网络渗透攻击及防御
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
风险识风别险识别 评估结评果估文结档果文档
评估结果管理
目标
风险识别 机制
风险防范 机制
风险控制 机制
制度、组织、人员 职能、流程、服务和技术手段
风险评估管理
安全技术服务——风险评估
蓝盾股份 300297
网络评估 管理评估
评估客户单位网络架构设计的合理性和安全性,包括安全域划 分、Vlan控制、路由设计、网络访问控制、安全审计措施等, 对于网络架构中可能存在的各种安全隐患给出相应的安全改造 技术建议
DDOS攻击与防御
蓝盾股份 300297
① 终端客户的防御设备,适用于技术型的攻击 ② IDC提供的防护,专用的流量清洗设备 ③ 其他抗DDOS攻击的服务商,使用智能DNS或CDN方案的云
DDOS防御 ④ 电信运营商提供的防护,近源清洗的强力抗DDOS ⑤ ……
Content
目录
1. DDOS攻击与防御 2. 防范体系 3. 产品建议
衍生为诸如可控性、抗抵赖性、真实性 等其他的原则和目标
一、面对信息的安全保障
以风险分析为前提,被动式。找到系统的“漏 洞”,分析漏洞带来的威胁,评估堵上漏洞的 成本,再“合理”地堵上“致命”漏洞
三、面向服务的安全保障
1. 单个业务的安全保障需求演变为多个业务交叉系统 的综合安全需求
2. 安全不再面对业务本身,安全保障也从面向业务发 展到面向服务
示例: 一、http://.../showdetail.asp?id=49 ;and (select top 1 len(username) from …)>0 二、 POST / HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6) Gecko/20050225 Firefox/1.0.1 Content-Type: application/x-www-form-urlencoded Content-Length: 40 Connection: Keep-Alive name=Professional%20Ajax&publisher=Wiley ……
业务监控系统 数据库审计系统
Web应用防火墙
内网用户区域
网页防篡改 系统
蓝盾股份 300297
Content
目录
1. DDOS攻击与防御 2. 防范体系 3. 产品建议
如果让您选产品,您可以怎么选
蓝盾股份 300297
Web应用防护产品
蓝盾股份 300297
HTTP/HTTPS
网络数据处理
① HTTP请求动作,get/post… ② HTTP请求内容,xml/Jason… ③ HTTP协议版本 ④ HTTP头字段、内容、长度,via/cookie… ⑤…
敏感信息过滤
敏感信息的检查和过滤,防止网站上存在不良信息,防止数据等内容的泄露
安全技术服务——风险评估
蓝盾股份 300297
制定项目制计定划项与目培计训划与培训 收集资料收集资料 风险分析风险分析
形成评估形报成告评估报告 项目跟踪项目跟踪
风险评估过程
资产识资别产识别 弱点分弱析点分析威胁分威析胁分析 与赋值与赋值
已有控已制有措控施制分措析施分析 可能性可及能影性响及分影析响分析
Contents 1 Historical 2 By language 2.1 Multi-language 2.2 .NET 2.3 ActionScript 2.4 Ada 2.5 C/C++ 2.6 Java 2.7 JavaScript 2.8 Objective-C 2.9 Packaging 2.10 Perl 2.11 Puppet 2.12 Python 3 Formal methods tools 4 See also 5 References 6 External links
代码安全审计
蓝盾股份 300297
软件安全(software safety)是指软件在系统中运行而不至于在系统工作 中造成不可接受的风险的能力,如人身伤亡、设备损坏、财产重大损失、严 重污染环境等
