网络安全知识讲座03网民安全(59)

1、明德明德 砺志砺志 博学博学 笃行笃行计算机科学与技术系：计算机科学与技术系：贾伟贾伟E-Mail：JWB网络安全知识讲座网络安全知识讲座网络安全知识讲座网络安全知识讲座u1 引言引言u2 企业网络安全企业网络安全u3 网民信息安全网民信息安全u4 网络安全热点趋势网络安全热点趋势2014年中国计算机网络年中国计算机网络年会年会u我国我国成国际互联网攻击主要成国际互联网攻击主要受害者受害者u我国移动互联网处于最危险级别我国移动互联网处于最危险级别3 网民网民信息安全状况信息安全状况介绍介绍u电脑电脑上网安全状况上网安全状况u手机手机信息安全状况信息安全状况u网络网络支付安全支付安全状况状况信息

2、安全事件发生类型及比例信息安全事件发生类型及比例中国网民电脑上网安全中国网民电脑上网安全状况状况网上购物发生的安全问题网上购物发生的安全问题中国网民手机信息安全中国网民手机信息安全状况状况手机安全事件的发生情景手机安全事件的发生情景2006-2011 年中国网购交易金额及年中国网购交易金额及增长率增长率中国网上支付用户规模及中国网上支付用户规模及渗透率渗透率主要第三方支付工具用户主要第三方支付工具用户覆盖率覆盖率用户支付安全意识及技能亟需加强用户支付安全意识及技能亟需加强只有 42.4%的用户表示知道保障网上支付安全的办法。 用户安全意识不足，用户安全意识不足， 仅一半仅一半用户关注网上支付安

3、全问题。用户关注网上支付安全问题。用户支付安全风险用户支付安全风险防范防范网上支付用户对透露个人信息警惕性高，对即时通信链接防范意识不网上支付用户对透露个人信息警惕性高，对即时通信链接防范意识不强强用户接到电话称退款需要告知姓名、账户信息或手机验证码的反应用户使用即时通信工具时接到链接时的反应用户遭遇的主要不安全事件用户遭遇的主要不安全事件类型类型第三方支付用户对支付具体纬度的第三方支付用户对支付具体纬度的评价评价3602012 年中国互联网安全报告年中国互联网安全报告u木马木马病毒威胁明显病毒威胁明显降低降低n恶意恶意程序增速明显放程序增速明显放缓缓n木马攻击木马攻击更加精准和更加精准和隐蔽

4、隐蔽n网络网络存储和共享成为木马新兴存储和共享成为木马新兴渠道渠道u钓鱼钓鱼网站成网民上网首要网站成网民上网首要危害危害n钓鱼钓鱼网站呈现快速增长网站呈现快速增长势头势头n虚假虚假购物占钓鱼网站总量的购物占钓鱼网站总量的 33.3%.n搜索引擎搜索引擎是钓鱼网站传播的主要是钓鱼网站传播的主要途径途径网络网络安全防范安全防范(措施和建议措施和建议)u系统系统/软件安全软件安全n安装正版安装正版/原版系统原版系统/应用软件应用软件n安装防火墙和杀毒软件安装防火墙和杀毒软件n及时打补丁或升级到最新版及时打补丁或升级到最新版n使用带有权限控制的文件系统并使用带有权限控制的文件系统并正确设置用户权限正确

5、设置用户权限l如如windows系统的系统的NTFSn配置安全配置安全l帐户管理：禁止不用的帐户帐户管理：禁止不用的帐户l服务管理：关掉不必要的服务服务管理：关掉不必要的服务l防火墙：管理例外防火墙：管理例外l系统属性：关闭远程桌面系统属性：关闭远程桌面l共享管理：正确的权限控制共享管理：正确的权限控制u个人敏感个人敏感信息保护信息保护n账号账号/密码保护密码保护u钓鱼网站防范钓鱼网站防范系统系统/软件软件安全安全u安装安装正版正版/原版系统原版系统/应用软件应用软件u安装防火墙和杀毒软件安装防火墙和杀毒软件u及时打补丁或升级到最新版及时打补丁或升级到最新版u使用带有权限控制的文件系统并正确设

6、置用户权限使用带有权限控制的文件系统并正确设置用户权限n如如windows系统的系统的NTFSu配置安全配置安全n帐户管理：禁止不用的帐户帐户管理：禁止不用的帐户n服务管理：关掉不必要的服务服务管理：关掉不必要的服务n防火墙：管理例外防火墙：管理例外n系统属性：关闭远程桌面系统属性：关闭远程桌面n共享管理：正确的权限控制共享管理：正确的权限控制尽量到官方网站下载软件尽量到官方网站下载软件u中文版中文版putty后门事件后门事件n2012年国内流行的部分年国内流行的部分“汉化版汉化版”PuTTY、WinSCP、SSHSecure工具内工具内置黑客后门，可能导致服务器系统管理员密码及资料泄露，主要

