1、目录常见的黑客攻击手段介绍常见的黑客攻击手段介绍12常见的防御手段介绍常见的防御手段介绍3安全事件响应处理介绍安全事件响应处理介绍黑客究竟是什么?黑客究竟是什么?黑客起源的背景起源地:起源地:美国精神支柱:精神支柱:对技术的渴求对自由的渴求历史背景:历史背景:越战与反战活动马丁路德金与自由嬉皮士与非主流文化电话飞客与计算机革命凯文米特尼克是美国20世纪最著名的黑客之一,他是社会工程学的创始人1979年他和他的伙伴侵入了北美空防指挥部。1983年的电影战争游戏演绎了同样的故事,在片中,以凯文为原型的少年黑客几乎引发了第三次世界大战。黑客(hacker)最开始,黑客最开始,黑客(hacker)这个
2、词只是指那些可以随心这个词只是指那些可以随心所欲编写计算机程序实现自己意图的计算机高手,所欲编写计算机程序实现自己意图的计算机高手,没有任何贬义。没有任何贬义。骇客骇客白客白客灰客灰客红客红客中国的中国的“黑客文化黑客文化”中国缺乏欧美抚育黑客文化的土壤中国缺乏欧美抚育黑客文化的土壤缺少庞大的中产阶层缺少丰富的技术积累中国的黑客文化更多带有中国的黑客文化更多带有“侠侠”的色彩的色彩侠之大者,为国为民侠之小者,除暴安良黑客特殊的语言例如:例如:3v3ry0n3 kn0wz wh3n y0u h4ck a w3b p4g3 y0u h4v3 t0 us3 h4ck3r t4lkEveryone k
3、nows when you hack a web page you have To use hacker talk中国“黑客”重要历史事件1998年印尼事件年印尼事件1999年南联盟事件年南联盟事件中美五一黑客大战事件中美五一黑客大战事件黑客攻击一般过程隐藏自己隐藏自己预攻击探测预攻击探测收集信息收集信息,如如OSOS类型类型,提供的服务端口提供的服务端口采取攻击行为采取攻击行为破解口令文件破解口令文件,或利用缓存溢出漏洞或利用缓存溢出漏洞获得攻击目标的控制权获得攻击目标的控制权寻找网络中其它主机的信息和漏洞寻找网络中其它主机的信息和漏洞继续渗透网络继续渗透网络,直至获取机密数据直至获取机密数
4、据消灭踪迹消灭踪迹黑客工具:黑客工具:数量越来越多,而且越来越易用,并且其造成的影响也越来越大。黑客的知识技能:黑客的知识技能:正因为以上工具的易用性,对于黑客入侵所需要的知识技能也越来越低。漏洞被利用的时间越来越短漏洞被利用的时间越来越短,目前,宣布发现软件安全漏洞和利用这个安全漏洞的时间从三年前的185天缩短到了1天。Trend公司黑客工具越来越多黑客工具越来越多攻击者技能要求越来越低攻击者技能要求越来越低安全攻击特点和趋势(1)从展示、炫耀技巧到以追求经济利益为目的从展示、炫耀技巧到以追求经济利益为目的如利用虚假网站进行的网络钓鱼,盗取上网用户银行帐号,进而窃取资金;在普通用户的上网终端
5、中植入控制软件,用于“监听”用户行为,并用来作为攻击重要目标的跳板,成为网络犯罪事件的牺牲品、替罪羊;安全攻击特点和趋势(2)内部工作人员、第三方技术支持人员利用对内部信息的了解、拥有的权限内部工作人员、第三方技术支持人员利用对内部信息的了解、拥有的权限以及业务流程漏洞,实施信息安全犯罪。以及业务流程漏洞,实施信息安全犯罪。安全攻击特点和趋势(3)攻击方法及技术趋势(4)高高低低19801985199019952000密码猜测密码猜测可自动复制的代码可自动复制的代码密码破解密码破解利用已知的漏洞利用已知的漏洞破坏审计系统破坏审计系统后门后门回话劫持回话劫持擦除痕迹擦除痕迹臭探臭探包欺骗包欺骗G
