资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,信息安全意识与挑战,1,大纲,2,信息安全意识,3,从“勒索”病毒说起,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,4,从“勒索”病毒说起,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,5,缓解措施,为了减少攻击面,确保正确的本地网络分段。,教育用户有关常见鱼叉式网络钓鱼战术和如何识别,以及预防感染。保持用户对不良安全性做法负责。,定期执行备份和保留异地副本:,Locky,有加密您的基于网络的备份文件的能力;因此,建议每个系统不仅备份在域内而且应场外存储复制。,确保可靠的应用程序白名单(,AWL,)策略,包括防止任何程序从用户可写文件位置的规则,特别是,TEMP,位置(例如,C,:,user * ,应用程序数据,本地, TEMP,)。大多数,AWL,产品有从允许执行阻止,TEMP,目录中的“默认”规则,而且组织也应保证被列入白名单的任何位置也防止用户写入这些文件夹。,确保,HIPS,规则拒绝运行未知的可执行文件,精心调校,并设置阻拦。例如,,McAfee,的,HBSS,规则,3905,和,2297,拒绝来自常见的恶意软件的位置(例如临时目录)执行。规则,7010,,,7011,,,7035,和是与美国国防部的环境中额外的优化类似的规则。自定义规则可以创建拒绝注册表项“,HKEY_CURRENT_USER SOFTWARE Locky”,的创建。,如果允许,实施一个注册表访问保护规则下阻止注册表键,/,值创建“,HKCUSoftwarelocky”,确定被感染的网络用户:如果在网络共享显示,.locky,扩展名的文件,查找文件所有者的每个文件夹中的“,_Locky_recover_instructions.txt”,文件。这将有助于确定感染的用户。,在电子邮件附件禁用宏:在过去感染的发生率到极高后,微软特意将自动禁止对,Word,文档的宏作为一项安全措施。不要打开它。,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,6,美国IAD有关全美公民的信息安全,正如在工作中需要访问敏感的企业或政府信息的用户,你的家里存在风险。通常想要获得的信息都存储在受保护的办公网络中,网络对手可能把你不安全的家庭网络作为目标进行操作。,不要成为受害者。,遵循一些常识的指引并在您的家庭网络上实现一些简单的控制,你可以帮助保护你自己,你的家人和你的组织。,美国国家安全局信息保障计划,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,7,个人计算机设备的建议,迁移到一个现代操作系统和硬件平台,安装综合安全套件,限制使用管理员帐户,使用Web浏览器沙箱功能,使用PDF阅读器沙箱功能,更新应用软件,实施笔记本电脑全磁盘加密(FDE),仅从可信的来源下载软件,保护移动设备,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,8,网络推荐方案,配置灵活的家庭网络,禁用Internet协议版本6(IPv6)隧道,提供防火墙功能,采用WPA2无线网络,限制管理内部网络,采用备用DNS提供商,对所有网络设备实施强密码,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,9,家庭娱乐设备的建议,保护网络内的设备,保护它免受来自,Internet,不受限制的访问。,服务账户使用强密码,大多数的家庭娱乐设备,需要您注册其他服务,(,如,Playstation12 Network, Xbox Live1314,,,Amazon Prime15,,,iTunes16),。,使用,密码指导创建和维护服务帐户。,不使用时断开链接,为了防止攻击者经由家庭娱乐设备探测网络,如果可能的话,在不使用因特网时断开这些系统。,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,10,上网行为建议,访问公共热点时,务必小心,如果可能的话,使用蜂窝网络(也就是手机,Wi-Fi,,,3G,或,4G,服务)连接到互联网,而不是无线热点。,建立一个加密隧道到可信虚拟专用网(,VPN,)服务提供商(例如,,StrongSwan,的,Strong VPN,)。,如果使用的热点是访问互联网的唯一选择,限制动态网页浏览。避免访问如需要输入用户凭据或个人信息的银行网站,一类的,服务。,不,将,家庭和工作内容,进行交换,要认识到的设备信任级别,警惕互联网上存储的个人信息,开启,SSL,加密应用,遵守电子邮件的最佳实践,社交网站上采取预防措施,发布信息时三思而后行。,如果可能,限制你的信息为“仅朋友”访问,并尝试通过电话或亲自验证任何新的共享请求。,从朋友处接收内容(如第三方应用程序)时,请注意由于最近许多攻击者利用普遍接受的社交网络的优势轻而易举地在内容中采取插入恶意软件的方法。,可从您的社交网络提供商定期复查安全策略和设置,以确定是否有新的功能可以保护您的个人信息。,按照朋友的个人资料,看是否发布的信息对你可能存在问题。