信息安全業(yè)人員安全素養(yǎng)培訓(xùn)

1、v1信息安全原理及從業(yè)人員安全素養(yǎng)培訓(xùn)01信息安全概述第一章信息安全原理及從業(yè)人員安全素養(yǎng)第 2 頁定義 信息安全是指信息化系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護(hù)，不受偶然的或惡意的破壞、更改、泄露，以保證信息化系統(tǒng)連續(xù)可靠地運(yùn)行，信息服務(wù)不中斷。 信息安全“三要素” ，即需保證數(shù)據(jù)的保密性、交易的完整性（不被非法篡改）、所寄生系統(tǒng)的可用性。這三要素相互作業(yè)目的是確保業(yè)務(wù)的連續(xù)性。 企業(yè)在確保“合規(guī) ”（國家法律、法規(guī)、行業(yè)規(guī)范、企業(yè)規(guī)章制度）的大前提下，信息安全處將建立適合本企業(yè)的科學(xué)、有效管理體系，并要求各單位通過管理、技術(shù)二大手段，開展一系列工作。第一節(jié). 信息安

2、全概述第一章交易完整性系統(tǒng)可用性數(shù)據(jù)保密性業(yè)務(wù)連續(xù)性第 3 頁第一章第 4 頁第二節(jié). 信息安全緊迫性（1）01應(yīng)用環(huán)境風(fēng)險第一章第 5 頁第二節(jié). 信息安全緊迫性（2）第一章第三節(jié). 身邊的安全事件第 6 頁01應(yīng)用環(huán)境風(fēng)險第一章第 7 頁第三節(jié). 身邊的安全事件第一章學(xué)生姓名、家長手機(jī)信息!老師信息!第 8 頁第三節(jié). 身邊的安全事件第一章第 9 頁第三節(jié). 身邊的安全事件第一章第 10 頁第三節(jié). 身邊的安全事件第一章第 11 頁第三節(jié). 身邊的安全事件第一章第 12 頁第三節(jié). 身邊的安全事件第一章快看，信息裸奔！第 13 頁第三節(jié). 身邊的安全事件第一章第 14 頁第三節(jié). 身邊的安

3、全事件第一章第 15 頁第三節(jié). 身邊的安全事件第一章第四節(jié). 安全態(tài)勢分析（1）第 16 頁叛國者正義的化身自戀狂斯大爺恐怖主義者臨時工英雄泄密者眾盼親離衛(wèi)士小人罪犯WHO IS HE?MTWTFSS3012345678910111213141516171819202122232425262728292013年6月6月6日，美國華盛頓郵報披露稱，過去6年間，美國國家安全局和聯(lián)邦調(diào)查局通過進(jìn)入微軟、谷歌、蘋果、雅虎等九大網(wǎng)絡(luò)巨頭的服務(wù)器，監(jiān)控美國公民的電子郵件、聊天記錄、視頻及照片等秘密資料。美國輿論隨之嘩然。第一章第四節(jié). 安全態(tài)勢分析（1）第 17 頁第一章第四節(jié). 安全態(tài)勢分析（2）第

4、18 頁MTWTFSS30123456789101112131415161718192021222324252627282014年2月2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，在北京召開了第一次會議。習(xí)近平任組長，李克強(qiáng)、劉云山任副組長。這再次體現(xiàn)了中國最高層全面深化改革、加強(qiáng)頂層設(shè)計的意志，顯示出在保障網(wǎng)絡(luò)安全、維護(hù)國家利益、推動信息化發(fā)展的決心。第一章第四節(jié). 安全態(tài)勢分析（2）第 19 頁政治局常委任組長的部分小組中央全面深化改革領(lǐng)導(dǎo)小組中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組中央外事/國家安全工作領(lǐng)導(dǎo)小組中央對臺工作領(lǐng)導(dǎo)小組中央財經(jīng)領(lǐng)導(dǎo)小組國務(wù)院振興東北地區(qū)等工業(yè)基地領(lǐng)導(dǎo)小組國家科技教育領(lǐng)導(dǎo)小

5、組國務(wù)院西部地區(qū)開發(fā)領(lǐng)導(dǎo)小組國家應(yīng)對氣候變化及節(jié)能減排工作領(lǐng)導(dǎo)小組第一章第四節(jié). 安全態(tài)勢分析（2）第 20 頁第一章第四節(jié). 安全態(tài)勢分析（1）第 21 頁第四章第 22 頁第四節(jié). 安全態(tài)勢分析（2）01信息安全保障體系第二章第 23 頁信息安全原理及從業(yè)人員安全素養(yǎng)第二章第 24 頁第一節(jié). 信息安全保障背景和實踐電訊技術(shù)的發(fā)明19世紀(jì)30年代計算機(jī)技術(shù)的發(fā)展20世紀(jì)50年代計算機(jī)安全階段20世紀(jì)60年代互聯(lián)網(wǎng)的使用20世紀(jì)90年代通信保密階段20世紀(jì)40年代信息安全保障階段20世紀(jì)90年代第二章第 25 頁第二節(jié). 信息安全保障基礎(chǔ)信息系統(tǒng)的復(fù)雜性系統(tǒng)的自身缺陷互聯(lián)網(wǎng)的開放性人為、環(huán)境

6、因素非法入侵、破壞、竊取多方面自然威脅內(nèi)、外因相互作用第二章第 26 頁第三節(jié). 信息安全保障體系保 障 要 素技 術(shù)管 理工 程人 員規(guī)劃組織安全特征可 用 性完 整 性保 密 性生 命 周 期開發(fā)采購實施交付運(yùn)行維護(hù)廢 棄安全保障安全技術(shù)保障安全管理保障安全工程保障人員保障安全保障評估保 障產(chǎn)生給出證據(jù)信 心所有者需要生命周期安全工程保障控制要求人 員 保 障安全工程能力成熟度級要求安全管理保障控制要求安全技術(shù)保障控制要求安全管理能力成熟度級要求安全技術(shù)架構(gòu)能力成熟度級要求信息系統(tǒng)安全保障控制能力成熟度級別風(fēng) 險那么最小化資 產(chǎn)梳理使 命完成01基礎(chǔ)技術(shù)與原理第三章第 27 頁信息安全原理

