CISM0202终端及数据安全课件

终端及数据安全中国信息安全测评中心（20140819）终端及数据安全中国信息安全测评中心（20140819）课程内容2终端及数据安全操作系统安全及Win7安全设置终端安全防护产品终端应用安全数据安全课程内容2终端及数据操作系统安全及Win7安全设置终端安全防知识体：终端及数据安全知识域：操作系统安全及Windows7安全设置了解操作系统安全的重要性了解Windows7系统安全配置常见策略和措施3知识体：终端及数据安全知识域：操作系统安全及Windows操作系统功能用户与计算机硬件之间的接口操作系统为用户提供了虚拟计算机，把硬件的复杂性与用户隔离计算机系统的资源管理者CPU管理存储管理设备管理文件管理网络与通信管理用户接口4操作系统功能用户与计算机硬件之间的接口4操作系统安全重要性操作系统是计算机系统的核心是其他系统软件、应用软件运行的基础管理硬件、软件，保存用户数据和隐私安全性至关重要软件可能存在漏洞系统可能存在后门安全体系可能有缺陷没有操作系统的安全支持，计算机系统的安全就缺乏了根基5操作系统安全重要性操作系统5操作系统安全操作系统安全性变迁早期：更注重功能性、易用性现在：同时注重安全性和功能性，安全架构设计成为重点操作系统安全性安全机制访问控制、标记与鉴别、安全审计、数据安全、隐蔽信道分析、可信路径等使用安全性系统安全配置其他：物理安全、管理安全等6操作系统安全操作系统安全性变迁6Windows7系统安全设置参考账号安全设置本地安全策略设置用户权限分配设置唤醒密码禁止自动运行关闭常见危险端口关闭默认共享启用防火墙加密硬盘分区安装防病毒软件系统补丁更新使用第三方安全工具7Windows7系统安全设置参考账号安全设置关闭默认共享7账号安全性账号作用用户鉴别、系统登录账号安全策略避免直接使用Administrator账号为账户设置高安全强度的口令（密码）禁用Guest账户和不需要的帐号口令（密码）是计算机和信息系统的第一道安全屏障8账号安全性账号作用8账户策略--密码策略和账户锁定策略密码策略9账户锁定策略账户策略--密码策略和账户锁定策略密码策略9账户锁定策略账号密码设置参考账号密码设置参考设置操作系统登录口令和屏幕保护口令长度至少为8个字符具有较复杂的组合方式，包括：大写字符、小写字符、数字以及非字母数字字符不要包含用户姓名、电话、生日或任何常见词经常修改密码，如一个月修改一次不要将口令写在纸上或其他介质上系统安全策略对抗密码破解限制密码尝试次数限制必须提供安全10账号密码设置参考账号密码设置参考10如何设置和管理密码好的密码特征自己容易记住，别人不好猜设置方法特殊记忆（歌词、语录、书名、…）密码专用/分级，不同应用/系统/网站不同密码专用密码管理工具11国歌“起来，不愿做奴隶的人们”qlbyznldrmQQQQR2D2TRPOCSDNcsdnR2D2TRPO如何设置和管理密码好的密码特征11国歌“起来，不愿做奴隶的人本地安全策略设置（一）管理工具→本地安全策略→安全设置→本地策略→安全选项交互式登录：无须按Ctrl+Alt+Del，设置为已禁用交互式登录：不显示最后的用户名，设置为已启用设备：将CD-ROM的访问权限仅限于本地登录的用户，设置为已启用12本地安全策略设置（一）管理工具→本地安全策略→安全设置→本地本地安全策略设置（二）管理工具→本地安全策略→安全设置→本地策略→安全选项网络访问：不允许SAM账户的匿名枚举，设置为已启用网络访问：可匿名访问的共享，删除策略设置里的值网络访问：可匿名访问的命名管道，删除策略设置里的值网络访问：可远程访问的注册表路径，删除策略设置里的值13本地安全策略设置（二）管理工具→本地安全策略→安全设置→本地用户权限分配用户权限分配从网络访问这台计算机拒绝从网络访问这台计算机管理审核和安全日志从远程系统强制关机14用户权限分配用户权限分配14设置唤醒密码设置唤醒计算机时的登录密码设置屏幕保护恢复时的登录密码15设置唤醒密码设置唤醒计算机时的登录密码15自动执行的威胁U盘插入，病毒则立刻运行16自动执行的威胁U盘插入，病毒则立刻运行16禁止自动执行功能禁用自动播放和自动运行功能可以有效阻断病毒的传播路径17禁止自动执行功能禁用自动播放和自动运行功能17关闭常见危险端口（一）关闭139端口139NetBIOSFileandPrintSharing通过这个端口进入的连接试图获得NetBIOS/SMB服务IPC$漏洞使用的是139,445端口18关闭常见危险端口（一）关闭139端口18关闭常见危险端口（二）445端口用于局域网中共享文件夹或共享打印机黑客可能通过该端口偷偷共享使用硬盘封堵445端口通过关闭文件夹或打印机共享服务实现利用防火墙规则拦截445端口数据通过组策略设置来关闭端口通过注册表来