• 主题
高级搜索  >
历史搜索 清空历史
首页>中文会议>工业技术>自动化技术与计算机技术>2014年中国互联网安全大会
2014年中国互联网安全大会

2014年中国互联网安全大会

  • 召开年:2014
  • 召开地:北京
  • 出版时间: 2014-09-24

主办单位:中国互联网协会;360互联网安全中心

会议文集:2014年中国互联网安全大会论文集

会议论文

热门论文

全部论文

相关中文期刊

更多>>

相关外文期刊

更多>>

相关中文会议

更多>>

相关外文会议

更多>>

热门会议

更多>>

最新会议

更多>>

全选(0
  • 摘要:交通是我国经济发展的动脉,智能交通、车联网是智慧城市建设的重要构成部分,也是节能减排和解决交通拥堵的重要手段。互联网、车联网、交通信息化和智能化是世界经济发展的必然趋势。三网联动引发了汽车产业的变革,如汽车企业的产、供、销模式的改变;引发了生产关系和生产方式的连接渠道的改变;原材料、设备采购、产品销售、人员招聘等逐渐地变为020的模式;内部管理方式的流程化、信良化和自动化;在互联网、云计算、大数据等泛在信息的强力支持下,量体裁衣的小批量定制生产模式将广泛应用,传统商业模式将越来越多地被电子商务所代替。车联网是智能交通的发展方向,必将同时对交通产业和汽车产业发生重大的影响。智能交通的发展必将引起汽车功能和结构的变革以及产业链的发展与创新。加强汽车行业和IT行业的交流与合作,促进智能交通和车联网与汽车产业的协同发展,必将给我国新兴产业带来空前的初遇。
  • 摘要:随着工业信息化进程的快速推进,工业控制系统也逐渐打破了以往的封闭性,采用标准、通用的通信协议及硬、软件系统,甚至有些工业控制系统也能以某些方式连接到互联网等公共网络中.出于政治、军事、经济、信仰等诸多目的,敌对的国家、势力以及恐怖犯罪分子都可以把工业控制系统作为攻击目标。国家越来越重视工控系统的安全,要想让这个工控安全市场的利益链条转起来,就一定要有一个良好的生态环境。目前中国信息协会信息安全专业委员会建立了能源工作组和能源行业信息安全协作联盟,希望推动各种检测机构得到国家的授权和认证,让整个产业链条运转起来。在这个联盟之下,安全生产厂商可以扮演各种不同的角色,比如设备的检测、整改、验收。联盟以能源行业的各个集团为主体,吸收了主流工控系统的生产厂商,同时也希望安全设备生产厂商加入到工控系统安全的联盟中来,希望可以通过安全设备生产企业、能源企业和工业控制系统的生产厂商的通力合作,建立起一个良性的工控安全生态环境,真正地推动中国工业控制安全领域的长期、稳定发展。
  • 摘要:目前,我国的网络安全应急工作总体形势不容乐观,本文主要从竞赛、演练、靶场、人四方面来讲。其中,竞赛主要包括挑战赛、创意赛和对抗赛,通过这些竞赛能够检验参赛产品到底能防住多少攻击,也可以用来测试未来自主设计的其他的国产操作系统的安全防护能力。未来中国网络空间安全协会会有一个竞评演练工作组,竞是指竞赛,评是指评比,演是演习,训是指训练。竞评演练工作组可能会主导一些活动,也可能和外面类似的组织来合作,让老百姓和客户有一个客观的认识。通过构建一个靶场环境,构建各种真实场景来开展竞赛,因此,靶场还要能够支持多种角色的参与,更重要的是需要有效的长期的增长的机制。此外,要重视人才的培养,通过合作使其得到更多实践锻炼的机会。
  • 摘要:随着移动设备的发展和普及,移动安全问题越来越突出.手机病毒作为移动安全问题最主要的载体,安全威胁形势日益严峻.手机病毒的发展呈现"哑铃式"的发展模式,手机病毒的传播成为其发展的瓶颈.手机病毒主要可以通过应用市场、短信、社交网络、即时聊天工具、Drive—By下载、USB、伪基站、蓝牙、二维码、ROM、恶意广告平台以及安全漏洞等方式进行传播。
