IDC信息安全意识培训ppt课件

1、IDC信息平安认识培训从小事做起，从本身做起遵守IDC各项平安战略和制度规范2什么是平安认识？ 平安认识Security awareness，就是可以认知能够存在的平安问题，明白平安事故对组织的危害，遵守正确的行为方式，并且清楚在平安事故发生时所应采取的措施。3我们的目的建立对信息平安的敏感认识和正确认识掌握信息平安的根本概念、原那么和惯例了解信息平安管理体系ISMS概略清楚能够面临的要挟和风险遵守IDC各项平安战略和制度在日常任务中养成良好的平安习惯最终提升IDC整体的信息平安程度4制造阐明 本培训资料由IDC信息平安管理体系实施组织平安执行委员会编写，并经平安管理委员会同意，供IDC内部学

2、习运用，旨在贯彻IDC信息平安战略和各项管理制度，全面提升员工信息平安认识。5现实教训追踪问题的根源掌握根本概念了解信息平安管理体系建立良好的平安习惯重要信息的严密信息交换及备份软件运用平安计算机及网络访问平安人员及第三方平安管理挪动计算与远程办公任务环境及物理平安要求防备病毒和恶意代码口令平安电子邮件平安介质平安管理警惕社会工程学应急呼应和业务延续性方案法律法规寻求协助目 录6严峻的现实！惨痛的教训！第1部分7 在线银行一颗定时炸弹。 最近，南非的Absa银行遇到了费事，它的互联网银行效力发生一系列平安事件，导致其客户成百万美圆的损失。Absa银行声称本人的系统是绝对平安的，而把责任归结为客

3、户所犯的平安错误上。Absa银行的这种处置方式遭致广泛批判。那么，终究是怎样回事呢？ 一同国外的金融计算机犯罪案例8前因后果是这样的 Absa是南非最大的一家银行，占有35%的市场份额，其Internet银行业务拥有40多万客户。 2003年6、7月间，一个30岁男子，盯上了Absa的在线客户，向这些客户发送携带有间谍软件spyware的邮件，并胜利获得众多客户的账号信息，从而经过Internet进展非法转帐，先后致使10个Absa的在线客户损失达数万法郎。 该男子后来被南非警方拘捕。9间谍软件 eBlaster 这是一个商业软件spectorsoft/，该软件本意是协助父母或老板监视孩子或雇

4、员的上网活动 该软件可记录包括电子邮件、网上聊天、即使音讯、Web访问、键盘操作等活动，并将记录信息悄然发到指定邮箱 商业杀毒软件普通都忽略了这个商业软件 本案犯罪人就是用邮件附件方式，欺骗受害者执行该软件，然后窃取其网上银行账号和PIN码信息的10我们来总结一下教训 Absa声称不是本人的责任，而是客户的问题 平安专家和权威评论员那么以为：Absa应负必要责任，其电子银行的平安性值得疑心 Deloitte平安专家Rogan Dawes以为：Absa应向其客户灌输更多平安认识，并在易用性和平安性方面达成平衡 IT技术专家那么以为：电子银行应采用更强壮的双要素认证机制口令或PIN智能卡，而不是简

5、单的口令 我们以为：Absa银行和客户都有责任11国内金融计算机犯罪的典型案例 一名普通的系统维护人员，轻松破解数道密码，进入邮政储蓄网络，盗走83.5万元。这起利用网络进展金融盗窃犯罪的案件不久前被甘肃省定西地域公安机关破获 人民日报，2003年12月时间：2003年11月地点：甘肃省定西地域临洮县太石镇邮政储蓄所人物：一个普通的系统管理员12怪事是这么发生的 2003年10月5日，定西临洮县太石镇邮政储蓄所的营业电脑忽然死机 任务人员以为是普通的缺点，对电脑进展了简单的修复和重装处置 17日，任务人员发现打印出的报表储蓄余额与实践不符，对账发现，13日发生了11笔买卖，83.5万异地帐户是

