新一代信息技术的信息安全与 信息安全新技术. 主要的信息安全标准-国际标准 发布的机构安全标准 1 ISO (国际标准组织) ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569 2 ISACA (信息系统审计 与控制学会)

Slides:



Advertisements
Similar presentations
演講人:黃曉雯. 2 CMMI 介紹 CMMI 模式 CMMI 通過評鑑組織單位 CMMI 架構 CMMI 導入益處 CMMI 應用 3.
Advertisements

长春工程学院图书馆. CHANGCHUN INSTITUTE OF TECHNOLOGY 资源介绍 爱迪科森就业培训数据库涵盖了学历考试类、应用英语类、 出国考试类、职业英语类、小语种以及职业认证培训、研 究生考试、公务员考试等课程资源,为高校师生提供英语 基础、小语种入门、考前辅导、求职指导等全方位培训。
●公司簡介. ●公司組織 行銷 企劃部 行銷 企劃部 研發 設計部 研發 設計部 視覺 設計部 視覺 設計部 媒體 製作部 媒體 製作部 行動 裝置部 行動 裝置部 執行長 總經理 管理部 本公司組織人力配置除董事長、執行長、總經理外,共 有六大部門,分別為研發部 6 人、管理部 4 人、視覺設計部.
環境游離輻射 ( 六 ) 輻射與核能發電. 媽!這是我上班的 地方-核電廠。 地方好寬闊喔! 聽說日本原子彈爆炸死好幾 萬人,阿榮啊!你在這裡上 班,安全嗎?
《小狗包弟 》之 从阅读到写作 学校:和风中学 年级:高一 参赛者:彭龙英. 预习检测一 思考:同学们读完作者与包弟 的故事后,说一说作者所表达的情 感是什么?
104年網路攻防演練辦理情形 行政院資通安全辦公室 周智禾 諮議 中華民國104年12月21日.
第十章 資訊安全管理 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
中小學網管人員面對個資安全世代之探討 Location:台中市大甲區順天國小 Speaker:麥毅廷 Date:2012/06/06
探究活动课:互联网+历史素材阅读与研讨 古代中国的选官制度 黄天庆  探究活动课:互联网+历史素材阅读与研讨 古代中国的选官制度 黄天庆 
◈ 中小企业需要的所有功能 各种功能,可以永久使用的系统 Ecount ERP 每月$55 库存/销售/采购 生产/成本/利润 会计/资金
職校、五專群科簡介.
課程地圖 (104年入學-日間部) 校通識核心 專業課程 必修與選修 與管理模組 網路技術 App設計與應用模組 學院通識核心 學院專業核心
資訊安全.
供应商信息录入操作指引 ----山东钢铁集团房地产有限公司.
江苏省工程造价管理协会 工作报告 2015年4月21日 扬州.
大綱 基本觀念 安全的重要性 取捨 一些安全防護技術和制度的基本原理 你只需要知道原理 你自己要有因應的措施 企業安全規範 1.
101年8月份 嘉義市道路交通安全聯席會報 酒駕行為與肇事現況分析 主講人:內政部警政署交通組科長張夢麟 1.
高校邦在线学习平台 学生学习手册 北京高校邦科技有限公司.
空間向量 朱泰吉 蔡宇翔 張力夫 莊孟霏.
未来协同项目计划书.
第9章 系統建置.
信息安全标准、法律法规及等级保护 温州市继续教育院 -信息安全继续教育培训 陆军波 /
全面战争时代 ——大数据分析 演讲者 周涛.
中小學網管人員面對個資安全世代之探討 Location:台中市北屯區東山高中 Speaker:麥毅廷(臺體大運管系)
尔雅慕课学生操作手册说明.
尔雅慕课学生操作手册说明.
