新一代信息技术的信息安全与 信息安全新技术
主要的信息安全标准-国际标准 发布的机构安全标准 1 ISO (国际标准组织) ISO17799/ISO27001/ISO27002 ISO/IEC ISO/IEC ISO/TR ISACA (信息系统审计 与控制学会) COBIT ISSEA (国际系统安全 工程协会) SSE-CMM Systems Security Engineering - Capability Maturity Model ISSA (信息系统安全协 会) GAISP Version ISF ( 信息安全论坛) The Standard of Good Practice for Information Security 6 IETF (互联网工程任务 小组) 各种 RFC ( Request for Comments )
第 3 页 主要的信息安全标准-国际标准 ( 续) 发布的机构安全标准 7 NIST (国家标准和 技术研究所) NIST 800 系列 8 DOD ( 美国国防部 )TCSEC (可信计算机系统评测标准)- 彩 虹系列 9Carnegie Mellon Software Engineering Institute (SEI) Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Criteria Version OECD (经济与贸 易发展组织) Guidelines for the Security of Information Systems and Networks and Associated Implementation Plan 11The Open GroupManager’s Guide to Information Security 12ITILSecurity management 除了上述标准,世界各国的官方机构和行业监管机构还有许多信息安全方 面的标准、指引和建议的操作实践。
IIS 存在 unicode 漏洞 穿过防火墙 外部网络 内部网络 从系统角度谈论的安全性 4
从信息安全产品的角度 密钥管理产品密钥管理产品 高性能加密芯片产品高性能加密芯片产品 密码加密产品密码加密产品 数字签名产品数字签名产品 安全授权认证产品信息保密产品 数字证书管理系统数字证书管理系统 用户安全认证卡用户安全认证卡 智 能 IC 卡 鉴别与授权服务器鉴别与授权服务器 安全平台 安全操作系统安全操作系统 安全数据库系统安全数据库系统 Web 安 全 平 台 安全路由器与虚拟专用网络产品安全路由器与虚拟专用网络产品 网络病毒检查预防和清除产品网络病毒检查预防和清除产品 安全检测与监控产品 网络安全隐患扫描检测工具网络安全隐患扫描检测工具 网络安全监控及预警设备网络安全监控及预警设备 网络信息远程监控系统网络信息远程监控系统 网情分析系统网情分析系统
从攻防的角度看安全性: 10 大渗透测试平台 Metasploit 是一种框架,拥有庞大的编程员爱好者群体,广大编程员添加了自定义模块,测 试工具可以测试众多操作系统和应用程序中存在的安全漏洞。人们在 GitHub 和 Bitbucket 上 发布这些自定义模块 DVWA (Dam Vulnerable Web Application)DVWA 是用 PHP+Mysql 编写的一套用于常规 WEB 漏洞教学和检测的 WEB 脆弱性测试程序。包含了 SQL 注入、 XSS 、盲注等常见的一些 安全漏洞 Mutillidae 是一个免费,开源的 Web 应用程序,提供专门被允许的安全测试和入侵的 Web 应 用程序。包含了丰富的渗透测试项目,如 SQL 注入、跨站脚本、 clickjacking 、本地文件包 含、远程代码执行等. SQLol 是一个可配置得 SQL 注入测试平台,它包含了一系列的挑战任务,让你在挑战中测试 和学习 SQL 注入语句 Hackxor 包括常见的 WEB 漏洞演练, XSS 、 CSRF 、 SQL 注入、 RCE 等。 BodgeIt 是一个 Java 编写的脆弱性 WEB 程序。他包含了 XSS 、 SQL 注入、调试代码、 CSRF 、 不安全的对象应用以及程序逻辑上面的一些问题 XSSeducation 是一套专门测试跨站的程序。里面包含了各种场景的测试 OWASP Hackademic 是由 OWASP 开发的一个项目,你可以用它来测试各种攻击手法,目 前包含了 10 个有问题的 WEB 应用程序 WackoPicko 是一个脆弱的 Web 应用程序,用于测试 Web 应用程序漏洞扫描工具。它包含了 命令行注射、 sessionid 问题、文件包含、参数篡改、 sql 注入、 xss 、 flash form 反射性 xss 、 弱口令扫描等
