第二章信息安全基础.ppt

信息安全基础 1 2 目录 3 目录 什么是信息 4 信息简介 信息的概念1928年 哈特莱 L V R Hartley 在 贝尔系统技术杂志 BSTJ 上发表了一篇题为 信息传输 的论文 把信息理解为选择通信符号的方式 且用选择的自由度来计量信息的大小 1948年 美国数学家仙农 C E Shannon 在 贝尔系统技术杂志 上发表了一篇题为 通信的数学理论 的论文 以概率论为基础 在对信息的认识方面取得了很大的突破 与此同时 维纳 N Wiener 出版了专著 控制论 动物和机器中的通信与控制问题 创建了控制论 5 信息简介 信息的概念1975年 意大利学者朗高 G Longo 在 信息论 新的趋势与未决问题 提出 信息就是差异 1988年 我国信息论专家钟义信教授在 信息科学原理 一书中提出了信息的定义 并引入约束条件推导了信息的概念体系 信息的定义 事物运动的状态和状态变化的方式 6 信息简介 信息的概念举例加深对信息概念的理解 7 信息简介 信息的概念举例加深对信息概念的理解 8 信息简介 信息的概念举例加深对信息概念的理解 9 结论 信息不同于消息 消息是信息的外壳 信息则是消息的内核 信息简介 信息的概念举例加深对信息概念的理解 10 信息简介 信息的概念举例加深对信息概念的理解 11 结论 信息不同于信号 信号是信息的载体 信息则是信号所载荷的内容 信息简介 信息的概念举例加深对信息概念的理解 12 结论 信息不同于数据 文字或图像等 那是记录信息的形式 当然 在计算机里 文件及信息的传递等都是数据的形式 此时信息等同于数据 信息简介 信息的概念举例加深对信息概念的理解 13 结论 信息不同于情报 所有的情报都是信息 但不能说所有的信息都是情报 信息简介 信息的特征信息来源于物质 又不是物质本身信息也来源于精神世界信息和能量息息相关信息是具体的 并可以被人 生物 机器等 所感知 提取 识别 可以被传递 储存 变换 处理 显示 检索 复制和共享 14 信息简介 信息的性质普遍性无限性相对性传递性变换性有序性动态性转化性 15 信息简介 信息的功能信息的功能在于维持和强化世界的有序性主要的几个方面 信息是一切生物进化的导向资源 信息是知识的来源 信息是控制的灵魂 信息是思维的材料 信息是管理的基础 是一切实现自组织的保证 信息是一种重要的社会资源 16 信息简介 信息的类型信息的类型由于目的和出发点的不同 分类也不同 常见的以下几类 从信息的性质出发 语法信息 语义信息 语用信息从信息的过程出发 实在信息 先验信息 实得信息从信息的地位出发 客观信息 主观信息从信息的作用出发 有用信息 无用信息 干扰信息从信息的逻辑意义出发 真实信息 虚假信息 不定信息 17 信息简介 信息的类型从信息的传递方向出发 前馈信息 反馈信息从信息的生成领域出发 宇宙信息 自然信息 社会信息 思维信息从信息的应用部门出发 工业信息 农业信息 军事信息 政治信息 科技信息 经济信息 管理信息从信息源的性质出发 语音信息 图像信息 文字信息 数据信息 计算信息从信息的载体性质出发 电子信息 光学信息 生物信息从携带信息的信号的形式出发 连续信息 离散信息 半连续信息 18 谢谢收看 19 信息安全的CIA 20 信息安全概述 信息安全的CIACIA在信息安全领域并不是CentralIntelligenceAgency 美国中央情报局 21 信息安全概述 信息安全的CIACIA是信息安全的基本目标 也是其三个原则Confidenciality隐私性 指只有授权用户可以获取信息 Integrity完整性 指信息在输入和传输的过程中 不被非法授权修改和破坏 保证数据的一致性 Availability可用性 指保证合法用户对信息和资源的使用不会被不正当地拒绝 22 信息安全的基本目标 23 保密性 完整性 可用性 CIA CIA 互联网就像一个虚拟的社会 在它诞生的初期 互联网的应用相对简单 使用互联网的人数较少 人们对安全的设计与考虑都比较少 经过几十年的发展和普及 现在互联网已经深入到我们生活的每个方面 从电子邮件 信息搜索 到IP电话 网上购物 订机票车票 买卖股票 银行和退休账号管理 个人信息管理 博客与社交网 互联网已经同现代的社会生活紧密交织在一起 使人们更容易地获得各种信息 跨越地域局限同世界上的人们交往 改变了不少企业的工作方式 创造出无数新的职业 同时也结束了一些传统职业 24 25 CIA 与此同时 社会的复杂性也反映到了互联网上 从最初的以恶作剧为动机的无害病毒 到现在的以谋取金钱为目的的跨国黑客网 就像人类社会的安全问题一样 信息安全的问题已经成为伴随着互联网发展的一个越来越复杂的问题 那么 信息安全都包括什么呢 提起信息安全 人们最容易想到的就是计算机的病毒问题 不错 如今互联网成了感染病毒和间谍软件的最主要的媒介 单单是防毒问题 就足以让一个企业的IT部门忙个不停了 对一般的家庭用户 如何查毒防毒更是他们最经常问的问题 26 CIA 但是 信息安全不单是防毒查毒的问题 信息安全的中心问题是要能够保障信息的合法持有和使用者能够在任何需要该信息时获得保密的 