常见信息安全事件处理技术
中国建设银行信息技术管理部武汉开发中心
卢振环
肖茂兵
信息系统是金融行业所有业务赖以开展的技术基础,保证信息系统和信息的保密性、完整性、可用性是确保业务持续稳定发展的重要基础。信息系统具有的漏洞和面临的各类威胁不可能在事先完全避免,如果发生了内部或外部对技术的恶意使用行为,就会使金融业务受到严重影响。因此,我们必须了解和掌握针对信息安全事件非授权访问、(包括病毒、DoS攻击)的处理技术,及时响应以尽量减少损失。
(5)配置Web浏览器的安全设置,防止未签名的
ActiveX或其他移动代码的执行。
2.病毒的识别和评估
病毒攻击行为的一些可能现象参见表1。
为了预测病毒攻击的影响,可以在防病毒软件厂商的网站上查询最新的病毒通告,了解其传播方式,进而评估其对银行业务系统的影响。
3.病毒的控制
病毒攻击的控制策略包括:
(1)识别和从网络上隔离受感染的系统;(2)修复被病毒利用的系统漏洞;
一、病毒
1.病毒的预防
病毒的预防性措施主要包括:
(1)全面部署防病毒软件,及时更新病毒定义库;(2)在电子邮件服务器和客户端上部署附件过滤功能,阻止某些类型的附件,如:.vbs,.pif,.htm,.exe;
(3)配置电子邮件客户端禁止自动执行附件;点对点文件传输软(4)提醒用户在使用电子邮件、
件、即时通信软件、IRC软件时小心地应对可能出现的恶意程序;
40・中国金融电脑2006年第7期
(3)教育用户防止病毒进一步传播;
(4)阻止病毒的传播机制,如在电子邮件服务器上设置过滤措施,隔离受感染的网络,在边界路由器上阻止NetBIOS端口的出入流量,终止和互联网的连接;
(5)进行针对病毒攻击的证据收集工作。
4.病毒的根除
病毒攻击的根除通常可采取以下措施:
隔(1)升级病毒定义库,运行防病毒软件,来清除、离、删除受感染的文件;
技术Technology
表1
恶意行为
病毒攻击现象
可能的迹象
防病毒软件报警发现受感染的文件
普通病毒
修改办公软件的模板系统不稳定或崩溃
突然出现大量的电子邮件收发防病毒软件报警发现受感染的文件
利用系统漏洞传播的蠕虫
针对有漏洞服务的端口扫描和失败的连接企图网络带宽使用率增加系统不稳定或崩溃
防病毒软件报警发现受感染的文件
网络入侵检测系统发现特洛伊木马客户端和服务器之间的通信防火墙和路由器的日志记录特洛伊木马客户端和服务器之间的通信
特洛伊木马
主机与不知名的远程系统之间的网络连接异常的打开端口异常的运行进程系统不稳定或崩溃
Web站点上的恶意脚本
防病毒软件报警发现受感染的文件异常的对话框请求执行某项操作的权限
(2)部署和运行专杀工具;
(3)手工删除或覆盖被感染的文件;
(4)可能需要重新修复被病毒破坏的系统和软件。
修改;禁用未授权的调制解调器;所有可以在公共网访问的服务都应该部署在安全的DMZ区域里;加强漏洞管理,及时消除系统上存在的漏洞;在主机上禁用所有不必要的服务;关键服务尽量分布在不同的系统上;服务应该以最小特权运行;使用更强的口令策略和认证方式;加强用户账号的开户、销户管理;加强关键系统的物理访问控制等。
5.系统的恢复
病毒攻击通常不需要全面清除原有系统。其恢复过程包括:
(1)修复被病毒利用的系统漏洞;(2)确认受感染的系统工作正常。
2.识别和评估
非授权访问事件的表现形式多种多样,而且经常包括侦查、远程攻击、提升权限等步骤。
在侦查阶段,攻击者会:映射网络;识别主机及其运
二、非授权访问
1.预防
预防非授权访问的关键是进行纵深防御,包括对网络、系统、人员、物理环境加强安全控制。例如:部署基于网络的入侵检测系统、基于主机的入侵检测系统和完整性检查系统,来监控可能的非授权访问行为;使用集中的审计跟踪系统,防止审计跟踪在安全事件过程中被
行的操作系统、服务和应用;寻找可以远程攻击的漏洞;远程攻击和提升权限阶段,攻击者试图利用漏洞获取超级用户权限;获取普通用户权限,然后试图通过其他方法(如破解口令)提升权限。
非授权访问的一些现象参见表2。
由于非授权访问的技术后果很难判定,通常应该赋
中国金融电脑2006年第7期・41
技术Technology
表2
恶意行为
