1、01信息安全概述第一章信息安全原理及从业人员安全素养第 2 页定义 信息安全是指信息化系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或恶意的破坏、更改、泄露,以保证信息化系统连续可靠地运行,信息服务不中断。信息安全“三要素三要素”,即需保证数据的保密性保密性、交易的完整性完整性(不被非法篡改)、所寄生系统的可用性可用性。这三要素相互作业目的是确保业务的连续性。企业在确保“合规”(国家法律、法规、行业规范、企业规章制度)的大前提下,信息安全处将建立适合本企业的科学、有效管理体系,并要求各单位通过管理、技术二大手段,开展一系列工作。第一节.信息安全概述第一章交易完整性系
2、统可用性数据保密性业务连续性第 3 页第一章第 4 页第二节.信息安全紧迫性(1)01应用环境风险第一章第 5 页第二节.信息安全紧迫性(2)第一章第三节.身边的安全事件第 6 页01应用环境风险第一章第 7 页第三节.身边的安全事件第一章学生姓名、家长手机信息!老师信息!第 8 页第三节.身边的安全事件第一章第 9 页第三节.身边的安全事件第一章第 10 页第三节.身边的安全事件第一章第 11 页第三节.身边的安全事件第一章第 12 页第三节.身边的安全事件第一章快看,信息裸奔!快看,信息裸奔!第 13 页第三节.身边的安全事件第一章第 14 页第三节.身边的安全事件第一章第 15 页第三节
3、.身边的安全事件第一章第四节.安全态势分析(1)第 16 页叛国者正义的化身 自恋狂斯大爷恐怖主义者 临时工英雄泄密者众盼亲离卫士小人罪犯WHO IS HE?MTWTFSS3012345678910111213141516171819202122232425262728292013年6月6月6日,美国华盛顿邮报披露称,过去6年间,美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器,监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。美国舆论随之哗然。第一章第四节.安全态势分析(1)第 17 页第一章第四节.安全态势分析(2)第 18 页MTWTFSS301234
4、56789101112131415161718192021222324252627282014年2月2月27日,中央网络安全和信息化领导小组成立,在北京召开了第一次会议。习近平任组长,李克强、刘云山任副组长。这再次体现了中国最高层全面深化改革、加强顶层设计的意志,显示出在保障网络安全、维护国家利益、推动信息化发展的决心。第一章第四节.安全态势分析(2)第 19 页政治局常委任组长的部分小组中央全面深化改革领导小组中央网络安全和信息化领导小组中央外事/国家安全工作领导小组中央对台工作领导小组中央财经领导小组国务院振兴东北地区等工业基地领导小组国家科技教育领导小组国务院西部地区开发领导小组国家应对
5、气候变化及节能减排工作领导小组第一章第四节.安全态势分析(2)第 20 页第一章第四节.安全态势分析(1)第 21 页第四章第 22 页第四节.安全态势分析(2)01信息安全保障体系第二章第 23 页信息安全原理及从业人员安全素养第二章第 24 页第一节.信息安全保障背景和实践电讯技术的发明19世纪30年代计算机技术的发展20世纪50年代计算机安全阶段20世纪60年代互联网的使用20世纪90年代通信保密阶段20世纪40年代信息安全保障阶段20世纪90年代第二章第 25 页第二节.信息安全保障基础信息系统的复杂性系统的自身缺陷互联网的开放性人为、环境因素非法入侵、破坏、窃取多方面自然威胁内、外因
6、相互作用第二章第 26 页第三节.信息安全保障体系保 障 要 素技 术管 理工 程人 员规划组织可 用 性完 整 性保 密 性生 命 周 期开发采购实施交付运行维护废 弃安全保障安全技术保障安全管理保障安全工程保障人员保障安全保障评估保 障产生给出证据信 心所有者需要生命周期安全工程保障控制要求人 员 保 障安全工程能力成熟度级要求安全管理保障控制要求安全技术保障控制要求安全管理能力成熟度级要求安全技术架构能力成熟度级要求信息系统安全保障控制能力成熟度级别风 险那么最小化资 产梳理使 命完成01基础技术与原理第三章第 27 页信息安全原理及从业人员安全素养第三章第 28 页第一节.密码技术 概
