网络与信息安全专题报告ppt课件

.,1,网站安全管理,2013年7月,.,2,主题,一、网络安全问题概述二、门户网站主要安全威胁与对策三、门户网站具体防护技术手段四、常用安全分析软件介绍五、安全产品（硬件）介绍六、漏洞及攻击演示,.,3,一、网络安全问题概述,背景、安全问题的严重性；漏洞威胁概念、种类、安全问题种类及损失；衡量信息安全的标准；安全及安全防护的变化趋势。,.,4,背景,网络已全面融入生活、工作中网络带来巨大变革网络是一把双刃剑带来巨大的威胁,.,5,国内安全形势不容乐观,2013年3月19日，中国互联网应急中心发布了2012年我国互联网网络安全态势综述2012年网站被植入后门等隐蔽性攻击事件呈増长态势，网站用户信息成为黑客窃取重点，2012年CNCERT共监测发现我国境内52324个网站被植入后门，其中政府网站3016个，较2011年月均分别增长213.7%和93.1%。我国面临的境外攻击威胁依然严重。从控制服务器数量控制我国境内主机的数量、钓鱼网站托管地来看，美国均居首位。“匿名者”等黑客组织活动频繁，多次声称或实施针对我国政府网站的网络攻击。,.,6,国内安全形势不容乐观,国内安全形势不容乐观,.,7,国内安全形势不容乐观,近1个月，网络安全设备拦截了攻击厅门户网站和交易网共351次。,.,8,Internet设计初衷：开放、自由、无国界、无时间、空间限制；虚拟性；技术设计缺陷：TCP/IP、漏洞；攻击（工具）软件易获得性；计算机运算速度的加快:猜口令（8位小写字母及数字穷举，时间通常不超过30小时）；应用的复杂性；对网络的依赖性增强；易安置后门。,为什么如此脆弱,.,9,后门与漏洞,后门：美国等西方发达国家的情报机构，明确要求各大信息技术公司，在计算机通信、软件研究开发中，要按照他们的旨意设置后门和陷阱。windows计算机操作系统中都有可能预留了后门程序。漏洞：IBM公司专家认为大型软件1000-4000行程序就存在一个漏洞，象windwos系统5000万源程序可能存在20000个漏洞；微软windows操作系统已报道发现的缺陷达到2万余个，此外尚有未报道的漏洞。,.,10,网络安全存在的威胁,网络、信息系统,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,.,11,木桶原则,最大容积取决于最短的木快攻击者“最易渗透原则”目标：提高整个系统的“安全最低点”。,.,12,动态性原则,安全是相对的，不可能一劳永逸；道高一尺，魔高一丈；安全策略不断变化完善；安全投入不断增加（总投入的2025%）。,.,13,二、门户网站主要安全威胁与对策,.,14,1、利用漏洞进行入侵,安全事件：2005年7月至10月，某某间谍情报机关曾对我境内76所高校和研究单位所在的222个网段反复扫描，利用漏洞控制了北大、清华、北师大等高校的大量主机，从中搜获、窃取了包括863课题研究计划在内的45份违规上互联网的文件和数千份资料。江苏人陈某租住武汉，2007年7月，在网上找到黑客，委托其将某重点大学的招生网站上的数据库中的11名学生信息删除，同时非法追加另外8名学生。然后给家长验证已被录取。2008年12月5日，荆州市商务局网站，局领导变成一名三点式女郎。而局长致辞则成了一封“为女朋友庆生喝酒”的召集函。,.,15,1、利用漏洞进行入侵,防范对策：定期备份和检查相关访问和应用日志；及时对计算机操作系统和应用程序“打补丁”；安装防火墙和杀毒软件，并及时更新特征库；关闭不必要的端口和服务。,.,16,2、利用协议缺陷进行DOS攻击,案例：2009年5月19日全国大面积网络故障，6月25日，湖北、湖南、广西、海南和上海等全国多个省市区出现网络缓慢或瘫痪现象。2009年7月7日9日韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站同时遭分布式拒绝服务（DDoS）攻击。美国财政部、特工处、联邦贸易委员会和交通部网站7月日起遭到黑客持续攻击，截至当地时间日仍处于不同程度瘫痪状态。两国共有大约家网站受攻击，其中家为韩国网站。韩国主要情报机构说，韩国.万台个人电脑和国外台个人电脑遭黑客“俘虏”，成为傀儡主机，沦为攻击工具。,.,17,利用协议缺陷进行DOS攻击,什么是DOS攻击：,攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主机，对攻击目标发动威力巨大的拒绝服务攻击。