移动数据增值业务平台的安全防范与实施.分析报告-安氏领信科技(1).ppt

增值业务平台的安全防范与实施,日程安排,国内外近期安全形势系统主要的安全风险系统安全保障典型的安全措施,国内外近期安全形势,目录,国际信息安全威胁国内信息安全特点重大安全事件回顾信息安全现状特点,国际信息安全威胁,恶意代码和僵尸网络威胁逐渐增加2006年下半年，全球共有超过 600万个僵尸(Bots)网络。与上半年相比，受到感染而被远程黑客控制的计算机数量增加了 29%。2006年下半年，排名前50的恶意代码样本中，木马程序占45%，相较于2006年上半年增加了23%。2006 年下半年一共发现了12 个零日攻击漏洞，远远超过 2006年上半年所发现的1个零日攻击漏洞美国发生恶意活动的比例最高，占全球的31。中国次之，占10；德国第三，占7,国际信息安全威胁,数据窃取和泄漏攻击增加为了获取利益而以特定组织为目标的攻击不断增加，进而建立全球性的协作网络犯罪分子和犯罪组织使用地下交易服务器兜售所窃取的机密信息的服务器，这些信息包括社会安全号码(SSN)、信用卡、银行卡、个人识别码(PINs)以及电子邮件地址列表2006年下半年，全球所有已知的地下交易服务器中，有51%位于美国。美国的信用卡(具有信用卡验证卡号)，可以美金 1 元至6 元间的价格购得。而一个含有美国银行账号、信用卡、出生日期以及政府所发的识别码的身份账号，也可以美金 14 元至18 元间的价格购得。,国际信息安全威胁,数据破坏导致身份盗用现象增长全球的数据破坏大多危及政府部门，占总数的25%。由于其存储位置分散，可访问人群较为复杂，因此攻击者更容易获得未经授权的数据访问。复杂的垃圾邮件以及网络诈欺方式持续攀升2006年下半年，垃圾邮件占所监测的电子邮件总量的59%，相较于2006年上半年呈现稳定增加的趋势。因为炒作股票的诈欺邮件(Pump and Dump)增加，导致30%的垃圾邮件与金融产品或服务有关。2006年下半年，统计到166,248条不同的网页仿冒信息，相当于平均每天904条，比2006年上半年高出 6%。,目录,国际信息安全威胁国内信息安全特点重大安全事件回顾信息安全现状特点,国内信息安全特点,信息系统漏洞不断增长攻击行为趋利化，手段多样恶意代码目的性强，僵尸网络发展迅速针对dns和域名转发攻击增多,信息系统漏洞增长,美国CERT/CC 统计，该组织2006 年全年收到信息系统安全漏洞报告8064 个，平均每天超过22 个，与2005 年同期相比增长了34.6%,攻击行为趋利化，手段多样,攻击手段多样，以获取利益为最终目标,攻击行为趋利化，手段多样,恶意代码产业链形成，受害主机大幅增加,僵尸网络发展迅速,流行的恶意代码侧重于控制用户系统并进而组成僵尸网络2007年上半年CNCERT/CC 监测到感染僵尸网络的主机总数达520 多万,针对dns和域名转发攻击增多,可将用户引诱到钓鱼网站或含有恶意代码的网站,2007年上半年网络安全事件概况,网络仿冒比06年全年增加14.65%网页恶意代码比06年全年增加14.65%被木马控制主机比06年全年增加21倍篡改网站数量比06年同期增加4倍,目录,国际信息安全威胁国内信息安全特点重大安全事件回顾信息安全现状特点,重大安全事件回顾,2006 年8 月8 日，微软公司发布了例行安全公告，公告中的MS06-040 漏洞（远程服务的溢出攻击漏洞）的攻击代码已经出现。截至8 月18 日，共发现感染“魔波”蠕虫的IP 地址105 万个，其中中国大陆境内为12.5 万个。“Nimaya（熊猫烧香）”病毒在2007 年初出现流行趋势。该病毒具有感染、传播、网络更新、发起分布式拒绝服务攻击（DDoS）等功能。“熊猫烧香”的传播方式同时具备病毒和蠕虫的特性，危害较大。后来注意到“熊猫烧香”在更新时所采用的机制是定期访问特定的网站，而且这些网站服务器位于国内。