增值业务平台的安全防范与实施.ppt

增值业务平台的安全防范与实施,日程安排,国内外近期安全形势系统主要的安全风险系统安全保障典型的安全措施,国内外近期安全形势,目录,国际信息安全威胁国内信息安全特点重大安全事件回顾信息安全现状特点,国际信息安全威胁,恶意代码和僵尸网络威胁逐渐增加2006年下半年，全球共有超过600万个僵尸(Bots)网络。与上半年相比，受到感染而被远程黑客控制的计算机数量增加了29%。2006年下半年，排名前50的恶意代码样本中，木马程序占45%，相较于2006年上半年增加了23%。2006年下半年一共发现了12个零日攻击漏洞，远远超过2006年上半年所发现的1个零日攻击漏洞美国发生恶意活动的比例最高，占全球的31。中国次之，占10；德国第三，占7,国际信息安全威胁,数据窃取和泄漏攻击增加为了获取利益而以特定组织为目标的攻击不断增加，进而建立全球性的协作网络犯罪分子和犯罪组织使用地下交易服务器兜售所窃取的机密信息的服务器，这些信息包括社会安全号码(SSN)、信用卡、银行卡、个人识别码(PINs)以及电子邮件地址列表2006年下半年，全球所有已知的地下交易服务器中，有51%位于美国。美国的信用卡(具有信用卡验证卡号)，可以美金1元至6元间的价格购得。而一个含有美国银行账号、信用卡、出生日期以及政府所发的识别码的身份账号，也可以美金14元至18元间的价格购得。,国际信息安全威胁,数据破坏导致身份盗用现象增长全球的数据破坏大多危及政府部门，占总数的25%。由于其存储位置分散，可访问人群较为复杂，因此攻击者更容易获得未经授权的数据访问。复杂的垃圾邮件以及网络诈欺方式持续攀升2006年下半年，垃圾邮件占所监测的电子邮件总量的59%，相较于2006年上半年呈现稳定增加的趋势。因为炒作股票的诈欺邮件(PumpandDump)增加，导致30%的垃圾邮件与金融产品或服务有关。2006年下半年，统计到166,248条不同的网页仿冒信息，相当于平均每天904条，比2006年上半年高出6%。,目录,国际信息安全威胁国内信息安全特点重大安全事件回顾信息安全现状特点,国内信息安全特点,信息系统漏洞不断增长攻击行为趋利化，手段多样恶意代码目的性强，僵尸网络发展迅速针对dns和域名转发攻击增多,信息系统漏洞增长,美国CERT/CC统计，该组织2006年全年收到信息系统安全漏洞报告8064个，平均每天超过22个，与2005年同期相比增长了34.6%,攻击行为趋利化，手段多样,攻击手段多样，以获取利益为最终目标,攻击行为趋利化，手段多样,恶意代码产业链形成，受害主机大幅增加,僵尸网络发展迅速,流行的恶意代码侧重于控制用户系统并进而组成僵尸网络2007年上半年CNCERT/CC监测到感染僵尸网络的主机总数达520多万,针对dns和域名转发攻击增多,可将用户引诱到钓鱼网站或含有恶意代码的网站,2007年上半年网络安全事件概况,网络仿冒比06年全年增加14.65%网页恶意代码比06年全年增加14.65%被木马控制主机比06年全年增加21倍篡改网站数量比06年同期增加4倍,目录,国际信息安全威胁国内信息安全特点重大安全事件回顾信息安全现状特点,重大安全事件回顾,2006年8月8日，微软公司发布了例行安全公告，公告中的MS06-040漏洞（远程服务的溢出攻击漏洞）的攻击代码已经出现。截至8月18日，共发现感染“魔波”蠕虫的IP地址105万个，其中中国大陆境内为12.5万个。“Nimaya（熊猫烧香）”病毒在2007年初出现流行趋势。该病毒具有感染、传播、网络更新、发起分布式拒绝服务攻击（DDoS）等功能。“熊猫烧香”的传播方式同时具备病毒和蠕虫的特性，危害较大。后来注意到“熊猫烧香”在更新时所采用的机制是定期访问特定的网站，而且这些网站服务器位于国内。最终确定是位于江苏的一台服务器。截至到2月底，监测发现11万个IP地址的主机被“熊猫烧香”病毒感染。,重大安全事件回顾,2007年1月，某招商网站遭到持续一个月的DDoS攻击，流量峰值达到1G。在对被攻击网站提供的日志进行初步分析后，发现被黑客控制的部分计算机，这些计算机基本都是属于网吧、局域网和ADSL用户，2月初，通过对感染恶意代码的ADSL用户的机器进行了深入分析，发现黑客是利用重庆市的一台服务器作为跳板，而最终的控制服务器位于福建省。北京联众公司自4月26日以来其托管在上海、石家庄IDC机房的13台服务器分别遭受到大流量的DDoS拒绝服务攻击，攻击一直从4月26日持续到5月5日，其攻击最高流量达到瞬时700M/s。