Contents 目录 APT 专题 /04 安全视点 /43 从 RSA2103 看厂商 APT 检测道 /4 基于记忆的 APT 攻击检测系统 /9 浅谈 APT 攻击的检测与防御 /13 新型威胁分析与防范研

Size: px

Start display at page:

Download "Contents 目录 2013.06 APT 专题 /04 安全视点 /43 从 RSA2103 看厂商 APT 检测道 /4 基于记忆的 APT 攻击检测系统 /9 浅谈 APT 攻击的检测与防御 /13 新型威胁分析与防范研"

梦刘
9 years ago
Views:

2 Contents 目录 APT 专题 /04 安全视点 /43 从 RSA2103 看厂商 APT 检测道 /4 基于记忆的 APT 攻击检测系统 /9 浅谈 APT 攻击的检测与防御 /13 新型威胁分析与防范研究 /17 深入解读 RSA2013 热点技术 /44 大数据 : 高端安全检测的必由路 /49 当息安全遇上应用交付 /52 国产数据库安全审计市场正崛起 /54 息安全的大年和小年 /56 非常安全 /23 安全实践 /58 息安全 2012 年年度热点回顾及 2013 年年度热点展望 /24 金融机构如何建立内部应用系统安全测试体系 /59 数据库审计产品从根本化解统方难题 /64 论息系统安全四化建设 /68 数据库全方位防护专访启明辰滕文静 /71

防范研究 /17 深入解读 RSA2013 热点技术 /44 大数据 : 高端安全检测的必由路 /49 当息安全遇上应用交付 /52 国产数据库安全审计市场正崛起

3 辰动态 /31 安全研究 /74 VenusTech 2013 年月 TOP 10 安全漏洞 /75 辰文化 /78 点灯 /95 与爱同行传递正能量启明辰特派员工亲赴宝兴县地震灾区 /79 在路上我的爱心行 /83 行是知始实践出真知纪 2013 年 Q2 公司产品工程实施规范及技术交流大会 /84 听苹果父讲生命中的三个故事 /96 神奇的中药 ( 四 ) 夏日中成药 /100 轻松一刻唐僧师徒的极品笑话 ( 一 )/101 Venus, 我来啦 /85 致不可重新来过的青春 / 总结 - 工作篇 ( 入定 )/89 读来读往万物静默如迷辛波斯卡诗选 / 年 06 月刊总第 53 期出品 : 北京启明辰息技术股份有限公司编辑 : 编辑部名誉主编 : 严望佳主编 : 潘重予副主编 : 赵武进执行主编 : 徐杨地址 : 北京市海淀区东北旺西路 8 号中关村软件园 21 号启明辰大厦邮编 : 电话 : 传真 : 网址 :

可重新来过的青春 /87 2012 总结 - 工作篇 ( 入定 )/89 读来读往万物静默如迷辛波斯卡诗选 /91 2013 年 06 月刊总第 53 期出品 : 北京启明辰息技术股份有限公司编辑 : 编辑部名誉主编 : 严望佳主

4 A P T 专题 APT 4 APT 是当前网络安全业界最为热门的话题, 这种改写了网络安全游戏规则的攻击行为, 组织严密目标明确手段高超危害巨大, 其受害者中不乏大型企业, 国家机构面对 APT 攻击, 传统的安全防范手段无能为力, 本次 APT 专题邀请了几位专家从各自专业的角度出发, 全面分析了 APT 攻击并提出了可实践的应对解决举措, 有助于各位加深对 APT 的理解

5 从RSA2103看厂商APT检测道文/叶润国一些代表性厂商的APT安全解决方问该网站时就遭受到网页代码的 RSA2013于2月25日到3月1 案和产品攻击 RSA公司去年发现的水坑攻击 Watering hole 就是采用这种日在美国旧金山召开本次RSA峰会主题是掌控数据安全世界 APT攻击过程分解攻击方法这些恶意代码往往攻击 Mastering the data, securing 整个APT攻击过程包括定向情的是系统未知漏洞现有杀毒和个 the world 本次RSA峰会共有报收集单点攻击突破控制通道人防火墙安全工具无法察觉最终 350家安全厂商参展参展厂家数构建内部横向渗透和数据收集上结果是员工个人电脑感染恶意代超过了以往RSA年会单从技术热传等步骤码从而被攻击者完全控制点来看这两年的RSA峰会热点并 1 定向情报收集即攻击者有针 3 控制通道构建即攻击者控制没有太多变化依然还是围绕数据对性的搜集特定组织的网络系统和了员工个人电脑后需要构建某种安全企业安全管理合规性应员工息息搜集方法很多包渠道和攻击者取得联系以获得进用程序安全 DLP等热点而围绕括网络隐蔽扫描和社会工程学方法一步攻击指令攻击者会创建从被数据和企业安全的APT检测成为了等从目前所发现的APT攻击手法控个人电脑到攻击者控制服务器今年RSA大会的最热门 APT攻击来看大多数APT攻击都是从组织间的命令控制通道这个命令控制是近几年来出现的一种高级攻击员工入手因此攻击者非常注意通道目前多采用HTTP协议构建以具有难检测持续时间长和攻击目搜集组织员工的息包括员工的便突破组织的防火墙比较高级的标明确等特征传统基于攻击特征微博博客等以便了解他们的社命令控制通道则采用HTTPS协议构的入侵检测和防御方法在检测和防会关系及其爱好然后通过社会工建御APT方面效果很不理想因此程方法来攻击该员工电脑从而进 4 各安全厂商都在研究新的入侵检测入组织网络内部横向渗透一般来说攻击者首先突破的员工个人电脑并不单点攻击突破即攻击者收集是攻击者感兴趣的它感兴趣的是有幸亲临今年的RSA峰会现场收了足够的息后采用恶意代码攻组织内部其它包含重要资产的服务集了各安全厂商所宣传的APT安全击组织员工的个人电脑攻击方法器因此攻击者将以员工个人电解决方案他们所提出的APT安全包括 1 社会工程学方法如通过脑为跳板在系统内部进行横向渗解决方案五花八门但为了能从众给员工发送包含恶意代码的文透以攻陷更多的PC和服务器攻多方案中梳理出一条清晰的主线件附件当员工打开附件时员工击者采取的横向渗透方法包括口令我们有必要先回顾一下整个APT攻电脑就感染了恶意代码 2 远程漏窃听和漏洞攻击等击过程然后再对这些APT安全解洞攻击方法比如在员工经常访问决方案进行分类最后我们介绍的网站上放置网页木马当员工访和防御方法来抵抗APT攻击笔者 2 5 今年的全球著名息安全峰会数据收集上传即攻击者在内部横向渗透和长期潜伏过程中有 5

定向情报收集即攻击者有针 3 控制通道构建即攻击者控制没有太多变化依然还是围绕数据对性的搜集特定组织的网络系统和了员工个人电脑后需要构建某种安全企业安全管理合规性应员工息息搜集方法很多包渠道和攻击者取得联系以获得进用程序安全 DLP等热点而围绕括网络隐蔽扫描和社会工程学方法一步攻击指令攻击者会创建从被数据和企业安全的APT检测成为了等

6 A P T 专题意识地搜集各服务器上的重要数据不管攻击者通过何种渠道向员工个储和深入分析它可在发现APT攻资产进行压缩加密和打包然人电脑发送恶意代码这个恶意代击的一点蛛丝马迹后通过全面分后通过某个隐蔽的数据通道将数据码必须在员工个人电脑上执行才能析这些海量数据来还原整个APT攻传回给攻击者控制整个电脑因此如果能够加击场景大数据分析检测方案因为强系统内各主机节点的安全措施涉及海量数据处理因此需要构建 APT检测和防御方案分类确保员工个人电脑以及服务器的大数据存储和分析平台比较典型纵观整个APT攻击过程发现安全则可以有效防御APT攻击的大数据分析平台有Hadoop 很有几个步骤是APT攻击实施的关很多做终端和服务器安全的厂商就多做大数据分析和日志分析的厂商键包括攻击者通过恶意代码对员是从这个角度入手来制定APT检测都是从这个角度入手来制定APT攻工个人电脑进行单点攻击突破攻和防御方案的典型代表厂商包括击检测防御方案的典型的厂商有击者的内部横向渗透通过构建的 Bit9和趋势科技 RSA和SOLERA 控制通道获取攻击者指令以及最 6 3 网络入侵检测类方案该类典型APT检测和防御产品后的敏感数据外传等过程当前的方案主要覆盖APT攻击过程中的控 APT攻击检测和防御方案其实都是制通道构建阶段通过在网络边界围绕这些步骤展开我们把本届处部署入侵检测系统来检测APT攻恶意代码检测类代表 RSA大会上收集到的APT检测和防击的命令和控制通道安全分析人 FireEye的恶意代码防御系统御方案进行了整理根据它们所覆员发现虽然APT攻击所使用的恶盖的APT攻击阶段不同将它们分意代码变种多且升级频繁但恶意 FireEye可以说是本次RSA大为以下四类代码所构建的命令控制通道通模会上最火的公司它所推出的基于 1 恶意代码检测类方案该类式并不经常变化因此可以采用恶意代码防御引擎的APT检测和防方案主要覆盖APT攻击过程中的单传统入侵检测方法来检测APT的命御方案最引入注目 FireEye的APT 点攻击突破阶段它是检测APT攻令控制通道该类方案成功的关键安全解决方案包括MPS Malware 击过程中的恶意代码传播过程大是如何及时获取到各APT攻击手法 protection System 和CMS 多数APT攻击都是通过恶意代码来的命令控制通道的检测特征很多 (Central Management System) 攻击员工个人电脑从而来突破目做入侵检测网关的厂商就是从这个两个组件其中MPS是恶意代码防标网络和系统防御措施的因此角度入手来制定APT攻击防御方案护引擎它是一个高性能的智能沙恶意代码检测对于检测和防御APT 的典型代表厂商有趋势科技飞箱可直接采集网络流量抽取所攻击至关重要很多做恶意代码检塔等携带文件然后放到沙箱中进行安大数据分析检测类方案该全检测 CMS是集中管理系统模入手来制定其APT检测和防御方案类方案并不重点检测APT攻击中的块它管理系统中各MPS引擎的典型代表厂商包括FireEye和某个步骤它覆盖了整个APT攻击同时实现威胁情报的收集和及时分 GFI Software 过程该类方案是一种网络取证思发 FireEye的MPS引擎有以下特 2 主机应用保护类方案该类路它全面采集各网络设备的原始点 ① 支持对Web 邮件和文件共方案主要覆盖APT攻击过程中的单流量以及各终端和服务器上的日享三种来源的恶意代码检测 ② 对点攻击突破和数据收集上传阶段志然后进行集中的海量数据存于不同来源的恶意代码采取专门测的安全厂商就是从恶意代码检测 4

是从这个角度入手来制定APT检测都是从这个角度入手来制定APT攻工个人电脑进行单点攻击突破攻和防御方案的典型代表厂商包括击检测防御方案的典型的厂商有击者的内部横向渗透通过构建的 Bit9和趋势科技 RSA和SOLERA 控制通道获取攻击者指令以及最 6 3 网络入侵检测类方案该类典型APT检测和防御产品后的敏感数据外传等过程当前的方案主要覆盖APT攻击过程中的控

7 可疑和禁止加载执行的只有那些获取文件哈希列表从而可以识别高检测性能和准确性 ③ MPS支持符合安全策略定义的软件才被认为更多的恶意代码和可疑文件除可执行文件外的多达20种文件可和允许执行 Bit9可以基于类型的恶意代码检测 ④ MPS可支软件发布商和可软件分发源等持旁路和串联部署以实现恶意代息来定义软件的可策略同时入侵检测类代表码的检测和实时防护 ⑤ MPS可实 bit9还使用安全云中的软件誉服趋势科技的Deep Discovery 时学习恶意代码的命令和控制道务来度量软件可度从而允许用特征在串联部署模式可以实时阻户下载和安装可度较高的自由软趋势科技的Deep Discovery 断APT攻击的命令控制通道 CMS 件这种基于安全策略的可软件专门为APT攻击检测而设计它采除了对系统中多个MPS引擎进行集定义方案其实是实现了一个软件白用网络入侵检测技术来检测APT攻中管理外还可以连接到云中的全名单只有那些在软件白名单中的击的命令控制通道同时还可以球威胁情报网络来获取威胁情报应用软件才可以在企业计算环境中通过在入侵检测引擎上部署恶意代并支持将检测到的新型恶意代码情执行其它则是禁止执行的从而码检测沙箱来弥补传统特征攻击检报上传到云中以实现威胁情报的保护企业的计算环境安全 Bit9 测的不足 Deep Discovery方案包广泛共享此外 FireEye还可以和解决方案还包括一个可安装在每个括检测分析调整响应四个步其它日志分析产品结合起来形成终端和服务器上的轻量级实时检测骤产品形态上包括Inspector和功能更强大的息安全解决方案和审计模块它是实现实时检测 Advisor两个组件 Inspector是个 FireEye被认为是APT安全解决方案安全防护和事后取证的关键部件网络入侵检测引擎依据获取的威的佼佼者其产品被很多500强企 Bit9的实时检测和审计模块将帮胁情报息来检测APT攻击过程中业采购助你获得对整个网络和计算环境的的命令控制通道 Inspector可以通全面可视性通过它你可以实时了过Advisor及时获取到趋势科技的主机应用防护类代表解到各终端和服务器的设备状态和全球威胁情报息以便及时检测 Bit9的可安全平台关键系统资源状态可以看到各终到各种新型的APT攻击命令控制通端上的文件操作和软件加载执行情道同时 Inspector还包括一个 Bit9可安全平台(Trust- 况同时实时检测和审计模块还 Virtual Analyzer组件它是一个 based security Platform)使用了软审计终端上的文件进入渠道文件智能沙箱用来分析捕获的恶意代件可实时检测审计和安全云三执行内存攻击进程行为注册码 Adivsor为一个管理组件可大技术,为企业网络提供网络可视表外设挂载情况等等 Bit9解决以实现对各Inspector引擎的集中管实时检测安全保护和事后取证等方案还包括一个基于云的软件誉理同时它还包括一个可选的恶四大安全功能从而可以检测和抵服务它通过主动抓取发布于互联意代码分析引擎可以接收来自检御各种高级威胁和恶意代码 Bit9 网上的软件基于软件发布时间测引擎的恶意代码从而实现恶意解决方案核心是一个基于策略的可流行程度软件发布商软件来源代码的集中分析此外 Advisor还引擎管理员可以通过安全策略以及AV扫描结果计算各软件誉承担了威胁情报的实时收集和分发来定义哪些软件是可的 Bit9可度 Bit9解决方案还支持从其它恶工作以实现各Inspector引擎间安全平台默认假设所有软件都是意代码检测厂商比如FireEye 处威胁情报的广泛共享 MPS硬件进行专门处理目的是提 7

定义方案其实是实现了一个软件白用网络入侵检测技术来检测APT攻中管理外还可以连接到云中的全名单只有那些在软件白名单中的击的命令控制通道同时还可以球威胁情报网络来获取威胁情报应用软件才可以在企业计算环境中通过在入侵检测引擎上部署恶意代并支持将检测到的新型恶意代码情执行其它则是禁止执行的从而码检测沙箱来弥补传统特征攻击检报上传到云中以实现威胁情报的

8 A P T 专题大数据分析检测类代表 RSA的NetWitness RSA NetWitness是一款革种内部威胁检测零日漏洞攻击有检测和实时防御能力大数据命性的网络安全监控平台它可为检测各种定向设计的恶意代码和检分析和入侵检测防御技术相结合企业提供发生在网络中任何时间的测各种APT攻击事件和数据泄密事大数据智能分析平台应该是APT安网络安全态势从而协助企业解决件 3 可对所捕获的网络和日志全解决方案的核心实现对APT攻多种类型的息安全挑战 RSA 数据进行实时上下文智能分析从击事件的事后分析和情报获取同 NetWitness是一组软件集合针而为企业提供可行动的安全情报时还应该配合主机应用控制实对APT攻击的检测和防御则主要由息 4 可以借助NetWitness监控时恶意代码检测和网络入侵防御等 Spectrum Panorama和Live三大平台的可扩展性和强大分析能力来技术以实现对APT攻击的时间检组件实现其中 RSA NetWitness 实现过程自动化从而减少安全事测和防御各APT安全厂商也已经 Spectrum是一款安全分析软件件响应时间并对变化的安全威胁注意到这个问题开始通过合作或专门用来识别和分析基于恶意软件做出及时调整. 者完善自身技术方法来改进自己的 APT检测和防御方案以弥补其不威胁的优先级 RSA NetWitness 主流APT攻击检测和方案后发现足比如 Junior和RSA近期宣布 Panorama通过融合成百上千种日目前各厂家所推出的APT检测防御在威胁情报共享上达成合作协议志数据源与外部安全威胁情报从方法都具有一定的局限性主要表 Junior的安全产品可以使用RSA 而可可以实现创新性息安全分现为很多APT攻击检测和防御方 NetWitness Live提供的安全威胁情析 RSA NetWitness Live是一案都只能覆盖到APT攻击的某个阶报息从而提升其安全网关的检种高级威胁情报服务通过利用来段从而可能导致漏报很多APT 测能力 Bit9的可安全平台可以和FireEye产品集成利用FireEye 自全球息安全界的集体智慧和分安全解决方案只能检测APT攻击析技能可以及时获得各APT攻击并没有提供必要的APT攻击实时防高性能智能沙箱和上亿的恶意代码的威胁情报息极大缩短了针对御能力我们认为理想的APT安库识别恶意代码从而更有效地保的企业网络安全威胁并确定安全纵观RSA2013大会上参展的潜在安全威胁的响应时间 RSA 全解决方案应该覆盖APT攻击的所障主机终端的安全 FireEye的恶意 NetWitness具有以下特点 1 可有攻击阶段也就是说我们的代码防御引擎可以和第三方的安全对所有网络流量和各网络服务对象 APT安全解决方案应该包括事前事件分析平台 SIEM 进行集成的离散事件进行集中分析实现对事中和事后三个处置阶段从而从而可以实现对APT攻击的事后分网络的全面可视性从而获得整个可能全面的检测和防御APT攻击析和取证网络的安全态势 2 可以识别各理想APT安全解决方案应该同时具 8

Panorama和Live三大平台的可扩展性和强大分析能力来技术以实现对APT攻击的时间检组件实现其中 RSA NetWitness 实现过程自动化从而减少安全事测和防御各APT安全厂商也已经 Spectrum是一款安全分析软件件响应时间并对变化的安全威胁注意到这个问题开始通过合作或专门用来识别和分析基于恶意软件做出及时调整.

9 基于记忆的 APT攻击检测系统文/周涛前言基于记忆的APT检测原理高级持续性威胁 Advanced 出不穷而传统的检测往往只注重在探讨APT攻击检测前 Persistent Threat 是当前息边界防御系统边界一旦被绕过我们先分析下检测的内涵从本质安全产业界的热点在最近两年的后续的攻击步骤实施的难度将大大上讲检测是将求检对象从其所依 RSA大会中 APT都成为了大会上降低附的环境中识别出来的过程为攻击持续时间长 APT攻击分了识别求检对象我们需要从检测有目标有组织的攻击方式 APT 为多个步骤从最初的息搜集环境中采样能体现求检对象特征的在流程上同普通攻击行为并无明显到息窃取并外传往往要经历几个数据形成被检测域需要依赖特区别但在具体攻击步骤上 APT 月甚至更长的时间而传统的检测定的背景知识形成判据库需要体现出以下特点使其具备更强的方式是基于单个时间点的实时检采取一定的判定算法形成判定机破坏性测难以对跨度如此长的攻击进行制最终在被检测域判据判定有效跟踪机制的共同作用下做出是否存在最受瞩目的关键词一作为一种攻击行为特征难以提取 APT 普遍采用0 day漏洞获取权限通过正是APT攻击所体现出的上述未知木马进行远程控制而传统基特点使得传统以实时检测实时于特征匹配的检测设备总是要先捕阻断为主体的防御方式难以有效发以传统的入侵检测系统获恶意代码样本才能提取特征并挥作用在同APT的对抗中我们 IDS 为例求检对象是网络攻基于特征进行攻击识别这就存在也必须转换思路采取新的检测方先天的滞后性式以应对新挑战 2 求检对象的论断整个过程如图1 所示单点隐蔽能力强为了躲避传统检测设备 APT更加注重动态行为和静态文件的隐蔽性例如通过隐蔽通道加密通道避免网络行为被检测或者通过伪造合法签名检测环境求检对象机制被检测域的方式避免恶意代码文件本身被识别这就给传统基于签名的检测带来很大困难 3 判据攻击渠道多样化目前被曝论断 1 4 光的知名APT事件中社交攻击 0day漏洞利用物理摆渡等方式层图1 检测逻辑模式 9

需要体现出以下特点使其具备更强的方式是基于单个时间点的实时检采取一定的判定算法形成判定机破坏性测难以对跨度如此长的攻击进行制最终在被检测域判据判定有效跟踪机制的共同作用下做出是否存在最受瞩目的关键词一作为一种攻击行为特征难以提取 APT 普遍采用0 day漏洞获取权限通过正是APT攻击所体现出的上述未知木马进行远程控制而传统基特点使得传统以实时检测

10 A P T 专题击行为检测环境就是包含了攻击测另一方面要丰富判定机制在场景对各类攻击报警进行关联行为数据的网络流量数据为了检检测已知攻击的同时能够兼顾对未识别报警间的攻击层语义关系测攻击我们需要实时采集网络流知攻击的检测为此我们提出了基根据孤立报警中建立完整攻击场量形成IDS的被检测域需要提于记忆的新检测模式共分为四个景通常的做法是以关联规则的方取各类攻击行为的网络特征构造特步骤式建立攻击场景知识库通过对报征库作为IDS的判据库需要采扩大即拓宽被检测域对全流量警进行匹配和关联完成攻击场景用特征匹配算法作为IDS判定流数据进行存储分析这样在检测到的构建量中是否包含攻击行为的判断机可疑行为时可回溯与攻击行为相制有了流量数据特征库特征关的历史流量数据进行关联分析匹配算法我们就能检测网络中是前已发生过未能引起分析人员否存在已知攻击行为注意的报警有可能隐藏着蓄意攻传统IDS这种检测模式在应击意图通过这种回溯关联分析就对常规攻击曾发挥了巨大作用但有可能进行有效识别有了全流量对于APT却显得无能为力主要原的存储就有可能回溯到任意历史因在于时刻采用新的检测特征和检测技 1 10 术对已发生的流量进行任意粒度络流量只判断实时网络流量中是的分析这是本系统最大的特点否包含攻击行为而APT整个过程浓缩对存储下来的大数据进行降的时间跨度很长从单个时间点的解操作删除与攻击无关的数据以角度看APT无法了解全貌也无法节省空间同时保留与攻击相关的识别攻击者的真实意图只有将长数据以备后续分析浓缩环节需要时间的可疑行为进行关联分析才能借助于攻击检测模块可通过第实现APT的有效检测三方检测设备如IDS的报警进行降传统IDS的判断机制是特征匹解也可直接对全流量数据进行异配只能检测出提取过攻击签名的常检测产生可疑报警基于报警事已知攻击行为而APT过程中往往件进行降解采用0day 特种木马隐蔽通道传精确对产生的可疑攻击数据做进输等未知攻击无法通过误用检测一步深入分析产生对攻击行为的的方式进行准确识别只有通过异精确报警可通过多维数据可视化常检测的方式才有可能识别出可疑分析定位可疑会话再进一步对的攻击行为流量数据进行细粒度协议解析和应 2 传统IDS的被检测域是实时网鉴于上述不足要有效对抗用还原识别异常行为和伪装成正 APT 我们一方面要扩大被检测常业务的攻击行为本环节需要分域将基于单个时间点的实时检测析人员的参与通过人机结合的方转变为基于历史时间窗的异步检式提升分析效率和准确度

前已发生过未能引起分析人员否存在已知攻击行为注意的报警有可能隐藏着蓄意攻传统IDS这种检测模式在应击意图通过这种回溯关联分析就对常规攻击曾发挥了巨大作用但有可能进行有效识别有了全流量对于APT却显得无能为力主要原的存储就有可能回溯到任意历史因在于时刻采用新的检测特征和检测技 1 10 术对已发生的流量进行任意粒度络流量只判断实时网络流量中是的分析

