1、互联网安全意识培训安全 ,意识先于技术信息 泄露个人信息泄漏事件一再发生,说明我国目前的互联网个人信息保护相关法律的确需加强和完善,也体现了我们自身对互联网安全隐患防范不足。个人信息,这是我们的个人隐私,自然是不愿意被盗取甚至曝光的。互联网行业个人信息保护现状并不理想,广大互联网用户除了期待法律的完善来约束不法分子,我们自身也需要有强烈的自我信息保护意识。比如, 论坛注册不轻易登记身份证信息,不在多处使用同一个密码,不轻易相信垃圾短信垃圾邮件等、尽量少用公共场合免费Wifi。经典案例警惕!收到银行入账短信 钱到账,有人已被骗上万元!刘女士近日向媒体反映,她在出售手中闲置购物卡时疑似遇到骗子,
2、“ 他说给我银行卡转账,我确实收到银行短信提示,可却一直没收到钱,也联系不到他了。 ” 而刘女士上网搜索此人的手机号码时,意外发现与她经历相似者大有人在。刘女士在网上登记出售家里 8张共计 4000元的闲置购物卡,“ 11月 8日,一男的打来电话说要买卡,我们约好第二天下午在我家附近地铁站见面。 ” 第二天刘女士的老公拿着她的手机赴约。不过购卡男子表示身上没带现金要网上转账。男子用手机操作一番后,刘女士的手机收到一条 95599发来的短信: “刘 ,您好。我行已受理王岐龙向您最后 4位为 的账号汇款 3760元的申请,请以实际资金到账情况为准。 ” 并且,购卡男子称需 4-6小时到账。大约四小
3、时后,刘女士见钱还没有到账,便给对方打电话,却发现手机已经关机,此后刘女士又多次致电对方,不是关机就是不接电话,发短信也没回,她这才意识到可能遇到了骗子。借口没带钱转账付款虚假诈骗信息积分兑现金短信 点链接被骗千元如果手机接到 10086发来署名为 “ 中国移动 ” 的短信,提醒你话费积分已满点击网页链接兑换现金礼包,千万不要相信更不要点击链接。“ 银行 ” 扣天价年费?骗局!11月 23日,市民小王收到一条来自 “ 95599”的短信,称其农行账户将在晚上 8点之前扣除1280元的年费。小编查阅了一下新闻发现收到此类短信的市民不在少数,就连部分未办农行卡的市民也收到了同样的短信。一张普通的银
4、行卡竟然要扣 1000多元的年费?这是真的吗?由于电话号码显示农业银行官方客服电话,她半信半疑地回拨过去。在电话中,对方称,她办了农业银行卡,需扣除 1280元的年费。但纳闷的是,小王是有农行卡,但这张卡不是用自己身份证办理的,而且一张普通的农行卡年费不可能这么高。因此,当对方索要其身份信息时,她说自己去农行营业网点咨询, “ 他语气就变得很凶。 ” 小王立马意识到,这可能是个骗局,就挂断了电话。这些常见诈骗短信千万别信!安全提醒骗子无孔不入, 骗子们很可能会利用这些短信进行诈骗!收到类似短信最好直接删除!骗子们编写的短信迷惑性非常大,甚至发信号码都与真正官网的号码相同,对于短信中的链接一定要
5、慎重,一不小心可能让你倾家荡产!收到这些短信一定要冷静思考!避免给自己造成财产损失!培训内容背景我国网络信息安全相关政策和标准网络信息系统面临的安全威胁1234 我国互联网信息安全态势背景n 斯诺登披露的 “ 棱镜门 ” 事件如同重磅炸弹, “ 皇帝的新装 ” ! 事件的持续发酵与影响, 引发了国际社会和公众对网络安全的空前关注。 “ 心脏出血、 XP停服、 IE的 oDay漏洞、用户信息泄露 ” 等新一轮安全威胁的出现,提出了新的挑战。1月央视曝光支付宝泄密事件CloudFlame遭受 400G的NTPFlood攻击,刷新流量降值携程网用户信息泄露微软停止 XP支持OpenSSL心脏出血漏洞
6、小米 800万用户资料泄露央视曝光,免费WiFi存陷阱,窃取手机的敏感信息1400万快递数据遭贩卖国内考研130W报名信息泄露12306用户数据被贩卖2月3月4月5月6月8月11月12月201420151月机锋论坛信息泄露携程网被攻击网站瘫痪大麦网用户信息泄露5月6月8月比亚迪车主信息泄露背景u 以互联网为核心的网络空间已成为继陆、海空、天之后的第五大战略空间。如何抵御网络威胁成为各国关注的首要议题之一。 “ 没有网络安全就没有国家安全,没有信息化就没有现代化 ” 已上升为国家战略。u在我国,随着 “ 宽带中国 ” 战略推进实施,互联网升级全面提速,用户规模快速增长,移动互联网新型应用层出不穷
