电子期刊第129期

邮箱忘记用户名和密码该如何处理

  答:在客户服务工作我们发现,有些用户在使用客户端软件收发邮件或者长期未使用邮箱时出现忘记邮箱用户名和密码的情况。

  由于各单位邮箱由本单位网管负责管理,请您在忘记邮箱密码时,与您所在单位的网管老师联系,查询用户名和重置密码。国科大邮箱请致电010—88256622联系国科大网管老师。


更多问题

中国信息化“十三五”面临黄金发展期
 
  当前,新一轮科技革命和产业变革正在兴起,冲刺“全面建成小康社会”在“十三五”时期将与之并肩鼓荡奋进。毫无疑问,这会大大推进信息技术创新应用快速深化,信息化加速向互联网化、移动化、智慧化方向演进,“信息化+”和“互联网+”引发了经济社会结构、组织形式、生产生活方式发生重大变革,以信息经济、智能工业、网络社会、在线政府、数字生活为主要特征的高度信息化社会将在“十三五”期间引领我国迈入转型发展新时代。

科研信息化技术与应用

中科院信息化工作动态

中科院国际会议服务平台


技术追踪
  · 互联网金融十大信息安全风险与十大最佳安全实践
  · 黑客破解密码通常使用的10种方法
  · 恶意软件如何绕过最先进的安全措施
 

互联网金融十大信息安全风险与十大最佳安全实践
   
 

  据中国互联网信息中心发布《第35次中国互联网络发展状况统计报告》的显示,2014年中国网民规模6.49 亿,手机网民5.57亿。其中使用网上支付的用户规模达3.04亿,手机支付用户规模达到2.17亿,2014年也被认为是中国互联网金融元年。作为一项金融创新,随着大家对互联网金融关注的提升和其本身规模的不断壮大,互联网金融发展形成了第三方支付、P2P网贷、大数据金融、众筹、信息化金融机构、互联网金融门户等多种模式。据媒体报道称,中国的互联网金融市场规模已是世界第一。与此同时,国内的网络安全技术平台、安全防护机制尚不成熟,互联网金融各方参与者对于数据安全、客户信息安全的风险防患意识较弱的问题应受到更多的认识与关注。

  十大信息安全风险

  1、有组织有目的性的金融网络犯罪集团兴起。

  攻击者由过去的单兵作战,无目的的攻击转为以经济利益为目的的、具有针对性的集团化攻击。从敏感信息的收集与贩卖,到伪卡制卡,甚至网银木马的量身定制,在网络上都能找到相应的服务提供商,并且形成完整的以金融网络犯罪分子为中心的“传、取、销”的经济产业链。

  2、DDoS攻击。

  DDoS攻击是目前最有效的一种网络恶意攻击形式,近期的个案显示不同规模的银行正面临不同形式的DDoS 攻击,这包括传统SYN 攻击、DNS泛洪攻击、DNS放大攻击,以及针对应用层和内容更加难以防御的应用层DDOS 攻击。

  3、互联网业务支撑系统自身安全漏洞。

  当今的互联网,病毒、蠕虫、僵尸网络、间谍软件、DDoS犹如洪水般泛滥,所有的这一切都或多或少地从互联网业务支撑系统漏洞走过。如Apache Struts 2远程代码执行漏洞,漏洞的爆发直接导致国内的多家银行遭受恶意攻击。

