網(wǎng)絡(luò)安全意識(shí)與案例分析

問(wèn)題我們希望達(dá)到什么樣的安全？我們?cè)撊绾伟l(fā)現(xiàn)存在的安全威脅？針對(duì)存在的安全威脅我們應(yīng)該如何應(yīng)對(duì)？第一頁(yè)，共133頁(yè)。大綱現(xiàn)實(shí)教訓(xùn)信息安全現(xiàn)狀安全威脅分析黑客攻擊思路和步驟常見(jiàn)的黑客攻擊技術(shù)及演示信息安全防御體系信息安全管理體系日常桌面系統(tǒng)的安全日常安全習(xí)慣第二頁(yè)，共133頁(yè)。典型的網(wǎng)絡(luò)拓?fù)?一)第三頁(yè)，共133頁(yè)。一個(gè)主機(jī)感染病毒導(dǎo)致整個(gè)網(wǎng)絡(luò)中斷現(xiàn)實(shí)教訓(xùn)第四頁(yè)，共133頁(yè)。現(xiàn)實(shí)教訓(xùn)某運(yùn)營(yíng)商充值卡被盜第五頁(yè)，共133頁(yè)。現(xiàn)實(shí)教訓(xùn)廣東某市政府某局網(wǎng)站入侵報(bào)告事件背景廣東某市C局所屬網(wǎng)站(IP:61.xxx.xxx.17)于2001年4月期間遭到黑客惡意攻擊，造成網(wǎng)站網(wǎng)頁(yè)被修改。在此情況下，XX公司于2001年4月17日受某市S局的委托，前往機(jī)房現(xiàn)場(chǎng)取證。服務(wù)器基本情況以及已獲取資料該服務(wù)器操作系統(tǒng)為WindowsNtServer4.0，安裝有IIS4.0，對(duì)外使用FIREWALL屏蔽，只開(kāi)放WEB服務(wù)。我方技術(shù)員收集獲得MSIIS4.02001年4月13日至4月17日HTTPLOG和FTPLOG。分析由于該站受入侵后的直接現(xiàn)象為網(wǎng)頁(yè)被修改.并且該站受到PIXFIREWALL防衛(wèi)，對(duì)外只開(kāi)放80端口，所以初步估計(jì)是通過(guò)IIS遠(yuǎn)程漏洞獲得系統(tǒng)控制權(quán)的，IIS4.0默認(rèn)下存在ism.dll，msadcs.dll，unicode等獲得網(wǎng)頁(yè)修改權(quán)限的遠(yuǎn)程漏洞。于是我公司技術(shù)人員對(duì)該服務(wù)器的MSIIS4.02001年8月17日至月17日HTTPLOG日志文件進(jìn)行詳細(xì)的分析和過(guò)濾，得出以下結(jié)論：入侵者利用unicode漏洞從而可以使用web端口提交執(zhí)行命令的請(qǐng)求,修改網(wǎng)站主頁(yè).第六頁(yè)，共133頁(yè)。現(xiàn)實(shí)教訓(xùn)2006年騰訊入侵事件第七頁(yè)，共133頁(yè)。現(xiàn)實(shí)教訓(xùn)物理安全相關(guān)第八頁(yè)，共133頁(yè)。現(xiàn)實(shí)教訓(xùn)2006年2月21日晚，英國(guó)央行位于肯特郡的湯布里奇金庫(kù)被劫，劫匪搶走5800萬(wàn)英鎊（75,400萬(wàn)人民幣）。

為什么會(huì)發(fā)生？問(wèn)題出在哪？第九頁(yè)，共133頁(yè)。系統(tǒng)漏洞導(dǎo)致的損失2004年，Mydoom所造成的經(jīng)濟(jì)損失已經(jīng)達(dá)到261億美元。2005年，Nimda電腦病毒在全球各地侵襲了830萬(wàn)部電腦，總共造成5億9000萬(wàn)美元的損失。2006年，美國(guó)聯(lián)邦調(diào)查局公布報(bào)告估計(jì)：“僵尸網(wǎng)絡(luò)”、蠕蟲(chóng)、特洛伊木馬等電腦病毒給美國(guó)機(jī)構(gòu)每年造成的損失達(dá)119億美元。第十頁(yè)，共133頁(yè)。日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅據(jù)風(fēng)險(xiǎn)管理公司MI2G公布的調(diào)查結(jié)果顯示，病毒、蠕蟲(chóng)和特洛伊木馬等惡意程序共給全球造成了1690億美元的經(jīng)濟(jì)損失。據(jù)ComputerEconomics資料顯示，嚴(yán)重肆虐全球個(gè)人電腦(PC)的知名病毒Sasser和Netsky，均曾導(dǎo)致高達(dá)百萬(wàn)部電腦中毒，財(cái)務(wù)損失和修復(fù)成本分別高達(dá)35億美元、27.5億美元。第十一頁(yè)，共133頁(yè)。大綱現(xiàn)實(shí)教訓(xùn)信息安全現(xiàn)狀安全威脅分析黑客攻擊思路和步驟常見(jiàn)的黑客攻擊技術(shù)及演示信息安全管理體系日常桌面系統(tǒng)的安全日常安全習(xí)慣第十二頁(yè)，共133頁(yè)。信息安全現(xiàn)狀信息安全的概述從歷史的角度看安全信息安全背景趨勢(shì)信息安全建設(shè)的重要性第十三頁(yè)，共133頁(yè)。什么是信息安全歐共體對(duì)信息安全的定義：