6、UI远程控制远程控制自动探测扫描自动探测扫描拒绝服务拒绝服务www 攻击攻击攻击者攻击者入侵者技术入侵者技术攻击手法攻击手法半开放隐蔽扫描半开放隐蔽扫描控制台入侵控制台入侵检测网络管理检测网络管理DDOS 攻击攻击SQL注入注入Google hacking2005常见的攻击手法物理攻击物理攻击利用网络系统漏洞利用网络系统漏洞暴力破解和网络嗅探暴力破解和网络嗅探特洛伊木马特洛伊木马蠕虫病毒蠕虫病毒拒绝服务攻击拒绝服务攻击社会工程学社会工程学更多新的攻击技术更多新的攻击技术物理攻击线路窃听线路窃听电磁泄漏电磁泄漏硬件损坏硬件损坏绕过门禁绕过门禁打开机箱,放电清除打开机箱,放电清除CMOS水、火、雷
7、、地震水、火、雷、地震利用网络系统漏洞系统漏洞有可系统漏洞有可 能是操作系统本身所有的,如能是操作系统本身所有的,如windows2000、UNIX等都有数量不等的漏洞,也等都有数量不等的漏洞,也有可能是由于管理的疏忽而造成的。有可能是由于管理的疏忽而造成的。这些漏洞包括著名的这些漏洞包括著名的UniCODE漏洞、漏洞、WebDAV溢溢出漏洞以及最新的出漏洞以及最新的Server服务溢出漏洞等等。服务溢出漏洞等等。系统本身的漏洞,可以安装软件补丁;另外网管也系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使他人有机可乘。需要仔细工作,尽量避免因疏忽而使他人有机可乘。中
8、美黑客大战介绍事件背景和经过事件背景和经过4.1撞机事件为导火线撞机事件为导火线四月初,美国黑客组织对国内站进行攻击,约四月初,美国黑客组织对国内站进行攻击,约300左右的站点页面被修改左右的站点页面被修改4月下旬,国内红(黑)客组织或个人,开始对美月下旬,国内红(黑)客组织或个人,开始对美国网站进行小规模的攻击行动,国网站进行小规模的攻击行动,4月月26日有人发表日有人发表了了“五一卫国战五一卫国战”战前声明,宣布将在战前声明,宣布将在5月月1日至日至8日,对美国网站进行大规模的攻击行动。日,对美国网站进行大规模的攻击行动。各方都得到第三方支援各方都得到第三方支援各大媒体纷纷报道,评论,中旬
9、结束大战各大媒体纷纷报道,评论,中旬结束大战美国黑客更改的网页国内黑客组织更改的页面这次事件中被利用的典型漏洞暴力破解和网络嗅探在互联网上,使用密码是最常见并且最重要的安全保护方在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。法,用户时时刻刻都需要输入密码进行身份校验。现在的密码保护手段大都认密码不认人,因此,取得密码现在的密码保护手段大都认密码不认人,因此,取得密码也是黑客进行攻击的重要手段。也是黑客进行攻击的重要手段。取得密码也还有好几种方法,一种是对网络上的数据进行取得密码也还有好几种方法,一种是对网络上的数据进行监听。监听。另一种解密方法就
10、是使用穷举法对已知用户名的密码进行另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。暴力解密。还有,利用工具进行解密密码。还有,利用工具进行解密密码。用户在进行密码设置时一定要将其设置得复杂,另外应该用户在进行密码设置时一定要将其设置得复杂,另外应该经常更换密码,这样使其被破解的可能性又下降了不少。经常更换密码,这样使其被破解的可能性又下降了不少。1999年1月,EFF 用DES Crack(内含1856块芯片)和网络分布计算,在DES Cracker的攻击下,仅在22小时内就成功的破译出安全密码。DES Cracker是一台计算机用来建立测验DES加密数据联接密码的。这台机器单独能
11、每秒扫描九百亿个密码。过去20年里,这个算法已被广泛应该到加密数据,银行系统、经济领域、商业领域,所以DES算法的安全非常重要。DES Cracker 造价25万美元。DES Crack网络嗅探木马病毒“艾妮”(TROJ_ANICMOO.AX)正在传播木马是客户端攻击中经常使用的攻击方式目的:盗取信息、远程控制的后门、拒绝服务的僵尸代理木马的攻击发起方式伪装格式下载绑定网站挂马社会工程蠕虫与漏洞特洛伊木马孔子曰:孔子曰:“食色,性也食色,性也”,-看见美女你点不点?看见美女你点不点?攻击人性的弱点被绑定木马,播放即执行恶意代码被绑定木马,播放即执行恶意代码利用浏览器的利用浏览器的WEB功能嵌入
