增值业务平台安全防范与实施

《增值业务平台安全防范与实施》由会员分享，可在线阅读，更多相关《增值业务平台安全防范与实施（74页珍藏版）》请在金锄头文库上搜索。

1、增值业务平台的安全防范与实施增值业务平台的安全防范与实施 日程安排 国内外近期安全形势国内外近期安全形势 系统主要的安全风险 系统安全保障 典型的安全措施 国内外近期安全形势国内外近期安全形势 目录 国际信息安全威胁 国内信息安全特点 重大安全事件回顾 信息安全现状特点 国际信息安全威胁 恶意代码和僵尸网络威胁逐渐增加 2006年下半年，全球共有超过 600万个僵尸(Bots)网络 。与上半年相比，受到感染而被远程黑客控制的计算机 数量增加了 29%。 2006年下半年，排名前50的恶意代码样本中，木马程序 占45%，相较于2006年上半年增加了23%。 2006 年下半年一共发现了12 个零

2、日攻击漏洞，远远超 过 2006年上半年所发现的1个零日攻击漏洞 美国发生恶意活动的比例最高，占全球的31。中国次 之，占10；德国第三，占7 国际信息安全威胁 数据窃取和泄漏攻击增加 为了获取利益而以特定组织为目标的攻击不断增加，进而建立全 球性的协作网络 犯罪分子和犯罪组织使用地下交易服务器兜售所窃取的机密信息 的服务器，这些信息包括社会安全号码 (SSN)、信用卡、银行卡 、个人识别码 (PINs) 以及电子邮件地址列表 2006年下半年，全球所有已知的地下交易服务器中，有51% 位于 美国。美国的信用卡 (具有信用卡验证卡号) ，可以美金 1 元至6 元间的价格购得。而一个含有美国银行

3、账号、信用卡、出生日期 以及政府所发的识别码的身份账号，也可以美金 14 元至18 元间 的价格购得。 国际信息安全威胁 数据破坏导致身份盗用现象增长 全球的数据破坏大多危及政府部门，占总数的25%。由于其存储 位置分散，可访问人群较为复杂，因此攻击者更容易获得未经授 权的数据访问。 复杂的垃圾邮件以及网络诈欺方式持续攀升 2006年下半年，垃圾邮件占所监测的电子邮件总量的59%，相较 于2006年上半年呈现稳定增加的趋势。因为炒作股票的诈欺邮件 (Pump and Dump)增加，导致30%的垃圾邮件与金融产品或服务 有关。 2006年下半年，统计到166,248条不同的网页仿冒信息，相当于

4、平 均每天904条，比2006年上半年高出 6%。 目录 国际信息安全威胁 国内信息安全特点 重大安全事件回顾 信息安全现状特点 国内信息安全特点 信息系统漏洞不断增长 攻击行为趋利化，手段多样 恶意代码目的性强，僵尸网络发展迅速 针对dns和域名转发攻击增多 信息系统漏洞增长 美国CERT/CC 统计，该组织2006 年全年收到信息系 统安全漏洞报告8064 个，平均每天超过22 个，与2005 年同期相比增长了34.6% 攻击行为趋利化，手段多样 攻击目标攻击手段 政府类和安全管理类站点 篡改网页 金融机构、交易站点网络仿冒 中小企业DDOS勒索 个人用户身份、财产 窃取 攻击手段多样，以

5、获取利益为最终目标 攻击行为趋利化，手段多样 恶意代码产业链形成，受害主机大幅增加 漏洞研究者 恶意代码编写者 恶意代码传播者僵尸网络组建者 窃取机密信息 强迫弹出广告 点击商业广告 操纵网络投票 DDOS勒索 窃取银行帐号 发送垃圾邮件 出租僵尸网络 获取利益 僵尸网络发展迅速 流行的恶意代码侧重于控制用户系统并进而组成僵尸 网络 2007年上半年CNCERT/CC 监测到感染僵尸网络的主机总数达520 多万 针对dns和域名转发攻击增多 可将用户引诱到钓鱼网站或含有恶意代码的网站 2007年上半年网络安全事件概况 网络仿冒比06年全年增加14.65% 网页恶意代码比06年全年增加14.65

