网络攻击、网络病毒防范处理,网络安全可控性

网络攻击、网络病毒防范处理、网络安全可控性苏亮2009-04主要内容•1、集团网络现状•2、网络安全需求分析•3、网络安全可控性分析•4、常见网络攻击及防范•5、常见网络病毒及防范现状•出口:中兴US2010双机热备—电信30M+网通10M+DMZ二级分公司：2MSDH专线三级分公司：VPN•核心三层：中兴T160G双机,起STP•汇聚层：中兴US5928，双线路，划VLAN•接入层：中兴US2852•客户端：XPSP2，域管理，norton11企业版，safe360防火墙（双机）Internet接入switch核心三层交换机SDH专线防火墙路由器路由器DDOS九州通网络拓朴三层交换机应用服务器终端防火墙VPN应用服务器终端集团总部二级公司三级公司VPNVPN应用服务器终端防火墙VPN双三层交换机冗余汇聚层交换机三层交换机防火墙/VPN外部服务器DMZ区说明：一级骨干网络；二级内部网络；三级内部网络；四级内部网络。双防火墙冗余双核心交换机冗余汇聚层交换机需求分析安全可控的网络•当企业建设一个相对封闭的内部网络时，一定要保证对该网络做到完全控制，所谓完全控制，在这里包含以下几层含义:•1、连入网络的节点的监控。内部网络是相对封闭的环境，对于网络中的节点信息和与连入内部网络的节点，要做详细的监控和及时的防范。•2、非法对外访问的监控。内部网络中的节点通过非正当渠道对外访问，如通过Modem拨号的方式连入外部网络的方式，及时发现并做到安全防范。•3、网络数据实时监控和审计。针对内部网络中的传输数据，通过网络设备做到实时监控，实时发现可疑信息并报警，同时做相应的安全审计，从而为事后的电子取证提供有力的依据。•4、实时病毒监控。对内部网络进行实时的病毒防范，对网络中病毒的防护状况做实时监控，包括重要的服务器、工作站和工作PC等网络安全系统。•5、全网的统一监控。对全网的安全数据做到统一管理，统一下发安全策略，统一分析安全数据，得出全网安全状况和风险级别。网络安全可控性•1、网络安全管理制度的建设•2、网络使用人员安全意识的培养•3、网络安全防护系统建设如何构建整体安全方案整体的安全方案分成三部分•技术方案安全产品是网络安全的基石，通过在网络中安装一定的安全设备，能够使得网络的结构更加清晰，安全性得到显著增强；同时能够有效降低安全管理的难度，提高安全管理的有效性。•服务方案在安全服务方案中，采用不同的安全服务，定期对网络进行检测、改进，以达到动态增进网络安全性，最大限度发挥安全设备作用的目的。•支持方案技术支持是整个安全方案的重要补充。其主要作用是在用户网络发生重要安全事件后，通过及时、高效的安全服务，达到尽快恢复网络应用的目的8一、技术方案•1、防火墙•2、入侵检测•3、网络防病毒软件控制中心以及客户端软件•4、邮件防病毒服务器•5、反垃圾邮件系统•6、动态口令认证系统•7、网络管理软件•8、QOS流量管理•9、重要终端个人防护软件•…9二、安全服务解决方案•1、网络拓扑分析•2、中心机房管理制度制订以及修改•3、操作系统补丁升级•4、防病毒软件病毒库定期升级•5、服务器定期扫描、加固•6、防火墙日志备份、分析•7、入侵检测等安全设备日志备份•8、服务器日志备份•9、设备备份系统•10、信息备份系统•11、定期总体安全分析报告10三、技术支持解决方案•1、故障排除•2、灾难恢复•3、查找攻击源•4、实时检索日志文件•5、即时查杀病毒•6、即时网络监控11分布实施建议意见•1、第一阶段•（1）技术方面，采用防火墙、网络防病毒软件、页面防篡改系统来建立一个结构上较完善的网络系统。•（2）服务方面，进行网络拓扑分析、建立中心机房管理制度、建立操作系统以及防病毒软件定期升级机制、对重要服务器的访问日志进行备份，通过这些服务，增强网络的抗干扰性。•（3）支持方面，要求服务商提供故障排除服务，以提高网络的可靠性，降低网络故障对网络的整体影响。•2、第二阶段•在第一阶段安全建设的基础上，进一步增加网络安全设备，采纳新的安全服务和技术支持来增强网络的可用性。•（1）技术方面，采用入侵检测、邮件防病毒软件、动态口令认证系统、并在重要客户端安装个人版防护软件。•（2）服务方面，对服务器进行定期扫描与加固、对防火墙日志进行备份与分析、对入侵检测设备的日志进行备份、建立设备备份系统以及文件备份系统。•（3）支持方面，要求服务商提供灾难恢复、实时日志检索、实时查杀病毒、实时网络监控等技术支持。•3、第三阶段•在这一阶段，采取的措施以进一步提高网络效率为主。•（1）技术方面，采用反垃圾邮件系统、网络管理软件、QOS流量管理软件。•（2）服务方面，采用白客渗透测试，要求服务商定期提供整体安全分析报告。•（3）支持方面，要求能够实时或者事后查找攻击源。12常见网络病毒及防范•一、常见病毒感染方式1、利用系统和程序的漏洞2、通过诱惑和欺骗让用户执行带毒程序•二、防范1、及时打补丁2、安装杀毒软件并且保持最新的更新3、养成良好的上网习惯4、不运行来路不明的程序5、对常见进程和上网的程序心中有数，至少使用一款软件防火墙6、使用高强度的密码•发现电脑异常的一般解决步骤（不一定是病毒，前提是安装了杀毒软件并更新到最新）：1、用管理员帐号进入安全模式2、清空C:\DocumentsandSettings\用户名\LocalSettings\Temp、C:\DocumentsandSettings\用户名\LocalSettings\TemporaryInternetFiles和C:\WINDOWS\Temp目录下的所有文件3、打开safe360，在“高级-启动项状态”中，删除可疑的启动文件4、使用safe360扫描和清理木马5、右击“我的电脑-管理-服务和应用程序-服务”，禁用可疑的服务6、重启ARP欺骗攻击•ARP（AddressResolutionProtocol）地址解析协议用于将计算机的网络地址转化为物理地址•简单的说就是：这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址(比如网关），而那个源MAC地址可能是自己的MAC，也可能是一个无用的MAC地址。