关闭端口19关闭常见危险端口（二）445端口19关闭常见危险端口（三）关闭3389端口3389端口是Windows远程桌面的服务端口后台服务RemoteDesktopConfigurationRemoteDesktopServicesRemoteDesktopServicesUserMode前台功能设置禁止远程协助禁止远程桌面20关闭常见危险端口（三）关闭3389端口20关闭默认共享（一）共享安全风险IPC$的安全问题（空会话连接导致信息泄露）管理共享风险(远程文件操作)普通共享的风险（远程文件操作）21系统用户列表用户信息共享列表……空会话连接关闭默认共享（一）共享安全风险21系统用户列表空会话连接关闭默认共享（二）命令行操作netshareC$/delnetshareD$/del修改注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters22关闭默认共享（二）命令行操作22启用防火墙安装第三方软件防火墙启用Windows自带防火墙控制面板→系统和安全→Windows防火墙23启用防火墙安装第三方软件防火墙23启用或关闭Windows防火墙24启用或关闭Windows防火墙24Windows防火墙高级配置出站规则入站规则连接安全规则监视防火墙连接安全规则安全关联25Windows防火墙高级配置出站规则25加密硬盘分区（一）硬盘分区存储重要数据BitLocker驱动器加密Windows7提供的一项非常重要的安全功能可以用来加密电脑的硬盘分区也可以加密移动存储设备（U盘、移动硬盘）26加密硬盘分区（一）硬盘分区存储重要数据26加密硬盘分区（二）27加密硬盘分区（二）27安装防病毒软件安装防病毒软件是保证系统安全的重要措施建议用户安装国内外知名的产品很多杀毒软件个人版是免费的！及时更新杀毒软件病毒库，以便查杀最新的病毒28安装防病毒软件安装防病毒软件是保证系统安全的重要措施28其他安全措施——系统补丁更新29其他安全措施——系统补丁更新29其他安全措施——使用第三方安全工具30其他安全措施——使用第三方安全工具30知识体：终端及数据安全知识域：终端安全防护产品了解主机审计产品的主要功能了解主机安全监控产品的主要功能31知识体：终端及数据安全知识域：终端安全防护产品31终端安全防护产品主机审计产品获取、记录被审计主机的状态信息和敏感操作，依据设定的安全策略，分析判断是否存在违规行为，在需要时可以协助主机安全事件定位分析和事后追查取证主机安全监控产品监控主机安全性，提供对主机安全策略设置功能，对系统中的外接设备进行管理等功能32终端安全防护产品主机审计产品32主机审计产品审计内容网络访问行为文件访问行为电子邮件内容用户操作行为用户权限设置系统运行日志33主机审计产品审计内容33主机安全监控产品系统安全管理补丁分发、资源控制、系统加固安全策略管理检查主机安全软件是否正常检查系统注册表、进程和文件系统的完整性监控进程运行状态和设置进程黑白名单外设管控允许或禁止光驱、打印机、无线网络、移动介质网络准入允许或禁止连接网络，设置允许连接的网络范围34主机安全监控产品系统安全管理34知识体：终端及数据安全知识域：终端应用安全了解IE浏览器的安全配置和安全使用技巧了解电子邮件、即时通讯软件的常见安全问题和安全保护手段了解公钥基础设施的概念和在Web访问、网络支付中的应用安全35知识体：终端及数据安全知识域：终端应用安全35终端上网面临的安全风险网页挂马恶意脚本隐私泄露网络钓鱼网页欺诈……36终端上网面临的安全风险网页挂马36终端上网安全措施使用安全的浏览器安全配置浏览器良好的安全意识……37终端上网安全措施使用安全的浏览器37使用安全的浏览器使用最新版本浏览器IEFirefoxOperaChrome搜狗浏览器360浏览器……38使用安全的浏览器使用最新版本浏览器38IE安全配置参考——浏览级别设置适当的浏览器安全级别将各个不同站点划分到四个安全区域之一建议设置“该区域的允许级别”为高39IE安全配置参考——浏览级别设置适当的浏览器安全级别39IE安全配置参考——设置Cookie安全Cookie储存在用户计算机硬盘上保存了用户信息和所访问站点的详细信息目的方便将来应用，如简化用户登录手续威胁泄漏用户敏感数据或隐私假冒用户登录某些网站40IE安全配置参考——设置Cookie安全Cookie40IE安全配置参考——设置Cookie安全设置隐私保护级别41删除CookieIE安全配置参考——设置Cookie安全设置隐私保护级别41IE安全配置参考——ActiveX控件ActiveX控件Windows中的一种组件对象能扩展Web程序功能安全问题由于ActiveX控件具有客户端文件读写、系统命令执行等权限，所以恶意的控件对客户端的危害极大