CISP信息安全应急响应教案分析.ppt

信息安全应急响应 中国信息安全测评中心 CISP-19-信息安全应急响应 2009年6月 背景：信息安全管理技术 目录 互联网网络安全面临重大挑战 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应准备阶段关键措施推荐 应急响应服务案例 一、互联网网络安全面临重大挑战 目录 互联网网络安全面临重大挑战 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例 补充材料：如何编制本单位的《应急预案》 我国互联网环境 随着互联网各种应用的不断发展，大量的基础网络成为黑客的攻击目标。 我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患： 计算机病毒传播和网络非法入侵十分猖獗 网络违法犯罪持续大幅上升 安全漏洞，黑客病毒技术、 网络钓鱼技术、木马间谍程序 互联网安全威胁事例 事例 2003年：SQL SLAMMER、口令蠕虫事件、冲击波蠕虫事件 2004年5月：黑客操控六万台电脑制造 “僵尸网络”发起拒绝服务攻击 2005年12月——荷兰19岁黑客控制150万台电脑组建僵尸网络 从2006年底到2007年初，“熊猫烧香”在短短时间内通过网络传播全国，数百万电脑中毒 2008年，黑龙江网民篡改红十字会地震募捐账号被捕 2009年，卡巴斯基网站数据库遭黑客攻击机密信息外泄 相互结合，危害无穷 Bot、网络蠕虫、计算机病毒、木马程序合为一体 网络安全热点 网站仿冒（Phishing） 建立假网站 通过垃圾邮件发送服务器大量发信引诱用户访问 使用中奖、系统升级等手段诱使用户输入个人信息 主要针对银行和信用卡服务机构 网络钓鱼的靶心 仿冒网络银行 (仿冒中国银行，中国银行真实网址为：) /index.jsp (仿冒中国工商银行，中国工商银行真实网址为：) （仿冒招商银行，招商银行的真实网址为：）等 仿冒方式 假冒域名、网页、邮件 网络安全热点 僵尸网络的具体概念 Bot——僵尸程序 Zombie——被植入Bot程序的计算机 IRC Bot——利用IRC协议进行通信和控制的Bot 基于僵尸网络（ Botnet ）的网络敲诈 大量主机被安装了BOT 黑客可以通过IRC服务器实施控制 随时可能发动攻击 BOT可以进行升级，扩大攻击能力 网络安全热点 手机和无线网络（WLAN）的安全 2004年，针对使用Symbian的兰牙手机的病毒出现 针对使用PocketPC的验证性攻击程序也被发现 手机功能和操作系统通用性不断增强，会有越来越多针对手机的攻击 WLAN安全性一直是其应用的关键问题 2004年出现了可利用来对IEEE 1278.11b无线接入点进行拒绝服务攻击的漏洞 网络安全热点 黑客地下经济产业链 系统越来越复杂 工作站中存在信息数据 员工 移动介质 网络中其他系统 网络中其他资源 访问Internet 访问其他局域网 到Internet的其他路由 电话和调制解调器 开放的网络端口 远程用户 厂商和合同方的访问访问外部资源 公共信息服务 运行维护环境 U盘、无线网络 。。。 网络安全漏洞大量存在 Windows十大安全隐患 Web服务器和服务 工作站服务 Windows远程访问服务 微软SQL服务器 Windows认证 Web浏览器　　 文件共享 LSAS Exposures 电子邮件客户端 即时信息 攻击范围和时间的变化 网络安全造成损失越来越大 信息泄密 “黛蛇事件”：2005年12月15日发现一个利用MS05-051微软高危漏洞传播的“黛蛇”蠕虫，该攻击下载运行键盘记录软件和蠕虫文件包，窃取用户数据。 网络堵塞 SQL SLAMMER：2003年1月25日发作,造成大面积网络拥塞，部分骨干网络瘫痪，韩国网络基本处于瘫痪状态,我国境内感染主机22600余台 业务停顿，网上招生停顿、网上交易中断等 造成的财产损失难以估计，数字绝非耸人听闻 从2004年10月起，北京一家音乐网站连续3个月遭到一个控制超过6万台电脑的“僵尸网络”的“拒绝服务（DoS）”攻击，造成经济损失达700余万元 切肤之痛？ 从安全事件看网络安全威胁及其发展趋势 大规模蠕虫事件的特点 蠕虫大规模爆发时的情形： “风暴”、“飓风”、“攻势凌厉” 大规模蠕虫事件的特点： 引起突发性的大量异常网络流量 感染主机数量多、分布广 对互联网用户造成的最直观影响是网络应用缓慢或停止 只有从网络上设置访问限制才能遏制蠕虫的发展 蠕虫依然是重大的潜在威胁 虽然2006年没有大规模的、造成重大社会影响的案例，但蠕虫依然是重大威胁 传统破坏力： 关键阶段的服务中断：入学报名或查询、在线证券交易、政府集中业务审批、奥运播报、etc. 新破坏力： 网络阻塞 失泄密威胁严重 成为黑