1.网络安全事件回放、黑客攻击的手段和方法

国内信息安全事件（10年1-2月）
百度被黑 11小时无法正常访问，2010年1月 12 日上午8 点左右，搜索引擎网站百度被发现 无法打开，网站处于无法访问状态。当日中午 11：10左右，百度首次公开证实由于域名在美 国域名在美国域名注册商处被自称为“伊朗网 军”的黑客非法篡改，导致不能正常访问。
问题一：缺乏统一安全体系。例如,在一个系统安全认证种类繁

多，使得后续安全管理工作繁重。 问题二：信息化安全建设缺乏规范操作，常常采取“亡羊补牢 ”，追求表面功夫。

问题三：信息化安全建设的人员众多，安全和易用性特别难平 衡。

问题四：用户信息安全防范意识。例如,选取弱口令，使得从远 程直接控制主机。

以博客、论坛为首的web2.0产品将成为病毒和网络钓鱼的首要 攻击目标

社区网站上带有社会工程学性质的欺骗往往超过安全软件所保护
的范畴

自动邮件发送工具日趋成熟，垃圾邮件制造者正在将目标转向音 频和视频垃圾邮件

安全趋势
7、无线网络、移动手机成为新的安全重灾区，消 费者电子设备遭到攻击的可能性增大

3、网络间谍技术
主要针对的是高价值的目标 袭击经常是通过向个人发送信息的方式来实现的
4、以重大事件或流行事件为诱饵的混合型攻击主要 途径：

利用注有煽动性标题的信息来诱使用户打开恶意邮件 利用新闻、电影等制造虚假链接

安全威胁
5、无线网络、移动手机成为新的安全重灾区，消 费者电子设备遭到攻击的可能性增大 在无线网络中被传输的信息没有加密或者加密 很弱，很容易被窃取、修改和插入，存在较严 重的安全漏洞 手机病毒利用普通短信、彩信、上网浏览、下 载软件与铃声等方式传播，还将攻击范围扩大 到移动网关、WAP服务器或其他的网络设备 越来越多采用USB标准进行连接，并使用了更 多存储设备和电脑外围产品
4. 网页挂马危害继续延续

服务器端系统资源和流量带宽资源大量损失 成为网络木马传播的“帮凶”


客户端的用户个人隐私受到威胁

安全趋势

5、利用应用软件漏洞的攻击将更为迅猛
新的漏洞出现要比设备制造商修补的速度更快
一些嵌入式系统中的漏洞难以修补 零日攻击现象日趋普遍


6、Web2.0的产品将受到挑战

2002年7月17日，涉密人员李某在北京某饭店参加全国某系统内部会议 ，中途出去接电话时，将正在使用的存有机密级工程项目资料的笔记本 电脑随意放在会议室内的座位上。几分钟后 ， 李某打完电话回来，发现 笔记本电脑丢失，造成泄密。


早期的泄密事件
2002年9月，某部委研究室工作人员张某违反计算机保密管理规定擅自
百度被DDoS攻击案例
2010年1月12日晨7时起，网络上开始陆续出现百度出现 无法访问的情况反馈， 12时左右基本恢复正常；18时许 百度发布官方版本公告；对事故原因说明为：“因 www.baidu.com的域名在美国域名注册商处被非法篡改 ，导致全球多处用户不能正常访问百度。” 相关现象 在整个事件期间百度顶级域名baidu.com即旗下全部二级 域名访问都出现异常，在较长的时间全部被解析到位于荷 兰的IP地址188.95.49.6。但通过IP入口（如 http://202.108.22.5/），其他顶级域下的域名入口如 baidu.hk等可以正常访问。 在访问百度过程中先后出现过不同现象： 跳转至伊朗网军（IRANIAN CYBER ARMY）页面； 跳转至雅虎错误页面； 不能正常访问等。

浙江电力系统一位前官员担任一家跨国公司的驻华代表，他利用早前积 累的人脉，获取中国电力系统的重大设备采购底牌，并悉数泄露给外方 ，导致中方蒙受巨大损失，涉案金额高达上百亿元人民币。

2002年3月，某市某区教委为传达文件需要，竟将上级下发的涉密文件 贴在与国际互联网相联的区教育信息网上。经鉴定，其中共3份属机密级 国家秘密，2份属于秘密级国家秘密。
2、扫描：主要用于识别所运行的ping扫描和端口扫描
3、获取访问权限：攻击识别的漏洞，以获取未授权的访问权
限，利用换用缓冲区溢出或暴力攻击破解口令， 4、保持访问权限：上传恶意软件，以确保能够重新进入系统 在系统上安装后门。 5、消除痕迹：抹除恶意活动的痕迹，删除或修改系统和应用 程序日志中的数据。

