《信息安全发展现状及其面临的问题.ppt》由会员分享,可在线阅读,更多相关《信息安全发展现状及其面临的问题.ppt(42页珍藏版)》请在三一文库上搜索。
1、信息安全发展现状及其面临的 问题 报告人:杨旭 互联网困境 nINTERNET的美妙之处在于你和每个 人都能互相连接, INTERNET的可怕 之处在于每个人都能和你互相连接 。 n网络的安全将成为传统的国界、领海、 领空的三大国防和基于太空的第四国防 之外的第五国防,称为cyber-space n各国对网络空间的监管能力不断增强。 n如控制计算机网络国际联网出入口信道,制定专门 调整计算机互联网络的国内立法,建立专门的互联 网管理机构,或者积极尝试和推进网络业界的行业 自律等。 n信息安全即将进入综合研究时期。 n从最初的信息保密性发展到信息的完整性、可用性 、可控性和不可否认性,进而又发展
2、为攻(攻击) 、防(防范)、测(检测)、控(控制)、管(管 理)、评(评估)” 等多方面的理论和实施技术 的研究。 n信息安全技术更加成熟,防病毒、防黑客攻击 是网络与信息安全的技术主流。 n网络攻击是各个国家重点防范的恐怖方式,国 际合作会更加紧密。 n网络攻击技术发展加快,网上攻击在距离、速 度上已突破传统的限制,井拥有多维、多点、 多次实施隐蔽打击的能力,加之网络攻击还具 有代价小、摧毁力强等特点,现实空间的恐怖 袭击与网络空间的恐怖袭击结合在一起,成为 面临的新威胁。而且对互联网的依赖程度越高 ,遭受的损失就越大,防止恐怖分子发动网络 攻击将成为重点。 我国面临的网络攻击现状 n网络间
3、谍密集攻击我国国家机密 n目前境外有数万个木马控制端IP紧盯着 我国大陆被控制的电脑,数千个僵尸网 络控制服务器也针对着大陆地区,甚至 有境外间谍机构设立数十个网络情报据 点,疯狂采用“狼群战术”、“蛙跳攻 击”等对我进行网络窃密和情报渗透。 n蛙跳攻击:就是用像木马、僵尸这样的程序工具先控 制某个网上主机,把它作为跳板,操纵它来攻击真正 的目标。这样做可以掩护攻击者的真实身份,给事发 后的追查增加困难,同时还能借跳板的身份来麻痹对 方。 n境外间谍机关通常选择境内配置比较好、容量比较大 、访问量比较小、管理相对松懈、身份又显得比较可 靠的非敏感网络服务器或主机,一些中等城市的政府 网站时常被
4、当作首选。 n某谍报机关就曾将我中部地区的某中等城市政府网站 作为中转跳板,向外发出很多经过伪装的邮件,侵入 其他一些重要部门的网络进行监听窃密。 n重点攻击目标:大陆军事、军工单位和重要政府部门的网络。境 外情报机关设立了专门的网络间谍机构,我国重要部门和涉密单 位的上网电脑或服务器,全是他们感兴趣的目标。 n我国很多保密单位的内部工作网是不与互联网连接的,但有关部 门做安全检测时仍然从中发现了境外情报部门的木马,why? n一个重要的途径是摆渡攻击,利用U盘、移动硬盘等移动介质途径 。境外间谍部门专门设计了各种摆渡木马,并且搜集了我国大量 保密单位工作人员的个人网址或邮箱,只要这些人当中有
5、联网使 用U盘等移动介质的,摆渡木马就会悄悄植入移动介质。一旦这些 人违反规定在内部工作网的电脑上插入U盘等移动介质,摆渡木马 立刻就感染内网,把保密资料下载到移动介质上。只要使用者再 把这个移动介质接入联网电脑,下载的情报就自动传到控制端的 网络间谍那里。 n n境外间谍机关在网上物色可利用的情报人员, 甚至明码标价购买我国家秘密。 n有些网民或出于侥幸、被利诱、被蒙蔽,被境 外间谍“拉下水”。 n洪风是我某重要科研部门办公室工作人员,为了多一 份收入,违规在网上寻找兼职,并公开了自己的真实 身份。结果,他的个人信息被化名“张大峰、 zhangboss”的境外网络间谍盯上。在对方的利诱下,
6、洪风经不住金钱诱惑,先从窃取内部刊物牟利开始, 逐步按境外间谍的要求,搜集、出卖该部门研发科技 产品的机密情报,对我国家安全造成重大损失。 我国一些机要单位存在安全管理漏洞 n重要单位的内网要求与互联网进行物理 隔离,但不少单位内外网没有严格分开 。 n移动介质在内网电脑上的使用也很随便 n有的涉密单位为了工作方便,在内外网之 间设了一个开关,需要时和外网连接打开 ,不需要就关上断开,但常常是开了以后就 忘了关。 n内部网络和互联网不是物理隔离的,只是用 防火墙进行了逻辑隔离。 n2007年一个境外间谍机构对我国某科工集团总 部发动网络攻击,窃取情报。安全部门对该集 团内网检测发现,要害部门和