7、念口令?密码?口令是与账户ID对应的,需要两者完全匹配来验证身份的登陆认证。账户ID可明文公开,而口令作为账户ID的补充,一般加密,为加密口令。密码是指通过一定的算法,将明文加密后,形成的密文,是保密信息的具体内容。把口令等同于密码的说法,实际是缩小了密码的范畴,是不合适的。第三章第 29 页强口令要求1、至少8个字符以上;(计算,有多少种排列组合?)2、必须同时包含字母、数字、特殊符号在内;3、英文中不包含账户ID、姓名、公司名称,不包含完整的单词;4、英文字母大小写混用;5、数字中,不出现生日、规则序列;6、不同于最近3次;第一节.密码技术 口令第三章第 30 页第一节.密码技术 之 对称
8、密钥替换算法-3+3第三章第 31 页第一节.密码技术 之 对称密钥置换算法替换算法-3+3第三章第 32 页第一节.密码技术 之 非对称密钥加解密过程明文m明文m密文c加密算法ED解密算法密钥源密钥k密钥k普通信道安全信道攻击者mK)(mEck)()(mEDcDmkkk加密加密:解密解密:第三章第 33 页第三节.访问控制技术访问控制模型访问控制模型自主访问控制模型DAC强制访问控制模型MAC基于角色访问控制模型RBAC访问矩阵模型保密性模型完整性模型混合策略模型访问控制表(ACL)访问能力表(CL)Bell-Lapudula 模型Biba 模型Clark-Wilson 模型Chinese
9、Wall 模型第三章第 34 页第三节.访问控制技术访问控制模型01网络安全第四章第 35 页信息安全原理及从业人员安全素养第四章第 36 页第一节.网络安全基础纠错、流控制 电、物理信号、线路寻址、路由物理层网络控制、链路纠错网络接口层通讯机制、验证服务 格式转换、加/解密 链路层网络层传输层会话层表示层应用层提供应用软件的接口 互联层传输层传输层OSI 和 TCP/IP第四章第 37 页第二节.网络安全威胁技术(1)125346互联网信息收集综合扫描扫描技术IP地址扫描端口扫描漏洞扫描弱口令扫描第四章第 38 页第二节.网络安全威胁技术(2)网络嗅探嗅探(sniff),就是窃听网络上流经的
10、数据包,而数据包里面一般会包含很多重要的私隐信息,如:你正在访问什么网站,你的邮箱密码是多少,你在和哪个MM聊QQ等等.而很多攻击方式(如著名的会话劫持)都是建立在嗅探的基础上的。B机C机D机E机交换机网关我是网关我是B机ARP攻击者截获B机的数据包!第四章第 39 页第二节.网络安全威胁技术(3)网络协议欺骗协议类型:包括TCP欺骗和UDP欺骗攻击层面:在传输层实施的通信欺骗攻击攻击方式:是通过将外部计算机伪装成合法计算机来实现的,欺骗的目的是使其它计算机误将攻击者的计算机作为合法计算机接受,从而诱使其它计算机向攻击者计算机发送数据或允许它修改数据,最终破坏计算机间通信链路上的正常数据流,或
11、者在两台计算机的通信链路中插入数据.B机ARP攻击者A机1.用DDos攻击使B瘫痪2.源 IP=B,SYN4.源 IP=B,ACK5.源 IP=B,开始通信3.SYN+ACK第四章第 40 页第二节.网络安全威胁技术(4)DNS欺骗基于DNS服务器欺骗基于用户计算机的欺骗设置正确的固定DNS第四章第 41 页第二节.网络安全威胁技术(5)诱骗式攻击诱骗下载游戏和插件下载热门应用下载电子书P2P种子文件网站钓鱼网站挂马框架挂马JS脚本挂马BOBY挂马伪装欺骗挂马社会工程第四章第 42 页第二节.网络安全威胁技术(6)软件漏洞攻击文件处理软件浏览器软件操作系统服务漏洞ActiveX控件第四章第 4
12、3 页第二节.网络安全威胁技术(7-1)拒绝服务攻击定义:拒绝服务攻击(Denial of Service,DoS)攻击者向目标计算机发出数量众多的攻击数据包,消耗目标计算机的大量网络带宽和计算机资源,使得目标主机无法提供服务响应的攻击方式.实现方式:1)利用目标主机自身存在的DoS漏洞;2)耗尽目标主机的CPU和内存;3)耗尽目标主机的网络带宽;DoS攻击分类1)IP层协议攻击(反射型DoS攻击)2)TCP协议攻击(协议缺陷型DoS攻击)3)UDP协议攻击(针对DNS服务的UDP洪水攻击)4)应用层协议攻击(脚本洪水攻击)第四章第 44 页第二节.网络安全威胁技术(7-2)分布式拒绝服务攻击