11 系统框架按照数据息知识逐层提炼的模式基于记忆的 APT攻击检测系统结构分为三级系统整体架构图如下分析层完成从原始流量数展示层图 2 攻击场景关联多维数据可视化分析层存储层异常流量检测可疑行为识别应用对象还原统计分析会话还原应用识别元数据提取存储策略管理基于记忆的检测系统架构图分析层据中产生独立报警息的工作主要方法包括对于能引起网络流量显著异常的攻击如DDoS 扫描蠕虫传播等可通过异常流量检测和统计分析的方式进行识别通过建立全面完整的安全基准指标体系可以快速识别网络流量异常通过统计分析可准确定位异常的位置和原因对于不引起流量异常的未知攻击可通过可疑行为建模的方式进行识别例如对于尚未提取特征的存储层完成对从互联网直对于全流量数据进行窗口长木马其连接控制端的时候可能会接获取的实时数据流的预度为期级的存储由于全流量数据存在未知的加密传输疑似心跳处理和存储管理工作会占用海量存储空间不宜进行长期号的间歇性连接恶意域名访问对实时数据流首先进行传输层的会存储但全流量数据对于后续的回溯异常的上下行流量比等行为通过话还原消除因网络条件造成的乱分析又是必须的为此采用折中的存对这些可疑行为进行关联就有可序重传延迟等对后续分析的干储策略只存储最近几周例如1-2 能检测到木马连接行为扰然后进行应用协议识别判断周的全流量息对于超期的数据数据流上所承载的具体应用最终进行降解处理对于通过异常检测模块产生的各类报警由于缺乏攻击签名从非结构化的数据流中抽取结构化对于元数据进行年度级的存息进行验证其准确度往往低于基的元数据息以便后续的各类统储提取后的元数据只包含应用层会于特征匹配的误用检测为此还需计和关联分析话的关键息其数据量大约相当于要结合原始报文对报警的有效性预处理后的原始数据流既包全流量息的5% 这类息对后续进一步确认通过报文所承载的应括完整的全流量数据又包括提取的统计关联和数据挖掘具有重要的用层对象做细粒度的协议解析和还后的元数据考虑到海量数据的存作用且占用的空间在可接受范围原可辅助分析人员判定会话内容储压力可对不同类型的数据采取内因此在平台中进行长期存储是否包含攻击数据从而进一步产灵活的管理策略生精确报警存储层 11

其连接控制端的时候可能会接获取的实时数据流的预度为期级的存储由于全流量数据存在未知的加密传输疑似心跳处理和存储管理工作会占用海量存储空间不宜进行长期号的间歇性连接恶意域名访问对实时数据流首先进行传输层的会存储但全流量数据对于后续的回溯异常的上下行流量比等行为通过话还原消除因网络条件造成的乱分析又是必须的为此采用折中的存对这些可疑行为进行关联就有可序

12 A P T 专题展示层完成从孤立的攻效检测但对于APT这样的时间跨疑报警对相关主机的数据进行回溯击报警息生成完整的度长攻击目标明确的攻击行为分析对相关的历史流量进行协议解攻击场景的关联工作在整个攻击过程中总会存在若干个析应用识别和还原能够得到邮件并提供可视化分析前端工具帮助攻击暴露点以此为基础对相关的附件被植入的木马文件分析人员分析人员从存储的海量历史数据中流量进行回溯关联就有可能获取再对还原后的内容做进一步的确认获取知识对于攻击场景关联常攻击者完整的攻击意图就能够识别攻击者的真实意图和已经展示层发生的攻击行为并评估自身的息见的方法是基于关联规则匹配攻以某个攻击过程为例攻击击场景由于APT攻击手段的复杂者试图获取某息系统中的重要数性在实际环境中往往会因为报警据为此攻击者先搜集到了该事件的缺失导致无法进行完整攻击息系统部分用户的邮箱地址然后总结路径图的匹配进而导致建立APT 给这些用户发送了邮件其附件中 APT的出现既给传统检测技场景失败为此要解决基于不完整包含了某个利用了0day漏洞的文术带来了挑战也为新兴技术的应攻击路径的攻击场景匹配问题对件导致用户打开附件时执行了恶用带来了机遇硬件技术的发展于多维数据可视化分析要提供给意命令并被植入了未知木马攻击使得处理器运算能力不断增强单分析人员一套能从地址端口协者通过加密的命令控制通道对用位容量存储成本不断降低这为我议类型等维度对数据进行统计展示户主机实施远程控制获取了息们基于大数据进行APT检测提供了的工具并支持按照不同的粒度对系统中的重要数据在这个攻击过必要条件数据进行钻取方便分析人员在大程中由于攻击者所利用的漏洞对于APT攻击我们的对抗策数据中定位可疑行为植入的木马都缺乏特征采用的远略是以时间对抗时间改变传统基程控制通道又是进行了加密现有于单时间点进行特征匹配的局面基于攻击签名的检测方式很难进行对长时间窗的数据进行关联分析有效检测并辅以异常检测算法以解决现有典型应用场景资产损失状况常包括息搜集获取入口点实有了本文所述的基于记忆的检测手段的不足通过扩大检测施远程控制攻击目标横向转移 APT攻击检测系统对整个攻击过程域丰富检测机制形成了新一代重要资产数据发现数据泄露等环的数据进行存储辅以异常检测方基于记忆的智能检测系统随着大节对于攻击防御方而言由于特法就有可能实现检测例如通过数据技术的发展各类检测算法的征的时效性和检测手段的局限性可疑行为识别系统能检测到用户丰富基于记忆的智能检测系统将未必能够在攻击的起始阶段实现有主机上的可疑加密传输行为基于可在应对APT攻击中发挥更大作用 12 一次典型的APT攻击过程通

攻击者先搜集到了该事件的缺失导致无法进行完整攻击息系统部分用户的邮箱地址然后总结路径图的匹配进而导致建立APT 给这些用户发送了邮件其附件中 APT的出现既给传统检测技场景失败为此要解决基于不完整包含了某个利用了0day漏洞的文术带来了挑战也为新兴技术的应攻击路径的攻击场景匹配问题对件导致用户打开附件时执行了恶用带来了机遇硬件技术的发展于多维数据可视化分析

13 浅谈APT攻击的检测与防御文/陈彦伟什么是APT攻击光行动 2009年 Stuxnet 病毒攻击事件 2010年到 McAfee公司公布的针对西方能源公司的夜龙行动 2011 RSA SecureID遭窃取事件 2011年以及近期的针对韩国金融和政府机构的遭受的网络攻击 2013年相大家对 APT攻击这个概念并不陌生那么什么是APT攻击我们该如何进行正确的认识有效的防御呢本文将从如下几个方面进行介绍 APT即 Adavanced 的进行渗透搜集窃取有价值 Persistent Threat 是指针对明的数据资料攻击的过程往往具确目标的持续的复杂的网络攻有极强的隐蔽性使传统的入侵击这个概念最早是在2006年左右检测系统安全审计系统等安全由美国波音公司 United States 产品不易察觉到 Air Force 提出的在2010年 Threat: 威胁是指能够利用漏洞 Google公司承认遭受严重黑客攻击或脆弱性对息资产造成破坏损后 APT攻击成为息安全行业热失的事物或行为 APT攻击无疑对国议的话题一家企业的息系统构成严重威胁那么究竟什么是APT攻击 APT攻击又有哪些特点呢下面让我们从它的名字入手一起来看看 APT攻击的主要特点 APT就像网络世界神秘莫测的 Adavanced 这里是指黑客攻刺客以其自身的特点威慑着目标击的手段技术复杂多样既会利系统的安全用已知的漏洞工具也可能会利针对性与传统的网络攻击相用一些未知的漏洞工具例如比 APT攻击针对性很强传统的 0DAY漏洞特种木马等同时还网络攻击一般会选择相对容易的攻会结合社会工程学的相关知识技击目标而APT攻击在选定攻击目能此外高级还指攻击行为的标后一般不会改变整个攻击过目标明确策划精密有别于撒网程都经过攻击者的精心策划攻击式的传统网络攻击一旦发起攻击者会针对目标网络 Persistent APT攻击往往尝试不同的攻击技术攻击手段持续时间较长 1个月 1年 3 不达目的绝不罢休年甚至更长时间都有可能攻隐蔽性 APT攻击具有极强的隐从针对Google等公司的极击者在此期间会对目标系统不断 13

在2010年 Threat: 威胁是指能够利用漏洞 Google公司承认遭受严重黑客攻击或脆弱性对息资产造成破坏损后 APT攻击成为息安全行业热失的事物或行为 APT攻击无疑对国议的话题一家企业的息系统构成严重威胁那么究竟什么是APT攻击 APT攻击又有哪些特点呢下面让我们从它的名字入手一起来看看 APT攻击的主要特点 APT就像网络世界神秘莫测的 Adavanced

14 A P T 专题蔽性攻击者往往会利用丰富的经验先进的技术超凡的耐性来掩内部威胁盖自己的行踪躲避常规安全产品的检测并且整个攻击过程时间跨组合攻击欺骗钓鱼度较大给APT攻击的防御带来极大的挑战复杂性在APT攻击过程中攻击者往往会利用多种攻击技术攻击手段不仅会利用已知安全 APT 木马后门漏洞木马后门还可能会利用跨站脚本 0DAY漏洞特种木马通常会结合社会工程学的相关知识并且攻击路径复杂如下为APT攻击可能利用的攻击手段 SQL注入僵尸网络 0DAY漏洞 APT攻击的一般过程尽管每起APT攻击事件都有不同的企图不同的攻击目标但是准备和实施APT攻击有一个通用的过程一般可以划分为4个阶段即搜索阶段进入阶段渗透阶段收获阶段收获阶段 APT攻击过程搜索阶段对攻陷的服务器进行远程控制设法躲避安全检测预警设备的检测将敏感数据传送至黑客指定的服务器进行存储渗透阶段 14 搜索收集关于目标单位的公司息人员组织结构特定人员个人息与目标单位有业务来往的单位息息系统应用软件息安全策略等等进入阶段通过购买肉鸡或结合社会工程学进行欺骗攻击等多种方式获取目标单位的第一个落脚点后续黑客将以此为跳板对目标单位内网进行渗透攻击对目标单位内网实施进一步的渗透攻击利用口令猜测漏洞溢出特种木马等手段获取内网大量服务器的访问控制权限搜集对攻击者而言有价值的敏感数据

一般可以划分为4个阶段即搜索阶段进入阶段渗透阶段收获阶段收获阶段 APT攻击过程搜索阶段对攻陷的服务器进行远程控制设法躲避安全检测预警设备的检测将敏感数据传送至黑客指定的服务器进行存储渗透阶段 14 搜索收集关于目标单位的公司息人员组织结构特定人员个人息与目标单位有业务来往的单位息

15 搜索阶段 APT攻击与普通网络渗透阶段攻击者利用已经控制的攻击相比在息搜索的深度和计算机作为跳板通过远程控制们在每个阶段可以做些什么呢? 广度上有明显不同 APT攻击的对企业内网进行渗透寻找有价值搜集阶段攻击者在此阶段主要任攻击者会花费大量的时间和精力的数据与进入阶段类似本阶段务是收集息制定计划在此阶用于搜索目标系统的相关息一样会考验攻击者的耐心技术段我们可以依托安全威胁检测预他们会了解企业的背景公司文手段警系统识别攻击者对企业网络的化人员组织还会收集目标系收获阶段本阶段攻击者取得初步嗅探扫描行为做到提前防范统的网络结构业务系统应用成就他们会构建一条隐蔽的数据加强对息系统的安全管理例如程序版本等息随后攻击者会传输通道将已经获取的机密数据定期进行安全检查加固尽量少制定周密的计划识别有助于攻传送出来其实本阶段的名字叫的暴露系统息提高初始攻击的击目标达成的系统人员息收获阶段但却没有时间的限难度定期对员工进行安全意识培收集开发或购买攻击工具 APT 制因为APT攻击的发起者与普通训提高员工的安全防范意识攻击可能会利用特种木马 0DAY 攻击者相比是极端贪婪的只要不进入阶段攻击者在此阶段会想办漏洞利用工具口令猜测工具被发现攻击行为往往不会停止法获取企业内部的计算机作为实施以及其它渗透测试工具持续的尝试窃取新的敏感数据与机入侵行为的第一个落脚点在本阶进入阶段攻击者会进行间断性的密息段我们可以依托安全威胁检测预攻击尝试直到找到突破口控制方法如下警系统识别正在进行的攻击行为如何防御APT攻击合理配置入侵防御系统防火墙等如果APT攻击是一把利剑那产品的安全策略阻断常规的攻击恶意文件精心构造并以邮我们只有铸造一只坚实的盾牌才尝试行为提高警惕避免攻击者件 IM软件等形式向内部员工发能抵御它的寒光与威慑结果社会工程学进行诱骗一旦发送的携带恶意代码的PDF Word 正所谓知己知彼百战百现攻击事件启动事件处置及应急文档胜在我们对APT攻击有一定了响应流程恶意链接以邮件 IM软件等形解后也要自省其身了解企业的渗透阶段渗透阶段与进入阶段类式向内部员工发送携带恶意代码的安全现状才能做好防护例如似攻击者都会尝试不同的攻击技 URL链接诱使员工点击企业与哪些机构通讯交互术攻击手段对目标系统进行入网站漏洞利用网站系统的漏企业的组织结构侵可以考虑通过合理规划安全洞例如SQL注入文件上传现有的安全策略有哪些域加强系统账户的安全审计系远程溢出等等控制网站服务哪些数据是机密数据需要加统账号及权限管理系统安全策略器作为跳板对企业内部进行渗强保护? 优化等手段提高攻击者继续渗透的透攻击是否有检测APT攻击的技术手段难度此外威胁监测和安全意识购买肉鸡这是一种最便捷是否有完善处理息安全入侵同样是强化的重点的攻击方式即从地下黑市直接购事件的应急响应流程? 收获阶段在本阶段攻击者会设法买企业内部已经被其它黑客攻陷的员工的安全意识是否需要强化将获取的机密数据息传送至企业计算机外部网络因此对于敏感流量非企业内网的第一台计算机常见的回顾APT攻击的四个阶段我 15

本阶段攻击者取得初步嗅探扫描行为做到提前防范统的网络结构业务系统应用成就他们会构建一条隐蔽的数据加强对息系统的安全管理例如程序版本等息随后攻击者会传输通道将已经获取的机密数据定期进行安全检查加固尽量少制定周密的计划识别有助于攻传送出来其实本阶段的名字叫的暴露系统息提高初始攻击的击目标达成的系统人员息收获阶段但却没有时间的限难度

16 A P T 专题法连接的检测变得尤为重要历过众多国家重点科研项目息 M2S 2.0持续威胁监测服务有 APT攻击无法通过单一的安全安全保障项目的洗礼依托专业的安全产品和安全服务有机结合即以产品和安全技术进行有效的检测安全产品安全服务以及最佳实专业的安全服务为粘合剂将传统的防护企业只有建立以安全技术与践启明辰推出M2S 2.0持续威入侵检测蜜罐系统异常流量检测安全管理相结合的纵深防护t体系胁监测服务协助企业铸造APT攻击等与敏感流量检测恶意代码检测才能抵御APT攻击的威胁此外防御的壁垒以及其它新兴的安全产品和检测技术 APT攻击与防御的一般过程中威 M2S 2.0持续威胁监测服务的进行整合实现对APT攻击的监测胁检测贯穿始终因为只有及时发目标是通过专业的安全产品监测客识别告警如下为部分监测及服务现APT攻击我们才能在第一时间户息系统中的异常网络行为和恶目标阻止网络攻击事态的继续恶化进意攻击行为例如0Day漏洞利用目前 M2S 2.0持续威胁检测而有的放矢的完善企业的安全防护特种木马事件间谍软件事件服务已经陆续在公司部分重点客户进体系组合攻击事件等依托启明辰行试点部署和实施并且已经取得了 ADLab专业的安全服务能力对安全不错效果在不到半年的时间里已产品的告警息日志数据进行深经检测到3起恶意网络入侵行为 ADLab APT检测防御启明辰是诚的安全产品入挖掘分析将异常网络行为和在APT攻击检测防御的路上安全服务安全解决方案供应商在恶意攻击事件以分析报告的形式清我们已经起步并且我们会追求卓安全服务方面具有多年的技术沉淀和晰的展现出来使客户能够对安全越做到更好积累 ADLab安全服务团队更是经事件进行及时处置 ODay漏洞威胁监测特种木马威胁监测 16 M2S 2.0 组合攻击威胁监测敏感流量威胁监测内部攻击诱捕服务

0持续威胁监测服务的进行整合实现对APT攻击的监测胁检测贯穿始终因为只有及时发目标是通过专业的安全产品监测客识别告警如下为部分监测及服务现APT攻击我们才能在第一时间户息系统中的异常网络行为和恶目标阻止网络攻击事态的继续恶化进意攻击行为例如0Day漏洞利用目前 M2S 2.

17 新型威胁分析与防范研究摘要本文通过对以APT 什么是新型威胁网络安全尤其是Internet 性地进行的一系列攻击行为的整个互联网安全正在面临前所未有的挑过程 APT攻击利用了多种攻击手战这主要就是来自于有组织有段包括各种最先进的手段和社会特定目标持续时间极长的新型攻工程学方法一步一步的获取进入击和威胁国际上有的称为APT 组织内部的权限 APT往往利用组 Advanced Persistent Threat 织内部的人员作为攻击跳板有时高级持续性威胁攻击或者称候攻击者会针对被攻击对象编写为针对特定目标的攻击这些专门的攻击程序而非使用一些通攻击统称为新型威胁用的攻击代码为代表的新型威胁的实例研究 2011年美国NIST发布了此外 APT攻击具有持续性分析了新型威胁的攻击过程技 SP800-39管理息安全风甚至长达数年这种持续体现在攻术特点当前国内外的发展现险其中对APT进行了定义击者不断尝试各种攻击手段以及状给出了新型威胁的基本定义拥有高级专家和丰富资源的敌对方在渗透到网络内部后长期蛰伏不和描述以及应对新型威胁的总使用多种攻击技术包括网络的断收集各种息直到收集到重要体思路和具体具体手段最后物理的欺骗性的为达成其一系情报本文还简要叙述了新型威胁自身列目标而实施的一类威胁通过在更加危险的是这些新型的的技术发展动向目标组织的IT基础设施中建立并扩攻击和威胁主要就针对国家重要的展落脚点这些目标通常包括窃取基础设施和单位进行包括能源息破坏或抵制某项使命或任电力金融国防等关系到国计民务或者潜伏起来以便在未来的某生或者是国家核心利益的网络基个时候达成这些目标 APT为了达础设施成其目标会持续较长的一段时间对于这些单位而言尽管已经会想方设法隐匿自己会与外界保部署了相对完备的纵深安全防御体持一定程度的交互以执行其任务系可能既包括针对某个安全威胁一般认为 APT攻击就是一的安全设备也包括了将各种单一类特定的攻击为了获取某个组织安全设备整合起来的管理平台而甚至是国家的重要息有针对防御体系也可能已经涵盖了事前文/叶蓬 17

甚至长达数年这种持续体现在攻术特点当前国内外的发展现险其中对APT进行了定义击者不断尝试各种攻击手段以及状给出了新型威胁的基本定义拥有高级专家和丰富资源的敌对方在渗透到网络内部后长期蛰伏不和描述以及应对新型威胁的总使用多种攻击技术包括网络的断收集各种息直到收集到重要体思路和具体具体手段最后物理的欺骗性的为达成其一系情报

18 A P T 专题事中和事后等各个阶段但是这 18 国内样的防御体系仍然难以有效防止来此外国际上尤其是美国着根据CN-CERT发布的 2012 自互联网的入侵和攻击以及息重炒作来自中国的APT攻击最典年我国互联网网络安全态势综述窃取等新型威胁型的是Mandiant公司发布的对我国面临的新型威胁攻击的形势同样 APT1组织的攻击行动的情报分析比较严峻利用火焰病毒高新型威胁的国内外发展态势报告将APT1攻击行动的发起斯病毒红色十月病毒等实施国际者直接定位到中国军方在美国旧的高级可持续攻击 APT攻击活动 2013年4月份Verizon发布的金山举办的RSA2013大会上直频现对国家和企业的数据安全造成 2013年数据破坏调查报告分接以中国APT攻击为主题的报告就严重威胁 2012年我国境内至少析了全球47000多起数据破坏安有6个多有4.1万余台主机感染了具有APT特全事故 621宗确认的数据泄漏案以防范APT攻击为契机各例以及至少4400万份失窃的记国纷纷加强国家级的网络空间安全录报告指出有高达92%的数研究相关政策制定与发布美据破坏行为来自外部有19%的数国加拿大日本欧盟各国北据破坏行为来自国家级别的行为约等国家和组织纷纷强化其网络空利用脆弱的或者窃取到的用户身份间安全的国家战略其中就包括应访问凭据进行入侵的行为占到了对APT在内的国家级的敌对方的攻 76% 而各种黑客行为和恶意代码击 ENISA 欧洲网络与息安全依然是主要的息破坏手段报告局北约CCDCOE 协作网络空 2010年的Google Aurora 将包括APT攻击在内的息破坏的间防御卓越中心兰德公司欧极光攻击是一个十分著名的敌对方分为了有组织犯罪集团国洲智库SDA公司都对世界主要国家 APT攻击 Google的一名雇员点击家或国家资助的组织黑客活跃分的网络空间安全战略思想安全威即时消息中的一条恶意链接引发子三类胁特征安全防御水平等进行了较了一系列事件导致这个搜索引擎巨为深入的对比分析与研究人的网络被渗入数月并且造成各 FireEye发布的 2012年下半击邮件都使用zip格式的附件征的木马程序新型威胁的实例说明下面列举几个典型的APT攻击实例以便展开进一步分析 Google极光攻击年高级威胁分析报告详细分析了各国对新型威胁的重视种系统的数据被窃取这次攻击以 APT攻击的发展态势报告指也带动了整个网络空间安全市 Google和其它大约20家公司为目出平均一个组织和单位每三分钟场的崛起 2012年6月份标它是由一个有组织的网络犯罪就会遭受一次恶意代码攻击尤指 MarketandMarket公司发布了一团体精心策划的目的是长时间地带有恶意附件恶意WEB链接份市场分析报告称到2017年全渗入这些企业的网络并窃取数据或者C&C通讯的邮件在所有遭球的网络空间安全市场将达到1200 该攻击过程大致如下受攻击的企业和组织中拥有核心亿美元的规模而在2011年市场价对Google的APT行动开始于刺关键技术的技术类企业占比最高值已经有637亿美元报告明确指探工作特定的Google员工成为攻在定向钓鱼邮件 spear phishing 出网络空间安全未来将来首要应击者的目标攻击者尽可能地收集中经常使用通用的商业术对的问题就是APT 此外还包括僵息搜集该员工在Facebook 语具有很大的欺骗性 92%的攻尸网络传统蠕虫和病毒等 Twitter LinkedIn和其它社交网

19 站上发布的息接着攻击者利用一个动态 DNS 供应商来建立一个托管伪造照片网站的 Web 服务器该 Google 员工收到来自任的人发来的网络链接并且点击它, 就进入了恶意网站该恶意网站页面载入含有 shellcode 的 JavaScript 程序码造成 IE 浏览器溢出, 进而执行 FTP 下载程序, 并从远端进一步抓了更多新的程序来执行 ( 由于其中部分程序的编译环境路径名称带有 Aurora 字样, 该攻击故此得名 ) 接下来, 攻击者通过 SSL 安全隧道与受害人机器建立了连接, 持续监听并最终获得了该雇员访问 Google 服务器的帐号密码等息最后, 攻击者就使用该雇员的凭证成功渗透进入 Google 的邮件服务器, 进而不断的获取特定 Gmail 账户的邮件内容息针对核电站相关工作人员的家用电脑个人电脑等能够接触到互联网的计算机发起感染攻击, 以此为第一道攻击跳板, 进一步感染相关人员的移动设备, 病毒以移动设备为桥梁进入堡垒内部, 随即潜伏下来病毒很有耐心的逐步扩散, 一点一点的进行破坏这是一次十分成功的 APT 攻击, 而其最为恐怖的地方就在于极为巧妙的控制了攻击范围, 攻击十分精准在 2011 年, 一种基于 Stuxnet 代码的新型的蠕虫 Duqu 又出现在欧洲, 号称震网二代 Duqu 主要收集工业控制系统的情报数据和资产息, 为攻击者提供下一步攻击的必要息攻击者通过僵尸网络对其内置的 RAT 进行远程控制, 并且采用私有协议与 CC 端进行通讯, 传出的数据被包装成 jpg 文件和加密文件始的网路通讯方式, 直接寄送电子邮件给特定人士, 并附带防毒软体无法识别的恶意文件附件其攻击工程大体如下 : RSA 有两组同仁们在两天中分别收到标题为 2011 Recruitment Plan 的恶意邮件, 附件是名为 2011 Recruitment plan.xls 的电子表格 ; 很不幸, 其中一位同仁对此邮件感到兴趣, 并将其从垃圾邮件中取出来阅读, 殊不知此电子表格其实含有当时最新的 Adobe Flash 的 0day 漏洞 (CVE ); 该主机被植入臭名昭著的 Poison Ivy 远端控制工具, 并开始自 C&C 中继站下载指令进行任务 ; 首批受害的使用者并非位高权重人物, 紧接着相关联的人士包括 IT 与非 IT 等服务器管理员相继被黑 ; RSA 发现开发用服务器 (Staging server) 遭入侵, 攻击方随即进行撤离, 加密并压缩所有资料 ( 都是 rar 格式 ), 并以 FTP 传送至远端主机, 又迅速再次搬离该主机, 清除任何踪迹超级工厂病毒攻击 ( 震网攻击 ) 著名的超级工厂病毒攻击为人所知主要源于 2010 年伊朗布什尔核电站遭到 Stuxnet 蠕虫的攻击的事件曝光遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的, 理论上不会遭遇外界攻击坚固的堡垒只有从内部才能被攻破, 超级工厂病毒也正充分的利用了这一点超级工厂病毒的攻击者并没有广泛的去传播病毒, 而是 RSA SecurID 窃取攻击 2011 年 3 月,EMC 公司下属的 RSA 公司遭受入侵, 部分 SecurID 技术及客户资料被窃取其后果导致很多使用 SecurID 作为认证凭据建立 VPN 网络的公司包括洛克希德马丁公司诺斯罗普公司等美国国防外包商受到攻击, 重要资料被窃取在 RSA SecurID 攻击事件中, 攻击方没有使用大规模 SQL 注入, 也没有使用网站挂马或钓鱼网站, 而是以最原 Lurid 攻击 2011 年 9 月 22 日,TrendMicro 的研究人员公布了一起针对前独联体国家印度越南和中国等国家的政府部门外交部门航天部门, 还有科研机构 APT 攻击 Lurid 攻击 19

