信息安全意识与挑战

信息安全意识与挑战深圳市国家税务局信息安全培训当前第1页\共有72页\编于星期四\19点大纲信息安全意识从“勒索”说起美国IAD全美家庭网络安全指南说说支付安全有趣的社会工程学APT攻击与“爬库”解读信息安全立法新技术下的安全挑战云安全物联网安全大数据隐私情报分析基础态势感知概述当前第2页\共有72页\编于星期四\19点信息安全意识当前第3页\共有72页\编于星期四\19点从“勒索”病毒说起从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第4页\共有72页\编于星期四\19点从“勒索”病毒说起从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第5页\共有72页\编于星期四\19点缓解措施为了减少攻击面，确保正确的本地网络分段。教育用户有关常见鱼叉式网络钓鱼战术和如何识别，以及预防感染。保持用户对不良安全性做法负责。定期执行备份和保留异地副本：Locky有加密您的基于网络的备份文件的能力；因此，建议每个系统不仅备份在域内而且应场外存储复制。确保可靠的应用程序白名单（AWL）策略，包括防止任何程序从用户可写文件位置的规则，特别是％TEMP％位置（例如C：\user\*\应用程序数据\本地\TEMP）。大多数AWL产品有从允许执行阻止％TEMP％目录中的“默认”规则，而且组织也应保证被列入白名单的任何位置也防止用户写入这些文件夹。确保HIPS规则拒绝运行未知的可执行文件，精心调校，并设置阻拦。例如，McAfee的HBSS规则3905和2297拒绝来自常见的恶意软件的位置（例如临时目录）执行。规则7010，7011，7035和是与美国国防部的环境中额外的优化类似的规则。自定义规则可以创建拒绝注册表项“HKEY_CURRENT_USER\SOFTWARE\Locky”的创建。如果允许，实施一个注册表访问保护规则下阻止注册表键/值创建“HKCU\Software\locky”确定被感染的网络用户：如果在网络共享显示.locky扩展名的文件，查找文件所有者的每个文件夹中的“_Locky_recover_instructions.txt”文件。这将有助于确定感染的用户。在电子邮件附件禁用宏：在过去感染的发生率到极高后，微软特意将自动禁止对Word文档的宏作为一项安全措施。不要打开它。从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第6页\共有72页\编于星期四\19点美国IAD有关全美公民的信息安全正如在工作中需要访问敏感的企业或政府信息的用户，你的家里存在风险。通常想要获得的信息都存储在受保护的办公网络中，网络对手可能把你不安全的家庭网络作为目标进行操作。不要成为受害者。遵循一些常识的指引并在您的家庭网络上实现一些简单的控制，你可以帮助保护你自己，你的家人和你的组织。美国国家安全局信息保障计划从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第7页\共有72页\编于星期四\19点个人计算机设备的建议迁移到一个现代操作系统和硬件平台安装综合安全套件限制使用管理员帐户使用Web浏览器沙箱功能使用PDF阅读器沙箱功能更新应用软件实施笔记本电脑全磁盘加密（FDE）仅从可信的来源下载软件保护移动设备从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第8页\共有72页\编于星期四\19点网络推荐方案配置灵活的家庭网络禁用Internet协议版本6（IPv6）隧道提供防火墙功能采用WPA2无线网络限制管理内部网络采用备用DNS提供商对所有网络设备实施强密码从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第9页\共有72页\编于星期四\19点家庭娱乐设备的建议保护网络内的设备保护它免受来自Internet不受限制的访问。服务账户使用强密码大多数的家庭娱乐设备，需要您注册其他服务(如Playstation®[12]Network,XboxLive®[13]®[14]，AmazonPrime®[15]，iTunes®[16])。使用密码指导创建和维护服务帐户。不使用时断开链接为了防止攻击者经由家庭娱乐设备探测网络，如果可能的话，在不使用因特网时断开这些系统。从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第10页\共有72页\编于星期四\19点上网行为建议访问公共热点时，务必小心如果可能的话，使用蜂窝网络（也就是手机Wi-Fi，3G或4G服务）连接到互联网，而不是无线热点。建立一个加密隧道到可信虚拟专用网（VPN）服务提供商（例如，StrongSwan的StrongVPN）。如果使用的热点是访问互联网的唯一选择，限制动态网页浏览。避免访问如需要输入用户凭据或个人信息的银行网站一类的服务。