網絡與信息安全講座

什么是網絡與信息信息：是一種資產同其它重要的商業(yè)資產一樣對不同的行業(yè)都具有相應的價值需要適合的保護以多種形式存在：紙、電子、影片、交談等網絡網絡是信息的一種載體是信息存放、使用、交互的重要途徑是一種容易識別的實體第一頁，共71頁。什么是網絡與信息安全信息安全：保護信息免受各種威脅確保業(yè)務連續(xù)性將信息不安全帶來的損失降低到最小獲得最大的回報網絡安全網絡、設備的安全線路、設備、路由和系統(tǒng)的冗余備份網絡及系統(tǒng)的安全穩(wěn)定運行網絡及系統(tǒng)資源的合理使用第二頁，共71頁。目錄一、背景概述二、信息安全基本概念四、信息安全運維三、網絡與信息安全的基本手段第三頁，共71頁。一、背景概述什么是“棱鏡”計劃？第四頁，共71頁。一、背景概述1.1、無處不在的威脅首個危害現(xiàn)實世界的病毒——震網病毒時間：2010--2011波及范圍：

全球45000個網絡目標：工業(yè)控制系統(tǒng)損失：工控系統(tǒng)受到干擾伊朗納坦茲鈾濃縮工廠離心機故障伊朗布什爾核電站汽輪機故障首個入侵工控系統(tǒng)的病毒Stuxnet-----------------------第五頁，共71頁。一、背景概述第六頁，共71頁。一、背景概述案例：安全威脅舉例--Phishing安全威脅釣魚欺騙事件頻頻發(fā)生，給電子商務和網上銀行蒙上陰影。2014年1月26日，央視曝光了支付寶找回密碼功能存在系統(tǒng)漏洞。由于此前支付寶泄密事件導致的信息泄漏，不法分子以此尋找受害人信息，通過找回密碼來獲得用戶支付寶訪問權限，從而將支付寶的錢款轉走。第七頁，共71頁。一、背景概述案例：全國最大的網上盜竊通訊資費案某合作方工程師，負責某電信運營商的設備安裝。獲得充值中心數(shù)據(jù)庫最高系統(tǒng)權限。從2005年2月開始，復制出了14000個充值密碼。獲利380萬。2005年7月16日才接到用戶投訴說購買的充值卡無法充值，這才發(fā)現(xiàn)密碼被人盜竊并報警。無法充值的原因是他最后盜取的那批密碼忘記了修改有效日期。第八頁，共71頁。中國已經成為網絡大國網絡規(guī)模全球第一網民用戶全球第一：網民突破7億（7.49億），網絡普及率72.5%（美國接近80%）；手機網民6.57億國內域名總數(shù)2060萬個，境內網站335萬家全球十大互聯(lián)網企業(yè)中中國又4家：阿里巴巴、騰訊、百度、京東網絡購物用戶達到5.61億，全國信息消費整體規(guī)模達到4.8萬億元人民幣，增長32%。電子商務交易總額（包括b2b和網絡零售）月23萬億元，同比增長29%，在全球電商市場里名列前茅。七大標志（CNNIC等相關機構發(fā)布，2015年底數(shù)字）：第九頁，共71頁。我國網絡大而不強中國信息化排名不斷下降：根據(jù)國際電信聯(lián)盟發(fā)布的“信息通訊技術發(fā)展指數(shù)（IDI）”寬帶建設明顯落后，人均寬帶與國際先進水平差距較大，美國網速大約是中國的5倍自主創(chuàng)新動力不足，關鍵技術受制于人，網絡安全面臨嚴峻挑戰(zhàn)：中國目前是網絡攻擊的主要受害國。侵犯個人隱私、損害公民合法權益等違法行為時有發(fā)生我國不同地區(qū)間“數(shù)字鴻溝”問題突出，信息化驅動工業(yè)化、城鎮(zhèn)化、農業(yè)現(xiàn)代化、國家治理體系和治理能力現(xiàn)代化的任務十分繁重。第十頁，共71頁。11

