移动互联网安全课件第9章

合集下载

互联网安全教育ppt课件

你知道有哪些网络安全问题?
网络系统的安全
病毒、木马、流氓软件的危害
网络不良信息
暴力、色情、赌博、诈骗
网上隐私
银行帐号、游戏帐号、 QQ帐号、手机。
交友不慎
拐卖、偷抢、骗财骗色
目录
01 网络系统安全 02 警钟长鸣 03 抵制网络不良信息 04 健康上网 05 网络文明公约
01
网络系统安全
04
网络文明公约
网络文明公约
要善于网上学习不浏览不良信息
要诚实友好交流不侮辱欺诈他人
要增强自护意识不随意约会网友
要维护网络安全不破坏网络秩序
要有益身心健康不沉溺虚拟时空
THANKS
谢谢观赏
Pwn2Own360代表中国队夺冠
03 勒索风暴肆虐全球
Wannac网络安全有法可依
《网络安全法》正式实施
03
抵制网络不良信息
网络不良信息分类
0 1 煽动抗拒、破坏宪法和法律、行政法规实施的； 0 2 煽动颠覆国家政权，推翻社会主义制度的； 0 3 煽动分裂国家、破坏国家统一的； 0 4 煽动民族仇恨、民族歧视，破坏民族团结的； 0 5 捏造或者歪曲事实，散布谣言，扰乱社会秩序的；
如何健康上网
防止网瘾最重要的一条就是严格控制上网时间，每天以不超过两小时为宜。儿童青少年处于发育时期，更应严格节制。
遵守网络规则，保护自身安全。
学会目标管理和时间管理，提高上网效率。
积极应对生活挫折，不在网络中逃避。
“网瘾”在我国列为精神疾病
我国首部《网络成瘾诊断标准》刚于2011年 11月份通过总后卫生部批准，标准明确将上网成瘾列入精神疾病范畴。我国也因此成为第一个出台网络成瘾诊断标准的国家。

移动互联网安全问题分析ppt课件

移动互联网网络威胁
接入网非法窃听
B
用户身份仿冒
A 网络威胁
C
服务滥用占用带宽
破坏数据和信令完整性
E
D
非授权定位服务
移动互联网网络威胁案例
流量过大导致网络瘫痪
新西兰电信公司
AT&T公司该公司自推出了 iPhone之后，公司网内的数据流量3 年内激增了50倍，导致其提供的语音服务质量大幅降低， AT&T一度在纽约地区停售i-Phone 手机以减轻压力。
手机终端典型案例
黑莓手机PDF漏洞 2009年，一个黑莓手机PDF文件处理功能的漏洞被发现：当黑莓手机打开含有恶意PDF附件的邮件时，将在数据中心的服务器上安装恶意软件，安装后黑客就可以向用户发送垃圾邮件或窃取公司数据，中毒后的黑莓手机还将在升级时向 Windows系统安装恶意软件。 21岁病毒作者受雇开发iPhone应用软件 2009年11月8日， Ikee worm在澳大利亚首次被发现 2009年11月11日，感染Ikee的iPhone手机开始通过SSH服务盗窃数据 2009年11月23日，感染Ikee worm的iPhone手机僵尸网络”Duh”出现 2009年11月26日，Ikee作者town被iPhone软件公司Mogeneration雇佣 “手机骷髅” 病毒 2010年3月，“手机骷髅”的手机病毒迅速传播，该病毒主要针对Symbian S60 3系列操作系统的智能手机。感染该病毒的手机会在用户不知情的情况下暗中联网且向手机通信录中的联系人大量群发带有病毒链接的彩信和短信，直接后果是导致用户手机因大量发送信息而被收取高额费用。据CNCERT调查就发现第一周内就有13万余手机用户感染了此病毒，目前该病毒日感染量已突破20万。

移动互联网安全课件(中)

