信息安全業(yè)人員安全素養(yǎng)培訓(xùn)

1、v1信息安全原理及從業(yè)人員安全素養(yǎng)培訓(xùn)01信息安全概述第一章信息安全原理及從業(yè)人員安全素養(yǎng)第 2 頁(yè)定義 信息安全是指信息化系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護(hù)，不受偶然的或惡意的破壞、更改、泄露，以保證信息化系統(tǒng)連續(xù)可靠地運(yùn)行，信息服務(wù)不中斷。 信息安全“三要素” ，即需保證數(shù)據(jù)的保密性、交易的完整性（不被非法篡改）、所寄生系統(tǒng)的可用性。這三要素相互作業(yè)目的是確保業(yè)務(wù)的連續(xù)性。 企業(yè)在確?！昂弦?guī) ”（國(guó)家法律、法規(guī)、行業(yè)規(guī)范、企業(yè)規(guī)章制度）的大前提下，信息安全處將建立適合本企業(yè)的科學(xué)、有效管理體系，并要求各單位通過(guò)管理、技術(shù)二大手段，開(kāi)展一系列工作。第一節(jié). 信息安

2、全概述第一章交易完整性系統(tǒng)可用性數(shù)據(jù)保密性業(yè)務(wù)連續(xù)性第 3 頁(yè)第一章第 4 頁(yè)第二節(jié). 信息安全緊迫性（1）01應(yīng)用環(huán)境風(fēng)險(xiǎn)第一章第 5 頁(yè)第二節(jié). 信息安全緊迫性（2）第一章第三節(jié). 身邊的安全事件第 6 頁(yè)01應(yīng)用環(huán)境風(fēng)險(xiǎn)第一章第 7 頁(yè)第三節(jié). 身邊的安全事件第一章學(xué)生姓名、家長(zhǎng)手機(jī)信息!老師信息!第 8 頁(yè)第三節(jié). 身邊的安全事件第一章第 9 頁(yè)第三節(jié). 身邊的安全事件第一章第 10 頁(yè)第三節(jié). 身邊的安全事件第一章第 11 頁(yè)第三節(jié). 身邊的安全事件第一章第 12 頁(yè)第三節(jié). 身邊的安全事件第一章快看，信息裸奔！第 13 頁(yè)第三節(jié). 身邊的安全事件第一章第 14 頁(yè)第三節(jié). 身邊的安

3、全事件第一章第 15 頁(yè)第三節(jié). 身邊的安全事件第一章第四節(jié). 安全態(tài)勢(shì)分析（1）第 16 頁(yè)叛國(guó)者正義的化身自戀狂斯大爺恐怖主義者臨時(shí)工英雄泄密者眾盼親離衛(wèi)士小人罪犯WHO IS HE?MTWTFSS3012345678910111213141516171819202122232425262728292013年6月6月6日，美國(guó)華盛頓郵報(bào)披露稱(chēng)，過(guò)去6年間，美國(guó)國(guó)家安全局和聯(lián)邦調(diào)查局通過(guò)進(jìn)入微軟、谷歌、蘋(píng)果、雅虎等九大網(wǎng)絡(luò)巨頭的服務(wù)器，監(jiān)控美國(guó)公民的電子郵件、聊天記錄、視頻及照片等秘密資料。美國(guó)輿論隨之嘩然。第一章第四節(jié). 安全態(tài)勢(shì)分析（1）第 17 頁(yè)第一章第四節(jié). 安全態(tài)勢(shì)分析（2）第

4、18 頁(yè)MTWTFSS30123456789101112131415161718192021222324252627282014年2月2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，在北京召開(kāi)了第一次會(huì)議。習(xí)近平任組長(zhǎng)，李克強(qiáng)、劉云山任副組長(zhǎng)。這再次體現(xiàn)了中國(guó)最高層全面深化改革、加強(qiáng)頂層設(shè)計(jì)的意志，顯示出在保障網(wǎng)絡(luò)安全、維護(hù)國(guó)家利益、推動(dòng)信息化發(fā)展的決心。第一章第四節(jié). 安全態(tài)勢(shì)分析（2）第 19 頁(yè)政治局常委任組長(zhǎng)的部分小組中央全面深化改革領(lǐng)導(dǎo)小組中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組中央外事/國(guó)家安全工作領(lǐng)導(dǎo)小組中央對(duì)臺(tái)工作領(lǐng)導(dǎo)小組中央財(cái)經(jīng)領(lǐng)導(dǎo)小組國(guó)務(wù)院振興東北地區(qū)等工業(yè)基地領(lǐng)導(dǎo)小組國(guó)家科技教育領(lǐng)導(dǎo)小

5、組國(guó)務(wù)院西部地區(qū)開(kāi)發(fā)領(lǐng)導(dǎo)小組國(guó)家應(yīng)對(duì)氣候變化及節(jié)能減排工作領(lǐng)導(dǎo)小組第一章第四節(jié). 安全態(tài)勢(shì)分析（2）第 20 頁(yè)第一章第四節(jié). 安全態(tài)勢(shì)分析（1）第 21 頁(yè)第四章第 22 頁(yè)第四節(jié). 安全態(tài)勢(shì)分析（2）01信息安全保障體系第二章第 23 頁(yè)信息安全原理及從業(yè)人員安全素養(yǎng)第二章第 24 頁(yè)第一節(jié). 信息安全保障背景和實(shí)踐電訊技術(shù)的發(fā)明19世紀(jì)30年代計(jì)算機(jī)技術(shù)的發(fā)展20世紀(jì)50年代計(jì)算機(jī)安全階段20世紀(jì)60年代互聯(lián)網(wǎng)的使用20世紀(jì)90年代通信保密階段20世紀(jì)40年代信息安全保障階段20世紀(jì)90年代第二章第 25 頁(yè)第二節(jié). 信息安全保障基礎(chǔ)信息系統(tǒng)的復(fù)雜性系統(tǒng)的自身缺陷互聯(lián)網(wǎng)的開(kāi)放性人為、環(huán)境

6、因素非法入侵、破壞、竊取多方面自然威脅內(nèi)、外因相互作用第二章第 26 頁(yè)第三節(jié). 信息安全保障體系保 障 要 素技 術(shù)管 理工 程人 員規(guī)劃組織安全特征可 用 性完 整 性保 密 性生 命 周 期開(kāi)發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)廢 棄安全保障安全技術(shù)保障安全管理保障安全工程保障人員保障安全保障評(píng)估保 障產(chǎn)生給出證據(jù)信 心所有者需要生命周期安全工程保障控制要求人 員 保 障安全工程能力成熟度級(jí)要求安全管理保障控制要求安全技術(shù)保障控制要求安全管理能力成熟度級(jí)要求安全技術(shù)架構(gòu)能力成熟度級(jí)要求信息系統(tǒng)安全保障控制能力成熟度級(jí)別風(fēng) 險(xiǎn)那么最小化資 產(chǎn)梳理使 命完成01基礎(chǔ)技術(shù)與原理第三章第 27 頁(yè)信息安全原理