不将家庭和工作内容进行交换要认识到的设备信任级别警惕互联网上存储的个人信息开启SSL加密应用遵守电子邮件的最佳实践社交网站上采取预防措施发布信息时三思而后行。如果可能，限制你的信息为“仅朋友”访问，并尝试通过电话或亲自验证任何新的共享请求。从朋友处接收内容（如第三方应用程序）时，请注意由于最近许多攻击者利用普遍接受的社交网络的优势轻而易举地在内容中采取插入恶意软件的方法。可从您的社交网络提供商定期复查安全策略和设置，以确定是否有新的功能可以保护您的个人信息。按照朋友的个人资料，看是否发布的信息对你可能存在问题。保护密码避免张贴GPS坐标照片从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第11页\共有72页\编于星期四\19点说说支付安全一个笑话引发的支付安全问题从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全虽然这是一个很扯的笑话，但是……随意扫描二维码NFC虽然便捷，但是……应用也需要加密这只是未来支付的其中一类……当前第12页\共有72页\编于星期四\19点说说支付安全用最基础的信息安全技术原理了解银行支付从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第13页\共有72页\编于星期四\19点有时候还有这种情况出现从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第14页\共有72页\编于星期四\19点有趣的社会工程问题一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法。常见类型“我是你领导”“你有个包裹”“我是警察”恶意邮件“下饵攻击”扫二维码有奖……从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第15页\共有72页\编于星期四\19点社会工程学分类从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第16页\共有72页\编于星期四\19点人口因素研究从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全因素结构实例规范承诺*C1：反复请求免费样品持续承诺*C2：投资的认知和感知的一致性把钱花在赔钱的企业情感承诺*C3：社会作为行为建模和一致性的“证据”模仿名人信任*C4：令人喜爱和可信相信体育人物恐惧*C5：对权威的服从和默许，以处罚或负面后果相威胁服从命令，以避免羞辱反应C6：稀缺性和冲动把感觉上是稀缺物品的价值放大性别年龄人格性质文化数字通信回复商业广告提供奖品的电子邮件学生比教师或职员被认为更容易受到网络钓鱼攻击在沙特200名学生进行的一项研究报告中网络钓鱼电子邮件的回复率达到7%[Alseadoon2012]网络钓鱼的易感性统计数据从各种研究结果发布报告中发现在西方文化中的响应范围在3%到11%之间[Dhamija2006,Jakobsson2006,Knight2004,Mohebzada2012]。当前第17页\共有72页\编于星期四\19点组织因素研究从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全管理不足没有足够的安全体系、政策和实践工作压力案例：目标-长期加班的员工渗透-提供义务技术支持通过邮件或移动存储设备提供含有恶意代码的脚本案例：一家财务机构的员工发送含有恶意软件的虚假电邮。6名员工打开虚假电子邮件，并下载了恶意软件。员工计算机上的防病毒软件没有检测到恶意软件。案例：受害者组织的雇员，浏览与工作无关的网站，并在无意中下载恶意软件。该恶意软件在员工的计算机上运行键盘记录。该恶意软件为期五个月没有被侦测出来，当雇员终止劳动关系时进行硬盘扫描时才发现。当前第18页\共有72页\编于星期四\19点人为因素研究从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全缺乏关注缺乏知识和失败的教训错误的推理和判断风险承受能力和风险认知贫乏随性价值观和合规性态度压力和焦虑物理损伤案例：利用86-95年龄段需要被关注的心态诱骗攻击内部网络案例：一些员工安装伪装成一个Java插件中的恶意软件，恶意软件攻击的受害者组织和其他企业案例：利用伪造管理员邮件向用户发送索取用户名和密码的邮件以便获得进一步攻击案例：药物滥用可认知功能产生负面影响案例：工作强加的时间压力已经发现，即使训练有素的人性能产生负面影响。沉重和长期的主观心理负荷会引起员工的疲劳，从而产生不利影响性能。案例：利用年龄段在86-95年龄段需要被关注的心态攻击内部网络案例：攻击者发送钓鱼邮件给支付处理公司的客户。一些客户收到电子邮件，警告他们需要下载一个Web浏览器插件以保持不间断地访问网站。