6、虚存有买卖记录但无实践现金 紧急与开户行联络，发现存款已从兰州、西安等地被取走大半 储蓄所向县公安局报案 公安局向定西公安处汇报 公安处成立专案组，同时向省公安厅上报 13当然，最终结果不错 经过缜密的调查取证，我英勇机智的公安干警终于一举抓获这起案件的罪魁祸首 会宁邮政局一个普通的系统维护人员张某14事情的经过原来是这样的 登录到永登邮政局永登临洮 破解口令，登录到临洮一个邮政储蓄所 会宁的张某用假身份证在兰州开了8个活期帐户 张某借任务之便，利用笔记本电脑衔接电缆到邮政储蓄专网会宁 向这些帐户虚存83.5万，退出系统前删掉了打印操作系统 最后，张某在兰州和西安等地提取现金15究竟哪里出了纰

7、漏 张某29岁，毕业于邮电学院，资质平平，谈不上知晓计算机和网络技术邮政储蓄网络的防备可谓严密：与Internet物理隔离的专网；配备了防火墙；从前台分机到主机经过数重密码认证16可还是出事了，郁闷呀 问题终究出在哪里？思索中哦，原来如此 17看来，问题真的不少呀 张某私搭电缆，没人过问和阻止，使其随便进入邮政储蓄专网 临洮县太石镇的邮政储蓄网点运用原始密码，没有定期更改，而且被员工周知，致使张某轻松突破数道密码关，直接进入了操作系统 问题出现时，任务人员以为是网络系统缺点，没有足够注重 18总结教训 最直接的教训：漠视口令平安带来恶果！ 归根究竟，是管理上存在破绽，人员平安认识淡薄平安认识的

8、提高刻不容缓！19一同证券行业计算机犯罪案例 凭仗本人的耐心和他人的大意，股市“菜鸟严某非法侵入“股神通10个单位和个人的股票账户，用他人的钱磨练本人的炒股技艺 青年报，2003年12月时间：2003年6月地点：上海人物：26岁的待业青年严某20事情是这样的 2003年3月，严父在家中安装开通“股神通业务，进展即时股票买卖。 2003年6月的一天，严某偶得其父一张股票买卖单，上有9位数字的账号，遂动了“瞎猫碰死老鼠的念头：该证券公司客户账号前6位数字是一样的，只需猜后3位；而6位密码，严某锁定为“123456。 严某埋头苦干“，第一天延续输入了3000个数字组合，一无所获。 第二天继续，很快奇

9、观“出现，严某顺利进入一个股票账户。利用一样的方法，严某又先后侵入了10余个股票账户。 严某利用他人的账户，十几天里共买进卖出1000多万元股票，损失超越14万元，直到6月10日案发。 严某被以破坏计算机信息系统罪依法拘捕。21问题出在哪里 严某不算聪明，但他深知炒股的多是中老年人，密码设置一定不会复杂。首先，作为股民，平安认识薄弱 证券公司，在进展账户管理时也存在缺乏：初始密码设置太简单，没提示客户及时修正等 作为设备提供商，“股神通软件设计里的平安机制太简单脆弱，易被人利用22总结教训 又是口令平安的问题！ 又是人的平安认识问题！再次强调平安认识的重要性！23一个与物理平安相关的典型案例时

10、间：2002年某天夜里地点：A公司的数据中心大楼人物：一个普通的系统管理员 一个普通的系统管理员，利用看似简单的方法，就进入了需求门卡认证的数据中心 来自国外某论坛的猛烈讨论，2002年24情况是这样的 A公司的数据中心是重地，设立了严厉的门禁制度，要求必需插入门卡才干进入。不过，出来时很简单，数据中心一旁的动作探测器会检测到有人朝出口走去，门会自动翻开 数据中心有个系统管理员张三君，这天晚上加班到很晚，中间分开数据中心出去夜宵，可前往时发现本人被锁在了外面，门卡落在里面了，周围别无他人，一片静寂 张三急需今夜加班，可他又不想打扰他人，怎样办？25一点线索： 昨天曾在接待区庆贺过某人生日，现场

