信息安全意识培训ppt课件(经典版).ppt

IDC信息安全意识培训 从小事做起 从自身做起遵守IDC各项安全策略和制度规范 2 什么是安全意识 安全意识 Securityawareness 就是能够认知可能存在的安全问题 明白安全事故对组织的危害 恪守正确的行为方式 并且清楚在安全事故发生时所应采取的措施 3 我们的目标 建立对信息安全的敏感意识和正确认识掌握信息安全的基本概念 原则和惯例了解信息安全管理体系 ISMS 概况清楚可能面临的威胁和风险遵守IDC各项安全策略和制度在日常工作中养成良好的安全习惯最终提升IDC整体的信息安全水平 4 制作说明 本培训材料由IDC信息安全管理体系实施组织安全执行委员会编写 并经安全管理委员会批准 供IDC内部学习使用 旨在贯彻IDC信息安全策略和各项管理制度 全面提升员工信息安全意识 5 现实教训追踪问题的根源掌握基本概念了解信息安全管理体系建立良好的安全习惯重要信息的保密信息交换及备份软件使用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规寻求帮助 目录 6 严峻的现实 惨痛的教训 第1部分 7 在线银行 一颗定时炸弹 最近 南非的Absa银行遇到了麻烦 它的互联网银行服务发生一系列安全事件 导致其客户成百万美元的损失 Absa银行声称自己的系统是绝对安全的 而把责任归结为客户所犯的安全错误上 Absa银行的这种处理方式遭致广泛批评 那么 究竟是怎么回事呢 一起国外的金融计算机犯罪案例 8 前因后果是这样的 Absa是南非最大的一家银行 占有35 的市场份额 其Internet银行业务拥有40多万客户 2003年6 7月间 一个30岁男子 盯上了Absa的在线客户 向这些客户发送携带有间谍软件 spyware 的邮件 并成功获得众多客户的账号信息 从而通过Internet进行非法转帐 先后致使10个Absa的在线客户损失达数万法郎 该男子后来被南非警方逮捕 9 间谍软件 eBlaster 这是一个商业软件 10 我们来总结一下教训 Absa声称不是自己的责任 而是客户的问题安全专家和权威评论员则认为 Absa应负必要责任 其电子银行的安全性值得怀疑Deloitte安全专家RoganDawes认为 Absa应向其客户灌输更多安全意识 并在易用性和安全性方面达成平衡IT技术专家则认为 电子银行应采用更强健的双因素认证机制 口令或PIN 智能卡 而不是简单的口令我们认为 Absa银行和客户都有责任 11 国内金融计算机犯罪的典型案例 一名普通的系统维护人员 轻松破解数道密码 进入邮政储蓄网络 盗走83 5万元 这起利用网络进行金融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破获 人民日报 2003年12月 时间 2003年11月地点 甘肃省定西地区临洮县太石镇邮政储蓄所人物 一个普通的系统管理员 12 怪事是这么发生的 2003年10月5日 定西临洮县太石镇邮政储蓄所的营业电脑突然死机工作人员以为是一般的故障 对电脑进行了简单的修复和重装处理17日 工作人员发现打印出的报表储蓄余额与实际不符 对账发现 13日发生了11笔交易 83 5万异地帐户是虚存 有交易记录但无实际现金 紧急与开户行联系 发现存款已从兰州 西安等地被取走大半储蓄所向县公安局报案公安局向定西公安处汇报公安处成立专案组 同时向省公安厅上报 13 当然 最终结果不错 经过缜密的调查取证 我英勇机智的公安干警终于一举抓获这起案件的罪魁祸首 会宁邮政局一个普通的系统维护人员张某 14 事情的经过原来是这样的 会宁的张某用假身份证在兰州开了8个活期帐户 15 到底哪里出了纰漏 张某29岁 毕业于邮电学院 资质平平 谈不上精通计算机和网络技术 邮政储蓄网络的防范可谓严密 与Internet物理隔离的专网 配备了防火墙 从前台分机到主机经过数重密码认证 16 可还是出事了 郁闷呀 问题究竟出在哪里 思考中 哦 原来如此 17 看来 问题真的不少呀 张某私搭电缆 没人过问和阻止 使其轻易进入邮政储蓄专网临洮县太石镇的邮政储蓄网点使用原始密码 没有定期更改 