1、U U成长计划成长计划-信息安全信息安全培训培训2018.5 部门：集团信息化部（信息安全部）-安全支撑处；工作：主管集团系统安全规划、架构、评估及服务；经历：信息安全领域从业工作7年，CISP认证、集团骨干人才、内训讲师。兴趣：打篮球、看冰球、游戏发烧友、狼人杀 标签：互联网安全、信息系统安全、数据安全、安全规划与设计、安全评估。个人介绍2开篇一个信安从业者的心声内心感触：作为一个“防御者”，相对于“攻击者”最大的不同则是：“防御者”需要做好一个“面”的防守，而攻击者只需要完成一个“点”的突破。这就像是一场足球比赛，任何一个团队和个人都不可能做到“万无一失”，信息安全的本质就是“攻“与“守”2、的博弈，而防御者通常的办法是：集中主要精力，盯防重点问题，从而解决高危风险。我们作为一名安全从业者也要遵从这样的“二八定律”，从统计学的角度上来看，大部分的安全问题实际上都会集中在突出的几类漏洞中，但是这几类问题却又往往是容易被人所忽略的最简单的问题。3目录一、网络安全形势及热点4垃圾短信，骚扰电话泛滥恶意注册账号加密相册照片外泄手机丢失，隐私泄露人肉搜索聊天内容外泄银行卡盗刷账号被盗！遇到过以下情形么？5网络安全形势5在网络空间被视为继陆、海、空、天之后的“第五空间”后，如何应对来自少数国家的网络安全威胁，保卫“第五空间”的安全，已成为许多国家的共同目标。网络安全已经进入国与国对抗博弈的大玩3、家时代。全球已有50多个国家出台网络安全或信息安全战略网络安全上升为国家战略在网络安全面前，线上线下的物理的边界已经消失了，如今我们谈到的网络安全已经不是单单的系统安全和信息安全，而是国家安全、社会安全、基础设施安全、城市安全、人身安全等一系列广泛意义上的安全。6“等保”法制化“等保”法制化网络安全形势67信息安全背景分析与战略解读网络安全提升至国家战略，电信运营商作为基础重点领域，需要担负更高社会责任。随着中央网络安全与信息化领导小组的成立，国资委、工信部针对信息安全工作专门下发指导意见，明确要求中央企业从国家战略高度充分认识加强信息安全工作的重要性和紧迫性，力争用3-5年努力，建成主动防御4、综合防护的信息安全保障体系，有效保护重要网络和重要系统，维护社会稳定和国家安全。国家战略层面行业监管层面企业战略层面行业信息安全监管力度明显加强，要求将网络与信息安全纳入企业运营考核。2012年底，工信部、国资委加大了对电信运营商网络及IT系统的安全管理，明确了每年必须开展两部委考核，并加大了对等级保护等方面的检查范围与力度。2016年5月，工信部下发关于开展2016年电信和互联网行业网络安全试点示范工作的通知，指明了电信和互联网行业网络安全的发展方向。公司层面面临新技术和新业务带来的新的安全挑战 中国联通IT快速转型形势下，IT格局向开放化、动态化、协同化转变，安全架构需要快速适应。近两年5、运营商安全事故频发，加之信息安全工作政治化，公司领导对此十分重视。省分公司或面临安全工作史上最严考核。8 我国2017年政策及形势网络安全形势81月央行发布中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知6月我国首部网络安全法正式施行，标志着网络安全正式进入到法律层面8月公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成网络安全等级保护基本要求一个标准11月工业和信息化部对外发布了公共互联网网络安全突发事件应急预案 中国地下网络犯罪活动的利润现已超过了151亿美元（约合人民币1004亿元），并造成了超过138亿美元（约合人民币917亿6、元）的经济损失 涉及到数据泄露、身份信息/凭证窃取、以及网络欺诈等9攻击目的发生变化攻击目的发生变化网络安全形势9安全热点脸书脸书11安全热点2017年5月12日晚，勒索病毒WannaCry感染事件爆发，全球范围近百个国家遭到大规模网络攻击，攻击者利用MS17-010漏洞，向用户机器的445端口发送精心设计的网络数据包，实现远程代码执行。