没有被非法更改过的 原装的 信息 在英文的文献中 信息安全的目的常常用Confidentiality 保密性 Integrity 完整性 和Availability 可获得性 三个词概括 简而言之 叫CIA Triad 哈哈 跟美国中央情报局是一样的缩写 可是用不着那么紧张啦 27 CIA 关于信息的保密性 比较容易理解 就是具有一定保密程度的信息只能让有权读到或更改的人读到和更改 不过 这里提到的保密信息 有比较广泛的外延 它可以是国家机密 是一个企业或研究机构的核心知识产权 是一个银行个人账号的用户信息 或简单到你建立这个博客时输入的个人信息 因此 信息保密的问题是每一个能上网的人都要面对的 28 CIA 信息的完整性是指在存储或传输信息的过程中 原始的信息不能允许被随意更改 这种更改有可能是无意的错误 如输入错误 软件瑕疵 到有意的人为更改和破坏 在设计数据库以及其他信息存储和传输应用软件时 要考虑对信息完整性的校验和保障 29 CIA 信息的可获得性是指 对于信息的合法拥有和使用者 在他们需要这些信息的任何时候 都应该保障他们能够及时得到所需要的信息 比如 对重要的数据或服务器在不同地点作多处备份 一旦A处有故障或灾难发生 B处的备用服务器能够马上上线 保证信息服务没有中断 一个很好的例子是 2001年的911摧毁了数家金融机构在世贸中心的办公室 可是多数银行在事件发生后的很短的时间内就能够恢复正常运行 这些应归功于它们的备份 修复 灾难后的恢复工作做得好 30 CIA 信息安全的核心就是data 要保障没有被破坏过的 原始的data能够及时地 安全地在它的合法拥有者和使用者之间传递或存储 而不能被不该获得它们的人得到或更改 信息安全的工作就是要保障这些数据不被合法拥有和使用者以外的人窃取 篡改或破坏 同时保障这些数据不会由于操作失误 机器故障 天灾人祸等被破坏 31 CIA 谢谢收看 32 信息安全目标 33 某公司信息安全方针和目标 34 信息安全方针 35 信息安全管理机制 1 公司采用系统的方法 按照ISO IEC27001 2005建立信息安全管理体系 全面保护本公司的信息安全 36 信息安全管理组织 2 公司总经理对信息安全工作全面负责 负责批准信息安全方针 确定信息安全要求 提供信息安全资源 3 公司总经理任命管理者代表负责建立 实施 检查 改进信息安全管理体系 保证信息安全管理体系的持续适宜性和有效性 37 信息安全管理组织 4 在公司内部建立信息安全组织机构 信息安全管理委员会和信息安全协调机构 保证信息安全管理体系的有效运行 5 与上级部门 地方政府 相关专业部门建立定期经常性的联系 了解安全要求和发展动态 获得对信息安全管理的支持 38 人员安全 6 信息安全需要全体员工的参与和支持 全体员工都有保护信息安全的职责 在劳动合同 岗位职责中应包含对信息安全的要求 特殊岗位的人员应规定特别的安全责任 对岗位调动或离职人员 应及时调整安全职责和权限 7 对本公司的相关方 要明确安全要求和安全职责 39 人员安全 8 定期对全体员工进行信息安全相关教育 包括 技能 职责和意识 以提高安全意识 9 全体员工及相关方人员必须履行安全职责 执行安全方针 程序和安全措施 40 识别法律 法规 合同中的安全 10 及时识别顾客 合作方 相关方 法律法规对信息安全的要求 采取措施 保证满足安全要求 41 风险评估 11 根据本公司业务信息安全的特点 法律法规要求 建立风险评估程序 确定风险接受准则 12 采用先进的风险评估技术和软件 定期进行风险评估 以识别本公司风险的变化 本公司或环境发生重大变化时 随时评估 13 应根据风险评估的结果 采取相应措施 降低风险 42 报告安全事件 14 公司建立报告信息安全事件的渠道和相应的主管部门 15 全体员工有报告信息安全隐患 威胁 薄弱点 事故的责任 一旦发现信息安全事件 应立即按照规定的途径进行报告 16 接受信息安全事件报告的主管部门应记录所有报告 及时做出相应的处理 并向报告人员反馈处理结果 43 监督检查 17 定期对信息安全进行监督检查 包括 日常检查 专项检查 技术性检查 内部审核等 44 业务持续性 18 公司根据风险评估的结果 建立业务持续性计划 抵消信息系统的中断造成的影响 防止关键业务过程受严重的信息系统故障或者灾难的影响 并确保能够及时恢复 19 定期对业务持续性计划进行测试和更新 45 违反信息安全要求的惩罚 20 对违反信息安全方针 职责 程序和措施的人员 按规定进行处理 46 信息安全目标 1 不可接受风险处理率 100 所有不可接受风险应降低到可接受的程度 2 重大顾客因信息安全事件投诉为0次 47 信息安全的目标 所有的信息安全技术都是为了达到一定的安全目标 其核心包括保密性 完整性 可用性 可控性和不可否认性五个安全目标 保密性 Confidentiality 是指阻止非授权的主体阅读信息 它是信息安全一诞生就具有的特性 也是信息安全主要的研究内容之一 更通俗地讲 就是说未授权的用户不能够获取敏感信息 对纸质文档信息 我们只需要保护好文件 不被非授权者接触即可 而对计算机及网络环境中的信息 