1、,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,IDC,信息安全意识培训,从小事做起,从自身做起,遵守,IDC,各项安全策略和制度规范,2,什么是安全意识?,安全意识(,Security awareness,),就是能够认知可能存在的安全问题,明白安全事故对组织的危害,恪守正确的行为方式,并且清楚在安全事故发生时所应采取的措施。,3,我们的目标,建立对信息安全的敏感意识和正确认识,掌握信息安全的基本概念、原则和惯例,了解信息安全管理体系(,ISMS,)概况,清楚可能面临的威胁和风险,遵守,IDC,各项安全策略和制度,在日常工作中养成良好的安全习惯,最终
2、提升,IDC,整体的信息安全水平,4,制作说明,本培训材料由,IDC,信息安全管理体系实施组织安全执行委员会编写,并经安全管理委员会批准,供,IDC,内部学习使用,旨在贯彻,IDC,信息安全策略和各项管理制度,全面提升员工信息安全意识。,5,现实教训,追踪问题的根源,掌握基本概念,了解信息安全管理体系,建立良好的安全习惯,重要信息的保密,信息交换及备份,软件使用安全,计算机及网络访问安全,人员及第三方安全管理,移动计算与远程办公,工作环境及物理安全要求,防范病毒和恶意代码,口令安全,电子邮件安全,介质安全管理,警惕社会工程学,应急响应和业务连续性计划,法律法规,寻求帮助,目 录,6,严峻的现实
3、!,惨痛的教训!,第,1,部分,7,在线银行,一颗定时炸弹。,最近,南非的,Absa,银行遇到了麻烦,它的互联网银行服务发生一系列安全事件,导致其客户成百万美元的损失。,Absa,银行声称自己的系统是绝对安全的,而把责任归结为客户所犯的安全错误上。,Absa,银行的这种处理方式遭致广泛批评。那么,究竟是怎么回事呢?,一起国外的金融计算机犯罪案例,8,前因后果是这样的,Absa,是南非最大的一家银行,占有,35%,的市场份额,其,Internet,银行业务拥有,40,多万客户。,2003,年,6,、,7,月间,一个,30,岁男子,盯上了,Absa,的在线客户,向这些客户发送携带有间谍软件(,sp
4、yware,)的邮件,并成功获得众多客户的账号信息,从而通过,Internet,进行非法转帐,先后致使,10,个,Absa,的在线客户损失达数万法郎。,该男子后来被南非警方逮捕。,9,间谍软件,eBlaster,这是一个商业软件(,Dawes,认为:,Absa,应向其客户灌输更多安全意识,并在易用性和安全性方面达成平衡,IT,技术专家则认为:电子银行应采用更强健的双因素认证机制(口令或,PIN,智能卡),而不是简单的口令,我们认为:,Absa,银行和客户都有责任,11,国内金融计算机犯罪的典型案例,一名普通的系统维护人员,轻松破解数道密码,进入邮政储蓄网络,盗走,83.5,万元。这起利用网络进
5、行金融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破获,人民日报,,2003,年,12,月,时间:,2003,年,11,月,地点:,甘肃省定西地区临洮县太石镇邮政储蓄所,人物:,一个普通的系统管理员,12,怪事是这么发生的,2003,年,10,月,5,日,定西临洮县太石镇邮政储蓄所的营业电脑突然死机,工作人员以为是一般的故障,对电脑进行了简单的修复和重装处理,17,日,工作人员发现打印出的报表储蓄余额与实际不符,对账发现,,13,日发生了,11,笔交易,,83.5,万异地帐户是虚存(有交易记录但无实际现金),紧急与开户行联系,发现存款已从兰州、西安等地被取走大半,储蓄所向县公安局报案,公安局向
6、定西公安处汇报,公安处成立专案组,同时向省公安厅上报,13,当然,最终结果不错,经过缜密的调查取证,我英勇机智的公安干警终于一举抓获这起案件的罪魁祸首,会宁邮政局一个普通的系统维护人员张某,14,事情的经过原来是这样的,登录到永登邮政局,永登,临洮,破解口令,,登录到临洮一个邮政储蓄所,会宁的张某用假身份证在兰州开了,8,个活期帐户,张某借工作之便,,利用笔记本电脑连接电缆到邮政储蓄专网,会宁,向这些帐户虚存,83.5,万,退出系统前删掉了打印操作系统,最后,张某在兰州和西安等地提取现金,15,到底哪里出了纰漏,张某,29,岁,毕业于邮电学院,资质平平,谈不上精通计算机和网络技术,邮政储蓄网络
7、的防范可谓严密:,与,Internet,物理隔离的专网;配备了防火墙;从前台分机到主机经过数重密码认证,16,可还是出事了,郁闷呀,问题究竟出在哪里?,思考中,哦,原来如此,17,看来,问题真的不少呀,张某私搭电缆,没人过问和阻止,使其轻易进入邮政储蓄专网,临洮县太石镇的邮政储蓄网点使用原始密码,没有定期更改,而且被员工周知,致使张某轻松突破数道密码关,直接进入了操作系统,问题出现时,工作人员以为是网络系统故障,没有足够重视,18,总结教训,最直接的教训:漠视口令安全带来恶果!,归根到底,是管理上存在漏洞,人员安全意识淡薄,安全意识的提高刻不容缓!,19,一起证券行业计算机犯罪案例,凭借自己的