11、还未清理干净，遗留下很多杂物，哦，还有气球26聪明的张三想出了妙计 张三找到一个气球，放掉气 张三面朝大门入口趴下来，把气球塞进门里，只留下气球的嘴在门的这边 张三在门外吹气球，气球在门内膨胀，然后，他释放了气球 由于气球在门内弹跳，触发动作探测器，门终于开了27问题出在哪里 假设门和地板齐平且没有缝隙，就不会出这样的事 假设动作探测器的灵敏度调整到不对快速放气的气球作出反响，也不会出此事 当然，假设根本就不运用动作探测器来从里面开门，这种事情同样不会发生28总结教训 虽然是偶尔事件，也没有直接危害，但是潜在风险 既是物理平安的问题，更是管理问题 切记！有时候自以为是的平安，恰恰是最不平安！物

12、理平安非常关键！29类似的事件不胜枚举 苏州某中学计算机教师罗某，只因嫌预备考试太费事，产生反感心情，竟向江苏省教育厅会考办的考试效力器发动攻击，他以黑客身份两次闯入该考试效力器，共删除全省中小学信息技术等级考试文件达100多个，直接经济损失达20多万元，后被警方抓获。 某高校招生办一台效力器，因设置网络共享不加密码，导致共享目录中保管的有关高考招生的重要信息走漏，呵斥了恶劣的社会影响。 屡屡出现的关于银行ATM取款机的问题。 30他碰到过类似的事吗？31IDC曾经发生的平安事件 (请添加本人的内容)32CERT关于平安事件的统计 摘自CERT/CC的统计报告 2003年12月33过去6个月的

13、统计。Source: Riptech Internet Security Threat Report. January 2002 医疗机构运用效力制造商非赢利机构媒体机构能源制造金融机构高科技不同行业蒙受攻击的平均次数34CSI/FBI对平安事件损失的统计 摘自CSI/FBI的统计报告 2003年12月35要挟和弱点问题的根源第2部分36我们时辰都面临来自外部的要挟 信息资产回绝效力逻辑炸弹黑客浸透内部人员要挟木马后门病毒和蠕虫社会工程系统Bug硬件缺点网络通讯缺点供电中断失火雷雨地震37人是最关键的要素 判别要挟来源，综合了人为要素和系统本身逻辑与物理上诸多要素在一同，归根结底，还是人起着决

14、议性的作用 正是由于人在有意攻击破坏或无意误操作、误配置间的活动，才给信息系统平安带来了隐患和要挟提高人员平安认识和素质势在必行！38黑客攻击，是我们听说最多的要挟！39AtomicPark alerts customers to breach CNetNewsMar 20, 2001Nasdaq defaced.and other seasonal graffiti SecurityWatch Dec 27,2000AP Site Hacked Interactive WeekMar 20,2001French Group Claims DoubleClick hacked for 2 ye

15、ars Ecommerce Times, Mar 28, 2001 Electronic Holy War Hits D.C. Pro-Israel Site Newsbytes, Nov 3, 2000 NT remains hackers favorite VNUnet, Jan 10,2001 Hackers hit U.S., U.K., Australian government sites- InfoWorld Jan 22, 2001 Travelocity exposes customer information CNet Jan 22, 2001 U.S. Navy Hack

16、ed SecurityWatch, March 30,2001 Lax Security Found in IRS Electronic Filing System LA TImes, Mar 15, 2001 40世界头号黑客 Kevin Mitnick 出生于1964年 15岁入侵北美空军防务指挥系统，窃取核弹 入侵太平洋公司的通讯网络 入侵联邦调查局电脑网络，戏弄调查人员 16岁被捕，但旋即获释 入侵摩托罗拉、Novell、Sun、Nokia等大公司 与联邦调查局玩猫捉老鼠的游戏 1995年被抓获，被判5年监禁 获释后制止接触电子物品，制止从事计算机行业41黑客不请自来，乘虚而入踩点扫描

