网络信息安全发展动态分析.ppt

网络信息安全发展动态分析 刘宝旭中国科学院高能物理研究所计算中心2003年8月 报告内容 网络信息安全的发展及概念网络安全事件及发展趋势分析网络信息安全的社会需求发展动态安全技术发展动态几种常见网络安全技术的发展动态 发展的三个阶段 保密保护保障保密性 首先认识的安全属性要求 保证信息在授权者之间共享手段 加密隐形访问控制与授权 信息安全 INFOSEC 操作系统安全 OSSEC 数据库安全 DBSEC 网络安全 NETSEC 计算机安全 COMPUSEC 信息安全 INFOSEC TCSEC ITSEC CC 保护 随着安全需求的增长 IA诞生了 IA的发展 INFOSEC概念的开始 60年代 简单的安全问题 计算机的有限使用 70 80年代 军事和战争环境中使用 嵌入到武器系统中 90年代 计算机逐渐广泛应用 对商用信息基础设施的依赖增强 2000年后 以网络为中心的战争模式 电子商务技术的发展 知识管理 通信业务成为主流 以 信息保障 为中心的新思路 信息保障的定义 确保信息和信息系统的可用性 完整性 可认证性 保密性和不可否认性的保护和防范活动 它包括了以综合保护 检测 反应能力来提供信息系统的恢复 1996年美国国防部 DoD 国防部令S 3600 1 计算机安全的几种定义 为数据处理系统建立的安全保护 保护计算机硬件 软件数据不因偶然和恶意的原因而遭到破坏 更改和泄露 ISO 该概念偏重于静态信息保护 计算机的硬件 软件和数据受到保护 不因偶然和恶意的原因而遭到破坏 更改和泄露 系统连续正常运行 该定义着重于动态意义描述 我国的定义 计算机信息系统的安全保护 应当保障计算机及其相关的和配套的设备 设施 含网络 的安全 运行环境的安全 保障信息的安全 保障计算机功能的正常发挥 以维护计算机信息系统的安全运行 中华人民共和国计算机信息系统安全保护条例 我国信息安全的发展 94年前学习 借鉴形成我国的法规94年至今在安全技术 安全产品 标准规范方面做了大量工作今后 从速度发展型转向质量发展型应用 服务 安全 网络信息安全的内函 涉及实体安全 运行安全和信息安全三个方面实体安全包括环境安全 设备安全和媒体安全三个方面 运行安全包括风险分析 审计跟踪 备份与恢复 应急四个方面 信息安全包括操作系统安全 数据库安全 网络安全 病毒防护 访问控制 加密与鉴别七个方面 衡量网络与信息安全的 五不 原则 进不来 通过物理隔离等手段 阻止非授权用户进入网络 拿不走 使用屏蔽 防下载机制 实现对用户的权限控制 读不懂 通过认证和加密技术 确信信息不暴露给未经授权的人或程序 改不了 使用数据完整性鉴别机制 保证只有允许的人才能修改数据 走不脱 使用日志 安全审计 监控技术使得攻击者不能抵赖自己的行为 网络安全事件及发展趋势分析 黑客事件发展趋势 自动化的高速扫描和攻击工具日趋增长的复合式攻击工具黑客技术和病毒技术的统一快速的漏洞发现日趋发展的防火墙渗透技术日趋增长的攻击威胁分布式拒绝服务攻击 DDoS 网络蠕虫针对DNS的攻击针对路由的攻击安全事件从个人目的到政治目的 社会目的 影响国家稳定 今年的安全事件分析 微软软件产品的漏洞导致了大量计算机网络被黑客肆意攻击由于微软公司最近发布的lqwr漏洞涉及到多种Wnidows产品 而这些产品广泛应用于商业领域中 黑客专门开发了针对这些漏洞的恶意程序 并且在互联网上广泛传播 使得事态不断恶化 为此 美网络安全大会于上周六在美国加斯维加斯郊区召开 电脑病毒日益肆虐 2003年1 7月中国出现15次大疫情2003年1月的slammer事件 1月25日 仅在SQL1434病毒 3月8日 口令蠕虫 病毒 然后是 爱之门 病毒 老板公司 病毒 非典 病毒 木马病毒等相继发作 也造成了不同程度的破坏 根据国家计算机病毒应急处理中心上半年不完全的统计 我国计算机病毒感染率约为85 且呈现继续上升的趋势 而这个数字在2001年是73 在2002年是83 今年的安全事件分析 8月11日 美国出现一种新的互联网蠕虫冲击波病毒 它能够使系统崩溃 并迅速向容易受到攻击的系统蔓延 它传播非常迅速 已感染了数千台计算机 我国许多地方都受到影响 高能所也已受到影响 该蠕虫利用了7月16日微软公布的MS03 