8、耐心和别人的粗心,股市,“,菜鸟,”,严某非法侵入,“,股神通,”,10,个单位和个人的股票账户,用别人的钱磨练自己的炒股技艺,青年报,,2003,年,12,月,时间:,2003,年,6,月,地点:,上海,人物:,26,岁的待业青年严某,20,事情是这样的,2003,年,3,月,严父在家中安装开通,“,股神通,”,业务,进行即时股票交易。,2003,年,6,月的一天,严某偶得其父一张股票交易单,上有,9,位数字的账号,遂动了,“,瞎猫碰死老鼠,”,的念头:该证券公司客户账号前,6,位数字是相同的,只需猜后,3,位;而,6,位密码,严某锁定为,“,123456,”,。,严某,”,埋头苦干,“,,
9、第一天连续输入了,3000,个数字组合,一无所获。,第二天继续,很快,”,奇迹,“,出现,严某顺利进入一个股票账户。利用相同的方法,严某又先后侵入了,10,余个股票账户。,严某利用别人的账户,十几天里共买进卖出,1000,多万元股票,损失超过,14,万元,直到,6,月,10,日案发。,严某被以破坏计算机信息系统罪依法逮捕。,21,问题出在哪里,严某不算聪明,但他深知炒股的多是中老年人,密码设置肯定不会复杂。首先,作为股民,安全意识薄弱,证券公司,在进行账户管理时也存在不足:初始密码设置太简单,没提醒客户及时修改等,作为设备提供商,,“,股神通,”,软件设计里的安全机制太简单脆弱,易被人利用,2
10、2,总结教训,又是口令安全的问题!,又是人的安全意识问题!,再次强调安全意识的重要性!,23,一个与物理安全相关的典型案例,时间:,2002,年某天夜里,地点:,A,公司的数据中心大楼,人物:,一个普通的系统管理员,一个普通的系统管理员,利用看似简单的方法,就进入了需要门卡认证的数据中心,来自国外某论坛的激烈讨论,,2002,年,24,情况是这样的,A,公司的数据中心是重地,设立了严格的门禁制度,要求必须插入门卡才能进入。不过,出来时很简单,,数据中心一旁的动作探测器会检测到有人朝出口走去,门会自动打开,数据中心有个系统管理员张三君,这天晚上加班到很晚,中间离开数据中心出去夜宵,可返回时发现自
11、己被锁在了外面,门卡落在里面了,四周别无他人,一片静寂,张三急需今夜加班,可他又不想打扰他人,,怎么办?,25,一点线索:,昨天曾在接待区庆祝过某人生日,现场还未清理干净,遗留下很多杂物,哦,还有气球,26,聪明的张三想出了妙计,张三找到一个气球,放掉气,张三,面朝大门入口趴下来,把气球塞进门里,只留下气球的嘴在门的这边,张三在门外吹气球,气球在门内膨胀,然后,他释放了气球,由于气球在门内弹跳,触发动作探测器,门终于开了,27,问题出在哪里,如果门和地板齐平且没有缝隙,就不会出这样的事,如果动作探测器的灵敏度调整到不对,快速放气的气球作出反应,也不会出此事,当然,如果根本就不使用动作探测器来从
12、里面开门,这种事情同样不会发生,28,总结教训,虽然是偶然事件,也没有直接危害,但是潜在风险,既是物理安全的问题,更是管理问题,切记!有时候自以为是的安全,恰恰是最不安全!,物理安全非常关键!,29,类似的事件不胜枚举,苏州某中学计算机教师罗某,只因嫌准备考试太麻烦,产生反感情绪,竟向江苏省教育厅会考办的考试服务器发动攻击,他以黑客身份两次闯入该考试服务器,共删除全省中小学信息技术等级考试文件达,100,多个,直接经济损失达,20,多万元,后被警方抓获。,某高校招生办一台服务器,因设置网络共享不加密码,导致共享目录中保存的有关高考招生的重要信息泄漏,造成了恶劣的社会影响。,屡屡出现的关于银行,
13、ATM,取款机的问题。,30,你碰到过类似的事吗?,31,IDC,曾经发生的安全事件,(,请添加自己的内容,),32,CERT,关于安全事件的统计,摘自,CERT/CC,的统计报告,2003,年,12,月,33,过去,6,个月的统计。,Source:,Riptech Internet Security Threat Report.January 2002,医疗机构,应用服务,制造商,非赢利机构,媒体机构,能源制造,金融机构,高科技,不同行业遭受攻击的平均次数,34,CSI/FBI,对安全事件损失的统计,摘自,CSI/FBI,的统计报告,2003,年,12,月,35,威胁和弱点,问题的根源,第,