網(wǎng)絡(luò)與信息安全可被理解為在既定的密級(jí)條件下，網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力。這些事件和行為將危及所存儲(chǔ)或傳輸達(dá)到數(shù)據(jù)以及經(jīng)由這些網(wǎng)絡(luò)和系統(tǒng)所提供的服務(wù)的可用性、真實(shí)性、完整性和保密性。我國(guó)安全保護(hù)條例的安全定義：計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行?！粜畔踩亩x第十四頁(yè)，共133頁(yè)。什么是信息安全I(xiàn)SO27001中的描述“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”信息安全：保護(hù)信息免受各方威脅確保組織業(yè)務(wù)連續(xù)性將信息不安全帶來(lái)的損失降低到最小獲得最大的投資回報(bào)和商業(yè)機(jī)會(huì)第十五頁(yè)，共133頁(yè)。信息安全的特征（CIA）ISO27001中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三個(gè)特征：機(jī)密性：確保只有被授權(quán)的人才可以訪問(wèn)信息；完整性：確保信息和信息處理方法的準(zhǔn)確性和完整性；可用性：確保在需要時(shí)，被授權(quán)的用戶可以訪問(wèn)信息和相關(guān)的資產(chǎn)。第十六頁(yè)，共133頁(yè)。信息安全現(xiàn)狀信息安全的概述從歷史的角度看安全信息安全背景趨勢(shì)信息安全建設(shè)的重要性第十七頁(yè)，共133頁(yè)。第一階段：通信保密上世紀(jì)40年代－70年代重點(diǎn)是通過(guò)密碼技術(shù)解決通信保密問(wèn)題，保證數(shù)據(jù)的保密性與完整性主要安全威脅是搭線竊聽(tīng)、密碼學(xué)分析主要保護(hù)措施是加密第十八頁(yè)，共133頁(yè)。第二階段：計(jì)算機(jī)安全上世紀(jì)70－80年代重點(diǎn)是確保計(jì)算機(jī)系統(tǒng)中硬件、軟件及正在處理、存儲(chǔ)、傳輸?shù)男畔⒌臋C(jī)密性、完整性和可控性主要安全威脅擴(kuò)展到非法訪問(wèn)、惡意代碼、脆弱口令等主要保護(hù)措施是安全操作系統(tǒng)設(shè)計(jì)技術(shù)（TCB）第十九頁(yè)，共133頁(yè)。第三階段：信息系統(tǒng)安全上世紀(jì)90年代以來(lái)重點(diǎn)需要保護(hù)信息，確保信息在存儲(chǔ)、處理、傳輸過(guò)程中及信息系統(tǒng)不被破壞，強(qiáng)調(diào)信息的保密性、完整性、可控性、可用性。主要安全威脅發(fā)展到網(wǎng)絡(luò)入侵、病毒破壞、信息對(duì)抗的攻擊等VPN虛擬專用網(wǎng)防火墻內(nèi)容檢測(cè)防病毒入侵檢測(cè)第二十頁(yè)，共133頁(yè)。第四階段：信息安全保障人，借助技術(shù)的支持，實(shí)施一系列的操作過(guò)程，最終實(shí)現(xiàn)信息保障目標(biāo)。第二十一頁(yè)，共133頁(yè)。信息安全現(xiàn)狀信息安全的概述從歷史的角度看安全信息安全背景趨勢(shì)信息安全建設(shè)的重要性第二十二頁(yè)，共133頁(yè)。安全現(xiàn)狀全球漏洞數(shù)持續(xù)快速增長(zhǎng)應(yīng)用軟件漏洞增勢(shì)明顯從發(fā)現(xiàn)漏洞到攻擊的時(shí)間在不斷縮短漏洞產(chǎn)業(yè)鏈已形成，可以自由交易第二十三頁(yè)，共133頁(yè)。系統(tǒng)漏洞多，容易被攻擊，被攻擊時(shí)很難發(fā)現(xiàn)；有組織有計(jì)劃的入侵無(wú)論在數(shù)量上還是在質(zhì)量上都呈現(xiàn)快速增長(zhǎng)趨勢(shì)；病毒蠕蟲(chóng)泛濫。攻擊工具化。有制度、措施、標(biāo)準(zhǔn)，大部分流于形式，缺乏安全宣傳教育?！粜畔⑾到y(tǒng)安全領(lǐng)域存在的挑戰(zhàn)信息安全背景趨勢(shì)第二十四頁(yè)，共133頁(yè)。安全背景趨勢(shì)第二十五頁(yè)，共133頁(yè)。安全背景趨勢(shì)第二十六頁(yè)，共133頁(yè)。安全背景趨勢(shì)第二十七頁(yè)，共133頁(yè)。新一代惡意代碼（蠕蟲(chóng)、木馬）2002安全背景趨勢(shì)◆黑客攻擊技術(shù)多種攻擊技術(shù)的融合第二十八頁(yè)，共133頁(yè)。

