icon 热门文章
- 2018年APC... 2018-11-13
- 2018年FIR... 2018-11-13
- 中国-东盟网络安... 2018-10-25
- 国家计算机网络应... 2018-10-09
- 网络安全信息与动... 2018-09-26
- 2018 CNC... 2018-09-26
- 国家互联网应急中... 2018-09-26
- 第六届中日韩互联... 2018-09-10
- 20万份Abby... 2018-09-10
- 中国工业和信息化... 2018-09-10
icon 推荐文章
- 关于开展CQCERT... 2018-11-16
- 关于第三方支付平台J... 2018-11-13
- 关于Oracle W... 2018-11-13
- 2018年APCER... 2018-11-13
- 2018年FIRST... 2018-11-13
- 国家信息安全漏洞共享... 2018-10-25
- 网络安全信息与动态周... 2018-10-25
- 中国-东盟网络安全应... 2018-10-25
- 国家计算机网络应急技... 2018-10-09
- 网络安全信息与动态周... 2018-09-26
 
   所在位置: 首页 > 相关要闻

网络安全重要状况通报-9月25日

信息来源: 管理员 添加日期:2013-10-11 点击数: 4486
 
 

重庆市网络安全通报

2013年 第419期(总第630期)

国家计算机网络应急技术处理协调中心重庆分中心       925

 

 

网络安全重要状况通报

 

网络安全重要状况通报

一、中国互联网安全大会 有深度的五大亮点.

二、主动监护 式网络安全提高业务优势

三、企业信息安全等级保护工作

四、BYOD安全隐患探析 如何强化移动信息安全

 

一、中国互联网安全大会 有深度的五大亮点

自互联网诞生起,安全问题相伴至今。安全威胁与新兴技术一直处于道高一尺魔高一丈的关系。云计算、大数据、BYOD、社交化、移动性等概念的催生,让互联网和移动互联网是高端、大气上档次的同时,更显现了安全威胁手段的低端粗俗无下限

互联网革了IT的命,但是互联网安全问题要是没有处理好,那革的可是几亿网民的命了。因为它是潜藏在我们每一个人身边的现实威胁,网络攻击每分每秒都在发生,瞄准的是企业、政府、军队和高价值的个人。

所以,业界对于互联网安全问题再怎么重视都不为过!

923—25日, 2013中国互联网安全大会(ISC)将在北京国家会议拉开帷幕。本届大会,邀请到了半数国内外黑客以及安全专家,包括国内知名黑客肖梓航(Claud Xiao)、奥巴马总统的网络安全智囊全球资深网络安全专家詹姆斯.刘易斯、著名安全专家Jonathan Brossard等国际顶尖网络信息专家的参与。

这绝对是国内规模最大的一次网络安全盛会。光从参会嘉宾就可以看出本次大会绝对是奔放洋气有深度!再看看演讲内容,那绝对是奢华有内涵呐!处处是亮点,笔者将罗列本届大会不容错过的五大演讲,帮助大家不会错过精彩内容。

精彩演讲一:恶意充电器60秒黑掉你的iPhone

出门时忘带了iPhone的充电器怎们办?找同事或是朋友一借就可以搞定,想必你从来没有想过手机充电器也会让你的iPhone中毒。因为最近佐治亚理工(GIT)三名研究人员的发现就让借充充电这件事变得不简单了——他们制作了一个能1分钟黑掉iOS设备的充电器。

说明:

923日举行的互联网安全大会(ISC)的移动安全论坛现场,来自美国佐治亚理工(GIT)将现场演示用恶意充电器”60秒黑掉iPhone,将iPhone中的Facebook替换为山寨恶意软件,同时,他也将对这种黑客攻击手法进行详细剖析。

据悉,宋程昱演示中所使用的恶意充电器名为“Mactans”,中文名黑寡妇。它可在用户不知情下,偷偷为手机安装任意应用并将其隐藏,偷窥手机屏幕,窃取应用密码甚至完全操控手机,足以让参会者张大嘴巴。

