培训-信息安全意识交流

信息安全意识深圳市网安计算机安全检测技术有限公司2014.72023/12/81讲师简介袁源，信息安全领域博士后，长期从事信息安全技术、管理、规划工作，以及信息安全产品、技术理论与研发等相关工作。主持并参与了国家“十五”、“十一五”规划的多个信息安全项目。现担任网安公司总工程师，负责公司所有等保测评、安全运维、安全咨询项目的技术方案、现场实施和质量管理工作。持有证书：CISA/CISP/27001LA/等级保护高级测评师2023/12/821234信息安全现状信息安全认识主要内容信息安全常用控制措施信息安全技术理论2023/12/83关于信息安全的一些误解信息安全就是防黑客信息安全就是网络安全信息安全就是防病毒信息安全就是技术问题信息安全就是应付上级检查信息安全就是给我们找麻烦2023/12/84信息安全事件（一）电视选秀节目场外抽奖均为诈骗由于《我是歌手》、《中国最强音》、《中国梦之声》等综艺节目在上半年火爆流行，因此各种假冒电视综艺节目的中奖类钓鱼网站急速增多。据统计，今年虚假中奖类网站占钓鱼网站总数的32%，位列钓鱼网站第一，成为用户隐私信息及财产安全的最大威胁。假冒节目中奖类钓鱼网站会通过短信、彩信、邮件、QQ，甚至是传真等多种渠道散播虚假中奖信息，以十几万元的高额奖金及苹果电脑等丰厚奖品作为诱饵，将网友指向制作精良、难辨真伪的高仿钓鱼网站进行钓鱼诈骗。在“领奖过程”中，骗子会通过假冒的领奖信息页面套取网友的姓名、电话、住址、银行卡号和身份证等重要个人信息，以便牟取暴利。同时，骗子还会以奖金奖品的转账及运输风险抵押金为名，让用户汇款几千甚至上万元到指定账户，达到骗取钱财的目的。2023/12/85信息安全事件（二）棱镜门事件2013年6月，一位名为爱德华•斯诺登的前美国中央情报局（CIA）雇员在香港露面，并向媒体披露了一些机密文件，致使包括“棱镜”项目在内的美国政府多个秘密情报监视项目遭到披露。据了解，“棱镜”项目涉及美国情报机构在互联网上对包括中国在内的多个国家10类主要信息进行监听，其包括电邮信息、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料等细节。涉及“棱镜门”的思科产品，在国内163、169两大主干通讯网络中占据了70%以上份额，把持了所有超级核心节点，这无异于在国内的主要通讯网络中埋下了高危的定时炸弹，各类敏感信息随时都面临被第三方监听、备份的风险。2023/12/86信息安全事件（三）东航等多家航空公司疑泄露乘客信息

从2013年9月开始，陆续有消费者通过微博等网络信息平台发布投诉，称自己在订购了机票之后，收到了一条短信称其航班被取消，要求联系短信中所提供400开头的“客服号码”，结果在通话过程中提供了个人银行账户，蒙受了几百至数千元不等的损失。尽管并非所有乘客都与诈骗方联系从而被套走钱款，但他们在意识到遭遇诈骗短信后提出了共同的疑问：诈骗方是如何知道乘客姓名、航班班次、订单号甚至身份证号、护照号等详细信息的。

此案涉及南航、东航、山东航空、深圳航空等多家国内知名航空公司。2023/12/87信息安全事件（四）陕西移动BBS积分漏洞2008年，陕西移动开启BBS，为吸引人气，推出发一个帖子给10个积分的活动，积分可以换取礼品和话费。但是BBS出现一个漏洞，编辑一个帖子并不停按回车键就可以不停的发新帖，短时间内积分可迅速增加。

2012年京东商城网站积分换话费的活动也出现了重大漏洞，充值未成功的积分则会被双倍退回账户。该漏洞被网友发现后，在网络上被大量转发，不少用户都充值了上千元的Q币、购买数百元的彩票，甚至还有用户称充值了36万元的话费。业界人士预计京东亏损在2亿左右。2023/12/88信息安全事件（五）二维码病毒黑客将病毒、木马程序或手机扣费软件等网站链接生成二维码形式的图形，伪装于打折、促销广告或者热门游戏、系统升级软件中，诱导用户扫描（扫描二维码相当于点击了一次病毒链接）。用户扫描后，恶意程序在后台运行，使用户发送短信，消耗流量、造成话费流失。如果用户在手机上使用电子商务应用，可能造成用户电子商务信息的丢失，国内经常发生扫描二维码后支付宝资金被转走的事件。

注意：到官方网站下载二维码扫描软件不要见码就刷，确认该二维码出自正规网站在手机预装杀毒软件2023/12/89信息安全不再是高科技电影中的桥段，在工作、生活中面临信息安全带来的各种威胁。从多个案例看，无论是个人隐私，还是企业机密，乃至国家机要，都面临着全面泄密的风险。智能移动设备带来的信息安全风险最大。随着技术的日益发展，信息安全问题将有可能成为影响企业生存发展的致命伤。案例思考2023/12/810什么是信息？

