精华内容
下载资源
问答
  • 信息安全重要性

    千次阅读 2019-04-21 20:41:46
    关于信息安全的常见问题信息安全 信息安全 如今咱们生活在一个零距离的时代,手机在手,身边朋友的点滴动态全部都了解了。其实,这个时候您就该提醒他们,你们让自己的信息处于泄漏风险中啦!比如说,如今很多比赛都...

    关于信息安全的常见问题

    信息安全

    如今咱们生活在一个零距离的时代,手机在手,身边朋友的点滴动态全部都了解了。其实,这个时候您就该提醒他们,你们让自己的信息处于泄漏风险中啦!比如说,如今很多比赛都让大家去拉票,于是很多爸爸妈妈就在微信、微博、QQ群上发:‘这是我的宝贝,6号选手,请投他一票’,有的还写了孩子所在班级、姓名、照片、特长等详细资料。这时,如果有不法分子看到,您的宝贝的很多信息就都泄漏出去啦。

    但既然是一个移动互联时代,完全不晒晒自己的生活,似乎也很不合群。那么我们该怎么办呢?首先,晒出的图片尽量避免在小区门口、幼儿园等标志明显的建筑物前,其次,家长在一些亲子论坛和QQ群里聊天或者发帖时,尽量不要提自己的住所和孩子的学校,以免引来不法分子。

    如果照片包含很多个人信息,除了加马赛克进行处理之外,也可以对上传的照片设置访问权限,只对自己的亲朋好友公开。其实,除了晒萌照,我们使用手机时还有很多不经意间就泄露的秘密,总结了以下个“危险动作”,请大家务必警惕!“附近的人” “允许查看” “允许搜索” “常去地点”这几个选项请务必关闭!旧手机,别乱扔!更换手机导致泄漏隐私的案例太多了,也别以为恢复手机出厂设置就高枕无忧了,这也不够保险,专家告诉我的诀窍是,不妨用大容量电影装满手机内存,再进行格式化,原有数据就很难被恢复了。手机如果不注意,可别让它别成我们生活中的手雷哦!!!

    现在许多网站都会泄露我们的个人信,所以我们浏览网页的时候也应该注意,不应该什么资料网站都留下自己的信息,甚至应该减少网上冲浪的时间。保护好个人的信息至关重要。大数据时代每个人都近乎裸奔在网络上,这个时候我们就更应该注意保护自己的个人信息。

    展开全文
  • 网络信息安全重要性

    万次阅读 2018-08-15 11:39:01
    一、信息安全技术概论 1.网络安全的重要作用 在互联网普及的初期,人们更关注单纯的连接,以不受任何限制地建立互联网为最终目的。正如事情都具有两面,互联网的便捷给人们带来了负面问题,计算机病毒的...

    一、信息安全技术概论

    1.网络安全的重要作用

    在互联网普及的初期,人们更关注单纯的连接性,以不受任何限制地建立互联网为最终目的。正如事情都具有两面性,互联网的便捷性给人们带来了负面问题,计算机病毒的侵害、信息泄露、网络欺诈等利用互联网的犯罪行为日益增多。

    2.信息安全的内涵

    网络出现前:主要面向数据的安全,对信息的机密性、完整性和可用性的保护,即CIA三元组;网络出现后,还涵盖了面向用户的安全,即鉴别,授权,访问控制,抗否认性和可服务性,以及对于内容的个人隐私、知识产权等的保护。

    基本特征

    • 保密性:信息不泄露给非授权的个人、实体和过程
    • 完整性:信息未经授权不能被破坏,插入,乱序或丢失
    • 可用性:合法用户在需要时可以访问到信息及相关资产
    • 可控性:授权机构对信息的内容及传播具有控制能力
    • 可审查性:在信息交流过程结束后,通信双方不能抵赖曾经做出的行为

    3.网络参考模型和安全体系结构

    安全体系结构

    (1)安全服务
    认证、访问控制、数据保密性、数据完整性
    (2)安全机制
    加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制、公证机制
    (3)安全管理
    系统安全管理、安全机制管理、安全服务管理

    4.信息安全保障体系的建设

    (1)信息保障的三要素:人、技术、操作,信息保障源于人员执行技术支持的操作,因此,要满足信息保障的目的,就要达到人、技术和操作三者之间的平衡。
    (2)信息保障技术框架
    一个中心、三重防御:安全管理中心,安全计算环境,安全区域边界,安全通信网络。
    (3)P2DR安全模型
    策略、防护、检测、防御。
    (4)纵深防御的基本思路
    多处设防、多层保卫。