漏洞=可利用的缺陷
一些事实:
“任何软件,不论它看起来是多么安全,其中都隐藏漏洞” 软件的重要性和危害性,取决于应用环境 “技术手段”比“软件安全工程”更有效
代码安全审计
蓝盾股份 300297
代码审核(审计)的必要性
• 所有的软件项目有一个共同的工件—源代码 • 大量的安全问题都是由可以在代码中发现的简单缺陷引起的,例如缓冲
区溢出漏洞与SQL注入漏洞 • 代码审核就是为了查找和修复存在于源代码中的缺陷 • 代码审核可以手工审核或者使用静态分析工具进行审核 • 静态分析工具审核速度快,并不需要操作人员具有丰富的安全专业知识
内容 Windows/AIX/BSD/openSUSE系统安全加固
说明
Solaris/红旗Linux/Unix系统安全加固 Redhat/Centos/Debian系统安全加固 SQLite/PostgreSQL安全加固 Sqlserver/Mysql/Oracle安全加固 Sybase/Informix/DB2安全加固 Tomcat/Weblogic/IIS安全加固 Nginx/lighttpd/其它安全加固
代码安全审计
蓝盾股份 300297
我们的应用系统可能存在什么问题(常见的25个最危险的编程错误)—— 或系组件间不安全的交互:这些缺陷与数据在单独的组件、模块、程序、进程、线 程或系统之间不安全发送和接受方法有关。
CWE-20:不适当的输入验证 ; CWE-116:不正确的编码或输出转义; CWE-89:SQL查询结构保护失败(又名“ SQL注入”) ; CWE-79:网页结构保护失败(又名“跨站脚本攻击”) ; CWE-78:操作系统命令结构保护失败; CWE-319:明文传输的敏感信息; CWE-352:伪造跨站请求(CSRF); CWE-362:竞争条件 ; CWE-209:错误消息的信息泄漏。
防护引擎 防护规则
① 文件请求,html/jpg/js/css… ② 文件上传 ③ 参数输入,?/alert<… ④ Sql指令,select… ⑤ ※行业特定的数据表达规范(PCI?) ⑥ 处理还原、编码问题 ⑦…
HTTP/HTTPS
网络数据处理
① 返回正常数据 ② 返回错误重定向 ③ 返回虚假信息
保证电脑的物理安全以及通过密码(主要是序 列密码)解决通信安全的保密问题
安全防护产品
重要的安全防护产品集合
① Web应用防火墙 ② 网页防篡改系统 ③ 业务监控系统 ④ 数据库审计系统 ⑤ 网站安全监测平台 ⑥ 安全漏洞扫描 ⑦ ……
Internet
DMZ
BD-BSM业务 监控系统
内网业务服务区域
蓝盾股份 300297
典型的防范体系可以包括哪些内容
防范体系的层次
蓝盾股份 300297
基于安全审计的防范
从核心层面确保应用系统的安全性,效果显著、成 本高,是一项系统工程
基于安全服务的防范
动态的安全防范,加强专业人员的投入,提高分析、 对抗、持续提升的能力
基于安全产品的防范
费时、费力,效果不佳,们的应用系统可能存在什么问题(常见的25个最危险的编程错误)—— 或系可穿透的防范措施:这一类缺点与防御技术的经常误用、滥用,或彻底忽略有 关。
CWE-285:不正确的访问控制(授权) ; CWE-327:使用一个被攻破的或危险的加密算法 ; CWE-259:硬编码的密码; CWE-732:对关键资源的使用权限不安全的分配 ; CWE-330:使用不够有效的随机值 ; CWE-250:给予没有必要的权限; CWE-602:服务器端的安全由客户端实施。
采用访谈、问卷调查、文档审计等多种方式评估客户单位在信 息安全管理方面的现状情况,并提供相应的改善建议
安全评估 扫描评估
对客户信息系统进行脆弱性扫描检测,检测对象包括服务器、 网络设备、网站等
渗透评估 人工评估 代码审计
通过模拟黑客入侵、攻击的方式,对客户单位的网络信息系统 进行抗入侵攻击能力测试,及早发现重大安全隐患。