  4、病毒木马。

  目前针对网上银行的木马程序、密码嗅探程序等病毒不断翻新,通过盗取客户资料,直接威胁网银安全,用户如果未对其计算机安装相应的木马查杀软件,就非常容易被感染。

  5、信息泄露。

  在互联网环境下,交易信息通过网络传输,一些交易平台并没有在“传输、存储、使用、销毁”等环节建立保护敏感信息的完整机制,大大加剧了信息泄露风险。

  6、网络钓鱼。

  虽然金融机构对钓鱼网站带来的金融信息危害极其重视,但大量钓鱼网站都建立在海外的网络空间,因而加大了安全监管的难度。

  7、移动威胁。

  移动金融信息风险,主要由于移动应用软件的信息安全隐患和用户的防范意识薄弱,给用户造成了严重的经济损失,同时也为移动金融的发展造成阻碍。

  8、APT攻击。

  由于其利益驱动特性,与交易和金钱直接相关的金融行业,成为了黑客进攻“首选”,沦为APT攻击重灾区。

  9、外包风险。

  由于其利益驱动特性,与交易和金钱直接相关的金融行业,成为了黑客进攻“首选”,沦为APT攻击重灾区。

  10、内控风险。

  互联网金融服务内控风险通常与不适当的操作和内部控制程序、信息系统失败和人工失误密切相关,该风险可能在内部控制和信息系统存在缺陷时导致不可预期的损失。

  十大信息安全最佳实践

  基于互联网技术发展起来的互联网金融,其信息安全技术还有待关注与加强。传统的信息安全防护体系已经难以提供可靠的安全防护,特别是针对APT攻击、零天型漏洞攻击或者是来自企业内部的网络攻击,当前的互联网金融系统信息安全保障体系无法提供足够的保护能力。因此,安恒信息结合行业观察以及相关实践,建议互联网金融企业进行以下安全建设,以长期保证金融系统的信息安全。

  1、制定行业标准。

  重点防范互联网金融可能出现的系统性风险,而且要坚持线上线下一致性的原则,要注重法律法规的有效衔接,不断地完善相关的监管制度。同时政府应该有一个统一的分类,并按类别制定互联网金融信息安全行业标准,指导各企业进行相应的信息安全建设和安全运维管理,提高互联网金融企业的安全准入门槛。

  2、加大信息安全投入。

  互联网金融企业应加大对信息安全技术的投资力度,应结合安全开发、安全产品、安全评估、安全管理等多个方面,从整个信息系统生命周期(ESLC)的角度来实现互联网金融长期有效的安全保障。对于已经在线的生产系统,当务之急则是采用防火墙、数据库审计、数据容灾等多种手段提升对用户和数据的安全保障能力。

  3、增强APT防护能力。

  加入APT防护控制手段,加固环境,考虑双因素认证、网络限制、反垃圾邮件过滤、WEB过滤等高级限制方式。

  4、加强信息系统的审计与风险控制。

  对越来越庞大的金融信息系统部署运维审计与风险控制系统通过账号管理、身份认证、自动改密、资源授权、实时阻断、同步监控、审计回放、自动化运维、流程管理等功能增强金融信息系统运维管理的安全性。

  5、采用自主可控的产品和技术。

  以防范阻止、检测发现、应急处置、审计追踪、集中管控等为目的,研究适合自身信息系统特点的安全保护策略和机制;开展安全审计、强制访问控制、系统结构化、多级系统安全互联访问控制、产品符合性检验等相关技术;研发用于保护重点信息系统的安全计算环境、安全区域边界、安全通信网络和安全管理中心的核心技术产品;研发自主可控的计算环境、操作系统、中间件、数据库等基础产品,实现对国外软硬件的替代;建设模拟仿真测试环境,通过可靠的测试技术和测试工具实现对信息系统的安全检测,确保降低信息系统使用过程中发生的安全事件。

  6、突出保护重点系统。

  对需要保护的信息资产进行详细梳理,以整体利益为出发点,确定出重要的信息资产或系统,然后将有限的资源投入到对于这些重要信息资源的保护当中。

  7、核心安全建设由可信队伍建设。

  对我国的金融信息系统进行核心安全建设和保障的机构,应具备专业信息安全服务能力及应急响应能力获得权威认证的、具有一定规模、具备专业扫描检测与渗透测试产品的安全服务团队。

  8、基于大数据与云计算的解决方案。

  以信息安全等级保护为基础,在控制风险的基础上,充分利用云计算和大数据的优势,建立适合互联网金融自身信息系统的建设规范与信息安全管理规范,丰富已有安全措施规范,完善整体信息安全保障体系,建立云计算和数据保护的标准体系,健全协调机制,提高协同发展能力。

  9、外包风险防范。

  实行业务外包以前,金融机构应制定外包的具体政策和标准,全面考虑业务外包的程度问题、风险集中问题,以及将多项业务外包给同一个服务商时的风险问题。同时在外包的过程中时刻对风险进行内部评估。