6、% 被木马控制主机比06年全年增加21倍 篡改网站数量比06年同期增加4倍 目录 国际信息安全威胁 国内信息安全特点 重大安全事件回顾 信息安全现状特点 重大安全事件回顾 2006 年8 月8 日，微软公司发布了例行安全公告，公告中的MS06 -040 漏洞（远程服务的溢出攻击漏洞）的攻击代码已经出现。截 至8 月18 日，共发现感染“魔波”蠕虫的IP 地址105 万个，其中中 国大陆境内为12.5 万个。 “Nimaya（熊猫烧香）”病毒在2007 年初出现流行趋势。该病毒 具有感染、传播、网络更新、发起分布式拒绝服务攻击（DDoS ）等功能。“熊猫烧香”的传播方式同时具备病毒和蠕虫的特性，

7、 危害较大。后来注意到“熊猫烧香”在更新时所采用的机制是定期 访问特定的网站，而且这些网站服务器位于国内。最终确定是位 于江苏的一台服务器。截至到2 月底，监测发现11 万个IP 地址的 主机被“熊猫烧香”病毒感染。 重大安全事件回顾 2007 年1 月，某招商网站遭到持续一个月的DDoS 攻击，流量峰 值达到1G。在对被攻击网站提供的日志进行初步分析后，发现被 黑客控制的部分计算机，这些计算机基本都是属于网吧、局域网 和ADSL 用户，2 月初，通过对感染恶意代码的ADSL 用户的机 器进行了深入分析，发现黑客是利用重庆市的一台服务器作为跳 板，而最终的控制服务器位于福建省。 北京联众公司自

8、4 月26日以来其托管在上海、石家庄IDC 机房的 13 台服务器分别遭受到大流量的DDoS 拒绝服务攻击，攻击一直 从4 月26 日持续到5 月5 日，其攻击最高流量达到瞬时700M/s。 致使服务器全部瘫痪，在此服务器上运行的其经营的网络游戏被 迫停止服务，经初步估算其经济损失为3460 万人民币。北京市网 监处成功的获取了犯罪团伙实施DDoS 攻击的证据，并及时将4 名犯罪嫌疑人一举抓获。 重大安全事件回顾 07年三季度，某国家特大型企业某中层领导（司局级 ）电脑中约200份重要文件被台湾黑客窃取，其中涉及 该行业的十一五发展规划等国家机密 07年，某国家特大型企业信息网internet

9、接口防火墙失 效，导致该企业内网暴露于公网之上，损失不详 目录 国际信息安全威胁 国内信息安全特点 重大安全事件回顾 信息安全现状特点 国家政策和法规 2003年9月 中办国办颁发 关于加强信息安 全保障工作的意见 中办发200327号 2005年9月 国信办文件 关于转发电 子政务信息安全等 级保护实施指南 的通知 国信办200425号 2006年1月 四部委会签 关于印发信 息安全等级保护管 理办法的通知 公通字20067号 2005年 国标送审稿 基本要求 定级指南 实施指南 测评准则 2004年11月 四部委会签 关于信息安全等 级保护工作的实施 意见 公通字200466号 国家级政策

10、文件国家级技术标准国家级政策文件 2006年6月 公安部 关于开展等 级保护试点工 作的通知 公信安 2006573号 信息安全风险评估规范、信息安全风险管理规范、信息安全事件 管理指南、信息系统灾难恢复规范 安全攻击特点和趋势（1） 黑客工具：数量越来越多，而且越来越易用，并且其造成的影响也越来越大。 黑客的知识技能：正因为以上工具的易用性，对于黑客入侵所需要的知识技能也越来越低。 漏洞被利用的时间越来越短，目前，宣布发现软件安全漏洞和利用这个安全漏洞的时间从三年 前的185天缩短到了1天。Trend公司 黑客工具越来越多 攻击者技能要求越来越低 从展示、炫耀技巧到以追求经济利益为目的 如利

