網(wǎng)絡(luò)安全知識講座03網(wǎng)民安全(59)

1、明德明德 礪志礪志 博學(xué)博學(xué) 篤行篤行計算機科學(xué)與技術(shù)系：計算機科學(xué)與技術(shù)系：賈偉賈偉E-Mail：JWB網(wǎng)絡(luò)安全知識講座網(wǎng)絡(luò)安全知識講座網(wǎng)絡(luò)安全知識講座網(wǎng)絡(luò)安全知識講座u1 引言引言u2 企業(yè)網(wǎng)絡(luò)安全企業(yè)網(wǎng)絡(luò)安全u3 網(wǎng)民信息安全網(wǎng)民信息安全u4 網(wǎng)絡(luò)安全熱點趨勢網(wǎng)絡(luò)安全熱點趨勢2014年中國計算機網(wǎng)絡(luò)年中國計算機網(wǎng)絡(luò)年會年會u我國我國成國際互聯(lián)網(wǎng)攻擊主要成國際互聯(lián)網(wǎng)攻擊主要受害者受害者u我國移動互聯(lián)網(wǎng)處于最危險級別我國移動互聯(lián)網(wǎng)處于最危險級別3 網(wǎng)民網(wǎng)民信息安全狀況信息安全狀況介紹介紹u電腦電腦上網(wǎng)安全狀況上網(wǎng)安全狀況u手機手機信息安全狀況信息安全狀況u網(wǎng)絡(luò)網(wǎng)絡(luò)支付安全支付安全狀況狀況信息

2、安全事件發(fā)生類型及比例信息安全事件發(fā)生類型及比例中國網(wǎng)民電腦上網(wǎng)安全中國網(wǎng)民電腦上網(wǎng)安全狀況狀況網(wǎng)上購物發(fā)生的安全問題網(wǎng)上購物發(fā)生的安全問題中國網(wǎng)民手機信息安全中國網(wǎng)民手機信息安全狀況狀況手機安全事件的發(fā)生情景手機安全事件的發(fā)生情景2006-2011 年中國網(wǎng)購交易金額及年中國網(wǎng)購交易金額及增長率增長率中國網(wǎng)上支付用戶規(guī)模及中國網(wǎng)上支付用戶規(guī)模及滲透率滲透率主要第三方支付工具用戶主要第三方支付工具用戶覆蓋率覆蓋率用戶支付安全意識及技能亟需加強用戶支付安全意識及技能亟需加強只有 42.4%的用戶表示知道保障網(wǎng)上支付安全的辦法。 用戶安全意識不足，用戶安全意識不足， 僅一半僅一半用戶關(guān)注網(wǎng)上支付安

3、全問題。用戶關(guān)注網(wǎng)上支付安全問題。用戶支付安全風(fēng)險用戶支付安全風(fēng)險防范防范網(wǎng)上支付用戶對透露個人信息警惕性高，對即時通信鏈接防范意識不網(wǎng)上支付用戶對透露個人信息警惕性高，對即時通信鏈接防范意識不強強用戶接到電話稱退款需要告知姓名、賬戶信息或手機驗證碼的反應(yīng)用戶使用即時通信工具時接到鏈接時的反應(yīng)用戶遭遇的主要不安全事件用戶遭遇的主要不安全事件類型類型第三方支付用戶對支付具體緯度的第三方支付用戶對支付具體緯度的評價評價3602012 年中國互聯(lián)網(wǎng)安全報告年中國互聯(lián)網(wǎng)安全報告u木馬木馬病毒威脅明顯病毒威脅明顯降低降低n惡意惡意程序增速明顯放程序增速明顯放緩緩n木馬攻擊木馬攻擊更加精準和更加精準和隱蔽