不仅要制止非授权者对信息的阅读 也要阻止授权者将其访问的信息传递给非授权者 以致信息被泄漏 48 完整性 Integrity 是指防止信息被未经授权的篡改 它是保护信息保持原始的状态 使信息保持其真实性 如果这些信息被蓄意地修改 插入 删除等 形成虚假信息将带来严重的后果 可用性 Usability 是指授权主体在需要信息时能及时得到服务的能力 可用性是在信息安全保护阶段对信息安全提出的新要求 也是在网络化空间中必须满足的一项信息安全要求 可控性 Controlability 是指对信息和信息系统实施安全监控管理 防止非法利用信息和信息系统 49 不可否认性 Non repudiation 是指在网络环境中 信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为 信息安全的保密性 完整性和可用性主要强调对非授权主体的控制 而对授权主体的不正当行为如何控制呢 信息安全的可控性和不可否认性恰恰是通过对授权主体的控制 实现对保密性 完整性和可用性的有效补充 主要强调授权用户只能在授权范围内进行合法的访问 并对其行为进行监督和审查 50 除了上述的信息安全五性外 还有信息安全的可审计性 Audiability 可鉴别性 Authenticity 等 信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为 与不可否认性的信息交换过程中行为可认定性相比 可审计性的含义更宽泛一些 信息安全的可见鉴别性是指信息的接收者能对信息的发送者的身份进行判定 它也是一个与不可否认性相关的概念 51 信息安全主要目标之一是保护用户数据和信息安全 云计算数据的处理和存储都在云平台上进行 计算资源的拥有者与使用者相分离已成为云计算模式的固有特点 由此而产生的用户对自己数据的安全存储和隐私性的担忧是不可避免的 具体来说 用户数据甚至包括涉及隐私的内容在远程计算 存储 通信过程中都有被故意或非故意泄露的可能 亦存在由断电或宕机等故障引发的数据丢失问题 甚至对于不可靠的云基础设施和服务提供商 还可能通过对用户行为的分析推测 获知用户的隐私信息 这些问题将直接引发用户与云提供者间的矛盾和摩擦 降低用户对云计算环境的信任度 并影响云计算应用的进一步推广 52 信息安全的主要目标之一是保护用户数据和信息安全 当向云计算过渡时 传统的数据安全方法将遭到云模式架构的挑战 弹性 多租户 新的物理和逻辑架构 以及抽象的控制需要新的数据安全策略 53 云计算数据生命周期安全的关键挑战 数据安全 保密性 完整性 可用性 真实性 授权 认证和不可抵赖性 数据存放位置 必须保证所有的数据包括所有副本和备份 存储在合同 服务水平协议和法规允许的地理位置 例如 使用由欧盟的 法规遵从存储条例 管理的电子健康记录 可能对数据拥有者和云服务提供商都是一种挑战 54 数据删除或持久性 数据必须彻底有效地去除才被视为销毁 因此 必须具备一种可用的技术 能保证全面和有效地定位云计算数据 擦除 销毁数据 并保证数据已被完全消除或使其无法恢复 55 56 不同客户数据的混合 数据尤其是保密 敏感数据 不能在使用 储存或传输过程中 在没有任何补偿控制的情况下与其他客户数据混合 数据的混合将在数据安全和地缘位置等方面增加安全挑战 数据备份和恢复重建 RecoveryandRestoration 计划 必须保证数据可用 云数据备份和云恢复计划必须到位和有效 以防止数据丢失 意外的数据覆盖和破坏 不要随便假定云模式的数据肯定有备份并可恢复 57 数据发现 discovery 由于法律系统持续关注电子证据发现 云服务提供商和数据拥有者将需要把重点放在发现数据并确保法律和监管部门要求的所有数据可被找回 这些问题在云环境中是极难回答的 将需要管理 技术和必要的法律控制互相配合 58 59 数据安全隔离为实现不同用户间数据信息的隔离 可根据应用具体需求 采用物理隔离 虚拟化和Multi tenancy等方案实现不同租户之间数据和配置信息的安全隔离 以保护每个租户数据的安全与隐私 60 数据与信息安全的具体防护 数据访问控制在数据的访问控制方面 可通过采用基于身份认证的权限控制方式 进行实时的身份监控 权限认证和证书检查 防止用户间的非法越权访问 如可采用默认 denyall 的访问控制策略 仅在有数据访问需求时才显性打开对应的端口或开启相关访问策略 在虚拟应用环境下 可设置虚拟环境下的逻辑边界安全访问控制策略 如通过加载虚拟防火墙等方式实现虚拟机间 虚拟机组内部精细化的数据访问控制策略 61 数据加密存储对数据进行加密是实现数据保护的一个重要方法 即使该数据被人非法窃取 对他们来说也只是一堆乱码 而无法知道具体的信息内容 在加密算法选择方面 应选择加密性能较高的对称加密算法 如AES 3DES等国际通用算法 或我国国有商密算法SCB2等 在加密密钥管理方面 应采用集中化的用户密钥管理与分发机制 实现对用户信息存储的高效安全管理与维护 对云存储类服务 云计算系统应支持提供加密服务 对数据进行加密存储 防止数据被他人非法窥探 对于虚拟机等服务 则建议用户对重要的用户数据在上传 存储前自行进行加密 