信息安全发展现状及其面临的问题.ppt

信息安全发展现状及其面临的问题,报告人：杨旭,互联网困境,INTERNET的美妙之处在于你和每个人都能互相连接,INTERNET的可怕之处在于每个人都能和你互相连接。网络的安全将成为传统的国界、领海、领空的三大国防和基于太空的第四国防之外的第五国防，称为cyber-space,各国对网络空间的监管能力不断增强。如控制计算机网络国际联网出入口信道，制定专门调整计算机互联网络的国内立法，建立专门的互联网管理机构，或者积极尝试和推进网络业界的行业自律等。信息安全即将进入综合研究时期。从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的理论和实施技术的研究。,信息安全技术更加成熟，防病毒、防黑客攻击是网络与信息安全的技术主流。网络攻击是各个国家重点防范的恐怖方式，国际合作会更加紧密。网络攻击技术发展加快，网上攻击在距离、速度上已突破传统的限制，井拥有多维、多点、多次实施隐蔽打击的能力，加之网络攻击还具有代价小、摧毁力强等特点，现实空间的恐怖袭击与网络空间的恐怖袭击结合在一起，成为面临的新威胁。而且对互联网的依赖程度越高，遭受的损失就越大，防止恐怖分子发动网络攻击将成为重点。,我国面临的网络攻击现状,网络间谍密集攻击我国国家机密目前境外有数万个木马控制端IP紧盯着我国大陆被控制的电脑，数千个僵尸网络控制服务器也针对着大陆地区，甚至有境外间谍机构设立数十个网络情报据点，疯狂采用“狼群战术”、“蛙跳攻击”等对我进行网络窃密和情报渗透。,蛙跳攻击：就是用像木马、僵尸这样的程序工具先控制某个网上主机，把它作为跳板，操纵它来攻击真正的目标。这样做可以掩护攻击者的真实身份，给事发后的追查增加困难，同时还能借跳板的身份来麻痹对方。境外间谍机关通常选择境内配置比较好、容量比较大、访问量比较小、管理相对松懈、身份又显得比较可靠的非敏感网络服务器或主机，一些中等城市的政府网站时常被当作首选。某谍报机关就曾将我中部地区的某中等城市政府网站作为中转跳板，向外发出很多经过伪装的邮件，侵入其他一些重要部门的网络进行监听窃密。,重点攻击目标：大陆军事、军工单位和重要政府部门的网络。境外情报机关设立了专门的网络间谍机构，我国重要部门和涉密单位的上网电脑或服务器，全是他们感兴趣的目标。我国很多保密单位的内部工作网是不与互联网连接的，但有关部门做安全检测时仍然从中发现了境外情报部门的木马，why？一个重要的途径是摆渡攻击，利用U盘、移动硬盘等移动介质途径。境外间谍部门专门设计了各种摆渡木马，并且搜集了我国大量保密单位工作人员的个人网址或邮箱，只要这些人当中有联网使用U盘等移动介质的，摆渡木马就会悄悄植入移动介质。一旦这些人违反规定在内部工作网的电脑上插入U盘等移动介质，摆渡木马立刻就感染内网，把保密资料下载到移动介质上。只要使用者再把这个移动介质接入联网电脑，下载的情报就自动传到控制端的网络间谍那里。,境外间谍机关在网上物色可利用的情报人员，甚至明码标价购买我国家秘密。有些网民或出于侥幸、被利诱、被蒙蔽，被境外间谍“拉下水”。洪风是我某重要科研部门办公室工作人员，为了多一份收入，违规在网上寻找兼职，并公开了自己的真实身份。结果，他的个人信息被化名“张大峰、zhangboss”的境外网络间谍盯上。在对方的利诱下，洪风经不住金钱诱惑，先从窃取内部刊物牟利开始，逐步按境外间谍的要求，搜集、出卖该部门研发科技产品的机密情报，对我国家安全造成重大损失。,我国一些机要单位存在安全管理漏洞,重要单位的内网要求与互联网进行物理隔离，但不少单位内外网没有严格分开。移动介质在内网电脑上的使用也很随便有的涉密单位为了工作方便，在内外网之间设了一个开关，需要时和外网连接打开，不需要就关上断开，但常常是开了以后就忘了关。内部网络和互联网不是物理隔离的，只是用防火墙进行了逻辑隔离。