美國重新啟動《網絡安全框架》，為美國在大數(shù)據(jù)時代網絡安全頂層制度設計與實踐。

德國總理默克爾與法國總統(tǒng)奧朗德探討建立歐洲獨立互聯(lián)網（繞開美國），并計劃在年底通過歐洲數(shù)據(jù)保護改革方案。作為中國鄰國的俄羅斯、日本和印度也一直在積極行動。

目前，已有四十多個國家頒布了網絡空間國家安全戰(zhàn)略，五十多個國家和地區(qū)頒布保護網絡信息安全的法律。安全海陸空天網信息安全上升到國家安全高度第十一頁，共71頁。122014年2月27日，中央成立“網絡安全和信息化領導小組”，由習總書記親自擔任組長并且在第一次會議就提出“沒有信息化就沒有現(xiàn)代化，沒有網絡安全就沒有國家安全”。標志著我國網絡及信息安全已上升為“國家安全戰(zhàn)略”信息安全上升到國家安全高度第十二頁，共71頁。二、信息安全基本概念132023/4/15同有賽博版權所有什么是信息？數(shù)據(jù)01101001011110110010101010010011010010111110100101符號圖片語音什么是信息安全？第十三頁，共71頁。C保密性（Confidentiality）——確保信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或實體。完整性（Integrity）——確保信息在存儲、使用、傳輸過程中不會被非授權篡改，防止授權用戶或實體不恰當?shù)匦薷男畔?，保持信息內部和外部的一致性?？捎眯裕ˋvailability）——確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。CIA三元組是信息安全的目標，也是基本原則，與之相反的是DAD三元組：IADisclosureAlterationDestruction泄漏破壞篡改信息安全的三要素CIA二、信息安全基本概念第十四頁，共71頁。2023/4/1515進不來拿不走改不了跑不了看不懂信息安全的目的可審查二、信息安全基本概念第十五頁，共71頁。二、信息安全基本概念僵木蠕定義第十六頁，共71頁。二、信息安全基本概念傳播感染途徑蠕蟲（主動攻擊漏洞）其原理是通過攻擊系統(tǒng)所存在的漏洞獲得訪問權，并在Shellcode執(zhí)行bot程序注入代碼，將被攻擊系統(tǒng)感染成為僵尸主機。攻擊者還會將僵尸程序和蠕蟲技術進行結合，從而使bot程序能夠進行自動傳播。特洛伊木馬偽裝成有用的軟件，在網站、FTP服務器、P2P網絡中提供，誘騙用戶下載并執(zhí)行。郵件病毒bot程序還會通過發(fā)送大量的郵件病毒傳播自身，通常表現(xiàn)為在郵件附件中攜帶僵尸程序以及在郵件內容中包含下載執(zhí)行bot程序的鏈接，并通過一系列社會工程學的技巧誘使接收者執(zhí)行附件或點擊鏈接，或是通過利用郵件客戶端的漏洞自動執(zhí)行，從而使得接收者主機被感染成為僵尸主機。即時通信軟件利用即時通信軟件向好友列表發(fā)送執(zhí)行僵尸程序的鏈接，并通過社會工程學技巧誘騙其點擊，從而進行感染。惡意網站腳本擊者在提供Web服務的網站中在HTML頁面上綁定惡意的腳本，當訪問者訪問這些網站時就會執(zhí)行惡意腳本，使得bot程序下載到主機上，并被自動執(zhí)行。第十七頁，共71頁。18因為有病毒嗎？因為有黑客嗎？因為有漏洞嗎？這些都是原因，但沒有說到根源為什么會有信息安全問題第十八頁，共71頁。19信息安全問題產生的根源與環(huán)節(jié)內因：復雜性：過程復雜，結構復雜，使用復雜導致的脆弱性。