4、隱蔽n網(wǎng)絡(luò)網(wǎng)絡(luò)存儲和共享成為木馬新興存儲和共享成為木馬新興渠道渠道u釣魚釣魚網(wǎng)站成網(wǎng)民上網(wǎng)首要網(wǎng)站成網(wǎng)民上網(wǎng)首要危害危害n釣魚釣魚網(wǎng)站呈現(xiàn)快速增長網(wǎng)站呈現(xiàn)快速增長勢頭勢頭n虛假虛假購物占釣魚網(wǎng)站總量的購物占釣魚網(wǎng)站總量的 33.3%.n搜索引擎搜索引擎是釣魚網(wǎng)站傳播的主要是釣魚網(wǎng)站傳播的主要途徑途徑網(wǎng)絡(luò)網(wǎng)絡(luò)安全防范安全防范(措施和建議措施和建議)u系統(tǒng)系統(tǒng)/軟件安全軟件安全n安裝正版安裝正版/原版系統(tǒng)原版系統(tǒng)/應(yīng)用軟件應(yīng)用軟件n安裝防火墻和殺毒軟件安裝防火墻和殺毒軟件n及時打補丁或升級到最新版及時打補丁或升級到最新版n使用帶有權(quán)限控制的文件系統(tǒng)并使用帶有權(quán)限控制的文件系統(tǒng)并正確設(shè)置用戶權(quán)限正確

5、設(shè)置用戶權(quán)限l如如windows系統(tǒng)的系統(tǒng)的NTFSn配置安全配置安全l帳戶管理：禁止不用的帳戶帳戶管理：禁止不用的帳戶l服務(wù)管理：關(guān)掉不必要的服務(wù)服務(wù)管理：關(guān)掉不必要的服務(wù)l防火墻：管理例外防火墻：管理例外l系統(tǒng)屬性：關(guān)閉遠程桌面系統(tǒng)屬性：關(guān)閉遠程桌面l共享管理：正確的權(quán)限控制共享管理：正確的權(quán)限控制u個人敏感個人敏感信息保護信息保護n賬號賬號/密碼保護密碼保護u釣魚網(wǎng)站防范釣魚網(wǎng)站防范系統(tǒng)系統(tǒng)/軟件軟件安全安全u安裝安裝正版正版/原版系統(tǒng)原版系統(tǒng)/應(yīng)用軟件應(yīng)用軟件u安裝防火墻和殺毒軟件安裝防火墻和殺毒軟件u及時打補丁或升級到最新版及時打補丁或升級到最新版u使用帶有權(quán)限控制的文件系統(tǒng)并正確設(shè)

6、置用戶權(quán)限使用帶有權(quán)限控制的文件系統(tǒng)并正確設(shè)置用戶權(quán)限n如如windows系統(tǒng)的系統(tǒng)的NTFSu配置安全配置安全n帳戶管理：禁止不用的帳戶帳戶管理：禁止不用的帳戶n服務(wù)管理：關(guān)掉不必要的服務(wù)服務(wù)管理：關(guān)掉不必要的服務(wù)n防火墻：管理例外防火墻：管理例外n系統(tǒng)屬性：關(guān)閉遠程桌面系統(tǒng)屬性：關(guān)閉遠程桌面n共享管理：正確的權(quán)限控制共享管理：正確的權(quán)限控制盡量到官方網(wǎng)站下載軟件盡量到官方網(wǎng)站下載軟件u中文版中文版putty后門事件后門事件n2012年國內(nèi)流行的部分年國內(nèi)流行的部分“漢化版漢化版”PuTTY、WinSCP、SSHSecure工具內(nèi)工具內(nèi)置黑客后門，可能導(dǎo)致服務(wù)器系統(tǒng)管理員密碼及資料泄露，主要

7、影響置黑客后門，可能導(dǎo)致服務(wù)器系統(tǒng)管理員密碼及資料泄露，主要影響Linux服務(wù)器系統(tǒng)維護人員。服務(wù)器系統(tǒng)維護人員。u文件安全性驗證：殺毒軟件殺毒文件安全性驗證：殺毒軟件殺毒u數(shù)據(jù)數(shù)據(jù)/文件的完整性驗證文件的完整性驗證MD5/SHA防火墻防火墻防防病毒軟件病毒軟件u防防病毒系統(tǒng)病毒系統(tǒng)n一定一定要及時升級病毒庫要及時升級病毒庫文件文件n 實時監(jiān)控功能一定要開著實時監(jiān)控功能一定要開著u殺殺毒毒軟件比較軟件比較系統(tǒng)屬性系統(tǒng)屬性 自動更新自動更新系統(tǒng)屬性系統(tǒng)屬性 遠程桌面遠程桌面帳戶管理帳戶管理 用戶禁止用戶禁止帳戶管理帳戶管理 密碼策略密碼策略帳戶管理帳戶管理 帳戶鎖定策略帳戶鎖定策略NTFS文件系