,2007年一个境外间谍机构对我国某科工集团总部发动网络攻击，窃取情报。安全部门对该集团内网检测发现，要害部门和领导层的电脑都被植入境外间谍部门的木马。进一步的调查发现：涉密机、非涉密机混杂使用，内网和外网没有物理隔离，数百台涉密电脑曾接入互联网。另一个承担国家重大科研项目的机构，其网络也被某境外情报机关的网络间谍攻入，不少科研资料被窃，实行网络安全检查时发现该机构存在的网络风险漏洞高达数千个。方便高效和安全保密必须平衡并重。,一位国家安全部门人士说：“针对中国的网络间谍攻击正变得越来越多，中国的国家安全从来没有像现在这样与网络密切相关。”,案例,2007年10月，我国安全部门发现了境外间谍机关实施的大规模网络窃密行动，攻击对象是中国政府和军队以及国防科研机构、军工企业网络，受到攻击的单位遍及我国绝大部分省、自治区、直辖市，甚至还包括我国十几个驻外机构。在该案中被境外情报部门控制的电脑和网络达数百个，窃密内容涉及政治、军事、外交、经济、医疗卫生等多个领域。此次活动的主要操刀者名叫李芳荣（真实身份是台湾军情局派驻莫斯科的职业间谍），利用黑客技术，控制了大陆的多个服务器，又通过这些服务器将木马植入其感兴趣的电脑，猖狂实施网络窃密等破坏活动。,另一起网络间谍案：有关部门从政府某部门及其对口地方单位的电脑网络中检测出了不少特制的木马程序，所有入侵木马的连接都指向境外的特定间谍机构。专业部门进行检测时，测出的木马很多还正在下载、外传资料，专业人员当即采取措施，制止了进一步的危害。,国家计算机网络安全应急技术中心网络安全报告中，其中特别提到“木马”和“僵尸网络”对国家安全造成了严重危害。报告指出，今年上半年我国大陆地区大量主机被境外植入木马程序。木马不仅是一般黑客的常用工具，更是网上情报刺探活动的一种主要手段。我国大陆地区感染木马和僵尸网络的主机数量巨大，2008年前5个月监测到的感染木马和僵尸网络的主机数量缓慢波动上涨，但在6月份出现跳跃式增长。在大陆地区外的木马控制端IP有数万个，其中位于台湾的占总数的42%，位于美国的也占了约25%。中国大陆主要分布在上海、北京和江苏的最多。,什么是木马：木马特指电脑后门程序，它通常包含控制端和被控制端两部分，被控制端一旦植入受害者的电脑，操纵者就可以在控制端实时监视该用户的一切操作，有的放矢地窃取重要文件和信息，甚至还能远程操控受害电脑对其他电脑发动攻击。,什么是僵尸网络Botnet：是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一对多控制的网络。这个网络并不是指我们物理意义上具有拓扑架构的网络，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。僵尸程序一般是由攻击者专门编写的类似木马的控制程序，通过网络病毒等多种方式传播出去。传播：主动漏洞攻击，邮件病毒等攻击：可以一对多地执行相同的恶意行为，同时发送大量的垃圾邮件等，使得攻击者能够以极低的代价高效地控制大量的资源为其服务。攻击者可利用僵尸网络实施信息窃取、垃圾邮件、网络仿冒、拒绝服务攻击等各种恶意活动，成为当前互联网安全的最大威胁。,国家互联网应急中心2008年上半年网络安全报告,各种网络安全事件数量与2007年上半年同期相比有较为显著的增加。其中垃圾邮件和网页恶意代码事件增长较快，网页恶意代码同比增长近一倍；网页篡改事件和网络仿冒事件也有大幅增长，同比增长分别是23.7%和38%，其中涉及国内政府机构和重要信息系统部门的网页篡改事件、涉及国内外商业机构的网络仿冒事件是2008年上半年事件监测和处置的重点。,由于政府网站整体安全水平较低，往往是黑客攻击的重要目标，电子政务信息系统的网络安全管理是一个需要各级部门高度重视的问题。2008年4月29日，国家互联网应急中心通过监测发现，某省某部门网站首页被挂载木马，2008年5月4日，挂马网页链接已恢复正常。