2奥巴马网络安全智囊谈全球网络战

精彩演讲二:奥巴马网络安全智囊谈全球网络战

他,就是那个影响奥巴马网络安全决策的人。

2008年底,在奥巴马当选总统之前,一家政策研究机构发表了一份名为《在第44届总统任内确保网络安全》的报告,该机构认为很多国家可能在发展网络战争上投入了大量的人力财力,同时警告新任总统奥巴马:保护网络空间是未来新政府面临的最紧急的国家安全问题。而主持完成这份美国网络安全报告的人就是詹姆斯·刘易斯。

说明:
  尤其在今年曝光棱镜门事件之后,国际间的网络信息安全更成为全球瞩目的焦点。作为国际认可的网络安全专家,詹姆斯·刘易斯不仅是美国政府的网络安全智囊,更是中美网络安全二轨对话的主持人,他认为通过加强中美两国的网络合作会让互联网更为安全。

据悉,詹姆斯·刘易斯此次来到北京,将在923日召开的“2013年中国互联网安全大会发表主题讲演,畅谈美国网络安全发展现状及全球网络战的变化趋势。

3国际级黑客教你突破沙箱

精彩演讲三:国际级黑客教你突破沙箱

Jonathan是一位国际知名的独立安全研究员,Joanthan目前在帮助一些财富500强的公司进行二进制代码审计工作,但此前一直在国际安全圈内享有盛名。除了在BlackHat2012上公布针对Intel BIOSPC固件的概念验证攻击程序外,他还在BlackHat2011上公布了借由PMCMA调试器自动化利用无效内存写入的相关技术,还包括了修复SAP中存在的两个远程内存破坏漏洞。

说明:

去年他在黑帽子大会上展示的BIOS恶意软件Rakshasa,可以在电脑启动时不留痕迹地危害操作系统,一度成为2012年黑帽子大会的探讨热点。今年他在SyScan360与大家探讨的《沙箱与软件模拟突破原理与应用》议题,将重点关注沙箱技术的限制以及如何绕过沙箱的相关技术,还将分析如何利用非常基础的沙箱构架弱点来破坏其机制,从而危害对方整个网站的安全。

据了解,使用沙箱和虚拟化技术的反恶意软件,以及反漏洞利用技术今年以来开始初步取代了传统的桌面反病毒技术,已经被越来越广泛的应用于安全领域。但即便在虚拟隔离的运行环境下,监控运行潜在威胁或恶意的代码显然仍是存在安全风险的。Jonathan的研究将有助于网络设计者在考虑采用沙箱技术的产品时作出更明智的选择,相当值得期待。

4定制安卓系统重大漏洞详解

精彩演讲四:定制安卓系统重大漏洞详解

安卓作为是世界上使用用户最多的操作系统,其全球用户量达数亿人次。但根据美国公共情报的一份最新文件表明,美国国土安全部(DHS)和联邦调查局(FBI)对其执法部门成员和官员在使用旧版本移动操作系统时面临的政府级、州级或地方级别的安全威胁问题表示严重担忧。

据透露,国内外主流安卓手机厂商的系统中均隐藏重大安全隐患,64%85%的安卓系统漏洞都是由于系统定制引起。

说明:
  由于智能机的兴起和安卓系统的高开放性,很多手机厂商都推出了基于安卓系统的智能手机。为体现出品牌的差异化,手机厂商几乎都会在原生安卓系统上进行修改。此次大会,360公司首席科学家、北莱罗纳州大学蒋旭宪教授将曝光定制系统的安全问题。其中包括国内外流行的八个厂商十几款安卓手机,均存在高危安全漏洞。