,DenialofService(DoS)拒绝服务攻击,DistributedDenialofService(DDoS)分布式拒绝服务攻击,攻击者利用大量的数据包“淹没”目标主机，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。,.,18,DdoS攻击过程,主控主机,扫描程序,黑客,Internet,非安全主机,被控主机,应用服务器,.,19,2、利用协议缺陷进行DOS攻击,防范措施：在门户网站前面部署防DOS攻击设备。桌面机及时修补漏洞，免得受控成为肉鸡。加强追查打击力度。,.,20,荆州人赵蓉的网上银行帐户上的资金被划走：2004年7月，黑龙江人付某使用了一种木马程序，挂在自己的网站上；荆州人赵蓉下载付某的软件，木马就“进入”电脑；屏幕上敲入的信息通过邮件发出：账户、密码；付某成功划出1万元；抓获付某时，他已获取7000多个全国各地储户的网上银行密码。,3、利用木马进行攻击,安全事件：,付某：,.,21,3、利用木马进行攻击,生么是“木马”？,木马与传说中的木马一样,他们会在用户毫不知情的情况下悄悄的进入用户的计算机,进而反客为主,窃取机密数据,甚至控制系统。,.,22,3、利用木马进行攻击,“木马”的主要危害：,盗取文件资料；盗取用户帐号和密码；监控用户行为，获取用户重要资料；发送QQ、msn尾巴，骗取更多人访问恶意网站下载木马；,.,23,3、利用木马进行攻击,防范对策：严禁将涉密计数机接入互联网；不随意打开不明电子邮件，尤其是不轻易打开邮件附件；不点击和打开陌生图片和网页；必须安装杀毒软件并及时升级更新，及时打补丁；所有外网PC安装360软件，定期查杀木马程序。,.,24,4、利用“嗅探”技术窃密,安全事件：某单位干部叶某，在联接互联网的计算机上处理涉密信息，被某间谍情报机关植入“嗅探”程序。致使其操作电脑的一举一动均被监控，并造成大量涉密信息被窃。,.,25,4、利用“嗅探”技术窃密,“嗅探”技术：“嗅探”是指秘密植入特定功能程序，用来记录诸如网络内部结构、键盘操作、口令密码等信息的窃密技术。攻击者首先利用漏洞或木马在计算机中植入“键盘记录程序”该程序会自动隐藏生成记录键盘信息的文件。一旦计算机重新联网，攻击者就可以从目标计算机下载键盘记录文件，并还原出编辑过的稳定内容。,.,26,4、利用“嗅探”技术窃密,防范对策：严禁将涉密计数机接入互联网；用户联接互联网的计算机，任何情况下不得处理涉密信息；定期对上网计算机操作系统进行重装处理；PC安装360软件，定期恶意代码程序。,.,27,5、利用数据恢复技术,安全事件：陈冠希：2006年曾托助手将其外壳彩色的手提电脑，送到中环一间计算机公司维修，其后有人把计算机中已删除的照片恢复后，制作成光盘，传播给其他人。,.,28,5、利用数据恢复技术,数据恢复技术：数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以还原的过程。U盘或计算机硬盘存储的数据即使已被删除或进行格式化处理，使用专用软件仍能将其恢复，这种方法也因此成为窃密的手段之一。例如，窃密者使用从互联网下载的恢复软件对目标计算机的已被格式化的U盘进行格式化恢复操作后，即可成功的恢复原有文件。,.,29,5、利用数据恢复技术,防范对策：严禁在接入互联网的计算机上使用处理过涉密信息的移动存储介质。涉密存储介质淘汰报废时必须进行彻底的物理销毁。严禁将秘密载体当做废品出售。,.,30,6、利用口令破解攻击,安全事件：2003年2月，有关部门检测发现某间谍情报机关利用口令破解技术，对我某重要网络进行了有组织的大规模攻击，控制了57台违规上互联网的涉密计算机，窃走1550余份文件资料。,.,31,6、利用口令破解攻击,口令破解：口令是计算机系统的第一道防线，计算机通过口令来验证身份。口令破解是指以口令为攻击目标，进行猜测破译，或避开口令验证，冒充合法用户潜入目标计算机，取得控制权的过程。即使计算机打了“补丁”，安装了病毒防护软件，设置了开机口令密码，黑客仍然可以通过口令破解进入你的计算机，从而达到破坏或窃密的目的。“暴力破解”是进行口令破解用得较多的方式，是指应用穷举法将建盘上的字母、数字、符号按照一定顺序进行排列组合实验，直至找到正确的口令。