网站首页挂马会对政府形象及公共安全造成较大影响。,Phishing,Phishing：是fishing和phone的缩写，网络钓鱼软件，又称电子黑饵，是指盗取他人个人资料、银行及财务账户资料的网络相关诱骗行为，可分为诱骗式及技术式两种。诱骗式：利用特制的电邮，引导收件人连接到仿冒的网页，这些网页通常会伪装成真正的银行或理财网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等，使其泄漏与财产价值相关的敏感信息。如黑客假借银行之名给银行用户发电子邮件，提示银行系统升级要求用户重新注册，用户一旦轻信进行注册，银行账号即落入黑客掌中，与此伴随的将是你的银行存款不翼而飞。,技术式：将程序安装到受害者的电脑中，直接盗取个人资料或使用木马程序、按键记录程序等。,Phishing起源：1996年最早出现这个词，1997年正式出现媒体上的引用：AOL的消息窗口出现一条信息，声称由于系统故障，用户信息丢失，无法恢复，请用户回复信息，提供当前登陆账号的密码，以便系统进行文件的更新。Phishing攻击增长非常快,我国的情况,2002、2003年：各有一起针对我国银行用户的攻击。2004年：共处理223起报告。2005年：共收到456起报告。,Phishing攻击的组成,鱼：个人身份信息饵：伪造邮件和故事钩：伪造的网站（或间谍软件等）,假网站,手段,在骗局中加入假的“查号台”不用“钓”，直接到用户那里等着偷：窃听（恶意代码注入）干脆直接偷银行：从交易环节中窃取信息（eg.2005年5千万信用卡信息被盗案）本质：在线身份窃取。,如何防范？偷VS防偷,偷：使用类似URL和相似网页防：看清楚真正的网址,偷:网址真实但是假的弹出式窗口防:警惕弹出式窗口提示:一些银行宣称他们的网站从来不用弹出式窗口（不过要让他们的每个用户都知道才行）,偷:试图掩盖浏览器访问的网址防:检查浏览器现实的网址信息提示：只要仔细，比较容易发现,偷:利用IE浏览器漏洞防:升级；使用其他的浏览器,如何应对和面临的实际问题,仿冒网站的关闭：定位（信息不准确）合作（超出管理范围，需要寻找最近的合作伙伴）数据提取和分析：用户不配合恶意代码获取分析：样本获取、技术积累、人力资源、资金环境etc.取证与追踪：法律相关部门的工作，高的分析能力要求。,我们所面对的挑战,仿冒网页禁止同一IP多次访问：避免被追踪。利用僵尸网络进行重定向，使得更加难以追查到真正的假冒网站。利用动态域名不断变化IP，利用僵尸网络控制的资源，短时间内（例如30分钟）就可以随便转移仿冒网站的位置（而传统方式下平均存活5.8天）对窃取的信息加密,加强合作,银行或其他被仿冒对象：提供更安全的环境；宣传；通知用户；法律执行部门：调查取证，抓捕“小偷”（通过信息走向）网络运营单位：协助定位IP（有时能将之断网）专业组织专业技术分析，网络的监测，新趋势研究，,其它防护不要点击电子邮件中的超链接，而是自己手工输入不要打开不明电子邮件附件安装防护和监控软件如何植入恶意程序利用IE浏览器漏洞：“正常”网页中隐藏恶意代码；(2004年发现1200多个这种网站)利用其他漏洞或者脆弱性：邮件工具漏洞etc.,入侵的手段,垃圾邮件+社会工程学方法+相似链接（隐藏链接）+仿冒网站利用浏览器漏洞做到更好的链接隐藏恶意代码进驻+修改host文件+仿冒网站恶意代码进驻+监视软件,一家涉密单位的工作人员收到了“上级机关”发来的一封邮件，内容是“病毒木马检测程序”。一看是自己人，来信又正好对路，工作人员没有多想就打开信件，运行程序，结果境外间谍机关的木马一下植入电脑中，原来“上级机关”是境外网络间谍冒的名。像这样的网络间谍骗局花样繁多，针对不同的对象会设计不同的欺骗形式。比如伪装成攻击对象很需要且又很可信的邮件，有时点击邮件甚至还会跳出诸如“无病毒”之类的提示来迷惑操作者。,