信息安全意识培训课件教学文案

IDC信息安全意识(yìshí)培训从小事做起，从自身(zìshēn)做起遵守IDC各项安全策略和制度规范第一页，共77页。2什么(shénme)是安全意识？安全意识（Securityawareness），就是能够认知可能存在(cúnzài)的安全问题，明白安全事故对组织的危害，恪守正确的行为方式，并且清楚在安全事故发生时所应采取的措施。第二页，共77页。3我们(wǒmen)的目标建立对信息安全的敏感意识和正确认识掌握信息安全的基本概念、原则和惯例了解信息安全管理体系（ISMS）概况清楚可能面临的威胁和风险遵守IDC各项安全策略和制度在日常工作中养成(yǎnɡchénɡ)良好的安全习惯最终提升IDC整体的信息安全水平第三页，共77页。4制作(zhìzuò)说明本培训材料由IDC信息安全管理体系实施组织安全执行委员会编写，并经安全管理委员会批准，供IDC内部学习使用，旨在贯彻IDC信息安全策略和各项管理制度，全面(quánmiàn)提升员工信息安全意识。第四页，共77页。5现实教训追踪问题的根源掌握基本概念了解信息安全管理体系建立良好的安全习惯重要信息的保密信息交换及备份软件使用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令(kǒulìng)安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规寻求帮助目录第五页，共77页。6严峻(yánjùn)的现实！惨痛(cǎntòng)的教训！第1部分(bùfen)第六页，共77页。7在线银行——一颗定时炸弹。最近，南非的Absa银行遇到了麻烦(máfan)，它的互联网银行服务发生一系列安全事件，导致其客户成百万美元的损失。Absa银行声称自己的系统是绝对安全的，而把责任归结为客户所犯的安全错误上。Absa银行的这种处理方式遭致广泛批评。那么，究竟是怎么回事呢？