以開放原始碼建立一個具錯別字修正能力之 網路新興辭彙資訊處理系統
企業籌資更便捷 大眾投資更穩當 103年度新增(修)資訊申報項目說明 2014年11月.
上海宏弈源软件科技有限公司 — 12年专注益智软件研发 和配套产品服务 上海宏弈源软件科技有限公司.
郑州市惠济区第六中学 网站推介 姜茂方 2015年1月10日.
管理系统工程案例 Management systems engineering cases
提升时间管理.
转正述职报告 乐恩公司 史航
103學年度第1階段 志願選填試探後輔導作為 成效檢討與精進建議
活动主题:佛山智造 中国骄傲 随着互联网、云计算、大数据以及移动互联网的快速发展,技术不仅仅是一种工具,正加速重构着品牌的新格局。
管理系统工程案例 Management systems engineering cases
荷福威士顿机器人科技有限公司 上海荷福集团
第一部分 系统概述 第二部分 技术背景 目录 第三部分 维修流程描述 成功案例 第四部分. 第一部分 系统概述 第二部分 技术背景 目录 第三部分 维修流程描述 成功案例 第四部分.
深信服NGAF下一代应用防火墙.
空間向量 朱泰吉 蔡宇翔 張力夫 莊孟霏.
                                        導師健康關懷 健康是一輩子的事 義守大學衛生保健組 關心您.
四川省卫生监督移动 执法终端介绍 发言人:陈成身 四川省卫生执法监督总队.
獎補助經預計支用報告 105年.
尔雅慕课学生操作手册说明 尔雅客服中心.
管理系统工程案例 Management systems engineering cases
物聯網安全 物聯網的軟體安全分析.
東華大學國企系國際金融 第十二章 國際資本移動 授課老師: 王廷升博士.
網路基本概念 本章主要是為讀者建立有關網路的基本知識, 作為後續章節的基礎。首先我們會說明網路的基本概念, 接著介紹網路的各種類型與相關的作業系統, 最後則是介紹 OSI 與 DoD 等兩種網路模型, 讓讀者能進一步了解網路運作的方式。
尔雅慕课学生操作手册说明 尔雅客服中心.
尔雅慕课学生操作手册说明.
2018/11/29 内外兼修,保障业务安全 —— 腾讯安全运维实践
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
「資訊安全國家標準草案之研擬」計畫 之 軟體處理評估分項計畫 主講者:吳林全 先生
中央大學 電子計算機中心 . 雲端服務介紹 李靜怡 105年5月SNMG會議.
计算机网络管理技术 主讲:刘方明 副教授 华中科技大学计算机学院
《网上报告厅》使用说明 北京爱迪科森教育科技股份有限公司.
Webmail Hacking 千域千寻.
福智 學員平台 2018/6/9 幹部月會 羅東教室.
運用能力成熟度模型改善企業網站開發之績效 ─以某中小企業為例
尔雅慕课学生操作手册说明 尔雅客服中心.
Windows服务器操作系统:2003 市场占有率仍稳居第一
指導老師:楊子青 老師 專題組員:朱盈慈、曾孟涵、范珮錡、林佳臻
小学生交通安全主题班会课件 安全 security 上派学区中心校校园安全管理办公室.
淘宝云应用安全 Lyon 5/23/2013.
基于App Inventor的物联网工程导论课程实验设计
102學年度下學期 班親會 五年仁班 楊曉逸老師.
專案管理成熟度對專案經理人與 專案成功關係之研究
第二階段「校園徒步區建置」 執行成果報告.
第五章 資訊安全概述 5-1 安全定義 5-2 安全標準 5-3 安全元件.
尔雅慕课学生操作手册说明 尔雅客服中心.
Presentation transcript:

新一代信息技术的信息安全与 信息安全新技术

主要的信息安全标准-国际标准 发布的机构安全标准 1 ISO (国际标准组织) ISO17799/ISO27001/ISO27002 ISO/IEC ISO/IEC ISO/TR ISACA (信息系统审计 与控制学会) COBIT ISSEA (国际系统安全 工程协会) SSE-CMM Systems Security Engineering - Capability Maturity Model ISSA (信息系统安全协 会) GAISP Version ISF ( 信息安全论坛) The Standard of Good Practice for Information Security 6 IETF (互联网工程任务 小组) 各种 RFC ( Request for Comments )

第 3 页 主要的信息安全标准-国际标准 ( 续) 发布的机构安全标准 7 NIST (国家标准和 技术研究所) NIST 800 系列 8 DOD ( 美国国防部 )TCSEC (可信计算机系统评测标准)- 彩 虹系列 9Carnegie Mellon Software Engineering Institute (SEI) Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Criteria Version OECD (经济与贸 易发展组织) Guidelines for the Security of Information Systems and Networks and Associated Implementation Plan 11The Open GroupManager’s Guide to Information Security 12ITILSecurity management  除了上述标准,世界各国的官方机构和行业监管机构还有许多信息安全方 面的标准、指引和建议的操作实践。

IIS 存在 unicode 漏洞 穿过防火墙 外部网络 内部网络 从系统角度谈论的安全性 4

从信息安全产品的角度 密钥管理产品密钥管理产品 高性能加密芯片产品高性能加密芯片产品 密码加密产品密码加密产品 数字签名产品数字签名产品 安全授权认证产品信息保密产品 数字证书管理系统数字证书管理系统 用户安全认证卡用户安全认证卡 智 能 IC 卡 鉴别与授权服务器鉴别与授权服务器 安全平台 安全操作系统安全操作系统 安全数据库系统安全数据库系统 Web 安 全 平 台 安全路由器与虚拟专用网络产品安全路由器与虚拟专用网络产品 网络病毒检查预防和清除产品网络病毒检查预防和清除产品 安全检测与监控产品 网络安全隐患扫描检测工具网络安全隐患扫描检测工具 网络安全监控及预警设备网络安全监控及预警设备 网络信息远程监控系统网络信息远程监控系统 网情分析系统网情分析系统

从攻防的角度看安全性: 10 大渗透测试平台 Metasploit 是一种框架,拥有庞大的编程员爱好者群体,广大编程员添加了自定义模块,测 试工具可以测试众多操作系统和应用程序中存在的安全漏洞。人们在 GitHub 和 Bitbucket 上 发布这些自定义模块 DVWA (Dam Vulnerable Web Application)DVWA 是用 PHP+Mysql 编写的一套用于常规 WEB 漏洞教学和检测的 WEB 脆弱性测试程序。包含了 SQL 注入、 XSS 、盲注等常见的一些 安全漏洞 Mutillidae 是一个免费,开源的 Web 应用程序,提供专门被允许的安全测试和入侵的 Web 应 用程序。包含了丰富的渗透测试项目,如 SQL 注入、跨站脚本、 clickjacking 、本地文件包 含、远程代码执行等. SQLol 是一个可配置得 SQL 注入测试平台,它包含了一系列的挑战任务,让你在挑战中测试 和学习 SQL 注入语句 Hackxor 包括常见的 WEB 漏洞演练, XSS 、 CSRF 、 SQL 注入、 RCE 等。 BodgeIt 是一个 Java 编写的脆弱性 WEB 程序。他包含了 XSS 、 SQL 注入、调试代码、 CSRF 、 不安全的对象应用以及程序逻辑上面的一些问题 XSSeducation 是一套专门测试跨站的程序。里面包含了各种场景的测试 OWASP Hackademic 是由 OWASP 开发的一个项目,你可以用它来测试各种攻击手法,目 前包含了 10 个有问题的 WEB 应用程序 WackoPicko 是一个脆弱的 Web 应用程序,用于测试 Web 应用程序漏洞扫描工具。它包含了 命令行注射、 sessionid 问题、文件包含、参数篡改、 sql 注入、 xss 、 flash form 反射性 xss 、 弱口令扫描等

Web 服务是主要的 攻击面  Web 攻击面面临的主要攻击手段  通用性漏洞: 如 SQL 注入、跨站、命令执行等  0day 的攻击: 新型框架漏洞、新型利用手段  浏览器攻击: 浏览器 0day 漏洞  协议攻击: SSL

