【教育分论坛】数字化校园云计算安全建设实践 郑怀宇

白帽子

2019/08/04 发布于 技术 分类

c3安全峰会2017 

文字内容
1. 数字化校园云计算安 全建设实践 郑怀宇 福建中医药大学信息中心
2. 内容概述: • 福建中医药大学数字化校园框架 • 福建中医药大学数字化校园安全威胁 • 福建中医药大学数字化校园安全建设方案 • 全方位防护数字化校园 • 勒索软件专题 • 展望未来移动数字化校园信息安全
3. 福建中医药大学数字化校园框架 服务对象 标 准 与 规 范 业务系统 数据资产 服务器/存储/网络/安全 信 息 安 全 等 级 保 护
4. TDA DE DE TDA 虚拟化无代理防护
5. 三级等保信息安全与业务连续 类别 原因 风险 影响 硬件故障 学校正常秩序 自然灾害(其他) 学校正常行使工作职 物理错误 操作失误 软件故障 逻辑错误 病毒/木马/ APT攻击 数据丢失 能 业务中断 学校财产损失 法规遵从 可能侵害公众利益 学生财产损失及权益 引起法律纠纷
6. 福建中医药大学数字化校园安全威胁 我们把进入校园网络的数据看做一片蓝海 传统防火墙规则基于IP/Port,提供 粗粒度的网络访问规则 僵尸 网络钓鱼 APT 病毒 间谍软件 木马、蠕虫、后门 垃圾邮件 恶意软件 应用防火墙规则基于Web Application,提供更细粒度的 网络访问控制 即使这样,经过合法的防火墙 规则进入用户网络的数据就一 定是安全的么? 事实上,大量的网络威胁仍然夹 杂在数据内容之中,经过合法的 防火墙规则,堂而皇之地进入校 园网络,导致校园网络遭受攻击, 业务中断,数据泄露或受损
7. 福建中医药大学数字化校园安全威胁 新的威胁 --- APT 提取有价值的数据而不 被发现 收集学校老师和学生的情报 对老师使用社会工程 方式(快递员、邮件 等)进行渗透 Attacker s $$$$ 初始化连接到 Command & Control 服务器 数字化校园数据中心的 鲜明标识 老师/学生
8. 福建中医药大学数字化校园安全建设方案 深度威胁安全网关 Deep Edge 2套DE设备 基于下一代防火墙,提供APT防护、恶意程序防护、虚拟补 丁、零日漏洞防护等多种高级内容安全 深度威胁发现设备 TDA 2套TDA设备 识别高级恶意软件,C&C通讯,全方位监控攻击者的活动 深度虚拟化安全系统 DS 34个物理CPU 无代理防护虚拟化中所有虚拟机以及虚拟化系统
9. 福建中医药大学数字化校园安全定位 – 专注内容安全 特点 内容 安全 优势 • 不仅提供防火墙功能,还提供基于网络应用的应用防火墙功能,更重要的 是对于满足上述防火墙规则进出的网络数据提供深度内容安全检测。 • • • • • • 防已知恶意软件,如病毒,间谍软件,木马,蠕虫等 检测并阻止网络入侵以及针对主机的漏洞攻击 检测并阻止APT及定向目标攻击 检测并阻止C&C违规外联通讯及僵尸网络 检测并阻止零日漏洞攻击及未知高级恶意程序 网页信誉检测,网页分类过滤,防止基于Web的攻击,如网站挂马攻击、 跨站脚本攻击和网络钓鱼等 • 福建中医药大学数字化校园安全建设在全面整合传统安全网关的同时,又 提供完整、深入、高效的内容安全防护,实现了数字化校园信息安全功能 和性能的全面提升
10. 全方位防护数字化校园 防病毒 APT防护 勒索软件防护 1. 2. 3. 4. 防病毒、木马、蠕虫、僵尸网络等恶意程序 防未知高级恶意程序及C&C违规外联 防加密勒索软件 URL过滤及分类 Web信誉 虚拟 补丁 福建中医药大学 数字化校园安全 安全 VPN 1. 2. 3. 4. IPSec/SSL/Mobile VPN 多WAN/IPS VPN接入 VPN数据过滤(AV/URLF) 终端无代理Mobile VPN 邮件 安全 1. 依托邮件服务托管方的安全防护