7、领导层的电脑都 被植入境外间谍部门的木马。进一步的调查发 现:涉密机、非涉密机混杂使用,内网和外网 没有物理隔离,数百台涉密电脑曾接入互联网 。 n另一个承担国家重大科研项目的机构,其网络 也被某境外情报机关的网络间谍攻入,不少科 研资料被窃,实行网络安全检查时发现该机构 存在的网络风险漏洞高达数千个。 n方便高效和安全保密必须平衡并重。 n一位国家安全部门人士说:“针对中国 的网络间谍攻击正变得越来越多,中国 的国家安全从来没有像现在这样与网络 密切相关。” 案例 n2007年10月,我国安全部门发现了境外间谍机关实施 的大规模网络窃密行动,攻击对象是中国政府和军队 以及国防科研机构、军工企
8、业网络,受到攻击的单位 遍及我国绝大部分省、自治区、直辖市,甚至还包括 我国十几个驻外机构。在该案中被境外情报部门控制 的电脑和网络达数百个,窃密内容涉及政治、军事、 外交、经济、医疗卫生等多个领域。 n此次活动的主要操刀者名叫李芳荣(真实身份是台湾 军情局派驻莫斯科的职业间谍),利用黑客技术,控 制了大陆的多个服务器,又通过这些服务器将木马植 入其感兴趣的电脑,猖狂实施网络窃密等破坏活动。 n另一起网络间谍案:有关部门从政府某 部门及其对口地方单位的电脑网络中检 测出了不少特制的木马程序,所有入侵 木马的连接都指向境外的特定间谍机构 。专业部门进行检测时,测出的木马很 多还正在下载、外传资料
9、,专业人员当 即采取措施,制止了进一步的危害。 n国家计算机网络安全应急技术中心网络安全报告中, 其中特别提到“木马”和“僵尸网络”对国家安全造 成了严重危害。报告指出,今年上半年我国大陆地区 大量主机被境外植入木马程序。木马不仅是一般黑客 的常用工具,更是网上情报刺探活动的一种主要手段 。 n我国大陆地区感染木马和僵尸网络的主机数量巨大, 2008 年前5 个月监测到的感染木马和僵尸网络的主机 数量缓慢波动上涨,但在6 月份出现跳跃式增长。 n在大陆地区外的木马控制端IP有数万个,其中位于台 湾的占总数的42%,位于美国的也占了约25%。中国大 陆主要分布在上海、北京和江苏的最多。 n什么是
10、木马:木马特指电脑后门程序, 它通常包含控制端和被控制端两部分, 被控制端一旦植入受害者的电脑,操纵 者就可以在控制端实时监视该用户的一 切操作,有的放矢地窃取重要文件和信 息,甚至还能远程操控受害电脑对其他 电脑发动攻击。 n什么是僵尸网络Botnet :是指采用一种或多种传播手 段,将大量主机感染bot程序(僵尸程序),从而在控 制者和被感染主机之间所形成的一对多控制的网络。 这个网络并不是指我们物理意义上具有拓扑架构的网 络,随着bot程序的不断传播而不断有新位置的僵尸计 算机添加到这个网络中来。僵尸程序一般是由攻击者 专门编写的类似木马的控制程序,通过网络病毒等多 种方式传播出去。 n
11、传播:主动漏洞攻击,邮件病毒等 n攻击:可以一对多地执行相同的恶意行为,同时发送 大量的垃圾邮件等,使得攻击者能够以极低的代价高 效地控制大量的资源为其服务。攻击者可利用僵尸网 络实施信息窃取、垃圾邮件、网络仿冒、拒绝服务攻 击等各种恶意活动,成为当前互联网安全的最大威胁 。 国家互联网应急中心2008年上半 年网络安全报告 n各种网络安全事件数量与2007 年上半年同期相 比有较为显著的增加。其中垃圾邮件和网页恶 意代码事件增长较快,网页恶意代码同比增长 近一倍;网页篡改事件和网络仿冒事件也有大 幅增长,同比增长分别是23.7%和38%,其中 涉及国内政府机构和重要信息系统部门的网页 篡改事
12、件、涉及国内外商业机构的网络仿冒事 件是2008 年上半年事件监测和处置的重点。 n由于政府网站整体安全水平较低,往往是黑客 攻击的重要目标,电子政务信息系统的网络安 全管理是一个需要各级部门高度重视的问题。 n2008 年4 月29 日,国家互联网应急中心通过监 测发现,某省某部门网站首页被挂载木马, 2008 年5 月4 日,挂马网页链接已恢复正常。 网站首页挂马会对政府形象及公共安全造成较 大影响。 Phishing nPhishing:是fishing和phone的缩写,网络钓鱼软件, 又称电子黑饵,是指盗取他人个人资料、银行及财务 账户资料的网络相关诱骗行为,可分为诱骗式及技术 式两