评估内容包括:系统安全配置、补丁更新情况、日志审核策略、 受入侵迹象、恶意软件清除等 从安全的角度对整个代码质量进行审计,找出应用系统的安全 隐患,并给出相应的安全报告和修复方法,从而提高客户应用 系统的安全性
安全技术服务——安全加固
蓝盾股份 300297
服务类别
序号
操作系统类
安全加固 数据库类
应用类 设备类
代码安全审计
蓝盾股份 300297
安全需求
滥用案例
风险分析
基于风险的 安全测试
代码审核 (工具)
渗透测试
风险分析
安全操作
需求和 使用案例
体系结构 和设计
测试计划
代码
测试和 测试结果
从应用领 域的反馈
Gary McGraw:软件安全接触点(最优化方法)
代码安全审计——源代码审计工具
蓝盾股份 300297
/wiki/List _of_tools_for_static_code_analysi s
该网址收录了目前基本上所有的 静态代码分析工具,其中(HP) Fortify对软件安全方面的分析较 好。
① Checkmarx CxEnterprise
② IBM AppScan ③ Fortify SCA ④ FindBugs
网络渗透攻击及防御
2016年4月28日星期四
Content
目录
1. DDOS攻击与防御 2. 防范体系 3. 产品建议
蓝盾股份 300297
网络攻击的拓展话题——DDOS,更暴力的攻击术
DDOS攻击与防御
蓝盾股份 300297
被誉为“攻击中的核武器”
① DDOS攻击的流量可以有多大?
② 我们终端客户可以防御多大流量的 攻击?
结合客户单 位的实际业 务需要,对 网络设备、 安全设备、 重点服务器 的操作系统 和应用服务 进行适度安 全配置加固 和安全优化。
网络设备安全加固
安全技术服务——应急响应
蓝盾股份 300297
信息安 全应急
响应
安全技术服务——运维服务
蓝盾股份 300297
蓝盾股份 300297
安全防护产品——防范体系理念的演进
(Common Weakness Enumeration CWE)是由美国国家安全局首先倡议的战略行动。
代码安全审计
蓝盾股份 300297
我们的应用系统可能存在什么问题(常见的25个最危险的编程错误)—— 或系危险的资源管理:此类缺陷与软件没有妥善管理创造、使用、转让或取消重要 的系统资源有关。
CWE-119:对内存缓冲区边界操作限制失败; CWE-642:外部控制的临界状态数据; CWE-73:外部控制的文件名或路径; CWE-426:不可信的搜索路径; CWE-94:代码生成控制失败(又名“代码注入” ) ; CWE-494:下载的代码未进行完整性检查 ; CWE-404:资源关闭或释放不正确; CWE-665:不正确的初始化; CWE-682:不正确的运算(如出现整数溢出等错误)。
DDOS攻击与防御
蓝盾股份 300297
① 技术型:Syn-flood、ICMP-flood、UDP-flood…… ② 放大(反射)型:NTP、Chargen、SSDP、DNS、RPC portmap…… ③ 消耗型:CC攻击,向目标发起大量真实的http请求,最终消耗掉大量的
并发资源 ④ 分布式:适用于以上所有 ⑤ ……
安全产品防范体 系理念的演进
计算机安全时期
信息安全保障时期
网络安全时期
通信安全时期
安全的关注已经逐渐扩展为以保密性、 完整性和可用性为目标的信息安全阶段
二、面向业务的安全保障
1. 从业务的生命周期入手,对业务流程进行分析,找出流程中的关键控 制点,从安全事件出现的前、中、后三个阶段进行安全保障
2. 把安全保障分为防护技术、监控手段、审计威慑三个部分 3. 安全保障理念从被动走向主动
规则库,正则表达式 ① 溢出攻击 ② Sql注入 ③ 木马病毒 ④ 跨站脚本 ⑤ 信息泄露 ⑥…
策略库 ① 白名单(IP/目录/网页/搜索引擎…) ② 访问控制ACL等表达式 ③ 攻击时序 ④…
Web应用防护产品
WEB攻击防护(攻击规则库)
