1、1 背景概述2 信息安全基本概念3 信息安全分类4 要点总结1、背景概述目标、无处不在的威胁、安全意识的重要性 建立对信息安全的敏感意识和正确认识建立对信息安全的敏感意识和正确认识 掌握信息安全的基本概念、原则和惯例掌握信息安全的基本概念、原则和惯例 清楚可能面临的威胁和风险清楚可能面临的威胁和风险 遵守各项安全策略和制度遵守各项安全策略和制度 在日常工作中养成良好的安全习惯在日常工作中养成良好的安全习惯 最终提升整体的信息安全水平最终提升整体的信息安全水平 系统漏洞系统漏洞雷雨雷雨无处不在的威胁 缺乏安全意识造成的血缺乏安全意识造成的血案案 云南电网公司深信服SSL VPN远程地址 泄露,使
2、用默认口令。VPN地址:222.172.xx.182:1000弱口令情况- 用户名/密码:Admin/Admin登陆之后的主界面 可以直接访问内网 内网数据一览无余安全意识的重要性口令安全口令强度长度复杂度口令管理保存方式寿命良好的操作习惯安全事件通报防患于未然定期检查关键文档完整性,关键数据及时备份发生异常情况勿擅自处理,及时通知安全管理员安全事件处理流程应急预案再好的防护措施,没有使用者的配合,也是枉然!你没意识到的问题2、信息安全基本概念信息安全、安全意识、案例 信息安全是围绕资产展开的,确保资产不被非法窃取、破坏、篡改。 什么是信息安全?u 长兄於病视神,未有形而除之u 中兄治病,其在
3、毫毛u 若扁鹊者,鑱血脉,投毒药,副肌肤 魏文王问扁鹊u 日常生活中都有哪些安全意识?红灯停,绿灯行;不随便相信陌生人;u 安全意识与我们息息相关收发邮件的时候,附件是一个木马;下载免费软件的时候,捆绑了流氓软件;网上注册,个人信息泄露;网银、QQ、微博账号被盗;开发阶段,参数过滤不严格,导致SQL注入攻击;使用123456的弱口令,后台被人控制;什么是安全意识?案例1:3389弱口令血案乌云:开源第三方漏洞提交平台内网直接用txt文档记录了敏感信息案例2:安徽省农委大量信息泄露一、存在测试账号test、test二 、上传webshell大量个人信息,甚至身份证的扫描件,资金补贴!直接控制服务
4、器读取数据库信息IT管理员弱密码排行榜企业员工安全意识评估对信息安全保持清醒的认识3、信息安全分类代码开发安全、运维安全、安全意识培养开发安全代码的问题在于对pwszPath的字符串长度没有验证,从而导致wszMachineName堆栈变量的溢出。 冲击波病毒(Blaster)爆发的根源软件开发阶段的常见问题软件开发常见问题 缓冲区溢出 整数错误 跨站脚本 SQL注入信任输入,外部数据比目标空间大整数错误案例一、购买15999元的新款电视二、将运费改为-15998三、一元电视带回家代码安全 跨站脚本(Cross-Site Scripting):向浏览器发送未经验证的数据会使浏览器执行恶意代码;
5、 SQL注入(SQL Injection):根据用户输入来构造一个动态的SQL语句,这有可能使得攻击者能够修改语句的意思或者执行任意的SQL指令; 对所有输入输出进行验证; 使用参数化查询; 做编码转化如 encode; 过滤掉非法参数 如:、select、script等; 引入安全测试,如Fuzzing测试;代码安全修复措施21开源源代码检测工具工具名称检测语言版权LAPSEJava开源FluidJava开源JintJava开源CodeSpy Java开源JCSCJava开源JDepend Java开源ClassycleJava开源CheckstyleJava开源Dependency Fin
6、derJava开源OwaspJava开源HammurapiJava开源QJ-ProJava开源FindBugsJava开源PMDJava开源MikeJava开源DoctorJJava开源信息泄露U盘使用安全电子邮件安全IM即时通讯安全密码安全互联网应用安全终端安全日常工作安全意识养成和制度遵从运维安全信息保密性!原则原则 :不该知道的人,不:不该知道的人,不让他知道!让他知道!职业素养:闹矛盾、离职,职业素养:闹矛盾、离职,把所有信息都删除或拷贝后把所有信息都删除或拷贝后发布在互联网上。发布在互联网上。保密性:要求保护数据内容不能泄露三思而后行发布信息前要三思!不建议发布涉及客户业务及隐私的相