IE安全设置提示下载已签名的控件禁止下载未签名的控件42IE安全配置参考——ActiveX控件ActiveX控件42IE安全配置参考——自动完成禁用自动完成和密码记忆功能记录历史输入，自动完成表单禁用该功能，谨慎使用43IE安全配置参考——自动完成禁用自动完成和密码记忆功能43IE安全配置参考——删除历史记录退出时删除历史记录在常规选项中，建议勾选“退出时删除浏览历史记录”，防止信息泄漏→单击“删除”，配置删除内容，建议全选44IE安全配置参考——删除历史记录退出时删除历史记录44公钥基础设施及网络应用主要内容公钥基础设施数字证书格式及作用网络应用安全45公钥基础设施及网络应用主要内容45基于密码技术的安全支撑体系-PKI什么是PKI公钥基础设施，PublicKeyInfrastructure是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全如同电力基础设施为家用电器提供电力一样，PKI为各种应用提供安全保障，提供网络信任基础46基于密码技术的安全支撑体系-PKI什么是PKI46PKI体系组成PKI体系组成CARA证书库终端实体47PKI体系组成PKI体系组成47CA：认证权威48认证权威机构签发管理数字证书是PKI的核心主要功能签发证书更新证书管理证书撤销、查询审计、统计验证数字证书CA是PKI体系的核心CA：认证权威48认证权威机构CA是PKI体系的核心MaryRick明文密文明文加密操作解密操作公开密钥私有密钥非对称加密与解密过程的问题49问题：这个公钥是Rick的吗？MaryRick明密文明加密操作解密操作公开密钥私有密钥非对为什么要数字证书用户身份信息姓名、ID、身份证号等加解密密钥对公钥、私钥数字证书是一段经证书权威机构CA签名的电子数据公开数据，可被验证、可信任的数据绑定终端实体身份及其公钥之间关系数字证书可以作为终端实体的身份证明，在电子商务和网络信息交流中，常用来解决相互间的信任问题50为什么要数字证书用户身份信息50数字证书作用及分类数字证书绑定用户身份和公钥网络世界的电子身份证与现实世界的居民身份证类似能够证明个人、团体或设备的身份包含姓名、地址、Email地址、…由可信的颁发机构颁发数字证书分类按照终端实体分:人员证书、设备证书、机构证书按照用途分:签名证书和加密证书51数字证书作用及分类数字证书51PKI/CA技术的典型应用PKI/CA应用通信领域WiFi部署钓鱼身份盗窃电子政务领域公文扭转政务门户访问控制领域机房门禁（物理）Windows登录（逻辑）硬件设备领域Web服务器域名控制器VPN软件开发领域代码签名电子商务领域银行网购52PKI/CA技术的典型应用PKI/CA应用通信领域钓鱼电子政WEB使用PKI例子53WEB使用PKI例子53HTTPS协议HTTPHypertextTransferProtocol，超文本传输协议协议信息以明文形式传输，容易被监听HTTPSHypertextTransferProtocoloverSecureSocketLayer，安全超文本协议采用PKI技术，在HTTP的基础上使用SSL协议来构建安全通信隧道相比HTTP协议，HTTPS协议增加了信息交换的安全保护过程，实现了浏览器和服务器之间的身份认证和数据加密传输54HTTPS协议HTTP54IE中查看数字证书IE->Internet选项->内容->证书55IE中查看数字证书IE->Internet选项->内网络应用安全单向认证只需要一方认证另一方网站应用：用户需要验证网站真实性，网站不需要验证用户真实性，如用于信息公开发布的政府网站双向认证双方需要互相认证网站应用：用户和网站相互认证，如银行网银网站56网络应用安全单向认证56网络金融支付应用安全需求用户身份鉴别网站身份鉴别网络传输数据加密交易数据完整，不丢失、不被篡改交易过程确认，不可抵赖57交易可信真实性保密性完整性不可否认性网络金融支付应用安全需求57交易可信真实性保密性完整性不可否网络支付安全须知识别真假网站进入安全的交易网站保护账号对应的口令使用安全手段登录和支付数字证书、安全硬件保护个人主机安全58仔细辨认，孰真孰假？网络支付安全须知识别真假网站58仔细辨认，孰真孰假？