    二、密码技术

    1、密码技术概述

    (1)密码学包括密码编码学和密码分析学
    (2)密码体制的组成

    • 全体明文集合M
    • 全体密文集合C
    • 全体密钥集合K
    • 加密算法E
    • 解密算法D

    以上描述的五元组称为一个密码体制,香农1949年奠定了密码学的理论基础。

    (3)密码技术的作用
    基本作用
    保密性:使非法用户无法知道信息的真实内容

    其他作用
    鉴别:信息接受者能够确认信息的真实来源
    完整性:信息的接受者能够验证信息在传输过程中没有发生改变
    不可否认:信息的发送方不能否认已经发送过的信息

    (4)计算复杂性理论
    密码技术的安全性
    可证明安全性:理论证明破解某个密码系统的代价不低于求解某个已知的数学难题。

    计算安全性:用已知的最好算法和利用现有的最大计算资源,仍然不能在合理的时间内完成破译该系统所需要的计算。
    可证明安全性和计算安全性统称为实际安全性。

    2、对称密码技术

    优点:实现速度快,密文紧凑,算法公开,应用广泛,固化成本低。

    缺点:密钥的分发与管理非常复杂,代价高,不能实现数字签名。
    典型技术:DES AES IDEA

    3、非对称密码技术

    优点:

    • 密钥分发简单
    • 需要密钥保存的密钥量少
    • 互不相识的人之间也能进行保密对话
    • 可以进行数字签名

    缺点:

    • 执行效率低,比同等强度的对称密码技术要慢10倍到100倍
    • 密文不紧凑,密文长度大于最初的明文长度

    主要技术:RSA,离散对数和ECC

    4、密钥分配和管理技术

    密钥分配:

    对称密钥分配:

    (1)集中式密钥分配方案
    由密钥分配中心KDC或者一组节点组成的层次结构负责密钥的分配给通信双方
    优点:用户不需要保存大量的会话密钥,只需要保存同KDC通信的加密密钥
    缺点:通信量大,要求具有较好的鉴别功能以鉴别KDC和通信方式。

    (2)分布式密钥分配
    各个通信方具有相同的地位,它们之间的密钥分配取决于它们之间的写上
    缺点:需要n(n-1)/2个主密钥。
    不适合规模较大的网络应用。

    非对称密钥分配

    (1)公钥的分配。
    【1】公开发布,缺点:伪造公钥,冒充他人。
    【2】公用目录,由一个可信任的系统或组织简历和管理维护公用目录,缺点:公用目录自身的安全性(一旦得到其私钥,就可以伪造公钥进行欺骗)。
    【3】公钥机构,由公钥管理结构来为各个用户简历、维护和控制动态的公用目录。
    【4】公钥证书,由授权中心CA颁发的,其中的数据项包括与该用户的私钥相匹配的公钥及用户的身份和时间戳等,所有数据经过CA用自己的私钥签字后形成证书。
    基于公钥证书的密钥分配方式。

    密钥管理技术:

    (1)密钥生成(随机数发生器)
    (2)密钥使用(严防密钥泄漏,及时更换密钥)
    (3)密钥存储(【1】无介质,【2】记录介质,【3】物理介质)
    (4)密钥的备份和恢复
    (5)密钥的销毁

    公钥基础设施PKI技术

    PKI是一个利用公钥密码理论和技术,在开放的Internet网络环境中建立起来的提供数据加密以及数字签名信息安全服务的基础设施。
    PKI的组成:软件系统+硬件系统+安全策略
    PKI系统包括:
    【1】权威认证机构CA
    【2】数字证书库
    【3】密钥备份及恢复系统
    【4】证书作废系统
    【5】应用接口API

    授权管理基础设施PMI技术

    PMI是一个属性证书、属性权威、属性证书库等部件构成的综合系统,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。
    功能:向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,使用属性证书,表示和容纳权限信息。
    AC:属性证书 AA 属性权威。

    5、数字签名技术

    (1)最简单的数字签名,直接用私钥加密。
    (2)保密性的数据签名,采用双重公私钥加密机制。
    (3)基于数字指纹的解决方案,对指纹进行加密。

    数字签名算法:RSA DSA。

    6、信息隐藏技术

    利用人类感觉器官对数字信号的感觉冗余,将一个消息隐藏在另一个消息之中,实现隐藏通信和隐蔽标志。
    信息隐藏的分类:

    【1】隐藏信道,那些既不打算用来传输信息也不是专门设计的通信信道被成为隐藏信道,比如BMP描述像素的第四个字节
    【2】隐写术:一种将要加密的信息隐藏在大量其他信息之中的技术
    【3】匿名通信:指通信时隐蔽通信信息的主体(信息的信源和信宿)
    【4】版权标志:包括防伪标志和鲁棒的版权标志
    数字隐写术分类:

    【1】替换系统,使用秘密信息隐藏宿主的冗余信息部分
    【2】变换域技术:在信号的变换域中嵌入秘密信息
    【3】扩展频谱技术:利用信息扩频通信的原理来实现信息隐藏
    【4】失真技术:通过信号处理过程中的失真来保存信息,在机密时通过测量与原始信息载体的偏差以恢复秘密信息
    【5】载体生成方法:通过对信息进行编码以声称用于秘密通信的伪装载体,以隐蔽信息
    【6】统计方法:通过改装伪装载体的若干统计特性对信息进行编码,并在提取过程中使用假设检验发来达到恢复秘密信息。

    数字水印:

    是永久镶嵌在其他数据中具有可鉴别性的数字信号或模式,而且并不影响宿主数据的可用性。
    【1】空间域数字水印:通过改变某些像素的灰度,将需要隐蔽的信息嵌入其中,将数字水印直接加载到数据上
    特点:算法简单,速度快,易实现。几乎可以无损的恢复载体图像和水印信息,水印容易被移去,鲁棒性不强
    【2】变换域数字水印:通过改变频域的一些系统的值,采用类似扩频图像的技术来隐藏水印信息,可以嵌入大量数据而不会导致不可察觉的缺陷
    特点:有利于保证水印的不可见性;更方便有效地进行水印的编码;频域法可以与国际数据压缩标准兼容。

    三、访问控制&防火墙技术

    1、访问控制技术

    对系统资源的保护要求每一个访问请求都在控制下进行,保证只有合法授权的访问才能发生,这个过程称之为访问控制。
    访问控制的作用:机密性和完整性、可用性
    (1)两个基本理论模型

    【1】引用监控器

    访问控制依赖引用监控器进行主体对客体访问的控制,以决定主题是否有权对客体进行操作和进行何种操作。引用监控器查询授权数据库,根据系统安全策略进行访问控制的判断,同时将相应活动记录在审计数据库中。

    【2】访问矩阵
    访问矩阵模型描述了访问控制策略
    三元组(S,O,A) S是主体的集合,O是客体的集合,A是访问矩阵,矩阵A[S,O]是主体s在o上实施的操作
    访问矩阵的三种方法:访问控制列表,能力列表,授权表

    访问控制系统由主体、客体以及主客体属性组成。访问控制就是通过比较系统内主客体的相关属性来决策的

    (2)访问控制策略

    【1】自主访问控制DAC
    【2】强制访问控制
    【3】基于角色的访问控制

    (3)DAC和MAC的区别

    策略不同,自主访问控制策略中的主体一般是指用户,强制策略中的主体和用户之间是有区别的
    DAC存在的问题:
    【1】自主授权给用户权限管理带来隐患
    【2】没有严格区分已授权用户和执行授权的行为主体
    【3】授权管理工作量大,对用户权利的监控难度大
    【4】不利于在大规模应用总实施
    MAC的特点
    【1】相对DAC,更安全
    【2】不适合处理访问控制力度细的应用,适用于操作系统但不适用于数据库

    2、防火墙技术基础

    (1)防火墙的类型

    【1】数据包过滤路由器
    深入到系统的网络层和数据链路层之间,通过检查模块,防火墙能拦截和检查所有出站的数据
    优点:
    关键位置设置一个数据包过滤路由器就可以保护整个网络
    对网络管理员和应用程序的透明度较高
    多数路由器具有包过滤功能,网络管理员可以方便地在路由器中实现包过滤
    缺点:
    过滤规则比较复杂,缺乏规则的正确性自动检测工具
    过滤规则的增加会导致分析计算量的增加
    抗欺骗性能力不强
    【2】代理服务器
    让所有用户通过一台单一的设备访问外部网络,这台单一的设备就是代理服务器
    (2)不同防火墙的对比

    【1】工作层面
    包过滤:网络层
    应用层网关:应用层
    电路层网关:会话层与应用层
    包状态检查:网络层
    【2】对非法包的判断能力
    工作层次越高,对数据包的理解能力越好,对非法报的判断能力越高

    3、防火墙安全设计策略

    (1)传统边界防火墙技术的不足

    【1】网络应用收到结构性限制
    【2】内部安全隐患依然存在
    【3】效率较低,故障率高,由于边界式防火墙把检查机制集中在网络边界处的单点之上,造成网络的瓶颈和单点失效的隐患
    (2)分布式防火墙的优势