7、及從業(yè)人員安全素養(yǎng)第三章第 28 頁(yè)第一節(jié). 密碼技術(shù) 概念口令?密碼?口令是與賬戶(hù)ID對(duì)應(yīng)的，需要兩者完全匹配來(lái)驗(yàn)證身份的登陸認(rèn)證。賬戶(hù)ID可明文公開(kāi)，而口令作為賬戶(hù)ID的補(bǔ)充，一般加密，為加密口令。密碼是指通過(guò)一定的算法，將明文加密后，形成的密文，是保密信息的具體內(nèi)容。把口令等同于密碼的說(shuō)法，實(shí)際是縮小了密碼的范疇，是不合適的。第三章第 29 頁(yè)強(qiáng)口令要求1、至少8個(gè)字符以上；（計(jì)算，有多少種排列組合？）2、必須同時(shí)包含字母、數(shù)字、特殊符號(hào)在內(nèi)；3、英文中不包含賬戶(hù)ID、姓名、公司名稱(chēng)，不包含完整的單詞；4、英文字母大小寫(xiě)混用；5、數(shù)字中，不出現(xiàn)生日、規(guī)則序列；6、不同于最近3次；第一節(jié).

8、 密碼技術(shù) 口令第三章第 30 頁(yè)第一節(jié). 密碼技術(shù) 之 對(duì)稱(chēng)密鑰替換算法-3+3第三章第 31 頁(yè)第一節(jié). 密碼技術(shù) 之 對(duì)稱(chēng)密鑰置換算法替換算法-3+3第三章第 32 頁(yè)第一節(jié). 密碼技術(shù) 之 非對(duì)稱(chēng)密鑰加解密過(guò)程明文m明文m密文c加密算法ED解密算法密鑰源密鑰k密鑰k普通信道安全信道攻擊者mK加密:解密:第三章第 33 頁(yè)第三節(jié). 訪問(wèn)控制技術(shù)訪問(wèn)控制模型訪問(wèn)控制模型自主訪問(wèn)控制模型DAC強(qiáng)制訪問(wèn)控制模型MAC基于角色訪問(wèn)控制模型RBAC訪問(wèn)矩陣模型保密性模型完整性模型混合策略模型訪問(wèn)控制表（ACL）訪問(wèn)能力表（CL）Bell-Lapudula 模型Biba 模型Clark-Wilson

9、 模型Chinese Wall 模型第三章第 34 頁(yè)第三節(jié). 訪問(wèn)控制技術(shù)訪問(wèn)控制模型01網(wǎng)絡(luò)安全第四章第 35 頁(yè)信息安全原理及從業(yè)人員安全素養(yǎng)第四章第 36 頁(yè)第一節(jié). 網(wǎng)絡(luò)安全基礎(chǔ)糾錯(cuò)、流控制 電、物理信號(hào)、線路尋址、路由物理層網(wǎng)絡(luò)控制、鏈路糾錯(cuò)網(wǎng)絡(luò)接口層通訊機(jī)制、驗(yàn)證服務(wù) 格式轉(zhuǎn)換、加/解密 鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話(huà)層表示層應(yīng)用層提供應(yīng)用軟件的接口 互聯(lián)層傳輸層傳輸層OSI 和 TCP/IPISO/OSITCP/IP第四章第 37 頁(yè)第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（1）125346互聯(lián)網(wǎng)信息收集綜合掃描掃描技術(shù)IP地址掃描端口掃描漏洞掃描弱口令掃描第四章第 38 頁(yè)第二節(jié). 網(wǎng)絡(luò)安全威脅技

10、術(shù)（2）網(wǎng)絡(luò)嗅探嗅探(sniff)，就是竊聽(tīng)網(wǎng)絡(luò)上流經(jīng)的數(shù)據(jù)包，而數(shù)據(jù)包里面一般會(huì)包含很多重要的私隱信息，如：你正在訪問(wèn)什么網(wǎng)站，你的郵箱密碼是多少，你在和哪個(gè)MM聊QQ等等.而很多攻擊方式（如著名的會(huì)話(huà)劫持）都是建立在嗅探的基礎(chǔ)上的。B機(jī)C機(jī)D機(jī)E機(jī)交換機(jī)網(wǎng)關(guān)我是網(wǎng)關(guān)我是B機(jī)ARP攻擊者截獲B機(jī)的數(shù)據(jù)包!第四章第 39 頁(yè)第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（3）網(wǎng)絡(luò)協(xié)議欺騙協(xié)議類(lèi)型：包括TCP欺騙和UDP欺騙攻擊層面：在傳輸層實(shí)施的通信欺騙攻擊攻擊方式：是通過(guò)將外部計(jì)算機(jī)偽裝成合法計(jì)算機(jī)來(lái)實(shí)現(xiàn)的,欺騙的目的是使其它計(jì)算機(jī)誤將攻擊者的計(jì)算機(jī)作為合法計(jì)算機(jī)接受,從而誘使其它計(jì)算機(jī)向攻擊者計(jì)算機(jī)發(fā)送數(shù)據(jù)或

11、允許它修改數(shù)據(jù),最終破壞計(jì)算機(jī)間通信鏈路上的正常數(shù)據(jù)流,或者在兩臺(tái)計(jì)算機(jī)的通信鏈路中插入數(shù)據(jù).B機(jī)ARP攻擊者A機(jī)1.用DDos攻擊使B癱瘓2.源 IP=B,SYN4.源 IP=B,ACK5.源 IP=B,開(kāi)始通信3.SYN+ACK第四章第 40 頁(yè)第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（4）DNS欺騙基于DNS服務(wù)器欺騙基于用戶(hù)計(jì)算機(jī)的欺騙設(shè)置正確的固定DNS第四章第 41 頁(yè)第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（5）誘騙式攻擊誘騙下載游戲和插件下載熱門(mén)應(yīng)用下載電子書(shū)P2P種子文件網(wǎng)站釣魚(yú)網(wǎng)站掛馬框架掛馬JS腳本掛馬BOBY掛馬偽裝欺騙掛馬社會(huì)工程第四章第 42 頁(yè)第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（6）軟件漏洞攻擊文件

12、處理軟件瀏覽器軟件操作系統(tǒng)服務(wù)漏洞ActiveX控件第四章第 43 頁(yè)第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（7-1）拒絕服務(wù)攻擊定義：拒絕服務(wù)攻擊（Denial of Service,DoS）攻擊者向目標(biāo)計(jì)算機(jī)發(fā)出數(shù)量眾多的攻擊數(shù)據(jù)包，消耗目標(biāo)計(jì)算機(jī)的大量網(wǎng)絡(luò)帶寬和計(jì)算機(jī)資源，使得目標(biāo)主機(jī)無(wú)法提供服務(wù)響應(yīng)的攻擊方式.實(shí)現(xiàn)方式：1）利用目標(biāo)主機(jī)自身存在的DoS漏洞；2）耗盡目標(biāo)主機(jī)的CPU和內(nèi)存；3）耗盡目標(biāo)主機(jī)的網(wǎng)絡(luò)帶寬；DoS攻擊分類(lèi)1）IP層協(xié)議攻擊（反射型DoS攻擊）2）TCP協(xié)議攻擊（協(xié)議缺陷型DoS攻擊）3）UDP協(xié)議攻擊（針對(duì)DNS服務(wù)的UDP洪水攻擊）4）應(yīng)用層協(xié)議攻擊（腳本洪水攻擊）第四

