信息安全新技术应用介绍,程晓峰,信息安全技术概述,1、云安全技术 2、物联网安全技术 3、其他新安全技术,Page2,什么是云计算？,天下大势，合久必分，分久必合， 计算机技术的分合演义,早期计算技术以合为特征曲高和寡 个人电脑的发展使分成为了主流计算机飞入寻常百姓家 网络技术的发展使云计算成为了合的模式，计算和存储通过网络隐形于云端大象无形,云：新时代的曙光,云 短期内过度宣传，长期看过于低估 计算成为了一种实用工具 改变一切：商业模式、风险投资、研究开发,什么是云计算？,李德毅院士： 云计算包括信息基础设施（硬件、平台、软件）以及建立在基础设施上的信息服务，提供各类资源的网络被称为“云”，“云”中的资源在使用者看来是可以无限扩展的，并且可以随时获取、按需使用、随时扩展、按使用付费,什么是云计算？,计算成为了一种实用工具：计算的第三个时代来临 云的推动者 摩尔定律 超速连接 服务导向架构 供应商等级 主要特征 灵活，按需服务 多租户 计量服务,云计算NIST工作定义可视化模式,宽带网络,快速灵活,测量服务,按需自助服务,资源共享,软件即服务（SaaS）,平台即服务（PaaS）,基础设施即服务（IaaS）,共有,私有,混合,社区,基本特征,交付方式,配置模式,NIST定义,五大特征,三种服务模式,四种部署模式,云计算五大特征,按需自服务 用户可以在需要时自动配置计算能力，例如服务器时间和网络存储，根据需要自动计算能力，而无需与服务供应商的服务人员交互。 宽带接入 服务能力通过网络提供，支持各种标准接入手段，包括各种瘦或胖客户端平台（例如移动电话、笔记本电脑、或PDA），也包括其它传统的或基于云的服务。 虚拟化的资源“池” 提供商的计算资源汇集到资源池中，使用多租户模型，按照用户需要，将不同的物理和虚拟资源动态地分配或再分配给多个消费者使用。资源的例子包括存储、处理、内存、网络带宽以及虚拟机等。即使是私有的“云”往往也趋向将资源虚拟“池”化来为组织的不同部门提供服务。 快速弹性架构 服务能力可以快速、弹性地供应 在某些情况下自动地 实现快速扩容、快速上线。对于用户来说，可供应的服务能力近乎无限，可以随时按需购买。 可测量的服务 云系统之所以能够自动控制优化某种服务的资源使用，是因为利用了经过某种程度抽象的测量能力（例如存储、处理、带宽或者活动用户账号等）。人们可以监视、控制资源使用、并产生报表，报表可以对提供商和用户双方都提供透明。,云计算三种服务模式,四种部署模式,云计算核心原则,云计算Gartner图,什么是云安全？,云安全的不同研究方向,云计算安全,安全 云,保护云计算本身的安全云计算安全,“也许我们起名叫云计算本身就是一个失误，因为这名字很容易让人感觉有趣和安全。但事实上，网络中充满了威胁和险恶，如果我们当初把它叫做沼泽计算(swamp computing)或许更能够让人们对它有一个正确的认识。”,云，安全？沼泽计算？,Ronald L. Rivest RSA算法设计者,云计算架构的安全问题,云计算面临的安全威胁,Threat #1: Abuse and Nefarious Use of Cloud Computing 云计算的滥用、恶用、拒绝服务攻击 Threat #2: Insecure Interfaces and APIs 不安全的接口和API Threat #3: Malicious Insiders 恶意的内部员工 Threat #4: Shared Technology Issues 共享技术产生的问题 Threat #5: Data Loss or Leakage 数据泄漏 Threat #6: Account or Service Hijacking 账号和服务劫持 Threat #7: Unknown Risk Profile 