网络安全防范知识

        目前，我国网络安全面临层出不穷的新问题，而维护网络安全是全社会共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。只有把网络安全意识上升并贯彻到全社会的层面中，网络安全的防线才能牢驻不倒。2020年重庆大学网络安全宣传周主题：“网络安全为人民，网络安全靠人民”。如何提升大家的网络安全防范意识，加强各类网络诈骗行为防范能力？今天，我们与大家一起分享钓鱼WIFI、恶意软件、漏洞攻击、个人信息保护、网络电信诈骗、钓鱼邮件以及居家防疫期间的线上学习与安全等方面的知识，帮助大家应对常见的网络安全风险。

 

钓鱼WI-FI

无线接入点 (AP， Access Point) 是无线网和有线网之间沟通的桥梁，是组建无线局域网(WLAN)的核心设备，相当于发射基站在移动通信网络中的角色。我们常说的Wi-Fi热点，既是指Wi-Fi信号源的位置点，也是指无线路由器一类的无线AP设备。

风险：攻击者利用人们节省流量费的心理，架设假冒的free-WiFi热点，或者发送断连信号给受害人计算机，强制使其下线，然后将其 吸引到同名恶意热点上，对受害人进行窃取数据、注入恶意软件、下载有害内容等侵害。

防范建议：

1.仔细辨认真伪：向公共场合Wi-Fi提供方确认热点名称和密码；无需密码就可以访问的Wi-Fi风险较高，尽量不要使用。

2.避免敏感业务：不要使用公共Wi-Fi进行购物、网上银行转账等操作，避免登录账户和输入个人敏感信息。如果要求安全性高，有条件的话可以使用VPN服务。

3.关闭Wi-Fi自动连接：黑客会建立同名的假冒热点，利用距离近信号强等优势成为直接入点的“邪恶双胞胎”。一旦手机自动连接上去，就会造成信息的泄露。

4.加固家用Wi-Fi：为Wi-Fi路由器设置强口令以及开启WPA2是最有效的Wi-Fi安全设置。

5.运行完全扫描：安装安全软件，进行Wi-Fi环境等安全扫描，降低安全威胁。

 

恶意软件

恶意软件指可以中断用户的计算机、手机、平板电脑或其他设备的正常运行或对其造成危害的软件。

主要包括：

1.病毒：通过感染计算机文件进行传播，以破坏或篡改用户数据，影响信息系统正常运行为主要目的。

2.蠕虫：能自我复制和广泛传播，以占用系统和网络资源为主要目的。

3.木马：以盗取用户个人信息，甚至是远程控制用户计算机为主要目的，如盗号木马、网银木马等。

4.逻辑炸弹：当计算机系统运行的过程中恰好某个条件得到满足，就触发执行并产生异常甚至灾难性后果，如删(数据)库跑路等。

5.后门：绕过安全性控制而获取对程序或系统访问权的方法。

6.勒索软件：以锁屏、加密用户文件为条件向用户勒索钱财。用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等。

防范建议：

1.要安装防火墙和防病毒软件，并及时更新病毒特征库。

2.要从官方市场下载正版软件，及时给操作系统和其他软件打补丁。

3.要为计算机系统账号设置密码，及时删除或禁用过期账号。

4.要在打开任何移动存储器前用杀毒软件进行检查。

5.要定期备份电脑、手机的系统和数据，留意异常告警，及时修复恢复。

6.不要打开来历不明的网页、邮箱链接或短信中的短链接。

7.不要执行未经杀毒扫描的下载软件。

8.不要打开QQ等聊天工具上收到的不明文件。

9.不要轻信浏览网页时弹出的“支付风险、垃圾、漏洞”等提示。

 

漏洞攻击

漏洞是指信息系统的软件、硬件或通信协议中存在的设计、实现或配置缺陷，从而可使攻击者在未授权的情况下访问或破坏系统，导致信息系统面临安全风险。

漏洞分类：

Oday漏洞：还没有可用补丁的安全漏洞。

1day漏洞：刚刚公布补丁的漏洞。微软通常在每个月的第二个星期二发布系统补丁，称作Patch Tuesday，但常有黑客根据对补丁的分析而快速发现漏洞所在，称作Exploit Wednesday。

