1、,信息安全技术,移动终端BYOD安全,1,高持续性威胁APT,2,虚拟化安全,3,加密技术,4,IPS/WAF,5,目录,BYOD安全 公私分离,BYOD: Bring your own device, 主要是指那些智能手机和平板设备。通过沙箱技术,在同一台移动设备上创建个人与企业分离的安全地带,所有的企业业务处理将在一个封闭的安全环境中,与个人应用隔离,在数据创建之初就确保存储在一个安全的隔离地带,并且加密保护.,MDM: Mobile device management,BYOD安全 设备可管理MDM,设备丢失/被盗后,可以远程进行设备锁定、设备定位、数据擦除,BYOD安全 设备丢失管理,
2、移动终端BYOD安全,1,高持续性威胁APT,2,虚拟化安全,3,加密技术,4,IPS/WAF,5,目录,虚拟化安全工作层次,虚拟机的工作都需要通过API和底层的Vmware, 安全模块工作于VMWare底层,无需每一台虚拟机进行部署。,IDS / IPS,应用程序防护,应用程序控制,防火墙,深度包检测,完整性监控,日志审计,侦测/阻止基于操作系统漏洞的已知/零日攻击,监视/控制本机应用程序,支持所有IP-based的协议、提供细粒度过滤,并且可针对单独的网络接口,侦测/阻止针对目录/文件/键值的未授权/恶意修改,安全事件增强性审计,侦测/阻止基于应用程序漏洞的已知/零日攻击,无代理模式防毒,
3、防恶意程序,底层无代理防护,虚拟化安全防护模块,虚拟化安全虚拟补丁,虚拟补丁不直接工作于虚拟机中,而是工作于Vmware层, 原来的补丁安装卸载工作变成了启用和禁用, 无需虚拟机重启,大大提高了灵活性和适应性。,移动终端BYOD安全,1,高持续性威胁APT,2,虚拟化安全,3,加密技术,4,IPS/WAF,5,目录,密码算法的要素,明文P,加密算法,解密算法,加密密钥,解密密钥,密文C,明文P,加密算法-对称加密算法-非对称加密算法,对称加密算法,加密密钥和解密密钥或者相同,或者实质上等同(易于从一个密钥得出另一个)。因此加密和解密密钥都必须保密,DES(Data Encryption Sta
4、ndard) IBM于70年代提出,77年成为美国商用数据加密标准,56位密钥 Triple-DES DES使用三次,过渡产品 AES(Advanced Encryption Standard) 128/192/256位密钥,2000年10月,被选中为DES的替代品 Blowfish、Twofish CAST IDEA RC2、RC5,常用对称加密算法,对称加密算法特点,加密解密使用同一个密钥 运算速度快 加密算法安全 加密后产生的密文紧凑 密钥管理复杂(特别对于大团体通讯) 需要事先共享密钥 同以前未知实体初次通信困难 只能用于信息加密,不适用于通讯中的身份认证和不可抵赖性。,非对称加密算法
5、,非对称加密算法概述,两个密钥同时产生 ,是一个密钥对 一个密钥是公开的,谁都可以得到,称为公钥 另一个密钥是保密的,只有密钥持有者拥有,称为私钥 非对称算法也称为公开密钥算法 如果用私钥进行加密,那么只能用相应的公钥才能解密 如果用公钥进行加密,那么只有相应的私钥才能解密,非对称加密算法实现,RSA算法 大整数因式分解ElGamal算法 - 计算有限域离散对数问题的困难性椭圆曲线ECC算法 利用椭圆曲线y2=x3+ax+b的性质 加密速度较RSA及离散对数类快,密钥长度低,非对称加密算法特点,使用非对称密码算法时,用一个密钥(公钥或者私钥)加密的东西只能用另外一个密钥(私钥或者公钥)来解密。
6、 私钥和公钥无法互相推导。 因为不必发送私钥给接收者,所以非对称加密不必担心私钥被中途拦截的问题。 需要分发的密钥的数目和参与者的数目一样,这样,在参与者数目很大的情况下,非对称密码算法仍然会工作得很好。 非对称密码算法没有复杂的密钥分发问题。 非对称加密速度相对较慢。 非对称密码技本支持数字签名和不可否认性。,对称和非对称算法比较,对称和非对称算法结合使用 使用对称密码算法加密数据 发送者和接收者协商对称密码算法 每次加密先产生新的对称密钥(会话密钥) 使用会话密钥加密数据 使用非对称算法交换会话密钥 发送者使用接收者的公钥加密会话密钥 接收者使用私钥解密会话密钥 接收者使用会话密钥解密数据
7、 数字签名解决数据完整性和不可否认性问题,定义: 一个Hash函数H也称消息摘要(Message Digest),它接受一可变长输入x,返回一固定长度串,该串h被称为m的Hash值,记作h = H(x)。Hash函数可起到可靠检验和的作用。 基本要求: 输入x可以为任意长度 输出串长度固定(通常为128位或160位) 易计算,给定任何x,很容易算出H(x) 单向函数,即给出h,难以计算出一特定输入x,使h = H(x),消息摘要算法哈希算法(散列算法),消息摘要算法特点,输入信息任意长,输出的摘要定长 单向不可逆,即无法从摘要推算出输入信息 摘要中不含有任何输入明文的信息 算法公开,没有密钥
