IDC信息安全意識培訓(xùn)

1、IDC信息安全意識培訓(xùn)23我們的目標(biāo)我們的目標(biāo)建立對信息安全的敏感意識和正確認(rèn)識掌握信息安全的基本概念、原則和慣例了解信息安全管理體系（ISMS）概況清楚可能面臨的威脅和風(fēng)險遵守IDC各項安全策略和制度在日常工作中養(yǎng)成良好的安全習(xí)慣最終提升IDC整體的信息安全水平45目 錄67891011121314 登錄到登錄到永登郵政局永登郵政局永登永登臨洮臨洮 破解口令，破解口令，登錄到登錄到臨洮一個郵政儲蓄所臨洮一個郵政儲蓄所 會寧的張某用假身份證會寧的張某用假身份證在蘭州開了在蘭州開了8個活期帳戶個活期帳戶 張某借張某借工作之便，工作之便，利用筆記本利用筆記本電腦連接電電腦連接電纜到郵政儲纜到郵政儲

2、蓄專網(wǎng)蓄專網(wǎng)會寧會寧 向這些帳戶虛存向這些帳戶虛存83.5萬，退萬，退出系統(tǒng)前刪掉了打印操作系統(tǒng)出系統(tǒng)前刪掉了打印操作系統(tǒng) 最后，張某在蘭州最后，張某在蘭州和西安等地提取現(xiàn)金和西安等地提取現(xiàn)金15161718安全意識的提高刻不容緩！安全意識的提高刻不容緩！19202122再次強調(diào)安全意識的重要性！再次強調(diào)安全意識的重要性！232425262728物理安全非常關(guān)鍵！物理安全非常關(guān)鍵！2930你碰到過類似的事嗎？你碰到過類似的事嗎？313233過去6個月的統(tǒng)計。Source: Riptech Internet Security Threat Report. January 2002 醫(yī)療機構(gòu) 應(yīng)用

3、服務(wù)制造商 非贏利機構(gòu) 媒體機構(gòu) 能源制造 金融機構(gòu)高科技343536 拒絕服務(wù)拒絕服務(wù)邏輯炸彈邏輯炸彈黑客滲透黑客滲透內(nèi)部人員威脅內(nèi)部人員威脅木馬后門木馬后門病毒和蠕蟲病毒和蠕蟲社會工程社會工程系統(tǒng)系統(tǒng)BugBug硬件故障硬件故障網(wǎng)絡(luò)通信故障網(wǎng)絡(luò)通信故障供電中斷供電中斷失火失火雷雨雷雨地震地震37提高人員安全意識和素質(zhì)勢在必行！提高人員安全意識和素質(zhì)勢在必行！38黑客攻擊，是我們黑客攻擊，是我們聽說最多的威脅！聽說最多的威脅！39AtomicP alerts customers to breach CNetNMar 20, 2001Nasdaq defaced.and other seaso

4、nal graffiti SecurityW Dec 27,2000AP Site Hacked Interactive WeekMar 20,2001French Group Claims DoubleClick hacked for 2 years Ecommerce Times, Mar 28, 2001 Electronic Holy War Hits D.C. Pro-Israel Site Newsbytes, Nov 3, 2000 NT remains hackers favorite VNUnet, Jan 10,2001 Hackers hit U.S., U.K., Au

5、stralian government sites- InfoWorld Jan 22, 2001 Travelocity exposes customer information CNet Jan 22, 2001 U.S. Navy Hacked SecurityW, March 30,2001 Lax Security Found in IRS Electronic Filing System LA TImes, Mar 15, 2001 40N 出生于1964年N 15歲入侵北美空軍防務(wù)指揮系統(tǒng)，竊取核彈機密N 入侵太平洋 公司的通信網(wǎng)絡(luò)N 入侵聯(lián)邦調(diào)查局電腦網(wǎng)絡(luò)，戲弄調(diào)查人員N 16

