信息安全意识专题讲座安全的意义案例分析安全的防范信息安全意味着什么?HackingTeam一家以协助政府监视公民而“闻名于世”的意大利公司,他们向包括摩洛哥、埃塞俄比亚以及美国毒品管制局在内的政府及执法机构出售入侵和监视工具在2012年的时候从HackingTeam购买软件,用于盗取信息数据,并远程控制智能手机和电脑网友“和菜头”称,我花了半个小时将她的700多条微博浏览了一遍,知道了她的居住地、孩子的真实姓名和生日。我还知道了她的家庭状况,老公几天回家一次。通过她自己的制服照和手机签到信息,我知道了她单位的名称。通过照片,我知道了她每周固定带孩子去玩的地方。1991年,美国国会总审计署宣布在海湾战争期间,几个荷兰少年黑客侵入国防部的计算机,修改或复制了一些非保密的与战争相关的敏感情报,包括军事人员、运往海湾的军事装备和重要武器装备开发情况等。曾主动向萨达姆提出,帮助伊拉克干扰美军在中东的部署,条件是付给他们100万美元。萨达姆以为是诈骗而拒绝了。911事件一年后,重返世贸大厦的企业由原先的350家减少到150家,200家企业由于重要信息系统破坏及关键数据丢失而永远倒闭消失。据互联网数据中心(IDC资讯)调查,在20世纪最后10年中,美国发生过灾难的公司中,55%的公司当即倒闭,剩下45%中由于信息数据丢失,29%的公司在两年内倒闭,能生存下来的仅占16%。2月24日在美国拉斯维加斯召开的RSA2014大会上,美国国防部安全服务厂商CYFIR公司在其展台上的一幅海报引起轩然大波。这副海报所表达的信息也是首次把国家之间的安全对抗摆上台面。2月27日,中央网络安全和信息化领导小组成立,习近平亲任组长。和以往国家层面信息安全领导机构相比,规格置顶。习主席同时也给出了:没有网络安全,就没有国家安全;没有信息化,就没有现代化的指导精神。国家安全信息安全就是生命安全家庭安全企业安全当然也是中国好网民有高度的安全意识有文明的网络素养有守法的行为习惯有必备的防护技能热点事件分析•关键字:微信WIFI二维码手机互联网金融社会工程学工控智能中国网民66,800,000,000.00人均1244500万网民1000个人信息泄露诈骗信息垃圾信息姓名身份证号学历家庭住址工作单位通话记录网购记录网站浏览痕迹IP地址软件使用痕迹地理位置微信•微信(WeChat)是腾讯公司于2011年1月21日推出的一个为智能终端提供即时通讯服务的免费应用程序,微信支持跨通信运营商、跨操作系统平台通过网络快速发送免费(需消耗少量网络流量)语音短信、视频、图片和文字,同时,也可以使用通过共享流媒体内容的资料和基于位置的社交插件“摇一摇”、“漂流瓶”、“朋友圈”、”公众平台“、”语音记事本“等服务插件。微信不仅仅是聊天工具微信漏洞搜号码找到你危险级别:****可能风险:骗子随便输入一个号码,就能看到这个人姓名、照片、居住地,然后……验证方法:打开微信,点击朋友们-添加朋友-搜号码-输入你的手机号码,如果能显示你的照片、姓名,恭喜你中招了!这意味着随便陌生人搜你的号码都能看到你的资料。要命的是这个漏洞在你安装微信的时候默认是开着的!解决办法:赶快关闭这个漏洞。点击微信设置-隐私-加好友权限-通过手机号搜索到我,将这项关闭掉!最好将你的姓名换成“大师兄,二师弟”一类的昵称,不要用你的真实姓名,不要用你的真实头像。不要关联你的居住地。微信漏洞绑定QQ号危险级别:****可能风险:你QQ上泡的MM,胡吹海聊的陌生人,随时可以查看你的真身验证方法:打开微信,点击朋友们-添加朋友-搜号码-输入你的QQ号码,如果能看到你的姓名、照片,恭喜你中招了!这意味着随便你的那些QQ好友,或者是随便搜到你的QQ的人,都可以看到你的真名、照片。要命的是这个漏洞在你安装微信的时候默认是开着的!解决办法:赶快解除和QQ号码的绑定。点击微信设置--隐私-加好友权限--通过QQ号搜索到我,将这项关闭掉!点击微信设置--我的账号--QQ号,如果绑定了,赶紧解除绑定!如果你的邮件地址也绑定了,赶快也解除绑定。