5.1.1 GSM系统简介
• 网络子系统（Network Switch Subsystem，NSS）主要包含GSM系统的交换功能和用于用户数据的移动性管理、安全性管理所需的数据库功能。同时，它对GSM用户间的通信以及GSM用户与其他通信网用户之间的通信进行管理。网络子系统（NSS）主要包含：
5.2.2 GPRS的安全机制
GPRS是在GSM网络的基础上增加新的网络实体来实现分组数据业务的。 GPRS网络基本架构示意图：
5.2.2 GPRS的安全机制
GPRS新增的网络实体包括：
•GSN（GPRS支持节点） •PCU（分组控制单元） •BG（边界网关） •CG（计费网关） •DNS（域名服务器）。
5.1.2 GSM系统的安全机制
GSM系统在安全方面采取了许多保护措施：接入网络方面对用户进行鉴权和认证；无线链路上对通信信息进行加密；对移动设备进行设备识别；用临时识别码替换用户识别码；SIM卡使用PIN码进行保护。
GSM系统的安全目标有两个：
•是防止未经授权的用户接入网络； •是保护用户的数据信息隐私。
VLR（Visitor Location Register，访问位置寄存器）：用于存储来访用户的信息。VLR是一个动态的数据库，需要与有关的归属位置寄存器 HLR进行大量的数据交换来保证数据的有效性。
5.1.1 GSM系统简介
EIR（Equipment Identity Register，设备标识寄存器）：存储与移动设备有关的参数（如国际移动设备识别号IMEI等），可以对移动设备进行识别、监视，防止未经许可的移动设备接入网络。
•GSM网络子系统， GSM网络中的AuC（鉴权中心）包含加密算法（A3和 A8）、用户标识与鉴别信息数据库。

第9章信息安全2016

安全电子交易协议SET（Secure Electronic Transaction）和身份认证协议（Kerberos）。
*
9.2.5防火墙技术
1、防火墙的功能：
最常见的保证网络安全的工具
专门用于保护网络内部安全的系统（用户、数据和资源的安全）。从某种意义上说，防火墙是一种访问控制产品，可以是一台专属的硬件，也可以是架设在一般硬件上的一套软件或一个软件。一般来说，企业选用硬件防火墙，而个人用户则采用软件防火墙。
危害系统文件
* （2）文件型病毒：附属在可执行文件内的病毒，如DIR2、CIH病毒。 * （3）混合型病毒：集引导型和文件型病毒特性于一体，如New
century病毒。
毒。
* （4）宏病毒：利用Word和Excel宏作为载体的病毒，如七月杀手病 * （5）网络病毒：利用网络的通信功能，将自身从一个结点发送到
* 信息安全
* 9.1 信息安全概述 * 9.2 信息安全技术 * 9.3 计算机病毒及黑客的防范 * 9.4 信息化社会法律意识与道德规范
*9.1 信息安全概述
*信息安全（Information
Security）通常是指信息在采集、传递、存储和应用等过程中的完整性、机密性、可用性、可控性和不可否认性。
加密技术分类
对称加密算法：使用相同的密钥加密和解密的算法 (如DES算法）
例如：将每一个字母加5, 即a加密成f,b加密成g.这种算法的密钥就是5,此加密算法使用的是对称加密技术
非对称加密算法：使用不同的密钥加密和解密的算法 (如RSA 密码体制）
* 9.2.3数字签名和数字证书技术
法律、历史、文化和道德等诸多方面。
*信息安全不单纯是技术问题，它涉及技术、管理、制度、