6、歲被捕，但旋即獲釋N 入侵摩托羅拉、Novell、Sun、Nokia等大公司N 與聯(lián)邦調(diào)查局玩貓捉老鼠的游戲N 1995年被抓獲，被判5年監(jiān)禁N 獲釋后禁止接觸電子物品，禁止從事計算機行業(yè)414243攻擊者冒充受害主機的IP地址，向一個大的網(wǎng)絡(luò)發(fā)送echo request 的定向廣播包中間網(wǎng)絡(luò)的許多主機都作出響應(yīng)，受害主機會收到大量的echo reply消息4445漏洞系統(tǒng)漏洞系統(tǒng)已打補丁的系統(tǒng)已打補丁的系統(tǒng)蠕蟲制造者蠕蟲制造者Internet46員工誤操作員工誤操作蓄意破壞蓄意破壞公司資源私用公司資源私用47一個巴掌拍不響！一個巴掌拍不響！外因是條件外因是條件 內(nèi)因才是根本！內(nèi)因才是根本！4

7、84950想想你是否也犯過想想你是否也犯過這些錯誤？這些錯誤？51嘿嘿，這頓美餐唾手可得嗚嗚，可憐我手無縛雞之力威脅就像這只貪婪的貓威脅就像這只貪婪的貓如果盤中美食暴露在外如果盤中美食暴露在外遭受損失也就難免了遭受損失也就難免了5253嚴(yán)防威脅嚴(yán)防威脅消減弱點消減弱點應(yīng)急響應(yīng)應(yīng)急響應(yīng)保護(hù)資產(chǎn)保護(hù)資產(chǎn)熟悉潛在的安全問題熟悉潛在的安全問題知道怎樣防止其發(fā)生知道怎樣防止其發(fā)生知道發(fā)生后如何應(yīng)對知道發(fā)生后如何應(yīng)對54555657585960風(fēng)險風(fēng)險漏洞漏洞威脅威脅控制措施控制措施安全需求安全需求資產(chǎn)價值資產(chǎn)價值防止防止ReduceIncreaseIndicateIncrease暴露具有Decrease

8、符合符合61u 物理安全技術(shù)物理安全技術(shù)：環(huán)境安全、設(shè)備安全、媒體安全u 系統(tǒng)安全技術(shù)系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性u 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問控制、VPN、入侵檢測、掃描評估u 應(yīng)用安全技術(shù)應(yīng)用安全技術(shù)：Email安全、Web訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全u 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的CIA特性u 認(rèn)證授權(quán)技術(shù)認(rèn)證授權(quán)技術(shù)：口令認(rèn)證、SSO認(rèn)證（例如Kerberos）、證書認(rèn)證等u 訪問控制技術(shù)訪問控制技術(shù)：防火墻、訪問控制列表等u 審計跟蹤技術(shù)審計跟蹤技術(shù)：入侵檢測、日志審計、辨析取證u 防病毒技術(shù)防病毒技術(shù)：單機防病毒

9、技術(shù)逐漸發(fā)展成整體防病毒體系u 災(zāi)難恢復(fù)和備份技術(shù)災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對數(shù)據(jù)的備份6263三分技術(shù)，七分管理！6465666768絕對的安全是不存在的！絕對的安全是不存在的！697071u 英國標(biāo)準(zhǔn)協(xié)會（British Standards Institute，BSI）制定的信息安全標(biāo)準(zhǔn)。u 由信息安全方面的最佳慣例組成的一套全面的控制集。u 信息安全管理方面最受推崇的國際標(biāo)準(zhǔn)。72737475信息安全組織建設(shè)規(guī)定信息安全組織建設(shè)規(guī)定信息資產(chǎn)分類管理程序信息資產(chǎn)分類管理程序信息交換管理程序信息交換管理程序信息安全培訓(xùn)管理程序信息安全培訓(xùn)管理程序人力資源管理程序人力資源管理程序法律法規(guī)符合性管理規(guī)定法律法規(guī)符合性管理規(guī)定安全事件管理程序安全事件管理程序工作環(huán)境安全管理規(guī)定工作環(huán)境安全管理規(guī)定系統(tǒng)開