    【1】增强了系统安全性
    【2】提高了系统性能
    【3】提高了系统可扩展性
    【4】实施主机策略
    【5】应用更为广泛,支持VPN通信

    4、防火墙发展的新方向

    5、防火墙选择原则与常见产品

    四、入侵检测技术

    1、入侵检测的重要性和发展进程

    网络入侵是指任何视图破坏资源完整性、机密性和可用性的行为,包括用户对系统资源的误用

    2、入侵检测方法

    3、入侵检测系统

    入侵检测系统是对防火墙的必要补充,作为重要的网络安全工具,它可以对系统或网络资源进行实时监测,及时发现闯入系统或网络的入侵者,也可预防合法用户对资源的误操作。
    (1)几种入侵检测系统的优缺点
    【1】集中型入侵检测系统
    优点:可以检测系统内部发生的攻击行为和可以活动,可管理性好,简单,易于实现
    缺点:网络负荷重,扩展性和鲁棒性差
    【2】层次化入侵检测系统
    优点:可实现对分布式入侵的检测,可管理型号,一定程度上提高了系统的可扩展性
    缺点:网络符合重,鲁棒性较差
    【3】完全分布式入侵检测系统
    优点:数据在本地处理,降低了网络符合,检测实时性好,可扩展性和鲁棒性好
    缺点:可管理性差,各个检测节点间的协作问题复杂,对分布式入侵检测的实施过程比较复杂

    4、入侵检测技术存在的问题

    (1)误报率、漏报率高
    (2)没有通用的构造方法
    (3)执行效率低
    (4)自身结构上存在安全隐患,鲁棒性和容错性不强
    (5)自我更新能力不强,规则集维护困难,系统缺乏灵活性
    (6)缺乏好的测试手段
    (7)对入侵的理解能力有限
    (8)系统响应能力有限

    5、新技术的研究与应用

    6、未来研究方向

    7、安全审计

    (1)CC准则中定义的安全审计
    【1】安全审计自动响应
    【2】安全审计数据生成
    【3】安全审计分析
    【4】安全审计浏览
    【5】安全审计时间存储
    【6】安全审计时间选择

    五、黑客与病毒防范技术

    “头号电脑黑客”–凯文 米特尼克

    1、计算机病毒的特征

    【1】人为的特制程序
    【2】具有自我复制能力
    【3】很强的感染性
    【4】一定的潜伏性
    【5】特定的触发性
    【6】较强的破坏性
    【7】不可预见性

    2、如何有效防范黑客和病毒攻击

    【1】安装自动补丁系统,及时给系统打补丁
    【2】安装杀毒软件,并及时更新
    【3】定期扫描系统
    【4】良好的网络访问和系统使用习惯
    【5】不要访问无名和不熟悉的网站

    展开全文
  • 信息安全重要性不容忽视

    千次阅读 2014-03-25 14:04:23
    2011年12月底在国内发生的互联网用户信息泄露事件,由于涉及CSDN、人人网、天涯 、开心网、...已经有很多信息安全人士从技术角度进行了分析,我们不妨换一个视角去看这个事件,相信诸如CSDN国内最大的程序员网站,其
    2011年12月底在国内发生的互联网用户信息泄露事件,由于涉及CSDN、人人网、天涯 、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等众多知名网站,因此被媒体广为报道。事件的起因是这些网站采用了明文存储用户名和密码,在遭受黑客攻击后大量用户数据库被公布在互联网上。已经有很多信息安全人士从技术角度进行了分析,我们不妨换一个视角去看这个事件,相信诸如CSDN国内最大的程序员网站,其安全防护措施应该都具备,安全人员的技术能力也比一般组织要强,那到底是什么导致了最终用户数据泄漏? 
      在人们质疑这些网站抵御攻击的能力的同时,相信也注意到了一个关键的问题,他们都采用明文方式存储用户数据。设想一下如果这些网站采用加密方式存储关键数据,即便遭到攻击数据被窃取,也未必能够被破解进而造成数据泄漏。对于普通人来说“加密”这个术语是个“技术问题”,然而对于专业从事信息安全相关技术人员(包括管理人员、开发设计人员、安全管理员、审计人员等)来说,我不认为这还是什么“技术问题”,而是“安全意识问题”汇哲。为什么说是意识问题,如果以一到考题的形式出现“用户名和密码在系统中应明文存储还是加密存储?”,我相信以上人员都会选择后者,然而事实却恰恰相反。在多年的安全咨询和培训实践中,我把组织的“安全意识问题”表象总结为三类:第一类,确实不知道,所谓无知者无畏;第二类,知道但不重视或忽视;第三类,存在侥幸心理,认为事情不会发生在自己头上(不理解墨菲定律:“会出错的终将会出错”);对于此次事件明显属于后两者。汇哲 
      实际上,由安全意识引发的问题在组织中由来已久,并且在组织的各个层面都存在,可以通过几个案例来说明:
      案例一:HBgary Federal邮件泄露 2011年2月6日,HBGary Federal公司创始人Greg Hoglund尝试登录Google企业邮箱的时候,发现密码被人修改了,这位以研究“rootkit”而著称的安全业内资深人士立刻意识到了事态的严重性:作为一家为美国政府和500强企业提供安全技术防护的企业,自身被黑客攻陷了!更为糟糕的是,HBGary Federal企业邮箱里有涉及包括美商会、美国司法部、美洲银行和WikiLeak的大量异常敏感的甚至是见不得光的“商业机密”。 在整个事件中,黑客组织“匿名者”透露的攻击细节中,我们大致能了解到,攻陷这家知名安全公司防卫森严的网络堡垒,其实并不需要才用多么特殊的高深技术,“人”的漏洞最终导致HBGary Federal声名扫地。其首席执行官Aaron Barr和他领导的管理层犯下了最原始最不可饶恕的信息安全 汇哲“漏勺”:在所有的账户中使用相同的密码。黑客组织“匿名者”只是通过攻击其企业网站所获得的外围密码,就开启了Barr几乎所有的网络账户:Twitter、Linkedin…当然,最糟糕的是Gmail企业账户,里面有HBgary Federal公司的客户:索尼、强生、杜邦等500强企业的私密信息,当然,还有那些涉及政府部门和组织的“特殊商业计划”。 案例二:索尼遭遇“数据门” 索尼从2011年初开始,多次遭到黑客入侵,超过7000万玩家资料可能遭窃取,这些资料包括邮箱、密码、信用卡号等,索尼公司于4月20日关闭PSN和Qriocity服务。这让日进斗金的索尼游戏业务陷入瘫痪。此外,由于消费者**露可能导致更为严重的网络钓鱼等大面积网络安全案件,美国、英国、澳大利亚和中国香港等国家和地区的政府已经开始对索尼PlayStation Network网络遭黑客攻击及用户数据失窃情况展开调查,一批游戏玩家已向美国法院提出上诉,控告索尼在保护PlayStation Network网络用户数据方面玩忽职守,违反了它与用户签订的服务合同,整个索尼品牌面临一次空前严重的灾难。 普渡大学的Gene Spafford博士在美国众议院商务委员会的听证会上揭开了导致这次史上最严重的消费者数据泄漏事件的重要原因:索尼的服务器运行着一个过期的Apache Web server软件,没有打上补丁,也没有安装防火墙。而索尼早在几个月前已经知悉此事,因为问题早已在论坛上报告给索尼工作人员。很明显,不是黑客匿名组织的技术高超,而是索尼负责信息安全的员工在此次事件中犯下了低级错误,结果门户大开,引狼入室。案例三:电子54所窃密案 河北省石家庄市中国电子科技集团第54研究所爆出惊天窃密案。一个当地派出所警察,负责54所去海南试验的保卫工作,半路上被策反,然后逐渐拉上了54所打扫办公室卫生的清洁女工,两人从印刷厂、复印室、内部网上搞到了大量信息。破案后,安全部长说,这些资料给10000亿也不卖,几十年来对台电子斗争成果全部打了水漂,整个底朝天。可以设想一下,如果54所员工具备较强的信息安全意识,此二人不会如此轻易获得这些资料。 以上所举三个案例涉及企业管理层、技术人员及普通员工汇哲,可见上至企业老总、下到基层员工,安全意识的薄弱正在成为企业面临的最大风险,忽视信息安全意识教育,可能遭受灾难性的打击。在我国,2006年国信办组织“信息安全管理体系标准试点工作”,之后很多组织开展了安全管理体系建设工作;2007年7月四部委发布《关于开展全国重要信息系统安全等级保护定级工作的通知》,要求在全国范围内开展等级保护工作。无论安全管理体系标准还是国内的等保保护要求,都提到对人员的意识教育,但在具体实施中提高企业全体人员的信息安全意识目前还面临重重困难,这与组织本身缺乏对于信息安全意识教育的正确认识有关。 误区一:安全预算绝大部分都投入在产品上 现在组织对安全的认识和重视程度在逐步提高,不少组织都不惜花费大量资金用于购买了网络安全设备和软件。然而,绝大多数是组织宁愿花重金在安全技术和产品上,也不愿在全员信息安全意识教育上有所投入,而从HBgaryFederal事件得出的教训就是,黑客往往能够采用最低的成本,从组织最薄弱的人员突破,使得企业花重金打造的安全体系成了“马其诺防线”,而实际上在提升全员信息安全意识上的花费是所有安全投入中性价比最高的。 误区二:提高信息安全专业人员的技能就可以了 组织所面临的大量安全问题,往往由信息安全团队无法完全控制的原因而引起 :员工本身的安全意识。信息安全人员可以给系统打补丁、升级杀毒软件,以及不遗余力的看护装有防护设备的关键设施,但是组织安全事件还是屡屡发生只要员工能够收到外界的电子邮件、访问网站以及干其他类似的事情,组织就会持续不断地出现安全问题。因此,仅仅提高安全人员的能力是远远不够的。究其原因如果不从提高全员安全意识的角度根本上来解决问题,组织的安全工作永远都是被动的。 误区三:信息安全意识教育培训一次就够了 在我们所服务过的客户中,绝大多数组织的领导者或者人力资源部门认为,提高全员信息安全意识就是随便搞搞培训,而且搞一次就行了,实际上信息安全意识教育远不止搞一次培训这么简单(详细论述请参加《信息安全意识为先——如何提高组织信息安全意识》一文)。正是基于这种思想,即便搞了培训效果也不好,这样就陷入了恶性循环的怪圈之中。 正是基于对上述情况,谷安天下在2010年率先进行了首次“中国企业员工信息安全意识调查”,根据结果显示,受访者认为在所有企业的安全隐患中,信息安全意识缺乏是最大的安全隐患,占到42.8%的比例;对于目前有效保护企业和组织信息安全面临的最大障碍,受访者认为最大的障碍是普遍缺乏信息安全意识。提高全员信息安全意识的重要性由此可见,提高全员的信息安全意识应该摆到组织信息安全建设的议事日程上来,社会上的话会有很多的信息安全培训机构,如何选择一个好的机构也成了一个大家面临的重要问题,在选择时主要考虑的问题有那几个方面呢,在我看来,无非是师资力量、学校资质、培训的效果。完美的培训:汇哲
    展开全文
  • 互联网时代个人信息安全重要性

    万次阅读 2017-10-18 16:09:20
    社会工程学的介绍小刀初试尽力保护好个人信息一,社会工程学介绍 社会工程学常常被人说成是一门艺术,很多人可能都认为自己没有艺术细胞,因为大家对艺术的理解就是诸如绘画、摄影、诗歌等领域,其实社会工程学也...
    一,社会工程学介绍

    社会工程学常常被人说成是一门艺术,很多人可能都认为自己没有艺术细胞,因为大家对艺术的理解就是诸如绘画、摄影、诗歌等领域,其实社会工程学也可以被归为艺术的一类,只要你能把一个项目或者说工程做的精致,那就是艺术。
    有人会问,社会工程学和诈骗人肉搜索有什么区别?

    社会工程学 诈骗
    比较在意对方的非物质资源 比较在意对方的物质资源
    更加的系统,科学 相对松散,没有理论指导
    工程师一般情况下是有目标的 诈骗者是没有目标的,依靠大面积撒网来碰运气
    工程师更有耐心,愿意等待 诈骗者相对没有耐心,短时间内没有收获的话,会更换地点,目标人群
    工程师拥有大量的反攻击手段 诈骗者的反攻击能力较弱
    工程师能力要求很高,社会学、心理学、行为学、数据分析、数据收集等 诈骗者能力一般都不高,只会一些简单的电脑技能或者骗人套路
    防范社会工程师的难度较大 防范诈骗者的难度较小

    可以说,诈骗者的升级形态就是一个能力强大的对社会有害的坏社会工程师。之所以这样说,是因为不是所有社会学工程师都会利用自身能力去肆意欺骗,就如黑客和白客一样。
    下面开始说社会工程学和人肉搜索的区别,简单的说,人肉搜索是比较简单的一种社会工程学技术,就是人肉不代表社会工程学,它属于社会工程学。只是因为近年来,互联网发展迅速,很多人对人肉的了解比较多,而且人肉搜索有比较符合大家八卦的口味,便让很多人产生一种社会工程学就是人肉,某个人会人肉搜索,哇,他好厉害啊!就认为他是熟知社会工程学的人了。其实不然,一个社会工程学专家说过:“电脑有防火墙保护,而人类才是最大的安全漏洞。”
    事实上,像在网络上获取目标的信息,通过黑掉一些网站的后台来达到目的,潜入目标处偷取需要的信息等手段都是一种‘强行暴力手段’;通过一些语言、行为等的欺骗,来使目标或者目标周围的人对你泄露你需要的一些信息的手段是‘软实力手段’,倘若只看结果,不在乎过程,二者之中不好说哪个比较高明。其实也不用分出来个高低,因为大多数情况下,社会工程师会将二者紧密结合达成目的。
    内容提取自:
    社会工程学和欺骗有什么区别?
    比骗术更高明的艺术:社会工程学