  • 摘要:本文结合笔者在国家信息技术安全研究中心多年对电子银行系统和第三方支付系统的安全研究经验,主要从3个方面来探讨:一是以攻击者的角度看金融安全态势;二是以防御者的角度讨论几个攻击实例;三是浅谈APT防御趋势.金融系统的APT攻防之道,从技术防控和业务防控两方面浅谈攻防演进的趋势。从技术防控上来看,金融系统一般都为上百种应用分别构建了“竖井状”的防御体系。从业务防控的演进来看,2006~2014年的电子银行认证体系的发展,就是不断加锁的过程,在这方面,第三方支付如支付宝走得较决,即谁在什么时间用什么方式给用户做了什么事情,然后在每一个纬度进行模型分析,判断风险后才提供便捷的支付。虽然每个金融机构在业务上是竞争的,但在信息安全上面临着同样的对手。随着黑色产业链集团化、趋利化和跨境化的特点日趋明显,有必要联合安全服务商、金融机构和主管部门以及金融参与者进行共同防御,战胜攻击,给大家提供了—个更加安全和便捷的金融网络安全环境。
  • 摘要:360公司从2005年起步至今,不论是服务器的数量,还是服务器上运行的业务,都发生了很大的变化.在这一过程中,也积累了一些IDC(Internet Data Center),即互联网数据中心的安全管理和技术实施方面的经验.从自身的实践来看,网络架构的安全设计主要有三个纬度需要考虑:ACL、DDoS的攻击防护和流量分析与检测。在大数据的安全运维中,把流量通过流量整合设备传送到一台分析服务器上,利用零拷贝实现大流量的分析,再通过ScrilDe传送到分析平台,极大地提高了单台服务器所能处理的网络流量。除了对网络流量进行分析,还会对所有8万台服务器的日志进行收集——尽可能多地搜集服务器上的安全相关日志。与此同时,还会在一些DC机房中部署蜜罐服务器,这些蜜罐服务器存在非常简单的弱口令等安全漏洞。可以通过收集蜜罐中的安全日志来获取到攻击者的日志特征,并结合对安全日志告警人工训练的结果,对所有的自身日志进行智能分析,以此实现更准确的产生安全告警的目的。
  • 摘要:本文提出未来互联网将进入IOT时代,也就是Internet of Things(万物互联)。未来IoT时代,所有设备都将内置一个智能芯片和智能OS,所有设备都能通过各种网络协议进行通信,而且是7×24小时的相连,能够产生真正海量的大数据,并且伴随大数据应用的逐步升级,也会让机器变得更加智能,甚至具备自己的意识。IoT时代的信息安全其实也是大数据的安全问题,至少要面临几个方面的挑战。首先,当所有的设备都智能化,都接入网络以后,边界的概念将会进一步被削弱,也就是说接入点越多,可以被攻破的这种可能的入口就会越多,攻击点越多,对防守的挑战就会越大。其次是大数据污染,就是大数据中如果被人为加入了各种无效、错误的数据,人为操作和注入修改虚假信息,在数据传输存储过程中出现了问题,那么根据大数据所做的一切行业指导和趋势分析,都可能面临灾难陛的后果。再次是当大数据产生了人工智能之后,很可能人类技术发展会达到一个新的“奇点”,无论是专用机器人还是通用机器人,在几年以后会越来越普及,都会和互联网相连,甚至它们再反过来对各种设备进行反向控制。最后,也是最重要的一个挑战就是对用户隐私的挑战。笔者提出一个新的想法——在大数据时代,如何保护用户信息的三原则。第一,数据应该是用户的资产,这是必须明确的。第二,任何企业都需要把收集到的用户数据进行安全存储和安全的传输,这是企业的责任和义务。第三,用户信息的使用,一定要保障用户的知情权和选择权,平等交换、授权使用。
  • 摘要:大量的数据中心已开始基于云技术进行建设.在云的建设过程中,云环境的安全成为一个突出的问题.要解决云安全问题,首要目标是要求云安全方案理解云,理解云数据中心采用的技术,理解云数据中心的运转机制。此外,云安全解决方案应具备足够的灵活性,不能让安全成为瓶颈。可以从物理维度、逻辑维度以及攻击者视角对云进行分析,在此基础上构建云安全防护体系。
  • 摘要:"账号+密码"这种认证方式是自网络诞生以来,一直延用至今,并且依然是大范围使用的技术.在网络安全事故频发的今天,企业机构也知道“账号+密码”此方式是属于弱认证系统,安全性不足,所以也增设了一些其它技术手段去提升安全性。提出了App化数字认证解决方案,基于数字认证技术作优化,延续PKI体系数字认证技术,并根据移动端特性进行安全优化,确保产品安全等级;实现无密码安全认证,通过“数字身份→数字证书→智能终端”的智能绑定,免除用户忘记账号密码之苦。这种方式可以降低账号的安全隐患,提升用户体验,减少用户流失,可以减轻企业的管理成本以及客服成本。
