第二章-网络安全风险分析
第二章-网络安全风险分析
(5)、某些服务或应用程序会向远程客户提供关 于本机的一些信息,这种信息泄漏也是一种安全 缺陷。 例如Finger服务,域名解析服务等。
(6)、有些服务本身不是漏洞或不存在安全缺陷 ,但是却能被远程主机利用来进行辅助攻击。 例如Visual Route Web服务器允许攻击者/攻 击程序在不暴露自身到目标主机路由的情况下执 行向第三方主机的路由跟踪。
第二章-网络安全风险分析ຫໍສະໝຸດ 国内安全事件响应组织建设情况
计算机网络基础设施已经严重依赖国外; 由于地理、语言、政治等多种因素,安全服务不可能依 赖国外的组织 国内的应急响应服务还处在起步发展阶段 – CCERT(1999年5月),中国第一个安全事件响应组
织 – NJCERT(1999年10月) – 中国电信ChinaNet安全小组 – 解放军,公安部 – 安全救援服务公司 中国计算机应急响应组/协调中心CNCERT/CC – 信息产业部安全管理中心 ,2000年3月,北京
第二章-网络安全风险分析
安全应急响应组的分类
国内的协调组织
国际间的协调组织 如CERT/CC, FIRST 国内的协调组织
如CNCERT/CC
商业IRT
网络服务提供商 IRT
如:安全服务公司
如:CCERT
厂商 IRT
企业 /政府 IRT
如:cisco, IBM
第二章-网络安全风险分析
美国是世界上最大的网络攻击源头。据美国最 大的网络公司Symatec公司发表的2008年互联网 安全威胁报告,世界上25%的网络攻击源自美国 ,33%的僵尸控制服务器和43%的“钓鱼网站”位 于美国。对中国的网络攻击和入侵也主要源自美 国。据中国国家互联网应急中心对部分木马和僵 尸程序的抽样检测结果,2009年我国境内被木马 程序和僵尸程序控制的主机IP数量分别为26.2万 个和83.7万个,分别有16.5万个和1.9万个境外主 机地址参与控制这些计算机,其中源自美国的数 量排名第一,分别占16.61%和22.34%。可以说 ,美国已成为全球最大的网络攻击策源地。
第二章-网络安全风险分析
应急响应服务的诞生—CERT/CC
– 1988年Morris 蠕虫事件直接导致了 CERT/CC的诞生。
– CERT/CC服务的内容:
• 安全事件响应
• 安全事件分析和软件安全缺陷研究
• 缺陷知识库开发
• 信息发布:缺陷、公告、总结、统计、补 丁、工具
• 教育与培训:CSIRT(computer security incident response team)管理、CSIRT 技术培训、系统和网络管理员安全培训
第二章-网络安全风险分析
没有技术手段可以消除所有的程序漏洞。 测试技术上:应该做什么,不应该做什么。
不可能详尽地测试状态和数据的每一种组合来 检验系统。恶意代码还具有隐蔽性。
技术发展上:程序设计和软件工程技术的发 展速度远远超过计算机安全技术的发展技术。 保护过去的技术
第二章-网络安全风险分析
举例--计算机攻击的剧烈增长
错误:系统内部观点,开发者所见 失效:系统外部观点,用户看到的问题。对 系统要求行为的违反。 不是所有的错误都会导致失效,例如错误代 码从来未被执行或者系统从来没有进入某种状 态。
第二章-网络安全风险分析
程序漏洞产生原因
原因: (1)、受编程设计人员的能力、经验和安全技术
所限,操作系统及各种应用程序在设计中出现 逻辑错误是不可避免的。 (2)、对程序内部操作的不了解,或没有足够的 重视,编程人员总会假定程序在任何环境中能 够正常运行。当假设得不到满足,程序内部的 相互作用和安全策略产生冲突便形成了安全漏 洞。
CERT computer emergency response team 计算机应 急响应小组,卡内基梅隆大学,追踪和报道在全世界范围内 报道的计算机攻击的种类和数量。
任务:警告用户和开发者出现的新的问题,提供解决的必 要信息。
第二章-网络安全风险分析
据中国互联网协会统计,2008年,中国大陆受 到来自境外的网络攻击数量同比增长了148%。 工信部发言人在接受新华社记者专访时指出,仅 2009年,我国被境外控制的计算机IP地址就多达 100多万个,被黑客组织篡改的网站累计达4.2万 个,其中政府网站被篡改的数量达2765个。在受 网络病毒威胁方面,我国仅被“飞客”蠕虫病毒感 染的计算机数量每月就达1800万台,占全球感染 主机的30%,位居世界第一。被植入僵尸程序的 计算机数量也位居世界首位,占世界总量的13% 。
第二章 常见网络风险分析 -Part1
第二章-网络安全风险分析
• 常见程序漏洞问题 • 恶意代码攻击 • 木马和后门 • 拒绝服务攻击 • 欺骗攻击
第二章-网络安全风险分析
常见程序漏洞问题
什么是程序中的“bug”?
• 开 发 者 犯 错 误 --- 导 致 设 计 中 过 失 编 码 ( error)---一个或多个错误(fault)。
• 指导其它CSIRT(也称IRT、CERT)组织 建设
第二章-网络安全风险分析
举例
计 算 机 安 全 总 署 ( computer security institute,CSI)和FBI,调查500家大型机构 ,90%有安全隐患,25%每年有2-5例安全 事件,37%超过10例。对167名网络安全人 员调查,75%经历过网络攻击,超过50%认 为攻击频繁。223名被调查者损失455 000 000美元
第二章-网络安全风险分析
(3)、数据处理中出现的错误。例如对变量赋值及发送 的一些请求命令。 例如WebLogic服务端发送类似GET. \r\n\r\n的请求 时,远程WebLogic服务端在处理生成重定向的请求时 会泄漏该主机的NetBIOS主机名。
(4)、安全缺陷和具体的系统环境密切相关。在不同种 类的软、硬件设备中,同种设备的不同版本之间,由不 同设备构成的不同系统之间,都存在各自不同的安全问 题。 例如低于0.6.6k或0.9.7c版本的OpenSSL存在堆栈溢 出漏洞,该漏洞可导致远程攻击者获得系统的shell。