7、及從業(yè)人員安全素養(yǎng)第三章第 28 頁第一節(jié). 密碼技術(shù) 概念口令?密碼?口令是與賬戶ID對應(yīng)的，需要兩者完全匹配來驗證身份的登陸認(rèn)證。賬戶ID可明文公開，而口令作為賬戶ID的補(bǔ)充，一般加密，為加密口令。密碼是指通過一定的算法，將明文加密后，形成的密文，是保密信息的具體內(nèi)容。把口令等同于密碼的說法，實際是縮小了密碼的范疇，是不合適的。第三章第 29 頁強(qiáng)口令要求1、至少8個字符以上；（計算，有多少種排列組合？）2、必須同時包含字母、數(shù)字、特殊符號在內(nèi)；3、英文中不包含賬戶ID、姓名、公司名稱，不包含完整的單詞；4、英文字母大小寫混用；5、數(shù)字中，不出現(xiàn)生日、規(guī)則序列；6、不同于最近3次；第一節(jié).

8、 密碼技術(shù) 口令第三章第 30 頁第一節(jié). 密碼技術(shù) 之 對稱密鑰替換算法-3+3第三章第 31 頁第一節(jié). 密碼技術(shù) 之 對稱密鑰置換算法替換算法-3+3第三章第 32 頁第一節(jié). 密碼技術(shù) 之 非對稱密鑰加解密過程明文m明文m密文c加密算法ED解密算法密鑰源密鑰k密鑰k普通信道安全信道攻擊者mK加密:解密:第三章第 33 頁第三節(jié). 訪問控制技術(shù)訪問控制模型訪問控制模型自主訪問控制模型DAC強(qiáng)制訪問控制模型MAC基于角色訪問控制模型RBAC訪問矩陣模型保密性模型完整性模型混合策略模型訪問控制表（ACL）訪問能力表（CL）Bell-Lapudula 模型Biba 模型Clark-Wilson

9、 模型Chinese Wall 模型第三章第 34 頁第三節(jié). 訪問控制技術(shù)訪問控制模型01網(wǎng)絡(luò)安全第四章第 35 頁信息安全原理及從業(yè)人員安全素養(yǎng)第四章第 36 頁第一節(jié). 網(wǎng)絡(luò)安全基礎(chǔ)糾錯、流控制 電、物理信號、線路尋址、路由物理層網(wǎng)絡(luò)控制、鏈路糾錯網(wǎng)絡(luò)接口層通訊機(jī)制、驗證服務(wù) 格式轉(zhuǎn)換、加/解密 鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層提供應(yīng)用軟件的接口 互聯(lián)層傳輸層傳輸層OSI 和 TCP/IPISO/OSITCP/IP第四章第 37 頁第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（1）125346互聯(lián)網(wǎng)信息收集綜合掃描掃描技術(shù)IP地址掃描端口掃描漏洞掃描弱口令掃描第四章第 38 頁第二節(jié). 網(wǎng)絡(luò)安全威脅技

10、術(shù)（2）網(wǎng)絡(luò)嗅探嗅探(sniff)，就是竊聽網(wǎng)絡(luò)上流經(jīng)的數(shù)據(jù)包，而數(shù)據(jù)包里面一般會包含很多重要的私隱信息，如：你正在訪問什么網(wǎng)站，你的郵箱密碼是多少，你在和哪個MM聊QQ等等.而很多攻擊方式（如著名的會話劫持）都是建立在嗅探的基礎(chǔ)上的。B機(jī)C機(jī)D機(jī)E機(jī)交換機(jī)網(wǎng)關(guān)我是網(wǎng)關(guān)我是B機(jī)ARP攻擊者截獲B機(jī)的數(shù)據(jù)包!第四章第 39 頁第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（3）網(wǎng)絡(luò)協(xié)議欺騙協(xié)議類型：包括TCP欺騙和UDP欺騙攻擊層面：在傳輸層實施的通信欺騙攻擊攻擊方式：是通過將外部計算機(jī)偽裝成合法計算機(jī)來實現(xiàn)的,欺騙的目的是使其它計算機(jī)誤將攻擊者的計算機(jī)作為合法計算機(jī)接受,從而誘使其它計算機(jī)向攻擊者計算機(jī)發(fā)送數(shù)據(jù)或

11、允許它修改數(shù)據(jù),最終破壞計算機(jī)間通信鏈路上的正常數(shù)據(jù)流,或者在兩臺計算機(jī)的通信鏈路中插入數(shù)據(jù).B機(jī)ARP攻擊者A機(jī)1.用DDos攻擊使B癱瘓2.源 IP=B,SYN4.源 IP=B,ACK5.源 IP=B,開始通信3.SYN+ACK第四章第 40 頁第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（4）DNS欺騙基于DNS服務(wù)器欺騙基于用戶計算機(jī)的欺騙設(shè)置正確的固定DNS第四章第 41 頁第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（5）誘騙式攻擊誘騙下載游戲和插件下載熱門應(yīng)用下載電子書P2P種子文件網(wǎng)站釣魚網(wǎng)站掛馬框架掛馬JS腳本掛馬BOBY掛馬偽裝欺騙掛馬社會工程第四章第 42 頁第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（6）軟件漏洞攻擊文件

