信息安全意識課件

信息安全意味著什么？HackingTeam一家以協(xié)助政府監(jiān)視公民而“聞名于世”的意大利公司，他們向包括摩洛哥、埃塞俄比亞以及美國毒品管制局在內(nèi)的政府及執(zhí)法機構出售入侵和監(jiān)視工具。在2012年的時候從HackingTeam購買軟件，用于盜取信息數(shù)據(jù)，并遠程控制智能手機和電腦。1991年，美國國會總審計署宣布在海灣戰(zhàn)爭期間，幾個荷蘭少年黑客侵入國防部的計算機，修改或復制了一些非保密的與戰(zhàn)爭相關的敏感情報，包括軍事人員、運往海灣的軍事裝備和重要武器裝備開發(fā)情況等。曾主動向薩達姆提出，幫助伊拉克干擾美軍在中東的部署，條件是付給他們100萬美元。薩達姆以為是詐騙而拒絕了。911事件一年后，重返世貿(mào)大廈的企業(yè)由原先的350家減少到150家，200家企業(yè)由于重要信息系統(tǒng)破壞及關鍵數(shù)據(jù)丟失而永遠倒閉消失。據(jù)互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC資訊）調(diào)查，在20世紀最后10年中，美國發(fā)生過災難的公司中，55%的公司當即倒閉，剩下45%中由于信息數(shù)據(jù)丟失，29%的公司在兩年內(nèi)倒閉，能生存下來的僅占16%。

2月24日在美國拉斯維加斯召開的RSA2014大會上，美國國防部安全服務廠商CYFIR公司在其展臺上的一幅海報引起軒然大波。這副海報所表達的信息也是首次把國家之間的安全對抗擺上臺面。國家安全信息安全就是生命安全家庭安全企業(yè)安全當然也是中國好網(wǎng)民有高度的安全意識有文明的網(wǎng)絡素養(yǎng)有守法的行為習慣有必備的防護技能熱點事件分析關鍵字：微信WIFI二維碼

手機互聯(lián)網(wǎng)金融社會工程學工控智能個人信息泄露詐騙信息垃圾信息姓名身份證號學歷家庭住址工作單位通話記錄網(wǎng)購記錄網(wǎng)站瀏覽痕跡IP地址軟件使用痕跡地理位置微信微信(WeChat)是騰訊公司于2011年1月21日推出的一個為智能終端提供即時通訊服務的免費應用程序，微信支持跨通信運營商、跨操作系統(tǒng)平臺通過網(wǎng)絡快速發(fā)送免費（需消耗少量網(wǎng)絡流量）語音短信、視頻、圖片和文字，同時，也可以使用通過共享流媒體內(nèi)容的資料和基于位置的社交插件“搖一搖”、“漂流瓶”、“朋友圈”、”公眾平臺“、”語音記事本“等服務插件。微信不僅僅是聊天工具微信漏洞

綁定QQ號

危險級別：****

可能風險：你QQ上泡的MM，胡吹海聊的陌生人，隨時可以查看你的真身

驗證方法：打開微信，點擊朋友們-添加朋友-搜號碼-輸入你的QQ號碼，如果能看

到你的姓名、照片，恭喜你中招了！這意味著隨便你的那些QQ好友，或者是隨便搜到

你的QQ的人，都可以看到你的真名、照片。要命的是這個漏洞在你安裝微信的時候默認是開著的！

解決辦法：趕快解除和QQ號碼的綁定。點擊微信設置--隱私-加好友權限--通過QQ號搜索到我，將這項關閉掉！點擊微信設置--我的賬號--QQ號，如果綁定了，趕緊解除綁定！如果你的郵件地址也綁定了，趕快也解除綁定。另外最好將你的姓名換成“大師兄，二師弟”一類的昵稱，不要用你的真實姓名，不要用你的真實頭像。不要關聯(lián)你的居住地。微信漏洞

查看附近的人

危險級別：***

可能風險：早上走出門，看到路旁的一個壞小子沖你傻笑，因為他看到你就知道你是誰，還知道你手機號碼。

驗證方法：不用驗證，如果你架不住好奇，點了微信里面的“附近的人”，看看誰在用微信，同時你也就將自己出賣了。因為這時候，別人也能看到你是誰？如果你又用了你的頭像，你的真實姓名，你的手機號碼，你……碉堡了。

解決辦法：抑制住自己的那一點點好奇心吧。不要點擊那個查看附近的人。想看周圍的人，早上出門滿大街都是的。然后將你的微信姓名換成“大師兄，二師弟”一類的昵稱，不要用你的真實姓名，不要用你的真實頭像。不要關聯(lián)你的居住地。微信漏洞

