《信息安全意识培训V1-20150928.ppt》由会员分享,可在线阅读,更多相关《信息安全意识培训V1-20150928.ppt(56页珍藏版)》请在三一文库上搜索。
1、2015年9月 IT部,信 息 安 全 意 识,豪爵铃木 IT部,信 息 安 全,主要内容,什么是信息安全?,怎样搞好信息安全?,信息产业发展现状,信息安全基本概念,2,3,授之以鱼,不如授之以渔,产品,技术,更不如激之其欲,意识,谈笑间,风险灰飞烟灭。,引言,4,什么是信息安全?,不止有产品、技术才是信息安全,5,信息安全无处不在,一个软件公司的老总,等他所有的员工下班之后,他在那里想:我的企业到底值多少钱呢?假如它的企业市值1亿,那么此时此刻,他的企业就值2600万。 因为据Delphi公司统计,公司价值的26%体现在固定资产和一些文档上,而高达42%的价值是存储在员工的脑子里,而这些信息
2、的保护没有任何一款产品可以做得到,所以需要我们建立信息安全管理体系,也就是常说的ISMS!,6,怎样搞好信息安全?,7,信息在哪里?,纸质文档 电子文档 员工 其他信息介质,小问题:公司的信息都在哪里?,8,小测试:,您离开家每次都关门吗? 您离开公司每次都关门吗? 您的保险箱设密码吗? 您的电脑设密码吗?,9,答案解释:,如果您记得关家里的门,而不记得关公司的门, 说明您可能对公司的安全认知度不够。 如果您记得给保险箱设密码,而不记得给电脑设密码, 说明您可能对信息资产安全认识不够。,10,这就是意识缺乏的两大,结症!,11,思想上的转变(一),公司的钱,就是我的钱, 只是先放在,老板那里,
3、12,WHY?,信息安全搞好了,信息安全搞砸了,13,思想上的转变(二),信息比钞票更重要,更脆弱,我们更应该保护它。,14,WHY?,装有100万的 保险箱,需要 3个悍匪、,公司损失: 100万,装有客户信息的 电脑,只要 1个商业间谍、,1个U盘,就能偷走。,公司损失: 所有客户!,15,典型案例,16,安全名言,公司的利益就是自己的利益,不保护公司,就是不保护自己。 电脑不仅仅是工具,而是装有十分重要信息的保险箱。,17,绝对的安全是不存在的,绝对的零风险是不存在的,要想实现零风险,也是不现实的; 计算机系统的安全性越高,其可用性越低,需要付出的成本也就越大,一般来说,需要在安全性和可
4、用性,以及安全性和成本投入之间做一种平衡。,在计算机安全领域有一句格言:“真正安全的计算机是拔下网线,断掉电源,放置在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。” 显然,这样的计算机是无法使用的。,18,安全是一种平衡,19,安全是一种平衡,安全控制的成本,安全事件的损失,最小化的总成本,低,高,高,安全成本/损失,所提供的安全水平,关键是实现成本利益的平衡,信息的价值 = 使用信息所获得的收益 获取信息所用成本 信息具备了安全的保护特性,20,信息的价值,广义上讲 领域 涉及到信息的保密性,完整性,可用性,真实性,可控性的相关技术和理论。 本质上 保护 系统的硬件,软件,
5、数据 防止 系统和数据遭受破坏,更改,泄露 保证 系统连续可靠正常地运行,服务不中断 两个层面 技术层面 防止外部用户的非法入侵 管理层面 内部员工的教育和管理,21,信息安全的定义,22,信息安全基本目标,保密性, 完整性, 可用性,CIA,23,信息生命周期,创建,传递,销毁,存 储,使用,更改,24,信息产业发展迅猛,截至年月,互联网普及率为,我国网民总数已达亿人。 手机上网成为用户上网的重要途径,截至年月,中国手机网民规模达亿。 中国网民通过台式电脑和笔记本电脑接入互联网比例分别为和 。 截至2014年12月底,中国网站总量达到364.7万余个。 目前,政府机构都建立了85890个网站
6、,电子政务正以改善公共服务为重点,在教育、医疗、住房等方面,提供便捷的基本公共服务。,25,信息安全令人担忧,内地企业44%信息安全事件是数据失窃,普华永道曾发布的2008年度全球信息安全调查报告显示,中国内地企业在信息安全管理方面存在滞后,信息安全与隐私保障方面已被印度赶超。数据显示,内地企业44%的信息安全事件与数据失窃有关,而全球的平均水平只有16%。 普华永道的调查显示,中国内地企业在改善信息安全机制上仍有待努力,从近年安全事件结果看,中国每年大约98万美元的财务损失,而亚洲国家平均约为75万美元,印度大约为30.8万美元。此外,42%的中国内地受访企业经历了应用软件、系统和网络的安全