而且被员工周知 致使张某轻松突破数道密码关 直接进入了操作系统问题出现时 工作人员以为是网络系统故障 没有足够重视 18 总结教训 最直接的教训 漠视口令安全带来恶果 归根到底 是管理上存在漏洞 人员安全意识淡薄 安全意识的提高刻不容缓 19 一起证券行业计算机犯罪案例 凭借自己的耐心和别人的粗心 股市 菜鸟 严某非法侵入 股神通 10个单位和个人的股票账户 用别人的钱磨练自己的炒股技艺 青年报 2003年12月 时间 2003年6月地点 上海人物 26岁的待业青年严某 20 事情是这样的 2003年3月 严父在家中安装开通 股神通 业务 进行即时股票交易 2003年6月的一天 严某偶得其父一张股票交易单 上有9位数字的账号 遂动了 瞎猫碰死老鼠 的念头 该证券公司客户账号前6位数字是相同的 只需猜后3位 而6位密码 严某锁定为 123456 严某 埋头苦干 第一天连续输入了3000个数字组合 一无所获 第二天继续 很快 奇迹 出现 严某顺利进入一个股票账户 利用相同的方法 严某又先后侵入了10余个股票账户 严某利用别人的账户 十几天里共买进卖出1000多万元股票 损失超过14万元 直到6月10日案发 严某被以破坏计算机信息系统罪依法逮捕 21 问题出在哪里 严某不算聪明 但他深知炒股的多是中老年人 密码设置肯定不会复杂 首先 作为股民 安全意识薄弱 证券公司 在进行账户管理时也存在不足 初始密码设置太简单 没提醒客户及时修改等 作为设备提供商 股神通 软件设计里的安全机制太简单脆弱 易被人利用 22 总结教训 又是口令安全的问题 又是人的安全意识问题 再次强调安全意识的重要性 23 一个与物理安全相关的典型案例 时间 2002年某天夜里地点 A公司的数据中心大楼人物 一个普通的系统管理员 一个普通的系统管理员 利用看似简单的方法 就进入了需要门卡认证的数据中心 来自国外某论坛的激烈讨论 2002年 24 情况是这样的 A公司的数据中心是重地 设立了严格的门禁制度 要求必须插入门卡才能进入 不过 出来时很简单 数据中心一旁的动作探测器会检测到有人朝出口走去 门会自动打开数据中心有个系统管理员张三君 这天晚上加班到很晚 中间离开数据中心出去夜宵 可返回时发现自己被锁在了外面 门卡落在里面了 四周别无他人 一片静寂张三急需今夜加班 可他又不想打扰他人 怎么办 25 一点线索 昨天曾在接待区庆祝过某人生日 现场还未清理干净 遗留下很多杂物 哦 还有气球 26 聪明的张三想出了妙计 张三找到一个气球 放掉气 张三面朝大门入口趴下来 把气球塞进门里 只留下气球的嘴在门的这边 张三在门外吹气球 气球在门内膨胀 然后 他释放了气球 由于气球在门内弹跳 触发动作探测器 门终于开了 27 问题出在哪里 如果门和地板齐平且没有缝隙 就不会出这样的事 如果动作探测器的灵敏度调整到不对快速放气的气球作出反应 也不会出此事 当然 如果根本就不使用动作探测器来从里面开门 这种事情同样不会发生 28 总结教训 虽然是偶然事件 也没有直接危害 但是潜在风险既是物理安全的问题 更是管理问题切记 有时候自以为是的安全 恰恰是最不安全 物理安全非常关键 29 类似的事件不胜枚举 苏州某中学计算机教师罗某 只因嫌准备考试太麻烦 产生反感情绪 竟向江苏省教育厅会考办的考试服务器发动攻击 他以黑客身份两次闯入该考试服务器 共删除全省中小学信息技术等级考试文件达100多个 直接经济损失达20多万元 后被警方抓获 某高校招生办一台服务器 因设置网络共享不加密码 导致共享目录中保存的有关高考招生的重要信息泄漏 造成了恶劣的社会影响 屡屡出现的关于银行ATM取款机的问题 30 你碰到过类似的事吗 31 IDC曾经发生的安全事件 请添加 自己的内容 32 CERT关于安全事件的统计 摘自CERT CC的统计报告2003年12月 33 过去6个月的统计 Source RiptechInternetSecurityThreatReport January2002 不同行业遭受攻击的平均次数 34 CSI FBI对安全事件损失的统计 摘自CSI FBI的统计报告2003年12月 35 威胁和弱点 问题的根源 第2部分 