網(wǎng)絡(luò)安全建設(shè)PPT課件

1、信息安全建設(shè)交流目前面對網(wǎng)絡(luò)安全形勢1990199520002005201020152020病毒19902000蠕蟲20002005間諜軟件20052010+APT網(wǎng)絡(luò)攻擊Today +釣魚-手法初級黑客開始成為一個產(chǎn)業(yè)經(jīng)驗老道且極具耐心行業(yè)被惡意流量作為攻擊目標95% 行業(yè)員工訪問過帶有惡意代碼的網(wǎng)站100% “黑灰產(chǎn)”規(guī)模龐大，網(wǎng)絡(luò)犯罪受利益驅(qū)使, 門檻低黑客入侵手法更加智能，具備更強的能力去侵入行業(yè)的網(wǎng)絡(luò)勒索病毒、未知惡意代碼具備較強破壞力內(nèi)鬼隱藏較深，難以發(fā)現(xiàn)安全術(shù)語什么是漏洞安全漏洞是信息系統(tǒng)在生命周期的各個階段（設(shè)計、實現(xiàn)、運維等過程）中產(chǎn)生的某類問題，這些問題會對系統(tǒng)的安全（機密

2、性、完整性、可用性）產(chǎn)生影響。Bug漏洞漏洞與Bug并不等同，他們之間的關(guān)系基本可以描述為：大部分的Bug影響功能性，并不涉及安全性，也就不構(gòu)成漏洞；部分的漏洞來源于Bug，但并不是全部，它們之間只是有一個很大的交集。安全術(shù)語什么是攻擊利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進行的攻擊。包括主動攻擊：篡改、偽造消息數(shù)據(jù)和拒絕服務(wù)攻擊（DDOS）等，被動攻擊：流量分析、竊聽等什么是入侵網(wǎng)絡(luò)入侵（hacking）通常是指具有熟練地編寫和調(diào)試計算機程序的技巧，并使用這些技巧來獲得非法或未授權(quán)的網(wǎng)絡(luò)或文件訪問，入侵進入公司內(nèi)部網(wǎng)的行為區(qū)別入侵是指任何威脅和破壞系統(tǒng)資源的行為，

3、攻擊是入侵者為進行入侵所采取的技術(shù)手段和方法。安全術(shù)語后門繞過安全控制而獲取對程序或系統(tǒng)訪問權(quán)的方法。后門的最主要目的就是方便以后再次秘密進入或者控制系統(tǒng)。webshellwebshell就是以asp、php、jsp或者cgi等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境，也可以將其稱做為一種網(wǎng)頁后門。安全術(shù)語0day漏洞通常是指還沒有補丁的漏洞。也就是說官方還沒有發(fā)現(xiàn)或者是發(fā)現(xiàn)了還沒有開發(fā)出安全補丁的漏洞exploit簡稱exp，漏洞利用安全術(shù)語提權(quán)提高自己在服務(wù)器中的權(quán)限，主要針對網(wǎng)站入侵過程中，當入侵某一網(wǎng)站時，通過各種漏洞提升WEBSHELL權(quán)限以奪得該服務(wù)器權(quán)限。跳板跳板，簡單來說，就是為了隱

4、藏自己的地址，讓別人無法查找到自己的位置。安全術(shù)語拖庫網(wǎng)站遭到入侵后，黑客竊取其數(shù)據(jù)庫。社會工程學(xué)一種通過對受害者心理弱點、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段取得自身利益的手法，已成迅速上升甚至濫用的趨勢。Apt攻擊高級持續(xù)性威脅。 利用先進的攻擊手段對特定目標進行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式攻擊者視野黑產(chǎn)攻擊鏈展示終端防護服務(wù)器防護入侵服務(wù)器竊取機密信息（圖紙、財務(wù)報表、客戶信息）出售、牟利批量入侵網(wǎng)站，掛馬、惡意代碼瀏覽器漏洞，入侵終端盜取銀行、證券、游戲賬號出售、牟利組件僵尸網(wǎng)絡(luò)重定向流量，提高網(wǎng)站點擊拒絕服務(wù)攻擊（勒索）傳播病毒攻擊者獲取金錢控制終端情景