7、事件。,26,安全事件(1),27,安全事件(2),熊猫烧香病毒的制造者-李俊,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。,28,深度分析,29,这样的事情还有很多,信 息 安 全 迫 在
8、 眉 睫!,关键是做好预防控制,31,小故事,大启发 信息安全点滴,首先要关注内部人员的安全管理,34,2007年11月,集安支行代办员,周末晚上通过运营电脑,将230万转移到事先办理的15张卡上,并一夜间在各ATM上取走38万。周一被发现。 夜间银行监控设备未开放,下班后运营电脑未上锁。 事实上,此前早有人提出过这个问题,只不过没有得到重视。,35,典型案例:乐购事件,2005年9月7日,上海乐购超市金山店负责人到市公安局金山分局报案称,该店在盘点货物时发现销售的货物和收到的货款不符,有可能款物被非法侵吞。上海市公安局经侦总队和金山分局立即成立了专案组展开调查。 专案组调查发现,乐购超市几家
9、门店货物缺损率大大超过了业内千分之五的物损比例,缺损的货物五花八门,油盐酱醋等日常用品的销售与实际收到的货款差别很大。根据以往的案例,超市内的盗窃行为往往是针对体积小价值高的化妆品等物,盗窃者很少光顾油盐酱醋等生活用品。奇怪的是,在超市的各个经营环节并没有发现明显漏洞。 考虑到钱和物最终的流向收银员是出口,问题很可能出在收银环节。警方在调查中发现,收银系统软件的设计相对严密,除非是负责维护收银系统的资讯小组职员和收银员合谋,才有可能对营业款项动手脚。 经过深入调查,侦查人员发现超市原有的收银系统被装入了一个攻击性的补丁程序,只要收银员输入口令、密码,这个程序会自动运行,删除该营业员当日20左右
10、的销售记录后再将数据传送至会计部门,造成会计部门只按实际营业额的80向收银员收取营业额。另20营业额即可被侵吞。 能够在收银系统中装入程序的,负责管理、更新、维修超市收银系统的资讯组工作人员嫌疑最大。 警方顺藤摸瓜,挖出一个包括超市资讯员、收银员在内的近40人的犯罪团伙。据调查,原乐购超市真北店资讯组组长方元在工作中发现收银系统漏洞,设计了攻击性程序,犯罪嫌疑人于琪、朱永春、武侃佳等人利用担任乐购超市多家门店资讯工作的便利,将这一程序植入各门店收银系统;犯罪嫌疑人陈炜嘉、陈琦、赵一青等人物色不法人员,经培训后通过应聘安插到各家门店做收银员,每日将侵吞赃款上缴到犯罪团伙主犯方元、陈炜嘉、陈琦等人
11、手中,团伙成员按比例分赃。一年时间内,先后侵吞乐购超市真北店、金山店、七宝店374万余元。犯罪团伙个人按比例分得赃款数千元至50万元不等,关于员工安全管理的建议,根据不同岗位的需求,在职位描述书中加入安全方面的责任要求,特别是敏感岗位 在招聘环节做好人员筛选和背景调查工作,并且签订适当的保密协议 在新员工培训中专门加入信息安全内容 工作期间,根据岗位需要,持续进行专项培训 通过多种途径,全面提升员工信息安全意识 落实检查监督和奖惩机制 员工内部转岗应做好访问控制变更控制 员工离职,应做好交接和权限撤销,切不可忽视第三方安全,38,北京移动电话充值卡事件,31岁的软件工程师程稚瀚,在华为工作期间
12、,曾为西藏移动做过技术工作,案发时,在UT斯达康深圳分公司工作。 2005年3月开始,其利用为西藏移动做技术时使用的密码(此密码自程稚瀚离开后一直没有更改),轻松进入了西藏移动的服务器。通过西藏移动的服务器,程稚瀚又跳转到了北京移动数据库,取得了数据从2005年3月至7月,程稚瀚先后4次侵入北京移动数据库,修改充值卡的时间和金额,将已充值的充值卡状态改为未充值,共修改复制出上万个充值卡密码。他还将盗出的充值卡密码通过淘宝网出售,共获利370余万元。 直到2005年7月,由于一次“疏忽”,程稚瀚将一批充值卡售出时,忘了修改使用期限,使用期限仍为90天。购买到这批充值卡的用户因无法使用便投诉到北京
13、移动,北京移动才发现有6600张充值卡被非法复制,立即报警。 2005年8月24日,程稚瀚在深圳被抓获,所获赃款全部起获。,关于第三方安全管理的建议,识别所有相关第三方:服务提供商,设备提供商,咨询顾问,审计机构,物业,保洁等 识别所有与第三方相关的安全风险,无论是牵涉到物理访问还是逻辑访问 在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定 在与第三方签订协议时特别提出信息安全方面的要求,特别是访问控制要求 对第三方实施有效的监督,定期Review服务交付,物理环境中需要信息安全,在自助银行入口刷卡器下方粘上一个黑色小方块,叫“