7、影响置黑客后门，可能导致服务器系统管理员密码及资料泄露，主要影响Linux服务器系统维护人员。服务器系统维护人员。u文件安全性验证：杀毒软件杀毒文件安全性验证：杀毒软件杀毒u数据数据/文件的完整性验证文件的完整性验证MD5/SHA防火墙防火墙防防病毒软件病毒软件u防防病毒系统病毒系统n一定一定要及时升级病毒库要及时升级病毒库文件文件n 实时监控功能一定要开着实时监控功能一定要开着u杀杀毒毒软件比较软件比较系统属性系统属性 自动更新自动更新系统属性系统属性 远程桌面远程桌面帐户管理帐户管理 用户禁止用户禁止帐户管理帐户管理 密码策略密码策略帐户管理帐户管理 帐户锁定策略帐户锁定策略NTFS文件系

8、统文件系统服务管理服务管理服务管理服务管理服务管理服务管理服务管理服务管理共享配置共享配置共享配置共享配置共享配置共享配置常见服务进程与开放端口常见服务进程与开放端口常见服务进程与开放端口常见服务进程与开放端口个人个人敏感敏感信息信息保护保护如何保护个人信息如何保护个人信息安全安全u 列出清单列出清单- 要保护的对象要保护的对象n 网络身份标识网络身份标识n 银行账号银行账号n 身份证号身份证号n 手机号码手机号码n 主要邮箱主要邮箱n 关键关键文档文档等等等等u明确明确保护措施保护措施 因人而异因人而异n 关键的：银行账号关键的：银行账号/密码，重要身份标示密码，重要身份标示。加密加密n 重

9、要的：手机，身份证号重要的：手机，身份证号。不能不能随意访问，散发随意访问，散发n 普通的：你认为可以公开的。普通的：你认为可以公开的。信息信息保护保护u信息分类信息分类u归档归档与整理与整理u信息保护信息保护/文件文件加密加密lOFFICE加密加密lWINRAR加密加密u数据备份数据备份和和恢复恢复OFFICE文件文件加密加密u对内容需要保护的对内容需要保护的OFFICE文档文档u针对针对单个文档单个文档WINRAR加密加密u 多种文件格式，加密多种文件格式，加密压缩压缩u 针对目录，或文件针对目录，或文件数据备份与恢复数据备份与恢复u计划和准备阶段计划和准备阶段n 分类归档（按机密性，因人

10、而分类归档（按机密性，因人而异）：分归不同目录。异）：分归不同目录。n处理：加密，或压缩，或明文处理：加密，或压缩，或明文u备份介质备份介质nU盘，移动硬盘，刻录成光盘、盘，移动硬盘，刻录成光盘、云存储（网盘）等云存储（网盘）等n标注日期或以日期为子目录标注日期或以日期为子目录u备份加密软件，例如：备份加密软件，例如：WINRAR传统的身份鉴别方法（传统的身份鉴别方法（3W）u基于你所知道的（基于你所知道的（What you know ）n知识、口令、密码知识、口令、密码u基于你所拥有的（基于你所拥有的（What you have ）n身份证、信用卡、钥匙、智能卡、令牌等身份证、信用卡、钥匙、

11、智能卡、令牌等u基于你的个人特征（基于你的个人特征（What you are）n指纹，笔迹，声音，手型，脸型，视网膜，虹膜指纹，笔迹，声音，手型，脸型，视网膜，虹膜安全支付技术手段安全支付技术手段The 25 Worst Passwords of 2011u斯洛伐克国家安全局的缩写叫斯洛伐克国家安全局的缩写叫NBU， 有一年黑客有一年黑客成功成功入入侵其网站，侵其网站， 因为网站用户名是因为网站用户名是NBUSR， 密码密码是是NBUSR123， 黑客表示入侵无压力。黑客表示入侵无压力。 事后事后NBU痛定思痛痛定思痛， 决定加强安全措施。决定加强安全措施。 过几天黑客又攻进去了过几天黑客又攻

12、进去了，因为，因为他们把他们把密码改成密码改成NBU123了。了。1. password2. 1234563. 123456784. qwerty5. abc1236. monkey7. 12345678. letmein9. trustno110. dragon11. baseball12. 11111113. iloveyou14. master15. sunshine16. ashley17. bailey18. passw0rd19. shadow20. 12312321. 65432122. superman23. qazwsx24. michael25. football2011年

13、中国网站用户信息泄露事件年中国网站用户信息泄露事件u2011年年12月月21日，有人在网络上公开了一个包含日，有人在网络上公开了一个包含600万个万个CSDN用户资料的用户资料的数据库，数据库，数据全部为数据全部为明文储存明文储存，包含，包含用用户名、密码以及注册户名、密码以及注册邮箱邮箱 。事件发生后。事件发生后CSDN在微博、官在微博、官方网站等渠道发出了方网站等渠道发出了声明，声明，解释说此数据库系解释说此数据库系2009年备份年备份所用，因不明原因泄露，已经向警方报案。后又在官网网所用，因不明原因泄露，已经向警方报案。后又在官网网站发出了公开道歉站发出了公开道歉信。信。u已证实有数据泄