通常我们可以把信息理解为消息、信号、数据、情报和知识。

信息本身是无形的，借助于信息媒体以多种形式存在或传播：存储在计算机、磁带、纸张等介质中记忆在人的大脑里通过网络、打印机、传真机等方式进行传播

信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产：计算机和网络中的数据硬件和软件关键人员组织提供的服务各类文档2023/12/811信息生命周期创建传递销毁存储使用更改2023/12/812什么是信息安全？不止技术才是信息安全采取技术与管理措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。2023/12/813C保密性（Confidentiality）——确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性（Integrity）——确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。可用性（Availability）——确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：IADisclosureAlterationDestruction泄漏破坏篡改信息安全的三要素CIA2023/12/814保护组织的信息资产，使之不坏、更改及泄露，保证信息确保组织业务运行的连续性。ConfidentialityIntegrityAvailabilityInformation信息安全的实质2023/12/815信息安全现状统计2023/12/816信息安全现状统计2012年，检测到恶意程序162981个，较2011年增加25倍。其中，82.5%针对android平台，恶意扣费软件占据第一位。2023/12/817信息安全现状统计2012年，火焰病毒、高斯病毒、红色十月病毒等实施复杂apt攻击的恶意程序频现，其功能以收集信息和窃取情报为主，且均已隐蔽工作了数年。涉及政府机构、重要信息系统部门和高新技术企事业单位。2023/12/8181234信息安全现状信息安全认识主要内容信息安全常用控制措施信息安全技术理论2023/12/819信息安全威胁无处不在

信息资产流氓软件黑客渗透内部人员威胁病毒和蠕虫硬件故障网络通信故障供电中断失火雷雨地震拒绝服务社会工程系统漏洞木马后门2023/12/820小测试

您每次是双击打开U盘吗？

您离开自己的电脑会锁屏吗？

您会点击不明邮件发来的链接吗？您的电脑定期更换密码吗？2023/12/821安全名言计算机安全领域一句格言：“真正安全的计算机是拔下网线，断掉电源，放在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”绝对的安全是不存在的！2023/12/822安全名言“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话……”——KevinMitnick人是信息安全最薄弱的环节！2023/12/823安全名言安全是一种平衡！2023/12/824安全名言安全控制的成本安全事件的损失最小化的总成本低高高安全成本/损失所提供的安全水平保密性与可用性平衡成本利益的平衡2023/12/825信息安全并不是无数的信息安全产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程。安全名言2023/12/8261234信息安全现状信息安全认识主要内容信息安全常用控制措施信息安全技术理论2023/12/827物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程学口令安全信息安全控制2023/12/828物理安全控制措施（举例）物理区域设置门禁，出入登记关键物理区域，安排接待人员或门卫所有人员必须佩戴相应的身份识别卡进门注意身后是否有无关人员，防止尾随所有人员不得将身份识别卡借与他人使用物理区域应划分为不同的安全级别，分别标识与控制定期备份机房视频录像2023/12/829物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程学口令安全信息安全控制2023/12/830信息资产安全控制措施（举例）信息资产要按照敏感性进行分类与标识员工对信息资产的访问应根据其工作职责及信息资产的敏感性设置不同的访问控制措施明确各类信息资产的管理及使用职责2023/12/831信息安全控制物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程学口令安全2023/12/832移动介质安全控制措施（举例）未经批准，严禁携带移动介质进入机房等敏感区域，在机房内必须使用专用的移动介质。移动介质内临时存储的敏感数据应及时清除。在自己的办公电脑上使用别人的移动介质前应查杀病毒。2023/12/833物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程学口令安全信息安全控制2023/12/834电子邮件安全控制措施（举例）在接收或发送电子邮件前，公司的防病毒服务器应对所有电子邮件的附件进行安全扫描。办公电脑要安装防病毒软件，并打开邮件监控功能，及时更新病毒库。不随便打开陌生地址邮件的附件。2023/12/835物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程学口令安全信息安全控制2023/12/836常见的计算机病毒网络蠕虫利用网络进行复制和传播，传染途径是通过网络和电子邮件。蠕虫Worm木马Trojan木马病毒一种后门程序，商业目的特征强，主要目的是偷窃计算机上的敏感信息（如银行账户、游戏账号等）。2023/12/837病毒防范策略控制措施（举例）升级操作系统，更新补丁。安装并更新杀毒软件及木马防火墙。不要随意下载或安装不明网站软件。用杀毒软件定期全盘扫描计算机。2023/12/838物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程口令安全信息安全控制2023/12/839什么是社会工程学定义为某些非容易的获取讯息，利用社会科学（此指其中的社会常识）尤其心理学，语言学，欺诈学将其进行综合，有效的利用（如人性的弱点），并最终获得信息为最终目的学科称为“社会工程学”。常见方式冒充银行人员诱导客户转账到指定账户。（如ATM诈骗）偷听内部员工在走廊里的聊天内容。冒充邮差，清洁工等外部人员进入公司窃取敏感资料。冒充厂商技术人员打电话获取内部信息（如网络地址，端口号等）2023/12/840典型社会工程应用——网络钓鱼定义网络钓鱼（Phishing）攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。2023/12/841钓鱼网站类型2023/12/842新型钓鱼方法示例2023/12/843如何防范网络钓鱼控制措施（举例）不要把自己的隐私资料通过网络传输，包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ、MSN、Email等软件传播，这些途径往往可能被黑客利用来进行诈骗。不要相信网上流传的消息，除非得到权威途径的证明。如股票QQ群发布的信息。不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。不要轻易相信通过电子邮件、手机短信等发布的中奖信息、促销信息等，除非得到另外途径的证明。收到类似短信“钱还没打吧，我那卡磁条坏了，请汇到这个卡上就行了，农业银行xxxxxxxxxxxxxxxx，户名：XXX”2023/12/844物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程口令安全信息安全控制2023/12/845脆弱的口令举例少于8个字符单一的字符类型，例如只用小写字母，或只用数字用户名与口令相同最常被人使用的弱口令：123456自己、家人、朋友、亲戚、宠物的名字生日、结婚纪念日、电话号码等个人信息2023/12/846安全口令建议口令至少应该由8个字符组成口令应包含大小写字母口令应包含数字、特殊字符不要使用常用的英文单词不要本人的姓名、生日2023/12/847日常工作安全注意事项