其过程是攻击者首先启用口令破译软件，输入目标计算机ip地址，对目标计算机进行口令破译、口令越长，口令组合越复杂，破译难度越大，所需时间越多。,.,32,6、利用口令破解攻击,防范对策：口令密码设置应当采用大小写字母、字符和数字混合编制，要有足够的长度（至少16位以上），并定期更换（最长3个月）。涉密信息系统必须按照保密标准，采取符合要求的口令密码、智能卡或USBKey、生理特征的身份鉴别方式。,.,33,7、数据库注入攻击,安全事件：2011年12月21日,中国最大的软件开发者技术社区CSDN(Chinesesoftwaredevelopnet,中国软件开发联盟)后台数据库被黑客恶意发布到互联网上并提供下载,此数据库中包含了642万多个用户的帐号、密码等信息,严重威胁了相关用户的信息安全。,.,34,7、数据库注入攻击,数据库注入：用户可以向网站提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的数据库注入。,.,35,7、数据库注入攻击,防范对策：在服务端正式处理之前对提交数据的合法性进行检查；封装客户端提交信息；替换或删除敏感字符/字符串屏蔽出错信息。,.,36,8、跨站脚本攻击,安全事件：2011年6月28日晚，新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如：“郭美美事件的一些未注意到的细节”，“建党大业中穿帮的地方”，“让女人心动的100句诗歌”，“这是传说中的神仙眷侣啊”等等微博和私信，并自动关注一位名为hellosamy的用户。事件的经过线索如下：20:14，开始有大量带V的认证用户中招转发蠕虫20:30，某网站中的病毒页面无法访问20:32，新浪微博中hellosamy用户无法访问21:02，新浪漏洞修补完毕,.,37,8、跨站脚本攻击,跨站脚本攻击：跨站脚本攻击（也称为XSS）指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息。攻击者通常会用十六进制（或其他编码方式）将链接编码，以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子，那么用户乙在浏览这篇帖子时，恶意脚本就会执行，盗取用户乙的session信息。,.,38,8、跨站脚本攻击,防范对策：输入验证：某个数据被接受为可被显示或存储之前，使用标准输入验证机制，验证所有输入数据的长度、类型、语法以及业务规则；输出编码：数据输出前，确保用户提交的数据已被正确进行entity编码，建议对所有字符进行编码而不仅局限于某个子集；明确指定输出的编码方式：不要允许攻击者为你的用户选择编码方式(如ISO8859-1或UTF8)；注意黑名单验证方式的局限性：仅仅查找或替换一些字符(如“”或类似“script”的关键字)，很容易被XSS变种攻击绕过验证机制；警惕规范化错误：验证输入之前，必须进行解码及规范化以符合应用程序当前的内部表示方法。请确定应用程序对同一输入不做两次解码。,.,39,9、CSRF攻击,安全事件：菲律宾枪杀台湾渔民而发生的“台菲黑客大战”中，台湾黑客使用CSRF攻击技术，一度攻陷菲律宾政府的DNS服务器，迫使菲律宾黑客公开“求饶”。,.,40,9、CSRF攻击,CSRF攻击：CSRF（Cross-siterequestforgery跨站请求伪造，也被称成为“oneclickattack”或者sessionriding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。,.,41,9、CSRF攻击,防范对策：限制验证cookie的到期时间。这些cookie的合法时间越短，黑客利用你的Web应用程序的机会就越小；执行重要业务之前，要求用户提交额外的信息。要求用户在进行重要业务前输入口令；使用无法预测的验证符号；使用定制的HTTP报头；检查访问源的报头。,.,42,三、门户网站具体防护手段,.,43,1.保持Windows升级：你必须在第一时间及时地更新所有的升级，并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上，并在该机器上以web的形式将文件发布出来。通过这些工作，你可以防止你的Web服务器接受直接的Internet访问,.,44,2.