scs p_1 4_安全术语介绍_ver2 0

1、Contents什么是漏洞1234什么是风险什么是安全什么是安全机构0Day “零日漏洞”(zero-day)又叫零时差攻击，是指被发现后立即被恶意利用的安全漏洞。通俗地讲，即安全补丁与瑕疵曝光的同一日内，相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。人们掌握的安全漏洞知识越来越多，就有越来越多的漏洞被发现和利用。一般使用、入侵检测系统和防病毒软件来保护关键业务IT基础设施。这些系统提供了良好的第一级保护，但是尽管安全人员尽了最大的努力，他们仍不能免遭受0day漏洞攻击。 系统漏洞 常说的系统漏洞是伴随系统而生的，自从有了操作系统也就有了操作系统漏洞，并且在操作系统的生命周期内一

2、直存在，究竟什么是系统漏洞呢？信C 系统漏洞 漏洞是指某个程序或者操作系统在设计时没有考虑周全，当程序遇到一个看似合理但实际却无。确处理的问题时引发的不可预见的错误 系统漏洞又称安全缺陷，如果漏洞被别有用心的人利用，就会造成信息、数据丢失、用户的权限被恶意篡改等后果。例如利用网络服务器操作系统的漏洞来攻击网站，可能会影响用户的操作，如计算机不明原因的死机蓝屏、隐藏的共享、丢失文件以及无法上网等。因此只有将系统的漏洞堵住，用户才会有一个安全和稳定的工作环境OWASP Top Ten 开放式Web应用程序安全项目（OWASP，Open Web ApplicationSecurity Project

3、），是一个非营利组织，不附属于任何企业或财团。 核心价值观 开放：OWASP的一切事宜，从财务状况到代码都是公开透明的。 革新：OWASP鼓励并支持创新和实验，以解决软件安全挑战。 全球性：鼓励世界各地的任何个人加入OWASP组织。 完整性：OWASP是一个真实的、真正的、保持厂商中立的、全球性的组织。OWASP Top TenContents什么是漏洞1234什么是风险什么是安全什么是安全机构 网络安全风险物理设备是否安全 网络平台是否安全 系统是否安全 信息数据是否安全 管理是否安全 物理设备安全物理安全的概念：指为了保证信息系统安全可靠运行，确保信息系统在对信息进行采集、处理、传输、存储

4、过程中，不受到人为或自然因素的，而使信息丢失、或破坏，对计算机设备、设施（包括机房建筑、供电、空调等）、环境人员，系统等采取适当的安全措施。 网络平台安全网络平台安全包括网络结构和网络系统的安全，是整个网络安全的基础和技术支撑。安全的网络结构采用分层的体系结构，便于维护管理和安全控制及功能拓展，并应设置冗余链路及下一代、入侵检测等设备；网络系统安全主要涉及访问控制及内外网的有效隔离、内网不同区域的隔离及访问控制、网络安全检测、上网行为管理的审计与监控、网络防病毒和网络备份等方面内容。 系统安全系统应该及时安装并升级补丁，可以及时的修复系统漏洞，同时在关键应用系统前部署WAF，防护来自对网站的动

5、态数据攻击，电脑终端与服务器系统安装个杀毒软件，可以对病毒进行查杀。 入侵防御技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 系统安全的基本原则就是在一个新系统的构思阶段就必须考虑其安全性的问题，制定并执行安全工作规划，属于事前分析和预先的防护。系统安全贯穿于生命整个系统生命周期，直到系统报废为止。 信息数据安全数据信息安全对我们每个人都有很重要的意义，我们了解它面临的威胁主要有四种，包括人为因素和自然因素，保护措施有的

6、强制性和我们公民技术和管理方面的加强。数据信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于人类具有特别重要的意义。数据信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。 信息数据安全 端口管控 管控USB端口拷贝、刻录、打印行为，控制所有的终端端口外泄，自动识别并限制各种移动存储设备的使用，还可将USB存储设备设为加密盘，拷入USB存储设备中的数据进行加密，防止因USB存储设备丢失而导致数据泄密。 数据加密 数据传输加密技术的目的是对传输中的数据流加密，通常有线路加密与端到端加密。 数据存储加密技术的目的是防止在