14、2,部分,36,我们时刻都面临来自外部的威胁,信息资产,拒绝服务,逻辑炸弹,黑客渗透,内部人员威胁,木马后门,病毒和蠕虫,社会工程,系统,Bug,硬件故障,网络通信故障,供电中断,失火,雷雨,地震,37,人是最关键的因素,判断威胁来源,综合了人为因素和系统自身逻辑与物理上诸多因素在一起,归根结底,还是人起着决定性的作用,正是因为人在有意(攻击破坏)或无意(误操作、误配置)间的活动,才给信息系统安全带来了隐患和威胁,提高人员安全意识和素质势在必行!,38,黑客攻击,是我们听说最多的威胁!,39,AtomicP alerts customers to breach,CNetN,Mar 20,200
15、1,Nasdaq defaced.and other seasonal graffiti,SecurityW,Dec 27,2000,AP Site Hacked,Interactive Week,Mar 20,2001,French Group Claims DoubleClick hacked for 2 years,Ecommerce Times,Mar 28,2001,Electronic Holy War Hits D.C.Pro-Israel Site,Newsbytes,Nov 3,2000,NT remains hackers favorite,VNUnet,Jan 10,20
16、01,Hackers hit U.S.,U.K.,Australian government sites,-,InfoWorld Jan 22,2001,Travelocity exposes customer information,CNet Jan 22,2001,U.S.Navy Hacked,SecurityW,March 30,2001,Lax Security Found in IRS Electronic Filing System,LA TImes,Mar 15,2001,40,世界头号黑客,Kevin Mitnick,出生于,1964,年,15,岁入侵北美空军防务指挥系统,窃
17、取核弹机密,入侵太平洋电话公司的通信网络,入侵联邦调查局电脑网络,戏弄调查人员,16,岁被捕,但旋即获释,入侵摩托罗拉、,Novell,、,Sun,、,Nokia,等大公司,与联邦调查局玩猫捉老鼠的游戏,1995,年被抓获,被判,5,年监禁,获释后禁止接触电子物品,禁止从事计算机行业,41,黑客不请自来,乘虚而入,踩点,扫描,破坏攻击,渗透攻击,获得访问权,获得控制权,清除痕迹,安装后门,远程控制,转移目标,窃密破坏,42,踩点,:,千方百计搜集信息,明确攻击目标,扫描,:,通过网络,用工具来找到目标系统的漏洞,DoS,攻击,:,拒绝服务,是一种破坏性攻击,目的是使资源不可用,DDoS,攻击,
18、:,是,DoS,的延伸,更大规模,多点对一点实施攻击,渗透攻击,:,利用攻击软件,远程得到目标系统的访问权或控制权,远程控制,:,利用安装的后门来实施隐蔽而方便的控制,网络蠕虫,:,一种自动扩散的恶意代码,就像一个不受控的黑客,了解一些黑客攻击手段很有必要,43,DoS,攻击示例,Smurf,攻击者冒充受害主机的,IP,地址,向一个大的网络发送,echo request,的定向广播包,中间网络的许多主机都作出响应,受害主机会收到大量的,echo reply,消息,攻击者,受害者,中间反弹网络,44,DDoS,攻击模型,Internet,Intruder,Master,Master,Daemon
19、,Daemon,Daemon,Daemon,Daemon,Daemon,Victim,45,漏洞系统,已打补丁的系统,CodeRed,蠕虫制造者,DDOS,DDOS,DDOS,DDOS,DDOS,DDOS,DDOS,Randomly,Attack,Randomly,Attack,Randomly,Attack,Internet,蠕虫攻击示例,CodeRed,46,威胁更多是来自公司内部,黑客虽然可怕,可更多时候,内部人员威胁却更易被忽略,但却更容易造成危害,据权威部门统计,内部人员犯罪(或与内部人员有关的犯罪)占到了计算机犯罪总量的,70%,以上,员工误操作,蓄意破坏,公司资源私用,47,一个
20、巴掌拍不响!,外因是条件,内因才是根本!,48,我们自身的弱点不容小视,技术弱点,操作弱点,管理弱点,系统、程序、设备中存在的漏洞或缺陷,配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份过程的不当等,策略、程序、规章制度、人员意识、组织结构等方面的不足,49,人最常犯的一些错误,将口令写在便签上,贴在电脑监视器旁,开着电脑离开,就像离开家却忘记关灯那样,轻易相信来自陌生人的邮件,好奇打开邮件附件,使用容易猜测的口令,或者根本不设口令,丢失笔记本电脑,不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息,随便拨号上网,或者随意将无关设备连入公司网络,事不关己,高高挂起,不报告安全事件,在系统更
