增值业务平台的安全防范与实施.ppt

增值业务平台的安全防范与实施 日程安排 国内外近期安全形势系统主要的安全风险系统安全保障典型的安全措施 国内外近期安全形势 目录 国际信息安全威胁国内信息安全特点重大安全事件回顾信息安全现状特点 国际信息安全威胁 恶意代码和僵尸网络威胁逐渐增加2006年下半年 全球共有超过600万个僵尸 Bots 网络 与上半年相比 受到感染而被远程黑客控制的计算机数量增加了29 2006年下半年 排名前50的恶意代码样本中 木马程序占45 相较于2006年上半年增加了23 2006年下半年一共发现了12个零日攻击漏洞 远远超过2006年上半年所发现的1个零日攻击漏洞美国发生恶意活动的比例最高 占全球的31 中国次之 占10 德国第三 占7 国际信息安全威胁 数据窃取和泄漏攻击增加为了获取利益而以特定组织为目标的攻击不断增加 进而建立全球性的协作网络犯罪分子和犯罪组织使用地下交易服务器兜售所窃取的机密信息的服务器 这些信息包括社会安全号码 SSN 信用卡 银行卡 个人识别码 PINs 以及电子邮件地址列表2006年下半年 全球所有已知的地下交易服务器中 有51 位于美国 美国的信用卡 具有信用卡验证卡号 可以美金1元至6元间的价格购得 而一个含有美国银行账号 信用卡 出生日期以及政府所发的识别码的身份账号 也可以美金14元至18元间的价格购得 国际信息安全威胁 数据破坏导致身份盗用现象增长全球的数据破坏大多危及政府部门 占总数的25 由于其存储位置分散 可访问人群较为复杂 因此攻击者更容易获得未经授权的数据访问 复杂的垃圾邮件以及网络诈欺方式持续攀升2006年下半年 垃圾邮件占所监测的电子邮件总量的59 相较于2006年上半年呈现稳定增加的趋势 因为炒作股票的诈欺邮件 PumpandDump 增加 导致30 的垃圾邮件与金融产品或服务有关 2006年下半年 统计到166 248条不同的网页仿冒信息 相当于平均每天904条 比2006年上半年高出6 目录 国际信息安全威胁国内信息安全特点重大安全事件回顾信息安全现状特点 国内信息安全特点 信息系统漏洞不断增长攻击行为趋利化 手段多样恶意代码目的性强 僵尸网络发展迅速针对dns和域名转发攻击增多 信息系统漏洞增长 美国CERT CC统计 该组织2006年全年收到信息系统安全漏洞报告8064个 平均每天超过22个 与2005年同期相比增长了34 6 攻击行为趋利化 手段多样 攻击手段多样 以获取利益为最终目标 攻击行为趋利化 手段多样 恶意代码产业链形成 受害主机大幅增加 僵尸网络发展迅速 流行的恶意代码侧重于控制用户系统并进而组成僵尸网络2007年上半年CNCERT CC监测到感染僵尸网络的主机总数达520多万 针对dns和域名转发攻击增多 可将用户引诱到钓鱼网站或含有恶意代码的网站 2007年上半年网络安全事件概况 网络仿冒比06年全年增加14 65 网页恶意代码比06年全年增加14 65 被木马控制主机比06年全年增加21倍篡改网站数量比06年同期增加4倍 目录 国际信息安全威胁国内信息安全特点重大安全事件回顾信息安全现状特点 重大安全事件回顾 2006年8月8日 微软公司发布了例行安全公告 公告中的MS06 040漏洞 远程服务的溢出攻击漏洞 的攻击代码已经出现 截至8月18日 共发现感染 魔波 蠕虫的IP地址105万个 其中中国大陆境内为12 5万个 Nimaya 熊猫烧香 病毒在2007年初出现流行趋势 该病毒具有感染 传播 网络更新 发起分布式拒绝服务攻击 DDoS 等功能 熊猫烧香 的传播方式同时具备病毒和蠕虫的特性 危害较大 后来注意到 熊猫烧香 在更新时所采用的机制是定期访问特定的网站 而且这些网站服务器位于国内 最终确定是位于江苏的一台服务器 截至到2月底 监测发现11万个IP地址的主机被 