8、統(tǒng)文件系統(tǒng)服務(wù)管理服務(wù)管理服務(wù)管理服務(wù)管理服務(wù)管理服務(wù)管理服務(wù)管理服務(wù)管理共享配置共享配置共享配置共享配置共享配置共享配置常見服務(wù)進程與開放端口常見服務(wù)進程與開放端口常見服務(wù)進程與開放端口常見服務(wù)進程與開放端口個人個人敏感敏感信息信息保護保護如何保護個人信息如何保護個人信息安全安全u 列出清單列出清單- 要保護的對象要保護的對象n 網(wǎng)絡(luò)身份標識網(wǎng)絡(luò)身份標識n 銀行賬號銀行賬號n 身份證號身份證號n 手機號碼手機號碼n 主要郵箱主要郵箱n 關(guān)鍵關(guān)鍵文檔文檔等等等等u明確明確保護措施保護措施 因人而異因人而異n 關(guān)鍵的：銀行賬號關(guān)鍵的：銀行賬號/密碼，重要身份標示密碼，重要身份標示。加密加密n 重

9、要的：手機，身份證號重要的：手機，身份證號。不能不能隨意訪問，散發(fā)隨意訪問，散發(fā)n 普通的：你認為可以公開的。普通的：你認為可以公開的。信息信息保護保護u信息分類信息分類u歸檔歸檔與整理與整理u信息保護信息保護/文件文件加密加密lOFFICE加密加密lWINRAR加密加密u數(shù)據(jù)備份數(shù)據(jù)備份和和恢復(fù)恢復(fù)OFFICE文件文件加密加密u對內(nèi)容需要保護的對內(nèi)容需要保護的OFFICE文檔文檔u針對針對單個文檔單個文檔WINRAR加密加密u 多種文件格式，加密多種文件格式，加密壓縮壓縮u 針對目錄，或文件針對目錄，或文件數(shù)據(jù)備份與恢復(fù)數(shù)據(jù)備份與恢復(fù)u計劃和準備階段計劃和準備階段n 分類歸檔（按機密性，因人

10、而分類歸檔（按機密性，因人而異）：分歸不同目錄。異）：分歸不同目錄。n處理：加密，或壓縮，或明文處理：加密，或壓縮，或明文u備份介質(zhì)備份介質(zhì)nU盤，移動硬盤，刻錄成光盤、盤，移動硬盤，刻錄成光盤、云存儲（網(wǎng)盤）等云存儲（網(wǎng)盤）等n標注日期或以日期為子目錄標注日期或以日期為子目錄u備份加密軟件，例如：備份加密軟件，例如：WINRAR傳統(tǒng)的身份鑒別方法（傳統(tǒng)的身份鑒別方法（3W）u基于你所知道的（基于你所知道的（What you know ）n知識、口令、密碼知識、口令、密碼u基于你所擁有的（基于你所擁有的（What you have ）n身份證、信用卡、鑰匙、智能卡、令牌等身份證、信用卡、鑰匙、

11、智能卡、令牌等u基于你的個人特征（基于你的個人特征（What you are）n指紋，筆跡，聲音，手型，臉型，視網(wǎng)膜，虹膜指紋，筆跡，聲音，手型，臉型，視網(wǎng)膜，虹膜安全支付技術(shù)手段安全支付技術(shù)手段The 25 Worst Passwords of 2011u斯洛伐克國家安全局的縮寫叫斯洛伐克國家安全局的縮寫叫NBU， 有一年黑客有一年黑客成功成功入入侵其網(wǎng)站，侵其網(wǎng)站， 因為網(wǎng)站用戶名是因為網(wǎng)站用戶名是NBUSR， 密碼密碼是是NBUSR123， 黑客表示入侵無壓力。黑客表示入侵無壓力。 事后事后NBU痛定思痛痛定思痛， 決定加強安全措施。決定加強安全措施。 過幾天黑客又攻進去了過幾天黑客又攻