致使服务器全部瘫痪，在此服务器上运行的其经营的网络游戏被迫停止服务，经初步估算其经济损失为3460万人民币。北京市网监处成功的获取了犯罪团伙实施DDoS攻击的证据，并及时将4名犯罪嫌疑人一举抓获。,重大安全事件回顾,07年三季度，某国家特大型企业某中层领导（司局级）电脑中约200份重要文件被台湾黑客窃取，其中涉及该行业的十一五发展规划等国家机密07年，某国家特大型企业信息网internet接口防火墙失效，导致该企业内网暴露于公网之上，损失不详,目录,国际信息安全威胁国内信息安全特点重大安全事件回顾信息安全现状特点,国家政策和法规,2003年9月中办国办颁发关于加强信息安全保障工作的意见中办发200327号,2005年9月国信办文件关于转发电子政务信息安全等级保护实施指南的通知国信办200425号,2006年1月四部委会签关于印发信息安全等级保护管理办法的通知公通字20067号,2005年国标送审稿基本要求定级指南实施指南测评准则,2004年11月四部委会签关于信息安全等级保护工作的实施意见公通字200466号,国家级政策文件,国家级技术标准,国家级政策文件,2006年6月公安部关于开展等级保护试点工作的通知公信安2006573号,信息安全风险评估规范、信息安全风险管理规范、信息安全事件管理指南、信息系统灾难恢复规范,安全攻击特点和趋势（1）,黑客工具：数量越来越多，而且越来越易用，并且其造成的影响也越来越大。黑客的知识技能：正因为以上工具的易用性，对于黑客入侵所需要的知识技能也越来越低。漏洞被利用的时间越来越短，目前，宣布发现软件安全漏洞和利用这个安全漏洞的时间从三年前的185天缩短到了1天。Trend公司,黑客工具越来越多,攻击者技能要求越来越低,从展示、炫耀技巧到以追求经济利益为目的如利用虚假网站进行的网络钓鱼，盗取上网用户银行帐号，进而窃取资金；在普通用户的上网终端中植入控制软件，用于“监听”用户行为，并用来作为攻击重要目标的跳板，成为网络犯罪事件的牺牲品、替罪羊；,安全攻击特点和趋势(2),内部工作人员、第三方技术支持人员利用对内部信息的了解、拥有的权限以及业务流程漏洞，实施信息安全犯罪。,安全攻击特点和趋势(3),日程安排,国内外近期安全形势系统主要的安全风险系统安全保障典型的安全措施,系统主要弱点,大部分机器都可以主动访问internet。各系统管理员组的用户较多,一般为3到5个,需要确认是否需要这么的管理员权限用户,尽量控制管理员权限的用户。相关组件版本偏低：RealVNC4.1.1以下存在远程认证绕过漏洞建议升级所有RealVNCserv-u存在本地权限提升漏洞。建议升级。,网络层的主要弱点,防火墙策略不够严格.各系统之间没有进行严格的访问控制缺乏必要的审计和监控措施。,WEB应用程序安全,常见WEB攻击方法SQLInjectionCookie欺骗跨站脚本攻击信息泄漏漏洞文件读写脚本存在的安全隐患GOOGLEHACKING,Sqlinjection攻击技术介绍,WebServer,DB,DB,Webapp,WebClient,Webapp,Webapp,Webapp,InputValidationattacks,ExtendSQLstatements,URLInterpretationattacks,Get/list.asp?id=1;delete.可能的攻击发生在一个对web程序对数据库的查询请求,SQLInjection的概念,来自于用户的输入web应用程序没有对其进行检查，导致对数据库进行操作的语句直接按照攻击者的意愿执行web程序的编程语言的无关性、多于数据库自身的特性有关大量的可以利用的数据库,SQLInjection演示,SQLInjection演示,代码泄露,跨站脚本攻击,跨站脚本攻击概念跨站脚本攻击简称XSS又叫CSS(CrossSiteScript)，它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。XSS属于被动式的攻击（并不对服务期本身造成伤害，但是可以利用xss漏洞得到其他客户的资料或者权限。），因为其被动且不好利用，所以许多人常呼略其危害性。XSS跨站漏洞可以获取特定网站的cookie通过伪造cookie的办法得到这个cookie在网站的使用权。或者使查看者跳转到另外一个网站的页面，这个页面就可以使用IE漏洞给访问者挂载木马或其他攻击手段。