網(wǎng)絡(luò)安全建設(shè)PPT課件

1、信息安全建設(shè)交流目前面對(duì)網(wǎng)絡(luò)安全形勢(shì)1990199520002005201020152020病毒19902000蠕蟲20002005間諜軟件20052010+APT網(wǎng)絡(luò)攻擊Today +釣魚-手法初級(jí)黑客開始成為一個(gè)產(chǎn)業(yè)經(jīng)驗(yàn)老道且極具耐心行業(yè)被惡意流量作為攻擊目標(biāo)95% 行業(yè)員工訪問過帶有惡意代碼的網(wǎng)站100% “黑灰產(chǎn)”規(guī)模龐大，網(wǎng)絡(luò)犯罪受利益驅(qū)使, 門檻低黑客入侵手法更加智能，具備更強(qiáng)的能力去侵入行業(yè)的網(wǎng)絡(luò)勒索病毒、未知惡意代碼具備較強(qiáng)破壞力內(nèi)鬼隱藏較深，難以發(fā)現(xiàn)安全術(shù)語(yǔ)什么是漏洞安全漏洞是信息系統(tǒng)在生命周期的各個(gè)階段（設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)維等過程）中產(chǎn)生的某類問題，這些問題會(huì)對(duì)系統(tǒng)的安全（機(jī)密

2、性、完整性、可用性）產(chǎn)生影響。Bug漏洞漏洞與Bug并不等同，他們之間的關(guān)系基本可以描述為：大部分的Bug影響功能性，并不涉及安全性，也就不構(gòu)成漏洞；部分的漏洞來源于Bug，但并不是全部，它們之間只是有一個(gè)很大的交集。安全術(shù)語(yǔ)什么是攻擊利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。包括主動(dòng)攻擊：篡改、偽造消息數(shù)據(jù)和拒絕服務(wù)攻擊（DDOS）等，被動(dòng)攻擊：流量分析、竊聽等什么是入侵網(wǎng)絡(luò)入侵（hacking）通常是指具有熟練地編寫和調(diào)試計(jì)算機(jī)程序的技巧，并使用這些技巧來獲得非法或未授權(quán)的網(wǎng)絡(luò)或文件訪問，入侵進(jìn)入公司內(nèi)部網(wǎng)的行為區(qū)別入侵是指任何威脅和破壞系統(tǒng)資源的行為，

3、攻擊是入侵者為進(jìn)行入侵所采取的技術(shù)手段和方法。安全術(shù)語(yǔ)后門繞過安全控制而獲取對(duì)程序或系統(tǒng)訪問權(quán)的方法。后門的最主要目的就是方便以后再次秘密進(jìn)入或者控制系統(tǒng)。webshellwebshell就是以asp、php、jsp或者cgi等網(wǎng)頁(yè)文件形式存在的一種命令執(zhí)行環(huán)境，也可以將其稱做為一種網(wǎng)頁(yè)后門。安全術(shù)語(yǔ)0day漏洞通常是指還沒有補(bǔ)丁的漏洞。也就是說官方還沒有發(fā)現(xiàn)或者是發(fā)現(xiàn)了還沒有開發(fā)出安全補(bǔ)丁的漏洞exploit簡(jiǎn)稱exp，漏洞利用安全術(shù)語(yǔ)提權(quán)提高自己在服務(wù)器中的權(quán)限，主要針對(duì)網(wǎng)站入侵過程中，當(dāng)入侵某一網(wǎng)站時(shí)，通過各種漏洞提升WEBSHELL權(quán)限以?shī)Z得該服務(wù)器權(quán)限。跳板跳板，簡(jiǎn)單來說，就是為了隱

