網(wǎng)絡(luò)安全新技術(shù)的發(fā)展及防范課件

網(wǎng)絡(luò)安全新技術(shù)的發(fā)展及防范1網(wǎng)絡(luò)安全新技術(shù)的發(fā)展及防范1目錄網(wǎng)絡(luò)安全防范手段12常見攻擊技術(shù)解析目錄網(wǎng)絡(luò)安全防范手段12常見攻擊技術(shù)解析2信息系統(tǒng)中的威脅33信息系統(tǒng)中的威脅33新型攻擊方法偽造基站攻擊BIOS后門攻擊高斯病毒水坑攻擊短信僵尸攻擊霧計(jì)算4新型攻擊方法偽造基站攻擊4偽造基站攻擊該偽造基站能監(jiān)控頻率為：900、1800和1900MHZ?？刂普咄ㄟ^SMS短信方式對偽造基站進(jìn)行監(jiān)控。系統(tǒng)特點(diǎn)：可以監(jiān)控200個(gè)電話號碼網(wǎng)絡(luò)自動配置區(qū)域覆蓋能力強(qiáng)遠(yuǎn)程操作遠(yuǎn)程重啟額外電源5偽造基站攻擊該偽造基站能監(jiān)控頻率為：900、1800和190偽造基站攻擊示意圖6偽造基站攻擊示意圖6BIOS后門攻擊該攻擊一般入侵設(shè)備的BIOS，然后駐留其中，開放接口，供后臺人員使用，最早常見于X86系統(tǒng)，近年有蔓延趨勢。我們常見的網(wǎng)絡(luò)核心節(jié)點(diǎn)—路由器、交換機(jī)、防火墻等設(shè)備都可能遭受此類攻擊。下面介紹目前已經(jīng)存在的幾種設(shè)備的攻擊：華為路由器、思科防火墻、juniper7BIOS后門攻擊該攻擊一般入侵設(shè)備的BIOS，然后駐留其中，BIOS后門攻擊—華為華為路由器后門：通過升級華為路由器固件安裝，在設(shè)備重啟后，后門軟件尋找補(bǔ)丁點(diǎn)，修改網(wǎng)絡(luò)輸入數(shù)據(jù)處理流程，可以實(shí)現(xiàn)命令解析、數(shù)據(jù)分析、設(shè)備控制等功能8BIOS后門攻擊—華為華為路由器后門：通過升級華為路由器固件BIOS后門攻擊--CiscoCiscoPIX防火墻后門：在系統(tǒng)啟動時(shí)，修改防火墻固件操作系統(tǒng)，安裝后門程序。該后門應(yīng)用于Cisco500系列防火墻和ASA防火墻(5505、5510、5520、5540、5550)等9BIOS后門攻擊--CiscoCiscoPIX防火墻后門：BIOS后門攻擊--juniperJuniper防火墻后門：在系統(tǒng)啟動時(shí)，修改防火墻固件操作系統(tǒng)，安裝后門程序。該后門可用于NetScreen防火墻、ns5xt、ns50、ns200、ns500和ISG1000等10BIOS后門攻擊--juniperJuniper防火墻后門：高斯病毒該病毒能夠在暗中監(jiān)視銀行交易狀況，并盜取社交網(wǎng)站、電子郵件和即時(shí)通訊系統(tǒng)用戶的登錄信息?？赡芘c“震網(wǎng)（Stuxnet）”病毒出自相同的實(shí)驗(yàn)室。外界廣泛認(rèn)為美國和以色列已經(jīng)使用“震網(wǎng)”這種計(jì)算機(jī)蠕蟲病毒對伊朗的核項(xiàng)目實(shí)施攻擊。目前已發(fā)現(xiàn)有2500多臺個(gè)人計(jì)算機(jī)遭“高斯”病毒感染。其中大部分計(jì)算機(jī)在黎巴嫩、以色列以及巴勒斯坦領(lǐng)土境內(nèi)。該病毒的襲擊目標(biāo)包括黎巴嫩的BLOM銀行、比卜魯斯銀行和黎巴嫩信貸銀行，以及花旗銀行集團(tuán)旗下的花旗銀行和PayPal公司的網(wǎng)絡(luò)支付系統(tǒng)。