36 我们时刻都面临来自外部的威胁 37 人是最关键的因素 判断威胁来源 综合了人为因素和系统自身逻辑与物理上诸多因素在一起 归根结底 还是人起着决定性的作用正是因为人在有意 攻击破坏 或无意 误操作 误配置 间的活动 才给信息系统安全带来了隐患和威胁 提高人员安全意识和素质势在必行 38 黑客攻击 是我们听说最多的威胁 39 40 世界头号黑客 KevinMitnick 出生于1964年15岁入侵北美空军防务指挥系统 窃取核弹机密入侵太平洋电话公司的通信网络入侵联邦调查局电脑网络 戏弄调查人员16岁被捕 但旋即获释入侵摩托罗拉 Novell Sun Nokia等大公司与联邦调查局玩猫捉老鼠的游戏1995年被抓获 被判5年监禁获释后禁止接触电子物品 禁止从事计算机行业 41 黑客不请自来 乘虚而入 42 踩点 千方百计搜集信息 明确攻击目标扫描 通过网络 用工具来找到目标系统的漏洞DoS攻击 拒绝服务 是一种破坏性攻击 目的是使资源不可用DDoS攻击 是DoS的延伸 更大规模 多点对一点实施攻击渗透攻击 利用攻击软件 远程得到目标系统的访问权或控制权远程控制 利用安装的后门来实施隐蔽而方便的控制网络蠕虫 一种自动扩散的恶意代码 就像一个不受控的黑客 了解一些黑客攻击手段很有必要 43 DoS攻击示例 Smurf 攻击者 受害者 44 DDoS攻击模型 Internet Intruder Master Master Daemon Daemon Daemon Daemon Daemon Daemon Victim 45 蠕虫攻击示例 CodeRed 46 威胁更多是来自公司内部 黑客虽然可怕 可更多时候 内部人员威胁却更易被忽略 但却更容易造成危害据权威部门统计 内部人员犯罪 或与内部人员有关的犯罪 占到了计算机犯罪总量的70 以上 员工误操作 蓄意破坏 公司资源私用 47 一个巴掌拍不响 外因是条件内因才是根本 48 我们自身的弱点不容小视 技术弱点 操作弱点 管理弱点 系统 程序 设备中存在的漏洞或缺陷 配置 操作和使用中的缺陷 包括人员的不良习惯 审计或备份过程的不当等 策略 程序 规章制度 人员意识 组织结构等方面的不足 49 人最常犯的一些错误 将口令写在便签上 贴在电脑监视器旁开着电脑离开 就像离开家却忘记关灯那样轻易相信来自陌生人的邮件 好奇打开邮件附件使用容易猜测的口令 或者根本不设口令丢失笔记本电脑不能保守秘密 口无遮拦 上当受骗 泄漏敏感信息随便拨号上网 或者随意将无关设备连入公司网络事不关己 高高挂起 不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁 忽视企业内部人员的问题 50 想想你是否也犯过这些错误 51 嘿嘿 这顿美餐唾手可得 呜呜 可怜我手无缚鸡之力 威胁就像这只贪婪的猫 如果盘中美食暴露在外 遭受损失也就难免了 52 信息资产对我们很重要 是要保护的对象外在的威胁就像苍蝇一样 挥之不去 无孔不入资产本身又有各种弱点 给威胁带来可乘之机于是 我们面临各种风险 一旦发生就成为安全事件 时刻都应保持清醒的认识 53 我们需要去做的就是 熟悉潜在的安全问题知道怎样防止其发生知道发生后如何应对 54 还记得消防战略吗 55 理解和铺垫 基本概念 第3部分 56 消息 信号 数据 情报和知识信息本身是无形的 借助于信息媒体以多种形式存在或传播 存储在计算机 磁带 纸张等介质中记忆在人的大脑里通过网络 打印机 传真机等方式进行传播信息借助媒体而存在 对现代企业来说具有价值 就成为信息资产 计算机和网络中的数据硬件 软件 文档资料关键人员组织提供的服务具有价值的信息资产面临诸多威胁 需要妥善保护 Information 什么是信息 57 什么是信息安全 采取措施保护信息资产 使之不因偶然或者恶意侵犯而遭受破坏 更改及泄露 保证信息系统能够连续 可靠 正常地运行 使安全事件对业务造成的影响减到最小 确保组织业务运行的连续性 58 CIA 谨记信息安全基本目标 59 企业管理者关注的是最终目标 60 信息安全关键因素及其相互关系 61 实现信息安全可以采取一些技术手段 物理安全技术 环境安全 