国内信息安全事件（10年1-2月）

河南：利用网络传播淫秽物品被判刑，2月5 日，河南新乡市延津县人民法院对新乡市首 例利用网络传播淫秽物品案作出一审判决， 被告人肖某等 11 人分别被判处有期徒刑 1 年 至拘役5个月缓刑1年不等。 河南：大量遭拒绝服务攻击，近期针对公共 互联 网的主要网络 攻击是拒绝服务攻击， 2010 年1月有3353个IP地址所对应的主机被 境外通过木马程序秘密控制，有3046个IP地 址对应的主机被僵尸网络控制，被篡改网站 数量70个，感染恶意代码的主机数量为3498 个。

财富的诱惑，使得黑客袭击不再是一种个人兴趣，而是越来越多
的变成一种有组织的、利益驱使的职业犯罪

事例：拒绝服务相关的敲诈勒索和“网络钓鱼”。

安全趋势

黑色产业链

安全趋势

3、恶意软件的转型
我国仍然是恶意软件最多的国家

恶意软件在行为上将有所改观，病毒化特征削弱，但手段更“
高明”，包含更多的钓鱼欺骗元素

上海：窃用他人账户套现 上海一网店店主被 判 7 年，淘宝某店铺声称代人缴费后可打折收 取账单金额，然而店铺卖家用来缴费的却是从 不正当途径取得的他人银行账户内钱款。 1 月 25日，上海一中院做出二审判决，认定网店店 主犯信用卡诈骗罪。
重庆：青年农民办钓鱼网站行骗盗取网购者 5.2万，重庆市潼南县农村青年张某在网上租 来域名和空间，做山寨淘宝、山寨易趣、山 寨腾讯拍拍。通过这些“钓鱼网站”，盗走 网购消费者 5.2 万余元。 1 月 10 日，张某因构 江苏：无锡“ 4G 淫图”手机网站传播淫秽物品牟 成盗窃罪和传授犯罪方法罪，一审被判刑6年 利案依法宣判。2010年2月11日，无锡市惠山区人 。 民法院依法对“ 4G 淫图”手机网站传播淫秽物品 牟利案作出一审判决。该淫秽网站开办者陈柳生被 判处有期徒刑11年。
网络安全事件回放、黑客 攻击的手段和方法


早期的安全事件及分析
2001年5月的中美黑客大战。
2001 年 8 月，“红色代码”蠕虫利用微软 web 服务器 IIS 4.0 或 5.0中index服务的安全缺陷，攻破目的机器，并通过自动扫描感 染方式传播蠕虫，已在互联网上大规模泛滥。 2003 年，“冲击波”蠕虫的破坏力就更大，安全专家 Bruce Schneier撰文分析认为，美国2003年8月份大停电与“冲击波蠕 虫”相关。

信息安全的内涵
进 不 来
拿 不 走
看 不 懂
改 不 了
跑 不 掉
可 审 查
网络安全目前存在的威胁
特洛伊木马
黑客攻击
后门、隐蔽通道
计算机病毒
网络
信息丢失 篡改、销毁 拒绝服务攻击
逻辑炸弹
蠕虫
内部、外部泄密
黑客攻击的一般步骤
黑客攻击的步骤：没有100%的安全
1、踩点：主动或被动的获取信息的情报工作

公安部物证鉴定中心网站被黑客篡改， 2010 年1月2日，公安部物证鉴定中心的中英文网站 遭黑客入侵，网站页面不断被篡改。

女孩设山寨“彩票网”获有期徒刑，因创办“ 中国彩票官方网”，以提供中奖号码为诱饵骗 取彩民入会费 4万余元， 25岁的女孩王某，因 诈骗罪被北京宣武法院判处有期徒刑2年。