实时识别和防护,例如SQL注入、XSS跨站脚本、代码注入、会话劫持、跨站请 求伪造、网站挂马、恶意文件执行、非法目录遍历等
评估结果管理
目标
风险识别 机制
风险防范 机制
风险控制 机制
制度、组织、人员 职能、流程、服务和技术手段
风险评估管理
安全技术服务——风险评估
蓝盾股份 300297
网络评估 管理评估
评估客户单位网络架构设计的合理性和安全性,包括安全域划 分、Vlan控制、路由设计、网络访问控制、安全审计措施等, 对于网络架构中可能存在的各种安全隐患给出相应的安全改造 技术建议
DDOS攻击与防御
蓝盾股份 300297
① 终端客户的防御设备,适用于技术型的攻击 ② IDC提供的防护,专用的流量清洗设备 ③ 其他抗DDOS攻击的服务商,使用智能DNS或CDN方案的云
DDOS防御 ④ 电信运营商提供的防护,近源清洗的强力抗DDOS ⑤ ……
Content
目录
1. DDOS攻击与防御 2. 防范体系 3. 产品建议
衍生为诸如可控性、抗抵赖性、真实性 等其他的原则和目标
一、面对信息的安全保障
以风险分析为前提,被动式。找到系统的“漏 洞”,分析漏洞带来的威胁,评估堵上漏洞的 成本,再“合理”地堵上“致命”漏洞
三、面向服务的安全保障
1. 单个业务的安全保障需求演变为多个业务交叉系统 的综合安全需求
2. 安全不再面对业务本身,安全保障也从面向业务发 展到面向服务
示例: 一、http://.../showdetail.asp?id=49 ;and (select top 1 len(username) from …)>0 二、 POST / HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6) Gecko/20050225 Firefox/1.0.1 Content-Type: application/x-www-form-urlencoded Content-Length: 40 Connection: Keep-Alive name=Professional%20Ajax&publisher=Wiley ……
业务监控系统 数据库审计系统
Web应用防火墙
内网用户区域
网页防篡改 系统
蓝盾股份 300297
Content
目录
1. DDOS攻击与防御 2. 防范体系 3. 产品建议
如果让您选产品,您可以怎么选
蓝盾股份 300297
Web应用防护产品
蓝盾股份 300297
HTTP/HTTPS
网络数据处理
① HTTP请求动作,get/post… ② HTTP请求内容,xml/Jason… ③ HTTP协议版本 ④ HTTP头字段、内容、长度,via/cookie… ⑤…
敏感信息过滤
敏感信息的检查和过滤,防止网站上存在不良信息,防止数据等内容的泄露
安全技术服务——风险评估
蓝盾股份 300297
制定项目制计定划项与目培计训划与培训 收集资料收集资料 风险分析风险分析
形成评估形报成告评估报告 项目跟踪项目跟踪
风险评估过程
资产识资别产识别 弱点分弱析点分析威胁分威析胁分析 与赋值与赋值
已有控已制有措控施制分措析施分析 可能性可及能影性响及分影析响分析
Contents 1 Historical 2 By language 2.1 Multi-language 2.2 .NET 2.3 ActionScript 2.4 Ada 2.5 C/C++ 2.6 Java 2.7 JavaScript 2.8 Objective-C 2.9 Packaging 2.10 Perl 2.11 Puppet 2.12 Python 3 Formal methods tools 4 See also 5 References 6 External links
代码安全审计
蓝盾股份 300297
软件安全(software safety)是指软件在系统中运行而不至于在系统工作 中造成不可接受的风险的能力,如人身伤亡、设备损坏、财产重大损失、严 重污染环境等