12、處理軟件瀏覽器軟件操作系統(tǒng)服務(wù)漏洞ActiveX控件第四章第 43 頁第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（7-1）拒絕服務(wù)攻擊定義：拒絕服務(wù)攻擊（Denial of Service,DoS）攻擊者向目標(biāo)計算機(jī)發(fā)出數(shù)量眾多的攻擊數(shù)據(jù)包，消耗目標(biāo)計算機(jī)的大量網(wǎng)絡(luò)帶寬和計算機(jī)資源，使得目標(biāo)主機(jī)無法提供服務(wù)響應(yīng)的攻擊方式.實現(xiàn)方式：1）利用目標(biāo)主機(jī)自身存在的DoS漏洞；2）耗盡目標(biāo)主機(jī)的CPU和內(nèi)存；3）耗盡目標(biāo)主機(jī)的網(wǎng)絡(luò)帶寬；DoS攻擊分類1）IP層協(xié)議攻擊（反射型DoS攻擊）2）TCP協(xié)議攻擊（協(xié)議缺陷型DoS攻擊）3）UDP協(xié)議攻擊（針對DNS服務(wù)的UDP洪水攻擊）4）應(yīng)用層協(xié)議攻擊（腳本洪水攻擊）第四

13、章第 44 頁第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（7-2）分布式拒絕服務(wù)攻擊定義：就是在DoS攻擊基礎(chǔ)上，由攻擊者通過非法控制的大量第三方計算機(jī)輔助其攻擊的一種攻擊方式，DDoS可簡單理解為多對一的攻擊.實現(xiàn)方式：1）感染上千臺服務(wù)器，是其成為傀儡機(jī)（肉雞），并具備發(fā)動DoS攻擊能力；2）上千臺肉雞構(gòu)成的僵尸網(wǎng)絡(luò)，等待來自主控中心的攻擊命令；3）中央攻擊控制中心在適時啟動全體受控主機(jī)的DoS服務(wù)進(jìn)程，讓它們對一個特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問請求，形成一股DoS洪流沖擊目標(biāo)系統(tǒng)，猛烈的DoS攻擊同一個網(wǎng)站。D.DoS攻擊者主控端主控端主控端DoS代理端（肉雞）DoS代理端（肉雞）DoS代理端（肉雞）D

14、oS代理端（肉雞）DoS代理端（肉雞）DoS代理端（肉雞）受害服務(wù)器第四章第 45 頁第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（9）WEB腳本攻擊 之 sql注入定義：所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令，比如先前的很多影視網(wǎng)站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL注入式攻擊第四章第 46 頁第二節(jié). 網(wǎng)絡(luò)安全威脅技術(shù)（9）WEB腳本攻擊 之 跨站定義：跨站攻擊，即Cross Site Script Execution(通常簡寫為XSS)。是指攻擊者利用網(wǎng)站程序?qū)τ脩糨?/p>

15、入過濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進(jìn)行某種動作或者對訪問者進(jìn)行病毒侵害的一種攻擊方式。 );alert(xss);CCMP(訊息認(rèn)證碼)RC4-AES 取代增大鑰匙和初向量減少封包個數(shù)安全訊息驗證系統(tǒng)第五章第 66 頁第五節(jié). 無線網(wǎng)絡(luò)安全技術(shù)無線網(wǎng)關(guān)安全防護(hù)路由器（家庭網(wǎng)關(guān)）的防護(hù)策略，都有哪些？沒有不能破解的無線加密WPA2加密關(guān)閉SSID廣播修改默認(rèn)IP調(diào)節(jié)發(fā)射功率及時升級固件MAC地址過濾停用DHCPAP設(shè)備強(qiáng)密碼第五章第 67 頁第五節(jié). 無線網(wǎng)絡(luò)安全技術(shù)（1）SSID、ESSIDSSID（Service Set Iden

16、tifier）AP唯一的ID碼，用來區(qū)分不同的網(wǎng)絡(luò)，無線終端和AP的SSID必須相同方可通信。出于安全考慮可以不廣播SSID，此時用戶就要手工設(shè)置SSID才能進(jìn)入相應(yīng)的網(wǎng)絡(luò)。第五章第 68 頁第五節(jié). 無線網(wǎng)絡(luò)安全技術(shù)（2）直接序列擴(kuò)頻傳送的信號擴(kuò)頻后的信號偽隨機(jī) PN碼解擴(kuò)后的信號收到的信號偽隨機(jī) PN碼第五章第 69 頁第五節(jié). 無線網(wǎng)絡(luò)安全技術(shù)（3）訪問控制第五章第 70 頁第五節(jié). 無線網(wǎng)絡(luò)安全技術(shù)（4）RADIUS服務(wù)RADIUS服務(wù)器RADIUS客戶端用戶DB客戶端密鑰DB字典DB（1） 用戶輸入用戶名和密碼（2）用戶輸入用戶名和密碼（3）認(rèn)證通過（4）計費(fèi)請求（start）（5）

17、計費(fèi)響應(yīng)（6）訪問交互 訪問交互 （7）計費(fèi)請求（stop）（8）計費(fèi)響應(yīng)（9） 通知認(rèn)證結(jié)束用戶第五章第 71 頁第五節(jié). 無線網(wǎng)絡(luò)安全技術(shù)（5）入侵檢測系統(tǒng)第五章第 72 頁第五節(jié). 無線網(wǎng)絡(luò)安全技術(shù)（6）生物特征識別視網(wǎng)膜、臉型指紋、掌紋聲音、簽名手型、虹膜第五章第 73 頁第五節(jié). 無線網(wǎng)絡(luò)安全技術(shù)（7）雙因素認(rèn)證LOGIN:PASSCODE:都教授AY08PIN159759已初始化為全球同步時間令牌碼:通常為60s變化一次內(nèi)部電池唯一的128位種子令牌碼+雙因素口令 =一致同步RSA認(rèn)證服務(wù)期第五章第 74 頁第五節(jié). 無線網(wǎng)絡(luò)安全技術(shù)（8）智能卡01系統(tǒng)安全第六章第 75 頁信息安