17、破坏攻击浸透攻击获得访问权获得控制权去除痕迹安装后门远程控制转移目的保密破坏42 踩点：千方百计搜集信息，明确攻击目的 扫描：经过网络，用工具来找到目的系统的破绽 DoS攻击：回绝效力，是一种破坏性攻击，目的是使资源不可用 DDoS攻击：是DoS的延伸，更大规模，多点对一点实施攻击 浸透攻击：利用攻击软件，远程得到目的系统的访问权或控制权 远程控制：利用安装的后门来实施隐蔽而方便的控制 网络蠕虫：一种自动分散的恶意代码，就像一个不受控的黑客了解一些黑客攻击手段很有必要43DoS攻击例如 Smurf攻击者冒充受害主机的IP地址，向一个大的网络发送echo request 的定向广播包中间网络的许

18、多主机都作出呼应，受害主时机收到大量的echo reply音讯攻击者受害者中间反弹网络44DDoS攻击模型 Internet Intruder Master Master Daemon Daemon Daemon Daemon Daemon Daemon Victim 45破绽系统已打补丁的系统CodeRed蠕虫制造者DDOSDDOSDDOSDDOSDDOSDDOSDDOSRandomlyAttack RandomlyAttack RandomlyAttack Internet蠕虫攻击例如 CodeRed46要挟更多是来自公司内部 黑客虽然可怕，可更多时候，内部人员要挟却更易被忽略，但却更容易

19、呵斥危害 据权威部门统计，内部人员犯罪或与内部人员有关的犯罪占到了计算机犯罪总量的70%以上员工误操作蓄意破坏公司资源私用47一个巴掌拍不响！外因是条件 内因才是根本！48我们本身的弱点不容小视 技术弱点 操作弱点 管理弱点系统、 程序、设备中存在的破绽或缺陷配置、操作和运用中的缺陷，包括人员的不良习惯、审计或备份过程的不当等战略、程序、规章制度、人员认识、组织构造等方面的缺乏49人最常犯的一些错误 将口令写在便签上，贴在电脑监视器旁 开着电脑分开，就像分开家却忘记关灯那样 随便置信来自陌生人的邮件，猎奇翻开邮件附件 运用容易猜测的口令，或者根本不设口令 丧失笔记本电脑 不能保守，口无遮拦，上

20、当上当，走漏敏感信息 随意拨号上网，或者随意将无关设备连入公司网络 事不关己，高高挂起，不报告平安事件 在系统更新和安装补丁上总是行动缓慢 只关注外来的要挟，忽视企业内部人员的问题50想想他能否也犯过这些错误？51嘿嘿，这顿美餐唾手可得呜呜，可怜我手无缚鸡之力要挟就像这只贪婪的猫假设盘中美食暴露在外蒙受损失也就难免了52 信息资产对我们很重要，是要维护的对象 外在的要挟就像苍蝇一样，挥之不去，无孔不入 资产本身又有各种弱点，给要挟带来可乘之机 于是，我们面临各种风险，一旦发生就成为平安事件时辰都应坚持清醒的认识53我们需求去做的就是 严防要挟消减弱点应急呼应维护资产熟习潜在的平安问题知道怎样防

21、止其发生知道发生后如何应对54还记得消防战略吗？隐患险于明火！预防重于救灾！55了解和铺垫根本概念第3部分56 音讯、信号、数据、情报和知识 信息本身是无形的，借助于信息媒体以多种方式存在或传播： 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 经过网络、打印机、机等方式进展传播 信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产： 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的效力 具有价值的信息资产面临诸多要挟，需求妥善维护Information什么是信息？57什么是信息平安？ 采取措施维护信息资产，使之不因偶尔或者恶意进犯而蒙受破坏、更改及泄露，保证信息系统

22、可以延续、可靠、正常地运转，使平安事件对业务呵斥的影响减到最小，确保组织业务运转的延续性。58CIAonfidentialityntegrityvailabilityCIA谨记信息平安根本目的59企业管理者关注的是最终目的ConfidentialityIntegrityAvailabilityInformation60风险破绽要挟控制措施平安需求资产价值信息资产防止利用ReduceIncreaseIndicateIncrease暴露具有Decrease符合对组织的影响信息平安关键要素及其相互关系61实现信息平安可以采取一些技术手段 物理平安技术：环境平安、设备平安、媒体平安 系统平安技术：操作