13、章第 44 頁(yè)第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（7-2）分布式拒絕服務(wù)攻擊定義：就是在DoS攻擊基礎(chǔ)上，由攻擊者通過(guò)非法控制的大量第三方計(jì)算機(jī)輔助其攻擊的一種攻擊方式，DDoS可簡(jiǎn)單理解為多對(duì)一的攻擊.實(shí)現(xiàn)方式：1）感染上千臺(tái)服務(wù)器，是其成為傀儡機(jī)（肉雞），并具備發(fā)動(dòng)DoS攻擊能力；2）上千臺(tái)肉雞構(gòu)成的僵尸網(wǎng)絡(luò)，等待來(lái)自主控中心的攻擊命令；3）中央攻擊控制中心在適時(shí)啟動(dòng)全體受控主機(jī)的DoS服務(wù)進(jìn)程，讓它們對(duì)一個(gè)特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，形成一股DoS洪流沖擊目標(biāo)系統(tǒng)，猛烈的DoS攻擊同一個(gè)網(wǎng)站。D.DoS攻擊者主控端主控端主控端DoS代理端（肉雞）DoS代理端（肉雞）DoS代理端（肉雞）D

14、oS代理端（肉雞）DoS代理端（肉雞）DoS代理端（肉雞）受害服務(wù)器第四章第 45 頁(yè)第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（9）WEB腳本攻擊 之 sql注入定義：所謂SQL注入，就是通過(guò)把SQL命令插入到Web表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢(xún)字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令，比如先前的很多影視網(wǎng)站泄露VIP會(huì)員密碼大多就是通過(guò)WEB表單遞交查詢(xún)字符暴出的，這類(lèi)表單特別容易受到SQL注入式攻擊第四章第 46 頁(yè)第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（9）WEB腳本攻擊 之 跨站定義：跨站攻擊，即Cross Site Script Execution(通常簡(jiǎn)寫(xiě)為XSS)。是指攻擊者利用網(wǎng)站程序?qū)τ脩?hù)輸

15、入過(guò)濾不足，輸入可以顯示在頁(yè)面上對(duì)其他用戶(hù)造成影響的HTML代碼，從而盜取用戶(hù)資料、利用用戶(hù)身份進(jìn)行某種動(dòng)作或者對(duì)訪問(wèn)者進(jìn)行病毒侵害的一種攻擊方式。 );alert(xss);CCMP(訊息認(rèn)證碼)RC4-AES 取代增大鑰匙和初向量減少封包個(gè)數(shù)安全訊息驗(yàn)證系統(tǒng)第五章第 66 頁(yè)第五節(jié). 無(wú)線網(wǎng)絡(luò)安全技術(shù)無(wú)線網(wǎng)關(guān)安全防護(hù)路由器（家庭網(wǎng)關(guān)）的防護(hù)策略，都有哪些？沒(méi)有不能破解的無(wú)線加密WPA2加密關(guān)閉SSID廣播修改默認(rèn)IP調(diào)節(jié)發(fā)射功率及時(shí)升級(jí)固件MAC地址過(guò)濾停用DHCPAP設(shè)備強(qiáng)密碼第五章第 67 頁(yè)第五節(jié). 無(wú)線網(wǎng)絡(luò)安全技術(shù)（1）SSID、ESSIDSSID（Service Set Iden

16、tifier）AP唯一的ID碼，用來(lái)區(qū)分不同的網(wǎng)絡(luò)，無(wú)線終端和AP的SSID必須相同方可通信。出于安全考慮可以不廣播SSID，此時(shí)用戶(hù)就要手工設(shè)置SSID才能進(jìn)入相應(yīng)的網(wǎng)絡(luò)。第五章第 68 頁(yè)第五節(jié). 無(wú)線網(wǎng)絡(luò)安全技術(shù)（2）直接序列擴(kuò)頻傳送的信號(hào)擴(kuò)頻后的信號(hào)偽隨機(jī) PN碼解擴(kuò)后的信號(hào)收到的信號(hào)偽隨機(jī) PN碼第五章第 69 頁(yè)第五節(jié). 無(wú)線網(wǎng)絡(luò)安全技術(shù)（3）訪問(wèn)控制第五章第 70 頁(yè)第五節(jié). 無(wú)線網(wǎng)絡(luò)安全技術(shù)（4）RADIUS服務(wù)RADIUS服務(wù)器RADIUS客戶(hù)端用戶(hù)DB客戶(hù)端密鑰DB字典DB（1） 用戶(hù)輸入用戶(hù)名和密碼（2）用戶(hù)輸入用戶(hù)名和密碼（3）認(rèn)證通過(guò)（4）計(jì)費(fèi)請(qǐng)求（start）（5）

17、計(jì)費(fèi)響應(yīng)（6）訪問(wèn)交互 訪問(wèn)交互 （7）計(jì)費(fèi)請(qǐng)求（stop）（8）計(jì)費(fèi)響應(yīng)（9） 通知認(rèn)證結(jié)束用戶(hù)第五章第 71 頁(yè)第五節(jié). 無(wú)線網(wǎng)絡(luò)安全技術(shù)（5）入侵檢測(cè)系統(tǒng)第五章第 72 頁(yè)第五節(jié). 無(wú)線網(wǎng)絡(luò)安全技術(shù)（6）生物特征識(shí)別視網(wǎng)膜、臉型指紋、掌紋聲音、簽名手型、虹膜第五章第 73 頁(yè)第五節(jié). 無(wú)線網(wǎng)絡(luò)安全技術(shù)（7）雙因素認(rèn)證LOGIN:PASSCODE:都教授AY08PIN159759已初始化為全球同步時(shí)間令牌碼:通常為60s變化一次內(nèi)部電池唯一的128位種子令牌碼+雙因素口令 =一致同步RSA認(rèn)證服務(wù)期第五章第 74 頁(yè)第五節(jié). 無(wú)線網(wǎng)絡(luò)安全技術(shù)（8）智能卡01系統(tǒng)安全第六章第 75 頁(yè)信息安