18、全原理及從業(yè)人員安全素養(yǎng)第六章第 76 頁第一節(jié). 操作系統(tǒng)安全操作系統(tǒng)安全187目錄及文件夾控制文件安全備份和恢復(fù)冗余和鏡像系統(tǒng)架構(gòu)關(guān)鍵系統(tǒng)組件系統(tǒng)服務(wù)進(jìn)程啟動過程安全子系統(tǒng)登陸驗證用戶權(quán)限日志審計本地策略組策略46235第六章第 77 頁第一節(jié). 操作系統(tǒng)安全賬戶安全策略第六章第 78 頁第一節(jié). 操作系統(tǒng)安全組安全策略第六章第 79 頁第一節(jié). 操作系統(tǒng)安全UNIX文件策略第六章第 80 頁第二節(jié). 數(shù)據(jù)庫安全用戶標(biāo)識和鑒定第六章第 81 頁第二節(jié). 數(shù)據(jù)庫安全存取控制第六章第 82 頁第二節(jié). 數(shù)據(jù)庫安全審計第六章第 83 頁第二節(jié). 數(shù)據(jù)庫安全數(shù)據(jù)加密口令的HASH值第六章第 84

19、頁第二節(jié). 數(shù)據(jù)庫安全 之 10大威脅特權(quán)濫用第六章第 85 頁第二節(jié). 數(shù)據(jù)庫安全 之 10大威脅提權(quán)SQLGRANT sysdba TO SCOTT; -將特權(quán)帳戶授權(quán)給其它帳戶第六章第 86 頁第二節(jié). 數(shù)據(jù)庫安全 之 10大威脅平臺漏洞第六章第 87 頁第二節(jié). 數(shù)據(jù)庫安全 之 10大威脅SQL注入第六章第 88 頁第二節(jié). 數(shù)據(jù)庫安全 之 10大威脅審計缺失拒絕服務(wù)自動記錄所有敏感的和異常的數(shù)據(jù)庫事務(wù)應(yīng)該是所有數(shù)據(jù)庫部署基礎(chǔ)的一部分。如果數(shù)據(jù)庫審計策略不足,則系統(tǒng)將在很多級別上面臨嚴(yán)重風(fēng)險。通過多種技巧，為拒絕服務(wù)創(chuàng)造條件，其中利用漏洞來制造拒絕服務(wù)攻擊。常見的系統(tǒng)故障場景：資源過載

20、。第六章第 89 頁第二節(jié). 數(shù)據(jù)庫安全 之 10大威脅協(xié)議漏洞備份數(shù)據(jù)暴露數(shù)據(jù)庫的漏洞，一半以上都是和協(xié)議有關(guān)。針對這些漏洞的欺騙性活動包括未經(jīng)授權(quán)的數(shù)據(jù)訪問、數(shù)據(jù)破壞以及拒絕服務(wù)。備份數(shù)據(jù)庫存儲介質(zhì)對于攻擊者是毫無防護(hù)措施的。因此，在若干起著名的安全破壞活動中都是數(shù)據(jù)庫備份磁帶和硬盤被盜第六章第 90 頁第二節(jié). 數(shù)據(jù)庫安全 之 10大威脅不健全認(rèn)證暴力：攻擊者不斷嘗試、枚舉用戶名和口令組合，直到猜解可登陸的一組。甚至通過自動化程序，加快暴力破解的進(jìn)度。而此過程，系統(tǒng)全然不知。社會工程：攻擊者利用人天生容易相信別人的傾向來獲取他人的信任，從而獲得登陸憑證。直接竊?。汗粽呖赡芡ㄟ^抄寫在即時

21、貼上的內(nèi)容或者復(fù)制密碼文件來竊取登陸憑證；如下圖第六章第 91 頁第二節(jié). 數(shù)據(jù)庫安全 之 安全檢查端口掃描第六章第 92 頁第二節(jié). 數(shù)據(jù)庫安全 之 安全檢查滲透測試第六章第 93 頁第二節(jié). 數(shù)據(jù)庫安全 之 安全檢查運(yùn)行監(jiān)控01應(yīng)用安全第七章第 94 頁信息安全原理及從業(yè)人員安全素養(yǎng)第七章第 95 頁第一節(jié). 軟件漏洞概念及分類多年以來，在計算機(jī)軟件（包括來自第三方的軟件，商業(yè)的和免費(fèi)的軟件）中已經(jīng)發(fā)現(xiàn)了不計其數(shù)能夠削弱安全性的缺陷（bug）。黑客利用編程中的細(xì)微錯誤或者上下文依賴關(guān)系，已經(jīng)能夠控制Linux，讓它做任何他們想讓它做的事情。參數(shù)錯誤類錯誤使用資源經(jīng)驗欠缺類錯誤管理不規(guī)范類漏

22、洞13.下載未經(jīng)完整性檢查14.不正確的初始化15.使用被破解的加密算法16.濫用特權(quán)操作1.錯誤的輸入驗證2.不正確的轉(zhuǎn)義輸出3.SQL注入)錯誤4.跨站腳本5.操作系統(tǒng)命令注入6.明文傳送敏感信息7.資源競爭8.錯誤信息泄露9.緩沖區(qū)內(nèi)操作失敗10.外部控制重要狀態(tài)數(shù)據(jù)11.不可信搜索路徑12.控制代碼生成錯誤第七章第 96 頁第一節(jié). 軟件漏洞緩沖區(qū)溢出漏洞第七章第 97 頁第一節(jié). 軟件漏洞格式化字符串漏洞猜猜這是啥？第七章第 98 頁第一節(jié). 軟件漏洞軟件漏洞案例第七章第 99 頁第一節(jié). 軟件漏洞軟件漏洞案例 心臟出血第七章第 100 頁第二節(jié). 軟件安全開發(fā)建立安全威脅模型考慮風(fēng)