13、定义:就是在DoS攻击基础上,由攻击者通过非法控制的大量第三方计算机辅助其攻击的一种攻击方式,DDoS可简单理解为多对一的攻击.实现方式:1)感染上千台服务器,是其成为傀儡机(肉鸡),并具备发动DoS攻击能力;2)上千台肉鸡构成的僵尸网络,等待来自主控中心的攻击命令;3)中央攻击控制中心在适时启动全体受控主机的DoS服务进程,让它们对一个特定目标发送尽可能多的网络访问请求,形成一股DoS洪流冲击目标系统,猛烈的DoS攻击同一个网站。D.DoS攻击者主控端主控端主控端DoS代理端(肉鸡)DoS代理端(肉鸡)DoS代理端(肉鸡)DoS代理端(肉鸡)DoS代理端(肉鸡)DoS代理端(肉鸡)受害服务器
14、第四章第 45 页第二节.网络安全威胁技术(9)WEB脚本攻击 之 sql注入定义:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击第四章第 46 页第二节.网络安全威胁技术(9)WEB脚本攻击 之 跨站定义:跨 站 攻 击,即 C r o s s S i t e S c r i p t Execution(通常简写为XSS)。是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用
15、户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。););alert(alert(xssxss);/);CCMP(讯息认证码)RC4-AES 取代增大钥匙和初向量减少封包个数安全讯息验证系统第五章第 66 页第五节.无线网络安全技术无线网关安全防护路由器(家庭网关)的防护策略,都有哪些?没有不能破解的无线加密WPA2加密关闭SSID广播修改默认IP调节发射功率及时升级固件MAC地址过滤停用DHCPAP设备强密码第五章第 67 页第五节.无线网络安全技术(1)SSID、ESSIDSSID(Service Set Identifier)AP
16、唯一的ID码,用来区分不同的网络,无线终端和AP的SSID必须相同方可通信。出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。第五章第 68 页第五节.无线网络安全技术(2)直接序列扩频传送的信号扩频后的信号伪随机 PN码解扩后的信号收到的信号伪随机 PN码第五章第 69 页第五节.无线网络安全技术(3)访问控制第五章第 70 页第五节.无线网络安全技术(4)RADIUS服务RADIUS服务器RADIUS客户端用户DB客户端密钥DB字典DB(1)用户输入用户名和密码(2)用户输入用户名和密码(3)认证通过(4)计费请求(start)(5)计费响应(6)访问交互 访
17、问交互 (7)计费请求(stop)(8)计费响应(9)通知认证结束用户第五章第 71 页第五节.无线网络安全技术(5)入侵检测系统第五章第 72 页第五节.无线网络安全技术(6)生物特征识别视网膜、脸型指纹、掌纹声音、签名手型、虹膜第五章第 73 页第五节.无线网络安全技术(7)双因素认证LOGIN:PASSCODE:都教授AY08PIN159759已初始化为全球同步时间令牌码:通常为60s变化一次内部电池唯一的128位种子令牌码+双因素口令 =一致同步RSA认证服务期第五章第 74 页第五节.无线网络安全技术(8)智能卡01系统安全第六章第 75 页信息安全原理及从业人员安全素养第六章第 7
18、6 页第一节.操作系统安全操作系统安全1 187目录及文件夹控制文件安全备份和恢复冗余和镜像系统架构关键系统组件系统服务进程启动过程安全子系统登陆验证用户权限日志审计本地策略组策略46235第六章第 77 页第一节.操作系统安全账户安全策略第六章第 78 页第一节.操作系统安全组安全策略第六章第 79 页第一节.操作系统安全UNIX文件策略第六章第 80 页第二节.数据库安全用户标识和鉴定第六章第 81 页第二节.数据库安全存取控制第六章第 82 页第二节.数据库安全审计第六章第 83 页第二节.数据库安全数据加密口令的HASH值第六章第 84 页第二节.数据库安全 之 10大威胁特权滥用第六