62 63 数据加密传输在云计算应用环境下 数据的网络传输不可避免 因此保障数据传输的安全性也很重要 数据传输加密可以选择在链路层 网络层 传输层等层面实现 采用网络传输加密技术保证网络传输数据信息的机密性 完整性 可用性 对于管理信息加密传输 可采用SSH SSL等方式为云计算系统内部的维护管理提供数据加密通道 保障维护管理信息安全 对于用户数据加密传输 可采用IPSecVPN SSL等VPN技术提高用户数据的网络传输安全性 64 数据备份与恢复不论数据存放在何处 用户都应该慎重考虑数据丢失风险 为应对突发的云计算平台的系统性故障或灾难事件 对数据进行备份及进行快速恢复十分重要 如在虚拟化环境下 应能支持基于磁盘的备份与恢复 实现快速的虚拟机恢复 应支持文件级完整与增量备份 保存增量更改以提高备份效率 65 剩余信息保护由于用户数据在云计算平台中是共享存储的 今天分配给某一用户的存储空间 明天可能分配给另外一个用户 因此需要做好剩余信息的保护措施 所以要求云计算系统在将存储资源重分配给新的用户之前 必须进行完整的数据擦除 在对存储的用户文件 对象删除后 对对应的存储区进行完整的数据擦除或标识为只写 只能被新的数据覆写 防止被非法恶意恢复 66 67 绝对的安全是不存在的 68 绝对的零风险是不存在的 要想实现零风险 也是不现实的 计算机系统的安全性越高 其可用性越低 需要付出的成本也就越大 一般来说 需要在安全性和可用性 以及安全性和成本投入之间做一种平衡 在计算机安全领域有一句格言 真正安全的计算机是拔下网线 断掉电源 放置在地下掩体的保险柜中 并在掩体内充满毒气 在掩体外安排士兵守卫 显然 这样的计算机是无法使用的 安全VS可用 69 在可用性 Usability 和安全性 Security 之间是一种相反的关系提高了安全性 相应地就降低了易用性而要提高安全性 又势必增大成本管理者应在二者之间达成一种可接受的平衡 保密 70 重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规 重要信息的保密 谢谢收看 71 信息安全环节 72 内部威胁 73 员工误操作 蓄意破坏 职责权限混淆 自身弱点 74 技术弱点 操作弱点 管理弱点 系统 程序 设备中存在的漏洞或缺陷 配置 操作和使用中的缺陷 包括人员的不良习惯 审计或备份过程的不当等 策略 程序 规章制度 人员意识 组织结构等方面的不足 内因外因之间的关系 75 一个巴掌拍不响 外因是条件内因才是根本 最常犯的一些错误 76 将口令写在便签上 贴在电脑监视器旁开着电脑离开 就像离开家却忘记关灯那样轻易相信来自陌生人的邮件 好奇打开邮件附件使用容易猜测的口令 或者根本不设口令丢失笔记本电脑不能保守秘密 口无遮拦 上当受骗 泄漏敏感信息随便拨号上网 或者随意将无关设备连入公司网络事不关己 高高挂起 不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁 忽视企业内部人员的问题 思考 77 想想你是否也犯过这些错误 安全意识 78 信息安全意识的提高刻不容缓 人是关键因素 79 手里拿把猎枪再踏出帐篷吾自三省吾身 提高人员信息安全意识和素质势在必行 保持清醒认识 80 信息资产对我们很重要 是要保护的对象威胁就像苍蝇一样 挥之不去 无所不在资产自身又有各种弱点 给威胁带来可乘之机面临各种风险 一旦发生就成为安全事件 事故 我们应该 81 熟悉潜在的安全问题知道怎样防止其发生明确发生后如何应对 信息安全意识方针 82 安全贵在未雨绸缪 资产划分 83 保密 84 重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规 重要信息的保密 信息处理与保护 85 各类信息 无论电子还是纸质 在标注 授权 访问 存储 拷贝 传真 内部和外部分发 包括第三方转交 传输 处理等各个环节 都应该遵守既定策略信息分类管理程序只约定要求和原则 具体控制和实现方式 由信息属主或相关部门确定 以遵守最佳实践和法律法规为参照凡违反程序规定的行为 酌情予以纪律处分 数据保护安全 86 根据需要 在个人协议 合同中明确安全方面的承诺和要求 明确与客户进行数据交接的人员责任 控制客户数据使用及分发 明确非业务部门在授权使用客户数据时的保护责任 基于业务需要 主管决定是否对重要数据进行加密保护 禁止将客户数据或客户标识用于非项目相关的场合如培训材料 客户现场的工作人员 严格遵守客户Policy 妥善保护客户数据 打印件应设置标识 及时取回 并妥善保存或处理 信息交换与备份 87 重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规 信息交换与备份 信息交换安全 88 信息交换原则 明确要交换信息的敏感级别 除了显著标注外 根据其敏感级别采取合适的保护措施信息发送者和接收者有责任遵守信息交换要求物理介质传输 与快递公司签署不扩散协议 识别丢失风险 采取必要的控制措施电子邮件和互联网信息交换明确不可涉及敏感数据 如客户信息 订单合同等信息如必须交换此类信息 