,保护密码,避免张贴,GPS,坐标照片,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,11,说说支付安全,一个笑话引发的支付安全问题,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,虽然这是一个很扯的笑话,但是,随意扫描二维码,NFC,虽然便捷,但是,应用也需要加密,这只是未来支付的其中一类,12,说说支付安全,用最基础的信息安全技术原理了解银行支付,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,13,有时候还有这种情况出现,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,14,有趣的社会工程问题,一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法。,常见类型,“我是你领导”,“你有个包裹”,“我是警察”,恶意邮件,“下饵攻击”,扫二维码有奖,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,15,社会工程学分类,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,16,人口因素研究,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,因素,结构,实例,规范承诺,*,C1,:反复请求,免费样品,持续承诺,*,C2,:投资的认知和感知的一致性,把钱花在赔钱的企业,情感承诺,*,C3,:社会作为行为建模和一致性的“证据”,模仿名人,信任,*,C4,:令人喜爱和可信,相信体育人物,恐惧,*,C5,:对权威的服从和默许,以处罚或负面后果相威胁,服从命令,以避免羞辱,反应,C6,:稀缺性和冲动,把感觉上是稀缺物品的价值放大,性别,年龄,人格性质,文化,数字通信,回复商业广告,提供奖品的电子邮件,学生比教师或职员被认为更容易受到网络钓鱼攻击,在沙特,200,名学生进行的一项研究报告中网络钓鱼电子邮件的回复率达到,7% Alseadoon 2012,网络钓鱼的易感性统计数据从各种研究结果发布报告中发现在西方文化中的响应范围在,3%,到,11%,之间,Dhamija 2006, Jakobsson 2006, Knight 2004, Mohebzada 2012,。,17,组织因素研究,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,案例:,目标,-,长期加班的员工,渗透,-,提供义务技术支持,通过邮件或移动存储设备提供含有恶意代码的脚本,案例:,一家财务机构的员工发送含有恶意软件的虚假电邮。,6,名员工打开虚假电子邮件,并下载了恶意软件。员工计算机上的防病毒软件没有检测到恶意软件。,案例:,受害者组织的雇员,浏览与工作无关的网站,并在无意中下载恶意软件。该恶意软件,在,员工的计算机上,运行,键盘记录。该恶意软件为期五个月没有被侦测出来,当雇员终止,劳动关系时进行,硬盘扫描,时才,发现。,18,人为因素研究,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,案例:,利用,86-95,年龄段需要被关注的心态诱骗攻击内部网络,案例:,一些员工安装伪装成一个,Java,插件中的恶意软件,恶意软件攻击的受害者组织和其他企业,案例:,利用伪造管理员邮件向用户发送索取用户名和密码的邮件以便获得进一步攻击,案例:,药物滥用可认知功能产生负面影响,案例:,工作强加的时间压力已经发现,即使训练有素的人性能产生负面影响。,沉重和长期的主观心理负荷会引起员工的疲劳,从而产生不利影响性能。,案例:,利用年龄段在,86-95,年龄段需要被关注的心态攻击内部网络,案例:,攻击者发送钓鱼邮件给支付处理公司的客户。一些客户收到电子邮件,警告他们需要下载一个,Web,浏览器插件以保持不间断地访问网站。,19,“爬库”与数据泄露,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,20,从APT攻击到“爬库”,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,21,从“乌云”说说信息安全法律,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,22,解读网络安全法,网络安全法,的基本原则,第一、网络空间主权原则。,网络安全法,第,1,条“立法目的”开宗明义,明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。,第二、网络安全与信息化发展并重原则。,网络安全法,第,3,条明确规定,国家坚持网络安全与信息化并重,遵循积极利用、科学发展、依法管理、确保安全的方针;既要推进网络基础设施建设,鼓励网络技术创新和应用,又要建立健全网络安全保障体系,提高网络安全保护能力,做到“双轮驱动、两翼齐飞”。,第三、共同治理原则。网络空间安全仅仅依靠政府是无法实现的,需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与。