网络安全防御与应急响应
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
右键磁盘→属性→工具→开始检查 直接进行 计划磁盘→重启机器
• 随时修补系统和文件的漏洞。 • 备份必要的系统和文件。 • 查看是否有可疑的事件。
异常情况 • • • • • • • • • 登陆失败。(系统、邮箱、QQ、MSN) 缺省账号登陆,出现不是由管理员创建的账号。 出现不熟悉的重复的文件或程序,或无法删除。 Web浏览器主页或其他页面被修改。 网络速度变慢或一些莫名其妙的网络连接。 系统中出现色情图片。 系统性能变慢。 系统莫名其妙的死机。 系统崩溃。
中毒了怎么办!
第二阶段——检测
• 确定事件的性质 – 误会?玩笑?还是恶意的攻击或入侵? – 影响的严重程度 – 预计采用什么样的专用资源来修复? • 查询。 • 查杀毒前,备份重要的数据文件。 • 运行一些工具进行检查。
第三阶段——抑制
• 即时采取的行动
– 防止进一步的损失,确定后果 – 确定适当的封锁方法 – 咨询 – 确定进一步操作的风险 – 损失最小化 – 可列出若干选项和可行方案,评估各自的风 险
ቤተ መጻሕፍቲ ባይዱ
网络安全防御与应急 是一个永恒的工程;只有 开始、没有结束。 让我们共同携手,为 建设安全和谐的校园网络 而共同努力!
剧 终
出品申告
所有版权 归XX
XX科技学院经济管理系XXXX班XX号
谢谢! 谢谢!
2013-7-4
入侵检测 D
• 了解风险、明确政策、积极防御、及时发现、快 速响应、确保恢复 • 隐患险于明火、防患胜于救灾、责任重于泰山
CNCERT/CC
专业网络应急人员的基本素质
• 基本的专业知识,最好拥有专门的 认证。 • 超强的学习能力,跟上网络安全事 件发展。 • 良好的沟通交流能力。 • 丰富的事件处理、分析、调查经验 。 • 撰写规范的事件处理报告的能力。
• 安全管理、入侵检测、安全体系结构、PKI
校园网络安全防御与应急体系
教学区网络
核心交换机
部门一 VLAN 部门二 VLAN
防火墙 路由器
internet
应用层
日志 审计
身份 认证
网络防 病毒
垃圾邮 件过滤
入侵检测系统
办公区网络
传输层
IP和MAC地址绑定
DMZ区
宿舍区网络
网络层
日志审计 认证 网络防病毒 服务器 服务器 服务器
B(Server) IP: 211.71.232.65 MAC: CCCCCC
A ALL : Who has IP 192.168.1.1? B A : My MAC address is BBBBBB , ip=192.168.1.1
木马防火墙→开启ARP防火墙
设置ARP防火墙
第五阶段——恢复
话 说 天 下 大 势
合 久 必 分 , 分 久 必 合
倒计时:
99999 88888 77777 66666 55555 44444 33333 22222 11111 00000 00000
2013-7-4
奉天承运 皇帝诏曰:
特招X 作为本次演说 员。 X 钦此!
网络安全防御与应急响应
篇幅一
安全是一个动态的过程
• “动态”的问题:
– 网络和系统的组成和变化(结构、地址、甚至操作系统 ) – 应用的变化(内部应用的增加或者减少) – 用户的变化(用户的群体和个体行为属性的变化) – 外界威胁的变化(新的漏洞、新的攻击方法 etc.)
• 安全不是一个静止的“状态”,而是一个动态的过 程。
网络安全应急组织基础
• 计算机安全事件响应小组
–CSIRT: Computer Security Incident Response Team
– 负责在确定的组织范围内,执行、协调、支
持对计算机实践做出响应的小组
• CCERT、CNCERT/CC…
CERNET 计算机安全应急响应组(CCERT)
━执行攻击
━监测攻击 ━分析恶意代码 ━控制传播Propagation Control ━发布补丁和工具 ━恢复被入侵系统 ━升级/调整/评估
Handling the Incident
预防 Preparation
检测 Identification
跟踪 Follow up Analysis
事件 响应
后勤网络
邮件 服务器
防火墙 入侵检测系统 内网包 过滤
网络中心
链路层与物 理层
设备备份 物理隔离 数据备份 服务备份 VLAN
数据备份
物理隔离专网
秘 籍
欲练此功,必先自宫 就算自宫,未必成功 不必自宫,也能成功
一般入侵步骤
道高?魔高?
