信安知识竞赛培训笔记

文章目录

第一章 信息安全基础

1.1 信息与信息安全

• 什么是 信息

  • 关于信息的定义：通讯系统传输和处理的对象，一般指时间或资料数据
  • 信息的存在形式：信息是无形的。借助媒体以多种形式存在，如存储在计算机、磁带、纸张等介质中，或记忆在人的大脑里

• 信息的 价值

  • 信息都是有价值的，需要予以核实的保护
  • 对于个人来说，信息就是个人隐私
  • 对于组织机构来说，借助媒体存在的信息就是组织的信息总资产

• 什么是 信息安全

  • 国际标准化组织对信息安全的定义
    • 为数据处理系统建立和采取技术、管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露
  • 也就是说，信息安全针对存储在数据系统里的信息采取技术或管理的方式去保证它不会受到破坏、更改和泄露（进不来、拿不走、改不了、看不懂、跑不了，可查询）

• 信息安全的 基本目标 （保护的是什么）

  • 机密性 ：防止信息信息遭到有意或无意的非授权泄露（信息不应该被非授权的人员看到）。需要考虑：
    • 信息系统的使用是否有控制，而不是任何人都可以接触到系统
    • 信息系统中的数据是否都有标识，说明重要程度
    • 信息系统中的数据访问是否有权限控制
    • 信息系统中的数据访问是否有记录
  • 完整性 ：保护系统中的数据处于完整的状态，没有遭受篡改和破坏。需要考虑：
    • 什么样的数据可能被篡改
    • 被篡改的数据可能产生什么样的影响
    • 影响到信息系统运转、影响到单位声誉、影响到个人……
    • 对数据是否划分清了不同的权限
    • 对数据的操作是否有记录
  • 可用性 ：确保数据和系统在需要时可用。需要考虑：
    • 如何确保信息系统随时能提供需要的功能
    • 如果系统由于某种原因（不可抗力，如地震、火灾等）无法使用，如何应对？
    • 备份？修复？手工接替？

• 信息安全的次要目标

  • 真实性
  • 可问责性
  • 不可否认性
  • 可靠性

1.2 网络空间安全

• 信息化发展已经进入到 网络空间 阶段
  • 互联网已经将传统的虚拟世界与物理世界相互连接，形成 网络空间
  • 网络空间 已经成为继海洋、陆地、天空、外太空之外的 第五空间
  • 网络空间概念的 发展史 ：
    • 2008年，美国 54号总统令 对网络空间正式定义
    • 2010年，网络空间安全纳入 美国国家安全
    • 2011年，网络空间纳入 美军作战空间
    • 2003年7月， 我国 国家信息化领导小组制定出台了《关于加强信息安全保障工作的意见》：明确了 积极防御、综合防范 的国家安全保障工作方针
    • 2015年，我国“工学”门类下增设“ 网络空间安全 ”一级学科
    • 2016年12月， 我国 发布了《国家网络空间安全战略》：网络空间是国家安全的 新疆域 ，明确提出：
      • 网络渗透危害政治安全
      • 网络攻击危害经济安全
      • 网络有害信息侵蚀文化安全
      • 网络恐怖和违法犯罪破坏社会安全
      • 网络空间的国际竞争方兴未艾
      • 网络空间机遇和挑战并存，机遇大于挑战
  • 网络空间安全战略
    • 目标 ：实现建设网络强国
    • 强调 ：维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展
    • 任务 ：捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络空间基础、提升网络空间防护能力、强化网络空间国际化合作
    • 明确 关键信息基础设施 ：基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统、重要网络应用系统
    • 什么是 关键信息基础设施：关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施

1.3 网络安全法制建设

• 网络安全法： 2016年11月7日十二届全国人大常委会 上通过《中华人民共和国网络安全法》，是我国网络安全领域 第一部 基础性的法律
• 互联网内容管理方面： 《互联网信息内容管理行政执法规定》
• 等级保护管理方面： 《网络安全等级保护管理办法》
• 关键信息基础设施方面： 《关键信息基础设施安全保护条例》
• 个人信息保护方面： 《个人信息保护法》
• 网络产品和服务方面： 《网络产品和服务安全审查办法》
• 网络安全相关法律条文：
  • 《刑法》第二百五十三条之一：侵犯公民个人信息罪，无需特殊身份，无论获取方式，惩罚力度加大到有期徒刑七年
  • 《刑法》第二百八十五条：非法入侵计算机信息系统罪，非法获取计算机信息系统数据、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪也需要承担法律责任
  • 《刑法》第二百八十六条：破坏计算机信息系统罪之一，拒不履行信息网络安全管理义务罪，明确了不考虑信息安全就是违法的行为
  • 《刑法》第二百八十七条：利用计算机犯罪的提示性规定，之一，非法利用信息网络罪；之二，帮助信息网络犯罪活动罪