早期的泄密事件
互联网泄密


解放军保密委员会通报了3起涉密计算机联接国际互联网被台方攻击窃 密的严重泄密案件：某军区司令部办公室秘书张某，2006年9月以来擅 自将涉密 U 盘带回家中，插入联接国际互联网的计算机，处理涉密信息 ，台方在U盘植入木马程序，窃走8份涉密文件资料。张被处分。 2006年4月初的一天，李福坤正在网上用 QQ聊天，一个自称陈某某的 人突然主动上来和他打招呼 ,随着聊天的深入，他不断引诱李福坤通过关 系帮他提供内部刊物和文件，而且要求的层次越来越高，并许诺按提供 情报资料的价值给予报酬,泄密换来6年刑。
常见的安全攻击方法
黑客攻击的手段和方法
直接获取口令进入系统：网络监听，暴力破解 利用系统自身安全漏洞 特洛伊木马程序：伪装成工具程序或者游戏等诱使用 户打开或下载，然后使用户在无意中激活，导致系统 后门被安装 WWW欺骗：诱使用户访问纂改过的网页 电子邮件攻击：邮件炸弹、邮件欺骗 网络监听：获取明文传输的敏感信息 通过一个节点来攻击其他节点：攻击者控制一台主机 后，经常通过IP欺骗或者主机信任关系来攻击其他节 点以隐蔽其入侵路径和擦除攻击证据 拒绝服务攻击和分布式拒绝服务攻击(DoS 和DDoS)
踩点主要有被动和主动两种方式：
被动方式：嗅探网络数据流、窃听；
主动方式：从whois数据库获得数据，查看网站源代码
社交工程
黑客通常都是通过对某个目标进行有计划、有步骤的踩点
，收集和整理出一份目标站点信息安全现状的完整剖析图
，结合工具的配合使用，来完成对整个目标的详细分析， 找出可下手的地方。


安全趋势

1、集团化、产业化的趋势
产业链：病毒木马编写者－专业盗号人员－销售渠道－专业玩家 病毒不再安于破坏系统，销毁数据，而是更关注财产和隐私。 电子商务成为热点，针对网络银行的攻击也更加明显 2008年病毒会更加紧盯在线交易环节，从早期的虚拟价值盗窃转
Байду номын сангаас


向直接金融犯罪。
2、“黑客”逐渐变成犯罪职业

在载有机密级文件的计算机上安装上网设施，从互联网上下载资料。致 使计算机中有关统战工作的机密级文件被窃取，最后竟出现在某国的网 站上，不仅给国家造成严重损失，而且在国际上也造成了很坏的影响。

河北省石家庄市中国电子科技集团第54研究所爆出惊天间谍案,全军工
行业震动，间谍是两个人，一个是派出所的警察，负责54所去海南试验 的保卫工 作，半路上被人家盯上，遂被策反，然后逐渐拉上了54所为所 领导打扫办公室的20余岁小mm，两人沆瀣一气，从印刷厂、复印室、 内部网上搞到了大量信息。 破案后，安全部长说，这些资料给10000亿 也不卖，几十年来对台电子斗争成果全部打了水漂 ,整个底朝天。此二人 均已伏法。事后 54所被停业整顿，相当长时间被取消了军品研发资格。

商务中国网站DNS服务器遭受非法攻击，1月 15日，商务中国网站DNS服务器遭受非法攻击 ，部分域名解析服务受到影响，网站无法访问 。

央视官网被黑两小时，主页篡改，2010年2月 15 日，中央电视台官方网站间断无法登录， www.cctv.com 主页变成了一欧洲美女子照片 。

入侵网站改成绩被诉系首例“黑客”，北京教 育考试院原工作人员孟某，涉嫌利用木马病毒 程序进入北京教育考试院网上证书查询系统， 篡改全国计算机等级考试成绩，于近日被检方 提起公诉。


在无线网络中被传输的信息没有加密或者加密很弱，很 容易被窃取、修改和插入，存在较严重的安全漏洞

手机病毒利用普通短信、彩信、上网浏览、下载软件与
铃声等方式传播，还将攻击范围扩大到移动网关、
WAP服务器或其他的网络设备

越来越多采用USB标准进行连接，并使用了更多存储设 备和电脑外围产品

企业面临的安全问题


早期的安全事件
笔记本丢失泄密


信息产业部某研究院研究员蔡某擅自携带一台存有军事秘密的涉密笔记 本电脑，到某地参加军工科研会议。由于未采取有效的安全保密措施， 致使涉密笔记本电脑在其所住宾馆内被盗，电脑内存储的重要的国防秘 密失控。 2003年3月上旬，航天科工集团某研究所技术人员王某违反保密管理规 定，私自将 存有涉密信息的笔记本电脑和移动硬盘带回家。几天后，王 某家中失窃，笔记本电脑和移动硬盘被盗，硬盘中存储的1份机密级报告 、2份秘密级资料草稿和4份秘密资 料草稿失控。王某因泄露国家秘密被 给予行政记过处分。


安全威胁

1、针对网络浏览器插件程序的攻击
分布范围广 插件程序的漏洞不随浏览器的更新而自动消失
2、 内部攻击者的威胁


企业内部系统的联系越来越紧密，而且数据的价值也越 来越高 2004年至2006年，内部攻击的比例在8％左右，去年 这个比例是5％，而到了今年已经上升到23％。

安全威胁