信息安全意识培训课件经典2

信息安全意识培训课件经典版演示文稿1当前第1页\共有76页\编于星期三\20点优选信息安全意识培训ppt课件经典版当前第2页\共有76页\编于星期三\20点3什么是安全意识？

安全意识（Securityawareness），就是能够认知可能存在的安全问题，明白安全事故对组织的危害，恪守正确的行为方式，并且清楚在安全事故发生时所应采取的措施。当前第3页\共有76页\编于星期三\20点4我们的目标建立对信息安全的敏感意识和正确认识掌握信息安全的基本概念、原则和惯例了解信息安全管理体系（ISMS）概况清楚可能面临的威胁和风险遵守IDC各项安全策略和制度在日常工作中养成良好的安全习惯最终提升IDC整体的信息安全水平当前第4页\共有76页\编于星期三\20点5制作说明

本培训材料由IDC信息安全管理体系实施组织安全执行委员会编写，并经安全管理委员会批准，供IDC内部学习使用，旨在贯彻IDC信息安全策略和各项管理制度，全面提升员工信息安全意识。当前第5页\共有76页\编于星期三\20点6现实教训追踪问题的根源掌握基本概念了解信息安全管理体系建立良好的安全习惯重要信息的保密信息交换及备份软件使用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规寻求帮助目录当前第6页\共有76页\编于星期三\20点7严峻的现实！惨痛的教训！第1部分当前第7页\共有76页\编于星期三\20点8

在线银行——一颗定时炸弹。最近，南非的Absa银行遇到了麻烦，它的互联网银行服务发生一系列安全事件，导致其客户成百万美元的损失。Absa银行声称自己的系统是绝对安全的，而把责任归结为客户所犯的安全错误上。Absa银行的这种处理方式遭致广泛批评。那么，究竟是怎么回事呢？

一起国外的金融计算机犯罪案例当前第8页\共有76页\编于星期三\20点9前因后果是这样的……Absa是南非最大的一家银行，占有35%的市场份额，其Internet银行业务拥有40多万客户。

2003年6、7月间，一个30岁男子，盯上了Absa的在线客户，向这些客户发送携带有间谍软件（spyware）的邮件，并成功获得众多客户的账号信息，从而通过Internet进行非法转帐，先后致使10个Absa的在线客户损失达数万法郎。该男子后来被南非警方逮捕。当前第9页\共有76页\编于星期三\20点10间谍软件——eBlaster

这是一个商业软件（），该软件本意是帮助父母或老板监视孩子或雇员的上网活动该软件可记录包括电子邮件、网上聊天、即使消息、Web访问、键盘操作等活动，并将记录信息悄悄发到指定邮箱商业杀毒软件一般都忽略了这个商业软件本案犯罪人就是用邮件附件方式，欺骗受害者执行该软件，然后窃取其网上银行账号和PIN码信息的当前第10页\共有76页\编于星期三\20点11我们来总结一下教训Absa声称不是自己的责任，而是客户的问题安全专家和权威评论员则认为：Absa应负必要责任，其电子银行的安全性值得怀疑

Deloitte安全专家RoganDawes认为：Absa应向其客户灌输更多安全意识，并在易用性和安全性方面达成平衡

IT技术专家则认为：电子银行应采用更强健的双因素认证机制（口令或PIN＋智能卡），而不是简单的口令我们认为：Absa银行和客户都有责任当前第11页\共有76页\编于星期三\20点12国内金融计算机犯罪的典型案例

一名普通的系统维护人员，轻松破解数道密码，进入邮政储蓄网络，盗走83.5万元。这起利用网络进行金融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破获……

————

人民日报，2003年12月时间：2003年11月地点：甘肃省定西地区临洮县太石镇邮政储蓄所人物：一个普通的系统管理员当前第12页\共有76页\编于星期三\20点13怪事是这么发生的……2003年10月5日，定西临洮县太石镇邮政储蓄所的营业电脑突然死机工作人员以为是一般的故障，对电脑进行了简单的修复和重装处理

17日，工作人员发现打印出的报表储蓄余额与实际不符，对账发现，13日发生了11笔交易，83.5万异地帐户是虚存（有交易记录但无实际现金）紧急与开户行联系，发现存款已从兰州、西安等地被取走大半储蓄所向县公安局报案公安局向定西公安处汇报公安处成立专案组，同时向省公安厅上报