漏洞=可利用的缺陷
一些事实:
“任何软件,不论它看起来是多么安全,其中都隐藏漏洞” 软件的重要性和危害性,取决于应用环境 “技术手段”比“软件安全工程”更有效
代码安全审计
蓝盾股份 300297
代码审核(审计)的必要性
• 所有的软件项目有一个共同的工件—源代码 • 大量的安全问题都是由可以在代码中发现的简单缺陷引起的,例如缓冲
区溢出漏洞与SQL注入漏洞 • 代码审核就是为了查找和修复存在于源代码中的缺陷 • 代码审核可以手工审核或者使用静态分析工具进行审核 • 静态分析工具审核速度快,并不需要操作人员具有丰富的安全专业知识
内容 Windows/AIX/BSD/openSUSE系统安全加固
说明
Solaris/红旗Linux/Unix系统安全加固 Redhat/Centos/Debian系统安全加固 SQLite/PostgreSQL安全加固 Sqlserver/Mysql/Oracle安全加固 Sybase/Informix/DB2安全加固 Tomcat/Weblogic/IIS安全加固 Nginx/lighttpd/其它安全加固
代码安全审计
蓝盾股份 300297
我们的应用系统可能存在什么问题(常见的25个最危险的编程错误)—— 或系组件间不安全的交互:这些缺陷与数据在单独的组件、模块、程序、进程、线 程或系统之间不安全发送和接受方法有关。
CWE-20:不适当的输入验证 ; CWE-116:不正确的编码或输出转义; CWE-89:SQL查询结构保护失败(又名“ SQL注入”) ; CWE-79:网页结构保护失败(又名“跨站脚本攻击”) ; CWE-78:操作系统命令结构保护失败; CWE-319:明文传输的敏感信息; CWE-352:伪造跨站请求(CSRF); CWE-362:竞争条件 ; CWE-209:错误消息的信息泄漏。
防护引擎 防护规则
① 文件请求,html/jpg/js/css… ② 文件上传 ③ 参数输入,?/alert<… ④ Sql指令,select… ⑤ ※行业特定的数据表达规范(PCI?) ⑥ 处理还原、编码问题 ⑦…
HTTP/HTTPS
网络数据处理
① 返回正常数据 ② 返回错误重定向 ③ 返回虚假信息
保证电脑的物理安全以及通过密码(主要是序 列密码)解决通信安全的保密问题
安全防护产品
重要的安全防护产品集合
① Web应用防火墙 ② 网页防篡改系统 ③ 业务监控系统 ④ 数据库审计系统 ⑤ 网站安全监测平台 ⑥ 安全漏洞扫描 ⑦ ……
Internet
DMZ
BD-BSM业务 监控系统
内网业务服务区域
蓝盾股份 300297
典型的防范体系可以包括哪些内容
防范体系的层次
蓝盾股份 300297
基于安全审计的防范
从核心层面确保应用系统的安全性,效果显著、成 本高,是一项系统工程
基于安全服务的防范
动态的安全防范,加强专业人员的投入,提高分析、 对抗、持续提升的能力
基于安全产品的防范
费时、费力,效果不佳,们的应用系统可能存在什么问题(常见的25个最危险的编程错误)—— 或系可穿透的防范措施:这一类缺点与防御技术的经常误用、滥用,或彻底忽略有 关。
CWE-285:不正确的访问控制(授权) ; CWE-327:使用一个被攻破的或危险的加密算法 ; CWE-259:硬编码的密码; CWE-732:对关键资源的使用权限不安全的分配 ; CWE-330:使用不够有效的随机值 ; CWE-250:给予没有必要的权限; CWE-602:服务器端的安全由客户端实施。
采用访谈、问卷调查、文档审计等多种方式评估客户单位在信 息安全管理方面的现状情况,并提供相应的改善建议
安全评估 扫描评估
对客户信息系统进行脆弱性扫描检测,检测对象包括服务器、 网络设备、网站等
渗透评估 人工评估 代码审计
通过模拟黑客入侵、攻击的方式,对客户单位的网络信息系统 进行抗入侵攻击能力测试,及早发现重大安全隐患。
