新威脅環(huán)境下的信息安全啟明星辰崔曉鑫2013不缺安全話題無線路由器系列事件D-link路由器后門事件User-Agent標志修改為：xmlset_roodkcableoj28840ybtide“Editby04882JoelBackdoor”AlphaNetworks技術總監(jiān)無線安全威脅無線安全分類拒絕服務

解除關聯(lián)

持續(xù)時間域欺騙

射頻干擾攻擊泄密

流氓AP

非法外聯(lián)

AdHoc攻擊

無線釣魚攻擊

無線中間人攻擊

無線跳板攻擊。。。未授權訪問無加密、WEP、WPK

無線嗅探、破解云計算網(wǎng)絡安全威脅傳統(tǒng)威脅引入威脅主機安全威脅：主機操作系統(tǒng)漏洞利用網(wǎng)絡安全威脅：拒絕服務攻擊應用安全威脅：Web安全威脅虛擬化自身的安全威脅：

Hypervisor脆弱性虛擬化引入的安全威脅：虛擬機及虛擬網(wǎng)絡管理多租戶引入的安全威脅：多租戶接入及數(shù)據(jù)存儲AppOSVMVMM（OS）HWNetworksvNetworks安全防護云計算網(wǎng)絡安全威脅OpenSSL被黑個人信息泄漏2013年漢庭如家酒店入住信息移動終端BYOD移動終端iOS7.0.3破解KeenTeam在東京舉辦的全球頂級安全競賽Pwn2Own上，國內團隊碁震云計算安全研究團隊在不到30秒的時間內攻破了蘋果最新手機操作系統(tǒng)iOS

7.0.3美國調查，78%的小偷使用Facebook、Twitter、FourSquare來尋找、觀察目標“客戶”。74%的小偷會使用GoogleStreet看看“客戶”門前的狀況。

社交網(wǎng)絡社交網(wǎng)絡微信三點定位法APT攻擊APT（AdvancedPersistentThreat）高級持續(xù)性威脅顧名思義，這種攻擊行為首先具有極強的隱蔽能力，通常是利用企業(yè)或機構網(wǎng)絡中受信的應用程序漏洞來形成；其次APT攻擊具有很強的針對性，攻擊觸發(fā)之前通常需要收集大量關于用戶業(yè)務流程和目標系統(tǒng)使用情況的精確信息，情報收集的過程更是社工藝術的完美展現(xiàn)；2011：竊取RSA令牌種子2010：震網(wǎng)攻擊伊朗核電站2009：極光攻擊2012：大量攻擊中東多年APT攻擊特性持續(xù)性同發(fā)性個人終端突破多攻擊向量社工0DAY社工跳板可信通道加密緩慢長期長期竊取戰(zhàn)略控制深度滲透有趣的攻擊類型Blackhat2013利用充電器，攻擊IphoneIOS有趣的攻擊類型-國產(chǎn)電熨斗據(jù)俄羅斯媒體報道，從中國進口的電熨斗里面拆出稱為“小麥克風”的芯片。據(jù)說這些芯片能夠接收半徑為200米以內沒加密的wifi信號，大部分用于病毒傳播、滲入公司網(wǎng)絡發(fā)送垃圾郵件等更為復雜的信息安全新技術、新應用以及新服務帶來新的安全風險關鍵基礎設施及工業(yè)控制系統(tǒng)漸成目標有組織團體的“網(wǎng)上行動能力”增強網(wǎng)絡犯罪猖獗網(wǎng)絡安全問題與其他傳統(tǒng)安全的相互交織工業(yè)控制系統(tǒng)社交網(wǎng)絡網(wǎng)絡支付需要更為全面的信息安全“網(wǎng)絡”的安全“應用”的安全“數(shù)據(jù)”的安全信息安全是一項系統(tǒng)工程，從信息的空間分布、生命周期及流向的每一個環(huán)節(jié)，都可能成為影響信息安全的威脅點覆蓋整個網(wǎng)絡剖面的安全需求策略規(guī)范安全策略安全過程……接入鏈路ETHER/ATM/POS……操作系統(tǒng)windowsLinux……應用系統(tǒng)Web業(yè)務數(shù)據(jù)庫……核心數(shù)據(jù)設計文檔系統(tǒng)信息……邊界安全應用安全數(shù)據(jù)安全安全管理終端安全新業(yè)務、新安全新安全新業(yè)務啟明星辰的新安全新的產(chǎn)品布局涵蓋完整信息流程的安全產(chǎn)品布局新的技術方向應對復雜攻擊、未知攻擊的新型檢測能力策略及規(guī)范接入鏈路操作系統(tǒng)應用系統(tǒng)核心數(shù)據(jù)啟明星辰新的產(chǎn)品布局以信息的全生命周期流程為對象終端安全監(jiān)測管控檢查度量運維安全管理全業(yè)務流程的安全產(chǎn)品布局邊界安全應用安全數(shù)據(jù)安全數(shù)據(jù)庫審計DLP/透明加密入侵檢測/0day檢測Web應用防火墻漏洞掃描防火墻UTM入侵防御應用交付無線安全業(yè)務安全監(jiān)控應用性能管理網(wǎng)絡行為分析身份與網(wǎng)絡管理運維安全管控云安全管理Web核查配置核查日志審計運維審計安全指標評估安全風險評估安全運維管理統(tǒng)一業(yè)務安全管控終端管理邊界安全產(chǎn)品邊界安全：