大学生网络安全教育手机网络ppt课件

防范网络钓鱼攻击
总结词
提高对网络钓鱼的警惕性，不轻信来自不明来源的邮件、短信或电话。
总结词
注意支付页面是否与官方网站一致，如域名是否正确、页面布局是否熟悉。
总结词
留意支付过程中是否有异常弹窗或提示，如有疑问应立即停止支付操作。
总结词
及时举报可疑的钓鱼网站和诈骗信息，向相关部门寻求帮助。
保护个人财产安全
开启双重身份验证功能，提高账户安全系数。
识别安全支付环境
总结词
确保手机操作系统和支付APP及时更新到最新版本，以修复可能存在的安全漏洞。
总结词
在官方应用商店下载支付APP，避免安装未知来源的软件。
总结词
留意支付环境中的异常情况，如突然断网、支付金额异常等，及时停止支付操作。
总结词
谨慎对待要求提供个人信息的陌生链接或邮件，避免点击或下载附件。
保障手机网络通信的机密性和完整性，防止未经授权的监听、篡改或拦截。
手机网络安全的重要性
手机已经成为人们日常生活中不可或缺的通讯和信息获取工具，因此手机网络安全对个人隐私和
财产安全至关重要。
手机网络安全关系到国家安全和社会稳定，一旦手机网络遭到攻击或破坏，可能会造成严重的后
果。
随着移动支付、移动办公等应用的普及，手机网络安全问题越来越突出，需要引起足够的重视。
防范网络诈骗
警惕陌生链接
不要随意点击来自陌生人或不可信来源的链接，防止恶意软件入侵或诈骗信息诱导。
识别诈骗信息
学会识别各类诈骗信息，如虚假中奖、冒充公检法等，避免上当受骗。
及时举报
发现可疑信息或诈骗行为，及时向相关部门举报，维护自身权益。

《网络空间安全导论》第9章计算机病毒与恶意软件

9.4 恶意软件
恶意软件俗称流氓软件，是对破坏系统正常运行的软件的统称。恶意软件介于病毒软件和正规软件之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质危害。目前，互联网上有许多恶意软件猪、划词搜索等。
9.1 计算机病毒概述
9.1.1 计算机病毒简介计算机病毒（Computer Virus）是攻击者编写的破坏计算机功能或者数据的代码，能影响计算机的使用，能自我复制的一组计算机指令或者程序代码。计算机病毒是一段程序，一段可执行的代码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。
9.4 恶意软件
9.4.1 恶意软件的概述在中国对于恶意软件定义最权威的要属于中国互联网协会反恶意软件协调工作组对恶意软件的定义。2006 年，中国互联网协会反恶意软件协调工作组在充分听取成员单位意见的基础上，最终确定了“恶意软件”定义并向社会公布：恶意软件俗称“流氓软件”，是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。
9.2 典型的计算机病毒分析
9.2.3 “梅利莎(Melissa)”病毒 “梅丽莎”病毒，是1998年春天，由美国人大卫·L·史密斯运用Word 的宏运算编写出的一个电脑病毒，其主要是通过邮件传播。邮件的标题通常为“这是给你的资料，不要让任何人看见”。
9.2 典型的计算机病毒分析
9.2.4 “爱虫(I love you)” 病毒爱虫病毒(Vbs.loveletter)，又称“我爱你”(I Love You)病毒，是一种蠕虫病毒，它与1999年的梅丽莎病毒非常相似。这个病毒可以改写本地及网络硬盘上面的某些文件，如.VBS、.HTA、.JPG、.MP3等十二种数据文件。用户机器染毒以后，邮件系统将会变慢，并可能导致整个网络系统崩溃，在全球更是造成了百亿美元的损失。

互联网及移动应用安全93页PPT

互ห้องสมุดไป่ตู้网及移动应用安全
6、法律的基础有两个，而且只有两个……公平和实用。——伯克 7、有两种和平的暴力，那就是法律和礼节。——歌德
8、法律就是秩序，有好的法律才有好的秩序。——亚里士多德 9、上帝把法律和公平凑合在一起，可是人类却把它拆开。——查·科尔顿 10、一切法律都是无用的，因为好人用不着它们，而坏人又不会因为它们而变得规矩起来。——德谟耶克斯
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、有勇气承担命运这才是英雄好汉。——黑塞 4、与肝胆人共事，无字句处读书。——周恩来 5、阅读使人充实，会谈使人敏捷，写作使人精确。——培根

移动互联网安全课件(上)

