信息安全意識培訓-課件_第1頁
信息安全意識培訓-課件_第2頁
信息安全意識培訓-課件_第3頁
信息安全意識培訓-課件_第4頁
信息安全意識培訓-課件_第5頁
已閱讀5頁,還剩76頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

IDC信息安全意識培訓從小事做起,從自身做起遵守IDC各項安全策略和制度規(guī)范2020/12/271IDC信息安全意識培訓從小事做起,從自身做起2020/12/什么是安全意識?

安全意識(Securityawareness),就是能夠認知可能存在的安全問題,明白安全事故對組織的危害,恪守正確的行為方式,并且清楚在安全事故發(fā)生時所應采取的措施。2020/12/272什么是安全意識?安全意識(Securityaw精品資料精品資料你怎么稱呼老師?如果老師最后沒有總結一節(jié)課的重點的難點,你是否會認為老師的教學方法需要改進?你所經歷的課堂,是講座式還是討論式?教師的教鞭“不怕太陽曬,也不怕那風雨狂,只怕先生罵我笨,沒有學問無顏見爹娘……”“太陽當空照,花兒對我笑,小鳥說早早早……”信息安全意識培訓-ppt課件精品資料2020/12/275精品資料2020/12/275你怎么稱呼老師?如果老師最后沒有總結一節(jié)課的重點的難點,你是否會認為老師的教學方法需要改進?你所經歷的課堂,是講座式還是討論式?教師的教鞭“不怕太陽曬,也不怕那風雨狂,只怕先生罵我笨,沒有學問無顏見爹娘……”“太陽當空照,花兒對我笑,小鳥說早早早……”2020/12/2762020/12/276我們的目標建立對信息安全的敏感意識和正確認識掌握信息安全的基本概念、原則和慣例了解信息安全管理體系(ISMS)概況清楚可能面臨的威脅和風險遵守IDC各項安全策略和制度在日常工作中養(yǎng)成良好的安全習慣最終提升IDC整體的信息安全水平2020/12/277我們的目標建立對信息安全的敏感意識和正確認識2020/12/制作說明

本培訓材料由IDC信息安全管理體系實施組織安全執(zhí)行委員會編寫,并經安全管理委員會批準,供IDC內部學習使用,旨在貫徹IDC信息安全策略和各項管理制度,全面提升員工信息安全意識。2020/12/278制作說明本培訓材料由IDC信息安全管理體系實施組現(xiàn)實教訓追蹤問題的根源掌握基本概念了解信息安全管理體系建立良好的安全習慣重要信息的保密信息交換及備份軟件使用安全計算機及網(wǎng)絡訪問安全人員及第三方安全管理移動計算與遠程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質安全管理警惕社會工程學應急響應和業(yè)務連續(xù)性計劃法律法規(guī)尋求幫助目錄2020/12/279現(xiàn)實教訓目錄2020/12/279嚴峻的現(xiàn)實!慘痛的教訓!第1部分2020/12/2710嚴峻的現(xiàn)實!慘痛的教訓!第1部分2020/12/2710

在線銀行——一顆定時炸彈。最近,南非的Absa銀行遇到了麻煩,它的互聯(lián)網(wǎng)銀行服務發(fā)生一系列安全事件,導致其客戶成百萬美元的損失。Absa銀行聲稱自己的系統(tǒng)是絕對安全的,而把責任歸結為客戶所犯的安全錯誤上。Absa銀行的這種處理方式遭致廣泛批評。那么,究竟是怎么回事呢?

一起國外的金融計算機犯罪案例2020/12/2711在線銀行——一顆定時炸彈。一起國外的金融計算機犯罪案前因后果是這樣的……Absa是南非最大的一家銀行,占有35%的市場份額,其Internet銀行業(yè)務擁有40多萬客戶。

2003年6、7月間,一個30歲男子,盯上了Absa的在線客戶,向這些客戶發(fā)送攜帶有間諜軟件(spyware)的郵件,并成功獲得眾多客戶的賬號信息,從而通過Internet進行非法轉帳,先后致使10個Absa的在線客戶損失達數(shù)萬法郎。該男子后來被南非警方逮捕。2020/12/2712前因后果是這樣的……Absa是南非最大的一家銀行,占有3間諜軟件——eBlaster

這是一個商業(yè)軟件(/),該軟件本意是幫助父母或老板監(jiān)視孩子或雇員的上網(wǎng)活動該軟件可記錄包括電子郵件、網(wǎng)上聊天、即使消息、Web訪問、鍵盤操作等活動,并將記錄信息悄悄發(fā)到指定郵箱商業(yè)殺毒軟件一般都忽略了這個商業(yè)軟件本案犯罪人就是用郵件附件方式,欺騙受害者執(zhí)行該軟件,然后竊取其網(wǎng)上銀行賬號和PIN碼信息的2020/12/2713間諜軟件——eBlaster這是一個商業(yè)軟件(http我們來總結一下教訓Absa聲稱不是自己的責任,而是客戶的問題安全專家和權威評論員則認為:Absa應負必要責任,其電子銀行的安全性值得懷疑

Deloitte安全專家RoganDawes認為:Absa應向其客戶灌輸更多安全意識,并在易用性和安全性方面達成平衡

IT技術專家則認為:電子銀行應采用更強健的雙因素認證機制(口令或PIN+智能卡),而不是簡單的口令我們認為:Absa銀行和客戶都有責任2020/12/2714我們來總結一下教訓Absa聲稱不是自己的責任,而是客戶的問國內金融計算機犯罪的典型案例

一名普通的系統(tǒng)維護人員,輕松破解數(shù)道密碼,進入郵政儲蓄網(wǎng)絡,盜走83.5萬元。這起利用網(wǎng)絡進行金融盜竊犯罪的案件不久前被甘肅省定西地區(qū)公安機關破獲……

————

人民日報,2003年12月時間:2003年11月地點:甘肅省定西地區(qū)臨洮縣太石鎮(zhèn)郵政儲蓄所人物:一個普通的系統(tǒng)管理員2020/12/2715國內金融計算機犯罪的典型案例一名普通的系統(tǒng)維護人員,怪事是這么發(fā)生的……2003年10月5日,定西臨洮縣太石鎮(zhèn)郵政儲蓄所的營業(yè)電腦突然死機工作人員以為是一般的故障,對電腦進行了簡單的修復和重裝處理

17日,工作人員發(fā)現(xiàn)打印出的報表儲蓄余額與實際不符,對賬發(fā)現(xiàn),13日發(fā)生了11筆交易,83.5萬異地帳戶是虛存(有交易記錄但無實際現(xiàn)金)緊急與開戶行聯(lián)系,發(fā)現(xiàn)存款已從蘭州、西安等地被取走大半儲蓄所向縣公安局報案公安局向定西公安處匯報公安處成立專案組,同時向省公安廳上報

……2020/12/2716怪事是這么發(fā)生的……2003年10月5日,定西臨洮縣太石當然,最終結果不錯……

經過縝密的調查取證,我英勇機智的公安干警終于一舉抓獲這起案件的罪魁禍首——

會寧郵政局一個普通的系統(tǒng)維護人員張某2020/12/2717當然,最終結果不錯……經過縝密的調查取證,我英勇機事情的經過原來是這樣的……③登錄到永登郵政局永登臨洮④破解口令,登錄到臨洮一個郵政儲蓄所①會寧的張某用假身份證在蘭州開了8個活期帳戶②張某借工作之便,利用筆記本電腦連接電纜到郵政儲蓄專網(wǎng)會寧⑤向這些帳戶虛存83.5萬,退出系統(tǒng)前刪掉了打印操作系統(tǒng)⑥最后,張某在蘭州和西安等地提取現(xiàn)金2020/12/2718事情的經過原來是這樣的……③登錄到永登郵政局永登臨洮④到底哪里出了紕漏……張某29歲,畢業(yè)于郵電學院,資質平平,談不上精通計算機和網(wǎng)絡技術郵政儲蓄網(wǎng)絡的防范可謂嚴密:與Internet物理隔離的專網(wǎng);配備了防火墻;從前臺分機到主機經過數(shù)重密碼認證2020/12/2719到底哪里出了紕漏……張某29歲,畢業(yè)于郵電學院,資質平平,可還是出事了,郁悶呀

問題究竟出在哪里?思考中……哦,原來如此——2020/12/2720可還是出事了,郁悶呀2020/12/2720看來,問題真的不少呀……

張某私搭電纜,沒人過問和阻止,使其輕易進入郵政儲蓄專網(wǎng)臨洮縣太石鎮(zhèn)的郵政儲蓄網(wǎng)點使用原始密碼,沒有定期更改,而且被員工周知,致使張某輕松突破數(shù)道密碼關,直接進入了操作系統(tǒng)問題出現(xiàn)時,工作人員以為是網(wǎng)絡系統(tǒng)故障,沒有足夠重視

……2020/12/2721看來,問題真的不少呀……張某私搭電纜,沒人過問和阻止,總結教訓……

最直接的教訓:漠視口令安全帶來惡果!歸根到底,是管理上存在漏洞,人員安全意識淡薄安全意識的提高刻不容緩!2020/12/2722總結教訓……最直接的教訓:漠視口令安全帶來惡果!安全意一起證券行業(yè)計算機犯罪案例

憑借自己的耐心和別人的粗心,股市“菜鳥”嚴某非法侵入“股神通”10個單位和個人的股票賬戶,用別人的錢磨練自己的炒股技藝……

————

青年報,2003年12月時間:2003年6月地點:上海人物:26歲的待業(yè)青年嚴某2020/12/2723一起證券行業(yè)計算機犯罪案例憑借自己的耐心和別人的粗心事情是這樣的……2003年3月,嚴父在家中安裝開通“股神通”業(yè)務,進行即時股票交易。

2003年6月的一天,嚴某偶得其父一張股票交易單,上有9位數(shù)字的賬號,遂動了“瞎貓碰死老鼠”的念頭:該證券公司客戶賬號前6位數(shù)字是相同的,只需猜后3位;而6位密碼,嚴某鎖定為“123456”。嚴某”埋頭苦干“,第一天連續(xù)輸入了3000個數(shù)字組合,一無所獲。第二天繼續(xù),很快”奇跡“出現(xiàn),嚴某順利進入一個股票賬戶。利用相同的方法,嚴某又先后侵入了10余個股票賬戶。嚴某利用別人的賬戶,十幾天里共買進賣出1000多萬元股票,損失超過14萬元,直到6月10日案發(fā)。嚴某被以破壞計算機信息系統(tǒng)罪依法逮捕。2020/12/2724事情是這樣的……2003年3月,嚴父在家中安裝開通“股問題出在哪里……

嚴某不算聰明,但他深知炒股的多是中老年人,密碼設置肯定不會復雜。首先,作為股民,安全意識薄弱

證券公司,在進行賬戶管理時也存在不足:初始密碼設置太簡單,沒提醒客戶及時修改等

作為設備提供商,“股神通”軟件設計里的安全機制太簡單脆弱,易被人利用2020/12/2725問題出在哪里……嚴某不算聰明,但他深知炒股的多是中老年總結教訓……

又是口令安全的問題!又是人的安全意識問題!再次強調安全意識的重要性!2020/12/2726總結教訓……又是口令安全的問題!再次強調安全意識的重要一個與物理安全相關的典型案例時間:2002年某天夜里地點:A公司的數(shù)據(jù)中心大樓人物:一個普通的系統(tǒng)管理員

一個普通的系統(tǒng)管理員,利用看似簡單的方法,就進入了需要門卡認證的數(shù)據(jù)中心……

————

來自國外某論壇的激烈討論,2002年2020/12/2727一個與物理安全相關的典型案例時間:2002年某天夜里情況是這樣的……A公司的數(shù)據(jù)中心是重地,設立了嚴格的門禁制度,要求必須插入門卡才能進入。不過,出來時很簡單,數(shù)據(jù)中心一旁的動作探測器會檢測到有人朝出口走去,門會自動打開數(shù)據(jù)中心有個系統(tǒng)管理員張三君,這天晚上加班到很晚,中間離開數(shù)據(jù)中心出去夜宵,可返回時發(fā)現(xiàn)自己被鎖在了外面,門卡落在里面了,四周別無他人,一片靜寂張三急需今夜加班,可他又不想打擾他人,怎么辦?2020/12/2728情況是這樣的……A公司的數(shù)據(jù)中心是重地,設立了嚴格的門一點線索:昨天曾在接待區(qū)慶祝過某人生日,現(xiàn)場還未清理干凈,遺留下很多雜物,哦,還有氣球……2020/12/2729一點線索:2020/12/2729聰明的張三想出了妙計……①張三找到一個氣球,放掉氣②張三面朝大門入口趴下來,把氣球塞進門里,只留下氣球的嘴在門的這邊③張三在門外吹氣球,氣球在門內膨脹,然后,他釋放了氣球……④由于氣球在門內彈跳,觸發(fā)動作探測器,門終于開了2020/12/2730聰明的張三想出了妙計……①張三找到一個氣球,放掉氣②問題出在哪里……

如果門和地板齊平且沒有縫隙,就不會出這樣的事

如果動作探測器的靈敏度調整到不對快速放氣的氣球作出反應,也不會出此事

當然,如果根本就不使用動作探測器來從里面開門,這種事情同樣不會發(fā)生2020/12/2731問題出在哪里……如果門和地板齊平且沒有縫隙,就不會出這總結教訓……

雖然是偶然事件,也沒有直接危害,但是潛在風險既是物理安全的問題,更是管理問題切記!有時候自以為是的安全,恰恰是最不安全!物理安全非常關鍵!2020/12/2732總結教訓……雖然是偶然事件,也沒有直接危害,但是潛在風類似的事件不勝枚舉

蘇州某中學計算機教師羅某,只因嫌準備考試太麻煩,產生反感情緒,竟向江蘇省教育廳會考辦的考試服務器發(fā)動攻擊,他以黑客身份兩次闖入該考試服務器,共刪除全省中小學信息技術等級考試文件達100多個,直接經濟損失達20多萬元,后被警方抓獲。某高校招生辦一臺服務器,因設置網(wǎng)絡共享不加密碼,導致共享目錄中保存的有關高考招生的重要信息泄漏,造成了惡劣的社會影響。屢屢出現(xiàn)的關于銀行ATM取款機的問題。

……2020/12/2733類似的事件不勝枚舉蘇州某中學計算機教師羅某,只因嫌準備考你碰到過類似的事嗎?2020/12/2734你碰到過類似的事嗎?2020/12/2734IDC曾經發(fā)生的安全事件(請?zhí)砑樱桑模米约旱膬热?2020/12/2735IDC曾經發(fā)生的安全事件(請?zhí)砑樱桑模米约旱膬热?202CERT關于安全事件的統(tǒng)計——摘自CERT/CC的統(tǒng)計報告2003年12月2020/12/2736CERT關于安全事件的統(tǒng)計——摘自CERT/CC的統(tǒng)計報告過去6個月的統(tǒng)計。Source:RiptechInternetSecurityThreatReport.January2002

醫(yī)療機構應用服務制造商非贏利機構媒體機構能源制造金融機構高科技不同行業(yè)遭受攻擊的平均次數(shù)2020/12/2737過去6個月的統(tǒng)計。Source:RiptechInterCSI/FBI對安全事件損失的統(tǒng)計——摘自CSI/FBI的統(tǒng)計報告2003年12月2020/12/2738CSI/FBI對安全事件損失的統(tǒng)計——摘自CSI/FBI的威脅和弱點問題的根源第2部分2020/12/2739威脅和弱點問題的根源第2部分2020/12/2739我們時刻都面臨來自外部的威脅

信息資產拒絕服務邏輯炸彈黑客滲透內部人員威脅木馬后門病毒和蠕蟲社會工程系統(tǒng)Bug硬件故障網(wǎng)絡通信故障供電中斷失火雷雨地震2020/12/2740我們時刻都面臨來自外部的威脅信息資產拒絕服務邏輯炸彈黑客滲人是最關鍵的因素

判斷威脅來源,綜合了人為因素和系統(tǒng)自身邏輯與物理上諸多因素在一起,歸根結底,還是人起著決定性的作用正是因為人在有意(攻擊破壞)或無意(誤操作、誤配置)間的活動,才給信息系統(tǒng)安全帶來了隱患和威脅提高人員安全意識和素質勢在必行!2020/12/2741人是最關鍵的因素判斷威脅來源,綜合了人為因素和系統(tǒng)自身邏黑客攻擊,是我們聽說最多的威脅!2020/12/2742黑客攻擊,是我們聽說最多的威脅!2020/12/2742AtomicPalertscustomerstobreach—CNetNMar20,2001Nasdaqdefaced..andotherseasonalgraffiti

—SecurityWDec27,2000APSiteHacked

—InteractiveWeekMar20,2001FrenchGroupClaimsDoubleClickhackedfor2years—EcommerceTimes,Mar28,2001

ElectronicHolyWarHitsD.C.Pro-IsraelSite

—Newsbytes,Nov3,2000

NTremainshackers'favorite

—VNUnet,Jan10,2001

HackershitU.S.,U.K.,Australiangovernmentsites-InfoWorldJan22,2001

Travelocityexposescustomerinformation

—CNetJan22,2001

U.S.NavyHacked

—SecurityW,March30,2001

LaxSecurityFoundinIRSElectronicFilingSystem—LATImes,Mar15,2001

2020/12/2743AtomicPalertscustomer世界頭號黑客——KevinMitnick

出生于1964年

15歲入侵北美空軍防務指揮系統(tǒng),竊取核彈機密入侵太平洋電話公司的通信網(wǎng)絡入侵聯(lián)邦調查局電腦網(wǎng)絡,戲弄調查人員

16歲被捕,但旋即獲釋入侵摩托羅拉、Novell、Sun、Nokia等大公司與聯(lián)邦調查局玩貓捉老鼠的游戲

1995年被抓獲,被判5年監(jiān)禁獲釋后禁止接觸電子物品,禁止從事計算機行業(yè)2020/12/2744世界頭號黑客——KevinMitnick出生于19黑客不請自來,乘虛而入踩點掃描破壞攻擊滲透攻擊獲得訪問權獲得控制權清除痕跡安裝后門遠程控制轉移目標竊密破壞2020/12/2745黑客不請自來,乘虛而入踩點掃描破壞攻擊滲透攻擊獲得訪問權獲得

踩點:千方百計搜集信息,明確攻擊目標

掃描:通過網(wǎng)絡,用工具來找到目標系統(tǒng)的漏洞

DoS攻擊:拒絕服務,是一種破壞性攻擊,目的是使資源不可用

DDoS攻擊:是DoS的延伸,更大規(guī)模,多點對一點實施攻擊

滲透攻擊:利用攻擊軟件,遠程得到目標系統(tǒng)的訪問權或控制權

遠程控制:利用安裝的后門來實施隱蔽而方便的控制

網(wǎng)絡蠕蟲:一種自動擴散的惡意代碼,就像一個不受控的黑客了解一些黑客攻擊手段很有必要2020/12/2746踩點:千方百計搜集信息,明確攻擊目標了解一些黑客攻擊手段DoS攻擊示例——Smurf攻擊者冒充受害主機的IP地址,向一個大的網(wǎng)絡發(fā)送echorequest

的定向廣播包中間網(wǎng)絡的許多主機都作出響應,受害主機會收到大量的echoreply消息攻擊者受害者中間反彈網(wǎng)絡2020/12/2747DoS攻擊示例——Smurf攻擊者冒充受害主機的IP地址DDoS攻擊模型

Internet

Intruder

Master

Master

Daemon

Daemon

Daemon

Daemon

Daemon

Daemon

Victim

2020/12/2748DDoS攻擊模型InternetIntruderMas漏洞系統(tǒng)已打補丁的系統(tǒng)CodeRed蠕蟲制造者DDOSDDOSDDOSDDOSDDOSDDOSDDOSRandomlyAttack

RandomlyAttack

RandomlyAttack

Internet蠕蟲攻擊示例——CodeRed2020/12/2749漏洞系統(tǒng)已打補丁的系統(tǒng)CodeRed蠕蟲制造者DDOSDDO威脅更多是來自公司內部

黑客雖然可怕,可更多時候,內部人員威脅卻更易被忽略,但卻更容易造成危害據(jù)權威部門統(tǒng)計,內部人員犯罪(或與內部人員有關的犯罪)占到了計算機犯罪總量的70%以上員工誤操作蓄意破壞公司資源私用2020/12/2750威脅更多是來自公司內部黑客雖然可怕,可更多時候,內部人員一個巴掌拍不響!外因是條件內因才是根本!2020/12/2751一個巴掌拍不響!外因是條件2020/12/2751我們自身的弱點不容小視

技術弱點

操作弱點

管理弱點系統(tǒng)、程序、設備中存在的漏洞或缺陷配置、操作和使用中的缺陷,包括人員的不良習慣、審計或備份過程的不當?shù)炔呗浴⒊绦?、?guī)章制度、人員意識、組織結構等方面的不足2020/12/2752我們自身的弱點不容小視技術弱點操作弱點管理弱點系人最常犯的一些錯誤

將口令寫在便簽上,貼在電腦監(jiān)視器旁開著電腦離開,就像離開家卻忘記關燈那樣輕易相信來自陌生人的郵件,好奇打開郵件附件使用容易猜測的口令,或者根本不設口令丟失筆記本電腦不能保守秘密,口無遮攔,上當受騙,泄漏敏感信息隨便撥號上網(wǎng),或者隨意將無關設備連入公司網(wǎng)絡事不關己,高高掛起,不報告安全事件在系統(tǒng)更新和安裝補丁上總是行動遲緩只關注外來的威脅,忽視企業(yè)內部人員的問題2020/12/2753人最常犯的一些錯誤將口令寫在便簽上,貼在電腦監(jiān)視器旁202想想你是否也犯過這些錯誤?2020/12/2754想想你是否也犯過這些錯誤?2020/12/2754嘿嘿,這頓美餐唾手可得……嗚嗚,可憐我手無縛雞之力……威脅就像這只貪婪的貓如果盤中美食暴露在外遭受損失也就難免了2020/12/2755嘿嘿,這頓美餐唾手可得……嗚嗚,可憐我手無縛雞之力……威脅就

信息資產對我們很重要,是要保護的對象外在的威脅就像蒼蠅一樣,揮之不去,無孔不入資產本身又有各種弱點,給威脅帶來可乘之機于是,我們面臨各種風險,一旦發(fā)生就成為安全事件時刻都應保持清醒的認識2020/12/2756信息資產對我們很重要,是要保護的對象時刻都應保持清醒的認我們需要去做的就是……嚴防威脅消減弱點應急響應保護資產熟悉潛在的安全問題知道怎樣防止其發(fā)生知道發(fā)生后如何應對2020/12/2757我們需要去做的就是……嚴防威脅熟悉潛在的安全問題2020/還記得消防戰(zhàn)略嗎?隱患險于明火!預防重于救災!2020/12/2758還記得消防戰(zhàn)略嗎?隱患險于明火!2020/12/2758理解和鋪墊基本概念第3部分2020/12/2759理解和鋪墊基本概念第3部分2020/12/2759

消息、信號、數(shù)據(jù)、情報和知識信息本身是無形的,借助于信息媒體以多種形式存在或傳播:存儲在計算機、磁帶、紙張等介質中記憶在人的大腦里通過網(wǎng)絡、打印機、傳真機等方式進行傳播信息借助媒體而存在,對現(xiàn)代企業(yè)來說具有價值,就成為信息資產:計算機和網(wǎng)絡中的數(shù)據(jù)硬件、軟件、文檔資料關鍵人員組織提供的服務具有價值的信息資產面臨諸多威脅,需要妥善保護Information什么是信息?2020/12/2760消息、信號、數(shù)據(jù)、情報和知識Information什么是信什么是信息安全?

采取措施保護信息資產,使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露,保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行,使安全事件對業(yè)務造成的影響減到最小,確保組織業(yè)務運行的連續(xù)性。2020/12/2761什么是信息安全?采取措施保護信息資產,使之不CIAonfidentialityntegrityvailabilityCIA謹記信息安全基本目標2020/12/2762CIAonfidentialityntegrityvaila企業(yè)管理者關注的是最終目標ConfidentialityIntegrityAvailabilityInformation2020/12/2763企業(yè)管理者關注的是最終目標ConfidentialityIn風險漏洞威脅控制措施安全需求資產價值信息資產防止利用ReduceIncreaseIndicateIncrease暴露具有Decrease符合對組織的影響信息安全關鍵因素及其相互關系2020/12/2764風險漏洞威脅控制措施安全需求資產價值信息資產防止利用Redu實現(xiàn)信息安全可以采取一些技術手段

物理安全技術:環(huán)境安全、設備安全、媒體安全

系統(tǒng)安全技術:操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性

網(wǎng)絡安全技術:網(wǎng)絡隔離、訪問控制、VPN、入侵檢測、掃描評估

應用安全技術:Email安全、Web訪問安全、內容過濾、應用系統(tǒng)安全

數(shù)據(jù)加密技術:硬件和軟件加密,實現(xiàn)身份認證和數(shù)據(jù)信息的CIA特性

認證授權技術:口令認證、SSO認證(例如Kerberos)、證書認證等

訪問控制技術:防火墻、訪問控制列表等審計跟蹤技術:入侵檢測、日志審計、辨析取證

防病毒技術:單機防病毒技術逐漸發(fā)展成整體防病毒體系

災難恢復和備份技術:業(yè)務連續(xù)性技術,前提就是對數(shù)據(jù)的備份2020/12/2765實現(xiàn)信息安全可以采取一些技術手段物理安全技術:環(huán)境安全、設防火墻網(wǎng)絡入侵檢測病毒防護主機入侵檢測漏洞掃描評估VPN通道訪問控制2020/12/2766防火墻網(wǎng)絡入侵檢測病毒防護主機入侵檢測漏洞掃描評估VPN通道但關鍵還要看整體的信息安全管理

技術是信息安全的構筑材料,管理是真正的粘合劑和催化劑信息安全管理構成了信息安全具有能動性的部分,是指導和控制組織的關于信息安全風險的相互協(xié)調的活動現(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在,與其說是技術上的原因,不如說是管理不善造成的理解并重視管理對于信息安全的關鍵作用,對于真正實現(xiàn)信息安全目標尤其重要三分技術,七分管理!2020/12/2767但關鍵還要看整體的信息安全管理技術是信息安全的構筑材料,管務必重視信息安全管理加強信息安全建設工作2020/12/2768務必重視信息安全管理2020/12/2768PDCA信息安全管理模型

根據(jù)風險評估結果、法律法規(guī)要求、組織業(yè)務運作自身需要來確定控制目標與控制措施。

實施所選的安全控制措施。

針對檢查結果采取應對措施,改進安全狀況。

依據(jù)策略、程序、標準和法律法規(guī),對安全措施的實施情況進行符合性檢查。2020/12/2769PDCA信息安全管理模型根據(jù)風險評估結果、法律可以參考的標準規(guī)范和最佳慣例ISO270012020/12/2770可以參考的標準規(guī)范和最佳慣例ISO270012020/12/安全性與方便性的平衡問題在方便性(convenience,即易用性)和安全性(security)之間是一種相反的關系提高了安全性,相應地就降低了方便性而要提高安全性,又勢必增大成本管理者應在二者之間達成一種可接受的平衡2020/12/2771安全性與方便性的平衡問題在方便性(convenience,即

計算機安全領域一句格言:

“真正安全的計算機是拔下網(wǎng)線,斷掉電源,放在地下掩體的保險柜中,并在掩體內充滿毒氣,在掩體外安排士兵守衛(wèi)?!边@樣的計算機是沒法用了。絕對的安全是不存在的!2020/12/2772計算機安全領域一句格言:絕對的安全是不存在的!202正確認識信息安全

安全不是產品的簡單堆積,也不是一次性的靜態(tài)過程,它是人員、技術、操作三者緊密結合的系統(tǒng)工程,是不斷演進、循環(huán)發(fā)展的動態(tài)過程2020/12/2773正確認識信息安全安全不是產品的簡單堆積,也不整體管理思路信息安全管理體系第4部分2020/12/2774整體管理思路信息安全管理體系第4部分2020/12/2774

英國標準協(xié)會(BritishStandardsInstitute,BSI)制定的信息安全標準。由信息安全方面的最佳慣例組成的一套全面的控制集。信息安全管理方面最受推崇的國際標準。ISO27001是關于信息安全管理的標準2020/12/2775英國標準協(xié)會(BritishStandardsInsISO27001標準包含兩個部分ISO17799:2005:信息安全管理實施細則(CodeofPracticeforInformationSecurityManagement),相當于一個工具包,體現(xiàn)了三分技術七分管理ISO27001:是建立信息安全管理系統(tǒng)(ISMS)的一套規(guī)范(SpecificationforInformationSecurityManagementSystems),詳細說明了建立、實施和維護信息安全管理系統(tǒng)的要求,指出實施機構應該遵循的風險評估標準安全策略Securitypolicy安全組織Securityorganisation資產分類與控制Assetclassification&control人員安全Personnelsecurity物理與環(huán)境安全Physical&environmentalsecurity通信與操作管理Communications&operationsmanagement系統(tǒng)開發(fā)與維護Systemsdevelopment&maintenance訪問控制Accesscontrol業(yè)務連續(xù)性管理Businesscontinuitymanagement符合性Compliance2020/12/2776ISO27001標準包含兩個部分ISO17799:200什么是信息安全管理體系?

以往我們對信息安全的認識只停留在技術和產品上,是只見樹木不見森林,只治標不治本其實,信息安全成敗,三分靠技術,七分靠管理,技術一般但管理良好的系統(tǒng)遠比技術高超但管理混亂的系統(tǒng)安全但以往我們的管理,只是粗淺的、靜態(tài)的、不成體系的管理

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論