  • 摘要:对一个企业来说,网络安全与信息安全的重要性再强调也不为过,因此,数据的安全性,尤其是企业的核心信息资产的安全性,是CIO要考虑的核心问题。作为防护策略,在攻击链前端,使用安全信誉与常规检测技术,尽量在边界位置挡住攻击与渗透,实现“进不来”的目标。在内网,可以使用沙箱与大数据分析技术,对流量与内容作行为分析与意图分析,跟踪疑情并及时阻止恶意行为。总之,企业应转变安全防护的思想,正确选择与使用安全产品,把安全思想贯穿到整个研发流程中去。
  • 摘要:在信息安全管理过程中,往往面临着对立的两难矛盾.信息安全管理的目标当然是减少或避免安全事件的发生,但安全工作的好与坏的不同结果,却都给信息安全管理带来不利影响.企业遭遇安全威胁和攻击,不只是由于安全实践有问题,更根本的原因可能源于信息安全工作的原则。很多安全原则自身都是很好的原则,但放在—起就出问题了,这就是信息安全原则的循环特性。在此提出响应式安全,响应式安全不只是考虑安全事件发生之后如何应对的问题,更重要的是考虑有没有办法更快地发现环境的变化,从而可以减少变化给企业可能带来的负面影响,并更快地恢复企业的系统。响应式安全显然可以带来更好的效果,可以降低信息泄露的概率。
  • 摘要:在当今世界各国都高度重视网络安全,注重依法维护和保障本国的网络安全的情形下,我国作为网络大国更应与时俱进,走在维护网络安全的前列,用法治方式为网络安全运行保驾护航.全国人大常委会已将制定"网络安全法"列入2014年立法计划,这对于我国进一步强化网络安全、建设网络强国具有十分重大的意义.制定"网络安全法",需要准确挖掘我国在网络安全领域面临的重大问题,并有针对性地提出立法对策.根据我国的实际情况和需要,并借鉴西方国家的立法经验,建议我国在进行网络安全立法时,走分别制定“网络信息安全法”和“个人信息保护法”的立法道路。两部法律各有侧重,“网络信息安全法”应重点保护互联网领域的国家安全和公共安全,保护的对象既包括作为硬件设施的网络,也包括作为内容的数据信息等;而“个人信息保护法”侧重于保护公民个人的信息安全。
  • 摘要:大数据以及大数据分析这两个概念近来年越来越火,基于大数据分析的相关产品在2014年也是遍地开花,比如搜索领域、网络安全攻防领域、情报收集领域等.本文所介绍的数据分析方法和数据源皆来自于360网站卫士这个产品。关键词分析是一门很老但是很实用的数据分析方法,基于关键词可以快速地过滤掉原始数据中的杂项数据,在数据分析之前用关键词来为原始数据“降噪”是非常有效的。此外,通过网页日志分析,还可以发现DDoS攻击行为。通过本文可以看到,随着黑客攻防技术的不断推演,相对应的数据分析体系也在不断演化中。当面临大数据的时候,从一个小的切入点入手,结合自身业务的数据模型可以进行不同维度的深层次分析,当一个小的维度分析的结果足够深入时,可以跨业务、跨平台地进行一些数据碰撞,逐渐将数据分析扩大至大数据分析,将单维分析扩展到多维分析,将凌乱的数据分析结果转化为可视化的友好展示,从而逐步构建出业务自身的大数据分析平台。
  • 摘要:我国金融行业是关系国计民生的行业,也是信息安全等级要求最高、防护能力最强的行业之一,所以对金融行业的安全问题进行深入研究,更有利于了解国内信息安全的技术要求水平、具体实践水平和技术水平的高低.阐述了金融行业的安全现状和问题的根源所在,以及现有的安全解决方案所面临的五大难题,分别是防火墙、全自动扫描器、安全监测服务、不可预知的风险、技术局限0day。据此,提出了金融行业app“三位—体”的漏洞分析方法,包括主动式(全自动)漏洞分析,半自动式漏洞分析和全被动式漏洞分析。结合一开始介绍的金融行业的安全现状以及安全隐患的根源所在,还有当下所面临的难题,希望大家能共同努力,建立—套系统、全面的漏洞扫描和漏洞分析方法。
  • 摘要:随着国家建设网络强国战略的出台,我国信息安全产业已再次迎来蓬勃发展的春天.业内分析人士指出,在快步增长的中国信息安全市场中,安全硬件市场长期占据半壁江山,而扼守网络边界的防火墙产品则是安全硬件市场中的顶梁柱.在当前,互联网思维正在快速渗透各行各业、各个领域,并不断颠覆着传统行业。传统安全行业也正处于巨大的历史变革期,互联网与安全的结合已经成为当前的主流趋势。对于用户而言,安全产品只有做到有用、会用、爱用才能够真正发挥最大的价值。因此,以用户名义定义的下一代防火墙,应当融合必要的安全功能,能够防御更加复杂、隐蔽的攻击,能够用数据支撑用户建立并持续高效运行安全管理闭环,拥有简约的人机交互界面和及时的正反馈激励,具备极致的用户体验。