续监听并最终获得了该雇员访问 Google 服务器的帐号密码等息最后, 攻击者就使用该雇员的凭证成功渗透进入 Google 的邮件服务器, 进而不断的获取特定 Gmail 账户的邮件内容息针对核电站相关工作人员的家用电脑个人电脑等能

20 A P T 专题人的电脑上的息上传主要是帐号的很多企业和组织的网站在防范和 CVE 这相关的文件息 SQL注入攻击方面缺乏防范两个已知的Adobe Reader漏洞以攻击者在获取了加密的帐号息及被压缩成RAR文件的带有恶意代后通过解密工具找到帐号的密码然 0day漏洞的恶意代码而企业和组码的屏幕保护程序后借助事先植入的木马在受害企业的织目前的安全防御/检测设备无法识网络寻找目标伺机行动不断收集别这些0day漏洞攻击攻击者的主要是利用了CVE- 用户一旦阅读了恶意PDF文件 4 初始的网络渗透往往使用利用在攻击者控制受害机器的过程或者打开了恶意屏幕保护程序就会企业的敏感息被植入木马木马程序会变换多种花所有的敏感息会加密存储在网中往往使用SSL链接导致现有样驻留在受害人电脑中并与C&C 络中的一台临时服务器上并最终上的大部分内容检测系统无法分析传服务器进行通讯收集的息通常通传到公司外部的某个服务器上从而输的内容同时也缺乏对于可以连过HTTP POST上传给C&C服务器完成攻击接的分析能力攻击者借助C&C服务器对木马下达 6 Nitro攻击 2011年10月底 Symantec发攻击者在持续不断获取受害企业和组织网络中的重要数据的时各种指令不断收集受害企业的敏感息 5 新型威胁的综合分析候一定会向外部传输数据这些综合分析以上典型的APT攻击数据往往都是压缩加密的没有可以发现当前的新型攻击主要呈现明显的指纹特征这导致现有绝大以下技术特点部分基于特征库匹配的检测系统都 1 攻击者的诱骗手段往往采用恶失效了布的一份报告公开了主要针对全球意网站用钓鱼的方式诱使目标上化工企业的进行息窃取的Nitro攻钩而企业和组织目前的安全防御统日志分析系统甚至是安管平击该攻击的过程也十分典型体系中对于恶意网站的识别能力还台但是这些更高级的系统主要是受害企业的部分雇员收到带有欺不够缺乏权威全面的恶意网址从内控与合规的角度来分析事件骗性的邮件库对于内部员工访问恶意网站的而没有真正形成对外部入侵的综合当受害人阅读邮件的时候往往行为无法及时发现分析由于知识库的缺乏客户无还有的企业部署了内网审计系攻击者也经常采用恶意邮件的法从多个角度综合分析安全事件一个类似文本文件的附件而实际上方式攻击受害者并且这些邮件都无法从攻击行为的角度进行整合是一个可执行程序或者看到一个有被包装成合法的发件人而企业和发现攻击路径密码保护的压缩文件附件密码在邮组织现有的邮件过滤系统大部分就因此在APT这样的新型威胁件中注明并且如果解压会产生一个是基于垃圾邮件地址库的显然面前大部分企业和组织的安全防会看到一个通过文件名和图标伪装成 7 可执行程序这些合法邮件不在其列再者邮御体系都失灵了保障网络安全亟只要受害人执行了附件中的可执件附件中隐含的恶意代码往往都是需全新的思路和技术行程序就会被植入Poison Ivy后门 0day漏洞传统的邮件内容分析也程序难以奏效 Poison Ivy会通过TCP 80端口与 20 C&C服务器进行加密通讯将受害 2 3 还有一些攻击是直接通过对目标公网网站的SQL注入方式实现

样驻留在受害人电脑中并与C&C 络中的一台临时服务器上并最终上的大部分内容检测系统无法分析传服务器进行通讯收集的息通常通传到公司外部的某个服务器上从而输的内容同时也缺乏对于可以连过HTTP POST上传给C&C服务器完成攻击接的分析能力攻击者借助C&C服务器对木马下达 6 Nitro攻击 2011年10月底 Symantec发攻击者在持续不断获取受害

21 新型威胁的应对策总体思路 2012年8月 RSA发布了著名的报告当APT成为主流络转变为分隔式网络使攻击者难效沙箱技术通俗的讲就是构造一以在网络中四处游荡从而难以发个模拟的执行环境让可疑文件在现最宝贵的息这个模拟环境中运行起来通过可参与情报交换分享息安全疑文件触发的外在行为来判定是否威胁情报利用其他企业积累的知是恶意代码识沙箱技术的模拟环境可以是真报告提及了现在组织和企业中现有 Verizon发布的 2013年数据实的模拟环境也可以是一个虚拟的安全防护体系存在一些缺陷破坏调查报告中则更加简明扼要的模拟环境而虚拟的模拟环境可导致很难识别APT攻击现有的防的概括了应对APT的最高原则以通过虚拟机技术来构建或者通护体系包括FW AV IDS/IPS 知己更要知彼强调真正的主动过一个特制程序来虚拟 SIEM/SOC 以及CERT和组织结安全是料敌先机核心就是对安全构工作流程等等都存在不足威胁情报的分析与分享基于异常的流量检测技术报告指出应对APT需要采取一种技术手段分析传统的IDS都是基于特征签法该方法更加注重对核心资产的从具体的技术层面来说为了名的技术去进行DPI分析有的保护以数据为中心从检测威胁应对APT攻击新的技术也是层出也用到了一些简单DFI分析技术的角度去分析日志注重攻击模式不穷面对新型威胁 DFI技术的应用需的发现和描述从情报分析的高度来分析威胁报告提出了7条建议进行高级情报收集与分析让从监测和检测的角度为了识要进一步深化基于Flow 出现了别APT 可以从APT攻击的各个环一种基于异常的流量检测技术通节进行突破任一环节能够识别即过建立流量行为轮廓和学习模型来可断开整个链条识别流量异常进而识别0day攻根据APT攻击过程我们可以击 C&C通讯以及息渗出本建立智能监测机制知道要寻从防范钓鱼攻击识别邮件中的恶质上这是一种基于统计学和机器找什么并建立息安全与网络监意代码识别主机上的恶意代码学习的技术控机制以寻找所要寻找物识别僵尸网络 C&C 通讯监测重新分配访问控制权控制特网络数据渗出等多个环节入手权用户的访问而不论从哪个环节入手都主认真开展有实效的用户培训要涉及以下几类新型技术手段情报成为战略的基石培训用户以识别社会工程攻击并迫使用户承担保证企业息安全的基于沙箱的恶意代码检测技术个人责任全包捕获与分析技术应对APT攻击需要最好最坏的打算万一没有识别出攻击并遭受了损失了怎么办对于某些情况我们需要全包捕获及分析技术管理高管预期确保最高管理要检测恶意代码最具挑战性 FPI 借助天量的存储空间和层认识到抗击高级持续性攻击的的就是利用0day漏洞的恶意代码大数据分析 BDA 方法 FPI能本质是与数字军备竞赛战斗因为是0day 就意味着没有特征够抓取网络中的特定场合下的全量重新设计IT架构从扁平式网传统的恶意代码检测技术就此失数据报文并存储起来进行历史分与以往不同的息安全策略及其方 21

22 A P T 专题析或者准实时分析通过内建的高析服务做支撑通过专家团队和他统的检测和阻止的手段校索引机制及相关算法协助分析们的最佳实践不断充实安全知识高级隐遁技术是一系列规避安师剖丝抽茧定位问题库进行即时的可疑代码分析渗全检测的技术的统称可以分为网透测试漏洞验证等等安全专络隐遁和主机隐遁而网络隐遁又家的技能永远是任何技术都无法完包括协议组合字符变换通讯加全替代的密 0day漏洞利用等技术誉技术誉技术早已存在在面对新型威胁的时候可以助其他检测技新型威胁的最新技术发展动向术一臂力无论是WEB URL 新型威胁自身也在不断发展进誉库文件MD5码库僵尸网络地化以适应新的安全监测检测与新型的恶意代码设计越来越精址库还是威胁情报库都是检测防御技术带来的挑战以下简要分巧想方设法逃避沙箱技术的检测新型威胁的有力武器而誉技术析新型威胁采取的一些新技术例如有的恶意代码只有在用户鼠标移动的时候才会被执行从而使得很多的关键在于誉库的构建这需要一个强有力的技术团队来维护沙箱逃避精准钓鱼自动化执行的沙箱没法检测到可疑行为还有的沙箱用到了虚拟机方式来综合分析技术精准钓鱼是一种精确制导的执行那么恶意代码的制作者就会想钓鱼式攻击比普通的定向钓鱼办法去欺骗虚拟机所谓综合分析就是在前述所 spear phishing 更聚焦只有技术上的并且涵盖传统检测技有在被攻击者名单中的人才会看到术上的一个横向贯穿的分析我这个钓鱼网页其他人看到的则是们已经知道APT攻击是一个过程是 404 error 也就是说如果你不在一个组合如果能够将APT攻击最多名单列看不到钓鱼网页如此环节的息综合到一起有助于确认一来一方面攻击的精准度更高一个APT攻击行为另一方面也更加保密安全专家更综合分析技术要能够从零散的难进行追踪攻击事件背后透视出真正的持续攻击 22 行为包括组合攻击检测技术大时高级隐遁技术间跨度的攻击行为分析技术态势分析技术情境分析技术等等高级隐遁技术这个术语最初源自2010年芬兰的Stonesoft公人的技能司 2013年5月被McAfee收购的一个研究成果高级隐遁技最后要实现对新型攻击的防术 AET Advanced Evasion 范除了上述新的监测/检测技术 Technology 是一种通过伪装和/ 外还需要依靠强有力的专业分或修饰网络攻击以躲避息安全系

23 安全

24 非常安全息安全2012年年度热点回顾及2013年年度热点展望中国息安全杂志社在2013年初展开了一个中国息安全年度热点的专家调研经过热点征集反馈整理投票汇总现发布 2012 年度热点回顾事件人物类 2013年度热点展望事件人物类预测 2012年度热点回顾安全视角类 2013年度热点展望安全视角类预测每条热点都是一个话题热点只表示这个话题热度极高而不表示各个专家在这个话题下具有完全相同的观点每个热点话题下的简述基本都摘录于被调研核心专家的描述调研工作组只是尽力原汁原味地展现百余位核心专家的群体观点和智慧 2012年度热点回顾事件人物类 23号文美调查华为中兴 5月9日国务院常务会议发布23号文关于 10月8日美国众议院情报委员会发布报大力推进息化发展和切实保障息安全的若告称经过近一年的调查中国两家公司华为干意见明确指出要健全安全防护和管理和中兴被认为可能威胁美国国家通安全从保障重点领域息安全是我国息安全保障而将华为和中兴在网络设备层面合法地封工作推进的纲领性文件闭于国门外有专家认为以息安全为名义的贸易壁垒会成为常态火焰病毒Flame 5月火焰病毒Flame被卡巴斯基首次发 24 全国人大的决定现专家称为迄今最复杂的超级电脑病 12月28日全国人民代表大会常务委员会毒和间谍工具包火焰病毒是继震网通过了关于加强网络息保护的决定该 Stuxnet 后又一个影响重大的APT攻击决定共12条包括保护公民个人电子息治事件其目标再次指向中东很可能是某个理垃圾电子息网络身份管理有关部门的国家专门开发的网络战武器网络安全事件监管等内容被认为是我国对公民个人息保越来越多地体现出国家意志和国家行为护法律体系的重大突破

25 3B大战知名机构电商的息泄露 8月21日360将其浏览器默认搜索引擎由 2011年末的CSDN泄露事件在2012年初谷歌正式替换为360的自主搜索引擎 8月28 继续发酵后国内外知名网站企业公日百度悄然对360搜索业务展开反制用户通共服务机构等连续发生的息数据泄密事件过360综合搜索访问百度知道百科贴吧等当当淘宝 1号店麦考林京东商城等都服务时将会强行跳转至百度首页 8月29日被爆出问题 Adobe数字证书签署被入侵雅 360将网址导航搜索框中前默认的新闻地虎近45万账户密码被盗看到国外著名厂商也图 MP3等百度产品全部撤掉替换成包括搜难幸免狗在内的其他产品后双方动作不断这是中国互联网公司间恶性竞争的代表 12306网站 360被疑窃取用户隐私 2012年10月9日方舟子在微博上发文称 360安全浏览器根本不安全建议司马南这样 12306网站被确定为国家息安全等级的特殊人士慎用从此拉开了方周大战的保护四级 12月7日又发布消息称因机房空调序幕随后有关360软件涉嫌窃取用户隐私问题停止服务经过国内的某漏洞报告平台曝的各种质疑及举证相继浮现工部等主管部光 12306网站存在XSS 绝对路径泄漏门介入调查此事因此在社会上引起了广泛热 SQL注入等多个高危漏洞火车票订票系统面议与关注隐私安全问题成为社会关注焦点对海量订票业务而不堪重负服务质量和安全成为了大众和媒体的焦点金山猎豹等互联网企业与12306还就抢票软件发生激烈矛盾十八大报告在中共十八大报告中强调了高度关注海洋太空网络空间的安全在党和国家级别的文献中第一次明确采用术语网络空间和网络空间安全上面列出2012年最受关注的10大事件人物机构等未能进入前十的高票热点还有黑客组织匿名者英特尔芯片存在致命漏洞等网络舆情社交网络等个人息发布平台对社会热点产生了巨大的传播效应对于舆情监控形成新词的出现表明网络反腐成为互联网时代的一种群众监督新形式网络舆论正面负面兼有真真假假虚虚实实官民相争同行互殴异己战自由而诚的网络空间是网民的期望的挑战房叔房嫂表哥等名 25

26 非常安全 2013年度热点展望事件人物类预测中国黑客将继续被西方高度关注所谓中国黑客活动将继续被西方媒体和研究机构高度关注中国黑客走出国门与世界对话交流切磋黑客自律公约再成话题上海某建筑被指黑客基地网络安全将成贸易壁垒各国将纷纷以确保国家息网络安全维护国家利益为由引发的针对息技术产品的贸易壁垒将日益加剧我国网络空间安全国家战略将出台中共十八大报告提出的网络空间安全问题国家相关部门将在年内推出我国新的网络空间安全国家战略围绕国家战略将产生许多重大课题和项目法规政策依然是促进息安全市场增长的主驱动力重大息泄露事件还将爆发重大用户息泄密事件可能再次爆发数据安全将持续成为热点而贯穿全年数据防泄漏DLP及相关加密技术值得关注 XX大战还将发生带来的安全问题和商业纠纷将不断涌现预计 2013年将发生若干起与云计算相关的安全事件与纠纷国内云服务商或电商将被攻击或出现重大事故各种攻击威胁和脆弱性会愈演愈烈出于各种目的攻击者在新的一年里会变本加厉不择手段利用网络制造威胁发动攻击系统自身的脆弱性更会层出不穷但对于民众会见怪不怪即使会带来损失网络舆情继续升温借助社交网络所推波助澜的大范围舆情事件还将多发但整体网络空间并未见混乱安全公司自身的安全息安全公司自身的安全受到关注安全乌龙事件将会出现比如安全证书被盗用导致的安全事件将增多会引发民众对安全证书的质疑网络犯罪受到打击相关执法机构将对网络上的地下黑色产业链给予重大打击国内互联网产业的竞争进一步加剧还会 26 出现新的 XX大战上面列出2013年被预测会发生的热点事云服务事故将频发随着各个云中心投入运行各政府机构企业等将业务迁移到云上由云服务所件人物和机构未进入前十的高票热点还包括黑客文化影响变大息安全市场总量大幅增长

27 2012年度热点回顾安全视角类 APT APT就是所谓高持续性安全攻击常常问题日益突出而工业控制系统也成为APT攻击的重要目标运用了最新和最高级的0-day安全漏洞攻击自2011年11月工业和息化部下发了技术安全资源等等通过多种多样的手段和关于加强工业控制系统息安全管理的通渠道社会工程攻击常常是一个环节 APT攻知以来工业控制系统息安全的重要性和击愈加组织化攻击针对重要对象常常是政紧迫性得到了充分意识治军事商业等高影响目标损失和影响常常相当巨大大型的数据窃取常常是APT造成安全立法的震网Stunex 火焰Flame等等是典型代息安全立法滞后问题在2012年的一些表目前针对APT还没有特别有效的针对性措产业纠纷中有所暴露 12月28日全国人民施代表大会常务委员会通过了关于加强网络息保护的决定是近年来重要的息安全立 Android 在中国 Android手机的智能市场占有率法不过国内相关立法的进程还是难以满足业界的需要超过九成而其整个生态环境的各个环节都安全问题频出国内安卓系统的应用程序泄露率云计算安全过半八成软件过度要求授权非法收集用户云计算的认可和应用越来越甚用户对隐私息包括手机通讯录身份息地理位于将自身的数据和运算放在云中的安全性的担置息诸多账号息以及邮件文件等数据忧正在阻碍云计算的发展云计算应用引发新软件商店中app数量巨大安全隐患众多的安全问题风险常来自于息泄露数据丢失法规冲突等 2012年针对虚拟化软件厂商各种底层应用程序的安全漏洞承载在虚拟工业控制系统中的息安全性因涉及国机上的多种应用程序的安全漏洞用户身份家重要基础设施乃至国家安全而具有重要意认证授权管理系统的安全漏洞等方面成为云计义但随着计算机和网络技术的发展特别是算环境下安全风险的研究重点息化与工业化深度融合以及物联网的快速发展工业控制系统产品越来越多地采用通用协隐私和个人息泄露议通用硬件和通用软件并以各种方式与互发生在2011年底的泄密门事件至今依旧联网等公共网络连接病毒木马等威胁正在让业界忌惮其影响力贯穿于整个2012年向工业控制系统扩散工业控制系统息安全泄密门事件余波未平就又发生了多起电工业控制系统 27

28 非常安全金融电商等泄密事件随着云计算和大数据身份资金等息的传输安全问题是电子商技术的发展隐私和个人息安全问题更加突务的主要技术问题主要面临息篡改息出破坏身份识别息泄密等安全威胁手机病毒和恶意APP 各国国家战略有数据显示在Android应用500强热门目前美欧澳等各发达国家纷纷制定榜单中高风险应用的下载次数高达1.75亿了自己的国家网络安全战略 2012年09月美次而且恶意APP数量日益激增结合BYOD 国国防部高级研究计划局(DARPA)宣布将在未日渐普及的今天移动安全引起广泛关注来五年内投入15.4亿美元在一项新计划Plan X 移动互联网行业手机病毒急剧增加导致近年来欧盟加大了息安全工作力度将其 360 腾讯金山等企业纷纷加大投入安全列入欧洲数字化议程作为发展数字经济成为移动互联网的争夺要地的重要保障随着美国国会对中国两家通企业出的报告引发的争议唤醒了国内业界对于安全即服务网站攻击网页篡改用户数据被拖库等事件层出不穷超七成网站存在安全漏洞政网络安全国家战略层面的考虑网络战府高校网站安全性薄弱而广大中小网站又美国国防部开始正式确立相关Cyber War 不具备安全防护能力基于SaaS模式的网站安网络空间战的作战规则美DAPRA出台全检测和安全防护服务出现并受到欢迎Ｘ计划加紧研发网络武器在英国政府的基于云的安全防护将从个人安全市场快速有关公开文献中也看到这个语汇印度也有所向企业安全市场渗透越来越多的安全厂商将参与英法俄德澳意美日等纷纷组建网军似会通过云端技术进行安全服务乎大战在即中国和西方国家间围绕网络攻击的口水战继续增多电子商务中国息安全 2012年封面人物中有随着电子商务网购的爆发利用社会工程五位是将军足见息安全与国防和军事的密学综合多种技术手段的网购支付劫持木马大切程度中东地区成为网络战武器的竞技场量出现成为2012年最典型的木马电子商务从震网火焰病毒Flame就看出来网络战正从主要依托Internet平台完成交易过程中双方的模拟到现实快速演进上面列出2012年最受关注的10大安全视角其中 28 第10是两项并列这些视角有安全防护需求有安全威胁也有安全措施和手段有政策层面也有技术层面未进入前十的高票热点视角还包括 DDoS 分布式拒绝服务攻击移动智能终端安全安全标准和规范等安全视角类的得票相对分散在116项候选中有71项都有得票

29 2013年度热点展望安全视角类预测 APT APT 高持续性安全攻击继续成为第全云服务同时本土厂商也在推动云监测以及安全云一些中小企业正尝试使用SaaS安全云一受关注的安全问题这里聚集了所有热点所需要的元素最具影响的严重事件最前沿工业控制系统的组合攻击技术最困难的检测和防御方式工业控制系统的安全问题继续成为高优先最受关注的口水战重大泄密和息泄露网级热点在震网和火焰的威胁下在2011年络战等等 11月工业和息化部下发关于加强工业控制在2013年美国RSA大会上APT也同样受到最大的关注系统息安全管理的通知以后的发酵中工业控制系统极度薄弱的安全防护将得到很大的改善 SDN等软件定义环境虚拟化的发展 SDN的出现使得 Software Defined软件定义近两年成为不过今年还可能发生重大的工业控制系统安全事件传统息安全能力向工业控制系统环境渗透还有一个过程一个时髦的词汇软件定义数据中心使IT服务不再依赖底层硬件而被分离出来硬件则将更 Android 加依赖智能的软件来定义和驱动未来数据中心 Android智能手机的安全性问题持续被广的计算 2013年将是SDN技术初步应用的一大用户关注不过目前在如此复杂的Android 年将与云计算技术相互渗透生态环境下要想安全性有质的突破还需要业 SDN将引导安全能力向软件定义安全界贡献出独到的突破性技术这样的技术可能转化同时以SDN为代表的软件定义环境也带不仅仅出现在手机客户端安全保护上而很可来新的更加复杂的安全问题比云计算安全的能是在云管端中的任何一个环节也问题将更甚很可能是对移动互联网生态系统的一个小变革所带来的云计算安全将继续成为热点问题排位的提高也许说明云计算的实际落地更多也导致云计算安全更加受关注云计算环境下虚拟化安全数据安全息传输安全身份认证等继续是2013年的热点国外厂商正在积极与国内合作伙伴开展安大数据安全 2012年到2013年是大数据风气云涌的爆发期大数据概念铺天盖地甚至多次上到了央视新闻联播大数据带来大量经济价值和利益的同时也带来在数据处理使用保管和安全等方面的巨大挑战云计算安全 29

30 非常安全安全立法国网络战和网络威慑力量的担忧和指责也会成安全立法继续成为热点在2012年12月为常态 28日全国人民代表大会常务委员会通过了关于加强网络息保护的决定后业界呼唤更多的息安全立法的出台以解决我国相关法律严重缺失和滞后的问题 DLP 息防泄露维基解密让全世界都对涉及国家秘密的息泄露胆战心惊每年愈演愈烈的重大公共服务机构和企业的个人息泄露让公众安全即服务感受到息泄露的切身危害云计算服务的广通过SaaS服务和云模式来交付安全能泛认可也将带来云中数据大规模泄露的可能力成为安全业界寄托产业拓展式发展的期性国家机构和民间机构都对DLP有切实而广望其背后有互联网产业移动互联网云计泛的需求算和大数据相关发展的支撑和推动以内容检测技术为主和加密技术为主的两大代表性解决方案将以竞争合作方式被企业广泛的运用网络战两年一度的美国网络风暴演习没有在 2012年展开那么是否会在2013年上面列出预测在2013年最受关注的10大 2009年的震网造成损失 2012年的火安全视角其中有7项是2012年热点未焰被发现下一次高影响攻击会出现在两年后进入前十的高票热点视角还包括钓吗还是就在2013年鱼关键息基础设施保护社国外针对中国的网络攻击日趋严重加强交网络安全大数据用于安全等自身网络防御能力迫在眉睫同时国外对于中调研是在一个以国内息安全专家为主的核心专家圈中进行包括院士国家息安全资深的老专家学术圈教授息安全企业的老总和技术副总大型用户的安全负责人第三方权威机构安全专家民间息安全著名人物等等调研情况简述 30 调研共向271位专家发出了调研邀请第一轮热点反馈共61位专家反馈了765条热点息经过调研工作组的整理以保留专家原始意见的原则下整理形成了事件人物类投票候选项2012年44项 2013年17项形成了安全视角类投票候选项116项第二轮投票共95位专家反馈投票经过简单多数统计形成了调研的四项票选结果