另外最好将你的姓名换成“大师兄,二师弟”一类的昵称,不要用你的真实姓名,不要用你的真实头像。不要关联你的居住地。微信漏洞查看附近的人危险级别:***可能风险:早上走出门,看到路旁的一个坏小子冲你傻笑,因为他看到你就知道你是谁,还知道你手机号码。验证方法:不用验证,如果你架不住好奇,点了微信里面的“附近的人”,看看谁在用微信,同时你也就将自己出卖了。因为这时候,别人也能看到你是谁?如果你又用了你的头像,你的真实姓名,你的手机号码,你……碉堡了。解决办法:抑制住自己的那一点点好奇心吧。不要点击那个查看附近的人。想看周围的人,早上出门满大街都是的。然后将你的微信姓名换成“大师兄,二师弟”一类的昵称,不要用你的真实姓名,不要用你的真实头像。不要关联你的居住地。微信漏洞允许陌生人查看十张照片危险级别:***可能风险:早上走出门,看到路旁的那个坏小子又在冲你傻笑,因为他又看到了你的私家照片。验证方法:不用验证,如果你是拍照控,整天没事就喜欢拍个照片发到微博,或者是发到微信,那么……碉堡是迟早的事儿。解决办法:抑制住你自己的那一点点表现欲吧。你不是摄影大师阿尔弗雷德,不要看到什么拍什么,不要在卧室拍照,不要在澡堂拍照,不要在会议室拍照,更不要用微信、微博来拍这些照片,否则,不仅仅是碉堡,还可能因为侵犯隐私而被起诉,或者是被人肉。赶紧地点击微信设置--隐私--朋友圈权限--允许陌生人查看十张照片,关闭掉!热点事件分析•关键字:微信WIFI二维码手机互联网金融社会工程学工控智能WIFI•Wi-Fi是一种可以将个人电脑、手持设备(如pad、手机)等终端以无线方式互相连接的技术,事实上它是一个高频无线电信号。•315视频•1.采用WPA/WPA2加密方式•2.不要使用初始口令和密码•3.更改无线路由器后台管理的用户名和密码•4.禁用WPS功能•5.启用MAC地址过滤功能•6.关闭远程管理端口,关闭路由器的DHCP功能•7.平时使用要注意固件升级•8.不管在手机端还是电脑端都应安装安全软件您的WIFI路由器同样需要安全防护!!!热点事件分析•关键字:微信WIFI二维码手机互联网金融社会工程学工控智能二维码•二维条码/二维码(2-dimensionalbarcode)是用某种特定的几何图形按一定规律在平面(二维方向上)分布的黑白相间的图形记录数据符号信息的;在代码编制上巧妙地利用构成计算机内部逻辑基础的“0”、“1”比特流的概念,使用若干个与二进制相对应的几何形体来表示文字数值信息,通过图象输入设备或光电扫描设备自动识读以实现信息自动处理转发验证码的病毒危害明码标价开卖二维码木马二维码骗钱原理还原验证短信窃取分解示意图安全扫码小小一个二维码,病毒藏有千千万,见码就扫真不好,小心驶得万年船。热点事件分析•关键字:微信WIFI二维码手机互联网金融社会工程学支付工控智能事件概述:9月2日,DCCI互联网数据中心发布《2014年上半年Android手机隐私安全报告》,数据显示,92.8%安卓手机用户在手机中存放隐私,半数左右的用户没有管理隐私的意识。热点事件分析•关键字:微信WIFI二维码手机互联网金融社会工程学工控智能事件概要:3月22日,乌云网公布了携程日志服务器存在目录遍历漏洞以及携程将所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。而该信息加密级别并不够高,可以被轻易获取。网银安全指南热点事件分析•关键字:微信WIFI二维码手机互联网金融社会工程学工控智能社会工程学社会工程学攻击是一种通过对被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱所采取的诸如欺骗、伤害等危害手段,获取自身利益的手法。黑客社会工程学攻击则是将黑客入侵攻击手段进行了最大化,不仅能够利用系统的弱点进行入侵,还能通过人性的弱点进行入侵,当黑客攻击与社会工程学攻击融为一体时,将根本不存在所谓安全的系统。如何通过两张照片,在40分钟内推理并锁定王珞丹住址?