攻擊工具體系化安全背景趨勢(shì)第二十九頁(yè)，共133頁(yè)。信息安全背景趨勢(shì)

黑客大聚會(huì)第三十頁(yè)，共133頁(yè)。信息安全背景趨勢(shì)

攻擊經(jīng)驗(yàn)切磋第三十一頁(yè)，共133頁(yè)。信息安全的相對(duì)性安全沒(méi)有100%完美的健康狀態(tài)永遠(yuǎn)也不能達(dá)到；安全工作的目標(biāo)：將風(fēng)險(xiǎn)降到最低第三十二頁(yè)，共133頁(yè)。信息安全現(xiàn)狀信息安全的概述從歷史的角度看安全信息安全背景趨勢(shì)信息安全建設(shè)的重要性第三十三頁(yè)，共133頁(yè)。信息安全建設(shè)的重要性業(yè)務(wù)需求政策的需求安全影響個(gè)人績(jī)效第三十四頁(yè)，共133頁(yè)。大綱現(xiàn)實(shí)教訓(xùn)信息安全現(xiàn)狀安全威脅分析黑客攻擊思路和步驟常見(jiàn)的黑客攻擊技術(shù)及演示信息安全防御體系信息安全管理體系日常桌面系統(tǒng)的安全日常安全習(xí)慣第三十五頁(yè)，共133頁(yè)。誰(shuí)會(huì)攻擊我們？信息安全面臨威脅分析第三十六頁(yè)，共133頁(yè)。國(guó)家由政府主導(dǎo)，有很好的組織和充足的財(cái)力；利用國(guó)外的服務(wù)引擎來(lái)收集來(lái)自被認(rèn)為是敵對(duì)國(guó)的信息黑客攻擊網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)在運(yùn)行系統(tǒng)中的弱點(diǎn)或其它錯(cuò)誤的一些個(gè)人恐怖分子/計(jì)算機(jī)恐怖分子代表使用暴力或威脅使用暴力以迫使政府或社會(huì)同意其條件的恐怖分子或團(tuán)伙有組織的犯罪有協(xié)調(diào)的犯罪行為，包括賭博、詐騙、販毒和許多其它的行為其它犯罪團(tuán)體犯罪社團(tuán)之一，一般沒(méi)有好的組織或財(cái)力。通常只有很少的幾個(gè)人，甚至完全是個(gè)人的行為國(guó)際媒體向紙業(yè)和娛樂(lè)業(yè)的媒體收集并散發(fā)——有時(shí)是非授權(quán)的——新聞的組織。包括收集任何時(shí)間關(guān)于任何一個(gè)人的任意一件新聞工業(yè)競(jìng)爭(zhēng)者在市場(chǎng)競(jìng)爭(zhēng)中運(yùn)行的國(guó)內(nèi)或國(guó)際企業(yè)常以企業(yè)間諜的形式致力于非授權(quán)收集關(guān)于競(jìng)爭(zhēng)對(duì)手或外國(guó)政府的信息有怨言的員工懷有危害局域網(wǎng)絡(luò)或系統(tǒng)想法的氣憤、不滿的員工粗心或未受到良好訓(xùn)練的員工那些或因缺乏訓(xùn)練，或因缺乏考慮，或因缺乏警惕的人給信息系統(tǒng)帶來(lái)的威脅。這是內(nèi)部威脅與敵人的另一個(gè)例子。