7、, 4G网络正式启动商用,虚拟机运营商牌照陆续发放,网络和信息化水平显著提高,极大促进传统产业转型升级,带动信息消费稳步增长。中国已经成为网络大国 网络规模全球第一 网民用户全球第一:网民突破 7亿( 7. 49亿),网络普及率72.5%(美国接近 80%);手机网民 6.57亿 国内域名总数 2060万个,境内网站 335万家 全球十大互联网企业中中国又 4家:阿里巴巴、腾讯、百度、京东 网络购物用户达到 5.61亿,全国信息消费整体规模达到 4.8万亿元人民币,增长 32%。 电子商务交易总额(包括 b2b和网络零售)月 23万亿元,同比增长 29%,在全球电商市场里名列前茅。n七大标志(
8、 CNNIC等相关机构发布, 2015年 底数字):我国网络大而强n 中国信息化排名不断下降:根据国际电信联盟发布的 “ 信息通讯技术发展指数( IDI) ”n 宽带建设明显落后,人均宽带与国际先进水平差距较大,美国网速大约是中国的 5倍n 自主创新动力不足,关键技术受制于人,网络安全面临严峻挑战:中国目前是网络攻击的主要受害国。侵犯个人隐私、损害公民合法权益等违法行为时有发生n 我国不同地区间 “ 数字鸿沟 ” 问题突出,信息化驱动工业化、城镇化、农业现代化、国家治理体系和治理能力现代化的任务十分繁重。“ 网络空间 ” 安全态势严峻n “ 网络空间战 ” 的三大使命:n 情报窃取是网络的前导
9、: 反窃密是网络战中的核心内容之一。因此窃密与反窃密斗争日显突出、电子窃密是其重要手段;n 09年美国发布 “ 国家情报战略 ” (防止网络间谍和窃密): 情报预警、情报支持、反信息间谍、打击暴力、制核扩散、网络安全;n 信息系统制瘫是核心: 国家重要基础设施(水、电、气、油、交、网、国防、金融)n 美国国防部正在建立 “ 国家战略 3.0” 将采取 “ 先发制人 ” 的战略n 因此一定要站在 “ 网络战 ” 的高度看待 “ 信息安全保密 ”n “ 信息安全保密 ” 不再是个人和部门的问题,是网络战争的重要使命,是国家命运安危的大局n 要提升信息安全意识: 高度重视、规范管理、提高警惕、严密防
10、予、遏制破获、追溯反击 情报站:态势感知。窃密与反窃密 谍件、遥控木马、破解、窃听、勾结 系统战:网络交。信息系统破坏 /防护 数字武器、数字战场、国家重要基础设施 心理战:军事威慑。网络舆论煽动 /渗透 /篡改与治理 WEB20 、 P2P、 WAP、 WEB报告内容背景我国网络信息安全相关政策和标准网络信息系统面临的安全威胁1234 我国互联网信息安全态势党中央和国务院一贯重视网络和信息安全n 先后制定 过许多法律、政策和法规。如: 中华人民共和国保守国家秘密法 中华人民共和国计算机信息系统安全保护条例 中央办公厅和国务院办公厅联合发布的 27号文件 国务院关于大力推进信息化发展和切实保障
11、信息安全的若干意见 全国人大常委会关于加强网络信息保护的决定 n 此外,在其他相关法律、法规中也有不少关于这方面的要求。 进一步加强国家信息安全保障工作的意见 n 2012年 5月 9日,国务院召开国务院常务会议,研究部署推进信息化发展,保障信息安全工作。 6月 28日国务院正式发布了会议通过的该文件,即国发 201223号文件。n 前言指出:大力推进信息化发展和切实保障信息安全,对调整经济结构、转变发展方式、保障和改善民生、维护国家安全具有重大意义。n 当前,世界各国信息化快速发展,信息技术的应用促进了全球资源的优化配置和发展模式创新,互联网对政治、经济、社会和文化的影响更加深刻。围绕信息获