Web 服务是主要的 攻击面 Web 攻击面面临的主要攻击手段 通用性漏洞: 如 SQL 注入、跨站、命令执行等 0day 的攻击: 新型框架漏洞、新型利用手段 浏览器攻击: 浏览器 0day 漏洞 协议攻击: SSL
云计算 大数据 移动智能终端 物联网 新一代信息技术的信息安全
云安全与传统安全的区别 缺乏透明度 业务不透明 业务流程不 透明 管理机制不 透明 数据状况不透 明 数据流转过 程不透明
云计算的安全性
重点关注以下安全问题: 1. 针对一台虚拟机可监控另一台虚拟机甚至会接入到宿主机带来的安全问题进行 评估。 2. 通过一台虚拟机可以穿越虚拟机层进入宿主机,宿主机获得云管理的的访问权 限,从而对其他虚拟机进行攻击。 3. 远程管理缺陷的安全评估:云管理员通常通过管理平台来管理虚拟机,这些控 制台可能会引起一些新的缺陷。例如跨站脚本攻击、 SQL 入侵等。 4. 拒绝服务攻击的安全评估:在虚拟化环境下, DoS 攻击可能会加到虚拟机上, 从而非法获取宿主机上所有的资源。 5. Rootkit 的安全评估,如果云管理主机被 Rootkit 控制。 Rootkit 掌控者可以得到 整个物理机器的控制权。 6. 迁移攻击的安全评估:迁移攻击可以将虚拟机从一台主机移动到另一台。在虚 拟机移动到另一个位置的过程中,虚拟磁盘被重新创建。攻击者能够改变源配置 文件和虚拟机的特性打破所有的安全措施。由于该虚拟机是一个实际虚拟机的副 本,难以追踪攻击者的此类威胁。另外,虚拟机和主机之间共享剪切板也可能产 生安全问题。 同时,云计算的安全评估还包括:云应用存在的安全漏洞及其影响、云数据存 储的完整性和机密性、云密钥的安全性、云日志的安全评估,云访问控制的安全 评估。 云计算安全性主要关注点
大数据的安全存储采用虚拟化海量存储技术来存储数据资源,涉及数据传输、隔离、恢复 等的问题,其中每个环节都可能存在安全威胁。 ( 1 )数据加密 在大数据安全服务的设计中,大数据可以按照数据安全存储的需求,被分段分级存储在数 据集的任何存储空间,实现数据集的节点和应用程序之间移动保护大数据。 在大数据的传输服务过程中,加密为数据流的上传与下载提供有效的保护。应用隐私保护 和外包数据计算,屏蔽网络攻击。 ( 2 )分离密钥和加密数据。 使用加密方法把数据使用与数据保管分离,把密钥与要保护的数据隔离开。同时,定义产 生、存储、备份、恢复等密钥管理生命周期。 ( 3 )使用过滤器 通过过滤器的监控,一旦发现数据离开了用户的网络,就自动阻止数据的再次传输。 ( 4 )数据备份 通过系统容灾、敏感信息集中管控和数据管理等产品,实现端对端的数据保护,确保大数 据损坏情况下有备无患和安全管控。 还包括传统数据安全的脱敏问题 大数据的 DLP 问题
移动智能终端和物联网因为其攻击面大,安全问题 更为突出。 移动智能终端及物联网安全
Android TEE 普通 App 安全自主 App 安全自主 App OS Kernel TrustZone Client 监视模式 TEE 安全 API 安全服务 移动智能终端操作系统
图兰( Turla )、 Regin 、 Auroragold 都是是最顶级的 APT ,与近年来发现的国家级恶意软件如 Flame 、 Stuxnet 和 Duqu 很像,技术上高度复杂。 TA (Targeted Attacks) 鱼叉式攻击,水坑攻击 AT(Advanced Threats) 0day 攻击,社工,非常规 下一代安全威胁
APT 攻击方式 APT 攻 击 社会工程 学 人工主动 攻击 利用病毒 木马攻击 0day 攻击 基于异常 流量攻击
反 APT 手段 主动攻击检测 恶意流量攻 击检测 已知漏洞检 测 0day 漏洞检 测 动态行为分析 综合关联分析 发现 APT
THE END