系统级漏洞被连续发现表明了一个问题:会有更多的恶意软件利用这些漏洞实现其恶意行为。这正体现出此议题的重要性。蒋教授将向参会者揭开网银钓鱼欺诈短信之谜,还原恶意软件如何通过系统漏洞伪装银行号码和短信内容。此外,还将现场演示,仅通过访问一个恶意网址就能进行系统提权,从而黑掉整个手机系统,例如可随意窃取用户通讯录及短信等隐私信息,并将其上传到指定服务器。

5最新APT攻击形式详解

推荐演讲五:最新APT攻击形式详解

记得《碟中谍1》里汤姆·克鲁斯凌空垂落的惊险时刻吗?还记得《虎胆龙威4》中公路上的汽车连环相撞的惨烈场景吗?或许普通观众看到的紧张的剧情或精彩的打斗,但在网络安全专家的眼中,这些影片所描述的实际上是一种很现实的网络威胁,这就是APT。事实上,在一个互联网生命的时代,APT攻击已经不再是科幻电影或谍战大片中的传奇故事,而是潜藏在我们每一个人身边的现实威胁。

说明:   说起APT这个词,恐怕不是安全圈里的人还真说不上来。APTAdvanced Persistent Threat的缩写,字面含义是指针对特定组织或目标进行的的高级持续性渗透攻击,是多方位的系统攻击。不过泛泛而言,凡是针对特别定目标、特定人群或特定信息发动的持续攻击,都可以称之为APT攻击。

Tombkeeper(于旸)是国内知名白帽,拥有大忠实批粉丝。他曾在多个国际知名安全会议上发表演讲,近期在xcon2013安全会议他上公布了一种不依赖于ROPJIT的漏洞利用方法,适用于绝大多数Use After FreeVtable Overflow类漏洞,引起业界很大反响。

本次互联网安全大会,Tombkeeper(于旸)将发表名为“APT防御——未知攻,焉知防?的演讲,将讲述国内信息系统当前面临的从路由到主机、从宏观到微观各个级别的安全风险,包括一些未曾公开过的国内网络环境下特有的威胁形式,同时向大家介绍基于对这些风险和威胁的研究而设计出的一些防御思路。

 

二、主动监护 新式网络安全提高业务优势

网络安全和全美橄榄球联盟进攻线上的队员有一些共同之处,如果你没有在新闻上看到他们的消息,他们可能表现得还不错。不幸的是,网络安全最近频繁出现在新闻中。人们谈起它就像谈起天气一样多。在过去几个月中:

网络窃贼通过攻击预付借记卡数据库以及在全球的ATM机上提取现金,在几小时内盗取4500万美元。

网络犯罪分子用计策挫败智能电视,访问未经授权的节目、私人邮件和信用卡号码。

在测试中,黑客能够进入医用输液泵并操作供给糖尿病病人的胰岛素剂量。黑客还表明,他们能够破坏心脏起搏器,这可能会威胁到心脏病患者的生命。

类似这样的安全威胁,让我们所有人都必须从风险、威胁、漏洞以及最重要的恐惧方面思考安全性。

但是如果妥善应对,安全不仅是防御,更能使业务提升。

现在,回忆一下在奥运盛会中看到的体操项目:高低杠。你会看到一个体型娇小、力量惊人的优雅女孩儿在高低杠之间眼花缭乱地旋转、翻腾、飞跃;随着她的动作越来越危险、越来越炫目,你看得叹为观止。但是你却不会注意到画面里的另一个人,他也在表演中扮演重要角色。这个人就是现场防止运动员受伤的教练员。

教练员默默融入背景中。但是他们却是训练有素的专业人员。他们就像体操运动员一样谙熟整个动作套路。他们知道运动员什么时候会做有风险的动作,这个动作的位置在哪里,以及如何才能保护这个娇小却铤而走险的运动员。教练员始终不会干扰到运动员,但是他们的存在让运动员有信心尝试在无人保护的情况下不敢做的动作。

