业务支撑网网络及系统安全培训

业务支撑网

网络与系统安全培训叶强贵州移动/信息技术部2018年7月网络与信息安全已上升为国家战略，事关国家安全、社会稳定、公民权益网络与信息安全也事关公司健康发展，涉及公司的各个方面，公司各级领导高度重视自从网络诞生以来，各种安全事件层出不穷，近年来愈演愈烈我们都需要有基本的网络与信息安全常识提纲信息安全面临的威胁黑客的人群及其文化客户信息安全管理法律法规员工日常安全意识应该掌握的信息安全常识4A平台、金库模式操作简介信息安全面临的威胁......信息安全面临的威胁......1、国家级的威胁–全球网络军事化进程加快：网战、网军、网武、网演–网络攻击国家背景显现：震网、火焰、高斯是美国+以色列制造的2、恐怖组织的威胁•恐怖组织利用网络的特点，用“四两拨千斤”的方法，针对国家高度信息化后产生的弱点，对涉及国计民生的国家信息基础设施和重要信息系统图谋开展网络攻击。3、经济犯罪的威胁•网络违法犯罪行为的驱利化特征日益明显，网络犯罪向规模化、综合化集成化和智能化方向发展。4、黑客团体的威胁•匿名者、叙利亚电子军、蜥蜴小组等5、极端个人的威胁6、技术创新应用引发新威胁•云计算、大数据、物联网、移动互联网•安全性提高速度落后于推广使用速度国家级的威胁--棱镜门6

英国《卫报》和美国《华盛顿邮报》2013年6月6日报道，美国国家安全局和联邦调查局于2007年启动了一个代号为“棱镜”的秘密监控项目，直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报，包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。国家级的威胁-棱镜门2013年6月13日斯诺登表示，美国一直从事针对中国个人和机构的网络攻击。

在网络空间力量上，美国处于资源、技术垄断的优势地位，对互联网拥有绝对的管理权。我们事实上生活在一个被无数摄像头监控的世界里。网络空间是人类社会全新的一个精神乐园，承载了大量包括内心世界交流的私密信息，个人隐私极易暴露。国家级的威胁-棱镜门斯诺登事件的影响美国对全球监控的事实浮出水面揭露了美国霸权主义本性反映了发展中国家在网络时代所处的困境曝露了网络化力量的非平衡性改变人们对网络世界的认识影响未来的战略布局黑客谋利威胁

2014年6月，北大官网遭黑客入侵篡改，网站被植入假冒淘宝的钓鱼页面。如果用户在此页面购物，支付宝账户将被黑客盗取。据统计，仅2016年上半年，因访问被黑客篡改的正规网站的受害者，人均损失高达1.7万元。内部威胁---不发年终奖很危险内部的威胁---来源企业内部来源于企业内部的安全威胁，给组织带来的影响是最严重的有数据统计表明，企业内部员工行为给组织带来的安全影响程度，远高于其他安全威胁，而员工的行为，可以分为：1、有怨言的员工2、粗心或缺少安全意识的误操作金库模式操作的推出与此有一定的关系泄密事件十大酒店泄露大量房客开房信息桔子酒店信息泄露本次桔子酒店除可能泄漏大量订单、开房信息的漏洞外，其后台也被曝出安全问题。攻击者可使用最高权限查看酒店管理系统，系统内容丰富，包括桔子各分店管理、部门组织架构等。本次桔子酒店官网漏洞问题极其严重——2008年-2015年的所有酒店订单、开房信息可一览无余，包括顾客姓名、身份证、手机号、开房时间、退房时间、家庭住址……社保信息泄露围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个，仅社保类信息安全漏洞统计就达到5279.4万条，涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。