12、恶意功能嵌入恶意代码代码被骇客利用的电影和娱乐事件2005年8月 張靚穎在更衣室裏的手機照片,http:/*”2006年2月一個饅頭引發的血案2006年12月滿城盡帶黃金甲影音文件常用的木马实现技常用的木马实现技术术反弹端口线程注入加密隧道传输分布式与上线通知Exe捆绑隐藏的自启动和文件关联如何防范木马?安全意识及时的系统补丁定期的检查(工具和手工)对系统异常操作警惕特洛伊木马蠕虫病毒攻击蠕虫病毒是一种常见的计算机病毒。它的传染机理蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播,传染途径是通过网络、是利用网络进行复制和传播,传染途径是通过网络、电子邮件、电子邮件、WEB服
13、务器、网络共享等。并对网络服务器、网络共享等。并对网络或联网计算机造成破坏。或联网计算机造成破坏。蠕虫的基本程序结构为:蠕虫的基本程序结构为:传播模块:负责蠕虫的传播,隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。目的功能模块:实现对计算机的控制、监视或破坏等功能。传播模块由可以分为三个基本模块:扫描模块、攻击模块传播模块由可以分为三个基本模块:扫描模块、攻击模块和复制模块。和复制模块。Code RED冲击波冲击波威金蠕虫变种威金蠕虫变种RCMSN性感相册蠕虫病毒性感相册蠕虫病毒恶性蠕虫恶性蠕虫“IO下载者下载者”熊猫烧香、金猪报喜熊猫烧香、金猪报喜小浩蠕虫小浩蠕虫层出不穷的蠕虫病毒定义
14、:定义:DoS(Denial of Service,拒绝服务,拒绝服务),造成,造成DoS的攻击的攻击行为被称为行为被称为DoS攻击,其目的是使计算机或网络无法提供攻击,其目的是使计算机或网络无法提供正常的服务。正常的服务。DDoS(Distributed Denial of Service,分布式拒绝服务,分布式拒绝服务)攻攻击指借助于客户击指借助于客户/服务器技术,将多个计算机联合起来作为服务器技术,将多个计算机联合起来作为攻击平台,对一个或者多个目标发动攻击平台,对一个或者多个目标发动DoS攻击,从而成倍攻击,从而成倍地提高拒绝服务攻击的威力。地提高拒绝服务攻击的威力。什么是DoS/DD
15、oS攻击?攻击类型划分攻击类型划分I堆栈突破型(利用主机堆栈突破型(利用主机/设备漏洞)设备漏洞)远程溢出拒绝服务攻击网络流量型(利用网络通网络流量型(利用网络通讯协议)讯协议)SYN FloodACK FloodICMP FloodUDP Flood、UDP DNS Query FloodConnection FloodHTTP Get Floodn攻击类型划分攻击类型划分IIn应用层应用层垃圾邮件、病毒邮件DNS Floodn网络层网络层SYN Flood、ICMP Floodn链路层链路层ARP 伪造报文n物理层物理层直接线路破坏电磁干扰拒绝服务(DoS)的分类TFN(Tribe Flo
16、od Network)德国著名黑客Mixter编写的分布式拒绝服务攻击工具TFN由主控端程序和代理端组成由主控端程序和代理端组成攻击者到主控端TCP绑定主控端到代理端ICMP_ECHOREPLY代理端对目标机SYN Flood、ICMP Flood、UDP Flood、Smurf 攻击免费的免费的DDoS攻击工具,还包括攻击工具,还包括Trinoo、TFN2k、Stacheldraht等,使得等,使得DDoS攻击技术门槛降攻击技术门槛降低更加普及,对网络造成严重威胁低更加普及,对网络造成严重威胁MixterIDID字段包含命令字段包含命令著名的DDoS攻击工具TFN受害者攻击者主控端主控端代理