未知的风险场景,恶意使用,数据丢失/数据泄漏,恶意业内人士,流量拦截或劫持,共享技术潜在风险,不安全的API,未知风险预测,云计算调查,云安全指南,D1: 云计算架构框架 D2: IT治理和企业风险管理 D3: 法律和电子发现 D4: 合规性和审计 D5: 信息生命周期管理 D6: 可携带性和可交互性 D7: 传统安全、业务连续性和灾难恢复 D8: 数据中心运行 D9: 事件响应、通告和补救 D10: 应用安全 D11: 加密和密钥管理 D12: 身份和访问管理 D13: 虚拟化,云计算的安全管理最佳实践,云计算的安全管控 1. 云计算迁移前理清相关合同、SLA和架构是保 护云的最好时机 2. 了解云提供商的“供应商”、BCM/DR、财务 状况以及雇员审查等 3. 尽可能识别数据的物理位置 4. 计划好供应商终止和资产清退 5. 保留审计权利 6. 对再投资引起的成本节省谨慎注意,云计算的安全管理最佳实践,云计算的安全运行 1. 能加密则加密之,独立保管好密钥 2. 适应安全软件开发生命周期的环境要求 3. 理解云提供商的补丁和配置管理、安全保护等 措施 4. 记录、数据渗漏和细粒化的客户隔离 5. 安全加固虚拟机镜像 6. 评估云提供商的IdM集成,例如SAML, OpenID等,CSA安全指南框架,云计算安全的7个推荐,DoS对抗各种形式的拒绝服务攻击的能力 D7/D8/D9 SLA清晰、细化、合同化的安全SLA D2/D7/D8 IAM完备的身份和访问控制管理 D12/D13 SVM全面及时的漏洞扫描和修补 D4/D10/D13 Data透明和明确定义的数据安全 D5/D6/D11 Audit完备的电子证据和审计系统 D3/D4 SDL应用生命周期的安全和供应商安全管理 D10/D11,云计算平台安全框架建议,安全作为云计算的一种服务安全云,安全防御技术发展历程,威胁格局 的发展,安全防御技术的发展,混合威胁,利益驱动,魔高一尺，道高一丈！,网络威胁数量增长图,防病毒软件防护真空期,实际数据图表可以更清楚地表现网络战争的愈演愈烈。,在安全中检测最适合做成云模式,38,1.用户收到黑客的垃圾邮件,2.点击链接,4.发送信息/下载病毒,对客户所访问的网页进行安全评估 阻止对高风险网页的访问,3.下载恶意软件,安全云,39,安全云的客户价值,侦测到威胁,防护更新,应用防护,侦测到威胁,病毒代码更新,病毒代码部署,传统代码比对技术,云安全技术,获得防护所需时间（小时）,降低防护所需时间: 更快的防护 更低的风险更低的花费,更低的带宽占用,更小的内存占用,安全云优势,1,2,研究方向更加明确 分析“云安全”的数据，可以全面精确的掌握“安全威胁”动向。,分析模式的改变 “云安全”的出现，使原始的传统病毒分析处理方式，转变为“云安全”模式下的互联网分析模式。,3,防御模式的改变 “云安全”使得网络安全防御模式由被动式向主动式转变。,安全云改变信息安全行业,互联网用户,云安全中心,云安全客户端,用户计算机,用户计算机,用户计算机,用户计算机,用户计算机,来源挖掘,威胁挖掘集群,数据分析,威胁信息数据中心,即时升级服务器,即时查杀平台,自动分析处理系统,互联网内容,什么是物联网？,Page 44,什么是物联网？,1999年英国工程师Kevin Ashton首先在Auto-ID项目中提出“物联网”的概念。 核心的思想是对每一个事物都进行 编码确认身份，进行通讯。 思想很简单，但是实现起来非常复杂。 物联网的功用：信息进一步实时化。 最简单直接的物联网：手机网络（最直接的应用：移动支付）,物联网的概念,欧盟提出的概念 基于一定标准和交互通信协议的、具有自配置能力的动态全球网络设施，在物联网内物理和虚拟的“物品”具有身份、物理属性、拟人化属性等特征，它们能够通过一个综合的信息网络来连接，是未来互联网的一部分。