14、读卡器”,罩上一个加长的“壳”,把银行的刷卡器和读卡器一起藏在里面,一般人很难发现。取款人在刷卡进门时,银行卡上的全部信息就一下被刷进了犯罪分子的读卡器上。,在取款机窗口内侧顶部,粘上一个贴着“ATM”字样的“发光灯”。这个“发光灯”是经过特殊改造的,里面用一块手机电池做电源,连接两个灯泡,核心部分则是一个MP4。取款人取款时的全过程被犯罪分子装的“针孔摄像机”进行了“实况录像”。,ATM诈骗三部曲,取款人一走,犯罪分子立即收“家伙”进车,先把MP4连上笔记本电脑,回放录像记下取钱人按下的密码,接着再连上读卡器,同时再在电脑上连上一个叫“写卡器”的长条形东西。这时,他们随便拿出一张卡,不管是澡
15、堂充值卡,还是超市礼品卡,只要是带磁条的,只要在写卡器里过一下,此卡就被成功“克隆”成一张“有实无名”的银行卡了。,您的供电系统真的万无一失?,是一路电还是两路电? 两路电是否一定是两个输电站? 有没有UPS? UPS能维持多久? 有没有备用发电机组? 备用发电机是否有充足的油料储备?,另一个与物理安全相关的案例,时间:2002年某天夜里 地点:A公司的数据中心大楼 人物:一个普通的系统管理员,一个普通的系统管理员,利用看似简单的方法,就进入了需要门卡认证的数据中心 来自国外某论坛的激烈讨论,情况是这样的 ,A公司的数据中心是重地,设立了严格的门禁制度,要求必须插入门卡才能进入。不过,出来时很
16、简单,数据中心一旁的动作探测器会检测到有人朝出口走去,门会自动打开 数据中心有个系统管理员张三君,这天晚上加班到很晚,中间离开数据中心出去夜宵,可返回时发现自己被锁在了外面,门卡落在里面了,四周别无他人,一片静寂 张三急需今夜加班,可他又不想打扰他人,怎么办?,一点线索: 昨天曾在接待区庆祝过某人生日,现场还未清理干净,遗留下很多杂物,哦,还有气球,聪明的张三想出了妙计 , 张三找到一个气球,放掉气, 张三面朝大门入口趴下来,把气球塞进门里,只留下气球的嘴在门的这边, 张三在门外吹气球,气球在门内膨胀,然后,他释放了气球, 由于气球在门内弹跳,触发动作探测器,门终于开了,问题出在哪里 ,如果门
17、和地板齐平且没有缝隙,就不会出这样的事,如果动作探测器的灵敏度调整到不对快速放气的气球作出反应,也不会出此事,当然,如果根本就不使用动作探测器来从里面开门,这种事情同样不会发生,总结教训 ,虽然是偶然事件,也没有直接危害,但是潜在风险 既是物理安全的问题,更是管理问题 切记!有时候自以为是的安全,恰恰是最不安全!,物理安全非常关键!,关于物理安全的建议,将敏感设备和信息放置在受控的安全区域 所有到受控区域的入口都应该加锁、设置门卫,或者以某种方式进行监视,并做好进出登记 如果进出需要ID徽章,请随身带好,严禁无证进入 钥匙和门卡仅供本人使用,不要交给他人使用 严格控制带存储和摄像功能的手持设备
18、的使用 使用公共区域的打印机、传真机、复印机时,一定不要遗留敏感文件 移动电脑是恶意者经常关注的目标,一定要注意保护 使用碎纸机,谨防敏感文件通过垃圾篓而泄漏 如果发现可疑情况,请立即报告,日常工作需特别留意信息安全,51,移动介质管控的要求与落实脱节 “摆渡攻击” 涉密网络中的泄密现象,关于口令的一些调查结果,一个有趣的调查发现,如果你用一条巧克力来作为交换,有70的人乐意告诉你他(她)的口令 有34的人,甚至不需要贿赂,就可奉献自己的口令 另据调查,有79的人,在被提问时,会无意间泄漏足以被用来窃取其身份的信息 姓名、宠物名、生日、球队名最常被用作口令 平均每人要记住四个口令,大多数人都习
19、惯使用相同的口令(在很多需要口令的地方) 33的人选择将口令写下来,然后放到抽屉或夹到文件里,什么样的口令是比较脆弱的?,少于8个字符 单一的字符类型,例如只用小写字母,或只用数字 用户名与口令相同 最常被人使用的弱口令: 自己、家人、朋友、亲戚、宠物的名字 生日、结婚纪念日、电话号码等个人信息 工作中用到的专业术语,职业特征 字典中包含的单词,或者只在单词后加简单的后缀 所有系统都使用相同的口令 口令一直不变,口令安全建议,应该设置强口令 口令应该经常更改,比如3个月 不同的系统或场所应使用不同的口令 一定要即刻更改系统的缺省或初始化口令 不要与任何人共享你的口令 不要把口令写在纸上 不要把口令存储在计算机文件中 输入口令时严防有人偷看 如果有人在电话中向你索取口令,拒绝后立即报告 如果发觉有人获知你的口令,立即改变它,从一点一滴做起!,从自身做起!,Thank You !,