31 动态

32 北京市委书记郭金龙到中关村调研参观启明辰公司 32 5月4日上午北京市委书记郭金龙围绕优全技术和产品展示对公司依靠青年科技人才发化创新创业环境服务青年成长发展主题到中关挥技术创新优势成为国内安全专业服务市场领导村调研并参观启明辰公司在与首都优秀青年代者表示赞赏在座谈会上郭金龙说实践充分证表座谈时他勉励广大青年努力为实现伟大的中明首都青年不愧为现代化建设最积极最活跃国梦激情奉献在首都现代化建设中建功立业最有生气的力量值得赖堪当重任大有希北京市委副书记市长王安顺一同参加望希望大家深刻领会实现中国梦对国家民会前郭金龙王安顺以及市委和各委办局领族及每个人的重要意义以满腔的热诚创造的激导亲切视察了启明辰公司听取了公司董事长严情务实的态度为中华民族伟大复兴奉献青春和望佳女士的介绍并观看了启明辰公司安全研究力量希望大家把实现个人理想同首都建设发展结中心 ADlab 的攻防演示合起来努力在各自领域创先争优创业成才郭位于中关村软件园的启明辰公司成立于金龙要求各级党委政府高度重视青年创新创业工 1996年由留美博士严望佳女士创建是国内最作积极帮助青年解决难题创造更好的创新创业具实力的拥有完全自主知识产权的网络安全产环境品可安全管理平台安全服务与解决方案的综合提供商在启明辰公司郭金龙察看了网络安市领导李士祥赵凤桐陈刚苟仲文市政府秘书长李伟参加

33 启明辰获中国区数据库安全审计与防护产品市场领导奖近日全球知名咨询机构Frost & Sullivan揭晓了2012年度最佳实践奖(BPA) 评选结果启明辰公司喜获中国区数据库安全审计与防护产品市场领导奖 Frost & Sullivan最佳实践奖是对企业在领导力技术创新客户服务和战略产品开发等方面取得的卓越表现及杰出成绩的综合评定与认可 Frost & Sullivan经过对中国数据库安全审计与防护产品市场进行深入调研根据市场地位增长速度与潜力产品设计与竞争力等指标最终确认启明辰在中国市场日益凸显的领先和增长优势以及领先行业的产品功能与服务 Frost & Sullivan的数据显示中国数据库安全市场正处于高增长期自2009年起市场规模始终保持20%左右的年增长率 2012年中国数据库安全市场规模达到5亿人民币相较2011年增长 24.1% 中国数据库安全审计与防护市场的参与者主要有两大类以IBM Imperva McAfee等为代表的国际厂商和以启明辰安恒等为代表的本土厂商在众多主要市场竞争者中启明辰不仅具有雄厚的资本以及国际化标准的产品同时能够准确把握国内客户的需求在中国市场拓展具备 9.5% 11% 本地化优势 2012年启明辰以9.5%的市场份年其市场份额将会进一步扩大至接近11% 并持续保持市场领先地位 Frost & Sullivan认为启明辰公司领先行业的产品功能及服务都是其能够在中国保持迅猛增长速度的重要原因和坚实基础２０１２２０１３额领先于国内外厂商占据榜首位置预计

34 辰动态启明辰天玥网络安全审计系统独家获得IPv6金牌认证近日启明辰天玥网络安全审计系统获得由的明产品一在安全审计市场上表现卓越产 IPv6权威机构全球IPv6测试中心颁发的 IPv6 品功能和性能均处于业界领先水平近日天玥网 Ready Phase-2 认证即IPv6金牌认证天络安全审计系统获得了全球知名咨询机构Frost & 玥网络安全审计系统是目前国内唯一获得IPv6金牌 Sullivan颁发的中国区数据库安全审计与防护产认证的安全审计产品参考链接品市场领导奖 ipv6ready.org.cn/index.php/news/index/ id/ 全自主知识产权的安全产品服务及解决方案提供本次获得IPv6金牌认证标志着天玥网络安全商启明辰在2003年开始进入安全审计市场并审计系统在IPv6一致性及互联互通方面符合IETF 推出第一款审计产品 2005年聚焦数据库审计 IPv6相关RFC标准可进行商业部署随着国家通过近10年的经验积累逐渐形成了以天玥网络安下一代互联网战略的快速推进 IPv6部署及商全审计系统为代表的数据库安全审计与防护解决方用已在某些行业开展此次天玥网络安全审计系统案 2012年天玥网络安全审计系统成为国内首家获证后启明辰已先后在防火墙 UTM IPS 获得中国息安全测评中心颁发的EAL3级息技 WAF及网络安全审计系统五类息安全产品上获术产品安全测评证书的产品该级别的测评证书是得IPv6金牌认证作为中国息安全产业的领航企目前为止国内同类产品中的最高安全级别业启明辰已率先为IPv6商用部署做好了准备凭借着雄厚的技术研发实力以及在息安全并具备了为下一代互联网提供全面息安全保障的领域的卓越进步启明辰已成长为网络安全审计强大能力领域的领导企业用户广泛分布于政府电金启明辰天玥网络安全审计系统是启明辰启明辰公司成立于1996年是国内拥有完融能源媒体医疗等各个行业

35 启明辰独家发现日前启明辰公司安全事件部的高级工程师发现了一个拥有合法数字签名的后门程序该木马 APT 攻击安全产品的安全事件库均已升级用户只需及时下载升级即可防范该病毒的攻击病毒很可能已经存活了半年多的时间由于样本具在4月17日下午启明辰在新浪微博有合法的数字签名因此可以躲过几乎所有主流病发布了毒检测产品的查杀对该木马病毒的警告消息并引起了病毒检测厂商的近日针对Adobe Flash漏洞 CVE 的APT攻击层出不穷在研究这些攻关注截止到本稿件发布时已经有一家病毒检测厂商能够对该病毒进行报警拦截击时启明辰发现了这个拥有合法数字签名启明辰安全事件部正在对该样本进行详细的后门程序并将该病毒命名为 Backdoor_ 分析后续会尽快发布该病毒的详细攻击行为及详 Fakesign 同时添加了事件 HTTP_ 细防护方法欢迎随时关注启明辰公司的安全公 Backdoor_FakeSign_连接目前启明辰各款告新浪微博启明辰发现微软IE8高危漏洞理研究的最新进展对网络漏洞与隐患攻击技术在对微软较早前的一个漏洞进行分析研究时发现防御与反攻击技术实时入侵检测与监控安全审了一个新的漏洞由于已经有了针对该漏洞的可用计技术快速应急响应操作系统内核技术缓冲攻击代码启明辰在第一时间将该情况通报给微区溢出技术数据库入侵与防御技术移动终端安软并与其探讨了漏洞的一些息全技术工业控制系统安全技术基于Web的入侵经过确认后微软在向全球用户发布的3月与防御体系技术等进行了深入研究建立了全面专份安全补丁中即修复了此漏洞该漏洞是安全公业的漏洞库攻击工具库恶意代码库等截至目告 MS13-021中的微软IE浏览器的一个高危漏洞前启明辰已经发布了CVE漏洞近百个持续保 CVE 是Microsoft Internet 持发布漏洞数量亚洲领先的地位同时还针对网络 Explorer 8在CTreeNode的实现上存在use-after- 安全领域里的新技术和新方向展开了一系列的研究 free远程代码执行的漏洞公告发布的同时启明工作并在智能手机系统工业控制系统安全方面辰得到了来自微软的官方感谢并获得了CVE编获得了重大的技术突破在操作系统安全研究方面号 CVE 达到了国际一流水平占有国际尖端网络安全领域启明辰长期以来密切跟进国内国际漏洞机的核心地位近日启明辰研发本部的高级安全工程师 35

36 辰动态启明辰天清WAF独家获得 IPv6金牌认证 36 近日国内领先息安全厂商启明辰自主研化Web应用访问和性能提高Web应用的可用性和发的天清Web应用安全网关 WAF 产品获得由安全性可以为电子商务网上银行电子政务及 IPv6权威机构全球IPv6测试中心颁发的 IPv6 媒体网站提供全面的安全防护 Ready Phase-2 认证即IPv6金牌认证获随着国家下一代互联网战略的快速推进得标识编号为02-C 这标志着该产品在 IPv6部署及商用已在某些行业开展此次天清WAF IPv6一致性及互联互通方面符合IETF IPv6相关获证后启明辰已先后在防火墙 UTM IPS及 RFC标准可进行商业部署此认证为IPv6领域最 WAF四类息安全产品上获得IPv6金牌认证作为高级别的资质认证启明辰天清Web应用安全网中国息安全产业的领航企业启明辰已率先为关系统V7.0也成为目前国内唯一获此认证的Web应 IPv6商用部署做好了准备并具备了为下一代互联用防火墙类息安全产品网提供全面息安全保障的强大能力天清WAF是采用启明辰公司VXID专利算法参考链接启明辰天清Web应用安全网关系技术的新一代Web安全防护与应用交付类应用安全统获得IPv6 Ready Phase-2金牌认证产品能够对Web服务器进行HTTP/HTTPS流量 ipv6ready.org.cn/index.php/news/index/id/152 分析防护以Web应用程序漏洞为目标的攻击优

37 启明辰天清WAF市场份额名列前茅金牌认证这标志着该产品在IPv6一致性及互联发布了2012年度 WAF Web应用防火墙市互通方面符合IETF IPv6相关RFC标准可进行商场报告启明辰公司的天清Web应用安全网关业部署此认证为IPv6领域最高级别的资质认证 WAF 在销售收入方面增长最快并且以25.2% 启明辰天清Web应用安全网关系统V7.0是国内第的市场份额在中国市场名列前茅一家获此认证的Web应用防火墙类息安全产品天清WAF是启明辰公司自主研发的采用 2012年5月启明辰在国内首家发布了万兆 VXID专利算法技术的新一代Web安全防护与应 WAF 其采用多核架构并行计算体系实现超过用交付类应用安全产品能够对Web服务器进行 10G数据吞吐量在2012年天清WAF通过了 HTTP/HTTPS流量分析防护以Web应用程序漏国际安全组织CVE Common Vulnerabilities 洞为目标的攻击优化Web应用访问和性能提高 & Exposures 通用漏洞披露严格的标准评 Web应用的可用性和安全性天清WAF已经在政审获得最高级别的CVE兼容性认证 CVE 府金融运营商能源教育电子商务等多个 Compatible 目前天清WAF是国内厂商中唯领域得到了广泛的应用一获得CVE认证的WAF类产品同样在2012年 2013年启明辰天清Web应用安全网关系天清WAF获得了OWASP颁发的 Web应用防火墙统V7.0获得由IPv6权威机构全球IPv6测试中认证证书成为国内首家获得OWASP组织颁发心颁发的 IPv6 Ready Phase-2 认证即IPv6 的最高级别的认证证书的WAF类产品近日全球知名咨询机构Frost & Sullivan 37

38 辰动态启明辰WAF荣获多个奖项日前在多家媒体进行的2012年产品奖项评万兆WAF 其采用多核架构并行计算体系和VXID 选中启明辰天清Web应用安全网关 WAF 专利算法技术是新一代Web安全防护与应用交付凭借出色的产品性能功能以及优异的市场表类应用安全产品实现超过10G数据吞吐量的安全现获得了多个奖项包括 IT168年度产品奖防御天清WAF已经在政府金融运营商能 ZDNet最佳万兆Web应用防火墙计算机世界源教育等多个领域得到了广泛的应用 2012年度优秀产品奖 38 在2012年天清WAF通过了国际安全组织随着网站受攻击事件的频繁发生越来越多 CVE Common Vulnerabilities & Exposures 的企业和机构对于Web网站的安全更加重视特别通用漏洞披露严格的标准评审获得最高级别的是一些对息安全保障水平要求较高的行业纷纷 CVE兼容性认证 CVE Compatible 目前天采购WAF Web应用防火墙来保护Web网站安清WAF是国内厂商中唯一获得CVE认证的WAF类全产品天清WAF内含基于国际标准建立的安全漏洞天清WAF主要针对Web服务器进行HTTP/ 库并通过网络升级与国际最新标准保持同步 HTTPS流量分析防护以Web应用程序漏洞为目同样在2012年天清WAF通过了OWASP 标的攻击并针对Web应用访问各方面进行优化技术专家的详细评测并获得了OWASP颁发的以提高Web或网络协议应用的可用性性能和安全 Web应用防火墙认证证书天清WAF成为国内性确保Web业务应用能够快速安全可靠地首家获得OWASP组织颁发的最高级别的认证证书交付在2012年5月启明辰在国内首家发布了的WAF类产品

39 启明辰IPS通过下一代互联网息安全产品测试并获专项支持启明辰公司很早就开始了IPv6架构下的产御系统 IPS 顺利通过 2012年国家下一代互联品布局早在2006年就开始在安全产品上实施网息安全专项产品测试并获得国家专项资金支 IPv6相关功能的支持并完成了基于IPv6 的入持启明辰公司成为唯一一家通过该产品测试并侵检测系统国家预研课题天清入侵防御系统是获得专项支持的入侵防御类产品厂商为IPv6商用化做准备的下一代互联网核心安全产为贯彻落实国务院关于加快我国下一代互联网品在测试中表现优异获得了公安部下一代互联发展的工作部署在2012年2月国家发展和改革网产品销售许可证和国家息安全测评中心EAL3 委员会启动了国家下一代互联网息安全专项申报认证并获得国家专项资金支持工作并委托公安部计算机息系统安全产品质量目前国家下一代互联网工作正在快速推进监督检验中心等国内多家权威测评机构对通过专家根据相关工作部署 2013年底前要开展IPv6网络评审的项目产品进行严格的功能和性能测试根据小规模商用试点预计到2015年底将有2001个测试结果最终确定立项项目县级政务网 332个地市级政务网 34个省级政务本次产品测试由国家发展和改革委员会委托网 5000多个县级以上政府职能部门政务网 117 公安部计算机息系统安全产品质量监督检验中心个中央企业网站 2138所高等院校网站必须完等多个权威机构进行启明辰公司申报的下一代成IPv6升级改造入侵防御产品作为下一代互联网互联网入侵防御系统天清入侵防御系统通核心安全产品将在下一代互联网过渡发展中发挥过了严格的性能和功能测试不仅有极高的处理性重要的安全保障作用启明辰天清入侵防御系统能而且能够适应下一代互联网环境满足在IPv6 IPS 已为此做好了准备环境下各种场景的网络息安全需求日前启明辰公司自主研发的天清入侵防 39

40 辰动态启明辰荣获中国软件创新力20强称号近日由中国版权保护中心主办的纪念计算机软件著作权登记制度实施20周年 2012 中国软件 40 意识作为评选标准评选经过初评复评专家评审等程序最终评出中国软件创新力20强创新企业颁奖在2013 CPCC中国版权服务年会开凭借多年来的潜心研发启明辰成为国家认幕式上举行启明辰广联达金山软件等国内定的企业级技术中心国家规划布局内重点软件企一批优秀的软件企业凭借突出的软件创新研发能业拥有最高级别的涉及国家秘密的计算机息系力和领先的专业核心技术等优势荣膺中国软件创统集成资质并获得国家火炬计划软件产业优秀企新力20强业中国电子政务IT100强等荣誉中国软件创新企业评选是中国版权保护中心启明辰拥有我国规模最大的国家级网络安全 2012 CPCC软件服务年活动的重要内容一研究基地创造了百余项专利和软件著作权参与是国内软件版权领域内首次进行的权威性公益性制订国家及行业网络安全标准填补了我国息安评选活动评选以鼓励创新保护版权服务企全科研领域的多项空白完成包括国家发改委产业业为宗旨将企业的软件创新能力软件技术创化示范工程国家科技部863计划国家科技支撑新产生的经济和社会效益以及企业软件版权保护计划等国家级科研项目近百项

41 启明辰成为 CISPA唯一息安全理事单位企事业单位以企业为主体以平等互利优势互展联盟 China Industrial Software Promotion 补资源共享合作共赢为原则整合产业发展资 Association CISPA 理事单位启明辰是所源优化产业发展环境协助政府实现行业自律有理事单位中唯一的息安全企业整体提升工业软件产业的技术研发水平制造水平中国工业软件产业发展联盟成立于2010年12 和服务水平满足用户需求促进工业软件产业的月是在工业和息化部软件服务业司指导下北经济增长促进完整的产业链和成熟健康的市场京市经济和息化委员会上海市经济和息化委启明辰作为国内领先的息安全企业始终员会广东省经济和息化委员会等单位联合支持关注工控系统领域的息安全发展态势并且有针下由国内部分优秀工业软件企业共同发起由从对性的提出了对工控系统进行分层分域分等级事工业软件产品与服务的制造者使用者研究的安全体系架构思想启明辰将积极参与工控系者社会中介组织和管理机构自愿参加组成的民间统政策规范标准的制定跟踪最新技术发展趋团体势及时把握市场需求动向为工业控制系统相关联盟旨在联合国内致力于工业软件产业发展的网络安全产品的推广打下坚实的基础近日启明辰受聘成为中国工业软件产业发 41

42 启明辰举办广西用户交流近日启明辰公司在广西举办了启明辰布的2012年度 WAF市场报告显示启明辰公司 2013广西用户交流会就企业息安全问题与广的天清Web应用安全网关 WAF 在销售收入方面西客户进行了全面深入的交流增长最快并且以25.2%的市场份额在中国市场名启明辰公司高级副总裁吴俣介绍了公司的发展状况以及公司的主要产品解决方案等他表天清Web应用安全网关 WAF 是启明辰示在过去的一年里随着互联网技术的迅猛发展公司自主研发的采用VXID专利算法技术的新一和广泛普及用户所面临的息安全威胁与风险不代Web安全防护与应用交付类应用安全产品能够断增大息安全问题日益凸显用户亟需专业的对Web服务器进行HTTP/HTTPS流量分析防御安全解决方案来防范复杂多变的恶意攻击来自外部的SQL注入 XSS攻击 Web恶意扫描在会上启明辰的WAF产品专家与用户分享 CSRF HTTP Flood XML Dos等各种恶意攻了Web安全防护解决方案后用户在休息期间详细击优化Web应用访问和性能提高Web应用的可了解启明辰公司的WAF产品和Web安全防护解决用性和安全性天清WAF已经在政府金融运营方案商能源教育电子商务等多个领域得到了广泛 2013年越来越多的客户开始部署Web安全 42 列前茅防护产品全球知名咨询机构Frost & Sullivan发的应用

43 视点

44 安全视点深入解读RSA 2013热点技术文/叶润国摘要本次RSA峰会启明辰关注的热点技术包括大数据和APT 安全事件分析脆弱性管理身份标识管理 Web应用安全安全网关无线网络安全云计算安全数据防泄密和智能沙盒 RSA 2013热点排名 RSA 44 identity management date loss prevention anti malware authentica tion mobile device security cloud computing application security ompliance interprise security anagement date security 峰会共有350 次RSA大会发现 RSA2012展会本次RSA峰会启明辰关注的热点家安全厂商参加参的支撑性厂商大部分是做硬件的技术包括展厂家数量超过了以往RSA年会多强调产品性能代表性产品是大数据和APT 安全事件分析脆这两年RSA大会的关注热点并没有 UTM和NGFW RSA2013年展会弱性管理身份标识管理 Web 太多的变化从图中可以看到热的支撑性厂商多强调安全功能代应用安全安全网关无线网络安点依然还是数据安全企业安全管表性产品是安全监控和分析产品全云计算安全数据防泄密和智理合规性应用程序安全 DLP 比如今年很多厂商都在宣传APT 能沙盒下面是对一些技术热点的等但是通过对比2012和2013两检测和防御产品分析

45 大数据和APT检测常变化因此可以采用传统入侵功能上集成了文件完整性监控和主大数据和APT检测绝对是检测方法来检测APT通通道典机行为监控功能目标瞄准APT攻 RSA2013大会的最热点有很多型代表厂商有趋势科技飞塔等击检测我们还看到的另一个现象厂商都提出了自己的APT安全解决方案我们可以把这些方案分为四类 4 大数据分析检测APT类是很多SIEM厂商开始采用大数该类APT攻击检测方案并不据技术来做日志和安全事件分析重点检测APT攻击中的某个步骤恶意代码检测类而是通过全面收集重要终端和服务该类APT解决方案其实就是检器上的日志息以及采集网络设备测APT攻击过程中的恶意代码传播上的原始流量进行集中分析和数步骤因为大多数APT攻击都是采据挖掘它是一种网络取证思路用恶意代码来攻击员工个人电脑以它可以在发现APT攻击的蛛丝马迹进入目标网络因此恶意代码的后通过全面分析海量数据从而检测至关重要很多做恶意代码检还原整个APT攻击场景大多数拥测的安全厂商就是从恶意代码检测有大数据分析技术的厂商都采用这入手来制定APT攻击检测和防御方种思路来检测APT攻击典型的厂案的典型代表厂商包括FireEye 商有RSA和SOLERA 1 代表厂商是splunk 和GFI Software 主机应用保护类安全事件分析 SIEM 脆弱性管理不管攻击者通过何种渠道发送本次RSA大会参展的SIEM厂今年的RSA大会同样吸引给组织员工的恶意代码必须在员商较多包括RSA Arcsight 了很多脆弱性管理厂商包括工的个人电脑上执行因此如果 LogRhythm Agiliance Qualys ncircle和secunia等能够确保员工个人电脑的安全则可 AlertLogic AlienVault 今年这些厂商都在强调脆弱性管理以有效防止APT攻击主要思路是 SenSage等著名的SIEM公司过程 Qualys公司推出了基于云采用白名单方法来控制个人主机上一些系统厂商也通过并购动作进的脆弱性管理服务该服务覆盖脆应用程序的加载和执行情况从而入SIEM市场比如HP收购了弱性整个生命周期包括漏洞挖防止恶意代码在员工电脑上执行 Arcsight 从展会情况看传统掘漏洞扫描漏洞评估和漏洞补很多做终端安全的厂商就是从这 SIEM厂商比如RSA和Arcsight等丁管理等从而可以实现集中脆弱个角度入手来制定APT攻击防御方依然实力很强大但根据gartner 性监控扫描和防护 ncircle也案典型代表厂商包括Bit9 魔力象限数据看出新型SIEM 推出了基于云的脆弱性管理服务厂商LogRhytm从2012年开始已主要客户是大公司和企业它提出就是通过网络边界处的入侵检经超过RSA和Arcsight 成为了以补丁管理为中心的脆弱性管理概测系统来检测APT攻击的命令和控 SIEM领域的领头羊 SIEM看点念 Secunia本次不再宣传其漏洞制通道虽然APT攻击中的恶意代是这些SIEM安全产品提出了下扫描器而是强调脆弱性管理过码变种很多但是恶意代码网络一代SOC概念 LogRhythm提出程基于其脆弱性管理套件提出了通的命令和控制通模式并不经了SIEM2.0概念它在传统SIEM 一个补丁管理过程包括脆弱性挖 3 网络入侵检测类 2 45