5、說明內(nèi)網(wǎng)說明：內(nèi)網(wǎng)中有若干網(wǎng)段。外網(wǎng)服務(wù)器區(qū)，內(nèi)網(wǎng)服務(wù)器區(qū)，辦公pc區(qū)。各個網(wǎng)段通過路由器互相通信。InternetOA/ERPvlan10/24財務(wù)部技術(shù)部門戶攻擊目標跳板2pc跳板1web壞小子某天，壞小子接到一個入侵某企業(yè)內(nèi)網(wǎng)erp/oa系統(tǒng)的活，但是該系統(tǒng)只對內(nèi)網(wǎng)開放，公網(wǎng)上的壞小子無法直接訪問。那么，壞小子是如何一步步入侵該內(nèi)網(wǎng)服務(wù)的呢？入侵思路為了入侵內(nèi)網(wǎng)erp/oa系統(tǒng)，黑客必須首先拿到內(nèi)網(wǎng)中的一臺主機權(quán)限，將其作為跳板機橫向移動，繼續(xù)入侵erp系統(tǒng)。如何獲得內(nèi)網(wǎng)中的一臺主機權(quán)限思路1-拿下某服務(wù)器下面給出一個利用高危漏洞-利用sql注入 getshell的實例。SQL注入get

6、shell流程SQL注入getshell流程黑客通過掃描，發(fā)現(xiàn)sql注入漏洞使用sqlmap注入得到管理員賬號密碼解密密碼利用賬號登錄后臺，上傳webshell思路2拿下某一PC入侵思路至此，黑客已經(jīng)得到了一臺內(nèi)網(wǎng)主機的權(quán)限。下一步就是利用該跳板機橫向移動，內(nèi)網(wǎng)滲透。獲取內(nèi)網(wǎng)中更有價值的信息。例如erp系統(tǒng)，或者其他數(shù)據(jù)服務(wù)器。橫向移動橫向移動掃描內(nèi)網(wǎng)橫向移動獲取核心數(shù)據(jù)內(nèi)網(wǎng)淪陷組建僵尸網(wǎng)絡(luò)所有文件被勒索軟件加密為MP4文件安全意識 犯過以下的錯誤嗎? 將口令寫在便簽上，貼在電腦監(jiān)視器旁 開著電腦離開，就像離開家卻忘記關(guān)燈那樣 輕易相信來自陌生人的郵件，好奇打開郵件附件 使用容易猜測的口令，或

7、者根本不設(shè)口令 不安裝防病毒軟件，或者病毒庫更新不及時 不能保守秘密，口無遮攔，上當受騙，泄漏敏感信息 使用無線或者隨意將無關(guān)設(shè)備連入工作網(wǎng)絡(luò) 在系統(tǒng)更新和安裝補丁上總是行動遲緩 只關(guān)注外來的威脅，忽視內(nèi)部人員的問題計算機病毒防范安裝病毒防護程序并及時更新病毒特征庫；在以下情況注意病毒防范：下載電子郵件附件時；在網(wǎng)絡(luò)上下載文件時；使用移動存儲介質(zhì)時；安裝不明來源的軟件時；瀏覽網(wǎng)頁時；計算機使用過程中發(fā)現(xiàn)異常時瀏覽網(wǎng)頁安全使用安全瀏覽器（如：火狐等安全瀏覽器）收藏經(jīng)常訪問的網(wǎng)站安裝殺毒軟件，開啟實時防護功能，并保持更新；對超低價、超低折扣、中獎等誘惑要提高警惕；警惕色情、賭博、反動等非法網(wǎng)站，避