一起(yīqǐ)国外的金融计算机犯罪案例第七页，共77页。8前因后果(qiányīnhòuguǒ)是这样的……Absa是南非最大的一家银行，占有35%的市场份额，其Internet银行业务拥有40多万客户。2003年6、7月间，一个30岁男子(nánzǐ)，盯上了Absa的在线客户，向这些客户发送携带有间谍软件（spyware）的邮件，并成功获得众多客户的账号信息，从而通过Internet进行非法转帐，先后致使10个Absa的在线客户损失达数万法郎。该男子(nánzǐ)后来被南非警方逮捕。第八页，共77页。9间谍(jiàndié)软件——eBlaster这是一个商业软件（/），该软件本意是帮助父母或老板监视孩子或雇员的上网活动该软件可记录包括电子邮件、网上聊天、即使消息、Web访问、键盘操作等活动，并将记录信息悄悄发到指定邮箱商业杀毒软件一般都忽略了这个商业软件本案犯罪人就是用邮件附件方式，欺骗(qīpiàn)受害者执行该软件，然后窃取其网上银行账号和PIN码信息的第九页，共77页。10我们来总结一下(yīxià)教训Absa声称不是自己的责任，而是客户的问题安全专家和权威评论员则认为：Absa应负必要责任，其电子银行的安全性值得怀疑Deloitte安全专家RoganDawes认为：Absa应向其客户灌输更多安全意识，并在易用性和安全性方面(fāngmiàn)达成平衡IT技术专家则认为：电子银行应采用更强健的双因素认证机制（口令或PIN＋智能卡），而不是简单的口令我们认为：Absa银行和客户都有责任第十页，共77页。11国内金融(jīnróng)计算机犯罪的典型案例一名普通的系统维护人员，轻松破解数道密码，进入邮政储蓄网络，盗走83.5万元。这起利用网络进行金融盗窃犯罪(fànzuì)的案件不久前被甘肃省定西地区公安机关破获……————人民日报，2003年12月时间：2003年11月地点：甘肃省定西地区临洮县太石镇邮政储蓄所人物(rénwù)：一个普通的系统管理员第十一页，共77页。12怪事是这么(zhème)发生的……2003年10月5日，定西临洮县太石镇邮政储蓄所的营业电脑突然(tūrán)死机工作人员以为是一般的故障，对电脑进行了简单的修复和重装处理17日，工作人员发现打印出的报表储蓄余额与实际不符，对账发现，13日发生了11笔交易，83.5万异地帐户是虚存（有交易记录但无实际现金）紧急与开户行联系，发现存款已从兰州、西安等地被取走大半储蓄所向县公安局报案公安局向定西公安处汇报公安处成立专案组，同时向省公安厅上报……第十二页，共77页。13当然(dāngrán)，最终结果不错……经过(jīngguò)缜密的调查取证，我英勇机智的公安干警终于一举抓获这起案件的罪魁祸首——会宁邮政局一个普通的系统维护人员张某第十三页，共77页。14事情的经过原来(yuánlái)是这样的……③登录到永登邮政局永登临洮④破解口令，登录到临洮一个邮政储蓄所①会宁的张某用假身份证在兰州开了8个活期帐户②张某借工作之便，利用笔记本电脑连接电缆到邮政储蓄专网会宁⑤向这些帐户虚存83.5万，退出系统前删掉了打印操作系统⑥最后，张某在兰州和西安等地提取现金第十四页，共77页。15到底(dàodǐ)哪里出了纰漏……张某29岁，毕业于邮电学院，资质平平(píngpíng)，谈不上精通计算机和网络技术邮政储蓄网络的防范可谓严密(yánmì)：与Internet物理隔离的专网；配备了防火墙；从前台分机到主机经过数重密码认证第十五页，共77页。16可还是出事了，郁闷呀问题究竟出在哪里？思考(sīkǎo)中……哦，原来如此——第十六页，共77页。17看来，问题真的(zhēnde)不少呀……张某私搭电缆，没人过问和阻止，使其轻易进入邮政储蓄专网临洮县太石镇的邮政储蓄网点使用原始密码，没有定期更改，而且被员工周知，致使张某轻松突破数道密码关，直接进入了操作系统问题出现时，工作人员以为是网络系统故障，没有足够(zúgòu)重视……第十七页，共77页。18总结(zǒngjié)教训……最直接的教训：漠视口令安全带来恶果！归根到底，是管理上存在漏洞(lòudòng)，人员安全意识淡薄安全意识的提高(tígāo)刻不容缓！第十八页，共77页。19一起证券(zhèngquàn)行业计算机犯罪案例凭借自己的耐心和别人的粗心，股市“菜鸟”严某非法侵入“股神通”10个单位和个人的股票(gǔpiào)账户，用别人的钱磨练自己的炒股技艺……————青年报，2003年12月时间：2003年6月地点(dìdiǎn)：上海人物：26岁的待业青年严某第十九页，共77页。20事情(shìqing)是这样的……2003年3月，严父在家中安装开通“股神通”业务，进行即时股票交易。2003年6月的一天，严某偶得其父一张股票交易单，上有9位数字的账号(zhànɡhào)，遂动了“瞎猫碰死老鼠”的念头：该证券公司客户账号(zhànɡhào)前6位数字是相同的，只需猜后3位；而6位密码，严某锁定为“123456”。严某”埋头苦干“，第一天连续输入了3000个数字组合，一无所获。第二天继续，很快”奇迹“出现，严某顺利进入一个股票账户。利用相同的方法，严某又先后侵入了10余个股票账户。严某利用别人的账户，十几天里共买进卖出1000多万元股票，损失超过14万元，直到6月10日案发。严某被以破坏计算机信息系统罪依法逮捕。第二十页，共77页。21问题(wèntí)出在哪里……严某不算聪明，但他深知炒股的多是中老年人，密码设置肯定不会(bùhuì)复杂。首先，作为股民，安全意识薄弱证券公司，在进行账户管理(guǎnlǐ)时也存在不足：初始密码设置太简单，没提醒客户及时修改等

作为设备提供商，“股神通”软件设计里的安全机制太简单脆弱，易被人利用第二十一页，共77页。22总结(zǒngjié)教训……又是口令(kǒulìng)安全的问题！又是人的安全意识问题！再次(zàicì)强调安全意识的重要性！第二十二页，共77页。23一个与物理安全相关的典型(diǎnxíng)案例时间：2002年某天夜里(yèli)地点：A公司的数据中心大楼人物：一个普通的系统管理员一个普通的系统管理员，利用看似简单的方法(fāngfǎ)，就进入了需要门卡认证的数据中心……————来自国外某论坛的激烈讨论，2002年第二十三页，共77页。24情况(qíngkuàng)是这样的……A公司的数据中心是重地，设立了严格的门禁制度，要求必须插入门卡才能进入。不过，出来时很简单，数据中心一旁的动作探测器会检测到有人朝出口走去，门会自动打开数据中心有个系统管理员张三君，这天晚上加班到很晚，中间离开数据中心出去夜宵，可返回时发现自己被锁在了外面(wàimiàn)，门卡落在里面了，四周别无他人，一片静寂张三急需今夜加班，可他又不想打扰他人，怎么办？第二十四页，共77页。25一点线索：昨天曾在接待区庆祝过某人生日，现场还未清理干净，遗留下很多杂物(záwù)，哦，还有气球……第二十五页，共77页。26聪明(cōngmíng)的张三想出了妙计……①张三找到一个气球，放掉气②张三面朝大门入口趴下来，把气球塞进门里，只留下(liúxià)气球的嘴在门的这边③张三在门外吹气球，气球在门内膨胀，然后，他释放了气球……④由于气球在门内弹跳，触发动作探测器，门终于开了第二十六页，共77页。27问题(wèntí)出在哪里……如果门和地板齐平且没有缝隙(fèngxì)，就不会出这样的事如果(rúguǒ)动作探测器的灵敏度调整到不对快速放气的气球作出反应，也不会出此事

