午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、U U成長計劃成長計劃-信息安全信息安全培訓培訓2018.5 部門：集團信息化部（信息安全部）-安全支撐處；工作：主管集團系統安全規劃、架構、評估及服務；經歷：信息安全領域從業工作7年，CISP認證、集團骨干人才、內訓講師。興趣：打籃球、看冰球、游戲發燒友、狼人殺 標簽：互聯網安全、信息系統安全、數據安全、安全規劃與設計、安全評估。個人介紹2開篇一個信安從業者的心聲內心感觸：作為一個“防御者”，相對于“攻擊者”最大的不同則是：“防御者”需要做好一個“面”的防守，而攻擊者只需要完成一個“點”的突破。這就像是一場足球比賽，任何一個團隊和個人都不可能做到“萬無一失”，信息安全的本質就是“攻“與“守”2、的博弈，而防御者通常的辦法是：集中主要精力，盯防重點問題，從而解決高危風險。我們作為一名安全從業者也要遵從這樣的“二八定律”，從統計學的角度上來看，大部分的安全問題實際上都會集中在突出的幾類漏洞中，但是這幾類問題卻又往往是容易被人所忽略的最簡單的問題。3目錄一、網絡安全形勢及熱點4垃圾短信，騷擾電話泛濫惡意注冊賬號加密相冊照片外泄手機丟失，隱私泄露人肉搜索聊天內容外泄銀行卡盜刷賬號被盜！遇到過以下情形么？5網絡安全形勢5在網絡空間被視為繼陸、海、空、天之后的“第五空間”后，如何應對來自少數國家的網絡安全威脅，保衛“第五空間”的安全，已成為許多國家的共同目標。網絡安全已經進入國與國對抗博弈的大玩3、家時代。全球已有50多個國家出臺網絡安全或信息安全戰略網絡安全上升為國家戰略在網絡安全面前，線上線下的物理的邊界已經消失了，如今我們談到的網絡安全已經不是單單的系統安全和信息安全，而是國家安全、社會安全、基礎設施安全、城市安全、人身安全等一系列廣泛意義上的安全。6“等?！狈ㄖ苹暗缺！狈ㄖ苹W絡安全形勢67信息安全背景分析與戰略解讀網絡安全提升至國家戰略，電信運營商作為基礎重點領域，需要擔負更高社會責任。隨著中央網絡安全與信息化領導小組的成立，國資委、工信部針對信息安全工作專門下發指導意見，明確要求中央企業從國家戰略高度充分認識加強信息安全工作的重要性和緊迫性，力爭用3-5年努力，建成主動防御4、綜合防護的信息安全保障體系，有效保護重要網絡和重要系統，維護社會穩定和國家安全。國家戰略層面行業監管層面企業戰略層面行業信息安全監管力度明顯加強，要求將網絡與信息安全納入企業運營考核。2012年底，工信部、國資委加大了對電信運營商網絡及IT系統的安全管理，明確了每年必須開展兩部委考核，并加大了對等級保護等方面的檢查范圍與力度。2016年5月，工信部下發關于開展2016年電信和互聯網行業網絡安全試點示范工作的通知，指明了電信和互聯網行業網絡安全的發展方向。公司層面面臨新技術和新業務帶來的新的安全挑戰 中國聯通IT快速轉型形勢下，IT格局向開放化、動態化、協同化轉變，安全架構需要快速適應。近兩年5、運營商安全事故頻發，加之信息安全工作政治化，公司領導對此十分重視。省分公司或面臨安全工作史上最嚴考核。8 我國2017年政策及形勢網絡安全形勢81月央行發布中國人民銀行關于加強支付結算管理防范電信網絡新型違法犯罪有關事項的通知6月我國首部網絡安全法正式施行，標志著網絡安全正式進入到法律層面8月公安部評估中心根據網信辦和安標委的意見將等級保護在編的5個基本要求分冊標準進行了合并形成網絡安全等級保護基本要求一個標準11月工業和信息化部對外發布了公共互聯網網絡安全突發事件應急預案 中國地下網絡犯罪活動的利潤現已超過了151億美元（約合人民幣1004億元），并造成了超過138億美元（約合人民幣917億6、元）的經濟損失 涉及到數據泄露、身份信息/憑證竊取、以及網絡欺詐等9攻擊目的發生變化攻擊目的發生變化網絡安全形勢9安全熱點臉書臉書11安全熱點2017年5月12日晚，勒索病毒WannaCry感染事件爆發，全球范圍近百個國家遭到大規模網絡攻擊，攻擊者利用MS17-010漏洞，向用戶機器的445端口發送精心設計的網絡數據包，實現遠程代碼執行。