11高斯病毒該病毒能夠在暗中監(jiān)視銀行交易狀況，并盜取社交網(wǎng)站、電高斯-網(wǎng)絡(luò)病毒卡巴斯基實(shí)驗(yàn)室近日發(fā)表聲明稱，在中東地區(qū)發(fā)現(xiàn)了一種新型網(wǎng)絡(luò)病毒“高斯（Gauss）”。該病毒能夠在暗中監(jiān)視銀行交易狀況，并盜取社交網(wǎng)站、電子郵件和即時(shí)通訊系統(tǒng)用戶的登錄信息?？ò退够硎?，在對“震網(wǎng)”、Duqu和“火焰”病毒進(jìn)行分析后，可以非常確定地?cái)嘌?，“高斯”病毒由相同的“工廠”編寫。12高斯-網(wǎng)絡(luò)病毒卡巴斯基實(shí)驗(yàn)室近日發(fā)表聲明稱，在中東地區(qū)發(fā)現(xiàn)了水坑攻擊所謂“水坑攻擊”，是指黑客通過分析被攻擊者的網(wǎng)絡(luò)活動規(guī)律，尋找被攻擊者經(jīng)常訪問的網(wǎng)站的弱點(diǎn)，先攻下該網(wǎng)站并植入攻擊代碼，等待被攻擊者來訪時(shí)實(shí)施攻擊。這種攻擊行為類似《動物世界》紀(jì)錄片中的一種情節(jié)：捕食者埋伏在水里或者水坑周圍，等其他動物前來喝水時(shí)發(fā)起攻擊獵取食物。在技術(shù)日新月異的今天，網(wǎng)絡(luò)攻防永無止日。技術(shù)的發(fā)展使得網(wǎng)絡(luò)攻擊形態(tài)不斷變化，并衍生出不少新的攻擊方法，水坑攻擊便是其中一種。根據(jù)權(quán)威報(bào)告顯示，水坑攻擊已經(jīng)成為APT攻擊的一種常用手段，影響范圍也越來越廣。13水坑攻擊所謂“水坑攻擊”，是指黑客通過分析被攻擊者的網(wǎng)絡(luò)活動水坑攻擊水坑攻擊屬于APT攻擊的一種，與釣魚攻擊相比，黑客無需耗費(fèi)精力制作釣魚網(wǎng)站，而是利用合法網(wǎng)站的弱點(diǎn)，隱蔽性比較強(qiáng)。在人們安全意識不斷加強(qiáng)的今天，黑客處心積慮地制作釣魚網(wǎng)站卻被有心人輕易識破，而水坑攻擊則利用了被攻擊者對網(wǎng)站的信任。水坑攻擊利用網(wǎng)站的弱點(diǎn)在其中植入攻擊代碼，攻擊代碼利用瀏覽器的缺陷，被攻擊者訪問網(wǎng)站時(shí)終端會被植入惡意程序或者直接被盜取個(gè)人重要信息。因此，水坑攻擊相對于通過社會工程方式引誘目標(biāo)用戶訪問惡意網(wǎng)站更具欺騙性，效率也更高。水坑方法主要被用于有針對性的間諜攻擊，而AdobeReader、Java運(yùn)行時(shí)環(huán)境（JRE）、Flash和IE中的零日漏洞被用于安裝惡意軟件。14水坑攻擊水坑攻擊屬于APT攻擊的一種，與釣魚攻擊相比，黑客無水坑攻擊的攻擊流程15水坑攻擊的攻擊流程15短信僵尸“短信僵尸”木馬偽裝成動態(tài)壁紙安裝到用戶手機(jī)后，會誘導(dǎo)用戶安裝名為“Android系統(tǒng)服務(wù)”的惡意軟件子包，激活該服務(wù)后，“短信僵尸”就會通過服務(wù)器遠(yuǎn)程控制。該木馬不但能通過服務(wù)器遠(yuǎn)程下發(fā)關(guān)鍵詞等方式，持續(xù)監(jiān)看用戶短信中指定的重要隱私信息；還能隨時(shí)把受害者的手機(jī)號、銀行卡、信用卡以及賬單支付等特定網(wǎng)銀信息發(fā)送到木馬作者指定的手機(jī)號；與此同時(shí)，還可利用中毒手機(jī)自動發(fā)送詐騙短信。該木馬通過服務(wù)器遠(yuǎn)程控制，可以手機(jī)機(jī)主的名義向通訊錄中的聯(lián)系人發(fā)送短信。