026MicrosoftWindowsDCOMRPC接口远程缓冲区溢出漏洞 该漏洞影响所有未安装MS06 026补丁的Windows2000 WindowsXP Windows2003系统 由于蠕虫会在被攻击的主机中安置后门 并且其传播会导致主机不能正常工作 所以危害很大 一旦传播到容易受到攻击的系统上 它就会从已经被感染的计算机上下载能够进行自我复制的代码 然后扫描互联网发现其它容易受到攻击的计算机 并对它们进行攻击 MSBlaster蠕虫病毒还会使被感染的计算机在8月16日对微软公司的一个网站发动DDOS攻击 据SANS学院称 这一蠕虫病毒的代码中包括下面的内容 BillyGateswhydoyoumakethispossible Stopmakingmoneyandfixyoursoftware 比尔 盖茨 你为什么要使这种攻击成为可能 不要再挣更多的钱了 好好修正你发行的软件吧 垃圾邮件 被称为 后病毒时代的第一杀手 垃圾邮件 的出现使得全球网络40 的流量都在被它占用 每一秒中世界都在因它而流失着大量的财富 Ferris研究公司的数据显示 今年全美因为垃圾邮件泛滥而消耗的总费用大约为110亿美元 该公司估计全球范围内垃圾邮件消耗的总费用更是高达205亿美元 欧盟今年10月底开始执行全面禁止垃圾邮件法互联网协会于8月8日在梅地亚公布了垃圾邮件服务器的黑名单日前 反垃圾邮件专业机构FrontBridge确定了十种最具欺骗性的电子邮件标题 垃圾邮件制造者会利用这些标题引诱用户打开他们的邮件 并预计会有更多带有这种欺骗性标题的邮件出现 并报告说今年上半年欺骗性垃圾邮件的数量上涨了50 应急响应需求越来越高新华网两次发生问题的处理情况 攻击新趋势 新一代主动式恶意代码 黑客攻击技术与病毒技术融合 安全事件不断 网络安全的重要性凸现 1998年8月 印尼排华浪潮激起中国黑客集体入侵印尼网点 造成印尼多个网站瘫痪 与此同时 中国的部分站点也遭到印尼黑客的报复 1999年 科索沃战争期间的中国大使馆被炸引发了中美黑客的相互攻击 2000年 台独势力的猖獗引发了大陆黑客对台湾官方站点和台独党派站点的攻击 台湾黑客也对我国的部分网站进行了攻击 黑客攻击美国8大网站时 国内一些著名网站Sina Sohu 当当网上书店等也遭到了黑客的攻击 造成了一定的损失 2001年4月1日发生的中美撞机事件引起中美黑客的相互攻击 美国PoisonBox Prophet Acidklown hackweiser PrimeSuspectz Subex SVUN Hi Tech等黑客团体的攻击造成我国近千家网站一度服务中断或者页面被篡改 2001年黑客事件更是不断 先是五一节前后的全球性黑客攻击事件 然后是7月开始直到年底的红色代码 蓝色代码 尼姆达 Nimda 等一波接一波的病毒攻击 安全问题的发展动态 网络系统日益复杂 安全隐患急剧增加 攻击发展趋势示意图 安全问题的发展动态 弱点被广泛的用于攻击 ChinaByte7月16日消息 ISS在 互联网风险影响摘要报告 中指出 截止今年第二季度 严重互联网安全事故数量增长了13 7 安全事故的增长是由黑客使用了被广泛宣传 但没有被IT部门修正的 过时的技术和安全缺陷造成的 目前大家必须解决的问题是 在其内部发现和修正最危急的缺陷 由于黑客总是攻击保护措施不得力和新的系统 因此作为一个长期目标 企业需要将系统中的安全数量减少到最低限度 安全问题的发展动态 网络连通更加广泛 恶意连接防不胜防 网络用户快速增长 滥用行为越来越多据CNNIC于2003年7月15日发布的第12次中国互联网络发展状况统计报告的最新数字表明 我国网络用户在2003年6月底已达到6800万人 上网计算机总数达到2572万台 WWW站点数约473900个 我国国际出口带宽的总量为 18599M IntheInternet nobodyknowsyouareadog 网络匿名显现弊端 道德伦理面临挑战法律法规不够完善 虚拟世界问题多多 安全问题的发展动态 网络信息安全的社会需求发展动态 信息保障的要求越来越高切实加强信息安全保障工作 坚持积极防御 综合防范的方针 在全面提高信息安全防护能力的同时 重点保障基础网络和重要系统的安全 