我国互联网网络安全与应急响应发展与现状.ppt

我国互联网网络安全与应急响应 发展与现状 主题 互联网网络安全面临重大挑战 我国互联网网络安全应急工作现状 应急组织、策略和方法 互联网网络安全应急工作展望 结论 互联网网络安全面临重大挑战 网络安全漏洞大量存在 数据来源CERT/CC网站 网络安全漏洞大量存在 Windows十大安全隐患 Web服务器和服务 工作站服务 Windows远程访问服务 微软SQL服务器 Windows认证 Web浏览器 文件共享 LSAS Exposures 电子邮件客户端 即时信息 Unix十大安全隐患 BIND域名系统 Web服务器 认证 版本控制系统 电子邮件传输服务 简单网络管理协议 开放安全连接通讯层 企业服务NIS/NFS 配置不当 数据库 内核 来源SANS研究报告 网络安全漏洞发展趋势 利用漏洞发动攻击的速度加快： Symantec统计，2004年上半年，漏洞公布到攻击代 码出现时间：5.8天 威胁程度不断增加 2004年1-6月，有攻击代码的漏洞中64%属于高度危 险，36%属于中度危险 漏洞利用分析人员兴趣的变化 Web应用的漏洞越来越多 Symantec统计，2004年上半年公布了479个与Web应 用有关的漏洞，占总数的39% 病毒、蠕虫、木马等在互联网上 大行其道 事例 1988年11月：Morris蠕虫，互联网主体瘫痪 1989年10月：Wank蠕虫 2001年：红色代码、尼姆达蠕虫事件 2003年：SQL SLAMMER、口令蠕虫事件、冲击波蠕 虫事件 2004年5月：震荡波蠕虫事件 相互结合，危害无穷 “红色代码”将网络蠕虫、计算机病毒、木马程序合 为一体 CNCERT/CC通过抽 样监测发现，仅20042004 年上半年年上半年，我国遭到 Mydoom蠕虫、利用 RPC漏洞和LSASS漏 洞的几类主要蠕虫攻 击的主机数目接近 200万台 网络安全造成损失越来越大 网络堵塞 SQL SLAMMER：2003年1月25日发作,造成大面积网络拥 塞，部分骨干网络瘫痪，韩国网络基本处于瘫痪状态,我国 境内感染主机22600余台 业务停顿 2001年的红色代码蠕虫就曾经导致航空售票系统瘫痪，旅 客滞留机场的事件 类似事件还有网上招生停顿、网上交易中断等，威胁生命 ？ 造成的财产损失难以估计，数字绝非耸人听闻 2001年，尼姆达蠕虫造成的损失估计大大超过26亿美元 今日美国报道：黑客每年给全世界电脑网络带来的损 失估计高达100多亿美元 切肤之痛？ 攻击手段越发“高超” 漏洞发布到攻击出现的时间越来越短 Witty蠕虫事件 花样翻新，防不胜防 尼姆达蠕虫：通过email、共享网络资源、 IIS服务器传播 变种速度令人惊叹 黑客：从单打独斗到“精诚”合作 Botnet 攻击程序日益自动化、并辍手可得 攻击范围和时间的变化 全面框架 区域网络 多个局域网 单个局域网 单个pc 目标和破坏 的范围 1980s1990sTodayFuture 第一代 Boot viruses Weeks 第二代 Macro viruses Denial of service Days 第三代 Distribute d denial of service Blended threats Minutes 下一代 Flash threats Massive worm- driven DDoS Damagin g payload worms Seconds 快速变化的威胁 攻击复杂度与攻击者的技术水平 高 低 19801985199019952000 猜口令 自我复制程序 口令破解 攻击已知漏洞 破坏审计 后门程序 干扰通信 手动探测 窃听 数据包欺骗 图形化界面 自动扫描 拒绝服务 www攻击 工具 攻击者 攻击者的 知识水平 攻击的复杂度 隐秘且高级的扫描工具 偷窃信息 网管探测 分布式攻击工具 新型的跨主机工具 2004年网络安全热点 网站仿冒（Phishing） 建立假网站 通过垃圾邮件发送服务器大量发信引诱用户访问 使用中奖、系统升级等手段诱使用户输入个人信息 主要针对银行和信用卡服务机构 2004年网络安全热点 基于Botnet的网络敲诈 大量主机被安装了BOT 黑客可以通过IRC服务器实施控制 随时可能发动攻击 BOT可以进行升级，扩大攻击能力 2004年网络安全热点 手机和无线网络（WLAN）的安全 2004年，针对使用Symbian的兰牙手机的 病毒出现 针对使用PocketPC的验证性攻击程序也 被发现 手机功能和操作系统通用性不断增强， 会有越来越多针对手机的攻击 WLAN安全性一直是其应用的关键问题 2004年出现了可利用来对IEEE 1278.11b 无线接入点进行拒绝服务攻击的漏洞 我国互联网网络安全应急 工作现状 国家整体安全战略需要 国家信息化领导小组第三次会议上强调： “加强信息安全保障工作，重点在于坚持 积极防御、综合防范；全面提高信息安全防 护能力；重点保障信息网络和重要信息系统 安全；创建安全健康的网络环境；保障和促 进信息化发展，保护公众利益，维护国家安 全；立足国情、以我为主、管理与技术并重 、统筹规划、突出重点；发挥各界积极性， 共同构筑国家信息安全保障体系国家信息安全保障体系。” 