搜索
信息安全意识深圳市网安计算机安全检测技术有限公司2014.7讲师简介袁源,信息安全领域博士后,长期从事信息安全技术、管理、规划工作,以及信息安全产品、技术理论与研发等相关工作。主持并参与了国家“十五”、“十一五”规划的多个信息安全项目。现担任网安公司总工程师,负责公司所有等保测评、安全运维、安全咨询项目的技术方案、现场实施和质量管理工作。持有证书:CISA/CISP/27001LA/等级保护高级测评师1234信息安全现状信息安全认识主要内容信息安全常用控制措施信息安全技术理论关于信息安全的一些误解信息安全就是防黑客信息安全就是网络安全信息安全就是防病毒信息安全就是技术问题信息安全就是应付上级检查信息安全就是给我们找麻烦信息安全事件(一)电视选秀节目场外抽奖均为诈骗由于《我是歌手》、《中国最强音》、《中国梦之声》等综艺节目在上半年火爆流行,因此各种假冒电视综艺节目的中奖类钓鱼网站急速增多。据统计,今年虚假中奖类网站占钓鱼网站总数的32%,位列钓鱼网站第一,成为用户隐私信息及财产安全的最大威胁。假冒节目中奖类钓鱼网站会通过短信、彩信、邮件、QQ,甚至是传真等多种渠道散播虚假中奖信息,以十几万元的高额奖金及苹果电脑等丰厚奖品作为诱饵,将网友指向制作精良、难辨真伪的高仿钓鱼网站进行钓鱼诈骗。在“领奖过程”中,骗子会通过假冒的领奖信息页面套取网友的姓名、电话、住址、银行卡号和身份证等重要个人信息,以便牟取暴利。同时,骗子还会以奖金奖品的转账及运输风险抵押金为名,让用户汇款几千甚至上万元到指定账户,达到骗取钱财的目的。信息安全事件(二)棱镜门事件2013年6月,一位名为爱德华•斯诺登的前美国中央情报局(CIA)雇员在香港露面,并向媒体披露了一些机密文件,致使包括“棱镜”项目在内的美国政府多个秘密情报监视项目遭到披露。据了解,“棱镜”项目涉及美国情报机构在互联网上对包括中国在内的多个国家10类主要信息进行监听,其包括电邮信息、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料等细节。涉及“棱镜门”的思科产品,在国内163、169两大主干通讯网络中占据了70%以上份额,把持了所有超级核心节点,这无异于在国内的主要通讯网络中埋下了高危的定时炸弹,各类敏感信息随时都面临被第三方监听、备份的风险。信息安全事件(三)东航等多家航空公司疑泄露乘客信息从2013年9月开始,陆续有消费者通过微博等网络信息平台发布投诉,称自己在订购了机票之后,收到了一条短信称其航班被取消,要求联系短信中所提供400开头的“客服号码”,结果在通话过程中提供了个人银行账户,蒙受了几百至数千元不等的损失。尽管并非所有乘客都与诈骗方联系从而被套走钱款,但他们在意识到遭遇诈骗短信后提出了共同的疑问:诈骗方是如何知道乘客姓名、航班班次、订单号甚至身份证号、护照号等详细信息的。此案涉及南航、东航、山东航空、深圳航空等多家国内知名航空公司。信息安全事件(四)陕西移动BBS积分漏洞2008年,陕西移动开启BBS,为吸引人气,推出发一个帖子给10个积分的活动,积分可以换取礼品和话费。但是BBS出现一个漏洞,编辑一个帖子并不停按回车键就可以不停的发新帖,短时间内积分可迅速增加。2012年京东商城网站积分换话费的活动也出现了重大漏洞,充值未成功的积分则会被双倍退回账户。该漏洞被网友发现后,在网络上被大量转发,不少用户都充值了上千元的Q币、购买数百元的彩票,甚至还有用户称充值了36万元的话费。业界人士预计京东亏损在2亿左右。信息安全事件(五)二维码病毒黑客将病毒、木马程序或手机扣费软件等网站链接生成二维码形式的图形,伪装于打折、促销广告或者热门游戏、系统升级软件中,诱导用户扫描(扫描二维码相当于点击了一次病毒链接)。用户扫描后,恶意程序在后台运行,使用户发送短信,消耗流量、造成话费流失。如果用户在手机上使用电子商务应用,可能造成用户电子商务信息的丢失,国内经常发生扫描二维码后支付宝资金被转走的事件。注意:•到官方网站下载二维码扫描软件•不要见码就刷,确认该二维码出自正规网站•在手机预装杀毒软件信息安全不再是高科技电影中的桥段,在工作、生活中面临信息安全带来的各种威胁。从多个案例看,无论是个人隐私,还是企业机密,乃至国家机要,都面临着全面泄密的风险。智能移动设备带来的信息安全风险最大。随着技术的日益发展,信息安全问题将有可能成为影响企业生存发展的致命伤。案例思考什么是信息?通常我们可以把信息理解为消息、信号、数据、情报和知识。信息本身是无形的,借助于信息媒体以多种形式存在或传播:•存储在计算机、磁带、纸张等介质中•记忆在人的大脑里•通过网络、打印机、传真机等方式进行传播信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产:•计算机和网络中的数据•硬件和软件•关键人员•组织提供的服务•各类文档信息生命周期创建传递销毁存储使用更改什么是信息安全?不止技术才是信息安全采取技术与管理措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。C保密性(Confidentiality)——确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性(Integrity)——确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。可用性(Availability)——确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:IADisclosureAlterationDestruction泄漏破坏篡改信息安全的三要素CIA保护组织的信息资产,使之不坏、更改及泄露,保证信息确保组织业务运行的连续性。