21、新和安装补丁上总是行动迟缓,只关注外来的威胁,忽视企业内部人员的问题,50,想想你是否也犯过这些错误?,51,嘿嘿,这顿美餐唾手可得,呜呜,可怜我手无缚鸡之力,威胁就像这只贪婪的猫,如果盘中美食暴露在外,遭受损失也就难免了,52,信息,资产,对我们很重要,是要保护的对象,外在的,威胁,就像苍蝇一样,挥之不去,无孔不入,资产本身又有各种,弱点,,给威胁带来可乘之机,于是,我们面临各种,风险,,一旦发生就成为安全事件,时刻都应保持清醒的认识,53,我们需要去做的就是,严防威胁,消减弱点,应急响应,保护资产,熟悉潜在的安全问题,知道怎样防止其发生,知道发生后如何应对,54,还记得消防战略吗?,隐患险
22、于明火!,预防重于救灾!,55,理解和铺垫,基本概念,第,3,部分,56,消息、信号、数据、情报和知识,信息本身是无形的,借助于信息媒体以多种形式存在或传播:,存储在计算机、磁带、纸张等介质中,记忆在人的大脑里,通过网络、打印机、传真机等方式进行传播,信息借助媒体而存在,对现代企业来说具有价值,就成为,信息资产,:,计算机和网络中的数据,硬件、软件、文档资料,关键人员,组织提供的服务,具有价值的信息资产面临诸多威胁,需要妥善保护,Information,什么是信息?,57,什么是信息安全?,采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地
23、运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。,58,C,I,A,onfidentiality,ntegrity,vailability,CIA,谨记信息安全基本目标,59,企业管理者关注的是最终目标,Confidentiality,Integrity,Availability,Information,60,风险,漏洞,威胁,控制措施,安全需求,资产价值,信息资产,防止,利用,Reduce,Increase,Indicate,Increase,暴露,具有,Decrease,符合,对组织的影响,信息安全关键因素及其相互关系,61,实现信息安全可以采取一些技术手段,物理安全技
24、术,:环境安全、设备安全、媒体安全,系统安全技术,:操作系统及数据库系统的安全性,网络安全技术,:网络隔离、访问控制、,VPN,、入侵检测、扫描评估,应用安全技术,:,Email,安全、,Web,访问安全、内容过滤、应用系统安全,数据加密技术,:硬件和软件加密,实现身份认证和数据信息的,CIA,特性,认证授权技术,:口令认证、,SSO,认证(例如,Kerberos,)、证书认证等,访问控制技术,:防火墙、访问控制列表等,审计跟踪技术,:入侵检测、日志审计、辨析取证,防病毒技术,:单机防病毒技术逐渐发展成整体防病毒体系,灾难恢复和备份技术,:业务连续性技术,前提就是对数据的备份,62,防火墙,网
25、络入侵检测,病毒防护,主机入侵检测,漏洞扫描评估,VPN,通道,访问控制,63,但关键还要看整体的信息安全管理,技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂,信息安全管理构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标尤其重要,三分技术,七分管理!,64,务必重视信息安全管理,加强信息安全建设工作,65,PDCA,信息安全管理模型,根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标
26、与控制措施。,实施所选的安全控制措施。,针对检查结果采取应对措施,改进安全状况。,依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查。,66,可以参考的标准规范和最佳惯例,ISO27001,67,安全性与方便性的平衡问题,在方便性(,convenience,,即易用性)和安全性(,security,)之间是一种相反的关系,提高了安全性,相应地就降低了方便性,而要提高安全性,又势必增大成本,管理者应在二者之间达成一种可接受的平衡,68,计算机安全领域一句格言:,“,真正安全的计算机是拔下网线,断掉电源,放在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。,”,这样的
27、计算机是没法用了。,绝对的安全是不存在的!,69,正确认识信息安全,安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程,70,整体管理思路,信息安全管理体系,第,4,部分,71,英国标准协会(,British Standards Institute,,,BSI,)制定的信息安全标准。,由信息安全方面的最佳惯例组成的一套全面的控制集。,信息安全管理方面最受推崇的国际标准。,ISO27001,是关于信息安全管理的标准,72,ISO27001,标准包含两个部分,ISO17799:2005,:,信息安全管理实施细则(,Code o