当前第19页\共有72页\编于星期四\19点“爬库”与数据泄露从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第20页\共有72页\编于星期四\19点从APT攻击到“爬库”从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第21页\共有72页\编于星期四\19点从“乌云”说说信息安全法律从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第22页\共有72页\编于星期四\19点解读《网络安全法》《网络安全法》的基本原则第一、网络空间主权原则。《网络安全法》第1条“立法目的”开宗明义，明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。第二、网络安全与信息化发展并重原则。《网络安全法》第3条明确规定，国家坚持网络安全与信息化并重，遵循积极利用、科学发展、依法管理、确保安全的方针；既要推进网络基础设施建设，鼓励网络技术创新和应用，又要建立健全网络安全保障体系，提高网络安全保护能力，做到“双轮驱动、两翼齐飞”。第三、共同治理原则。网络空间安全仅仅依靠政府是无法实现的，需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与。《网络安全法》提出制定网络安全战略，明确网络空间治理目标，提高了我国网络安全政策的透明度《网络安全法》第4条明确提出了我国网络安全战略的主要内容，即：明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。第7条明确规定，我国致力于“推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。”从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第23页\共有72页\编于星期四\19点解读《网络安全法》《网络安全法》进一步明确了政府各部门的职责权限，完善了网络安全监管体制《网络安全法》将现行有效的网络安全监管体制法制化，明确了网信部门与其他相关网络监管部门的职责分工。第8条规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作，国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。《网络安全法》强化了网络运行安全，重点保护关键信息基础设施《网络安全法》第三章用了近三分之一的篇幅规范网络运行安全，特别强调要保障关键信息基础设施的运行安全。关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的系统和设施。网络运行安全是网络安全的重心，关键信息基础设施安全则是重中之重，与国家安全和社会公共利益息息相关。《网络安全法》完善了网络安全义务和责任，加大了违法惩处力度《网络安全法》将原来散见于各种法规、规章中的规定上升到人大法律层面，对网络运营者等主体的法律义务和责任做了全面规定，包括守法义务，遵守社会公德、商业道德义务，诚实信用义务，网络安全保护义务，接受监督义务，承担社会责任等，并在“网络运行安全”、“网络信息安全”、“监测预警与应急处置”等章节中进一步明确、细化。《网络安全法》将监测预警与应急处置措施制度化、法制化《网络安全法》第五章将监测预警与应急处置工作制度化、法制化，明确国家建立网络安全监测预警和信息通报制度，建立网络安全风险评估和应急工作机制，制定网络安全事件应急预案并定期演练。从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第24页\共有72页\编于星期四\19点关键基础设施国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。第三十二条

按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。第三十三条

建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。第三十五条

关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。第三十六条

关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。第三十七条

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。第三十八条