11、用虚假网站进行的网络钓鱼，盗取上网用户银行帐号，进而窃取资金； 在普通用户的上网终端中植入控制软件，用于“监听”用户行为，并用来作为 攻击重要目标的跳板，成为网络犯罪事件的牺牲品、替罪羊； 安全攻击特点和趋势(2) 内部工作人员、第三方技术支持人员利用对内部信息的了解、拥有的权 限以及业务流程漏洞，实施信息安全犯罪。 安全攻击特点和趋势(3) 日程安排 国内外近期安全形势 系统主要的安全风险系统主要的安全风险 系统安全保障 典型的安全措施 系统主要弱点 大部分机器都可以主动访问internet。 各系统管理员组的用户较多,一般为3到5个,需要 确认是否需要这么的管理员权限用户,尽量控制 管理员

12、权限的用户。 相关组件版本偏低： RealVNC 4.1.1以下存在远程认证绕过漏洞建议升级所有RealVNC serv-u6.0.0.1 存在本地权限提升漏洞。建议升级。 网络层的主要弱点 防火墙策略不够严格. 各系统之间没有进行严格的访问控制 缺乏必要的审计和监控措施。 WEB应用程序安全 常见WEB攻击方法 SQL Injection Cookie欺骗 跨站脚本攻击 信息泄漏漏洞 文件读写脚本存在的安全隐患 GOOGLE HACKING Sql injection 攻击技术介绍 Web Server DB DB Web app Web Client Web app Web app Web

13、 app Input Validatio n attacks Extend SQL statements URL Interpretation attacks Get /list.asp?id=1;delete 可能的攻击发生在一个对 web程序对数据库的查询 请求 SQL Injection的概念 来自于用户的输入web应用程序没有对其进行检 查，导致对数据库进行操作的语句直接按照攻击 者的意愿执行 web程序的编程语言的无关性、多于数据库自身 的特性有关 大量的可以利用的数据库 SQL Injection 演示 SQL Injection 演示 代码泄露 跨站脚本攻击 跨站脚本攻击概念 跨

14、站脚本攻击简称XSS又叫CSS (Cross Site Script) ， 它指的是恶意攻击者往Web页面里插入恶意html代码，当 用户浏览该页之时，嵌入其中Web里面的html代码会被执 行，从而达到恶意用户的特殊目的。 XSS属于被动式的攻击（并不对服务期本身造成伤害，但 是可以利用xss漏洞得到其他客户的资料或者权限。）， 因为其被动且不好利用，所以许多人常呼略其危害性。 XSS跨站漏洞可以获取特定网站的cookie通过伪造cookie 的办法得到这个cookie在网站的使用权。或者使查看者跳 转到另外一个网站的页面，这个页面就可以使用IE漏洞 给访问者挂载木马或其他攻击手段。 跨站脚

15、本 跨站脚本攻击 http:/XXX/notice/index.asp?branch=1“审核策略”中打开相应的审核选项 Windows日志审核策略 通过配置适当的审核策略，可以详细的记录系统的相关信息。 Windows日志审计 事件查看器中记录了我们需要记录的所有系统日志信息 。我们可以通过这些日志查出系统异常的蛛丝马迹 类UNIX系统日志审计 Linux、FreeBSD、Solaris、AIX、Hp-unix和 Cisco交换机和路由器都是采用标准的Syslog协 议格式进行日志的记录 这里主要介绍Solaris 9+U;+Linux+2.4.2-2+i686) 2002-07-18 09:53:58 10.152.8.13 - 10.152.8.2 80 GET /MyHomepage/Nethief_Notify.htm - 404 INTERNET 2002-08-10 05:13:11 61.159.35.180 - 61.181.60.164 80 GET /bbs/ - 302 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98; +DigExt) 2002-06-28 08:17:33 127.0.0.1 - 127.0.0.1 2285 GET /