,网络安全法,提出制定网络安全战略,明确网络空间治理目标,提高了我国网络安全政策的透明度,网络安全法,第,4,条明确提出了我国网络安全战略的主要内容,即:明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。第,7,条明确规定,我国致力于“推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。”,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,23,解读网络安全法,网络安全法,进一步明确了政府各部门的职责权限,完善了网络安全监管体制,网络安全法,将现行有效的网络安全监管体制法制化,明确了网信部门与其他相关网络监管部门的职责分工。第,8,条规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。,网络安全法,强化了网络运行安全,重点保护关键信息基础设施,网络安全法,第三章用了近三分之一的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的系统和设施。网络运行安全是网络安全的重心,关键信息基础设施安全则是重中之重,与国家安全和社会公共利益息息相关。,网络安全法,完善了网络安全义务和责任,加大了违法惩处力度,网络安全法,将原来散见于各种法规、规章中的规定上升到人大法律层面,对网络运营者等主体的法律义务和责任做了全面规定,包括守法义务,遵守社会公德、商业道德义务,诚实信用义务,网络安全保护义务,接受监督义务,承担社会责任等,并在“网络运行安全”、“网络信息安全”、“监测预警与应急处置”等章节中进一步明确、细化。,网络安全法,将监测预警与应急处置措施制度化、法制化,网络安全法,第五章将监测预警与应急处置工作制度化、法制化,明确国家建立网络安全监测预警和信息通报制度,建立网络安全风险评估和应急工作机制,制定网络安全事件应急预案并定期演练。,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,24,关键基础设施,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。,第三十二条,按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。,第三十三条,建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。,第三十五条,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。,第三十六条,关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。,第三十七条,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。,第三十八条,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,25,管理安全的重要性,15000,份的医疗日志培圾桶中在被发现,30000,个用户密码在,Internet,上公布,推广的照片提前出现在新闻书刊上,银行支付数百万元给勒索者,25,位开发部的同事跳槽至竞争者公司,盗窃:每失窃或损坏价值一英镑的信息技术设备,将造成十英镑商业损失。英国工业在,1996,年由电脑失窃而造成的损失超过,460,亿英镑。,INTERNET,:美国五角大楼每日可侦测到,80,至,100,个骇客入侵。,电脑入侵:电脑骇客入侵每年以,45%,的速率在增长。,电子邮件:,10%,信息无意义,,9%,包含机密信息,,2%,笑话及,2%,带病毒。,病毒:起过,10000,个病毒经常性的影响我的电脑及每月有,150-200,新的病毒产生。,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,26,内部威胁与案例分析-刑法修正案九,第一百二十条之三以制作、散发宣扬恐怖主义、极端主义的图书、音频视频资料或者其他物品,或者通过讲授、发布信息等方式宣扬恐怖主义、极端主义的,或者煽动实施恐怖活动的,处五年以下有期徒刑、拘役、管制或者剥夺政治权利,并处罚金;情节严重的,处五年以上有期徒刑,并处罚金或者没收财产。,“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。,“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。,“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。,“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,27,内部威胁与案例分析-刑法修正案九,刑法第二百八十六条后增加一条,作为第二百八十六条之一:“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:,“(一)致使违法信息大量传播的;,“(二)致使用户信息泄露,造成严重后果的;,“(三)致使刑事案件证据灭失,情节严重的;,“(四)有其他严重情节的。,“单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。