互联网使用安全常见互联网应用电子邮件即时通信P2P文件下载59互联网使用安全常见互联网应用59电子邮件安全威胁60垃圾邮件钓鱼邮件病毒/木马邮件电子邮件安全威胁60垃圾邮件钓鱼邮件病毒/木马邮件Outlook安全设置参考（一）设置宏安全选项61禁用附件预览Outlook安全设置参考（一）设置宏安全选项61禁用附件预Outlook安全设置参考（二）阻止垃圾图片自动下载62以纯文本形式阅读电子邮件Outlook安全设置参考（二）阻止垃圾图片自动下载62以纯Outlook安全设置参考（三）垃圾邮件选项设置63不通过电子邮件安装或升级软件经常备份/导出存档邮件Outlook安全设置参考（三）垃圾邮件选项设置63不通过电S/MIME安全电子邮件S/MIME协议安全多用途互联网邮件扩展，也称多用途网际邮件扩充协议，一个邮件安全增强的互联网协议采用PKI技术，支持邮件的加密及签名保证电子邮件的真实性、完整性和保密性应用国际标准支持多种操作系统平台支持多种邮件客户端支持64S/MIME安全电子邮件S/MIME协议64Outlook2007中使用S/MIME第一步：绑定用户的数字证书和邮件账户第二步：设置邮件加密签名选项第三步：发送签名的电子邮件65Outlook2007中使用S/MIME第一步：绑定用户的Outlook2007中使用S/MIME第一步：绑定用户的数字证书和邮件账户第二步：设置邮件加密签名选项第三步：发送签名的电子邮件66Outlook2007中使用S/MIME第一步：绑定用户的Outlook2007中使用S/MIME第一步：绑定用户的数字证书和邮件账户第二步：设置邮件加密签名选项第三步：发送签名的电子邮件67Outlook2007中使用S/MIME第一步：绑定用户的即时通信软件安全威胁不安全的连接连接都缺乏有效的认证，及保密性和完整性保护传播病毒、蠕虫等恶意代码可能被用于传播病毒、蠕虫等恶意代码传播恶意链接钓鱼网站、挂马网站等恶意网页的链接68“熟人”间的信任，使得即时通信中的安全威胁更易于被利用即时通信即时通信软件安全威胁不安全的连接68“熟人”间的信任，使得即保护即时通讯安全防护措施只向认识的人发送消息，不随意和他人收发信息不阅读陌生人发送的信息不要轻易透露任何私人信息。不要单击即时消息里的链接不要轻易打开附件，防止打开感染病毒文件在公共场所避免使用自动登录功能离开或不用时要退出登录69保护即时通讯安全防护措施69P2P文件下载使用安全安全威胁如果软件存在安全漏洞，容易被黑客攻击利用P2P软件成为恶意代码传播的最佳途径之一P2P软件可以穿透一般的防火墙和安全代理，从内部与外部网络相连，形成一个后门P2P软件容易带来隐私泄漏70P2P文件下载使用安全安全威胁70P2P软件使用安全措施选择合适软件选择有良好信誉的P2P软件，尽量使用最新版本谨慎下载资源怀疑一切资源安全性，从正规、合法网站下载查杀文件病毒及时查杀下载的文件谨慎设置共享限制自己的共享资料范围监视软件使用手工启动、监控状态71P2P软件使用安全措施选择合适软件71知识体：终端及数据安全知识域：数据安全理解数据加密的重要性和常见手段了解数据防泄漏的含义和有关产品功能了解数据删除重要性和措施了解数据备份重要性和措施72知识体：终端及数据安全知识域：数据安全72数据安全重要性个人隐私、秘密身份证号、家庭住址银行卡号通讯录电子日记工作秘密、重要数据设计图纸、方案报告源代码、开发文档财务信息73数据安全重要性个人隐私、秘密73数据安全重要性数据安全保护是信息系统内重要数据的最后一道安全防护屏障如果网络层、应用层和服务器层的安全防护被破坏，只要针对数据的安全防护措施还有效，就不至于泄露敏感数据如果需要在计算机中存储重要文件，加密是一种基本保护措施硬盘分区加密文件加密74数据安全重要性数据安全保护是信息系统内重要数据的最后一道安全硬盘分区加密硬盘分区加密Windows7：BitLocker驱动器加密工具PGP：PrettyGoodPrivacy，基于RSA公钥加密体系的邮件加密软件TrueCrypt：一款免费开源的加密软件75硬盘分区加密硬盘分区加密75PGP主要功能邮件加密与身份认证、文件加密、硬盘加密、粉碎删除文件76PGP主要功能76TrueCrypt免费、开源加密能力强友好、易用77TrueCrypt免费、开源77文件加密对文件进行加密主要方法使用Windows加密文件系统使用文档软件的保护功能使用压缩软件中的安全保护功能使用专用加密工具78文件加密对文件进行加密78使用Windows加密文件系统Windows加密文件系统EncryptingFileSystem，EFS基于NTFS文件系统基于公钥密码技术对用户使用透明79使用Windows加密文件系统Windows加密文件系统79使用文档软件的保护功能Office、WPS或其他文档编辑、阅读软件中，自带文档加密和保护功能可以对文档设置密码，阅读和编辑必须输入正确密码后才能打开该文档80MicrosoftWORD金山WPS使用文档软件的保护功能Office、WPS或其他文档编辑、阅使用压缩软件中的安全保护功能压缩软件也通常带有文件保护功能压缩文件，减少文件大小加密文件，提高文件保密性81WinRAREasy7-ZIP使用压缩软件中的安全保护功能压缩软件也通常带有文件保护功能8使用专用加密工具专用加密工具商业软件免费软件加密