17、端主控端代理端代理端代理端代理端代理端僵尸军团DDoS攻击模型当前DDoS攻击的形势网络接入控制DDoS攻击发生频率高,且呈海量趋势攻击应用服务,经济利益为原始驱动带宽型攻击混杂应用型攻击,极难防御海量流量破坏运营商基础网络的可用性僵尸网络数量众多,发动攻击难度很小社会工程社会工程假借客户,骗取资料冒充技术员打电话,询问个人邮件密码搜集员工个人信息,破解用户口令收买公司员工,窃取内部机密社会工程命令行命令行Wis、WedGUI工具:工具:NBSI、SQL ToolsSQL注入自动化工具SQL Injection Basic ExampleInternetID=Admin -Passwd=123
18、4select*from member where UID=Admin -And Passwd=1234什么是网络钓鱼(Phishing)?“网络钓鱼网络钓鱼”攻击利用欺骗性的电子邮件和伪造的攻击利用欺骗性的电子邮件和伪造的Web站点站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。诈骗者信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达等可信的品牌,
19、在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。的人都会对这些骗局做出响应。在美国和英国已经开始出现专门反网络钓鱼的组织,越来在美国和英国已经开始出现专门反网络钓鱼的组织,越来越多在线企业、技术公司、安全机构加入到反越多在线企业、技术公司、安全机构加入到反“网络钓鱼网络钓鱼”组织的行列,比如微软、戴尔都宣布设立专案分析师或组织的行列,比如微软、戴尔都宣布设立专案分析师或推出用户教育计划,微软还捐出推出用户教育计划,微软还捐出4.6万美元的软件,协助防万美元的软件,协助防治治“网络钓鱼网络钓鱼”。钓鱼者钓鱼者Victim Web Server受害用户受害用户发送钓鱼邮件发送钓鱼
20、邮件受害者点击钓鱼受害者点击钓鱼URL钓鱼网站被浏览钓鱼网站被浏览受害者发送机密信息受害者发送机密信息入侵主机,安入侵主机,安装钓鱼网站和装钓鱼网站和垃圾邮件箱垃圾邮件箱Mail Drop Service信息被发送到另外一个邮箱信息被发送到另外一个邮箱钓鱼者索取信息钓鱼者索取信息典型的钓鱼过程伪造发件人地址:发件人可以是 可以是,但是实际上不是伪造虚假连接:图像连接网络钓鱼进行进行欺骗的技术手段其他欺骗技术跨站脚本漏洞(Cross Site Script)允许在一个合法的站点上插入非法的脚本恶意的脚本在客户机上被执行,而这个客户机信任该站点客户机上的信息被恶意脚本获得,包括用户login的名字
21、,cookie等等特别具有欺骗性,用户看到的界面是“合法的站点”,包括URL、数字证书等等,但是由于服务器的漏洞,导致客户机上机密信息被盗取高级钓鱼话题利用XSS漏洞如何防钓鱼?客户机:不要随便点击EMAIL、ICQ和聊天室里的链接不要连接到不信任的网络和使用不信任的计算机启用个人防火墙不断的更新客户机软件(防病毒、WEB浏览器、EMAIL客户端)用数字证书企业:使用IPS教育用户,并让他们的软件保持更新部署防垃圾邮件和防病毒措施网络攻击软件繁多大量的攻击工具随手拾来大量的攻击工具随手拾来讨论在工作中如果存在这些威胁将如何防御?在工作中如果存在这些威胁将如何防御?目录常见的黑客攻击手段介绍常见