关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第25页\共有72页\编于星期四\19点管理安全的重要性15000份的医疗日志培圾桶中在被发现30000个用户密码在Internet上公布推广的照片提前出现在新闻书刊上银行支付数百万元给勒索者25位开发部的同事跳槽至竞争者公司盗窃：每失窃或损坏价值一英镑的信息技术设备，将造成十英镑商业损失。英国工业在1996年由电脑失窃而造成的损失超过460亿英镑。INTERNET：美国五角大楼每日可侦测到80至100个骇客入侵。电脑入侵：电脑骇客入侵每年以45%的速率在增长。电子邮件：10%信息无意义，9%包含机密信息，2%笑话及2%带病毒。病毒：起过10000个病毒经常性的影响我的电脑及每月有150-200新的病毒产生。从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第26页\共有72页\编于星期四\19点内部威胁与案例分析-刑法修正案九第一百二十条之三以制作、散发宣扬恐怖主义、极端主义的图书、音频视频资料或者其他物品，或者通过讲授、发布信息等方式宣扬恐怖主义、极端主义的，或者煽动实施恐怖活动的，处五年以下有期徒刑、拘役、管制或者剥夺政治权利，并处罚金；情节严重的，处五年以上有期徒刑，并处罚金或者没收财产。“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。“窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。“单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第27页\共有72页\编于星期四\19点内部威胁与案例分析-刑法修正案九刑法第二百八十六条后增加一条，作为第二百八十六条之一：“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：“（一）致使违法信息大量传播的；“（二）致使用户信息泄露，造成严重后果的；“（三）致使刑事案件证据灭失，情节严重的；“（四）有其他严重情节的。“单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。“有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第28页\共有72页\编于星期四\19点内部威胁与案例分析-刑法修正案九第二百八十七条之一利用信息网络实施下列行为之一，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金：“（一）设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的；（二）发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的；“（三）为实施诈骗等违法犯罪活动发布信息的。“单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。“有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。

从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第29页\共有72页\编于星期四\19点内部威胁与案例分析-刑法修正案九第二百八十七条之一利用信息网络实施下列行为之一，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金：“（一）设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的；（二）发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的；“（三）为实施诈骗等违法犯罪活动发布信息的。“单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。“有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。

从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第30页\共有72页\编于星期四\19点内部威胁与案例分析-网络安全法第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。第四十五条依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。第四十六条任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第31页\共有72页\编于星期四\19点内部威胁与案例分析-网络安全法第四十七条网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。第四十八条任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全当前第32页\共有72页\编于星期四\19点新技术下的安全挑战当前第33页\共有72页\编于星期四\19点云计算特有安全威胁-虚拟平台云安全物联网安全大数据安全情报分析态势感知Hypervisor脆弱性不可避免从上层虚拟机攻击Hypervisor(虚拟机逃逸)从云计算管理网络攻击Hypervisor传统脆弱性利用攻击缓冲区溢出拒绝服务安全威胁虚拟化平台云计算网络攻击虚拟机逃逸当前第34页\共有72页\编于星期四\19点云计算特有安全威胁-虚拟环境云安全物联网安全大数据安全情报分析态势感知