攻击者
– 发现漏洞 – 编写攻击代码
━(测试)
VS
防御者
– – – – – 发现漏洞 发布消息 开发补丁程序 发布补丁 风险检查
最后由自己决择!
• • • • • • •
完全关闭系统。 从网络上断开。 修改所有防火墙和路由器规则。 封锁或删除被攻破的登陆账号。 提高系统或网络行为的监控级别。 关闭服务。 反击攻击者的系统。
第四阶段——根除
实战
(1)实战特洛伊木马
(2)实战ARP攻击
实战特洛伊木马
一、传播途径 软件下载和E-mail 二、识别方法
网络安全应急工作现状
用户
网络安全应急工作现状
学校 社会
用
户
学 校
•
我院于2000年投资198万元进行了校园网一期建设, 采用了Cisco设备,网络结点为500个。2007年,我院投 资173万元进行了校园网的二期建设,采用了锐捷万兆双 核心结构,网络结点达到了1500个。2009年,按照院领 导对全院进行上网认证计费的指示,我院投资230万元进 行了三期校园建设,铺设近10公里的光纤、对9栋学生楼 进行了网络布线,使我院网络结点数达到了3500个,完全 覆盖了全院所有办公和生活区域。本次网络建设采用目前 最为先进的3核心万兆环结构,购置了流量控制器、计费 系统、IP地址管理系统、网络出口负载均衡设备并升级了 防火墙,配置了IPV6系统,在必要的时候可以接入第二代 互联网。增加了100M联通出口,使我院总出口带宽达到 了195M。通过三期校园网建设,我院的校园网已能基本 上满足我院师生员工教学科研及生产生活的需要。
① 看图标 ②文件大小 ③打开后的反应
三、删除
ARP攻击
ARP 攻击
192.168.1.0/24
192.168.1.1 211.71.232.1 Router
A(Users) IP: 192.168.1.10 MAC: AAAAAA
C(Attacker) IP: 192.168.1.20 MAC: BBBBBB
社 会
2009年网络安全十大影响事件 之前五名
篇幅二
应急组织、策略和方法
正确理解应急响应
什么是网络应急响应
调查:我们有多少人知道网络应急响应? 多少人知道CERT/CSIRT?
应急处理实际上是网络安全保障“工 作”的具体体现。各种防护方案、安全设 施、策略规定等,广义上都可以理解为应 急处理工作的一部分。而完整的应急处理 工作的各个阶段,则体现了网络安全保障 的不间断的“过程”。
——灾后重建工作
• 被攻击的系统由备份来恢复
–作一个新的备份 –把所有安全上的变更作备份 –服务重新上线
第六阶段——跟踪
• 系统恢复以后的安全状况,特别 是曾经出问题的地方 • 建立跟踪文档,规范记录跟踪结 果 • 对响应效果给出评估
风险分析 A 恢复与追踪 R 主动防御 P
安全政策 P
应急响应 R AP2DR2
第六阶段:跟踪——还会有第二次吗
第一阶段——准备
• • • • • •
预防为主 建立安全政策 按照安全政策配置安全设备和软件 扫描,风险分析,打补丁 如有条件且得到许可,建立监控设施 应急联络机制 ——CCERT/CC
• • • •
账户和口令。 配备一套完整的安全防护软件并时刻维护。 运行防护软件并定期检查系统。 检查系统文件的完整性。
• http://www.ccert.edu.cn
• CCERT目前主要从事以下服务和研究:
–事件响应: 入侵、垃圾邮件以及邮件炸弹、恶意扫
描和DoS事件处理
– 给站点管理员提供安全建议 – 提供安全信息公告和安全资源
• 反垃圾邮件、禁止扫描的公告 • 操作系统补丁、工具软件
– 网络安全领域的研究,包括
抑制 Containment
恢复 Recovery
根除 Eradication
Incident Response Life Cycle。。
8
事件处理的一般阶段
第一阶段:预防——让我们严阵以待 第二阶段:检测——对情况综合判断 第三阶段:抑制——制止事态的扩大 第四阶段:根除——彻底的补救措施 第五阶段:恢复——备份,顶上去!