需申请主管批准并采取加密传输措施或DRM保护机制文件共享 包括Confidential在内的高级别的信息不能被发布于公共区域所有共享文件应按照规则放置在相应的文件服务器目录中 任何人不得在其个人电脑中开设共享 共享文件夹应该设置恰当的访问控制 禁止向所有用户赋予完全访问权限临时共享的文件事后应予以删除 信息备份安全 89 重要信息系统应支持全备份 差量备份和增量备份备份介质的存储异地存放属主应该确保备份成功并定期检查日志 根据需要 定期检查和实施测试以验证备份效率和效力 软件应用安全 90 重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规 软件应用安全 应用安全 91 尽量不要同时打开多个链接窗口当某个网站提出要将本网站设置为主页时 要取消操作当网页中弹出安装某个插件的对话框时 要取消安装 的确需要安装的 请与管理人员联系 定期清楚历史访问信息 cookies以及Internet临时文件禁止利用单位信息系统从事与工作无关的活动 如网上聊天 打游戏等禁止下载 上传 传播与工作无关的文件禁止在网络上运行任何黑客软件 计算机网络访问 92 重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规 计算机网络访问 计算机网络访问安全 93 访问控制基本原则 未经明确允许即为禁止访问必须通过唯一注册的用户ID来控制用户对网络的访问系统管理员必须确保用户访问基于最小特权原则而授权用户必须根据要求使用口令并保守秘密系统管理员必须对用户访问权限进行检查 防止滥用系统管理员必须根据安全制度要求定义访问控制规则 用户必须遵守规则各部门应按照管理规定制定并实施对业务应用系统 开发和测试系统的访问规则 人员安全管理 94 重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规 人员安全管理 人员安全 95 背景检查 签署保密协议 安全职责说明 技能意识培训 绩效考核和奖惩 内部职位调整及离职检查流程 第三方人员安全 96 应该识别来自第三方的风险 保安 清洁 基础设施维护 供应商或外包人员 低质量的外包服务也被视作一种安全风险签署第三方协议时应包含安全要求 必要时需签署不扩散协议第三方若需访问敏感信息 需经检查和批准 其访问将受限制任何第三方禁止无人陪同访问生产网络环境第三方访问所用工具应经过相关部门检查 确认安全可靠 其访问应经过认证负责第三方访问的人员需对三方人员进行必要的安全培训 移动计算与远程办公 97 重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规 移动计算与远程办公 笔记本电脑与远程办公安全 98 所有连接办公生产网络的笔记本电脑或其他移动计算机 必须按照指定PC安全标准来配置 必须符合补丁和防病毒管理规定相关管理部门必须协助部署必要的笔记本电脑防信息泄漏措施用户不能将口令 ID或其他账户信息以明文保存在移动介质上笔记本电脑遗失应按照相应管理制度执行安全响应措施敏感信息应加密保护禁止在公共区域讨论敏感信息 或通过笔记本电脑泄漏信息 工作环境及物理安全 99 重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规 工作环境及物理安全 工作安全环境安全 100 关键安全区域包括机房 财务部门 人力资源部门及其他处理重要数据的办公区域 类似区域应具备门禁设施前台接待负责检查外来访客证件并进行登记 访客进入内部需持临时卡并由相关人员陪同实施7 24小时保安服务 检查保安记录所有入口和内部安全区都需部署有摄像头 大门及各楼层入口都被实时监控禁止随意放置或丢弃含有敏感信息的纸质文件 废弃文件需用碎纸机粉碎废弃或待修磁介质转交他人时应经IT专业管理部门消磁处理 细节 101 注意你的身边 注意最细微的地方 病毒与恶意代码 102 重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规 病毒与恶意代码 恶意代码防范策略 103 所有计算机必须部署指定的防病毒软件防病毒软件必须持续更新感染病毒的计算机必须从网络中隔离直至清除病毒任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度发生任何病毒传播事件 相关人员应及时向IT管理部门汇报 仅此就够了么 口令安全 104 重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规 口令安全 什么口令很重要 105 用户名 口令是最简单也最常用的身份认证方式口令是抵御攻击的第一道防线 防止冒名顶替口令也是抵御网络攻击的最后一道防线针对口令的攻击简便易行 口令破解快速有效由于使用不当 往往使口令成为最薄弱的安全环节口令与个人隐私息息相关 必须慎重保护 数字 106 如果你以请一顿工作餐来作为交换 有70 的人乐意告诉你他 她 的机器口令有34 的人 甚至不需要贿赂 就可奉献自己的口令另据调查 有79 的人 在被提问时 