8、免訪問；防止網(wǎng)頁自動記住賬號密碼 郵件釣魚如何防范應(yīng)警惕的郵件內(nèi)容：偽造發(fā)件人信息模仿單位領(lǐng)導(dǎo)索取個人信息進行網(wǎng)上交易時要注意做到以下幾點：核對網(wǎng)址選妥和保管好密碼、做好交易記錄。避免公用計算機使用網(wǎng)上交易系統(tǒng)；不通過搜索引擎上的網(wǎng)址或不明網(wǎng)站的鏈接進入。在網(wǎng)絡(luò)交易前，對交易網(wǎng)站和交易對方的資質(zhì)全面了解。工作環(huán)境安全禁止隨意放置或丟棄含有敏感信息的紙質(zhì)文件，廢棄文件需用碎紙機粉碎廢棄或待修磁介質(zhì)轉(zhuǎn)交他人時應(yīng)經(jīng)管理部門消磁處理離開座位時，應(yīng)將貴重物品、含有機密信息的資料鎖入柜中，并對使用的電腦桌面進行鎖屏應(yīng)將復(fù)印或打印的資料及時取走UKEY不使用時應(yīng)及時撥出并妥善保管禁止將手機和無線（例如：36

9、0wifi等）連接辦公電腦（內(nèi)網(wǎng)）護網(wǎng)行動解讀所有總行備案系統(tǒng)制定應(yīng)急演練方案熟悉應(yīng)急演練方案系統(tǒng)加固工作攻防演練對抗查找漏洞工作護網(wǎng)行動解讀防護能力最大化，加大攻擊難度，防護內(nèi)網(wǎng)安全 人力設(shè)備制度重點系統(tǒng)進行持續(xù)和重點加強監(jiān)控，及時發(fā)現(xiàn)安全隱患進行安全預(yù)警，并采取針對性的應(yīng)對措施消除隱患。 提高全體工作人員的網(wǎng)絡(luò)安全意識和技能水平，按照信息系統(tǒng)運行特點積極做好安全保障工作，建立信息安全預(yù)警和事件快速反應(yīng)機制。組建網(wǎng)絡(luò)安全專業(yè)技術(shù)人員團隊；對列為目標的系統(tǒng)進行安全攻擊測試，以及安全加固。護網(wǎng)行動應(yīng)對措施（信息安全）技術(shù)分析組攻擊進行評估，提出應(yīng)急處置方案，進行應(yīng)急處置；負責牽頭開展每日的安全事

10、件總結(jié)和分析工作。專家組廠商高級攻防人員組成，機動、靈活的技術(shù)資源調(diào)配，完成安全監(jiān)測預(yù)警、技術(shù)分析與研判、實時攻擊對抗、應(yīng)急響應(yīng)等工作。聯(lián)絡(luò)保障組上傳下達，與本地公安進行聯(lián)動。負責與公安部演習指揮中心溝通應(yīng)急處置組對網(wǎng)絡(luò)攻擊流量進行清洗，利用備用環(huán)境，快速完成業(yè)務(wù)切換；及時修補業(yè)務(wù)系統(tǒng)漏洞，開展業(yè)務(wù)系統(tǒng)關(guān)停及恢復(fù)工作。監(jiān)控預(yù)警組網(wǎng)絡(luò)安全態(tài)勢監(jiān)控，并識別網(wǎng)絡(luò)攻擊，監(jiān)控記錄，發(fā)出攻擊預(yù)警； 護網(wǎng)行動應(yīng)對措施護網(wǎng)行動前下發(fā)護網(wǎng)行動通知向下屬單位下發(fā)護網(wǎng)行動保障通知，通知包含以下幾方面內(nèi)容：明確責任，從哪個單位被突破，哪個單位承擔責任，記入年終信息化考核指標。成立下屬單位的網(wǎng)絡(luò)安全保障小組，指定護網(wǎng)行