28、f Practice for Information Security Management,),相当于一个,工具包,体现了三分技术七分管理,ISO27001,:,是建立信息安全管理系统(,ISMS,)的一套规范(,Specification for Information Security Management Systems,),详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估标准,安全策略,Security policy,安全组织,Security organisation,资产分类与控制,Asset classification&control,人员安全
29、,Personnel security,物理与环境安全,Physical&environmental security,通信与操作管理,Communications&operations management,系统开发与维护,Systems development&maintenance,访问控制,Access control,业务连续性管理,Business continuity management,符合性,Compliance,73,什么是信息安全管理体系?,以往我们对信息安全的认识只停留在技术和产品上,是只见树木不见森林,只治标不治本,其实,信息安全成败,三分靠技术,七分靠管理,,技术
30、一般但管理良好的系统远比技术高超但管理混乱的系统安全,但以往我们的管理,只是粗浅的、静态的、不成体系的管理,信息安全必须从整体去考虑,必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样的全程管理的路子,而整个的过程,必须有一套完整的文件体系来控制和指引,这就是信息安全管理体系,应该成为组织整体管理体系的一部分,74,IDC,建立信息安全管理体系的目的,检验,IDC,信息安全管理现状,全面评估安全风险,找到问题所在,采取措施解决问题,从而建立完善的信息安全管理体系,在此过程中,通过,IDC,全员的参与,全面提升,IDC,信息安全管理水平和意识技能,将信息安全理念
31、融入到,IDC,企业文化当中,接受认证机构的审核,获得具有国际权威性的,ISO27001,认证证书,通过内功修炼和外在证明,提升,IDC,作为软件开发和服务企业的市场竞争力,赢取客户的认可和信任,75,信息安全方针,IDC,的,“,宪法,”,IDC,设立信息安全管理委员会来领导信息安全各项工作。,信息安全组织建设规定,必须确保,IDC,所属的各项信息资产包括客户数据都能得到妥善保护,确保信息的保密性,维持信息的完整性和可用性,防止信息非授权访问。,IDC,所有员工都必须接受信息安全培训和教育,增强信息安全意识。,应该遵守各项法律法规要求,同时利用法律法规来保护公司的利益。,IDC,采取一套有效
32、的安全事件管理机制,明确所有员工的安全责任,建立对已发生或可疑的信息安全事件的报告及响应流程,并对违反安全策略的人员进行惩罚。,加强工作环境的安全管理,严格执行人员进出和对重要区域的管理制度。,在软件系统对开放方提出安全要求,防范病毒与各种恶意软件的入侵。,信息资产分类管理程序,信息交换管理程序,信息安全培训管理程序,人力资源管理程序,法律法规符合性管理规定,安全事件管理程序,工作环境安全管理规定,系统开发与维护管理程序,病毒防范策略,识别来自第三方的风险,确保第三方访问或责任外包时的安全性。,第三方安全管理策略,76,控制对内外部网络服务的访问,保护网络化服务的安全性与可靠性,防止重要信息泄
33、漏。,对用户权限和口令进行严格管理,防止对信息系统的非授权访问。,对重要信息进行备份保护,确保信息的可用性。,实施业务连续性计划,保证公司主要业务流程不受重大故障和灾难的影响。,IDC,建立有效的审核机制,加强对信息安全各项工作的监督与审核。,为了支持本方针,需要制定相应的程序文件及各项规定。,IDC,高管负责批准并发布本方针。,各部门经理直接负责方针的执行,确保各部门员工都能遵守本方针。,信息安全方针必须强制执行。,访问控制方针,网络使用安全管理规定,用户管理规定,信息备份策略,业务持续性管理程序,信息安全审核管理程序,信息安全方针(续),MISC,负责,Review,本方针(一年一次),并为方针执行提供必要的支持。,ISCC,负责制定与本方针相关的支持性策略及文件。,77,IDC,的信息安全组织架构,
浙ICP备2021020529号-1 | 浙B2-20240490 
