网络空间安全与数据资产保护课件

,网络空间安全与数据资产保护,1,提纲,网络空间安全主要威胁,和,挑战,网络空间安全防御新趋势,网络空间数字资产保护,提纲网络空间安全主要威胁和挑战,2,网,络,空间安全主要威胁和挑战,3,互联网,+,时代的信息社会,我们已经跨入以,社会信,息,化、,设,备数,字,化、,通,信网,络,化的,信,息社会,我们的信息社会正在不,断,的演,进,，,互,联,网、,物,联网,、,无线,人,体局,域,网（,W,B,A,N,s,）,、,云计,算,、大数,据、可穿戴设备、智能,化,技,术,正,在飞,速,发展,，,正在,推,动我,们,信息,社,会发,生,巨大,的,变化,未来可以展望的是，不,仅,仅我,们,可以,连,接到,网,络，,而,且我,们,的身,体,（至,少,是衣,服,或配,饰,）会,变,成物 联网的关键网络结点。,互联网+时代的信息社会我们已经跨入以社会信息化、设备数字化、,4,信息安全无处不在,随着我们的信息社会不,断,深化,演,进，,当,移动,互,联网,、,物联,网,和社,交,网络,把,所有,人,、机构 和物连接在一起，,信息,已,经无,处,不在,，,同样,信,息安,全,也无,处,不在,。,在广,泛,互联,化,的,IT,环境,中，大到国家和社会，,小,到机,构,和个,人,都面,临,着,如,何,保障,自,身的,信,息安,全,的问,题,。,信息安全无处不在随着我们的信息社会不断深化演进，当移动互联网,5,信息安全问题影响和危,害,国家,安,全和,社,会稳定,斯诺登事件,伊朗布什尔核电,站,“,震,网”,事,件,信息安全危害到每个人,的,生命,权,、财,产,权和,自,由权,入侵植入式心脏,起,搏器,入侵,A,T,M,取款机,“心脏出血“安,全,漏洞,信息安全危害越来越严峻,信息安全问题影响和危害国家安全和社会稳定信息安全危害越来越严,6,泄密事件一再上演，我们,该如何避免泄密事件重,演,?,数据资产泄密危害日益,严,重,泄密事件一再上演，我们数据资产泄密危害日益严重,7,攻击变得越来越功利，,攻,击从,损,人不,利,己向,获,取利,益,转,变,;,黑客行动的动力转向牟,利,后，,其,攻击,行,为以,获,取有,价,值资,料,作为,主,要攻,击,目标,，,无论,机,构组,织还是个人用户的危险,也,被大,大,加深。,最近刚放生的“勒索软件病毒”事件，涉及全球100多个国家,造成全球恐慌,攻击从损人不利己向获,取,利益,转,变,攻击变得越来越功利，攻击从损人不利己向获取利益转变;最近刚放,8,何为加密勒索软件？,勒索软件是一种恶意软件，其通过邮件或钓鱼网站 等方式，利用主机或应用存在的漏洞，感染用户主 机或重要服务器。,勒索软件侵入电脑后，对文件系统进行遍历和查找，然后对图片，视频和文档类型的文件进行加密处理，造成使用者无法访问和使用。,勒索软件通常不会去加密系统文件，保证系统可以 正常启动，显示勒索信息。,受害者,若,想打开被加密文件，必须通过支付赎金的,方式，下载解密,程,序并获取解密的密钥，才有可能,将文件解,密,。,何为加密勒索软件？勒索软件是一种恶意软件，其通过邮件或钓鱼网,9,勒索软件的典型入侵过程,带勒索软 件,的邮件,主机被注,入,勒索软件,勒索软件向,C,&,C,主 机,连接下载密钥,C&C服务器,文件被加密,发出勒索信息,用户收到含有勒索软件,的,邮件,，,或者,点,击了钓 鱼链接，导致主机被注,入,勒索,软,件。,勒索软件注入成功后，,控,制了,被,感染,主,机，然,后试图连,接,C&,C,主机获取用于加密,程,序或,加,密密 钥。,勒索软件在后台查找文,件,，并,进,行加,密,处理。,攻击者发出勒索信息，,通,知用,户,支付,赎,金换取 解密程序。,1,2,3,4,钓鱼链接,勒索软件的典型入侵过程带勒索软 件主机被注入 勒索软件勒索软,10,电脑的文件被加密后。,。,。,加密勒索软件的运行和,加,密的,操,作都,是,在后,台,完成,，,使用 者常常没有感知。