网络安全建设.pptx

《网络安全建设.pptx》由会员分享，可在线阅读，更多相关《网络安全建设.pptx（41页珍藏版）》请在三一办公上搜索。

1、信息安全建设交流,目前面对网络安全形势,1990,1995,2000,2005,2010,2015,2020,病毒19902000,蠕虫20002005,间谍软件20052010+,APT网络攻击Today+,钓鱼-手法初级,黑客开始成为一个产业,经验老道且极具耐心,行业被恶意流量作为攻击目标,95%,行业员工访问过带有恶意代码的网站,100%,“黑灰产”规模庞大，网络犯罪受利益驱使,门槛低黑客入侵手法更加智能，具备更强的能力去侵入行业的网络勒索病毒、未知恶意代码具备较强破坏力内鬼隐藏较深，难以发现,安全术语,什么是漏洞安全漏洞是信息系统在生命周期的各个阶段（设计、实现、运维等过程）中产生的某

2、类问题，这些问题会对系统的安全（机密性、完整性、可用性）产生影响。,漏洞与Bug并不等同，他们之间的关系基本可以描述为：大部分的Bug影响功能性，并不涉及安全性，也就不构成漏洞；部分的漏洞来源于Bug，但并不是全部，它们之间只是有一个很大的交集。,安全术语,什么是攻击利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。包括主动攻击：篡改、伪造消息数据和拒绝服务攻击（DDOS）等，被动攻击：流量分析、窃听等什么是入侵网络入侵（hacking）通常是指具有熟练地编写和调试计算机程序的技巧，并使用这些技巧来获得非法或未授权的网络或文件访问，入侵进入公司内部网的行为区别入侵是

3、指任何威胁和破坏系统资源的行为，攻击是入侵者为进行入侵所采取的技术手段和方法。,安全术语,后门绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。webshellwebshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。,安全术语,0day漏洞通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞exploit简称exp，漏洞利用,安全术语,提权提高自己在服务器中的权限，主要针对网站入侵过程中，当入侵某一网站时，通过各种漏洞提升WEBSHELL权限以夺得

4、该服务器权限。跳板跳板，简单来说，就是为了隐藏自己的地址，让别人无法查找到自己的位置。,安全术语,拖库网站遭到入侵后，黑客窃取其数据库。社会工程学一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法，已成迅速上升甚至滥用的趋势。Apt攻击高级持续性威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,攻击者视野,黑产攻击链展示,入侵服务器,窃取机密信息（图纸、财务报表、客户信息）,出售、牟利,批量入侵网站，挂马、恶意代码浏览器漏洞，入侵终端,盗取银行、证券、游戏账号,出售、牟利,组件僵尸网络,重定向流量，提高网站点击,拒绝

5、服务攻击（勒索）,传播病毒,攻击者,获取金钱,控制终端,情景说明,内网说明：内网中有若干网段。外网服务器区，内网服务器区，办公pc区。各个网段通过路由器互相通信。,Internet,OA/ERP,vlan10192.168.10.0/24,财务部,技术部,门户,攻击目标,跳板2pc,跳板1web,坏小子,某天，坏小子接到一个入侵某企业内网erp/oa系统的活，但是该系统只对内网开放，公网上的坏小子无法直接访问。那么，坏小子是如何一步步入侵该内网服务的呢？,入侵思路,为了入侵内网erp/oa系统，黑客必须首先拿到内网中的一台主机权限，将其作为跳板机横向移动，继续入侵erp系统。,如何获得内网中的

6、一台主机权限,思路1-拿下某服务器,下面给出一个利用高危漏洞-利用sql注入 getshell的实例。,SQL注入getshell流程,SQL注入getshell流程,黑客通过扫描，发现sql注入漏洞,使用sqlmap注入得到管理员账号密码,解密密码,利用账号登录后台，上传webshell,思路2拿下某一PC,入侵思路,至此，黑客已经得到了一台内网主机的权限。下一步就是利用该跳板机横向移动，内网渗透。获取内网中更有价值的信息。例如erp系统，或者其他数据服务器。,横向移动,横向移动,扫描内网,横向移动,获取核心数据,内网沦陷,组建僵尸网络,所有文件被勒索软件加密为MP4文件,安全意识,犯过以下

7、的错误吗?,将口令写在便签上，贴在电脑监视器旁 开着电脑离开，就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件，好奇打开邮件附件 使用容易猜测的口令，或者根本不设口令 不安装防病毒软件，或者病毒库更新不及时 不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息 使用无线或者随意将无关设备连入工作网络 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁，忽视内部人员的问题,计算机病毒防范,安装病毒防护程序并及时更新病毒特征库；在以下情况注意病毒防范：下载电子邮件附件时；在网络上下载文件时；使用移动存储介质时；安装不明来源的软件时；浏览网页时；计算机使用过程中发现异常时,浏览网页安全,使用安全浏览器

8、（如：火狐等安全浏览器）收藏经常访问的网站安装杀毒软件，开启实时防护功能，并保持更新；对超低价、超低折扣、中奖等诱惑要提高警惕；警惕色情、赌博、反动等非法网站，避免访问；防止网页自动记住账号密码,邮件钓鱼如何防范,应警惕的邮件内容：伪造发件人信息模仿单位领导索取个人信息进行网上交易时要注意做到以下几点：核对网址选妥和保管好密码、做好交易记录。避免公用计算机使用网上交易系统；不通过搜索引擎上的网址或不明网站的链接进入。在网络交易前，对交易网站和交易对方的资质全面了解。,工作环境安全,禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用碎纸机粉碎废弃或待修磁介质转交他人时应经管理部门消磁处理离开