虚拟机向下逃逸，是指在已控制一个虚拟机的前提下，通过利用各种安全漏洞攻击Hypervisor。典型案例：蓝色药丸、CloudBurst逃逸后果安装Hypervisor级后门拒绝服务攻击数据窃取控制其它虚拟机当前第35页\共有72页\编于星期四\19点云计算特有安全威胁-内部环境云安全物联网安全大数据安全情报分析态势感知虚拟交换机虚拟化服务器虚拟机3虚拟机1虚拟机2物理交换机物理网卡虚拟交换机虚拟网卡虚拟端口级联端口虚拟网络与物理网络当前第36页\共有72页\编于星期四\19点云计算特有安全威胁-虚拟机云安全物联网安全大数据安全情报分析态势感知虚拟机安全威胁创建安全威胁存储安全威胁虚拟机虚拟机虚拟机运行安全威胁注销安全威胁迁移安全威胁通信安全威胁当前第37页\共有72页\编于星期四\19点云计算特有安全威胁-多租户在多租户云计算环境中，各租户之间的物理网络边界变得模糊，可能只存在逻辑上的网络边界。如果配置不妥，可能导致数据泄密。如何确保和验证各租户逻辑网络之间的安全隔离云安全物联网安全大数据安全情报分析态势感知当前第38页\共有72页\编于星期四\19点云计算特有安全威胁-接入风险云计算平台集中部署在数据中心，用户远程接入到云计算平台的过程可能存在安全威胁。云计算接入的身份认证云计算接入的访问控制云计算接入的传输安全云安全物联网安全大数据安全情报分析态势感知当前第39页\共有72页\编于星期四\19点物联网基础物联网：通过部署具有一定感知、计算、执行和通信等能力的各种设备，获得物理世界的信息或对物理世界的物体进行控制，通过网络实现信息的传输协同和处理从而实现人与物通信物与物通信的网络NGN/IPv6NGN/IPv6接入与现信息的传输、协同和处理，从而实现人与物通信、物与物通信的网络。云安全物联网安全大数据安全情报分析态势感知以标识为特征1998年MIT的KevinAshton：把RFID技术与传感器技术应用于日常物品中形成一个“物联网”以互联网为特征2005年ITU报告：物联网是通过RFID和智能计算等技术实现全世界设备互连的网络。以智能服务为特征2008年IBM：把传感器设备安装到电网、铁路、桥梁、隧道、供水系统、大坝、油气管道、供水系统、大坝、油气管道等各种物体中，并且普遍连接形成网络，即“物联网”当前第40页\共有72页\编于星期四\19点物联网结构-五层结构云安全物联网安全大数据安全情报分析态势感知应用层主要完成服务发现和服务呈现的工作。支撑层又称中间件,或者业务层对下需要对网络资源进行认知,进而达到自适应传输的目的;本层的完成信息的表达与处理,最终达到语义互操作和信息共享的目的;对上提供统一的接口与虚拟化支撑,虚拟化包括计算虚拟化和存储虚拟化等内容,较为典型的技术是云计算；网络层为原有的互联网、电信网或者电视网,主要完成信息的远距离传输等功能；接入层主要完成各类设备的网络接入,该层重点强调各类接入方式,比如3G/4G、Mesh网络、WiFi、有线或者卫星等方式；感知层主要完成信息的收集与简单处理,部分学者将该层称为感知延伸层,该层由传统的WSN、RFID和执行器组成；当前第41页\共有72页\编于星期四\19点物联网安全综述云安全物联网安全大数据安全情报分析态势感知中间件层云计算应用集成解析服务Web服务信息处理安全信息利用应用/中间件层移动通信网网络与信息系统安全信息传播应用/中间件层RFID标签感知终端信息采集安全物理安全节点安全感知层计算机网络无线网络RFID阅读器RFID节点RFID网关当前第42页\共有72页\编于星期四\19点感知层安全物联网感知层的任务是实现智能感知外界信息功能，包括信息采集、捕获和物体识别，该层的典型设备包括RFID装置、各类传感器(如红外、超声、温度、湿度、速度等)、图像捕捉装置(摄像头)、全球定位系统(GPS)、激光扫描仪等，其涉及的关键技术包括传感器、RFID、自组织网络、短距离无线通信、低功耗路由等。(1)传感技术及其联网安全作为物联网的基础单元，传感器在物联网信息采集层面能否如愿以偿完成它的使命，成为物联网感知任务成败的关键。(2)RFID相关安全问题云安全物联网安全大数据安全情报分析态势感知层次受到的攻击物理层物理破坏、信道阻塞链路层制造碰撞攻击、反馈伪造攻击、耗尽攻击链路层阻塞网络层路由攻击、虫洞攻击、女巫攻击、陷洞攻击、Hello泛洪攻击应用层去同步、拒绝服务流当前第43页\共有72页\编于星期四\19点网络层安全物联网网络层主要实现信息的转发和传送，它将感知层获取的信息传送到远端，为数据在远端进行智能处理和分析决策提供强有力的支持。