IDC信息安全意識培訓教材課件

1、信息安全意識培訓從小事做起，從自身做起遵守各項安全策略和制度規(guī)范2什么是安全意識？ 安全意識（ ），就是能夠認知可能存在的安全問題，明白安全事故對組織的危害，恪守正確的行為方式，并且清楚在安全事故發(fā)生時所應采取的措施。3我們的目標建立對信息安全的敏感意識和正確認識掌握信息安全的基本概念、原則和慣例了解信息安全管理體系（）概況清楚可能面臨的威脅和風險遵守各項安全策略和制度在日常工作中養(yǎng)成良好的安全習慣最終提升整體的信息安全水平4制作說明 本培訓材料由信息安全管理體系實施組織安全執(zhí)行委員會編寫，并經安全管理委員會批準，供內部學習使用，旨在貫徹信息安全策略和各項管理制度，全面提升員工信息安全意識。5

2、現(xiàn)實教訓追蹤問題的根源掌握基本概念了解信息安全管理體系建立良好的安全習慣重要信息的保密信息交換及備份軟件使用安全計算機及網絡訪問安全人員及第三方安全管理移動計算與遠程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質安全管理警惕社會工程學應急響應和業(yè)務連續(xù)性計劃法律法規(guī)尋求幫助目 錄6嚴峻的現(xiàn)實！慘痛的教訓！第1部分7 在線銀行一顆定時炸彈。 最近，南非的銀行遇到了麻煩，它的互聯(lián)網銀行服務發(fā)生一系列安全事件，導致其客戶成百萬美元的損失。銀行聲稱自己的系統(tǒng)是絕對安全的，而把責任歸結為客戶所犯的安全錯誤上。銀行的這種處理方式遭致廣泛批評。那么，究竟是怎么回事呢？ 一起國外的金融計

3、算機犯罪案例8前因后果是這樣的 是南非最大的一家銀行，占有35%的市場份額，其銀行業(yè)務擁有40多萬客戶。 2003年6、7月間，一個30歲男子，盯上了的在線客戶，向這些客戶發(fā)送攜帶有間諜軟件（）的郵件，并成功獲得眾多客戶的賬號信息，從而通過進行非法轉帳，先后致使10個的在線客戶損失達數(shù)萬法郎。 該男子后來被南非警方逮捕。9間諜軟件 這是一個商業(yè)軟件（），該軟件本意是幫助父母或老板監(jiān)視孩子或雇員的上網活動 該軟件可記錄包括電子郵件、網上聊天、即使消息、訪問、鍵盤操作等活動，并將記錄信息悄悄發(fā)到指定郵箱 商業(yè)殺毒軟件一般都忽略了這個商業(yè)軟件 本案犯罪人就是用郵件附件方式，欺騙受害者執(zhí)行該軟件，然后

4、竊取其網上銀行賬號和碼信息的10我們來總結一下教訓 聲稱不是自己的責任，而是客戶的問題 安全專家和權威評論員則認為：應負必要責任，其電子銀行的安全性值得懷疑 安全專家 認為：應向其客戶灌輸更多安全意識，并在易用性和安全性方面達成平衡 技術專家則認為：電子銀行應采用更強健的雙因素認證機制（口令或智能卡），而不是簡單的口令 我們認為：銀行和客戶都有責任11國內金融計算機犯罪的典型案例 一名普通的系統(tǒng)維護人員，輕松破解數(shù)道密碼，進入郵政儲蓄網絡，盜走83.5萬元。這起利用網絡進行金融盜竊犯罪的案件不久前被甘肅省定西地區(qū)公安機關破獲 人民日報，2003年12月時間：2003年11月地點：甘肅省定西地區(qū)

5、臨洮縣太石鎮(zhèn)郵政儲蓄所人物：一個普通的系統(tǒng)管理員12怪事是這么發(fā)生的 2003年10月5日，定西臨洮縣太石鎮(zhèn)郵政儲蓄所的營業(yè)電腦突然死機 工作人員以為是一般的故障，對電腦進行了簡單的修復和重裝處理 17日，工作人員發(fā)現(xiàn)打印出的報表儲蓄余額與實際不符，對賬發(fā)現(xiàn)，13日發(fā)生了11筆交易，83.5萬異地帳戶是虛存（有交易記錄但無實際現(xiàn)金） 緊急與開戶行聯(lián)系，發(fā)現(xiàn)存款已從蘭州、西安等地被取走大半 儲蓄所向縣公安局報案 公安局向定西公安處匯報 公安處成立專案組，同時向省公安廳上報 13當然，最終結果不錯 經過縝密的調查取證，我英勇機智的公安干警終于一舉抓獲這起案件的罪魁禍首 會寧郵政局一個普通的系統(tǒng)維護

6、人員張某14事情的經過原來是這樣的 登錄到永登郵政局永登臨洮 破解口令，登錄到臨洮一個郵政儲蓄所 會寧的張某用假身份證在蘭州開了8個活期帳戶 張某借工作之便，利用筆記本電腦連接電纜到郵政儲蓄專網會寧 向這些帳戶虛存83.5萬，退出系統(tǒng)前刪掉了打印操作系統(tǒng) 最后，張某在蘭州和西安等地提取現(xiàn)金15到底哪里出了紕漏 張某29歲，畢業(yè)于郵電學院，資質平平，談不上精通計算機和網絡技術郵政儲蓄網絡的防范可謂嚴密：與物理隔離的專網；配備了防火墻；從前臺分機到主機經過數(shù)重密碼認證16可還是出事了，郁悶呀 問題究竟出在哪里？思考中哦，原來如此 17看來，問題真的不少呀 張某私搭電纜，沒人過問和阻止，使其輕易進入

7、郵政儲蓄專網 臨洮縣太石鎮(zhèn)的郵政儲蓄網點使用原始密碼，沒有定期更改，而且被員工周知，致使張某輕松突破數(shù)道密碼關，直接進入了操作系統(tǒng) 問題出現(xiàn)時，工作人員以為是網絡系統(tǒng)故障，沒有足夠重視 18總結教訓 最直接的教訓：漠視口令安全帶來惡果！ 歸根到底，是管理上存在漏洞，人員安全意識淡薄安全意識的提高刻不容緩！19一起證券行業(yè)計算機犯罪案例 憑借自己的耐心和別人的粗心，股市“菜鳥”嚴某非法侵入“股神通”10個單位和個人的股票賬戶，用別人的錢磨練自己的炒股技藝 青年報，2003年12月時間：2003年6月地點：上海人物：26歲的待業(yè)青年嚴某20事情是這樣的 2003年3月，嚴父在家中安裝開通“股神通”

8、業(yè)務，進行即時股票交易。 2003年6月的一天，嚴某偶得其父一張股票交易單，上有9位數(shù)字的賬號，遂動了“瞎貓碰死老鼠”的念頭：該證券公司客戶賬號前6位數(shù)字是相同的，只需猜后3位；而6位密碼，嚴某鎖定為“123456”。 嚴某”埋頭苦干“，第一天連續(xù)輸入了3000個數(shù)字組合，一無所獲。 第二天繼續(xù)，很快”奇跡“出現(xiàn)，嚴某順利進入一個股票賬戶。利用相同的方法，嚴某又先后侵入了10余個股票賬戶。 嚴某利用別人的賬戶，十幾天里共買進賣出1000多萬元股票，損失超過14萬元，直到6月10日案發(fā)。 嚴某被以破壞計算機信息系統(tǒng)罪依法逮捕。21問題出在哪里 嚴某不算聰明，但他深知炒股的多是中老年人，密碼設置肯

9、定不會復雜。首先，作為股民，安全意識薄弱 證券公司，在進行賬戶管理時也存在不足：初始密碼設置太簡單，沒提醒客戶及時修改等 作為設備提供商，“股神通”軟件設計里的安全機制太簡單脆弱，易被人利用22總結教訓 又是口令安全的問題！ 又是人的安全意識問題！再次強調安全意識的重要性！23一個與物理安全相關的典型案例時間：2002年某天夜里地點：A公司的數(shù)據(jù)中心大樓人物：一個普通的系統(tǒng)管理員 一個普通的系統(tǒng)管理員，利用看似簡單的方法，就進入了需要門卡認證的數(shù)據(jù)中心 來自國外某論壇的激烈討論，2002年24情況是這樣的 A公司的數(shù)據(jù)中心是重地，設立了嚴格的門禁制度，要求必須插入門卡才能進入。不過，出來時很簡

10、單，數(shù)據(jù)中心一旁的動作探測器會檢測到有人朝出口走去，門會自動打開 數(shù)據(jù)中心有個系統(tǒng)管理員張三君，這天晚上加班到很晚，中間離開數(shù)據(jù)中心出去夜宵，可返回時發(fā)現(xiàn)自己被鎖在了外面，門卡落在里面了，四周別無他人，一片靜寂 張三急需今夜加班，可他又不想打擾他人，怎么辦？25一點線索： 昨天曾在接待區(qū)慶祝過某人生日，現(xiàn)場還未清理干凈，遺留下很多雜物，哦，還有氣球26聰明的張三想出了妙計 張三找到一個氣球，放掉氣 張三面朝大門入口趴下來，把氣球塞進門里，只留下氣球的嘴在門的這邊 張三在門外吹氣球，氣球在門內膨脹，然后，他釋放了氣球 由于氣球在門內彈跳，觸發(fā)動作探測器，門終于開了27問題出在哪里 如果門和地板齊

11、平且沒有縫隙，就不會出這樣的事 如果動作探測器的靈敏度調整到不對快速放氣的氣球作出反應，也不會出此事 當然，如果根本就不使用動作探測器來從里面開門，這種事情同樣不會發(fā)生28總結教訓 雖然是偶然事件，也沒有直接危害，但是潛在風險 既是物理安全的問題，更是管理問題 切記！有時候自以為是的安全，恰恰是最不安全！物理安全非常關鍵！29類似的事件不勝枚舉 蘇州某中學計算機教師羅某，只因嫌準備考試太麻煩，產生反感情緒，竟向江蘇省教育廳會考辦的考試服務器發(fā)動攻擊，他以黑客身份兩次闖入該考試服務器，共刪除全省中小學信息技術等級考試文件達100多個，直接經濟損失達20多萬元，后被警方抓獲。 某高校招生辦一臺服務

12、器，因設置網絡共享不加密碼，導致共享目錄中保存的有關高考招生的重要信息泄漏，造成了惡劣的社會影響。 屢屢出現(xiàn)的關于銀行取款機的問題。 30你碰到過類似的事嗎？31曾經發(fā)生的安全事件 (請?zhí)砑幼约旱膬热?32關于安全事件的統(tǒng)計 摘自的統(tǒng)計報告 2003年12月33過去6個月的統(tǒng)計。: . 2002 醫(yī)療機構應用服務制造商非贏利機構媒體機構能源制造金融機構高科技不同行業(yè)遭受攻擊的平均次數(shù)34對安全事件損失的統(tǒng)計 摘自的統(tǒng)計報告 2003年12月35威脅和弱點問題的根源第2部分36我們時刻都面臨來自外部的威脅 信息資產拒絕服務邏輯炸彈黑客滲透內部人員威脅木馬后門病毒和蠕蟲社會工程系統(tǒng)Bug硬件故障網

13、絡通信故障供電中斷失火雷雨地震37人是最關鍵的因素 判斷威脅來源，綜合了人為因素和系統(tǒng)自身邏輯與物理上諸多因素在一起，歸根結底，還是人起著決定性的作用 正是因為人在有意（攻擊破壞）或無意（誤操作、誤配置）間的活動，才給信息系統(tǒng)安全帶來了隱患和威脅提高人員安全意識和素質勢在必行！38黑客攻擊，是我們聽說最多的威脅！39AtomicP alerts customers to breach CNetNMar 20, 2001Nasdaq defaced.and other seasonal graffiti SecurityW Dec 27,2000AP Site Hacked Interactiv

14、e WeekMar 20,2001French Group Claims DoubleClick hacked for 2 years Ecommerce Times, Mar 28, 2001 Electronic Holy War Hits D.C. Pro-Israel Site Newsbytes, Nov 3, 2000 NT remains hackers favorite VNUnet, Jan 10,2001 Hackers hit U.S., U.K., Australian government sites- InfoWorld Jan 22, 2001 Traveloci

15、ty exposes customer information CNet Jan 22, 2001 U.S. Navy Hacked SecurityW, March 30,2001 Lax Security Found in IRS Electronic Filing System LA TImes, Mar 15, 2001 40世界頭號黑客 出生于1964年 15歲入侵北美空軍防務指揮系統(tǒng)，竊取核彈機密 入侵太平洋電話公司的通信網絡 入侵聯(lián)邦調查局電腦網絡，戲弄調查人員 16歲被捕，但旋即獲釋 入侵摩托羅拉、等大公司 與聯(lián)邦調查局玩貓捉老鼠的游戲 1995年被抓獲，被判5年監(jiān)禁 獲釋后禁

16、止接觸電子物品，禁止從事計算機行業(yè)41黑客不請自來，乘虛而入踩點掃描破壞攻擊滲透攻擊獲得訪問權獲得控制權清除痕跡安裝后門遠程控制轉移目標竊密破壞42 踩點：千方百計搜集信息，明確攻擊目標 掃描：通過網絡，用工具來找到目標系統(tǒng)的漏洞 攻擊：拒絕服務，是一種破壞性攻擊，目的是使資源不可用 攻擊：是的延伸，更大規(guī)模，多點對一點實施攻擊 滲透攻擊：利用攻擊軟件，遠程得到目標系統(tǒng)的訪問權或控制權 遠程控制：利用安裝的后門來實施隱蔽而方便的控制 網絡蠕蟲：一種自動擴散的惡意代碼，就像一個不受控的黑客了解一些黑客攻擊手段很有必要43攻擊示例 攻擊者冒充受害主機的IP地址，向一個大的網絡發(fā)送echo requ

17、est 的定向廣播包中間網絡的許多主機都作出響應，受害主機會收到大量的echo reply消息攻擊者受害者中間反彈網絡44攻擊模型 45漏洞系統(tǒng)已打補丁的系統(tǒng)CodeRed蠕蟲制造者DDOSDDOSDDOSDDOSDDOSDDOSDDOSRandomlyAttack RandomlyAttack RandomlyAttack Internet蠕蟲攻擊示例 46威脅更多是來自公司內部 黑客雖然可怕，可更多時候，內部人員威脅卻更易被忽略，但卻更容易造成危害 據(jù)權威部門統(tǒng)計，內部人員犯罪（或與內部人員有關的犯罪）占到了計算機犯罪總量的70%以上員工誤操作蓄意破壞公司資源私用47一個巴掌拍不響！外因是

18、條件 內因才是根本！48我們自身的弱點不容小視 技術弱點 操作弱點 管理弱點系統(tǒng)、 程序、設備中存在的漏洞或缺陷配置、操作和使用中的缺陷，包括人員的不良習慣、審計或備份過程的不當?shù)炔呗?、程序、?guī)章制度、人員意識、組織結構等方面的不足49人最常犯的一些錯誤 將口令寫在便簽上，貼在電腦監(jiān)視器旁 開著電腦離開，就像離開家卻忘記關燈那樣 輕易相信來自陌生人的郵件，好奇打開郵件附件 使用容易猜測的口令，或者根本不設口令 丟失筆記本電腦 不能保守秘密，口無遮攔，上當受騙，泄漏敏感信息 隨便撥號上網，或者隨意將無關設備連入公司網絡 事不關己，高高掛起，不報告安全事件 在系統(tǒng)更新和安裝補丁上總是行動遲緩 只關

19、注外來的威脅，忽視企業(yè)內部人員的問題50想想你是否也犯過這些錯誤？51嘿嘿，這頓美餐唾手可得嗚嗚，可憐我手無縛雞之力威脅就像這只貪婪的貓如果盤中美食暴露在外遭受損失也就難免了52 信息資產對我們很重要，是要保護的對象 外在的威脅就像蒼蠅一樣，揮之不去，無孔不入 資產本身又有各種弱點，給威脅帶來可乘之機 于是，我們面臨各種風險，一旦發(fā)生就成為安全事件時刻都應保持清醒的認識53我們需要去做的就是 嚴防威脅消減弱點應急響應保護資產熟悉潛在的安全問題知道怎樣防止其發(fā)生知道發(fā)生后如何應對54還記得消防戰(zhàn)略嗎？隱患險于明火！預防重于救災！55理解和鋪墊基本概念第3部分56 消息、信號、數(shù)據(jù)、情報和知識 信

20、息本身是無形的，借助于信息媒體以多種形式存在或傳播： 存儲在計算機、磁帶、紙張等介質中 記憶在人的大腦里 通過網絡、打印機、傳真機等方式進行傳播 信息借助媒體而存在，對現(xiàn)代企業(yè)來說具有價值，就成為信息資產： 計算機和網絡中的數(shù)據(jù) 硬件、軟件、文檔資料 關鍵人員 組織提供的服務 具有價值的信息資產面臨諸多威脅，需要妥善保護Information什么是信息？57什么是信息安全？ 采取措施保護信息資產，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行，使安全事件對業(yè)務造成的影響減到最小，確保組織業(yè)務運行的連續(xù)性。58CIAonfidentialityntegri

21、tyvailability謹記信息安全基本目標59企業(yè)管理者關注的是最終目標ConfidentialityIntegrityAvailabilityInformation60風險漏洞威脅控制措施安全需求資產價值信息資產防止利用ReduceIncreaseIndicateIncrease暴露具有Decrease符合對組織的影響信息安全關鍵因素及其相互關系61實現(xiàn)信息安全可以采取一些技術手段 物理安全技術：環(huán)境安全、設備安全、媒體安全 系統(tǒng)安全技術：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性 網絡安全技術：網絡隔離、訪問控制、入侵檢測、掃描評估 應用安全技術：安全、訪問安全、內容過濾、應用系統(tǒng)安全 數(shù)據(jù)加密技術

22、：硬件和軟件加密，實現(xiàn)身份認證和數(shù)據(jù)信息的特性 認證授權技術：口令認證、認證（例如）、證書認證等 訪問控制技術：防火墻、訪問控制列表等 審計跟蹤技術：入侵檢測、日志審計、辨析取證 防病毒技術：單機防病毒技術逐漸發(fā)展成整體防病毒體系 災難恢復和備份技術：業(yè)務連續(xù)性技術，前提就是對數(shù)據(jù)的備份62防火墻網絡入侵檢測病毒防護主機入侵檢測漏洞掃描評估VPN通道訪問控制63但關鍵還要看整體的信息安全管理 技術是信息安全的構筑材料，管理是真正的粘合劑和催化劑 信息安全管理構成了信息安全具有能動性的部分，是指導和控制組織的關于信息安全風險的相互協(xié)調的活動 現(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說

23、是技術上的原因，不如說是管理不善造成的 理解并重視管理對于信息安全的關鍵作用，對于真正實現(xiàn)信息安全目標尤其重要三分技術，七分管理！64務必重視信息安全管理加強信息安全建設工作65信息安全管理模型 根據(jù)風險評估結果、法律法規(guī)要求、組織業(yè)務運作自身需要來確定控制目標與控制措施。 實施所選的安全控制措施。 針對檢查結果采取應對措施，改進安全狀況。 依據(jù)策略、程序、標準和法律法規(guī)，對安全措施的實施情況進行符合性檢查。66可以參考的標準規(guī)范和最佳慣例2700167安全性與方便性的平衡問題在方便性（，即易用性）和安全性（）之間是一種相反的關系提高了安全性，相應地就降低了方便性而要提高安全性，又勢必增大成本

24、管理者應在二者之間達成一種可接受的平衡68 計算機安全領域一句格言： “真正安全的計算機是拔下網線，斷掉電源，放在地下掩體的保險柜中，并在掩體內充滿毒氣，在掩體外安排士兵守衛(wèi)?！?這樣的計算機是沒法用了。絕對的安全是不存在的！69正確認識信息安全 安全不是產品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術、操作三者緊密結合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展的動態(tài)過程70整體管理思路信息安全管理體系第4部分71 英國標準協(xié)會（ ，）制定的信息安全標準。 由信息安全方面的最佳慣例組成的一套全面的控制集。 信息安全管理方面最受推崇的國際標準。27001是關于信息安全管理的標準7227001 標準包

25、含兩個部分 17799:2005：信息安全管理實施細則（ ），相當于一個工具包，體現(xiàn)了三分技術七分管理27001：是建立信息安全管理系統(tǒng)（）的一套規(guī)范（ ），詳細說明了建立、實施和維護信息安全管理系統(tǒng)的要求，指出實施機構應該遵循的風險評估標準安全策略 Security policy安全組織 Security organisation資產分類與控制 Asset classification & control人員安全 Personnel security物理與環(huán)境安全 Physical & environmental security通信與操作管理 Communications & operat

26、ions management系統(tǒng)開發(fā)與維護 Systems development & maintenance訪問控制 Access control業(yè)務連續(xù)性管理 Business continuity management符合性 Compliance73什么是信息安全管理體系？ 以往我們對信息安全的認識只停留在技術和產品上，是只見樹木不見森林，只治標不治本 其實，信息安全成敗，三分靠技術，七分靠管理，技術一般但管理良好的系統(tǒng)遠比技術高超但管理混亂的系統(tǒng)安全 但以往我們的管理，只是粗淺的、靜態(tài)的、不成體系的管理 信息安全必須從整體去考慮，必須做到“有計劃有目標、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn)”這樣的全程管理的路子，而整個的過程，必須有一套完整的文件體系來控制和指引 這就是信息安全管理體系，應該成為組織整體管理體系的一部分74建立信息安全管理體系的目的 檢驗信息安全管理現(xiàn)狀，全面評估安全風險，找到問題所在，采取措施解決問題，從而建立完善的信息安全管理體系 在此過程中，通過全員的參與，全面提升信息安