9、座位时，应将贵重物品、含有机密信息的资料锁入柜中，并对使用的电脑桌面进行锁屏应将复印或打印的资料及时取走UKEY不使用时应及时拨出并妥善保管禁止将手机和无线（例如：360wifi等）连接办公电脑（内网）,护网行动解读,所有总行备案系统,制定应急演练方案,熟悉应急演练方案,系统加固工作,攻防演练对抗,查找漏洞工作,护网行动解读,防护能力最大化，加大攻击难度，防护内网安全,人力,设备,制度,重点系统进行持续和重点加强监控，及时发现安全隐患进行安全预警，并采取针对性的应对措施消除隐患。,提高全体工作人员的网络安全意识和技能水平，按照信息系统运行特点积极做好安全保障工作，建立信息安全预警和事件快速反应

10、机制。,组建网络安全专业技术人员团队；对列为目标的系统进行安全攻击测试，以及安全加固。,护网行动应对措施（信息安全）,技术分析组攻击进行评估，提出应急处置方案，进行应急处置；负责牵头开展每日的安全事件总结和分析工作。,专家组厂商高级攻防人员组成，机动、灵活的技术资源调配，完成安全监测预警、技术分析与研判、实时攻击对抗、应急响应等工作。,联络保障组上传下达，与本地公安进行联动。负责与公安部演习指挥中心沟通,应急处置组对网络攻击流量进行清洗，利用备用环境，快速完成业务切换；及时修补业务系统漏洞，开展业务系统关停及恢复工作。,监控预警组网络安全态势监控，并识别网络攻击，监控记录，发出攻击预警；,护网

11、行动应对措施,护网行动前,下发护网行动通知向下属单位下发护网行动保障通知，通知包含以下几方面内容：明确责任，从哪个单位被突破，哪个单位承担责任，记入年终信息化考核指标。成立下属单位的网络安全保障小组，指定护网行动联络人（安全专责）。开展资产梳理及安全自查。,资产梳理各单位自行开展信息化资产梳理，梳理结构报送至护网行动安全保障小组。负责梳理信息化资产及重要信息系统。主要梳理内容包括但不限于：梳理对外发布的互联网应用系统；梳理互联网出口及出口所使用的设备和安全措施；梳理网络结构（网络拓扑）；,安全风险评估与检查结合信息化资产梳理结果，护网行动安全保障小组对信息化资产进行安全风险评估。由山东建行及安

12、全厂商组成多支网络安全评估检查加固小组（每个小组2-3人），对重点下级单位的网络安全状况进行评估与加固。,护网行动前,护网行动前,安全防护设备安全加固,对象：各类网关类安全设备,建议：各设备软件升级到最新版本，各类规则库更新至最新 以梳理出对外发布业务的情况，包括但不限于web业务是否是标准80端口、需要对外提供哪些端口、网站后台是否需要对外开放、哪些对外提供的业务有暴力破解风险,防火墙策略最佳实践要求，附最佳实践-WEB应用防护,护网行动中,事件诊断确定一般情况，病毒与木马攻击安全事件具有以下特征：防病毒软件发出病毒警告；入侵检测系统发出警告；日志审计系统监控到攻击行为；系统性能严重下降，有

13、不明的进程运行并占用大量的CPU处理时间；系统有不明的对外网络连接；网络中有大量发包流量；系统文件的访问权限被修改；系统日志有可以操作行为记录。,事件现场处置针对病毒与木马攻击，应采取以下应急响应处理措施：终端遭受病毒与木马劫持人工排查定位或监控系统定位被攻击终端主机。把终端主机脱离网络，手工清除病毒和木马。如果手工清除不掉，则在操作系统安全模式下清除。采用恶意程序查杀工具清除病毒和木马。更新防病毒服务器病毒库，更新终端主机病毒库。针对恶意程序利用的漏洞进行加固。如果恶意程序非常顽固，或操作系统破坏严重，无法使用，则在安全保障期间，建议物理隔离终端主机，后期处理。如果有备用终端，则更换备用终端

14、。,病毒与木马应急专项预案,通过大数据关联分析发现网络中的失陷主机、安全威胁，识别业务潜在安全风险和高级APT攻击行为，同时实现了基于攻击场景的关联完成有效攻击检测和被利用漏洞检测，进而对攻击进行溯源，通过图关联分析，将攻击方的所有信息（IP、Domain、Virus、Hack tools、攻击方位置、攻击手段、历史攻击记录）关联起来，还原整个攻击场景，形成攻击故事，更好的对整个攻击事件进行了解、分析和取证。,全网态势感知,通过7*24小时在线的安全专家团队和在线安全监测与预警通报平台，即可对互联网业务进行统一监测，统一预警。云端专家7*24小时值守，一旦发现篡改、漏洞等常规安全事件，即可实时进行处置。对于webshell、后门等高阶事件，可以及时升级到技术分析组进行研判，一旦确认，将会实时转交应急响应组进行处置。,云saas安全服务,通过T1驻场值守专家和云端T2/T3专家的配合，借助安全监测平台以及安全运营中心，为客户提供双重监测保障。其中T1驻场专家借助安全监测平台实现7*12的现场监测预警，云端T2/T3专家借助安全运营中心实现7*24小时的监测预警。一旦发现常规安全事件，即可实时处置，一旦发现高级事件，即可实时转交技术分析组进行研判，一旦确认，即可转交应急响应组处置。,安全服务平台,护网行动整体解决方案,