被攻擊者電腦中大量文件被加密，被要求支付比特幣以解密文件。吐鈔事件WannaCry勒索病毒事件至少150個國家、30萬名用戶中招，造成損失達80億美元，已經影響到金融，能源，醫療等眾多行業，造成嚴重的危機管理問題。我國部分Windows操作系統用戶遭受感染，校7、園網用戶首當其沖，受害嚴重，大量實驗室數據和畢業設計被鎖定加密。部分大型企業的應用系統和數據庫文件被加密后，無法正常工作，影響巨大。臺灣第一銀行吐鈔事件吐鈔事件12中國臺灣網7月13日訊 據臺灣中國時報報道，日前，尼伯特臺風襲臺期間，臺灣第一銀行20家分行的34臺ATM提款機，遭植入2個新型的惡意程序，損失大量現金。臺灣警方調查發現，嫌犯應為3名俄羅斯籍男子，3人在來臺60小時內狂掃7000萬（新臺幣，下同）現金，平均每次5分鐘完成提領。后經第一銀行清算核實，全臺共有41臺ATM遭到盜領，被盜金額8327余萬元。這是臺灣首宗銀行遭跨境黑客盜領案。安全熱點個人信息泄露13安全熱點14黑色產業鏈安8、全熱點15安全熱點我們企業的安全熱點？事件16目錄二、信息安全的基礎認識17先進行一個思考信息安全的基礎認識18安全意識（Security awareness）信息安全的基礎認識就是能夠認知可能存在的安全問題，明白安全事故對組織的危害，恪守正確的行為方式，并且清楚在安全事故發生時所應采取的措施。紅 藍極19信息安全三要素信息安全的基礎認識C機密性（Confidentiality）確保信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或實體。完整性（Integrity）確保信息在存儲、使用、傳輸過程中不會被非授權篡改，防止授權用戶或實體不恰當地修改信息，保持信息內部和外部的一致性。可用性（Avai9、lability）確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。CIA三元組是信息安全的目標，也是基本原則，與之相反的是DADIADisclosureAlterationDestruction泄漏破壞篡改20Confidentiality機密性Integrality完整性Availability可用性Audit 可審計接口業務數據應用網絡主機3+1的概念信息安全的基礎認識21PDCA循環信息安全的基礎認識 又稱戴明環；質量管理中的重要原則；安全管理實際上是一門更深層次的“質量管理”。確定目標分析問題制定計劃設計方案方法確定選擇工具資源分配效果檢查對比10、預期執行結果鞏固成績遺留應對22時刻在懷疑人生信息安全的基礎認識23目錄三、典型的攻擊過程和手段2424安全攻防術語安全攻防術語典型的攻擊過程和手段2525一一個典型的攻擊過程個典型的攻擊過程典型的攻擊過程和手段26 SQL注入漏洞 XSS跨站漏洞 CSRF跨站請求偽造 任意文件上傳漏洞 任意文件讀取漏洞 目錄瀏覽 越權漏洞 邏輯漏洞 命令執行常見的攻擊類型26 DDOS CC典型的攻擊過程和手段27什么是拒絕服務拒絕服務式攻擊(Denial of Service)，顧名思義就是讓被攻擊的系統無法正常進行服務的攻擊方式。拒絕服務攻擊方式利用大量數據擠占網絡帶寬利用大量請求消耗系統性能利用協議實11、現缺陷利用系統處理方式缺陷27常見的攻擊手段DOS攻擊/DDOS攻擊2828DDOS攻擊示意圖常見的攻擊手段如何防范？29攻擊者借助代理服務器生成指向受害主機的合法請求，實現DDOS和偽裝就叫：CC(ChallengeCollapsar)。CC主要是用來攻擊頁面的。大家都有這樣的經歷，就是在訪問論壇時，如果這個論壇比較大，訪問的人比較多，打開頁面的速度會比較慢，訪問的人越多，論壇的頁面越多，數據庫壓力就越大，被訪問的頻率也越高，占用的系統資源也就相當可觀。29CC攻擊常見的攻擊手段30 什么是SQL注入 應用程序在向后臺數據庫傳遞 SQL(Structured Query Language，結12、構化查詢語句)查詢時，如果為攻擊者提供了影響該查詢的能力，就會引發 SQL 注入。SQL注入漏洞形成條件 用戶能夠控制數據的輸入 原本要執行的代碼，拼接了用戶的輸入 思考一個語句30SQL注入常見的攻擊手段3131 什么是XSS XSS又叫CSS(Cross Site Script)，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執行，從而達到惡意用戶的特殊目的。alert(hack)它與SQL注入攻擊類似，SQL注入攻擊中以SQL語句作為用戶輸入，從而達到查詢/修改/刪除數據的目的，而在xss攻擊中，通過插入惡意腳13、本，實現對用戶游覽器的控制，獲取用戶的一些信息。XSS跨站攻擊常見的攻擊手段3232 漏洞簡介惡意攻擊者上傳WEB支持的動態腳本程序（如asp,，php，jsp等）來獲取服務器一定權限，是最為嚴重的WEB腳本漏洞。漏洞成因WEBWEB程序對于用戶上傳的附件類型不做檢測任意文件上傳常見的攻擊手段3333 漏洞簡介 漏洞危害一般的網站都提供讀取文件功能，常規的思路是使用一個動態頁面（php、jsp、aspx、asp等）將待下載文件作為參數一般參數名稱為filename，如.php?filename=file.rar、.jsp?filename=file.rar等。一般實現過程是，在根據參數file14、name的值，獲得該文件在網站上的絕對路徑，讀取文件。大部分情況下，與任意文件下載的危害性相同（都獲取到了源代碼里的包含的信息）。任意文件讀取漏洞，是web安全里高危的漏洞，它可以泄露源碼、數據庫配置文件等等，導致網站處于極度不安全狀態。任意文件讀取常見的攻擊手段3434 漏洞簡介由于開發人員編寫源碼，沒有針對代碼中可執行的特殊函數入口做過濾，導致客戶端可以提交惡意構造語句提交，并交由服務器端執行。命令注入攻擊中WEB服務器沒有過濾類似system(),eval()，exec()等函數是該漏洞攻擊成功的最主要原因。漏洞成因直接獲取系統權限。命令執行常見的攻擊手段3535 漏洞簡介邏輯錯誤漏洞是15、指由于程序邏輯不嚴或邏輯太復雜，導致一些邏輯分支不能夠正常處理或處理錯誤，一般出現在任意密碼修改（沒有舊密碼驗證）、越權訪問、密碼找回、交易支付金額。業務邏輯漏洞常見的攻擊手段3636社會工程學通常以交談、欺騙、假冒或口語等方式，從合法用戶中套取用戶系統的秘密。熟練的社會工程師都是擅長進行信息收集的身體力行者。最大的特點：攻擊對象從系統變成人。社會工程學是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法。并不是一般的詐騙：社會學、心理學、行為學、數據分析、數據收集。社會工程學常見的攻擊手段37目錄四、常見的防護手段數據安全業務安全16、運維4A漏洞評估基線安全網頁防篡改應用安全IPS/IDS垃圾郵件網關上網行為審計基礎安全防病毒域管理補丁管理準入控制終端安全統一安全防護已具備代碼審計安全可信計算網絡準入控制DDoS防護網絡DLP電子文檔安全終端安全管理數據脫敏符合性檢測部分具備、需完善安全數據展板安全風險監控安全數據配置管理內網安全綜合管理平臺安全服務平臺輸出服務數據加密解密及模糊化HA/DR數據訪問控制和審計應用4AB域/D域數據接口數據接口流量分析審計安全作業管理安全輿情監控安全準入安全評估安全掃描安全應急響應安全數據分析和審計安全咨詢安全資產管理安全知識庫安全流程支撐業務日志留存和審計業務安全防護數據加密解密及模糊化H17、A/DR數據訪問控制和審計應用4A業務日志留存和審計業務安全防護其它系統安全防護層安全服務和響應層服務器防病毒不具備業務系統配合實現常見的防護手段安全能力全家福3933常見的防護手段安全工具全家福文檔安全數據安全應用安全漏洞掃描基線檢查ECS（4A）CBSS/信息化4A系統安全IPS/IDS防火墻/UTM垃圾郵件網關上網行為審計網絡安全防病毒域管理補丁管理準入控制終端安全統一安全防護已實現網頁防篡改代碼審計業務日志審計應用防火墻WAF業務接口安全移動App安全數據庫審計HA/DR安全可信計算網絡準入控制DDoS防護網絡DLP終端DLP終端行為審計智能終端管理規劃實現ECS安全管理子系統CBSS18、等信息化安全管理子系統省分公司安全管理子系統數據加密解密移動介質管理數據泄密追蹤數據訪問審計數據模糊化大數據安全業務安全評估安全工具全視圖優化擴容新的互聯網形式下，需要站在更高的角度考慮安全問題，同時需要借助成熟的、有效的安全工具對工作進行簡化。作為一個安全從業者，要在全局的角度來考慮問題，通過對安全工具和平臺的規劃設計，來滿足日常安全工作的自動化手段。從而使工作更為快速、有效、規范。40什么什么是防火墻？是防火墻？一種協助確保信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。防火墻部署在哪？防火墻部署在哪？可信網絡與不可信網絡之間不同安全級別網絡之間兩個需要隔離的區域之間為什么需19、要防火墻？為什么需要防火墻？控制：在網絡連接點上建立一個安全控制點，對進出數據進行限制隔離：將需要保護的網絡與不可信任網絡進行隔離，隱藏信息并進行安全防護記錄：對進出數據進行檢查，記錄相關信息防火墻有哪些種類？防火墻有哪些種類？網絡層、應用層、數據庫33常見的防護手段工具類：防火墻Firewall41IDS：Intrusion Detection SystemIPS：Intrusion Prevention System入侵檢測系統部署在哪數據流入流出點關鍵位置為什么需要入侵檢測系統防火墻的重要補充構建網絡安全防御體系重要環節克服傳統防御機制的限制入侵檢測系統能做什么監測并分析用戶和系統的活動20、核查系統配置和漏洞對操作系統進行日志管理，并識別違反安全策略的用戶活動針對已發現的攻擊行為作出適當的反應，如告警、中止進程等41常見的防護手段工具類：IDS/IPS思考：IDS與IPS二者的區別？4242 IPS采用In-line的透明模式接入網絡，而IDS并聯在網絡中，接入交換機的接口需要做鏡像；IDS是一種檢測技術，而IPS是一種檢測加阻斷技術，后者的檢測結果是阻斷攻擊的依據是檢測；IPS更多是專業化定制的集成電路，而IDS一般是硬件與軟件的集合；IPS注重的是對入侵行為的控制，是一種側重于風險控制的安全設備；IDS注重的是入侵行為的數據進行檢測和報警，是一種側重于風險管理的安全設備。ID21、S、IPS二者的區別常見的防護手段4343統一接入平臺（VPN）常見的防護手段思考？44虛擬專用網絡的功能是：在公用網絡上建立專用網絡，進行加密通訊。在企業網絡中有廣泛應用VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。VPN有多種分類方式，主要是按協議進行分類。VPN可通過服務器、硬件、軟件等多種方式實現44工具類：統一接入平臺（VPN）常見的防護手段 加密數據：保證通過公網傳輸的信息即使被他人截獲也不會泄露。信息認證和身份認證：保證信息的完整性、合法性，并能鑒別用戶的身份。提供訪問控制：不同的用戶有不同的訪問權限?？怪胤牛悍乐箶祿徊蹲胶笾匦峦斗诺骄W上4545思考？常見的22、防護手段4646什么是4A？常見的防護手段認證Authentication賬號/工號Account授權Authorization審計Audit??！??！出事啦！啊！啊！沒日志！啊！啊！找不著人！??！??！咋辦吶！管理控制措施失當原因分析圖管理控制措施失當原因分析圖38%19%8%4%25%6%授權過度或權限濫用員工系統賬號管理不當敏感操作審核措施不足客戶服務密碼保護不足職責分工沖突問題移動介質管控不嚴事前事前事后事后4747工具類：賬號權限管理平臺（4A平臺）常見的防護手段訪問控制數據防護 單點登錄操作審計審計平臺管理平臺全景視圖權限管理系統總部31省份權限管理系統主機資源LINUX UX/AIX23、 Windows,.數據庫網絡設備安全設備系統資源總部31省份業務系統資源層數據下發集團規范策略下發違規稽查日志上收內外部員工認證中心堡壘主機統一接入資源列表集團領導省份管理員管理任務48狹義上：安全管理平臺重點是指對安全設備的集中管理，包括集中的運行狀態監控、事件采集分析、安全策略下發。