,“有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,28,内部威胁与案例分析-刑法修正案九,第二百八十七条之一 利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:,“(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;,(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;,“(三)为实施诈骗等违法犯罪活动发布信息的。,“单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。,“有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,29,内部威胁与案例分析-刑法修正案九,第二百八十七条之一 利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:,“(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;,(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;,“(三)为实施诈骗等违法犯罪活动发布信息的。,“单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。,“有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,30,内部威胁与案例分析-网络安全法,第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。,第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。,第四十五条依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。,第四十六条任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,31,内部威胁与案例分析-网络安全法,第四十七条网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。,第四十八条任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。,电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。,从“勒索”病毒说起,美国公民信息安全,说说支付安全,有趣的社会工程问题,“爬库”与数据泄露,了解一些信息安全法律,走出,IT,的信息安全,32,新技术下的安全挑战,33,云计算特有安全威胁-虚拟平台,云安全,物联网安全,大数据安全,情报分析,态势感知,Hypervisor,脆弱性不可避免,从上层虚拟机攻击,Hypervisor,(,虚拟机逃逸,),从云计算管理网络攻击,Hypervisor,传统脆弱性利用攻击,缓冲区溢出,拒绝服务,安全威胁,虚拟化平台,云计算网络攻击,虚拟机逃逸,34,云计算特有安全威胁-虚拟环境,云安全,物联网安全,大数据安全,情报分析,态势感知,虚拟机向下逃逸,是指在已控制一个虚拟机的前提下,通过利用各种安全漏洞攻击,Hypervisor,。,典型案例:蓝色药丸、,CloudBurst,逃逸后果,安装,Hypervisor,级后门,拒绝服务攻击,数据窃取,控制其它虚拟机,35,云计算特有安全威胁-内部环境,云安全,物联网安全,大数据安全,情报分析,态势感知,虚拟交换机,虚拟化服务器,虚拟机,3,虚拟机,1,虚拟机,2,物理交换机,物理网卡,虚拟交换机,虚拟网卡,虚拟端口,级联端口,虚拟网络与物理网络,36,云计算特有安全威胁-虚拟机,云安全,物联网安全,大数据安全,情报分析,态势感知,虚拟机,安全威胁,创建安全,威胁,存储安全,威胁,虚拟机,虚拟机,虚拟机,运行安全威胁,注销安全,威胁,迁移安全,威胁,通信安全,威胁,37,云计算特有安全威胁-多租户,在多租户云计算环境中,各租户之间的物理网络边界变得模糊,可能只存在逻辑上的网络边界。,如果配置不妥,可能导致数据泄密。,如何确保和验证各租户逻辑网络之间的安全隔离,云安全,物联网安全,大数据安全,情报分析,态势感知,38,云计算特有安全威胁-接入风险,云计算平台集中部署在数据中心,用户远程接入到云计算平台的过程可能存在安全威胁。,云计算接入的身份认证,云计算接入的访问控制,云计算接入的传输安全,云安全,物联网安全,大数据安全,情报分析,态势感知,39,物联网基础,物联网:通过部署具有一定感知、计算、执行和通信等能力的各种 设备,获得物理世界的信息或对物理世界的物体进行控制,通过网络实 现信息的传输协同和处理从而实现人与物通信物与物通信的网络 NGN/IPv6 NGN/IPv6 接入与 现信息的传输、协同和处理,从而实现人与物通信、物与物通信的网络。