网络空间安全与数据资产保护-课件

网络空间安全与数据资产保护

1提纲网络空间安全主要威胁和挑战网络空间安全防御新趋势网络空间数字资产保护提纲网络空间安全主要威胁和挑战2

网络空间安全主要威胁和挑战

3互联网+时代的信息社会我们已经跨入以社会信息化、设备数字化、通信网络化的信息社会我们的信息社会正在不断的演进，互联网、物联网、无线人体局域网（WBANs）、云计算、大数据、可穿戴设备、智能化技术正在飞速发展，正在推动我们信息社会发生巨大的变化未来可以展望的是，不仅仅我们可以连接到网络，而且我们的身体（至少是衣服或配饰）会变成物联网的关键网络结点。互联网+时代的信息社会我们已经跨入以社会信息化、设备数字化、4信息安全无处不在随着我们的信息社会不断深化演进，当移动互联网、物联网和社交网络把所有人、机构和物连接在一起，信息已经无处不在，同样信息安全也无处不在。在广泛互联化的IT环境中，大到国家和社会，小到机构和个人都面临着如何保障自身的信息安全的问题。信息安全无处不在随着我们的信息社会不断深化演进，当移动互联网5信息安全问题影响和危害国家安全和社会稳定斯诺登事件伊朗布什尔核电站“震网”事件信息安全危害到每个人的生命权、财产权和自由权入侵植入式心脏起搏器入侵ATM取款机“心脏出血“安全漏洞信息安全危害越来越严峻信息安全问题影响和危害国家安全和社会稳定信息安全危害越来越严6泄密事件一再上演，我们该如何避免泄密事件重演?数据资产泄密危害日益严重泄密事件一再上演，我们数据资产泄密危害日益严重7攻击变得越来越功利，攻击从损人不利己向获取利益转变;黑客行动的动力转向牟利后，其攻击行为以获取有价值资料作为主要攻击目标，无论机构组织还是个人用户的危险也被大大加深。最近刚放生的“勒索软件病毒”事件，涉及全球100多个国家,造成全球恐慌攻击从损人不利己向获取利益转变攻击变得越来越功利，攻击从损人不利己向获取利益转变;最近刚放8何为加密勒索软件？勒索软件是一种恶意软件，其通过邮件或钓鱼网站等方式，利用主机或应用存在的漏洞，感染用户主机或重要服务器。勒索软件侵入电脑后，对文件系统进行遍历和查找，然后对图片，视频和文档类型的文件进行加密处理，造成使用者无法访问和使用。勒索软件通常不会去加密系统文件，保证系统可以正常启动，显示勒索信息。受害者若想打开被加密文件，必须通过支付赎金的方式，下载解密程序并获取解密的密钥，才有可能将文件解密。何为加密勒索软件？勒索软件是一种恶意软件，其通过邮件或钓鱼网9勒索软件的典型入侵过程带勒索软件的邮件主机被注入勒索软件勒索软件向C&C主机连接下载密钥C&C服务器

文件被加密发出勒索信息用户收到含有勒索软件的邮件，或者点击了钓鱼链接，导致主机被注入勒索软件。勒索软件注入成功后，控制了被感染主机，然后试图连接C&C主机获取用于加密程序或加密密钥。勒索软件在后台查找文件，并进行加密处理。攻击者发出勒索信息，通知用户支付赎金换取解密程序。1234钓鱼链接勒索软件的典型入侵过程带勒索软件主机被注入勒索软件勒索软10电脑的文件被加密后。。。加密勒索软件的运行和加密的操作都是在后台完成，使用者常常没有感知。使用者在文件无法访问时，才发现加密行为已经完成了。攻击者通过修改桌面，或者其他通知方式，告知使用者需要支付赎金，获取解密程序和密钥来完成文件解密。受害者收到的勒索信息受害者会收到各种形式的勒索金钱的提示支付赎金并不能确保对加密的文件进行解密电脑的文件被加密后。。。加密勒索软件的运行和加密的操作都是在11勒索软件在不断演化采用对称加密方式，加密文件名，隐藏文件夹，影响用户访问文件系统，如PCCyborg,QiaoZhaz等。采用非对称加密方式，针对文档、图片、视频等文件加密，如GPCoder,CRYZIP等。采用强加密算法，利用Trojan-Downloader从C&C主机获取密钥，通过Bitcoin方式支付赎金，