14、露的已证实有数据泄露的网站网站n CSDN、天涯社区、天涯社区、 YY语音语音u官方官方确认数据并未泄露的网站确认数据并未泄露的网站n中国工商银行中国工商银行、交通银行、民生、交通银行、民生银行银行n新新浪微浪微博、开心网、博、开心网、7k7k、当当网、凡、当当网、凡客诚客诚品品2011 密码密码泄密门泄密门最常用的最常用的10个口令个口令uPassword:123456 Count:838056uPassword:123456789 Count:360729uPassword:111111 Count:256270uPassword:12345678 Count:239870uPasswor

15、d:123123 Count:120385uPassword:a123456 Count:111852uPassword:11111111 Count:95536uPassword:0 Count:91167uPassword:zz12369 Count:81064uPassword:5201314 Count:62975uPassword:123456aa Count:61738 最常用的口令长度最常用的口令长度uLength:8 Count:9017123uLength:9 Count:7174259uLength:6 Count:5840499uLength:10 Count:57058

16、24uLength:7 Count:5509937uLength:11 Count:2266449uLength:12 Count:858513uLength:13 Count:405979uLength:14 Count:326208uLength:5 Count:201232uLength:15 Count:163402 纯数字作为口令的比例纯数字作为口令的比例纯数字的口令长度纯数字的口令长度uNumlen:6 Count:4453771uNumlen:8 Count:3999400uNumlen:7 Count:3035793uNumlen:9 Count:2308243uNumlen:

17、10 Count:1277853uNumlen:11 Count:1174155uNumlen:5 Count:173660uNumlen:12 Count:165443uNumlen:1 Count:100865uNumlen:4 Count:76558uNumlen:3 Count:55520 防止口令破解防止口令破解u密码策略密码策略n限制最小长度，至少限制最小长度，至少6至至8字节字节以上以上n 定期更换定期改变口令定期更换定期改变口令n严格限制尝试登录的次数严格限制尝试登录的次数l连续登陆连续登陆3次错误，锁定账次错误，锁定账号一段时间（如号一段时间（如3分钟）分钟）n防止使用用户特

18、征相关的口令防止使用用户特征相关的口令l忘掉生日，姓名和字典吧！忘掉生日，姓名和字典吧！n使用不同的密码使用不同的密码u请使用动态口令请使用动态口令/数字证书数字证书u密码选择：易记不易猜密码选择：易记不易猜n 床前明月光床前明月光n 疑是地上霜疑是地上霜n 举头望明月举头望明月n 低头思故乡低头思故乡ucyjd!154多网站多账号的的密码策略多网站多账号的的密码策略u基本字符基本字符+网站特征字符网站特征字符u密码记录软件密码记录软件n浏览器的密码记录浏览器的密码记录nKeePass/LastPassu使用单一登使用单一登入入SSO/OpenID/Oauth（须相关网站支持）（须相关网站支持

19、）钓鱼式攻击钓鱼式攻击u钓鱼式攻击（钓鱼式攻击（Phishing，与钓鱼的英语，与钓鱼的英语fishing发音发音一样）一样）是一种企图从电子通信中，通过是一种企图从电子通信中，通过伪装伪装成信誉卓著的法人媒成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程犯罪诈骗过程。这些。这些通信都声称（自己）来自通信都声称（自己）来自于著名的于著名的社社交交网站、网络网站、网络银行、电子支付银行、电子支付网站、网站、或网络管理或网络管理者，以此者，以此来诱骗受害人的轻信来诱骗受害人的轻信。u网网钓通常是通过钓通常是通过e-m

20、ail或者实时通信或者实时通信进行。进行。它常常导引用它常常导引用户到户到URL与接口外观与接口外观与真正与真正网站相差无几网站相差无几的的假冒网站输入假冒网站输入个人数据。就算使用强式加密的个人数据。就算使用强式加密的SSL服务器认证，要侦测服务器认证，要侦测网站是否仿冒实际上仍很困难网站是否仿冒实际上仍很困难。u网网钓是一种利用钓是一种利用社会工程社会工程技术来愚弄用户的技术来愚弄用户的实例。实例。它凭恃它凭恃的是现行网络安全技术的低亲和度的是现行网络安全技术的低亲和度。种种。种种对抗日渐增多网对抗日渐增多网钓案例的尝试涵盖立法层面、用户培训层面、宣传层面、钓案例的尝试涵盖立法层面、用户培训层面、宣传层面、与技术保全措施层面。与技术保全措施层面。网钓技术网钓技术u链接操链接操控控n相似相似URLn链接文字与实际链接链接文字与实际链接URL的不一致的不一致n使用含有使用含有符号的欺骗符号的欺骗链接链接lhttp:/nIDN网址欺骗网址欺骗l利用利用国际化域名名称（国际化域名名称（IDN）可以以）可以以Unicode字符命名网址的特性，通过字符命名网址的特性，通过同形异义字，鱼目混珠同形异义字，鱼目混珠。u过滤器规避过滤器规避l网网钓者使用图像代替文字，使反网钓过滤器更难侦测网钓电子邮件中常用钓者使用图像代替文字，使反网钓过滤器更难侦测网钓电子邮件中常用的文