熊猫烧香 病毒感染 重大安全事件回顾 2007年1月 某招商网站遭到持续一个月的DDoS攻击 流量峰值达到1G 在对被攻击网站提供的日志进行初步分析后 发现被黑客控制的部分计算机 这些计算机基本都是属于网吧 局域网和ADSL用户 2月初 通过对感染恶意代码的ADSL用户的机器进行了深入分析 发现黑客是利用重庆市的一台服务器作为跳板 而最终的控制服务器位于福建省 北京联众公司自4月26日以来其托管在上海 石家庄IDC机房的13台服务器分别遭受到大流量的DDoS拒绝服务攻击 攻击一直从4月26日持续到5月5日 其攻击最高流量达到瞬时700M s 致使服务器全部瘫痪 在此服务器上运行的其经营的网络游戏被迫停止服务 经初步估算其经济损失为3460万人民币 北京市网监处成功的获取了犯罪团伙实施DDoS攻击的证据 并及时将4名犯罪嫌疑人一举抓获 重大安全事件回顾 07年三季度 某国家特大型企业某中层领导 司局级 电脑中约200份重要文件被台湾黑客窃取 其中涉及该行业的十一五发展规划等国家机密07年 某国家特大型企业信息网internet接口防火墙失效 导致该企业内网暴露于公网之上 损失不详 目录 国际信息安全威胁国内信息安全特点重大安全事件回顾信息安全现状特点 国家政策和法规 2003年9月中办国办颁发 关于加强信息安全保障工作的意见 中办发 2003 27号 2005年9月国信办文件 关于转发 电子政务信息安全等级保护实施指南 的通知 国信办 2004 25号 2006年1月四部委会签 关于印发 信息安全等级保护管理办法的通知 公通字 2006 7号 2005年国标送审稿 基本要求 定级指南 实施指南 测评准则 2004年11月四部委会签 关于信息安全等级保护工作的实施意见 公通字 2004 66号 国家级政策文件 国家级技术标准 国家级政策文件 2006年6月公安部 关于开展等级保护试点工作的通知 公信安 2006 573号 信息安全风险评估规范 信息安全风险管理规范 信息安全事件管理指南 信息系统灾难恢复规范 安全攻击特点和趋势 1 黑客工具 数量越来越多 而且越来越易用 并且其造成的影响也越来越大 黑客的知识技能 正因为以上工具的易用性 对于黑客入侵所需要的知识技能也越来越低 漏洞被利用的时间越来越短 目前 宣布发现软件安全漏洞和利用这个安全漏洞的时间从三年前的185天缩短到了1天 Trend公司 黑客工具越来越多 攻击者技能要求越来越低 从展示 炫耀技巧到以追求经济利益为目的如利用虚假网站进行的网络钓鱼 盗取上网用户银行帐号 进而窃取资金 在普通用户的上网终端中植入控制软件 用于 监听 用户行为 并用来作为攻击重要目标的跳板 成为网络犯罪事件的牺牲品 替罪羊 安全攻击特点和趋势 2 内部工作人员 第三方技术支持人员利用对内部信息的了解 拥有的权限以及业务流程漏洞 实施信息安全犯罪 安全攻击特点和趋势 3 日程安排 国内外近期安全形势系统主要的安全风险系统安全保障典型的安全措施 系统主要弱点 大部分机器都可以主动访问internet 各系统管理员组的用户较多 一般为3到5个 需要确认是否需要这么的管理员权限用户 尽量控制管理员权限的用户 相关组件版本偏低 RealVNC4 1 1以下存在远程认证绕过漏洞建议升级所有RealVNCserv u6 0 0 1存在本地权限提升漏洞 建议升级 网络层的主要弱点 防火墙策略不够严格 各系统之间没有进行严格的访问控制缺乏必要的审计和监控措施 WEB应用程序安全 常见WEB攻击方法SQLInjectionCookie欺骗跨站脚本攻击信息泄漏漏洞文件读写脚本存在的安全隐患GOOGLEHACKING Sqlinjection攻击技术介绍 WebServer DB DB Webapp WebClient Webapp Webapp Webapp