完善信息安全监控体系 建立信息安全的有效机制和应急处理机制 安全观念的转变网络安全的本质是风险管理入侵管理是风险管理的核心风险评估是风险管理的基础应急响应是风险管理的手段 信息安全项目的要求越来越明确定期的风险评估 包括评估由于对支持机构运行和资产的信息和信息系统进行未授权访问 使用 泄露 中断 修改或者破坏而带来的危害的大小 基于风险评估的政策和流程 将信息安全风险通过成本有效性较好的手段而降低到一个可接受的水平 并确保信息安全在各机构信息系统的整个生命周期中都得到了处理 子计划 用于为网络 设施 一个或一组信息系统提供足够的信息安全 安全意识培训 用于使相关人员 包括支持联邦机构的运行和资产的信息系统的合同商和其他用户 知晓其行为中的信息安全风险 并了解其有责任遵循机构的风险消减政策和流程 对信息安全政策 流程 实践措施和安全控制的有效性所实施的定期测试和评估 实施频率取决于风险本身 但至少每年要实施一次 对矫正措施进行规划 实现 评估和记录的过程 用于处理联邦机构信息安全政策 流程和实践中所出现的任何缺陷 对安全事件进行检测 报告和响应的流程 确保支持机构运行和资产的信息系统运行连续性的计划和流程 安全管理 备受关注安全策略是核心 工具是策略实现的支撑 管理是安全实现的保障和落实的手段 即 三分技术 七分管理 管理是安全体系落实和生效的保障措施 安全管理系统 安全策略 配置管理 设备管理 专用协议 通用协议 智能代理 内部安全审计 资源管理 使用管理 权限管理 安全DB 权限控制 行为审计 从自行防护向职业服务转变网络安全技术发展迅速 各单位自行防护既耗资源 又难做好 安全服务业具有强大的生命力 安全状况评估安全策略制定解决方案提供安全培训 管理咨询应急救援 应急响应 网络安全不应该被忽视的安全环节 灾难恢复日益重要 911事件后 得到广泛重视 物理灾难恢复 网络恐怖主义 安全备份 安全存储安全标准 应用日广越来越多的信息安全标准被广泛采用 如 ISO15408 CC ISO17799 ISO13335 都正在日益为人们所广泛使用技术标准成为产业发展的制高点认证 认可 成为制度边界控制产品得到认可访问控制 AC 防火墙 高速 智能 综合集成行为控制 BC IDS 高速 智能 分布式内容控制 CC 病毒 恶意代码 不良信息 基于行为 语义 安全技术发展动态 安全防护从单一产品向安全体系转变 安全管理平台 安全是一个整体概念 现在已不是头痛医头 脚痛医脚的时期 安全需要各单元产品的有机组合和共同作用 单一的网络安全产品并不能保证网络的安全性能 安全产品的简单堆叠也不能带来网络的安全性能 只有以安全策略为核心 以安全产品的有机组合形成一个安全防护体系 并由安全管理保证安全体系的落实和实施 才能真正提高网络系统的安全性能 安全防护从静态防范向动态防范转变传统的计算机安全模型 美国国防部NCSC推出的TCSEC 在传统的安全模型中 对动态的安全威胁 系统脆弱性没有足够的描述和应对措施 所以 静态安全模型和标准已无法完全反映分布式 动态变化 发展迅速的互联网安全问题 动态安全模型 PDR P2DR Nokia公司提出的基于IP网络安全平台模型 美国提出的信息安全保障框架模型等 从理论安全向实用安全转变安全是相对的 风险是绝对的 安全强度与安全代价寻求平衡点 安全与开放寻求平衡点风险评估 风险管理 事件响应从基于特征向基于行为转变黑客技术越来越高 许多新攻击手段很难由基于特征的防护措施实现防护 所以 基于行为的防护技术成为一个发展趋向 风险管理成为安全建设的目标 1 3 4 2 后果和影响 威胁成功可能性 降低 控制 接受 转移 网络取证 陷阱与诱骗等主动防御技术发展迅猛迄今为止 在黑客攻击与防护的网络安全对抗中 黑客攻击仍占据了上风 我们基本上都是在被动防护 都是在遭受攻击之后才发现问题 然后针对性地解决问题 提高网络的安全防护水平 而后茫然地等待下一次攻击的到来 为了争取在攻击与防护的安全对抗中占据主动地位 近来 取证 陷阱 攻击定位 入侵侦测 反攻击 容错 自动恢复等主动防御技术得到重视和发展 网络取证包括 磁盘调查取证 网络调查取证 电子邮件调查取证 互联网调查取证 源代码调查取证等 网络陷阱使攻击者不知何以为攻 消耗其资源 