7、存储环节上的数据失密，数据存储加密技术可分为密文存储和存取控制两种。 数据完整性鉴别技术的目的是对介入信息传送、存取和处理的人的身份和相关数据内容进行验证，一般包括口令、密钥、身份、数据等项的鉴别。系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。 信息数据安全 文件外发管控 对外发的重要数据管理防拷贝、防扩散、防泄密。 严控收件人的使用权限，可对外发文件，设置指定的可查看次数、时间，设置是否允许修改、是否允许打印等。 禁止拖拽、拷屏、另存为、剪贴板和另存等手段外发文档内容；超过打开时间或者打开次数外发文件自动销毁。 对信任的收件对象可设置邮件白，提高工作效率。 日

8、志审计和文件备份，邮件发送至白中用户时自动 提供完整的日志管理，可对所有加密文档的所有操作进行详尽的日志审计，并对审计日志提供查询、导出、备份及导出数据报表等支持。 对日常办公中文档的复制、移动、重命名、删除等涉密操作过程做详尽记录，对便于监督检查和事后追溯。 提供详细的加密文件备份功能，有效避免了文件因版本更新或者是意外破坏造成的风险，大大保护了企业数据的完整性和安全性。 管理安全 公司严格按照等级保护之三级等保技术要求和管理要求指定了一套完善的网络安全管理制度，对安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理各个方面都做出了要求。 数据信息安全的管理方面又包括网络管理

9、、数据管理、设备管理、人员管理等。是一项系统工程，所以需要依靠完备的数据信息安全管理体系，设计科学的数据信息安全管理流程，全面落实数据信息安全管理制度。有时候一套完整的数据信息安全保障系统也许比一套完整的数据信息安全管理条例更有力量。Contents什么是漏洞1234什么是风险什么是安全什么是安全机构12306数据库 2014年，乌云漏洞平台率先爆出大量12306用户数据泄露，有公安部门介入调查，已知公开泄露的数据库及用户数已经超过了13万条。 心脏滴血 Heartbleed，该漏洞在互联网又称为“heartbleed bug”，中文名称叫做“心脏”、“击穿心脏”等。 对社会的影响 2016年

10、，OpenSSL心脏漏洞(heartbleed)的产生主要由于OpenSSL的心跳处理逻辑没有检测心跳包中的长度字段是否和后续字段相吻合导致攻击者构造异常数据包，来直接获取心跳数据所在的内存区域的后续数据。主要特征有: heartbleed漏洞主要存在于有心跳机制的OpenSSL协议中。 IANA组织把开启心跳扩展机制的SSL数据包type类型定义为24（0x18）。大量用户隐私信息被，包括、支付宝等不动产安全吗？“勒索病毒”全球勒索病毒服 永恒之蓝 “永恒之蓝”：主要是利用Windows系统的共享漏洞：445端口等。 “永恒之蓝”传播的勒索病毒以ONION和WNCRY两个为主，受害机器的磁盘

11、文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无常打开，只有支付赎金才能恢复永恒之蓝勒索ONION勒索WNCRY勒索 挖矿 2018年WannerMine挖矿，导致很多主机存在蓝屏和卡顿现象。Contents什么是漏洞1234什么是风险什么是安全什么是安全机构 中国信息安全测评中心 测评中心是国家信息安全保障体系中的重要基础设施之一，在国家专项投入的支持下，拥有国内一流的信息安全漏洞分析资源和测试评估技术装备； 建有漏洞基础研究、应用软件安全、产品安全检测、系统隐患分析和测评装备研发等多个专业性技术实验室； 具有专门面向的国家专控队伍。机关、基础信息网络和重要信息系统开展风险评估 主要业务： 漏洞分析与消控安全检测与评估 安全监测与通报 培训与资质 安全咨询与设计 中国互联网应急中心 国家互联网应急中心英文：National Internet Emergency Center，缩写CNCERT或CNCERT/CC）全称是国家计算机网络应急技术处理协 调中心 。 成立于2002年9月，是中央网络安全和信息化委员会办公室领导下的国