如Cryptolocker,Locky等。未来可能会以更广泛威胁的蠕虫传播方式，在网络内部有关联的应用系统之间传播，更大范围勒索金钱。勒索软件在不断演化采用对称加密方式，加密文件名，隐藏文件夹，12攻击目标转向企业用户-案例2016年2月，国外某医院的病人数据被加密，造成医疗应用系统无法访问病人资料；攻击者勒索300万美金。2016年11月，国外某地铁公司的应用系统被加密，造成售票机无法提供售票业务，乘客免费乘坐地铁运营两天；攻击者勒索7.5万美金。攻击目标转向企业用户-案例2016年2月，国外某医院的病人数13勒索软件对行业数据资产的巨大危害由于企业数据被加密后，造成业务无法正常运营，甚至业务中断，经济损失和社会压力导致加快了勒索时间，成为勒索软件的下一个主要目标。医疗行业：医院可能无法访问或丢失重要的病人信息，治疗系统无法正常工作，影响对患者进行及时的救治。公共交通：公共交通的关键控制系统无法正常运行，售票系统的瘫痪，造成整个运营系统的混乱，运营方遭受巨大损失和公众压力。金融行业：网上银行系统或者柜员系统被控制，导致关键信息泄露，或无法提供正常交易，

带来造成巨大经济损失。零售行业：影响交易系统的正常工作，消费者无法进行商品买卖，造成巨大经济损失。勒索软件对行业数据资产的巨大危害由于企业数据被加密后，造成业14攻击从个人英雄向组织犯罪转变攻击变得越来越有组织性，攻击从个人英雄向组织犯罪转变;有组织的攻击犯罪攻击资源更多，更加有效，造成的安全威胁更大。攻击从个人英雄向组织犯罪转变攻击变得越来越有组织性，攻击从个15攻击手段体系化采用体系化攻击手段的APT攻击呈爆发趋势，带来越来越大的安全威胁。APT攻击以窃取核心资料为目的，会运用各种攻击工具、受感染的各种介质、供应链和社会工程学等体系化的攻击手段实施先进的、持久的且有效的威胁和攻击。攻击手段体系化采用体系化攻击手段的APT攻击呈爆发趋势，带来16

网络空间安全防御新趋势网络空间安全防御新趋势17在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及对未来短期的发展趋势的预测。网络态势感知(Cyberspace

SituationAwareness)

借鉴并对比了“空中交通监管”态势感知的概念。包含有两层含义：实时地根据网络安全设备的告警信息及其他信息，进行关联归并、数据融合等操作，实时反映网络实际的运行状况；根据历史数据进行一定的离线分析，采用一定手段对潜在可能的威胁进行预测。网络安全态势感知定义在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行18态势要素获取态势理解态势预测态势感知三级模型网络安全

态势感知模型网络安全态势感知定义态势要素获取态势理解态势预测态势感知三级模型网络安全19网络威胁情报共享服务模式网络威胁情报生态圈建设网络威胁情报共享服务模式网络威胁情报生态圈建设20威胁采集互联网采集厂商报告，安全社区，whois交大自有数据全球IP库、黑IP、黑域名、黑MD5、社工库、指纹库第三方合作情报STIX格式，机器可读，人可读威胁采集互联网采集21ATP威胁情报采集整个APT攻击过程包括以下5大步骤：定向情报收集单点攻击突破控制通道构建内部多层渗透和数据收集上传ATP威胁情报采集整个APT攻击过程包括以下5大步骤：22攻击能力漏洞的挖掘和应用Windows安全机制突破和远程管控Windows

Rootkit/Bootkit的研制隐秘内网的渗透和权限获取工业控制系统的安全机制研究和漏洞挖掘iOS系统的安全机制研究和渗透攻击Web/数据库服务器的渗透攻击防御能力网页挂马的自动检测分析网络蜜罐的主动防御型检测Windows

Bootkit恶意代码检测iOS系统恶意代码检测攻防基础设施攻防教学实验系统网络蜜罐系统网络攻防主动防御能力攻击能力网络攻防主动防御能力23威胁情报系统总体网络拓扑：分布式采集+集中分析分析应用区大数据存储区数据采集区管理区堡垒机用户管理运维监控采集存储分析处置展示52权限管理

34分析平台探针部署位置区域边界

计算节点

内部计算环境威胁情报1① 分布式部署的探针采集数据（包括威胁情报，安全设备日志

等），边界部署② 将采集到的数据进行数据整理和入库③

系统实时分析数据，

也可以对历史数据进行分析④

分析结果送到展示界面进行数据可视化⑤

根据对事件的分析结果，发送配置到探针进行阻断操作

威胁情报系统总体网络拓扑：分布式采集+集中分析分析应用区大数24网络元数据网络性能指网络安全告标 警恶意样本 原始数据包 威胁情报数据采集预处理子系

统网络原始流量互联网信息采集数据源主机日志、防病

毒、IAM等日志

防火墙、IDS等

日志 数据接口接口全量日志全流量

存储网络安全事件库威胁情报库文件样本库漏洞库网络性能指标库元数据库业务资产信息库IP域名库网络流量基因库病毒木马库人员行为画像库数据接口数据去重初始关联范式处理数据储存子系统安全分析研判子系统可视化关联分析行为模型分析引