18、全原理及從業(yè)人員安全素養(yǎng)第六章第 76 頁(yè)第一節(jié). 操作系統(tǒng)安全操作系統(tǒng)安全187目錄及文件夾控制文件安全備份和恢復(fù)冗余和鏡像系統(tǒng)架構(gòu)關(guān)鍵系統(tǒng)組件系統(tǒng)服務(wù)進(jìn)程啟動(dòng)過(guò)程安全子系統(tǒng)登陸驗(yàn)證用戶(hù)權(quán)限日志審計(jì)本地策略組策略46235第六章第 77 頁(yè)第一節(jié). 操作系統(tǒng)安全賬戶(hù)安全策略第六章第 78 頁(yè)第一節(jié). 操作系統(tǒng)安全組安全策略第六章第 79 頁(yè)第一節(jié). 操作系統(tǒng)安全UNIX文件策略第六章第 80 頁(yè)第二節(jié). 數(shù)據(jù)庫(kù)安全用戶(hù)標(biāo)識(shí)和鑒定第六章第 81 頁(yè)第二節(jié). 數(shù)據(jù)庫(kù)安全存取控制第六章第 82 頁(yè)第二節(jié). 數(shù)據(jù)庫(kù)安全審計(jì)第六章第 83 頁(yè)第二節(jié). 數(shù)據(jù)庫(kù)安全數(shù)據(jù)加密口令的HASH值第六章第 84

19、頁(yè)第二節(jié). 數(shù)據(jù)庫(kù)安全 之 10大威脅特權(quán)濫用第六章第 85 頁(yè)第二節(jié). 數(shù)據(jù)庫(kù)安全 之 10大威脅提權(quán)SQLGRANT sysdba TO SCOTT; -將特權(quán)帳戶(hù)授權(quán)給其它帳戶(hù)第六章第 86 頁(yè)第二節(jié). 數(shù)據(jù)庫(kù)安全 之 10大威脅平臺(tái)漏洞第六章第 87 頁(yè)第二節(jié). 數(shù)據(jù)庫(kù)安全 之 10大威脅SQL注入第六章第 88 頁(yè)第二節(jié). 數(shù)據(jù)庫(kù)安全 之 10大威脅審計(jì)缺失拒絕服務(wù)自動(dòng)記錄所有敏感的和異常的數(shù)據(jù)庫(kù)事務(wù)應(yīng)該是所有數(shù)據(jù)庫(kù)部署基礎(chǔ)的一部分。如果數(shù)據(jù)庫(kù)審計(jì)策略不足,則系統(tǒng)將在很多級(jí)別上面臨嚴(yán)重風(fēng)險(xiǎn)。通過(guò)多種技巧，為拒絕服務(wù)創(chuàng)造條件，其中利用漏洞來(lái)制造拒絕服務(wù)攻擊。常見(jiàn)的系統(tǒng)故障場(chǎng)景：資源過(guò)載

20、。第六章第 89 頁(yè)第二節(jié). 數(shù)據(jù)庫(kù)安全 之 10大威脅協(xié)議漏洞備份數(shù)據(jù)暴露數(shù)據(jù)庫(kù)的漏洞，一半以上都是和協(xié)議有關(guān)。針對(duì)這些漏洞的欺騙性活動(dòng)包括未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)、數(shù)據(jù)破壞以及拒絕服務(wù)。備份數(shù)據(jù)庫(kù)存儲(chǔ)介質(zhì)對(duì)于攻擊者是毫無(wú)防護(hù)措施的。因此，在若干起著名的安全破壞活動(dòng)中都是數(shù)據(jù)庫(kù)備份磁帶和硬盤(pán)被盜第六章第 90 頁(yè)第二節(jié). 數(shù)據(jù)庫(kù)安全 之 10大威脅不健全認(rèn)證暴力：攻擊者不斷嘗試、枚舉用戶(hù)名和口令組合，直到猜解可登陸的一組。甚至通過(guò)自動(dòng)化程序，加快暴力破解的進(jìn)度。而此過(guò)程，系統(tǒng)全然不知。社會(huì)工程：攻擊者利用人天生容易相信別人的傾向來(lái)獲取他人的信任，從而獲得登陸憑證。直接竊?。汗粽呖赡芡ㄟ^(guò)抄寫(xiě)在即時(shí)

21、貼上的內(nèi)容或者復(fù)制密碼文件來(lái)竊取登陸憑證；如下圖第六章第 91 頁(yè)第二節(jié). 數(shù)據(jù)庫(kù)安全 之 安全檢查端口掃描第六章第 92 頁(yè)第二節(jié). 數(shù)據(jù)庫(kù)安全 之 安全檢查滲透測(cè)試第六章第 93 頁(yè)第二節(jié). 數(shù)據(jù)庫(kù)安全 之 安全檢查運(yùn)行監(jiān)控01應(yīng)用安全第七章第 94 頁(yè)信息安全原理及從業(yè)人員安全素養(yǎng)第七章第 95 頁(yè)第一節(jié). 軟件漏洞概念及分類(lèi)多年以來(lái)，在計(jì)算機(jī)軟件（包括來(lái)自第三方的軟件，商業(yè)的和免費(fèi)的軟件）中已經(jīng)發(fā)現(xiàn)了不計(jì)其數(shù)能夠削弱安全性的缺陷（bug）。黑客利用編程中的細(xì)微錯(cuò)誤或者上下文依賴(lài)關(guān)系，已經(jīng)能夠控制Linux，讓它做任何他們想讓它做的事情。參數(shù)錯(cuò)誤類(lèi)錯(cuò)誤使用資源經(jīng)驗(yàn)欠缺類(lèi)錯(cuò)誤管理不規(guī)范類(lèi)漏

22、洞13.下載未經(jīng)完整性檢查14.不正確的初始化15.使用被破解的加密算法16.濫用特權(quán)操作1.錯(cuò)誤的輸入驗(yàn)證2.不正確的轉(zhuǎn)義輸出3.SQL注入)錯(cuò)誤4.跨站腳本5.操作系統(tǒng)命令注入6.明文傳送敏感信息7.資源競(jìng)爭(zhēng)8.錯(cuò)誤信息泄露9.緩沖區(qū)內(nèi)操作失敗10.外部控制重要狀態(tài)數(shù)據(jù)11.不可信搜索路徑12.控制代碼生成錯(cuò)誤第七章第 96 頁(yè)第一節(jié). 軟件漏洞緩沖區(qū)溢出漏洞第七章第 97 頁(yè)第一節(jié). 軟件漏洞格式化字符串漏洞猜猜這是啥？第七章第 98 頁(yè)第一節(jié). 軟件漏洞軟件漏洞案例第七章第 99 頁(yè)第一節(jié). 軟件漏洞軟件漏洞案例 心臟出血第七章第 100 頁(yè)第二節(jié). 軟件安全開(kāi)發(fā)建立安全威脅模型考慮風(fēng)