19、章第 85 页第二节.数据库安全 之 10大威胁提权SQLGRANT sysdba TO SCOTT;-将特权帐户授权给其它帐户第六章第 86 页第二节.数据库安全 之 10大威胁平台漏洞第六章第 87 页第二节.数据库安全 之 10大威胁SQL注入第六章第 88 页第二节.数据库安全 之 10大威胁审计缺失拒绝服务自动记录所有敏感的和异常的数据库事务应该是所有数据库部署基础的一部分。如果数据库审计策略不足,则系统将在很多级别上面临严重风险。通过多种技巧,为拒绝服务创造条件,其中利用漏洞来制造拒绝服务攻击。常见的系统故障场景:资源过载。第六章第 89 页第二节.数据库安全 之 10大威胁协议漏
20、洞备份数据暴露数据库的漏洞,一半以上都是和协议有关。针对这些漏洞的欺骗性活动包括未经授权的数据访问、数据破坏以及拒绝服务。备份数据库存储介质对于攻击者是毫无防护措施的。因此,在若干起著名的安全破坏活动中都是数据库备份磁带和硬盘被盗第六章第 90 页第二节.数据库安全 之 10大威胁不健全认证暴力:攻击者不断尝试、枚举用户名和口令组合,直到猜解可登陆的一组。甚至通过自动化程序,加快暴力破解的进度。而此过程,系统全然不知。社会工程:攻击者利用人天生容易相信别人的倾向来获取他人的信任,从而获得登陆凭证。直接窃取:攻击者可能通过抄写在即时贴上的内容或者复制密码文件来窃取登陆凭证;如下图第六章第 91
21、页第二节.数据库安全 之 安全检查端口扫描第六章第 92 页第二节.数据库安全 之 安全检查渗透测试第六章第 93 页第二节.数据库安全 之 安全检查运行监控01应用安全第七章第 94 页信息安全原理及从业人员安全素养第七章第 95 页第一节.软件漏洞概念及分类多年以来,在计算机软件(包括来自第三方的软件,商业的和免费的软件)中已经发现了不计其数能够削弱安全性的缺陷(bug)。黑客利用编程中的细微错误或者上下文依赖关系,已经能够控制Linux,让它做任何他们想让它做的事情。漏洞13.下载未经完整性检查14.不正确的初始化15.使用被破解的加密算法16.滥用特权操作1.错误的输入验证2.不正确的
22、转义输出3.SQL注入)错误4.跨站脚本5.操作系统命令注入6.明文传送敏感信息7.资源竞争8.错误信息泄露9.缓冲区内操作失败10.外部控制重要状态数据11.不可信搜索路径12.控制代码生成错误第七章第 96 页第一节.软件漏洞缓冲区溢出漏洞第七章第 97 页第一节.软件漏洞格式化字符串漏洞猜猜这是啥?第七章第 98 页第一节.软件漏洞软件漏洞案例第七章第 99 页第一节.软件漏洞软件漏洞案例 心脏出血第七章第 100 页第二节.软件安全开发建立安全威胁模型考虑风险消减技术方案,应用于产品中,以缓解威胁;分析软件产品的安全环境、功能作用、潜在攻击者的关注点、攻击力度;安全模型步骤分析软件产品
23、可能遭受的威胁、包括技术、危害、攻击面;将所有的威胁进行评估分析,并按照风险值进行排序,对风险较大的威胁重点关注;第七章第 101 页第二节.软件安全开发安全设计代码重用业务认可最少公用全面防御最小权限开放设计原则安全加密实效防护第七章第 102 页第二节.软件安全开发安全编程数据的机密性使用验证过的加密算法;使用非对称传递会话密钥;使用会话加密机制加密传输数据;给用户最低权限,操作结束后即时回收;数据的完整性检查访问路径、调用的返回代码及关键的输入参数;全面处理异常输入输出;检查竞争条件;数据的有效性检查环境参数;使用绝对路径;设置超时;对不同角色权限作不同限制;对IP、端口进行限制;采用新
24、版本的开发环境;对内存中数据的访问进行严格的检查;第七章第 103 页第二节.软件安全开发安全测试构造畸形数据验证输入输出文件全面测试异常处理全面检测输入测试非正常路径采用反汇编检测敏感信息第七章第 104 页第三节.软件安全检测静态安全检测技术1词法分析2数据流分析3污点传播分析4符号执行5模型检验6定理证明动态安全检测技术1生成模糊测试数据2检测模糊测试数据3监测程序异常4确定可利用性第七章第四节.软、硬件安全保护注册信息验证技术 软件防篡改技术代码混淆技术软件水印技术软件加壳技术软件安全保护技术反调试反跟踪技术 加密狗光盘保护技术专用接口卡11 12 223第 105 页第七章第五节.恶