评估内容包括:系统安全配置、补丁更新情况、日志审核策略、 受入侵迹象、恶意软件清除等 从安全的角度对整个代码质量进行审计,找出应用系统的安全 隐患,并给出相应的安全报告和修复方法,从而提高客户应用 系统的安全性
安全技术服务——安全加固
蓝盾股份 300297
服务类别
序号
操作系统类
安全加固 数据库类
应用类 设备类
代码安全审计
蓝盾股份 300297
安全需求
滥用案例
风险分析
基于风险的 安全测试
代码审核 (工具)
渗透测试
风险分析
安全操作
需求和 使用案例
体系结构 和设计
测试计划
代码
测试和 测试结果
从应用领 域的反馈
Gary McGraw:软件安全接触点(最优化方法)
代码安全审计——源代码审计工具
蓝盾股份 300297
/wiki/List _of_tools_for_static_code_analysi s
该网址收录了目前基本上所有的 静态代码分析工具,其中(HP) Fortify对软件安全方面的分析较 好。
① Checkmarx CxEnterprise
② IBM AppScan ③ Fortify SCA ④ FindBugs
网络渗透攻击及防御
2016年4月28日星期四
Content
目录
1. DDOS攻击与防御 2. 防范体系 3. 产品建议
蓝盾股份 300297
网络攻击的拓展话题——DDOS,更暴力的攻击术
DDOS攻击与防御
蓝盾股份 300297
被誉为“攻击中的核武器”
① DDOS攻击的流量可以有多大?
② 我们终端客户可以防御多大流量的 攻击?
结合客户单 位的实际业 务需要,对 网络设备、 安全设备、 重点服务器 的操作系统 和应用服务 进行适度安 全配置加固 和安全优化。
网络设备安全加固
安全技术服务——应急响应
蓝盾股份 300297
信息安 全应急
响应
安全技术服务——运维服务
蓝盾股份 300297
蓝盾股份 300297
安全防护产品——防范体系理念的演进
(Common Weakness Enumeration CWE)是由美国国家安全局首先倡议的战略行动。
代码安全审计
蓝盾股份 300297
我们的应用系统可能存在什么问题(常见的25个最危险的编程错误)—— 或系危险的资源管理:此类缺陷与软件没有妥善管理创造、使用、转让或取消重要 的系统资源有关。
CWE-119:对内存缓冲区边界操作限制失败; CWE-642:外部控制的临界状态数据; CWE-73:外部控制的文件名或路径; CWE-426:不可信的搜索路径; CWE-94:代码生成控制失败(又名“代码注入” ) ; CWE-494:下载的代码未进行完整性检查 ; CWE-404:资源关闭或释放不正确; CWE-665:不正确的初始化; CWE-682:不正确的运算(如出现整数溢出等错误)。
DDOS攻击与防御
蓝盾股份 300297
① 技术型:Syn-flood、ICMP-flood、UDP-flood…… ② 放大(反射)型:NTP、Chargen、SSDP、DNS、RPC portmap…… ③ 消耗型:CC攻击,向目标发起大量真实的http请求,最终消耗掉大量的
并发资源 ④ 分布式:适用于以上所有 ⑤ ……
安全产品防范体 系理念的演进
计算机安全时期
信息安全保障时期
网络安全时期
通信安全时期
安全的关注已经逐渐扩展为以保密性、 完整性和可用性为目标的信息安全阶段
二、面向业务的安全保障
1. 从业务的生命周期入手,对业务流程进行分析,找出流程中的关键控 制点,从安全事件出现的前、中、后三个阶段进行安全保障
2. 把安全保障分为防护技术、监控手段、审计威慑三个部分 3. 安全保障理念从被动走向主动
规则库,正则表达式 ① 溢出攻击 ② Sql注入 ③ 木马病毒 ④ 跨站脚本 ⑤ 信息泄露 ⑥…
策略库 ① 白名单(IP/目录/网页/搜索引擎…) ② 访问控制ACL等表达式 ③ 攻击时序 ④…
Web应用防护产品
WEB攻击防护(攻击规则库)
实时识别和防护,例如SQL注入、XSS跨站脚本、代码注入、会话劫持、跨站请 求伪造、网站挂马、恶意文件执行、非法目录遍历等