……当前第13页\共有76页\编于星期三\20点14当然，最终结果不错……

经过缜密的调查取证，我英勇机智的公安干警终于一举抓获这起案件的罪魁祸首——

会宁邮政局一个普通的系统维护人员张某当前第14页\共有76页\编于星期三\20点15事情的经过原来是这样的……③登录到永登邮政局永登临洮④破解口令，登录到临洮一个邮政储蓄所①会宁的张某用假身份证在兰州开了8个活期帐户②张某借工作之便，利用笔记本电脑连接电缆到邮政储蓄专网会宁⑤向这些帐户虚存83.5万，退出系统前删掉了打印操作系统⑥最后，张某在兰州和西安等地提取现金当前第15页\共有76页\编于星期三\20点16到底哪里出了纰漏……张某29岁，毕业于邮电学院，资质平平，谈不上精通计算机和网络技术邮政储蓄网络的防范可谓严密：与Internet物理隔离的专网；配备了防火墙；从前台分机到主机经过数重密码认证当前第16页\共有76页\编于星期三\20点17可还是出事了，郁闷呀问题究竟出在哪里？思考中……哦，原来如此——当前第17页\共有76页\编于星期三\20点18看来，问题真的不少呀……

张某私搭电缆，没人过问和阻止，使其轻易进入邮政储蓄专网临洮县太石镇的邮政储蓄网点使用原始密码，没有定期更改，而且被员工周知，致使张某轻松突破数道密码关，直接进入了操作系统问题出现时，工作人员以为是网络系统故障，没有足够重视

……当前第18页\共有76页\编于星期三\20点19总结教训……

最直接的教训：漠视口令安全带来恶果！归根到底，是管理上存在漏洞，人员安全意识淡薄安全意识的提高刻不容缓！当前第19页\共有76页\编于星期三\20点20一起证券行业计算机犯罪案例

凭借自己的耐心和别人的粗心，股市“菜鸟”严某非法侵入“股神通”10个单位和个人的股票账户，用别人的钱磨练自己的炒股技艺……

————

青年报，2003年12月时间：2003年6月地点：上海人物：26岁的待业青年严某当前第20页\共有76页\编于星期三\20点21事情是这样的……2003年3月，严父在家中安装开通“股神通”业务，进行即时股票交易。

2003年6月的一天，严某偶得其父一张股票交易单，上有9位数字的账号，遂动了“瞎猫碰死老鼠”的念头：该证券公司客户账号前6位数字是相同的，只需猜后3位；而6位密码，严某锁定为“123456”。严某”埋头苦干“，第一天连续输入了3000个数字组合，一无所获。第二天继续，很快”奇迹“出现，严某顺利进入一个股票账户。利用相同的方法，严某又先后侵入了10余个股票账户。严某利用别人的账户，十几天里共买进卖出1000多万元股票，损失超过14万元，直到6月10日案发。严某被以破坏计算机信息系统罪依法逮捕。当前第21页\共有76页\编于星期三\20点22问题出在哪里……

严某不算聪明，但他深知炒股的多是中老年人，密码设置肯定不会复杂。首先，作为股民，安全意识薄弱

证券公司，在进行账户管理时也存在不足：初始密码设置太简单，没提醒客户及时修改等

作为设备提供商，“股神通”软件设计里的安全机制太简单脆弱，易被人利用当前第22页\共有76页\编于星期三\20点23总结教训……

又是口令安全的问题！又是人的安全意识问题！再次强调安全意识的重要性！当前第23页\共有76页\编于星期三\20点24一个与物理安全相关的典型案例时间：2002年某天夜里地点：A公司的数据中心大楼人物：一个普通的系统管理员