    二,小刀初试

    有幸拜读号称世界头号黑客Kevin David Mitnick的《The Art of Deception》,里面的一些套路虽然已经过时,但有些问题要放在时代的层面上去看,在当时这些社会工程学知识还是很令人惊讶的。
    然后,我也开始简单尝试一下,仅仅是用到了人肉搜索技术,对于人的欺骗这一块,我有过构想,但从没有实验过。
    先拿自己来实验,百度自己的贴吧ID,QQ等一些信息,发现尤其是在贴吧发表的一些言论被收录了好多,设想一个人知道我的QQ昵称,通过QQ昵称去搜索(我想大部分人的账号都爱用同一个昵称吧),可能发现我在贴吧发过的帖子,我关注过的贴吧,就能知道一些我的爱好,最可能的就是我在哪个学校念书,因为大家基本都会关注自己学校的贴吧,然后加以设计利用就可以找到更多关于我的信息。
    比如我和我的一个室友就说过一些这方面的事情,他很不相信,坚持说不能再网络上搜到他的信息,他不玩贴吧,微博注册后没怎么发过,QQ空间百度收录不到….然后我就简单的从我知道的一些信息开始搜,在百度上输入关键词,某某大学 室友名字 然后把截屏给他发了过去。他参加的一个比赛,获奖之后被主办方组织人员公布在了网络上,包含他的学校、专业、姓名、获奖情况、甚至学号都没有打码就发出来了。(已经举报给百度快照了,勒令删除~~~)

    三,尽力保护好个人信息

    有人说,不是黑不了你,只是你没有被黑的价值。其实这句话真的不假,那么我们知道这一点之后,就要着手做好保护自己个人信息的一些必要措施,你应该不想在你工作之后,面临升职竞争时被人爆出来自己年幼无知在网络上发过的一些幼稚言论吧。
    不要使用同一个名字做自己的社交账号的昵称,更不要使用同一个密码;自己先检索一下是否有一些不当的言论正在在网络的海洋上漂浮着,尽快删除;
    在互联网时代,注意自己的信息安全。

    展开全文
  • 计算机网络安全重要性

    千次阅读 2019-02-04 11:44:08
    摘 要:伴随着计算机技术和网络技术的拓展及普及,计算机网络在人们学习、教育、工作和生活等多方面起到了不容忽视的作用,...故而计算机网络安全重要性成为社会讨论的热点话题。本文试从计算机网络安全技术的概念、...
  • 密码安全重要性

    千次阅读 2016-10-11 10:19:08
    关于密码的安全性,我相信这是一个永远没有终点的赛跑, 在我们程序开发当中,保护用户账号密码和资料是非常重要的,有人多人都单单只是加密用户密码,但是却遗忘了用户的帐号加密也是很重要的,还有..........
  • 物联网安全重要性

    千次阅读 2015-02-06 15:16:36
    但在,物联网可以实现智能化,是基于一定的信息采集与分析处理过程,物联网想要发展的长久,就必须要保证信息安全。可以说,信息安全是物联网发展的基本底线。    大数据时代的到来,用户
  • 需要网络安全制度汇编请下载网络安全等级保护-信息安全管理制度汇编参考下载,等级保护测评公司,网络安全等级保护测评,等级保护测评机构,等级保护机构 需要加强等网络、信息安全保护定级备案,网络安全测评及...
  • 都是为了保护信息安全;都采用了过程方法,前一个过程的输出作为后一个过程的输入;都采用了PDCA的模型,实现持续安全建设;都发布了基本要求,27000信息安全管理体系提供了14个控制域的114个控制措施,等级保护提供...
  • 信息安全等级保护 实施方案

    千次阅读 2019-06-13 11:32:35
    信息安全等级保护 实施方案1.等保体系技术部分建设2. 安全管理制度体系建设3.人员安全管理建设4.整合多种安全技术手段为安全管理提供支撑和依据总结 实施方案) 1.等保体系技术部分建设 安全管理中心建设 在进行...
  • 这些重要信息系统的安全保护(Critical Information Infrastructure Protection:CIIP)越来越成为人们关注的焦点,其安全保护水平直接关系到我国公众利益、经济秩序和国家安全。 在介绍CIIPT(重要信息系统安全...
  • 国家信息安全等级保护标准介绍