非授权访问现象
可能的迹象
发现未授权的安全工具软件
异常的网络流量(例如作为中间跳板攻击其他系统)系统配置的变更,包括:(1)新的服务
(2)不正常地打开端口(3)日志和审计策略的变更(4)网卡进入任一模式
(5)新增的管理员权限账号和组账号
获得主机的超级用户权限
关键文件的内容、时间戳、权限被修改(例如:可执行文件、系统内核文件、系统库文件、配置文件)无法解释的账号活动:(1)休眠账号的突然使用
(2)同时从不同地点登录使用同一个账号(3)大量出现锁定的账号用户报告系统不可用入侵检测系统报告
攻击者主动告知银行已经攻破了某个系统入侵检测系统警告
未授权修改数据(如Web页面)
用户报告数据被修改关键文件被修改
未授权的账号使用
试图访问关键文件,如口令文件无法解释的账号活动
用户报告网络和系统不可使用
物理入侵
系统和网络硬件丢失或部分丢失未经授权连接到网络上的新硬件
未授权的数据访问
入侵检测系统
予较高的优先级进行处理。未授权的访问能力还仅限于该服务,可以临时禁用该项服务;阻止攻击者访问临近资源的路径,例如临时阻止所有进入某个网段的连接;在全网范围内禁用攻击者可能使用的账号,防止通过信任关系扩大攻击范围;以上方法的任意组合。
非授权访问通常需要收集和保留证据、追踪攻击者,以便进行深入的调查。
3.控制
非授权访问的响应和控制时间是非常关键的。尤其在处理一个正在进行中的非授权访问攻击时,攻击者可以很快采取各种破坏措施。应该在初步调查和排序安全事件后,立即实施初步的控制措施,然后再进一步分析原因,事件影响并实施更多的控制措施。
初步的控制措施包括:隔离受影响系统的网络连接,防止对该系统的进一步入侵,检查其他系统是否有被成功入侵的迹象,或者有类似的入侵痕迹,自动扫描后门端口;如果攻击者仅攻击了一个特定的服务,而且42・中国金融电脑2006年第7期
4.根除
一个系统被非授权访问后,通常会留有很多痕迹,其根除措施包括:如果攻击者已经获得了超级用户权限,就不可以信任操作系统,通常可以跳过根除环节,直
技术Technology
接从干净的备份恢复;如果攻击者只获得了较少的访问权限,那么可以根据攻击者获得访问权限决定根除的方法;更换系统上的所有口令;更换所有有信任关系的系统上的所有口令;针对安全事件的其他残余部分采用根除措施,如rootkit清除工具。
常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源消耗殆尽,最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机,消耗操作系统资源,最终计算机无法再处理合法用户的请求。DoS攻击行为的一些现象参见表3。
5.恢复
如果攻击者已经获得超级用户权限,则必须全面清除受害系统上的信息,重新恢复。
1.预防
DoS攻击的常用预防措施有:边界路由器或防火墙
的访问控制策略应该基于的策略;在网络边“默认禁止”界路由器设置ingress(入口)和egress(出口)过滤,(保留地址)的ingress过滤是指阻止来自假冒的IP地址
三、DoS攻击
造成DoS(DenialofService,拒绝服务)的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正
数据包进入内部网络,egress过滤是指阻止去到假冒的内部地址)的数据包外出;禁止从未(保留地址、IP地址
表3
恶意行为
DoS攻击现象
可能的迹象
用户报告系统不可用无法解释的连接丢失网络入侵检测系统警报
针对某个主机的基于网络的DoS攻击
主机入侵检测系统警报网络带宽使用率增加大量的针对一个主机的连接
非对称的网络流量模式(大量流进的数据包,只有少量的数据包流出)防火墙和路由器的日志记录奇怪的数据包源地址用户报告系统不可用无法解释的连接丢失网络入侵检测系统警报
针对网络的基于网络网络带宽使用率增加的DoS攻击
非对称的网络流量模式(大量流进的数据包,只有少量的数据包流出)防火墙和路由器的日志记录奇怪的数据包源地址不存在的数据包目的地址用户报告系统不可用
针对特定主机操作系网络和主机入侵检测系统警报统的DoS攻击