46 安全视点掘脆弱性扫描补丁自动创建和类 Web应用防火墙 WAF NGFW和UTM概念各厂商的理补丁部署等步骤它部署在Web服务器端用来保护解有所不同 NGFW代表厂商Palo Web服务器的安全 Web网关 Alto认为NGFW首要关注产品对应部署在企业网边界用来保护企业用的识别与控制传统防火墙功能身份标识管理也一直是RSA 内部上网用户免受来自Web的网页其次 UTM代表厂商Fortinet认大会的热点很多厂商涉足这个领木马或恶意代码的攻击或者规范为NGFW产品是UTM产品的功能域以前的身份标识管理厂商只做用户的Web访问行为 Imperva展子集 NGFW概念是在UTM后身份标识管理产品现在很多厂出了其Web应用防火墙产品除了出现因为有用户只关注NGFW功商开始运营身份标识管理服务包可以为Web服务器提供传统的实时能不需要全功能UTM 因此诞括基于云的身份标识管理服务目 Web攻击防护外还可以提供包括生了NGFW概念但我们看到前提供身份标识管理的厂商多为小访问审计取证分析和数据防泄密 NGFW与UTM从产品角度来看呈型创业公司但伴随着云计算的日等新型安全功能 Imperva WAF 现出趋同趋势比如 Palo Alto 益普及将会有很多大公司进入身还具有环境感知能力通过主动扫在增强其NGFW产品的AV功能份标识管理服务领域在身份认证描或者第三方扫描结果导入等方法该功能在标准的NGFW定义中是方面目前带外认证技术已经非常收集被保护Web服务器的一些脆弱没有要求的 Fortinet在其最新流行包括Entrust Authentify 性息包括漏洞和配置息 UTM产品中增强了抗DDoS功能公司的移动电话号码 pin码语从而为Web服务器提供虚拟化补安全网关的技术发展动态主要表现音识别认证技术同时我们也看到丁等高级安全功能 WebSense是在以下几点采用智能沙箱异常了一些新型公司如HID和SPYRUS Web安全防护领域的佼佼者其检测等方法来弥补传统基于特征匹在使用生物特征识别技术来实现 WAF可以提供分角色管理和应用配的检测方法不足开始融合大数身份认证身份标识管理方面的加速等功能此外 Websense的据分析技术并注重安全威胁情报另一个趋势是很多身份标识管 Web网关产品提供包括DLP 网收集注重网络流量的可视化有理厂商推出基于云架构的单点登录络分类和细粒度访问控制等安全些产品可以对全流量数据进行深度 SSO 服务从而可以解决客户功能 Barracuda也同时展出了分析可以实现网络流量的回溯和的多系统多Web应用间的一次其WAF和Web网关产品其中关联分析安全网关实现模式也在性认证问题 WAF产品提供了缓存加速连接发生变化由先前的集中网关模式池内容压缩负载均衡等特性变为前后端模式前端仍然是安全身份标识管理 IAM Web应用安全应用安全一直以来是人们关 46 网关而后端是云计算安全网关无线网络安全注的重点应用安全中最主要的本次RSA峰会吸引了包安全问题是Web安全本次RSA 括Fortinet Cyberoam 无线网络安全也颇受关注展会著名的Web安全厂商包 Juniper Sourcefire 华为本次展会上Motorola展示了一个括WebSense Barracuda和 SonicWall Palo Alto在内的著无线管理平台 AirDefense Imperva都展出了自己的Web安全名安全网关厂商 NGFW与UTM 通过从AP端的传感器实时获取产品 Web安全产品可以分为两仍然是这些厂商的宣传重点关于检测号发现问题分析故障

47 2013年云计算安全威胁报告列位问题AP并立刻进行处理包出了9大云计算安全威胁包括括重启故障AP 增大AP功率或 1.数据泄露 2.数据丢失 3.账户者端口问题终端等 RSA通过收劫持 4.不安全的API 5.拒绝服购Meraki进入无线安全领域务攻击 6.内部人员的恶意操作 Meraki最早提供AP产品后来 7.云计算服务的滥用 8.云服务规发展UTM产品线其低端UTM 划不合理 9.共享技术的漏洞问在传统安全功能基础上提供无线题此外针对虚拟化和云计算接入及无线IPS功能移动安全基础架构也有安全厂商展出其和BYOD是无线网络安全中的热相应的安全解决方案趋势科技点典型厂商包括InfoExpress 针对VMware等虚拟化基础架构提 Fasoo PointSharp和华为比供基于Deep security的安全解决如 Airwatch提供全面的移动安方案保证VMware等的安全全解决方案包括移动设备管理 checkpoint Fortinet等安全厂移动应用管理和移动内容管理等服商针对云计算多租户特点将传统务 Mocana提出了安全沙箱的移安全产品转换为虚拟安全器件从动APP防护方案可以为现有移动而可以部署在VMware等虚拟化基 APP提供包括安全认证数据加密础架构上面为多租户提供独立的和位置隐藏等能力通过对这些移安全服务 VMware软件定义的数动安全解决方案分析发现使用的据中心将它的Vshied安全套件技术不外乎是应用虚拟化虚拟桌包装到了VCD软件包中从而实面和沙箱技术现虚拟数据中心的安全云计算安全数据防泄密 DLP 云计算安全和基于云计算模数据防泄密是历届RSA大会式的安全服务是本届RSA大会的的热点本届也不例外且热度继热点微软在RSA大会上发布了续上升从2012年排名13位提升免费CSRT工具 CSRT是一个调为2013年第9位本届RSA大会查工具可帮助企业组织审查和有超过37家公司宣传重点DLP 了解他们的IT成熟度水平和他们是有超过100家涉及DLP 我们可否准备好将其业务迁移到云中以将DLP厂商分为两类 1 侧 CSRT工具采用云控制矩阵来考重DLP终端的厂商这主要是传虑数据安全性隐私和可靠性因素统防病毒厂商包括McAfee 以及关键的合规性因素云安全联 Symantec Sophos和趋势科盟 CSA 在RSA峰会上发布了技等侧重DLP网关的厂商这主要是传统的FW/IPS厂商包括Websense TrustWave WatchGuard Paloalto 这些年来发生的一系列数据泄密安全事件使得越来越多的人重视数据安全问题不少安全厂商开始进入 DLP领域 DLP的三个变化是出现了ALL IN ONE趋势典型代表就是一些网关厂商开始将DLP和 APT检测功能集成到其UTM或IPS 产品中由于BYOD的升温围绕移动设备的数据防泄密成为热点中的热点有些厂商提出了基于云和大数据的数据防泄密解决方案和优化网络 AirDefense可以定 47

48 安全视点创新沙盒 48 题是移动安全比较有代表性的创新为 Remotium Silent Circle Wickr PrivateCore 提供了移动应用虚拟提供一个全球性的加一款军用级加密的手针对内存 dump 化技术在公共或私密通服务为移动机通应用其特点 KVM 攻击速冻有云上运行移动应设备提供了一整套是账户匿名不可追内存断电保持用并将可视化数既简单又安全的工踪可设置息时效内存 NVRAM 等据传送到移动设备具视频加密通并能自动销毁息可以从内存中获得敏 Remotium 被评为话加密文本加密和自动清除隐私如照感数据的攻击方法 2013 年 RSA 大会最电子邮件加密片的位置息 PrivateCore 公司在佳创新公司每年 RSA 峰会上的创新沙盒论坛都会吸引很多人关注今年的创新沙盒主 RSA 峰会上提供了一款称为 vcage 的虚拟机产品它是一个 Hypervisor 通过实现虚拟机内存全加密从而有效防范上述攻击

49 大数据高端安全检测的必由路文 /Jordan 摘要息安全的检测中有一部分是高端安全检测高端安全检测涉及对检测模式的重新认识这就涉及到大数据息安全的检测中有一部分包过滤规则这些检测都相对简单算复杂度的作用传统安全公司技术能力的竞争主要就是看你能获是高端安全检测高端安第二种是检测腰基于单全检测涉及对检测模式的重新认一特征的检测比如漏洞特征识这就涉及到大数据病毒特征攻击特征 URL 黑白第三种是检测颈属于高名单等等特征库检测单一特征强端检测包括 APT 检测或者宏观探寻高端检测调的是可表达可处理和可操作性态势感知等另外检测腰中部分从检测方面来看有三个境界所谓特征或者称某种模型我特征的提炼和分析其实也属于高端第一种是检测足属于简们使用它的计算复杂度要大大低于检测的范畴单检测比如有阈值限制超过提炼获取它的复杂度这里比喻成了什么值系统就会告警再比如检测腰就是因为它有一个收紧计 APT 检测颈宏观态势感知高端腰单一特征足取和积累多少特征简单规则多点 / 长时 / 多类型特征库检测单点 / 短时 / 单项包过滤规则阀值限制 49

50 安全视点谈到高端安全检测问题可以简单地分为两类一类是宏观安怎么能够确定哪段数据值得怀疑并个被检测域你并不确切地知进行深入的分析呢道你所要找的求检对象在哪里于全检测典型问题就是网络宏观试解高端检测中的大数据问题能地多覆盖求检对象也就是要先典型问题就是 APT Advanced 上面提到的这两种高端息安扩大被检测域被检测域变大了数 Persistent Threat 高级持续性全检测问题最终都导向了大数据据变多了自然而然就变成了大数威胁攻击发现方法据问题 APT 检测的出路可能就在关于宏观态势感知如城域面对宏观态势感知和预测问网的网络事件态势感知目前方法题归结起来就是在海量的数据中 APT 有很大的空间不确定性还相对较少举个例子启明发现宏观的波动趋势哪怕是细微 APT 攻击走哪条路径不得而知这辰实现了一个地址熵算法熵是离的波动也是宏观问题宏观态势散度的一种评价所谓地址熵就是感知和预测就是要发现这些波动累积计算网络上的源地址的熵和目并且判断出来哪些波动会演变成灾的地址的熵并对两条随时间变化难性的网络风暴以便及时加以遏的地址熵曲线进行跟踪分析如果制要发现和描述这样的态势仅目的地址熵突然下降也就是目的仅靠局部数据计算得出的简单统计地址突然集中了由此可以立即判指标是非常不够的即使是地址熵断出来可能发生了分布式拒绝服务这样的精妙指标也是不够的在这攻击如果目的地址熵微升而源地方面的研究中可以类比的其他学址熵下降源地址相对较集中意科就是天气预报股票期货金融品味着有网址在密集地向外广泛地发分析预测等等这种分析活动自包可以初步判断可能出现了扫描然而然就是大数据事件或蠕虫传播这两个地址熵指标就像天气预报中常用的温度气 50 是检测者就希望被检测域尽可态势感知一类是微观安全问题而面对 APT 攻击发现问题最终也是大数据问题大数据上就是息不对称防御者不知道攻击者从哪条路径来进行攻击这是非常头疼的事情但路是防御者的路攻击者一定会通过防御者的路并靠近防御者这就是防御者的优势我们讲从空间角度来扩展被检测域只要扩展更多的有效检测点总能获得更高概率来截获攻击路径更多的检测点更多样的检测点更多的数据有利于解决 APT 问题 APT 有很大的时间不确定性从时间角度来扩展被检测域一个最简单直接的思维突破就是存储压等这些衡量指标目前在城域 APT 的 A 高级不仅仅是某网监控方面这样特别有效的既简单些具体攻击手法隐藏很深还包括又精妙的算法并不多 APT 攻击在空间上的不确定性而如 0-day 问题在没有特征的时候是关于 APT 攻击目前常见的 APT 的 P 所代表的时间上的长期持难于检测到的如果用一个网络录像提出的 APT 应对方法很多是在续性或者断续性更是 APT 的检机把所有的网络流全录下来回过头 APT 中的 A 高级上下功夫测难点来有了特征后再检测就可能发现也就是如何深入分析隐蔽性很深攻击的空间拓展变化包括持续说得更哲理一些就是记忆比攻击有部电影名字叫源代码的恶意代码和行为确实当我们性蔓延性传播性渗透性等等其情节就是这个感觉能够运用存储拿到一段值得怀疑的代码和数据这一变化带来了安全模式的变化运用记忆形成一个时间机器反复集对其进行深入分析是可行的求检对象隐藏在一个检测环境里的回溯分析这就是所谓的时间领域但是难的就是从茫茫数据中我你采集过来进行检测计算的就是一扩展也就是用 P 来对抗 APT 中的 P

51 以考虑给被检测域数据提前打标签将海量被检测域数据中的有用数据浓数据其数据性质和形态都与被检测缩下来域的数据大大不同了可以称为轻干扰检测轻破坏检浓缩筛选抽样等等可以理场景步骤是对于检测结果的组测这可以使其具有某种全息性解为分析过程中的物理处理过程所合性分析分析出的场景可能来自这种干扰的不同处理都是分析目的谓物理过程就是不改变被检测域数据对于精确检测的细微时间的组合也和过程对于前端采集技术链条施加影的原有性质和形态就如同炼铁过程可能来自于浓缩过程的提炼响当然这样很可能会进一步增加中的选矿筛矿比如渲染 + 半衰的处检测过程的复杂程度也可能让检索理算法对于被检测域进行数据分块变得更快捷对数据块的疑似程度进行打分渲染大数据通常分为两类一类是然后再一个周期中对所有数据块进行天然大数据问题如基因计算矿半衰式处理后在进行打分再半衰物勘测空间探测等这类是客观原先我们的安全检测都是三步低于某一个阈值的数据块被丢弃如存在的大数据问题还有一类是人检测采集分析关联而有了上此循环下去留下的数据块集合就是参与的大数据问题如购物数据面阐述的大思路就变成了一个被浓缩的被检测域社交网络数据等这一类可以通过新安全检测思路四阶段检测四步检测扩大浓缩精确场景精确检测就是借助传统的误用也就是将原先三步中的采集变检测和异常检测来进一步分析在这成了扩大扩大被检测域以便更个阶段我常常将比喻成分析过程的可能覆盖求检对象以及浓缩化学反应这个时候提取出来的结论息安全与大数据检测目的对这些数据进行前端影响安全属于第二类大数据相关思维和技术在安全中的应用非常值得期待在息安全检测的采集上可 51

52 安全视点当息安全遇上应用交付文 / 谭闯 2011 年 7 月 F5 推载均衡随着客户应用越来越复杂出主打安全功能需求越来越多逐渐产生了应用层的 BIG-IPv10.1 版本应用交付产品在做 4 层负两个因素一是客户需求的提升载均衡时协议 IP 接口等除了负载均衡客户的应用需要在息是其分担技术基础而 7 层的部署时更加灵活更加适应应用本负载技术同时也要求应用交付产从负载均衡应用交付到交付身的特点二是 SSL 加速技术品能够完成对应用层协议如安全在短短的十几年里交付领 HTTP 压缩技术等一系列应用交付 HTTP SMTP 等协议的解析这域的变化可谓日新月异从软件到技术在不断发展和整合这些都推些技术为应用交付产品完成安全硬件从 4 层负载到 7 层应用动着应用交付持续向前发展从应功能打下了技术基础而这两年 F5 思杰这样的主流用部署理念上来讲负载均衡关注交付技术在不断更新但应厂商又将应用交付的大旗指向了业务流进入数据中心的过程而应用交付的部署位置却从未改变服息安全用交付更加关注应用交付出去的效务器负载应用加速卸载通常果更加关注用户的使用体验部署在服务器区前端链路负载通设备解决方案 2012 年思杰发布安全高效的 WEB 应用云安全产品这些仅仅是厂商的噱头么事实并非如此安全自需求而来 52 技术推动安全应用交付的产生主要来源于 2012 年 F5 推出安全移动的负载均衡技术的融合已经成为一个大趋势应用交付技术正是从业务连续常部署在多链路出口而这些位置性着手从解决高可用性逐渐发本身也正是传统安全产品防火墙展到解决应用优化安全问题一 IPS WAF 的部署位置应用交付是从负载均衡概念延步步的迈向用户的最终需求对于安全问题的日益突出也使伸而来最初的负载均衡作为一项提供应用交付的厂商而言从最开得应用交付产品设计人员注意到分担技术曾经是路由交换设备的始的传统的网络厂商慢慢的有更通过应用交付产品构建第一道安全基本技术如链路负载其主要多关注于应用关注于安全的厂商防线的必要性而 F5 思杰以及目的在于解决大并发数据流量时的加入进来而传统的网络厂商也逐国内主流安全厂商的跟进则使得压力分担以及做 4 层的服务器负步迈向安全应用交付技术与安全这种希望逐渐变为现实

53 应用交付身上的安全因子全理念与攻击防护无法解决网上的更进一步的 7 访问控制应用攻击问题典型的就是目前常基于 IP 协议端口的 4 层见的防火墙入侵检测和 IPS 等设访问控制已经是防火墙产品的标备的特征码技术在银行的 SSL 加密配对于应用交付来说仅仅支持流量下毫无用处无法进行解密 4 层的访问控制还远远不够如今应用交付产品提供的 SSL 卸载功网络攻击已经由传统的 3 4 层向能不单能减轻后台服务器的负担 4 7 层扩展通过对应用层的协更重要的是可以对卸载后的数据议解析应用交付产品可以支持对进行安全检测阻断攻击报文应用层数据的访问控制因而使服 WEB 安全务器得到更高的安全性 WEB 安全的核心是对 HTTP DDoS 攻击的第一道防线报文的解析和处理应用交付产品服务器负载均衡是应用交付的部署在服务器前端时在优化加基本应用应用交付负责将用户流速业务的同时也在并行处理各种量分担到不同服务器上可以想象安全事务从 HTTP 协议合规性一台没有任何安全功能的应用交付检查到防息泄露以及各种产品在发生 DDoS 攻击时毫 SQL/XSS 的阻断在保障应用安无区分的将 DDoS 攻击的流量分全性与畅通的同时极大的减少了配到用户服务器所带来的灾难性的服务器群的负载将服务器从大量后果通过在应用交付产品上合理安全连接数据加密中解脱出来配置就可以很好的应对 DDoS 攻更加专注在应用处理本身目前主击应用交付产品自身工作在 TCP 智能 DNS 以及全局负载均衡部署流的应用交付厂商都将 WAF 作为代理模式在这种模式下通过代中可以很容易的扩展 DNS 服务应用交付产品的一部分甚至引申理 cookie 等技术可有效识别攻器的响应能力通过对 DNS 报文出专门的 WEB 安全产品来销售击者身份此外应用交付产品相的合规检查以及 DNS 报文的速由此可见 WEB 安全在应用交付领比传统防火墙 IPS 具备更高的连率控制可以防止针对企业域名的域的重要性接处理能力可以更好的保护后端 DNS flood 攻击而对 DNSSEC 的服务器的支持可以有效的防止 DNS 劫持作为国内息安全市场的领航者启明辰认为安全势必成为应用交付领域中不可忽视的一环越来越被重视的 DNS 安全 SSL 加密内容检测用户在选择应用交付产品时除了 DNS 是互联网中最基础又至众所周知银行的网上数据都关注性能外也需要更加关注交关重要的一环应用交付产品在做是基于 SSL 加密的传统的网络安付的安全性 53

54 安全视点国产数据库安全审计市场正崛起文/苏畅现 54 如今无论国内外数据库各种手段意欲在竞争中脱颖而出方面领先的产品核心技术全面厂商都在对安全性进行新其中国外厂商依靠并购壮大自身的销售渠道覆盖及启明辰自身上的考量新的数据库产品也增加了例如 Oracle收购了数据库防火市公司全方位的资源保障更多地安全性能如权限细分传墙厂商Secerno IBM先后收购了据介绍启明辰数据库安全输加密等而这些都让目前中国数 Guardium和Netezza 同时国内解决方案采用了事前扫描+事中防护据库安全市场正处于高增长期以启明辰与安恒息未代表的涉 +事后审计的全方位安全防护解决自2009年起市场规模始终保持足数据库安全与防护的供应商也达方案其中天玥数据库安全审计系 20%左右的年增长率 2012年到了40多家竞争愈加激烈这统是启明辰结合多年在数据库全球数据库安全市场约为13亿美其中启明辰天玥数据库安全审计安全方面的理论和实践经验积累元据Frost&Sullivan预测到系统在2012年以9.5%的市场份额并参考各类法令法规对数据库安全 2015年中国的数据库安全审计与在数据库安全审计与防护市场中占审计的要求自主研发的国内审防护市场可达到9.7亿人民币据榜首位置计数据库类型最全且解析粒度最对于高速增长的数据库安全对于启明辰在数据库安全与与防护市场无论是服务商硬件商防护市场的表现启明辰审计产还是原有的数据库供应商都在通过品经理滕文静表示这主要取决于三细的审计产品能够帮助用户保护数据库免于攻击误用窃取相对于市场上其他产品而言

55 启明辰天玥数据库安全审计系统 Web服务器与数据库服务器进行关控同时天玥的数据中心可以同时主要具备以下特性联准确地锁定SQL语句所对应的管理在线引擎和旁路引擎从而对审 HTTP访问提供了绝佳的安全事计日志进行统一的收集和分析高性能硬件平台多核技术件深度发掘与准确追踪能力对于数据库安全审计与防护的应用用户需求逐渐从合规性要求的的应用大大提升了硬件平台的性依赖于采购到如今自主需求的主动采购滕大容量的存储空间以及日志数据文静表示如今数据库安全产品行业化支持多缓冲和批量入库等技术保证了每特征十分明显虽然电/金融/政达12类数据库类型通过对不同秒30000条以上的日志入库速度府用户一直是采购的主力用户但其数据库的SQL语义分析提取相关并且提供TB级海量日志中的精确他例如能源/医疗/烟草等行业的应的要素用户 SQL操作等等检索能力用也在直线上升随着行业用户需求能具备支持万兆网络环境能力 2 高协议解析精确度 4 海量事件处理能力的上升未来数据库安全与防护市场实现对操作类型和对象等息的精确审计 5 多级分布式管理天玥采用多层次网络管理架构总部能够对二级独创的前公司的审计系统进行统一管理上级后台三层关联技术将浏览器可以对下级的运行状态进行统一监 3 准确追踪溯源必将持续增长文章来源电脑商情在线 1 55

56 安全视点息安全的大年和小年文/边歆 RSA 摘要对于RSA 2013大息安全大会主线清晰的主题是伟大的密和往年一样今年的RSA大码胜于利剑今年大会的主题会也提炼出了十大关键词这十大是安全源于知识 Security in 关键词包括数据安全企业安全 Knowledge 对于后者启管理合规应用安全云计算等明辰产品管理中心总工沈颖赞赏等但纵观整个会议最火的一个有加认为该主题很好地诠释了当词莫过于APT 不论是演讲话题还前息安全产业的发展态势是现场展示关于APT的话题是最会的主题 S e c u r i t y i n 沈颖表示安全威胁的发展 Knowledge 启明辰产品管变化对息安全厂商提出了更高的理中心总工沈颖非常认同他 RSA公司总裁亚瑟科维洛在要求现在我们需要让人脑中的认为该主题很好地诠释了当前去年大会上的一句话令人印象深知识在息安全领域发挥更大的价息安全产业的发展态势刻他说现在看来黑客赢了值把知识产品化工具化算法因为APT攻击在用户的网络中造成化把人的知识整合到安全产品了破坏而安全界在当时缺乏有中赋予安全产品更多的智能就效的应对手段 APT不但伤害了能更加有效地分析安全问题应对用户也刺痛了整个安全业界云计算大数据环境下的安全挑沈颖认为 2012年业界认识到战启明辰在今年大会上所展出了APT攻击的严重性而在2013 的APT检测无线安全数据安全年息安全厂商拿出了更好的表等产品就体现了赋予产品更多现大家讨论的重点已经放在APT 智能用创新的知识解决安全问攻击检测技术解决方案上也就题这一思路是说 2012年RSA大会谈的是挑多的

57 战 2013年的大会则更偏重于实对每年大会的感受和看法沈颖提术凭借对产业技术发展趋势的准战出了一个有意思的说法他认为确把握启明辰的技术战略方向今年有超过百分七八十 RSA大会有点像种庄稼也是有和整个安全界的技术发展节奏已经的参会厂商都在谈APT检测大家大年小年分去年是对安全界比较合拍对此沈颖有明显的感的思路都是把更多的知识和安全架不利的一年会议的主题也分散一受 2012年到启明辰展台来构进行结合从而更有效迅速地些而今年的会议比较有新意而就成熟产品洽谈商务合作的人很发现APT攻击这和整个大会的主且主题比较具像让沈颖感觉不虚多而2013年很多人来了解题 Security in Knowledge不此行用户也有这样的感觉在会探讨启明辰的创新技术这里传谋而合上一个美国息安全官员对沈颖达出的息是启明辰在跟着业今年启明辰的参会主题是表示他看到去年有很多美国的用界的潮流共同前进并且可以把概新挑战新安全展示了用于户感觉有点忐忑不安不清楚该如念化的想法知识落地越来越多发现APT攻击的检测引擎并且就何应对APT的挑战而今年出现了的人看到了启明辰拥有的独到技 APT检测与很多业内同行进行了深各种解决方案用户可以结合自己术并且越来越认可启明辰的技入的交流沈颖表示启明辰一的需求去考察这些方案并且进行术实力启明辰正在国际息安直在研究APT攻击今后将加大这部署对于本次大会沈颖表示让全的舞台上持续扩大中国息安方面的投入自己很有感觉因此他给出了9分全产业第一品牌的影响力一个好年景的高分每年去参加RSA大会前沈颖已经连续参加过多届启明辰都有明确的目标今年的 RSA会议因此记者请他谈一谈目标就是展示启明辰最前沿的技 57

