个人信息及信息系统安全
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
—网络世界的平民 Hacker
内部网
You
对个人信息的威胁?
• • • • Hacker Virus Worm 木马
Hacker Worm
内部攻击
内部网
Virus
信息处理系统自身的脆弱性
Vulnerabilities: 脆弱性,弱点,缺陷,漏洞
设计阶段的缺陷 实现阶段的漏洞与后门
管理阶段的漏洞与 不合理配置
• 这是每个人面临的问题
钓 鱼 —— 伪 造 的 网 页
修改标题
修改起始页面,且禁 止用户修改
各种收集个人信息的途径
• Google
– 没有保护个人的隐私
• 产品销售商
– 手机,银行,甚至超市等:信息被用来做什么了?有保 护措施吗?
• 网上调查
– 一旦你填写了调查表,更多的垃圾邮件,更多的垃圾短 信。
个人计算机网络安全知识讲座
之一 个人信息安全及个人计算机安全
清华大学信息网络工程研究中心 中国教育和科研信息网应急响应组 魏克 2007年01月17日
提纲
• 信息安全概述
– 个人信息安全 – 个人信息系统安全
• 系统保护——安装、配置、维护
– – – – 安装 配置 管理与维护 使用安全
• 信息保护
– 加密与恢复 – 备份与恢复
• CCERT介绍
Star t
提纲--信息安全概述
• 信息安全概述
– – – – – – – – – – 信息安全 个人信息安全 个人信息系统 个人信息所处的环境 对个人信息的威胁? 信息处理系统自身的脆弱性 对个人信息安全的攻击 攻击目的和攻击发展趋势 各种收集个人信息的途径 保护你的个人信息
对个人信息安全的攻击
• 身份被盗用、个人数据丢失、钓鱼式攻击 (phishing attacks)和其它数据侵权行为其他
– – – – 敲诈勒索 诈骗、钓鱼 传播色情信息、违法信息 有组织的犯罪活动
Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues. CERT Coordination Center. Nov. 2002
帐户管理—用户禁止
帐户管理—密码策略
帐户管理—帐户锁定策略
服务管理
服务管理
• 必须禁用的
– Remote Registry; – Routing and Remote Access ; – Telnet ;
• 建议关闭的:如果没有用就关掉吧
– – – – ClipBook ; Error Reporting Service ; Human Interface Device Access ; IMAPI CD-Burning COM Service
密码问题
• 密码选择:易记不易猜
– – – – 床前明月光 疑是地上霜 举头望明月 低头思故乡 » Cyjd!1
• 密码策略
– – – – 别少于6位 定期更换 连续登陆3次错误,锁定账号3分钟 忘掉生日,姓名和字典吧!
配置安全
• • • • 帐户管理:禁止不用的帐户 服务管理:关掉不必要的服务 防火墙:管理列外 系统属性:关闭远程桌面
• 明确保护措施—因人而异
– 关键的:银行账号/密码,重要身份标示。--加密 – 重要的:手机,身份证号。--不能随意访问,散发 – 普通的:你认为可以公开的。
问题
• 身份证的扫描件--你意识到了吗?
– 怎么归类,如何保护?
提纲—系统保护—安装、配置、维护
• 系统保护—安装、配置、维护装机安全
– 装机安全 – 密码问题 – 配置安全
– 操作系统、驱动程序、杀毒软件 – 办公软件、下载工具、虚拟光驱、多媒体播放器等
– IP地址,掩码,网关,DNS – 用户名/密码
• 操作系统、驱动程序、杀毒软件
装机安全
• 正版软件(或者安全渠道得到的软件)
– XPsp2,etc.
• • • • •
安装过程拔掉网线 一定要设密码(用户名/密码) 立即安装防病毒软件 插上网线之前,启用系统防火墙 立即打补丁
• 其他
– – – – 敲诈勒索 诈骗、钓鱼 传播色情信息、违法信息 有组织的犯罪活动
个人信息安全
• • • • 银行账户\密码等 身份信息:身份证,驾驶证 关键文档:电子邮件等 电话、住址和经历等涉及个人隐私的信息
个人信息系统
• 个人计算机:
– 属于你专用的笔记本,台式机
个人信息所处的环境
• 个人信息系统是网络终端
对个人信息安全的攻击
• 成为网络僵尸
– 被控制的对象 – 被作为DOS攻击的工具 – 攻击别人的跳板
僵尸网络(Botnet)
攻击目的和攻击发展趋势
• 黑客手法变得更加高明和全球化
– 有组织犯罪团伙雇用东欧和南美的黑客,盗用身份和信 用卡资料。例如,英国卡地夫大学(Cardiff University)的 研究人员今年发现,汇丰银行(HSBC)的在线银行系统存 在他们所称的“漏洞”,而私家侦探一直能买到从印度 呼叫中心得到的客户记录。
信息安全?
• 保护信息系统(包括网络)的硬件、软件 及相关数据,使之不因为偶然或者恶意侵 犯而遭受破坏、更改及泄露,保证信息系 统能够连续、可靠、正常地运行
信息安全?
• 传统破坏信息或信息系统CIA属性的事件
– 保密性:机密信息泄露、隐私信息 – 完整新:网站被入侵、网页被篡改、病毒 – 可用性:DoS攻击、网络或系统故障、数据丢 失
• 帐户管理:禁止不用的帐户 • 服务管理:关掉不必要的服务 • 防火墙:启用和管理防火墙
– 使用安全
• • • • 防病毒系统 自动更新 远程桌面 常见服务进程与开放端口
从个人计算机入手
• • • • 装机安全 密码问题 配置安全 使用安全
装机安全
• 你的需求—机器主要用来做什么?
– 软件列表:
• 木马
– 最具有恶意的
• 等等!! • 这是每个人面临的问题
保护你的个人信息
• 从信息安全意识开始
– 认识问题是解决问题的第一步
Байду номын сангаас• 从个人计算机入手
– 保护PC —处理个人信息的基本工具
– 网上留个人信息要谨慎
如何保护个人信息安全
• 列出清单---要保护的对象
– – – – – – 网络身份标识 银行账号 身份证号 手机号码 主要邮箱 关键文档。。等等
内部网
You
对个人信息的威胁?
• • • • Hacker Virus Worm 木马
Hacker Worm
内部攻击
内部网
Virus
信息处理系统自身的脆弱性
Vulnerabilities: 脆弱性,弱点,缺陷,漏洞
设计阶段的缺陷 实现阶段的漏洞与后门
管理阶段的漏洞与 不合理配置
• 这是每个人面临的问题
钓 鱼 —— 伪 造 的 网 页
修改标题
修改起始页面,且禁 止用户修改
各种收集个人信息的途径
– 没有保护个人的隐私
• 产品销售商
– 手机,银行,甚至超市等:信息被用来做什么了?有保 护措施吗?
• 网上调查
– 一旦你填写了调查表,更多的垃圾邮件,更多的垃圾短 信。
个人计算机网络安全知识讲座
之一 个人信息安全及个人计算机安全
清华大学信息网络工程研究中心 中国教育和科研信息网应急响应组 魏克 2007年01月17日
提纲
• 信息安全概述
– 个人信息安全 – 个人信息系统安全
• 系统保护——安装、配置、维护
– – – – 安装 配置 管理与维护 使用安全
• 信息保护
– 加密与恢复 – 备份与恢复
• CCERT介绍
Star t
提纲--信息安全概述
• 信息安全概述
– – – – – – – – – – 信息安全 个人信息安全 个人信息系统 个人信息所处的环境 对个人信息的威胁? 信息处理系统自身的脆弱性 对个人信息安全的攻击 攻击目的和攻击发展趋势 各种收集个人信息的途径 保护你的个人信息
对个人信息安全的攻击
• 身份被盗用、个人数据丢失、钓鱼式攻击 (phishing attacks)和其它数据侵权行为其他
– – – – 敲诈勒索 诈骗、钓鱼 传播色情信息、违法信息 有组织的犯罪活动
Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues. CERT Coordination Center. Nov. 2002
帐户管理—用户禁止
帐户管理—密码策略
帐户管理—帐户锁定策略
服务管理
服务管理
• 必须禁用的
– Remote Registry; – Routing and Remote Access ; – Telnet ;
• 建议关闭的:如果没有用就关掉吧
– – – – ClipBook ; Error Reporting Service ; Human Interface Device Access ; IMAPI CD-Burning COM Service
密码问题
• 密码选择:易记不易猜
– – – – 床前明月光 疑是地上霜 举头望明月 低头思故乡 » Cyjd!1
• 密码策略
– – – – 别少于6位 定期更换 连续登陆3次错误,锁定账号3分钟 忘掉生日,姓名和字典吧!
配置安全
• • • • 帐户管理:禁止不用的帐户 服务管理:关掉不必要的服务 防火墙:管理列外 系统属性:关闭远程桌面
• 明确保护措施—因人而异
– 关键的:银行账号/密码,重要身份标示。--加密 – 重要的:手机,身份证号。--不能随意访问,散发 – 普通的:你认为可以公开的。
问题
• 身份证的扫描件--你意识到了吗?
– 怎么归类,如何保护?
提纲—系统保护—安装、配置、维护
• 系统保护—安装、配置、维护装机安全
– 装机安全 – 密码问题 – 配置安全
– 操作系统、驱动程序、杀毒软件 – 办公软件、下载工具、虚拟光驱、多媒体播放器等
– IP地址,掩码,网关,DNS – 用户名/密码
• 操作系统、驱动程序、杀毒软件
装机安全
• 正版软件(或者安全渠道得到的软件)
– XPsp2,etc.
• • • • •
安装过程拔掉网线 一定要设密码(用户名/密码) 立即安装防病毒软件 插上网线之前,启用系统防火墙 立即打补丁
• 其他
– – – – 敲诈勒索 诈骗、钓鱼 传播色情信息、违法信息 有组织的犯罪活动
个人信息安全
• • • • 银行账户\密码等 身份信息:身份证,驾驶证 关键文档:电子邮件等 电话、住址和经历等涉及个人隐私的信息
个人信息系统
• 个人计算机:
– 属于你专用的笔记本,台式机
个人信息所处的环境
• 个人信息系统是网络终端
对个人信息安全的攻击
• 成为网络僵尸
– 被控制的对象 – 被作为DOS攻击的工具 – 攻击别人的跳板
僵尸网络(Botnet)
攻击目的和攻击发展趋势
• 黑客手法变得更加高明和全球化
– 有组织犯罪团伙雇用东欧和南美的黑客,盗用身份和信 用卡资料。例如,英国卡地夫大学(Cardiff University)的 研究人员今年发现,汇丰银行(HSBC)的在线银行系统存 在他们所称的“漏洞”,而私家侦探一直能买到从印度 呼叫中心得到的客户记录。
信息安全?
• 保护信息系统(包括网络)的硬件、软件 及相关数据,使之不因为偶然或者恶意侵 犯而遭受破坏、更改及泄露,保证信息系 统能够连续、可靠、正常地运行
信息安全?
• 传统破坏信息或信息系统CIA属性的事件
– 保密性:机密信息泄露、隐私信息 – 完整新:网站被入侵、网页被篡改、病毒 – 可用性:DoS攻击、网络或系统故障、数据丢 失
• 帐户管理:禁止不用的帐户 • 服务管理:关掉不必要的服务 • 防火墙:启用和管理防火墙
– 使用安全
• • • • 防病毒系统 自动更新 远程桌面 常见服务进程与开放端口
从个人计算机入手
• • • • 装机安全 密码问题 配置安全 使用安全
装机安全
• 你的需求—机器主要用来做什么?
– 软件列表:
• 木马
– 最具有恶意的
• 等等!! • 这是每个人面临的问题
保护你的个人信息
• 从信息安全意识开始
– 认识问题是解决问题的第一步
Байду номын сангаас• 从个人计算机入手
– 保护PC —处理个人信息的基本工具
– 网上留个人信息要谨慎
如何保护个人信息安全
• 列出清单---要保护的对象
– – – – – – 网络身份标识 银行账号 身份证号 手机号码 主要邮箱 关键文档。。等等