擎 威胁情报匹配引告警归集引擎文件样本沙箱分

引擎

析引擎 大数据全量检索

引擎 流量分析引擎主机流量分析引

擎

擎 数据包分析引擎全量数据碰撞分

析引擎 应用交易性能分析引擎业务自动感知引擎 多段分析引擎网络性能分析引擎流量分析引擎数据包分析引擎响

性

能 应用识别引擎 主机性能分析引擎 应监 处控

置

子 子系 系统

统

处置建议防御设置威胁情报库积累研判结果安全威胁监控业务性能监控态势呈现展示中心子系统监控大屏WEB访问界面第三方接口系统管理子系统系统管理用户管理角色管理权限管理安全审计配置管理数据字典运维监全控局监控前端状态运维告警组织管理单位管理前端管理威胁情报系统架构网络元数据网络性能指网络安全告标 警恶意样本 原始数据包 威25

数据资产保护数据资产保护26政府、企业秘密合规数据业绩数据设计资料 • 客户信息客户资料 • 知识产权财务报告 • 隐私数据战略报告 • 健康数据审计报告 • 信用卡号重要邮件 • …会议纪要数据资产是政府、企业信息安全的核心目标政府、企业秘密合规数据数据资产是政府、企业信息安全的核心目标27《中华人民共和国网络安全法》明确数据资产需保护中国网络安全法是网络安全领域的基本法，2017年6月1日开始实施何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具《中华人民共和国网络安全法》明确数据资产需保护中国网络安全法28•••••1234512345发现和评估发现保存在所有位置的敏感数据，对风险进行评估数据分类确保安全的数据处理流程正常运转定义有效的策略创建策略用于保护数据，并且确保策略的有效性实施控制控制机密数据的授权访问和安全传输监控,

报告和审计通过报警和事件管理来确保成功的数据安全防护数据资产保护的典型技术路线•••••1234512345发现和评估定义有效的策略数据资29DLP(数据泄漏保护)DRM(数据权限保护)Encryption(加密)Management(管理)Data企业数据DRM可以决定数据的访问和使用方式，功能强大仅限于特定的文档类型需要与企业应用紧密集成，大量依靠人工参与部署实施十分复杂并难以持续运维仅适用于研发等少数小组技术不能解决所有的问题，仍然需要以下辅助风险教育行政管理物理安全刑事诉讼全面评估信息风险，包括网络、端点和存储全面检测数据库、文件、邮件、文字等泄密通道，及时报警或阻止统一制定防泄漏策略遵从监管法案法规实施和部署简单，无需更改流程，无需人工参与，可在企业范围应用能够有效的与DRM/加密工具集成使用，使得后者更有效能够阻止没有权限的人非法获取信息，即使丢失也没关系依赖手工进行密钥的管理是个复杂问题不能解决无意识泄密和主动泄密仅适用于笔记本或者少量文件服务器主流数据资产保护方法DLPDRMEncryptionManagementData30数据识别是保护的前提数据的两种形式结构化数据：存储在数据库中，包括智能卡、移动用户资料等关键并且敏感的信息。非结构化数据：主要存储在文件服务器以及大量的工作终端。数据保护的核心思路定义企业的机密信息制定对不同等级机密信息的监视和防护策略部署策略监控阻断信息泄漏数据识别是保护的前提数据的两种形式31创建/获取传递销毁存

储

/备使用份数据安全不仅是目的，

更是动态的过程！数据全生命周期保护创建/获取传递销毁存储/备使用份数据全生命周期保护32相关机构系统深监局远程监控系统外汇交易中心银行间本币交易系统深交所综合协议平台上交所大宗交易终端上交所固定收益平台中债登招投标系统中债登招投标系统中债登簿记系统交易所银行彭博资讯万得资讯上海聚源数据上海朝阳永续数据大智慧行情终端钱龙行情终端中经网行情数据深度行情路透资讯港澳资讯通神行情交易所实时行情北方之星资讯宏汇datafeed行情外部行情数据大客户直连互联网电话 手机中信证券系统内部渠道客户产品数据管理通达信现场版钱龙现场版恒生柜台金仕达期货柜台恒生直销系统营业部现场交易系统(热自助刷卡小键盘/自助交割)恒生大客户接入系统创元投资管理系统恒生电话委托客户联络中心恒生手机证券移动手机证券联通华建手机证券港澳手机证券短信平台内部网站邮件系统核心客户资讯服务平台开户影像MOT系统资管CRM系统研究与股销业务管理平台债券业务管理平台证券金融业务管理平台投行CRM系统经纪集中交易系统根网套利系统恒生套利系统经纪业务管理平台（BMM）股销投资交易系统摩旗套利系统网点管理与综合分析系统资管营业部金手指估值系统恒生IA系统系统创元投资