1.2.2 移动互联网的关键技术
IPv4和IPv6协议：互联网采用的是TCP/IP协议簇，IP作为TCP/IP协议簇中的网络层协议，是整个协议簇中的核心协议。IPv4是网际协议开发过程中的第四个版本，也是第一个被广泛部署的版本。IPv4是互联网的核心，也是最广泛的网际协议版本。IPv6是IETF （The Internet Engineering Task Force，国际互联网工程任务组）设计的用于替代现行IPv4协议的下一代IP协议。IPv6简化了报文首部格式，加快了报文转发，提高了吞吐量；身份认证和隐私保护是IPv6的主要特性，而且IPv6允许协议继续增加新的功能，使之适应未来的技术发展。智能终端技术：移动智能终端搭载各种操作系统，同时拥有接入互联网的能力，可以根据用户的需求定制各种功能。人们可以自行在移动终端上安装所需的应用软件、游戏等第三方服务商提供的程序，通过此类程序来不断对手机的功能进行扩充，并可以通过移动通信网络来实现无线网络接入，用户可以随时随地访问互联网获取所需的资源。
1、移动通信系统（包括3G、4G等）的基本安全需求一般包括： ① 通信系统应能唯一地标识用户。 ② 通信系统应能保密地传输数据、身份和控制信息，并确保信息的完整性。 ③ 通信系统应提供双向认证。既要确保只有合法用户可以使用网络，又要确保用户所访问的网络是值得信任的。 ④ 通信系统应保证传输信息的不可否认性。 2、通信系统一般都需要具有调度功能。通信系统的调度台应具有以下几项功能： ① 认证功能：对调度台用户身份、组成员身份和连接链路进行认证。 ② 保障通信机密性：确保组成员无法绕过安全模块，从而保证本组通信的机密性，同时需要确保调度控制信息的机密性。 ③ 保障通信完整性：确保组成员无法绕过安全模块，从而保证本组通信的完整性。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