算法国际密码算法（3DES、AES、IDEA、…）国内密码算法（SM1、SM2、SM4）主要技术硬盘加密应用加密驱动加密82使用专用加密工具专用加密工具82数据安全防泄漏DLP数据防泄漏（DataLeakagePrevention，DLP）数据丢失防护（DataLossPrevention，DLP）信息泄漏防御（Informationleakageprevention，ILP）指以数据内容保护为核心，通过一定的技术手段控制主机中的文件和数据，防止数据被非法泄露个人隐私、秘密工作秘密、重要数据83数据安全防泄漏DLP83数据防泄漏技术功能单位工作电脑中重要数据让有权限的员工通过网络来访问要防止这些文件和数据被员工通过各种手段带走，甚至发送到竞争对手手中。数据防泄漏防止泄漏途径打印U盘和移动硬盘拷贝电子邮件发送截屏84数据防泄漏技术功能单位工作电脑中重要数据84实现方式和主要功能实现方式虚拟化技术电子文档保护主要功能自动加密内容保护文件流转管理移动介质管理外发控制85实现方式和主要功能实现方式85数据删除数据删除正常删除文件、格式化硬盘废弃硬盘、移动硬盘设备维修/借用尽管原来的文件已经被删除（或已经看不到），但是设备被别人获取后，原来存储的数据还是有可能被恶意恢复86应对办法：物理破坏、电子消磁、彻底删除数据删除数据删除86应对办法：物理破坏、电子消磁、彻底删除文件粉碎彻底粉碎被删除数据使用“安全删除软件”（如文件粉碎机）擦除或粉碎数据PGPShedder没有安全删除软件怎么办？！使用数据反复覆盖反复往U盘、移动硬盘中写入非隐私文件数码相机在删除隐私相片之后继续多拍几张照片来覆盖数据……87文件粉碎彻底粉碎被删除数据87数据备份数据安全威胁病毒传播、黑客攻击、硬盘损坏、雷击等备份！应当养成定期备份的习惯，将计算机中的重要数据备份出来，避免遭受数据丢失带来的损失88数据备份数据安全威胁88数据备份技术备份介质移动硬盘光盘磁带备份方法手工操作编写脚本专业工具软件硬件89数据备份技术备份介质89谢谢，请提问题！谢谢，请提问题！终端及数据安全中国信息安全测评中心（20140819）终端及数据安全中国信息安全测评中心（20140819）课程内容92终端及数据安全操作系统安全及Win7安全设置终端安全防护产品终端应用安全数据安全课程内容2终端及数据操作系统安全及Win7安全设置终端安全防知识体：终端及数据安全知识域：操作系统安全及Windows7安全设置了解操作系统安全的重要性了解Windows7系统安全配置常见策略和措施93知识体：终端及数据安全知识域：操作系统安全及Windows操作系统功能用户与计算机硬件之间的接口操作系统为用户提供了虚拟计算机，把硬件的复杂性与用户隔离计算机系统的资源管理者CPU管理存储管理设备管理文件管理网络与通信管理用户接口94操作系统功能用户与计算机硬件之间的接口4操作系统安全重要性操作系统是计算机系统的核心是其他系统软件、应用软件运行的基础管理硬件、软件，保存用户数据和隐私安全性至关重要软件可能存在漏洞系统可能存在后门安全体系可能有缺陷没有操作系统的安全支持，计算机系统的安全就缺乏了根基95操作系统安全重要性操作系统5操作系统安全操作系统安全性变迁早期：更注重功能性、易用性现在：同时注重安全性和功能性，安全架构设计成为重点操作系统安全性安全机制访问控制、标记与鉴别、安全审计、数据安全、隐蔽信道分析、可信路径等使用安全性系统安全配置其他：物理安全、管理安全等96操作系统安全操作系统安全性变迁6Windows7系统安全设置参考账号安全设置本地安全策略设置用户权限分配设置唤醒密码禁止自动运行关闭常见危险端口关闭默认共享启用防火墙加密硬盘分区安装防病毒软件系统补丁更新使用第三方安全工具97Windows7系统安全设置参考账号安全设置关闭默认共享7账号安全性账号作用用户鉴别、系统登录账号安全策略避免直接使用Administrator账号为账户设置高安全强度的口令（密码）禁用Guest账户和不需要的帐号口令（密码）是计算机和信息系统的第一道安全屏障98账号安全性账号作用8账户策略--密码策略和账户锁定策略密码策略99账户锁定策略账户策略--密码策略和账户锁定策略密码策略9账户锁定策略账号密码设置参考账号密码设置参考设置操作系统登录口令和屏幕保护口令长度至少为8个字符具有较复杂的组合方式，包括：大写字符、小写字符、数字以及非字母数字字符不要包含用户姓名、电话、生日或任何常见词经常修改密码，如一个月修改一次不要将口令写在纸上或其他介质上系统安全策略对抗密码破解限制密码尝试次数限制必须提供安全100账号密码设置参考账号密码设置参考10如何设置和管理密码好的密码特征自己容易记住，别人不好猜设置方法特殊记忆（歌词、语录、书名、…）密码专用/分级，不同应用/系统/网站不同密