4、藏自己的地址，讓別人無法查找到自己的位置。安全術(shù)語(yǔ)拖庫(kù)網(wǎng)站遭到入侵后，黑客竊取其數(shù)據(jù)庫(kù)。社會(huì)工程學(xué)一種通過對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段取得自身利益的手法，已成迅速上升甚至濫用的趨勢(shì)。Apt攻擊高級(jí)持續(xù)性威脅。 利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式攻擊者視野黑產(chǎn)攻擊鏈展示終端防護(hù)服務(wù)器防護(hù)入侵服務(wù)器竊取機(jī)密信息（圖紙、財(cái)務(wù)報(bào)表、客戶信息）出售、牟利批量入侵網(wǎng)站，掛馬、惡意代碼瀏覽器漏洞，入侵終端盜取銀行、證券、游戲賬號(hào)出售、牟利組件僵尸網(wǎng)絡(luò)重定向流量，提高網(wǎng)站點(diǎn)擊拒絕服務(wù)攻擊（勒索）傳播病毒攻擊者獲取金錢控制終端情景

5、說明內(nèi)網(wǎng)說明：內(nèi)網(wǎng)中有若干網(wǎng)段。外網(wǎng)服務(wù)器區(qū)，內(nèi)網(wǎng)服務(wù)器區(qū)，辦公pc區(qū)。各個(gè)網(wǎng)段通過路由器互相通信。InternetOA/ERPvlan10/24財(cái)務(wù)部技術(shù)部門戶攻擊目標(biāo)跳板2pc跳板1web壞小子某天，壞小子接到一個(gè)入侵某企業(yè)內(nèi)網(wǎng)erp/oa系統(tǒng)的活，但是該系統(tǒng)只對(duì)內(nèi)網(wǎng)開放，公網(wǎng)上的壞小子無法直接訪問。那么，壞小子是如何一步步入侵該內(nèi)網(wǎng)服務(wù)的呢？入侵思路為了入侵內(nèi)網(wǎng)erp/oa系統(tǒng)，黑客必須首先拿到內(nèi)網(wǎng)中的一臺(tái)主機(jī)權(quán)限，將其作為跳板機(jī)橫向移動(dòng)，繼續(xù)入侵erp系統(tǒng)。如何獲得內(nèi)網(wǎng)中的一臺(tái)主機(jī)權(quán)限思路1-拿下某服務(wù)器下面給出一個(gè)利用高危漏洞-利用sql注入 getshell的實(shí)例。SQL注入get

6、shell流程SQL注入getshell流程黑客通過掃描，發(fā)現(xiàn)sql注入漏洞使用sqlmap注入得到管理員賬號(hào)密碼解密密碼利用賬號(hào)登錄后臺(tái)，上傳webshell思路2拿下某一PC入侵思路至此，黑客已經(jīng)得到了一臺(tái)內(nèi)網(wǎng)主機(jī)的權(quán)限。下一步就是利用該跳板機(jī)橫向移動(dòng)，內(nèi)網(wǎng)滲透。獲取內(nèi)網(wǎng)中更有價(jià)值的信息。例如erp系統(tǒng)，或者其他數(shù)據(jù)服務(wù)器。橫向移動(dòng)橫向移動(dòng)掃描內(nèi)網(wǎng)橫向移動(dòng)獲取核心數(shù)據(jù)內(nèi)網(wǎng)淪陷組建僵尸網(wǎng)絡(luò)所有文件被勒索軟件加密為MP4文件安全意識(shí) 犯過以下的錯(cuò)誤嗎? 將口令寫在便簽上，貼在電腦監(jiān)視器旁 開著電腦離開，就像離開家卻忘記關(guān)燈那樣 輕易相信來自陌生人的郵件，好奇打開郵件附件 使用容易猜測(cè)的口令，或

