定的重要隐私信息;还能随时把受害者的手机号、银行卡、信用卡以及账单支付等特定网银信息发送到木马作者指定的手机号;与此同时,还可利用中毒手机自动发送诈骗短信。该木马通过服务器远程控制,可以手机机主的名义向通讯录中的联系人发送短信。此外,该木马还可伪造发信人地址,以此实现“钓鱼”短信诈骗。Page 16“短信僵尸短信僵尸”高危手机间谍木马高危手机间谍木马Page 17雾计算雾计算 雾计算技术最初是AST 公司为保障云计算环境中的用户信息安全而开发的。由于云计算带来了新
8、的计算和通信模式,已有的数据保护机制已不能满足云环境下信息安全的要求,特别是来自云环境内部的数据攻击和偷窃行为比来自外部的攻击更加容易,危害也更大。为此,AST公司提出了一种诱捕信息技术(亦称为假情报技术),通过该技术可以监控云环境中来自内部的数据访问,并能够侦测到异常的数据访问模式。当侦测到未经授权的内部访问时,系统会向访问者发送大量迷雾般的虚假信息,并通过追踪这些信息的分发和使用情况来锁定恶意访问者。因此,AST 公司将此项技术称为雾计算技术。Page 18雾计算系统框架雾计算系统框架Page 19网络安全网络安全CIA属性属性n 完整性 完整性是网络信息未经授权不能进行改变的特性,即网络
9、信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。保障网络信息完整性的主要方法有:n 协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的 字段、失效的字段和被修改的字段;n 纠错编码方法:由此完成纠错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法;n 密码校验和方法:它是抗篡改和传输失败的重要手段;n 数字签名:保障信息的真实性;n 公证:请求网络管理或中介机构证明信息的真实性。n 不可抵赖性 不可抵赖性也称作不可否认性。在网络信息系统的信息交互过程中,确信参与者的真实同一性,即,所有参与者都不可能否认或抵赖曾经完成的操作和承诺。n
10、可控性 可控性是对网络信息的传播及内容具有控制能力的特性。Page 20信息安全意识信息安全意识Page 21物理安全物理安全n 自然灾害(地震、火灾、洪水等)、物理损坏(硬盘损坏、设备使用寿命到期、外力破损等)、设备故障(停电断电、电磁干扰等)n 电磁辐射(如侦听微机操作过程),乘机而入(如合法用户进入安全进程后半途离开),痕迹泄露(如口令密钥等保管不善,被非法用户获得)等 n 操作失误(偶然删除文件、格式化硬盘、线路拆除等),意外疏漏(系统掉电、“死机”等系统崩溃)。安全控制措施n 操作系统的安全控制 n 网络接口模块的安全控制 n 网络互连设备的安全控制 Page 22安全服务安全服务n
11、 安全机制是利用密码算法对重要而敏感的数据进行处理n 安全连接是在安全处理前与网络通信方之间的连接过程 n 安全协议 n 安全策略 Page 23防火墙技术防火墙技术 防火墙(Firewall)技术n 分组过滤 这是一种基于路由器的防火墙。它是在网间的路由器中按网络安全策略设置一张访问表或黑名单。防火墙的职责就是根据访问表(或黑名单)对进出路由器的分组进行检查和过滤、凡符合要求的放行,不符合的拒之门外。这种防火墙简单易行,但不能完全有效地防范非法攻击。n 代理服务 是一种基于代理服务的防火墙,它的安全性高,增加了身份认证与审计跟踪功能,但速度较慢。Page 24访问控制技术访问控制技术 除了计
12、算机网络硬设备之外,网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者,如果它具有安全的控制策略和保护机制,便可以将非法人侵者拒之门外。否则,非法人侵者便可攻破设防而非法获取资源。网络操作系统安全保密的核心是访问控制,即确保主体对客体的访问只能是授权的,未经授权的访问是不允许的,而且操作是无效的。因此,授权策略和授权机制的安全性显得特别重要。n 物理隔离:使必须隔离的进程使用不同的物理客体。n 时间隔离:使具有不同安全要求的进程在不同的时间运行n 逻辑隔离:实施存取控制,使进程不能存取允许范围以外的客体。n 密码隔离:使进程以一种其它进程不能解密的方式险蔽数据以及计算。P
13、age 25服务器安全服务器安全n 目前服务器常用的操作系统有三类:Unix Linux Windows UNIX系统 n(1)可靠性高n(2)极强的伸缩性n(3)网络功能强n(4)强大的数据库支持功能n(5)开放性好 Linux系统Page 26服务器安全服务器安全n Linux系统n完全免费n完全兼容POSIX 1.0标准n多用户、多任务n良好的界面n丰富的网络功能n可靠的安全、稳定性能n支持多种平台n Windows系统 n支持多种网络协议 n内置Internet功能 n支持NTFS文件系统 Page 27入侵检测系统入侵检测系统 入侵检测系统IDS(Intrusion Detectio
14、n System)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。没有一个应用系统不会发生错误,原因主要有四个方面。n缺乏共享数据的机制n缺乏集中协调的机制n缺乏揣摩数据在一段时间内变化的能力n缺乏有效的跟踪分析Page 28入侵检测的方法入侵检测的方法入侵检测方法有三种分类依据:n 根据物理位置进行分类。n 根据建模方法进行分类。n 根据时间分析进行分类。常用的方法有三种:n 静态配置分析n 异常性检测方法n 基于行为的检测方法。Page 29入侵检测的步骤入侵检测的步骤 入侵检测的步骤 n 信息收集n 数据分析 根据数据分析的不同方式可将入侵检测系统
15、分为两类:n 异常入侵检测n 误用入侵检测n 响应n 将分析结果记录在日志文件中,并产生相应的报告。n 触发警报:如在系统管理员的桌面上产生一个告警标志 位,向系统管理员发送传呼或电子邮件等等。n 修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连接,或更改防火墙配置等。Page 30如何保障信息安全如何保障信息安全 人是最关键的因素 判断威胁来源,综合认为因素和系统自身逻辑与物理上诸多因素在一起,归根结底,还是人起着决定性的作用 正是因为人在有意(恶意攻击)或无意(误操作、误配置)间的活动,才给信息系统安全带来了隐患和威胁 信息资产对我们很重要,是要保护的对象 威胁就像苍蝇一样,挥之不去,无所不在 资产自身又有各种弱点,给威胁带来可乘之机 面临各种风险,一旦发生就成为安全事件、事故Page 31如何保障信息安全如何保障信息安全我们应该.严防威胁 消减弱点 应急响应 保护资产Page 32安全是一个连续的过程安全是一个连续的过程Page 33分析阶段:管理阶段:检测阶段:恢复阶段:保护阶段:需求分析、漏洞扫描防火墙、VPN、防病毒入侵检测、授权、认证、签名审计系统、访问控制数据备份、系统恢复Page 34结束!