25、意程序分类网站钓鱼木马蠕虫病毒恶意脚本宏病毒单一病毒第 106 页第七章第五节.恶意程序传播方式网站挂马、诱骗下载、移动存储介质传播、电子邮件和即时通讯软件传播、局域网传播破坏功能浏览器配置被修改、窃取用户隐私、远程控制、破坏系统第 107 页第七章第五节.恶意程序查杀技术和防范启发式查杀启发式查杀虚拟机查杀虚拟机查杀特征码查杀特征码查杀主动防御技术主动防御技术第 108 页第七章第六节.WEB应用系统安全威胁种类注入、跨站、遭破坏的身份认证和会话、不安全的直接对象引用、伪造跨站请求、安全配置错误、不安全的加密存储、无限制URL访问、传输层保护不足、未经验证的重定向和转发第 109 页第七章第
26、六节.WEB应用系统安全WEB安全防护客户端安全防护通信信道安全防护服务器安全防护WEB安全防护第 110 页第七章第六节.WEB应用系统安全WEB安全检测黑盒检测白盒检测安全检测检测报告第 111 页01信息设备安全第八章第 112 页信息安全原理及从业人员安全素养第八章第一节.计算机设备安全风险接入控制第 113 页第八章第一节.计算机设备安全风险第 114 页键盘控制第八章第三节.穿戴式设备安全穿戴式设备安全穿戴式设备安全iWatch 智能手表谷歌眼镜头盔显示器鼓点T恤手套式手机智能手环第 115 页01互联网应用安全第九章第 116 页信息安全原理及从业人员安全素养1969198719
27、9119941996200020072014201020131969年 美国 Internet的诞生:ARPAnet1987.9.14,中国的第一封邮件从北京计算机应用技术研究所发出1991年 美国政府宣布Internet向社会公众开放1994.5.15,中国科学院高能物理研究所设立了国内第一个WEB服务器,推出中国第一套网页,1995年 Internet上的商务信息超过科研信息1996.9.22,全国第一个城域网-上海热线正式开通试运行各国融入Internet第九章第一节.互联网发展史第 117 页19691987199119941996200020072014201020131997年 中
28、国四大骨干网互联互通;1998.11.29,马化腾创办了腾讯1999年 招商银行推出“一网通”网上银行;2000年,网易、新浪、搜狐陆续登陆纳斯达克;互联网进入快速发展期各国融入InternetInternet快速发展第 118 页第九章第一节.互联网发展史19691987199119941996200020072014201020131997年 IBMHPSUN 宣布1998年为电子商务年;1998年3月,中国第一笔互联网网上交易成功;2001年,李彦宏创立“百度”,为国内各网站提供搜索服务;2003年,阿里巴巴相继成立“淘宝”、“支付宝”;2007年,阿里巴巴在香港上市;各国融入Inter
29、net电子商务崛起Internet快速发展第 119 页第九章第一节.互联网发展史19691987199119941996200020072014201020132009年成为我国的3G元年,我国正式进入第三代移动通信时代;2010年,腾讯360之争,称为3Q大战;2010年3月10日,中国移动以人民币398亿元收购浦发银行22亿新股;各国融入Internet电子商务崛起Internet快速发展互联网金融第 120 页第九章第一节.互联网发展史19691987199119941996200020072014201020132013年12月4日工信部正式向三大运营商发布4G牌照,标志着真正移动互
30、联网高速发展期的到来;各国融入Internet电子商务崛起Internet快速发展互联网金融移动互联网第 121 页第九章第一节.互联网发展史第 122 页第九章第二节.互联网应用风险MTWTFSS311234567891011121314151617181920212223242526272829302014年3月3月22日晚间,国内漏洞研究机构乌云平台曝光称,携程系统开启了用户支付服务接口的调试功能,包括信用卡用户的身份证、卡号、CVV码等信息可能被黑客任意窃取。第 123 页第九章第二节.互联网应用风险第 124 页第九章第二节.互联网应用风险网页木马实际上是一个HTML网页,与其它网页
31、不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。第 125 页第九章第二节.互联网应用风险QQ群安全防护第 126 页第九章第三节.移动互联网安全风险不过,相比手机中木马病毒的风险,手机支付最大的安全隐患是丢失和被盗。因为支付宝里绑定了银行卡,如果手机丢了,密码被破解盗用,那