,云安全,物联网安全,大数据安全,情报分析,态势感知,以标识为特征,1998,年,MIT,的,Kevin Ashton,:把,RFID,技术与传感器技术应用于日常物品中形成一个“物联网”,以互联网为特征,2005,年,ITU,报告:物联网是通过,RFID,和智能计算等技术实现全世界设备互连的网络。,以智能服务为特征,2008,年,IBM,:把传感器设备安装到电网、铁路、桥梁、隧道、供水系统、大坝、油气管道、供水系统、大坝、油气管道等各种物体中,并且普遍连接形成网络,即“物联网”,40,物联网结构-五层结构,云安全,物联网安全,大数据安全,情报分析,态势感知,应用层主要完成服务发现和服务呈现的工作。,支撑层又称中间件,或者业务层,对下需要对网络资源进行认知,进而达到自适应传输的目的,;,本层的完成信息的表达与处理,最终达到语义互操作和信息共享的目的,;,对上提供统一的接口与虚拟化支撑,虚拟化包括计算虚拟化和存储虚拟化等内容,较为典型的技术是云计算;,网络层为原有的互联网、电信网或者电视网,主要完成信息的远距离传输等功能;,接入层主要完成各类设备的网络接入,该层重点强调各类接入方式,比如,3G/4G,、,Mesh,网络、,WiFi,、有线或者卫星等方式;,感知层主要完成信息的收集与简单处理,部分学者将该层称为感知延伸层,该层由传统的,WSN,、,RFID,和执行器组成;,41,物联网安全综述,云安全,物联网安全,大数据安全,情报分析,态势感知,中间件层,云计算,应用集成,解析服务,Web,服务,信息处理安全,信息利用,应用,/,中间件层,移动通信网,网络与信息系统安全,信息传播,应用,/,中间件层,RFID,标签,感知终端,信息采集安全,物理安全,节点安全,感知层,计算机网络,无线网络,RFID,阅读器,RFID,节点,RFID,网关,42,感知层安全,物联网感知层的任务是实现智能感知外界信息功能,包括信息采集、捕获和物体识别,该层的典型设备包括,RFID,装置、各类传感器,(,如红外、超声、温度、湿度、速度等,),、图像捕 捉 装 置,(,摄 像 头,),、全球定位系统,(GPS),、激光扫描仪等,其涉及的关键技术包括传感器 、,RFID,、自组织网络、短距离无线通信、低功耗路由等。,(1),传感技术及其联网安全作为物联网的基础单元,传感器在物联网信息采集层面能否如愿以偿完成它的使命,成为物联网感知任务成败的关键。,(2)RFID,相关安全问题,云安全,物联网安全,大数据安全,情报分析,态势感知,层次,受到的攻击,物理层,物理破坏、信道阻塞,链路层,制造碰撞攻击、反馈伪造攻击、耗尽攻击链路层阻塞,网络层,路由攻击、虫洞攻击、女巫攻击、陷洞攻击、,Hello,泛洪攻击,应用层,去同步、拒绝服务流,43,网络层安全,物联网网络层主要实现信息的转发和传送,它将感知层获取的信息传送到远端,为数据在远端进行智能处理和分析决策提供强有力的支持。,来自物联网本身的架构、接入方式和各种设备的安全问题,接入层的异构性使得如何为终端提供移动性管理以保证异构网络间节点漫游和服务的无缝移动成为研究的重点,物联网接入方式将主要依靠移动通信网络过程中的伪基站问题,窃听无线信道而获得其中传输的信息,甚至可以修改、插入、删除或重传无线接口中传输的消息,进行数据传输的网络相关安全问题,网络地址空间短缺,拒绝服务攻击,(DDoS),等异常流量攻击,针对域名服务器,(DNS),的攻击,IPv6,协议作为网络层的协议,仅对网络层安全有影响,其他,(,包括物理层、数据链路层、传输层、应用层等,),各层的安全风险在,IPv6,网络中仍将保持不变。,云安全,物联网安全,大数据安全,情报分析,态势感知,44,应用层安全,物联网应用是信息技术与行业专业技术的紧密结合的产物。物联网应用层充分体现物联网智能处理的特点,其涉及业务管理、中间件、数据挖掘等技术。,业务控制和管理,由于物联网设备可能是先部署后连接网络,而物联网节点又无人值守,所以如何对物联网设备远程签约,如何对业务信息进行配置就成了难题。,传统的认证是区分不同层次的,网络层的认证负责网络层的身份鉴别,业务层的认证负责业务层的身份鉴别,两者独立存在。,大多数情况下,物联网机器都是拥有专门的用途,因此其业务应用与网络通信紧紧地绑在一起,很难独立存在。,中间件,在物联网中,中间件处于物联网的集成服务器端和感知层、传输层的嵌入式设备中。,隐私保护,在物联网发展过程中,大量的数据涉及到个体隐私问题,(,如个人出行路线、消费习惯、个体位置信息、健康状况、企业产品信息等,),,因此隐私保护是必须考虑的一个问题,云安全,物联网安全,大数据安全,情报分析,态势感知,45,RFID系统安全与隐私,根据使用实际情况选择是否具有密码功能的系统。,分析,RFID,标签出现安全隐患的原因:,设计思想为系统对应用是完全开放的、在标签上执行加、解密运算需要耗费较多的处理器资源及开销。,高度安全的,RFID,系统对于以下单项攻击能够予以预防:,为了复制或改变数据,未经授权的读取数据载体;,将外来的数据载体置入某个读写器的询问范围内;,假冒真正的数据载体,窃听无线电通信并重放数据。,云安全,物联网安全,大数据安全,情报分析,态势感知,46,大数据特性对安全和隐私的影响,多样性,VARIETY,多样性,描述数据的组织-数据是结构化,半结构化还是非结构化。将传统的关系数据库安全重定向到非关系数据库是一个挑战,。,这些系统的设计不考虑安全和隐私,这些功能通常被归入中间件。传统的加密技术也阻碍了基于语义的数据组织。标准加密的目的是提供语义安全性,这意味着任何值的加密与任何其他值的加密是不可区分的。