操作系统日志记录奇怪的数据包源地址用户报告系统不可用
针对特定主机应用的网络和主机入侵检测系统警报
DoS攻击
应用程序日志记录奇怪的数据包源地址
中国金融电脑2006年第7期・43
技术Technology
分配的地址来的网络流量;边界路由器不应该转发定向广播;在边界路由器或防火墙设置某些类型数据包(如(ISP,防火墙,Web服务ICMP)的最高流量;对关键资源
器)提供足够的富裕容量和冗余;与ISP配合进行预防性的安全控制;建立事故发生时与ISP协同响应的联系方法;配置基于网络的入侵检测系统识别DoS和DDoS攻击流量;为了检测从外部进来的DoS攻击,需要在防火墙外部署探测器;让ISP协助检测在ISP网络上发生的DoS攻击;建立正常情况下的网络带宽和主机资源利用率的性能基线指标,当偏离基线很大的时候进行报警或记录日志;互联网健康监控。建立正常情况下,其他机构的Web站点的响应时间作为基准,以便在事故发生时确定DoS攻击的范围;在本地保存处理DoS攻击需要的电子资料,以便在Internet不可用的时候,仍然可以访问。
3.控制
DoS攻击的控制策略就是阻止DoS攻击,包括:关
闭被攻击的有漏洞的网络服务,修补系统的漏洞;根据攻击的特点在路由器上对数据包进行过滤,如源地址过滤,数据包类型过滤;通知ISP配合进行数据包过滤;将目标系统切换到新的地址,恢复域名解析。
DoS攻击的证据收集通常是困难的,因此不建议收
集证据。
DoS攻击情况下,很难识别攻击者。因为DoS攻击
通常使用无连接的协议,即使使用有连接协议也不需要建立完全的连接,所以攻击者可以很容易地假冒源ip地址。分布式DoS攻击的真正发起者往往躲在多级连接之外,也难以追查。
为了识别攻击者,可以在事后通过查找网络和系统日志,来发现DoS攻击前的侦查行为中的痕迹。
2.识别和评估
如表3所示,其他一些无害的行为也可能产生类似的现象。所以在进行识别的时候还需要进行正确的判断,例如:IDS对基于网络的DoS攻击很容易产生误报警,只应该作为辅助手段来识别DoS攻击;如果基于主机的DoS攻击导致系统崩溃,往往很难发现是DoS攻击引起的。
4.根除
DoS攻击通常不需要特殊的根除措施。如果是针对
主机的DoS攻击,应该修复相关的漏洞。
5.恢复
DoS攻击的恢复通常只需要将系统重新放到运行
状态,观察系统是否可以正常工作。
FCC!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!(上接第39页)
网上银行的交易类别有转账、汇款、付款等资金转交易查询等不涉及资金转移移类交易,也有账户查询、
的查询类交易。对于资金转移类交易需要使用数字签名提高安全性,对于查询类交易可根据系统资源情况确定是否应用数字证书,实现系统效率和安全的平衡。
用户。对于没有申请数字证书的无证书用户,为了保障用户的资金安全,网上银行可以提供受限的服务,如提供查询、限额转账等。对于有证书用户,网上银行提供全功能服务。用户经理也可以根据用户情况和用户对安全的要求,有针对性地进行网上银行产品营销。
4.数字证书的选择
数字证书的颁发和认证是一套完整的系统,包括证书申请和审核的注册机构RA、颁发证书的CA等,提供诸如密钥管理(包括密钥更新,密钥恢复和密钥委托等)、证书管理(包括证书产生和撤销等)
和策略管
2.证书应用与业务流程
数字证书在网上银行的应用不仅是技术的设计和用户证书申请、实现,也涉及网上银行业务流程的改变。
证书下载和移交、证书的遗失和报失、证书到期更换等都涉及业务流程,需要加入网上银行整体业务流程中进行考虑。
理等服务。我国已经颁布的《电子签名法》对数字签名和认证服务提供者都做了明确的规定,网上银行系统应用数字证书在选择CA和数字证书时,既要考虑认证系统的权威、公正和系统的完善性,又要考虑认证系统的合法性。FCC3.有证书用户与无证书用户
有些用户使用网上银行次数不多,资金量也较小,用户可能不愿意使用数字证书,为了满足不同用户群的需求,可以把网上银行用户群分为无证书用户和有证书44・中国金融电脑2006年第7期
因篇幅问题不能全部显示,请点此查看更多更全内容