从斯诺登事件看网络信息安全

6月16日 2013年6月16日，斯诺登再度爆料，英国政府借2009年举办G20峰 会，暗中截取与会外国政要的通话，并监控其的互联网通讯
6月21日 斯诺登通过《卫报》曝光英国“颞颥”秘密情报监视项目
6月30日
英国《卫报》援引斯诺登提供的情报披露，美国对38个驻美使馆 和外交办事处进行秘密监听，包括欧盟机构以及法国、意大利、 希腊等欧洲国家，还有日本、韩国、印度、土耳其、墨西哥等其 他地区盟友
如主要的电子邮件、网银、网上支付
大网站之外的网站都算小网站
普通网站
重要网站之外的网站
如何保障信息安全——个人层面
一、加强密码设计，用强密码
2、将自己的常用密码分类：弱密码、中密码、强密码
弱密码 最容易记忆的，且默认是可以丢失的密码
各类中小网站、论坛、社区、个人网站等使用
中密码 8个字符以上
强密码
强密码要求至少8个字符以上，不包含用户 名、真实姓名或公司名称，不包含完整的 单词，包含字母、数字、特殊符号在内
訥??\;格媉,N荞k? ?
~OY}ダ|8R@(? zl駸9? 眠|蛎
如何应对信息安全的威胁
×改不了 数据完整性机制
如何应对信息安全的威胁
×改不了 数据完整性机制
系统对管理员颁发个人证书
管理员对自己进行身份认证后可以进行权限修改
如何应对信息安全的威胁
×逃不掉 审计、监控、签名机制、法律法规
修改后windows操作日志会将这一步骤记录下来
•
科学，你是国力的灵魂；同时又是社 会发展 的标志 。下午3时11分 38秒下 午3时11分15:11:3820.12.7
•
每天都是美好的一天，新的一天开启 。20.12.720.12.715:1115:11:3815:11:38Dec- 20
•
相信命运，让自己成长，慢慢的长大 。2020年12月7日星期 一3时11分38秒Monday, December 07, 2020
中国人寿
天涯社区
Adobe
圆通快递 中国社保系统
支付宝
当当网
YY语音
4
如何应对信息安全的威胁
如何应对信息安全的威胁
六大层次
内容 检测
入侵检测
漏洞管理
反病毒
防火墙和虚拟专用网VPN
鉴别、授权、审计
如何应对信息安全的威胁
六不法则
× 进不来 × 拿不走 × 看不懂 × 改不了 × 逃不掉 × 打不垮
码
事
办
协
障
保
查
管
务
公
调
局
卫
局
理
局
室
司
局
局
军队信息安全管理组织架构 联合参谋部
全
军
网 络 安 全 防 护
测全
评军
保
认信
密
证息
委
中安
员
心全
会
中
心
南 京 安 防 中 心
兰 州 安 防 中 心
北 京 安 防 中 心
沈 阳 安 防 中 心
成 都 安 防 中 心
火 箭 军 安 防 中 心
如何保障信息安全——国家层面
国内门户网站、大型网站、门户微博、社交网站 主要用于邮箱、网银、支付系统等
如何保障信息安全——个人层面
举例子
2011年12月21日中国大陆最大的程序员网站CSDN 600万注册用户密码被盗
程序员的逆天密码能力
密码：ppnn13%dkstFeb.1st 解释：娉娉袅袅十三余，豆蔻梢头二月初
密码：aq'sr|w!=1|0 解释：爱情的对错无关是非
脖崖(馚"h1x 1a?抶6裩們G$H$??
)$?b扡2?+矐#??
5_焪掰閧o恐t]h^款踰玁濗争W -闡)P)P)p@乧????