23、險(xiǎn)消減技術(shù)方案，應(yīng)用于產(chǎn)品中，以緩解威脅；分析軟件產(chǎn)品的安全環(huán)境、功能作用、潛在攻擊者的關(guān)注點(diǎn)、攻擊力度；安全模型步驟分析軟件產(chǎn)品可能遭受的威脅、包括技術(shù)、危害、攻擊面；將所有的威脅進(jìn)行評(píng)估分析，并按照風(fēng)險(xiǎn)值進(jìn)行排序，對(duì)風(fēng)險(xiǎn)較大的威脅重點(diǎn)關(guān)注；第七章第 101 頁(yè)第二節(jié). 軟件安全開(kāi)發(fā)安全設(shè)計(jì)代碼重用業(yè)務(wù)認(rèn)可最少公用全面防御最小權(quán)限開(kāi)放設(shè)計(jì)原則安全加密實(shí)效防護(hù)第七章第 102 頁(yè)第二節(jié). 軟件安全開(kāi)發(fā)安全編程數(shù)據(jù)的機(jī)密性使用驗(yàn)證過(guò)的加密算法；使用非對(duì)稱(chēng)傳遞會(huì)話(huà)密鑰；使用會(huì)話(huà)加密機(jī)制加密傳輸數(shù)據(jù)；給用戶(hù)最低權(quán)限，操作結(jié)束后即時(shí)回收；數(shù)據(jù)的完整性檢查訪問(wèn)路徑、調(diào)用的返回代碼及關(guān)鍵的輸入?yún)?shù)；全面處

24、理異常輸入輸出；檢查競(jìng)爭(zhēng)條件；數(shù)據(jù)的有效性檢查環(huán)境參數(shù)；使用絕對(duì)路徑；設(shè)置超時(shí)；對(duì)不同角色權(quán)限作不同限制；對(duì)IP、端口進(jìn)行限制；采用新版本的開(kāi)發(fā)環(huán)境；對(duì)內(nèi)存中數(shù)據(jù)的訪問(wèn)進(jìn)行嚴(yán)格的檢查；第七章第 103 頁(yè)第二節(jié). 軟件安全開(kāi)發(fā)安全測(cè)試構(gòu)造畸形數(shù)據(jù)驗(yàn)證輸入輸出文件全面測(cè)試異常處理全面檢測(cè)輸入測(cè)試非正常路徑采用反匯編檢測(cè)敏感信息123456第七章第 104 頁(yè)第三節(jié). 軟件安全檢測(cè)靜態(tài)安全檢測(cè)技術(shù)1詞法分析2數(shù)據(jù)流分析3污點(diǎn)傳播分析4符號(hào)執(zhí)行5模型檢驗(yàn)6定理證明動(dòng)態(tài)安全檢測(cè)技術(shù)1生成模糊測(cè)試數(shù)據(jù)2檢測(cè)模糊測(cè)試數(shù)據(jù)3監(jiān)測(cè)程序異常4確定可利用性第七章第四節(jié). 軟、硬件安全保護(hù)注冊(cè)信息驗(yàn)證技術(shù) 軟件防篡

25、改技術(shù)代碼混淆技術(shù)軟件水印技術(shù)軟件加殼技術(shù)軟件安全保護(hù)技術(shù)反調(diào)試反跟蹤技術(shù) 加密狗光盤(pán)保護(hù)技術(shù)專(zhuān)用接口卡11223第 105 頁(yè)第七章第五節(jié). 惡意程序分類(lèi)網(wǎng)站釣魚(yú)木馬蠕蟲(chóng)病毒惡意腳本宏病毒單一病毒第 106 頁(yè)第七章第五節(jié). 惡意程序傳播方式網(wǎng)站掛馬、誘騙下載、移動(dòng)存儲(chǔ)介質(zhì)傳播、電子郵件和即時(shí)通訊軟件傳播、局域網(wǎng)傳播破壞功能瀏覽器配置被修改、竊取用戶(hù)隱私、遠(yuǎn)程控制、破壞系統(tǒng)第 107 頁(yè)第七章第五節(jié). 惡意程序查殺技術(shù)和防范啟發(fā)式查殺虛擬機(jī)查殺特征碼查殺主動(dòng)防御技術(shù)第 108 頁(yè)第七章第六節(jié). WEB應(yīng)用系統(tǒng)安全威脅種類(lèi)注入、跨站、遭破壞的身份認(rèn)證和會(huì)話(huà)、不安全的直接對(duì)象引用、偽造跨站請(qǐng)求、

26、安全配置錯(cuò)誤、不安全的加密存儲(chǔ)、無(wú)限制URL訪問(wèn)、傳輸層保護(hù)不足、未經(jīng)驗(yàn)證的重定向和轉(zhuǎn)發(fā)第 109 頁(yè)第七章第六節(jié). WEB應(yīng)用系統(tǒng)安全WEB安全防護(hù)客戶(hù)端安全防護(hù)通信信道安全防護(hù)服務(wù)器安全防護(hù)WEB安全防護(hù)第 110 頁(yè)第七章第六節(jié). WEB應(yīng)用系統(tǒng)安全WEB安全檢測(cè)黑盒檢測(cè)白盒檢測(cè)安全檢測(cè)檢測(cè)報(bào)告第 111 頁(yè)01信息設(shè)備安全第八章第 112 頁(yè)信息安全原理及從業(yè)人員安全素養(yǎng)第八章第一節(jié). 計(jì)算機(jī)設(shè)備安全風(fēng)險(xiǎn)接入控制第 113 頁(yè)第八章第一節(jié). 計(jì)算機(jī)設(shè)備安全風(fēng)險(xiǎn)第 114 頁(yè)鍵盤(pán)控制第八章第三節(jié). 穿戴式設(shè)備安全穿戴式設(shè)備安全iWatch 智能手表谷歌眼鏡頭盔顯示器鼓點(diǎn)T恤手套式手機(jī)智能

27、手環(huán)第 115 頁(yè)01互聯(lián)網(wǎng)應(yīng)用安全第九章第 116 頁(yè)信息安全原理及從業(yè)人員安全素養(yǎng)19691987199119941996200020072014201020131969年 美國(guó) Internet的誕生：ARPAnet1987.9.14 ，中國(guó)的第一封郵件從北京計(jì)算機(jī)應(yīng)用技術(shù)研究所發(fā)出1991年 美國(guó)政府宣布Internet向社會(huì)公眾開(kāi)放1994.5.15，中國(guó)科學(xué)院高能物理研究所設(shè)立了國(guó)內(nèi)第一個(gè)WEB服務(wù)器，推出中國(guó)第一套網(wǎng)頁(yè)， 1995年 Internet上的商務(wù)信息超過(guò)科研信息1996.9.22，全國(guó)第一個(gè)城域網(wǎng)-上海熱線正式開(kāi)通試運(yùn)行各國(guó)融入Internet第九章第一節(jié). 互聯(lián)網(wǎng)發(fā)