  • 摘要:本报告是基于中国科学院软件研究所2014年申请的一个863项目.这个项目称为"云环境下的恶意行为检测与取证",由中国科学院软件研究所联合CNCERT、公安部一所、绿盟科技、安天实验室、UCloud等共九家单位一起承担.这个项目的立项说明我国开始重视电子取证这个领域的技术方法的研究.云环境下的恶意行为检测与取证首先要确认的一个问题是:什么是恶意行为?因为是对恶意行为的检测,首先要定义恶意行为。对于恶意行为的检测,首先识别云环境下需要监控和检测的对象。然后,对于各个检测对象进行相应的处理。欧美大概70%~90%的刑事案件涉及移动取证,国内还没有统计结果,估计不低。NIST在2014年发布了移动取证的指南——G1lidelines on Mobile DeviceForensicr—对于移动取证的过程、取证工具的要求等做了详细规定。笔者的团队也在研究移动取证,认为移动取证应该从设备、系统、网络和应用四个层面去研究,每—个层面都有很多热点难点问题需要解决。最后,希望更多的专家学者能够关注并参与到取证的研究和开发中来,从根本上改变我国只是Follower的状态,真正拿出创新成果做Leader。
  • 摘要:这篇文章的题目是"无数双'眼睛'都看到你的密码了啦!"这双眼睛指的是各种移动设备上配备的相机.在这篇文章中介绍这些相机是如何窥觑您的隐私的,即自动识别您在移动设备触摸屏上的输入.与肉眼偷窥比起来,利用移动设备相机偷窥更加隐蔽,而且攻击者可以把录像带回家,仔仔细细地慢慢分析.这种危害是很大的,应该引起人们更多的重视.提出了一个智能隐私增强键盘,这个键盘实现了安卓系统级第三方键盘。第一类是对键的位置进行打乱,第二类是让每个键慢慢来移动,而且只有在输入密码的时候才可以弹出隐私增强键盘,输入其他信息时还是一个正常的键盘。这种键盘可以抵抗很多其他各种各样的攻击。
  • 摘要:所谓信息技术第三平台,是以移动设备和应用为核心,以云服务、移动网络、大数据分析、社交网络技术为依托的全新格局.移动信息化已是大势所趋,企业移动平台的标准建立需要一个开放的战略思维,企业用户需要具备长远的、前瞻性的眼光建立有效的移动战略部署规划,通过融合移动安全和移动业务平台来有效地提高ROI投资回报率、业务运营效率以及核心竞争实力。
  • 摘要:经过20年的快速发展,中国的互联网取得了长足发展.与此同时,网络安全问题也日益凸显.虽然近年来我国的网络安全保障能力在持续上升,但时至今天,由于网络安全形势的变化以及网络新技术的不断出现,我国在网络安全保障能力方面仍然有待提高.我国在网络安全基础设施方面仍然非常薄弱,防渗透能力非常差。从斯诺登事件中可以看到,美国在面临网络安全问题的时候能够有效协调安全厂商、技术机构、媒体形成常态化优势,而我国在技术标准、监管机制和产业联合引导方面还是非常不足的,特别是在产业方面。建议大家联合起来,以一个联盟的形式提升网络安全保障能力,通过构建统一的技术标准,联合各部门,实现资源共享,扩大监测范围,调动社会力量培养网络安全人才。
  • 摘要:漏洞与漏洞利用方法在现代网络环境是非常重要的.通过使用高级漏洞利用技术来安全对抗漏洞攻击,从而提高网络环境的安全性.防御Oday漏洞的攻击,这个问题无论在产业界还是学术界至今都没有一个完美的,一劳永逸的方案。可以通过对已有的攻击手段与方法的总结与归纳,来用以防护未知的,使用相同技术的攻击。但随着新的攻击技术、思路、方法的不断出现,防御方案也要随之更新。此处所说的更新不只是对特定漏洞或利用方法的静态规则上的更新,也是对攻击思路的对抗更新,才有可能较为有效的提高防御能力。