当然，如果根本就不使用动作探测器来从里面开门，这种事情同样不会发生第二十七页，共77页。28总结(zǒngjié)教训……虽然是偶然事件，也没有直接危害，但是潜在风险既是物理(wùlǐ)安全的问题，更是管理问题切记！有时候自以为是的安全，恰恰是最不安全！物理安全(ānquán)非常关键！第二十八页，共77页。29类似(lèisì)的事件不胜枚举苏州某中学计算机教师罗某，只因嫌准备考试太麻烦，产生反感情绪，竟向江苏省教育厅会考办的考试服务器发动攻击，他以黑客身份两次闯入该考试服务器，共删除(shānchú)全省中小学信息技术等级考试文件达100多个，直接经济损失达20多万元，后被警方抓获。某高校招生办一台服务器，因设置网络共享不加密码，导致共享目录中保存的有关高考招生的重要信息泄漏，造成了恶劣的社会影响。屡屡出现的关于银行ATM取款机的问题。……第二十九页，共77页。30你碰到过类似(lèisì)的事吗？第三十页，共77页。31IDC曾经(céngjīng)发生的安全事件(请添加ＩＤＣ自己(zìjǐ)的内容)第三十一页，共77页。32CERT关于(guānyú)安全事件的统计——摘自CERT/CC的统计(tǒngjì)报告2003年12月第三十二页，共77页。33过去(guòqù)6个月的统计。Source:RiptechInternetSecurityThreatReport.January2002医疗机构应用服务制造商非赢利机构媒体机构能源制造金融机构高科技不同(bùtónɡ)行业遭受攻击的平均次数第三十三页，共77页。34CSI/FBI对安全事件损失(sǔnshī)的统计——摘自CSI/FBI的统计(tǒngjì)报告2003年12月第三十四页，共77页。35威胁(wēixié)和弱点问题(wèntí)的根源第2部分(bùfen)第三十五页，共77页。36我们时刻都面临(miànlíng)来自外部的威胁

信息资产拒绝服务逻辑炸弹黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统Bug硬件故障网络通信故障供电中断失火雷雨地震第三十六页，共77页。37人是最关键(guānjiàn)的因素判断威胁来源，综合了人为因素和系统自身逻辑与物理上诸多(zhūduō)因素在一起，归根结底，还是人起着决定性的作用正是因为人在有意（攻击破坏）或无意（误操作、误配置）间的活动，才给信息系统安全带来了隐患和威胁提高人员安全意识和素质(sùzhì)势在必行！第三十七页，共77页。38黑客攻击，是我们(wǒmen)听说最多的威胁！第三十八页，共77页。39AtomicPalertscustomerstobreach—