    千次阅读 2013-09-04 14:42:00
    信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均...
  • 由于信息安全事件频发,国家对信息安全越来越重视,信息安全等级... 事实上,内网安全专家指出,信息安全等级保护的核心思想就是根据不同的信息系统保护需求,构建一个完整的信息安全保护体系。通过分析《计算机信息
  • 个人信息安全现状及保护方法

    万次阅读 2017-04-02 23:21:02
    个人信息安全现状及保护方法 摘要 随着科技的高速发展,互联网,智能设备的日益普及,大数据处理技术和云计算技术的应用越来越多,普通用户的个人信息数据越来越多并且越来越完整的被各种信息系统收集,...
  • 加密技术在信息安全领域的重要作用 随着信息科学技术的发展和近年来人们的安全意识和隐私意识逐步提高,大家也越来越关注网络中的信息安全问题。这其中密码编码学是对付各种安全威胁最强有力的工具,它能有效的保证...
  • 对于企业的领导人来说,理解安全和隐私的概念非常重要,这可以帮助他们在信息保护和隐私管理方面做出正确的决策。  那么, 安全和隐私的区别究竟在哪里呢?下面的十条概念能够帮助大家更好的理解二者的不同: 1....
  • 摘要:信息安全等级保护和ISO27000系列标准是目前国内主流的两个信息安全标准体系,在党政机关及企事业单位运用非常广泛。在建立单位内部信息安全体系的时候往往会遇到需要同时满足两个标准体系要求的难题。该文先...
  • 针对等级保护三级系统的防护要求,对于应用安全涉及的“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整”、“通信保密”、“抗抵赖”、“软件容错”以及“资源控制”等控制点进行评分,...
  • 企业信息安全建设工作可以从多个方面来建设与完善,我在这里就介绍信息安全等级保护的基本要求加上自己从事多年的安全工作经验,与各位共勉,干货在后面。 等级保护包含哪些方面 根据GB/T22239-2008 《...
  • 《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度,实施安全等级管理的重要基础标准,他讲计算机信息系统分为5个安全等级。
  • 公安部最近披露消息:自今年3月公安部部署开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动以来,截至目前,全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起,抓获犯罪嫌疑人4800余名,查获...
  • 本论文从加密算法、完整校验、访问控制技术、密文数据去重和可信删除、密文搜索等方面,对当前大数据安全保护关键技术的研究现状进行分类阐述。 一、大数据安全需求 1. 机密 数据机密是指数据不被授权者、...
  • 一级现在基本没人会去提及,所以我这里主要说下等级保护二级和三级的详细要求及差异分析,总共分为五大项:物理安全,网络安全,主机安全,应用安全,数据安全;管理制度这里没有说明,如有需要可以继续做相关提问;...
  • 信息安全技术

    千次阅读 2010-03-07 09:48:00
    信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全是一门涉及计算机科学、网络技术、通信技术、密码...
  • 信息安全简答题

    千次阅读 2020-12-28 11:57:49
    一、区块链技术在网络与信息安全领域的应用 ...区块链技术是加密和安全领域新的研究成果,与网络与信息安全有着密切的联系,可以用来解决该领域的一些问题,例如攻击防御、数据保护、隐私保护、身份认证..
  • 浅谈信息安全及解决方案

    千次阅读 2017-01-16 15:15:04
    在信息攻防战中,信息系统内部的重要数据通常是攻击者发动攻击行为的目标,同时也是用户着力保护的对象,围绕数据机密与完整展开的安全保护工作逐渐成为信息安全建设的重心,同时是所有人要面对的一道重要命题。...
  • 信息安全

    千次阅读 2011-10-24 20:14:22
    信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、...
  • 在如今企业当中计算机的普遍使用,数据安全逐渐成为一个重点课题。云计算、虚拟化、移动化概念的层出,据数据显示,企业中办公...信息也是资产的观念已被企业所认可,企业如何保护信息资产”成为数据安全的重中之重。
  • 1.信息安全简介 勒索病毒----2013年9月CryptoLocker “永恒之蓝”:主要是利用Windows系统的共享漏洞:445端口等。 “永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受 害机器的磁盘文件会被篡改为相应...
  • 计算机三级信息安全知识点

    千次阅读 2021-03-26 19:23:04
    信息安全的五个基本属性 机密 可用 可控 不可否认 完整 信息系统安全可以划分以下四个层次:设备安全,数据安全(三要素),内容安全,行为安全 保护、检测、响应(PDR)策略是确保信息系统和网络系统安全的基本策略 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 196,872
精华内容 78,748
关键字:

信息安全保护的重要性