提供針對接入邊界的安全防護功能包括對有線網(wǎng)絡、無線網(wǎng)絡的接入安全防護。邊界安全防火墻UTM應用交付入侵防御無線安全Internet辦公網(wǎng)絡防火墻辦公網(wǎng)絡UTMIPS服務器群Internet無線安全應用交付核心價值解決問題網(wǎng)絡邊界安全控制用完善的功能滿足邊界安全各類應用的防護解決無線接入控制，私搭AP以及無線AP釣魚問題解決鏈路及應用的可用性問題，保證業(yè)務連續(xù)非授權AP接入控制鏈路及應用可用性終端安全產(chǎn)品終端安全：

提供接入網(wǎng)絡終端的安全管理功能終端安全終端管理終端管理核心價值解決問題多層準入控制確保終端狀態(tài)合規(guī)、網(wǎng)絡訪問合規(guī)、應用合規(guī)應用安全產(chǎn)品應用安全：

對各類業(yè)務應用提供安全防護及檢查功能應用安全入侵檢測Web應用防火墻漏洞掃描InternetWEB服務器Internet辦公網(wǎng)絡IDS漏洞掃描WAFWeb應用防火墻核心價值解決問題WEB服務器防護保障企業(yè)Web服務的應用安全，實現(xiàn)Web應用可用、安全、快速對各類威脅行為的全面檢測和集中分析對全網(wǎng)的弱點集中發(fā)現(xiàn)量化資產(chǎn)面臨的風險并提供解決方案關鍵威脅路徑入侵檢測系統(tǒng)脆弱性評估數(shù)據(jù)安全產(chǎn)品數(shù)據(jù)安全：

對核心數(shù)據(jù)提供監(jiān)測、保護等安全功能數(shù)據(jù)安全數(shù)據(jù)庫審計DLP/透明加密支撐網(wǎng)絡數(shù)據(jù)庫審計核心價值解決問題數(shù)據(jù)庫關鍵業(yè)務操作行為審計保障企業(yè)關鍵數(shù)據(jù)庫的安全促進業(yè)務內控管理效率，確保計算環(huán)境域關鍵業(yè)務合規(guī)發(fā)現(xiàn)通過移動存儲、網(wǎng)絡等進行的泄密行為重要文件加密敏感信息泄露檢查文件系統(tǒng)透明加密管理平臺技術架構27泰合安全管理平臺體系TSOC運維監(jiān)測管控審計度量符合等級保護基本要求的安管平臺方面類第一級第二級第三級第四級技術要求