码专用密码管理工具101国歌“起来，不愿做奴隶的人们”qlbyznldrmQQQQR2D2TRPOCSDNcsdnR2D2TRPO如何设置和管理密码好的密码特征11国歌“起来，不愿做奴隶的人本地安全策略设置（一）管理工具→本地安全策略→安全设置→本地策略→安全选项交互式登录：无须按Ctrl+Alt+Del，设置为已禁用交互式登录：不显示最后的用户名，设置为已启用设备：将CD-ROM的访问权限仅限于本地登录的用户，设置为已启用102本地安全策略设置（一）管理工具→本地安全策略→安全设置→本地本地安全策略设置（二）管理工具→本地安全策略→安全设置→本地策略→安全选项网络访问：不允许SAM账户的匿名枚举，设置为已启用网络访问：可匿名访问的共享，删除策略设置里的值网络访问：可匿名访问的命名管道，删除策略设置里的值网络访问：可远程访问的注册表路径，删除策略设置里的值103本地安全策略设置（二）管理工具→本地安全策略→安全设置→本地用户权限分配用户权限分配从网络访问这台计算机拒绝从网络访问这台计算机管理审核和安全日志从远程系统强制关机104用户权限分配用户权限分配14设置唤醒密码设置唤醒计算机时的登录密码设置屏幕保护恢复时的登录密码105设置唤醒密码设置唤醒计算机时的登录密码15自动执行的威胁U盘插入，病毒则立刻运行106自动执行的威胁U盘插入，病毒则立刻运行16禁止自动执行功能禁用自动播放和自动运行功能可以有效阻断病毒的传播路径107禁止自动执行功能禁用自动播放和自动运行功能17关闭常见危险端口（一）关闭139端口139NetBIOSFileandPrintSharing通过这个端口进入的连接试图获得NetBIOS/SMB服务IPC$漏洞使用的是139,445端口108关闭常见危险端口（一）关闭139端口18关闭常见危险端口（二）445端口用于局域网中共享文件夹或共享打印机黑客可能通过该端口偷偷共享使用硬盘封堵445端口通过关闭文件夹或打印机共享服务实现利用防火墙规则拦截445端口数据通过组策略设置来关闭端口通过注册表来关闭端口109关闭常见危险端口（二）445端口19关闭常见危险端口（三）关闭3389端口3389端口是Windows远程桌面的服务端口后台服务RemoteDesktopConfigurationRemoteDesktopServicesRemoteDesktopServicesUserMode前台功能设置禁止远程协助禁止远程桌面110关闭常见危险端口（三）关闭3389端口20关闭默认共享（一）共享安全风险IPC$的安全问题（空会话连接导致信息泄露）管理共享风险(远程文件操作)普通共享的风险（远程文件操作）111系统用户列表用户信息共享列表……空会话连接关闭默认共享（一）共享安全风险21系统用户列表空会话连接关闭默认共享（二）命令行操作netshareC$/delnetshareD$/del修改注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters112关闭默认共享（二）命令行操作22启用防火墙安装第三方软件防火墙启用Windows自带防火墙控制面板→系统和安全→Windows防火墙113启用防火墙安装第三方软件防火墙23启用或关闭Windows防火墙114启用或关闭Windows防火墙24Windows防火墙高级配置出站规则入站规则连接安全规则监视防火墙连接安全规则安全关联115Windows防火墙高级配置出站规则25加密硬盘分区（一）硬盘分区存储重要数据BitLocker驱动器加密Windows7提供的一项非常重要的安全功能可以用来加密电脑的硬盘分区也可以加密移动存储设备（U盘、移动硬盘）116加密硬盘分区（一）硬盘分区存储重要数据26加密硬盘分区（二）117加密硬盘分区（二）27安装防病毒软件安装防病毒软件是保证系统安全的重要措施建议用户安装国内外知名的产品很多杀毒软件个人版是免费的！及时更新杀毒软件病毒库，以便查杀最新的病毒118安装防病毒软件安装防病毒软件是保证系统安全的重要措施28其他安全措施——系统补丁更新119其他安全措施——系统补丁更新29其他安全措施——使用第三方安全工具120其他安全措施——使用第三方安全工具30知识体：终端及数据安全知识域：终端安全防护产品了解主机审计产品的主要功能了解主机安全监控产品的主要功能121知识体：终端及数据安全知识域：终端安全防护产品31终端安全防护产品主机审计产品获取、记录被审计主机的状态信息和敏感操作，依据设定的安全策略，分析判断是否存在违规行为，在需要时可以协助主机安全事件定位分析和事后追查取证主机安全监控产品监控主机安全性，提供对主机安全策略设置功能，对系统中的外接设备进行管理等功能122终端安全防护产品主机审计产品32主机审计产品审计内容