7、者根本不設(shè)口令 不安裝防病毒軟件，或者病毒庫(kù)更新不及時(shí) 不能保守秘密，口無遮攔，上當(dāng)受騙，泄漏敏感信息 使用無線或者隨意將無關(guān)設(shè)備連入工作網(wǎng)絡(luò) 在系統(tǒng)更新和安裝補(bǔ)丁上總是行動(dòng)遲緩 只關(guān)注外來的威脅，忽視內(nèi)部人員的問題計(jì)算機(jī)病毒防范安裝病毒防護(hù)程序并及時(shí)更新病毒特征庫(kù)；在以下情況注意病毒防范：下載電子郵件附件時(shí)；在網(wǎng)絡(luò)上下載文件時(shí)；使用移動(dòng)存儲(chǔ)介質(zhì)時(shí)；安裝不明來源的軟件時(shí)；瀏覽網(wǎng)頁(yè)時(shí)；計(jì)算機(jī)使用過程中發(fā)現(xiàn)異常時(shí)瀏覽網(wǎng)頁(yè)安全使用安全瀏覽器（如：火狐等安全瀏覽器）收藏經(jīng)常訪問的網(wǎng)站安裝殺毒軟件，開啟實(shí)時(shí)防護(hù)功能，并保持更新；對(duì)超低價(jià)、超低折扣、中獎(jiǎng)等誘惑要提高警惕；警惕色情、賭博、反動(dòng)等非法網(wǎng)站，避

8、免訪問；防止網(wǎng)頁(yè)自動(dòng)記住賬號(hào)密碼 郵件釣魚如何防范應(yīng)警惕的郵件內(nèi)容：偽造發(fā)件人信息模仿單位領(lǐng)導(dǎo)索取個(gè)人信息進(jìn)行網(wǎng)上交易時(shí)要注意做到以下幾點(diǎn)：核對(duì)網(wǎng)址選妥和保管好密碼、做好交易記錄。避免公用計(jì)算機(jī)使用網(wǎng)上交易系統(tǒng)；不通過搜索引擎上的網(wǎng)址或不明網(wǎng)站的鏈接進(jìn)入。在網(wǎng)絡(luò)交易前，對(duì)交易網(wǎng)站和交易對(duì)方的資質(zhì)全面了解。工作環(huán)境安全禁止隨意放置或丟棄含有敏感信息的紙質(zhì)文件，廢棄文件需用碎紙機(jī)粉碎廢棄或待修磁介質(zhì)轉(zhuǎn)交他人時(shí)應(yīng)經(jīng)管理部門消磁處理離開座位時(shí)，應(yīng)將貴重物品、含有機(jī)密信息的資料鎖入柜中，并對(duì)使用的電腦桌面進(jìn)行鎖屏應(yīng)將復(fù)印或打印的資料及時(shí)取走UKEY不使用時(shí)應(yīng)及時(shí)撥出并妥善保管禁止將手機(jī)和無線（例如：36

9、0wifi等）連接辦公電腦（內(nèi)網(wǎng)）護(hù)網(wǎng)行動(dòng)解讀所有總行備案系統(tǒng)制定應(yīng)急演練方案熟悉應(yīng)急演練方案系統(tǒng)加固工作攻防演練對(duì)抗查找漏洞工作護(hù)網(wǎng)行動(dòng)解讀防護(hù)能力最大化，加大攻擊難度，防護(hù)內(nèi)網(wǎng)安全 人力設(shè)備制度重點(diǎn)系統(tǒng)進(jìn)行持續(xù)和重點(diǎn)加強(qiáng)監(jiān)控，及時(shí)發(fā)現(xiàn)安全隱患進(jìn)行安全預(yù)警，并采取針對(duì)性的應(yīng)對(duì)措施消除隱患。 提高全體工作人員的網(wǎng)絡(luò)安全意識(shí)和技能水平，按照信息系統(tǒng)運(yùn)行特點(diǎn)積極做好安全保障工作，建立信息安全預(yù)警和事件快速反應(yīng)機(jī)制。組建網(wǎng)絡(luò)安全專業(yè)技術(shù)人員團(tuán)隊(duì)；對(duì)列為目標(biāo)的系統(tǒng)進(jìn)行安全攻擊測(cè)試，以及安全加固。護(hù)網(wǎng)行動(dòng)應(yīng)對(duì)措施（信息安全）技術(shù)分析組攻擊進(jìn)行評(píng)估，提出應(yīng)急處置方案，進(jìn)行應(yīng)急處置；負(fù)責(zé)牽頭開展每日的安全事

