如今,互聯(lián)網(wǎng)和我們的生活息息相關(guān),今天四川信息安全設(shè)備公司小編主要為大家講解信息安全常見誤區(qū),一起來學(xué)習(xí)一下吧!
錯(cuò)覺1 :信息安全和我們沒有什么關(guān)系,是技術(shù)人員的工作
企業(yè)的內(nèi)網(wǎng)安全往往是由非技術(shù)人員的疏忽造成的,普通員工如果不注重安全,則企業(yè)內(nèi)網(wǎng)很容易被突破。
舉個(gè)例子:某巨頭互聯(lián)網(wǎng)公司內(nèi)網(wǎng)曾因某員工不安全的電腦導(dǎo)致ARP欺騙,導(dǎo)致內(nèi)網(wǎng)dns解析遭受感染,在內(nèi)網(wǎng)的正常用戶在訪問本公司網(wǎng)址居然被轉(zhuǎn)移到木馬網(wǎng)址。
所以,信息安全工作是企業(yè)里每一個(gè)人的工作。
錯(cuò)覺2 :裝了殺毒軟件,我的信息就安全了
要知道,黑客利用0day漏洞進(jìn)行攻擊,可以輕松穿透殺毒軟件和打好較新補(bǔ)丁的系統(tǒng)。
名詞解釋:0day在安全漏洞沒有被系統(tǒng)廠商發(fā)現(xiàn),或者被發(fā)現(xiàn)但安全補(bǔ)丁沒有發(fā)布之前,這段時(shí)間,基于這個(gè)安全漏洞的攻擊,就統(tǒng)稱為0day,所以0day實(shí)際上不是一種技術(shù)形式,而是一種時(shí)間的概念。
舉個(gè)例子:今年5月12日,WannaCry勒索病毒全球大爆發(fā),至少150個(gè)國家、30萬名用戶中招,造成損失達(dá)80億美元,已經(jīng)影響到金融,能源,醫(yī)療等眾多行業(yè),造成嚴(yán)重的危機(jī)管理問題。該蠕蟲感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒,導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后,病毒會(huì)提示支付價(jià)值相當(dāng)于300美元(約合人民幣2069元)的比特幣才可解鎖。
錯(cuò)覺3 :只要輸入可信網(wǎng)站地址,就一定是安全的
DNS劫持可能讓你在即便輸入了正確的網(wǎng)址的情況下,也會(huì)進(jìn)入錯(cuò)誤的網(wǎng)站。
名詞解釋:DNS劫持是一種常見的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),DNS劫持并不只有一種攻擊途徑,有很多途徑可以劫持DNS。比如DNS劫持可以從你的主機(jī)開始,病毒木馬會(huì)改寫你的電腦的host文件,或者改寫瀏覽器的鉤子,導(dǎo)致你訪問的目標(biāo)網(wǎng)址被導(dǎo)向其控制者的手里。
舉個(gè)例子:2010年1月,www.baidu.com的域名在美國域名注冊商(REGIS-TER.COM)處被非法篡改,導(dǎo)致www.baidu.com不能被正常訪問,www.baidu.com曾經(jīng)被定向到一個(gè)黑頁“IranianCyberArmy”上,但有網(wǎng)友在瀏覽器輸入百度的IP地址訪問則證實(shí)是成功的。
錯(cuò)覺4 :互聯(lián)網(wǎng)巨頭很安全,所以我不用擔(dān)心帳號(hào)安全問題
越來越多的大型互聯(lián)網(wǎng)公司被爆出用戶數(shù)據(jù)信息泄露事件,這意味著撞庫攻擊屢屢突破巨頭防線。所以,你的賬號(hào)安不安全不僅取決于你的行為,也取決于網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)服務(wù)提供者的安全能力。
名詞解釋:
彩虹庫:黑客們將彼此拿到的數(shù)據(jù)庫里的用戶名和密碼,合并在一起,就是社工庫,也叫彩虹庫。
撞庫攻擊:由于很多用戶習(xí)慣在多個(gè)網(wǎng)站用同樣的帳號(hào)和密碼,所以一旦A網(wǎng)站的用戶密碼透露,有經(jīng)驗(yàn)的黑客會(huì)去嘗試用同樣的帳號(hào)密碼去b網(wǎng)站嘗試,這就是所謂撞庫攻擊,新浪也好,百度也好,很多巨頭都飽受撞庫攻擊的侵?jǐn)_,而且很多帳號(hào)密碼因此被泄露。
舉個(gè)例子:2016年年末,百度云遭遇撞庫攻擊,50萬的用戶賬號(hào)被盜取 。
錯(cuò)覺5 :我的密碼很復(fù)雜,一定不會(huì)被破解
獲取你的權(quán)限,其實(shí)未必需要你的密碼,通過找回密碼來暴力破解的越來越常見。
舉個(gè)例子:騰訊出過一個(gè)案例,以手機(jī)短信驗(yàn)證碼來重設(shè)密碼,但短信密碼只有4位數(shù)字,暴力破解只需要9999次,程序員輕松搞定。此外,互聯(lián)網(wǎng)數(shù)據(jù)傳輸會(huì)經(jīng)過很多設(shè)備,通過特定軟件截獲傳輸?shù)臄?shù)據(jù),可能會(huì)包括很多的敏感信息,包括不限于網(wǎng)站登錄的帳號(hào)密碼,郵件帳號(hào)密碼等等。
小編提醒:
信息安全問題與我們每個(gè)人息息相關(guān),對于企業(yè)而言:加強(qiáng)員工的信息安全科普宣貫工作,提高每一個(gè)人的信息安全意識(shí),注重企業(yè)的網(wǎng)絡(luò)安全體系建設(shè)工作;對于用戶個(gè)人而言:個(gè)人不要頻繁暴露隱私,對一些可疑的信息要做多次驗(yàn)證。