  10、健全内控制度。

  建立直接向最高级别领导汇报的风险管理部门,独立于所有业务部门进行风险的评估、分析和审核;根据自身的业务特点建立完整的工作流程体系;根据各业务环节的风险,总体评估自身的风险特征;根据工作流程各环节的风险点,设计标准的内部控制操作方案,以有效保障每个工作环节的准确执行。

 
  黑客破解密码通常使用的10种方法
   
 

  破解网络密码—暴力穷举。

  密码破解技术中最基本的就是暴力破解,也叫密码穷举。如果黑客事先知道了账户号码,如邮件帐号、QQ 用户帐号、网上银行账号等,而用户的密码又设置的十分简单,比如用简单的数字组合,黑客使用暴力破解工具很快就可以破解出密码来。因此用户要尽量将密码设置的复杂一些。

  破解网络密码—击键记录。

  如果用户密码较为复杂,那么就难以使用暴力穷举的方式破解,这时黑客往往通过给用户安装木马病毒,设计“击键记录”程序,记录和监听用户的击键操作,然后通过各种方式将记录下来的用户击键内容传送给黑客,这样,黑客通过分析用户击键信息即可破解出用户的密码。

  破解网络密码—屏幕记录。

  为了防止击键记录工具,产生了使用鼠标和图片录入密码的方式,这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置,通过记录鼠标位置对比截屏的图片,从而破解这类方法的用户密码。

  破解网络密码—网络钓鱼。

  “网络钓鱼”攻击利用欺骗性的电子邮件和伪造的网站登陆站点来进行诈骗活动,受骗者往往会泄露自己的敏感信息(如用户名、口令、帐号、PIN码或信用卡详细信息),网络钓鱼主要通过发送电子邮件引诱用户登录假冒的网上银行、网上证券网站,骗取用户帐号密码实施盗窃。

  破解网络密码—Sniffer(嗅探器)。

  在局域网上黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用Sniffer程序。Sniffer,中文翻译为嗅探器,是一种威胁性极大的被动攻击工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。

  当信息以明文的形式在网络上传输时,便可以使用网络监听的方式窃取网上的传送的数据包。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。任何直接通过HTTP、FTP、POP、SMTP、TELNET协议传输的数据包都会被Sniffer程序监听。

  破解网络密码—Password Reminder。

  对于本地一些保存的以星号方式密码,可以使用类似Password Reminder这样的工具破解,把Password Reminder中的放大镜拖放到星号上,便可以破解这个密码了。

  破解网络密码—远程控制。

  使用远程控制木马监视用户本地电脑的所有操作,用户的任何键盘和鼠标操作都会被远程的黑客所截取。

  破解网络密码—不良习惯。

  有一些公司的员工虽然设置了很长的密码,但是却将密码写在纸上,还有人使用自己的名字或者自己生日做密码,还有些人使用常用的单词做密码,这些不良的习惯将导致密码极易被破解。

  破解网络密码—分析推理。

  如果用户使用了多个系统,黑客可以通过先破解较为简单的系统的用户密码,然后用已经破解的密码推算出其他系统的用户密码,比如很多用户对于所有系统都使用相同的密码。

  破解网络密码—密码心理学。

  很多着名的黑客破解密码并非用的什么尖端的技术,而只是用到了密码心理学,从用户的心理入手,从细微入手分析用户的信息,分析用户的心理,从而更快的破解出密码。其实,获得信息还有很多途径的,密码心理学如果掌握的好,可以非常快速破解获得用户信息。

  密码是保护我们隐私的很有效和实用的工具之一,但我们在应用过程中也要注意安全问题的存在,黑客们的手段千变万化,我们应对起来也是非常困难的,希望读者能够了解以上的破解密码的方法,从根本上了解黑客,才能对症下药。

 

恶意软件如何绕过最先进的安全措施
   
 

  这年头几乎每周都会爆出新的报道,主题是某家财力雄厚的大型蓝筹公司遭到数据泄密事件。这些公司通常购买并部署最先进的安全工具,可是攻击者照样能够突破它们的层层防线。更不糟糕的是,许多攻击常常长达数个月没有被发现。不妨看看这种情况是如何发生的。

  攻击途径

  每次泄密事件必须利用至少一种攻击途径,才能将持续性恶意软件安装到受害组织的网络上。手法老到的攻击者经常使用多阶段恶意软件,最初只是安装小小的后门而已。这让更复杂的工具之后得以部署到机器和网络上。