,数量,VOLUME,基于网络的分布式自动层系统的威胁模型包括以下主要场景:机密性和完整性,来源,可用性,一致性,共谋攻击,回滚攻击和记录保留纠纷。,速度,VELOCITY,速度描述处理数据的速度。 数据通常批量地到达或连续地流式传输。 分布式编程框架没有考虑安全和隐私。计算节点故障可能泄露机密数据。 由于高水平的连接性和依赖性,部分基础设施攻击可能危及系统的相当大的一部分。 如果系统不在地理上分布的节点中执行强认证,可以添加可以窃听机密数据的欺骗节点。,真实性,VERACITY,大数据经常跨个体边界移动到感兴趣的团体和社区,跨越州,国家和国际边界。Provenance,(源),解决了理解数据的原始来源的问题,例如通过元数据,虽然问题延伸到元数据维护之外。,云安全,物联网安全,大数据安全,情报分析,态势感知,47,大数据特性对安全和隐私的影响,与云相关的,许多大数据系统将使用云架构进行设计。在大数据云生态系统企业架构内实现适当的访问控制和安全风险管理的任何策略都必须解决与云特性触发的云特定安全需求相关的复杂性,包括但不限于以下内容:,广泛的网络访问,降低消费者的可见度和控制,动态系统边界和消费者与提供者之间的混合角色和责任,多租户,数据驻留,测量服务,规模增加(按需),动态(弹性和成本优化)和复杂性(自动化和虚拟化),与传统IT解决方案相比,这些云计算特性往往对组织带来不同的安全风险,从而改变了组织的安全状况。,为了在将数据迁移到云时保持安全性,组织需要提前识别所有特定于云的,风险调整的安全控制或组件。,云安全,物联网安全,大数据安全,情报分析,态势感知,48,情报,情报是我们所处世界中的知识和预判,。美国政策制定者决策和行动的先导。情报机构将这种信息以某种方式提供给消费者、国民领导或军队指挥官,(以便让他们)去思考可替换的选项和结果。,情报处理过程涉及漫长细心和通常是枯燥耗时的对事实的搜集、对它们的分析、快速和清晰的评估、仔细判断后形成产品,并且不时递知给消费者,。综上,,这个分析过程必须是完整而冗长的,经常性的,和与政治需求及企业相关的。,中央情报局(,CIA,),云安全,物联网安全,大数据安全,情报分析,态势感知,49,核心情报原则,人力情报(,HUMINT,),HUMINT,是从一个线人那里收集信息。这种来源也许拥有第一手或者第二手的资料,且通常通过看、听和活动来获得。它可以包括威胁、中立或友好的(政府)文职人员。,开源威胁情报(,OSINT,),OSINT,探索、利用和提高可公开获得的公众信息。由于海量的可利用信息,数据挖掘和高级搜索技术显得尤为重要。这种情报包括电视、雷达广播、书籍、报纸和网络这些来源。,信号情报(,SIGINT,),SIGINT,被定义为对交通系统、雷达和武器系统的信号转换的收集和利用。,SIGINT,的结果来自收集、锁定、处理、分析和报告被拦截的通讯和没有通讯功能的发射器。,SIGINT,被归为电子情报(,ELINT,)和通讯情报(,COMINT,)的子类。,图像情报(,IMINT,),IMINT,是被大量陆地、航空或卫星探测器收集的地理空间信息。,测量和特征情报(,MASINT,),MASINT,是情报的一个技术分支,使用通过诸如雷达、声呐、无源电光传感器、地震仪和其他用来测量物体或事件以通过它们的特征来辨别它们的传感器所收集的信息。这包括去离散标记一个人、一个地方或有特殊特征的事物的能力。,云安全,物联网安全,大数据安全,情报分析,态势感知,50,可辨别的网络情报,网络情报(CYINT)- 不是核心情报原则里的一种,但是一个相对新颖且在不断发展的领域,它是一个混合体,而且可以包含任何组合或所有上述五个原则。尽管它可以被用来作为网络安全的关键组件,网络情报操作却与网络安全任务独立,而且可以支持涵盖政府和工业的各个方面的大量操作。,云安全,物联网安全,大数据安全,情报分析,态势感知,51,情报圈,计划、要求和方向,情报收集的计划和方向包括对整个情报工作的管理从优先情报要求(消费者领导和进一步需求的定义)到最终情报产品。,收集,根据建立好的方向,威胁情报服务从相关来源里面收集潜在有用的原始数据。,处理,将收集到的数据加强为适用于更详细分析的标准格式。,分析和产品,收集到的数据被领域专家分析以辨识出对消费者环境的潜在威胁。用来对被辨识出的威胁产生响应的对策也在这个阶段被开发。,传播,情报分析结果被提交给客户,以便合适的保护性措施可以被执行。,1,2,3,4,5,云安全,物联网安全,大数据安全,情报分析,态势感知,52,情报漏斗,噪音,是根据优先情报需求收集的一系列事物。,数据,是噪音经过过滤和没有应用价值的条目被去除后的遗留。,信息,是有特定用途的数据。一旦它被分配给一个用途,它就有了价值。,情报,是带有战略性目的的信息,可以被用来获取优势。情报是一项仅以人类为中心的活动。,可行动的情报是情报主导的,基于对可被初始化、用以行动和提供清晰的结果的证据的评定,它被用来提供对优先情报需求的支持。,云安全,物联网安全,大数据安全,情报分析,态势感知,53,威胁情报收集,云安全,物联网安全,大数据安全,情报分析,态势感知,54,情报事件中可辨别的特征,迹象性事件和事件性事件,在情报词库里,“事件”是指分析员用来预测一个威胁增加或者减少的原始数据。这些事件被用来界定那些已经发生或者将要发生的威胁环境的改变的关键迹象。