58 实践

59 摘要在金融机构内部建立自身的应用系统安全测试体系可有效提升安全防范能力减少因应用系统安全问题带来的隐患金融机构如何建立内部应用系统安全测试体系文/李转琴随着金融机构对计算机网络和同年花旗银行证实受到黑客袭击计或配置不当缺乏敏感息保护软件系统的依赖程度逐渐增加以约有1%的用卡用户受到了影功能导致可能发生源代码泄露及电子金融产品的不断推出新响客户的姓名账号联系方式目录遍历等后果攻击者利用泄露息技术在给业务带来巨大方便高等息均被黑客获取的息可以更容易的实施入侵效的同时也带来了潜在的巨大风全问题主要归纳为以下六类 4 权限提升应用系统的权限管理功能不足导致攻击者可能绕评体系起步晚发展也尚未成熟应用系统的身份过权限限制进行未经授权或超越性所以目前在金融行业还没有一认证措施不足导致攻击者可能冒授权的操作使得攻击者获取系统套体系化的测试方法这使得金融用他人的系统身份操作账号从而权限或访问系统中的重要数据行业应用系统的安全风险防范工作利用他人的权限获取相关息资略显不足因此在金融机构内部建料并进行资金盗取等操作加金融应用系统有其自身的特殊 1 身份欺骗应用系统安全问题带来的隐患应用系统安全问题亟待解决 2011年某银行5万客户遭遇应用系统安全保应用系统的数据能力可能受到应用资源消耗等保护措施不足导致金额密码 DDoS攻击或由于任务调度死锁联系方式等数据息可能被攻击者等原因导致系统宕机或运行缓慢恶意篡改从而造成账户资金被盗无法继续对外提供服务 2 篡改数据等后果 6 网银升级骗局造成客户资金巨大损失给银行声誉带来重大影响拒绝服务护能力不足缺乏持续稳定运行的立自身的应用系统安全测试体系可有效提升安全防范能力减少因 5 3 息泄露应用系统开发设行为否认应用系统对用户操作行为缺乏可的监查机制导险由于我国的商业化应用系统测无论是哪类事件应用系统安 59

60 安全实践致无法提供有效证据以证明该用 SQL注入跨站脚本息泄露越仅是头痛医头脚痛医脚未户是否进行了某一操作权操作等安全问题包括众多大型解决根本问题启明辰分析存在行业监管机构曾对应用系统银行同时过程中也发现不按编码上述问题的根源如下安全提出了具体要求如银监会规范执行和代码安全检查不足的问 2009年下发的19号文息科技题这些都是开发环节控制不足的风险管理银监会2011年62号体现构在开发时优先关注功能只能牺文及人行121号文网上银行应用牲一定的安全的安全通用规范等此外我国众应用系统安全测试工作范围局限大多机构制银行及部分重要保险公司均在多机构仅仅是在安全部门进行整个中相关的安全规范由开发人员自年前就开始了对应用系统的安全测测试方法与理念未贯穿于系统开发行制订颁布执行检查安全试工作从最初的对互联网应用系全过程需求和设计过程仍未涉及测试未成为应用系统能否上线的关统进行渗透测试到对安全控件的黑较体系化的安全措施和控制点键环节盒测试再到后来对应用系统代码的白盒测试等这些都充分说明了应外包开发和外购模块的风险控制不足用系统的安全问题的严竣性和其重多数机构外购的产品缺乏可要性赖的第三方评估机构另外第三方开发商不可能遵循金融机构自身解决道的开发规范因此无法控制相关风针对上述问题虽然有些金融辰发现目前总体仍存在如下不足机构采取了一些相应的措施应对如对网页敏感息加固对新版本需求方面安全考虑不足进行安全测试系统等保测评或外的安全考虑不充分如在需求阶段对安全需求描述不够完整对安全风险场景设计较为简单对安全边界的统一规划不足需求阶段对应用系统敏感息防泄露考虑不足 3 分散管理的问题机构各部门分散管理应用系统及其各自的安全未形成统一管理因此要根本解决上述出现的问题必须将目前分散的测试工作整合成一个整体并建立起一个险做的大量的应用系统测试工作启明供咨询服务过程中发现需求方面制约机制不足所有机应用系统安全测试目前在大多启明辰在为多数金融机构提 60 2 效率和安全性矛盾多金融机构如国有四大行股份通过仔细分析众多金融机构所 1 购模块安全测试等但这些措施都内部应用系统安全测试体系这样就能将安全测评整合于整个开发和操作流程中过程完全掌握也能够更好的把控开发质量同时也能够使更多的部门融入到测评工作来各业务部门对自身业务系统更加熟悉能从不同角度为安全测评提供更全面的支持借鉴国内外优秀经验目前国内及西方大多数发达国家在国家层面的第三方测评机开发环节安全控制不足构方面都建立了比较完善的应用启明辰在为各金融机构进系统安全测试体系我国金融机行白盒测试渗透测试及安全测试构在内部建设自身的应用系统安的过程中发现应用系统安全存在全测试可以借鉴其组织架构的做

61 过CC 此外很多电金融的招行系统息安全通用规范 121号无论国际还是国内目前标要求里面也提及了CC认证的要文银监会下发的网上银行安在应用系统测试方面主要是以国求此标准目前已是针对应用系全风险管理指引和国家测评中心际通用评估准则 CC 为主统及产品安全测试的应用最广的发布的 GBT 息此标准是在多个国家的测评标准标准 2011年国内已等同采用为安全技术网上银行系统息安全基础上由六国七方统一提出 GB/T18336 当然除此标准外保障评估准则的全球35个国家互认的针对产在应用系统中涉及密码模块和密码除了参考的优秀标准外从品及应用系统的息安全测评标算法还会参考FIPS 140标准或国内外政府测评机构中还可以借鉴准在1999年已成为了国际标者涉及具体某一类应用系统时也会其组织架构模式无论是国外还是准ISO15408 且美国欧洲很多参考相关的系统标准如国内针对国内测评体系都应实现三权分政府机构采购里面都要求必须通网银系统安全有人行下发的网上银立国内的测评体系如下图所示法和参考的标准国务院中国国家认证可监督管理委员会 CNCA 中国合格评定国家认可委员会 CNAS 认可中国息安全认证中心 ISCCCC) 授权依据ISO17025 测评实验室从上图中可以看出认证机构与测评实验室即测评机构均需获CNAS的认证认可同时测评实验室还需要得到认证中心的授权测评实验室完成对某一系统的测评后认证中心负责颁发相关认证证书中国息安全测评认证体系组织层次 61

62 安全实践建立机构内部的应用系统测试体系道借鉴体系化的标准和组织架任何一项工作没有良好的组织理的原因直接纳入都会比较困构金融机构便可建立应用系统保障就不能顺利开展因为建立组难因此通常情况下虚实结合更容测试体系主要从以下几方面建织体系是第一要事组织体系要将易落实如下图所示当然有了组设相关部门及相关岗位人员都纳入织必须配备如下图所示的相关技术这样才能将相关工作都深入到各自工程师建立内部测试组织体系的岗位中但大多机构由于行政管测试领导小组协调小组业务部门开发中心测试中心系统需求人员系统开发工程师系统测试工程师安全测试实验室脆弱性测试工程师测试组织体系架构 62 明确内部应用系统安全测试的流程内容有了明确的组织人员后就主要分四个大部分即准备测要制定具体的应用系统安全测试试阶段预测试阶段执行测试的流程内容通常一个较完善的阶段结束测评阶段详细流程基于CC的应用系统测试体系流程及内容图如下所示源码测试工程师文档测试工程师

63 帮助开发人员更深入的理解标准及测评过程分析系统在预测级别成功通过评估的可能性编写ST 正式测评的准备包括资源投入等准备测评阶段预测评阶段文档收集开发人员培训文档初步审阅解决上段识别的缺陷识别差距与问题简要报告准备 S T 结束测评经验积累执行测评阶段辅助开发缺失文档讨论确定级别检查与确定级别的符合性按计划执行任务建立测评计划证据 S 安收 T 全集评架与估构评生估成功能描述评估 T E O 设计评估输出ST 测评计划确定的级别各项子报告资源投入测评总报告结束测评阶段测试评估脆弱性评估生命周期评估提交成果问题验证验证报告验收报告应用系统测评体系整体流程图建设过程中要注意的问题本体系建设不仅有很高的技术门槛而且还需有很强的管前功尽弃另外各金融机构可依据自己公司的规模复杂度等具体设计实施计划理措施因此过程中要注意如下问题 1 必须领导重视一个完善的体系建设不仅涉及财力而且涉长远意义及各部门的人力需要领导将应用安全工作提升高度要有推虽然建立该体系前期投入较大也需动贯彻该体系的决心过程中长期关注并保证资源包括人要足够的人员储备但适合金融行业安全力物力财力自主掌控的理念鉴于目前各大金融机构 2 均未建立此测试体系所以一旦有机构建要有统一的组织体系并明确责任分工内部应用系统测评体系建立工作的顺利展开离不开各部门的明确责任分工例如业务部门负责参与编写ST 提出安全策略等立将会有如下长远意义使安全工作从开发源头抓起实现良性循环提高应用系统安全性在企业内部的可见度需要相应的技术环境一个完整体系必须有相应的技术支能够提升整个机构整体应用系统安全撑如白盒测试工具扫描工具等整套支撑该体系的技术和相水平在行业内树立标杆形象,为商业化应产品运作提供条件 4 建立内部应用系统测评体系应循序渐近按计划分步实施目前各大机构都在扩展海外业务此建立内部应用测评体系将会大大改变公司内部的管理及工作模测试体系的建立可为实施全球业务战略奠式所以不能急功近利否则可能会出现很多问题甚至导致定基础 3 63

64 安全实践数据库审计产品从根本化解统方难题文/杨志泉摘要启明辰拥有领先的数据库审计产品并专门推出了适合医疗机构的专用防统方版本和解决方案为保障医疗机构的数据安全提供了全新的手段医院息系统是以医院局域网为依托以医院统方是医院对医生用药息量的统计非的财务管理为中心以病人为数据采集线索覆盖患法的统方行为是形成医药回扣黑链的重要一环者在医院就诊的各个环节的计算机网络系统随着近统方破坏了医院良好的公众形象减低了医院年来国内数字化建设的快速从发展医疗系统日常工的社会满意度是国家和媒体关注的重要社会焦点作对息系统的依赖度越来越高新建的医疗息系问题统方行为既违反了卫生部八项行业纪统体系不断庞大结构越来越复杂管理难度剧增律同时触犯了中华人民共和国刑法第285条第2 因此核心敏感数据的泄密问题也逐渐显露出来统款将构成非法获取计算机息系统数据非法控方行为正是伴随着医院息化发展进程不断发生制计算机息系统罪的行为 64

65 传统设备难解困局当前医院的HIS系统是一个统一的应用平台集中了处方统计分析业务处方查询药剂科以及挂号病历诊疗息管理等核心业务模块这些模块共用同一个数据库用户这种方案存在以下几个问题绕开应用系统直接访问数据库中的统方数据该数据库用户由于未采用有效的保护措施可以通过该用户直接访问数据库从而造成数据库内统方息泄密利用处方查询业务中的合法数据库用户身份在应用中进行间接统方对于药剂科的处方查询处方打印操作本身就需要具备查看处方中的药品医生名称药品数量等关键息的权限针对屡禁不止的统方事件传统的安全设备显现能返回特定处方的息但如果应用系统的开发控出了不足如防火墙 IPS等都是针对于边界或者制不严被人为篡改查询语句或植入按时间范围外部的防护防护的方向一般只对外而不对内可实按医生及药品名称进行批量查询的报表则能够迅际情况是外部入侵行为造成的医疗系统数据泄密的速地获取批量处方息间接地完成统方的案例微乎其微大量的泄密事件都是由合法接触医疗息系统的人员造成的同时数据库自身日志审无法进行有效授权由于不同模块公用同计的也显现出了不足目前多数医疗应用系统采用客一数据库用户访问数据无法有效的限定数据库用户端访问应用服务器应用服务器再访问数据库的服户的访问能力特别是处方统计分析业务和处方查务结构即便开启数据库自身日志审计功能也无法具询的区别管理体定位到执行操作的用户同时开启数据库自身审计后严重影响应用系统性能会降低10%左右的应用数据库维护人员也同样存在泄密风险性能影响了正常业务另外数据库自身审计存在 DBA及系统维护人员的权限过高可以访问所有处严重不足数据库自身审计采用明文存储授权用户方数据 SYS等超级用户 DBA用户以及维护人可以随意修改和删除无法保留证据再者在事件员的数据库用户具备了访问所有数据的权限从发生后依靠数据库自身审计日志检索费时费力而使毫无业务需要的DBA及维护人员能够访问所有查询和分析极为困难对维护和管理人员的专业知识处方数据具备统方的最佳途径水平要求非常高难以帮助管理员发现和定位问题合法的业务操作是基于处方编号进行精确查询仅 65

66 安全实践存在数据库中任何形式的统方操作都是对数专业数据库审计产品治本启明辰拥有领先的数据库审计产品并专门据库的访问启明辰防统方产品根据这一特推出了适合医疗机构防统方的解决方案为保点进行开发从数据库层面对系统进行保护实现障医疗机构的数据安全提供了全新的手段从根源上的保护在医疗息系统中全部的敏感数据最终都保门诊大楼住院大楼检验中心影像中心行政大楼 WEB HIS LIS PACS OA EMR 防统方系统 66 DB DB DB 简易部署轻松防统方

67 启明辰防统方系统采用旁路方式接入用抗压能力平均处理能力以及大数量级下的查询能户网络中通过监测及采集医疗息系统对数据库力具有卓越的性能为大中型医院海量数据处理压发生的安全事件用户登录行为用户操作行为力处理提供了有力保障以及所有对数据库的使用情况等各类息经过规独有的统方事件翻译启明辰防统范化过滤还原归并分析和告警等处理后方系统提供一个语句翻译功能此功能可自动将以统一格式的日志形式进行集中存储和管理结合原始的SQL语句转换成用户一目了然的中文业务操丰富的日志汇总分析统计等关联分析功能实作事件不仅方便数据库管理员也方便非专业人现对数据库系统状况的全面记录和分析员使用系统可实现全面监测数据库超级账户一般账户临时账户等各用户对数据库的所有访问让管理者全面了解全院对数据库的访问情况防统方系统管理中心灵活部署集中管理防统方系统管理中心可对用户网络框架中的多个防统方引擎进行管理管理人员全面了解各个节点中数据库的使用状态丰富的报表功能系统提供多种统计报通过预先设置的告警规则实时监测对数表可根据用户需要完成各种情况的统计和分析据库的异常操作和行为发现统方操作及时告多维度多视角地实现对流量操作用户登录警防范统方事件的发生报警等的统计排名和分析并提供表格柱状详细记录对数据库的所有操作息并分图饼状图折线图等多种展示方式支持多种格类整理归档在安全事件发生时为事故的责任式的导出和打印方式如html PDF doc等方追查故障定位提供有力的技术保障便用户保存和查看启明辰数据库审计产品防统方版本的特点包数据库状态监控启明辰防统方系统提供数据库流量实时监控功能可随时了解数据括不影响业务系统的可用性系统采用旁路库的运行状况方式接入用户网络中通过交换机镜像端口采集数启明辰防统方解决方案真正解决了医疗据不需要改变现有的网络体系结构不占用数据系统普遍面临的严峻问题一经推出便获得了医疗库服务器的资源不影响数据库性能行业用户的高度认可目前已在数十家三甲级医院卓越的存储查询性能自主设计的日志实际使用存储和查询数据库管理系统在峰值处理能力高峰 67

68 安全实践产品方案化方案业务化论息系统安全四化建设业务透明化文/张晔摘要本文通过总结息系统安全建设的经验提出了息系统安全四化建服务产品化设的理念与方法论即产品方案化方案业务化业务透明化服务产品化国内息化建设起步于上世统安全四化建设的理念与方对息系统安全体系框架有一个纪90年代经过多年的发展各法论即产品方案化方案业务清晰的认识知道进行息系统组织单位息化建设取得了突破化业务透明化服务产品化安全防护需要建设怎样的安全体性进展息系统顺利完成由局部应用到全面覆盖由辅助管理系架构而目前现状已经满足哪产品方案化些要求还有哪些没有满足从到支撑生产经营由分布处理到产品方案化着重强调某个安而明确该产品在安全体系架构中数据集中的转变开始步入成熟全产品在整个息系统安全整体的作用以及该产品的重要性和阶段解决方案中的角色以及所解决紧迫性如何在息化建设的过程中同的具体问题对于息系统安全体系架产品方案化以方案提供者的构在等级保护制度没有执行息系统安全建设一般经过分散角度提出让用户明确安全产品不前一般按照IATF标准通过安全建设阶段系统化建设阶段一是解决所有的安全问题而是满足域的划分来构建息系统安全体体化建设阶段在不同的阶段整体解决方案某一个点的问题如系架构以及等级保护制度的执采取不同的安全技术与解决方防火墙主要解决内外网安全隔离行使国内政府企事业单位进案但无论在哪一个阶段息或安全域的划分与隔离网络审计行息系统安全建设有所依据时也进行了息系统安全建设系统安全理念都不会发生根本性主要对网络行为进行记录与追踪等级保护从计算安全环境边界的变化本文通过总结息系统解决内网合规问题安全通安全安全管理中心 68 安全建设的经验提出了息系产品方案化的前提是让用户四个方面阐述了如何构建安全体

69 边界完整性保护制控问访界计边审全安图示定鉴份身安全管理域访问滤控制过议协界边安全计算环境网络与通安全完整/保密性物理边环境界安全审计业务系统-Ⅰ 边界安全整认完证密审保计保计审证认密完整业务应用系统护保保性性整完界边业务系统-Ⅱ 审计物理全安界计审安界边滤过议全完整/保密性协滤过议协界边界边完整/保密性环境环境物理控制控制访问访问认证审计保密完整边整完界制计计身业务系统-Ⅱ 控份审制审鉴全控安问定问访访全边界界安定鉴份身边边护安全管理中心息系统安全等级保护体系架构性和安全性是进行息系统安全失息系统安全解决方案一定护架构图可以非常清晰每个产品建设的最终目标同时以业务系是以业务系统为中心从业务系统在等级保护整体解决方案中的角色统安全为目标可以使解决方案的的安全防护业务系统的可用性监与作用从而很容易提供产品方案工作目标更明确具体安全措施的控业务系统的行为审计业务系化的解决方案粒度更细统的运维安全业务系统的安全事方案业务化通过多年的息化建设业务件以及业务系统的流量监控等多系统已经成为组织单位中职能部门维度来解决业务系统的安全问题息系统安全是一个比较宏观工作的平台业务系统产生可用性的概念息系统安全的目的是业事件或安全事件直接关系到组织务系统安全保障业务系统的可用单位的日常工作甚至造成经济损系架构通过息系统安全等级保 69

70 安全实践因此以安全解决方案业务标明确而且可以准确的判断业务务系统安全防护是否到位从而验化的角度去解决安全问题不仅目系统是否是一个独立的安全域业证安全解决方案是否落地业务系统流量监控业务系统行为监控业务系统可用性监控业务系统安全防护业务透明化息系统安全保障体系作为理安全服务三大方面组成其中业务系统安全稳定运行的基础服安全服务包括息系统安全咨询服务于业务系统但对业务系统的应务评估服务应急服务加固服用需要透明以不影响业务系统用务安全运维服务等户使用习惯和业务系统的运行效率为原则 70 安全服务需要产品化才能够形成标准保证质量安全服务息系统安全建设如果做不的产品化集中体现在安全服务文档到业务透明化在安全建设的过程标准化项目组织标准化服务流能够体现安全服务的专业性而且中一定会遇到重重阻力难以为程标准化能够提高安全服务的效率降低安全服务的风险继即使由于某种原因进行了不透安全服务文档不仅需要标准明的安全建设后期也会导致弃化而且根据客户的不同要进行行在息系统安全解决方案中用同时业务不透明的安全建业化同时要及时更新项目组织以安全四化建设为理念不仅设很容易因为息系统安全建设标准化体现在安全服务的过程中可以使安全解决方案目标明确建而导致业务系统的不安全让专业的人做专业的事情避免由立符合用户使用习惯和企业文化于人员的不专业而导致安全服务风可落地的安全保障体系而且可以险加大服务流程标准化体现在安使安全技术和安全服务有机的融合一个完整的息系统安全保全服务要有计划有步骤的进行为一体从而高效的为息系统安障体系由安全产品技术安全管总安全服务产品化不仅服务产品化全稳定运行提供保障能力

71 数据库全方位防护专访启明辰滕文静文/王宪阁么近期国内发生的另外一起恶性案 3 数据库平台漏洞类安全威胁主个人用户帐户丢失企业机密件就已经造成了巨额财产的损要来在于数据库系统自身潜在的漏息财产被盗等数据泄露事件频失国内某IM互联网公司内部洞发让业界目光再次聚焦到核心的二技术员工非法盗取靓号牟利达 4 数据库安全上面日前中关村在 40万被判入狱两年线等媒体就此问题采访了启明辰审计产品经理滕文静女士共同探讨了数据库安全审计和安全防护等问题根据多年的行业经验滕文静对目前数据库所面临的威胁作了归纳总结滕文静认为数据库安全威胁从类型上来看主要分为两个方面二数据库篡改问题为各个数据库所使用的通协议都包括内部人员越权对数据进行篡改以期获取利益以及外部人员的恶意预谋攻击对于数据库篡改这种事件也不少见尤其内部员工发生离职类似事件时员工或出于个人情绪或出于利益篡改公司数据库近日就有一起该类案件发生一数据库泄漏问题包括个人经过追查当事人被处赔偿损失外部人员恶意攻击篡改数据用户息的泄漏企业机密财务息的泄漏早先国内CSDN等大批网站被拖库大量个人用户息被库的事情就更多了比如不久前发生的学生侵入数据库修改成绩都属于此类暴露在互联网上给用户造成了损滕文静还深入从技术角度失也给相关企业誉带来了不利分析认为数据库安全威胁主要分为影响类似事件国外也不乏案例以下7大类许多互联网服务商甚至安全公司 1 权限类安全威胁主要包括权的息库都被黑客攻陷造成了大限滥用权限提升以及因为数据范围的用户恐慌而相关企业所能库自身身份验证不足所导致的越权做的只是紧急重置用户密码访问如果这些仅是用户帐户丢失还不能直接造成经济损失那 2 通协议漏洞类安全威胁是因拒绝服务类安全威胁主要是数据库有时会遭受的拒绝服务攻击不一样每个通协议都可能或多或少的存在某些安全漏洞 5 SQL注入类安全威胁是针对数据库最常见的一类攻击这类攻击危害非常大可能会导致数据的泄漏甚至是篡改 6 审计记录不足一般是因为对数据库的各种访问没有进行有效及时的记录进而导致发生数据库安全事故后却无法追踪溯源 7 备份数据暴露更多来自于管理上的风险比如备份数据没有安全存放或者没有加密等等这些都会导致数据的泄漏数据库全方位分析了数据库安全威胁的主要分类滕文静还对数据库威胁来源进行了多层次的剖析她认为数据库威胁主要来自以下四大方面一来自终端的威胁各类PC终端移动终端对数据库的访问都会给数据库带来潜在威胁数据库安全威胁分析 71

72 安全实践一来自网络的威胁数据库毕国际厂商并购凶猛竟是一个对外提供服务的平台数 2008年7月 SIEM厂家NirtoSecurity收购数据库审计厂商RippleTech 据的存储也是在网络里面进行的 2009年2月数据仓库厂商Netezza以300万美元收购数据库审计厂商Tizor 这些来自网络的威胁会给数据库带 2009年12月 IBM以2.25亿美元收购Guardium 来安全风险 2010年9月 IBM公司出资17亿美元来收购Netezza 一来自网络的威胁数据库的核心价值在于对数据的存储而数 2010年5月 Oracle收购数据库防火墙厂商Secerno 2011年3月 Intel旗下Macfee收购sentrigo 据70%以上的作用是为应用服务所以来自应用的威胁占数据库威胁国内厂商百花齐放很大比例已有40余家数据库安全厂商一来自网络的威胁如果你的操作系统不够安全存在安全漏洞的话那么外围的某些操作人员 7% 3.8 % 8.4 % 2.8% 了一系列的变动对此滕文静从 4. % 近年来数据库安全威胁日趋严峻早已引起业内厂商的关注并引发 % 8.0 数据库安全并非一个新概念 % 库进行高危操作 6.9% 就可以利用操作系统漏洞对数据国际和国内两个大环境为我们展示 2012 了数据库安全行业的现状已经近年趋势 9.5% 中国数据库安全审计与防护市场份额 42.9% 72 启明辰 IBM Imperva McAfee Oracle Fortinet 安恒国都兴业比蒙其他

73 国内数据库安全审计与防护市做具体细粒度的分析及检索追溯场的参与者主要也是国际和国内命令级的访问控制使其对数据库这两大类无论是从国际形势还是的控制更加细致而不会影响到对从国内形势来看数据库安全行业网络的正常访问竞争都非常激烈据滕文静透露根据Frost & Sullivan调研显示 2012年启明辰占据了中国国内数据库安全市场9.5%的市场份额居榜首位置对此滕文静表示主要因为国内外厂商在数据库防护技术方面差距已经不大所以在面对强势的国外安全势力时启明辰依然能够立于不败地另一方面相对于国内同行来说启明辰起步相对较早启明辰从2003年研制审计产品 2005年开始关注数据库审计并逐渐形成了以天玥网络安全审计系统为代表的数据库安全审计与防护解决方案滕文静将数据库安全深入浅出的概括为三个阶段事前事在当前这个大数据时代对数据库扫描对数据库进行漏洞检海量数据的高性能处理能力十分查事中即设置数据库防火重要一旦数据处理能力不足墙对数据库的各种访问进行实时就会影响到数据库审计日志的记细粒度访问控制事后即建立录启明辰通过搭建X86多核数据库审计机制做到追责明确处理底层平台高性能的协议解启明辰数据库安全解决方案提析技术审计日志高速入库高供事前事中和事后的全方位安全速检索技术实现了对海量数据防护解决方案的高性能处理为了满足用户需此外启明辰的数据库安全求启明辰的数据库安全防护防护解决方案还具有很明显的技术解决方案还支持大规模的多级分优势比如其数据库语义解析能布式管理够精确到语义级别对数据库操作文章来源中关村在线中和事后事前即通过 73