此外，該木馬還可偽造發(fā)信人地址，以此實(shí)現(xiàn)“釣魚”短信詐騙。16短信僵尸“短信僵尸”木馬偽裝成動態(tài)壁紙安裝到用戶手機(jī)后，會誘“短信僵尸”高危手機(jī)間諜木馬17“短信僵尸”高危手機(jī)間諜木馬17霧計(jì)算"霧計(jì)算"技術(shù)最初是AST公司為保障云計(jì)算環(huán)境中的用戶信息安全而開發(fā)的。由于云計(jì)算帶來了新的計(jì)算和通信模式，已有的數(shù)據(jù)保護(hù)機(jī)制已不能滿足云環(huán)境下信息安全的要求，特別是來自云環(huán)境內(nèi)部的數(shù)據(jù)攻擊和偷竊行為比來自外部的攻擊更加容易，危害也更大。為此，AST公司提出了一種誘捕信息技術(shù)(亦稱為"假情報(bào)技術(shù)")，通過該技術(shù)可以監(jiān)控云環(huán)境中來自內(nèi)部的數(shù)據(jù)訪問，并能夠偵測到異常的數(shù)據(jù)訪問模式。當(dāng)偵測到未經(jīng)授權(quán)的內(nèi)部訪問時(shí)，系統(tǒng)會向訪問者發(fā)送大量迷霧般的虛假信息，并通過追蹤這些信息的分發(fā)和使用情況來鎖定惡意訪問者。因此，AST公司將此項(xiàng)技術(shù)稱為"霧計(jì)算"技術(shù)。18霧計(jì)算"霧計(jì)算"技術(shù)最初是AST公司為保障云計(jì)算環(huán)境中的霧計(jì)算系統(tǒng)框架19霧計(jì)算系統(tǒng)框架19網(wǎng)絡(luò)安全CIA屬性完整性完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即網(wǎng)絡(luò)信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。保障網(wǎng)絡(luò)信息完整性的主要方法有：協(xié)議：通過各種安全協(xié)議可以有效地檢測出被復(fù)制的信息、被刪除的字段、失效的字段和被修改的字段；糾錯(cuò)編碼方法：由此完成糾錯(cuò)和糾錯(cuò)功能。最簡單和常用的糾錯(cuò)編碼方法是奇偶校驗(yàn)法；密碼校驗(yàn)和方法：它是抗篡改和傳輸失敗的重要手段；數(shù)字簽名：保障信息的真實(shí)性；公證：請求網(wǎng)絡(luò)管理或中介機(jī)構(gòu)證明信息的真實(shí)性。不可抵賴性不可抵賴性也稱作不可否認(rèn)性。在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中，確信參與者的真實(shí)同一性，即，所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾?？煽匦钥煽匦允菍W(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性。20網(wǎng)絡(luò)安全CIA屬性完整性20信息安全意識21信息安全意識21物理安全自然災(zāi)害(地震、火災(zāi)、洪水等)、物理損壞(硬盤損壞、設(shè)備使用壽命到期、外力破損等)、設(shè)備故障(停電斷電、電磁干擾等)電磁輻射(如偵聽微機(jī)操作過程)，乘機(jī)而入(如合法用戶進(jìn)入安全進(jìn)程后半途離開)，痕跡泄露(如口令密鑰等保管不善，被非法用戶獲得)等操作失誤(偶然刪除文件、格式化硬盤、線路拆除等)，意外疏漏(系統(tǒng)掉電、“死機(jī)”等系統(tǒng)崩潰)。