物理安全

物理安全監(jiān)控與告警物理安全監(jiān)控與告警網(wǎng)絡安全拓撲管理拓撲管理設備和應用監(jiān)控IP地址管理安全審計拓撲管理設備和應用監(jiān)控IP地址管理安全審計流量監(jiān)控地址欺騙監(jiān)控拓撲管理設備和應用監(jiān)控IP地址管理安全審計流量監(jiān)控地址欺騙監(jiān)控主機安全

安全審計安全審計資源監(jiān)控安全審計資源監(jiān)控應用安全

安全審計安全審計資源監(jiān)控安全審計資源監(jiān)控數(shù)據(jù)安全信息完整性保護信息完整性保護信息完整性保護信息完整性保護管理要求

系統(tǒng)運維管理資產(chǎn)管理資產(chǎn)管理設備管理網(wǎng)絡監(jiān)控設備配置信息監(jiān)控日志審計告警事件存儲資產(chǎn)管理物理環(huán)境監(jiān)控設備管理網(wǎng)絡監(jiān)控設備配置信息監(jiān)控日志審計告警事件統(tǒng)計安全管理中心權限管理資產(chǎn)管理物理環(huán)境監(jiān)控設備管理網(wǎng)絡監(jiān)控設備和應用配置信息監(jiān)控日志審計告警事件統(tǒng)計安全管理中心權限管理√√√√√√√√√√√√√√29VenusTechConfidential等級保護差距報告新技術應對新威脅安全技術的新方向新技術之APT攻擊檢測不依賴于事先設定的規(guī)則庫不需要“在線更新”不需要人工調整即可應對新威脅啟明星辰入侵檢測產(chǎn)品家族傳統(tǒng)入侵檢測惡意代碼檢測(0day攻擊檢測)異常流量檢測敏感信息泄露檢測定制化檢測傳統(tǒng)基于SandBox，很容易被具有環(huán)境學習的未知惡意代碼繞過，MDS中的前置引擎基于靜態(tài)的指令特征識別惡意代碼，因此不存在被具有環(huán)境學習的惡意代碼所繞過文件還原捕包wordexcelpdftif……AV（已知代碼庫）前置引擎Shellcode指令庫傳統(tǒng)惡意代碼庫文件解析（分離數(shù)據(jù)區(qū)、控制區(qū)）提取文件數(shù)據(jù)區(qū)，檢測shellcode指令提取文件控制區(qū)，檢測漏洞利用指令產(chǎn)生可疑文件報警（但無法區(qū)分0day/Nday）后置引擎（VX）將可疑文件加載至SandBox打開、執(zhí)行跟蹤文件打開、執(zhí)行過程中的系統(tǒng)調用提取文件中的可疑code確定所利用的漏洞是0day還是NdayNday漏洞特征庫新技術之0day攻擊檢測新技術之安全域流量監(jiān)控新技術之安全域流量監(jiān)控威脅路徑威脅源威脅利用點風險描述威脅程度安全措施建議路徑1內部用戶利用應用界面訪問，對數(shù)據(jù)進行操作利用自身或他人權限，進行數(shù)據(jù)違規(guī)查詢、修改、刪除等操作；中1、增強業(yè)務平臺自身審計；

2、通過旁路部署網(wǎng)絡審計方式，加強安全操作審計；

3、增強系統(tǒng)登錄的驗證方式，對關鍵應用增強身份認證、權限控制；路徑2內部運維利用應用程序管理維護界面訪問利用管理界面，進行數(shù)據(jù)違規(guī)查詢、修改、刪除等操作；高1、增強業(yè)務平臺自身審計；