32、么个人银行账户可能也危险了。”另外,不法分子可能发起对其社会关系及社交圈的攻击,隐患可能远远大于其本身的信息泄露或被盗,后果不堪设想。虚拟信用卡微信安全第 127 页第九章第三节.移动互联网安全风险虚拟信用卡微博安全第 128 页第九章第四节.支付和移动支付安全风险虚拟信用卡第 129 页第九章第四节.支付和移动支付安全风险虚拟信用卡互联网支付份额01社会工程学第十章第 130 页信息安全原理及从业人员安全素养第 131 页第十章第一节.社会工程学概述第 132 页第十章第一节.社会工程学概述六度分隔法第 133 页第十章第一节.社会工程学概述学会说行话每个行业都有自己的缩写术语。而社会工程学
33、黑客就会研究你所在行业的术语,以便能够在与你接触时卖弄这些术语,以博得好感。“这其实就是一种环境提示”,“假如我跟你讲话,用你熟悉的话语来讲,你当然就会信任我.要是我还能用你经常在使用的缩写词汇和术语的话,那你就会更愿意向我透露更多的我想要的信息。”第 134 页第十章第一节.社会工程学概述 犯罪分子会有意拨通电话,录下你的等待音乐,然后加以利用.比如当他打给某个目标对象时,他会跟你谈上一分钟然后说:抱歉,我的另一部电话响了,请别挂断,这时,受害人就会听到很熟悉的公司定制的等待音乐,然后会想:哦.此人肯定就在本公司工作.这是我们的音乐.这不过是又一种心理暗示而已.”背景音乐 但最分子常常会利用
34、电话号码欺诈术,也就是在目标被叫者的来电显示屏上显示一个和主叫号码不一样的号码.“犯罪分子可能是从某个公寓给你打的电话,但是显示在你的电话上的来电号码却可能会让你觉得好像是来自同一家公司的号码,”Lifrieri说.于是,你就有可能轻而易举地上当,把一些私人信息,比如口令等告诉对方.而且,犯罪分子还不容易被发现,因为如果你回拨过去,可能拨的是企业自己的一个号码.电话号码欺诈第 135 页第十章第一节.社会工程学概述 中新网3月22日电 马航MH370客机失联已近两个星期,就在人们牵挂失联航班最新进展的时候,社交网络上却有不法分子利用马航事件发起盗号攻击。病毒团伙把盗号木马伪装为事件相关报道、图
35、片压缩包,再通过QQ和论坛等渠道传播,近期360对此类盗号木马拦截量超过2万次。情感式攻击第 136 页第十章第一节.社会工程学概述 真 or 假假第 137 页第十章第一节.社会工程学概述 垃圾邮件的发送者会购买大量的垃圾股,然后伪装成投资顾问疯狂发送邮件,兜售所谓的“潜力股”.如果有足够多的邮件接收者相信了这一骗局并购买了这种垃圾股,其股价就会被哄抬.而始作俑者便会迅速卖空获利.恐慌性欺骗第 138 页第十章第二节.社会工程学典型案例逍遥法外01企业信息安全管理第十一章第 139 页信息安全原理及从业人员安全素养第 140 页第十一章第一节.信息安全保障体系IT保障体系第 141 页第十一
36、章第一节.信息安全保障体系IT保障体系第 142 页第十一章第二节.信息安全风险管理风险要素图第 143 页第十一章第二节.信息安全风险管理 光有威胁还构不成风险,威胁只有利用了特定的弱点(即脆弱性)才可能对资产造成影响,所以,组织应该针对每一项需要保护的信息资产,找到可被威胁利用的弱点。技术性弱点 系统、程序、设备中存在的漏洞或缺陷,比如结构设计问题和编程漏洞。操作性弱点 软件和系统在配置、操作、使用中的缺陷,包括人员日常工作中的不良习惯,审计或备份的缺乏。管理性弱点 策略、程序、规章制度、人员意识、组织结构等方面的不足。1 12 23 3资产资产资产脆弱性脆弱性脆弱性脆弱性脆弱性安全措施安
37、全措施安全措施安全措施风险残余风险残余风险残余风险威胁威胁威胁威胁第 144 页第十一章第二节.信息安全风险管理风险分析和评估流程第 145 页第十一章第二节.信息安全风险管理风险分析矩阵和坐标风险控制策略在组织选择并实施风险评估结果中推荐的安全措施之前,首先要明确自己的风险消减策略,也就是应对各种风险的途径和决策方式。降低风险(Reduce Risk)规避风险(Avoid Risk)转移风险(Transfer Risk)接受风险(Accept Risk)第 146 页第十一章第二节.信息安全风险管理风险控制风险控制是风险管理过程的第二个阶段,牵涉到确定风险控制策略、风险和安全控制措施的优先级