这正是网络安全扮演的角色,始终在那里守望并保护,但是始终不会被注意到。简言之,是时候让CIO帮助企业网络安全专家从消极防御者转型为监护者了。

举一个当今许多公司息息相关的实例,自带设备上班(BYOD)计划。IT部门面临一个选择,是做一个禁止、限制、反对、拒绝,总是说 “不允许的部门;还是拥抱趋势,采用安全技术领域的创新来保护用户和企业网络,从而让更多人完成更多任务。

显然,当员工、客户、合作伙伴和供应商能够安全、迅速地选择市面上可提供的最佳应用程序、服务、数据来源和网站时,他们将开发、沟通、协作、分享并生产更多。研究证明了这一点:根据Acorn Marketing & Research Consultants 最近所做的调查显示,跨国企业中64%的员工表示,由于使用个人设备完成工作任务,其工作效率得到了提升。

监护者角色的安全方案也会对创新产生积极影响。与企业神话相反,创新不会从那些关在实验室、各自为政的天才脑袋里冒出来。创新实际上就是团队合作。团队合作就是协作。妥善实施的安全措施可将协作提升至全新的高度。安全让人们能够更快、更有信心地沟通并分享好的点子。此外,安全不仅仅是云计算或软件即服务(SaaS)模式这样的运载工具,更有可能安全迅速地将创新转化为产生收入的产品和服务。

通过监护而不是制止,网络安全专业人士能够为员工和客户带来更大信心,帮助他们完成更多任务、提高公司的服务声誉,并让公司能够看到并利用新的竞争优势和业务机会。 

三、企业信息安全等级保护工作

1、当前企业信息安全等级保护工作现状

面对信息安全的威胁,国家于2003年发布了《国家信息化领导小组关于加强信息安全保障工作的意见》,明确提出在非密信息安全领域,信息安全保障工作要实行信息安全等级保护,明确要求建立信息安全保障体系。随后国家于2004年和2007年相继颁布了《关于信息安全等级保护的实施意见》及《信息安全等级保护管理办法》,信息安全等级保护制度全面实行。

2、企业信息安全等级保护的实施方法

2.1 依据的标准

企业信息安全等级保护制度应当依据国家颁布的以下标准执行。

2.1.1 基础标准

《计算机信息系统安全保护等级划分准则》

2.1.2 安全要求

《信息系统安全等级保护基本要求》

2.1.3 系统等级

《信息系统安全等级保护定级指南》

2.1.4 方法指导

《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》

2.1.5 现状分析

《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》

2.2 企业信息安全等级保护工作的步骤

企业信息安全等级保护工作一般分为三个阶段,及准备阶段、实施阶段和巩固阶段。

2.2.1 信息安全等级保护工作准备阶段

企业信息安全等级保护工作准备阶段工作主要包括以下几个方面:

(1)确定总体目标。确定总体目标,其主要目的是为企业等保工作确立一个明确的行动指南,并成为企业等保工作决策、评价、协调的基本依据。总体目标的确定为等保工作前进指明了方向,并明确了发展路线。确定总体目标也是等保工作计划和其他各项工作安排的基础。

(2)明确责任部门。为等保工作明确首要责任部门,以防止出现推诿扯皮的现象。一般等保工作责任部门为企业信息化工作主管部门。

(3)业务培训。作为企业来说,信息安全等级保护是一个相对陌生的概念,但信息安全等级保护工作又是一个相对具有专业性的工作,所以在工作开展之前对相关人员进行培训是非常必要的。

(4)摸底调查。在全面开展等级保护工作前,企业一定要对本单位所属的信息系统进行全面的摸底调查,全面掌握信息系统(包括信息网路)的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,为下一步等保工作的全面展开、确定等级保护定级对象奠定基础。

2.2.2 信息安全等级保护工作实施阶段

信息安全等级保护工作实施阶段的内容主要包括三个方面,系统定级备案、系统测评、系统安全建设整改。

(1)系统定级备案。企业在系统定级备案前首先要明确定级的对象,一般定级对象分为三个方面:起支撑、传输作用的信息网络;用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统;企业网站。