• 随时修补系统和文件的漏洞。 • 备份必要的系统和文件。 • 查看是否有可疑的事件。
异常情况 • • • • • • • • • 登陆失败。(系统、邮箱、QQ、MSN) 缺省账号登陆,出现不是由管理员创建的账号。 出现不熟悉的重复的文件或程序,或无法删除。 Web浏览器主页或其他页面被修改。 网络速度变慢或一些莫名其妙的网络连接。 系统中出现色情图片。 系统性能变慢。 系统莫名其妙的死机。 系统崩溃。
中毒了怎么办!
第二阶段——检测
• 确定事件的性质 – 误会?玩笑?还是恶意的攻击或入侵? – 影响的严重程度 – 预计采用什么样的专用资源来修复? • 查询。 • 查杀毒前,备份重要的数据文件。 • 运行一些工具进行检查。
第三阶段——抑制
• 即时采取的行动
– 防止进一步的损失,确定后果 – 确定适当的封锁方法 – 咨询 – 确定进一步操作的风险 – 损失最小化 – 可列出若干选项和可行方案,评估各自的风 险
ቤተ መጻሕፍቲ ባይዱ
网络安全防御与应急 是一个永恒的工程;只有 开始、没有结束。 让我们共同携手,为 建设安全和谐的校园网络 而共同努力!
剧 终
出品申告
所有版权 归XX
XX科技学院经济管理系XXXX班XX号
谢谢! 谢谢!
2013-7-4
入侵检测 D
• 了解风险、明确政策、积极防御、及时发现、快 速响应、确保恢复 • 隐患险于明火、防患胜于救灾、责任重于泰山
CNCERT/CC
专业网络应急人员的基本素质
• 基本的专业知识,最好拥有专门的 认证。 • 超强的学习能力,跟上网络安全事 件发展。 • 良好的沟通交流能力。 • 丰富的事件处理、分析、调查经验 。 • 撰写规范的事件处理报告的能力。
• 安全管理、入侵检测、安全体系结构、PKI
校园网络安全防御与应急体系
教学区网络
核心交换机
部门一 VLAN 部门二 VLAN
防火墙 路由器
internet
应用层
日志 审计
身份 认证
网络防 病毒
垃圾邮 件过滤
入侵检测系统
办公区网络
传输层
IP和MAC地址绑定
DMZ区
宿舍区网络
网络层
日志审计 认证 网络防病毒 服务器 服务器 服务器
B(Server) IP: 211.71.232.65 MAC: CCCCCC
A ALL : Who has IP 192.168.1.1? B A : My MAC address is BBBBBB , ip=192.168.1.1
木马防火墙→开启ARP防火墙
设置ARP防火墙
第五阶段——恢复
话 说 天 下 大 势
合 久 必 分 , 分 久 必 合
倒计时:
99999 88888 77777 66666 55555 44444 33333 22222 11111 00000 00000
2013-7-4
奉天承运 皇帝诏曰:
特招X 作为本次演说 员。 X 钦此!
网络安全防御与应急响应
篇幅一
安全是一个动态的过程
• “动态”的问题:
– 网络和系统的组成和变化(结构、地址、甚至操作系统 ) – 应用的变化(内部应用的增加或者减少) – 用户的变化(用户的群体和个体行为属性的变化) – 外界威胁的变化(新的漏洞、新的攻击方法 etc.)
• 安全不是一个静止的“状态”,而是一个动态的过 程。
网络安全应急组织基础
• 计算机安全事件响应小组
–CSIRT: Computer Security Incident Response Team
– 负责在确定的组织范围内,执行、协调、支
持对计算机实践做出响应的小组
• CCERT、CNCERT/CC…
CERNET 计算机安全应急响应组(CCERT)
━执行攻击
━监测攻击 ━分析恶意代码 ━控制传播Propagation Control ━发布补丁和工具 ━恢复被入侵系统 ━升级/调整/评估
Handling the Incident
预防 Preparation
检测 Identification
跟踪 Follow up Analysis
事件 响应
后勤网络
邮件 服务器
防火墙 入侵检测系统 内网包 过滤
网络中心
链路层与物 理层
设备备份 物理隔离 数据备份 服务备份 VLAN
数据备份
物理隔离专网
秘 籍
欲练此功,必先自宫 就算自宫,未必成功 不必自宫,也能成功
一般入侵步骤
道高?魔高?