外因：對手:威脅與破壞第十九頁，共71頁。20內因——過程復雜信息系統(tǒng)理論如圖靈機，在程序與數(shù)據(jù)的區(qū)分上沒有確定性的原則，設計從設計的角度看，在設計時考慮的優(yōu)先級中安全性相對于易用性、代碼大小、執(zhí)行程度等因素被放在次要的位置實現(xiàn)由于人性的弱點和程序設計方法學的不完善，軟件總是存在BUG生產與集成使用與運行維護第二十頁，共71頁。21內因——結構復雜工作站中存在信息數(shù)據(jù)員工移動介質網絡中其他系統(tǒng)網絡中其他資源訪問Internet訪問其他局域網到Internet的其他路由電話和調制解調器開放的網絡端口遠程用戶廠商和合同方的訪問訪問外部資源公共信息服務運行維護環(huán)境第二十一頁，共71頁。22內因——使用復雜第二十二頁，共71頁。23安全外因——來自對手的威脅第二十三頁，共71頁。24安全外因——來自自然的破壞第二十四頁，共71頁。三、網絡與信息安全防護3.1、安全防護技術3.2、安全防護設備第二十五頁，共71頁。三、網絡與信息安全防護信息安全技術知識體系基礎信息安全技術信息和通信技術安全信息安全實踐信息安全技術密碼技術及應用訪問控制系統(tǒng)安全審計和監(jiān)控物理安全技術網絡安全技術系統(tǒng)安全技術應用安全技術安全攻防模型安全攻防實踐第二十六頁，共71頁。三、網絡與信息安全防護安全技術和產品物理隔離：網閘邏輯隔離：防火墻防御網絡的攻擊：抗攻擊網關預防病毒：防毒網關和軟件防垃圾郵件：防護郵箱入侵檢測和主動保護：IDS、IPS數(shù)據(jù)加密：VPN身份認證：鑒別、授權和管理系統(tǒng)漏洞檢測：漏洞掃描安全管理：安全策略，補丁管理，審計了解敵人：蜜罐第二十七頁，共71頁。網閘（物理隔離）網閘（GAP）全稱安全隔離網閘。安全隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的物理連接，從而阻斷了具有潛在攻擊可能的一切連接，使"黑客"無法入侵、無法攻擊、無法破壞，實現(xiàn)了真正的安全第二十八頁，共71頁。2023/4/1529防火墻防火墻是指設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網絡和信息安全的基礎設施。曉通分支名稱InternetFileServerClientMailServerClientClientClientFTPServer防火墻第二十九頁，共71頁。防火墻典型部署-30-部署在不同安全級別的網絡安全域之間，根據(jù)不同的安全級別對不同的安全域開啟不同的安全防護策略。第三十頁，共71頁。防病毒網關-31-是一種網絡設備，用以保護網絡內（一般是局域網）進出數(shù)據(jù)的安全。主要體現(xiàn)在病毒殺除、關鍵字過濾（如色情、反動）、垃圾郵件阻止的功能，同時部分設備也具有一定防火墻（劃分Vlan）的功能第三十一頁，共71頁。IPS（IntrusionPreventionSystem）/IDS（IntrusionDetectionSystem）-32-都是利用網絡流量中的特征簽等識別網絡中的惡意流量，如遠程連接、漏洞攻擊、拒絕服務攻擊、蠕蟲及木馬等。不同之處在于其部署的位置不一樣，且發(fā)現(xiàn)惡意流量采取的“動作”不一樣第三十二頁，共71頁。2023/4/1533指的是以公用開放的網絡(如Internet)作為基本傳輸媒體，通過加密和驗證網絡流量來保護在公共網絡上傳輸?shù)乃接行畔⒉粫桓`取和篡改，從而向最終用戶提供類似于私有網絡(PrivateNetwork)性能的網絡服務技術。遠程訪問Internet內部網分支機構虛擬私有網虛擬私有網虛擬私有網合作伙伴VPN(VirtualPrivateNetwork)第三十三頁，共71頁。漏洞掃描系統(tǒng)-34-漏洞掃描系統(tǒng)基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)、網絡設備的安全脆弱性進行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全設備。第三十四頁，共71頁。三、網絡與信息安全防護對信息安全保持清醒的認識

安全不是產品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、設備、管理三者緊密結合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展的動態(tài)過程如何正確認識信息安全？第三十五頁，共71頁。四、信息安全運維4.1、運維安全4.2、安全意識培養(yǎng)第三十六頁，共71頁。四、信息安全運維最常犯的一些錯誤