74 研究 74

75 VenusTech 2013年03-05月TOP 10安全漏洞根据安全漏洞的受影响范围严重程度是否可稳定利用及是否已经提供补丁等因素进行综合评定 VenusTech研究部发布如下2013年03-05月安全漏洞TOP 10 仅供参考 1-Apache Struts2 includeparams属性远程命 2-Microsoft Internet Explorer 令执行漏洞(CVE ) CVE 释放后使用漏洞危害危害远程攻击者可以通过提交特制的Ongl表达式修改服务器端对象远程执行任意命令怎样免受影响允许远程攻击者利用漏洞构建恶意WEB 页诱使用户解析可以应用程序上下文执行任意代码怎样免受影响 Apache Struts 已经修复此漏洞建议用户下载更新 struts.apache.org/2.x/ 可通过下载并安装最新的程序版本修正此漏洞 security/bulletin/ms ANginx 'ngx_http_parse.c'栈缓冲区溢出漏 4-Microsoft Windows NT/2K/XP/2K3/ 洞(CVE ) VISTA/2K8/7/8 'Win32k.sys' 本地权限提升漏洞危害 Nginx 'ngx_http_parse.c'在处理特殊的请求时利用win32k!EPATHOBJ::pprFlattenRec 存在一个基于栈的缓冲区溢出允许远程攻击者中的一个缺陷允许本地攻击者利用漏洞提升权利用漏洞以应用程序上下文执行任意代码限并控制系统提供怎样免受影响 Nginx 1.5.0, 1.4.1版本已经修复此漏洞建议用户下载更新怎样免受影响目前没有解决方案提供危害 75

76 安全研究 5-Linux Kernel CVE perf_ 6-TP-LINK TL-WDR4300远程任意 swevent_init本地权限提升漏洞 shell命令执行漏洞危害多个Linux内核版本包括Android版本存在危害允许远程攻击者利用漏洞提交此漏洞允许本地攻击者利用该漏洞提升权限 /userrpmnatdebugrpm /start_ 获得root权限 art.html脚本请求及恶意文件在系统执行任意怎样免受影响 shell命令控制设备可通过下载并安装Linux提供的安全补丁来怎样免受影响修正此漏洞可联系厂商获得相应安全补丁来修正此漏洞 git/torvalds/linux-2.6.git;a=commit;h=8176 download_software_1_0.html cced706b5e5d e94e02f 关闭WAN管理接口或者设置任列表只允许可 IP进行访问管理 7-Adobe Flash Player和AIR远程整数溢出漏 8-Microsoft Internet Explorer OnResize 释洞(CVE ) 放后使用远程代码执行漏洞(CVE ) 危害危害允许攻击者构建恶意SWF文件嵌入到WEB页允许远程攻击者利用漏洞构建恶意WEB页诱使或Excel中诱使用户解析可以应用程序用户解析可以应用程序上下文执行任意代码上下文执行任意代码漏洞影响IE 怎样免受影响怎样免受影响 76 可通过下载并安装厂商提供的最新版本来修正此可通过下载并安装厂商的安全补丁来修正此漏漏洞洞 security/bulletins/apsb13-11.html 不轻易打开不可用户的邮件或文件 security/bulletin/ms13-021

77 9-Oracle Java JDK / JRE四月修复多个安全漏洞危害 10-Discuz X的后台执行任意代码的安全漏洞危害 Java JDK和JRE中的多个子件中存在的多个安全 Discuz X存在一个任意代码执行漏洞允许漏洞允许远程攻击者利用漏洞执行任意代码拥有后台权限的用户以WEB权限执行任意PHP 获取敏感息或提升权限等命令怎样免受影响可通过下载并安装厂商提供的最新版本来修正此漏洞怎样免受影响修改\source\function\function_core.php 文件文件添加过滤 topics/security/javacpuapr html 直接卸载Java应用 ADLab 启明辰积极防御实验室 1999年成立是国内第一家专门跟踪攻击技术的实验室是启明辰在息安全领域保持强大技术实力和持续创新的重要保证其专注于网络安全基础性研究密切跟进国内国际漏洞机理研究的最新进展探寻各种操作系统与应用软件的安全性特征建立全面专业的漏洞库提升取证验证技术水平模拟审视网络环境为客户提供全面响应服务 77

78 文化 78

79 与爱同行传递正能量与爱同行传递正能量启明辰特派员工亲赴宝兴县地震灾区文/韦娟到位因此公司决定选择宝兴县点02分四川省雅安地区遭受到了进行资助并委派公司团支部对宝 7级强烈地震人员财产损失惨兴县学校的受灾情况进行了解重灾区群众的情况牵动着所有中公司团支部通过四川省宝兴县人民国人的心更牵动着启明辰人的政府宝兴县教育局获得了宝兴心党委迅速响应号召公司全体县下属7所中小学校长的联系方党员积极行动起来经过几天的踊式并与每位校长联系了解到每跃捐款共筹集到36万元其中启所学校详细的受灾情况以及援助需明辰和网御云公司领导党员求公司党委基金会针对这7所及其他员工捐款6万元北京启明学校的情况确定了援助方案并委辰慈善公益基金会捐款30万元派启明辰成都分公司张晓东董由于雅安市宝兴县受灾非常跃邱丽萍网御云公司徐军于严重地震后交通一度中断成了 2013年5月8日将善款送到灾区学一座孤岛外界救援物资一时无法校和孩子们的手中北京时间2013年4月20日08 79

80 与爱同行传递正能量辰文化大渔村小学灵关磨刀村小学 80

81 中坝小学灵关小学大溪小学新兴小学这7所学校分别为一大渔村小学由于大渔村小学建在山上教室全部被损因此捐赠事宜是让校长下山到灵关小学进行办理的二灵关磨刀村小学由于磨刀村小学建在山上教室全部被毁因三中坝小学四新兴小学五灵关小学六大溪小学此捐赠事宜也是请校长下山到灵关小学进行办理的七灵关中学目前已有包括磨刀村小学等一些学校的家长及学生发来短表达对公司以及同事们爱心捐赠的感谢灵关中学 81

82 与爱同行传递正能量辰文化序号年四川省宝兴县地震援助方案资助合计单位 : 万元 1 学生和教师生活援助 :17 人学校校长灾情确定资助方案玉加文 : 灵关大渔村小学 12 黄正芬 : 灵关磨刀村小学 31 3 中坝小学 4 新兴小学冉明刚 : 胡光能 : 该学校一共 15 名学生,2 名老师, *1000 元 / 人 =1.7 万元 ; 学校和师生家庭房屋以及硬件设施全部损坏, 目前无法复课 2 学校修缮费用 :5 万元 ( 合同 ) 该学校一共 39 名学生,3 名老师, 1 学生和教师生活援助 :42 人学校和师生家庭房屋以及硬件设施 *1000 元 / 人 =4.2 万元全部损坏, 目前学生及其家人全部学校修缮费用 :5 万元 ( 合转移至政府安排的帐篷暂住, 无法同 ) 复课该学校一共 320 名学生, 教室全部 1 学生生活援助 1 万元 ( 合受损, 其中农村学生家庭受损极为同 ); 4 严重 2 学校修缮费用 3 万元 ( 合同 ) 该学校一共 158 名学生, 学校房屋受损, 硬件设施全部受损, 无法复 1 学校修缮费用 3 万元 ( 合课, 有一名重伤学生转移至成都救同 ); 3.1 治学校的桌椅已由儿童基金会捐 2 1 名重伤学生援助 1000 元赠, 复课用品需要 : 电脑 5 灵关小学曹立平 : 1 5 名重伤学生援助 5000 元教室和教师宿舍全部损毁, 无法复 ( 合同 ); 3.5 课, 有 5 名重伤学生 90 2 学校修缮费用 3 万元 ( 合同 ) 舒乾武 : 该学校一共 191 名学生, 教室全部 6 大溪小学受损, 昨天已经集中学生做了一次学校修缮费用 3.5 万元 ( 合同 ) 心理辅导廖书明 : 校长一直联系不上, 但是宝兴县教 7 灵关中学育局局长亲自告诉我该学校和灵关学校修缮费用 6 万元 ( 合同 ) 6 35 小学受灾严重合计 36 捐款来源说明 : 1 北京启明辰慈善公益基金会 :30 万元, 详见 7 份合同 ; 2 启明辰和网御党员及员工捐款 :6 万元 ( 具体数字更新中, 如有超过作为机动捐款, 根据当地情况再额外发放 ) 6.7 大渔村小学捐助情况受损的学校部分短如下 : 谢谢你们在我们最困难的时候帮助我们资助我们, 你是我们的大恩人, 你们的 1000 元给了我们很大帮助, 我们会永远记住你们的大恩大德, 你们是大好人学生 : 李雯邱女士您好! 我是磨刀村小学黄梓桓的家长, 感谢你们对我们的关怀和支持! 祝大家一生平安邱阿姨您好, 我是磨刀村小学生黄淑婷, 由于这次地震, 你们冒着生命危险, 来到我们磨刀村小学资助我, 让我更加努力学习, 我衷心的谢谢你们谢谢你们对我们磨刀村小学的帮助, 我代表磨刀村小学学生家长真心谢谢您, 祝你们平平安安万事如意生意红火我是黄聪家磨刀村小学捐助情况 82

83 在路上我的爱心行在路上我的爱心行文/邱丽萍书包及本子赠送给了灵关镇大渔村小学 15个书包 50个作业本与灵关镇磨刀村小学 50个作业本随后我们又与中坝小学的冉校长取得了联系此时已经是下午两点到他们学校时学生已经放学在得知我们还要去大溪小学及新兴小学后冉校长就主动帮忙联系两所学校的校长据冉校长介绍这两所学校的季受地震影响路况路很不好走大溪小学在河对面从很差危险性极大所以去往四川学校出来都要走铁索桥由于受损严雅安芦山宝兴县的道路还是受到了重他们的校舍也不能正常使用学部分交通管制生目前还没有复课 5月8号早7点张总当起了司办理完所有捐赠手续已经是当机载着我们往雅安方向前进到天下午五点为了赶在下午六点的达雅安经芦山县辗转再到宝兴县交通放行时间前离开宝兴县我们灵关镇已经接近中午11点一刻没有停留这时灵关镇已开始第一站是灵关中学找到廖下雨大家冒着雨车行驶在崎岖校长办完相关手续后我们前往了第的山间直到晚上七点钟所有人才二站灵关小学由于灵关镇大平安返回成都成都分公司总经理张晓东渔村小学与灵关镇磨刀村小学都建据5月9日人民日报官方微博在山上地震中学校全部损毁道消息 5月8日芦山震区由于大雨路也不好走在灵关小学曹校长的塌方芦山至宝兴道路再次被阻建议下将这两所学校的校长及财看到这一消息我才有点后怕回到表达他们对公司好心人的谢意听务人员都请到了灵关小学在灵关成都后灵关磨刀村小学的几位学生到看到这些朴实的话语我的心小学将捐赠手续办理妥当同时将及家长陆续给我打电话或发短暖暖的一切付出都是值得的沿途危险的路况 5-8 月都是四川雅安的雨 83

84 辰文化行是知始实践出真知纪2013年Q2公司产品工程实施规范及技术交流大会文/向爱华 84 月的北京刚刚萌生一些春意尚有安全工程部前线技术中心工程监高了工程实施技术人员的安装调些料峭的春风里万事万物酝酿着勃理部辰本部云本部泰合试排错技能并通过考试实验勃生机启明辰迎来了2013年本部精心策划了具有丰富产品实施的方式考察了技术人员的培训效第二季度产品工程实施规范及技术经验的讲师课程上机实操案例果一线实施技术人员与公司研交流大会分享等各层面多层次的交流活动发测试人员实施经验的分享交流建立起相互间很好的交流渠行是知始知是行成公公司总部的五位讲师将司的产品层次丰富型号多样要 USG防火墙 P系列 TSOC 在工程中良好地融会贯通灵活应 V30200 天玥产品的使用纸上得来终觉浅绝知此事用实属不易仅仅具有理论知识维护经验以及在工程中应用的案要躬行只有我们不断地去尝试实掌握原理规则在面对复杂多变的例通过讲解的方式分享给大家践才能透彻地认识一个事物和明工程实际时往往是一筹莫展面分子公司的五位讲师把自己在项目白一个道理正所谓实践出真知对不同的客户环境往往手足无措实施中的案例经验及心得体会也进只有当自己亲自去实践过才会发现不经过较长时间的锻炼积累是不可行了详细的分享和讨论公司华其中的奥妙安全项目产品实施是能熟练漂亮地完成一个项目的东山东福兰区西北东北实如此做安全产品是如此做安全为提高公司各销售平台一线施技术人员共40人左右参加了大产业更是如此我们在实践中运骨干工程技术人员产品实施技能会大家专心致志地学习兴致勃用又在实践中总结充分交流分享交流实施经验促进实施规范勃地交流通过公司产品原理与实积极思考才能留下踏踏实实的一化人力资源部联合前线技术中心施应用案例相结合的讲解方式提个又一个足迹道促进了实施规范化

85 Venus 我来啦 Echo 楔子静修室这是我第一次去静修在职场江湖晃荡了一个纪室里面没有人我安静地坐下来 2013年初我有幸遇见了启明环顾四周有几副字画很素雅几处辰掰着指头算算我在这儿工作可见的上善若水让我倍感温馨刚2个月然而从第一天入职起呆呆地看了会后我轻轻闭上眼什启明辰对于我却有着莫名的亲么都不想试着放空自己当我再切常常不经意间我就被这儿的次睁开双眼我惊奇的发现浮躁不见一个人一句话一件事一个眼了我沉静了下来神所感染很快我再次回到座位上迅速进入到工作状态电脑中的文字和数字又再次变得可爱起来我高记得入职第一天我刚办理效地完成了当日给自己定的工作任了我们下一步走得更好我由衷完毕新员工入职手续领导就交给务自此我养成了一个习惯如的喜欢我一个培训项目入职第二天我果中午吃完饭我还有点时间我就又接手了一个人才培养项目两个会去静修室看半个小时书或闭上友善是一种习惯项目从项目需求沟通及分析项目眼睛想一想心事作为一个新员工最初的过渡方案策划项目内容细节的落实工作十二载我经历过的公司期总是很忐忑的各个部门人也不项目各阶段的执行流程等我都需要不少但在启明辰有些事儿让熟事也不熟在陌生的环境中每一一抓紧做出来我印象深刻例如静修室的设每遇见一个友善的眼神总是格外由此入职的前两周我异常忙立通知邮件中写的很明确设立记得牢碌每天不停地写方案沟通改目的是让员工可以自我安排一个在启明辰我惊奇地发现方案再沟通有一天我修改不受任何打扰的自习自修时间这种善意似乎是融入在空气中完其中一个方案又把另一个项目规则也讲的很清楚自修自让我处处感觉的到无论是基建的需求问卷收集完毕进行数据录理止语静音勿扰自净的辜工还是行政部的郄入和汇总并根据汇总结果进行需要求既不影响正常工作又能放空帅哥抑或是财务部的仇妹求分析这样一直忙到了下午三点自己这样的制度不得不说是一种妹每次和他们打交道都让我如钟面对电脑中的那一堆数据我人文关怀让员工在工作紧张繁忙沐春风尤其要说一说的是财务部的头嗡嗡响心中一片浮躁余能有空间停下来喘口气看门因为项目关系和财务部门前再也没心思做分析了看自己后打过多次交道接触过五个财务于是我起身去了地下一层的我想这种短暂的停留是为走静修去部的同事每个同事都如出一辙地 85

86 辰文化认真负责高效友善这改变了我职场多年来对财务人习惯我们在讨论问题时哪怕吵翻业文化不是讲出来的而是做出来了天也总能化干戈为玉帛的进一步说企业文化的塑造过程就是企业意识和行为不断辩证统员的印象到哪儿都要多拜两下的财神爷 86 后记一的过程渐渐的新员工的拘谨在我何为企业文化在我理解看回头再想想为什么我来启明身上很快消失了和各个部门各来一个企业就像一个人企业也辰才两个月我会喜欢上这家企个同事间的沟通都变得简单高有自己的价值观性格处事方式业我想不仅是企业文化中的六个效和谐后来我又逐步接触到等这些都是企业文化意识层面的词语中正中和自强沉静公司的各位VP 每次在电话中各位内容而内在的意识是通过外在责任承诺还是我在这段时间的领导总是十分的谦和就连偶尔去的制度及行为表现出来的反过工作中感受到了公司的确是在这复印室碰上的同事们不管认不来如何来判断一家企业真正的文么做并且这种做法我很认同认识我们也总是相互莞尔一笑化是什么我想对于新员工来说那么也许我幸运地找到了职场当友善变成一种习惯我们团并不是企业号称的文化内涵而是中与我血脉相连能与其共进退的队合作的时候总是设身处地的为企业的制度及行为让员工感受到什企业对方多着想一点当友善变成一种么因此从这个层面讲我想企 Venus 我来啦

87 不可重新来过的文/Allen 青春近期要数小燕子执导的致我们终将逝陈孝正说他要建造自己人生的一座大楼他的去的青春最能引起大家热议我也追悼一下青人生只有一次机会所以绝不允许有一厘米的误差春本人虽是90后但仍慨叹自己已不再青春想在青春的年纪面对前程与爱情毅然决然的放弃了必此话一出势必引来四面八方的板砖对于已入职场爱人但他又何尝不爱郑微陈孝正他已不是一个的我来讲似乎确与校园的青葱岁月say goodbye 人他是一个化身一个承载了好多希望的化身一那段青春一去不复返个肩负着太多责任的代表因此他的人生至少是芸芸众生中, 我们只是沧海一粟虽然我只是这其中的普通一员但我仍希望自己的生命能开花结果前几十年他不能为自己而活不然他实在太自私了他会受到良心的谴责他的青春不只属于他自己他的青春不应该只为我可以平凡但我绝不可以平庸我可以跌倒自己绽放所以他选择了放弃爱情哪怕那是他最渴但我绝不可以不爬起来我可以失败但我绝不可以望得到的他最后疯狂的追求郑微哪怕刀山火海停滞不前也会在所不惜因为那时才是真正的他不过青春一陈孝正选择在青春中拼搏努力郑微选择了在青旦逝去是不会重来的即使得到也弥补不了青春的缺春中追求爱情阮莞选择了在青春中独守爱人林静憾正所谓断臂维纳斯才是最美的正因为青春中有选择了在青春中埋下仇恨朱小北选择了在青春中放着太多的选择太多的舍弃才更加的弥足珍贵纵冲动许开阳选择了在青春中风流潇洒再议朱小北由于一时的蒙冤受屈作为执法机不一样的青春构造不一样的人生关的学校又没能及时给予她平反昭雪她发疯地把小十年后陈孝正学成归来名利双收彻底摆超市给砸了个彻底最终被学校开除终止了学业脱了贫穷的烦恼郑微在伤害中学会成长活得有滋她为的是什么呢就是她的人格尊严受到侮辱又得有味但惟独就是少了她的爱情阮莞独守着自己忠不到公正处理的愤恨与不满学校与超市的相关人贞的爱情好言难劝最终落得香消玉损林静对仇员的价值观人生观与世界观我们这里暂且不谈恨久久不能释怀放弃了亲情与爱情默默承受着内她这么做换来的后果是什么美好的大学时光戛然而心的煎熬朱小北一时冲动酿成苦果被学校勒令退止即使多年后她与当年的梦中情人相遇也矢口否学与过去划清了界线许开阳得过且过最终选择认一走了了同是天涯沦落人的曾毓出双入对致 87

88 辰文化如果当年韩在受到胯下辱的时候奋起反击我觉得十有八九他会被那几个臭流氓不是打死就是给打残或是他把那几个人给打残打死以当时秦朝的严科厉律他能逃得过法律的制裁吗估计不死也脱层皮吧或是落荒跑路四海皆内满是缉拿文书每天战战兢兢试问韩还有何时间习读兵书那就不会有后来的率百万众战必胜攻必取的初汉三杰一那会不会有大汉四百年的祖宗基业也是两说可见韩在青春做了不仅他认为自己该做的事情而且他也顺利完成了历史交给他的使命生活本无尊卑因为每一种状态都是生活你有理由去向往并追求高调地活着但你没有理由去作践卑微别人的生活更没有理由卑贱自己有一句话叫做在生命转弯的地方其实这个生命转弯的地方就是你的青春所以还是在青春做一些有意义的事情吧青春是一支歌青春是一首诗青春是一幅画想飞上天/和太阳肩并肩/世界等着我去改变/想做的梦/从不怕别人看见/在这里我都能实现大声欢笑让你我肩并肩/何处不能欢乐无限/抛开烦恼/勇敢的大步向前/我就站在舞台中间我相我就是我/我相明天/我相青春没有地平线在日落的海边/在热闹的大街/都是我心中最美的乐园我相自由自在/我相希望/我相伸手就能碰到天青春就是用来追忆的当你怀揣着它时它一文不值只有将它耗尽后再回过头看一切才有了意义爱过我们的人与伤过我们的人都是我们青春存在的意义青春最终只不过是年久失修的陈黄纸画轻轻一碰就碎飘于风中化于无痕好好的享受你的青春吧千万不要一不小心把自己慢慢变成了期待中相反的曾经最厌恶的样子逝去的青春我怀念纪念唯独不说想念晚安 88

89 一名应届毕业生的2012年工作总结下小鱼儿 2012年刚刚大学毕业就入职启明辰的小青年热血青春阳光充满理想笔者无意间看到了小鱼儿2012年的工作总结不同于网上疯传众多的模板他有着自己的懵懂和收工作时期 (11月 2013) 获有着自己的奋斗和执着作者不时调侃一下自己和同事文章俗话说的好没吃过猪肉情感真实语句流畅诙谐相大家可以在他的总结中也看到青还没见过猪跑几经周转我在短涩的自己短的时间里也已换过三个部门了其他的暂且不论工作方法还是学到 2012总结-工作篇(入定) 了一些的人生就是一场赌博这次回到文/小鱼儿无线产品线我也在进行着一次赌博只不过这次赌注是工作把宝每天刷功能研产品看资年成了以加班为乐趣的工作狂取都压上了押给了小崔哥我的领料查论坛按部就班的做着日常工得感悟曾经不谙世事的我有了导与其说是我押宝给了小崔作本着没有完美的产品只有测清晰的人生规划懂得生活哥其实我更愿意相是小崔哥在不完的Bug 因为产品中永远不会感谢我受到的帮助感谢我受向我押宝这也是事实缺少Bug 缺少的只是一双发现Bug 到的挫折感谢我受到的挑战感看过演唱会的人也都知道的眼睛我们的工作是追求完美也谢得到与放弃的一切感谢所经历只要观众的掌声与呐喊声持续不断许我们的产品永远不可能达到我们所的正面与侧面的激励终于在纠结演员也会浑身精力充沛不觉疲惫想要的完美但至少我们不能放弃追的摸爬滚打中看清了前进方向话说大了叫士为知己者死女为求完美的梦想找到了想走的路明白了自己想要悦己者容往小了说就是责任与随后领导安排的两个任务是的生活也终于知道什么才是自己义务从经济学角度这是经营者必好好的给我上了一课一个是对公司想要的知道什么是现阶段自己要须实现的承诺当然了我也不能负无线网络不稳定性的排查我从中的知道什么是以后才该有的爱了老崔哎压力好大我现在又多学会了产品与场景的最终结合对情不好意思我内心最想抓住的背负了一个人又多了一份责任产品的理解上升了一层楼另一个是东西但是现在不行只能选择袖既然人家瞧得上咱咱就不能与IDS的兼容性测试从中明白了对手旁观工作我想我在即将到扯人家后腿呀平均线以下是绝对不产品的认识不能仅停留在功能上要来的一年中只能与你陪伴没有符合我性格的这也违背我做人的原理清其底层调用实现达到不仅知其面包的日子我不敢想象不对则人家给了我第一次选择机会我然还要知其所以然从侧面提示对没有面包那还叫日子吗得努力呀于是乎就有了我后连续产品的准确把握老印就说过呢一旦做出选择一定不要轻易放弃人生就像滚就是牙疼头痛舌头生疮嘴唇发总结性发言雪球只有持续保持同一个雪球的转干耳朵冒火一系列的症状切身体 2012年不能用得失来概动才会越积越大验了一把失恋三十三天的感觉括因为在每一个阶段我看到的都 2013 请快乐悲催呀再一次验证了饭是要一口是得从一个稚嫩学生转变为职 2012 再见啦珍重口吃的活是要一点点干的戒骄场菜鸟变得成熟经过多次部 2013 我来了加油戒躁稳扎稳打怎么可能一口吃个门调整学到了不同产品的理念莫道今年春将尽明年春色胖子呢获得知识由不会工作的朦胧少三十三天的工作记录但是加班后更撩人 89