被攻击者电脑中大量文件被加密，被要求支付比特币以解密文件。吐钞事件WannaCry勒索病毒事件至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成严重的危机管理问题。我国部分Windows操作系统用户遭受感染，校7、园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后，无法正常工作，影响巨大。台湾第一银行吐钞事件吐钞事件12中国台湾网7月13日讯 据台湾中国时报报道，日前，尼伯特台风袭台期间，台湾第一银行20家分行的34台ATM提款机，遭植入2个新型的恶意程序，损失大量现金。台湾警方调查发现，嫌犯应为3名俄罗斯籍男子，3人在来台60小时内狂扫7000万（新台币，下同）现金，平均每次5分钟完成提领。后经第一银行清算核实，全台共有41台ATM遭到盗领，被盗金额8327余万元。这是台湾首宗银行遭跨境黑客盗领案。安全热点个人信息泄露13安全热点14黑色产业链安8、全热点15安全热点我们企业的安全热点？事件16目录二、信息安全的基础认识17先进行一个思考信息安全的基础认识18安全意识（Security awareness）信息安全的基础认识就是能够认知可能存在的安全问题，明白安全事故对组织的危害，恪守正确的行为方式，并且清楚在安全事故发生时所应采取的措施。红 蓝极19信息安全三要素信息安全的基础认识C机密性（Confidentiality）确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性（Integrity）确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。可用性（Avai9、lability）确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标，也是基本原则，与之相反的是DADIADisclosureAlterationDestruction泄漏破坏篡改20Confidentiality机密性Integrality完整性Availability可用性Audit 可审计接口业务数据应用网络主机3+1的概念信息安全的基础认识21PDCA循环信息安全的基础认识 又称戴明环；质量管理中的重要原则；安全管理实际上是一门更深层次的“质量管理”。确定目标分析问题制定计划设计方案方法确定选择工具资源分配效果检查对比10、预期执行结果巩固成绩遗留应对22时刻在怀疑人生信息安全的基础认识23目录三、典型的攻击过程和手段2424安全攻防术语安全攻防术语典型的攻击过程和手段2525一一个典型的攻击过程个典型的攻击过程典型的攻击过程和手段26 SQL注入漏洞 XSS跨站漏洞 CSRF跨站请求伪造 任意文件上传漏洞 任意文件读取漏洞 目录浏览 越权漏洞 逻辑漏洞 命令执行常见的攻击类型26 DDOS CC典型的攻击过程和手段27什么是拒绝服务拒绝服务式攻击(Denial of Service)，顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。拒绝服务攻击方式利用大量数据挤占网络带宽利用大量请求消耗系统性能利用协议实11、现缺陷利用系统处理方式缺陷27常见的攻击手段DOS攻击/DDOS攻击2828DDOS攻击示意图常见的攻击手段如何防范？29攻击者借助代理服务器生成指向受害主机的合法请求，实现DDOS和伪装就叫：CC(ChallengeCollapsar)。CC主要是用来攻击页面的。大家都有这样的经历，就是在访问论坛时，如果这个论坛比较大，访问的人比较多，打开页面的速度会比较慢，访问的人越多，论坛的页面越多，数据库压力就越大，被访问的频率也越高，占用的系统资源也就相当可观。29CC攻击常见的攻击手段30 什么是SQL注入 应用程序在向后台数据库传递 SQL(Structured Query Language，结12、构化查询语句)查询时，如果为攻击者提供了影响该查询的能力，就会引发 SQL 注入。