22、的黑客攻击手段介绍21常见的防御手段介绍常见的防御手段介绍3安全事件响应处理介绍安全事件响应处理介绍常见的防御手段安全培训安全培训安全意识培训管理培训技术培训安全评估安全评估工具评估人工评估渗透测试访谈和现场观察安全加固安全加固通过更改配置加固通过加强管理修补 通过增加手段修补 通过系统改造修补 安全评估内容风险评估风险评估风险监控以及日常风险管理风险监控以及日常风险管理风险控制风险控制工具评估主要是根据已有的安全漏洞知识库,模拟黑客的攻主要是根据已有的安全漏洞知识库,模拟黑客的攻击方法,检测网络协议、网络服务、网络设备、应击方法,检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在
23、的安全隐患和漏洞。用系统等各种信息资产所存在的安全隐患和漏洞。网络扫描主要依靠带有安全漏洞知识库的网络安全网络扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描,扫描工具对信息资产进行基于网络层面安全扫描,其特点是能对被评估目标进行覆盖面广泛的安全漏其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找,并且评估环境与被评估对象在线运行的环洞查找,并且评估环境与被评估对象在线运行的环境完全一致,能较真实地反映主机系统、网络设备、境完全一致,能较真实地反映主机系统、网络设备、应用系统所存在的网络安全问题和面临的网络安全应用系统所存在的网络安全问题和面临的网络安全威胁威
24、胁工具评估工具评估特点工具评估特点操作最简单;内容最基础;历时最短;结果最直观;可自动生成报告;因其固有的模板,适用的范围,特定的运行环境,以及它的缺乏智能性等诸多因素,因而有着很大的局限性;对网络资源和被评估系统的资源占用在3%-5%之间,可以通过修改、配置一定的扫描策略来使这些资源消耗降低至最小人工评估工具扫描因为其固定的模板,适用的范围,特定的工具扫描因为其固定的模板,适用的范围,特定的运行环境,以及它的缺乏智能性等诸多因素,因而运行环境,以及它的缺乏智能性等诸多因素,因而有着很大的局限性;而人工评估与工具扫描相结合,有着很大的局限性;而人工评估与工具扫描相结合,可以完成许多工具所无法完
25、成的事情,从而得出全可以完成许多工具所无法完成的事情,从而得出全面的、客观的评估结果。面的、客观的评估结果。人工评估在各服务项目中都会用到,主要是依靠安人工评估在各服务项目中都会用到,主要是依靠安氏公司具有丰富经验的安全专家在各服务项目中通氏公司具有丰富经验的安全专家在各服务项目中通过针对不同的评估对象采用顾问访谈,业务流程了过针对不同的评估对象采用顾问访谈,业务流程了解等方式,对评估对象进行全面的评估。解等方式,对评估对象进行全面的评估。人工评估人工评估特点人工评估特点无写操作;人工输出评估报告;人工评估与工具扫描相结合,可以完成许多工具所无法完成的事情,得出全面的、客观的评估结果对业务无影
26、响 渗透测试渗透测试主要依据已经发现的安全漏洞,模拟黑客渗透测试主要依据已经发现的安全漏洞,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性的攻击方法对系统和网络进行非破坏性质的攻击性测试。测试。渗透测试主要针对系统主机进行,因此将占用主机渗透测试主要针对系统主机进行,因此将占用主机系统及其所在的网络环境的部分资源。对于其他的系统及其所在的网络环境的部分资源。对于其他的资源没有特殊的要求。资源没有特殊的要求。渗透测试(续)渗透测试(续)优点优点直观体现网络的安全状况对提高安全意识的效果显著实施灵活,资源调动较少缺点缺点对实施小组的技术、经验、素质、协作要求苛刻渗透成功可能只发现安全问题的冰
27、山一角渗透失败可能会造成“网络是安全的”乐观印象中国移动集团渗透测试及单系统评估项目中国移动集团渗透测试及单系统评估项目短信短信渗透测试结果由于到短信业务使用由于到短信业务使用FTP协议并存在弱密码,渗透者轻易得到了用户协议并存在弱密码,渗透者轻易得到了用户名和密码并从名和密码并从BOOS登陆到短信接口机上,短信系统服务器使用登陆到短信接口机上,短信系统服务器使用SERV-U FTP Server V4.0 存在远程溢出漏洞可以得到主机的最高权限存在远程溢出漏洞可以得到主机的最高权限从短信中心到综合网关可以得到综合网关服务器的最高权限从短信中心到综合网关可以得到综合网关服务器的最高权限 从短信