90 辰文化万物静默如迷辛波斯卡诗选作者波维斯拉瓦辛波斯卡译者陈黎张芬龄维斯拉瓦辛波斯卡 Wislawa Szymborska 一九二三年生于波兰小镇布宁她擅长以幽默诗意的口吻描述严肃主题和日常事物以诗歌回答生活是波兰最受欢迎的诗人也是公认为当代最为迷人的诗人一享有诗界莫扎特的美誉一九九六年获得诺贝尔文学奖是文学史上第三位获奖女诗人二一二年二月的一个晚上辛波斯卡在住宅里安然去世在她的葬礼上波兰各地的人们纷纷赶来向诗人作最后的告别陈黎台湾著名诗人翻译家著有诗集散文集音乐评论集二十余种曾获时报文学奖联合报文学奖梁实秋 90 文学奖翻译奖金鼎奖等众多大奖张芬龄台湾师大英语系毕业著有评论集现代诗启示录与陈黎合译书十余种曾多次获得梁实秋文学奖翻译奖

91 媒体评论辛波斯卡提供了一个可以呼吸的世界切斯拉夫. 米沃什 (1980 年诺贝尔文学奖获得者 ) 诗集我看到了一见钟情, 它所表达的意念和红这部电影十分相近于是我决定留下这本基耶斯洛夫斯基 ( 蓝白红三部曲导演 ) 辛波斯卡是激发我最多最美丽灵感的诗人几米 ( 知名绘本作家 ) 在辛波斯卡的诗里, 我知道少女的力量, 我知道无辜的杀伤, 我知道接二连三的疑问可以组合成一首停不了旋转的舞码陈绮贞 ( 知名歌手 ) 几十年来, 她用乐观对美和文字力量的仰, 鼓舞着波兰人波兰总统科莫罗夫斯基辛波斯卡的作品对世界既全力投入, 又保持适当距离, 清楚地印证了她的基本理念 : 看似单纯的问题, 其实最富有意义诺贝尔文学奖授奖词她的诗可能拯救不了世界, 但世界将因她的作品而变得不再一样纽约时报辛波斯卡诗选 : 万物静默如谜收录辛波斯卡各阶段名作 75 首, 包括激发知名绘本作家几米创作出向左走, 向右走的一见钟情, 收录高中语文教材的底片, 网上广为流传的在一颗小下种种可能等, 曾获得洛杉矶时报年度最佳图书辛波斯卡的诗取材于日常生活的事物和经验, 甲虫海参石头沙粒天空 ; 安眠药履历表衣服 ; 电影画作剧场梦境等等, 在她的笔下无不焕发出新的诗意, 让人们重新认识生活中常见的事物洛杉矶时报等众多国际大媒体年度最佳图书 ; 她的诗吸引了红白蓝三部曲导演基耶斯洛夫斯基的注目 ; 她的诗激发了几米创作向左走, 向右走 ; 她的诗令陈绮贞着迷 ; 她的诗入选高中语文教材, 深受学生喜欢 ; 诺贝尔文学奖米沃什波兰总统科莫洛夫斯一致推崇! 她享有诗界莫扎特的美誉 91

92 辰文化书摘在一颗小下我为称为必然向巧合致歉原谅我虽然你已成为标本倘若有任何谬误处我向必然致歉我为桌子的四只脚向被砍下的树木致歉但愿快乐不会因我视它为己有而生气我为简短的回答向庞大的问题致歉但愿死者耐心包容我逐渐衰退的记忆真理啊不要太留意我我为自己分分秒秒地疏漏万物向时间致歉尊严啊请对我宽大为怀我为将新欢视为初恋向旧爱致歉存在的奥秘请包容我扯落了你衣裾的缝线远方的战争原谅我带花回家灵魂啊别谴责我偶尔才保有你裂开的伤口原谅我扎到手指我为自己不能无所不在向万物致歉我为我的小步舞曲唱片向在深渊里吶喊的人致歉我为自己无法成为每个男人和女人向所有的人致歉我为清晨五点仍在熟睡向在火车站候车的人致歉我知道在有生年我无法找到任何理由替自己辩解被追猎的希望原谅我不时大笑因为我便是我自己的阻碍沙漠原谅我未及时送上一匙水噢言语别怪我借用了沉重的字眼而你这些年来未曾改变始终在同一笼中又劳心费神地使它们看似轻松目不转睛地盯望着空中同一定点的猎鹰 92

93 种种可能我偏爱狡猾的仁慈胜过过度可的那种我偏爱猫我偏爱穿便服的地球我偏爱华尔塔河沿岸的橡树我偏爱被征服的国家胜过征服者我偏爱狄更斯胜过陀思妥耶夫斯基我偏爱有些保留我偏爱我对人群的喜欢我偏爱混乱的地狱胜过秩序井然的地狱胜过我对人类的爱我偏爱格林童话胜过报纸头版我偏爱在手边摆放针线以备不时需我偏爱不开花的叶子胜过不长叶子的花我偏爱绿色我偏爱尾巴没被截短的狗我偏爱不抱持把一切我偏爱淡色的眼睛因为我是黑眼珠都归咎于理性的想法我偏爱书桌的抽屉我偏爱例外我偏爱许多此处未提及的事物我偏爱及早离去胜过许多我也没有说到的事物我偏爱和医生聊些别的话题我偏爱自由无拘的零我偏爱线条细致的老式插画胜过排列在阿拉伯数字后面的零我偏爱写诗的荒谬我偏爱昆虫的时间胜过的时间胜过不写诗的荒谬我偏爱敲击木头我偏爱就爱情而言可以天天庆祝的我偏爱不去问还要多久或什么时候不特定纪念日我偏爱牢记此一可能我偏爱不向我做任何存在的理由不假外求我偏爱电影承诺的道德家 93

94 辰文化一见钟情他们两人都相是一股突发的热情让他俩交会这样的笃定是美丽的但变化无常更是美丽阻挡他们的去路既然从未见过面所以他们确定然后闪到一边彼此并无任何瓜葛有一些迹象和号存在但是听听自街道楼梯走廊传出的话语即使他们尚无法解读他俩或许擦肩而过一百万次了吧也许在三年前或者就在上个期二我想问他们有某片叶子飘舞于是否记不得了肩与肩间在旋转门有某个东西掉了又捡了起来面对面那一刻天晓得也许是那个或者在人群中喃喃说出的对不起消失于童年灌木丛中的球或者在听筒截获的唐突的打错了还有事前已被触摸然而我早知他们的答案层层覆盖的是的他们记不得了门把和门铃检查完毕后并排放置的手提箱 94 他们会感到诧异倘若得知有一晚也许同样的梦缘分已玩弄他们到了早晨就变得模糊多年尚未完全做好每个开始成为他们命运的准备毕竟都只是续篇缘分将他们推近驱离而充满情节的书本憋住笑声总是从一半开始看起

95 点灯

96 点灯点灯听苹果父讲生命中的三个故事文/斯蒂夫乔布斯译/杜然第一个故事关于串起生命中的点点滴滴苹果公司CEO斯蒂夫乔布斯在斯坦福大学毕业典礼上的演讲读后令人不禁动容其文并无华丽色也无英文演讲范例中惯用的排比译者退学是我这一生所做出的最正确的决定一我在里德大学待了6个月就退学了但后仍作为旁听生混了18个月后才最终离开我为什么要退学呢故事要从我出生前开始说起我的生母是一名年轻的未婚妈妈当时她还是一所大学的在读研究生于是决定把我送给其他人收养她坚持我应该被一对念过大学的夫妇收养所以在我出生斯坦福是世界上最好的大学一今天的时候她已经为我被一个律师和他的太太收养做能参加各位的毕业典礼我备感荣幸尖叫好了所有的准备但在最后一刻这对夫妇改了主声我从来没有从大学毕业说句实话此时意决定收养一个女孩候选名单上的另外一对夫算是我离大学毕业最近的一刻笑声今妇也就是我的养父母在一天午夜接到了一通电天我想告诉你们我生命中的三个故事并非话有一个不请自来的男婴你们想收养吗什么了不得的大事件只是三个小故事而已他们回答当然想事后我的生母才发现我的养母根本就没有从大学毕业而我的养父甚至 96

97 连高中都没有毕业, 所以她拒绝签署最后的收养文件, 直到几个月后, 我的养父母保证会把我送到大学, 她的态度才有所转变 17 年后, 我真上了大学但因为年幼无知, 我选择了一所和斯坦福一样昂贵的大学,( 笑声 ) 我的父母都是工人阶级, 他们倾其所有资助我的学业在 6 个月后, 我发现自己完全不知道这样念下去究竟有什么用当时, 我的人生漫无目标, 也不知道大学对我能起到什么帮助, 为了念书, 还花光了父母毕生的积蓄, 所以我决定退学我相车到山前必有路当时作这个决定的时候非常害怕, 但现在回头去看, 这是我这一生所做出的最正确的决定一 ( 笑声 ) 从我退学那一刻起, 我就再也不用去上那些我毫无兴趣的必修课了, 我开始旁听那些看来比较有意思的科目这件事情做起来一点都不浪漫因为没有自己的宿舍, 我只能睡在朋友房间的地板上 ; 可乐瓶的押金是 5 分钱, 我把瓶子还回去好用押金买吃的 ; 在每个周日的晚上, 我都会步行 7 英里穿越市区, 到 HareKrishna 教堂吃一顿大餐, 我喜欢那儿的食物我跟随好奇心和直觉所做的事情, 事后证明大多数都是极其珍贵的经验我举一个例子 : 那个时候, 里德大学提供了全美国最好的书法教育整个校园的每一张海报, 每一个抽屉上的标签, 都是漂亮的手写体由于已经退学, 不用再去上那些常规的课程, 于是我选择了一个书法班, 想学学怎么写出一手漂亮字在这个班上, 我学习了各种字体, 如何改变不同字体组合间的字间距, 以及如何做出漂亮的版式那是一种科学永远无法捕捉的充满美感历史感和艺术感的微妙, 我发现这太有意思了当时, 我压根儿没想到这些知识会在我的生命中有什么实际运用价值 ; 但是 10 年后, 当我们设计第一款 Macintosh 电脑的时候, 这些东西全派上了用场我把它们全部设计进了 Mac, 这是第一台可以排出好看版式的电脑如果当时我大学里没有旁听这门课程的话, Mac 就不会提供各种字体和等间距字体自从视窗系统抄袭了 Mac 以后,( 鼓掌大笑 ) 所有的个人电脑都有了这些东西如果我没有退学, 我就不会去书法班旁听, 而今天的个人电脑大概也就不会有出色的版式功能当然我在念大学的那会儿, 不可能有先见明, 把那些生命中的点点滴滴都串起来 ; 但 10 年后再回头看, 生命的轨迹变得非常清楚再强调一次, 你不可能充满预见地将生命的点滴串联起来 ; 只有在你回头看的时候, 你才会发现这些点点滴滴间的联系所以, 你要坚, 你现在所经历的将在你未来的生命中串联起来你不得不相某些东西, 你的直觉命运生活因缘际会正是这种仰让我不会失去希望, 它让我的人生变得与众不同第二个故事关于爱与失去被苹果开掉是我这一生所经历过的最棒的事情我是幸运的, 在年轻的时候就知道了自己爱做什么在我 20 岁的时候, 就和沃兹在我父母的车库里开创了苹果电脑公司我们勤奋工作, 只用了 10 年的时间, 苹果电脑就从车库里的两个小伙子扩展成拥有 4000 名员工, 价值达到 20 亿美元的企业而在此前的一年, 我们刚推出了我们最好的产品 acintosh 电脑, 当时我刚过而立年然后, 我就被炒了鱿鱼一个人怎么可以被他所创立的公司解雇呢?( 笑声 ) 这么说吧, 随着苹果的成长, 我们请了一个原本以为很能干的家伙和我一起管理这家公司, 在头一年左右, 他干得还不错, 但后来, 我们对公司未来的前景出现了分歧, 于是我们间出现了矛盾由于公司的董事会站在他那一边, 所以在我 30 岁的时候, 就被踢出了局我失去了一直贯穿在我整个成年生活的重心, 打击是毁灭性的在头几个月, 我真不知道要做些什么我觉得我让企业界的前辈们失望了, 我失去了传到我手 97

98 点灯上的指挥棒我遇到了戴维. 帕卡德 ( 普惠的创办人一译注 ) 和鲍勃. 诺伊斯 ( 英特尔的创办人一译注 ), 我向他们道歉, 因为我把事情搞砸了我成了人人皆知的失败者, 我甚至想过逃离硅谷但曙光渐渐出现, 我还是喜欢我做过的事情在苹果电脑发生的一切丝毫没有改变我, 一个比特 (bit, 字节译注 ) 都没有虽然被抛弃了, 但我的热忱不改我决定重新开始我当时没有看出来, 但事实证明, 我被苹果开掉是我这一生所经历过的最棒的事情成功的沉重被凤凰涅的轻盈所代替, 每件事情都不再那么确定, 我以自由躯进入了我整个生命当中最有创意的时期在接下来的 5 年里, 我开创了一家叫做 NeXT 的公司, 接着是一家名叫 Pixar 的公司, 并且结识了后来成为我妻子的曼妙女郎 Pixar 制作了世界上第一部全电脑动画电影玩具总动员, 现在这家公司是世界上最成功的动画制作公司一 ( 掌声 ) 后来经历一系列的事件, 苹果买下了 NeXT, 于是我又回到了苹果, 我们在 NeXT 研发出的技术成为推动苹果复兴的核心动力我和劳伦斯也拥有了美满的家庭我非常肯定, 如果没有被苹果炒掉, 这一切都不可能在我身上发生生活有时候就像一块板砖拍向你的脑袋, 但不要丧失心热爱我所从事的工作, 是一直支持我不断前进的惟一理由你得找出你的最爱, 对工作如此, 对爱人亦是如此工作将占据你生命中相当大的一部分, 从事你认为具有非凡意义的工作, 方能给你带来真正的满足感而从事一份伟大工作的惟一方法, 就是去热爱这份工作如果你到现在还没有找到这样一份工作, 那么就继续找不要安于现状, 当万事了于心的时候, 你就会知道何时能找到如同任何伟大的浪漫关系一样, 伟大的工作只会在岁月的酝酿中越陈越香所以, 在你终有所获前, 不要停下你寻觅的脚步不要停下第三个故事关于死亡时间有限, 所以不要把时间浪费在别人的生活里在 17 岁的时候, 我读过一句格言, 好像是 : 如果你把每一天都当成你生命里的最后一天, 你将在某一天发现原来一切皆在掌握中 ( 笑声 ) 这句话从我读到日起, 就对我产生了深远的影响在过去的 33 年里, 我每天早晨都对着镜子问自己 : 如果今天是我生命中的末日, 我还愿意做我今天本来应该做的事情吗? 当一连好多天答案都否定的时候, 我就知道做出改变的时候到了提醒自己行将入土是我在面临人生中的重大抉择时, 最为重要的工具因为所有的事情外界的期望所有的尊荣对尴尬和失败的惧怕在面对死亡的时候, 都将烟消云散, 只留下真正重要的东西在我所知道的各种方法中, 提醒自己即将死去是避免掉入畏 98

99 惧失去这个陷阱的最好办法人赤条条地来, 赤条条地走, 没有理由不听从你内心的呼唤大约一年前, 我被诊断出癌症在早晨 7:30 我做了一个检查, 扫描结果清楚地显示我的胰脏出现了一个肿瘤我当时甚至不知道胰脏究竟是什么医生告诉我, 几乎可以确定这是一种不治症, 顶多还能活 3 至 6 个月大夫建议我回家, 把诸事安排妥当, 这是医生对临终病人的标准用语这意味着你得把你今后 10 年要对你的子女说的话用几个月的时间说完 ; 这意味着你得把一切都安排妥当, 尽可能减少你的家人在你身后的负担 ; 这意味着向众人告别的时间到了我整天都想着诊断结果那天晚上做了一个切片检查, 医生把一个内窥镜从我的喉管伸进去, 穿过我的胃进入肠道, 将探针伸进胰脏, 从肿瘤上取出了几个细胞我打了镇静剂, 但我的太太当时在场, 她后来告诉我说, 当大夫们从显微镜下观察了细胞组织后, 都哭了起来, 因为那是非常罕见的, 可以通过手术治疗的胰脏癌我接受了手术, 现在已经康复了这是我最接近死亡的一次, 我希望在随后的几十年里, 都不要有比这一次更接近死亡的经历在经历了这次与死神擦肩而过的经验后, 死亡对我来说只是一项有效的判断工具, 并且只是一个纯粹的理性概念, 我能够更肯定地告诉你们以下事实 : 没人想死 ; 即使想去天堂的人, 也是希望能活着进去 ( 笑声 ) 死亡是我们每个人的人生终点站, 没人能够成为例外生命就是如此, 因为死亡很可能是生命最好的造物, 它是生命更迭的媒介, 送走耄耋老者, 给新生代让路现在你们还是新生代, 但不久的将来你们也将逐渐老去, 被送出人生的舞台很抱歉说得这么富有戏剧性, 但生命就是如此你们的时间有限, 所以不要把时间浪费在别人的生活里不要被条条框框束缚, 否则你就生活在他人思考的结果里不要让他人的观点所发出的噪音淹没你内心的声音最为重要的是, 要有遵从你的内心和直觉的勇气, 它们可能已知道你其实想成为一个什么样的人, 其他事物都是次要的在我年轻的时候, 有一本非常棒的杂志叫全球目录 (The Whole Earth Catalog), 它被我们那一代人奉为圭臬这本杂志的创办人是一个叫斯图尔特. 布兰德的家伙, 他住在 Menlo Park, 距离这儿不远他把这本杂志办得充满诗意那是在 60 年代末期, 个人电脑桌面发排系统还没有出现, 所以出版工具只有打字机剪刀和宝丽来相机这本杂志有点像印在纸上的 Google, 但那是在 Google 出现的 35 年前 ; 它充满了理想色彩, 内容都是些非常好用的工具和了不起的见解斯图尔特和他的团队做了几期全球目录, 快无疾而终的时候, 他们出版了最后一期那是在 70 年代中期, 我当时处在你们现在的年龄在最后一期的封底有一张清晨乡间公路的照片, 如果你喜欢搭车冒险旅行的话, 经常会碰到的那种小路在照片下面有一排字 : 物有所不足, 智有所不明 (Stay Hungry,Stay Foolish.) 这是他们停刊的告别留言物有所不足, 智有所不明我总是以此自省现在, 在你们毕业开始新生活的时候, 我把这句话送给你们 99

100 点灯神奇的中药四夏日中成药中药是中医预防治疗疾病所使用的独特药物也是中医区别于其他医学的重要标志中国人民对中药的探索经历了几千年的历史相传神农尝百草首创医药神农被尊为药皇中药主要由植物药根茎叶果动物药内脏皮骨器官等和矿物药组成目前各地使用的中药已达5000种左右把各种药材相配伍而形成的方剂更是数不胜数经过几千年的研究形成了一门独立的科学本草学中国是中药的发源地目前中国大约有12000种药用植物这是其他国家所不具备的那么常见的中药有哪些它们又有什么独特的功效呢将分期为大家介绍一些常见中药的治病功效及作用夏天到了炎热的天气早晚温度的反差雷雨交加的潮湿这一切都是夏季常见病的高发原因也使夏季常用临床使用藿香正气时应嘱患者饮食清淡服药药的代表藿香正气和十滴水应用大幅增加然期间也不宜同时服用滋补性中成药对有高血压心脏病而藿香正气和十滴水在使用时同样需要辨证施肝病糖尿病肾病等慢性病严重者均应根据每人体质不治做到因人因时因地因病用药同用量不同而藿香正气在夏末秋初时症状相符者同某先生患了感冒流涕鼻塞咽痛咳嗽不样可以使用此外南北方使用藿香正气应有一定区烧同事就说他是热伤风因为是在夏天所以就应服别因为南方湿气较北方重使用时还应配合祛湿的办法藿香正气服药三天还未见效随后到医院就诊医如采用食疗用薏米粥即可而北方热气比湿气重所以北生说中医认为你这是风寒感冒根据病史是入夜睡觉着方的暑湿感冒热重多故而应加清热药配合治疗如感冒凉所致暑湿证不明显而且也没有胃肠症状治疗应以清热冲剂等效果更好疏风散寒为主所以用藿香正气效果不好 100 身重胸闷脘腹胀痛呕吐泄泻恶寒发热者十滴水属于经验方主要成分有大黄生姜藿香正气出自中医名著和剂局方主要成分鲜丁香辣椒樟脑薄荷冰等功能是祛暑散有藿香苏叶陈皮厚朴法半夏苍术大腹皮甘草寒健胃主治因中暑引起的恶心呕吐腹痛泄泻及胃等功能是解表化湿理气和中主治内伤湿滞外感风寒肠不适等症除治疗中暑所致的以上病症外外擦治疗痱子引起的暑湿感冒证为主的头痛身倦畏寒脘腹胀痛呕也有良好的效果吐泄泻在日常使用中藿香正气有水丸散软胶藿香正气和十滴水均为夏季的常用药日常生囊四种藿香正气水用于暑天感寒或伤湿所引起的泄活中人们往往不好区分其实藿香正气以解表化湿泻腹痛呕吐症最为相宜还可用于预防中暑藿香正理气和中为主用于治疗暑湿感冒的头痛身倦畏寒脘气丸治疗胃肠型感冒急性胃炎急性肠炎属于外感风腹胀痛呕吐泄泻等十滴水以祛暑散寒健胃为寒内伤湿滞者藿香正气散治疗非特异性急性肠炎和主用于治疗中暑所致的头晕恶心腹痛胃肠不适等症流行性感冒以全身不适发热恶寒胃脘不舒呕吐腹泻状使用时要加以区别才能达到药到病除的目的证藿香正气软胶囊最为常用主治暑湿感冒头痛

101 一刻唐僧师徒的极品笑话一 4 唐僧取来真经背着去见李世民唐僧说大哥我回来了李世民哦唐僧说真经 1 清晨唐僧从梦中醒来发现孙悟空我取来了李世民说哦放那儿吧唐僧跪在自己的床前于是便问悟空你说大哥我费了十几年工夫辛辛苦苦办了这么怎么了孙悟空满脸泪水的说师大事儿你咋还不高兴呢嫌我差旅费高了李世傅我求您了下次说梦话不念紧箍民摘下耳机说你那些经文我用迅雷下了一小时咒行吗就下完了早知道电脑这么厉害我当初还让你去干吗呀 2 悟空因三打白骨精被唐僧贬回花果山几个月后猪八戒突然来访进门就哭悟空问队伍到哪儿了八戒答临汾悟空又问可是又遇见妖精八戒答没有悟空急那你哭什么八戒更加伤心大师兄你快回去吧师父被人卖到黑砖窑去了我们都找了仨月了 3 取经队伍到达贫困地区几天化不到斋悟空因为要保护师父只好让沙僧和八戒去远处城里找吃的第一天去都空手回来因为没有钱第二天去还是空手因为没有钱悟空大怒再找不到吃的就别回来第三天傍晚沙僧高高兴兴地背着一大袋子米还剩了好多钱悟空大喜又问八戒呢沙僧顿时伤心地哭道大师兄原谅我吧咱们这么多人就二师兄能卖到16块钱一斤 5 一大群小妖精扛着被捆成粽子的唐僧兴冲冲走进洞内高喊大王大王我们终于抓住唐僧了老妖精从睡梦中被吵醒抬眼看了一眼无精打采地说送回去吧小妖精奇怪地问为什么老妖精说报纸上说唐僧肉里含有致癌物质轻松 101

102

103

104

展开

Secoway SVN3000技术建议书V1

Secoway SVN3000技术建议书V1 华为 BYOD 移动办公安全解决方案白皮书华为技术有限公司二〇一二年八月第 1 页, 共 26 页 2012 保留一切权利非经本公司书面许可, 仸何单位和个人丌得擅自摘抁复制本文档内容的部分或全部, 幵丌得以仸何形式传播商标声明和其他

Contents 目 录 APT 专 题 /04 安 全 视 点 /43 从 RSA2103 看 厂 商 APT 检 测 道 /4 基 于 记 忆 的 APT 攻 击 检 测 系 统 /9 浅 谈 APT 攻 击 的 检 测 与 防 御 /13 新 型 威 胁 分 析 与 防 范 研

Contents 目录 APT 专题 /04 安全视点 /43 从 RSA2103 看厂商 APT 检测道 /4 基于记忆的 APT 攻击检测系统 /9 浅谈 APT 攻击的检测与防御 /13 新型威胁分析与防范研