,物理的,集体诉讼、立法或者影响立法的行为尝试、许可证的吊销、政治捐赠、被关键人物公开或者私下做出的个人社交媒体上的有争论的陈述、买入大量关键的真实的房地产、不受欢迎的政策变化、裁员、(企业的)合并或收购、环境破坏、总部迁移、在特定人口或经济中心的商店的开张或关闭,等等。,数字的,大量失败的密码登陆尝试、缓冲区溢出、端口扫描、网络钓鱼活动、,SQL,查询注入、统一资源定位符(,URLs,)、文件名称、文件扩展、文件哈希值、服务或者可执行文件、命令序列、,HTTP,请求、注册表设定、使用的协议和端口,等等。,云安全,物联网安全,大数据安全,情报分析,态势感知,55,威胁情报提供的信息,威胁,当前的哪些威胁是组织机构必须要知道的?组织机构所面对的网络威胁被归入为一个独特的分类,因为它们本身就带有不易理解性和不对称性。不易理解性指的是数字环境的不规律和不易追踪的特征,不对称性是指在一个位置范围的可执行策略下威胁房和目标方在实力上的巨大不平衡。,威胁方,特定威胁下的(团体,/,个人)(是谁,/,是什么,/,在哪里)?他们的能力、动机、目标、运作的范围、活动的历史有哪些?,目标方,谁被威胁视为目标?这些威胁是基于地理的、政治的还是行业的?,方法和策略,攻击者们所采用的策略性方式是什么?威胁被设计用来做什么?它关注的是什么?他们使用的是什么工具和设施?哪些技术、版本和用户类型被作为目标?攻击怎样被传递到目标?,对策,组织机构可以采取怎样的行动去应对特定威胁?威胁措施可以包括:入侵检测系统特征、反病毒系统特征、需要阻塞的端口,/,协议或者其他可被用来帮助保护组织机构被特定威胁攻击的反应行动。,云安全,物联网安全,大数据安全,情报分析,态势感知,56,威胁情报在信息安全中的重要性,组织机构必须抵御的安全威胁类型的根本性变化,和理解攻击表面包括的远不止一个已被定义的技术参数。,别处无法提供给组织机构的对资源的访问和利用能力,和知识技能。,组织机构必须响应的数量巨大的安全漏洞和攻击向量。,组织机构必须保护的持续扩张的技术范围和环境。,云安全,物联网安全,大数据安全,情报分析,态势感知,57,网络威胁轮廓的改变,网络威胁从业者不再局限于那些有癖好的或反政府的个人或团体。他们现在包括代表国家立场的角色和受赞助的团体,和有具备相当多资源、支持和知识技能的传统有组织的网络犯罪团体。这些攻击者经常一起工作和分享或出售能攻下目标的工具。这些攻击者也具备时间和资源去搜索组织机构环境中的漏洞。,需要防御任务的组织机构经常只有有限的资源和预算去准备一个充足的防御体系,威胁的不平等本质就这样形成了。,云安全,物联网安全,大数据安全,情报分析,态势感知,58,信息安全漏洞的数量,安全人员分析的海量数据是非常巨大的。组织机构必须对每天遇到的大量缺陷、零日漏洞威胁、恶意代码、利用工具、僵尸网络、高级可持续性威胁(APT)和定向攻击做出反应。,最近十五年每年被标注的通用漏洞披露(CVEs)数量如下图所示从2005年起,每年有超过4000个新的安全漏洞被标注。,云安全,物联网安全,大数据安全,情报分析,态势感知,59,技术成长和使用改变,威胁情报服务的另一个驱动因素是现代计算环境中技术使用的演化和扩张。大多数组织机构里面的技术,即使与两三年前相比,都有了戏剧性的改变。BYOD方式,利用VPN加入网络来访问个人设备的远程工作者、无处不在的无线网络、对虚拟化和云计算使用的增加,都戏剧性地增加了典型组织机构中的技术使用。新的技术并不是简单地替换原有的技术它们经常是一种添加,形成对组织机构的攻击表面和里面漏洞的分析结果的网状添加。,有了技术上的这些改变对BYOD的使用、远程用户、虚拟化、云计算已被辨识的的周边具有相同本质的有组织的网络将不复存在。一个具有不同本质的、分布式用户的、技术性的基础变成了新的标准。这个新的现实伴随着更复杂和和潜在的风险。威胁情报可以帮助组织机构理解这个新架构现实下的新兴威胁。,云安全,物联网安全,大数据安全,情报分析,态势感知,60,不同的组织机构都从威胁情报中期望得到什么,组织机构大小。,组织机构与政府、服务商和其他垂直市场的合作。,组织机构的依赖团体,包括供应链、商业伙伴、第三方供应商,云供应商等。,组织机构信息安全资源的数量、精细化和能力。,组织机构的危险态势,和被视作目标的趋势:,针对政治的、经济的或知识产权的国家级的角色,/,高级可持续性威胁(,APT,)。,出于金融目的的跨组织犯罪。,黑客行为,/,关注点的寻找者,这些人一般想着怎样去让组织机构难堪。,云安全,物联网安全,大数据安全,情报分析,态势感知,61,不同的组织机构都从威胁情报中期望得到什么,低调的组织会对使用威胁情报去帮助回答下述感兴趣的问题:,可能为数字威胁充当催化剂的,围绕组织机构的物理环境下正在发生的关键发展是什么?,如果知识产权或者机密信息被公开暴露,组织机构是否有行动计划?会有什么后果?组织机构是如何处理的?,组织机构最大的恐惧是什么?组织机构或管理层最不想读到或在电视上看到的一件事是什么?组织机构是否有步骤去避免此类的事件发生?,是否有竞争对手巧合(或故意)地带着新产品或新理念与组织机构同时进入市场?是否有迹象表明他们使用了一些本组织机构的知识产权?,未知世界里是否有漏洞和恶意代码正在被活跃地利用?哪一种是适用于组织机构的环境的?什么样的预防措施应当被用来保护(组织机构)去对抗这些威胁?,是否有任何关于组织机构或是它的用户的潜在的敏感数据被放到网上?这包括收购或合并信息、目标市场、目标客户、提案、合同或其他商业战略。