12、取、利用和控制的国际竞争日益激烈,保障信息安全成为各国重要议题。十二五规划中的论述n 2010年 10月 中共中央关于制定国民经济和社会发展第十二个五年计划的建议 的第 16条指出,全面提高信息化水平,推动信息化和工业化深度融合,加快经济社会各领域信息化。确定基础信息网络和重要信息系统安全。n 2011年全国人民代表大会通过的 中华人民共和国国民经济和社会发展第十二个五年规划纲要 强调:加强网络与信息安全保障。健全的网络与信息安全法律法规,完善信息安全标准体系和认证认可体系,实施信息安全等级保护,风险评估等制度。加快推进安全可控关键软硬件应用试点示范和推广,加强信息网络监测,管控能力建设,确保
13、基础信息网络和重点信息系统安全,推行信息安全保密基础设施建设,构建信息安全保密防护体系,加强互联网管理,确保国家网络与信息安全。 国务院关于大力推进信息化发展和切实保障信息安全的若干意见 n 2010年 10月 中共中央关于制定国民经济和社会发展第十二个五年计划的建议 的第 16条指出,全面提高信息化水平,推动信息化和工业化深度融合,加快经济社会各领域信息化。确定基础信息网络和重要信息系统安全。n 2011年全国人民代表大会通过的 中华人民共和国国民经济和社会发展第十二个五年规划纲要 强调:加强网络与信息安全保障。健全的网络与信息安全法律法规,完善信息安全标准体系和认证认可体系,实施信息安全等
14、级保护,风险评估等制度。加快推进安全可控关键软硬件应用试点示范和推广,加强信息网络监测,管控能力建设,确保基础信息网络和重点信息系统安全,推行信息安全保密基础设施建设,构建信息安全保密防护体系,加强互联网管理,确保国家网络与信息安全。 国务院关于大力推进信息化发展和切实保障信息安全的若干意见 续n 文件正文把大部分1、指导思想和主要目标( 2)2、实施 “ 宽带中国 ” 工程,构建下一代信息基础设施( 3)3、推动信息化和工业化深度融合,提高经济发展信息化水平( 5)4、加快社会领域信息化,推进先进网络文化建设( 4)5、推进农业农村信息化,实现信息强农惠农( 2)6、健全安全防护和管理,保障
15、重点领域信息安全( 4)7、加快能力建设,提升网络与信息安全保障水平( 4)8、完善政策措施( 4)十八大报告中关于网络安全的论述n 2012年 11月 8日党的十八大报告指出:粮食安全、能源资源安全、网络安全等全球性问题更 加突出。建设下一代信息基础设施,发展现代信息技术产业体系,健全信息安全保障体系,推进信息网络技术广泛运用。与时俱进加强军事战略指导,高度关注海洋、太空、网络空间安全。中央网络安全和信息化领导小组成立2月 27日,中央网络安全和信息化领导小组宣布成立,在北京召开了第一次会议。中共中央总书记、国家主席、中央军委主席习近平亲自担任组长,李克强、刘云山任副组长,再次体现了中国最高
16、层全面深化改革、加强顶层设计的意志,显示出在保障网络安全,维护国家利益,推动信息化发展的决心。习近平在讲话中指出, “ 我国互联网和信息化工作取得了显著发展成就,网络走入千家万户,网民数量世界第一,我国已成为网络大国。 ”“ 网络安全和信息化是事关国家安全个国家发展、事关广大人民群众工作生活的重大战略问题,要努力把我国建设成为网络强国。 ”中共中央总书记、国家主席、中共军委主席习近平亲自担任组长我国将强化网络信息安全监管,实行网络安全审查制度n 2014年 5月 22日,国家互联网信息办公室发布消息称,我国将实行网络安全审查制度。n 5月 28日,外交部发言人秦刚在外交部例行记者会上表示,网络
17、安全、信息安全是国家安全的重要组成部分,中国政府有关部门即将颁布相关条例,进一步加强网络信息安全监管。n 2014年 8月 26日,国务院下发了 国务院关于授权国家互联网信息办公室负责互联网信息内部管理工作的通知 。n 2014年 8月 28日,工信部发布 关于加强电信和互联网行业网络安全工作的指导意见 ,推动安全投入加大,安全立法进程,建立国家网络安全审查制度。报告内容背景我国网络信息安全相关政策和标准网络信息系统面临的安全威胁1234 我国互联网信息安全态势威胁无处不在黑客病毒木马后门钓鱼攻击APT攻击隐 私泄 密DDoS攻击物联网攻击工商间谍失窃泄密移动互联网攻击不良信息人肉搜索信息对抗