38、选定、制定安全计划并实施控制措施等活动。规避转移接受降低第 147 页第十一章第三节.信息安全应急响应应急响应是信息安全防护体系的最后一道屏障第 148 页第十一章第三节.信息安全应急响应应急响应组织体系支撑中心支撑中心客户关系系统客户关系系统营帐计费系统营帐计费系统数据分析系统数据分析系统管理支撑系统管理支撑系统门户网络系统门户网络系统管理层管理层各单位信息安全主管分管领导信息安全员、业务主管、技术主管各单位信息安全责任管理部门主要负责人执行层执行层决策层决策层第 149 页第十一章第四节.信息安全管理措施01相关标准和法规第十二章第 150 页信息安全原理及从业人员安全素养应用环境风险第一
39、节.国、内外相关标准第十二章第 151 页应用环境风险第一节.国、内外相关标准第十二章第 152 页管理管理技术技术第一节.国、内外相关标准第十二章第 153 页应用环境风险第三节.我国相关法律法规(1)第十二章第 154 页应用环境风险第三节.我国相关法律法规(2)第十二章第 155 页MTWTFSS3012345678910111213141516171819202122232425262728292013年9月范强、王贵林利用“伪基站”设备,在较大范围内较长时间造成用户通信中断,严重危害公共安全。静安区检察院对两人以涉嫌破坏公用电信设施罪批准逮捕。这也是沪上首例“伪基站”案件。第二章第一
40、节.一年来信息安全大事记 节选(二)第 156 页第二章第 17 页 劫持用户设备,获取用户信息正常通讯截获当前位置频点频点仿制 发射大功率信号,干扰周边通讯编辑欺诈短信 发送垃圾(欺诈)短信第一节.一年来信息安全大事记 节选(二)第 157 页DNS释义DNS 是域名系统(Domain Name System)的缩写,是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。第二章MTWTFSS12345678910111213141516171819202122232425262728293031 2
41、014年1月2014年1月21日,全国大范围出现DNS故障,下午15时20分左右,中国顶级域名根服务器出现故障,包括百度在内的大部分网站受影响,此次故障未对国家顶级域名.CN造成影响。第一节.一年来信息安全大事记 节选(三)第 158 页DNS工作原理1.问址 IP?2.202.108.22.5缓存本地DNS服务器百度服务器用户第二章第一节.一年来信息安全大事记 节选(三)第 159 页DNS污染原理1.问址 IP?2.65.49.2.178指向错误本地DNS服务器(已污染)用户第二章百度服务器第一节.一年来信息安全大事记 节选(三)第 160 页DNS劫持原理1.问址 IP?2.指向错误DN
42、S(黑客控制)用户假冒百度第二章百度服务器本地DNS服务器第一节.一年来信息安全大事记 节选(三)第 161 页01上海电信员工安全意识及素养第十三章第 162 页信息安全原理及从业人员安全素养第十三章上海公司第 163 页第十三章上海公司第 164 页统一认证系统内、外部账号分布CRM系统内、外部账号分布帐号分布第十三章第 165 页上海公司第十三章第 166 页上海公司IT运维审计(亚信堡垒机1套)数据脱敏处理(自主研发)桌面云部署(2600台华为桌面云)终端管理软件(2000套华为TSM)数据库审计(安恒明御1套)第十三章第 167 页上海公司营业厅营业厅客服客服运维运维桌面云第十三章第
43、 168 页上海公司统一认证AccountAccount 统一账号统一账号AuditAudit 统一安全审计统一安全审计AuthorizationAuthorization 统一授权统一授权 AuthenticationAuthentication 统一认证统一认证 4A4A统一安全管理统一安全管理第十三章第 169 页上海公司堡垒机Account 统一账号统一账号Audit 统一安全审计统一安全审计Authorization 统一授权统一授权 Authentication 统一认证统一认证 4A统一安全管理统一安全管理第十三章第 170 页上海公司数据库审计第十三章第 171 页上海公司统一