23、險消減技術(shù)方案，應(yīng)用于產(chǎn)品中，以緩解威脅；分析軟件產(chǎn)品的安全環(huán)境、功能作用、潛在攻擊者的關(guān)注點、攻擊力度；安全模型步驟分析軟件產(chǎn)品可能遭受的威脅、包括技術(shù)、危害、攻擊面；將所有的威脅進(jìn)行評估分析，并按照風(fēng)險值進(jìn)行排序，對風(fēng)險較大的威脅重點關(guān)注；第七章第 101 頁第二節(jié). 軟件安全開發(fā)安全設(shè)計代碼重用業(yè)務(wù)認(rèn)可最少公用全面防御最小權(quán)限開放設(shè)計原則安全加密實效防護(hù)第七章第 102 頁第二節(jié). 軟件安全開發(fā)安全編程數(shù)據(jù)的機(jī)密性使用驗證過的加密算法；使用非對稱傳遞會話密鑰；使用會話加密機(jī)制加密傳輸數(shù)據(jù)；給用戶最低權(quán)限，操作結(jié)束后即時回收；數(shù)據(jù)的完整性檢查訪問路徑、調(diào)用的返回代碼及關(guān)鍵的輸入?yún)?shù)；全面處

24、理異常輸入輸出；檢查競爭條件；數(shù)據(jù)的有效性檢查環(huán)境參數(shù)；使用絕對路徑；設(shè)置超時；對不同角色權(quán)限作不同限制；對IP、端口進(jìn)行限制；采用新版本的開發(fā)環(huán)境；對內(nèi)存中數(shù)據(jù)的訪問進(jìn)行嚴(yán)格的檢查；第七章第 103 頁第二節(jié). 軟件安全開發(fā)安全測試構(gòu)造畸形數(shù)據(jù)驗證輸入輸出文件全面測試異常處理全面檢測輸入測試非正常路徑采用反匯編檢測敏感信息123456第七章第 104 頁第三節(jié). 軟件安全檢測靜態(tài)安全檢測技術(shù)1詞法分析2數(shù)據(jù)流分析3污點傳播分析4符號執(zhí)行5模型檢驗6定理證明動態(tài)安全檢測技術(shù)1生成模糊測試數(shù)據(jù)2檢測模糊測試數(shù)據(jù)3監(jiān)測程序異常4確定可利用性第七章第四節(jié). 軟、硬件安全保護(hù)注冊信息驗證技術(shù) 軟件防篡

25、改技術(shù)代碼混淆技術(shù)軟件水印技術(shù)軟件加殼技術(shù)軟件安全保護(hù)技術(shù)反調(diào)試反跟蹤技術(shù) 加密狗光盤保護(hù)技術(shù)專用接口卡11223第 105 頁第七章第五節(jié). 惡意程序分類網(wǎng)站釣魚木馬蠕蟲病毒惡意腳本宏病毒單一病毒第 106 頁第七章第五節(jié). 惡意程序傳播方式網(wǎng)站掛馬、誘騙下載、移動存儲介質(zhì)傳播、電子郵件和即時通訊軟件傳播、局域網(wǎng)傳播破壞功能瀏覽器配置被修改、竊取用戶隱私、遠(yuǎn)程控制、破壞系統(tǒng)第 107 頁第七章第五節(jié). 惡意程序查殺技術(shù)和防范啟發(fā)式查殺虛擬機(jī)查殺特征碼查殺主動防御技術(shù)第 108 頁第七章第六節(jié). WEB應(yīng)用系統(tǒng)安全威脅種類注入、跨站、遭破壞的身份認(rèn)證和會話、不安全的直接對象引用、偽造跨站請求、

26、安全配置錯誤、不安全的加密存儲、無限制URL訪問、傳輸層保護(hù)不足、未經(jīng)驗證的重定向和轉(zhuǎn)發(fā)第 109 頁第七章第六節(jié). WEB應(yīng)用系統(tǒng)安全WEB安全防護(hù)客戶端安全防護(hù)通信信道安全防護(hù)服務(wù)器安全防護(hù)WEB安全防護(hù)第 110 頁第七章第六節(jié). WEB應(yīng)用系統(tǒng)安全WEB安全檢測黑盒檢測白盒檢測安全檢測檢測報告第 111 頁01信息設(shè)備安全第八章第 112 頁信息安全原理及從業(yè)人員安全素養(yǎng)第八章第一節(jié). 計算機(jī)設(shè)備安全風(fēng)險接入控制第 113 頁第八章第一節(jié). 計算機(jī)設(shè)備安全風(fēng)險第 114 頁鍵盤控制第八章第三節(jié). 穿戴式設(shè)備安全穿戴式設(shè)備安全iWatch 智能手表谷歌眼鏡頭盔顯示器鼓點T恤手套式手機(jī)智能

27、手環(huán)第 115 頁01互聯(lián)網(wǎng)應(yīng)用安全第九章第 116 頁信息安全原理及從業(yè)人員安全素養(yǎng)19691987199119941996200020072014201020131969年 美國 Internet的誕生：ARPAnet1987.9.14 ，中國的第一封郵件從北京計算機(jī)應(yīng)用技術(shù)研究所發(fā)出1991年 美國政府宣布Internet向社會公眾開放1994.5.15，中國科學(xué)院高能物理研究所設(shè)立了國內(nèi)第一個WEB服務(wù)器，推出中國第一套網(wǎng)頁， 1995年 Internet上的商務(wù)信息超過科研信息1996.9.22，全國第一個城域網(wǎng)-上海熱線正式開通試運(yùn)行各國融入Internet第九章第一節(jié). 互聯(lián)網(wǎng)發(fā)