第二章 环境与设备安全

2.1 办公场所安全

• 办公环境中的信息安全风险
  1. 访问控制机制失效（门禁卡与门禁系统，未授权人员非法进入）
  2. 重要信息保管不力（不应该接触信息的人，就不能接触到信息）
  3. 未授权的设备操作（不让不该使用设备的人使用设备）
• 防范要点：
  1. 不要关闭门禁系统，也不要出门借门禁卡
  2. 不相关人员不要随意放任他进入办公区域
  3. 重要谈话不要在公开空间发表或谈论
  4. 重要文件不要遗留在他人容易接触到的地方
  5. 及时销毁含有重要信息的废弃文件
  6. 离开电脑时要锁定计算机

2.2 移动办公安全

• 移动办公：即三A办公（Anytime 任何时间、Anywhere 任何地点、Anything 任何业务），随心、轻松、高效，但对互联网强依赖。
• 移动办公的风险：
  1. 偷拍窃听设备带来的风险
  2. 不安全的网络带来的风险
  3. 移动办公设备可能存在的风险
• 防范要点：
  1. 不要在公开场合谈论敏感信息
  2. 购买防窃听偷拍设备，做好移动办公场所的安全检查
  3. 连接公共场所的WIFI时，和管理员确定WIFI名称，发现可疑WIFI要报警
  4. 传输敏感信息时，一定要使用手机网络
  5. 让自己的移动设备不要离开视线，或放在触手可及的地方
  6. 保护自己设备的容器，不要使用简单的锁具

第三章 桌面终端安全

3.1 恶意代码防护

• 什么是 恶意代码 ：恶意代码是没有有效作用，但会干扰或破坏计算机系统及网络功能的程序、代码或一组指令

• 表现形式：

  1. 计算机病毒
  2. 蠕虫病毒
  3. 木马程序
  4. 后门程序
  5. 流氓软件
  6. 逻辑炸弹
  7. ……

• 恶意代码如何入侵计算机系统：

  1. 通过文件传播
     1. 感染文件：宏病毒（攻击Office软件）、二进制病毒
     2. 软件捆绑：强制安装、默认安装
  2. 通过移动存储
     1. U盘病毒：利用Windows默认提供的**“自动播放” 功能。自动播放是为方便用户而设计，自动执行移动存储中的指定文件，恶意代码（木马程序、蠕虫）将自身 复制 到U盘上，并 设置为需要自动执行的程序**，实现随U盘进行传播
  3. 通过网络传播
     1. 网页：利用 浏览器的漏洞 ，用户访问网页时木马下载并安装到用户计算机上；利用 软件的漏洞 （如flash player等）在 页面加载过程中 将恶意代码下载并安装到用户计算机上；恶意代码 伪装 成网页上的正常资源，例如用户需要下载的软件
     2. 电子邮件：利用社会工程学 诱骗 用户打开附件（欺骗性邮寄主题、吸引人的邮件主题）；利用 系统及邮件客户端 漏洞自动执行附件
     3. 即时通讯：伪装 即时通讯中的用户 向其联系人发送消息，使用欺骗性或诱惑性字眼； P2P下载 中伪装成有效资源进行传播
  4. 通过软件漏洞传播
  5. 攻击者主动放置
     1. 攻击者获得权限后主动放入的恶意代码

• 防范措施：

  • 文件传播：使用杀毒软件或选择可靠软件
  • 移动存储：修改系统设置，关闭自动播放功能（设置位置：组策略编辑器）
  • 网络传播：及时更新软件，打好安全补丁，树立安全意识
  • 主动放置：防病毒，使用杀毒软件，注意安全审计

• 防范要点：

  • 定期检查系统更新并及时安装系统补丁
  • 安装并配置好系统上的防病毒软件
  • 尽可能及时地更新杀毒软件的病毒库
  • 不认识的人发来的链接、二维码不随意访问
  • 即使认识人发来的链接，也确认后再访问
  • 通过官方渠道获取正版软件

3.2 Windows安全设置

• Windows系统安全
  • 分区及安全补丁安装
    • 分区设置：
      • 系统分区 ：C盘，用于存放各种文档数据
      • 数据分区 ：D盘，用于存放各种文档数据
      • 备份分区 ：E盘，用于做系统和数据备份
    • 安装最新的安全补丁
      • 注意检查更新
      • 自动下载安装或手动
  • 账号及登录密码安全
    • 设置安全的登录密码（自己容易记，别人不好猜）
    • 设置唤醒密码和屏幕保护恢复时的登录密码
  • 安全中心设置
    • 确保内置防火墙被启用，对网络访问进行控制
    • 确保内置防病毒软件被启用，提供最基础的病毒防护能力
  • 关闭不安全的功能
    • 关闭系统管理共享，设置注册表取消对Windows每个分区默认设置的管理共享
    • 关闭自动播放功能
  • 数据加密
    • EFS（Encrypting Fle System）：Windows系统内置，与文件系统高度集成；对Windows用户透明；对称与非对称算法结合
    • Bitlocker（更先进）：对整个操作系统卷加密，解决设备物理丢失安全问题