28、展史第 117 頁(yè)19691987199119941996200020072014201020131997年 中國(guó)四大骨干網(wǎng)互聯(lián)互通；1998.11.29，馬化騰創(chuàng)辦了騰訊1999年 招商銀行推出“一網(wǎng)通”網(wǎng)上銀行；2000年，網(wǎng)易、新浪、搜狐陸續(xù)登陸納斯達(dá)克；互聯(lián)網(wǎng)進(jìn)入快速發(fā)展期各國(guó)融入InternetInternet快速發(fā)展第 118 頁(yè)第九章第一節(jié). 互聯(lián)網(wǎng)發(fā)展史19691987199119941996200020072014201020131997年 IBMHPSUN 宣布1998年為電子商務(wù)年；1998年3月，中國(guó)第一筆互聯(lián)網(wǎng)網(wǎng)上交易成功 ；2001年，李彥宏創(chuàng)立“百度”，為國(guó)內(nèi)各網(wǎng)

29、站提供搜索服務(wù)；2003年，阿里巴巴相繼成立“淘寶”、“支付寶”；2007年，阿里巴巴在香港上市；各國(guó)融入Internet電子商務(wù)崛起Internet快速發(fā)展第 119 頁(yè)第九章第一節(jié). 互聯(lián)網(wǎng)發(fā)展史19691987199119941996200020072014201020132009年成為我國(guó)的3G元年，我國(guó)正式進(jìn)入第三代移動(dòng)通信時(shí)代；2010年，騰訊360之爭(zhēng)，稱(chēng)為3Q大戰(zhàn)；2010年3月10日,中國(guó)移動(dòng)以人民幣398億元收購(gòu)浦發(fā)銀行22億新股；各國(guó)融入Internet電子商務(wù)崛起Internet快速發(fā)展互聯(lián)網(wǎng)金融第 120 頁(yè)第九章第一節(jié). 互聯(lián)網(wǎng)發(fā)展史1969198719911994

30、1996200020072014201020132013年12月4日工信部正式向三大運(yùn)營(yíng)商發(fā)布4G牌照，標(biāo)志著真正移動(dòng)互聯(lián)網(wǎng)高速發(fā)展期的到來(lái)；各國(guó)融入Internet電子商務(wù)崛起Internet快速發(fā)展互聯(lián)網(wǎng)金融移動(dòng)互聯(lián)網(wǎng)第 121 頁(yè)第九章第一節(jié). 互聯(lián)網(wǎng)發(fā)展史第 122 頁(yè)第九章第二節(jié). 互聯(lián)網(wǎng)應(yīng)用風(fēng)險(xiǎn)MTWTFSS311234567891011121314151617181920212223242526272829302014年3月3月22日晚間，國(guó)內(nèi)漏洞研究機(jī)構(gòu)烏云平臺(tái)曝光稱(chēng)，攜程系統(tǒng)開(kāi)啟了用戶(hù)支付服務(wù)接口的調(diào)試功能，包括信用卡用戶(hù)的身份證、卡號(hào)、CVV碼等信息可能被黑客任意竊取。第

31、123 頁(yè)第九章第二節(jié). 互聯(lián)網(wǎng)應(yīng)用風(fēng)險(xiǎn)第 124 頁(yè)第九章第二節(jié). 互聯(lián)網(wǎng)應(yīng)用風(fēng)險(xiǎn)網(wǎng)頁(yè)木馬實(shí)際上是一個(gè)HTML網(wǎng)頁(yè)，與其它網(wǎng)頁(yè)不同的是該網(wǎng)頁(yè)是黑客精心制作的，用戶(hù)一旦訪問(wèn)了該網(wǎng)頁(yè)就會(huì)中木馬。為什么說(shuō)是黑客精心制作的呢？因?yàn)榍度朐谶@個(gè)網(wǎng)頁(yè)中的腳本恰如其分地利用了IE瀏覽器的漏洞，讓IE在后臺(tái)自動(dòng)下載黑客放置在網(wǎng)絡(luò)上的木馬并運(yùn)行（安裝）這個(gè)木馬，也就是說(shuō)，這個(gè)網(wǎng)頁(yè)能下載木馬到本地并運(yùn)行（安裝）下載到本地電腦上的木馬，整個(gè)過(guò)程都在后臺(tái)運(yùn)行，用戶(hù)一旦打開(kāi)這個(gè)網(wǎng)頁(yè)，下載過(guò)程和運(yùn)行（安裝）過(guò)程就自動(dòng)開(kāi)始。 第 125 頁(yè)第九章第二節(jié). 互聯(lián)網(wǎng)應(yīng)用風(fēng)險(xiǎn)QQ群安全防護(hù)第 126 頁(yè)第九章第三節(jié). 移動(dòng)互聯(lián)網(wǎng)

32、安全風(fēng)險(xiǎn)不過(guò)，相比手機(jī)中木馬病毒的風(fēng)險(xiǎn)，手機(jī)支付最大的安全隱患是丟失和被盜。 因?yàn)橹Ц秾毨锝壎算y行卡，如果手機(jī)丟了，密碼被破解盜用，那么個(gè)人銀行賬戶(hù)可能也危險(xiǎn)了?！绷硗?，不法分子可能發(fā)起對(duì)其社會(huì)關(guān)系及社交圈的攻擊，隱患可能遠(yuǎn)遠(yuǎn)大于其本身的信息泄露或被盜，后果不堪設(shè)想。虛擬信用卡微信安全第 127 頁(yè)第九章第三節(jié). 移動(dòng)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)虛擬信用卡微博安全第 128 頁(yè)第九章第四節(jié). 支付和移動(dòng)支付安全風(fēng)險(xiǎn)虛擬信用卡第 129 頁(yè)第九章第四節(jié). 支付和移動(dòng)支付安全風(fēng)險(xiǎn)虛擬信用卡互聯(lián)網(wǎng)支付份額01社會(huì)工程學(xué)第十章第 130 頁(yè)信息安全原理及從業(yè)人員安全素養(yǎng)第 131 頁(yè)第十章第一節(jié). 社會(huì)工程學(xué)概述

33、第 132 頁(yè)第十章第一節(jié). 社會(huì)工程學(xué)概述六度分隔法第 133 頁(yè)第十章第一節(jié). 社會(huì)工程學(xué)概述學(xué)會(huì)說(shuō)行話(huà)每個(gè)行業(yè)都有自己的縮寫(xiě)術(shù)語(yǔ)。而社會(huì)工程學(xué)黑客就會(huì)研究你所在行業(yè)的術(shù)語(yǔ)，以便能夠在與你接觸時(shí)賣(mài)弄這些術(shù)語(yǔ)，以博得好感?！斑@其實(shí)就是一種環(huán)境提示”,“假如我跟你講話(huà),用你熟悉的話(huà)語(yǔ)來(lái)講，你當(dāng)然就會(huì)信任我.要是我還能用你經(jīng)常在使用的縮寫(xiě)詞匯和術(shù)語(yǔ)的話(huà)，那你就會(huì)更愿意向我透露更多的我想要的信息?！钡?134 頁(yè)第十章第一節(jié). 社會(huì)工程學(xué)概述 犯罪分子會(huì)有意撥通電話(huà),錄下你的等待音樂(lè),然后加以利用.比如當(dāng)他打給某個(gè)目標(biāo)對(duì)象時(shí),他會(huì)跟你談上一分鐘然后說(shuō):抱歉,我的另一部電話(huà)響了,請(qǐng)別掛斷,這時(shí),受害