28、中心到欢迎短信可以得到欢迎短信关服务器的最高权限从短信中心到欢迎短信可以得到欢迎短信关服务器的最高权限 人工评估结果欢迎短信服务器被入侵欢迎短信服务器被入侵企信通服务器被入侵企信通服务器被入侵弱口令弱口令关键补丁没有安装关键补丁没有安装密码没有定期更改密码没有定期更改人员离职账号口令交接存在问题人员离职账号口令交接存在问题某省某省WAP系统单业务安全评估项目系统单业务安全评估项目评估结果评估结果发现存在明显弱用户名和口令,通过该用户和弱口令成功的登陆到内部网络的堡垒机上,并因该账户的弱口令及多处存在基本接管了WAP上的路由器和防火墙。分析GRE路由器配置发现可以到达GGSN。对GGSN由于不在
29、这次渗透测试范围并没有对GGSN做渗透测试。从WAP外部可以下载某厂商的表单应用软件客户端,因软件服务器端存在默认的用户名和口令,这样通过下载客户端软件的可以获得所有服务端的表单数据。某省的彩铃、某省的彩铃、www门户和梦网渗透项目门户和梦网渗透项目彩铃彩铃后门页面目录信息暴露脚本源代码信息暴露 某省的彩铃、某省的彩铃、www门户和梦网渗透项目门户和梦网渗透项目www门户门户暴露暴露ASP源文件源文件 暴露暴露SQL插入记录语句插入记录语句 其他其他某网上营业厅渗透发现某网上营业厅渗透发现不需要认证重置手机密码:由于网页中重置手机密码功能,未有图片认证验证。破坏者可以利用此漏洞,编写脚本发起对
30、移动任何手机的大量重置短信。SQL注入:构造语句获取到了数据库版本、数据库名、称数据库用户及密码(密码的HASH,暂未破解)、数据库表格内容等文件泄露,大量的脚本文件暴露,通过暴露的脚本,可以查询到如下信息 其他其他企业信息网()企业信息网()使用xscan、Scanner、等扫描工具对外网提供的服务的IP地址进行扫描。尝试对web提供的服务程序溢出。尝试手工破解某用户名和密码。成功后获得登陆某省公司部分OA系统的权限。手工暴力破解某用户名和密码。成功后得到登陆到某省公司内网的权限可以任意登陆OA服务器访谈和现场观察访谈访谈现场观察现场观察安全评估内容风险评估风险评估风险监控以及日常风险管理风
31、险监控以及日常风险管理风险控制风险控制网络安全评估(基础设施评估)应用安全评估需求阶段系统开发和交付系统部署实施系统运行维护系统废弃系统敏感度评估确定安全需求将安全需求加入到系统设计中获得系统(开发或购买)及安全功能安装并使安全控制有效安全测试鉴定合格安全操作和管理运作保证(监控和审计)变更管理系统废弃审核定期评估安全管理评估安全管理评估流程讨论结合当前的环境中,思考或讨论目前主要采用哪些结合当前的环境中,思考或讨论目前主要采用哪些手段进行安全防御手段进行安全防御?目录常见的黑客攻击手段介绍常见的黑客攻击手段介绍31常见的防御手段介绍常见的防御手段介绍2安全事件响应处理介绍安全事件响应处理介绍
32、安全事件响应处理介绍安全事件的分类分级安全事件的分类分级安全事件处理流程安全事件处理流程安全事件的分类分级安全事件的定义安全事件的定义由于自然或者人为的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。(信息安全事件分类分级指南)安全事件是一个或一系列与网络与系统安全、业务安全、信息安全相关的,并极有可能危害系统可用性、完整性或保密性的事件。(中国移动安全事件管理办法)安全事件的分类分级安全事件的分类安全事件的分类基于受攻击设备分类原则,安全事件分为:主机设备安全事件主机设备安全事件网络设备安全事件网络设备安全事件数据库系统安全事件数据库系统安全事件基于安全事件影响的分类原