,使用者在文件无法访问,时,，才,发,现加,密,行为,已,经完,成,了。,攻击者通过修改桌面，,或,者其,他,通知,方,式，,告,知使,用,者需,要支付赎金，获取解密,程,序和,密,钥来,完,成文,件,解,密。,受害者收到的勒索信息,受害者会收到各种形式,的,勒索,金,钱的,提,示,支付赎金并不能确保对,加,密的,文,件进,行,解密,电脑的文件被加密后。加密勒索软件的运行和加密的操作都是在,11,勒索软件在不断演化,采用对称加密方式，加,密,文件,名,，隐,藏,文件,夹,，影,响,用户,访,问文,件,系统,，,如,PC,Cyborg,QiaoZhaz,等。,采用非对称加密方式，,针,对文,档,、图,片,、视,频,等文,件,加密,，,如,GPCoder,CRYZIP,等。,采用强加密算法，利用,Trojan-Downloader,从,C&C,主,机获,取,密钥,，,通过,Bitcoin,方式支付赎,金,，,如,Cryptolocker,Locky,等。,未来可能会,以更,广,泛威,胁,的蠕,虫,传播,方,式,，,在,网络,内,部有,关,联的,应,用系,统,之间,传,播，,更,大范,围,勒,索金钱。,勒索软件在不断演化采用对称加密方式，加密文件名，隐藏文件夹，,12,攻击目标,转,向企业用户,-,案例,2016年2月，国外某医院的病人数据被,加密，造成医疗应用系统无法访问病人,资料；攻击者勒索300万美金。,2016年11月，国外某地铁公司的应用 系统被加密，造成售票机无法提供售票 业务，乘客免费乘坐地铁运营两天；攻 击者勒索,7.5,万美金。,攻击目标转向企业用户-案例2016年2月，国外某医院的病人数,13,勒索软件对行业,数据资,产,的巨,大,危害,由于企业数,据被,加,密后,，,造成,业,务无,法,正常,运,营，,甚,至业,务,中断,，,经济,损,失,和,社,会,压,力,导致,加快了勒索时间，成为,勒,索软,件,的下,一,个主,要,目标。,医疗行业：医院可能无,法,访问,或,丢失,重,要的,病,人信,息,，,治,疗,系统,无,法正,常,工作,，,影响,对,患者,进行及时的救治。,公共交通：公共交通的,关,键控,制,系统,无,法正,常,运行,，,售票,系,统的,瘫,痪，,造,成整,个,运营,系,统的 混乱，运营方遭受巨大,损,失和,公,众压,力,。,金融行业：网上银行系,统,或者,柜,员系,统,被控,制,，导,致,关键,信,息泄,露,，或,无,法提,供,正常,交,易，,带来造成巨大经济损失。,零售行业：影响交易系,统,的正,常,工作,，,消费,者,无法,进,行商,品,买卖,，,造成,巨,大经,济,损失。,勒索软件对行业数据资产的巨大危害由于企业数据被加密后，造成业,14,攻击从个人英雄向组织,犯,罪转变,攻击变得越来越有组织,性,，攻,击,从个,人,英雄,向,组织,犯,罪转,变,;,有组织的攻击犯罪攻击,资,源更,多,，更,加,有效,，,造成,的,安全,威,胁更,大,。,攻击从个人英雄向组织犯罪转变攻击变得越来越有组织性，攻击从个,15,攻击手段体系化,采用体系化攻击手段,的,A,P,T,攻击,呈,爆发,趋,势,，,带,来越,来,越大,的,安全,威,胁。,APT攻击以窃取核心资料,为,目的,，,会运,用,各种,攻,击工,具,、受,感,染的,各,种介,质,、供,应,链和,社,会 工程学等体系化的攻击,手,段实,施,先进,的,、持,久,的且,有,效的,威,胁和,攻,击。,攻击手段体系化采用体系化攻击手段的APT攻击呈爆发趋势，带来,16,网络空间安全防御新趋势,网络空间安全防御新趋势,17,在大规模网络环境中，,对,能够,引,起网,络,态势,发,生变,化,的安,全,要素,进,行获,取,、理,解,、显,示,以及对 未来短期的发展趋势的,预,测。,网络态势感,知,(Cyberspace,Situation,Awareness),借鉴并对比了“空中交通,监,管”,态,势感,知,的,概念。