10、件總結(jié)和分析工作。專家組廠商高級(jí)攻防人員組成，機(jī)動(dòng)、靈活的技術(shù)資源調(diào)配，完成安全監(jiān)測(cè)預(yù)警、技術(shù)分析與研判、實(shí)時(shí)攻擊對(duì)抗、應(yīng)急響應(yīng)等工作。聯(lián)絡(luò)保障組上傳下達(dá)，與本地公安進(jìn)行聯(lián)動(dòng)。負(fù)責(zé)與公安部演習(xí)指揮中心溝通應(yīng)急處置組對(duì)網(wǎng)絡(luò)攻擊流量進(jìn)行清洗，利用備用環(huán)境，快速完成業(yè)務(wù)切換；及時(shí)修補(bǔ)業(yè)務(wù)系統(tǒng)漏洞，開展業(yè)務(wù)系統(tǒng)關(guān)停及恢復(fù)工作。監(jiān)控預(yù)警組網(wǎng)絡(luò)安全態(tài)勢(shì)監(jiān)控，并識(shí)別網(wǎng)絡(luò)攻擊，監(jiān)控記錄，發(fā)出攻擊預(yù)警； 護(hù)網(wǎng)行動(dòng)應(yīng)對(duì)措施護(hù)網(wǎng)行動(dòng)前下發(fā)護(hù)網(wǎng)行動(dòng)通知向下屬單位下發(fā)護(hù)網(wǎng)行動(dòng)保障通知，通知包含以下幾方面內(nèi)容：明確責(zé)任，從哪個(gè)單位被突破，哪個(gè)單位承擔(dān)責(zé)任，記入年終信息化考核指標(biāo)。成立下屬單位的網(wǎng)絡(luò)安全保障小組，指定護(hù)網(wǎng)行

11、動(dòng)聯(lián)絡(luò)人（安全專責(zé)）。開展資產(chǎn)梳理及安全自查。資產(chǎn)梳理各單位自行開展信息化資產(chǎn)梳理，梳理結(jié)構(gòu)報(bào)送至護(hù)網(wǎng)行動(dòng)安全保障小組。負(fù)責(zé)梳理信息化資產(chǎn)及重要信息系統(tǒng)。主要梳理內(nèi)容包括但不限于：梳理對(duì)外發(fā)布的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)；梳理互聯(lián)網(wǎng)出口及出口所使用的設(shè)備和安全措施；梳理網(wǎng)絡(luò)結(jié)構(gòu)（網(wǎng)絡(luò)拓?fù)洌?；安全風(fēng)險(xiǎn)評(píng)估與檢查結(jié)合信息化資產(chǎn)梳理結(jié)果，護(hù)網(wǎng)行動(dòng)安全保障小組對(duì)信息化資產(chǎn)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。由山東建行及安全廠商組成多支網(wǎng)絡(luò)安全評(píng)估檢查加固小組（每個(gè)小組2-3人），對(duì)重點(diǎn)下級(jí)單位的網(wǎng)絡(luò)安全狀況進(jìn)行評(píng)估與加固。護(hù)網(wǎng)行動(dòng)前工具說明Kali滲透系統(tǒng)Kali Linux 前身是 BackTrack ，是一個(gè)基于 Debian

12、 的 Linux 發(fā)行版，包含很多安全和取證方面的相關(guān)工具。Kali Linux預(yù)裝了許多滲透測(cè)試軟件，包括nmap (端口掃描器)、Wireshark (數(shù)據(jù)包分析器)、John the Ripper (密碼破解器),以及Aircrack-ng (一套用于對(duì)無線局域網(wǎng)進(jìn)行滲透測(cè)試的軟件)。 用戶可通過硬盤、live CD或live USB運(yùn)行Kali Linux。Metasploit的Metasploit Framework支持Kali Linux，Metasploit一套針對(duì)遠(yuǎn)程主機(jī)進(jìn)行開發(fā)和執(zhí)行Exploit代碼的工具。中國(guó)菜刀中國(guó)菜刀不僅僅是一個(gè)webshell管理器，可以說是一個(gè)集合