在确定系统定级对象后,企业就需要根据信息系统重要性,按照相关技术标准文件对系统进行定级。

按照国家标准系统等级分为五级,但第五级系统在现实中基本不会出现,所以在一般情况下,信息系统一般按照前四个级别进行划分。第一级系统,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。该级系统适用于小型私营、个体企业、中小学、乡镇所属信息系统,县级单位中一般的信息系统。该级系统无需备案,完全由企业自己来决定采用何种方式进行保护。第二级系统,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。该级系统适用于县级某些单位中重要的信息系统,地市级以上国家机关、企事业单位内部一般的信息系统。该级系统需要到当地公安机关进行备案。

第三级系统,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。该级系统一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统。

第四级系统,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。该系统一般适用于国家重要领域、部门影响涉及国计民生、国家利益、国家安全,影响社会稳定的核心系统。

参照以上标准企业要自行确定信息系统的安全等级,并组织相关领域的专家对定级结果进行评审。在专家出具相关评审意见后,对二级及以上的系统,企业需要到当地市级以上公安机关网络安全保卫部门办理备案手续,以完成系统定级工作。

(2)系统测评。按照相关规定,三级及以上系统国家强制要求进行等级测评。等级测评的主要目的是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;衡量出信息系统安全保护措施是否符合等级保护基本要求,是否具备了相应的等级的安全保护能力。

进行等级测评,企业需要聘请《全国信息安全等级保护测评机构推荐目录》中具有专业资质的测评机构进行。对于测评结果,企业需要将测评报告向受理定级备案的公安机关备案。

(3)系统安全建设整改。参照测评结果,企业需要对测评中所体现的安全漏洞进行安全建设整改,以落实相应的物理安全、网络安全、主机安全、应用数据安全等安全保护措施。

经过安全整改,二级信息系统应具备防御小规模、较弱强度恶意攻击,抵抗一般的自然灾害,防范一般的计算机病毒和恶意代码的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;具有恢复系统正常运行状态的能力。

三级信息系统整改后应在统一的安全保护策略下应具备抵抗大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中管控的能力。

经过安全整改工作,四级信息系统具备的安全防范能力在三级的基础上更为提升,统一的安全保护策略下可抵御敌对势力有组织的大规模攻击,抵抗严重的自然灾害。

2.2.3 信息安全等级保护工作巩固阶段

企业信息系统经过定级、测评、整改后进入日常运行时期。在这一时期,企业的信息系统在技术上已经完全具备了系统安全等级的要求,也建立相应的安全管理制度体系。如何应用各种安全防范技术,如何持久的严格的按照安全管理体系要求执行日常工作成为巩固阶段的主要任务。

在本阶段,企业一定要建立完善的信息系统安全状况日常监测制度,严格执行信息系统的日常运维和安全管理制度,及时消除安全隐患,确保信息安全和系统正常运行。除此之外,企业还要定期对信息系统安全状态进行自查,并积极配合公安机关的监督检查工作。

3、结束语

本文对企业信息安全等级保护的重要作用,实施的全过程以及实施过程中的技术要求进行了较为详细的论述。信息安全等级保护工作的主要内容是建立一套与企业向适应的技术管理方案。在现今条件下,等级保护工作为企业信息安全提供了最为行之有效的工作方案。但等保的目的不是建立这一套方案,其重点在于今后要严格执行这一方案。只有这样才能最大限度的发挥信息安全等级保护工作的效果。 

BYOD安全隐患探析 如何强化移动信息安全

由当前移动智能终端的能力日进千里,企业移动解决方案随着移动互联网的发展渐渐成熟,BYOD也趁势走俏。BYOD(携带自己的设备参与办公)模式对于提升企业工作效率和满足员工个性化需求方面具有莫大的优势,但也不可避免地带来新的安全威胁。