安全控制措施操作系統(tǒng)的安全控制網(wǎng)絡(luò)接口模塊的安全控制網(wǎng)絡(luò)互連設(shè)備的安全控制22物理安全自然災(zāi)害(地震、火災(zāi)、洪水等)、物理損壞(硬盤損壞、安全服務(wù)安全機(jī)制是利用密碼算法對重要而敏感的數(shù)據(jù)進(jìn)行處理安全連接是在安全處理前與網(wǎng)絡(luò)通信方之間的連接過程

安全協(xié)議

安全策略

23安全服務(wù)安全機(jī)制是利用密碼算法對重要而敏感的數(shù)據(jù)進(jìn)行處理23防火墻技術(shù)防火墻(Firewall)技術(shù)分組過濾這是一種基于路由器的防火墻。它是在網(wǎng)間的路由器中按網(wǎng)絡(luò)安全策略設(shè)置一張?jiān)L問表或黑名單。防火墻的職責(zé)就是根據(jù)訪問表(或黑名單)對進(jìn)出路由器的分組進(jìn)行檢查和過濾、凡符合要求的放行，不符合的拒之門外。這種防火墻簡單易行，但不能完全有效地防范非法攻擊。

代理服務(wù)

是一種基于代理服務(wù)的防火墻，它的安全性高，增加了身份認(rèn)證與審計(jì)跟蹤功能，但速度較慢。24防火墻技術(shù)防火墻(Firewall)技術(shù)24訪問控制技術(shù)除了計(jì)算機(jī)網(wǎng)絡(luò)硬設(shè)備之外，網(wǎng)絡(luò)操作系統(tǒng)是確保計(jì)算機(jī)網(wǎng)絡(luò)安全的最基本部件。它是計(jì)算機(jī)網(wǎng)絡(luò)資源的管理者，如果它具有安全的控制策略和保護(hù)機(jī)制，便可以將非法人侵者拒之門外。否則，非法人侵者便可攻破設(shè)防而非法獲取資源。網(wǎng)絡(luò)操作系統(tǒng)安全保密的核心是訪問控制，即確保主體對客體的訪問只能是授權(quán)的，未經(jīng)授權(quán)的訪問是不允許的，而且操作是無效的。因此，授權(quán)策略和授權(quán)機(jī)制的安全性顯得特別重要。物理隔離：使必須隔離的進(jìn)程使用不同的物理客體。時(shí)間隔離：使具有不同安全要求的進(jìn)程在不同的時(shí)間運(yùn)行邏輯隔離：實(shí)施存取控制，使進(jìn)程不能存取允許范圍以外的客體。密碼隔離：使進(jìn)程以一種其它進(jìn)程不能解密的方式險(xiǎn)蔽數(shù)據(jù)以及計(jì)算。25訪問控制技術(shù)除了計(jì)算機(jī)網(wǎng)絡(luò)硬設(shè)備之外，網(wǎng)絡(luò)操作系統(tǒng)是確保計(jì)算服務(wù)器安全目前服務(wù)器常用的操作系統(tǒng)有三類：?Unix?Linux?WindowsUNIX系統(tǒng)

（1）可靠性高（2）極強(qiáng)的伸縮性（3）網(wǎng)絡(luò)功能強(qiáng)（4）強(qiáng)大的數(shù)據(jù)庫支持功能（5）開放性好Linux系統(tǒng)26服務(wù)器安全目前服務(wù)器常用的操作系統(tǒng)有三類：26服務(wù)器安全Linux系統(tǒng)完全免費(fèi)完全兼容POSIX1.0標(biāo)準(zhǔn)多用戶、多任務(wù)良好的界面豐富的網(wǎng)絡(luò)功能可靠的安全、穩(wěn)定性能支持多種平臺Windows系統(tǒng)

支持多種網(wǎng)絡(luò)協(xié)議內(nèi)置Internet功能支持NTFS文件系統(tǒng)27服務(wù)器安全Linux系統(tǒng)27入侵檢測系統(tǒng)入侵檢測系統(tǒng)IDS（IntrusionDetectionSystem）指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對系統(tǒng)資源的非授權(quán)使用能夠做出及時(shí)的判斷、記錄和報(bào)警。沒有一個(gè)應(yīng)用系統(tǒng)不會發(fā)生錯(cuò)誤，原因主要有四個(gè)方面。缺乏共享數(shù)據(jù)的機(jī)制缺乏集中協(xié)調(diào)的機(jī)制缺乏揣摩數(shù)據(jù)在一段時(shí)間內(nèi)變化的能力缺乏有效的跟蹤分析28入侵檢測系統(tǒng)入侵檢測系統(tǒng)IDS（IntrusionDete入侵檢測的方法入侵檢測方法有三種分類依據(jù)：根據(jù)物理位置進(jìn)行分類。根據(jù)建模方法進(jìn)行分類。根據(jù)時(shí)間分析進(jìn)行分類。常用的方法有三種：靜態(tài)配置分析異常性檢測方法基于行為的檢測方法。29入侵檢測的方法入侵檢測方法有三種分類依據(jù)：29入侵檢測的步驟入侵檢測的步驟

信息收集數(shù)據(jù)分析根據(jù)數(shù)據(jù)分析的不同方式可將入侵檢測系統(tǒng)分為兩類：異常入侵檢測誤用入侵檢測響應(yīng)將分析結(jié)果記錄在日志文件中，并產(chǎn)生相應(yīng)的報(bào)告。觸發(fā)警報(bào)：如在系統(tǒng)管理員的桌面上產(chǎn)生一個(gè)告警標(biāo)志位，向系統(tǒng)管理員發(fā)送傳呼或電子郵件等等。修改入侵檢測系統(tǒng)或目標(biāo)系統(tǒng)，如終止進(jìn)程、切斷攻擊者的網(wǎng)絡(luò)連接，或更改防火墻配置等。30入侵檢測的步驟入侵檢測的步驟30如何保障信息安全人是最關(guān)鍵的因素判斷威脅來源，綜合認(rèn)為因素和系統(tǒng)自身邏輯與物理上諸多因素在一起，歸根結(jié)底，還是人起著決定性的作用正是因?yàn)槿嗽谟幸猓◥阂夤簦┗驘o意（誤操作、誤配置）間的活動，才給信息系統(tǒng)安全帶來了隱患和威脅信息資產(chǎn)對我們很重要，是要保護(hù)的對象威脅就像蒼蠅一樣，揮之不去，無所不在資產(chǎn)自身又有各種弱點(diǎn)，給威脅帶來可乘之機(jī)面臨各種風(fēng)險(xiǎn)，一旦發(fā)生就成為安全事件、事故31如何保障信息安全人是最關(guān)鍵的因素31如何保障信息安全我們應(yīng)該.....嚴(yán)防威脅消減弱點(diǎn)應(yīng)急響應(yīng)保護(hù)資