设备安全 媒体安全系统安全技术 操作系统及数据库系统的安全性网络安全技术 网络隔离 访问控制 VPN 入侵检测 扫描评估应用安全技术 Email安全 Web访问安全 内容过滤 应用系统安全数据加密技术 硬件和软件加密 实现身份认证和数据信息的CIA特性认证授权技术 口令认证 SSO认证 例如Kerberos 证书认证等访问控制技术 防火墙 访问控制列表等审计跟踪技术 入侵检测 日志审计 辨析取证防病毒技术 单机防病毒技术逐渐发展成整体防病毒体系灾难恢复和备份技术 业务连续性技术 前提就是对数据的备份 62 63 但关键还要看整体的信息安全管理 技术是信息安全的构筑材料 管理是真正的粘合剂和催化剂信息安全管理构成了信息安全具有能动性的部分 是指导和控制组织的关于信息安全风险的相互协调的活动现实世界里大多数安全事件的发生和安全隐患的存在 与其说是技术上的原因 不如说是管理不善造成的理解并重视管理对于信息安全的关键作用 对于真正实现信息安全目标尤其重要 三分技术 七分管理 64 务必重视信息安全管理加强信息安全建设工作 65 PDCA信息安全管理模型 根据风险评估结果 法律法规要求 组织业务运作自身需要来确定控制目标与控制措施 实施所选的安全控制措施 针对检查结果采取应对措施 改进安全状况 依据策略 程序 标准和法律法规 对安全措施的实施情况进行符合性检查 66 可以参考的标准规范和最佳惯例 ISO27001 67 安全性与方便性的平衡问题 在方便性 convenience 即易用性 和安全性 security 之间是一种相反的关系提高了安全性 相应地就降低了方便性而要提高安全性 又势必增大成本管理者应在二者之间达成一种可接受的平衡 68 计算机安全领域一句格言 真正安全的计算机是拔下网线 断掉电源 放在地下掩体的保险柜中 并在掩体内充满毒气 在掩体外安排士兵守卫 这样的计算机是没法用了 绝对的安全是不存在的 69 正确认识信息安全 安全不是产品的简单堆积 也不是一次性的静态过程 它是人员 技术 操作三者紧密结合的系统工程 是不断演进 循环发展的动态过程 70 整体管理思路 信息安全管理体系 第4部分 71 英国标准协会 BritishStandardsInstitute BSI 制定的信息安全标准 由信息安全方面的最佳惯例组成的一套全面的控制集 信息安全管理方面最受推崇的国际标准 ISO27001是关于信息安全管理的标准 72 ISO27001标准包含两个部分 ISO17799 2005 信息安全管理实施细则 CodeofPracticeforInformationSecurityManagement 相当于一个工具包 体现了三分技术七分管理ISO27001 是建立信息安全管理系统 ISMS 的一套规范 SpecificationforInformationSecurityManagementSystems 详细说明了建立 实施和维护信息安全管理系统的要求 指出实施机构应该遵循的风险评估标准 73 什么是信息安全管理体系 以往我们对信息安全的认识只停留在技术和产品上 是只见树木不见森林 只治标不治本其实 信息安全成败 三分靠技术 七分靠管理 技术一般但管理良好的系统远比技术高超但管理混乱的系统安全但以往我们的管理 只是粗浅的 静态的 不成体系的管理信息安全必须从整体去考虑 必须做到 有计划有目标 发现问题 分析问题 采取措施解决问题 后续监督避免再现 这样的全程管理的路子 而整个的过程 必须有一套完整的文件体系来控制和指引这就是信息安全管理体系 应该成为组织整体管理体系的一部分 74 IDC建立信息安全管理体系的目的 检验IDC信息安全管理现状 全面评估安全风险 找到问题所在 采取措施解决问题 从而建立完善的信息安全管理体系在此过程中 通过IDC全员的参与 全面提升IDC信息安全管理水平和意识技能 将信息安全理念融入到IDC企业文化当中接受认证机构的审核 获得具有国际权威性的ISO27001认证证书通过内功修炼和外在证明 提升IDC作为软件开发和服务企业的市场竞争力 赢取客户的认可和信任 75 信息安全方针 IDC的 宪法 IDC设立信息安全管理委员会来领导信息安