而目的IP地址和目的MAC地址都是广播地址，这样的话，这个新的ARP条目就会发送到网络中的任何一个设备中。然后，这些设备就会更新自己的ARP缓存，这样一来呢，就达到欺骗的效果了。以后我们的机器在往重要的设备上发送数据的时候，就会先检查自己的ARP缓存啊，确实存在这么一个ARP条目，殊不知已经是被掉包的了。所以呢，我们发送的数据就不会按照我们原来的意愿，到达真正的目的地。•中毒特征：网络不定时掉线、网络不通、部分机器掉线，将交换机重启可以暂时正常、使用arp–a发现网关mac地址改变IP欺骗及防范技术——会话劫持被冒充者A服务器受害者攻击者你好，我是AA被冒充者服务器受害者攻击者你好，我是A下线!正常会话一般欺骗会话劫持ARP欺骗攻击•解决措施:1、在命令行模式下输入arp-a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息，使用arp–d删除缓存，或者用arp–s绑定重要设备的MAC2、安装arp病毒防火墙3、双向绑定常见网络攻击及防范•直接获取口令进入系统：网络监听，暴力破解•利用系统自身安全漏洞•特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装•欺骗：诱使用户访问纂改过的网页•电子邮件攻击：邮件炸弹、邮件欺骗•网络监听：获取明文传输的敏感信息•通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据•拒绝服务攻击和分布式拒绝服务攻击(D.o.S和D.D.o.S)TCP/IP的每个层次都存在攻击TelnetSMTPDNSFTPUDPTCPIP以太网无线网络SATNETARPNET应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏电磁监听拒绝服务攻击（DoS）SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接DoS攻击技术——DDoS技术攻击者主控端主控端主控端受害者代理攻击端代理攻击端代理攻击端代理攻击端代理攻击端代理攻击端混合型、自动的攻击WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻击:蠕虫WebServerViaWebPageWorkstationWebServerMailGateway防病毒防火墙入侵检测风险管理攻击的发展趋势攻击的发展趋势•漏洞趋势–严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码)•混合型威胁趋势–将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和Internet漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。•主动恶意代码趋势–制造方法：简单并工具化–技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件.–表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽，复制传播，难以检测。•受攻击未来领域–即时消息：MSN,Yahoo,ICQ,OICQ等–对等程序(P2P)–移动设备常见的安全防范措施常用的安全防范措施•物理层•网络层–路由交换策略–VLAN划分–防火墙、隔离网闸–入侵检测–抗拒绝服务–传输加密•系统层–漏洞扫描–系统安全加固–SUS补丁安全管理•应用层–防病毒–安全功能增强•管理层–独立的管理队伍–统一的管理策略•访问控制•认证•NAT•加密•防病毒、内容过滤•流量管理常用的安全防护措施－防火墙入侵检测系统FirewallServersDMZIDSAgentIntranet监控中心router攻击者发现攻击发现攻击发现攻击报警报警IDSAgent漏洞扫描系统地方网管scanner监控中心地方网管地方网管地方网管地方网管市场部工程部router开发部ServersFirewall漏洞扫描产品应用系统安全加固•基本安全配置检测和优化•密码系统安全检测和增强•系统后门检测•提供访问控制策略和工具•增强远程维护的安全性•文件系统完整性审计•增强的系统日志分析•系统升级与补丁安装Windows系统安全加固•使用Windowsupdate安装最新补丁；•更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值，保障帐号以及口令的安全；•将默认Administrator用户和组改名，禁用Guests并将Guest改名；•开启安全审核策略；•卸载不需要的服务；•将暂时不需要开放的服务停止；•限制特定执行文件的权限；•调整事件日志的大小、覆盖策略；•禁止匿名用户连接；•删除主机管理共享；•安装防病毒软件、个人防火墙。32医药通九州健康送万家JOINTOWNGROUPCO.,LTD.谢谢！