最终确定是位于江苏的一台服务器。截至到2 月底，监测发现11 万个IP 地址的主机被“熊猫烧香”病毒感染。,重大安全事件回顾,2007 年1 月，某招商网站遭到持续一个月的DDoS 攻击，流量峰值达到1G。在对被攻击网站提供的日志进行初步分析后，发现被黑客控制的部分计算机，这些计算机基本都是属于网吧、局域网和ADSL 用户，2 月初，通过对感染恶意代码的ADSL 用户的机器进行了深入分析，发现黑客是利用重庆市的一台服务器作为跳板，而最终的控制服务器位于福建省。北京联众公司自4 月26日以来其托管在上海、石家庄IDC 机房的13 台服务器分别遭受到大流量的DDoS 拒绝服务攻击，攻击一直从4 月26 日持续到5 月5 日，其攻击最高流量达到瞬时700M/s。致使服务器全部瘫痪，在此服务器上运行的其经营的网络游戏被迫停止服务，经初步估算其经济损失为3460 万人民币。北京市网监处成功的获取了犯罪团伙实施DDoS 攻击的证据，并及时将4 名犯罪嫌疑人一举抓获。,重大安全事件回顾,07年三季度，某国家特大型企业某中层领导（司局级）电脑中约200份重要文件被台湾黑客窃取，其中涉及该行业的十一五发展规划等国家机密07年，某国家特大型企业信息网internet接口防火墙失效，导致该企业内网暴露于公网之上，损失不详,目录,国际信息安全威胁国内信息安全特点重大安全事件回顾信息安全现状特点,国家政策和法规,2003年9月中办国办颁发关于加强信息安全保障工作的意见中办发200327号,2005年9月国信办文件 关于转发电子政务信息安全等级保护实施指南的通知 国信办200425号,2006年1月四部委会签 关于印发信息安全等级保护管理办法的通知 公通字20067号,2005年 国标送审稿基本要求定级指南实施指南测评准则,2004年11月四部委会签关于信息安全等级保护工作的实施意见公通字200466号,国家级政策文件,国家级技术标准,国家级政策文件,2006年6月公安部 关于开展等级保护试点工作的通知 公信安2006573号,信息安全风险评估规范、信息安全风险管理规范、信息安全事件管理指南、信息系统灾难恢复规范,安全攻击特点和趋势（1）,黑客工具：数量越来越多，而且越来越易用，并且其造成的影响也越来越大。黑客的知识技能：正因为以上工具的易用性，对于黑客入侵所需要的知识技能也越来越低。漏洞被利用的时间越来越短，目前，宣布发现软件安全漏洞和利用这个安全漏洞的时间从三年前的185天缩短到了1天。Trend公司,黑客工具越来越多,攻击者技能要求越来越低,从展示、炫耀技巧到以追求经济利益为目的如利用虚假网站进行的网络钓鱼，盗取上网用户银行帐号，进而窃取资金；在普通用户的上网终端中植入控制软件，用于“监听”用户行为，并用来作为攻击重要目标的跳板，成为网络犯罪事件的牺牲品、替罪羊；,安全攻击特点和趋势(2),内部工作人员、第三方技术支持人员利用对内部信息的了解、拥有的权限以及业务流程漏洞，实施信息安全犯罪。,安全攻击特点和趋势(3),日程安排,国内外近期安全形势系统主要的安全风险系统安全保障典型的安全措施,系统主要弱点,大部分机器都可以主动访问internet。各系统管理员组的用户较多,一般为3到5个,需要确认是否需要这么的管理员权限用户,尽量控制管理员权限的用户。相关组件版本偏低：RealVNC 4.1.1以下存在远程认证绕过漏洞建议升级所有RealVNCserv-u6.0.0.1 存在本地权限提升漏洞。建议升级。,网络层的主要弱点,防火墙策略不够严格.各系统之间没有进行严格的访问控制缺乏必要的审计和监控措施。,WEB应用程序安全,常见WEB攻击方法SQL InjectionCookie欺骗跨站脚本攻击信息泄漏漏洞文件读写脚本存在的安全隐患GOOGLE HACKING,Sql injection 攻击技术介绍,WebServer,DB,DB,Web app,WebClient,Web app,Web app,Web app,Input Validation attacks,Extend SQL statements,URL Interpretation attacks,Get/list.asp?id=1;delete.