28、展史第 117 頁19691987199119941996200020072014201020131997年 中國四大骨干網(wǎng)互聯(lián)互通；1998.11.29，馬化騰創(chuàng)辦了騰訊1999年 招商銀行推出“一網(wǎng)通”網(wǎng)上銀行；2000年，網(wǎng)易、新浪、搜狐陸續(xù)登陸納斯達(dá)克；互聯(lián)網(wǎng)進(jìn)入快速發(fā)展期各國融入InternetInternet快速發(fā)展第 118 頁第九章第一節(jié). 互聯(lián)網(wǎng)發(fā)展史19691987199119941996200020072014201020131997年 IBMHPSUN 宣布1998年為電子商務(wù)年；1998年3月，中國第一筆互聯(lián)網(wǎng)網(wǎng)上交易成功 ；2001年，李彥宏創(chuàng)立“百度”，為國內(nèi)各網(wǎng)

29、站提供搜索服務(wù)；2003年，阿里巴巴相繼成立“淘寶”、“支付寶”；2007年，阿里巴巴在香港上市；各國融入Internet電子商務(wù)崛起Internet快速發(fā)展第 119 頁第九章第一節(jié). 互聯(lián)網(wǎng)發(fā)展史19691987199119941996200020072014201020132009年成為我國的3G元年，我國正式進(jìn)入第三代移動通信時代；2010年，騰訊360之爭，稱為3Q大戰(zhàn)；2010年3月10日,中國移動以人民幣398億元收購浦發(fā)銀行22億新股；各國融入Internet電子商務(wù)崛起Internet快速發(fā)展互聯(lián)網(wǎng)金融第 120 頁第九章第一節(jié). 互聯(lián)網(wǎng)發(fā)展史1969198719911994

30、1996200020072014201020132013年12月4日工信部正式向三大運(yùn)營商發(fā)布4G牌照，標(biāo)志著真正移動互聯(lián)網(wǎng)高速發(fā)展期的到來；各國融入Internet電子商務(wù)崛起Internet快速發(fā)展互聯(lián)網(wǎng)金融移動互聯(lián)網(wǎng)第 121 頁第九章第一節(jié). 互聯(lián)網(wǎng)發(fā)展史第 122 頁第九章第二節(jié). 互聯(lián)網(wǎng)應(yīng)用風(fēng)險MTWTFSS311234567891011121314151617181920212223242526272829302014年3月3月22日晚間，國內(nèi)漏洞研究機(jī)構(gòu)烏云平臺曝光稱，攜程系統(tǒng)開啟了用戶支付服務(wù)接口的調(diào)試功能，包括信用卡用戶的身份證、卡號、CVV碼等信息可能被黑客任意竊取。第

31、123 頁第九章第二節(jié). 互聯(lián)網(wǎng)應(yīng)用風(fēng)險第 124 頁第九章第二節(jié). 互聯(lián)網(wǎng)應(yīng)用風(fēng)險網(wǎng)頁木馬實際上是一個HTML網(wǎng)頁，與其它網(wǎng)頁不同的是該網(wǎng)頁是黑客精心制作的，用戶一旦訪問了該網(wǎng)頁就會中木馬。為什么說是黑客精心制作的呢？因為嵌入在這個網(wǎng)頁中的腳本恰如其分地利用了IE瀏覽器的漏洞，讓IE在后臺自動下載黑客放置在網(wǎng)絡(luò)上的木馬并運(yùn)行（安裝）這個木馬，也就是說，這個網(wǎng)頁能下載木馬到本地并運(yùn)行（安裝）下載到本地電腦上的木馬，整個過程都在后臺運(yùn)行，用戶一旦打開這個網(wǎng)頁，下載過程和運(yùn)行（安裝）過程就自動開始。 第 125 頁第九章第二節(jié). 互聯(lián)網(wǎng)應(yīng)用風(fēng)險QQ群安全防護(hù)第 126 頁第九章第三節(jié). 移動互聯(lián)網(wǎng)

32、安全風(fēng)險不過，相比手機(jī)中木馬病毒的風(fēng)險，手機(jī)支付最大的安全隱患是丟失和被盜。 因為支付寶里綁定了銀行卡，如果手機(jī)丟了，密碼被破解盜用，那么個人銀行賬戶可能也危險了?！绷硗猓环ǚ肿涌赡馨l(fā)起對其社會關(guān)系及社交圈的攻擊，隱患可能遠(yuǎn)遠(yuǎn)大于其本身的信息泄露或被盜，后果不堪設(shè)想。虛擬信用卡微信安全第 127 頁第九章第三節(jié). 移動互聯(lián)網(wǎng)安全風(fēng)險虛擬信用卡微博安全第 128 頁第九章第四節(jié). 支付和移動支付安全風(fēng)險虛擬信用卡第 129 頁第九章第四節(jié). 支付和移動支付安全風(fēng)險虛擬信用卡互聯(lián)網(wǎng)支付份額01社會工程學(xué)第十章第 130 頁信息安全原理及從業(yè)人員安全素養(yǎng)第 131 頁第十章第一節(jié). 社會工程學(xué)概述

33、第 132 頁第十章第一節(jié). 社會工程學(xué)概述六度分隔法第 133 頁第十章第一節(jié). 社會工程學(xué)概述學(xué)會說行話每個行業(yè)都有自己的縮寫術(shù)語。而社會工程學(xué)黑客就會研究你所在行業(yè)的術(shù)語，以便能夠在與你接觸時賣弄這些術(shù)語，以博得好感?！斑@其實就是一種環(huán)境提示”,“假如我跟你講話,用你熟悉的話語來講，你當(dāng)然就會信任我.要是我還能用你經(jīng)常在使用的縮寫詞匯和術(shù)語的話，那你就會更愿意向我透露更多的我想要的信息?！钡?134 頁第十章第一節(jié). 社會工程學(xué)概述 犯罪分子會有意撥通電話,錄下你的等待音樂,然后加以利用.比如當(dāng)他打給某個目標(biāo)對象時,他會跟你談上一分鐘然后說:抱歉,我的另一部電話響了,請別掛斷,這時,受害