34、人就會(huì)聽(tīng)到很熟悉的公司定制的等待音樂(lè),然后會(huì)想:哦.此人肯定就在本公司工作.這是我們的音樂(lè).這不過(guò)是又一種心理暗示而已.”背景音樂(lè) 但最分子常常會(huì)利用電話(huà)號(hào)碼欺詐術(shù),也就是在目標(biāo)被叫者的來(lái)電顯示屏上顯示一個(gè)和主叫號(hào)碼不一樣的號(hào)碼.“犯罪分子可能是從某個(gè)公寓給你打的電話(huà),但是顯示在你的電話(huà)上的來(lái)電號(hào)碼卻可能會(huì)讓你覺(jué)得好像是來(lái)自同一家公司的號(hào)碼,”Lifrieri說(shuō).于是,你就有可能輕而易舉地上當(dāng),把一些私人信息,比如口令等告訴對(duì)方.而且,犯罪分子還不容易被發(fā)現(xiàn),因?yàn)槿绻慊負(fù)苓^(guò)去,可能撥的是企業(yè)自己的一個(gè)號(hào)碼.電話(huà)號(hào)碼欺詐第 135 頁(yè)第十章第一節(jié). 社會(huì)工程學(xué)概述 中新網(wǎng)3月22日電 馬航MH

35、370客機(jī)失聯(lián)已近兩個(gè)星期，就在人們牽掛失聯(lián)航班最新進(jìn)展的時(shí)候，社交網(wǎng)絡(luò)上卻有不法分子利用馬航事件發(fā)起盜號(hào)攻擊。病毒團(tuán)伙把盜號(hào)木馬偽裝為事件相關(guān)報(bào)道、圖片壓縮包，再通過(guò)QQ和論壇等渠道傳播，近期360對(duì)此類(lèi)盜號(hào)木馬攔截量超過(guò)2萬(wàn)次。情感式攻擊第 136 頁(yè)第十章第一節(jié). 社會(huì)工程學(xué)概述 真 or 假假第 137 頁(yè)第十章第一節(jié). 社會(huì)工程學(xué)概述 垃圾郵件的發(fā)送者會(huì)購(gòu)買(mǎi)大量的垃圾股,然后偽裝成投資顧問(wèn)瘋狂發(fā)送郵件,兜售所謂的“潛力股”.如果有足夠多的郵件接收者相信了這一騙局并購(gòu)買(mǎi)了這種垃圾股,其股價(jià)就會(huì)被哄抬.而始作俑者便會(huì)迅速賣(mài)空獲利. 恐慌性欺騙第 138 頁(yè)第十章第二節(jié). 社會(huì)工程學(xué)典型案

36、例逍遙法外01企業(yè)信息安全管理第十一章第 139 頁(yè)信息安全原理及從業(yè)人員安全素養(yǎng)第 140 頁(yè)第十一章第一節(jié). 信息安全保障體系IT保障體系第 141 頁(yè)第十一章第一節(jié). 信息安全保障體系IT保障體系第 142 頁(yè)第十一章第二節(jié). 信息安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)要素圖第 143 頁(yè)第十一章第二節(jié). 信息安全風(fēng)險(xiǎn)管理 光有威脅還構(gòu)不成風(fēng)險(xiǎn)，威脅只有利用了特定的弱點(diǎn)（即脆弱性）才可能對(duì)資產(chǎn)造成影響，所以，組織應(yīng)該針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找到可被威脅利用的弱點(diǎn)。技術(shù)性弱點(diǎn) 系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷，比如結(jié)構(gòu)設(shè)計(jì)問(wèn)題和編程漏洞。操作性弱點(diǎn) 軟件和系統(tǒng)在配置、操作、使用中的缺陷，包括人員日常工作

37、中的不良習(xí)慣，審計(jì)或備份的缺乏。管理性弱點(diǎn) 策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面的不足。 123資產(chǎn)資產(chǎn)資產(chǎn)脆弱性脆弱性脆弱性脆弱性脆弱性安全措施安全措施安全措施安全措施風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)威脅威脅威脅威脅第 144 頁(yè)第十一章第二節(jié). 信息安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)分析和評(píng)估流程第 145 頁(yè)第十一章第二節(jié). 信息安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)分析矩陣和坐標(biāo)風(fēng)險(xiǎn)控制策略在組織選擇并實(shí)施風(fēng)險(xiǎn)評(píng)估結(jié)果中推薦的安全措施之前，首先要明確自己的風(fēng)險(xiǎn)消減策略，也就是應(yīng)對(duì)各種風(fēng)險(xiǎn)的途徑和決策方式。降低風(fēng)險(xiǎn)（Reduce Risk）規(guī)避風(fēng)險(xiǎn)（Avoid Risk） 轉(zhuǎn)移風(fēng)險(xiǎn)（Transfer Risk） 接受風(fēng)險(xiǎn)

38、（Accept Risk） 第 146 頁(yè)第十一章第二節(jié). 信息安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制是風(fēng)險(xiǎn)管理過(guò)程的第二個(gè)階段，牽涉到確定風(fēng)險(xiǎn)控制策略、風(fēng)險(xiǎn)和安全控制措施的優(yōu)先級(jí)選定、制定安全計(jì)劃并實(shí)施控制措施等活動(dòng)。 規(guī)避轉(zhuǎn)移接受降低風(fēng)險(xiǎn)第 147 頁(yè)第十一章第三節(jié). 信息安全應(yīng)急響應(yīng)應(yīng)急響應(yīng)是信息安全防護(hù)體系的最后一道屏障應(yīng)急計(jì)劃的維護(hù)測(cè)試、培訓(xùn)和演習(xí)確定業(yè)務(wù)連續(xù)性管理策略制訂應(yīng)急計(jì)劃業(yè)務(wù)影響性分析應(yīng)急計(jì)劃實(shí)施第 148 頁(yè)第十一章第三節(jié). 信息安全應(yīng)急響應(yīng)應(yīng)急響應(yīng)組織體系支撐中心客戶(hù)關(guān)系系統(tǒng)營(yíng)帳計(jì)費(fèi)系統(tǒng)數(shù)據(jù)分析系統(tǒng)管理支撐系統(tǒng)門(mén)戶(hù)網(wǎng)絡(luò)系統(tǒng)管理層各單位信息安全主管分管領(lǐng)導(dǎo)信息安全員、業(yè)務(wù)主管、技術(shù)