ConfidentialityIntegrityAvailabilityInformation信息安全的实质信息安全现状统计信息安全现状统计2012年,检测到恶意程序162981个,较2011年增加25倍。其中,82.5%针对android平台,恶意扣费软件占据第一位。信息安全现状统计2012年,火焰病毒、高斯病毒、红色十月病毒等实施复杂apt攻击的恶意程序频现,其功能以收集信息和窃取情报为主,且均已隐蔽工作了数年。涉及政府机构、重要信息系统部门和高新技术企事业单位。1234信息安全现状信息安全认识主要内容信息安全常用控制措施信息安全技术理论信息安全威胁无处不在信息资产流氓软件黑客渗透内部人员威胁病毒和蠕虫硬件故障网络通信故障供电中断失火雷雨地震拒绝服务社会工程系统漏洞木马后门小测试您每次是双击打开U盘吗?您离开自己的电脑会锁屏吗?您会点击不明邮件发来的链接吗?您的电脑定期更换密码吗?安全名言计算机安全领域一句格言:“真正安全的计算机是拔下网线,断掉电源,放在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。”绝对的安全是不存在的!安全名言“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话……”——KevinMitnick人是信息安全最薄弱的环节!安全名言安全是一种平衡!安全名言安全控制的成本安全事件的损失最小化的总成本低高高安全成本/损失所提供的安全水平保密性与可用性平衡成本利益的平衡信息安全并不是无数的信息安全产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程。安全名言1234信息安全现状信息安全认识主要内容信息安全常用控制措施信息安全技术理论物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程学口令安全信息安全控制物理安全控制措施(举例)物理区域设置门禁,出入登记关键物理区域,安排接待人员或门卫所有人员必须佩戴相应的身份识别卡进门注意身后是否有无关人员,防止尾随所有人员不得将身份识别卡借与他人使用物理区域应划分为不同的安全级别,分别标识与控制定期备份机房视频录像物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程学口令安全信息安全控制信息资产安全控制措施(举例)信息资产要按照敏感性进行分类与标识员工对信息资产的访问应根据其工作职责及信息资产的敏感性设置不同的访问控制措施明确各类信息资产的管理及使用职责信息安全控制物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程学口令安全移动介质安全控制措施(举例)未经批准,严禁携带移动介质进入机房等敏感区域,在机房内必须使用专用的移动介质。移动介质内临时存储的敏感数据应及时清除。在自己的办公电脑上使用别人的移动介质前应查杀病毒。物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程学口令安全信息安全控制电子邮件安全控制措施(举例)在接收或发送电子邮件前,公司的防病毒服务器应对所有电子邮件的附件进行安全扫描。办公电脑要安装防病毒软件,并打开邮件监控功能,及时更新病毒库。不随便打开陌生地址邮件的附件。物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程学口令安全信息安全控制常见的计算机病毒网络蠕虫利用网络进行复制和传播,传染途径是通过网络和电子邮件。蠕虫Worm木马Trojan木马病毒一种后门程序,商业目的特征强,主要目的是偷窃计算机上的敏感信息(如银行账户、游戏账号等)。病毒防范策略控制措施(举例)升级操作系统,更新补丁。安装并更新杀毒软件及木马防火墙。不要随意下载或安装不明网站软件。用杀毒软件定期全盘扫描计算机。物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程口令安全信息安全控制什么是社会工程学定义为某些非容易的获取讯息,利用社会科学(此指其中的社会常识)尤其心理学,语言学,欺诈学将其进行综合,有效的利用(如人性的弱点),并最终获得信息为最终目的学科称为“社会工程学”。常见方式冒充银行人员诱导客户转账到指定账户。(如ATM诈骗)偷听内部员工在走廊里的聊天内容。冒充邮差,清洁工等外部人员进入公司窃取敏感资料。冒充厂商技术人员打电话获取内部信息(如网络地址,端口号等)典型社会工程应用——网络钓鱼定义网络钓鱼(Phishing)攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。钓鱼网站类型新型钓鱼方法示例如何防范网络钓鱼控制措施(举例)不要把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ、MSN、Email等软件传播,这些途径往往可能被黑客利用来进行诈骗。不要相信网上流传的消息,除非得到权威途径的证明。如股票QQ群发布的信息。不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。不要轻易相信通过电子邮件、手机短信等发布的中奖信息、促销信息等,除非得到另外途径的证明。收到类似短信“钱还没打吧,我那卡磁条坏了,请汇到这个卡上就行了,农业银行xxxxxxxxxxxxxxxx,户名:XXX”物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程口令安全信息安全控制脆弱的口令举例少于8个字符单一的字符类型,例如只用小写字母,或只用数字用户名与口令相同最常被人使用的弱口令:123456自己、家人、朋友、亲戚、宠物的名字生日、结婚纪念日、电话号码等个人信息安全口令建议口令至少应该由8个字符组成口令应包