会无意间泄漏足以被用来窃取其身份的信息平均每人要记住四个口令 95 都习惯使用相同的口令 在很多需要口令的地方 33 的人选择将口令写下来 然后放到抽屉或夹到文件里 脆弱的口令 107 少于8个字符单一的字符类型 例如只用小写字母 或只用数字用户名与口令相同最常被人使用的弱口令 自己 家人 朋友 亲戚 宠物的名字生日 结婚纪念日 电话号码等个人信息工作中用到的专业术语 职业特征字典中包含的单词 或者只在单词后加简单的后缀所有系统都使用相同的口令口令一直不变 值得注意的 108 口令是越长越好但 选用20个随机字符作为口令 的建议也不可取人们总习惯选择容易记忆的口令如果口令难记 可能会被写下来 这样反倒更不安全 建议 109 口令至少应该由8个字符组成口令应该是大小写字母 数字 特殊字符的混合体不要使用名字 生日等个人信息和字典单词选择易记强口令的几个窍门 口令短语字符替换单词误拼键盘模式 口令设置 110 找到一个生僻但易记的短语或句子 可以摘自歌曲 书本或电影 然后创建它的缩写形式 其中包括大写字母和标点符号等 口令设置 键盘模式 111 试着使用数字和特殊字符的组合避免 qwerty 这样的直线 而使用Z字型或者多条短线这种方法很容易被人看出来键盘输入时不要让人看见 口令管理 112 员工有责任记住自己的口令账号在独立审计的前提下进行口令锁定 解锁和重置操作初始口令设置不得为空口令设置不得少于8个字符口令应该包含特殊字符 数字和大小写字母口令应该经常更改 设定口令最长有效期为不超出3个月口令输入错误限定5次 电子邮件安全 113 重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规 电子邮件安全 Email安全 114 不当使用Email可能导致法律风险禁止发送或转发反动或非法的邮件内容不得伪造虚假邮件 不得使用他人账号发送邮件未经许可 不得将属于他人邮件的消息内容拷贝转发与业务相关的Email应在文件服务器上做妥善备份 专人负责检查包含客户信息的Email应转发主管做备份个人用途的Email不应干扰工作 并且遵守本策略避免通过Email发送机密信息 如果需要 应采取必要的加密保护措施 接收邮件注意 115 不安全的文件类型 绝对不要打开任何以下文件类型的邮件附件 bat com exe vbs未知的文件类型 绝对不要打开任何未知文件类型的邮件附件 包括邮件内容中到未知文件类型的链接微软文件类型 如果要打开微软文件类型 例如 doc xls ppt等 的邮件附件或者内部链接 务必先进行病毒扫描要求发送普通的文本 尽量要求对方发送普通的文本内容邮件 而不要发送HTML格式邮件 不要携带不安全类型的附件禁止邮件执行Html代码 禁止执行HTML内容中的代码防止垃圾邮件 通过设置邮件服务器的过滤 防止接受垃圾邮件尽早安装系统补丁 杜绝恶意代码利用系统漏洞而实施攻击 发送邮件注意 116 如果同样的内容可以用普通文本正文 就不要用附件尽量不要发送 doc xls等可能带有宏病毒的文件发送不安全的文件之前 先进行病毒扫描不要参与所谓的邮件接龙尽早安装系统补丁 防止自己的系统成为恶意者的跳板可以使用PGP等安全的邮件机制 介质安全管理 117 重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规 介质安全管理 介质安全管理 118 创建 使用 存储 传递 更改 销毁 警惕社会工程学 119 重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规 警惕社会工程学 120 SocialEngneering利用社会交往 通常是在伪装之下 从目标对象那里获取信息例如 电话呼叫服务中心在走廊里的聊天冒充服务技术人员著名黑客KevinMitnick更多是通过社会工程来渗透网络的 而不是高超的黑客技术 121 不要轻易泄漏敏感信息 例如口令和账号在相信任何人之前 先校验其真实的身份不要违背公司的安全策略 哪怕是你的上司向你索取个人敏感信息 KevinMitnick最擅长的就是冒充一个很焦急的老板 利用一般人好心以及害怕上司的心理 向系统管理员索取口令 不要忘了 所谓的黑客 更多时候并不是技术多么出众 而是社会工程的能力比较强 应急响应和BCP 122 重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规 应急响应和BCP 重大灾害发生的应急考虑 123 第一时间可以找谁 具体联络方式 灾难发生时合理的应对关键是确保人员安全 重大灾害发生后应启用BCP进行恢复 124 事先做好备份等准备工作灾难发生后妥善处理以降低损失在确定时限内恢复分析原因 做好记录BCP应定期测试和维护应该明确责任人 数据备份要点 125 数据备份是制定BCP时必须考虑的一种恢复准备措施现在 数据备份的途径有多种 软盘 CD和DVD Zip盘 磁带 移动硬盘 优盘养成对您的数据进行备份的好习惯备份磁盘不要放在工作场所对重要的硬盘做好镜像定期检查业务备份系统运行对重要的软件进行更新 法律法规 126 