如果你并不需要FTP和SMTP服务，请卸载它们：进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的，如果你执行身份认证，你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务，你能避免更多的黑客攻击。,.,45,3.设置复杂的密码：如果有用户使用弱密码，那么黑客能快速并简单的入侵这些用户的账号,.,46,4.设置账号锁定的策略：通过设备windows自带的安全策略设置，可对非法暴力破解口令进行有效的控制，同时审计所有登陆成功和失败的事件,.,47,5.使用NTFS安全：缺省地，你的NTFS驱动器使用的是EVERY0NE/完全控制权限，除非你手工关掉它们。关键是不要把自己锁定在外，不同的人需要不同的权限，管理员需要完全控制，后台管理账户也需要完全控制，系统和服务各自需要一种级别的访问权限，取决于不同的文件。最重要的文件夹是System32，这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。,.,48,6.禁用多余的管理员账号：如果你已经安装IIS，你可能产生了一个TSInternetUser账户。除非你真正需要这个账户，则你应该禁用它。这个用户很容易被渗透，是黑客们的显著目标。为了帮助管理用户账户，确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。,.,49,7.网站目录权限最小化：在网站正常运行时：空间应该全部关闭写入权限，只保留需要写权限的某几个目录，同时被保留写权限的目录，必须要关闭执行权限。站点需要更新时：开放所有写入权限，更新完毕后立即关闭写入权限。原则是：有写入权限的目录，不能有执行权限有执行权限的目录，不能有写入权限这样最大限度的保证了站点的安全性,.,50,8.移除缺省的Web站点：很多攻击者瞄准inetpub这个文件夹，并在里面放置一些偷袭工具，从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。如果是一个虚拟主机，并且服务器上放置了多个域名的站点，建议对不同的站点设置不同的账号权限（读取和执行）。这样可保证一个域名上的站点被黑，而不会影响到整个服务器上其它的站点,.,51,9.定期备份数据和程序：至少以每周一次来定期的备份网站数据和程序，对大型数据库可使用专业的快速导出工具。建议使用WinRAR类型的压缩软件进行备份，并同时设定压缩密码的加密压缩方式。如果文件较多压缩时间可能会长，可使用计划任务自动执行或采取存储压缩方式对操作系统建议每月备份一次，可直接使用GHOST。对于特殊的服务器需要RAID驱动时，建议自制一个WinPE将RAID驱动加载在该系统中。（有一定难度，但很帮助特别是安装系统时无需引导盘）,.,52,10.仔细检查*.bat和*exe文件：每周搜索一次*.bat和*.exe文件，检查服务器上是否存在黑客最喜欢，而对你来说将是一场噩梦的可执行文件。在这些破坏性的文件中，也许有一些是*reg文件。如果你右击并选择编辑，你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。或定期生成一份主机的文件列表，然后再进行文件比对,最简单的使用一条DOS命令:Dirc:/s/ac:files20100415.txtFcc:files20100415.txtc:files201000301.txt,.,53,11.定期检查访问日志对于IIS，其默认记录存放在c:winntsystem32logfilesw3svc1，文件名就是当天的日期，记录格式是标准的W3C扩展记录格式，可以被各种记录分析工具解析，默认的格式包括时间、访问者IP地址、访问的方法（GETorPOST）、请求的资源、HTTP状态（用数字表示）等。建议定期使用专业的日志分析工具来进行审计检查异常的访问现象。,.,54,四、常用安全分析软件介绍,.,55,工欲善其事,必先利其器！,autoruns:微软公司出的查看Windows启动或登录时自动运行的程序它们CCleaner225:系统优化和隐私保护工具、清除无用文件及垃圾文件HiJackThis:找恶意程序“劫持”浏览器的入口go_IceS