允許陌生人查看十張照片

危險級別：***

可能風險：早上走出門，看到路旁的那個壞小子又在沖你傻笑，因為他又看到了你的私家照片。

驗證方法：不用驗證，如果你是拍照控，整天沒事就喜歡拍個照片發(fā)到微博，或者是發(fā)到微信，那么……碉堡是遲早的事兒。

解決辦法：抑制住你自己的那一點點表現(xiàn)欲吧。你不是攝影大師阿爾弗雷德，不要看到什么拍什么，不要在臥室拍照，不要在澡堂拍照，不要在會議室拍照，更不要用微信、微博來拍這些照片，否則，不僅僅是碉堡，還可能因為侵犯隱私而被起訴，或者是被人肉。趕緊地點擊微信設置--隱私--朋友圈權限--允許陌生人查看十張照片，關閉掉！WIFIWi-Fi是一種可以將個人電腦、手持設備（如pad、手機）等終端以無線方式互相連接的技術，事實上它是一個高頻無線電信號。315視頻熱點事件分析關鍵字：微信WIFI二維碼

手機互聯(lián)網(wǎng)金融社會工程學工控智能二維碼二維條碼/二維碼（2-dimensionalbarcode）是用某種特定的幾何圖形按一定規(guī)律在平面（二維方向上）分布的黑白相間的圖形記錄數(shù)據(jù)符號信息的；在代碼編制上巧妙地利用構成計算機內(nèi)部邏輯基礎的“0”、“1”比特流的概念，使用若干個與二進制相對應的幾何形體來表示文字數(shù)值信息，通過圖象輸入設備或光電掃描設備自動識讀以實現(xiàn)信息自動處理。安全掃碼小小一個二維碼，病毒藏有千千萬，見碼就掃真不好，小心駛得萬年船。熱點事件分析關鍵字：微信WIFI二維碼

手機

互聯(lián)網(wǎng)金融社會工程學支付工控智能9月2日，DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心發(fā)布《2014年上半年Android手機隱私安全報告》，數(shù)據(jù)顯示，92.8%安卓手機用戶在手機中存放隱私，半數(shù)左右的用戶沒有管理隱私的意識。

熱點事件分析關鍵字：微信WIFI二維碼

手機互聯(lián)網(wǎng)金融社會工程學工控智能3月22日，烏云網(wǎng)公布了攜程日志服務器存在目錄遍歷漏洞以及攜程將所有向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務器。而該信息加密級別并不夠高，可以被輕易獲取。

網(wǎng)銀安全指南熱點事件分析關鍵字：微信WIFI二維碼

手機互聯(lián)網(wǎng)金融社會工程學工控智能社會工程學社會工程學攻擊是一種通過對被攻擊者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱所采取的諸如欺騙、傷害等危害手段，獲取自身利益的手法。黑客社會工程學攻擊則是將黑客入侵攻擊手段進行了最大化，不僅能夠利用系統(tǒng)的弱點進行入侵，還能通過人性的弱點進行入侵，當黑客攻擊與社會工程學攻擊融為一體時，將根本不存在所謂安全的系統(tǒng)。如何通過兩張照片，在40分鐘內(nèi)推理并鎖定王珞丹住址？那么問題來了，現(xiàn)場考一考：美國保險太平洋銀行的電匯交易室，每天交易達幾十億美元。電匯的交易員每天早晨都會收到一個嚴密保護的密碼，用來電話轉賬交易。電匯室的交易員為了記住每天的密碼，把密碼記到一張紙片上，并把它貼到很容易看見的地方。數(shù)據(jù)備份工程師瑞夫金銀行國際部員工1電匯交易室員工1電匯交易室員工2銀行國際部員工2密碼……電話電交室,轉賬1千萬$到瑞士的賬戶,驗證內(nèi)部電話號碼及交易密碼電交室接受業(yè)務處理，并要求提供轉賬號向另外一部門員工索取轉賬號借助備份系統(tǒng)的機會，獲取交易密碼1偽裝成電匯交易室員工23獲取到轉賬號，再次電話進行交易，匯款成功4幾天后，飛往瑞士提取現(xiàn)金，通過俄羅斯一家代理商購買800萬鉆石，封在腰帶里帶回美國5偽裝成國際部員工2安全政策的效果完全取決于實際執(zhí)行情況。惰性，大意，甚至樂于助人的善良都是會被利用的弱點。典型的社會工程學案例當心來路不明的服務供應商等人的電子郵件、即使簡訊以及電話。緩慢并認真地瀏覽電子郵件和短信中的細節(jié)。不要讓攻擊者消息中的急迫性阻礙了你的判斷；自學，信息是預防社會工程攻擊的最有力的工具，積極了解如何鑒別和防御網(wǎng)絡攻擊者；永遠不要點擊來自未知發(fā)送者的電子郵件中的嵌入鏈接。如果有必要就使用搜索引擎尋找網(wǎng)站或手工輸入網(wǎng)站URL；永遠不要再未知發(fā)送者的電子郵件中下載附件，如果有必要，可以在保護視圖中打開附件；拒絕來自陌生人的在線電腦技術幫忙，無論他們聲稱自己是多么正當；使用強大的防火墻來保護電腦空間，以及及時更新殺毒軟件同時提高垃圾郵件過濾的門檻；下載軟件及操作系統(tǒng)補丁，預防零日漏洞。及時跟隨軟件供應商發(fā)布的補丁同時盡可能地安裝補丁版本；關注網(wǎng)站的URL，有時網(wǎng)上的騙子對URL做了細微的改動，將流量誘導進了自己的詐騙網(wǎng)站；不要幻想不勞而獲，如果你沒有買過彩票，那么你不會成為中大獎的幸運兒；怎樣避免遭受社交工程學攻擊良好的辦公安全習慣熱點事件分析關鍵字：微信WIFI二維碼