23、系统及数据库系统的平安性 网络平安技术：网络隔离、访问控制、VPN、入侵检测、扫描评价 运用平安技术：Email平安、Web访问平安、内容过滤、运用系统平安 数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA特性 认证授权技术：口令认证、SSO认证例如Kerberos、证书认证等 访问控制技术：防火墙、访问控制列表等 审计跟踪技术：入侵检测、日志审计、辨析取证 防病毒技术：单机防病毒技术逐渐开展成整体防病毒体系 灾难恢复和备份技术：业务延续性技术，前提就是对数据的备份62防火墙网络入侵检测病毒防护主机入侵检测破绽扫描评价VPN通道访问控制63但关键还要看整体的信息平安管理 技术是信息

24、平安的构筑资料，管理是真正的粘合剂和催化剂 信息平安管理构成了信息平安具有能动性的部分，是指点和控制组织的关于信息平安风险的相互协调的活动 现实世界里大多数平安事件的发生和平安隐患的存在，与其说是技术上的缘由，不如说是管理不善呵斥的 了解并注重管理对于信息平安的关键作用，对于真正实现信息平安目的尤其重要三分技术，七分管理！64务必注重信息平安管理加强信息平安建立任务65PDCA信息平安管理模型 根据风险评价结果、法律法规要求、组织业务运作本身需求来确定控制目的与控制措施。 实施所选的平安控制措施。 针对检查结果采取应对措施，改良平安情况。 根据战略、程序、规范和法律法规，对平安措施的实施情况进

25、展符合性检查。66可以参考的规范规范和最正确惯例ISO2700167平安性与方便性的平衡问题在方便性convenience，即易用性和平安性security之间是一种相反的关系提高了平安性，相应地就降低了方便性而要提高平安性，又势必增大本钱管理者应在二者之间达成一种可接受的平衡68 计算机平安领域一句格言： “真正平安的计算机是拔下网线，断掉电源，放在地下掩体的保险柜中，并在掩体内充溢毒气，在掩体外安排士兵守卫。 这样的计算机是没法用了。绝对的平安是不存在的！69正确认识信息平安 平安不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者严密结合的系统工程，是不断演进、循环开展的

26、动态过程70整体管理思绪信息平安管理体系第4部分71 英国规范协会British Standards Institute，BSI制定的信息平安规范。 由信息平安方面的最正确惯例组成的一套全面的控制集。 信息平安管理方面最受推崇的国际规范。ISO27001是关于信息平安管理的规范72ISO27001 规范包含两个部分 ISO17799:2005：信息平安管理实施细那么Code of Practice for Information Security Management，相当于一个工具包，表达了三分技术七分管理ISO27001：是建立信息平安管理系统ISMS的一套规范Specification

27、for Information Security Management Systems，详细阐明了建立、实施和维护信息平安管理系统的要求，指出实施机构应该遵照的风险评价规范平安战略 Security policy平安组织 Security organisation资产分类与控制 Asset classification & control人员平安 Personnel security物理与环境平安 Physical & environmental security通讯与操作管理 Communications & operations management系统开发与维护 Systems deve

28、lopment & maintenance访问控制 Access control业务延续性管理 Business continuity management符合性 Compliance73什么是信息平安管理体系？ 以往我们对信息平安的认识只停留在技术和产品上，是只见树木不见森林，只治本不治本 其实，信息平安成败，三分靠技术，七分靠管理，技术普通但管理良好的系统远比技术高超但管理混乱的系统平安 但以往我们的管理，只是粗浅的、静态的、不成体系的管理 信息平安必需从整体去思索，必需做到“有方案有目的、发现问题、分析问题、采取措施处理问题、后续监视防止再现这样的全程管理的路子，而整个的过程，必需有一套完好的文件体系来控制和指引 这就是信息平安管理体系，应该成为组织整体管理体系的一部分74IDC建立信息平安管理体系的目的 检验IDC信息平安管理现状，全面评价平安风险，找到问题所在，采取措施处理问题，从而建立完善的信息平安管理体系 在此过程中