11、動聯(lián)絡(luò)人（安全專責）。開展資產(chǎn)梳理及安全自查。資產(chǎn)梳理各單位自行開展信息化資產(chǎn)梳理，梳理結(jié)構(gòu)報送至護網(wǎng)行動安全保障小組。負責梳理信息化資產(chǎn)及重要信息系統(tǒng)。主要梳理內(nèi)容包括但不限于：梳理對外發(fā)布的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)；梳理互聯(lián)網(wǎng)出口及出口所使用的設(shè)備和安全措施；梳理網(wǎng)絡(luò)結(jié)構(gòu)（網(wǎng)絡(luò)拓撲）；安全風險評估與檢查結(jié)合信息化資產(chǎn)梳理結(jié)果，護網(wǎng)行動安全保障小組對信息化資產(chǎn)進行安全風險評估。由山東建行及安全廠商組成多支網(wǎng)絡(luò)安全評估檢查加固小組（每個小組2-3人），對重點下級單位的網(wǎng)絡(luò)安全狀況進行評估與加固。護網(wǎng)行動前工具說明Kali滲透系統(tǒng)Kali Linux 前身是 BackTrack ，是一個基于 Debian

12、 的 Linux 發(fā)行版，包含很多安全和取證方面的相關(guān)工具。Kali Linux預(yù)裝了許多滲透測試軟件，包括nmap (端口掃描器)、Wireshark (數(shù)據(jù)包分析器)、John the Ripper (密碼破解器),以及Aircrack-ng (一套用于對無線局域網(wǎng)進行滲透測試的軟件)。 用戶可通過硬盤、live CD或live USB運行Kali Linux。Metasploit的Metasploit Framework支持Kali Linux，Metasploit一套針對遠程主機進行開發(fā)和執(zhí)行Exploit代碼的工具。中國菜刀中國菜刀不僅僅是一個webshell管理器，可以說是一個集合

13、體，就算完全拋棄里面的webshell管理功能，菜刀也是一個很不錯的瀏覽器，很不錯的后臺掃描工具，很不錯的cookies編輯提交工具，很不錯的文件管理工具，很不錯的旁注軟件，不單是方便各位黑客朋友使用，也很方便站長使用，畢竟里面的文件管理功能，上傳下載，比FTP更加直觀了，最重要的是菜刀包含數(shù)據(jù)庫管理功能。護網(wǎng)行動前安全防護設(shè)備安全加固對象：各類網(wǎng)關(guān)類安全設(shè)備建議：各設(shè)備軟件升級到最新版本，各類規(guī)則庫更新至最新 以梳理出對外發(fā)布業(yè)務(wù)的情況，包括但不限于web業(yè)務(wù)是否是標準80端口、需要對外提供哪些端口、 網(wǎng)站后臺是否需要對外開放、哪些對外提供的業(yè)務(wù)有暴力破解風險 防火墻策略最佳實踐要求，附最佳

14、實踐-WEB應(yīng)用防護 序號檢查項目檢查要求1waf-是否對外發(fā)布的所有網(wǎng)站均已開啟waf策略正常情況，要求所有經(jīng)過防火墻對外發(fā)布的網(wǎng)站都需要在waf策略防護范圍內(nèi)2waf-是否添加完整非標準80端口，或7.2后開啟端口自動識別要求對非標準web端口，添加到waf策略防護里?；蛘?.2后開啟端口自動識別3waf-https加密類網(wǎng)站，是否已開啟解密功能要求對https類網(wǎng)站，開啟解密功能。否則無法正常識別與防護4ips-針對上網(wǎng)終端，是否開啟“保護客戶端”和“惡意軟件”針對上網(wǎng)終端，要求開啟從內(nèi)網(wǎng)到外網(wǎng)訪問的此兩項功能防護5ips-針對服務(wù)器，是否開啟“保護服務(wù)器”和“暴力破解”針對服務(wù)器，要求