威脅來(lái)源（NSA的觀點(diǎn)）安全威脅分析第三十七頁(yè)，共133頁(yè)。黑客帶來(lái)的威脅類型病毒蠕蟲(chóng)后門拒絕服務(wù)內(nèi)部人員誤操作非授權(quán)訪問(wèn)暴力猜解物理威脅系統(tǒng)漏洞利用嗅探第三十八頁(yè)，共133頁(yè)。問(wèn)題試分析本單位面臨的主要安全威脅。第三十九頁(yè)，共133頁(yè)。大綱現(xiàn)實(shí)教訓(xùn)信息安全現(xiàn)狀安全威脅分析黑客攻擊思路和步驟常見(jiàn)的黑客攻擊技術(shù)及演示信息安全防御體系信息安全管理體系日常桌面系統(tǒng)的安全日常安全習(xí)慣第四十頁(yè)，共133頁(yè)。預(yù)攻擊內(nèi)容：獲得域名及IP分布獲得拓?fù)浼癘S等獲得端口和服務(wù)獲得應(yīng)用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：收集信息，進(jìn)行進(jìn)一步攻擊決策黑客入侵的一般過(guò)程攻擊內(nèi)容：獲得遠(yuǎn)程權(quán)限進(jìn)入遠(yuǎn)程系統(tǒng)提升本地權(quán)限進(jìn)一步擴(kuò)展權(quán)限進(jìn)行實(shí)質(zhì)性操作目的：進(jìn)行攻擊，獲得系統(tǒng)的一定權(quán)限后攻擊內(nèi)容：刪除日志修補(bǔ)明顯的漏洞植入后門木馬進(jìn)一步滲透擴(kuò)展目的：消除痕跡，長(zhǎng)期維持一定的權(quán)限第四十一頁(yè)，共133頁(yè)。大綱現(xiàn)實(shí)教訓(xùn)信息安全現(xiàn)狀安全威脅分析黑客攻擊思路和步驟常見(jiàn)的黑客攻擊技術(shù)及演示信息安全防御體系信息安全管理體系日常桌面系統(tǒng)的安全日常安全習(xí)慣第四十二頁(yè)，共133頁(yè)。常見(jiàn)黑客攻擊手段隱藏自身確定攻擊目標(biāo)掃描探測(cè)社會(huì)工程預(yù)攻擊階段暴力猜解SQLinjection攻擊拒絕服務(wù)攻擊緩沖區(qū)溢出攻擊網(wǎng)絡(luò)嗅探攻擊網(wǎng)絡(luò)欺騙攻擊特洛伊木馬消滅蹤跡攻擊階段后攻擊階段第四十三頁(yè)，共133頁(yè)。以已經(jīng)取得控制權(quán)的主機(jī)為跳板攻擊其他主機(jī)隱藏自身常見(jiàn)黑客攻擊手段第四十四頁(yè)，共133頁(yè)。確定攻擊目標(biāo)使用簡(jiǎn)單的工具，通過(guò)各種途徑，獲取目標(biāo)與安全相關(guān)的信息。主要包括：領(lǐng)導(dǎo)、技術(shù)人員的信息（姓名、電話、郵件、生日等）域名、IP地址范圍；DNS服務(wù)器、郵件服務(wù)器；撥號(hào)服務(wù)器；防火墻、路由器型號(hào)等第四十五頁(yè)，共133頁(yè)。漏洞掃描技術(shù)確定目標(biāo)網(wǎng)絡(luò)中哪些主機(jī)活著；標(biāo)識(shí)目標(biāo)系統(tǒng)開(kāi)放的端口與服務(wù)（PortScan技術(shù)）；操作系統(tǒng)識(shí)別（OperatingSystemIdentification/Fingerprinting技術(shù)）；目標(biāo)系統(tǒng)存在的漏洞。掃描探測(cè)常見(jiàn)黑客攻擊手段第四十六頁(yè)，共133頁(yè)。預(yù)攻擊—漏洞掃描

預(yù)攻擊—漏洞掃描第四十七頁(yè)，共133頁(yè)。社會(huì)工程學(xué)社會(huì)工程學(xué)通過(guò)對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益的手法。

如果給你100萬(wàn)，讓你獲取某系統(tǒng)的重要資料你會(huì)怎么辦？如果你在公司大樓門前撿到一個(gè)漂亮的U盤，你會(huì)怎么辦？第四十八頁(yè)，共133頁(yè)。緩沖區(qū)溢出攻擊緩沖區(qū)溢出技術(shù)原理

通過(guò)往程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。Stack(棧)Heap(堆)Bss(非初始化文本區(qū)域)初始化文本區(qū)域Text(文本區(qū))