3.3 Windows系统安全使用

• 锁屏等物理安全防护
  • 账号设置安全的口令
  • 离开计算机锁屏（ Win + L锁屏 ）
  • 设置屏幕离开自动锁屏
• 设置系统备份
  • 确保系统有随时可用的备份
  • 安装系统完成后对系统进行备份（创建系统映像、创建系统修复光盘、使用Ghost）
• 数据加密如何利用加密保护文件
  • 使用访问控制防止非授权访问
  • 使用加密保护重要数据（Bitlocker）
• 安全的软件获取
  • 通过微软商店获取软件
  • 通过可信的第三方软件渠道获取软件

第四章 移动终端安全

4.1 移动终端系统及应用

• 手机对现代生活的意义
  1. 移动终端成为身份验证及二次验证的主要方式
  2. 储存大量用户敏感数据
  3. 设备体积及重量都较小，易丢失
• 设备保护
  • 随身携带或置于视线范围内
  • 离开时清点随身物品
• 系统开启
  • 开启定位
  • 启动手机访问控制
  • 开启查找我的手机的功能
• 移动终端的访问控制
  • 所知：密码、手势（风险：偷窥、猜测；防范：解锁时关注周边环境）
  • 所有：蓝牙设备（风险：解锁设备、盗窃；防范：设备保管）
  • 特征：指纹、刷脸、虹膜（风险：伪造、丢失后补课替换；防范：重要操作扔需要密码二次确认）
• 伪基站和短信诈骗
  • 原理：利用GSM单向认证不足的非法无线电通信设备，压制和干扰运营商向用户手机发送广告或欺诈消息
  • 措施：小心信号突然回落2G短信是不安全的信息，谨慎访问短信中所有的链接，哪怕标识为运营商发出的

第五章 数据安全及隐私防护

5.1 数据安全

• 数据安全的重要性
  • 互联网时代，大量的数据被生产出来
  • 数据都是有价值的
  • 数据面临各种安全风险
• 面临的风险
  • 数据泄露 （设备丢失、被盗，非法恢复）
  • 数据丢失 （设备故障，误操作）
  • 数据篡改
• 数据安全 防护措施
  • 访问控制 ：确保只有授权人才能访问
    • 两个层面：
      1. 系统访问控制 （文件夹、文件中的安全属性可设置访问权限；系统内置访问控制，依赖操作系统的用户和权限管理体系）
      2. 文件访问控制 （使用压缩软件提供的解压密码，压缩软件可在压缩时设置解压密码，只有提供正确的密码才能解开压缩的文件；使用文档自带的密码保护功能，Office、WPS等文档软件可以设置保护，只有提供正确的密码才能打开文档）
  • 数据加密 ：有效应对数据泄露问题
    • 数据加密价值：看不懂（没有密钥无法查看数据）
    • 实现（Bitlocker）：
      1. Windows系统内置
      2. 可对整个硬盘或分区进行加密
      3. 还可对应硬盘丢失的问题
  • 数据备份 ：确保数据不会丢失
    • 数据备份价值：避免数据丢失
    • 数据备份措施：
      • 手工操作
      • 专业工具
      • 脚本执行
    • 实现：
      • U盘、固态硬盘（短时间）
      • 硬盘
      • 光盘
      • 云盘
  • 数据粉碎 ：确保数据不会被非法恢复
    • 数据粉碎的价值：避免数据非法恢复（正常的删除文件、格式化硬盘的数据可被还原）
    • 需要进行数据粉碎的情况：
      • 敏感数据的删除、存储敏感数据介质格式化
      • 存储敏感数据的存储介质废弃
      • 存储敏感数据的设备维修 / 借用
    • 原理：通过磁盘扇区的反复擦写、反复覆盖来防止数据被恢复（理论上超过35次才彻底无法恢复，国际标准是7次，基本无法恢复）
    • 更彻底的方法：物理破坏、电子消磁
    • 文件粉碎操作（使用文件粉碎软件）
      • PGP Shedder
      • Eraser