,是否有关于组织机构的消极评论被发到网上?如果是这样,这些评论的根据是什么?,是否有任何组织机构的技术知识产权被发布到网上,或者与特定的竞争机构有关联?这包括组织机构的特殊知识产权,例如源代码、产品设计、工程文档、蓝皮书和与技术相关的特殊信息。,云安全,物联网安全,大数据安全,情报分析,态势感知,62,不同的组织机构都从威胁情报中期望得到什么,作为对比,一个涉及高度政治化产业的国际化组织会需要与下述主题相关的威胁情报:,组织机构是否已被其他活跃团体和攻击者作为目标?谁在将组织机构作为目标?为什么?这些团体的复杂程度怎么样?,是否有任何竞争者或工业伙伴团体(最近)被作为目标?谁在指挥这些攻击?什么样的技术在攻击中被使用?哪些又未被攻击厂商使用?这些被视为目标的组织是否有过成功地化解这些攻击(的经历)?如果有过,是怎样做的?,是否有任何潜在的威胁情报与即将到来的经济或工业会议或组织即将参加的事件有关联?如果如此,提供一份与这个事件有关的潜在网络威胁的概览,和应当被采取的预防措施。,组织机构是否有保密协议(,NDAs,)或安全保障用来预防商业间谍。,在与组织有业务往来的所有合同方或第三方机构之间,是否有一个一致同意的安全策略。,云安全,物联网安全,大数据安全,情报分析,态势感知,63,什么是网络态势感知,网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。,网络态势感知源于空中交通监管态势感知,是一个比较新的概念,并且在这方面开展研究的个人和机构也相对较少。,1999 年, Tim Bass首次提出了网络态势感知这个概念,并对网络态势感知与交通监管态势感知进行了类比,旨在把交通监管态势感知的成熟理论和技术借鉴到网络态势感知中去。,云安全,物联网安全,大数据安全,情报分析,态势感知,64,网络态势感知,网络态势感知,网络态势评估,网络威胁评估,网络态势感知,网络威胁评估,网络态势评估,云安全,物联网安全,大数据安全,情报分析,态势感知,65,NSAS与IDS比较,NSAS与现有的IDS之间有区别也有联系。二者的区别主要体现在:,(1) 系统功能不同。,IDS可以检测出网络中存在的攻击行为,保障网络和主机的信息安全。而NSAS的功能是给网络管理员显示当前网络态势状况以及提交统计分析数据,为保障网络服务的正常运行提供决策依据。这其中既包括对攻击行为的检测,也包括为提高网络性能而进行的维护。,(2) 数据来源不同。,IDS 通过预先安装在网络中的Agent获取分析数据,然后进行融合分析,发现网络中的攻击行为。NSAS采用了集成化思想,融合现有IDS、VDS(Virus Detec2tionSystem) ,FireWall 、Netflow(内嵌在交换机和路由器中的流量采集器)等工具提供的数据信息,进行态势分析与显示。,云安全,物联网安全,大数据安全,情报分析,态势感知,66,NSAS,与,IDS,比较,(3) 处理能力不同。,网络带宽的增长速度已经超过了计算能力提高的速度,尤其对于IDS而言,高速网络中的攻击行为检测仍然是有待解决的难点问题。NSAS 充分利用多种数据采集设备,提高了数据源的完备性,同时通过多维视图显示,融入人的视觉处理能力,简化了系统的计算复杂度,提高了计算处理能力。,(4) 检测效率不同。,IDS不仅误报率和漏报率高,而且无法检测出未知攻击和潜在的恶意网络行为。NSAS通过对多源异构数据的融合处理,提供动态的网络态势状况显示,为管理员分析网络攻击行为提供了有效依据。,云安全,物联网安全,大数据安全,情报分析,态势感知,67,通用NSAS框架,决策者,态势可视化显示,响应与预警,威胁评估,态势评估,事件关联,目标识别,数据预处理,过程优化控制和管理,云安全,物联网安全,大数据安全,情报分析,态势感知,68,安全态势可视化工具评价标准,可视化模型适合于所求解的问题,能够从显示的图形中找寻出需要的数据,并且具有良好的可扩展性;,图形色彩运用得当,具有较好的可识别性,实现对关键图形的强调显示,增加显示的信息量,显示图形与用户之间具有良好的可交互性,可以实现不同角度、不同尺度的可视化图形显示能够提供有价值的图标显示;,提供缺省显示功能;,减少图形间的重叠、交错,实现图形的清晰化显示;,可视化界面的控制简单易用。,云安全,物联网安全,大数据安全,情报分析,态势感知,69,网络安全态势可视化软件的发展主要集中在以下几个方面,1.显示实时数据,日志类等传统的数据的生成与记录都发生在事件产生之后,不具有实时性的特点。就目前网络中的数据而言,只有“流”数据和网络管理信息类数据的相对实时性能够满足实时性分析的需求。“流”数据是对网络中定向持续传输数据的统称,较为普遍的有媒体流数据,统计流数据等等。,2.数据多维显示,根据人们对数据的分析需求,也出现了对于多维数据的显示,从而使可视化图形显示的信息量成指数级增长,方便了人们对于信息的观察分析。,云安全,物联网安全,大数据安全,情报分析,态势感知,70,网络安全态势可视化软件的发展主要集中在以下几个方面,3.多源数据可视化,多源数据可视化,如Visual Firewall使用防火墙和IDS两种数据源,在显示的内容上相互补充,更加全面的反映了网络的安全状况。,4.更加直观且具有交互性,与可视化软件的交互是软件使用者对网络安全数据进行分析的过程。用户通过与可视化界面的交互,调整可视化的重点与关注的区域,放大异常行为产生
展开阅读全文