將口令寫在便簽上，貼在電腦監(jiān)視器旁開著電腦離開，就像離開家卻忘記關燈那樣輕易相信來自陌生人的郵件，好奇打開郵件附件使用容易猜測的口令，或者根本不設口令隨便撥號上網，或者隨意將無關設備連入公司網絡事不關己，高高掛起，不報告安全事件在系統(tǒng)更新和安裝補丁上總是行動遲緩只關注外來的威脅，忽視企業(yè)內部人員的問題第三十七頁，共71頁。四、信息安全運維38信息泄露U盤使用安全電子郵件安全IM即時通訊安全密碼安全無線網絡安全終端安全日常工作安全意識養(yǎng)成和制度遵從安全運維規(guī)避風險第三十八頁，共71頁。“鐵人”王進喜1964年《中國畫報》封面刊出的照片?！覈钪摹罢掌姑馨浮薄０咐谌彭?，共71頁。隱藏日本情報專家據(jù)此解開了大慶油田的秘密：根據(jù)照片上王進喜的衣著判斷，大慶油田位于齊齊哈爾與哈爾濱之間；通過照片中王進喜所握手柄的架式，推斷出油井的直徑從王進喜所站的鉆井與背后油田間的距離和井架密度，推斷出油田的大致儲量和產量當我國政府向世界各國征求開采大慶油田的設計方案時，日本人一舉中標。慶幸的是，日本當時是出于經濟動機，向我國高價推銷煉油設施，而不是用于軍事戰(zhàn)略意圖。第四十頁，共71頁。四、信息安全運維信息保密性41保密！原則：不該知道的人，不讓他知道！職業(yè)素養(yǎng)：鬧矛盾、離職，把所有信息都刪除或拷貝后發(fā)布在互聯(lián)網上。保密性：要求保護數(shù)據(jù)內容不能泄露第四十一頁，共71頁。三、信息安全分類個人信息要保密42

