近期安全威胁的发展动向和技术应对措施.ppt

《近期安全威胁的发展动向和技术应对措施.ppt》由会员分享，可在线阅读，更多相关《近期安全威胁的发展动向和技术应对措施.ppt（34页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、近期安全威胁的发展近期安全威胁的发展动向和技术应对措施动向和技术应对措施威胁目前的几大严重威胁垃圾邮件DDoSPhishing蠕虫时代变迁类型：多数病毒，少数木马行为：明显破坏行为或引人注意的特征目的：恶作剧或故意破坏成果：获得“成就感”类型：大部分是潜伏的恶意代码行为：力求不被注意目的：信息窃取、远程控制成果：获取经济利益危害程度监听篡改广告软件蠕虫间谍软件木马后门病毒Bot主动传播可控图例快速增长恶意代码的财富之道僵尸网络(Zombie network，botnet)按时段出租散布垃圾邮件执行DDoS攻击广告软件（Adware）按点击率计价身份窃取信用卡和银行信息获取间谍行为2005年某月

2、恶意代码流行度Mytob和ZotobMytob基于Mydoom源代码，通过电子邮件传播也可以通过LSASS漏洞传播具有Bot的功能Mydoom+tob（bot逆序）Zotob利用五天前公布的系统严重漏洞（Windows Plug and Play 服务漏洞(MS05-039)）具有Bot的功能恶意Bot的功能和特点 安装、运行文件 简单的DoS攻击 创建后门程序 创建代理程序 转发邮件 键盘记录 获取口令、信用卡号码及其他信息 个别会停止个人防火墙、防病毒软件等安全软件的进程 一般会加壳自保护 升级到新版本恶意Bot的传播途径攻击手段弱口令和弱口令网络共享其它恶意代码留下的漏洞攻击漏洞并将Bo

3、t植入利用Worm自动化攻击和植入过程社会工程欺骗用户访问恶意网站特洛伊木马：P2P网络恶意共享软件欺骗性邮件即时通讯网络Botnet的用途 DDoS攻击 垃圾邮件 扫描、攻击，建立新的BotnetIRC服务器IRC服务器BOTBOTBOTBOTBOTBOTBOTBOTBOT攻击者受害者DHA攻击和垃圾邮件网络欺诈的过程网络欺诈价值链防范主要威胁途径HTTPE-mailIM/P2P/IRCWindows漏洞攻击防范措施主要技术防范手段网关恶意代码和攻击的防范邮件安全垃圾邮件病毒邮件欺诈邮件策略管理终端的安全管理防病毒/防间谍软件/终端防火墙补丁管理终端应用监管和审计注意：双向防范对网络外部的网

4、络连接和信息传递终端计算机的行为监控冠群金辰威胁控制传染病控制理论模型网关安全隔离双向隔离隔离通过HTTP、邮件以及其它协议的内容威胁隔离蠕虫动态攻击和传播邮件安全防御三向隔离降低电子邮件系统可能引入的风险终端安全管理支持终端生命周期管理策略的实现安全服务传染病控制理论模型传染源传染源易感人群易感人群传播途径传播途径影响影响成为成为防治原则：防治原则：控制传染源控制传染源切断传播途径切断传播途径保护易感人群保护易感人群防治措施：防治措施：预防为主，防治结合预防为主，防治结合综合措施，群防群治综合措施，群防群治加强监测，制止疫情加强监测，制止疫情隔隔离离，治治疗疗预防预防参考模型的应用网络网络客

5、户端客户端服务器服务器互联网网络边界网络边界网络边界网络边界KILL主机入侵检测系统KILL入侵检测系统KILL漏洞扫描器KILL VDSKILL防火墙KILL过滤网关KILL防病毒系统KSMS反间谍软件1.切断传播途径切断传播途径2.监控传染源监控传染源3.保护易感人群保护易感人群KILL过滤网关（KSG）预防外部威胁保护内部网络保护内部网络保护关键网段保护关键网段DNS服务器邮件服务器内部服务器KSGKSGINTERNETINTERNETKSGKSG业务服务器业务服务器文件服务器内部网内部网INTERNETINTERNETKILL过滤网关（KSG）内部网络安全隔离Cell-based安全防

6、御体系安全防御体系WEB服务器业务服务器邮件服务器关键网络关键网络办公网络办公网络KSGKSG隔离隔离KSG:领先的蠕虫过滤技术IntranetIntranetInternetInternetWormKSGKSGWorm 蠕虫代码传播蠕虫代码传播（SMTP,POP3,HTTP,FTP）蠕虫动态攻击蠕虫动态攻击 （数据包）（数据包）过滤！过滤！过滤！过滤！阻断！阻断！阻断！阻断！Trojan 蠕虫种植的蠕虫种植的 木马活动木马活动阻止！阻止！阻止！阻止！蠕虫特征码蠕虫特征码入侵阻断特征码入侵阻断特征码KSG-M：专业邮件安全网关KSG-M是一款专业的邮件安全设备，具有强大的反垃圾邮件、反病毒邮件

7、、防欺诈以及策略监管和依从性保障功能，适用于保护各种规模组织的电子邮件基础设施KSG-M能够有效帮助用户降低电子邮件系统管理负担、有效保障邮件系统投资，降低电子邮件系统可能引入的风险KSG-M终端生命周期管理Endpoint Lifecycle Management（ELM）终端生命周期(Endpoint Lifecycle)的定义：当计算机终端加入组织机构后，就开始了其生命周期，直到其业务使命终止。终端对信息的存储、处理、传输过程代表了其生命活动。由于业务需要，这台终端可能会接入不同的网络环境中，包括独立运行。终端生命周期管理（Endpoint Lifecycle Management,EL

8、M）是在计算机终端的全生命周期中，将计算机终端的安全、管理和维护工作同其业务目标相结合，并保障计算机终端持续有效运行的一种策略。终端生命周期管理Endpoint Lifecycle Management（ELM）业务业务目标目标资产管理终端保护应用监管审计分析ELM理论：理论：终端的使命是完成企业的业务目标 业务目标分解后形成每台终端的业务目的 当一台终端加入网络，就开始了其生命周期 终端的软硬件资产需要管理 终端需要被保护不受外来的干扰 终端的具体业务目的决定其行为模式 完善的审计制度是落实策略的保障、并且构成闭环反馈KSMS介绍主要模块主要模块功能描述功能描述资产管理1.设备管理（收集设备

9、信息及变更情况）2.软件管理（收集软件安装及变更情况）3.用户管理（标识终端用户、IP/MAC/硬件绑定）终端保护1.基础架构保护 a)终端访问控制（避免黑客攻击和非法网络访问）b)网络准入（网络准入控制，防止未经授权电脑接入内部网络）c)保护的扩展：KILL防病毒；防间谍2.资产保护 设备使用控制（USB、磁盘、打印机、网卡等设备使用控制）应用监管1.程序限制（网络程序、应用程序限制）2.远程协作（屏幕监视、远程维护）3.Web/IM限制（Web访问、QQ聊天、游戏等限制）审计分析1.管理审计2.用户审计3.策略审计信息安全保障体系建设方法论信息安全保障体系建设方法论用户/事件源运作支持部门内部信息安全事件响应小组业务部门及外部相关组织准备阶段安全事件检测汇报信息收集一次评估真实？二次评估真实？检测分析阶段抑制根除和恢复阶段误报鉴证分析沟通交流事件是否可控？根除恢复抑制后续响应立即响应启动紧急处理流程事后活动阶段紧急处理活动否是是否否是否是总结改进时间