??+T@ㄌP)P)P◎@ aT
E ?*TTT
◎@
P伲R燫`稬嗺辿omJ^=?嫙近廒g駷:嚂?覵`'4?7n現v??^<蹼?蝳鍿媤遾w鮵勯
'慷X))p鋩€燺縹}寨?痿怦?k@醎抉酹%T灜?v|?騺/.瀆聎>q蒜鬿|r聆k疺P?C
——从斯诺登事件看信息安全
1.斯诺登事件回顾 2.何为信息安全 3.威胁信息安全的主要方式 4.如何应对信息安全的威胁
1
斯诺登事件回顾
2009年
时 间
斯诺登利用该公司为美国国家安全局服务的机会，接触并复印了大量 监听计划的机密材料
线
2013年
5月20日 据称斯诺登带着秘密情报影印件从夏威夷潜逃香港
如何保障信息安全——个人层面
一、加强密码设计，用强密码
弱密码 弱密码+个人信息 弱密码+个人信息+明文存储
猜测游戏 加上信息的猜测分析 。。。
如何保障信息安全——个人层面
一、加强密码设计，用强密码
1、将自己常用的网站分类：大网站、小网站、重要网站、普通网站
大网站
可以信任的、安全的网站
小网站
重要网站
如何应对信息安全的威胁
×打不垮 数据备份与灾难恢复机制
如何应对信息安全的威胁
如何保障信息安全
国家层面 个人层面
我国国家信息安全管理组织架构
国家网络与信息安全协调小组
工
国 家 互 联
外 交 部
网
信
业
国
和
公
家
机
保
信
安
安
要
密
息
部
全
局
局
化
部
部
息
办
公 室
涉
网
外
络
信
网
国
息
通
络
技
家
安
事
安
信
wk.baidu.com
安
术
密
全
务
全
保
全
侦
TIPS: 强密码要求至少8个字符以上，不包含用户 名、真实姓名或公司名称，不包含完整的单 词，包含字母、数字、特殊符号在内。
如何保障信息安全——个人层面
三二、、慎警重惕使用公公共共WWiI-FFiI发送敏感数据
蜜罐攻击
攻击者主动在公共场所架设自 己的AP，SSID命名为具有引诱性 的SSID如“CMCC”，“McDonload‘s”， “internet-free”等字眼，勾引你主动 连接。当你连接上后仍然可以正常 上网，但是所有报文都会在攻击者 的AP上中转。
2016年4月19日网络安全和信息化工作座谈会
从世界范围看，网络安全威胁和风险日益突出，并 日益向政 治、经济、文化、社会、生态、国防等领域传 导渗透。特别是国家关键信息基础设施面临较大风险隐 患，网络安全防控能力薄弱，难以有效应对国家级、有 组织的高强度网络攻击。
2
何为信息安全
信息安全定义
安全
“棱镜门”让世界重新审视信息安全
网络大国
中国网民规模突破6亿，其
中通过手机上网的网民占
80%；手机用户超过12亿， 国内域名总数1844万个， 网站近400万家，全球十大 互联网企业中我国有3家。
网络弱国
网络资源上全球13台根域名服务 器9个在美国，中国为0
网络安全方面的任务和挑战日益 复杂和多元。中国是网络攻击的 主要受害国。仅2013年11月， 境外木马或僵尸程序控制境内服 务器就接近90万个主机IP
信息安全特点
网络层次
Network layer
可用性
运行过程没有故障
可控性
对信息的传播及内 容有控制能力
3
威胁信息安全的主要方式
威胁信息安全的主要方式
（1）信息泄露 （2）破坏信息的完整性 （3）拒绝服务 （4）非法使用 （5）窃听 （6）业务流分析 （7）假冒 （8）旁路控制 （9）授权侵犯 （10）特洛伊木马 （11）陷阱门 （12）抵赖 （13）重放 （14）计算机病毒 （15）人员不慎 （16）媒体废弃 （17）物理侵入 （18）窃取 （19）业务欺骗
2013年11月12日，中国共产党十八届三中全会公报指出将设立国家安全 委员会，完善国家安全体制和国家安全战略，确保国家安全。构建集政治安全、 国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、 生态安全、资源安全、核安全等于一体的国家安全体系。
2014年2月27日，中央网络安全和信息化领导小组成立。
欢迎批评指正！
•
生活中的辛苦阻挠不了我对生活的热 爱。20.12.720.12.7Monday, December 07, 2020
•
人生得意须尽欢，莫使金樽空对月。15:11:3815:11:3815:1112/7/2020 3:11:38 PM
•
做一枚螺丝钉，那里需要那里上。20.12.715:11:3815:11Dec -207-D ec-20
•