来自物联网本身的架构、接入方式和各种设备的安全问题接入层的异构性使得如何为终端提供移动性管理以保证异构网络间节点漫游和服务的无缝移动成为研究的重点物联网接入方式将主要依靠移动通信网络过程中的伪基站问题窃听无线信道而获得其中传输的信息，甚至可以修改、插入、删除或重传无线接口中传输的消息进行数据传输的网络相关安全问题网络地址空间短缺拒绝服务攻击(DDoS)等异常流量攻击针对域名服务器(DNS)的攻击IPv6协议作为网络层的协议，仅对网络层安全有影响，其他(包括物理层、数据链路层、传输层、应用层等)各层的安全风险在IPv6网络中仍将保持不变。云安全物联网安全大数据安全情报分析态势感知当前第44页\共有72页\编于星期四\19点应用层安全物联网应用是信息技术与行业专业技术的紧密结合的产物。物联网应用层充分体现物联网智能处理的特点，其涉及业务管理、中间件、数据挖掘等技术。业务控制和管理由于物联网设备可能是先部署后连接网络，而物联网节点又无人值守，所以如何对物联网设备远程签约，如何对业务信息进行配置就成了难题。传统的认证是区分不同层次的，网络层的认证负责网络层的身份鉴别，业务层的认证负责业务层的身份鉴别，两者独立存在。大多数情况下，物联网机器都是拥有专门的用途，因此其业务应用与网络通信紧紧地绑在一起，很难独立存在。中间件在物联网中，中间件处于物联网的集成服务器端和感知层、传输层的嵌入式设备中。隐私保护在物联网发展过程中，大量的数据涉及到个体隐私问题(如个人出行路线、消费习惯、个体位置信息、健康状况、企业产品信息等)，因此隐私保护是必须考虑的一个问题云安全物联网安全大数据安全情报分析态势感知当前第45页\共有72页\编于星期四\19点RFID系统安全与隐私根据使用实际情况选择是否具有密码功能的系统。分析RFID标签出现安全隐患的原因：设计思想为系统对应用是完全开放的、在标签上执行加、解密运算需要耗费较多的处理器资源及开销。高度安全的RFID系统对于以下单项攻击能够予以预防：为了复制或改变数据，未经授权的读取数据载体；将外来的数据载体置入某个读写器的询问范围内；假冒真正的数据载体，窃听无线电通信并重放数据。云安全物联网安全大数据安全情报分析态势感知当前第46页\共有72页\编于星期四\19点大数据特性对安全和隐私的影响多样性VARIETY多样性描述数据的组织-数据是结构化，半结构化还是非结构化。将传统的关系数据库安全重定向到非关系数据库是一个挑战。这些系统的设计不考虑安全和隐私，这些功能通常被归入中间件。传统的加密技术也阻碍了基于语义的数据组织。标准加密的目的是提供语义安全性，这意味着任何值的加密与任何其他值的加密是不可区分的。数量VOLUME基于网络的分布式自动层系统的威胁模型包括以下主要场景：机密性和完整性，来源，可用性，一致性，共谋攻击，回滚攻击和记录保留纠纷。速度VELOCITY速度描述处理数据的速度。数据通常批量地到达或连续地流式传输。分布式编程框架没有考虑安全和隐私。计算节点故障可能泄露机密数据。由于高水平的连接性和依赖性，部分基础设施攻击可能危及系统的相当大的一部分。如果系统不在地理上分布的节点中执行强认证，可以添加可以窃听机密数据的欺骗节点。真实性VERACITY大数据经常跨个体边界移动到感兴趣的团体和社区，跨越州，国家和国际边界。Provenance（源）解决了理解数据的原始来源的问题，例如通过元数据，虽然问题延伸到元数据维护之外。

云安全物联网安全大数据安全情报分析态势感知当前第47页\共有72页\编于星期四\19点大数据特性对安全和隐私的影响与云相关的许多大数据系统将使用云架构进行设计。在大数据云生态系统企业架构内实现适当的访问控制和安全风险管理的任何策略都必须解决与云特性触发的云特定安全需求相关的复杂性，包括但不限于以下内容：广泛的网络访问降低消费者的可见度和控制动态系统边界和消费者与提供者之间的混合角色和责任多租户数据驻留测量服务规模增加（按需），动态（弹性和成本优化）和复杂性（自动化和虚拟化）与传统IT解决方案相比，这些云计算特性往往对组织带来不同的安全风险，从而改变了组织的安全状况。为了在将数据迁移到云时保持安全性，组织需要提前识别所有特定于云的，风险调整的安全控制或组件。

云安全物联网安全大数据安全情报分析态势感知当前第48页\共有72页\编于星期四\19点情报情报是我们所处世界中的知识和预判。美国政策制定者决策和行动的先导。情报机构将这种信息以某种方式提供给消费者、国民领导或军队指挥官，（以便让他们）去思考可替换的选项和结果。情报处理过程涉及漫长细心和通常是枯燥耗时的对事实的搜集、对它们的分析、快速和清晰的评估、仔细判断后形成产品，并且不时递知给消费者。综上，这个分析过程必须是完整而冗长的，经常性的和与政治需求及企业相关的。中央情报局（CIA）云安全物联网安全大数据安全情报分析态势感知当前第49页\共有72页\编于星期四\19点核心情报原则人力情报（HUMINT）HUMINT是从一个线人那里收集信息。这种来源也许拥有第一手或者第二手的资料，且通常通过看、听和活动来获得。它可以包括威胁、中立或友好的（政府）文职人员。开源威胁情报（OSINT）OSINT探索、利用和提高可公开获得的公众信息。