攻击者
– 发现漏洞 – 编写攻击代码
━(测试)
VS
防御者
– – – – – 发现漏洞 发布消息 开发补丁程序 发布补丁 风险检查
最后由自己决择!
• • • • • • •
完全关闭系统。 从网络上断开。 修改所有防火墙和路由器规则。 封锁或删除被攻破的登陆账号。 提高系统或网络行为的监控级别。 关闭服务。 反击攻击者的系统。
第四阶段——根除
实战
(1)实战特洛伊木马
(2)实战ARP攻击
实战特洛伊木马
一、传播途径 软件下载和E-mail 二、识别方法
网络安全应急工作现状
用户
网络安全应急工作现状
学校 社会
用
户
学 校
•
我院于2000年投资198万元进行了校园网一期建设, 采用了Cisco设备,网络结点为500个。2007年,我院投 资173万元进行了校园网的二期建设,采用了锐捷万兆双 核心结构,网络结点达到了1500个。2009年,按照院领 导对全院进行上网认证计费的指示,我院投资230万元进 行了三期校园建设,铺设近10公里的光纤、对9栋学生楼 进行了网络布线,使我院网络结点数达到了3500个,完全 覆盖了全院所有办公和生活区域。本次网络建设采用目前 最为先进的3核心万兆环结构,购置了流量控制器、计费 系统、IP地址管理系统、网络出口负载均衡设备并升级了 防火墙,配置了IPV6系统,在必要的时候可以接入第二代 互联网。增加了100M联通出口,使我院总出口带宽达到 了195M。通过三期校园网建设,我院的校园网已能基本 上满足我院师生员工教学科研及生产生活的需要。
① 看图标 ②文件大小 ③打开后的反应
三、删除
ARP攻击
ARP 攻击
192.168.1.0/24
192.168.1.1 211.71.232.1 Router
A(Users) IP: 192.168.1.10 MAC: AAAAAA
C(Attacker) IP: 192.168.1.20 MAC: BBBBBB
社 会
2009年网络安全十大影响事件 之前五名
篇幅二
应急组织、策略和方法
正确理解应急响应
什么是网络应急响应
调查:我们有多少人知道网络应急响应? 多少人知道CERT/CSIRT?
应急处理实际上是网络安全保障“工 作”的具体体现。各种防护方案、安全设 施、策略规定等,广义上都可以理解为应 急处理工作的一部分。而完整的应急处理 工作的各个阶段,则体现了网络安全保障 的不间断的“过程”。
——灾后重建工作
• 被攻击的系统由备份来恢复
–作一个新的备份 –把所有安全上的变更作备份 –服务重新上线
第六阶段——跟踪
• 系统恢复以后的安全状况,特别 是曾经出问题的地方 • 建立跟踪文档,规范记录跟踪结 果 • 对响应效果给出评估
风险分析 A 恢复与追踪 R 主动防御 P
安全政策 P
应急响应 R AP2DR2
第六阶段:跟踪——还会有第二次吗
第一阶段——准备
• • • • • •
预防为主 建立安全政策 按照安全政策配置安全设备和软件 扫描,风险分析,打补丁 如有条件且得到许可,建立监控设施 应急联络机制 ——CCERT/CC
• • • •
账户和口令。 配备一套完整的安全防护软件并时刻维护。 运行防护软件并定期检查系统。 检查系统文件的完整性。
• http://www.ccert.edu.cn
• CCERT目前主要从事以下服务和研究:
–事件响应: 入侵、垃圾邮件以及邮件炸弹、恶意扫
描和DoS事件处理
– 给站点管理员提供安全建议 – 提供安全信息公告和安全资源
• 反垃圾邮件、禁止扫描的公告 • 操作系统补丁、工具软件
– 网络安全领域的研究,包括
抑制 Containment
恢复 Recovery
根除 Eradication
Incident Response Life Cycle。。
8
事件处理的一般阶段
第一阶段:预防——让我们严阵以待 第二阶段:检测——对情况综合判断 第三阶段:抑制——制止事态的扩大 第四阶段:根除——彻底的补救措施 第五阶段:恢复——备份,顶上去!