,跨站脚本,跨站脚本攻击,http:/XXX/notice/index.asp?branch=1审核策略”中打开相应的审核选项,Windows日志审核策略,通过配置适当的审核策略，可以详细的记录系统的相关信息。,Windows日志审计,事件查看器中记录了我们需要记录的所有系统日志信息。我们可以通过这些日志查出系统异常的蛛丝马迹,类UNIX系统日志审计,Linux、FreeBSD、Solaris、AIX、Hp-unix和Cisco交换机和路由器都是采用标准的Syslog协议格式进行日志的记录这里主要介绍Solaris9&10系统Solaris系统wtmp/utmp文件记录了系统的登录日志信息。使用last命令进行查询wtmp/utmp文件主要记录的内容包括：未授权的访问非法登录事件1分钟内多次登录的事件帐户登录时间,类UNIX系统日志审计,Solaris系统默认不记录错误登录尝试，需要手动创建日志文件日志记录的操作步骤如下：touch/var/adm/loginlogchmod600/var/adm/loginlogchownroot/var/adm/loginlog系统默认只记录连续5次错误登录尝试的帐户信息，系统会将其记录到/var/adm/loginglog文件中，用户可以通过#cat/var/adm/loginglog命令进行查询,类UNIX系统日志审计,Syslog进程日志通过syslog.conf配置文件可以查看日志文件的存储位置和记录哪些类型的信息Error、Warning类型中记录的是系统级别的信息，通过查看这两类信息可以判断出是否有可能被缓冲区溢出或者本地服务莫名被关闭Auth类型中记录的是帐号登录的信息，通过分析帐号登录时间、次数等信息判断有无异常登录情况,类UNIX系统日志审计,历史命令日志信息/.sh_history和/.bash_history文件记录的是历史操作命令信息。通过查看以上文件可以检测类似useradd、passwd、shadow等等带S位的各种命令的执行信息。SU命令日志信息/var/adm/sulog记录了su成功、失败的时间，通过查看su的帐号、时间、状态分析有无异常的权限提升行为。Crontab通过查看/var/cron/log记录，分析有无异常的计划任务。,IIS服务器日志审计,IIS5.0默认使用W3C扩充日志文件格式，可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、URI查询、协议状态、用户代理等信息,IIS服务器日志审计,IIS5.0的WWW日志文件默认存放位置为%systemroot%system32logfilesw3svc1建议不要使用默认的目录，更换一个记录日志的路径，同时设置日志访问权限，只允许管理员和SYSTEM为完全控制的权限,IIS服务器日志审计,日志文件的名称格式是：ex+年份的末两位数字+月份+日期，如2002年8月10日的WWW日志文件是ex020810.log。IIS的日志文件都是文本文件，可以使用任何编辑器打开，例如记事本程序。,Apache服务器日志审计,Apache服务器默认安装时，会生成access_log(windows下是access.log)和error_log(windows下是error.log)两个文件，linux下可以在/usr/local/apache/log下找到。Apache日志中记录了包括远程主机地址、浏览者标识、浏览者名字、请求时间、方法、URI资源、协议类型等信息。Apache典型记录格式：1-19/Aug/2000:14:47:370400GET/HTTP/1.0200654远程主机地址（1）。第一个“-”位置用于记录浏览者的标识，这不只是浏览者的登录名字，而是浏览者的email地址或者其他唯一标识符。第二个“-”用于记录浏览者进行身份验证时提供的名字。请求时间(19/Aug/2000:14:47:37)。0400”表示服务器所处时区位于UTC之前的4小时最后一项信息的典型格式是“METHODRESOURCEPROTOCOL”，即“方法资源协议”，记录收到一个什么样的请求。,Apache服务器日志审计,Apache日志中记录了包括远程主机地址、浏览者标识、浏览者名字、请求时间、方法、URI资源、协议类型等信息。Apache典型记录格式：1-19/Aug/2000:14:47:370400GET/HTTP/1.02