有專門的黑客人士會收集用戶名和密碼，形成龐大的社工庫。大量敏感信息泄露6500萬用戶信息泄露帥哥美女信息泄露VIP會員信息，訂單信息泄露網上注冊要謹慎！第四十二頁，共71頁。四、信息安全運維43信息泄露U盤使用安全電子郵件安全IM即時通訊安全密碼安全無線網絡安全終端安全日常工作安全意識養(yǎng)成和制度遵從安全運維規(guī)避風險第四十三頁，共71頁。四、信息安全運維注意u盤泄密--輪渡木馬44U盤病毒傳播造成60%企業(yè)內網安全問題運維時禁止使用U盤隨意拷貝資料使用U盤前首先要殺毒AutoRun.Infsys.exeB電腦A電腦Internet第四十四頁，共71頁。四、信息安全運維45信息泄露U盤使用安全電子郵件安全IM即時通訊安全密碼安全無線網絡安全終端安全日常工作安全意識養(yǎng)成和制度遵從安全運維規(guī)避風險第四十五頁，共71頁。四、信息安全運維電子郵件安全46Step1嵌入超鏈接指向虛假站點Step2冒牌的ebay釣魚郵件在“發(fā)信人”欄列出的是“S-Harbor@eB”，它指向eBay公司的合法域名，信件中嵌入的鏈接也指向“eB”，甚至還使用了加密通道(“https:”)。在這些暗示和信件內容的基礎上，用戶對該信件就會建立一種思想模型，即eBay要求更新用戶信息，然后用戶就采取行動，點擊嵌入的超鏈接，并認為它指向eBay。第四十六頁，共71頁。四、信息安全運維電子郵件要謹記47第四十七頁，共71頁。四、信息安全運維48信息泄露U盤使用安全電子郵件安全IM即時通訊安全密碼安全無線網絡安全終端安全日常工作安全意識養(yǎng)成和制度遵從安全運維規(guī)避風險第四十八頁，共71頁。四、信息安全運維誰動了我的MSN?49Win32.Smibag通過MSN發(fā)送的一個名為“smb.exe”的文件進行傳播激活后自動搜索MSN列出的所有聯(lián)系人地址，向這些地址自動發(fā)送文件第四十九頁，共71頁。四、信息安全運維IM通訊感染機制1.從信任伙伴收到“惡意”信息2.點擊鏈接，打開瀏覽器3.惡意站點訪問4.終端感染惡意代碼5.惡意代碼控制通信軟件6.信息進一步擴散。。。第五十頁，共71頁。四、信息安全運維IM通訊聊天要注意第五十一頁，共71頁。四、信息安全運維52信息泄露U盤使用安全電子郵件安全IM即時通訊安全密碼安全無線網絡安全終端安全日常工作安全意識養(yǎng)成和制度遵從安全運維規(guī)避風險第五十二頁，共71頁。四、信息安全運維你的密碼是123456？口令強度不足口令結構簡單口令保存方法不當口令保質期過長不定期更改你的密碼。只要有足夠的時間，無論多高強度的密碼最終都可被破解!一般來說密碼壽命最好不超過一個月。鍵盤鎖定密碼安全絕對不是技術問題，而是意識問題！第五十三頁，共71頁。四、信息安全運維密碼使用推薦使用大寫字母、小寫字母、數(shù)字、特殊符號組成的密碼長度大于8個字節(jié)不同的賬號使用不同的密碼不使用敏感字符串，如生日、姓名關聯(lián)離開時需要鎖定計算機第五十四頁，共71頁。四、信息安全運維55信息泄露U盤使用安全電子郵件安全IM即時通訊安全密碼安全無線網絡安全終端安全日常工作安全意識養(yǎng)成和制度遵從安全運維規(guī)避風險第五十五頁，共71頁。四、信息安全運維無線網絡安全WEP和WPA加密建議使用WPA，或是WPA2，因為WEP相對前兩者來說，更易被攻擊。更改路由器上的默認用戶名和密碼利用MAC阻止黑客攻擊利用基于MAC地址的ACL(訪問控制表)確保只有經過注冊的設備才能進入網絡。無線網絡的ID應該定期更改SSID或取消SSID自動播放功能。第五十六頁，共71頁。四、信息安全運維57信息泄露U盤使用安全電子郵件安全IM即時通訊安全密碼安全無線網絡安全終端安全日常工作安全意識養(yǎng)成和制度遵從安全運維規(guī)避風險第五十七頁，共71頁。四、信息安全運維終端安全補丁管理自動更新口令管理移動存儲媒體安全個人防護軟件防病毒防攻擊……第五十八頁，共71頁。四、信息安全運維59信息泄露U盤使用安全電子郵件安全IM即時通訊安全密碼安全無線網絡安全終端安全日常工作安全意識養(yǎng)成和制度遵從安全運維規(guī)避風險第五十九頁，共71頁。四、信息安全運維日常工作安全接入安全VPN權限管理申請、發(fā)放、注銷、審計資產管理核心資產文檔（合約、集團文件)分級管理按密級加密建立-使用-銷毀全程控制設備識別必要信息信息(經營、客戶分析數(shù)據(jù)）擴散范圍第六十頁，共71頁。四、信息安全運維61信息泄露U盤使用安全電子郵件安全IM即時通訊安全密碼安全無線網絡安全終端安全日常工作安全意識養(yǎng)成和制度遵從安全運維規(guī)避風險第六十一頁，共71頁。四、信息安全運維我們無法左右…第六十二頁，共71頁。四、信息安全運維但我們可以養(yǎng)成好的安全習慣網頁瀏覽電子郵件IM和P2P口令習慣U盤存儲補丁和殺毒軟件加密存儲門窗、柜子、抽屜隨時鎖好佩戴胸卡、注意陌生人會議閉門舉行談論工作注意場合打印和復印廢棄資料的銷毀和再利用下班關閉電源定期備份及時報告可疑事件良好的安全習慣第六十三頁，共71頁。2023/4/1564新《保密法》的出臺與實施 2010年4月29日經全國人大常務委員會審議通過的《中華人民共和國保守國家秘密法》，于2010年10月1日起實施。

該法律所規(guī)定的必須依法給予行政處分的12類違法行為，絕大多數(shù)都是我們在日常工作、生活中經常遇到和時常發(fā)生的現(xiàn)象，過去往往熟視無睹，只要不泄密被抓，沒有人受到法律制裁…….

第六