15、開啟從外網(wǎng)到內(nèi)網(wǎng)訪問的此兩項功能防護6apt-是否針對上網(wǎng)終端/服務(wù)器防護均已開啟要求針對終端和服務(wù)器的策略，均開啟apt功能，使用默認模板即可7應(yīng)用控制-終端上網(wǎng)是否只開放內(nèi)網(wǎng)到外網(wǎng)所有的訪問針對終端上網(wǎng)，可以開放從內(nèi)網(wǎng)到外網(wǎng)所有服務(wù)的訪問8應(yīng)用控制-服務(wù)器上網(wǎng)是否只開放內(nèi)網(wǎng)到外網(wǎng)特定的訪問針對服務(wù)器上網(wǎng)，建議只開放服務(wù)器需要訪問特定外部地址的請求9應(yīng)用控制-服務(wù)器是否只開放需要對外發(fā)布的業(yè)務(wù)端口針對服務(wù)器發(fā)布業(yè)務(wù)，要求只開放需要對外發(fā)布的特定端口，其他一律攔截10地域防護-有明確地域使用范圍的服務(wù)器，是否開啟此功能對有明確地域使用范圍的服務(wù)器，要求開啟針對相應(yīng)地域的訪問控制11安全運營中心

16、-手動檢查后，是否把所有待辦事件均已處理要求完成交付后，手動評估，把待辦事件均完成處理或者忽略，確保無遺露護網(wǎng)行動中事件診斷確定一般情況，病毒與木馬攻擊安全事件具有以下特征：防病毒軟件發(fā)出病毒警告；入侵檢測系統(tǒng)發(fā)出警告；日志審計系統(tǒng)監(jiān)控到攻擊行為；系統(tǒng)性能嚴重下降，有不明的進程運行并占用大量的CPU處理時間；系統(tǒng)有不明的對外網(wǎng)絡(luò)連接；網(wǎng)絡(luò)中有大量發(fā)包流量；系統(tǒng)文件的訪問權(quán)限被修改；系統(tǒng)日志有可以操作行為記錄。事件現(xiàn)場處置針對病毒與木馬攻擊，應(yīng)采取以下應(yīng)急響應(yīng)處理措施： 終端遭受病毒與木馬劫持人工排查定位或監(jiān)控系統(tǒng)定位被攻擊終端主機。把終端主機脫離網(wǎng)絡(luò)，手工清除病毒和木馬。如果手工清除不掉，則在

17、操作系統(tǒng)安全模式下清除。采用惡意程序查殺工具清除病毒和木馬。更新防病毒服務(wù)器病毒庫，更新終端主機病毒庫。針對惡意程序利用的漏洞進行加固。如果惡意程序非常頑固，或操作系統(tǒng)破壞嚴重，無法使用，則在安全保障期間，建議物理隔離終端主機，后期處理。如果有備用終端，則更換備用終端。病毒與木馬應(yīng)急專項預(yù)案通過大數(shù)據(jù)關(guān)聯(lián)分析發(fā)現(xiàn)網(wǎng)絡(luò)中的失陷主機、安全威脅，識別業(yè)務(wù)潛在安全風險和高級APT攻擊行為，同時實現(xiàn)了基于攻擊場景的關(guān)聯(lián)完成有效攻擊檢測和被利用漏洞檢測，進而對攻擊進行溯源，通過圖關(guān)聯(lián)分析，將攻擊方的所有信息（IP、Domain、Virus、Hack tools、攻擊方位置、攻擊手段、歷史攻擊記錄）關(guān)聯(lián)起來，還原整個攻擊場景，形成攻擊故事，更好的對整個攻擊事件進行了解、分析和取證。全網(wǎng)態(tài)勢感知通過7*24小時在線的安全專家團隊和在線安全監(jiān)測與預(yù)警通報平臺，即可對互聯(lián)網(wǎng)業(yè)務(wù)進行統(tǒng)一監(jiān)測，統(tǒng)一預(yù)警。云端專家7*24小時值守，一旦發(fā)現(xiàn)篡改、漏洞等常規(guī)安全事件，即可實時進行處置。對于webshell、后門等高階事件，可以及時升級到技術(shù)分析組進行研判，一旦確認，將會實時轉(zhuǎn)交應(yīng)急響應(yīng)組進行處置。云saas安全服務(wù)通過T1駐場值守專家和云端T2/T3專家的配合，借助安全監(jiān)測平臺以及安全運營中心，為客戶提供雙重監(jiān)測保障。其中T1駐場專家借助安全監(jiān)測平臺實現(xiàn)7*12的現(xiàn)場監(jiān)測預(yù)警，云端T2/T3專家借助安全運營