  可以使用几种攻击途径,实现主恶意软件的安装,有时也被称为感染。其目标始终是运行恶意代码。一些最常见的攻击途径如下:

  基于浏览器的社会工程学伎俩:用户受诱骗点击貌似合法的URL,该URL利用了Java和Flash中浏览器或浏览器插件的安全漏洞,进而触发代码执行操作。更先进的攻击可以隐藏在合法流量当中,根本不需要任何用户交互。这些通常被称作路过式下载。

  基于电子邮件的社会工程学伎俩和鱼叉式网络钓鱼:用户收到含有隐藏或可见的二进制代码的电子邮件,一旦用户点开邮件,代码就会执行。

  登录凭据盗窃:被猜中或被盗窃的登录凭据被用来访问远程机器,并执行(恶意)代码,比如安装后门。

  为了逃避检测,恶意软件会在安装过程中及安装之后采用五种主要的手法

  包装。这个过程将恶意载荷(安装程序或恶意软件本身)附加到合法文件上。合法文件被安装后,恶意载荷一块安装(通常在合法文件安装之前安装)。利用静态特征来检测包装文件基本上没有效果,因为新的文件可轻松定期创建,而且常常生成误报。通过盗版软件和P2P网络分发的Windows和OS X恶意软件通常采用这种手法。IceFog是一种众所周知的恶意软件,它通常用貌似合法的CleanMyMac应用程序来包装,用来攻击OS X用户。在Windows平台上,OnionDuke与通过Tor网络共享的合法的Adobe安装程序结合使用,以感染机器。

  混淆。这是指篡改高级代码或二进制代码,并不影响代码的功能,但是完全改变了其二进制特征。混淆最初用来保护合法软件避免反向工程和盗版。恶意软件作者采用了这种手法来绕过反病毒引擎,扰乱手动安全研究。使用XOR编码是实现混淆的方法之一。隐藏进程及文件名、注册表项、URL以及其他有用信息,可以大大减慢对新的恶意软件样本进行调查/反向工程的进度。

  压缩工具。这些软件工具被用来压缩和编码二进制文件,这是另一种混淆手段。压缩工具通常嵌有恶意二进制代码,它在运行时会将载荷“解压缩”到内存中,并执行它。如今使用几种常见的压缩机制,比如UPX、PECompact、Armadillo及其他此类工具。这种手法在规避静态特征引擎方面极其有效。

  反调试。就像混淆那样,反调试最初是软件开发人员为了保护商用代码避免反向工程而开发的。反调试可以防止二进制代码在虚拟机、安全沙盒及其他仿真环境中被人分析。比如说,ZeroAccess恶意软件采用了一种自调试手法,目的是为了阻止外部调试活动。另一个例子是恶意软件企图长时间地延迟执行(或睡眠)。这一招适用于绕开沙盒解决方案,因为这种解决方案只能将二进制代码在仿真环境下保持一段时间,然后将它们分类为良性代码,将它们释放到网络上。

  瞄准。实施这种手法的前提通常是,恶意软件旨在攻击某种特定类型的系统(比如Windows XP SP 3) 、应用程序(比如Internet Explorer 10)及/或配置(比如检测到未运行VMWare工具的机器,这常常表明使用了虚拟化技术)。瞄准手法确保只有在达到特定的条件时,才触发并安装恶意软件,这让恶意软件能够规避沙盒中的检测,因为它们不像受到攻击的主机。

  正如恶意软件的规避技术不断发展,我们的安全措施也要与时俱进。如今业界在开展大量的工作,旨在从传统的基于特征的静态安全方法,改为基于行为的剖析、分析以及安全解决方案之间的实时信息共享。我们在研究分析上述恶意软件手法后明白的一个道理是,我们让落实的安全措施越靠近被瞄准的资产,就越有可能检测并阻止恶意软件。

 

 
7*24专线:010-58812000   技术支持邮箱:support@cstnet.cn   垃圾邮件投诉邮箱:abuse@cstnet.cn
    © 1994-2015 版权所有:中国科技网网络中心     意见反馈: support@cstnet.cn