可能的攻击发生在一个对web程序对数据库的查询请求,SQL Injection的概念,来自于用户的输入web应用程序没有对其进行检查，导致对数据库进行操作的语句直接按照攻击者的意愿执行web程序的编程语言的无关性、多于数据库自身的特性有关大量的可以利用的数据库,SQL Injection 演示,SQL Injection 演示,代码泄露,跨站脚本攻击,跨站脚本攻击概念跨站脚本攻击简称XSS又叫CSS(Cross Site Script)，它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。XSS属于被动式的攻击（并不对服务期本身造成伤害，但是可以利用xss漏洞得到其他客户的资料或者权限。），因为其被动且不好利用，所以许多人常呼略其危害性。XSS跨站漏洞可以获取特定网站的cookie通过伪造cookie的办法得到这个cookie在网站的使用权。或者使查看者跳转到另外一个网站的页面，这个页面就可以使用IE漏洞给访问者挂载木马或其他攻击手段。,跨站脚本,跨站脚本攻击,http:/XXX/notice/index.asp?branch=1iframe%20src=http:/,应用存在的问题,不必要的服务或信息从internet可以看到。,应用存在的问题,源代码泄露 大量的bak文件存在,文件浏览,日程安排,国内外近期安全形势系统主要的安全风险系统安全保障系统安全保障综述安全技术保障措施典型的安全措施,系统安全保障思路,安全保障体系,网络与信息安全,管理性安全,技术性安全,人员,组织,资产分类,业务连续性,法规遵从,安全审计,技术保障模型,系统安全的配置,防火墙,身份认证,防护,入侵检测、漏洞扫描,异常流量检测系统,性能、资源等检测措施,检测,事件处理,应急响应体系,系统备份恢复,响应,日程安排,国内外近期安全形势系统主要的安全风险系统安全保障系统安全保障综述安全技术保障措施典型的安全措施,物理环境安全性,网络安全性,操作系统安全性,数据库安全性,中间件安全性,应用/代码安全性,安全的全面性,网络安全保障措施,流量分析、监控和审计,严格做好网络层面上的访问控制,安全区域的划分,网络设备自身的安全,尤其注意设备对外开放的服务，端口和协议和安全配置,严格的ACL能消除绝大多数隐患。（访问控制是否合理，尤其是各VLAN之间的访问控制是否够严格）,要清楚知道网络中目前正常的和异常的流量，从流量中分析出攻击的前兆，以便及时采取措施。,安全域划分，尤其注意远程接入及边界安全等,网络安全保障措施,Database Servers,Internet,管理监控 Servers,其他业务系统,Web Servers,Application Servers,安全区域的划分,安全边界的访问控制,流量分析和监视控制,网络安全保障措施,互联网的边界,监控和检测,访问控制：最小化的开放策略,定期审计和检查,网络安全保障措施,远程的维护接入,在认证机制上采用动态密码或数字证书的方式,考虑采用VPN接入方式，数据的传输通道必须进行安全加密,建立统一的账号管理策略,厂家维护人员的账号要及时回收。,接人设备本身的安全性（接入设备的安全、远程控制软件的版本）,严格的操作权限控制,行为的审计,访问控制：限制源ip；限制目标ip,远程接入通过VPN、拨号、专线的方式。其存在的安全威胁包括病毒/木马，跳板，和对业务系统的滥用。,远程接入用户的客户端（装防病毒软件、打补丁等,系统安全保障措施,安全审计,安全漏洞发现,服务最小化原则,系统安装最小化原则,只安装需要的软件包,始终保持系统的OS在系统商提供的最安全稳定的版本上，同时保持系统软件补丁的最新更新,保证所有人的操作行为都必须透明化,出了问题一定要能追查到人。