18、信息资产物联网云计算工控大数据社会工程学攻击黑客攻击n 黑客可以轻易地施行跨网、跨国攻击n “ 黑客 ” 对网络的袭击方法已有几千种,而且大多数是致命的n 全世界现有 20多万个 “ 黑客 ” 网站。每当一种新的 “ 黑客 ” 袭击手段产生,一周内便可传遍全世界n 在不断扩大的计算机网络空间中,几乎到处都有 “ 黑客 ” 的身影,无处不遭受 “ 黑客 ” 的攻击n 对 PC的攻击比率越来越高网上游戏、网上银行和电子商务的增加针对 pc设计的黑客工具个木马补丁与升级不够及时缺乏安全防范意识Web和移动 APP 应用成为主流WebWeb应用成为主流安全保障需求凸显攻击威胁泛滥成灾l 电子商务、电子
19、银行l 网上购物l 移动互联网、手机上网 .l 电子政务l 政府工信力挑战l 金融、电子支付 PCI法律法规l 跨站脚本漏洞l 注入漏洞l URL文件执行l Cooke中毒 /Session截获l 网页篡改l 无限制 URL访问隐患 .大量网站存在高危漏洞WebScan对现有用户的安全评级的分析结果统计。从图中可以看出,能够达到安全和警告这两个相对比较可靠级别的网站,占比仅为 7%左右,而达到高危和超高危程度的网站却超过 75%。也就是说,中国的网站环境正处于极度不安全的发展状态。社会工程学攻击n 以 欺骗的艺术 为基础,结合互联网提供的定义、常见应用与手段:利用人的心理弱点(本能反应、好奇心
20、、同情心、信任、贪婪、虚荣懒惰),规章与制度甚至物理环境的漏洞,进行诸如欺骗、伤害等手段,以期获取所需要的信息(如计算机口令、银行账户)。n 社会工程学在黑客技术中的发展: 20世纪 80s-90s社会工程学应用于信息窃取黑客社会工程学应用的早期代表人物: Kevin-Mitnick1964年生于美国加州的洛杉矶。 3岁时,其父母离异。 13岁的米特尼克(上小学)就用学校的计算机闯入了其他学校的网络。从此,小米特罗克离开了学校。入侵的成功,令米特罗克兴奋不已。已远远超出其年龄的耐心和毅力,闯入了神秘的黑客世界。社会工程学攻击(续)n 凯文 米特尼克事迹 已被媒体 “ 神化 ”时间 事件 备注1
21、979年 闯入 “ 北美空中防务指挥系统 ” “ WarGames” 首部黑客题材电影( 1983年)1979年 破解美国太平洋电话公司超级用户密码 免费打电话1980年 侵入 FBI信息系统 因同伙告密被捕,很快被保释1982年 凯文入狱 首个 “ 网络少年犯 ”1982-1988年 入侵 IBM、 Motorola、 Novell、 Sun、 Fuji 用到大量社工技巧1988年 被 DEC指控盗窃 VMS、在此被捕1988-1992年 被禁止接触任何计算机设备1993年 FBI采用钓鱼执法诱捕凯文,后者以社工技巧识破 FBI意图 假冒太平洋电话公司从 FBI的 SAS窃听系统设计人员手中
22、获取 SAS的蓝图与协议规范等信息1994年 凯文入侵圣迭戈超级计算机中心,早知全球大范围网络混乱 当年被评为 时代 封面人物2000年 监视性保障 遵守: “ 不接触任何上网设备,只在制定地域活动,七年内不讨论黑客技术 ”2001年 经律师争取,获得使用计算机与网络的自由 成为计算机书刊作家2002年 出版 欺骗的艺术 美国畅销书2003年 解除监视2004年 成立 MitnickSecurityCosultingLLC 成为计算机安全顾问2005年 出版 入侵的艺术 让人无处藏身的信息查询与人肉搜索n 虚拟性与隐蔽性一去不返, “ 给我一个网络 ID,我能发现整个家庭 ”让人无处藏身的信息查询与人肉搜索 定义网民(包括知情人)人工参与,提纯搜索引擎提供的信息类似于知识搜索(百度知道、知乎),强调搜索结果的处理、信息互动 过程攻击者提供账号到某个网站或网络社区,如猫扑网,网民(比较寂寞,有点聪明和分析能力,不同阶层,不同知识背景),使用搜索引擎,加上判断分析,追查某事某物,最终曝光事物真相或隐私。 定性人肉搜索有 “ 毒 ” ,不道德导致对当事人的侵害,如 “ 铜须门 ”