InputValidationattacks ExtendSQLstatements URLInterpretationattacks Get list asp id 1 delete 可能的攻击发生在一个对web程序对数据库的查询请求 SQLInjection的概念 来自于用户的输入web应用程序没有对其进行检查 导致对数据库进行操作的语句直接按照攻击者的意愿执行web程序的编程语言的无关性 多于数据库自身的特性有关大量的可以利用的数据库 SQLInjection演示 SQLInjection演示 代码泄露 跨站脚本攻击 跨站脚本攻击概念跨站脚本攻击简称XSS又叫CSS CrossSiteScript 它指的是恶意攻击者往Web页面里插入恶意html代码 当用户浏览该页之时 嵌入其中Web里面的html代码会被执行 从而达到恶意用户的特殊目的 XSS属于被动式的攻击 并不对服务期本身造成伤害 但是可以利用xss漏洞得到其他客户的资料或者权限 因为其被动且不好利用 所以许多人常呼略其危害性 XSS跨站漏洞可以获取特定网站的cookie通过伪造cookie的办法得到这个cookie在网站的使用权 或者使查看者跳转到另外一个网站的页面 这个页面就可以使用IE漏洞给访问者挂载木马或其他攻击手段 跨站脚本 跨站脚本攻击 http XXX notice index asp branch 1 iframe 20src 应用存在的问题 不必要的服务或信息从internet可以看到 应用存在的问题 源代码泄露大量的bak文件存在 文件浏览 日程安排 国内外近期安全形势系统主要的安全风险系统安全保障系统安全保障综述安全技术保障措施典型的安全措施 系统安全保障思路 安全保障体系 网络与信息安全 管理性安全 技术性安全 人员 组织 资产分类 业务连续性 法规遵从 安全审计 技术保障模型 系统安全的配置 防火墙 身份认证 防护 入侵检测 漏洞扫描 异常流量检测系统 性能 资源等检测措施 检测 事件处理 应急响应体系 系统备份恢复 响应 日程安排 国内外近期安全形势系统主要的安全风险系统安全保障系统安全保障综述安全技术保障措施典型的安全措施 物理环境安全性 网络安全性 操作系统安全性 数据库安全性 中间件安全性 应用 代码安全性 安全的全面性 网络安全保障措施 流量分析 监控和审计 严格做好网络层面上的访问控制 安全区域的划分 网络设备自身的安全 尤其注意设备对外开放的服务 端口和协议和安全配置 严格的ACL能消除绝大多数隐患 访问控制是否合理 尤其是各VLAN之间的访问控制是否够严格 要清楚知道网络中目前正常的和异常的流量 从流量中分析出攻击的前兆 以便及时采取措施 安全域划分 尤其注意远程接入及边界安全等 网络安全保障措施 DatabaseServers Internet 管理监控Servers 其他业务系统 WebServers ApplicationServers 安全区域的划分 安全边界的访问控制 流量分析和监视控制 网络安全保障措施 互联网的边界 监控和检测 访问控制 最小化的开放策略 定期审计和检查 网络安全保障措施 远程的维护接入 在认证机制上采用动态密码或数字证书的方式 考虑采用VPN接入方式 数据的传输通道必须进行安全加密 建立统一的账号管理策略 厂家维护人员的账号要及时回收 接人设备本身的安全性 接入设备的安全 远程控制软件的版本 严格的操作权限控制 行为的审计 访问控制 限制源ip 限制目标ip 远程接入通过VPN 拨号 专线的方式 其存在的安全威胁包括病毒 木马 跳板 和对业务系统的滥用 远程接入用户的客户端 装防病毒软件 打补丁等 系统安全保障措施 安全审计 安全漏洞发现 服务最小化原则 系统安装最小化原则 只安装需要的软件包 始终保持系统的OS在系统商提供的最安全稳定的版本上 