国家整体安全战略需要 关于加强信息安全保障工作的意见 （中办发2003 27号文）指出：“信息安全保障 工作的要点在于，实行信息安全等级保护制度 ，建设基于密码技术的网络信任体系，建设信 息安全监控体系，重视信息安全应急处理工作重视信息安全应急处理工作 ，推动信息安全技术研发与产业发展，建设信 息安全法制与标准” 国家信息安全战略的近期目标：通过五年五年的努 力，基本建成国家信息安全保障体系。 网络安全应急工作的基本目标 积极预防 及时发现 快速响应 确保恢复 网络安全应急工作的基本原则 加强领导 统一指挥 分工负责 积极预防 常备不懈 及时预警 协作配合 快速处理 确保恢复 互联网网络安全应急预案 组织体系和职责 明确责任、组织保障 预警和预防机制 事件分级、监测、预警预防、平台要求 应急响应 分级响应、及时通报/上报信息、协调配合 后期处置 总结、奖惩评定及表彰 应急保障准备 预案、队伍、培训、经费、演练、联络机制、监督检 查、技术储备 互联网网络安全应急预案 提出的要求举例 各经营性互联单位配合CNCERT/CC，每天12 时以前采集其互联网24小时内的运行状态数 据 发生二级/报警网络安全事件，CNCERT/CC 要在8小时内提出建议方案； 发生二级/报警网络安全事件，12小时要上报 事件动态 如何落实？ 我国公共互联网应急体系 从无到有 从小到大 从弱到强 从点到面 正面经验：2003.SQL Slammer/口令蠕虫 组织：CNCERT/CC；CCERT；各运营商 CERT；国际组织 效率：两小时判断情况，半天控制局势 总结： 应急体系发挥了重要作用 潜在的问题还有很多 CNCERT/CC简介 国家计算机网络应急技术协调处理中心 2000年成立，2003年7月中编办批准现名 英文“National Computer network Emergency Response technical Team/Coordination Center of China” 职责和定位 “在信息产业部互联网应急处理协调办公室的直接领导 下,负责协调我国各计算机网络安全事件应急小组 (CERT)共同处理国家公共互联网上的安全紧急事件， 为国家公共互联网、国家主要网络信息应用系统以及 关键部门提供计算机网络安全的监测、预警、应急、 防范等安全服务和技术支持,及时收集、核实、汇总、 发布有关互联网安全的权威性信息,组织国内计算机网 络安全应急组织进行国际合作和交流的组织。 目前具备的主要能力 大规模异常事件的发现能力 理论上确认大规模网络安全事件所需要时间不 到原来的十分之一 重大网络安全事件的初步监测分析能力 包括感染范围和速度、控制效果、对网络的 影响情况等 攻击事件的分布式自动验证 拓扑发现和定位分析 分布式问题网站发现系统 2004年1-10月接到事件报告情况 与国际应急组织密切合作 Global Problem, Global Solution：跨国进行的计算机 攻击事件的处理推动了国际应急组织的合作 2002年8月，成为FIRST正式成员 APCERT创始成员和指导委员会成员 同韩国、日本、马来西亚、巴西、澳大利亚多个国 家CERT组织保持密切的合作 开始与东盟、泛美、欧洲等地区CERT组织建立合作 渠道 应急组织、策略和方法 一些建议 面临的基本问题 如何用合理的投入，使组织面临的整体 网络安全风险降低到可以接受的程度 安全是相对的，不是绝对的 不同层面：国家、企业、个人 是否真正知道面临哪些风险？ 如何描述风险？ 安全的水平不是用投入多少来衡量？ 如何保障整体的安全 有明确整体的网络安全策略 适合组织需要的网络安全应急小组（至少 应该有POC） 详细的规章、流程、手册，并真正得到贯 彻 建立监测技术平台与应急工具库 开展应急培训、演练 网络安全知识、信息、经验积累、共享与 交换 提高组织和个人网络安全意识 网络安全应急组织基础 计算机安全事件相应小组 CSIRT: Computer Security Incident Response Team 负责在确定的组织范围内，执行、协调、支 持对计算机实践做出响应的小组 CNCERT/CC、CCERT 理解组织自身的需要 为什么需要CSIRT? 组织的现状? 部门之间如何联系？负责人？ 需要说服那些关键人物? 