手機互聯(lián)網(wǎng)金融社會工程學工控智能8月1日晚，溫州有線電視網(wǎng)絡系統(tǒng)部分用戶機頂盒遭攻擊，出現(xiàn)一些反動宣傳內(nèi)容，影響了群眾正常收看電視，造成不良影響。

10月24日，國內(nèi)安全極客嘉年華-GeekPwn開幕，在2天的時間內(nèi)，包括特斯拉、錘子手機、360兒童衛(wèi)士等智能產(chǎn)品均被現(xiàn)場破解。在安全圈內(nèi)轟動一時。

9月15日，綠盟科技發(fā)布《2014綠盟科技工控系統(tǒng)安全事態(tài)報告》，從細分行業(yè)、政策法規(guī)、技術方向和安全現(xiàn)狀與問題等幾個方面展示了當前工控安全急需關注的窘境。

TIPS：12月2日，全國工業(yè)過程測量控制和自動化標準化技術委員會(SAC/TC124)秘書處組織召開了“推薦性國家標準GB/T30976.1～.2-2014《工業(yè)控制系統(tǒng)信息安全》（2個部分）發(fā)布暨報告會。工控系統(tǒng)面臨的安全威脅工控系統(tǒng)面臨的安全威脅1、采用了默認配置；2、采用不充分的訪問控制；3、缺乏充分的口令策略、沒有口令、口令泄露；4、應用系統(tǒng)未經(jīng)過安全測試，不定更新不及時；5、系統(tǒng)本身處在多種安全漏洞（SQL注入漏洞、緩沖區(qū)溢出漏洞等）；6、軟件本身設計缺陷，缺少安全功能；7、采用不安全的ICS協(xié)議；8、啟用了不必要的服務；9、缺乏安全日志維護；10、未對安全事件進行檢測和審計。2003年電監(jiān)會的《電力二次系統(tǒng)安全防護規(guī)定》2011年工信部發(fā)布關于工控安全的451號文2012年國務院23號文強調(diào)加強工控安全2013年電監(jiān)會50號文，《電力工控信息安全專項監(jiān)管工作方案》國家煙草局《煙草工業(yè)企業(yè)生產(chǎn)區(qū)與管理區(qū)網(wǎng)絡互聯(lián)安全規(guī)范》2012信安標委正在組織多個工控安全相關國家標準的編制2003年電監(jiān)會的《電力二次系統(tǒng)安全防護規(guī)定》電科院建立安全實驗室，搭建試驗環(huán)境，爭取行業(yè)內(nèi)科技項目，目前正在起步曾參與國家或行業(yè)標準制定石化行業(yè)建立安全實驗室，搭建試驗環(huán)境中石油參與發(fā)改委的工控安全標準制定工作已經(jīng)開始了針對工控環(huán)境的安全檢查籌建工控安全實驗室工控企業(yè)的安全實踐國家政策、法規(guī)與標準2015安全一步之遙國家局的要求

信息網(wǎng)絡安全堅持積極防御、綜合防護和誰主管誰負責、誰運行誰負責、誰使用誰負責的原則。-《煙草行業(yè)信息網(wǎng)絡安全管理規(guī)定》行業(yè)各單位對聯(lián)入信息網(wǎng)絡的應用系統(tǒng)、終端計算機實行注冊管理。應用系統(tǒng)在上線前要經(jīng)過安全評估，要符合行業(yè)有關信息安全標準和管理規(guī)定。聯(lián)入信息網(wǎng)絡的終端計算機要符合行業(yè)及本單位的安全要求，不得安裝其他上網(wǎng)設備。行業(yè)各單位要對信息網(wǎng)絡采取以下措施：1.采取身份鑒別措施，有效防范非授權用戶登錄服務器、終端、應用系統(tǒng)以及安全保密設備。2.采取訪問控制措施，有效防范用戶對信息的越權訪問。3.采取安全審計措施，準確記錄用戶和管理人員的操作行為，有效監(jiān)控違規(guī)操作。鄂煙工[2011]215號關于開展2011年信息系統(tǒng)安全檢查工作的通知信息中心每半年對設備、系統(tǒng)的超級管理員賬號及權限進行復核，以對多余或不恰當?shù)馁~號進行調(diào)整主機操作系統(tǒng)、網(wǎng)絡設備、中間件及數(shù)據(jù)庫系統(tǒng)賬號口令策略要求：（一）口令應由不少于8位的大小寫字母、數(shù)字以及標點符號等字符組成，賬號口令必須是在必要時間或次數(shù)內(nèi)不循環(huán)使用。（二）口令應在90天內(nèi)至少更換一次，所有用戶口令的修改必須填寫《系統(tǒng)賬號口令權限修改表》，對重要設備和系統(tǒng)可采用一次性口令方式進行認證。安全管