这些信息一旦泄露，造成的危害不仅是个人隐私全无，还会被犯罪分子利用，例如复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。支付宝实名认证漏洞10月，支付宝实名认证存在漏洞。登录支付宝后无意间打开支付宝实名认证页面，用户的实名认证信息下多出了5个未知账户，而且用户没收到任何形式的确认或是告知信息，不论是短信、邮件、或者是登陆后的站内信息都没有。泄密事件分析泄密途径：黑客入侵、用户信息未加密、企业内部员工窃密、服务外包人员窃密其中，企业员工内部泄密对企业的损害程度和其发生的频度远远高于其他外部攻击窃密根本原因：现行监管制度的欠缺内部管理和技术措施的缺失个人信息安全保护意识的薄弱其中企业的内网安全防护水平更是偏低，不论是外部黑客入侵，还是内部泄密，企业都缺乏有力的监管手段。客户信息安全管理法律法规客户信息安全管理法律法规《中华人民共和国网络安全法》2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过了《中华人民共和国网络安全法》。该法自2017年6月1日起施行。这是我国第一部网络安全领域的法律，是保障网络安全的基本法，网络安全法不是网络安全立法的终点，而是起点。客户信息安全管理法律法规《中华人民共和国网络安全法》主要内容■四大责任主体：国家、政府部门、网络运营者、网络产品服务提供者■五方管理机构：网信部门、电信主管部门、公安部门、地方政府、行业组织■四类重点工作：运行安全、数据安全、信息（内容）安全、特殊通信■八项基本制度：等级保护制度、实名登记制度关键信息基础设施保护制度、国家安全审查制度个人信息和重要数据出境管理制度、个人信息保护制度网络产品检测认证制度、监测预警和应急处置制度客户信息安全管理法律法规第一章总则第二章网络安全支持与促进第三章网络运行安全第一节一般规定第二节关键信息基础设施的运行安全第四章网络信息安全第五章监测预警与应急处置第六章法律责任第七章附则明确了网络安全发制定的目的，范围。总体方针，基本要求、主要目标和总体规定等等国家何如支持网络安全的建设，包括：国家支持企业、研究机构等参与标准的制定；国家地方政府对信息安全的规划；鼓励企业和机构开展安全认证服务；组织开展经常性的网络安全宣传教育等。1一般规定：如国家实行等级保护制度；；网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求；实名制要求；网络运营者应当制定网络安全事件应急处理机制；2定义了什么是关键信息基础设施，并且提出了关键信息基础设施运行安全的要求。个人信息保护，网络运营商、软件开发商、执法机关需要承担的义务国家建立网络安全监测预警和信息通报机制，相关部门职责违反网络安全法要承担的法律责任用语的含义，其他相关法律等网络安全法目录客户信息安全管理法律法规关于《网络安全法》,我们至少应该知道的：第十条建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。第四十到四十七条。。。网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意第四十八条任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。客户信息安全管理法律法规《中华人民共和国刑法修正案（七）》第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。

“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”刑法第二百八十五条中增加两款作为第二款、第三款：“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”客户信息安全管理法律法规《中华人民共和国电信条例》第六条电信网络和信息的安全受法律保护。任何组织或者个人不得利用电信网络从事危害国家安全、社会公共利益或者他人合法权益的活动。第五十八条任何组织或者个人不得有下列危害电信网络安全和信息安全的行为：

(一)对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改；（二)利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动；

(三)故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施；

(四)危害电信网络安全和信息安全的其他行为。第五十九条任何组织或者个人不得有下列扰乱电信市场秩序的行为：

(一)采取租用电信国际专线、私设转接设备或者其他方法，擅自经营国际或者香港特别行政区、澳门特别行政区和台湾地区电信业务；

(二)盗接他人电信线路，复制他人电信码号，使用明知是盗接、复制的电信设施或者码号；

(三)伪造、变造电话卡及其他各种电信服务有价凭证；

(四)以虚假、冒用的身份证件办理入网手续并使用移动电话。第六十六条

电信用户依法使用电信的自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要，由公安机关、国家安全机关或者人民检察院依照法律规定的程序对电信内容进行检查外，任何组织或者个人不得以任何理由对电信内容进行检查。电信业务经营者及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容。客户信息安全管理法律法规中国移动“五条禁令”一、严禁泄露或交易客户信息二、严禁发送违法信息，或未经客户同意发送商业广告信息三、严禁未经客户确认擅自为客户开通或变更业务四、严禁串通、包庇、纵容增值服务提供商泄漏客户信息、擅自为客户开通数据及信息化业务或实施其它侵害客户权益的行为五、严禁串通、包庇、纵容渠道或系统合作商泄漏客户信息、侵吞客户话费、擅自过户或销号、倒卖卡号资源或实施其它侵害客户权益的行为“五条禁令”是从保障客户基本权益出发，基于有关法律法规、行业政策以及公司现行有关规范制度制定的，旨在确保建立公司最基本的客户服务准则，是“底线”。黑客的人群及其文化......泄漏数据的利益黑客的分类灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机为人民服务漏洞发现-Flashsky软件破解-0Day工具提供-Glacier白帽子创新者设计新系统打破常规精研技术勇于创新没有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破坏者随意使用资源恶意破坏散播蠕虫病毒商业间谍人不为己，天诛地灭入侵者-K.米特尼克CIH-陈盈豪攻击Yahoo者-匿名恶渴求自由他们的语言H4x3r14n9u493i54diff3r3n714n9u493fr0m3n91i5h.W3c4nfind7hi514n9u493inh4x3r'5885,IRC0r07h3rCh477in9p14c3.常见替换A