同时保持系统软件补丁的最新更新 保证所有人的操作行为都必须透明化 出了问题一定要能追查到人 只开放业务必须的服务和端口 系统更新原则 利用安全弱点管理系统去发现系统已知的安全隐患 95 的攻击是针对已知漏洞 用户帐号安全管理 帐号的管理 口令的设置 权限控制和用户行为审计 应用安全保障措施 安全审计 严格控制好每一个入口 始终保持最安全稳定的版本上 同时保持系统软件补丁的最新更新 保证所有人的操作行为都必须透明化 出了问题一定要能追查到人 系统版本更新 任何一个试图接近你的应用的点都是要严格控制的 尤其要关注登陆和后台管理 用户帐号安全管理 帐号的管理 口令的设置 权限控制和用户行为审计 应用安全保障措施 互联网网站 其他业务系统 Internet 数据库 其他业务系统 三次登陆错误 锁定 用户名 密码 验证码 用户登陆操作审计 用户登陆认证的安全性考虑 只允许数据查询 不允许存取 业务系统访问 限定安全IP 数据采用加密传输 部署的安全性考虑 用户权限的严格控制 安全运维的注意事项 系统开发建设阶段 系统运维阶段 设备上线安全配置 设计阶段安全评审 系统上线前安全测试和批准 建设过程的安全保障 定期日志查看 数据的备份 帐号口令的安全管理 日常安全运行维护 系统和应用安全维护 设备安全维护 提出规范 要求 考核和检查 事件的应急响应 日志审计 操作系统日志审计Windows系统日志审计类UNIX系统日志审计WEB服务器日志审计IIS服务器日志审计Apache服务器日志审计 Windows日志审计 Windows2000服务器默认是不打开任何审核策略 Windows系统包含以下策略的审核 策略更改登录事件对象访问过程追踪目录服务访问特权使用系统事件帐户登录事件帐户管理通过 控制面板 管理工具 本地安全策略 在 本地策略 审核策略 中打开相应的审核选项 Windows日志审核策略 通过配置适当的审核策略 可以详细的记录系统的相关信息 Windows日志审计 事件查看器中记录了我们需要记录的所有系统日志信息 我们可以通过这些日志查出系统异常的蛛丝马迹 类UNIX系统日志审计 Linux FreeBSD Solaris AIX Hp unix和Cisco交换机和路由器都是采用标准的Syslog协议格式进行日志的记录这里主要介绍Solaris9 10系统Solaris系统wtmp utmp文件记录了系统的登录日志信息 使用last命令进行查询wtmp utmp文件主要记录的内容包括 未授权的访问非法登录事件1分钟内多次登录的事件帐户登录时间 类UNIX系统日志审计 Solaris系统默认不记录错误登录尝试 需要手动创建日志文件日志记录的操作步骤如下 touch var adm loginlogchmod600 var adm loginlogchownroot var adm loginlog系统默认只记录连续5次错误登录尝试的帐户信息 系统会将其记录到 var adm loginglog文件中 用户可以通过 cat var adm loginglog命令进行查询 类UNIX系统日志审计 Syslog进程日志通过syslog conf配置文件可以查看日志文件的存储位置和记录哪些类型的信息Error Warning类型中记录的是系统级别的信息 通过查看这两类信息可以判断出是否有可能被缓冲区溢出或者本地服务莫名被关闭Auth类型中记录的是帐号登录的信息 通过分析帐号登录时间 次数等信息判断有无异常登录情况 类UNIX系统日志审计 历史命令日志信息 sh history和 bash history文件记录的是历史操作命令信息 通过查看以上文件可以检测类似useradd passwd shadow等等带S位的各种命令的执行信息 SU命令日志信息 var adm sulog记录了su成功 