內(nèi)存低址第四十九頁(yè)，共133頁(yè)。緩沖區(qū)溢出攻擊攻擊實(shí)例：緩沖區(qū)溢出攻擊第五十頁(yè)，共133頁(yè)?！熬芙^服務(wù)攻擊（DenialofService）”的方法，簡(jiǎn)稱DoS。它的惡毒之處是通過(guò)向服務(wù)器發(fā)送大量的虛假請(qǐng)求，服務(wù)器由于不斷應(yīng)付這些無(wú)用信息而最終筋疲力盡，而合法的用戶卻由此無(wú)法享受到相應(yīng)服務(wù)，實(shí)際上就是遭到服務(wù)器的拒絕服務(wù)。拒絕服務(wù)攻擊第五十一頁(yè)，共133頁(yè)。站點(diǎn)演示大家可能經(jīng)常聽(tīng)過(guò)，XXX站點(diǎn)又被黑了。但是大家又沒(méi)有想過(guò)，這星球上站點(diǎn)的數(shù)目可是以千萬(wàn)單位計(jì)算的。第五十二頁(yè)，共133頁(yè)。大綱現(xiàn)實(shí)教訓(xùn)信息安全現(xiàn)狀安全威脅分析黑客攻擊思路和步驟常見(jiàn)的黑客攻擊技術(shù)及演示信息安全防御體系信息安全管理體系日常桌面系統(tǒng)的安全日常安全習(xí)慣第五十三頁(yè)，共133頁(yè)。動(dòng)態(tài)防御體系第五十四頁(yè)，共133頁(yè)。目前普遍應(yīng)用的信息安全技術(shù)訪問(wèn)控制操作系統(tǒng)訪問(wèn)控制網(wǎng)絡(luò)防火墻統(tǒng)一威脅管理（UTM）審計(jì)跟蹤IDSVA漏洞掃描日志審計(jì)系統(tǒng)加密存儲(chǔ)和備份鑒別和認(rèn)證PKI和CA雙因子認(rèn)證生物認(rèn)證……第五十五頁(yè)，共133頁(yè)。大綱現(xiàn)實(shí)教訓(xùn)信息安全現(xiàn)狀安全威脅分析黑客攻擊思路和步驟常見(jiàn)的黑客攻擊技術(shù)及演示信息安全管理體系日常桌面系統(tǒng)的安全日常安全習(xí)慣第五十六頁(yè)，共133頁(yè)。網(wǎng)絡(luò)小組組長(zhǎng)a病毒防護(hù)人員IP和機(jī)房管理入侵檢測(cè)人員FW管理人員系統(tǒng)小組組長(zhǎng)b漏洞彌補(bǔ)人員服務(wù)開(kāi)關(guān)管理系統(tǒng)運(yùn)行管理設(shè)備進(jìn)出網(wǎng)絡(luò)開(kāi)發(fā)小組組長(zhǎng)c分析設(shè)計(jì)文檔編碼測(cè)試聯(lián)調(diào)應(yīng)用部署維護(hù)安全設(shè)計(jì)文檔CSO經(jīng)理一人與副經(jīng)理制定策略；協(xié)調(diào)本部門的工作；協(xié)調(diào)各職能部門的工作副經(jīng)理二人：審計(jì)檢查；實(shí)施策略安全專員X人：網(wǎng)絡(luò)小組二人，組長(zhǎng)a;系統(tǒng)小組二人，組長(zhǎng)b;開(kāi)發(fā)小組二人，組長(zhǎng)c;信息安全部職能部門安全專員X人：每個(gè)職能部門一人，如總裁辦、投資銀行等各有一人。職責(zé)：1、在本部門推行、檢察安全策略和制度的執(zhí)行；2、本部門征求并反映本部門建議和意見(jiàn)；3、給出本部門每個(gè)員工的安全分?jǐn)?shù)作為獎(jiǎng)懲依據(jù)。組織機(jī)構(gòu)示意圖第五十七頁(yè)，共133頁(yè)。信息安全管理工作內(nèi)容1.風(fēng)險(xiǎn)評(píng)估2.安全策略3.物理安全4.設(shè)備管理運(yùn)行管理軟件安全管理7.信息安全管理8.人員安全管理9.應(yīng)用系統(tǒng)安全管理10.操作安全管理11.技術(shù)文檔安全管理12.災(zāi)難恢復(fù)計(jì)劃13.安全應(yīng)急響應(yīng)第五十八頁(yè)，共133頁(yè)。信息安全管理的制度IP地址管理制度防火墻管理制度病毒和惡意代碼防護(hù)制度服務(wù)器上線及日常管理制度口令管理制度開(kāi)發(fā)安全管理制度應(yīng)急響應(yīng)制度制度運(yùn)行監(jiān)督

。。。。。。第五十九頁(yè)，共133頁(yè)。工作程序安全管理制度運(yùn)行監(jiān)督的三種方式每月督查每季審核年度安全管理評(píng)審安全管理制度文件控制安全記錄控制相關(guān)記錄制度運(yùn)行監(jiān)督第六十頁(yè)，共133頁(yè)。PDCA循環(huán)：Plan—Do—Check—Act計(jì)劃實(shí)施檢查改進(jìn)PDAC

安全管理原則第六十一頁(yè)，共133頁(yè)。領(lǐng)導(dǎo)重視√指明方向和目標(biāo)√權(quán)威√預(yù)算保障，提供所需的資源√監(jiān)督檢查√組織保障安全管理原則第六十二頁(yè)，共133頁(yè)。