39、主管各單位信息安全責(zé)任管理部門(mén)主要負(fù)責(zé)人執(zhí)行層決策層第 149 頁(yè)第十一章第四節(jié). 信息安全管理措施01相關(guān)標(biāo)準(zhǔn)和法規(guī)第十二章第 150 頁(yè)信息安全原理及從業(yè)人員安全素養(yǎng)應(yīng)用環(huán)境風(fēng)險(xiǎn)第一節(jié). 國(guó)、內(nèi)外相關(guān)標(biāo)準(zhǔn)第十二章第 151 頁(yè)應(yīng)用環(huán)境風(fēng)險(xiǎn)第一節(jié). 國(guó)、內(nèi)外相關(guān)標(biāo)準(zhǔn)第十二章第 152 頁(yè)管理技術(shù)第一節(jié). 國(guó)、內(nèi)外相關(guān)標(biāo)準(zhǔn)第十二章第 153 頁(yè)應(yīng)用環(huán)境風(fēng)險(xiǎn)第三節(jié). 我國(guó)相關(guān)法律法規(guī)（1）第十二章第 154 頁(yè)應(yīng)用環(huán)境風(fēng)險(xiǎn)第三節(jié). 我國(guó)相關(guān)法律法規(guī)（2）第十二章第 155 頁(yè)MTWTFSS301234567891011121314151617181920212223242526272829201

40、3年9月范強(qiáng)、王貴林利用“偽基站”設(shè)備，在較大范圍內(nèi)較長(zhǎng)時(shí)間造成用戶(hù)通信中斷，嚴(yán)重危害公共安全。靜安區(qū)檢察院對(duì)兩人以涉嫌破壞公用電信設(shè)施罪批準(zhǔn)逮捕。這也是滬上首例“偽基站”案件。第二章第一節(jié). 一年來(lái)信息安全大事記 節(jié)選（二）第 156 頁(yè)第二章第 17 頁(yè) 劫持用戶(hù)設(shè)備，獲取用戶(hù)信息正常通訊截獲當(dāng)前位置頻點(diǎn)頻點(diǎn)仿制 發(fā)射大功率信號(hào)，干擾周邊通訊編輯欺詐短信 發(fā)送垃圾(欺詐)短信第一節(jié). 一年來(lái)信息安全大事記 節(jié)選（二）第 157 頁(yè)DNS釋義DNS 是域名系統(tǒng) (Domain Name System) 的縮寫(xiě)，是因特網(wǎng)的一項(xiàng)核心服務(wù)，它作為可以將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠

41、使人更方便的訪問(wèn)互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。第二章MTWTFSS12345678910111213141516171819202122232425262728293031 2014年1月2014年1月21日，全國(guó)大范圍出現(xiàn)DNS故障，下午15時(shí)20分左右，中國(guó)頂級(jí)域名根服務(wù)器出現(xiàn)故障，包括百度在內(nèi)的大部分網(wǎng)站受影響，此次故障未對(duì)國(guó)家頂級(jí)域名.CN造成影響。 第一節(jié). 一年來(lái)信息安全大事記 節(jié)選（三）第 158 頁(yè)DNS工作原理1. 問(wèn)址 IP？2. 緩存本地DNS服務(wù)器百度服務(wù)器用戶(hù)正確第二章第一節(jié). 一年來(lái)信息安全大事記 節(jié)選（三）第 159 頁(yè)DNS污染原理1. 問(wèn)址

42、 IP？2. 78指向錯(cuò)誤本地DNS服務(wù)器（已污染）用戶(hù)錯(cuò)誤第二章百度服務(wù)器第一節(jié). 一年來(lái)信息安全大事記 節(jié)選（三）第 160 頁(yè)DNS劫持原理1. 問(wèn)址 IP？2. 指向錯(cuò)誤DNS（黑客控制）用戶(hù)錯(cuò)誤假冒百度第二章百度服務(wù)器本地DNS服務(wù)器第一節(jié). 一年來(lái)信息安全大事記 節(jié)選（三）第 161 頁(yè)01上海電信員工安全意識(shí)及素養(yǎng)第十三章第 162 頁(yè)信息安全原理及從業(yè)人員安全素養(yǎng)第十三章上海公司第 163 頁(yè)第十三章上海公司第 164 頁(yè)統(tǒng)一認(rèn)證系統(tǒng)內(nèi)、外部賬號(hào)分布CRM系統(tǒng)內(nèi)、外部賬號(hào)分布帳號(hào)分布第十三章第 165 頁(yè)上海公司第十三章第 166 頁(yè)上海公司IT運(yùn)維審計(jì)（亞信堡壘機(jī)1套）數(shù)據(jù)脫

43、敏處理（自主研發(fā)）桌面云部署（2600臺(tái)華為桌面云）終端管理軟件（2000套華為T(mén)SM）數(shù)據(jù)庫(kù)審計(jì)（安恒明御1套）第十三章第 167 頁(yè)上海公司營(yíng)業(yè)廳客服運(yùn)維桌面云第十三章第 168 頁(yè)上海公司統(tǒng)一認(rèn)證Account 統(tǒng)一賬號(hào)Audit 統(tǒng)一安全審計(jì)Authorization 統(tǒng)一授權(quán) Authentication 統(tǒng)一認(rèn)證 4A統(tǒng)一安全管理第十三章第 169 頁(yè)上海公司堡壘機(jī)Account 統(tǒng)一賬號(hào)Audit 統(tǒng)一安全審計(jì)Authorization 統(tǒng)一授權(quán) Authentication 統(tǒng)一認(rèn)證 4A統(tǒng)一安全管理第十三章第 170 頁(yè)上海公司數(shù)據(jù)庫(kù)審計(jì)第十三章第 171 頁(yè)上海公司統(tǒng)一認(rèn)證

44、第十三章第 172 頁(yè)上海公司問(wèn)題提出第十三章第 173 頁(yè)上海公司問(wèn)題提出01今年安全事件綜述附錄一第 174 頁(yè)信息安全原理及從業(yè)人員安全素養(yǎng)附錄一第 175 頁(yè)信息安全大事記Dropbox網(wǎng)絡(luò)存儲(chǔ)服務(wù)中斷新加坡歷時(shí)最長(zhǎng)的一次手機(jī)網(wǎng)絡(luò)故障1月10日1月15日墨西哥國(guó)防部網(wǎng)站遭黑客攻擊1月16日J(rèn)ava安全漏洞頻發(fā)1月31日附錄一第 176 頁(yè)信息安全大事記日本外務(wù)省電腦遭黑客攻擊 20份機(jī)密文件疑外泄白名單安全廠商Bit9遭入侵 惡意軟件被信任運(yùn)行2月5日2月8日中國(guó)人壽個(gè)人信息泄漏 80萬(wàn)份保單可上網(wǎng)查詢(xún)2月26日Evernote遭到黑客攻擊 5000萬(wàn)用戶(hù)密碼需重置3月4日附錄一第 177 頁(yè)信息安全大事記韓國(guó)遭受大規(guī)模網(wǎng)絡(luò)攻擊Spamhaus創(chuàng)造DDoS攻擊流量記錄3月20日3月26日支付寶存在安全