44、认证第十三章第 172 页上海公司问题提出第十三章第 173 页上海公司问题提出01今年安全事件综述附录一第 174 页信息安全原理及从业人员安全素养附录一第 175 页2013年信息安全大事记Dropbox网络存储服务中断新加坡历时最长的一次手机网络故障1月10日1月15日墨西哥国防部网站遭黑客攻击1月16日Java安全漏洞频发1月31日附录一第 176 页2013年信息安全大事记日本外务省电脑遭黑客攻击 20份机密文件疑外泄白名单安全厂商Bit9遭入侵 恶意软件被信任运行2月5日2月8日中国人寿个人信息泄漏 80万份保单可上网查询2月26日Evernote遭到黑客攻击 5000万用户密码需
45、重置3月4日附录一第 177 页2013年信息安全大事记韩国遭受大规模网络攻击Spamhaus创造DDoS攻击流量记录3月20日3月26日支付宝存在安全漏洞导致用户信息泄漏2月27日美国运通遭网络攻击后运营瘫痪3月30日附录一第 178 页2013年信息安全大事记以色列多家政府网站遭到网络攻击成龙慈善基金会官网连续遭到黑客攻击4月6日4月21日荷兰国家数字身份证明系统遭攻击,千万人网上支付中断4月24日黑客攻击美联社推特发虚假信息附录一第 179 页2013年信息安全大事记美第二大团购网Livingsocial遭黑客攻击 五千万客户资料外泄黑客攻击美国国家漏洞数据库致其下线4月27日4月29日
46、美工程兵水坝数据库遭黑客入侵 3个月后才被发现5月1日泰国首相府官网遭黑客入侵5月8日附录一第 180 页2013年信息安全大事记招行系统全面瘫痪2小时台菲“黑客大战”大陆黑客参战支援同胞5月12日5月12日棱镜门事件6月6日福州市二医院网络一度瘫痪患者就诊卡“失灵”6月11日附录一第 181 页2013年信息安全大事记史上最大规模DNS劫持疯狂“吸金”已致800万用户感染IBM软件缺陷导致多地工商银行网点因故障停办业务6月14日6月23日CNCERT发现一系列具有欺诈行为的手机木马韩总统府等16个机构网络遭黑客攻击6月26日附录一第 182 页2013年信息安全大事记苹果网站遭袭击 部分信息
47、或被盗荷兰域名服务器失守 成千网站现恶意软件7月21日8月14日证监会调查乌龙指解密 光大前后四次篡改程序8月16日 11:05.CN域名遭据绝服务攻击大面积瘫痪8月25日附录一第 183 页2013年信息安全大事记“伪基站”发百万条短信致大量用户手机脱网沃达丰德国网络遭攻击 200万用户信息泄露9月11日9月12日黑客攻击美多家数据公司盗卖客户信息9月28日接疑似工行警示短信 登钓鱼网站被骗20万附录一第 184 页2013年信息安全大事记个人开房记录遭泄 输姓名便可查苹果iCloud故障频发10月5日10月10日淘宝购物退款电信诈骗案高发 郑州抓获骗子团伙10月22日上海警方破获一起特大跨
48、境电信诈骗案件10月23日附录一第 185 页2013年信息安全大事记快递客户信息遭批量“兜售”部分路由器存在后门漏洞10月23日10月25日美国安局被曝监听意大利4600万个电话并截获情报10月28日Adobe公司遭黑客袭击 3.8千万用户资料和部分源码被盗10月29日附录一第 186 页2013年信息安全大事记3名黑客被指从美国导弹防御局和NASA挖掘数据航班取消诈骗短信频繁 多人受骗10月29日10月25日以色列公路控制系统被黑 导致交通拥堵10月30日GSM高危漏洞曝光 手机短信可被黑客监听11月1日附录一第 187 页2013年信息安全大事记新加坡多处网络设施遭攻击搜狗浏览器“泄密事
49、件”11月4日11月5日美国CorporateCarO 85万条记录被盗11月7日俄罗斯核电站和国际空间站曾感染震网病毒11月10日附录一第 188 页2013年信息安全大事记医保平台崩溃重创奥巴马科技政府形象7000多万个QQ群数据遭泄露11月13日11月20日黑客利用金山WPS软件漏洞攻击政府部门12月3日Facebook、Twitter和雅虎等网站200多万密码被盗12月5日附录一第 189 页2013年信息安全大事记美国能源部53000前任和现任员工个人信息被盗美国一医疗集团四百万条病人记录被盗12月14日美爆特大信用卡数据盗窃案 4000万顾客购物沦陷12月15日日本超级计算机遭黑客入侵 尖端科研数据或被盗12月18日附录一第 190 页2013年信息安全大事记RSA被指收美政府千万美元在加密算法中安后门12306网站上午崩溃 下午“串号”泄露用户隐私12月21日12月28日?*月*日?*月*日第 52 页