,只开放业务必须的服务和端口,系统更新原则,利用安全弱点管理系统去发现系统已知的安全隐患（95的攻击是针对已知漏洞）,用户帐号安全管理,帐号的管理、口令的设置、权限控制和用户行为审计,应用安全保障措施,安全审计,严格控制好每一个入口,始终保持最安全稳定的版本上，同时保持系统软件补丁的最新更新,保证所有人的操作行为都必须透明化,出了问题一定要能追查到人。,系统版本更新,任何一个试图接近你的应用的点都是要严格控制的，尤其要关注登陆和后台管理。,用户帐号安全管理,帐号的管理、口令的设置、权限控制和用户行为审计,应用安全保障措施,互联网网站,其他业务系统,Internet,数据库,其他业务系统,三次登陆错误，锁定,用户名密码验证码,用户登陆操作审计,用户登陆认证的安全性考虑,只允许数据查询，不允许存取,业务系统访问，限定安全IP,数据采用加密传输,部署的安全性考虑,用户权限的严格控制,安全运维的注意事项,系统开发建设阶段,系统运维阶段,设备上线安全配置,设计阶段安全评审,系统上线前安全测试和批准,建设过程的安全保障,定期日志查看,数据的备份,帐号口令的安全管理,日常安全运行维护,系统和应用安全维护,设备安全维护,提出规范、要求,考核和检查,事件的应急响应,日志审计,操作系统日志审计Windows系统日志审计类UNIX系统日志审计WEB服务器日志审计IIS服务器日志审计Apache服务器日志审计,Windows日志审计,Windows 2000 服务器默认是不打开任何审核策略。Windows系统包含以下策略的审核：策略更改登录事件对象访问过程追踪目录服务访问特权使用系统事件帐户登录事件帐户管理通过“控制面板/管理工具/本地安全策略“，在“本地策略-审核策略”中打开相应的审核选项,Windows日志审核策略,通过配置适当的审核策略，可以详细的记录系统的相关信息。,Windows日志审计,事件查看器中记录了我们需要记录的所有系统日志信息。我们可以通过这些日志查出系统异常的蛛丝马迹,类UNIX系统日志审计,Linux、FreeBSD、Solaris、AIX、Hp-unix和Cisco交换机和路由器都是采用标准的Syslog协议格式进行日志的记录这里主要介绍Solaris 9&10系统Solaris系统wtmp/utmp文件记录了系统的登录日志信息。使用last命令进行查询wtmp/utmp文件主要记录的内容包括：未授权的访问非法登录事件1分钟内多次登录的事件帐户登录时间,类UNIX系统日志审计,Solaris系统默认不记录错误登录尝试，需要手动创建日志文件日志记录的操作步骤如下：touch/var/adm/loginlog chmod 600/var/adm/loginlog chown root/var/adm/loginlog 系统默认只记录连续5次错误登录尝试的帐户信息，系统会将其记录到/var/adm/loginglog文件中，用户可以通过#cat/var/adm/loginglog 命令进行查询,类UNIX系统日志审计,Syslog进程日志通过syslog.conf配置文件可以查看日志文件的存储位置和记录哪些类型的信息Error、Warning类型中记录的是系统级别的信息，通过查看这两类信息可以判断出是否有可能被缓冲区溢出或者本地服务莫名被关闭Auth类型中记录的是帐号登录的信息，通过分析帐号登录时间、次数等信息判断有无异常登录情况,类UNIX系统日志审计,历史命令日志信息/.sh_history和/.bash_history文件记录的是历史操作命令信息。通过查看以上文件可以检测类似useradd、passwd、shadow等等带S位的各种命令的执行信息。