廣義上：不僅針對安全設備進行管理，還要針對所有IT資源，甚至是業務系統進行集中的安全管理，包括對IT資源的運行監控、事件采集分析，還包括風險管理與運維等內容。本質上，SOC不是一款單純的產品，而是一個復雜的系統，他既有產品，又有服務，還有運維（運營），SOC是技術、流程和人的有機結合。以資產為核心，以安全事件24、管理為關鍵流程，采用安全域劃分的思想，建立一套實時的資產風險模型，協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。48工具類：安全管理平臺（SOC）常見的防護手段4949服務類：安全風險評估常見的防護手段54321業務邏輯測試協助加固滲透測試漏洞掃描基線檢查評估內容評估方法3主機安全性數據庫安全性中間件安全性應用安全性評估準備評估結論跟蹤整改復測完成閉環本著PDCA戴明環的管理思路，將技術評估手段融入安全服務管理的流程當中。把安全專業要解決的基本問題從事后向事前轉移，做到閉環管理，確保安全問題得以妥善解決。5050服務類：輿情監控常見的防護手段5050日常服務類 業25、務上線準入 系統安全評估 輿情監控 符合性測評 應急保障類 應急響應 漏洞預警 安全值守 風險預防風險預防事前事前事中事中事后事后服務服務對象對象主機主機數據庫數據庫中間件中間件應用系應用系統統系統建設系統建設（SDLCSDLC）系統安全系統安全開發開發系統安全系統安全上線上線系統安全系統安全運維運維51目錄五、個人安全意識52長度至少8個字符包含大小寫字母數字、字母、特殊字符不要使用字典中的單詞不要基于人的姓名、生日口令安全個人安全意識53不在互聯網設置任何隱私資料1盡量設置錯誤的個人信息2嚴格控制第三移動應用權限5不同平臺使用獨立無關聯賬號3不同平臺使用獨立復雜密碼4信息泄露應對個人安全意26、識541.提升安全意識，提高警惕2.不要輕易泄露任何個人信息3.信任它人前確認其真實身份4.拒絕填寫來歷不明的調查問卷、普查5.安全有效清除剩余信息6.拒絕打開來歷不明的電子郵件社工無處不在，防范靠意識個人安全意識55惡意代碼防范權限控制遺失保護垃圾信息過濾騷擾來電攔截口令安全個人安全意識56個人PC安全防護個人安全意識57數據恢復VS信息清除FinalDataFinalDataEasyRecoveryEasyRecovery無影無蹤無影無蹤(wywz)(wywz)磁盤痕跡清除器磁盤痕跡清除器Free File WiperFree File WiperSecure EraserSecure E27、raserDiskGeniusDiskGeniusTestDiskTestDisk徹底刪除安全刪除個人安全意識581 1.文件磁盤加密（文件磁盤加密（TrueCrypt）2 2.手機圖片、視頻加密（圖片加密手機圖片、視頻加密（圖片加密GalleryGallery hidehide）3 3.通訊錄短信加密（通訊錄短信加密（摩貝短信加密）加密技術加密技術加密必不可少個人安全意識59防釣魚個人安全意識60 將口令寫在便簽上，貼在電腦監視器旁 密碼紙便簽放在鍵盤鍵盤下方 多個系統使用相同的賬號、密碼、郵箱 使用規律的鍵盤序列密碼 使用生日、命名、網名、電話、QQ等作為密碼 使用容易猜測的口令，或者根本28、不設口令 口令存儲在未加密的文件中 開著電腦離開，未鎖屏常見的一些不良習慣個人安全意識61 輕易相信來來歷不明的郵件，好奇打開郵件附件 掃描來歷不明的二維碼 從不可信來源安裝手機APP應用 重要信息未加密存儲 丟失筆記本電腦、U盤、光盤、手機等 不能保守秘密，上當受騙，泄漏敏感信息 在系統更新和安裝補丁上總是行動遲緩 未安裝殺毒軟件、防火墻常見的一些不良習慣個人安全意識62目錄六、總結6363總結安全是一種平衡6464安全有紅線，紅線有寬度；安全是一個全員參與的學科；不阻礙業務的發展，但要阻止它的任性；可以說No，但要說處How to yes；這是一門管理與技術相結合的學科，七分靠技術，三分靠管理；隱患皆小事，安全無事小。總結安全是一種藝術6565總結謝謝！