一个普通的系统管理员，利用看似简单的方法，就进入了需要门卡认证的数据中心……

————

来自国外某论坛的激烈讨论，2002年当前第24页\共有76页\编于星期三\20点25情况是这样的……A公司的数据中心是重地，设立了严格的门禁制度，要求必须插入门卡才能进入。不过，出来时很简单，数据中心一旁的动作探测器会检测到有人朝出口走去，门会自动打开数据中心有个系统管理员张三君，这天晚上加班到很晚，中间离开数据中心出去夜宵，可返回时发现自己被锁在了外面，门卡落在里面了，四周别无他人，一片静寂张三急需今夜加班，可他又不想打扰他人，怎么办？当前第25页\共有76页\编于星期三\20点26一点线索：昨天曾在接待区庆祝过某人生日，现场还未清理干净，遗留下很多杂物，哦，还有气球……当前第26页\共有76页\编于星期三\20点27聪明的张三想出了妙计……①张三找到一个气球，放掉气②张三面朝大门入口趴下来，把气球塞进门里，只留下气球的嘴在门的这边③张三在门外吹气球，气球在门内膨胀，然后，他释放了气球……④由于气球在门内弹跳，触发动作探测器，门终于开了当前第27页\共有76页\编于星期三\20点28问题出在哪里……

如果门和地板齐平且没有缝隙，就不会出这样的事

如果动作探测器的灵敏度调整到不对快速放气的气球作出反应，也不会出此事

当然，如果根本就不使用动作探测器来从里面开门，这种事情同样不会发生当前第28页\共有76页\编于星期三\20点29总结教训……

虽然是偶然事件，也没有直接危害，但是潜在风险既是物理安全的问题，更是管理问题切记！有时候自以为是的安全，恰恰是最不安全！物理安全非常关键！当前第29页\共有76页\编于星期三\20点30类似的事件不胜枚举

苏州某中学计算机教师罗某，只因嫌准备考试太麻烦，产生反感情绪，竟向江苏省教育厅会考办的考试服务器发动攻击，他以黑客身份两次闯入该考试服务器，共删除全省中小学信息技术等级考试文件达100多个，直接经济损失达20多万元，后被警方抓获。某高校招生办一台服务器，因设置网络共享不加密码，导致共享目录中保存的有关高考招生的重要信息泄漏，造成了恶劣的社会影响。屡屡出现的关于银行ATM取款机的问题。

……当前第30页\共有76页\编于星期三\20点31你碰到过类似的事吗？当前第31页\共有76页\编于星期三\20点32IDC曾经发生的安全事件(请添加ＩＤＣ自己的内容)当前第32页\共有76页\编于星期三\20点33CERT关于安全事件的统计——摘自CERT/CC的统计报告2003年12月当前第33页\共有76页\编于星期三\20点34过去6个月的统计。Source:RiptechInternetSecurityThreatReport.January2002

医疗机构应用服务制造商非赢利机构媒体机构能源制造金融机构高科技不同行业遭受攻击的平均次数当前第34页\共有76页\编于星期三\20点35CSI/FBI对安全事件损失的统计——摘自CSI/FBI的统计报告2003年12月当前第35页\共有76页\编于星期三\20点36威胁和弱点问题的根源第2部分当前第36页\共有76页\编于星期三\20点37我们时刻都面临来自外部的威胁

信息资产拒绝服务逻辑炸弹黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统Bug硬件故障网络通信故障供电中断失火雷雨地震当前第37页\共有76页\编于星期三\20点38人是最关键的因素

判断威胁来源，综合了人为因素和系统自身逻辑与物理上诸多因素在一起，归根结底，还是人起着决定性的作用正是因为人在有意（攻击破坏）或无意（误操作、误配置）间的活动，才给信息系统安全带来了隐患和威胁提高人员安全意识和素质势在必行！当前第38页\共有76页\编于星期三\20点39黑客攻击，是我们听说最多的威胁！当前第39页\共有76页\编于星期三\20点40AtomicPalertscustomerstobreach—

