信息安全新技术

1信息安全技术2移动终端BYOD安全1高持续性威胁APT2虚拟化安全3加密技术4IPS/WAF5目录3BYOD安全公私分离BYOD:Bringyourowndevice,主要是指那些智能手机和平板设备。通过沙箱技术，在同一台移动设备上创建个人与企业分离的安全地带，所有的企业业务处理将在一个封闭的安全环境中，与个人应用隔离，在数据创建之初就确保存储在一个安全的隔离地带，并且加密保护.4•MDM:MobiledevicemanagementBYOD安全设备可管理MDM5•设备丢失/被盗后，可以远程进行设备锁定、设备定位、数据擦除BYOD安全设备丢失管理6移动终端BYOD安全1高持续性威胁APT2虚拟化安全3加密技术4IPS/WAF5目录7虚拟化安全—工作层次虚拟机的工作都需要通过API和底层的Vmware，安全模块工作于VMWare底层，无需每一台虚拟机进行部署。8IDS/IPS应用程序防护应用程序控制防火墙深度包检测完整性监控日志审计侦测/阻止基于操作系统漏洞的已知/零日攻击监视/控制本机应用程序支持所有IP-based的协议、提供细粒度过滤，并且可针对单独的网络接口侦测/阻止针对目录/文件/键值的未授权/恶意修改安全事件增强性审计侦测/阻止基于应用程序漏洞的已知/零日攻击无代理模式防毒防恶意程序底层无代理防护虚拟化安全—防护模块9虚拟化安全—虚拟补丁虚拟补丁不直接工作于虚拟机中，而是工作于Vmware层，原来的补丁安装卸载工作变成了启用和禁用，无需虚拟机重启，大大提高了灵活性和适应性。10移动终端BYOD安全1高持续性威胁APT2虚拟化安全3加密技术4IPS/WAF5目录11密码算法的要素明文P加密算法解密算法加密密钥解密密钥密文C明文P加密算法--对称加密算法--非对称加密算法12对称加密算法加密密钥和解密密钥或者相同，或者实质上等同（易于从一个密钥得出另一个）。因此加密和解密密钥都必须保密13–DES（DataEncryptionStandard）•IBM于70年代提出，77年成为美国商用数据加密标准，56位密钥–Triple-DES•DES使用三次，过渡产品–AES（AdvancedEncryptionStandard）•128/192/256位密钥，2000年10月，被选中为DES的替代品–Blowfish、Twofish–CAST–IDEA–RC2、RC5常用对称加密算法14对称加密算法特点•加密解密使用同一个密钥•运算速度快•加密算法安全•加密后产生的密文紧凑•密钥管理复杂（特别对于大团体通讯）•需要事先共享密钥•同以前未知实体初次通信困难•只能用于信息加密，不适用于通讯中的身份认证和不可抵赖性。15非对称加密算法16非对称加密算法概述•两个密钥同时产生，是一个密钥对–一个密钥是公开的，谁都可以得到，称为公钥–另一个密钥是保密的，只有密钥持有者拥有，称为私钥•非对称算法也称为公开密钥算法–如果用私钥进行加密，那么只能用相应的公钥才能解密–如果用公钥进行加密，那么只有相应的私钥才能解密17非对称加密算法实现•RSA算法–大整数因式分解•ElGamal算法---计算有限域离散对数问题的困难性•椭圆曲线ECC算法–利用椭圆曲线y2=x3+ax+b的性质–加密速度较RSA及离散对数类快，密钥长度低18非对称加密算法特点•使用非对称密码算法时，用一个密钥（公钥或者私钥）加密的东西只能用另外一个密钥(私钥或者公钥)来解密。•私钥和公钥无法互相推导。•因为不必发送私钥给接收者，所以非对称加密不必担心私钥被中途拦截的问题。•需要分发的密钥的数目和参与者的数目一样，这样，在参与者数目很大的情况下，非对称密码算法仍然会工作得很好。•非对称密码算法没有复杂的密钥分发问题。•非对称加密速度相对较慢。•非对称密码技本支持数字签名和不可否认性。19对称和非对称算法比较•对称和非对称算法结合使用–使用对称密码算法加密数据•发送者和接收者协商对称密码算法•每次加密先产生新的对称密钥（会话密钥）•使用会话密钥加密数据–使用非对称算法交换会话密钥•发送者使用接收者的公钥加密会话密钥•接收者使用私钥解密会话密钥–接收者使用会话密钥解密数据•数字签名解决数据完整性和不可否认性问题20•定义：–一个Hash函数H也称消息摘要(MessageDigest)，它接受一可变长输入x，返回一固定长度串，该串h被称为m的Hash值，记作h=H(x)。Hash函数可起到可靠检验和的作用。•基本要求：–输入x可以为任意长度–输出串长度固定（通常为128位或160位）–易计算，给定任何x，很容易算出H(x)–单向函数，即给出h，难以计算出一特定输入x，使h=H(x)消息摘要算法—哈希算法（散列算法）21消息摘要算法特点•输入信息任意长，输出的摘要定长•单向不可逆，即无法从摘要推算出输入信息•摘要中不含有任何输入明文的信息•算法公开，没有密钥•输入改变一位，将影响摘要的至少一半的位•创建/发现散列值为某个特定值的明文在计算上是非常困难的22数字签名散列算法D421F5AC6F8799CF9AB73C6EDCF7AE6EE68BA9C66F823C34A5BF538E发送者转账100万人民币给接收者消息摘要数字签名101101010101010100101010101010011101011010101011010010101011001001原文发送者私钥23数字证书基本属性证书是一系列信息的集合，公钥只是证书中的一个属性。