5.2 隐私保护

• 隐私的 概念
  • 隐私是一种与公共利益、群体利益无关，当事人不愿他人知道或他人不便知道的个人信息，当事人不愿他人干涉或他人不便干涉的个人私事，以及当事人不愿他侵入或他人不便侵入的个人领域。
  • 现状 ：以宪法、刑法、诉讼法、行政法和民法，形成了一个多层面的隐私权法律保护局面；宪法民法间接保护，通过名誉权来保护隐私权
  • 刑法通过追究侵害隐私权行为及刑事责任来实现
• 隐私如何泄露
  • 公开渠道信息泄露
    • 自媒体（微博、微信朋友圈、QQ空间）
    • 搜索引擎
  • 非法窃取信息泄露
    • 信息化时代信息保护更加困难（新技术的出现使信息被非法采集，更多的信息采集途径产生大量数据，信息载体更多，保护难度更高）
    • 隐私信息窃取更频繁，更加容易（非法的新采集设备，非法窃取采集数据）
  • 合法收集非法泄露
    • 无处不在的监控摄像头
  • 无意导致信息泄露
    • 会议室的白板
    • 打印纸的背面
    • 下载后的文件残留
• 防范措施
  1. 信息最小化原则（尽可能少地泄露个人信息），多问为什么；尽量低调
  2. 心态（小心驶得万年船，了解隐私的重要性，尊重他人隐私，达到保护个人隐私）
  3. 意识（任何东西都是有价值的，要知道什么是需要保护的、需要保护的东西的价值）
  4. 行为（我为什么给你，你为什么需要，能不提供就不提供，不是必要的信息要虚假提供）

第六章 互联网应用

6.1 网页浏览安全

• 互联网浏览面临的安全风险
  • 网页挂马及恶意脚本
    • 网页挂马：特洛伊木马程序，将木马伪装成页面元素（最常见，利用脚本运行的漏洞、伪装为缺失组件）
  • 网络钓鱼及欺诈
    • 欺骗域名
    • 欺骗内容（打折、中奖）
    • 诱骗注册（用户名/密码（ 撞库攻击 ，即在不同的网站上使用了相同的用户名密码，被人窃取之后会登录其他网站），邮箱，密码问题、答案）
  • 隐私泄露
    • Cookie泄露
  • 防范要点
    1. 尽量确保只打开较为安全的网页
    2. 选择小众浏览器，且经常更新补丁
    3. 打开网页时，主要观察网站域名是否准确真实
    4. 不同网站使用不同的用户名密码进行注册
    5. 给浏览器进行安全和隐私设置
    6. 传输或查阅敏感信息时，使用隐私模式

6.2 电子邮件安全

• 电子邮件应用安全风险
  • SMTP和POP3协议缺乏基本的安全机制（数据明文传输，包括用户名、密码）
  • 缺乏身份验证，发证人信息可随意构造（垃圾邮件、欺骗邮件）
• 电子邮件客户端安全配置
  • 相对安全的网络环境（单位办公网络、手机自建WiFi热点、有安全防护的家用网络）
  • 不安全的网络环境（咖啡厅、机场等公共WiFi热点、网吧、宾馆中网络）
  • 使用SSL对会话进行加密，确保会话安全（需要服务器支持，并在客户端进行配置，如Foxmail、OutLook等）
  • 设置客户端应对邮件钓鱼/恶意代码（宏运行限制、脚本运行限制等）
• 电子邮件安全使用常识
  • 电子邮件账号使用安全的口令
  • 电子邮件口令不与其他应用密码相同
  • 尽量避免在陌生终端上登录自己的邮箱
  • 尽量不在公共WiFi等不安全网络环境中使用电子邮件
  • 邮件中的附件及链接谨慎操作

第七章 网络攻击防护

7.1 社会工程学攻击

• 什么是社会工程学攻击：利用人性弱点（本能反应、贪婪、易于信任等）进行欺骗获取利益的攻击方法
• 社会工程学的危险：是永远有效的攻击方法，人是最不可控的因素
• 社会工程学利用的漏洞有：
  1. 信任权威
  2. 信任共同爱好、共同生活经历、共同信仰
  3. 获取好处后的报答
  4. 期望守信
  5. 社会认可
  6. 短缺资源的渴望
  7. ……
• 社会工程学防御
  • 安全意识培训（知道什么是社会工程学攻击、社会工程学攻击利用什么）
  • 制度及流程（构建完善的技术防御体系、有效的安全管理体系和操作流程）

7.2 账号密码安全

• 黑客如何破解密码
  • 暴力破解（用计算机一个一个试）
  • 密码字典表（记载了常见密码，覆盖率 > 70%）
  • 撞库攻击（在一个网站上获取到某个用户的账号和密码后，去另一个网站尝试登录）
• 好密码：自己容易记，别人不好猜
• 如何设置一个好密码：
  1. 一段个人信息作为一个密码块，用两个或三个密码块组合在一起，再用特殊符号相隔
  2. 想一句十个字左右的话，将首字母拼在一起，最好隔一个切换一下大小写

3. 不同网站使用不同的账号密码，方法是把网站缩写插入到账号中间

• 账号密码的保管（专业加密软件）
  • keePass
  • 1Password