=

4B

=

8E

=

3G=9l

=

1O

=

0S

=

5t

=

7Z

=

2常见缩写CK=xYou=uAre=rSee=cPh=fAnd=n/&Not=!hackerlanguageisadifferentlanguagefromenglish.wecanfindthislanguageinhacer'sbbs,IRCorotherchattingplace.员工日常安全意识......互联网带来的便利网银大盗打开该链接，出现的是熟悉的网银页面（如下图），安全人员仔细查看IE地址栏，发现地址栏内容/icbc/perbank/index.jsp，如果不仔细看，真看不出来是假冒！

欺骗过程查看信件源代码，很快就找出了其中的猫腻：正如常说的“说的一套，做的一套”，这个邮件的作者采用了“看的一套，进的一套”这种简单的欺骗手法，入侵者利用HTML语言里URL标记的特性，把它写成了这样：<Ahref="/icbc/perbank/index.jsp">/icbc/perbank/index.jsp</A>原因找到，点击的网银链接其实是访问下面的骗子做的网站，唯一的区别是com

与c0m/icbc/perbank/index.jsp

（钓鱼网站）假冒网站网页伪造得与真正的银行页面完全一致，但是它的登陆功能却是把账号和密码发送到了幕后的“垂钓者”手上，然后“垂钓者”登录上真正的网络银行改了受害者设置的密码，并顺手牵羊把银行账户里的存款转移掉。Wifi钓鱼攻击Wifi钓鱼攻击3用户连接接入点

2接入点响应探测请求

笔记本发出探测请求

1接入点向用户分发IP地址

4扫描笔记本安全漏洞，然后发起攻击

6用户终端被作为攻击入口7入侵终端（软AP）无线钓鱼可以让入侵者获取合法用户的重要信息、或将受害主机作为突破口进行进一步入侵5用户后续数据经过仿冒AP（可以获取用户身份等信息）支付宝大盗36支付宝大盗37用户支付宝黑客正常数据流黑客侦听并伺机插入腾讯QQDSWLabAvert小组发现一个高度危险的QQ漏洞被披露，名为Exploit.Win32.QQCom.a，如果被恶意利用，可以使得用户在浏览植入恶意代码的网页时，打开本地端口，远程植入木马到用户系统中。黑客完全利用此漏洞可以远程控制用户电脑，进行文件拷贝、删除等恶意操作。腾讯QQ有着极其庞大的用户数量，使得该漏洞有着极大的攻击范围，有可能被利用来进行网络钓鱼和制造僵尸网络。隐私泄露---用google搜索网络摄像头在google中搜索:inurl:/view/index.shtml精彩世界由此打开，请谨慎使用！你的密码泄露了吗？//40安全对于个人个人忽视安全问题影响到公司业务个人经济受到侵犯网银大盗证券大盗