网络访问行为文件访问行为电子邮件内容用户操作行为用户权限设置系统运行日志123主机审计产品审计内容33主机安全监控产品系统安全管理补丁分发、资源控制、系统加固安全策略管理检查主机安全软件是否正常检查系统注册表、进程和文件系统的完整性监控进程运行状态和设置进程黑白名单外设管控允许或禁止光驱、打印机、无线网络、移动介质网络准入允许或禁止连接网络，设置允许连接的网络范围124主机安全监控产品系统安全管理34知识体：终端及数据安全知识域：终端应用安全了解IE浏览器的安全配置和安全使用技巧了解电子邮件、即时通讯软件的常见安全问题和安全保护手段了解公钥基础设施的概念和在Web访问、网络支付中的应用安全125知识体：终端及数据安全知识域：终端应用安全35终端上网面临的安全风险网页挂马恶意脚本隐私泄露网络钓鱼网页欺诈……126终端上网面临的安全风险网页挂马36终端上网安全措施使用安全的浏览器安全配置浏览器良好的安全意识……127终端上网安全措施使用安全的浏览器37使用安全的浏览器使用最新版本浏览器IEFirefoxOperaChrome搜狗浏览器360浏览器……128使用安全的浏览器使用最新版本浏览器38IE安全配置参考——浏览级别设置适当的浏览器安全级别将各个不同站点划分到四个安全区域之一建议设置“该区域的允许级别”为高129IE安全配置参考——浏览级别设置适当的浏览器安全级别39IE安全配置参考——设置Cookie安全Cookie储存在用户计算机硬盘上保存了用户信息和所访问站点的详细信息目的方便将来应用，如简化用户登录手续威胁泄漏用户敏感数据或隐私假冒用户登录某些网站130IE安全配置参考——设置Cookie安全Cookie40IE安全配置参考——设置Cookie安全设置隐私保护级别131删除CookieIE安全配置参考——设置Cookie安全设置隐私保护级别41IE安全配置参考——ActiveX控件ActiveX控件Windows中的一种组件对象能扩展Web程序功能安全问题由于ActiveX控件具有客户端文件读写、系统命令执行等权限，所以恶意的控件对客户端的危害极大IE安全设置提示下载已签名的控件禁止下载未签名的控件132IE安全配置参考——ActiveX控件ActiveX控件42IE安全配置参考——自动完成禁用自动完成和密码记忆功能记录历史输入，自动完成表单禁用该功能，谨慎使用133IE安全配置参考——自动完成禁用自动完成和密码记忆功能43IE安全配置参考——删除历史记录退出时删除历史记录在常规选项中，建议勾选“退出时删除浏览历史记录”，防止信息泄漏→单击“删除”，配置删除内容，建议全选134IE安全配置参考——删除历史记录退出时删除历史记录44公钥基础设施及网络应用主要内容公钥基础设施数字证书格式及作用网络应用安全135公钥基础设施及网络应用主要内容45基于密码技术的安全支撑体系-PKI什么是PKI公钥基础设施，PublicKeyInfrastructure是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全如同电力基础设施为家用电器提供电力一样，PKI为各种应用提供安全保障，提供网络信任基础136基于密码技术的安全支撑体系-PKI什么是PKI46PKI体系组成PKI体系组成CARA证书库终端实体137PKI体系组成PKI体系组成47CA：认证权威138认证权威机构签发管理数字证书是PKI的核心主要功能签发证书更新证书管理证书撤销、查询审计、统计验证数字证书CA是PKI体系的核心CA：认证权威48认证权威机构CA是PKI体系的核心MaryRick明文密文明文加密操作解密操作公开密钥私有密钥非对称加密与解密过程的问题139问题：这个公钥是Rick的吗？MaryRick明密文明加密操作解密操作公开密钥私有密钥非对为什么要数字证书用户身份信息姓名、ID、身份证号等加解密密钥对公钥、私钥数字证书是一段经证书权威机构CA签名的电子数据公开数据，可被验证、可信任的数据绑定终端实体身份及其公钥之间关系数字证书可以作为终端实体的身份证明，在电子商务和网络信息交流中，常用来解决相互间的信任问题140为什么要数字证书用户身份信息50数字证书作用及分类数字证书绑定用户身份和公钥网络世界的电子身份证与现实世界的居民身份证类似能够证明个人、团体或设备的身份包含姓名、地址、Email地址、…由可信的颁发机构颁发数字证书分类按照终端实体分:人员证书、设备证书、机构证书按照用途分:签名证书和加密证书141数字证书作用及分类数字证书51PKI/CA技术的典型应用PKI/CA应用通信领域WiFi部署钓鱼身份盗窃电子政务领域公文扭转政务门户访问控制领域机房门禁（物理）Windows登录（逻辑）硬件设备领域Web服务器域名控制器VPN软件开发领域代码签