Nday漏洞：已经发布了很久，可谓“地球人都知道”的古老漏洞。

防范建议：

1.软件漏洞普遍，隔三差五发现；关注安全提醒，及时排查隐患。

2.提示补丁修复，千万别嫌麻烦。操作系统、浏览器和其它应用软件，都要及时打补丁。

3.关闭无用服务，卸载没用软件。减少暴露途径，提高安全基线。

4.禁用危险端口，系统安全改善。开启防火墙，设置规则禁止对危险端口的访问。

 

个人信息保护

定义：个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或者反映特定自然人活动情况的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。个人敏感信息，是指一旦遭到泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

风险：

1.随手乱丢快递单，泄露姓名、电话号码、工作地点或住址。

2.星座、性格测试，泄漏姓名、出生年月。

3.分享送流量，不法分子确认手机号是有效的。

4.抢红包输入个人信息，泄露姓名、手机号。

5.微博发帖、朋友圈分享旅行信息，家中没人可能引来窃贼。

6.晒图，照片元数据中包含GPS位置信息。

7.允许陌生人查看社交网络个人档案、陌生人查看朋友圈图片，泄露生日、爱好、电话号码等信息。

8.机构数据泄露，账户信息泄露。

9.疫情期间的个人信息保护风险：远程办公系统的企业通信录、健康情况汇总、活动轨迹填报等功能，可能收集、存储用户的个人信息(例如，姓名、电话、位置信息、身份证件号码、生物特征识别数据等)，存在被滥采、滥用和泄露的风险。

防范建议：

1.要利用社交网站的安全与隐私设置保护敏感信息

2.要在安全级别较高的物理或逻辑区域内处理个人敏感信息。

3.要加密保存个人敏感信息，个人敏感信息需带出时要防止被盗、丢失。

4.要仔细阅读用户许可，只授权将个人信息转移给合法的接收

5.要注意保存或及时销毁存有个人信息的纸质资料、快递单、废弃的光盘、U盘、电脑。

6.不要在微博、朋友圈等处随意晒出个人敏感信息。

 

网络电信诈骗

网络电信诈骗通常指通过网络、电话、短信等途径，利用虚构事实或者隐瞒真相等手法，片区他人财物的诈骗手段。

种类包括：

信任类诈骗：通过冒充亲友、领导、客服、医保社保、通信运营企业、助学机构等，通过伪造各类图片公文等方式抓眼球，欺骟性很强。

同情类诈骗：伪造车祸、突发疾病等突发事件，假装心急如焚，诱骗受害人转账；虚构寻人、扶困帖子以“爱心传递*方式发布在朋友圈，实施电话吸费或电信诈骗。

威胁类诈骗：假冒公检法办案、黑社会敲诈，虚构包裹涉毒、受害人涉案、医保卡涉嫌违禁药品等场景。

贪婪类诈骗：微信传销、AA红包、天天分红、中奖、购车补贴、刷单刷钻等，利用微信等现代工具在亲友间传播，谎称低投入、高回报，诱惑力比较强。

情感类诈骗：伪装成"高富帅"、“白富美”、“颜值担当主播"等，添加好友骗取感情和信任后，以资金紧张、家人有难、冲业绩等理由骗钱。

防范建议：

1.凡是打着类似民族资产解冻旗号进行敛财的、让你交钱的，不管钱多钱少，都是诈骗。

2.凡是自称党中央、国务院领导干部，通过电话、微信、电子邮件、QQ等方式进行所谓的“委托”“授权”“任命”的，均是诈骗。

3.凡是声称缴纳数十元、上百元会费就能获利数万元、数十万元基至数百万元的各类APP、项目，均是诈骗。

4.要选择信誉良好的网站购物，将官方网站加入收藏夹备用，以免因为输入错误网址而误入钓鱼网站。

5. 不要在网上购买非正当产品，如手机监听器、毕业证书、考题 答案等。

6. 不要轻信以各种名义要求你先付款的信息，不要轻易把自己的银行卡借给他人。

7. 不要轻信任何号码发来的涉及银行转账及个人财产的短信，不向任何陌生账号转账。