33、则,安全事件类型分为影响系统可用性的安全事件:拒绝服务攻击、恶意代码、漏洞攻击、僵尸网络等;影响系统完整性的安全事件:信息篡改事件、网页挂马、以破坏系统数据为目的的后门木马、漏洞攻击等;影响系统机密性的安全事件:信息窃取、信息泄密、网络钓鱼、网络嗅探、信息假冒、以窃取信息为目的后门木马、恶意程序(间谍软件、盗号软件)、漏洞攻击、僵尸网络等。安全监控工作主要根据基于安全事件影响分类来进行。安全事件的分类分级 导致导致导致导致2 2级系统出现紧急故障的安全事件级系统出现紧急故障的安全事件级系统出现紧急故障的安全事件级系统出现紧急故障的安全事件 导致导致导致导致3 3级或级或级或级或4 4级系统出现
34、重大故障的安全事件级系统出现重大故障的安全事件级系统出现重大故障的安全事件级系统出现重大故障的安全事件 导致导致导致导致4 4级系统完整性或保密性被破坏的安全事件级系统完整性或保密性被破坏的安全事件级系统完整性或保密性被破坏的安全事件级系统完整性或保密性被破坏的安全事件 导致导致导致导致2 2级系统出现重大故障的安全事件级系统出现重大故障的安全事件级系统出现重大故障的安全事件级系统出现重大故障的安全事件 导致导致导致导致3 3级或级或级或级或4 4级系统出现严重故障的安全事件级系统出现严重故障的安全事件级系统出现严重故障的安全事件级系统出现严重故障的安全事件 导致导致导致导致3 3级系统完整性
35、或保密性被破坏的安全事件级系统完整性或保密性被破坏的安全事件级系统完整性或保密性被破坏的安全事件级系统完整性或保密性被破坏的安全事件一级一级 导致导致导致导致2 2级系统出现严重故障的安全事件级系统出现严重故障的安全事件级系统出现严重故障的安全事件级系统出现严重故障的安全事件 导致导致导致导致3 3级或级或级或级或4 4级系统出现一般故障的安全事件级系统出现一般故障的安全事件级系统出现一般故障的安全事件级系统出现一般故障的安全事件 影响影响影响影响2 2级系统完整性或保密性被破坏的安全事件级系统完整性或保密性被破坏的安全事件级系统完整性或保密性被破坏的安全事件级系统完整性或保密性被破坏的安全事
36、件二级二级 指三级以下的或未对系统运行产生影响的安全事件指三级以下的或未对系统运行产生影响的安全事件指三级以下的或未对系统运行产生影响的安全事件指三级以下的或未对系统运行产生影响的安全事件三级三级四级四级安全事件分级安全事件的来源SOCSOC监控和监控和监控和监控和日志审计日志审计日志审计日志审计安全产品安全产品安全产品安全产品防火墙防火墙防火墙防火墙防病毒防病毒防病毒防病毒垃圾邮件垃圾邮件垃圾邮件垃圾邮件入侵监测系统入侵监测系统入侵监测系统入侵监测系统流量分析设备流量分析设备流量分析设备流量分析设备防防防防DdosDdos设备设备设备设备等等等等网络设备网络设备网络设备网络设备操作系统操作系
37、统操作系统操作系统应用系统应用系统应用系统应用系统安全事件的来源安全事件的来源安全事件处理流程图安全应急响应工作小组综合部、市场部省通信管理局省安全分中心CNNIC地市州公司技术支撑队伍设备厂商当地其它运营商安全监控人员n负责重大安全事件信息对媒体、用户的披露口径n提供指导意见n协调相关资源n组织开展省内电信行业应急响应工作n提供技术支援n对省内DNS发生的安全事件提供技术支援n对系统发生的安全事件进行监控和预处理n向省公司上报安全事件及处理进展n按省公司要求落实应急响应要求n由自有专家队伍和外购服务组成,对重大安全事件分析、处理等工作提供专业技术支撑n针对本厂商提供的系统和设备,在安全保障工作中提供技术和服务支撑n共同处理应对跨企业的安全事件系统维护人员n发生安全事件时按照应急预案在系统上实施处置措施协调协调请示配合配合配合指导指挥组织协调移动应急响应组织架构