包含有两层含义：,实时地根据网络安全设,备,的告,警,信息,及,其他,信,息，,进,行关,联,归并,、,数据,融,合等,操,作,，,实,时反,映,网,络实际的运行状况；,根据历史数据进行一定,的,离线,分,析，,采,用一,定,手段,对,潜在,可,能的,威,胁进,行,预测。,网络安全态势感知定义,在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行,18,态势要素 获取,态势理解,态势预测,态势感知三 级模型,网络安全,态势感知模型,网络安全态势感知定义,态势要素 获取态势理解态势预测态势感知三 级模型网络安全,19,网络威胁情报共,享服务,模,式,网络威胁情报生态圈建设,网络威胁情报共享服务模式网络威胁情报生态圈建设,20,威胁采集,互联网采集,厂商报告，安全社区，,whois,交大自有数据,全球,I,P库、黑,I,P、黑,域名、黑MD5、社,工库、指纹库,第三方合作情报,S,TIX格式，机器可读，人可读,威胁采集互联网采集,21,ATP,威胁情报采集,整,个APT,攻击过,程,包括以,下5,大步骤：,定,向,情,报,收集,单,点,攻,击,突破,控,制,通,道,构建,内,部,多层渗透和数据收集,上,传,ATP威胁情报采集整个APT攻击过程包括以下5大步骤：,22,攻击能力,漏洞的挖掘和应用,Windo,ws,安全机制突破和远程管控,Windows,Rootkit/Bootkit,的研制,隐秘内网的渗透和权限获取,工业控制系统的安全机制研究和漏洞挖掘,iOS,系统的安全机制研究和渗透攻击,Web/,数据库服务器的渗透攻击,防御能力,网页挂马的自动检测分析,网络蜜罐的主动防御型检测,Windows,Bootkit,恶意代码检测,iOS,系统恶意代码检测,攻防基础设施,攻防教学实验系统,网络蜜罐系统,网络攻防主动防御能力,攻击能力网络攻防主动防御能力,23,威胁情报系统总体网络,拓,扑：,分,布式,采,集,+,集,中,分析,分析应用区,大数据存储,区,数据采集区,管理区,堡,垒机,用,户管理,运,维监控,采 集,存 储,分 析,处 置,展 示,5,2,权,限管理,3,4,分析平台,探,针部,署,位置,区,域边界,计,算节点,内,部计,算,环境,威,胁,情报,1,分布式部署的探针采,集数据（包括威胁情 报，安全设备日志,等），边界部署,将采集到的数据进行 数据整理和入库,系统实时分析数据，,也可以对历史数据进 行分析,分析结果送到展示界 面进行数据可视化,根据对事件的分析结 果，发送配置到探针,进行阻断操作,威胁情报系统总体网络拓扑：分布式采集+集中分析分析应用区大数,24,网络元数据,网络性能指,网络安全告,标警,恶意样本原始数据包威胁情报,数据采 集预处,理子系,统,网络原始流量,互联网信息,采集数 据源,主机日志、防病,毒、,IAM,等日志,防火墙、,I,DS等,日志,数据接口接口,全量 日志,全流 量,存储,网络 安全 事件 库,威胁 情报 库,文件 样本 库,漏洞 库,网络 性能 指标 库,元数 据库,业务 资产 信息 库,IP,域名 库,网络 流量 基因 库,病毒 木马 库,人员 行为 画像 库,数据接口,数据去重,初始关联,范式处理,数据储 存,子系统,安全分 析研判 子系统,可视化关联分析,行为模型分析引,擎,威胁情报匹配引,告警归集引擎,文件样本沙箱分,引擎,析引擎,大数据全量检索,引擎,流量分析引擎,主机流量分析引,擎,擎,数据包分析引擎,全量数据碰撞分,析引擎,应用交易性能分析 引擎,业务自动感知引擎,多段分析引擎,网络性能分析引擎,流量分析引擎,数据包分析引擎,响,性,能,应用识别引,擎,主机性能分析引擎,应,监,处,控,置,子,子,系,系,统,统,处置建议,防御设置,威胁情报库积累,研判结果,安全威胁监控,业务性能监控,态势呈现,展示中 心,子系统,监控大屏,W,EB访问界面,第三方接口,系统管,理子系,统,系统管理,用户管 理,角色管 理,权限管 理,