名电子商务领域银行网购142PKI/CA技术的典型应用PKI/CA应用通信领域钓鱼电子政WEB使用PKI例子143WEB使用PKI例子53HTTPS协议HTTPHypertextTransferProtocol，超文本传输协议协议信息以明文形式传输，容易被监听HTTPSHypertextTransferProtocoloverSecureSocketLayer，安全超文本协议采用PKI技术，在HTTP的基础上使用SSL协议来构建安全通信隧道相比HTTP协议，HTTPS协议增加了信息交换的安全保护过程，实现了浏览器和服务器之间的身份认证和数据加密传输144HTTPS协议HTTP54IE中查看数字证书IE->Internet选项->内容->证书145IE中查看数字证书IE->Internet选项->内网络应用安全单向认证只需要一方认证另一方网站应用：用户需要验证网站真实性，网站不需要验证用户真实性，如用于信息公开发布的政府网站双向认证双方需要互相认证网站应用：用户和网站相互认证，如银行网银网站146网络应用安全单向认证56网络金融支付应用安全需求用户身份鉴别网站身份鉴别网络传输数据加密交易数据完整，不丢失、不被篡改交易过程确认，不可抵赖147交易可信真实性保密性完整性不可否认性网络金融支付应用安全需求57交易可信真实性保密性完整性不可否网络支付安全须知识别真假网站进入安全的交易网站保护账号对应的口令使用安全手段登录和支付数字证书、安全硬件保护个人主机安全148仔细辨认，孰真孰假？网络支付安全须知识别真假网站58仔细辨认，孰真孰假？互联网使用安全常见互联网应用电子邮件即时通信P2P文件下载149互联网使用安全常见互联网应用59电子邮件安全威胁150垃圾邮件钓鱼邮件病毒/木马邮件电子邮件安全威胁60垃圾邮件钓鱼邮件病毒/木马邮件Outlook安全设置参考（一）设置宏安全选项151禁用附件预览Outlook安全设置参考（一）设置宏安全选项61禁用附件预Outlook安全设置参考（二）阻止垃圾图片自动下载152以纯文本形式阅读电子邮件Outlook安全设置参考（二）阻止垃圾图片自动下载62以纯Outlook安全设置参考（三）垃圾邮件选项设置153不通过电子邮件安装或升级软件经常备份/导出存档邮件Outlook安全设置参考（三）垃圾邮件选项设置63不通过电S/MIME安全电子邮件S/MIME协议安全多用途互联网邮件扩展，也称多用途网际邮件扩充协议，一个邮件安全增强的互联网协议采用PKI技术，支持邮件的加密及签名保证电子邮件的真实性、完整性和保密性应用国际标准支持多种操作系统平台支持多种邮件客户端支持154S/MIME安全电子邮件S/MIME协议64Outlook2007中使用S/MIME第一步：绑定用户的数字证书和邮件账户第二步：设置邮件加密签名选项第三步：发送签名的电子邮件155Outlook2007中使用S/MIME第一步：绑定用户的Outlook2007中使用S/MIME第一步：绑定用户的数字证书和邮件账户第二步：设置邮件加密签名选项第三步：发送签名的电子邮件156Outlook2007中使用S/MIME第一步：绑定用户的Outlook2007中使用S/MIME第一步：绑定用户的数字证书和邮件账户第二步：设置邮件加密签名选项第三步：发送签名的电子邮件157Outlook2007中使用S/MIME第一步：绑定用户的即时通信软件安全威胁不安全的连接连接都缺乏有效的认证，及保密性和完整性保护传播病毒、蠕虫等恶意代码可能被用于传播病毒、蠕虫等恶意代码传播恶意链接钓鱼网站、挂马网站等恶意网页的链接158“熟人”间的信任，使得即时通信中的安全威胁更易于被利用即时通信即时通信软件安全威胁不安全的连接68“熟人”间的信任，使得即保护即时通讯安全防护措施只向认识的人发送消息，不随意和他人收发信息不阅读陌生人发送的信息不要轻易透露任何私人信息。不要单击即时消息里的链接不要轻易打开附件，防止打开感染病毒文件在公共场所避免使用自动登录功能离开或不用时要退出登录159保护即时通讯安全防护措施69P2P文件下载使用安全安全威胁如果软件存在安全漏洞，容易被黑客攻击利用P2P软件成为恶意代码传播的最佳途径之一P2P软件可以穿透一般的防火墙和安全代理，从内部与外部网络相连，形成一个后门P2P软件容易带来隐私泄漏160P2P文件下载使用安全安全威胁70P2P软件使用安全措施选择合适软件选择有良好信誉的P2P软件，尽量使用最新版本谨慎下载资源怀疑一切资源安全性，从正规、合法网站下载查杀文件病毒及时查杀下载的文件谨慎设置共享限制自己的共享资料范围监视软件使用手工启动、监控状态161P2P软件使用安全措施选择合适软件71知识体：终端及数据安全知识域：数据安全理解数据加密的重要性和常见手段了解数据防泄漏的含义和有关