精益求精，追求卓越，因为相信而伟 大。2020年12月7日星 期一下 午3时11分38秒15:11:3820.12.7
•
让自己更加强大，更加专业，这才能 让自己 更好。2020年12月下 午3时11分20.12.715:11December 7, 2020
•
这些年的努力就为了得到相应的回报 。2020年12月7日星期 一3时11分38秒15:11:387 December 2020
我国的网络通信设备关键基础设施几乎全部是购自国外的产 品，这为我国的网络信息安全埋下了巨大的隐患。
在全球的信息安全产业链中，关键节点的产品均由海外知名 品牌控制，例如服务器、交换机、操作系统等
自主研发是所有国家维护信息安全最为有效的手段和根本出路
如何保障信息安全——国家层面
举例子
IOE对阵BAT
威胁信息安全的主要方式
信息泄露
中国互联网协会23日发布的《2016中国网民权益保护调 查报告》显示，从2015年下半年到今年上半年的一年间， 我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受 的经济损失高达915亿元，人均133元
2011 CSDN 600万用户名及密码泄露 2013 QQ群数据库泄露 用户隐私“被裸奔” 2013 如家、汉庭等酒店开房信息泄露 2015 网易163/126邮箱数据泄露
•
爱情，亲情，友情，让人无法割舍。20.12.72020年12月7日 星期一 3时11分38秒20.12.7
谢谢大家！
TIMELINE
6月05日 英国《卫报》报道：美NSA有一项代号为“棱镜”的秘密项目
6月06日 美国《华盛顿邮报》披露：过去6年间，美NSA和FBI通过进入微软、 谷歌等九大网络巨头的服务器，监控美国公民的电子邮件等秘密资料
6月09日 斯诺登身份公开
6月12日
斯诺登公布证据，表示美国政府网络入侵中国网络至少有四年时 间，美国政府黑客攻击的目标达到上百个，其中还包括学校。黑 客的方式通常是透过入侵巨型的路由器
访问控制 授权机制 加密机制 数据完整性机制 审计、监控、签名机制、法律法规 数据备份与灾难恢复机制
如何应对信息安全的威胁
举例子
当我想要篡改系统盘中一个文件， 例 如 windows 文 件 夹 中 systemresources 里 一 个 子 文 件 夹 里 修改Windows.UI.AccountsControl.pri 文件
在网络与信息服务领域，IBM、Oracle（甲骨文）、EMC（易安 信）是传统的三巨头，它们分别是服务器、数据库和存储的世界 领军企业，因此此次国产化浪潮也被形象地称为“去IOE”。
以“BAT”（百度、阿里巴巴、腾讯）为代表的互联网公司在 “去IOE”的道路上大步迈进，并力图推广自己所提供的可信本 地服务。
如何保障信息安全——个人层面
举例子
2016 央视315 晚会
现场观众的手机都连上无线网络
打开常用的消费类软件
大屏幕上即时显示用户的地址、 姓名、身份证号、银行卡号、消 费记录
如何保障信息安全——个人层面
三、警惕钓鱼网站和假冒活动
钓鱼网站是网络犯罪者骗取钱财、 窃取个人信息最常用的方法
如何保障信息安全——个人层面
信息安全 客观上不存在威胁，主观上不存在恐惧
保护信息财产，以防止偶然的或未经授权者对信 息的恶意泄漏、修改和破坏，从而导致信息的不可靠 或无法处理等
信息安全特点
信息层次
Information layer
完整性
保证消息的来 源、去向、内 容真实无误
保密性
保证消息不会被 非法泄露扩散
不可否认性
保证消息的发送和 接收者无法否认自 己所做过的操作行 为
如何应对信息安全的威胁
×进不来 访问控制
Bitlocker 对驱动器进行AES加密
如何应对信息安全的威胁
×拿不走 授权机制
如何应对信息安全的威胁
×看不懂 加密机制
塒NG
d
IHdffDR ` ?? sRaaaB ? gAMA 睆
黙
pHYs ? ?莖╠ "匢DATx^頋O╠莡艷秂C(豝刲???佾P@;g
•
日复一日的努力只为成就美好的明天 。15:11:3815:11:3815:11Monday, December 07, 2020
•
安全放在第一位，防微杜渐。20.12.720.12.715:11:3815:11:38December 7, 2020
•
加强自身建设，增强个人的休养。2020年12月7日下 午3时11分20.12.720.12.7