最大的风险来自-社会工程学

1主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院最大的风险来自——社会工程学安全不是一件产品，它是一个过程2主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院背景：这个世界发生了什么？•商业环境更加复杂多变——业务重组、裁员、外包、充分授权、扁平化组织和分布式处理等等•信息和信息技术对于很多组织意味着最重要的资产，这导致IT本身已经或潜在成为一个巨大的威胁，随IT而来的风险、利益和机会使得IT治理成为公司和政府治理中很关键的一个方面。3主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院人类社会物理世界人机界面（终端设备）物联网/传感网人机物和谐计算环境信息世界网络时代的三维世界34主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院为何信息安全是如此重要？•15000份的医疗日志培圾桶中在被发现•30000个用户密码在Internet上公布•推广的照片提前出现在新闻书刊上•银行支付数百万元给勒索者•25位开发部的同事跳槽至竞争者公司•盗窃：每失窃或损坏价值一英镑的信息技术设备，将造成十英镑商业损失。英国工业在1996年由电脑失窃而造成的损失超过460亿英镑。•INTERNET：美国五角大楼每日可侦测到80至100个骇客入侵。•电脑入侵：电脑骇客入侵每年以45%的速率在增长。•电子邮件：10%信息无意义，9%包含机密信息，2%笑话及2%带病毒。•病毒：起过10000个病毒经常性的影响我的电脑及每月有150-200新的病毒产生。5主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院信息的重要性•对于商业机构或政府机构信息已经变成了一个如同建筑物，设备和人力资源一样重要的资产。•对于个人财富的创造与流失、职业的保障与终结、健康的增强或损害，这些都是由于一个因素——信息。6主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院字典库7主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院Windows2000口令破解的一个测试结果在一台高端PC机(4个CPU)上强行破解–5.5小时内破解字母-数字口令–45小时破解字母-数字-部分符号口令–480小时破解字母-数字-全部符号口令在200台集群服务器上强行破解–15分钟破解字母-数字-全部符号口令8主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院谁人需要及何时需要法证？谁人何时公司-蒙受诈骗损失-内部或外部人员违反保安措施-正寻求方法监控工作及商业流程-评估侵犯知识产权造成的损失谁人何时个人及机构-需要从储存媒体恢复或提取法律上有效的证据，以供谈判及诉讼之用-资产追查与恢复-于股东间争执、离婚案争执等情形量化索偿数额谁人何时专业人士-被委任调查诈骗或不法交易，例如洗钱-评估对专业失当的索偿执法人员-搜寻起诉疑犯的证据律师-于电子证据交换及寻求专家意见时9主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院敌人随时都瞄准你的任何一个漏洞(1)•麦当劳门店内的垃圾是宝？几年前，一家著名的市场调查公司调查麦当劳的产品销售量，他们使用了痕迹调查方法，收集了当天麦当劳所有的垃圾，雇用了许多零时工从麦当劳店内收集垃圾，包括包装纸盒等。他们就是通过计算这些垃圾得出了麦当劳每一种产品的销售量，并且推算出卖当劳下一年的销售计划。在这之后，麦当劳门店内的垃圾都要经过自己的处理后才运走。•雅芳雇佣私人侦探收集玫琳凯丢弃物同样的事情也发生在雅芳和玫琳凯化妆品公司之间。雅芳就曾经雇佣私人侦探收集了玫琳凯的丢弃物，并且进一步破解了竞争对手的新化妆品配方。对于玫琳凯来说，她无法夺回这些珍贵的东西，因为雅芳只是研究了她的垃圾而已，这是完全合法的。10主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院敌人随时都瞄准你的任何一个漏洞(2)•诺基亚：用严格的规定来保证攻击者无懈可击如果竞争对手在小区内对企业员工进行监控，他们可以轻而易举的获取相关资料。对于这一点，诺基亚的解决方案很实用：我们外出办公的员工在登陆公司局域网时要通过公司为其专门设置的密码，而且这个密码是不断更改的。一个员工不可能长期使用同一个密码进入公司的局域网。诺基亚中国区企业解决方案部王磊说。所以对于企业的领导者来说，要减少外部攻击对企业造成的损伤，除了要花大笔的费用引进技术外，还必须用严格的规定来保证攻击者无懈可击。•国防科工委：苍蝇不叮无缝的蛋国防科工委网络要求内外网络严格隔离，因为他们要保护的是红头文件，但是限制几千人联网的权力是一件非常吃力的事情。于是，国防科工委的院长亲自带队查处。他们严格监控自己的外网出口，一旦发现内网有人通过外网出口传输文件，就会马上跟踪IP地址，而等待这个员工的将是严厉的处罚。11主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院网络安全——内因•网络协议的开放式设计–自申明导致的欺骗攻击–匿名导致的不可追踪•缺乏安全教育和安全意识–开发人员缺乏安全意识和技能导致大量软件漏洞–维护人员缺乏安全意识和技能导致大量弱配置主机–普通用户缺乏安全意识是系统安全的最大脆弱环节•人类天性–惰性导致的不安全因素–好奇心导致的大量攻击1112主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院如果技术准备得不好，信息系统可能遭受如下威胁：内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫威胁与风险分析(非技术)威胁与风险分析13主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院如果人员准备得不好，信息可能遭受到如下威胁：1、社会工程学2、滥用特权和可信任性3、错误使用与配置4、口令猜测5、物理访问以绕过控制6、便携电脑、存储媒体和其他技术的失窃7、意外暴露8、金融欺诈没有绝对安全(无风险)的系统！威胁与风险分析(非技术)14主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院常见的入侵手段•垃圾邮件+社会工程学方法+相似链接（隐藏链接）+仿冒网站•利用浏览器漏洞做到更好的链接隐藏•恶意代码进驻+修改host文件+仿冒网站•恶意代码进驻+监视软件15主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院信息安全问题的新趋势•消费电子产品进入企业将对传统安全模式提出挑战。面对新的挑战，针对风险的安全管理工具可能还不够成熟。•消费电子产品可能侵入公司网络四个领域，具体包括：消费者电子邮件和通讯服务;Web2.0-博客和社交网络;未受管理的移动设备;个人设备的远程接入16主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院首席信息安全官的疑惑“我正与公司的管理层周旋，以便对我们面临的问题达成一致。我被告知信息安全的问题拥有优先权，但是一切都处于混乱之中。我们提出的任何想法，特别是我的想法，甚至在被正式提交交付之前，就被砍得只剩下一丁点儿。公司里既没有满足我们信息安全需求的既定策略，而且到目前为止我也看不到哪怕是一条策略的希望。公司的信息安全预算仅仅够支付我和一个网络部门技术人员的工资。哪些IT经理们认为我在浪费公司的预算，并且认为安全问题似乎并不像我想的那么严重，他们简直就像在打发一群要饭的猫似的。”17主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院信息安全：位于管理革命之巅•当今的信息安全领域正处在变革之中。直到最近，该行业仍然被控制技术的专家所支配，他们提供了信息服务，而且行业被局限于计算机和网络操作等领域。现在信息安全正在快速演化成一种管理原则，它涉及到管理人、管理过程以及管理技术，并引起了高层领导的注意。物质流能量流信息流18主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院CIO的职能变迁早期对CIO的定位大规模项目的管理者要求CIO能够保证IT系统的正常运行CIO的职能变迁趋势日常业务的日益数字化以及社交媒体和网络等客户渠道的逐渐流行，使IT愈发趋近于企业业务的核心地位如果CIO不引领变化，他人会引领，这意味着变化将来自外面，CIO不得不关注灭火。完美的CIO需要同时具备在业务上的战略智慧和高超的运作能力19主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院什么是社会工程学（SocialEngineering）•社会工程学,一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法•什么算是社会工程学呢？它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益.•总体上来说，社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径，但它不能帮助你掌握人们在非正常意识以外的行为，且学习与运用这门学问一点也不容易。它同样也蕴涵了各式各样的灵活的构思与变化着的因素。20主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院为什么社会工程学是最大的风险•网络安全技术发展到一定程度后，起决定因素的不再是技术问题，而是人和管理。网络安全往往容易被入侵者从内部攻破，而利用社会工程学进行网络攻击，有点像电影或者小说中的“卧底”，在获取足够有用的信息后，成功攻破网络。由于安全产品的技术越来越完善，使用这些技术的人，就成为整个环节上最为脆弱的部分，加之人具有贪婪、自私、好奇、信任等心理弱点，因此通过恰当的方法和方式，入侵者完全可以从相关人员那里获取入侵所需信息。•无论任何时候，在需要套取到所需要的信息之前，社会工程学的实施者都必须：掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似，社会工程学在实施以前都是要完成很多相关的准备工作的，这些工作甚至要比其本身还要更为繁重.21主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院社会工程学网络攻击对象•基于计算机或者网络的攻击–社会工程学中基于计算机或者网络的攻击主要依赖于“诱骗”的技术，诱导被攻击的计算机或者网络的个体提供支持信息或者直接信息，而入侵者利用这些信息来进一步的获取访问该网络或计算机的信息。–在这种模型中，有一种叫反社会工程学的攻击方式尤为实用，它建立在已有场景之中，入侵者利用自己的技术创造某一种真实的环境，例如网络故障，访问不了打印机等等，需要网管人员或者系统管理员或者其它授权人员提供技术支持或者解决方案，在解决过程中会掉入入侵者事先设计好的“陷阱”，将用户账号和密码等信息泄露出来。入侵者事先进行了很多精心的准备，这种攻击方式极为隐蔽很难察觉，入侵成功的几率极大，安全风险非常高。•基于人的攻击–最简单也是最流行的攻击就是基于人的攻击，计算机和网络都不能脱离人的操作，在网络安全中，人是最薄弱的环节。社会工程学中基于人的攻击主要利用复杂的人际关系来进行欺骗。利用对人的奉承、威胁、权威等心理因素来获取访问网络等信息。任何面对面，一对一的沟通方式都可能被利用；在这种攻击中，入侵者往往从一个地方获取的信息，通过获取的信息再次去获得新的信息，而且其中一些信息还用来验证，表明我是“真的”，从而获得被攻击者的信任，套取更多的信息。22主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院利用社会工程学23主讲