几维安全等保2.0要点解析及落地实施技术攻略【

2018年6月27日,公安部正式发布《网络安全等级保护条例》,标志着《网络安全法》所确立的网络安全等级保护制度有了具体的实施依据与有力抓手,标志着等级保护正式迈入2.0时代。2018年12月28日,全国信息安全标准化技术委员会归口的《信息安全技术网络安全等级保护测评过程指南》等27项国家标准正式发布,为等保对象进行网络安全等级保护的落地实施进行了细化指引。

随着IoT的发展,催生了大量新产品、新服务、新模式,并逐步改变了传统产业模式,引发了产业、经济和社会发展新浪潮。但与此同时,数以亿计设备的接入带来安全攻击也在不断增多。作为基于互联网的新兴信息技术模式,IoT领域除了面临所有与互联网同类型网络攻击威胁的同时,还因其多源异构性、开放性、泛在性等特性而面临更多更复杂的攻击威胁,IoT安全问题也已成为发展的关键之一。

为助力等保2.0落地实施,几维安全以等保安全要求及国家相关标准文件为指导,结合公司对行业安全需求和相关安全加固技术产品的研究,进行安全加固实施策略设计,旨在助推国家安全要求落地、助力行业企业安全环境构建。

为助力IoT安全生态体系构建,几维安全以国家政策、标准为指引,对该领域技术原理和在不同行业特征下的风险隐患进行深入分析研究,从技术产品角度研发了覆盖不同关键环节的安全加固技术产品和整体解决方案;从实施角度构建了事前检测加固、事中监测响应、事后审计优化闭环安全防护体系;从服务角度部署了云端、web端、API接口、本地部署、离线工具和Xcode插件等多样化交付/部署模式,和多渠道技术服务实现线上线下联动全方位支撑。

等保2.0要点解析

优信彩票购彩大厅 1

等保2.0针对共性安全保护需求提出安全通用要求,并针对移动互联、云计算、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求。

几维安全IoT安全整体解决方案

优信彩票购彩大厅 2

根据IoT技术实现原理分析,其安全风险包括设备安全、通信网络安全、应用安全、数据安全等内容。以通信网络为例,IoT移动应用程序在数据传输过程中需途经业务功能相关通信网络、互联网,其中不乏由于不健全的握手通信过程、SSL版本的不正常使用、脆弱协议、敏感信息明文传输等带来的安全风险。而以互联网为例,不管是数据链路层的协议还是应用层的协议,都有类似APP中间人攻击、明文数据包、SSL验证绕行、PUT利用等安全隐患,造成数据引流、资金欺诈、个人信息盗取、设备劫持等业务安全问题。

优信彩票购彩大厅,2018年1月19日,全国信息安全标准化技术委员会发布了《信息安全技术网络安全等级保护定级指南2.0》,为等保的具体适用提供了指引,并细化明确网络安全等级保护制度定级对象范围具体包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。

基于不同环节安全风险、形成原理及安全加固需求分析研究,几维安全通过单产品部署、产品组合相结合的方式进行安全防护方案设计,如:

等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。

IOT虚拟化ID认证系统

优信彩票购彩大厅 3

优信彩票购彩大厅 4

在确定定级对象时,基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据需满足三个基本特征:

将需要保护的功能逻辑转换成混淆后的虚拟机指令大幅提升代码被逆向分析的难度。虚拟机能够在运行过程中采集芯片、模块的底层特征芯片唯一ID、底层特征外部SPI Flash ID等模块特征虚拟机利用硬件特征,在运行过程中验证设备的合法性。

具有确定的主要安全责任主体;

由于虚拟机的混淆特性,对硬件特征的采集、校验和使用的过程难以被绕过或篡改。

承载相对独立的业务应用;

设备端提供基于虚拟化保护技术的ID认证SDK,实现ID生成、数据加密存储、云端ID认证等功能。

包含相互关联的多个资源。且在此基本特征的基础上,还要遵循各自不同要求,如:

应用安全保护方案

物联网:物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对象定级,各要素不单独定级。

优信彩票购彩大厅 5

移动互联网:采用移动互联技术的网络主要包括移动终端、移动应用、无线网络等特征要素,应与相关有线网络业务系统作为一个整体对象定级。

几维安全编译器基于LLVM编译器优化层实现,加密代码与业务代码紧密结合,有效阻挡逆向分析;由于是从优化层实现代码虚拟化过程,不依赖于特定系统环境,无兼容性问题,兼容所有CPU架构,包括IOS, Android, (armv7,arm64), Windows, Liunx, Other等。

根据要求和指南内容分析,等保2.0安全要求涵盖了多行业多系统和多个关键节点,是以整体安全保障为目标,以“纵深防御、分层防护”为总体策略贯穿始终的体系,细化到具体行业有定级指导意见的可结合参考相关行业定级指南,如金融行业可参考《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》(银发2012163号)。

安全芯片部署

助力等保2.0落地实施整体思路

优信彩票购彩大厅 6

等级保护2.0沿用了等保1.0的五个规定动作:定级、备案、建设整改、等级测评和监督检查,并扩展到风险评估、安全检测、通报预警、安全事件处置、漏洞风险管理等方面,将其纳入到等级保护的范围之内。而等级保护的实施是一个体系化工作,以“纵深防御、分层防护”为总体策略贯穿始终。

在设备中植入硬件安全芯片,一芯一密,结合ECC算法,AES算法,动态熵随机数算法等复合算法来加密数据,保证数据安全;关闭硬件芯片对外的调试串口,保证算法不被逆向分析;对OS和APP采用代码虚拟化、块调度保护技术,保证调用安全数据的软件API接口安全。

通过对等保要求具体内容进行细化分析可发现,移动互联、云计算、物联网和工业控制等新技术、新应用领域均涉及基于移动终端的移动安全,并对其访问控制、身份鉴别、入侵防范、恶意代码防范等有明确的安全要求,本文以移动互联网安全为例进行等保安全要求分析及移动安全加固方案设计。

IoT防护实践探索

优信彩票购彩大厅 7

以某智能门锁安全加固需求为例,根据对应用特征分析可见,智能门锁主要应用于公寓、酒店、家庭等场景,是关系到财物安全关键环节之一。用户在手机APP注册,通过WiFi或蓝牙方式与智能门锁进行通讯,进行下发密钥/临时密码、远程开锁等操作,门锁可设定多套开锁密钥,不同用户可独立设置密码。功能的实现需具备APP端防破解/防篡改、智能门锁核心算法保护、本地用户密钥保护、通讯保护等安全保护。基于该场景特征和安全需求,几维安全进行了安全加固方案设计和产品部署:

基于等保要求要点解析和行业应用共性、个性特征分析,几维安全从评测、加固、监测、响应全流程进行整体解决方案设计,以公司特有的安全加密技术和产品体系为落地,通过云端、web端、API接口、本地部署、离线工具和Xcode插件等多样化交付/部署模式,和多渠道技术服务实现线上线下联动全方位支撑。旨在助力企业实现等保落地和全方位安全保障。

l 采用代码虚拟化保护方案对APP端进行保护,防止应用被反编译、动态调试、篡改等;

优信彩票购彩大厅 8

l 采用轻量级虚拟化对门锁内核心代码进行保护,防止破解和动态调试;

优信彩票购彩大厅 9

l 采用密钥白盒对用户数据、通讯数据进行加密,保障通讯安全。

通过闭环体系构建,将实现协助企业进行事前移动安全多维度检测和评估,发现风险点进行对应安全加固,在事中进行安全监测和响应,并在事后提供审计、后评估等为优化提升提供支撑,形成有效安全保障和可持续安全环境。

l再如在某物联网云平台进行安全加固的案例中,几维安全针对其智能终端与云端通信安全、智能硬件核心算法保护、SDK安全保护等加固需求进行了部署:

从技术保障角度,几维安全从移动开发底层技术路线出发,以公司特有的代码指令混淆技术,和全架构商用代码虚拟化技术为基础的全平台全架构产品体系、技术方案为支撑根据不同等级安全要求进行安全加固,以第三级测评要求为例:

l 采用代码虚拟化和轻量级虚拟化对相关硬件进行保护,防止攻击者破解,获取核心算法、接口数据等。

1、针对网络和通信安全要求中无线通信完整性和保密性要求

l 采用密钥白盒对通讯数据进行加密,防止中间人劫持、重放攻击、信息泄露、接口参数泄露等。

安全要求:应采用密码技术保证无线通信过程中数据的完整性;应采用密码技术保证无线通信过程中敏感信息字段或整个报文的保密性。

l 采用代码虚拟化对SDK进行加固,防止攻击者由逆向SDK获取代码逻辑。

保障方案:通过部署白盒密钥保护产品进行传输数据安全保障。密钥白盒SDK代码采用公司独有的KiwiVM代码虚拟化技术进行安全保护,支持Android、iOS、IoT等三个平台的本地数据加密存储、通信链路数据加密等功能。

近年来,IoT领域在蓬勃发展的同时,也暴露出了许多安全问题,需着眼于未来发展和安全需求和可能面临的网络安全新形势、新需求,从规范行业安全管理、制定行业安全检测标准、构建新型有效的安全防护体系、研究新技术新应用等多个维度着手。几维安全将持续进行IoT安全防护探索,助力IoT安全生态的健康发展。

优信彩票购彩大厅 10

2、针对设备和计算安全要求中资源控制要求

安全要求:应将移动终端处理访问不同等级等级保护对象的运行环境进行系统级隔离;应将移动终端处理访问等级保护对象的运行环境与非处理访问等级保护对象运行环境进行系统级隔离;应限制用户或进程对移动终端系统资源的最大使用限度,防止移动终端被提权。

保障方案:通过部署防御性SDK产品对资源进行检测。安全防御SDK可部署在Android和iOS客户端,主要针对环境ROOT、恶意进程、进程注入、HOOK攻击、内存篡改、模拟器运行等风险行为进行动态防御保护,并将异常行为返回给调用层,并可采取自定义的处理方式,如立即退出。

3、应用和数据安全要求中针对数据完整性要求

安全要求:移动应用软件应采用密码技术保证通信过程中数据的完整性;移动应用软件应采用校验技术或密码技术保证重要数据存储时的完整性,并在检测到完整性错误时采取必要的恢复措施。

保障方案:通过代码加密类产品进行终端应用加固。几维安全自主研发基于Clang编译器扩展的VM虚拟机编译器,在编译时直接对指定的函数[代码]实施虚拟化处理。凭借自定义CPU指令的特性,具有代码不可解密,加密过程不可逆等技术特点,可实现在通信、支付、算法、核心技术等模块深度加密,避免因逆向破解问题造成的经济损失。

优信彩票购彩大厅 11

移动安全加固核心技术及主要方案

几维安全通过多年研究,开发出基于LLVM编译器的全平台全架构的KiwiVM虚拟化防护方案,其技术主要是自定义虚拟CPU,代码加密不可逆的特性能有效避免攻击者通过DUMP内存还原原始代码。

KiwiVM虚拟化编译器通过设计虚拟CPU解释器以及虚拟IR指令,将原始CPU指令进行加密转换处理为只能由KiwiVM虚拟解释器解释执行的虚拟指令,能够完全隐藏函数代码逻辑,以及函数及变量之间的依赖关系。

优信彩票购彩大厅 12

以代码虚拟化为基础,几维安全目前可以提供全平台终端(Android、iOS、IoT、Linux、MacOS、Windows)防护能力。

Android 平台

本文由优信彩票购彩大厅发布于互联网资讯,转载请注明出处:几维安全等保2.0要点解析及落地实施技术攻略【

您可能还会对下面的文章感兴趣: