网络安全基础PPT.pptVIP

网络安全基础培训 概要 什么是安全 安全威胁 安全管理 防护技术 攻击技术 手机 计算机 电子邮件 银行业务 网上购物、网上求职、聊天 …….. 电子商务 网上交易 网上售前售后服务 …… 电子政务 政府间的电子政务 政府对企业的电子政务 政府对公民的电子政务 可用性 确保授权用户在需要时可以访问信息并使用相关信息资产 完整性 保护信息和信息的处理方法准确而完整 机密性 确保只有经过授权的人才能访问信息 安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。 安全威胁是提出安全需求的重要依据。 “安全”与“性能”的对比 性能 容易量化 可以评价为：低、较低、较高、高 …… 看得见 这不是黑客 这才是黑客-1 这才是黑客-2 据CNCERT/CC（国家计算机网络应急技术处理协调中心）统计，2006年3月，全球被篡改网站数量超过3万个，平均每1.5分钟，就有一个网站被篡改 常在网上飞，哪能不被黑 2006年03月12日，河北省政府采购网被篡改； 2006年03月18日，广州外事办网被篡改； 2006年03月11日，洛阳大学网站被篡改； 2006年04月13日，大冶政府网被篡改； 2006年04月10日，搜狐CS站被篡改； 2006年05月09日，网易社区被篡改； 2006年07月03日，雅虎中国被篡改； 2006年07月03日，163竟价广告联盟被篡改； 2006年07月11日，网易2006 世界杯足球公园被篡改； 2006年07月22日，天津中医药大学网站被篡改； 2006年09月14日，TCL通讯科技控股有限公司网站被篡改； 2006年09月16日，蒙牛、伊利两大国内牛奶集团官方网站被篡改； ………… 攻击的目的 纯粹为了个人娱乐 我能想到最浪漫的事,就是入侵你的电脑 -----黑客语录 为了利益 间谍，商业间谍，国防，犯罪 攻击的原理 利用系统漏洞 利用逻辑漏洞 社交工程学 马其诺防线 高级攻击技术:道高一尺，魔高一丈 暴力破解，session欺骗技术 嗅探技术(Sniffer) 隧道技术，端口复用技术 木马特征字修改技术 日志清除技术 Rootkit技术 攻击技术演示 环境说明 攻击方法 发现弱点---》漏洞攻击---》清除痕迹---》留下后门 客户端攻击技术 IE漏洞 OFFICE漏洞 客户端攻击技术演示 XSS(跨站脚本攻击) 挂马技术 木马技术 木马演示 核武器---- 0day 0day 演示-1 Windows RPC DOS 0day 0day 演示-2 Openssl ASN.1 Overflow 0day Windows MS06-040 “N-day” 如何防御？ 下次再见 谢谢！ 信息安全面临的威胁类型 网络 内部、外部泄密 拒绝服务攻击 逻辑炸弹 特洛伊木马 黑客攻击 计算机病毒 信息丢失、篡改、销毁 后门、隐蔽通道 蠕虫 安全威胁举例 -- DDOS安全威胁 DDOS攻击频繁出现，商业化发展，难以追查。 9月12日baidu就遭受了DDOS攻击，导致baidu有哪些信誉好的足球投注网站服务出现30分钟的故障。 安全威胁举例 -- Phishing安全威胁 钓鱼欺骗事件频频发生，给电子商务和网上银行蒙上阴影 日常工作中安全威胁举例 没有及时更新安全补丁 没有安装杀毒软件或者没有及时升级病毒库代码 打开可疑的邮件和可疑的网站 用户名密码过于简单薄弱 把机密数据（如财务数据）带回家办公 任意将自己笔记本电脑带入公司使用 随便把自己的用户名密码告诉他人 ……. 总结回顾 我们面临的安全威胁及脆弱点有哪些? 思考: 如何解决这些威胁? 第3章 安全管理 安全 很难量化 只有两个结果“出事”和“不出事” 容易被忽视 原先关注信息安全本身，关注出了事故，以后不要出事故… 信息安全关注的是对信息系统的保障，对于信息数据的保护 业务 业务 还是业务 应该运用管理的、物理的和技术的控制手段来实施信息安全体系建设。 安全策略是安全防护体系的基础 举个例子： 我国有完善的法律法规,公民需要遵守国家相关的法律、法规来保证社会秩序的安定和平。 国家 = 公司 法律法规 = 安全策略 人是安全防护体系中最薄弱的环节 加强员工安全教育、提高网络安全意识 保家卫国,人人有责 风险管理:识别、评估风险，并将这风险减少到一个可以接受的程度，并实行正确的机制以保持这种程度的风险的过程。 安全没有百分之百 No 100% Security 每个系统都有其脆弱性，承担一定程度的风险。 安全威胁带来的损失代价 安全措施本身的费用 风险 R