  • 摘要:Threat Intelligence已经成为网络安全界的最新热词之一.今年IDC在企业安全报告中就不止一次提到Threat Intelligence,在赛门铁克的报告里则把它翻译成"互联网疫情",当作互联网领域流行的病毒,而其实在今天的环境里,人们不仅要面对病毒木马,还要面对各种形式的网络攻击如ATP攻击等,因此这里姑且把Threat Intelligence称为"威胁情报".过去的防御思想,哪怕是FireEye这样的防御思想,是在企业的互联网出口拦一层,将企业的文件拿出来扔到“沙箱”里面去跑,但谁能保证这个“沙箱”的运行环境和客户的机理是一样的?所以在用户的运行环境中进行检测将是更加有效的方法。现在最有效的方法是云。建立可信范围之内的私有云。这个体系中的若干家单位是互相信任的,共享这些支持,就可能会有效地防御攻击。在部门的信息保密和安全之间最终要找到一个折中点,不管是匿名化的方法还是其他的安全保障手段,都要做到尽可能的信息共享,才能做到更加有效的防御。
  • 摘要:2014年是中国正式接入国际互联网20周年.移动通信技术的快速发展导致移动设备的数量呈指数级增长,手机病毒的指数级增长无疑是移动安全的爆发点.2013年上半年安卓手机病毒轻松突破100万,2014年这一数字已经近500万.手机病毒的指数级增长导致移动安全爆发的同时,也为移动安全市场带来了机遇.移动时代,应用为王!平台从浏览器转变到独立运行的移动应用,应用将代替网站成为移动互联网的入口。手机病毒的爆发才刚刚开始,今后几年将看到大量的手机病毒自动制造工具和高级变异病毒的出现。同时大量企业由于IT架构的改变而将服务部署到手机上,加上企业数据和用户私人数据的混杂及手机的随身携带性,使得手初安全战场更加硝烟弥漫。希望读者除了借助外部安全厂商的工具进行自我保护之外,还要养成对个人数据保护的敏感隍,内外兼修,才能达到良好的保护效果。
  • 摘要:针对软件的逆向工程和反逆向工程由来已久,并且仍将长期对抗下去。每个人都知道所有的软件都有缺陷,一个小的编程失误可以导致程序崩溃。而造成安全问题的缺陷就是软件的漏洞,漏洞永远是黑客圈最热衷谈论的话题之一。反逆向工程可以阻止一定的漏洞挖掘与分析过程,但不能阻止全部。黑盒模糊测试是最受青睐的漏洞挖掘方式之一。它应用到漏洞挖掘领域已经很多年,并且仍将长期应用下去。黑盒模糊测试的瓶颈是无法理解程序的运行,无法应对程序内复杂的条件判断,效率低,这就需要智能白盒测试方式进行补充。白盒测试通过分析程序来理解程序的运行,从而精确构造输入数据进行测试,这样就加大测试路径的覆盖度,提高测试效率。但是白盒测试依赖二进制指令插桩、符号执行与约束求解,这就给反白盒测试以可乘之机,实现在白盒测试环境中运行的效果与实际运行的效果不—致,无意义的垃圾代码、分支与循环足以让符号执行与约束求解引擎崩溃。
  • 摘要:本文将分析网络安全人才对国家网络空间安全的重要性以及我国网络安全人才战略的建设,分别从网络空间的特点、网络安全人才的重要性、网络安全人才的现状以及网络安全人才的发展战略4个方面进行论述。网络空间安全已经上升到国家战略的高度,网络空间的安全保障归根结底是安全人才的保障。目前我国已成为网络攻击的主要受害者。但是在网络空间安全方面,虽然相关建设已经起步,但仍处于初级阶段,远远不能满足发展的需要。因此,在保障网络安全空间的问题上,我国应采取积极主动的措施,加强自身的安全能力建设,努力培养网络安全人才,建立国家相应的体制和机制,实现网络安全人才战略要求。建议计算机技术要从娃娃抓起,重视公民安全意识的普及,建立政府企业信息技术精英间的对接平台,建立和完善国家信息人才培养和选拔机制,建立网络安全人才库,确立网络空间安全人才管理战略-“平战结合”。
  • 摘要:网络空间已经成为继陆、海、空、天之后的第五大主权领域空间,也是国际战略在军事领域的演进,这对我国网络安全提出了严峻的挑战,应积极应对,加快建设我国网络安全保障体系,捍卫我国网络安全国家主权。云计算、大数据、物联网、工业系统移动互联网、虚拟动态异构计算环境等新型信息技术应用都需要可信免疫体系作为其基础支撑,构建可信机制,达到攻击者进不去、非授权者重要信息拿不到、窃取的保密信息看不懂、系统和信息篡改不了、系统工作瘫不成和攻击行为赖不掉的防护效果。在此基础上,要加强可信计算平台密码方案、可信平台控制模块、可信主板、可信基础支撑软件等方面的技术创新。同时,在我国实施国产化替代战略的过程中,可信防护体系全面支持国产化的硬件、软件,尽管国产化产品存在很多缺陷和漏洞,但可信保障能使得缺陷和漏洞不被攻击利用,确保比国外产品更安全,为国产化自主可控、安全可信保驾护航。总之,面对日益严峻的国际网络空间形势,要立足国情,创新驱动,解决受制于人的问题。坚持纵深防御,构建牢固的网络安全保障体系,为我国建设成为世界网络安全强国而努力奋斗。
  • 摘要:混合云的复杂性决定了云安全绝不是简简单单地,某一个厂商提供某一个设备可以解决的,在企业中正在上演的对信任边界的重组及侵蚀,被云计算放大并加速。无处不在的连接、各种形式的信息交换、无法解决云服务动态特性的传统静态安全控制,这些都需要针对云计算的新思维。云计算中的安全控制,其中的大部分与其他IT环境中的安全控制并没有什么不同。然而,由于采用云服务模式、运行模式以及用于提供云服务的技术,与传统IT解决方案相比云计算使组织可能面临不同的风险。一个组织的安全状况的表征取决于风险调整后实施的安全控制的成熟度,有效性和完整性。这些安全控制可以在一层或多层上实现,包括设施(物理安全)、网络基础设施(网络安全)、IT系统(系统安全),一直到信息和应用(应用安全)。此外,还包括人员和流程层面的安全控制,例如,职责分离和变更管理等。最后,任何技术都不是万能的,三分技术,七分管理,云安全其实就是云安全管理,任何技术都只是管理安全的方式和手段,只有借助于先进的安全技术和理念,并不断完善云计算安全管理体系,才能打造一个安全的云计算环境。
  • 摘要:本文仅从分析我国互联网是否已经广泛采用PKI技术来评估中国互联网是否安全,主要从SSL证书、浏览器不信任的自签证书等方面的问题来分析中国互联网的安全风险。PKI(Public Key Infrastructure,公钥基础设施),是保障互联网安全的唯一可靠技术,其核心应用之—是“加密”,核心应用之二是数字签名,通过对所有通信、电子邮件、软件等进行加密,来保护信息的安全。
  • 摘要:关于APT,在业界没有统一的说法.有些APT事件属于国家之间的网络空间对抗.在安全界,APT还有另一层面的解释:APT代表一种更高级的攻击方式,包含高级逃逸技术、0day漏洞利用、持续性渗透等.这些是传统安全产品无法有效检测的攻击技术,这也叫APT.针对APT攻击,任何一种单独的方式都是不够的。APT检测需要在网络、载荷和终端上共同实现,通过实时和非实时的不同纬度,进行多方位的检测,在任何攻击阶段都可以提供检测能力。黑客可以通过一些技术绕过某一层防御,但当你的防御层级足够深的时候,黑客总会露出马脚。这些解决方案不仅是技术上的问题,更重要的是观念的变革。技术的问题可以由安全厂商解决,比如针对漏洞利用进行检测的沙箱技术。但是还有一些问题是需要社会和企业共同努力的。首先是针对云端的使用,APT攻击检测,依靠单个设备的能力是远远不够的,更多的是对恶意软件的分析,这需要依赖于云端强大的计算能力和专家分析能力。需要将一些特定的样本上传到云端做进一步分析。
  • 摘要:iPhone手机以其时尚的外观和极好的用户交互体验备受全球消费者青睐,同时iPhone手机设备的安全问题,也吸引很多安全研究者的眼球.iPhone手机的iOS系统是闭源系统,相比于开源的Android代码,要从iOS系统中发现安全问题会更加困难.但是360移动安全研究员在研究中发现了—个疑似苹果后门的服务,攻击者利用这个服务可以轻松窃取用户的隐私数据,还可以构造一款恶意充电器,在用户不知情的情况下,在充电过程中盗取用户隐私数据。iPhone手机的iOS系统采取MAC地址随机化、Send last location、短信防打扰模式、Touch ID安全认证方式等方式来保证其安全。iOS系统在安全方面做了很多工作,包括代码闭源防止越狱,权限分离机制,代码签名保护,数据执行保护(DEP),二进制文件、库文件、动态连接文件、堆和栈的内存地址全部随机化,App运行时的沙盒保护机制,防止越权攻击到系统本身。在iOS安全框架中,从底层硬件到运行的内核以及到上层App应用,都有不同的保护机制,iPhone手机在数据安全防护中,采取链式数据保护方式,每一台设备拥有唯一的Device UID,通过UID生成文件系统Key,结合文件Key才能解密文件内容。iPhone手机荏保护数据安全时对数据的保护也分很多级别。