9.1.4 移动支付安全防护
针对移动支付多种不同的应用场景，目前主要有以下4种安全技术来对支付过程实施安全防护。 1. 远程支付技术方案的安全防护技术在远程支付过程中，终端App通过TLS/SSL协议完成用户和远程服务器之间的网络安全连接，通过数字证书实现双端身份认证，并使用协商的对称会话密钥对后续传输的交易信息进行加密和完整性保护。此类方案的核心安全问题在于私钥的存储管理。
9.1.2 二维码技术
1. 二维码基本原理二维码支付手段是在我国IT技术的快速发展以及电子商务快速推进的背景
下发展起来的。常见的二维码是QR(Quick Response) Code，是一种近些年来在移动设备上流行的编码方式。二维码是用某种特定的几何图形按一定规律在平面上分布黑白相间的图形来记录数据符号信息的，在代码编制上利用了构成计算机内部逻辑的“0”和“1”比特流的概念，使用若干个与二进制相对应的几何图形来表示文字数值信息，通过图像输入设备或光电扫描设备自动识读以实现信息自动处理。
9.1.3 移动支付安全风险分析
目前，移动支付已经广泛普及，而移动支付涉及的关系方较多以及数据管理等问题，造成了移动支付各环节的复杂性，使得移动支付的安全性备受挑战。移动支付面临的主要安全风险体现在以下几个方面。 1. 移动支付的技术风险：移动支付产业链较长，涉及银行、非银行机构、清算机构、移动设备运营相关机构等多个行业。不同的场景和方案面临的安全需求和安全问题各不相同，导致移动支付的安全体系十分复杂，安全测评的难度也比较大。 2. 移动支付的应用风险：由于智能终端的操作系统及App存在安全漏洞、病毒感染等安全风险，使得移动支付应用的安全性也备受挑战。 3. 移动支付的数据安全风险：商家和用户在公用网络上传送的敏感信息易被他人窃取、滥用和非法篡改，所以必须实现信息传输的机密性和完整性，并确保交易的不可否认性。 4. 移动支付的法律风险：虽然移动支付有着广阔的发展前景，但我国相应的法律法规却还未得到相应的完善。
2. 基于单独支付硬件技术方案的安全防护技术单独支付硬件（如IC卡）提供了一种基于芯片技术的支付安全解决方案，它借助于IC卡所提供的安全计算和安全存储能力，可构建高安全性的支付体系。
9.1.4 移动支付安全防护
3. 标准NFC技术方案的安全防护技术银联云闪付、Apple Pay和Samsung Pay都是典型的标准NFC技术方案（基于智能卡和手机的支付方案），而这一方案的最大不同在于它充分利用了智能手机的功能和交易特点来有效地提高用户支付的安全性和便捷性。这主要体现在4个方面：支付标记化技术、可信执行环境技术、多因素身份认证、基于纯软件的本地安全存储技术。
2. 二维码安全性分析二维码产业促进了我国信息化建设和数字经济的发展，与此同时其发展中存在的一些问题日益凸显，开始影响到整个行业乃至经济社会的稳定健康发展。关于二维码的风险问题主要可以分为以下几个方面。（1）二维码被恶意使用：由于二维码承载的内容不能直接可见，已逐渐成为病毒木马、钓鱼网站传播的新途径。（2）越权问题：用户扫描二维码过程中可能会出现违背用户意图或骗取系统权限的越权操作行为，会对用户终端和账户安全构成威胁。（3）缺乏安全检测：由于目前缺乏二维码的安全检测技术，使得二维码成为金融诈骗的新手段。（4）隐私泄露：由于目前市场上常用的QR码、DM码等多为开源、通用的码制，直接对信息明文进行编码，增加了二维码承载的个人、企业、政府等用户信息的泄露风险。用户的私有信息可能会随着二维码的传播而被泄露，这会给用户带来困扰。
9.1.1 移动支付
移动支付将终端设备、互联网、应用提供商以及金融机构相互融合，为用户提供货币支付、生活缴纳等金融业务。要实现移动支付，除了要有一部能联网的移动终端以外，还需要具备以下条件。（1）移动运营商提供网络服务（2）银行提供线上支付服务（3）拥有一个移动支付平台（4）商户提供商品或服务
4. 条码支付方案的安全风险与防范条码支付方案从安全技术的角度来看，依然存在较大的风险和隐患。基于条码本身的技术局限性，目前条码支付的安全方案主要是结合一些系统级的安全策略来降低风险，比如，每一个条码只允许一次支付并且仅在一定的时间内有效，仅在一定的额度范围内允许无口令支付，以及与终端硬件进行一定的支付绑定。
9.2 移动互联网金融安全
➢ 9.2.1 移动互联网金融概述 ➢ 9.2.2 移动互联网下的金融科技 ➢ 9.2.3 移动互联网下的金融安全
9.2.1 移动互联网金融概述
移动互联网金融是传统金融行业与移动互联网相结合的新兴领域。移动互联网金融与传统金融服务业的区别在于两者所采用的媒介不同，移动互联网金融主要通过智能手机、平板计算机和无线POS机等各类移动设备来开展第三方支付、在线理财、信用评估审核、金融中介和金融电子商务等金融业务，因而使得移动互联网金融业务具备透明度更高、参与度更高、协作性更好、中间成本更低、操作更便捷等一系列特征。
9.1.1 移动支付