全員參與√信息安全不僅僅是IT部門的事；√讓每個(gè)員工明白隨時(shí)都有信息安全問(wèn)題；√每個(gè)員工都應(yīng)具備相應(yīng)的安全意識(shí)和能力；√讓每個(gè)員工都明確自己承擔(dān)的信息安全責(zé)任；安全管理原則第六十三頁(yè)，共133頁(yè)。

文件化√文件的作用：有章可循，有據(jù)可查√文件的類型：手冊(cè)、規(guī)范、指南、記錄安全管理原則

溝通意圖，統(tǒng)一行動(dòng)重復(fù)和可追溯提供客觀證據(jù)用于學(xué)習(xí)和培訓(xùn)

文件的作用：有章可循，有據(jù)可查第六十四頁(yè)，共133頁(yè)。持續(xù)改進(jìn)√信息安全是動(dòng)態(tài)的，時(shí)間性強(qiáng)√持續(xù)改進(jìn)才能有最大限度的安全√組織應(yīng)該為員工提供持續(xù)改進(jìn)的方法和手段

√實(shí)現(xiàn)信息安全目標(biāo)的循環(huán)活動(dòng)安全管理原則第六十五頁(yè)，共133頁(yè)。安全工作的目的進(jìn)不來(lái)拿不走改不了跑不了看不懂第六十六頁(yè)，共133頁(yè)。大綱現(xiàn)實(shí)教訓(xùn)信息安全現(xiàn)狀安全威脅分析黑客攻擊思路和步驟常見(jiàn)的黑客攻擊技術(shù)及演示信息安全管理體系日常桌面系統(tǒng)的安全日常安全習(xí)慣第六十七頁(yè)，共133頁(yè)。日常桌面系統(tǒng)的安全日常桌面系統(tǒng)概述常見(jiàn)威脅分析及處理方法日常安全配置第六十八頁(yè)，共133頁(yè)。日常桌面系統(tǒng)概述什么是操作系統(tǒng)及其作用常用功能：聯(lián)網(wǎng)運(yùn)行應(yīng)用（office，應(yīng)用軟件等）信息傳輸（文件）第六十九頁(yè)，共133頁(yè)。日常桌面系統(tǒng)的安全日常桌面系統(tǒng)概述常見(jiàn)威脅分析及處理方法日常安全配置第七十頁(yè)，共133頁(yè)。常見(jiàn)威脅分析及處理方法病毒蠕蟲(chóng)流氓軟件木馬其他第七十一頁(yè)，共133頁(yè)。病毒病毒的流行在衰退？病毒的特點(diǎn)：不能作為獨(dú)立的可執(zhí)行程序執(zhí)行具有自動(dòng)產(chǎn)生和自身拷貝的能力能夠產(chǎn)生有害的或惡意的動(dòng)作第七十二頁(yè)，共133頁(yè)。感染的機(jī)制和目標(biāo)感染可執(zhí)行文件COM文件EXE文件DLL、OCX、SYS第七十三頁(yè)，共133頁(yè)。病毒的傳播機(jī)制移動(dòng)存儲(chǔ)（U盤病毒）電子郵件及其下載（梅利莎…）共享目錄（熊貓燒香）第七十四頁(yè)，共133頁(yè)。熊貓燒香又稱“武漢男生”，感染型的蠕蟲(chóng)病毒。病毒機(jī)理首先，它在C:\WINNT\system32\drivers目錄下建立了一個(gè)“spo0lsv.exe”文件，o是英文字母，0是數(shù)字，偽裝成正常的系統(tǒng)打印服務(wù)“spoolsv.exe”并實(shí)現(xiàn)開(kāi)機(jī)的加載。其次，有些機(jī)器會(huì)有與以前的U盤病毒一樣的特征，每個(gè)盤雙擊打開(kāi)會(huì)運(yùn)行病毒的程序。原理是在每個(gè)盤比如C盤根目錄下建立兩個(gè)隱藏文件setup.exe和autorun.inf。第七十五頁(yè)，共133頁(yè)。熊貓燒香發(fā)作現(xiàn)象：感染文件類型：exe，com，pif，src，html，asp等。中止大量的反病毒軟件進(jìn)程；刪除擴(kuò)展名為gho的文件；被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。第七十六頁(yè)，共133頁(yè)。中病毒后可能的跡象運(yùn)行緩慢系統(tǒng)崩潰系統(tǒng)進(jìn)程名區(qū)別“o”和“0”，如：expl0rer、svch0st、spo0lsv區(qū)分“l(fā)”、“i”和“1”，如：exp1orer、expiorer、spoo1sv是否多或少了字母電子郵件被退回反病毒軟件報(bào)警系統(tǒng)文件或其他文件的屬性或大小變化應(yīng)用程序執(zhí)行異常。。。。第七十七頁(yè)，共133頁(yè)。常見(jiàn)威脅分析及處理方法病毒蠕蟲(chóng)流氓軟件木馬其他第七十八頁(yè)，共133頁(yè)。蠕蟲(chóng)蠕蟲(chóng)是一種可以自我復(fù)制的代碼，通過(guò)網(wǎng)絡(luò)傳播，通常無(wú)需人為干預(yù)就能傳播第七十九頁(yè)，共133頁(yè)。蠕蟲(chóng)案例-Nimda2001年9月18日爆發(fā)多種不同的探測(cè)技術(shù)IISWeb目錄穿越漏洞具有IE漏洞的瀏覽器訪問(wèn)被感染頁(yè)面Outlook電子郵件客戶端傳播Windows文件共享傳播掃描網(wǎng)絡(luò)中感染了CodeRedII和Sadmind蠕蟲(chóng)的主機(jī)的后門，并清除之第八十頁(yè)，共133頁(yè)。蠕蟲(chóng)的防御以蟲(chóng)治蟲(chóng)反病毒軟件---需要和其他手段相配合及時(shí)安裝補(bǔ)丁并配置好系統(tǒng)阻斷任意的輸入連接千萬(wàn)不要擺弄蠕蟲(chóng)等類似的惡意代碼第八十一頁(yè)，共133頁(yè)。常見(jiàn)威脅分析及處理方法病毒蠕蟲(chóng)木馬流氓軟件第八十二頁(yè)，共133頁(yè)。木馬木馬由兩個(gè)程序組成，一個(gè)是客戶端，一個(gè)服務(wù)器端（被攻擊的機(jī)器上運(yùn)行），通過(guò)在宿主機(jī)器上運(yùn)行服務(wù)器端程序，在用戶毫無(wú)察覺(jué)的情況下，可以通過(guò)客戶端程序控制攻擊者機(jī)器、刪除其文件、監(jiān)控其操作等。第八十三頁(yè)，共133頁(yè)。木馬攻擊第八十四頁(yè)，共133頁(yè)。常見(jiàn)威脅分析及處理方法病毒蠕蟲(chóng)木馬流氓軟件第八十五頁(yè)，共133頁(yè)。流氓軟件惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵害用戶合法權(quán)益的軟件，但不包含我國(guó)法律法規(guī)規(guī)定的計(jì)算機(jī)病毒。第八十六頁(yè)，共133頁(yè)。如何預(yù)防上述常見(jiàn)威脅提高計(jì)算機(jī)病毒的防范意識(shí)，多到反病毒網(wǎng)站上看一看養(yǎng)成使用計(jì)算機(jī)的良好習(xí)慣盡可能使用正版軟件不要執(zhí)行來(lái)歷不明的軟件或程序不要輕易打開(kāi)陌生郵件不要因?yàn)閷?duì)方是你的朋友就輕易執(zhí)行他發(fā)過(guò)來(lái)的軟件或者程序盡可能少訪問(wèn)一些小的網(wǎng)站或不良網(wǎng)站第八十七頁(yè)，共133頁(yè)。如何預(yù)防上述常見(jiàn)威脅不要隨便留下你的個(gè)人資料輕易不要使用服務(wù)器上網(wǎng)瀏覽、聊天等有規(guī)律的備份系統(tǒng)關(guān)鍵數(shù)據(jù)使用非超級(jí)用戶帳號(hào)密切注意瀏覽器及Email軟件的有關(guān)漏洞和補(bǔ)丁取消共享文件夾的寫(xiě)權(quán)限或?qū)蚕砦募A設(shè)置口令刪除或停用不必要的帳戶，設(shè)置高強(qiáng)度的用戶口令第八十八頁(yè)，共133頁(yè)。建議啟用微軟自動(dòng)更新功能設(shè)置我的電腦->屬性