2、通過旁路部署網(wǎng)絡審計方式，加強安全操作審計；3、增強系統(tǒng)登錄的驗證方式，對關鍵應用增強身份認證、權限控制；

4、設立運維區(qū)，對重要的業(yè)務系統(tǒng)的運維操作，必須來自該受控區(qū)域；利用應用服務器中間件管理權限利用中間件管理權限，私自部署應用，違規(guī)進行數(shù)據(jù)查詢、修改、刪除等操作；高1、嚴格控制中間件的訪問權限；2、通過旁路部署網(wǎng)絡審計方式，加強安全操作審計；3、集中記錄中間件操作日志；安全域流量監(jiān)控①不同的安全域間、子域間部署分光器或者分流器（可選）;或者直接鏡像口抓包，取決于試點的安全域實際要求②部署啟明星辰安全域流量監(jiān)控與分析產(chǎn)品的流量采集和協(xié)議分析引擎對流量進行解析安全域安全域③部署啟明星辰安全域流量監(jiān)控與分析產(chǎn)品的集中控制中心，對引擎上報數(shù)據(jù)進行分析、統(tǒng)計、展現(xiàn)和其它管理功能分光器/分流器啟明星辰安全域流量監(jiān)控與分析產(chǎn)品其它DPI設備其它DPI設備端口鏡像端口鏡像安全域流量監(jiān)控安全域流量監(jiān)控產(chǎn)品價值：清晰的互連關系展示和監(jiān)控，有效支撐安全生產(chǎn)！存在的問題

難以察覺防火墻策略開放過大

難以監(jiān)測到非必要連接

難以判斷違規(guī)的網(wǎng)絡結構

不了解安全域間、域內真實流量解決的問題有助于落實安全域劃分規(guī)范

協(xié)助實現(xiàn)防火墻策略最小化部署

可視化直觀展現(xiàn)互連關系便于管理人員判斷互連合規(guī)性

為安全域實際劃分情況提供基礎數(shù)據(jù)支撐精確判斷資產(chǎn)是否遵守入網(wǎng)規(guī)范要求實時監(jiān)控是否存在違規(guī)流量促進核查方式從人工方式到自動化檢測轉變

及時規(guī)范網(wǎng)絡結構

杜絕不必要的互連互通

規(guī)范并維護安全域的合理結構有助于核查防火墻策略新技術之管理平臺創(chuàng)新-分布式存儲39分布式事件存儲數(shù)據(jù)寫入代理Day1Day2DayN……………………事件庫維護備份/恢復文件系統(tǒng)N壓縮/加密（分布式查詢/數(shù)據(jù)裝配）數(shù)據(jù)訪問代理運行監(jiān)控歷史查詢數(shù)據(jù)抽取syslog按時間均勻分布并創(chuàng)建索引分布式事件查詢Map/Reduce分布式事件存儲……………………查詢請求查詢請求分解與路由查詢器查詢器查詢器查詢器查詢結果裝配查詢結果返回MapReduce面向業(yè)務的安全管理41為用戶提供業(yè)務支撐拓撲地圖，能夠對業(yè)務進行多視角安全管理業(yè)務拓撲TSOC內置業(yè)務建模工具，可以構建業(yè)務拓撲，并自動構建業(yè)務健康指標體系，從業(yè)務的性能與可用性、業(yè)務的脆弱性和業(yè)務的威脅三個維度計算業(yè)務的健康度業(yè)務健康指數(shù)度量業(yè)務可用性分析業(yè)務告警業(yè)務事件業(yè)務安全可以鉆取到資產(chǎn)層可以鉆取到資產(chǎn)層主動化的弱點管理與預警響應與修復檢測——安全事件分析網(wǎng)絡監(jiān)控風險分析攻擊與違規(guī)發(fā)生配置安全核查漏洞掃描安全威脅預警被動安全管理主動安全管理指標化的宏觀安全感知關鍵安全指標關鍵管理指標領導安全經(jīng)理掌握整體安全態(tài)勢評估安全管理績效建立指標體系評估安全態(tài)勢出具態(tài)勢分析報告態(tài)勢分析資產(chǎn)信息風險信息弱點信息安全事件拓撲信息性能信息表征整個網(wǎng)絡安全運行態(tài)勢的指標表征整個網(wǎng)絡安全管理水平的指標