SQL注入漏洞形成条件 用户能够控制数据的输入 原本要执行的代码，拼接了用户的输入 思考一个语句30SQL注入常见的攻击手段3131 什么是XSS XSS又叫CSS(Cross Site Script)，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。alert(hack)它与SQL注入攻击类似，SQL注入攻击中以SQL语句作为用户输入，从而达到查询/修改/删除数据的目的，而在xss攻击中，通过插入恶意脚13、本，实现对用户游览器的控制，获取用户的一些信息。XSS跨站攻击常见的攻击手段3232 漏洞简介恶意攻击者上传WEB支持的动态脚本程序（如asp,，php，jsp等）来获取服务器一定权限，是最为严重的WEB脚本漏洞。漏洞成因WEBWEB程序对于用户上传的附件类型不做检测任意文件上传常见的攻击手段3333 漏洞简介 漏洞危害一般的网站都提供读取文件功能，常规的思路是使用一个动态页面（php、jsp、aspx、asp等）将待下载文件作为参数一般参数名称为filename，如.php?filename=file.rar、.jsp?filename=file.rar等。一般实现过程是，在根据参数file14、name的值，获得该文件在网站上的绝对路径，读取文件。大部分情况下，与任意文件下载的危害性相同（都获取到了源代码里的包含的信息）。任意文件读取漏洞，是web安全里高危的漏洞，它可以泄露源码、数据库配置文件等等，导致网站处于极度不安全状态。任意文件读取常见的攻击手段3434 漏洞简介由于开发人员编写源码，没有针对代码中可执行的特殊函数入口做过滤，导致客户端可以提交恶意构造语句提交，并交由服务器端执行。命令注入攻击中WEB服务器没有过滤类似system(),eval()，exec()等函数是该漏洞攻击成功的最主要原因。漏洞成因直接获取系统权限。命令执行常见的攻击手段3535 漏洞简介逻辑错误漏洞是15、指由于程序逻辑不严或逻辑太复杂，导致一些逻辑分支不能够正常处理或处理错误，一般出现在任意密码修改（没有旧密码验证）、越权访问、密码找回、交易支付金额。业务逻辑漏洞常见的攻击手段3636社会工程学通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密。熟练的社会工程师都是擅长进行信息收集的身体力行者。最大的特点：攻击对象从系统变成人。社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。并不是一般的诈骗：社会学、心理学、行为学、数据分析、数据收集。社会工程学常见的攻击手段37目录四、常见的防护手段数据安全业务安全16、运维4A漏洞评估基线安全网页防篡改应用安全IPS/IDS垃圾邮件网关上网行为审计基础安全防病毒域管理补丁管理准入控制终端安全统一安全防护已具备代码审计安全可信计算网络准入控制DDoS防护网络DLP电子文档安全终端安全管理数据脱敏符合性检测部分具备、需完善安全数据展板安全风险监控安全数据配置管理内网安全综合管理平台安全服务平台输出服务数据加密解密及模糊化HA/DR数据访问控制和审计应用4AB域/D域数据接口数据接口流量分析审计安全作业管理安全舆情监控安全准入安全评估安全扫描安全应急响应安全数据分析和审计安全咨询安全资产管理安全知识库安全流程支撑业务日志留存和审计业务安全防护数据加密解密及模糊化H17、A/DR数据访问控制和审计应用4A业务日志留存和审计业务安全防护其它系统安全防护层安全服务和响应层服务器防病毒不具备业务系统配合实现常见的防护手段安全能力全家福3933常见的防护手段安全工具全家福文档安全数据安全应用安全漏洞扫描基线检查ECS（4A）CBSS/信息化4A系统安全IPS/IDS防火墙/UTM垃圾邮件网关上网行为审计网络安全防病毒域管理补丁管理准入控制终端安全统一安全防护已实现网页防篡改代码审计业务日志审计应用防火墙WAF业务接口安全移动App安全数据库审计HA/DR安全可信计算网络准入控制DDoS防护网络DLP终端DLP终端行为审计智能终端管理规划实现ECS安全管理子系统CBSS18、等信息化安全管理子系统省分公司安全管理子系统数据加密解密移动介质管理数据泄密追踪数据访问审计数据模糊化大数据安全业务安全评估安全工具全视图优化扩容新的互联网形式下，需要站在更高的角度考虑安全问题，同时需要借助成熟的、有效的安全工具对工作进行简化。