13、种。 n诱骗式:利用特制的电邮,引导收件人连接到仿冒的 网页,这些网页通常会伪装成真正的银行或理财网页 ,令登录者信以为真,输入信用卡或银行卡号码、账 户名称及密码等,使其泄漏与财产价值相关的敏感信 息。 n如黑客假借银行之名给银行用户发电子邮件,提示银 行系统升级要求用户重新注册,用户一旦轻信进行注 册,银行账号即落入黑客掌中,与此伴随的将是你的 银行存款不翼而飞。 n技术式:将程序安装到受害者的电脑中 ,直接盗取个人资料或使用木马程序、 按键记录程序等。 nPhishing 起源:1996年最早出现这个词, 1997年正式出现媒体上的引用:AOL 的 消息窗口出现一条信息,声称由于系统 故
14、障,用户信息丢失,无法恢复,请用 户回复信息,提供当前登陆账号的密码 ,以便系统进行文件的更新。 nPhishing攻击增长非常快 我国的情况 n2002、2003年:各有一起针对 我国银行 用户的攻击。 n2004年:共处理223起报告。 n2005年:共收到456起报告。 Phishing攻击的组成 n鱼:个人身份信息 n饵:伪造邮件和故事 n钩:伪造的网站(或间谍软件等) 假网站 手段 n在骗局中加入假的“查号台” n不用“钓”,直接到用户那里等着偷:窃听 (恶意代码注入) n干脆直接偷银行:从交易环节中窃取信 息(eg.2005年5千万信用卡信息被盗案 ) n本质:在线身份窃取。 如何
15、防范?偷VS 防偷 n偷:使用类似URL和相似网页 n防:看清楚真正的网址 n偷: 网址真实但是假的弹出式窗口 n防: 警惕弹出式窗口 n提示: 一些银行宣称他们的网站从来不用 弹出式窗口(不过要让他们的每个用户 都知道才行) n偷: 试图掩盖浏览器访问的网址 n防: 检查浏览器现实的网址信息 n提示:只要仔细,比较容易发现 n偷: 利用IE浏览器漏洞 n防: n升级; n使用其他的浏览器 如何应对和面临的实际问题 n仿冒网站的关闭: n定位(信息不准确) n合作(超出管理范围,需要寻找最近的合作伙伴) n数据提取和分析:用户不配合 n恶意代码获取分析:样本获取、技术积累、人 力资源、资金
16、环境etc. n取证与追踪:法律相关部门的工作,高的分析 能力要求。 我们所面对的挑战 n仿冒网页禁止同一IP多次访问:避免被追踪。 n利用僵尸网络进行重定向,使得更加难以追查 到真正的假冒网站。 n利用动态域名不断变化IP,利用僵尸网络控制 的资源,短时间内(例如30分钟)就可以随便 转移仿冒网站的位置(而传统方式下平均存活 5.8天) n对窃取的信息加密 加强合作 n银行或其他被仿冒对象: n提供更安全的环境;宣传;通知用户; n法律执行部门: n调查取证,抓捕“小偷”(通过信息走向) n网络运营单位: n协助定位IP(有时能将之断网) n专业组织 n专业技术分析,网络的监测,新趋势研究,
17、 n其它防护 n不要点击电子邮件中的超链接,而是自己手工输入 n不要打开不明电子邮件附件 n安装防护和监控软件 n如何植入恶意程序 n利用IE浏览器漏洞:“正常”网页中隐藏恶意代码; (2004年发现1200多个这种网站) n利用其他漏洞或者脆弱性:邮件工具漏洞etc. 入侵的手段 n垃圾邮件+社会工程学方法+相似链接( 隐藏链接)+仿冒网站 n利用浏览器漏洞做到更好的链接隐藏 n恶意代码进驻+修改host文件+仿冒网站 n恶意代码进驻+监视软件 n一家涉密单位的工作人员收到了“上级机关” 发来的一封邮件,内容是“病毒木马检测程序 ”。一看是自己人,来信又正好对路,工作人 员没有多想就打开信件,运行程序,结果境外 间谍机关的木马一下植入电脑中,原来“上级 机关”是境外网络间谍冒的名。 n像这样的网络间谍骗局花样繁多,针对不同的 对象会设计不同的欺骗形式。比如伪装成攻击 对象很需要且又很可信的邮件,有时点击邮件 甚至还会跳出诸如“无病毒”之类的提示来迷 惑操作者。