CNetNMar20,2001Nasdaqdefaced..andotherseasonalgraffiti

—

SecurityWDec27,2000APSiteHacked

—

InteractiveWeekMar20,2001FrenchGroupClaimsDoubleClickhackedfor2years—

EcommerceTimes,Mar28,2001

ElectronicHolyWarHitsD.C.Pro-IsraelSite

—

Newsbytes,Nov3,2000

NTremainshackers'favorite

—

VNUnet,Jan10,2001

HackershitU.S.,U.K.,Australiangovernmentsites-InfoWorldJan22,2001

Travelocityexposescustomerinformation

—

CNetJan22,2001

U.S.NavyHacked

—

SecurityW,March30,2001

LaxSecurityFoundinIRSElectronicFilingSystem—

LATImes,Mar15,2001

当前第40页\共有76页\编于星期三\20点41世界头号黑客——KevinMitnick

出生于1964年

15岁入侵北美空军防务指挥系统，窃取核弹机密入侵太平洋电话公司的通信网络入侵联邦调查局电脑网络，戏弄调查人员

16岁被捕，但旋即获释入侵摩托罗拉、Novell、Sun、Nokia等大公司与联邦调查局玩猫捉老鼠的游戏

1995年被抓获，被判5年监禁获释后禁止接触电子物品，禁止从事计算机行业当前第41页\共有76页\编于星期三\20点42黑客不请自来，乘虚而入踩点扫描破坏攻击渗透攻击获得访问权获得控制权清除痕迹安装后门远程控制转移目标窃密破坏当前第42页\共有76页\编于星期三\20点43

踩点：千方百计搜集信息，明确攻击目标

扫描：通过网络，用工具来找到目标系统的漏洞

DoS攻击：拒绝服务，是一种破坏性攻击，目的是使资源不可用

DDoS攻击：是DoS的延伸，更大规模，多点对一点实施攻击

渗透攻击：利用攻击软件，远程得到目标系统的访问权或控制权

远程控制：利用安装的后门来实施隐蔽而方便的控制

网络蠕虫：一种自动扩散的恶意代码，就像一个不受控的黑客了解一些黑客攻击手段很有必要当前第43页\共有76页\编于星期三\20点44DoS攻击示例——Smurf攻击者冒充受害主机的IP地址，向一个大的网络发送echorequest

的定向广播包中间网络的许多主机都作出响应，受害主机会收到大量的echoreply消息攻击者受害者中间反弹网络当前第44页\共有76页\编于星期三\20点45DDoS攻击模型

Internet

Intruder

Master

Master

Daemon

Daemon

Daemon

Daemon

Daemon

Daemon

Victim

当前第45页\共有76页\编于星期三\20点46漏洞系统已打补丁的系统CodeRed蠕虫制造者DDOSDDOSDDOSDDOSDDOSDDOSDDOSRandomlyAttack

RandomlyAttack

RandomlyAttack

Internet蠕虫攻击示例——CodeRed当前第46页\共有76页\编于星期三\20点47威胁更多是来自公司内部

黑客虽然可怕，可更多时候，内部人员威胁却更易被忽略，但却更容易造成危害据权威部门统计，内部人员犯罪（或与内部人员有关的犯罪）占到了计算机犯罪总量的70%以上员工误操作蓄意破坏公司资源私用当前第47页\共有76页\编于星期三\20点48一个巴掌拍不响！外因是条件内因才是根本！当前第48页\共有76页\编于星期三\20点49我们自身的弱点不容小视

技术弱点

操作弱点

管理弱点系统、程序、设备中存在的漏洞或缺陷配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份过程的不当等策略、程序、规章制度、人员意识、组织结构等方面的不足当前第49页\共有76页\编于星期三\20点50人最常犯的一些错误

将口令写在便签上，贴在电脑监视器旁开着电脑离开，就像离开家却忘记关灯那样轻易相信来自陌生人的邮件，好奇打开邮件附件使用容易猜测的口令，或者根本不设口令丢失笔记本电脑不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息随便拨号上网，或者随意将无关设备连入公司网络事不关己，高高挂起，不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁，忽视企业内部人员的问题当前第50页\共有76页\编于星期三\20点51想想你是否也犯过这些错误？当前第51页\共有76页\编于星期三\20点52嘿嘿，这顿美餐唾手可得……呜呜，可怜我手无缚鸡之力……威胁就像这只贪婪的猫如果盘中美食暴露在外遭受损失也就难免了当前第52页\共有76页\编于星期三\20点53