作为一个安全从业者，要在全局的角度来考虑问题，通过对安全工具和平台的规划设计，来满足日常安全工作的自动化手段。从而使工作更为快速、有效、规范。40什么什么是防火墙？是防火墙？一种协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙部署在哪？防火墙部署在哪？可信网络与不可信网络之间不同安全级别网络之间两个需要隔离的区域之间为什么需19、要防火墙？为什么需要防火墙？控制：在网络连接点上建立一个安全控制点，对进出数据进行限制隔离：将需要保护的网络与不可信任网络进行隔离，隐藏信息并进行安全防护记录：对进出数据进行检查，记录相关信息防火墙有哪些种类？防火墙有哪些种类？网络层、应用层、数据库33常见的防护手段工具类：防火墙Firewall41IDS：Intrusion Detection SystemIPS：Intrusion Prevention System入侵检测系统部署在哪数据流入流出点关键位置为什么需要入侵检测系统防火墙的重要补充构建网络安全防御体系重要环节克服传统防御机制的限制入侵检测系统能做什么监测并分析用户和系统的活动20、核查系统配置和漏洞对操作系统进行日志管理，并识别违反安全策略的用户活动针对已发现的攻击行为作出适当的反应，如告警、中止进程等41常见的防护手段工具类：IDS/IPS思考：IDS与IPS二者的区别？4242 IPS采用In-line的透明模式接入网络，而IDS并联在网络中，接入交换机的接口需要做镜像；IDS是一种检测技术，而IPS是一种检测加阻断技术，后者的检测结果是阻断攻击的依据是检测；IPS更多是专业化定制的集成电路，而IDS一般是硬件与软件的集合；IPS注重的是对入侵行为的控制，是一种侧重于风险控制的安全设备；IDS注重的是入侵行为的数据进行检测和报警，是一种侧重于风险管理的安全设备。ID21、S、IPS二者的区别常见的防护手段4343统一接入平台（VPN）常见的防护手段思考？44虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现44工具类：统一接入平台（VPN）常见的防护手段 加密数据：保证通过公网传输的信息即使被他人截获也不会泄露。信息认证和身份认证：保证信息的完整性、合法性，并能鉴别用户的身份。提供访问控制：不同的用户有不同的访问权限。抗重放：防止数据包被捕捉后重新投放到网上4545思考？常见的22、防护手段4646什么是4A？常见的防护手段认证Authentication账号/工号Account授权Authorization审计Audit啊！啊！出事啦！啊！啊！没日志！啊！啊！找不着人！啊！啊！咋办呐！管理控制措施失当原因分析图管理控制措施失当原因分析图38%19%8%4%25%6%授权过度或权限滥用员工系统账号管理不当敏感操作审核措施不足客户服务密码保护不足职责分工冲突问题移动介质管控不严事前事前事后事后4747工具类：账号权限管理平台（4A平台）常见的防护手段访问控制数据防护 单点登录操作审计审计平台管理平台全景视图权限管理系统总部31省份权限管理系统主机资源LINUX UX/AIX23、 Windows,.数据库网络设备安全设备系统资源总部31省份业务系统资源层数据下发集团规范策略下发违规稽查日志上收内外部员工认证中心堡垒主机统一接入资源列表集团领导省份管理员管理任务48狭义上：安全管理平台重点是指对安全设备的集中管理，包括集中的运行状态监控、事件采集分析、安全策略下发。