由于海量的可利用信息，数据挖掘和高级搜索技术显得尤为重要。这种情报包括电视、雷达广播、书籍、报纸和网络这些来源。信号情报（SIGINT）SIGINT被定义为对交通系统、雷达和武器系统的信号转换的收集和利用。SIGINT的结果来自收集、锁定、处理、分析和报告被拦截的通讯和没有通讯功能的发射器。SIGINT被归为电子情报（ELINT）和通讯情报（COMINT）的子类。图像情报（IMINT）IMINT是被大量陆地、航空或卫星探测器收集的地理空间信息。测量和特征情报（MASINT）MASINT是情报的一个技术分支，使用通过诸如雷达、声呐、无源电光传感器、地震仪和其他用来测量物体或事件以通过它们的特征来辨别它们的传感器所收集的信息。这包括去离散标记一个人、一个地方或有特殊特征的事物的能力。云安全物联网安全大数据安全情报分析态势感知当前第50页\共有72页\编于星期四\19点可辨别的网络情报网络情报（CYINT）-不是核心情报原则里的一种，但是一个相对新颖且在不断发展的领域，它是一个混合体，而且可以包含任何组合或所有上述五个原则。尽管它可以被用来作为网络安全的关键组件，网络情报操作却与网络安全任务独立，而且可以支持涵盖政府和工业的各个方面的大量操作。云安全物联网安全大数据安全情报分析态势感知当前第51页\共有72页\编于星期四\19点情报圈计划、要求和方向情报收集的计划和方向包括对整个情报工作的管理——从优先情报要求（消费者领导和进一步需求的定义）到最终情报产品。收集根据建立好的方向，威胁情报服务从相关来源里面收集潜在有用的原始数据。处理将收集到的数据加强为适用于更详细分析的标准格式。分析和产品收集到的数据被领域专家分析以辨识出对消费者环境的潜在威胁。用来对被辨识出的威胁产生响应的对策也在这个阶段被开发。传播情报分析结果被提交给客户，以便合适的保护性措施可以被执行。消费者的需求-规划，要求与方向收集基于需求的原始信息信息加工与利用情报分析与生产产品到消费者的传播12345云安全物联网安全大数据安全情报分析态势感知当前第52页\共有72页\编于星期四\19点情报漏斗噪音是根据优先情报需求收集的一系列事物。数据是噪音经过过滤和没有应用价值的条目被去除后的遗留。信息是有特定用途的数据。一旦它被分配给一个用途，它就有了价值。情报是带有战略性目的的信息，可以被用来获取优势。情报是一项仅以人类为中心的活动。可行动的情报是情报主导的，基于对可被初始化、用以行动和提供清晰的结果的证据的评定，它被用来提供对优先情报需求的支持。云安全物联网安全大数据安全情报分析态势感知当前第53页\共有72页\编于星期四\19点威胁情报收集威胁智能网络智能（在边界与超越网络流量分析）内部智能（组织资产和基于行为的分析）边缘智能（哪些主机会在网络边缘。这样做的信息来自政府云集，ISP的和电信）开源智能（社会，在以资产，品牌的地理和行业地方国家和国际层面的广播和网络媒体的垂直。即，SOCMINT）闭源智能（封闭用户组，经过身份验证的网站，聊天频道，执法和情报机构，即HUMINT）云安全物联网安全大数据安全情报分析态势感知当前第54页\共有72页\编于星期四\19点情报事件中可辨别的特征迹象性事件和事件性事件在情报词库里，“事件”是指分析员用来预测一个威胁增加或者减少的原始数据。这些事件被用来界定那些已经发生或者将要发生的威胁环境的改变的关键迹象。物理的–集体诉讼、立法或者影响立法的行为尝试、许可证的吊销、政治捐赠、被关键人物公开或者私下做出的个人社交媒体上的有争论的陈述、买入大量关键的真实的房地产、不受欢迎的政策变化、裁员、（企业的）合并或收购、环境破坏、总部迁移、在特定人口或经济中心的商店的开张或关闭，等等。数字的–大量失败的密码登陆尝试、缓冲区溢出、端口扫描、网络钓鱼活动、SQL查询注入、统一资源定位符（URLs）、文件名称、文件扩展、文件哈希值、服务或者可执行文件、命令序列、HTTP请求、注册表设定、使用的协议和端口，等等。云安全物联网安全大数据安全情报分析态势感知当前第55页\共有72页\编于星期四\19点威胁情报提供的信息威胁当前的哪些威胁是组织机构必须要知道的？组织机构所面对的网络威胁被归入为一个独特的分类，因为它们本身就带有不易理解性和不对称性。不易理解性指的是数字环境的不规律和不易追踪的特征，不对称性是指在一个位置范围的可执行策略下威胁房和目标方在实力上的巨大不平衡。威胁方特定威胁下的（团体/个人）（是谁/是什么/在哪里）？他们的能力、动机、目标、运作的范围、活动的历史有哪些？目标方谁被威胁视为目标？这些威胁是基于地理的、政治的还是行业的？方法和策略攻击者们所采用的策略性方式是什么？威胁被设计用来做什么？它关注的是什么？他们使用的是什么工具和设施？哪些技术、版本和用户类型被作为目标？攻击怎样被传递到目标？对策组织机构可以采取怎样的行动去应对特定威胁？威胁措施可以包括：入侵检测系统特征、反病毒系统特征、需要阻塞的端口/协议或者其他可被用来帮助保护组织机构被特定威胁攻击的反应行动。