现有的基础：内部的和外部的? 事件处理小组？安全流程?安全策略?法规?标准 ? 带来哪些好处，存在哪些障碍? CSIRT对整体整体目标带来哪些好处？ 商业优势、投资回报? 看看国外的情况 全球应急组织论坛 亚太应急组织 欧洲安全事件交换计划 事件处理的一般阶段 第一阶段：准备让我们严阵以待 第二阶段：确认对情况综合判断 第三阶段：封锁制止事态的扩大 第四阶段：根除彻底的补救措施 第五阶段：恢复备份，顶上去！ 第六阶段：跟踪还会有第二次吗 Handling the Incident 恢复 Recovery 根除 Eradication 发现 Identification 预防 Preparation 控制 Containment 跟踪 Follow up Analysis Incident Response Life CycleIncident Response Life Cycle 第一阶段准备 预防为主 帮助服务对象建立安全政策 帮助服务对象按照安全政策配置安全 设备和软件 扫描，风险分析，打补丁 如有条件且得到许可，建立监控设施 应急联络机制 建立事件报告的机制和要求 建立事件报告 流程和规范 Intranet Phone Email Who?Who? What?What? When?When? Where?Where? How?How? Reporting MechanismsReporting Mechanisms 第二阶段确认 确定事件的责任人 指定一个责任人全权处理此事件 给予必要的资源 确定事件的性质 误会？玩笑？还是恶意的攻击/入侵？ 影响的严重程度 预计采用什么样的专用资源来修复？ 第三阶段封锁 即时采取的行动 防止进一步的损失，确定后果 确定适当的封锁方法 咨询安全政策 确定进一步操作的风险 损失最小化 可列出若干选项，讲明各自的风险， 由服务对象选择 第四阶段根除 长期的补救措施 确定原因，定义征兆 分析漏洞 加强防范 消除原因 修改安全政策 第五阶段恢复 被攻击的系统由备份来恢复 作一个新的备份 把所有安全上的变更作备份 服务重新上线 持续监控 第六阶段跟踪 关注系统恢复以后的安全状况 ，特别是曾经出问题的地方 建立跟踪文档，规范记录跟踪 结果 对响应效果给出评估 网络安全应急技术基础 入侵检测系统 调查分析系统 事件描述与交换系统 事件管理系统 备份恢复系统 应急专用工具(扫描器、补丁管理) 网络安全管理平台(SOC) 更多 响应应式服务务预预防式服务务安全质质量管理服务务 警报报和警告 事件处处理 -事件分析 -现场现场 事件响应应 -事件响应应支持 -事件响应协调应协调 安全漏洞处处理 -安全漏洞分析 -安全漏洞响应应 -安全漏洞响应协调应协调 Artifact处处理 -Artifact分析 -Artifact响应应 -Artifact响应协调应协调 o 公告 o 技术监测术监测 o 与安全审计评 估 o 安全工具、应用 程序和基础设 施 的配置和维护 o 安全工具的开发 o 入侵检测 服务 o 安全有关的信息 的传传播 风险 分析 服务持续性和灾 难恢复规划 安全性咨询 建立安全意识 教育/培训 产品评估或认证 应急是一种服务 应急人员的基本素质 基本的专业知识，最好拥有专门的 认证 超强的学习能力，跟上网络安全事 件发展 良好的沟通交流能力 丰富的事件处理、分析、调查经验 撰写规范的事件处理报告的能力 互联网网络安全应急工作展望 道高？魔高？ 攻击者： 发现漏洞 编写攻击代码 (测试) 执行攻击 防御者： 发现漏洞 发布消息 开发补丁程序 发布补丁 风险检查 监测攻击 分析恶意代码 控制传播Propagation Control 发布补丁和工具 恢复被入侵系统 升级/调整/评估 对手有多快？ 漏洞随时被发现 攻击代码出现加快:6天甚至更快 零日攻击开始出现 10到30分钟使整个互联网瘫痪已经成为可 能 Well, how fast can we be, then ? 很长的路要走 典型漏洞引发的安全事件数量 变化曲线 Time 事件数量 发现漏洞 公布漏洞 公布补丁程序 实施补丁安装 CSIRT厂商/ 协调机构 职责划分 CSIRT开始行动 CSIRT开始行动 CSIRT开始行动 CSIRT开始行动 CSIRT开始行动 应对大规模的主动攻击 如何对付DDoS、BotNet等大范围跨域的 大规模网络攻击？ 快速控制、追查源头、彻底清除、调查取证 被利用来进行犯罪活动，DDoS攻击造成损 失越来越大 经济影响和社会影响 如何真正解决这些问题？ 实时跨网防御概念 Real-time Inter-network Defense (RID) n Trace Security Incidents to the Sou