移动支付属于电子支付方式的一种，因而具有电子支付的特征，但因其与移动通信技术、无线射频技术、互联网技术相互融合，又具有自己的特征。移动支付的特点包含以下几点：（1）移动性：移动互联网时代下的支付手段打破了传统支付对于时空的限制，使用户可以随时随地进行支付活动。（2）及时性：不受时间地点的限制，信息获取更为及时，用户可以随时通过手机对账户进行查询、转账或消费支付等操作。（3）隐私性：移动支付是用户将银行卡与手机绑定，进行支付活动时，需要输入支付密码或验证指纹，而且支付密码一般不同于银行卡密码。这使得移动支付可以较好地保护用户的隐私。（4）集成性：移动支付有较高的集成度，可以为用户提供多种不同类型的服务。而且通过使用RFID、NFC、蓝牙等近距离通信技术，运营商可以将移动通信卡、公交卡、地铁卡、银行卡等各类信息整合到以手机为载体的平台中进行集成管理，为用户提供方便快捷的身份认证和支付渠道。
第9章基于移动互联网的相关应用安全
9.1 移动支付安全 9.2 移动互联网金融安全 9.3 移动数字版权保护
9.4 本章小结 9.5 习题
9.1 移动支付安全
➢ 9.1.1 移动支付 ➢ 9.1.2 二维码技术 ➢ 9.1.3 移动支付安全风险分析 ➢ 9.1.4 移动支付安全防护
9.1.1 移动支付
移动支付过程主要包括以下步骤：（1）消费者浏览商家的商品信息，选择商
品并提出购买请求。（2）商家收到购买请求并返回消费者的订
单信息。（3）商家向移动支付系统发出付款请求。（4）消费者向移动支付系统发出付款指令。（5）移动支付系统向金融机构请求付款的授权。（6）移动支付系统得到授权响应后进行扣款。（7）扣款完成后，移动支付系统向商家发出收款
9.1.2 二维码技术
3. 二维码安全风险应对策略为了进一步应对二维码可能带来的安全风险，需要落实以下几项应对措施。（1）加强政策引导，强化二维码安全发展的基础支撑明确二维码安全监管责任部门，组织建立协调统一的服务支撑体系，研究制定二维码安全发展政策和法律法规，加强我国二维码安全管理体系建设，统筹二维码产业发展，建立“自主、安全、规范、可控”的二维码产业体系。（2）建立健全标准规范体系，推动二维码产业规范发展加快推进二维码统一编码、注册管理、安全识读、安全认证等关键环节的统一标准规范的编制工作，建立健全规范统一的二维码标准体系。（3）强化安全管理技术手段，增强安全支撑能力引入敏感信息过滤、风险检测、签名认证、发布预审、加密等技术手段，提高二维码防篡改、反逆向、可溯源、安全检测等安全支撑能力，实现二维码生成及识读工具软件的统一规范管理以及二维码信息内容的有效追溯。（4）加强安全使用宣传，提高用户防范意识
移动支付的使用方式包括：短信支付、扫码支付、指纹支付、人脸支付等。一般来说，移动支付主要涉及消费者、商家、移动支付系统和金融机构。其中，移动支付系统由移动运营商提供，它在整个移动支付环节中提供了前提与可能性，维系着移动支付流程中的每一个环节，是一个具有核心纽带功能的重要组成部分。
9.1.1 移动支付
相较于发达国家，我国的二维码产业虽然起步较晚，但随着移动互联网和智能终端的普及，以及二维码作为目前唯一一款能够有效表达汉字的图码字符，我国二维码产业呈现出爆发式增长的态势，已经广泛应用于物品身份表示、广告宣传、仓储物流、产品追溯、移动支付等诸多领域，成为我国信息化建设和数字经济的重要支撑。
9.1.2 二维码技术
命令。（8）收款后，商家向移动支付系统确认收款。（9）至此，交易结束。
9.1.1 移动支付
从上面可以看出，移动支付系统是整个支付过程中具有核心功能的部分，要完成对消费者的鉴别和认证、将支付信息提供给金融机构、监督商家提供产品和服务以及进行利益分配等功能。
从认证需要验证的条件来看，常用的身份认证方式主要有以下4种。（1）用户名/密码方式：这是最简单也是常用的身份认证方法。（2）IC卡认证：IC卡是一种内置集成电路的卡片，卡片中存有与用户身份相关的数据。IC卡由专门的厂商通过专门设备生产，可以认为是不可复制的硬件。（3）生物特征识别：这是基于生物特征（如指纹、虹膜、人脸等）的识别技术。（4）数字签名：又称为“公钥数字签名”，是利用公钥密码技术实现的类似于写在纸上的物理签名技术，保证信息传输的完整性和发送者身份的真实性，以防止交易中抵赖行为的发生。
手机二维码识读业务又可分为直接识读和间接识读两种业务类型。直接识读业务是指手机根据译码得到的信息启动本地应用或直接链接网站的业务，它对二维码容量有一定要求，常用码制有QR码和GM码等。
9.1.2 二维码技术
间接识读业务是指手机需要将译码得到的信息提交给网络侧的服务器，由网络服务器控制完成相关应用，它对二维码的容量要求较低，常用码制有DM码和GM-U码等。
随着移动互联网的普及和快速发展，新技术不断涌现。其中，移动支付为人们提供方便快捷的无现金支付手段而受到广泛的应用。实际中，移动支付已被应用于购物端和移动电子商务的发展共同促进了移动支付的迅速发展。