云安全物联网安全大数据安全情报分析态势感知当前第56页\共有72页\编于星期四\19点威胁情报在信息安全中的重要性组织机构必须抵御的安全威胁类型的根本性变化，和理解攻击表面包括的远不止一个已被定义的技术参数。别处无法提供给组织机构的对资源的访问和利用能力，和知识技能。组织机构必须响应的数量巨大的安全漏洞和攻击向量。组织机构必须保护的持续扩张的技术范围和环境。云安全物联网安全大数据安全情报分析态势感知当前第57页\共有72页\编于星期四\19点网络威胁轮廓的改变网络威胁从业者不再局限于那些有癖好的或反政府的个人或团体。他们现在包括代表国家立场的角色和受赞助的团体，和有具备相当多资源、支持和知识技能的传统有组织的网络犯罪团体。这些攻击者经常一起工作和分享或出售能攻下目标的工具。这些攻击者也具备时间和资源去搜索组织机构环境中的漏洞。需要防御任务的组织机构经常只有有限的资源和预算去准备一个充足的防御体系，威胁的不平等本质就这样形成了。云安全物联网安全大数据安全情报分析态势感知当前第58页\共有72页\编于星期四\19点信息安全漏洞的数量安全人员分析的海量数据是非常巨大的。组织机构必须对每天遇到的大量缺陷、零日漏洞威胁、恶意代码、利用工具、僵尸网络、高级可持续性威胁（APT）和定向攻击做出反应。

最近十五年每年被标注的通用漏洞披露（CVEs）数量如下图所示——从2005年起，每年有超过4000个新的安全漏洞被标注。云安全物联网安全大数据安全情报分析态势感知当前第59页\共有72页\编于星期四\19点技术成长和使用改变威胁情报服务的另一个驱动因素是现代计算环境中技术使用的演化和扩张。大多数组织机构里面的技术，即使与两三年前相比，都有了戏剧性的改变。BYOD方式，利用VPN加入网络来访问个人设备的远程工作者、无处不在的无线网络、对虚拟化和云计算使用的增加，都戏剧性地增加了典型组织机构中的技术使用。新的技术并不是简单地替换原有的技术——它们经常是一种添加，形成对组织机构的攻击表面和里面漏洞的分析结果的网状添加。

有了技术上的这些改变——对BYOD的使用、远程用户、虚拟化、云计算——已被辨识的的周边具有相同本质的有组织的网络将不复存在。一个具有不同本质的、分布式用户的、技术性的基础变成了新的标准。这个新的现实伴随着更复杂和和潜在的风险。威胁情报可以帮助组织机构理解这个新架构现实下的新兴威胁。云安全物联网安全大数据安全情报分析态势感知当前第60页\共有72页\编于星期四\19点不同的组织机构都从威胁情报中期望得到什么组织机构大小。组织机构与政府、服务商和其他垂直市场的合作。组织机构的依赖团体，包括供应链、商业伙伴、第三方供应商，云供应商等。组织机构信息安全资源的数量、精细化和能力。组织机构的危险态势，和被视作目标的趋势：针对政治的、经济的或知识产权的国家级的角色/高级可持续性威胁（APT）。出于金融目的的跨组织犯罪。黑客行为/关注点的寻找者，这些人一般想着怎样去让组织机构难堪。云安全物联网安全大数据安全情报分析态势感知当前第61页\共有72页\编于星期四\19点不同的组织机构都从威胁情报中期望得到什么低调的组织会对使用威胁情报去帮助回答下述感兴趣的问题：可能为数字威胁充当催化剂的，围绕组织机构的物理环境下正在发生的关键发展是什么？如果知识产权或者机密信息被公开暴露，组织机构是否有行动计划？会有什么后果？组织机构是如何处理的？组织机构最大的恐惧是什么？组织机构或管理层最不想读到或在电视上看到的一件事是什么？组织机构是否有步骤去避免此类的事件发生？是否有竞争对手巧合（或故意）地带着新产品或新理念与组织机构同时进入市场？是否有迹象表明他们使用了一些本组织机构的知识产权？未知世界里是否有漏洞和恶意代码正在被活跃地利用？哪一种是适用于组织机构的环境的？什么样的预防措施应当被用来保护（组织机构）去对抗这些威胁？是否有任何关于组织机构或是它的用户的潜在的敏感数据被放到网上？这包括收购或合并信息、目标市场、目标客户、提案、合同或其他商业战略。是否有关于组织机构的消极评论被发到网上？如果是这样，这些评论的根据是什么？是否有任何组织机构的技术知识产权被发布到网上，或者与特定的竞争机构有关联？这包括组织机构的特殊知识产权，例如源代码、产品设计、工程文档、蓝皮书和与技术相关的特殊信息。云安全物联网安全大数据安全情报分析态势感知当前第62页\共有72页\编于星期四\19点不同的组织机构都从威胁情报中期望得到什么作为对比，一个涉及高度政治化产业的国际化组织会需要与下述主题相关的威胁情报：组织机构是否已被其他活跃团体和攻击者作为目标？谁在将组织机构作为目标？为什么？这些团体的复杂程度怎么样？是否有任何竞争者或工业伙伴团体（最近）被作为目标？谁在指挥这些攻击？什么样的技术在攻击中被使用？哪些又未被攻击厂商使用？这些被视为目标的组织是否有过成功地化解这些攻击（的经历）？如果有过，是怎样做的？是否有任何潜在的威胁情报与即将到来的经济或工业会议或组织即将参加的事件有关联？如果如此，提供一份与这个事件有关的潜在网络威胁的概览，和应当被采取的预防措施。组织机构是否有保密协议（NDAs）或安全保障用来预防商业间谍。在与组织有业务往来