重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规 法律法规 中国信息立法 127 中国陆续制定了多部与信息活动密切相关的法律 虽然大多不专门针对网络环境 甚至有些也不针对电子信息 但它们的基本精神对网络的建设 管理以及网络中的信息活动都有不同程度的指导作用 刑法计算机信息系统安全保护条例计算机病毒防治管理办法计算机信息网络国际联网安全保护管理办法 保守国家秘密法著作权法国家安全法反不正当竞争法电子签名法 重要的法律法规 128 刑法第 条规定 违反国家规定 侵入前款规定以外的计算机信息系统或者采用其他技术手段 获取该计算机信息系统中存储 处理或者传输的数据 或者对该计算机信息系统实施非法控制 情节严重的 处三年以下有期徒刑或者拘役 并处或者单处罚金 情节特别严重的 处三年以上七年以下有期徒刑 并处罚金 提供专门用于侵入 非法控制计算机信息系统的程序 工具 或者明知他人实施侵入 非法控制计算机信息系统的违法犯罪行为而为其提供程序 工具 情节严重的 依照前款的规定处罚 129 要点总结 回顾 130 加强敏感信息的保密留意物理安全遵守法律法规和安全策略公司资源只供公司所用保守口令秘密谨慎使用Internet EMAIL QQ加强人员安全管理识别并控制第三方风险加强防病毒措施有问题及时报告 谨记您的安全责任 131 确保敏感信息免遭窃取 丢失 非授权访问 非授权泄漏 非授权拷贝 这些信息既包括纸质文件 又包括计算机和存储设备中的信息 132 从一点一滴做起 你尽力了么 你做好了么 从自身做起 什么事信息 133 我们确实存在问题 只要我们不断改进 但是 谢谢收看 134 信息安全实质 135 信息安全概述 信息安全实质信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁 干扰和破坏 即保证信息的安全性 136 什么是信息安全 137 采取措施保护信息资产 使之不因偶然或者恶意侵犯而遭受破坏 更改及泄露 保证信息系统能够连续 可靠 正常地运行 使安全事件对业务造成的影响减到最小 确保组织业务运行的连续性 信息安全本身包括的范围很大 大到国家军事政治等机密安全 小范围的当然还包括如防范商业企业机密泄露 防范青少年对不良信息的浏览 个人信息的泄露等 网络环境下的信息安全体系是保证信息安全的关键 包括计算机安全操作系统 各种安全协议 安全机制 数字签名 信息认证 数据加密等 直至安全系统 其中任何一个安全漏洞便可以威胁全局安全 信息安全服务至少应该包括支持信息网络安全服务的基本理论 以及基于新一代信息网络体系结构的网络安全服务体系结构 138 信息安全是指信息网络的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改 泄露 系统连续可靠正常地运行 信息服务不中断 信息安全是一门涉及计算机科学 网络技术 通信技术 密码技术 信息安全技术 应用数学 数论 信息论等多种学科的综合性学科 从广义来说 凡是涉及到网络上信息的保密性 完整性 可用性 真实性和可控性的相关技术和理论都是网络安全的研究领域 139 信息安全的重要性信息作为一种资源 它的普遍性 共享性 增值性 可处理性和多效用性 使其对于人类具有特别重要的意义 信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁 干扰和破坏 即保证信息的安全性 根据国际标准化组织的定义 信息安全性的含义主要是指信息的完整性 可用性 保密性和可靠性 信息安全是任何国家 政府 部门 行业都必须十分重视的问题 是一个不容忽视的国家安全战略 但是 对于不同的部门和行业来说 其对信息安全的要求和重点却是有区别的 140 我国的改革开放带来了各方面信息量的急剧增加 并要求大容量 高效率地传输这些信息 为了适应这一形势 通信技术发生了前所未有的爆炸性发展 目前 除有线通信外 短波 超短波 微波 卫星等无线电通信也正在越来越广泛地应用 与此同时 国外敌对势力为了窃取我国的政治 军事 经济 科学技术等方面的秘密信息 运用侦察台 侦察船 卫星等手段 形成固定与移动 远距离与近距离 空中与地面相结合的立体侦察网 截取我通信传输中的信息 141 从文献中了解一个社会的内幕 早已是司空见惯的事情 在 世纪后 年中 从社会所属计算机中了解一个社会的内幕 正变得越来越容易 不管是机构还是个人 正把日益繁多的事情托付给计算机来完成 敏感信息正经过脆弱的通信线路在计算机系统之间传送 专用信息在计算机内存储或在计算机之间传送 电子银行业务使财务账目可通过通信线路查阅 执法部门从计算机中了解罪犯的前科 医生们用计算机管理病历 所有这一切 最重要的问题是不能在对非法 非授权 获取 访问 不加防范的条件下传输信息 142 传输信息的方式很多 有局域计算机网 互联网和分布式数据库 有蜂窝式无线 分组交换式无线 卫星电视会议 电子邮件及其它各种传输技术 信息在存储 处理和交换过程中 都存在泄密或被截收 窃听 窜改和伪造的可能性 不难看出 单一的保密措施已很难保证通信和信息的安全 必须综合应用各种保密措施 即通过技术的 