安全邮件.pptx

基于IBC的安全电子邮件
2014年5月18日
目录
2
IBC安全电子邮件解决方案
邮件安全分析
1
3
案例介绍
电子邮件安全形式十分严峻
“棱镜”收集所有互联网大型邮箱的数据,包括Google、Hotmail、Yahoo等邮件系统。
投资百亿建设了数据仓库,PINWALE专门用于邮件数据存储。
“XkeyScore”项目全方位的对电子邮件内容进行监控和搜索。
work E)在世界范围内的计算机设备上收集邮件等数据。
GCHQ:Tempora监听太平洋地区的海底光缆、监听所有通过欧洲大陆的邮件通信。
,因曝巴西公民和官员的邮件通信,包括巴西总统本人的邮件也被监视,导致其取消访美。(据悉,已计划组建台)
斯诺登爆料:
“棱镜”监控入侵中国电信运营商,利用强大的电缆网络资源监控中国SMS短信、电子邮件等内容。
棱镜门PRISM
部分泄密事件
邮件泄密
2010年Stratfor邮箱泄密
2011年新闻集团邮箱泄密
2011年HBGary Federal企业邮箱泄密
2012年叙利亚总统邮箱泄密等等事件
2011年10月,某省某重要部门的博士工作电脑被境外情治机关控制,通过控制机器的邮件系统将我省重要的地理信息数据泄漏
2012年8月,某省某高校教授邮件被某境外情治机关控制,通过通讯录群发大量的钓鱼邮件,获取了大量科研成果和论文
2013年8月,某省某重要部门工作人员邮箱被某境外情治机关控制,向境外转发了包括文电处、会议处、秘书处、督查室、纪检监察室等部门的工作总结汇编
2014年,华为邮箱被爆监控、泄密
电子邮件泄密的主要原因
明文存储和传输
在服务器存储明文
传输过程明文
弱口令认证
系统漏洞
应用系统脆弱
监管乏力
保密、公安、通管、安全目前都缺乏关于电子邮件的安全监管
安全短板,易于突破
极易分析出用户真实的社会身份和社会关系,并以此为跳板进行攻击
国家政策
正在制定安全电子邮件标准
2013年发改委信息安全专项指定要开始加密邮件试点
普通解决方案
方案之一:口令保护
极易被猜测、字典攻击;
无密码技术保护或密钥产生、分发不符安规;
如每次变化口令,也需要每次用其他方式通知对方
普通解决方案
方案之二:SSL 协议(https、smtps、pop3s)
解决部分安全
可解决部分通道安全
弱身份认证
多为单向认证,不能防止中间人攻击
邮件服务器明文存放不安全
到其他服务器传输也是明文方式,同样可被拦截
普通解决方案
方案之三:PKI/CA证书方式
常见应用方式PGP
解决安全问题,但不易使用
通讯双方都必须申请证书
发送邮件之前必须有对方证书并验证
外发给没有证书的收件人则不可加密
私钥在客户端,难以实现云端加密、解密
不能很好的支持智能终端
基于PKI/CA的邮件加密过程
bob@
CA
Alice 用 bob@拥有的证书中的公钥加密
6
Bob用私钥解密
7
alice@
填写个人信息等相关资料,申请bob@
的证书
1
接收 bob@
的证书
3
Alice 验证 bob@
的证书
5
把 bob@
的证书发给ALICE
4
审核,并将证书和邮件地址关联
2
当1000个人互发邮件时,这个过程要重复1000人*999次,维护、查看历史邮件非常麻烦
N
chris@
Alice to Job