  • 摘要:随着Android平台上应用程序(App)的爆发性增长,安全研究人员也面临着如何更好地对这些App进行程序分析,如何更好地理解程序内部逻辑的问题.特别是,安全研究人员需要甄别出那些对安全造成威胁的恶意App.在Android平台上,需要对APK进行反汇编、反编译,需要进行一些高级的程序分析,包括动态分析调试、关键函数的分析等.提供真实环境下的Android App分析系统,是现实分析工作中越来越重要的一项需求。总结了现有分析系统的优势与不足之处,设计并实现了一款分析系统InDroid,它具有如下一些技术优势:能够提供—个完整真实的Android安全监控和分析;能够运行于多种真实设备,抵御代码混淆并支持多种版本的Android系统。
  • 摘要:互联网安全与法律制度的冲突,主要表现在时间上的冲突、地域上的冲突和需求上的冲突.针对时间冲突,要用软法和判例法来填补空白;针对地域冲突,要推动跨国的互联网安全技术规范向国际公约迈进;针对需求冲突,要寻求最大公约数,并坚持底线.互联网安全的国际立法,一定要尽快纳入国际立法议程。无论是在联合国框架下,还是另外起灶,都要发挥国际各方面的力量,政府和企业均应该积极参与、共同努力。
  • 摘要:安全是工业生产的永恒主题.随着工业化和信息化的深度融合,信息安全问题在工控领域日益凸显,而震网事件也给国家安全敲响了警钟,工业基础设施安全面临严峻挑战.在行业发展的迫切需求促动和驱使下,业界人士开展了关于工控系统信息安全的研究和探索.随着越来越多的安全事件的发生,我国的工业基础设施面临着前所未有的安全挑战。然而,工业安全不是一个单纯的技术问题,而是一个从意识培养开始,涉及到管理、流程、架构、技术、产品等各方面的系统工程,需要工控系统的管理方、运营方、集成商与组件提供商的共同参与,协同工作,建立纵深防御部署是工业领域应对安全挑战的有效方法,同时应意识到工业安全是一个动态过程,只有在整个工业基础设施生命周期的各个阶段中持续实施,不断改进,才能实现真正的安全。
  • 摘要:据工信部统计,2014年1月我国已有12.35亿的手机用户数.在庞大的用户群体后面,有着许多看不见的黑手,想着各种各样的办法来窃取用户的钱财,而伪基站攻击则是专门针对手机用户的一种.目前,运营商、手机用户都有打击伪基站的意愿,相关管理部门都一直在打击非法伪基站。但因为伪基站的特点,使得目前在打击伪基站存在执法成本高、伪基站违法成本低,加上伪基站利润之高,使得不少人铤而走险。360有基于内容分析判断的垃圾短信识别系统,可以基于内容来识别伪基站短信。在云端通过学习用户举报的大量短信数据,归纳总结后再用于伪基站短信识别,实现本地和云端、用户端和服务端的联动打击。总之,对伪基站的打击是—件任重而道远的事情。现在每天还会有很多人受到伪基站短信的攻击,不仅仅安全公司要尽到保护手机用户的责任,运营商及监管部门也有义务保护手机用户,所以大家需要联合起来,共同打击、治理,还广大手机用户的一片安全网络环境。
  • 摘要:随着互联网技术的发展,安全测试也在不断发展,在互联网或者通信行业有两个特别权威的测试标准,一个是防火墙的测试标准RFC3511,另一个是性能测试标准RFC2544,依据这个标准现在又发展了一些新的测试方法与标准,其趋势为:从原来单一的基本性能指标测试,发展成复杂流量模型的混合场景测试。无论是安全测试还是应用测试以前都是在单机或者单台设备上完成,现在全部都移到了云上,在物理服务器或主机的测试也都可以移植到云上进行。云测试分为云基础架构测试和应用安全测试。应对这样的云技术发展,需要提供虚拟化测试解决方案,在虚拟化环境下完成前面介绍的所有功能测试、性能测试、安全测试、攻击测试和应用流量测试。随着云技术的不断发展,虚拟化方案将被作为重点的研发策略,虚拟测试仪既可以仿真单个终端,也可以仿真整个网络系统,可以在虚拟平台上任意实现虚拟机仿真组合,并通过物理网卡或虚拟网卡混合发送流量,实现更真实的云安全测试场景,为网络安全保驾护航。
  • 摘要:本文要跟大家分享的是,解决安全问题,从创业公司角去看,怎么样才能更有竞争力;然后是要解决安全问题,应该有什么样的思路和框架才能做出来创新性的产品.公司必须保持不断地创新,才能保证其发展,谈到公司创新问题,要从技术、对用户的认知等各个方面考虑资金的利用、日常的投入。公司应推进创新文化建设,让员工的创新想法得以反馈,并付诸实施。
