信息安全意识培训(QD2014.10.22)

1,解析信息安全本质加强信息安全意识,青岛2014.10.22,林明贵,1.信息安全是什么？,2.威胁信息安全的因素,3.信息安全应对,商业信息安全应用案例,互联网浪潮下的中国企业，其商业模式、运营模式、管理模式都在发生深刻变化。企业战略、企业组织、企业业务正从Offline向Online迁移！,越来越多的企业业务通过网络,以数字资产的形式交换和转移。从企业内部产业链社会化商业协同传统的信息安全防御边界已经模糊甚至消失。企业业务不能龟缩在线下，那么：在线上的每一个业务行为、每一次数据交换都可能存在风险！,在CEO、CFO、CIO眼里：企业是经营、企业是业务，把企业内外组织连接在一起的，是资金流、物流、信息流,应用创新焦点：应用整合,在系统集成商、设备供应商眼里：企业是板块、企业是连线，把企业内外组织连接在一起的，是电脑、网线、盒子,应用创新焦点：应用整合,网络部件,电脑终端,数据,信息与业务,7,不止有产品、技术才是信息安全,8,更不是只有制度就是信息安全,9,信息安全的定义,采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。,10,信息安全无处不在,1.信息安全是什么？,2.威胁信息安全的因素,3.信息安全应对,12,我们时刻都面临来自外部的威胁,A,B,A,B,A,B,A,B,A,B,1.中断,2.截取,3.修改,4.捏造,正常的信息流动,信息安全发生的节点,黑客不请自来，乘虚而入,世界头号黑客KevinMitnick曾说过“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话”,入侵者,入侵服务器,出售,盗取机密信息（图纸、财务报表等）,入侵网络游戏服务器,中间批发商通过各种频道进行销售,盗取游戏道具、虚拟货币,盗取用户账户,编写病毒,批量入侵网络,盗取银行账户,传播病毒,盗取信用卡账号,盗取证券交易账号,盗取虚拟财产,组建僵尸网络,洗钱,发送垃圾邮件,收费传播流氓软件、攻击提高网站流量,拒绝服务攻击,主动攻击勒索网站,受雇攻击收取佣金,获取金钱,黑客/病毒产业链示意图资料来源：瑞星反病毒中心,威胁更多是来自公司内部,黑客虽然可怕，可更多时候，内部人员威胁却更易被忽略，但却更容易造成危害据权威部门统计，内部人员犯罪（或与内部人员有关的犯罪）占到了计算机犯罪总量的70%以上,员工误操作,蓄意破坏,公司资源私用,17,技术弱点,操作弱点,管理弱点,系统、程序、设备中存在的漏洞或缺陷,配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份过程的不当等,策略、程序、规章制度、人员意识、组织结构等方面的不足,意识弱点,意识上缺乏足够的重视，认为可以可无或事不关己。,我们自身的弱点不容小视,18,下一个倒霉蛋肯定不是我,技术是万能的,最佳的“ROI”（投资回报率）,“三个和尚”的故事（这个不归我管）,误区,1.信息安全是什么？,2.威胁信息安全的因素,3.信息安全应对,信息安全评测平台,信息安全监管平台,信息安全应急处置平台,信息安全培训,如何应对,整体信息安全体系全框架,国防国安公共安全电子政务公共事业物流运输制造商业广电传媒电信运营,信息生命周期：产生、传递、存储、分发、销毁,一个企业的整体安全水平不仅要看专职的安全管理与技术人员的能力，还要看全体员工的安全意识是否到位，这与持续的安全意识教育与培训是密不可分的。提高和维持所有员工的信息安全意识和技能，对员工理解信息安全对企业的意义，开展信息安全工作，在企业内逐步建立和融入信息安全的文化，提高整体安全水平是非常重要的。当然，这可能是一个漫长而艰难的过程。,如何应对,23,一起证券行业计算机犯罪案例,凭借自己的耐心和别人的粗心，股市“菜鸟”严某非法侵入“股神通”10个单位和个人的股票账户，用别人的钱磨练自己的炒股技艺青年报，2003年12月,时间：2003年6月地点：上海人物：26岁的待业青年严某,案例,24,事情是这样的,2003年3月，严父在家中安装开通“股神通”业务，进行即时股票交易。2003年6月的一天，严某偶得其父一张股票交易单，上有9位数字的账号，遂动了“瞎猫碰死老鼠”的念头：该证券公司客户账号前6位数字是相同的，只需猜后3位；而6位密码，严某锁定为“123456”。严某”埋头苦干“，第一天连续输入了3000个数字组合，一无所获。第二天继续，很快”奇迹“出现，严某顺利进入一个股票账户。利用相同的方法，严某又先后侵入了10余个股票账户。严某利用别人的账户，十几天里共买进卖出1000多万元股票，损失超过14万元，直到6月10日案发。严某被以破坏计算机信息系统罪依法逮捕。,案例,25,问题出在哪里,严某不算聪明，但他深知炒股的多是中老年人，密码设置肯定不会复杂。首先，作为股民，安全意识薄弱,证券公司，在进行账户管理时也存在不足：初始密码设置太简单，没提醒客户及时修改等,作为设备提供商，“股神通”软件设计里的安全机制太简单脆弱，易被人利用,案例,你的密码有多久没有更新了？是不是还是默认的密码？,你的OA、银行账户、QQ、邮箱等等，密码是不是一样？,针对系统出现的异常情况，你是否有足够的危机意识？,你的网络是否是开放的，别人通过笔记本或者手机就可以轻松接入？,如果内部人员想拷贝走资料，是不是特别容易？,安全意识,27,计算机安全领域一句格言：“真正安全的计算机是拔下网线，断掉电源，放在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”这样的计算机是没法用了。,绝对的安全是不存在的！,没有绝对的安全,信息安全是一把手工程，信息安全是全员工程，信息安全工作是三分技术、七份管理。,信息安全是全员工程,安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程。,29,以往我们对信息安全的认识只停留在技术和产品上，是只见树木不见森林，只治标不治本其实，信息安全成败，三分靠技术，七分靠管理，技术一般但管理良好的系统远比技术高超但管理混乱的系统安全但以往我们的管理，只是粗浅的、静态