->自動(dòng)更新第八十九頁(yè)，共133頁(yè)。

及時(shí)打補(bǔ)丁第九十頁(yè)，共133頁(yè)。安裝殺毒軟件并正確的使用殺毒軟件，及時(shí)升級(jí)殺毒軟件，開(kāi)啟實(shí)時(shí)掃描功能，定期殺毒第九十一頁(yè)，共133頁(yè)。安裝并啟用個(gè)人防火墻（可以是windows自帶的或殺毒軟件自帶的）第九十二頁(yè)，共133頁(yè)。顯示所有文件及文件擴(kuò)展名第九十三頁(yè)，共133頁(yè)。取消默認(rèn)共享編輯txt文本內(nèi)容netsharec$/delnetshared$/delnetsharee$/delnetshareADMIN$/del改擴(kuò)展名為.bat設(shè)置開(kāi)機(jī)自啟動(dòng)此批處理文件第九十四頁(yè)，共133頁(yè)。關(guān)閉自動(dòng)播放功能第九十五頁(yè)，共133頁(yè)。設(shè)置瀏覽器安全級(jí)別第九十六頁(yè)，共133頁(yè)。離開(kāi)計(jì)算機(jī)時(shí)鎖屏Windows2000Ctrl+Alt+DelWindowsxp運(yùn)行->gpedit.msc配置啟用“總是用經(jīng)典登錄”第九十七頁(yè)，共133頁(yè)。防御惡意代碼的其他方法反病毒工具行為監(jiān)控軟件反間諜軟件工具第九十八頁(yè)，共133頁(yè)。日常桌面系統(tǒng)的安全日常桌面系統(tǒng)概述常見(jiàn)威脅分析及處理方法日常安全配置第九十九頁(yè)，共133頁(yè)。日常安全配置Windows操作系統(tǒng)安全配置常用軟件安全配置第一百頁(yè)，共133頁(yè)。Windows操作系統(tǒng)安全配置系統(tǒng)安裝注意事項(xiàng)訪問(wèn)控制數(shù)據(jù)的安全本地安全策略syskey第一百零一頁(yè)，共133頁(yè)。系統(tǒng)安裝注意事項(xiàng)建立和選擇分區(qū)選擇安裝目錄不安裝多余的組件停止多余的服務(wù)安裝系統(tǒng)補(bǔ)丁第一百零二頁(yè)，共133頁(yè)。多余的組件Internt信息服務(wù)（IIS）（如不需要）索引服務(wù)IndexingService消息隊(duì)列服務(wù)（MSMQ）遠(yuǎn)程安裝服務(wù)遠(yuǎn)程存儲(chǔ)服務(wù)終端服務(wù)終端服務(wù)授權(quán)第一百零三頁(yè)，共133頁(yè)。Win2K服務(wù)第一百零四頁(yè)，共133頁(yè)。Windows操作系統(tǒng)安全配置系統(tǒng)安裝注意事項(xiàng)訪問(wèn)控制數(shù)據(jù)的安全本地安全策略syskey第一百零五頁(yè)，共133頁(yè)。訪問(wèn)控制NTFS與FAT分區(qū)文件屬性文件權(quán)限用戶權(quán)限權(quán)限控制原則網(wǎng)絡(luò)訪問(wèn)控制第一百零六頁(yè)，共133頁(yè)。NTFS與FAT分區(qū)權(quán)限FAT32NTFS第一百零七頁(yè)，共133頁(yè)。文件權(quán)限第一百零八頁(yè)，共133頁(yè)。用戶權(quán)限Administrators組Users組PowerUsers組BackupOperators組第一百零九頁(yè)，共133頁(yè)。權(quán)限控制原則和特點(diǎn)1>權(quán)限是累計(jì)

用戶對(duì)資源的有效權(quán)限是分配給該個(gè)人用戶帳戶和用戶所屬的組的所有權(quán)限的總和。2>拒絕的權(quán)限要比允許的權(quán)限高

拒絕權(quán)限可以覆蓋所有其他的權(quán)限。甚至作為一個(gè)組的成員有權(quán)訪問(wèn)文件夾或文件，但是該組被拒絕訪問(wèn)，那么該用戶本來(lái)具有的所有權(quán)限都會(huì)被鎖定而導(dǎo)致無(wú)法訪問(wèn)該文件夾或文件。第一百一十頁(yè)，共133頁(yè)。3>文件權(quán)限比文件夾權(quán)限高4>利用用戶組來(lái)進(jìn)行權(quán)限控制5>權(quán)限的最小化原則權(quán)限控制原則和特點(diǎn)第一百一十一頁(yè)，共133頁(yè)。網(wǎng)絡(luò)訪問(wèn)控制第一百一十二頁(yè)，共133頁(yè)。利用IP安全策略實(shí)現(xiàn)訪問(wèn)控制第一百一十三頁(yè)，共133頁(yè)。Windows操作系統(tǒng)安全配置系統(tǒng)安裝注意事項(xiàng)訪問(wèn)控制數(shù)據(jù)的安全本地安全策略syskey第一百一十四頁(yè)，共133頁(yè)。EFS加密文件系統(tǒng)特性：1、采用單一密鑰技術(shù)2、核心文件加密技術(shù)僅用于NTFS，使用戶在本地計(jì)算機(jī)上安全存儲(chǔ)數(shù)據(jù)3、加密用戶使用透明，其他用戶被拒4、不能加密壓縮的和系統(tǒng)文件，加密后不能被共享、能被刪除建議加密文件夾，不要加密單獨(dú)的文件第一百一十五頁(yè)，共133頁(yè)。EFS恢復(fù)代理故障恢復(fù)代理就是獲得授權(quán)解密由其他用戶加密的數(shù)據(jù)的管理員必須進(jìn)行數(shù)據(jù)恢復(fù)時(shí)，恢復(fù)代理可以從安全的存儲(chǔ)位置獲得數(shù)據(jù)恢復(fù)證書(shū)導(dǎo)入系統(tǒng)。默認(rèn)的超級(jí)管理員就是恢復(fù)代理使用條件：