CNetNMar20,2001Nasdaqdefaced..andotherseasonalgraffiti

—

SecurityWDec27,2000APSiteHacked

—

InteractiveWeekMar20,2001FrenchGroupClaimsDoubleClickhackedfor2years—

EcommerceTimes,Mar28,2001

ElectronicHolyWarHitsD.C.Pro-IsraelSite

—

Newsbytes,Nov3,2000

NTremainshackers'favorite

—

VNUnet,Jan10,2001

HackershitU.S.,U.K.,Australiangovernmentsites-InfoWorldJan22,2001

Travelocityexposescustomerinformation

—

CNetJan22,2001

U.S.NavyHacked

—

SecurityW,March30,2001

LaxSecurityFoundinIRSElectronicFilingSystem—

LATImes,Mar15,2001

第三十九页，共77页。40世界头号(tóuhào)黑客——KevinMitnick出生于1964年15岁入侵北美空军(kōngjūn)防务指挥系统，窃取核弹机密入侵太平洋电话公司的通信网络入侵联邦调查局电脑网络，戏弄调查人员16岁被捕，但旋即获释入侵摩托罗拉、Novell、Sun、Nokia等大公司与联邦调查局玩猫捉老鼠的游戏1995年被抓获，被判5年监禁获释后禁止接触电子物品，禁止从事计算机行业第四十页，共77页。41黑客(hēikè)不请自来，乘虚而入踩点扫描破坏攻击渗透攻击获得访问权获得控制权清除痕迹安装后门远程控制转移目标窃密破坏第四十一页，共77页。42踩点：千方百计搜集(sōují)信息，明确攻击目标扫描：通过网络，用工具来找到目标系统的漏洞DoS攻击：拒绝服务，是一种破坏性攻击，目的是使资源不可用DDoS攻击：是DoS的延伸，更大规模，多点对一点实施攻击渗透攻击：利用攻击软件，远程得到目标系统的访问权或控制权远程控制：利用安装的后门来实施隐蔽而方便的控制网络蠕虫：一种自动扩散的恶意代码，就像一个不受控的黑客了解(liǎojiě)一些黑客攻击手段很有必要第四十二页，共77页。43DoS攻击(gōngjī)示例——Smurf攻击者冒充受害主机的IP地址，向一个大的网络发送echorequest

的定向广播包中间网络的许多主机都作出响应，受害主机会收到大量的echoreply消息攻击者受害者中间反弹网络第四十三页，共77页。44DDoS攻击(gōngjī)模型

Internet

Intruder

Master

Master

Daemon

Daemon

Daemon

Daemon

Daemon

Daemon

Victim

第四十四页，共77页。45漏洞系统已打补丁的系统CodeRed蠕虫制造者DDOSDDOSDDOSDDOSDDOSDDOSDDOSRandomlyAttack

RandomlyAttack

RandomlyAttack

Internet蠕虫攻击(gōngjī)示例——CodeRed第四十五页，共77页。46威胁更多是来自公司(ɡōnɡsī)内部黑客虽然可怕，可更多时候，内部人员威胁(wēixié)却更易被忽略，但却更容易造成危害据权威部门统计，内部人员犯罪（或与内部人员有关的犯罪）占到了计算机犯罪总量的70%以上员工(yuángōng)误操作蓄意破坏公司资源私用第四十六页，共77页。47一个巴掌拍不响！外因是条件(tiáojiàn)内因才是根本！第四十七页，共77页。48我们(wǒmen)自身的弱点不容小视技术(jìshù)弱点操作(cāozuò)弱点

管理弱点系统、程序、设备中存在的漏洞或缺陷配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份过程的不当等策略、程序、规章制度、人员意识、组织结构等方面的不足第四十八页，共77页。49人最常犯的一些(yīxiē)错误将口令写在便签上，贴在电脑监视器旁开着电脑离开，就像离开家却忘记关灯那样轻易相信来自陌生人的邮件，好奇打开邮件附件使用容易猜测的口令，或者根本不设口令丢失笔记本电脑不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息随便拨号上网，或者随意将无关设备连入公司网络事不关己，高高挂起，不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁(wēixié)，忽视企业内部人员的问题第四十九页，共77页。50想想(xiǎnɡxiǎnɡ)你是否也犯过这些错误？第五十页，共77页。51嘿嘿，这顿美餐(měicān)唾手可得……呜呜，可怜(kělián)我手无缚鸡之力……威胁(wēixié)就像这只贪婪的猫如果盘中美食暴露在外遭受损失也就难免了第五十一页，共77页。52信息资产对我们很重要(zhòngyào)，是要保护的对象外在的威胁就像苍蝇一样，挥之不去，无孔不入资产本身又有各种弱点，给威胁带来可乘之机于是，我们面临各种风险，一旦发生就成为安全事件时刻都应保持(bǎochí)清醒的认识第五十二页，共77页。53我们(wǒmen)需要去做的就是……严防威胁消减弱点应急响应保护资产熟悉潜在的安全(ānquán)问题知道怎样防止其发生知道发生后如何应对第五十三页，共77页。54还记得消防(xiāofáng)战略吗？隐患险于明火！预防重于救灾！第五十四页，共77页。55理解(lǐjiě)和铺垫基本概念第3部分(bùfen)第五十五页，共77页。56消息、信号、数据、情报和知识信息本身是无形的，借助于信息媒体以多种形式存在或传播：存储在计算机、磁带、纸张等介质中记忆在人的大脑(dànǎo)里通过网络、打印机、传真机等方式进行传播信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产：计算机和网络中的数据硬件、软件、文档资料关键人员组织提供的服务具有价值的信息资产面临诸多威胁，需要妥善保护Information什么(shénme)是信息？第五十六页，共77页。57什么(shénme)是信息安全？采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受(zāoshòu)破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。第五十七页，共77页。58CIAonfidentialityntegrityvailabilityCIA谨记(jǐnjì)信息安全基本目标第五十八页，共77页。59企业管理者关注(guānzhù)的是最终目标ConfidentialityIntegrityAvailabilityInformation第五十九页，共77页。60风险漏洞威胁控制措施安全需求资产价值信息资产防止利用ReduceIncreaseIndicateIncrease暴露具有Decrease符合对组织的影响信息安全关键因素及其相互(xiānghù)关系第六十页，共77页。61实现信息安全可以(kěyǐ)采取一些技术手段物理安全技术：环境安全、设备安全、媒体安全系统安全技术：操作系统及数据库系统的安全性网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估应用安全技术：Email安全、Web访问安全、内容过滤、应用系统安全数据加密技术：硬件(yìnɡjiàn)和软件加密，实现身份认证和数据信息的CIA特性认证授权技术：口令认证、SSO认证（例如Kerberos）、证书认证等访问控制技术：防火墙、访问控制列表等审计跟踪技术：入侵检测、日志审计、辨析取证防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份第六十一页，共77页。62防火墙网络入侵检测病毒防护主机入侵检测漏洞扫描评估VPN通道访问控制第六十二页，共77页。63但关键(guānjiàn)还要看整体的信息安全管理技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂信息安全管理构成了信息安全具有能动性的部分，是指导和控制组织的关于(guānyú)信息安全风险的相互协调的活动现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标尤其重要三分(sānfēn)技术，七分管理！第六十三页，共77页。64务必重视信息安全管理加强(jiāqiáng)信息安全建设工作第六十四页，共77页。65PDCA信息安全管理(guǎnlǐ)模型根据风险评估(pínɡɡū)结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。实施(shíshī)所选的安全控制措施。