34、人就會聽到很熟悉的公司定制的等待音樂,然后會想:哦.此人肯定就在本公司工作.這是我們的音樂.這不過是又一種心理暗示而已.”背景音樂 但最分子常常會利用電話號碼欺詐術(shù),也就是在目標(biāo)被叫者的來電顯示屏上顯示一個和主叫號碼不一樣的號碼.“犯罪分子可能是從某個公寓給你打的電話,但是顯示在你的電話上的來電號碼卻可能會讓你覺得好像是來自同一家公司的號碼,”Lifrieri說.于是,你就有可能輕而易舉地上當(dāng),把一些私人信息,比如口令等告訴對方.而且,犯罪分子還不容易被發(fā)現(xiàn),因為如果你回?fù)苓^去,可能撥的是企業(yè)自己的一個號碼.電話號碼欺詐第 135 頁第十章第一節(jié). 社會工程學(xué)概述 中新網(wǎng)3月22日電 馬航MH

35、370客機(jī)失聯(lián)已近兩個星期，就在人們牽掛失聯(lián)航班最新進(jìn)展的時候，社交網(wǎng)絡(luò)上卻有不法分子利用馬航事件發(fā)起盜號攻擊。病毒團(tuán)伙把盜號木馬偽裝為事件相關(guān)報道、圖片壓縮包，再通過QQ和論壇等渠道傳播，近期360對此類盜號木馬攔截量超過2萬次。情感式攻擊第 136 頁第十章第一節(jié). 社會工程學(xué)概述 真 or 假假第 137 頁第十章第一節(jié). 社會工程學(xué)概述 垃圾郵件的發(fā)送者會購買大量的垃圾股,然后偽裝成投資顧問瘋狂發(fā)送郵件,兜售所謂的“潛力股”.如果有足夠多的郵件接收者相信了這一騙局并購買了這種垃圾股,其股價就會被哄抬.而始作俑者便會迅速賣空獲利. 恐慌性欺騙第 138 頁第十章第二節(jié). 社會工程學(xué)典型案

36、例逍遙法外01企業(yè)信息安全管理第十一章第 139 頁信息安全原理及從業(yè)人員安全素養(yǎng)第 140 頁第十一章第一節(jié). 信息安全保障體系IT保障體系第 141 頁第十一章第一節(jié). 信息安全保障體系IT保障體系第 142 頁第十一章第二節(jié). 信息安全風(fēng)險管理風(fēng)險要素圖第 143 頁第十一章第二節(jié). 信息安全風(fēng)險管理 光有威脅還構(gòu)不成風(fēng)險，威脅只有利用了特定的弱點（即脆弱性）才可能對資產(chǎn)造成影響，所以，組織應(yīng)該針對每一項需要保護(hù)的信息資產(chǎn)，找到可被威脅利用的弱點。技術(shù)性弱點 系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷，比如結(jié)構(gòu)設(shè)計問題和編程漏洞。操作性弱點 軟件和系統(tǒng)在配置、操作、使用中的缺陷，包括人員日常工作

37、中的不良習(xí)慣，審計或備份的缺乏。管理性弱點 策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足。 123資產(chǎn)資產(chǎn)資產(chǎn)脆弱性脆弱性脆弱性脆弱性脆弱性安全措施安全措施安全措施安全措施風(fēng)險殘余風(fēng)險殘余風(fēng)險殘余風(fēng)險威脅威脅威脅威脅第 144 頁第十一章第二節(jié). 信息安全風(fēng)險管理風(fēng)險分析和評估流程第 145 頁第十一章第二節(jié). 信息安全風(fēng)險管理風(fēng)險分析矩陣和坐標(biāo)風(fēng)險控制策略在組織選擇并實施風(fēng)險評估結(jié)果中推薦的安全措施之前，首先要明確自己的風(fēng)險消減策略，也就是應(yīng)對各種風(fēng)險的途徑和決策方式。降低風(fēng)險（Reduce Risk）規(guī)避風(fēng)險（Avoid Risk） 轉(zhuǎn)移風(fēng)險（Transfer Risk） 接受風(fēng)險

38、（Accept Risk） 第 146 頁第十一章第二節(jié). 信息安全風(fēng)險管理風(fēng)險控制風(fēng)險控制是風(fēng)險管理過程的第二個階段，牽涉到確定風(fēng)險控制策略、風(fēng)險和安全控制措施的優(yōu)先級選定、制定安全計劃并實施控制措施等活動。 規(guī)避轉(zhuǎn)移接受降低風(fēng)險第 147 頁第十一章第三節(jié). 信息安全應(yīng)急響應(yīng)應(yīng)急響應(yīng)是信息安全防護(hù)體系的最后一道屏障應(yīng)急計劃的維護(hù)測試、培訓(xùn)和演習(xí)確定業(yè)務(wù)連續(xù)性管理策略制訂應(yīng)急計劃業(yè)務(wù)影響性分析應(yīng)急計劃實施第 148 頁第十一章第三節(jié). 信息安全應(yīng)急響應(yīng)應(yīng)急響應(yīng)組織體系支撐中心客戶關(guān)系系統(tǒng)營帳計費(fèi)系統(tǒng)數(shù)據(jù)分析系統(tǒng)管理支撐系統(tǒng)門戶網(wǎng)絡(luò)系統(tǒng)管理層各單位信息安全主管分管領(lǐng)導(dǎo)信息安全員、業(yè)務(wù)主管、技術(shù)