广义上：不仅针对安全设备进行管理，还要针对所有IT资源，甚至是业务系统进行集中的安全管理，包括对IT资源的运行监控、事件采集分析，还包括风险管理与运维等内容。本质上，SOC不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还有运维（运营），SOC是技术、流程和人的有机结合。以资产为核心，以安全事件24、管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。48工具类：安全管理平台（SOC）常见的防护手段4949服务类：安全风险评估常见的防护手段54321业务逻辑测试协助加固渗透测试漏洞扫描基线检查评估内容评估方法3主机安全性数据库安全性中间件安全性应用安全性评估准备评估结论跟踪整改复测完成闭环本着PDCA戴明环的管理思路，将技术评估手段融入安全服务管理的流程当中。把安全专业要解决的基本问题从事后向事前转移，做到闭环管理，确保安全问题得以妥善解决。5050服务类：舆情监控常见的防护手段5050日常服务类 业25、务上线准入 系统安全评估 舆情监控 符合性测评 应急保障类 应急响应 漏洞预警 安全值守 风险预防风险预防事前事前事中事中事后事后服务服务对象对象主机主机数据库数据库中间件中间件应用系应用系统统系统建设系统建设（SDLCSDLC）系统安全系统安全开发开发系统安全系统安全上线上线系统安全系统安全运维运维51目录五、个人安全意识52长度至少8个字符包含大小写字母数字、字母、特殊字符不要使用字典中的单词不要基于人的姓名、生日口令安全个人安全意识53不在互联网设置任何隐私资料1尽量设置错误的个人信息2严格控制第三移动应用权限5不同平台使用独立无关联账号3不同平台使用独立复杂密码4信息泄露应对个人安全意26、识541.提升安全意识，提高警惕2.不要轻易泄露任何个人信息3.信任它人前确认其真实身份4.拒绝填写来历不明的调查问卷、普查5.安全有效清除剩余信息6.拒绝打开来历不明的电子邮件社工无处不在，防范靠意识个人安全意识55恶意代码防范权限控制遗失保护垃圾信息过滤骚扰来电拦截口令安全个人安全意识56个人PC安全防护个人安全意识57数据恢复VS信息清除FinalDataFinalDataEasyRecoveryEasyRecovery无影无踪无影无踪(wywz)(wywz)磁盘痕迹清除器磁盘痕迹清除器Free File WiperFree File WiperSecure EraserSecure E27、raserDiskGeniusDiskGeniusTestDiskTestDisk彻底删除安全删除个人安全意识581 1.文件磁盘加密（文件磁盘加密（TrueCrypt）2 2.手机图片、视频加密（图片加密手机图片、视频加密（图片加密GalleryGallery hidehide）3 3.通讯录短信加密（通讯录短信加密（摩贝短信加密）加密技术加密技术加密必不可少个人安全意识59防钓鱼个人安全意识60 将口令写在便签上，贴在电脑监视器旁 密码纸便签放在键盘键盘下方 多个系统使用相同的账号、密码、邮箱 使用规律的键盘序列密码 使用生日、命名、网名、电话、QQ等作为密码 使用容易猜测的口令，或者根本28、不设口令 口令存储在未加密的文件中 开着电脑离开，未锁屏常见的一些不良习惯个人安全意识61 轻易相信来来历不明的邮件，好奇打开邮件附件 扫描来历不明的二维码 从不可信来源安装手机APP应用 重要信息未加密存储 丢失笔记本电脑、U盘、光盘、手机等 不能保守秘密，上当受骗，泄漏敏感信息 在系统更新和安装补丁上总是行动迟缓 未安装杀毒软件、防火墙常见的一些不良习惯个人安全意识62目录六、总结6363总结安全是一种平衡6464安全有红线，红线有宽度；安全是一个全员参与的学科；不阻碍业务的发展，但要阻止它的任性；可以说No，但要说处How to yes；这是一门管理与技术相结合的学科，七分靠技术，三分靠管理；隐患皆小事，安全无事小。总结安全是一种艺术6565总结谢谢！