严格遵守公司各项信息安全制度日常工作中，应严格按照系统的操作流程、安全规范进行操作不要随意从互联网下载或安装软件不要随意打开从E-mail或IM（QQ、MSN等）中传来的不明附件不要点击他人发送的不明链接，不登录不明网站防病毒软件必须持续更新，病毒库保持最新感染病毒的计算机必须从网络中隔离(拨除连接的网线)直至清除病毒发生任何病毒传播事件，相关人员应及时向网络安全管理小组汇报自动或定期更新操作系统的补丁

2023/12/848日常工作安全注意事项

废弃或待修电脑转交他人时应经IT部门消磁处理定期做好重要数据的备份使用别人的移动介质前要进行杀毒不得随意将自己的移动存储设备插入机房内的硬件设备对系统数据的访问应本着“知必所需”的原则，不得访问未经授权的数据禁止在公共场合谈论客户敏感的事件，例如客户发生了网上交易账户被盗事件禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用碎纸机粉碎应主动防止陌生人尾随进入办公区域应将复印或打印的敏感资料及时取走，防止被他人偷看或者拿走离开座位时，应将贵重物品、含有机密信息的资料锁入柜中，并对使用的电脑桌面进行锁屏

2023/12/8491234信息安全现状信息安全认识主要内容信息安全常用控制措施信息安全技术理论2023/12/850信息安全木桶原理

木桶原理：木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么木桶的最大容量不取决于长的木板，而取决于最短的那块木板。该原理同样适用于信息安全：组织（系统）的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。这些环节包括安全管理、物理安全、主机DB安全、应用安全、网络安全和数据安全，环节中的任何一个都可能影响信息系统的整体安全水平。因此，要从整体上提高一个组织的信息系统安全水平，必须保证信息系统各个环节的安全。要实现这个目标，组织必须制定严格的、系统的安全策略来保证信息系统的安全性，包括高层领导授权/支持、保密政策、安全实施、监督检查制度、员工安全意识培训、可靠的技术设备等等，也就是要使构成安全防范体系这只“木桶”的所有木板拥有相近的长度且不存在短板。

2023/12/851风险评估

定义：运用定性、定量的科学分析方法和手段，系统地分析信息和信息系统等资产所面临的人为的和自然的威胁，以及威胁事件一旦发生可能遭受的危害程度，有针对性地提出抵御威胁的安全等级防护对策和整改措施，从而最大限度地减少经济损失和负面影响。

2023/12/852等级保护测评

定义：信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。

安全管理管理制度管理机构人员安全系统建设系统运维安全技术物理安全网络安全主机安全应用安全数据安全2023/12/853信息安全保障体系

2023/12/854信息安全技术体系

2023/12/855信息安全管理体系四级文件三级文件二级文件一级方针、策略规范、程序作业指导书记录、表单2023/12/856测试1 "信息安全的三个主要属性是什么________A：完整性、可用性、保密性B：完整性、保密性、真实性C：完整性、可控制性、可用性D：保密性、可审查性、不可抵赖性2023/12/8572 "通用的信息安全规范方面的“用户名与密码的管理”中错误的是_________A：帐号与密码不可以相同。B：不要拿自己的名字、生日、电话号码作为密码。C：避免使用公共场所的计算机处理重要资料，如网

吧等，以免密码被窃听或不慎记录遭利用。D：密码之组成至少需5个字符以上。2023/12/8583 "对于安全规范下列哪种说法是错误的______。A：网络行为是受到监控的B：员工的所有应用系统的用户名和密码，必须符合安全要求。C：笔记本电脑可以不受控制。D：办公室的网络接入应该只能于业务用途。2023/12/8594以下说