研究其行为 保护主要服务器 3A技术发展迅速3A 授权authorization 认证authentication和管理administration用户 用户用户 设备 应用设备 应用 设备 应用生物识别技术兴起指纹 掌纹识别 脸型 面相识别 视网膜 虹膜识别 DNA识别 几种常见网络安全技术的发展动态 管理平台技术的发展动态 多种安全设备信息的融合 各类安全事件的集中分析 安全事件的统一响应 多级分布式管理模式 业界标准的网络受管对象数据描述模型CIM分布式的多级安全管理事件关联和过滤的处理跨平台和跨操作系统的分布式中间件技术和现有网管系统的结合专家知识库和数据挖掘技术行业标准化 防火墙技术的发展动态 胖瘦防火墙之争 胖 防火墙是指功能大而全的防火墙 它力图将安全功能尽可能多地包含在内 从而成为用户网络的一个安全平台 瘦 防火墙是指功能少而精的防火墙 只作访问控制的专职工作 对于综合安全解决方案 则采用多种安全产品联动的方式来实现 高性能防火墙NP技术ASIC技术 入侵侦测技术的发展动态 入侵侦测系统已是当前一个较为成熟的主动防御系统 但其漏报率和误报率高是一个急待解决的问题 另外 其研究方向还有 入侵侦测系统的软件结构和算法需要重新设计 以适应高速网络的新环境 重点是提高运行速度和效率 开发设计或使用相应的专用硬件结构 配合设计的专用软件来提高效率 现有的入侵侦测系统如何适应和利用未来新的网络协议结构的研究 大规模分布式入侵侦测技术的研究与实现 如 采用分布式智能代理的结构方式 由几个中央智能代理和大量分布的本地代理组成 其中本地代理负责处理本地事件 而中央代理负责整体的分析工作 数据融合技术 现有IDS在技术上还不具备检测复杂 隐蔽的攻击行为的能力 而且 各种来源的大量泛滥的数据 系统消息等很难得到及时处理 防垃圾邮件技术的发展动态 目前采用垃圾邮件的防治技术主要是 内容过滤 技术 通过对邮件内容进行关键字过滤和对发信地址进行正确性分析来分辨是否为垃圾邮件 但随着垃圾邮件程序的发展 垃圾邮件程序往往会将真实的发信地址隐藏起来而用一个正常的发信地址代替 标题也会利用社会工程学的技术尽量避开敏感字眼 使得采用 内容过滤 技术的反垃圾邮件软件无法真正过滤垃圾邮件 为对付新型垃圾邮件 又出现了 智能过滤 的反垃圾邮件技术 该技术采用启发式的学习方法 使垃圾邮件过滤系统可以自动学会并适应垃圾邮件的变化手段 并进行智能过滤 据美联社消息 近日 微软公司就创建了一个团队来专门研究这种 智能过滤 技术 这一技术将会是目前乃至将来一段时间内主流的方法 由于邮件协议在制定当初并没有考虑到垃圾邮件的问题 因此我们同垃圾邮件的斗争将会是一个漫长的过程 入侵取证技术的发展动态 取证系统目前只实现了数据的安全保存和分析 今后的工作方向有 现场取证技术研究 主要针对执法机关在网络安全事件处理过程中 需要从事件现场或调查点取证时需要的现场电子取证技术进行研究 包括 内存快照技术 现场保存技术 数据快速拷贝与分析技术等 数据还原技术的研究 主要针对网上传输的信息内容 尤其是那些加密数据 通过简单的加密处理的文档 的数据获取与还原技术进行研究 用于网上取证功能的实现 磁盘恢复等高难度取证技术的研究和实现 主要针对系统被入侵或由于误操作或硬件故障造成系统瘫痪后 系统中的数据信息遭到破坏 需要对事件原因进行分析取证时 要对磁盘信息进行恢复的相关技术进行研究 网络陷阱技术的发展动态 网络陷阱系统要做到实用化还有一段路要走 主动引入功能的实现 陷阱机能根据攻击者的攻击手段自动调整响应方式和陷阱设置 实现网络陷阱的动态调整功能 进而实现攻击行为的主动引入 多种 伪 服务功能的提供 如在陷阱机上安装设置与正常WWW服务器相同的服务 但是比较机密的文件可使用假数据 模拟流量功能的实现 一般情况下 黑客入侵一个系统后 会在被攻系统中安装嗅探器 捕捉网络数据 网络传输的数据多将会使入侵者误认为进入一个繁忙的网络中 这样的网络系统中可利用资源多 所以 模拟流量也可迷惑并吸引攻击者 Internet 网络安全评估系统 管理平台 防病毒系统 DMZ区 各室LAN 计算中心LAN 高能所网络安全管理中心 安全事件响应队伍 实时监控系统 网络陷阱机 抗毁系统 IDS代理 备份系统 谢谢大家