12、進去了，因為，因為他們把他們把密碼改成密碼改成NBU123了。了。1. password2. 1234563. 123456784. qwerty5. abc1236. monkey7. 12345678. letmein9. trustno110. dragon11. baseball12. 11111113. iloveyou14. master15. sunshine16. ashley17. bailey18. passw0rd19. shadow20. 12312321. 65432122. superman23. qazwsx24. michael25. football2011年

13、中國網(wǎng)站用戶信息泄露事件年中國網(wǎng)站用戶信息泄露事件u2011年年12月月21日，有人在網(wǎng)絡(luò)上公開了一個包含日，有人在網(wǎng)絡(luò)上公開了一個包含600萬個萬個CSDN用戶資料的用戶資料的數(shù)據(jù)庫，數(shù)據(jù)庫，數(shù)據(jù)全部為數(shù)據(jù)全部為明文儲存明文儲存，包含，包含用用戶名、密碼以及注冊戶名、密碼以及注冊郵箱郵箱 。事件發(fā)生后。事件發(fā)生后CSDN在微博、官在微博、官方網(wǎng)站等渠道發(fā)出了方網(wǎng)站等渠道發(fā)出了聲明，聲明，解釋說此數(shù)據(jù)庫系解釋說此數(shù)據(jù)庫系2009年備份年備份所用，因不明原因泄露，已經(jīng)向警方報案。后又在官網(wǎng)網(wǎng)所用，因不明原因泄露，已經(jīng)向警方報案。后又在官網(wǎng)網(wǎng)站發(fā)出了公開道歉站發(fā)出了公開道歉信。信。u已證實有數(shù)據(jù)泄

14、露的已證實有數(shù)據(jù)泄露的網(wǎng)站網(wǎng)站n CSDN、天涯社區(qū)、天涯社區(qū)、 YY語音語音u官方官方確認數(shù)據(jù)并未泄露的網(wǎng)站確認數(shù)據(jù)并未泄露的網(wǎng)站n中國工商銀行中國工商銀行、交通銀行、民生、交通銀行、民生銀行銀行n新新浪微浪微博、開心網(wǎng)、博、開心網(wǎng)、7k7k、當當網(wǎng)、凡、當當網(wǎng)、凡客誠客誠品品2011 密碼密碼泄密門泄密門最常用的最常用的10個口令個口令uPassword:123456 Count:838056uPassword:123456789 Count:360729uPassword:111111 Count:256270uPassword:12345678 Count:239870uPasswor

15、d:123123 Count:120385uPassword:a123456 Count:111852uPassword:11111111 Count:95536uPassword:0 Count:91167uPassword:zz12369 Count:81064uPassword:5201314 Count:62975uPassword:123456aa Count:61738 最常用的口令長度最常用的口令長度uLength:8 Count:9017123uLength:9 Count:7174259uLength:6 Count:5840499uLength:10 Count:57058

16、24uLength:7 Count:5509937uLength:11 Count:2266449uLength:12 Count:858513uLength:13 Count:405979uLength:14 Count:326208uLength:5 Count:201232uLength:15 Count:163402 純數(shù)字作為口令的比例純數(shù)字作為口令的比例純數(shù)字的口令長度純數(shù)字的口令長度uNumlen:6 Count:4453771uNumlen:8 Count:3999400uNumlen:7 Count:3035793uNumlen:9 Count:2308243uNumlen:

17、10 Count:1277853uNumlen:11 Count:1174155uNumlen:5 Count:173660uNumlen:12 Count:165443uNumlen:1 Count:100865uNumlen:4 Count:76558uNumlen:3 Count:55520 防止口令破解防止口令破解u密碼策略密碼策略n限制最小長度，至少限制最小長度，至少6至至8字節(jié)字節(jié)以上以上n 定期更換定期改變口令定期更換定期改變口令n嚴格限制嘗試登錄的次數(shù)嚴格限制嘗試登錄的次數(shù)l連續(xù)登陸連續(xù)登陸3次錯誤，鎖定賬次錯誤，鎖定賬號一段時間（如號一段時間（如3分鐘）分鐘）n防止使用用戶特