管理的 行政的手段 实现信源 信号 信息三个环节的保护 藉以达到秘密信息安全的目的 编辑本段 信息安全的实现目标 143 真实性 对信息的来源进行判断 能对伪造来源的信息予以鉴别 保密性 保证机密信息不被窃听 或窃听者不能了解信息的真实含义 完整性 保证数据的一致性 防止数据被非法用户篡改 可用性 保证合法用户对信息和资源的使用不会被不正当地拒绝 144 不可抵赖性 建立有效的责任机制 防止用户否认其行为 这一点在电子商务中是极其重要的 可控制性 对信息的传播及内容具有控制能力 可审查性 对出现的网络安全问题提供调查的依据和手段 145 主要的信息安全威胁 1 信息泄露 信息被泄露或透露给某个非授权的实体 2 破坏信息的完整性 数据被非授权地进行增删 修改或破坏而受到损失 3 拒绝服务 对信息或其他资源的合法访问被无条件地阻止 4 非法使用 非授权访问 某一资源被某个非授权的人 或以非授权的方式使用 146 5 窃听 用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息 例如对通信线路中传输的信号搭线监听 或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等 6 业务流分析 通过对系统进行长期监听 利用统计分析方法对诸如通信频度 通信的信息流向 通信总量的变化等参数进行研究 从中发现有价值的信息和规律 147 7 假冒 通过欺骗通信系统 或用户 达到非法用户冒充成为合法用户 或者特权小的用户冒充成为特权大的用户的目的 黑客大多是采用假冒攻击 8 旁路控制 攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权 例如 攻击者通过各种攻击手段发现原本应保密 但是却又暴露出来的一些系统 特性 利用这些 特性 攻击者可以绕过防线守卫者侵入系统的内部 148 9 授权侵犯 被授权以某一目的使用某一系统或资源的某个人 却将此权限用于其他非授权的目的 也称作 内部攻击 10 特洛伊木马 软件中含有一个觉察不出的或者无害的程序段 当它被执行时 会破坏用户的安全 这种应用程序称为特洛伊木马 TrojanHorse 11 陷阱门 在某个系统或某个部件中设置的 机关 使得在特定的数据输入时 允许违反安全策略 149 12 抵赖 这是一种来自用户的攻击 比如 否认自己曾经发布过的某条消息 伪造一份对方来信等 13 重放 出于非法目的 将所截获的某次合法的通信数据进行拷贝 而重新发送 14 计算机病毒 一种在计算机系统运行过程中能够实现传染和侵害功能的程序 15 人员不慎 一个授权的人为了某种利益 或由于粗心 将信息泄露给一个非授权的人 150 16 媒体废弃 信息被从废弃的磁的或打印过的存储介质中获得 17 物理侵入 侵入者绕过物理控制而获得对系统的访问 18 窃取 重要的安全物品 如令牌或身份卡被盗 业务欺骗 某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等 151 产业发展 信息安全的概念在本世纪经历了一个漫长的历史阶段 90年代以来得到了深化 进入21世纪 随着信息技术的不断发展 信息安全问题也日显突出 如何确保信息系统的安全已成为全社会关注的问题 国际上对于信息安全的研究起步较早 投入力度大 已取得了许多成果 并得以推广应用 中国已有一批专门从事信息安全基础研究 技术开发与技术服务工作的研究机构与高科技企业 形成了中国信息安全产业的雏形 但由于中国专门从事信息安全工作技术人才严重短缺 阻碍了中国信息安全事业的发展 信息安全专业是十分具有发展前途的专业 152 信息安全的重要性 信息作为一种资源 它的普遍性 共享性 增值性 可处理性和多效用性 使其对于人类具有特别重要的意义 信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁 干扰和破坏 即保证信息的安全性 根据国际标准化组织的定义 信息安全性的含义主要是指信息的完整性 可用性 保密性和可靠性 信息安全是任何国家 政府 部门 行业都必须十分重视的问题 是一个不容忽视的国家安全战略 但是 对于不同的部门和行业来说 其对信息安全的要求和重点却是有区别的 153 中国的改革开放带来了各方面信息量的急剧增加 并要求大容量 高效率地传输这些信息 为了适应这一形势 通信技术发生了前所未有的爆炸性发展 除有线通信外 短波 超短波 微波 卫星等无线电通信也正在越来越广泛地应用 与此同时 国外敌对势力为了窃取中国的政治 军事 经济 科学技术等方面的秘密信息 运用侦察台 侦察船 侦察机 卫星等手段 形成固定与移动 远距离与近距离 空中与地面相结合的立体侦察网 截取中国通信传输中的信息 154 从文献中了解一个社会的内幕 早已是司空见惯的事情 在20世纪后50年中 从社会所属计算机中了解一个社会的内幕 正变得越来越容易 不管是机构还是个人 正把日益繁多的事情托付给计算机来完成 敏感信息正经过脆弱的通信线路在计算机系统之间传送 专用信息在计算机内存储或在计算机之间传送 电子银行业务使财务账目可通