39、主管各單位信息安全責(zé)任管理部門主要負(fù)責(zé)人執(zhí)行層決策層第 149 頁第十一章第四節(jié). 信息安全管理措施01相關(guān)標(biāo)準(zhǔn)和法規(guī)第十二章第 150 頁信息安全原理及從業(yè)人員安全素養(yǎng)應(yīng)用環(huán)境風(fēng)險第一節(jié). 國、內(nèi)外相關(guān)標(biāo)準(zhǔn)第十二章第 151 頁應(yīng)用環(huán)境風(fēng)險第一節(jié). 國、內(nèi)外相關(guān)標(biāo)準(zhǔn)第十二章第 152 頁管理技術(shù)第一節(jié). 國、內(nèi)外相關(guān)標(biāo)準(zhǔn)第十二章第 153 頁應(yīng)用環(huán)境風(fēng)險第三節(jié). 我國相關(guān)法律法規(guī)（1）第十二章第 154 頁應(yīng)用環(huán)境風(fēng)險第三節(jié). 我國相關(guān)法律法規(guī)（2）第十二章第 155 頁MTWTFSS301234567891011121314151617181920212223242526272829201

40、3年9月范強(qiáng)、王貴林利用“偽基站”設(shè)備，在較大范圍內(nèi)較長時間造成用戶通信中斷，嚴(yán)重危害公共安全。靜安區(qū)檢察院對兩人以涉嫌破壞公用電信設(shè)施罪批準(zhǔn)逮捕。這也是滬上首例“偽基站”案件。第二章第一節(jié). 一年來信息安全大事記 節(jié)選（二）第 156 頁第二章第 17 頁 劫持用戶設(shè)備，獲取用戶信息正常通訊截獲當(dāng)前位置頻點頻點仿制 發(fā)射大功率信號，干擾周邊通訊編輯欺詐短信 發(fā)送垃圾(欺詐)短信第一節(jié). 一年來信息安全大事記 節(jié)選（二）第 157 頁DNS釋義DNS 是域名系統(tǒng) (Domain Name System) 的縮寫，是因特網(wǎng)的一項核心服務(wù)，它作為可以將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠

41、使人更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。第二章MTWTFSS12345678910111213141516171819202122232425262728293031 2014年1月2014年1月21日，全國大范圍出現(xiàn)DNS故障，下午15時20分左右，中國頂級域名根服務(wù)器出現(xiàn)故障，包括百度在內(nèi)的大部分網(wǎng)站受影響，此次故障未對國家頂級域名.CN造成影響。 第一節(jié). 一年來信息安全大事記 節(jié)選（三）第 158 頁DNS工作原理1. 問址 IP？2. 緩存本地DNS服務(wù)器百度服務(wù)器用戶正確第二章第一節(jié). 一年來信息安全大事記 節(jié)選（三）第 159 頁DNS污染原理1. 問址

42、 IP？2. 78指向錯誤本地DNS服務(wù)器（已污染）用戶錯誤第二章百度服務(wù)器第一節(jié). 一年來信息安全大事記 節(jié)選（三）第 160 頁DNS劫持原理1. 問址 IP？2. 指向錯誤DNS（黑客控制）用戶錯誤假冒百度第二章百度服務(wù)器本地DNS服務(wù)器第一節(jié). 一年來信息安全大事記 節(jié)選（三）第 161 頁01上海電信員工安全意識及素養(yǎng)第十三章第 162 頁信息安全原理及從業(yè)人員安全素養(yǎng)第十三章上海公司第 163 頁第十三章上海公司第 164 頁統(tǒng)一認(rèn)證系統(tǒng)內(nèi)、外部賬號分布CRM系統(tǒng)內(nèi)、外部賬號分布帳號分布第十三章第 165 頁上海公司第十三章第 166 頁上海公司IT運(yùn)維審計（亞信堡壘機(jī)1套）數(shù)據(jù)脫

43、敏處理（自主研發(fā)）桌面云部署（2600臺華為桌面云）終端管理軟件（2000套華為TSM）數(shù)據(jù)庫審計（安恒明御1套）第十三章第 167 頁上海公司營業(yè)廳客服運(yùn)維桌面云第十三章第 168 頁上海公司統(tǒng)一認(rèn)證Account 統(tǒng)一賬號Audit 統(tǒng)一安全審計Authorization 統(tǒng)一授權(quán) Authentication 統(tǒng)一認(rèn)證 4A統(tǒng)一安全管理第十三章第 169 頁上海公司堡壘機(jī)Account 統(tǒng)一賬號Audit 統(tǒng)一安全審計Authorization 統(tǒng)一授權(quán) Authentication 統(tǒng)一認(rèn)證 4A統(tǒng)一安全管理第十三章第 170 頁上海公司數(shù)據(jù)庫審計第十三章第 171 頁上海公司統(tǒng)一認(rèn)證

44、第十三章第 172 頁上海公司問題提出第十三章第 173 頁上海公司問題提出01今年安全事件綜述附錄一第 174 頁信息安全原理及從業(yè)人員安全素養(yǎng)附錄一第 175 頁信息安全大事記Dropbox網(wǎng)絡(luò)存儲服務(wù)中斷新加坡歷時最長的一次手機(jī)網(wǎng)絡(luò)故障1月10日1月15日墨西哥國防部網(wǎng)站遭黑客攻擊1月16日J(rèn)ava安全漏洞頻發(fā)1月31日附錄一第 176 頁信息安全大事記日本外務(wù)省電腦遭黑客攻擊 20份機(jī)密文件疑外泄白名單安全廠商Bit9遭入侵 惡意軟件被信任運(yùn)行2月5日2月8日中國人壽個人信息泄漏 80萬份保單可上網(wǎng)查詢2月26日Evernote遭到黑客攻擊 5000萬用戶密碼需重置3月4日附錄一第 177 頁信息安全大事記韓國遭受大規(guī)模網(wǎng)絡(luò)攻擊Spamhaus創(chuàng)造DDoS攻擊流量記錄3月20日3月26日支付寶存在安全