18、征相關(guān)的口令防止使用用戶特征相關(guān)的口令l忘掉生日，姓名和字典吧！忘掉生日，姓名和字典吧！n使用不同的密碼使用不同的密碼u請使用動態(tài)口令請使用動態(tài)口令/數(shù)字證書數(shù)字證書u密碼選擇：易記不易猜密碼選擇：易記不易猜n 床前明月光床前明月光n 疑是地上霜疑是地上霜n 舉頭望明月舉頭望明月n 低頭思故鄉(xiāng)低頭思故鄉(xiāng)ucyjd!154多網(wǎng)站多賬號的的密碼策略多網(wǎng)站多賬號的的密碼策略u基本字符基本字符+網(wǎng)站特征字符網(wǎng)站特征字符u密碼記錄軟件密碼記錄軟件n瀏覽器的密碼記錄瀏覽器的密碼記錄nKeePass/LastPassu使用單一登使用單一登入入SSO/OpenID/Oauth（須相關(guān)網(wǎng)站支持）（須相關(guān)網(wǎng)站支持

19、）釣魚式攻擊釣魚式攻擊u釣魚式攻擊（釣魚式攻擊（Phishing，與釣魚的英語，與釣魚的英語fishing發(fā)音發(fā)音一樣）一樣）是一種企圖從電子通信中，通過是一種企圖從電子通信中，通過偽裝偽裝成信譽卓著的法人媒成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程犯罪詐騙過程。這些。這些通信都聲稱（自己）來自通信都聲稱（自己）來自于著名的于著名的社社交交網(wǎng)站、網(wǎng)絡(luò)網(wǎng)站、網(wǎng)絡(luò)銀行、電子支付銀行、電子支付網(wǎng)站、網(wǎng)站、或網(wǎng)絡(luò)管理或網(wǎng)絡(luò)管理者，以此者，以此來誘騙受害人的輕信來誘騙受害人的輕信。u網(wǎng)網(wǎng)釣通常是通過釣通常是通過e-m

20、ail或者實時通信或者實時通信進行。進行。它常常導(dǎo)引用它常常導(dǎo)引用戶到戶到URL與接口外觀與接口外觀與真正與真正網(wǎng)站相差無幾網(wǎng)站相差無幾的的假冒網(wǎng)站輸入假冒網(wǎng)站輸入個人數(shù)據(jù)。就算使用強式加密的個人數(shù)據(jù)。就算使用強式加密的SSL服務(wù)器認證，要偵測服務(wù)器認證，要偵測網(wǎng)站是否仿冒實際上仍很困難網(wǎng)站是否仿冒實際上仍很困難。u網(wǎng)網(wǎng)釣是一種利用釣是一種利用社會工程社會工程技術(shù)來愚弄用戶的技術(shù)來愚弄用戶的實例。實例。它憑恃它憑恃的是現(xiàn)行網(wǎng)絡(luò)安全技術(shù)的低親和度的是現(xiàn)行網(wǎng)絡(luò)安全技術(shù)的低親和度。種種。種種對抗日漸增多網(wǎng)對抗日漸增多網(wǎng)釣案例的嘗試涵蓋立法層面、用戶培訓(xùn)層面、宣傳層面、釣案例的嘗試涵蓋立法層面、用戶培訓(xùn)層面、宣傳層面、與技術(shù)保全措施層面。與技術(shù)保全措施層面。網(wǎng)釣技術(shù)網(wǎng)釣技術(shù)u鏈接操鏈接操控控n相似相似URLn鏈接文字與實際鏈接鏈接文字與實際鏈接URL的不一致的不一致n使用含有使用含有符號的欺騙符號的欺騙鏈接鏈接lhttp:/nIDN網(wǎng)址欺騙網(wǎng)址欺騙l利用利用國際化域名名稱（國際化域名名稱（IDN）可以以）可以以Unicode字符命名網(wǎng)址的特性，通過字符命名網(wǎng)址的特性，通過同形異義字，魚目混珠同形異義字，魚目混珠。u過濾器規(guī)避過濾器規(guī)避l網(wǎng)網(wǎng)釣者使用圖像代替文字，使反網(wǎng)釣過濾器更難偵測網(wǎng)釣電子郵件中常用釣者使用圖像代替文字，使反網(wǎng)釣過濾器更難偵測網(wǎng)釣電子郵件中常用的文