7、关信息。QQ、微信、网盘个人信息要保密 有专门的黑客人士会收集用户名和密码,形成庞大的社工库。大量敏感信息泄露6500万用户信息泄露帅哥美女信息泄露VIP会员信息,订单信息泄露网上注册要谨慎!信息泄露U盘使用安全电子邮件安全IM即时通讯安全密码安全互联网应用安全终端安全日常工作安全意识养成和制度遵从运维安全 U盘病毒传播造成60%企业内网安全问题 运维时禁止使用U盘随意拷贝资料注意u盘泄密AutoRun.Infsys.exeB电脑A电脑Internet U盘病毒传播造成60%企业内网安全问题 使用U盘前首先要杀毒轮渡木马AutoRun.Infsys.exeB电脑A电脑Internet信息泄露U
8、盘使用安全电子邮件安全IM即时通讯安全密码安全互联网应用安全终端安全日常工作安全意识养成和制度遵从运维安全电子邮件安全Step 1 嵌入超链接指向虚假站点Step 2 冒牌的ebay钓鱼邮件在“发信人”栏列出的是“S-HarboreB”,它指向eBay公司的合法域名,信件中嵌入的链接也指向“eB”,甚至还使用了加密通道(“https:”)。在这些暗示和信件内容的基础上,用户对该信件就会建立一种思想模型,即eBay要求更新用户信息,然后用户就采取行动,点击嵌入的超链接,并认为它指向eBay。 电子邮件要谨记信息泄露U盘使用安全电子邮件安全IM即时通讯安全密码安全互联网应用安全终端安全日常工作安全
9、意识养成和制度遵从运维安全谁动了我的MSN?Win32.Smibag 通过MSN发送的一个名为 “smb.exe”的文件进行传播 激活后自动搜索MSN列出的所有联系人地址,向这些地址自动发送文件IM通讯感染机制1.从信任伙伴收到“恶意”信息2.点击链接,打开浏览器3.恶意站点访问4.终端感染恶意代码5.恶意代码控制通信软件6.信息进一步扩散。IM通讯聊天要注意信息泄露U盘使用安全电子邮件安全IM即时通讯安全密码安全互联网应用安全终端安全日常工作安全意识养成和制度遵从运维安全你的密码是123456? 口令强度不足不定期更改你的密码。只要有足够的时间,无论多高强度的密码最终都可被破解! 一般来说密
10、码寿命最好不超过一个月。键盘锁定密码使用推荐 cptbtptpbcptdtptp 使用大写字母、小写字母、数字、特殊符号组成的密码 长度大于8个字节 不同的账号使用不同的密码 不使用敏感字符串,如生日、姓名关联 离开时需要锁定计算机信息泄露U盘使用安全电子邮件安全IM即时通讯安全密码安全互联网应用安全终端安全日常工作安全意识养成和制度遵从运维安全互联网应用安全 三个途径 邮件 不点击危险附件(包括预览) IM 不点击危险链接 浏览器 不浏览不受信站点 浏览器安全设置信息泄露U盘使用安全电子邮件安全IM即时通讯安全密码安全互联网应用安全终端安全日常工作安全意识养成和制度遵从运维安全终端安全 补丁
11、管理 企业评估 基线评估工具 MBSA 自动更新 口令 移动存储媒体安全 个人防护软件 防病毒 防攻击信息泄露U盘使用安全电子邮件安全IM即时通讯安全密码安全互联网应用安全终端安全日常工作安全意识养成和制度遵从运维安全 接入安全 VPN 权限管理 申请、发放、注销、审计 资产管理 核心资产 文档(合约、集团文件) 分级管理 按密级加密 建立-使用-销毁全程控制 设备 识别 必要信息 信息(经营、客户分析数据) 扩散范围日常工作安全信息泄露U盘使用安全电子邮件安全IM即时通讯安全密码安全互联网应用安全终端安全日常工作安全意识养成和制度遵从运维安全但我们可以养成好的安全习惯 网页浏览 电子邮件 IM和P2P 口令习惯 U盘存储 补丁和杀毒软件 加密存储良好的安全习惯 门窗、柜子、抽屉随时锁好 佩戴胸卡、注意陌生人 会议闭门举行 谈论工作注意场合 打印和复印 废弃资料的销毁和再利用 下班关闭电源 定期备份 及时报告可疑事件良好的安全习惯谈论工作内部办公安全管理办法