针对检查结果采取应对措施，改进安全状况。

依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。第六十五页，共77页。66可以参考(cānkǎo)的标准规范和最佳惯例ISO27001第六十六页，共77页。67安全性与方便性的平衡(pínghéng)问题在方便性（convenience，即易用性）和安全性（security）之间是一种相反的关系提高了安全性，相应地就降低了方便性而要提高安全性，又势必增大成本管理者应在二者之间达成一种可接受(jiēshòu)的平衡第六十七页，共77页。68计算机安全领域一句格言(géyán)：“真正安全的计算机是拔下网线，断掉电源，放在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”这样的计算机是没法用了。绝对的安全(ānquán)是不存在的！第六十八页，共77页。69正确认识信息安全安全不是产品(chǎnpǐn)的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程第六十九页，共77页。70整体管理(guǎnlǐ)思路信息安全管理体系第4部分(bùfen)第七十页，共77页。71英国标准协会（BritishStandardsInstitute，BSI）制定的信息安全标准。由信息安全方面的最佳惯例组成(zǔchénɡ)的一套全面的控制集。信息安全管理方面最受推崇的国际标准。ISO27001是关于(guānyú)信息安全管理的标准第七十一页，共77页。72ISO27001标准(biāozhǔn)包含两个部分ISO17799:2005：信息安全管理实施细则（CodeofPracticeforInformationSecurityManagement），相当于一个工具包，体现了三分技术七分管理ISO27001：是建立信息安全管理系统（ISMS）的一套规范（SpecificationforInformationSecurityManagementSystems），详细(xiángxì)说明了建立、实施和维护信息安全管理系统的要求，指出实施机构应该遵循的风险评估标准安全策略Securitypolicy安全组织Securityorganisation资产分类与控制Assetclassification&control人员安全Personnelsecurity物理与环境安全Physical&environmentalsecurity通信与操作管理Communications&operationsmanagement系统开发与维护Systemsdevelopment&maintenance访问控制Accesscontrol业务连续性管理Businesscontinuitymanagement符合性Compliance第七十二页，共77页。73什么(shénme)是信息安全管理体系？以往我们对信息安全的认识只停留在技术和产品上，是只见树木不见森林，只治标不治本其实，信息安全成败，三分靠技术，七分靠管理，技术一般但管理良好的系统远比技术高超但管理混乱的系统安全但以往我们的管理，只是粗浅的、静态的、不成体系的管理信息安全必须从整体去考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样的全程管理的路子，而整个的过程，必须有一套完整的文件(wénjiàn)体系来控制和指引