失败的时间 通过查看su的帐号 时间 状态分析有无异常的权限提升行为 Crontab通过查看 var cron log记录 分析有无异常的计划任务 IIS服务器日志审计 IIS5 0默认使用W3C扩充日志文件格式 可以指定每天记录客户IP地址 用户名 服务器端口 方法 URI资源 URI查询 协议状态 用户代理等信息 IIS服务器日志审计 IIS5 0的WWW日志文件默认存放位置为 systemroot system32logfilesw3svc1建议不要使用默认的目录 更换一个记录日志的路径 同时设置日志访问权限 只允许管理员和SYSTEM为完全控制的权限 IIS服务器日志审计 日志文件的名称格式是 ex 年份的末两位数字 月份 日期 如2002年8月10日的WWW日志文件是ex020810 log IIS的日志文件都是文本文件 可以使用任何编辑器打开 例如记事本程序 Apache服务器日志审计 Apache服务器默认安装时 会生成access log windows下是access log 和error log windows下是error log 两个文件 linux下可以在 usr local apache log下找到 Apache日志中记录了包括远程主机地址 浏览者标识 浏览者名字 请求时间 方法 URI资源 协议类型等信息 Apache典型记录格式 216 35 116 91 19 Aug 2000 14 47 370400 GET HTTP 1 0 200654远程主机地址 216 35 116 91 第一个 位置用于记录浏览者的标识 这不只是浏览者的登录名字 而是浏览者的email地址或者其他唯一标识符 第二个 用于记录浏览者进行身份验证时提供的名字 请求时间 19 Aug 2000 14 47 37 0400 表示服务器所处时区位于UTC之前的4小时最后一项信息的典型格式是 METHODRESOURCEPROTOCOL 即 方法资源协议 记录收到一个什么样的请求 Apache服务器日志审计 Apache日志中记录了包括远程主机地址 浏览者标识 浏览者名字 请求时间 方法 URI资源 协议类型等信息 Apache典型记录格式 216 35 116 91 19 Aug 2000 14 47 370400 GET HTTP 1 0 200654远程主机地址 216 35 116 91 第一个 位置用于记录浏览者的标识 这不只是浏览者的登录名字 而是浏览者的email地址或者其他唯一标识符 第二个 用于记录浏览者进行身份验证时提供的名字 请求时间 19 Aug 2000 14 47 37 0400 表示服务器所处时区位于UTC之前的4小时最后一项信息的典型格式是 METHODRESOURCEPROTOCOL 即 方法资源协议 记录收到一个什么样的请求 日程安排 国内外近期安全形势系统主要的安全风险系统安全保障典型的安全措施 1 安全边界保护 互联边界 注意防火墙策略的严格管理和定期检查 加强对第三方的严格管理 加强对sp的严格管理对互联网开放端口列表 定期检查 物理环境安全性 网络安全性 操作系统安全性 数据库安全性 中间件安全性 web应用 代码安全性 1 应用及代码安全检查 2 对可能的拒绝服务攻击要有防范措施 3 防火墙等安全产品的保障 2 web应用及代码安全的重视 2 应用及代码定期安全检查 3帐号的严格管理 帐号的严格管理 用户访问管理 用户帐号的添加 修改及删除 权限管理 用户口令管理 用户帐号清单 权限 口令的定期审阅 用户操作的记录 加强对业务用户帐号的管理 可结合sox内控 4 加强监控和审计 定期的日志分析 发现可能存在的安全隐患和潜在风险 系统的定期检查 谢谢大家 安氏公司 李宗洋Mail lizy msn bdstt2004