8、输入改变一位,将影响摘要的至少一半的位 创建/发现散列值为某个特定值的明文在计算上是非常困难的,数字签名,数字证书基本属性,证书是一系列信息的集合,公钥只是证书中的一个属性。证书中所有信息都是可以公开的。证书本身是不包含私钥的,所对应的私钥只被证书持有者本人拥有。,邮件加密和解密,邮件明文,对称加密,随机密钥,非对称解密,随机密钥密文,对称解密,发送方,接收方,接收方证书公钥,非对称加密,接收方证书对应的私钥,密文,随机密钥,邮件明文,验证签名,哈希算法,数字签名,发送方证书对应的私钥,摘要,发送方证书公钥,摘要,摘要,哈希算法,=,?,邮件明文,发送方,非对称加密,非对称解密,邮件明文,接收
9、方,SSL 访问,https:/ SSL 2.0:单向验证服务器证书,SSL 访问,https:/ 双向验证服务器/客户端证书,移动终端BYOD安全,1,高持续性威胁APT,2,虚拟化安全,3,加密技术,4,IPS/WAF,5,目录,IPS/WAF,入侵检测系统-IPS:Intrusion prevent systemWeb应用防火墙-WAF: Web Application Firewall,研发,财经,市场,DMZ区,SMTP,POP3,WEB,ERP,OA,CRM,数据中心,IPS部署在Internet边界,放在防火墙后面,可以 抵御来自Internet的针对DMZ区服务器的应用层攻击
10、来自Internet的DDoS攻击,IPS部署在数据中心: 抵御来自内网攻击,保护核心服务器和核心数据,IPS部署在内部局域网段之间,可以 抑制内网恶意流量,如间谍软件、蠕虫病毒等等的泛滥和传播 抵御内网攻击,分支机构,分支机构,分支机构,IPS部署在广域网边界: 抵御来自分支机构攻击 保护广域网线路带宽,IPS部署在外网Internet边界,放在防火墙前面,可以 抵御来自Internet的各类攻击(DoS/DDoS,恶意病毒,僵尸木马等),IPS,IPS,IPS,IPS,IPS,IPS,IPS,IPS部署,IPS特点,DoS/DDoS 防止(Distribution)Deny of Serv
11、ice的攻击 恶意程序 防止病毒、恶意代码针对系统漏洞的攻击 僵尸/肉鸡 防止内部已经中木马的僵尸/肉鸡电脑进一步上传机密信息和下载木马程序 Web攻击 防止具有明显恶意特征的SQL注入等主要依靠静态的攻击特征库识别,WAF特点-对web应用进行深度分析,SQL注入 跨站脚本 网页挂马 缓冲区溢出同时具备特征比对模式和自学习模式,WAF部署,Web服务器,数据库,Web防火墙,SQL注入 网站挂马 http会话劫持 应用层DDOS ,攻击,Internet,Firewall/IPS/WAF 工作层面,IPS,WAF,Firewall,Firewall/IPS/WAF 比较,防火墙:门禁IPS:
12、 保安WAF:保镖,移动终端BYOD安全,1,高持续性威胁APT,2,虚拟化安全,3,加密技术,4,IPS/WAF,5,目录,高持续性威胁-APT:Advanced Persistent Threat,Google极光攻击 2010年的Google Aurora(极光)攻击是导致Google网络被渗透数月,并且造成各种系统的数据被窃取。该攻击过程大致如下: 1)攻击者尽可能地收集Google员工在Facebook、Twitter和其它社交网站上发布的信息,注意他们经常联系的好友。2)接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发
13、来的网络链接并且点击它,就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出,进而执行FTP下载程序,并从远端进一步抓了更多新的程序来执行(由于其中部分程序的编译环境路径名称带有Aurora字样,该攻击故此得名)。 3)攻击者通过SSL安全隧道与受害人机器建立了连接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。4)最后,攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息。,APT攻击特点,未知性 通常利用零日漏洞 渗透性 利用社会工程学等方法 潜伏隐蔽性 常规单一
14、检测方法难以查到 长期性 持续数月或数年 锁定特定目标 针对政府机构、金融、电信、大中型成功企业等,APT综合防护,1、主机应用保护类:大部分APT攻击必须在员工的个人电脑上执行。因此,能够确保终端电脑的安全则可以有效防止APT攻击,实施终端准入系统,采用白名单方法来控制个人主机上应用程序的加载和执行情况,从而防止恶意代码在员工电脑上执行。2、大数据分析检测APT类:该类APT攻击检测方案并不重点检测APT攻击中的某个步骤,而是通过搭建企业内部的可信文件知识库,全面收集重要终端和服务器上的日志信息,发现APT攻击的蛛丝马迹,目前可使用的系统如SIEM等3、恶意代码检测类:该类APT解决方案其实就是检测APT攻击过程中的恶意代码传播步骤,因为大多数APT攻击都是采用恶意代码来攻击员工个人电脑以进入目标网络,因此,恶意代码的检测至关重要。目前可用的主要技术是防病毒系统4、网络入侵检测类:就是通过网络边界处的入侵检测系统来检测APT攻击的命令和控制通道。如使用IPS和WAF等。5、提高员工安全意识:防止社会工程攻击,时刻保持警惕。,单打独斗防不住APT, 必须多种手段综合防护!,谢谢! Thank You!,