13、體，就算完全拋棄里面的webshell管理功能，菜刀也是一個(gè)很不錯(cuò)的瀏覽器，很不錯(cuò)的后臺(tái)掃描工具，很不錯(cuò)的cookies編輯提交工具，很不錯(cuò)的文件管理工具，很不錯(cuò)的旁注軟件，不單是方便各位黑客朋友使用，也很方便站長(zhǎng)使用，畢竟里面的文件管理功能，上傳下載，比FTP更加直觀了，最重要的是菜刀包含數(shù)據(jù)庫(kù)管理功能。護(hù)網(wǎng)行動(dòng)前安全防護(hù)設(shè)備安全加固對(duì)象：各類網(wǎng)關(guān)類安全設(shè)備建議：各設(shè)備軟件升級(jí)到最新版本，各類規(guī)則庫(kù)更新至最新 以梳理出對(duì)外發(fā)布業(yè)務(wù)的情況，包括但不限于web業(yè)務(wù)是否是標(biāo)準(zhǔn)80端口、需要對(duì)外提供哪些端口、 網(wǎng)站后臺(tái)是否需要對(duì)外開放、哪些對(duì)外提供的業(yè)務(wù)有暴力破解風(fēng)險(xiǎn) 防火墻策略最佳實(shí)踐要求，附最佳

14、實(shí)踐-WEB應(yīng)用防護(hù) 序號(hào)檢查項(xiàng)目檢查要求1waf-是否對(duì)外發(fā)布的所有網(wǎng)站均已開啟waf策略正常情況，要求所有經(jīng)過防火墻對(duì)外發(fā)布的網(wǎng)站都需要在waf策略防護(hù)范圍內(nèi)2waf-是否添加完整非標(biāo)準(zhǔn)80端口，或7.2后開啟端口自動(dòng)識(shí)別要求對(duì)非標(biāo)準(zhǔn)web端口，添加到waf策略防護(hù)里?；蛘?.2后開啟端口自動(dòng)識(shí)別3waf-https加密類網(wǎng)站，是否已開啟解密功能要求對(duì)https類網(wǎng)站，開啟解密功能。否則無法正常識(shí)別與防護(hù)4ips-針對(duì)上網(wǎng)終端，是否開啟“保護(hù)客戶端”和“惡意軟件”針對(duì)上網(wǎng)終端，要求開啟從內(nèi)網(wǎng)到外網(wǎng)訪問的此兩項(xiàng)功能防護(hù)5ips-針對(duì)服務(wù)器，是否開啟“保護(hù)服務(wù)器”和“暴力破解”針對(duì)服務(wù)器，要求

15、開啟從外網(wǎng)到內(nèi)網(wǎng)訪問的此兩項(xiàng)功能防護(hù)6apt-是否針對(duì)上網(wǎng)終端/服務(wù)器防護(hù)均已開啟要求針對(duì)終端和服務(wù)器的策略，均開啟apt功能，使用默認(rèn)模板即可7應(yīng)用控制-終端上網(wǎng)是否只開放內(nèi)網(wǎng)到外網(wǎng)所有的訪問針對(duì)終端上網(wǎng)，可以開放從內(nèi)網(wǎng)到外網(wǎng)所有服務(wù)的訪問8應(yīng)用控制-服務(wù)器上網(wǎng)是否只開放內(nèi)網(wǎng)到外網(wǎng)特定的訪問針對(duì)服務(wù)器上網(wǎng)，建議只開放服務(wù)器需要訪問特定外部地址的請(qǐng)求9應(yīng)用控制-服務(wù)器是否只開放需要對(duì)外發(fā)布的業(yè)務(wù)端口針對(duì)服務(wù)器發(fā)布業(yè)務(wù)，要求只開放需要對(duì)外發(fā)布的特定端口，其他一律攔截10地域防護(hù)-有明確地域使用范圍的服務(wù)器，是否開啟此功能對(duì)有明確地域使用范圍的服務(wù)器，要求開啟針對(duì)相應(yīng)地域的訪問控制11安全運(yùn)營(yíng)中心