,物联网（The Internet of things） 在计算机互联网的基础上通过射频识别（RFID）、红外感应器、全球定位系统、激光扫描器等信息传感设备，按约定的协议，把任何物品与互联网连接起来，进行信息交换和通讯，以实现智能化识别、定位、跟踪、监控和管理的一种网络。,物联网的概念,物联网的历史发展,1995,2004,2005,2008,2009-6,2009-8,未来,物联网的提出,U-Korea 战略,IBM 提出了“智慧地球”,感知中国,2009-9,物联网行动计划,近三分之一应用与物联网概念有关,首家以物联网为宣传语的通信企业,ITU 互联网报告2005：物联网,U-Japan 战略,Page 48,实际应用,1990年 物联网的实践最早可以追溯到1990年施乐公司的网络可乐贩售机Networked Coke Machine。 2011年1月3日，国家电网首座220千伏智能变电站无锡市惠山区西泾变电站投入运行，并通过物联网技术建立传感测控网络，实现了真正意义上的“无人值守和巡检”。 2011年7月12日从知情人士处获悉，移动支付的国家标准已经基本敲定，由中国银联倡导的NFC手机支付标准有望主导国标。,无锡移动积极推动TD网与物联网融合,物联网认识方面的误区,毋庸讳言，目前关于物联网的认识还有很多误区，这也直接影响我们理解物联网发展的影响,误区之一，把传感网或RFID网等同于物联网。 事实上传感技术也好、RFID技术也好，都仅仅是信息采集技术之一。除传感技术和RFID技术外，GPS、视频识别、红外、激光、扫描等所有能够实现自动识别与物物通信的技术都可以成为物联网的信息采集技术。因此，传感网或者RFID网只是物联网的一种应用，但绝不是物联网的全部。,物联网认识方面的误区,误区之二，把物联网当成互联网向物无限延伸，实现全部物互连与共享信息的“物物互联平台”。 实际上物联网绝不是简单全球共享互联网的无限延伸。 现实中没必要也不可能使全部物品联网； 现实中也没必要使专业物联网、局域物联网都必须连接到全球互联网共享平台； 今后的物联网与互联网会有很大不同，类似智慧物流、智能交通、智能电网等专业网；智能小区等局域网才是最大的应用空间。,物联网认识方面的误区,误区之三是认为物联网是空中楼阁，是目前很难实现的技术。 事实上物联网是实实在在的，很多初级的物联网应用早就在为我们服务着。物联网理念就是在很多现实应用基础上推出的聚合型集成的创新，是对早就存在的具有物物互联的网络化、智能化、自动化系统的概括与提升，它从更高的角度升级了我们的认识。,物联网认识方面的误区,误区之四是把物联网当成个筐，什么都往里装，基于自身认识，把仅仅能够互动、通信的产品都当成物联网应用。 如：仅仅嵌入了传感器，就成为了所谓的物联网家电；贴上了RFID标签，就成了物联网应用等。,物联网认识方面的误区,55,新旧思路的对比,“物联网”概念的问世,打破了之前的传统思维。过去的思路一直是将物理基础设施和IT基础设施分开：一方面是机场、公路、建筑物,而另一方面是数据中心，个人电脑、宽带等。 而在“物联网”时代，钢筋混凝土、电缆将与芯片、宽带整合为统一的基础设施，在此意义上，基础设施更像是一块新的地球工地，世界的运转就在它上面进行，其中包括经济管理、生产运行、社会管理乃至个人生活。,56,美国,奥巴马就任美国总统后,1月28日与美国工商业领袖举行了一次“圆桌会议”,作为仅有的两名代表之一,IBM首席执行官彭明盛首次提出“智慧的地球”这一概念,建议新政府投资新一代的智慧型基础设施,阐明其短期和长期效益。奥巴马对此给予了积极的回应:“经济刺激资金将会投入到宽带网络等新兴技术中去,毫无疑问,这就是美国在21世纪保持和夺回竞争优势的方式。”,物联网的架构,基于感知信息的应用服务,传输感知层信息,获取并处理物品信息,应用层,传输层,感知层,物联网的实现技术,感知层 RFID、二维码