信息资产对我们很重要，是要保护的对象外在的威胁就像苍蝇一样，挥之不去，无孔不入资产本身又有各种弱点，给威胁带来可乘之机于是，我们面临各种风险，一旦发生就成为安全事件时刻都应保持清醒的认识当前第53页\共有76页\编于星期三\20点54我们需要去做的就是……严防威胁消减弱点应急响应保护资产熟悉潜在的安全问题知道怎样防止其发生知道发生后如何应对当前第54页\共有76页\编于星期三\20点55还记得消防战略吗？隐患险于明火！预防重于救灾！当前第55页\共有76页\编于星期三\20点56理解和铺垫基本概念第3部分当前第56页\共有76页\编于星期三\20点57

消息、信号、数据、情报和知识信息本身是无形的，借助于信息媒体以多种形式存在或传播：存储在计算机、磁带、纸张等介质中记忆在人的大脑里通过网络、打印机、传真机等方式进行传播信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产：计算机和网络中的数据硬件、软件、文档资料关键人员组织提供的服务具有价值的信息资产面临诸多威胁，需要妥善保护Information什么是信息？当前第57页\共有76页\编于星期三\20点58什么是信息安全？

采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。当前第58页\共有76页\编于星期三\20点59CIAonfidentialityntegrityvailabilityCIA谨记信息安全基本目标当前第59页\共有76页\编于星期三\20点60企业管理者关注的是最终目标ConfidentialityIntegrityAvailabilityInformation当前第60页\共有76页\编于星期三\20点61风险漏洞威胁控制措施安全需求资产价值信息资产防止利用ReduceIncreaseIndicateIncrease暴露具有Decrease符合对组织的影响信息安全关键因素及其相互关系当前第61页\共有76页\编于星期三\20点62实现信息安全可以采取一些技术手段

物理安全技术：环境安全、设备安全、媒体安全

系统安全技术：操作系统及数据库系统的安全性

网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估

应用安全技术：Email安全、Web访问安全、内容过滤、应用系统安全

数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA特性

认证授权技术：口令认证、SSO认证（例如Kerberos）、证书认证等

访问控制技术：防火墙、访问控制列表等审计跟踪技术：入侵检测、日志审计、辨析取证

防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系

灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份当前第62页\共有76页\编于星期三\20点63防火墙网络入侵检测病毒防护主机入侵检测漏洞扫描评估VPN通道访问控制当前第63页\共有76页\编于星期三\20点64但关键还要看整体的信息安全管理

技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂信息安全管理构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标尤其重要三分技术，七分管理！当前第64页\共有76页\编于星期三\20点65务必重视信息安全管理加强信息安全建设工作当前第65页\共有76页\编于星期三\20点66PDCA信息安全管理模型

根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。

实施所选的安全控制措施。

针对检查结果采取应对措施，改进安全状况。

依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。当前第66页\共有76页\编于星期三\20点67可以参考的标准规范和最佳惯例ISO27001当前第67页\共有76页\编于星期三\20点68安全性与方便性的平衡问题在方便性（convenience，即易用性）和安全性（security）之间是一种相反的关系提高了安全性，相应地就降低了方便性而要提高安全性，又势必增大成本管理者应在二者之间达成一种可接受的平衡当前第68页\共有76页\编于星期三\20点69

计算机安全领域一句格言：

“真正安全的计算机是拔下网线，断掉电源，放在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”这样的计算机是没法用了。绝对的安全是不存在的！当前第69页\共有76页\编于星期三\20点70正确认识信息安全

安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程当前第70页\共有76页\编于星期三\20点71整体管理思路信息安全管理体系第4部分当前第71页\共有76页\编于星期三\20点72

英国标准协会（BritishStandardsInstitute，BSI）制定的信息安全标准。由信息安全方面的最佳惯例组成的一套全面的控制集。信息安全管理方面最受推崇的国际标准。ISO27001是关于信息安全管理的标准当前第72页\共有76页\编于星期三\20点73ISO27001标准包含两个部分ISO17799:2005：信息安全管理实施细则（CodeofPracticeforInformationSecurityManagement），相当于一个工具包，体现了三分技术七分管理ISO27001：是建立信息安全管理系统（ISMS）的一套规范（SpecificationforInformationSecurityManagementSystems），详细说明了建立、实施和维护信息安全管理系统的要求，指出实施机构应该遵循的风险评估标准安全策略Securitypolicy安全组织Securityorganisation资产分类与控制Assetclassification&control人员安全Personnelsecurity物理与环境安全Physical&environmentalse