根网QFII

资管算QDII投资咨询和下单交易系统SunGard投资会计系统恒生FTA系统资管信息披露系统天软策略开发平台

高频行情数据转换系统自营投行根网自营交

衡泰衍生品易系统

业务平台携宁买方投研系统北方之星投研系统衡泰债券交易销售平台

债券黑莓系统债销 证券金融算法交

证券金融算

融资融易平台

法交易平台

券系统证券金融业务平台簿记系统投资知识管理系统投行项目管理系统投行黑莓系统交易

交易系统

投资交易

法平台估值管理研究

万得投研管理平台

数量化分析数据处理系统清算清算流程管理系统三方存管系统清算核算系统（估值）清算统计系统

新意清算法人系统

新一代运营平台投研平台

研究所数量化分析

指数计算服务研究ODS基础设施数字证书系统风控合规OA HRIT财务统一身份认证平台邮件归档系统金仕达合规管理信息系统证券金融客户风险分析系统金仕达经纪业务风控系统反洗钱系统资管风控系统Riskmetrics风险管理系统自营风控系统投行内核系统融资融券风控系统稽核项目管理移动办公系统公文系统差旅管理系统黑莓系统人力资源招聘系统人事系统Elearning系统IT项目管理智能楼宇管理系统理财务核算系统财务系统Barra绩效系统自有资金头寸管理系统IT预算和资产管客户排队评价系统法律事务管理平台金石投资管理系统图例个人客户基本

机构客户基本

QFII等特殊客

客户身份鉴别信息资料 资料

户信息

信息

客户账户信息

户账户信息

与持仓信息

与持仓信息

户资金与持仓QFII等特殊客

个人客户资金

机构客户资金

QFII等特殊客

个人客户交易

机构客户交易

QFII等特殊客信息 信息

户交易信息客户资产信息 客户交易信息客户信息 客户身份鉴别信息恒生场外基金代销系统管理管控基础数据库网上营业厅/flash行情交易系统/页面交易恒生网上交易系统核新网上交易系统通达信网上交易门户网站擎旗即时通讯系统数据的动态视图相关机构系统深监局远程监控系统外汇交易深交所综合协议平33客户关系管理业务开发与运营网络及系统运营供应商/合作伙伴开发与管理企业管理责任制度技术手段“敏感数据安全”作为其中1“栅”，应引起高度重视以信息安全管理责任、制度建设、技术手段为“栏”，以与信息安全相关的业务流程为“栅”;推动业务流程与信息安全管理责任相结合、与业务制度相结合，并配套相关的技术手段，通过不断细化完善各流程环节的信息安全责任和要求，深化和完善信息安全管理体系。数据保护策略设计客户关系管理业务开发与运营网络及系统运营供应商/合作伙伴开34保密信息敏感信息公开信息应用程序DBA外协人员允计日志报警替换阻断生产数据库防护(数据库防火墙)生产数据库数据库服务器测试\开发环境防护允计日志报警替换阻断SI测试、开发人员全面的数据脱敏解决方案保密信息敏感信息公开信息应用程序允计日志报警替换35Gartner公司定义了一个新的类别

-“动态数据屏蔽”，推动实现无法通过身份访问管理（IAM）、静态数据屏蔽、加密等技术无法单独解决的问题动态数据屏蔽保护敏感数据，是其不呈现在那些不需要访问的终端用户面前动态数据遮蔽确保严格的按照每一个用户的身份、职责、岗位来过滤相应的敏感数据，并且，

这一动作是完全透明的，不会对应用程序或数据库中的数据造成任何的改动。动态数据遮蔽(脱密)Gartner公司定义了一个新的类别-“动态数据屏蔽”，36数据资产保护预警(一)数据资产保护预警(一)37感知

定位通告预案复查数据资产保护预警(二)快速定位影响范围，确认危害

下发整改通告，督促整改启动在线防护方案、应急方案复查确认，确保问题根治