16、-手動(dòng)檢查后，是否把所有待辦事件均已處理要求完成交付后，手動(dòng)評(píng)估，把待辦事件均完成處理或者忽略，確保無遺露護(hù)網(wǎng)行動(dòng)中事件診斷確定一般情況，病毒與木馬攻擊安全事件具有以下特征：防病毒軟件發(fā)出病毒警告；入侵檢測(cè)系統(tǒng)發(fā)出警告；日志審計(jì)系統(tǒng)監(jiān)控到攻擊行為；系統(tǒng)性能嚴(yán)重下降，有不明的進(jìn)程運(yùn)行并占用大量的CPU處理時(shí)間；系統(tǒng)有不明的對(duì)外網(wǎng)絡(luò)連接；網(wǎng)絡(luò)中有大量發(fā)包流量；系統(tǒng)文件的訪問權(quán)限被修改；系統(tǒng)日志有可以操作行為記錄。事件現(xiàn)場(chǎng)處置針對(duì)病毒與木馬攻擊，應(yīng)采取以下應(yīng)急響應(yīng)處理措施： 終端遭受病毒與木馬劫持人工排查定位或監(jiān)控系統(tǒng)定位被攻擊終端主機(jī)。把終端主機(jī)脫離網(wǎng)絡(luò)，手工清除病毒和木馬。如果手工清除不掉，則在

17、操作系統(tǒng)安全模式下清除。采用惡意程序查殺工具清除病毒和木馬。更新防病毒服務(wù)器病毒庫(kù)，更新終端主機(jī)病毒庫(kù)。針對(duì)惡意程序利用的漏洞進(jìn)行加固。如果惡意程序非常頑固，或操作系統(tǒng)破壞嚴(yán)重，無法使用，則在安全保障期間，建議物理隔離終端主機(jī)，后期處理。如果有備用終端，則更換備用終端。病毒與木馬應(yīng)急專項(xiàng)預(yù)案通過大數(shù)據(jù)關(guān)聯(lián)分析發(fā)現(xiàn)網(wǎng)絡(luò)中的失陷主機(jī)、安全威脅，識(shí)別業(yè)務(wù)潛在安全風(fēng)險(xiǎn)和高級(jí)APT攻擊行為，同時(shí)實(shí)現(xiàn)了基于攻擊場(chǎng)景的關(guān)聯(lián)完成有效攻擊檢測(cè)和被利用漏洞檢測(cè)，進(jìn)而對(duì)攻擊進(jìn)行溯源，通過圖關(guān)聯(lián)分析，將攻擊方的所有信息（IP、Domain、Virus、Hack tools、攻擊方位置、攻擊手段、歷史攻擊記錄）關(guān)聯(lián)起來，還原整個(gè)攻擊場(chǎng)景，形成攻擊故事，更好的對(duì)整個(gè)攻擊事件進(jìn)行了解、分析和取證。全網(wǎng)態(tài)勢(shì)感知通過7*24小時(shí)在線的安全專家團(tuán)隊(duì)和在線安全監(jiān)測(cè)與預(yù)警通報(bào)平臺(tái)，即可對(duì)互聯(lián)網(wǎng)業(yè)務(wù)進(jìn)行統(tǒng)一監(jiān)測(cè)，統(tǒng)一預(yù)警。云端專家7*24小時(shí)值守，一旦發(fā)現(xiàn)篡改、漏洞等常規(guī)安全事件，即可實(shí)時(shí)進(jìn)行處置。對(duì)于webshell、后門等高階事件，可以及時(shí)升級(jí)到技術(shù)分析組進(jìn)行研判，一旦確認(rèn)，將會(huì)實(shí)時(shí)轉(zhuǎn)交應(yīng)急響應(yīng)組進(jìn)行處置。云saas安全服務(wù)通過T1駐場(chǎng)值守專家和云端T2/T3專家的配合，借助安全監(jiān)測(cè)平臺(tái)以及安全運(yùn)營(yíng)中心，為客戶提供雙重監(jiān)測(cè)保障。其中T1駐場(chǎng)專家借助安全監(jiān)測(cè)平臺(tái)實(shí)現(xiàn)7*12的現(xiàn)場(chǎng)監(jiān)測(cè)預(yù)警，云端T2/T3專家借助安全運(yùn)營(yíng)