 云计算  大数据  移动智能终端  物联网 新一代信息技术的信息安全

云安全与传统安全的区别 缺乏透明度 业务不透明 业务流程不 透明 管理机制不 透明 数据状况不透 明 数据流转过 程不透明

云计算的安全性

 重点关注以下安全问题:  1. 针对一台虚拟机可监控另一台虚拟机甚至会接入到宿主机带来的安全问题进行 评估。  2. 通过一台虚拟机可以穿越虚拟机层进入宿主机,宿主机获得云管理的的访问权 限,从而对其他虚拟机进行攻击。  3. 远程管理缺陷的安全评估:云管理员通常通过管理平台来管理虚拟机,这些控 制台可能会引起一些新的缺陷。例如跨站脚本攻击、 SQL 入侵等。  4. 拒绝服务攻击的安全评估:在虚拟化环境下, DoS 攻击可能会加到虚拟机上, 从而非法获取宿主机上所有的资源。  5. Rootkit 的安全评估,如果云管理主机被 Rootkit 控制。 Rootkit 掌控者可以得到 整个物理机器的控制权。  6. 迁移攻击的安全评估:迁移攻击可以将虚拟机从一台主机移动到另一台。在虚 拟机移动到另一个位置的过程中,虚拟磁盘被重新创建。攻击者能够改变源配置 文件和虚拟机的特性打破所有的安全措施。由于该虚拟机是一个实际虚拟机的副 本,难以追踪攻击者的此类威胁。另外,虚拟机和主机之间共享剪切板也可能产 生安全问题。  同时,云计算的安全评估还包括:云应用存在的安全漏洞及其影响、云数据存 储的完整性和机密性、云密钥的安全性、云日志的安全评估,云访问控制的安全 评估。 云计算安全性主要关注点

大数据的安全存储采用虚拟化海量存储技术来存储数据资源,涉及数据传输、隔离、恢复 等的问题,其中每个环节都可能存在安全威胁。 ( 1 )数据加密 在大数据安全服务的设计中,大数据可以按照数据安全存储的需求,被分段分级存储在数 据集的任何存储空间,实现数据集的节点和应用程序之间移动保护大数据。 在大数据的传输服务过程中,加密为数据流的上传与下载提供有效的保护。应用隐私保护 和外包数据计算,屏蔽网络攻击。 ( 2 )分离密钥和加密数据。 使用加密方法把数据使用与数据保管分离,把密钥与要保护的数据隔离开。同时,定义产 生、存储、备份、恢复等密钥管理生命周期。 ( 3 )使用过滤器 通过过滤器的监控,一旦发现数据离开了用户的网络,就自动阻止数据的再次传输。 ( 4 )数据备份 通过系统容灾、敏感信息集中管控和数据管理等产品,实现端对端的数据保护,确保大数 据损坏情况下有备无患和安全管控。 还包括传统数据安全的脱敏问题 大数据的 DLP 问题

 移动智能终端和物联网因为其攻击面大,安全问题 更为突出。 移动智能终端及物联网安全

Android TEE 普通 App 安全自主 App 安全自主 App OS Kernel TrustZone Client 监视模式 TEE 安全 API 安全服务 移动智能终端操作系统

 图兰( Turla )、 Regin 、 Auroragold 都是是最顶级的 APT ,与近年来发现的国家级恶意软件如 Flame 、 Stuxnet 和 Duqu 很像,技术上高度复杂。  TA (Targeted Attacks) 鱼叉式攻击,水坑攻击  AT(Advanced Threats) 0day 攻击,社工,非常规 下一代安全威胁

APT 攻击方式 APT 攻 击 社会工程 学 人工主动 攻击 利用病毒 木马攻击 0day 攻击 基于异常 流量攻击

反 APT 手段 主动攻击检测 恶意流量攻 击检测 已知漏洞检 测 0day 漏洞检 测 动态行为分析 综合关联分析 发现 APT

THE END