鹏宇成安全专家表示,BYOD是移动信息化一个重要的部分,不能将BYOD安全与移动信息安全割裂,还要把移动安全置于整个企业的移动信息化策略之中考虑。其实BYOD更像是一把双刃剑,如果用的好,将为企业带来巨大的经济效益,但如果没有合理引导并发挥,这把双刃剑或将成为悬在企业头上的达摩斯利剑,成为威胁企业信息安全的短板。下面先了解一下BYOD时代企业信息安全存在的安全隐患都有哪些方面。

相比传统信息化的模式,BYOD环境主要存在三个方面的安全隐患:

首先是通过移动网络链路接入,天然处在一个开放的网络,而传统重要的信息系统都是通过企业内网接入;

其次,使用的环境与传统信息化模式不一样,传统的大部分时间都在固定的办公场所,设备丢失可能性很小,BYOD通常使用移动智能终端,更加容易丢失;

第三,BYOD使用的个人设备上往往同时安装很多个人的APP,而个人APP市场上的恶意软件多如牛毛,这就将企业数据置于安全隐患之中。

鹏宇成专家进一步解释说,链路接入方面,除了传统的防火墙,还要防止VPN、链路加密、接入认证等方面的安全,毕竟通过运营商网络,还有通过公用WIFI接入,如果没有加密技术的保护,任何人都可能无障碍地访问到企业的数据。而在终端方面,因为有很多企业数据如包含企业重要信息的电子邮件,落到个人手机上,这样不管是恶意软件或者设备丢失,都有可能发生信息泄密的问题。

纵观企业的数据安全事件,将近4%的大型企业曾经遭遇过移动安全事件,主要是受到“设备失窃(42.1%)、员工将机密资料存于手机设备后外泄(36.8%)、以拍照方式外泄(31.6%)”等因素所引起。虽然上述调查数据显示移动安全事件的比例并不大,但斯诺登的阴影让我们难以安心:若BYOD的应用真正普及之后,传统的防护措施将会捉襟见肘,大抵算是开门揖盗了。

因此,摆在管理者面前的移动安全问题刻不容缓,企业也亟需建立一套完善的移动安全管理机制,通过加密安全措施使内部的敏感数据安全无忧。加密软件作为基于数据层进行安全保护的最佳措施,可从源头上堵截数据泄露,像鹏宇成软件公司的移动加密软件——鹏保宝就可以带来完善的安全体验。

首先鹏保宝是基于安卓系统的手机加密软件,采用高强度国密算法给移动设备中的敏感数据进行加密,这样一来无论是设备丢失、外借或被盗,未经授权人员都无法接触到加密数据,更谈不上信息泄露了,从而降低企业移动设备带来的数据安全风险。

其次,鹏保宝是基于信息安全服务的,不仅能够加密本地文件,更以文件外发控制的功能取胜,通过鹏保宝制作外发文件,限制接收方的阅读次数和时间,从而保障了信息的流转安全及外发安全,防止敏感数据在流转过程中被截获或二次传播。这个密文互传的实现通道可以是移动端对电脑端,也可以是移动端对移动端,旨在保护企业无论是固定在PC端的数据还是移动的数据,都能得到全方位的保护。

最后,鹏保宝还可结合桌面端的加密软件——核心文件保护工具,实现未解密的密文之间的安全转移,将企业的重要数据都囊括到鹏宇成安全软件搭建的安全浏览环境中来,给企业的信息安全穿上一层透明的保护衣。

企业移动信息安全是一个整体,BYOD作为企业信息化的重要组成部分,应该将其纳入整体信息安全规划中来。而这个移动安全平台建设过程又是一个长期阶段,在这个过程中,管理者需要尽快摸索出一套合适的安全管理策略,然后落地执行。

 

 

Copyright © 2012 国家计算机网络应急技术处理协调中心重庆分中心(重庆互联网应急中心)
技术支持:重庆衡信科技有限公司   渝ICP备08102962号-2

您是第 00001  位访问者!