SU命令日志信息/var/adm/sulog记录了su成功、失败的时间，通过查看su的帐号、时间、状态分析有无异常的权限提升行为。Crontab 通过查看/var/cron/log记录，分析有无异常的计划任务。,IIS服务器日志审计,IIS 5.0默认使用W3C扩充日志文件格式，可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、URI查询、协议状态、用户代理等信息,IIS服务器日志审计,IIS 5.0的WWW日志文件默认存放位置为%systemroot%system32logfilesw3svc1 建议不要使用默认的目录，更换一个记录日志的路径，同时设置日志访问权限，只允许管理员和SYSTEM为完全控制的权限,IIS服务器日志审计,日志文件的名称格式是：ex+年份的末两位数字+月份+日期，如2002年8月10日的WWW日志文件是ex020810.log。IIS的日志文件都是文本文件，可以使用任何编辑器打开，例如记事本程序。,Apache服务器日志审计,Apache服务器默认安装时，会生成access_log(windows下是access.log)和error_log(windows下是error.log)两个文件，linux下可以在/usr/local/apache/log下找到。Apache日志中记录了包括远程主机地址、浏览者标识、浏览者名字、请求时间、方法、URI资源、协议类型等信息。Apache典型记录格式：216.35.116.91-19/Aug/2000:14:47:370400GET/HTTP/1.0200654 远程主机地址（216.35.116.91）。第一个“-”位置用于记录浏览者的标识，这不只是浏览者的登录名字，而是浏览者的email地址或者其他唯一标识符。第二个“-”用于记录浏览者进行身份验证时提供的名字。请求时间(19/Aug/2000:14:47:37)。0400”表示服务器所处时区位于UTC之前的4小时最后一项信息的典型格式是“METHODRESOURCEPROTOCOL”，即“方法资源协议”，记录收到一个什么样的请求。,Apache服务器日志审计,Apache日志中记录了包括远程主机地址、浏览者标识、浏览者名字、请求时间、方法、URI资源、协议类型等信息。Apache典型记录格式：216.35.116.91-19/Aug/2000:14:47:370400GET/HTTP/1.0200654 远程主机地址（216.35.116.91）。第一个“-”位置用于记录浏览者的标识，这不只是浏览者的登录名字，而是浏览者的email地址或者其他唯一标识符。第二个“-”用于记录浏览者进行身份验证时提供的名字。请求时间(19/Aug/2000:14:47:37)。0400”表示服务器所处时区位于UTC之前的4小时最后一项信息的典型格式是“METHODRESOURCEPROTOCOL”，即“方法资源协议”，记录收到一个什么样的请求。,日程安排,国内外近期安全形势系统主要的安全风险系统安全保障典型的安全措施,1、安全边界保护,互联边界（注意防火墙策略的严格管理和定期检查）加强对第三方的严格管理。加强对sp的严格管理对互联网开放端口列表(定期检查),物理环境安全性,网络安全性,操作系统安全性,数据库安全性,中间件安全性,web应用/代码安全性,1、应用及代码安全检查,2、对可能的拒绝服务攻击要有防范措施,3、防火墙等安全产品的保障,2、web应用及代码安全的重视,2、应用及代码定期安全检查,3帐号的严格管理,帐号的严格管理。用户访问管理用户帐号的添加、修改及删除；权限管理、用户口令管理；用户帐号清单、权限、口令的定期审阅、用户操作的记录。加强对业务用户帐号的管理。可结合sox 内控,4、加强监控和审计,定期的日志分析，发现可能存在的安全隐患和潜在风险。系统的定期检查,谢谢大家！安氏公司:李宗洋 Mail:msn:,