  • 摘要:如果说互联网时代人们的隐私受到了威胁,那么大数据时代无疑加深了这种威胁:因为前者涉及特定的隐私信息;后者是对用户的全景洞察。需要从国家与社会层面限定互联网企业对用户隐私信息的收集与使用,从根源上解决隐私保护问题。需要以标准、规范等形式对其行为进行引导与限定。此外,从技术角度实现大数据隐私保护也十分必要,笔者今天所介绍的社交网络匿名保护、大数据访问控制、密文检索技术等都仍需大家共同努力、深入探索。
  • 摘要:这是一个目前我们的信息安全从业人员非常关注的一个话题,为什么呢?核心的问题在于与10年甚至5年前相比,如今企业的数据资产变得越来越有价值,而现在所谓的"黑客"也不是简单地以炫耀技术、打击竞争对手为目的,而更多的是以利益为驱动形成了规模化的产业链,客户资料(银行账号、身份信息和病患记录等)、知识产权(设计图纸、源代码和设计文档等)、公司战略(财务报告、战略规划和合并计划等)这些信息无一例外成为攻击者的目标,而获取的信息资产所带来的价值也远远超越了其攻击过程的投入,因此这种具有目的性的攻击行为(Targeted Attack)所带来的危害性已经越来越被用户所重视.企业做数据泄漏防护(Data Leakage Prevention)切忌不要一开始就考虑大而全,希望借助该平台一步到位解决所有的数据泄漏风险,找到数据泄漏风险点。
  • 摘要:互联网上的安全事故也层出不穷,也是制约云存储发展的最大障碍之一。在云存储体系中,对数据文件进行加密时,数据文件采用对称加密方式,而存储密钥的加密利用PKI技术,进行非对称加密。但是这种技术对用户私钥的保护比较困难,而且无法实现文件去重。在整个安全云存储中,为了支持密文去重需要建立两套密钥体系,用于密文去重的共享密钥,采用了一种反向用明文内容信息加密密文密钥的技术,这样达到拥有明文文件的人可以交换存储密钥的目的。建立明文、密文Hash值的多对多映射处理,校验文件的完整性。在做到用户数据不会丢失的前提下,让用户真正地相信运营商看不到他的数据,同时也明确证明是看不到的,这样用户才真正相信云存储的安全可靠性。
  • 摘要:在Web技术飞速演变、攻防技术不断发展的今天,开发的大量应用程序都通过Web方式提供服务,这些Web程序的交互性和复杂性也越来越高.越复杂的系统就越容易出现安全问题.虽然目前大部分的应用程序都由有一定安全意识的员工进行开发,但还是存在大量的安全漏洞被黑客利用,并产生了严重的安全后果.利用灰盒对目标应用系统进行测试能快速发现更多的Web安全漏洞问题,并且可以使用非常少的测试用例完成测试,提高了测试的效率;能覆盖黑盒测试的安全漏洞范围,并发现更多的深层次Web安全问题;能降低人工白盒测试中的高成本和自动化白盒测试的高误报率;能准确定位漏洞代码的具体位置;可以将业务影响降低到最低;可以保证检测过程中更低的漏报率和误报率;目前灰盒方式可以测试到的漏洞至少包括:反射型XSS、存储型XSS、SQL注入(有回显)、SOL注入(无回显)、命令注入、文件包含、OGNL注入、URL跳转、所有的信息泄漏等。所以在测试阶段使用灰盒测试的方式对目标基于Web的Java应用系统进行安全检测,优势远远大于黑盒和白盒测试。
  • 摘要:商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证时所使用的密码技术和密码产品,其在保护信息安全方面发挥着不可替代的作用.然而,在我国商用密码法律规制中出现了诸如管理体制不顺、管理对象不明确等新问题,制约了商用密码作用的发挥.通过考察其他国家和地区的有关商用密码的法律监管制度,尝试为我国商用密码监管机制的完善提出相关建议.应该重新整合商用密码的监管机构,赋予密码管理机构以行政管理初关的地位,并设计两级管理,实行密码技术监管和密码产品监管的分离,改变商用密码技术属于国家的规定。

客服邮箱:kefu@zhangqiaokeyan.com

京公网安备:11010802029741号 ICP备案号:京ICP备15016152号-6 六维联合信息科技 (北京) 有限公司©版权所有 出版物经营许可证

  • 客服微信

  • 服务号