11. 全方位防护数字化校园 防病毒 APT防 护 虚拟补 丁 VPN Oracl e 安全 虚拟化 及云安 全 教务系 统防护 Web安 全 一卡通 防护
12. 福建中医药大学TDA与DE联动 ATSE & NCCE 定制化动态沙盒 Files Email exe 深度威胁安全网关 Deep Edge 可疑威胁 Suspicious Objects 深度威胁发现设 备TDA 开放式 Web API 周期性获取 黑名单 Black List 深度威胁安全网关 Deep Edge
13. 福建中医药大学TDA与DE联动
14. 福建中医药大学TDA与DE联动
15. 福建中医药大学应用系统抗APT攻击防护 Deep Edge 互联网(内建APT防护) APT 恶意通讯 学校网络(外联APT防护)
16. 福建中医药大学TDA沙盒分析
17. 福建中医药大学TDA报告
18. 福建中医药大学虚拟化无代理安全防护 无代理安全 传统部署 一卡通 教务 门户 安全 虚拟机 一卡 信息 身份 教务 通 门户 认证 福建中医药大学虚拟化安全防护 • 防病毒 • 完整性监控 • 入侵检测 • 虚拟补丁 • 防火墙 • Web 应用防护
19. 福建中医药大学无代理虚拟化安全防护
20. 福建中医药大学Oracle安全防护
21. 福建中医药大学WAF 福建中医药大学应用防火墙 Web应用防护 •SQL注入 •XSS跨站脚本 •防爬虫 •防扫描器 •信息泄露 •溢出 •协议完整性 •自定义特征库 网页防篡改 •Windows •Linux •Unix
22. 福建中医药大学堡垒机 解决运维风险的思路 Step1:统一入口 运维资产区 域 Step2:集中管理
23. 福建中医药大学堡垒机 实现运维入口统一 统一运维入口 IT人员 telnet到网络设备 ssh到linux、远程到 windows 通道安全 封杀其他所有访问通道 (防火墙、交换机ACL) 堡垒机
24. 加密勒索软件攻击步骤 1. 此次发生的勒索病 2. 终端用户打开邮件附 毒事件据统计90% 件中包含文档漏洞的恶 以上的加密勒索软 件事件是通过社交 意文档或 .js脚本 工程邮件方式发起 的 1. 黑客利用社交工程学手段 2. 还有少部分加密勒 索软件事件是通过 Web或其他方式导 致的 3. 执行文档漏洞代码 或 .js脚本下载恶意软件 主体 向终端用户发送恶意邮件 4. 运行恶意代码 3. 此次发生勒索软件 事件,福建中医药 大学未发现服务器、 终端被感染 4.2 弹出勒索提示信 息 4.1 遍历磁盘及文 件夹加密本地文 件
25. 福建中医药大学从3个维度分别建立抑制点 1. TDA(含沙 箱模块)可侦 测来自Web和 Mail的文档漏 洞攻击及 .js脚 本,并通过和 DE联动,阻止 加密勒索软件 的形成,从而 达到拦截加密 勒索软件的目 的 2.DS通过DPI 规则保护服务 器免遭勒索软 件入侵 3. 备份存 储和网盘 系统,保 障系统和 个人数据 安全
26. 福建中医药大学虚拟补丁入侵防御
27. 福建中医药大学DE攻击源分析
28. 校园移动智能终端发展带来的信息安全新挑战 移动办公成为发展趋势 移动互联网恶意程序快速增加 移动安全威胁 针对移动终端安全国家政策 随着信息技术的发展,移动门户随之走进了校园。85% 的高校提供无线网络服务,55% 的高校无线上网并不另 外收费。 安卓恶意APP,每月的增长率超过60%,包括恶意 扣费、隐私窃取、远程控制、恶意传播、资费消耗 等多种危害用户的功能;中高危恶意软件占80% 水货机、刷机、越狱带来的风险。第三方控件成为黑客 目标。 《移动终端病毒防治产品评级准则》 《手机信息管理办法》
29. 谢谢!