那么问题来了,现场考一考:美国保险太平洋银行的电汇交易室,每天交易达几十亿美元。电汇的交易员每天早晨都会收到一个严密保护的密码,用来电话转账交易。电汇室的交易员为了记住每天的密码,把密码记到一张纸片上,并把它贴到很容易看见的地方。数据备份工程师瑞夫金银行国际部员工1电汇交易室员工1电汇交易室员工2银行国际部员工2密码……电话电交室,转账1千万$到瑞士的账户,验证内部电话号码及交易密码电交室接受业务处理,并要求提供转账号向另外一部门员工索取转账号借助备份系统的机会,获取交易密码1伪装成电汇交易室员工23获取到转账号,再次电话进行交易,汇款成功4几天后,飞往瑞士提取现金,通过俄罗斯一家代理商购买800万钻石,封在腰带里带回美国5伪装成国际部员工21.安全政策的效果完全取决于实际执行情况。2.惰性,大意,甚至乐于助人的善良都是会被利用的弱点。典型的社会工程学案例当心来路不明的服务供应商等人的电子邮件、即使简讯以及电话。在提供任何个人信息之前验证其可靠性和权威性;缓慢并认真地浏览电子邮件和短信中的细节。不要让攻击者消息中的急迫性阻碍了你的判断;自学,信息是预防社会工程攻击的最有力的工具,积极了解如何鉴别和防御网络攻击者;永远不要点击来自未知发送者的电子邮件中的嵌入链接。如果有必要就使用搜索引擎寻找网站或手工输入网站URL;永远不要再未知发送者的电子邮件中下载附件,如果有必要,可以在保护视图中打开附件;拒绝来自陌生人的在线电脑技术帮忙,无论他们声称自己是多么正当;使用强大的防火墙来保护电脑空间,以及及时更新杀毒软件同时提高垃圾邮件过滤的门槛;下载软件及操作系统补丁,预防零日漏洞。及时跟随软件供应商发布的补丁同时尽可能地安装补丁版本;关注网站的URL,有时网上的骗子对URL做了细微的改动,将流量诱导进了自己的诈骗网站;不要幻想不劳而获,如果你没有买过彩票,那么你不会成为中大奖的幸运儿;怎样避免遭受社交工程学攻击良好的办公安全习惯热点事件分析•关键字:微信WIFI二维码手机互联网金融社会工程学工控智能8月1日晚,温州有线电视网络系统部分用户机顶盒遭攻击,出现一些反动宣传内容,影响了群众正常收看电视,造成不良影响。10月24日,国内安全极客嘉年华-GeekPwn开幕,在2天的时间内,包括特斯拉、锤子手机、360儿童卫士等智能产品均被现场破解。在安全圈内轰动一时。9月15日,绿盟科技发布《2014绿盟科技工控系统安全事态报告》,从细分行业、政策法规、技术方向和安全现状与问题等几个方面展示了当前工控安全急需关注的窘境。TIPS:12月2日,全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)秘书处组织召开了“推荐性国家标准GB/T30976.1~.2-2014《工业控制系统信息安全》(2个部分)发布暨报告会。工控系统面临的安全威胁•1、采用了默认配置;•2、采用不充分的访问控制;•3、缺乏充分的口令策略、没有口令、口令泄露;•4、应用系统未经过安全测试,不定更新不及时;•5、系统本身处在多种安全漏洞(SQL注入漏洞、缓冲区溢出漏洞等);•6、软件本身设计缺陷,缺少安全功能;•7、采用不安全的ICS协议;•8、启用了不必要的服务;•9、缺乏安全日志维护;•10、未对安全事件进行检测和审计。•2003年电监会的《电力二次系统安全防护规定》•2011年工信部发布关于工控安全的451号文•2012年国务院23号文强调加强工控安全•2013年电监会50号文,《电力工控信息安全专项监管工作方案》•国家烟草局《烟草工业企业生产区与管理区网络互联安全规范》•2012信安标委正在组织多个工控安全相关国家标准的编制•2003年电监会的《电力二次系统安全防护规定》•电科院–建立安全实验室,搭建试验环境,争取行业内科技项目,目前正在起步–曾参与国家或行业标准制定•石化行业–建立安全实验室,搭建试验环境•中石油–参与发改委的工控安全标准制定工作–已经开始了针对工控环境的安全检查–筹建工控安全实验