信息安全意識(shí)培訓(xùn) (2)講稿

1、關(guān)于信息安全意識(shí)培訓(xùn) (2)第一張，PPT共七十七頁，創(chuàng)作于2022年6月什么是安全意識(shí)？ 安全意識(shí)（Security awareness），就是能夠認(rèn)知可能存在的安全問題，明白安全事故對(duì)組織的危害，恪守正確的行為方式，并且清楚在安全事故發(fā)生時(shí)所應(yīng)采取的措施。2第二張，PPT共七十七頁，創(chuàng)作于2022年6月我們的目標(biāo)建立對(duì)信息安全的敏感意識(shí)和正確認(rèn)識(shí)掌握信息安全的基本概念、原則和慣例了解信息安全管理體系（ISMS）概況清楚可能面臨的威脅和風(fēng)險(xiǎn)遵守IDC各項(xiàng)安全策略和制度在日常工作中養(yǎng)成良好的安全習(xí)慣最終提升IDC整體的信息安全水平3第三張，PPT共七十七頁，創(chuàng)作于2022年6月制作說明 本培訓(xùn)

2、材料由IDC信息安全管理體系實(shí)施組織安全執(zhí)行委員會(huì)編寫，并經(jīng)安全管理委員會(huì)批準(zhǔn)，供IDC內(nèi)部學(xué)習(xí)使用，旨在貫徹IDC信息安全策略和各項(xiàng)管理制度，全面提升員工信息安全意識(shí)。4第四張，PPT共七十七頁，創(chuàng)作于2022年6月現(xiàn)實(shí)教訓(xùn)追蹤問題的根源掌握基本概念了解信息安全管理體系建立良好的安全習(xí)慣重要信息的保密信息交換及備份軟件使用安全計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動(dòng)計(jì)算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會(huì)工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃法律法規(guī)尋求幫助目 錄5第五張，PPT共七十七頁，創(chuàng)作于2022年6月嚴(yán)峻的現(xiàn)實(shí)！慘痛的教訓(xùn)！第1部分

3、6第六張，PPT共七十七頁，創(chuàng)作于2022年6月 在線銀行一顆定時(shí)炸彈。 最近，南非的Absa銀行遇到了麻煩，它的互聯(lián)網(wǎng)銀行服務(wù)發(fā)生一系列安全事件，導(dǎo)致其客戶成百萬美元的損失。Absa銀行聲稱自己的系統(tǒng)是絕對(duì)安全的，而把責(zé)任歸結(jié)為客戶所犯的安全錯(cuò)誤上。Absa銀行的這種處理方式遭致廣泛批評(píng)。那么，究竟是怎么回事呢？ 一起國(guó)外的金融計(jì)算機(jī)犯罪案例7第七張，PPT共七十七頁，創(chuàng)作于2022年6月前因后果是這樣的 Absa是南非最大的一家銀行，占有35%的市場(chǎng)份額，其Internet銀行業(yè)務(wù)擁有40多萬客戶。 2003年6、7月間，一個(gè)30歲男子，盯上了Absa的在線客戶，向這些客戶發(fā)送攜帶有間諜軟

4、件（spyware）的郵件，并成功獲得眾多客戶的賬號(hào)信息，從而通過Internet進(jìn)行非法轉(zhuǎn)帳，先后致使10個(gè)Absa的在線客戶損失達(dá)數(shù)萬法郎。 該男子后來被南非警方逮捕。8第八張，PPT共七十七頁，創(chuàng)作于2022年6月間諜軟件 eBlaster 這是一個(gè)商業(yè)軟件（/），該軟件本意是幫助父母或老板監(jiān)視孩子或雇員的上網(wǎng)活動(dòng) 該軟件可記錄包括電子郵件、網(wǎng)上聊天、即使消息、Web訪問、鍵盤操作等活動(dòng)，并將記錄信息悄悄發(fā)到指定郵箱 商業(yè)殺毒軟件一般都忽略了這個(gè)商業(yè)軟件 本案犯罪人就是用郵件附件方式，欺騙受害者執(zhí)行該軟件，然后竊取其網(wǎng)上銀行賬號(hào)和PIN碼信息的9第九張，PPT共七十七頁，創(chuàng)作于2022年

5、6月我們來總結(jié)一下教訓(xùn) Absa聲稱不是自己的責(zé)任，而是客戶的問題 安全專家和權(quán)威評(píng)論員則認(rèn)為：Absa應(yīng)負(fù)必要責(zé)任，其電子銀行的安全性值得懷疑 Deloitte安全專家Rogan Dawes認(rèn)為：Absa應(yīng)向其客戶灌輸更多安全意識(shí)，并在易用性和安全性方面達(dá)成平衡 IT技術(shù)專家則認(rèn)為：電子銀行應(yīng)采用更強(qiáng)健的雙因素認(rèn)證機(jī)制（口令或PIN智能卡），而不是簡(jiǎn)單的口令 我們認(rèn)為：Absa銀行和客戶都有責(zé)任10第十張，PPT共七十七頁，創(chuàng)作于2022年6月國(guó)內(nèi)金融計(jì)算機(jī)犯罪的典型案例 一名普通的系統(tǒng)維護(hù)人員，輕松破解數(shù)道密碼，進(jìn)入郵政儲(chǔ)蓄網(wǎng)絡(luò)，盜走83.5萬元。這起利用網(wǎng)絡(luò)進(jìn)行金融盜竊犯罪的案件不久前被

6、甘肅省定西地區(qū)公安機(jī)關(guān)破獲 人民日?qǐng)?bào)，2003年12月時(shí)間：2003年11月地點(diǎn)：甘肅省定西地區(qū)臨洮縣太石鎮(zhèn)郵政儲(chǔ)蓄所人物：一個(gè)普通的系統(tǒng)管理員11第十一張，PPT共七十七頁，創(chuàng)作于2022年6月怪事是這么發(fā)生的 2003年10月5日，定西臨洮縣太石鎮(zhèn)郵政儲(chǔ)蓄所的營(yíng)業(yè)電腦突然死機(jī) 工作人員以為是一般的故障，對(duì)電腦進(jìn)行了簡(jiǎn)單的修復(fù)和重裝處理 17日，工作人員發(fā)現(xiàn)打印出的報(bào)表儲(chǔ)蓄余額與實(shí)際不符，對(duì)賬發(fā)現(xiàn)，13日發(fā)生了11筆交易，83.5萬異地帳戶是虛存（有交易記錄但無實(shí)際現(xiàn)金） 緊急與開戶行聯(lián)系，發(fā)現(xiàn)存款已從蘭州、西安等地被取走大半 儲(chǔ)蓄所向縣公安局報(bào)案 公安局向定西公安處匯報(bào) 公安處成立專案組，

7、同時(shí)向省公安廳上報(bào) 12第十二張，PPT共七十七頁，創(chuàng)作于2022年6月當(dāng)然，最終結(jié)果不錯(cuò) 經(jīng)過縝密的調(diào)查取證，我英勇機(jī)智的公安干警終于一舉抓獲這起案件的罪魁禍?zhǔn)?會(huì)寧郵政局一個(gè)普通的系統(tǒng)維護(hù)人員張某13第十三張，PPT共七十七頁，創(chuàng)作于2022年6月事情的經(jīng)過原來是這樣的 登錄到永登郵政局永登臨洮 破解口令，登錄到臨洮一個(gè)郵政儲(chǔ)蓄所 會(huì)寧的張某用假身份證在蘭州開了8個(gè)活期帳戶 張某借工作之便，利用筆記本電腦連接電纜到郵政儲(chǔ)蓄專網(wǎng)會(huì)寧 向這些帳戶虛存83.5萬，退出系統(tǒng)前刪掉了打印操作系統(tǒng) 最后，張某在蘭州和西安等地提取現(xiàn)金14第十四張，PPT共七十七頁，創(chuàng)作于2022年6月到底哪里出了紕漏

8、張某29歲，畢業(yè)于郵電學(xué)院，資質(zhì)平平，談不上精通計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)郵政儲(chǔ)蓄網(wǎng)絡(luò)的防范可謂嚴(yán)密：與Internet物理隔離的專網(wǎng)；配備了防火墻；從前臺(tái)分機(jī)到主機(jī)經(jīng)過數(shù)重密碼認(rèn)證15第十五張，PPT共七十七頁，創(chuàng)作于2022年6月可還是出事了，郁悶呀 問題究竟出在哪里？思考中哦，原來如此 16第十六張，PPT共七十七頁，創(chuàng)作于2022年6月看來，問題真的不少呀 張某私搭電纜，沒人過問和阻止，使其輕易進(jìn)入郵政儲(chǔ)蓄專網(wǎng) 臨洮縣太石鎮(zhèn)的郵政儲(chǔ)蓄網(wǎng)點(diǎn)使用原始密碼，沒有定期更改，而且被員工周知，致使張某輕松突破數(shù)道密碼關(guān)，直接進(jìn)入了操作系統(tǒng) 問題出現(xiàn)時(shí)，工作人員以為是網(wǎng)絡(luò)系統(tǒng)故障，沒有足夠重視 17第十七張，

9、PPT共七十七頁，創(chuàng)作于2022年6月總結(jié)教訓(xùn) 最直接的教訓(xùn)：漠視口令安全帶來惡果！ 歸根到底，是管理上存在漏洞，人員安全意識(shí)淡薄安全意識(shí)的提高刻不容緩！18第十八張，PPT共七十七頁，創(chuàng)作于2022年6月一起證券行業(yè)計(jì)算機(jī)犯罪案例 憑借自己的耐心和別人的粗心，股市“菜鳥”嚴(yán)某非法侵入“股神通”10個(gè)單位和個(gè)人的股票賬戶，用別人的錢磨練自己的炒股技藝 青年報(bào)，2003年12月時(shí)間：2003年6月地點(diǎn)：上海人物：26歲的待業(yè)青年嚴(yán)某19第十九張，PPT共七十七頁，創(chuàng)作于2022年6月事情是這樣的 2003年3月，嚴(yán)父在家中安裝開通“股神通”業(yè)務(wù)，進(jìn)行即時(shí)股票交易。 2003年6月的一天，嚴(yán)某偶得

10、其父一張股票交易單，上有9位數(shù)字的賬號(hào)，遂動(dòng)了“瞎貓碰死老鼠”的念頭：該證券公司客戶賬號(hào)前6位數(shù)字是相同的，只需猜后3位；而6位密碼，嚴(yán)某鎖定為“123456”。 嚴(yán)某”埋頭苦干“，第一天連續(xù)輸入了3000個(gè)數(shù)字組合，一無所獲。 第二天繼續(xù)，很快”奇跡“出現(xiàn)，嚴(yán)某順利進(jìn)入一個(gè)股票賬戶。利用相同的方法，嚴(yán)某又先后侵入了10余個(gè)股票賬戶。 嚴(yán)某利用別人的賬戶，十幾天里共買進(jìn)賣出1000多萬元股票，損失超過14萬元，直到6月10日案發(fā)。 嚴(yán)某被以破壞計(jì)算機(jī)信息系統(tǒng)罪依法逮捕。20第二十張，PPT共七十七頁，創(chuàng)作于2022年6月問題出在哪里 嚴(yán)某不算聰明，但他深知炒股的多是中老年人，密碼設(shè)置肯定不會(huì)復(fù)

11、雜。首先，作為股民，安全意識(shí)薄弱 證券公司，在進(jìn)行賬戶管理時(shí)也存在不足：初始密碼設(shè)置太簡(jiǎn)單，沒提醒客戶及時(shí)修改等 作為設(shè)備提供商，“股神通”軟件設(shè)計(jì)里的安全機(jī)制太簡(jiǎn)單脆弱，易被人利用21第二十一張，PPT共七十七頁，創(chuàng)作于2022年6月總結(jié)教訓(xùn) 又是口令安全的問題！ 又是人的安全意識(shí)問題！再次強(qiáng)調(diào)安全意識(shí)的重要性！22第二十二張，PPT共七十七頁，創(chuàng)作于2022年6月一個(gè)與物理安全相關(guān)的典型案例時(shí)間：2002年某天夜里地點(diǎn)：A公司的數(shù)據(jù)中心大樓人物：一個(gè)普通的系統(tǒng)管理員 一個(gè)普通的系統(tǒng)管理員，利用看似簡(jiǎn)單的方法，就進(jìn)入了需要門卡認(rèn)證的數(shù)據(jù)中心 來自國(guó)外某論壇的激烈討論，2002年23第二十三張

12、，PPT共七十七頁，創(chuàng)作于2022年6月情況是這樣的 A公司的數(shù)據(jù)中心是重地，設(shè)立了嚴(yán)格的門禁制度，要求必須插入門卡才能進(jìn)入。不過，出來時(shí)很簡(jiǎn)單，數(shù)據(jù)中心一旁的動(dòng)作探測(cè)器會(huì)檢測(cè)到有人朝出口走去，門會(huì)自動(dòng)打開 數(shù)據(jù)中心有個(gè)系統(tǒng)管理員張三君，這天晚上加班到很晚，中間離開數(shù)據(jù)中心出去夜宵，可返回時(shí)發(fā)現(xiàn)自己被鎖在了外面，門卡落在里面了，四周別無他人，一片靜寂 張三急需今夜加班，可他又不想打擾他人，怎么辦？24第二十四張，PPT共七十七頁，創(chuàng)作于2022年6月一點(diǎn)線索： 昨天曾在接待區(qū)慶祝過某人生日，現(xiàn)場(chǎng)還未清理干凈，遺留下很多雜物，哦，還有氣球25第二十五張，PPT共七十七頁，創(chuàng)作于2022年6月聰明

13、的張三想出了妙計(jì) 張三找到一個(gè)氣球，放掉氣 張三面朝大門入口趴下來，把氣球塞進(jìn)門里，只留下氣球的嘴在門的這邊 張三在門外吹氣球，氣球在門內(nèi)膨脹，然后，他釋放了氣球 由于氣球在門內(nèi)彈跳，觸發(fā)動(dòng)作探測(cè)器，門終于開了26第二十六張，PPT共七十七頁，創(chuàng)作于2022年6月問題出在哪里 如果門和地板齊平且沒有縫隙，就不會(huì)出這樣的事 如果動(dòng)作探測(cè)器的靈敏度調(diào)整到不對(duì)快速放氣的氣球作出反應(yīng)，也不會(huì)出此事 當(dāng)然，如果根本就不使用動(dòng)作探測(cè)器來從里面開門，這種事情同樣不會(huì)發(fā)生27第二十七張，PPT共七十七頁，創(chuàng)作于2022年6月總結(jié)教訓(xùn) 雖然是偶然事件，也沒有直接危害，但是潛在風(fēng)險(xiǎn) 既是物理安全的問題，更是管理問

14、題 切記！有時(shí)候自以為是的安全，恰恰是最不安全！物理安全非常關(guān)鍵！28第二十八張，PPT共七十七頁，創(chuàng)作于2022年6月類似的事件不勝枚舉 蘇州某中學(xué)計(jì)算機(jī)教師羅某，只因嫌準(zhǔn)備考試太麻煩，產(chǎn)生反感情緒，竟向江蘇省教育廳會(huì)考辦的考試服務(wù)器發(fā)動(dòng)攻擊，他以黑客身份兩次闖入該考試服務(wù)器，共刪除全省中小學(xué)信息技術(shù)等級(jí)考試文件達(dá)100多個(gè)，直接經(jīng)濟(jì)損失達(dá)20多萬元，后被警方抓獲。 某高校招生辦一臺(tái)服務(wù)器，因設(shè)置網(wǎng)絡(luò)共享不加密碼，導(dǎo)致共享目錄中保存的有關(guān)高考招生的重要信息泄漏，造成了惡劣的社會(huì)影響。 屢屢出現(xiàn)的關(guān)于銀行ATM取款機(jī)的問題。 29第二十九張，PPT共七十七頁，創(chuàng)作于2022年6月你碰到過類似的

15、事嗎？30第三十張，PPT共七十七頁，創(chuàng)作于2022年6月IDC曾經(jīng)發(fā)生的安全事件 (請(qǐng)?zhí)砑幼约旱膬?nèi)容)31第三十一張，PPT共七十七頁，創(chuàng)作于2022年6月CERT關(guān)于安全事件的統(tǒng)計(jì) 摘自CERT/CC的統(tǒng)計(jì)報(bào)告 2003年12月32第三十二張，PPT共七十七頁，創(chuàng)作于2022年6月過去6個(gè)月的統(tǒng)計(jì)。Source: Riptech Internet Security Threat Report. January 2002 醫(yī)療機(jī)構(gòu)應(yīng)用服務(wù)制造商非贏利機(jī)構(gòu)媒體機(jī)構(gòu)能源制造金融機(jī)構(gòu)高科技不同行業(yè)遭受攻擊的平均次數(shù)33第三十三張，PPT共七十七頁，創(chuàng)作于2022年6月CSI/FBI對(duì)安全事件損失的

16、統(tǒng)計(jì) 摘自CSI/FBI的統(tǒng)計(jì)報(bào)告 2003年12月34第三十四張，PPT共七十七頁，創(chuàng)作于2022年6月威脅和弱點(diǎn)問題的根源第2部分35第三十五張，PPT共七十七頁，創(chuàng)作于2022年6月我們時(shí)刻都面臨來自外部的威脅 信息資產(chǎn)拒絕服務(wù)邏輯炸彈黑客滲透內(nèi)部人員威脅木馬后門病毒和蠕蟲社會(huì)工程系統(tǒng)Bug硬件故障網(wǎng)絡(luò)通信故障供電中斷失火雷雨地震36第三十六張，PPT共七十七頁，創(chuàng)作于2022年6月人是最關(guān)鍵的因素 判斷威脅來源，綜合了人為因素和系統(tǒng)自身邏輯與物理上諸多因素在一起，歸根結(jié)底，還是人起著決定性的作用 正是因?yàn)槿嗽谟幸猓ü羝茐模┗驘o意（誤操作、誤配置）間的活動(dòng)，才給信息系統(tǒng)安全帶來了隱患和

17、威脅提高人員安全意識(shí)和素質(zhì)勢(shì)在必行！37第三十七張，PPT共七十七頁，創(chuàng)作于2022年6月黑客攻擊，是我們聽說最多的威脅！38第三十八張，PPT共七十七頁，創(chuàng)作于2022年6月AtomicP alerts customers to breach CNetNMar 20, 2001Nasdaq defaced.and other seasonal graffiti SecurityW Dec 27,2000AP Site Hacked Interactive WeekMar 20,2001French Group Claims DoubleClick hacked for 2 years Eco

18、mmerce Times, Mar 28, 2001 Electronic Holy War Hits D.C. Pro-Israel Site Newsbytes, Nov 3, 2000 NT remains hackers favorite VNUnet, Jan 10,2001 Hackers hit U.S., U.K., Australian government sites- InfoWorld Jan 22, 2001 Travelocity exposes customer information CNet Jan 22, 2001 U.S. Navy Hacked Secu

19、rityW, March 30,2001 Lax Security Found in IRS Electronic Filing System LA TImes, Mar 15, 2001 39第三十九張，PPT共七十七頁，創(chuàng)作于2022年6月世界頭號(hào)黑客 Kevin Mitnick 出生于1964年 15歲入侵北美空軍防務(wù)指揮系統(tǒng)，竊取核彈機(jī)密 入侵太平洋電話公司的通信網(wǎng)絡(luò) 入侵聯(lián)邦調(diào)查局電腦網(wǎng)絡(luò)，戲弄調(diào)查人員 16歲被捕，但旋即獲釋 入侵摩托羅拉、Novell、Sun、Nokia等大公司 與聯(lián)邦調(diào)查局玩貓捉老鼠的游戲 1995年被抓獲，被判5年監(jiān)禁 獲釋后禁止接觸電子物品，禁止從事計(jì)算機(jī)行

20、業(yè)40第四十張，PPT共七十七頁，創(chuàng)作于2022年6月黑客不請(qǐng)自來，乘虛而入踩點(diǎn)掃描破壞攻擊滲透攻擊獲得訪問權(quán)獲得控制權(quán)清除痕跡安裝后門遠(yuǎn)程控制轉(zhuǎn)移目標(biāo)竊密破壞41第四十一張，PPT共七十七頁，創(chuàng)作于2022年6月 踩點(diǎn)：千方百計(jì)搜集信息，明確攻擊目標(biāo) 掃描：通過網(wǎng)絡(luò)，用工具來找到目標(biāo)系統(tǒng)的漏洞 DoS攻擊：拒絕服務(wù)，是一種破壞性攻擊，目的是使資源不可用 DDoS攻擊：是DoS的延伸，更大規(guī)模，多點(diǎn)對(duì)一點(diǎn)實(shí)施攻擊 滲透攻擊：利用攻擊軟件，遠(yuǎn)程得到目標(biāo)系統(tǒng)的訪問權(quán)或控制權(quán) 遠(yuǎn)程控制：利用安裝的后門來實(shí)施隱蔽而方便的控制 網(wǎng)絡(luò)蠕蟲：一種自動(dòng)擴(kuò)散的惡意代碼，就像一個(gè)不受控的黑客了解一些黑客攻擊手段很

21、有必要42第四十二張，PPT共七十七頁，創(chuàng)作于2022年6月DoS攻擊示例 Smurf攻擊者冒充受害主機(jī)的IP地址，向一個(gè)大的網(wǎng)絡(luò)發(fā)送echo request 的定向廣播包中間網(wǎng)絡(luò)的許多主機(jī)都作出響應(yīng)，受害主機(jī)會(huì)收到大量的echo reply消息攻擊者受害者中間反彈網(wǎng)絡(luò)43第四十三張，PPT共七十七頁，創(chuàng)作于2022年6月DDoS攻擊模型 Internet Intruder Master Master Daemon Daemon Daemon Daemon Daemon Daemon Victim 44第四十四張，PPT共七十七頁，創(chuàng)作于2022年6月漏洞系統(tǒng)已打補(bǔ)丁的系統(tǒng)CodeRed蠕蟲制

22、造者DDOSDDOSDDOSDDOSDDOSDDOSDDOSRandomlyAttack RandomlyAttack RandomlyAttack Internet蠕蟲攻擊示例 CodeRed45第四十五張，PPT共七十七頁，創(chuàng)作于2022年6月威脅更多是來自公司內(nèi)部 黑客雖然可怕，可更多時(shí)候，內(nèi)部人員威脅卻更易被忽略，但卻更容易造成危害 據(jù)權(quán)威部門統(tǒng)計(jì)，內(nèi)部人員犯罪（或與內(nèi)部人員有關(guān)的犯罪）占到了計(jì)算機(jī)犯罪總量的70%以上員工誤操作蓄意破壞公司資源私用46第四十六張，PPT共七十七頁，創(chuàng)作于2022年6月一個(gè)巴掌拍不響！外因是條件 內(nèi)因才是根本！47第四十七張，PPT共七十七頁，創(chuàng)作于20

23、22年6月我們自身的弱點(diǎn)不容小視 技術(shù)弱點(diǎn) 操作弱點(diǎn) 管理弱點(diǎn)系統(tǒng)、 程序、設(shè)備中存在的漏洞或缺陷配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計(jì)或備份過程的不當(dāng)?shù)炔呗?、程序、?guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面的不足48第四十八張，PPT共七十七頁，創(chuàng)作于2022年6月人最常犯的一些錯(cuò)誤 將口令寫在便簽上，貼在電腦監(jiān)視器旁 開著電腦離開，就像離開家卻忘記關(guān)燈那樣 輕易相信來自陌生人的郵件，好奇打開郵件附件 使用容易猜測(cè)的口令，或者根本不設(shè)口令 丟失筆記本電腦 不能保守秘密，口無遮攔，上當(dāng)受騙，泄漏敏感信息 隨便撥號(hào)上網(wǎng)，或者隨意將無關(guān)設(shè)備連入公司網(wǎng)絡(luò) 事不關(guān)己，高高掛起，不報(bào)告安全事件 在系

24、統(tǒng)更新和安裝補(bǔ)丁上總是行動(dòng)遲緩 只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題49第四十九張，PPT共七十七頁，創(chuàng)作于2022年6月想想你是否也犯過這些錯(cuò)誤？50第五十張，PPT共七十七頁，創(chuàng)作于2022年6月嘿嘿，這頓美餐唾手可得嗚嗚，可憐我手無縛雞之力威脅就像這只貪婪的貓如果盤中美食暴露在外遭受損失也就難免了51第五十一張，PPT共七十七頁，創(chuàng)作于2022年6月 信息資產(chǎn)對(duì)我們很重要，是要保護(hù)的對(duì)象 外在的威脅就像蒼蠅一樣，揮之不去，無孔不入 資產(chǎn)本身又有各種弱點(diǎn)，給威脅帶來可乘之機(jī) 于是，我們面臨各種風(fēng)險(xiǎn)，一旦發(fā)生就成為安全事件時(shí)刻都應(yīng)保持清醒的認(rèn)識(shí)52第五十二張，PPT共七十七頁，創(chuàng)作于20

25、22年6月我們需要去做的就是 嚴(yán)防威脅消減弱點(diǎn)應(yīng)急響應(yīng)保護(hù)資產(chǎn)熟悉潛在的安全問題知道怎樣防止其發(fā)生知道發(fā)生后如何應(yīng)對(duì)53第五十三張，PPT共七十七頁，創(chuàng)作于2022年6月還記得消防戰(zhàn)略嗎？隱患險(xiǎn)于明火！預(yù)防重于救災(zāi)！54第五十四張，PPT共七十七頁，創(chuàng)作于2022年6月理解和鋪墊基本概念第3部分55第五十五張，PPT共七十七頁，創(chuàng)作于2022年6月 消息、信號(hào)、數(shù)據(jù)、情報(bào)和知識(shí) 信息本身是無形的，借助于信息媒體以多種形式存在或傳播： 存儲(chǔ)在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中 記憶在人的大腦里 通過網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播 信息借助媒體而存在，對(duì)現(xiàn)代企業(yè)來說具有價(jià)值，就成為信息資產(chǎn)： 計(jì)算機(jī)和

26、網(wǎng)絡(luò)中的數(shù)據(jù) 硬件、軟件、文檔資料 關(guān)鍵人員 組織提供的服務(wù) 具有價(jià)值的信息資產(chǎn)面臨諸多威脅，需要妥善保護(hù)Information什么是信息？56第五十六張，PPT共七十七頁，創(chuàng)作于2022年6月什么是信息安全？ 采取措施保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對(duì)業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。57第五十七張，PPT共七十七頁，創(chuàng)作于2022年6月CIAonfidentialityntegrityvailabilityCIA謹(jǐn)記信息安全基本目標(biāo)58第五十八張，PPT共七十七頁，創(chuàng)作于2022年6月企業(yè)管理者

27、關(guān)注的是最終目標(biāo)ConfidentialityIntegrityAvailabilityInformation59第五十九張，PPT共七十七頁，創(chuàng)作于2022年6月風(fēng)險(xiǎn)漏洞威脅控制措施安全需求資產(chǎn)價(jià)值信息資產(chǎn)防止利用ReduceIncreaseIndicateIncrease暴露具有Decrease符合對(duì)組織的影響信息安全關(guān)鍵因素及其相互關(guān)系60第六十張，PPT共七十七頁，創(chuàng)作于2022年6月實(shí)現(xiàn)信息安全可以采取一些技術(shù)手段 物理安全技術(shù)：環(huán)境安全、設(shè)備安全、媒體安全 系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)的安全性 網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問控制、VPN、入侵檢測(cè)、掃描評(píng)估 應(yīng)用安全技術(shù)：Ema

28、il安全、Web訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全 數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的CIA特性 認(rèn)證授權(quán)技術(shù)：口令認(rèn)證、SSO認(rèn)證（例如Kerberos）、證書認(rèn)證等 訪問控制技術(shù)：防火墻、訪問控制列表等 審計(jì)跟蹤技術(shù)：入侵檢測(cè)、日志審計(jì)、辨析取證 防病毒技術(shù)：?jiǎn)螜C(jī)防病毒技術(shù)逐漸發(fā)展成整體防病毒體系 災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對(duì)數(shù)據(jù)的備份61第六十一張，PPT共七十七頁，創(chuàng)作于2022年6月防火墻網(wǎng)絡(luò)入侵檢測(cè)病毒防護(hù)主機(jī)入侵檢測(cè)漏洞掃描評(píng)估VPN通道訪問控制62第六十二張，PPT共七十七頁，創(chuàng)作于2022年6月但關(guān)鍵還要看整體的信息安全管理 技術(shù)是信息安全

29、的構(gòu)筑材料，管理是真正的粘合劑和催化劑 信息安全管理構(gòu)成了信息安全具有能動(dòng)性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng) 現(xiàn)實(shí)世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的 理解并重視管理對(duì)于信息安全的關(guān)鍵作用，對(duì)于真正實(shí)現(xiàn)信息安全目標(biāo)尤其重要三分技術(shù)，七分管理！63第六十三張，PPT共七十七頁，創(chuàng)作于2022年6月務(wù)必重視信息安全管理加強(qiáng)信息安全建設(shè)工作64第六十四張，PPT共七十七頁，創(chuàng)作于2022年6月PDCA信息安全管理模型 根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來確定控制目標(biāo)與控制措施。 實(shí)施所選的安全控制措施。

30、針對(duì)檢查結(jié)果采取應(yīng)對(duì)措施，改進(jìn)安全狀況。 依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對(duì)安全措施的實(shí)施情況進(jìn)行符合性檢查。65第六十五張，PPT共七十七頁，創(chuàng)作于2022年6月可以參考的標(biāo)準(zhǔn)規(guī)范和最佳慣例ISO2700166第六十六張，PPT共七十七頁，創(chuàng)作于2022年6月安全性與方便性的平衡問題在方便性（convenience，即易用性）和安全性（security）之間是一種相反的關(guān)系提高了安全性，相應(yīng)地就降低了方便性而要提高安全性，又勢(shì)必增大成本管理者應(yīng)在二者之間達(dá)成一種可接受的平衡67第六十七張，PPT共七十七頁，創(chuàng)作于2022年6月 計(jì)算機(jī)安全領(lǐng)域一句格言： “真正安全的計(jì)算機(jī)是拔下網(wǎng)線，斷掉電源

31、，放在地下掩體的保險(xiǎn)柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！?這樣的計(jì)算機(jī)是沒法用了。絕對(duì)的安全是不存在的！68第六十八張，PPT共七十七頁，創(chuàng)作于2022年6月正確認(rèn)識(shí)信息安全 安全不是產(chǎn)品的簡(jiǎn)單堆積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程69第六十九張，PPT共七十七頁，創(chuàng)作于2022年6月整體管理思路信息安全管理體系第4部分70第七十張，PPT共七十七頁，創(chuàng)作于2022年6月 英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（British Standards Institute，BSI）制定的信息安全標(biāo)準(zhǔn)。 由信息安全方面的最佳慣例組成的一套全面的控制

32、集。 信息安全管理方面最受推崇的國(guó)際標(biāo)準(zhǔn)。ISO27001是關(guān)于信息安全管理的標(biāo)準(zhǔn)71第七十一張，PPT共七十七頁，創(chuàng)作于2022年6月ISO27001 標(biāo)準(zhǔn)包含兩個(gè)部分 ISO17799:2005：信息安全管理實(shí)施細(xì)則（Code of Practice for Information Security Management），相當(dāng)于一個(gè)工具包，體現(xiàn)了三分技術(shù)七分管理ISO27001：是建立信息安全管理系統(tǒng)（ISMS）的一套規(guī)范（Specification for Information Security Management Systems），詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求

33、，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)安全策略 Security policy安全組織 Security organisation資產(chǎn)分類與控制 Asset classification & control人員安全 Personnel security物理與環(huán)境安全 Physical & environmental security通信與操作管理 Communications & operations management系統(tǒng)開發(fā)與維護(hù) Systems development & maintenance訪問控制 Access control業(yè)務(wù)連續(xù)性管理 Business continuity

34、management符合性 Compliance72第七十二張，PPT共七十七頁，創(chuàng)作于2022年6月什么是信息安全管理體系？ 以往我們對(duì)信息安全的認(rèn)識(shí)只停留在技術(shù)和產(chǎn)品上，是只見樹木不見森林，只治標(biāo)不治本 其實(shí)，信息安全成敗，三分靠技術(shù)，七分靠管理，技術(shù)一般但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全 但以往我們的管理，只是粗淺的、靜態(tài)的、不成體系的管理 信息安全必須從整體去考慮，必須做到“有計(jì)劃有目標(biāo)、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn)”這樣的全程管理的路子，而整個(gè)的過程，必須有一套完整的文件體系來控制和指引 這就是信息安全管理體系，應(yīng)該成為組織整體管理體系的一部分73第七十三張，PPT共七十七頁，創(chuàng)作于20