培訓(xùn)-信息安全意識交流

信息安全意識深圳市網(wǎng)安計算機(jī)安全檢測技術(shù)有限公司2014.72023/12/81講師簡介袁源，信息安全領(lǐng)域博士后，長期從事信息安全技術(shù)、管理、規(guī)劃工作，以及信息安全產(chǎn)品、技術(shù)理論與研發(fā)等相關(guān)工作。主持并參與了國家“十五”、“十一五”規(guī)劃的多個信息安全項目?，F(xiàn)擔(dān)任網(wǎng)安公司總工程師，負(fù)責(zé)公司所有等保測評、安全運(yùn)維、安全咨詢項目的技術(shù)方案、現(xiàn)場實(shí)施和質(zhì)量管理工作。持有證書：CISA/CISP/27001LA/等級保護(hù)高級測評師2023/12/821234信息安全現(xiàn)狀信息安全認(rèn)識主要內(nèi)容信息安全常用控制措施信息安全技術(shù)理論2023/12/83關(guān)于信息安全的一些誤解信息安全就是防黑客信息安全就是網(wǎng)絡(luò)安全信息安全就是防病毒信息安全就是技術(shù)問題信息安全就是應(yīng)付上級檢查信息安全就是給我們找麻煩2023/12/84信息安全事件（一）電視選秀節(jié)目場外抽獎均為詐騙由于《我是歌手》、《中國最強(qiáng)音》、《中國夢之聲》等綜藝節(jié)目在上半年火爆流行，因此各種假冒電視綜藝節(jié)目的中獎類釣魚網(wǎng)站急速增多。據(jù)統(tǒng)計，今年虛假中獎類網(wǎng)站占釣魚網(wǎng)站總數(shù)的32%，位列釣魚網(wǎng)站第一，成為用戶隱私信息及財產(chǎn)安全的最大威脅。假冒節(jié)目中獎類釣魚網(wǎng)站會通過短信、彩信、郵件、QQ，甚至是傳真等多種渠道散播虛假中獎信息，以十幾萬元的高額獎金及蘋果電腦等豐厚獎品作為誘餌，將網(wǎng)友指向制作精良、難辨真?zhèn)蔚母叻箩烎~網(wǎng)站進(jìn)行釣魚詐騙。在“領(lǐng)獎過程”中，騙子會通過假冒的領(lǐng)獎信息頁面套取網(wǎng)友的姓名、電話、住址、銀行卡號和身份證等重要個人信息，以便牟取暴利。同時，騙子還會以獎金獎品的轉(zhuǎn)賬及運(yùn)輸風(fēng)險抵押金為名，讓用戶匯款幾千甚至上萬元到指定賬戶，達(dá)到騙取錢財?shù)哪康摹?023/12/85信息安全事件（二）棱鏡門事件2013年6月，一位名為愛德華?斯諾登的前美國中央情報局（CIA）雇員在香港露面，并向媒體披露了一些機(jī)密文件，致使包括“棱鏡”項目在內(nèi)的美國政府多個秘密情報監(jiān)視項目遭到披露。據(jù)了解，“棱鏡”項目涉及美國情報機(jī)構(gòu)在互聯(lián)網(wǎng)上對包括中國在內(nèi)的多個國家10類主要信息進(jìn)行監(jiān)聽，其包括電郵信息、即時消息、視頻、照片、存儲數(shù)據(jù)、語音聊天、文件傳輸、視頻會議、登錄時間、社交網(wǎng)絡(luò)資料等細(xì)節(jié)。涉及“棱鏡門”的思科產(chǎn)品，在國內(nèi)163、169兩大主干通訊網(wǎng)絡(luò)中占據(jù)了70%以上份額，把持了所有超級核心節(jié)點(diǎn)，這無異于在國內(nèi)的主要通訊網(wǎng)絡(luò)中埋下了高危的定時炸彈，各類敏感信息隨時都面臨被第三方監(jiān)聽、備份的風(fēng)險。2023/12/86信息安全事件（三）東航等多家航空公司疑泄露乘客信息

從2013年9月開始，陸續(xù)有消費(fèi)者通過微博等網(wǎng)絡(luò)信息平臺發(fā)布投訴，稱自己在訂購了機(jī)票之后，收到了一條短信稱其航班被取消，要求聯(lián)系短信中所提供400開頭的“客服號碼”，結(jié)果在通話過程中提供了個人銀行賬戶，蒙受了幾百至數(shù)千元不等的損失。盡管并非所有乘客都與詐騙方聯(lián)系從而被套走錢款，但他們在意識到遭遇詐騙短信后提出了共同的疑問：詐騙方是如何知道乘客姓名、航班班次、訂單號甚至身份證號、護(hù)照號等詳細(xì)信息的。

此案涉及南航、東航、山東航空、深圳航空等多家國內(nèi)知名航空公司。2023/12/87信息安全事件（四）陜西移動BBS積分漏洞2008年，陜西移動開啟BBS，為吸引人氣，推出發(fā)一個帖子給10個積分的活動，積分可以換取禮品和話費(fèi)。但是BBS出現(xiàn)一個漏洞，編輯一個帖子并不停按回車鍵就可以不停的發(fā)新帖，短時間內(nèi)積分可迅速增加。

2012年京東商城網(wǎng)站積分換話費(fèi)的活動也出現(xiàn)了重大漏洞，充值未成功的積分則會被雙倍退回賬戶。該漏洞被網(wǎng)友發(fā)現(xiàn)后，在網(wǎng)絡(luò)上被大量轉(zhuǎn)發(fā)，不少用戶都充值了上千元的Q幣、購買數(shù)百元的彩票，甚至還有用戶稱充值了36萬元的話費(fèi)。業(yè)界人士預(yù)計京東虧損在2億左右。2023/12/88信息安全事件（五）二維碼病毒黑客將病毒、木馬程序或手機(jī)扣費(fèi)軟件等網(wǎng)站鏈接生成二維碼形式的圖形，偽裝于打折、促銷廣告或者熱門游戲、系統(tǒng)升級軟件中，誘導(dǎo)用戶掃描（掃描二維碼相當(dāng)于點(diǎn)擊了一次病毒鏈接）。用戶掃描后，惡意程序在后臺運(yùn)行，使用戶發(fā)送短信，消耗流量、造成話費(fèi)流失。如果用戶在手機(jī)上使用電子商務(wù)應(yīng)用，可能造成用戶電子商務(wù)信息的丟失，國內(nèi)經(jīng)常發(fā)生掃描二維碼后支付寶資金被轉(zhuǎn)走的事件。

注意：到官方網(wǎng)站下載二維碼掃描軟件不要見碼就刷，確認(rèn)該二維碼出自正規(guī)網(wǎng)站在手機(jī)預(yù)裝殺毒軟件2023/12/89信息安全不再是高科技電影中的橋段，在工作、生活中面臨信息安全帶來的各種威脅。從多個案例看，無論是個人隱私，還是企業(yè)機(jī)密，乃至國家機(jī)要，都面臨著全面泄密的風(fēng)險。智能移動設(shè)備帶來的信息安全風(fēng)險最大。隨著技術(shù)的日益發(fā)展，信息安全問題將有可能成為影響企業(yè)生存發(fā)展的致命傷。案例思考2023/12/810什么是信息？

通常我們可以把信息理解為消息、信號、數(shù)據(jù)、情報和知識。

信息本身是無形的，借助于信息媒體以多種形式存在或傳播：存儲在計算機(jī)、磁帶、紙張等介質(zhì)中記憶在人的大腦里通過網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播

信息借助媒體而存在，對現(xiàn)代企業(yè)來說具有價值，就成為信息資產(chǎn)：計算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù)硬件和軟件關(guān)鍵人員組織提供的服務(wù)各類文檔2023/12/811信息生命周期創(chuàng)建傳遞銷毀存儲使用更改2023/12/812什么是信息安全？不止技術(shù)才是信息安全采取技術(shù)與管理措施保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。2023/12/813C保密性（Confidentiality）——確保信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)用戶或?qū)嶓w。完整性（Integrity）——確保信息在存儲、使用、傳輸過程中不會被非授權(quán)篡改，防止授權(quán)用戶或?qū)嶓w不恰當(dāng)?shù)匦薷男畔ⅲ３中畔?nèi)部和外部的一致性?？捎眯裕ˋvailability）——確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。CIA三元組是信息安全的目標(biāo)，也是基本原則，與之相反的是DAD三元組：IADisclosureAlterationDestruction泄漏破壞篡改信息安全的三要素CIA2023/12/814保護(hù)組織的信息資產(chǎn)，使之不壞、更改及泄露，保證信息確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。ConfidentialityIntegrityAvailabilityInformation信息安全的實(shí)質(zhì)2023/12/815信息安全現(xiàn)狀統(tǒng)計2023/12/816信息安全現(xiàn)狀統(tǒng)計2012年，檢測到惡意程序162981個，較2011年增加25倍。其中，82.5%針對android平臺，惡意扣費(fèi)軟件占據(jù)第一位。2023/12/817信息安全現(xiàn)狀統(tǒng)計2012年，火焰病毒、高斯病毒、紅色十月病毒等實(shí)施復(fù)雜apt攻擊的惡意程序頻現(xiàn)，其功能以收集信息和竊取情報為主，且均已隱蔽工作了數(shù)年。涉及政府機(jī)構(gòu)、重要信息系統(tǒng)部門和高新技術(shù)企事業(yè)單位。2023/12/8181234信息安全現(xiàn)狀信息安全認(rèn)識主要內(nèi)容信息安全常用控制措施信息安全技術(shù)理論2023/12/819信息安全威脅無處不在

信息資產(chǎn)流氓軟件黑客滲透內(nèi)部人員威脅病毒和蠕蟲硬件故障網(wǎng)絡(luò)通信故障供電中斷失火雷雨地震拒絕服務(wù)社會工程系統(tǒng)漏洞木馬后門2023/12/820小測試

您每次是雙擊打開U盤嗎？

您離開自己的電腦會鎖屏嗎？

您會點(diǎn)擊不明郵件發(fā)來的鏈接嗎？您的電腦定期更換密碼嗎？2023/12/821安全名言計算機(jī)安全領(lǐng)域一句格言：“真正安全的計算機(jī)是拔下網(wǎng)線，斷掉電源，放在地下掩體的保險柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！苯^對的安全是不存在的！2023/12/822安全名言“人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術(shù)、防火墻、入侵檢測系統(tǒng)、生物鑒別設(shè)備，可只要有人給毫無戒心的員工打個電話……”——KevinMitnick人是信息安全最薄弱的環(huán)節(jié)！2023/12/823安全名言安全是一種平衡！2023/12/824安全名言安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平保密性與可用性平衡成本利益的平衡2023/12/825信息安全并不是無數(shù)的信息安全產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動態(tài)過程。安全名言2023/12/8261234信息安全現(xiàn)狀信息安全認(rèn)識主要內(nèi)容信息安全常用控制措施信息安全技術(shù)理論2023/12/827物理安全信息資產(chǎn)安全移動介質(zhì)安全電子郵件安全防病毒及惡意軟件防范社會工程學(xué)口令安全信息安全控制2023/12/828物理安全控制措施（舉例）物理區(qū)域設(shè)置門禁，出入登記關(guān)鍵物理區(qū)域，安排接待人員或門衛(wèi)所有人員必須佩戴相應(yīng)的身份識別卡進(jìn)門注意身后是否有無關(guān)人員，防止尾隨所有人員不得將身份識別卡借與他人使用物理區(qū)域應(yīng)劃分為不同的安全級別，分別標(biāo)識與控制定期備份機(jī)房視頻錄像2023/12/829物理安全信息資產(chǎn)安全移動介質(zhì)安全電子郵件安全防病毒及惡意軟件防范社會工程學(xué)口令安全信息安全控制2023/12/830信息資產(chǎn)安全控制措施（舉例）信息資產(chǎn)要按照敏感性進(jìn)行分類與標(biāo)識員工對信息資產(chǎn)的訪問應(yīng)根據(jù)其工作職責(zé)及信息資產(chǎn)的敏感性設(shè)置不同的訪問控制措施明確各類信息資產(chǎn)的管理及使用職責(zé)2023/12/831信息安全控制物理安全信息資產(chǎn)安全移動介質(zhì)安全電子郵件安全防病毒及惡意軟件防范社會工程學(xué)口令安全2023/12/832移動介質(zhì)安全控制措施（舉例）未經(jīng)批準(zhǔn)，嚴(yán)禁攜帶移動介質(zhì)進(jìn)入機(jī)房等敏感區(qū)域，在機(jī)房內(nèi)必須使用專用的移動介質(zhì)。移動介質(zhì)內(nèi)臨時存儲的敏感數(shù)據(jù)應(yīng)及時清除。在自己的辦公電腦上使用別人的移動介質(zhì)前應(yīng)查殺病毒。2023/12/833物理安全信息資產(chǎn)安全移動介質(zhì)安全電子郵件安全防病毒及惡意軟件防范社會工程學(xué)口令安全信息安全控制2023/12/834電子郵件安全控制措施（舉例）在接收或發(fā)送電子郵件前，公司的防病毒服務(wù)器應(yīng)對所有電子郵件的附件進(jìn)行安全掃描。辦公電腦要安裝防病毒軟件，并打開郵件監(jiān)控功能，及時更新病毒庫。不隨便打開陌生地址郵件的附件。2023/12/835物理安全信息資產(chǎn)安全移動介質(zhì)安全電子郵件安全防病毒及惡意軟件防范社會工程學(xué)口令安全信息安全控制2023/12/836常見的計算機(jī)病毒網(wǎng)絡(luò)蠕蟲利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。蠕蟲Worm木馬Trojan木馬病毒一種后門程序，商業(yè)目的特征強(qiáng)，主要目的是偷竊計算機(jī)上的敏感信息（如銀行賬戶、游戲賬號等）。2023/12/837病毒防范策略控制措施（舉例）升級操作系統(tǒng)，更新補(bǔ)丁。安裝并更新殺毒軟件及木馬防火墻。不要隨意下載或安裝不明網(wǎng)站軟件。用殺毒軟件定期全盤掃描計算機(jī)。2023/12/838物理安全信息資產(chǎn)安全移動介質(zhì)安全電子郵件安全防病毒及惡意軟件防范社會工程口令安全信息安全控制2023/12/839什么是社會工程學(xué)定義為某些非容易的獲取訊息，利用社會科學(xué)（此指其中的社會常識）尤其心理學(xué)，語言學(xué)，欺詐學(xué)將其進(jìn)行綜合，有效的利用（如人性的弱點(diǎn)），并最終獲得信息為最終目的學(xué)科稱為“社會工程學(xué)”。常見方式冒充銀行人員誘導(dǎo)客戶轉(zhuǎn)賬到指定賬戶。（如ATM詐騙）偷聽內(nèi)部員工在走廊里的聊天內(nèi)容。冒充郵差，清潔工等外部人員進(jìn)入公司竊取敏感資料。冒充廠商技術(shù)人員打電話獲取內(nèi)部信息（如網(wǎng)絡(luò)地址，端口號等）2023/12/840典型社會工程應(yīng)用——網(wǎng)絡(luò)釣魚定義網(wǎng)絡(luò)釣魚（Phishing）攻擊者利用欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行網(wǎng)絡(luò)詐騙活動，受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內(nèi)容。詐騙者通常會將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。2023/12/841釣魚網(wǎng)站類型2023/12/842新型釣魚方法示例2023/12/843如何防范網(wǎng)絡(luò)釣魚控制措施（舉例）不要把自己的隱私資料通過網(wǎng)絡(luò)傳輸，包括銀行卡號碼、身份證號、電子商務(wù)網(wǎng)站賬戶等資料不要通過QQ、MSN、Email等軟件傳播，這些途徑往往可能被黑客利用來進(jìn)行詐騙。不要相信網(wǎng)上流傳的消息，除非得到權(quán)威途徑的證明。如股票QQ群發(fā)布的信息。不要在網(wǎng)站注冊時透露自己的真實(shí)資料。例如住址、住宅電話、手機(jī)號碼、自己使用的銀行賬戶、自己經(jīng)常去的消費(fèi)場所等。騙子們可能利用這些資料去欺騙你的朋友。不要輕易相信通過電子郵件、手機(jī)短信等發(fā)布的中獎信息、促銷信息等，除非得到另外途徑的證明。收到類似短信“錢還沒打吧，我那卡磁條壞了，請匯到這個卡上就行了，農(nóng)業(yè)銀行xxxxxxxxxxxxxxxx，戶名：XXX”2023/12/844物理安全信息資產(chǎn)安全移動介質(zhì)安全電子郵件安全防病毒及惡意軟件防范社會工程口令安全信息安全控制2023/12/845脆弱的口令舉例少于8個字符單一的字符類型，例如只用小寫字母，或只用數(shù)字用戶名與口令相同最常被人使用的弱口令：123456自己、家人、朋友、親戚、寵物的名字生日、結(jié)婚紀(jì)念日、電話號碼等個人信息2023/12/846安全口令建議口令至少應(yīng)該由8個字符組成口令應(yīng)包含大小寫字母口令應(yīng)包含數(shù)字、特殊字符不要使用常用的英文單詞不要本人的姓名、生日2023/12/847日常工作安全注意事項

嚴(yán)格遵守公司各項信息安全制度日常工作中，應(yīng)嚴(yán)格按照系統(tǒng)的操作流程、安全規(guī)范進(jìn)行操作不要隨意從互聯(lián)網(wǎng)下載或安裝軟件不要隨意打開從E-mail或IM（QQ、MSN等）中傳來的不明附件不要點(diǎn)擊他人發(fā)送的不明鏈接，不登錄不明網(wǎng)站防病毒軟件必須持續(xù)更新，病毒庫保持最新感染病毒的計算機(jī)必須從網(wǎng)絡(luò)中隔離(撥除連接的網(wǎng)線)直至清除病毒發(fā)生任何病毒傳播事件，相關(guān)人員應(yīng)及時向網(wǎng)絡(luò)安全管理小組匯報自動或定期更新操作系統(tǒng)的補(bǔ)丁

2023/12/848日常工作安全注意事項

廢棄或待修電腦轉(zhuǎn)交他人時應(yīng)經(jīng)IT部門消磁處理定期做好重要數(shù)據(jù)的備份使用別人的移動介質(zhì)前要進(jìn)行殺毒不得隨意將自己的移動存儲設(shè)備插入機(jī)房內(nèi)的硬件設(shè)備對系統(tǒng)數(shù)據(jù)的訪問應(yīng)本著“知必所需”的原則，不得訪問未經(jīng)授權(quán)的數(shù)據(jù)禁止在公共場合談?wù)摽蛻裘舾械氖录?，例如客戶發(fā)生了網(wǎng)上交易賬戶被盜事件禁止隨意放置或丟棄含有敏感信息的紙質(zhì)文件，廢棄文件需用碎紙機(jī)粉碎應(yīng)主動防止陌生人尾隨進(jìn)入辦公區(qū)域應(yīng)將復(fù)印或打印的敏感資料及時取走，防止被他人偷看或者拿走離開座位時，應(yīng)將貴重物品、含有機(jī)密信息的資料鎖入柜中，并對使用的電腦桌面進(jìn)行鎖屏

2023/12/8491234信息安全現(xiàn)狀信息安全認(rèn)識主要內(nèi)容信息安全常用控制措施信息安全技術(shù)理論2023/12/850信息安全木桶原理

木桶原理：木桶由許多塊木板組成，如果組成木桶的這些木板長短不一，那么木桶的最大容量不取決于長的木板，而取決于最短的那塊木板。該原理同樣適用于信息安全：組織（系統(tǒng)）的信息安全水平將由與信息安全有關(guān)的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定。這些環(huán)節(jié)包括安全管理、物理安全、主機(jī)DB安全、應(yīng)用安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全，環(huán)節(jié)中的任何一個都可能影響信息系統(tǒng)的整體安全水平。因此，要從整體上提高一個組織的信息系統(tǒng)安全水平，必須保證信息系統(tǒng)各個環(huán)節(jié)的安全。要實(shí)現(xiàn)這個目標(biāo)，組織必須制定嚴(yán)格的、系統(tǒng)的安全策略來保證信息系統(tǒng)的安全性，包括高層領(lǐng)導(dǎo)授權(quán)/支持、保密政策、安全實(shí)施、監(jiān)督檢查制度、員工安全意識培訓(xùn)、可靠的技術(shù)設(shè)備等等，也就是要使構(gòu)成安全防范體系這只“木桶”的所有木板擁有相近的長度且不存在短板。

2023/12/851風(fēng)險評估

定義：運(yùn)用定性、定量的科學(xué)分析方法和手段，系統(tǒng)地分析信息和信息系統(tǒng)等資產(chǎn)所面臨的人為的和自然的威脅，以及威脅事件一旦發(fā)生可能遭受的危害程度，有針對性地提出抵御威脅的安全等級防護(hù)對策和整改措施，從而最大限度地減少經(jīng)濟(jì)損失和負(fù)面影響。

2023/12/852等級保護(hù)測評

定義：信息系統(tǒng)安全等級保護(hù)，是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置的綜合性工作。

安全管理管理制度管理機(jī)構(gòu)人員安全系統(tǒng)建設(shè)系統(tǒng)運(yùn)維安全技術(shù)物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全2023/12/853信息安全保障體系

2023/12/854信息安全技術(shù)體系

2023/12/855信息安全管理體系四級文件三級文件二級文件一級方針、策略規(guī)范、程序作業(yè)指導(dǎo)書記錄、表單2023/12/856測試1 "信息安全的三個主要屬性是什么________A：完整性、可用性、保密性B：完整性、保密性、真實(shí)性C：完整性、可控制性、可用性D：保密性、可審查性、不可抵賴性2023/12/8572 "通用的信息安全規(guī)范方面的“用戶名與密碼的管理”中錯誤的是_________A：帳號與密碼不可以相同。B：不要拿自己的名字、生日、電話號碼作為密碼。C：避免使用公共場所的計算機(jī)處理重要資料，如網(wǎng)

吧等，以免密碼被竊聽或不慎記錄遭利用。D：密碼之組成至少需5個字符以上。2023/12/8583 "對于安全規(guī)范下列哪種說法是錯誤的______。A：網(wǎng)絡(luò)行為是受到監(jiān)控的B：員工的所有應(yīng)用系統(tǒng)的用戶名和密碼，必須符合安全要求。C：筆記本電腦可以不受控制。D：辦公室的網(wǎng)絡(luò)接入應(yīng)該只能于業(yè)務(wù)用途。2023/12/8594以下說