信用卡盗用个人隐私受到侵犯网络钓鱼

垃圾邮件个人隐私SonyDRMRootkit事件每个人需要了解风险所在应该掌握的一些信息安全常识什么是信息知识信息数据指导意义抽象程度信息的属性：基本元素是数据，每个数据代表某个意义；以各种形式存在：纸、电子、影片、交谈等；数据具有一定的逻辑关系；具有一定的时效性；对组织具有价值，是一种资产；需要适当的保护。什么是信息安全信息本身的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持，即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。保密性：确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用完整性：确保信息没有遭到篡改和破坏可用性：确保拥有授权的用户或程序可以及时、正常使用信息什么是信息安全风险信息和其它资产一样是具有价值的什么是信息安全风险信息面临着外在的威胁什么是信息安全风险信息系统存在着脆弱性什么是信息安全风险外在威胁利用信息系统存在的脆弱性，致其损失或破坏对系统价值造成损害的可能性资产威胁防护措施脆弱性风险利用对抗导致增加减少作用于影响安全的因素利益驱使技术环境操作系统平台安全应用程序安全开发安全其他因素口令安全良好的使用习惯信任危机……系统默认安装，从不进行补丁升级。缓冲区溢出频发。源代码泄漏。空口令、简单口令、默认口令设置、长期不更换。点击进入危险的网站或链接。接收查看危险的电子邮件附件。社会工程学。。。。。。。信息安全责任对自己的信息安全责任对组织的信息安全责任对国家的信息安全责任对公众的信息安全责任日常中注意的安全方面物理安全信息资产安全移动介质安全数据备份安全邮件安全上网安全口令安全计算机安全物理安全物理区域设置门禁，出入登记；关键物理区域，安排接待人员或门卫；所有人员不得将门禁卡借与他人使用；人员下班或较长时间离开房间时，房间门上锁；文件柜、保险柜、档案柜上锁；打印/复印后要及时取走；打印机/复印机张贴安全提示；作废的机密文档要以碎纸机碎掉或撕成碎块，不要直接作为垃圾丢弃。控制措施信息资产安全电子数据电子化了的敏感数据是重要的信息资产，如银行机房中的数据（即比尔所说的“虚幻的金钱”）。电子数据具有“易复制、易传输、易携带、易销毁”等特点人员人员是重要的信息资产，如杰克。人，特别是内部员工，既可以是最可靠的信息安全防线，也可能是最大的潜在信息安全威胁。安全隐患起于萧墙信息资产安全1.信息类资产：包括电子化和非电子数据等。2.软件类资产：包括系统软件、应用软件等。3.物理类资产：包括计算机设备、移动介质等。4.服务类资产：包括通信服务、通用公用事业服务等。6.无形类资产：包括组织的声誉、形象、公信力等。7.流程类资产：包括业务流程以及与业务相关的IT流程。5.人员类资产：包括与信息安全相关的人员等。信息资产安全信息资产要按照敏感性进行分类与标识；人员要持续提高信息安全意识与技能；服务要持续保障其高可用性；流程要确保安全稳定运转；无形资产要靠每个人共同维护。控制措施未经批准，严禁携带移动介质进入机房等敏感区域；移动介质内临时存储的敏感数据应及时清除；移动介质移交或废弃前，应严格按照相关规定与流程，清除数据或销毁介质；只能在安装有防病毒软件的机器上，使用移动介质，并注意查杀病毒。移动介质安全控制措施控制措施数据备份安全定期拷贝到指定的公共服务器。定期拷贝到移动硬盘、移动存储介质等。定期拷贝到磁带和光盘等。其它任何公司许可的所有办法。电脑要安装防病毒软件，并及时更新病毒库；电子邮件在使用前，必须查杀病毒；如同物理邮件可以被假冒，电子邮件也可以被假冒。如果收到可疑的电子邮件，不要打开，以免感染病毒电子邮件帐户的口令不要过于简单。控制措施邮件安全网站浏览；即时通信（如微信、QQ、MSN、UC等）；文件下载；视频点播；如果电脑没有及时打补丁，没有安装防病毒软件，或没有及时更新病毒库，则很容易在上网时。事件分析上网安全可以发布公开的，利于公司正面形象的信息：不可以发布未经公开的、未获得授权的、涉及客户、项目信息的、以及其它不利于公司正面形象的信息：商业信息发布未部署WLAN的企业部署了WLAN的企业“我们没有部署WLAN网络，因此不会面对WLAN安全问题”与我们没有关系“我们部署了加密、FW、IDS、AV，因此我们的WLAN网络已经处于保护之中”我们的WLAN足够安全只有合法用户才允许“我们需要通过认证、加密才能登录WLAN网络，因此不会有非法入侵”使用智能终端的员工流氓AP、钓鱼AP用户连接外部APAdHoc数据泄露无线DoS攻击……WLAN边界缺少防护缺少WLAN管理，导致风险丢失的智能终端恶意软件钓鱼AP中间人攻击无线DoS攻击员工私自架设的APWindows7自带的软AP钓鱼AP用户连接外部APWLAN使数据泄露无处不在无线网络即将带来的新威胁！WLAN和WIFI，由于移动互联网、手机等移动上网终端而无处不在弱口令有很多种，下面的最常见，要避免使用口令安全生日电话号码身份证号码用户名短口令（少于8个字符）：okokok简单数字口令：11235813简单英文单词：desktop简单英文词组：comeonbaby不安全的口令容易猜测的口令口令使用建议的控制措施口令安全口令中同时包括以下类型，且不易猜测：大写字母小写字母数字特殊符号定期更改口令，至少每3个月改一次。防止忘记口令的有效方法是：经常输入口令。每天输入一次口令，可以有效防止忘记。离开座位时，要锁定或关闭计算机。安全的口令定期更改口令不同的场景应使用不同的口令例如以下各应用中芬别使用不同的口令，不要使用相同的口令，防止1个口令泄露后造成连锁危害的可能：OA、4A、手机邮箱、银行卡、QQ、飞信、游戏等等、不同的电脑或设备。。。。计算机使用习惯锁屏在离开计算机前锁屏；防病毒安装防病毒软件和防火墙；不安装来历不明的软件；加密硬盘文件要加密补丁定期更新系统补丁备份定期系统备份计算机安全为什么总出现信息安全事件外因