证书中所有信息都是可以公开的。证书本身是不包含私钥的，所对应的私钥只被证书持有者本人拥有。24邮件加密和解密邮件明文对称加密随机密钥非对称解密随机密钥密文对称解密发送方接收方接收方证书公钥非对称加密接收方证书对应的私钥密文随机密钥邮件明文25验证签名哈希算法数字签名发送方证书对应的私钥摘要发送方证书公钥摘要摘要哈希算法=？邮件明文发送方非对称加密非对称解密邮件明文接收方26SSL访问：单向验证服务器证书27SSL访问双向验证服务器/客户端证书28移动终端BYOD安全1高持续性威胁APT2虚拟化安全3加密技术4IPS/WAF5目录29IPS/WAF•入侵检测系统-IPS：Intrusionpreventsystem•Web应用防火墙-WAF:WebApplicationFirewall30研发财经市场DMZ区SMTPPOP3WEBERPOACRM数据中心IPS部署在Internet边界，放在防火墙后面，可以抵御来自Internet的针对DMZ区服务器的应用层攻击来自Internet的DDoS攻击IPS部署在数据中心：抵御来自内网攻击，保护核心服务器和核心数据IPS部署在内部局域网段之间，可以抑制内网恶意流量，如间谍软件、蠕虫病毒等等的泛滥和传播抵御内网攻击分支机构分支机构分支机构IPS部署在广域网边界：抵御来自分支机构攻击保护广域网线路带宽IPS部署在外网Internet边界，放在防火墙前面，可以抵御来自Internet的各类攻击（DoS/DDoS，恶意病毒，僵尸木马等）IPS部署31IPS特点•DoS/DDoS–防止（Distribution）DenyofService的攻击•恶意程序–防止病毒、恶意代码针对系统漏洞的攻击•僵尸/肉鸡–防止内部已经中木马的僵尸/肉鸡电脑进一步上传机密信息和下载木马程序•Web攻击–防止具有明显恶意特征的SQL注入等•主要依靠静态的攻击特征库识别32WAF特点--对web应用进行深度分析•SQL注入•跨站脚本•网页挂马•缓冲区溢出•同时具备特征比对模式和自学习模式33WAF部署Web服务器数据库Web防火墙SQL注入网站挂马http会话劫持应用层DDOS……攻击Internet34Firewall/IPS/WAF工作层面WAFFirewall35Firewall/IPS/WAF比较•防火墙：门禁•IPS：保安•WAF：保镖36移动终端BYOD安全1高持续性威胁APT2虚拟化安全3加密技术4IPS/WAF5目录37高持续性威胁-APT：AdvancedPersistentThreat•Google极光攻击–2010年的GoogleAurora（极光）攻击是导致Google网络被渗透数月，并且造成各种系统的数据被窃取。该攻击过程大致如下：–1）攻击者尽可能地收集Google员工在Facebook、Twitter和其它社交网站上发布的信息，注意他们经常联系的好友。–2）接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它，就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出，进而执行FTP下载程序，并从远端进一步抓了更多新的程序来执行（由于其中部分程序的编译环境路径名称带有Aurora字样，该攻击故此得名）。–3）攻击者通过SSL安全隧道与受害人机器建立了连接，持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。–4）最后，攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息。38APT攻击特点•未知性–通常利用零日漏洞•渗透性–利用社会工程学等方法•潜伏隐蔽性–常规单一检测方法难以查到•长期性–持续数月或数年•锁定特定目标–针对政府机构、金融、电信、大中型成功企业等39APT综合防护•1、主机应用保护类：大部分APT攻击必须在员工的个人电脑上执行。因此，能够确保终端电脑的安全则可以有效防止APT攻击，实施终端准入系统，采用白名单方法来控制个人主机上应用程序的加载和执行情况，从而防止恶意代码在员工电脑上执行。•2、大数据分析检测APT类：该类APT攻击检测方案并不重点检测APT攻击中的某个步骤，而是通过搭建企业内部的可信文件知识库，全面收集重要终端和服务器上的日志信息，发现APT攻击的蛛丝马迹，目前可使用的系统如SIEM等•3、恶意代码检测类：该类APT解决方案其实就是检测APT攻击过程中的恶意代码传播步骤，因为大多数APT攻击都是采用恶意代码来攻击员工个人电脑以进入目标网络，因此，恶意代码的检测至关重要。目前可用的主要技术是防病毒系统•4、网络入侵检测类：就是通过网络边界处的入侵检测系统来检测APT攻击的命令和控制通道。如使用IPS和WAF等。•5、提高员工安全意识：防止社会工程攻击，时刻保持警惕。单打独斗防不住APT，必须多种手段综合防护！40