培训-信息安全意识交流.pptx

1、信息安全意识,深圳市网安计算机安全检测技术有限公司2014.7,讲师简介,袁源，信息安全领域博士后，长期从事信息安全技术、管理、规划工作，以及信息安全产品、技术理论与研发等相关工作。主持并参与了国家“十五”、“十一五”规划的多个信息安全项目。现担任网安公司总工程师，负责公司所有等保测评、安全运维、安全咨询项目的技术方案、现场实施和质量管理工作。持有证书：CISA/CISP/27001LA/等级保护高级测评师,信息安全现状,信息安全认识,主要内容,信息安全常用控制措施,信息安全技术理论,关于信息安全的一些误解,信息安全就是防黑客,信息安全就是网络安全,信息安全就是防病毒,信息安全就是技术问题,信

2、息安全就是应付 上级检查,信息安全就是给我们 找麻烦,信息安全事件（一）,电视选秀节目场外抽奖均为诈骗 由于我是歌手、中国最强音、中国梦之声等综艺节目在上半年火爆流行，因此各种假冒电视综艺节目的中奖类钓鱼网站急速增多。据统计，今年虚假中奖类网站占钓鱼网站总数的32%，位列钓鱼网站第一，成为用户隐私信息及财产安全的最大威胁。假冒节目中奖类钓鱼网站会通过短信、彩信、邮件、QQ，甚至是传真等多种渠道散播虚假中奖信息，以十几万元的高额奖金及苹果电脑等丰厚奖品作为诱饵，将网友指向制作精良、难辨真伪的高仿钓鱼网站进行钓鱼诈骗。在“领奖过程”中，骗子会通过假冒的领奖信息页面套取网友的姓名、电话、住址、银行卡

3、号和身份证等重要个人信息，以便牟取暴利。同时，骗子还会以奖金奖品的转账及运输风险抵押金为名，让用户汇款几千甚至上万元到指定账户，达到骗取钱财的目的。,信息安全事件（二）,棱镜门事件 2013年6月，一位名为爱德华斯诺登的前美国中央情报局（CIA）雇员在香港露面，并向媒体披露了一些机密文件，致使包括“棱镜”项目在内的美国政府多个秘密情报监视项目遭到披露。据了解，“棱镜”项目涉及美国情报机构在互联网上对包括中国在内的多个国家10类主要信息进行监听，其包括电邮信息、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料等细节。涉及“棱镜门”的思科产品，在国内163、16

4、9两大主干通讯网络中占据了70%以上份额，把持了所有超级核心节点，这无异于在国内的主要通讯网络中埋下了高危的定时炸弹，各类敏感信息随时都面临被第三方监听、备份的风险。,信息安全事件（三）,东航等多家航空公司疑泄露乘客信息 从2013年9月开始，陆续有消费者通过微博等网络信息平台发布投诉，称自己在订购了机票之后，收到了一条短信称其航班被取消，要求联系短信中所提供400开头的“客服号码”，结果在通话过程中提供了个人银行账户，蒙受了几百至数千元不等的损失。尽管并非所有乘客都与诈骗方联系从而被套走钱款，但他们在意识到遭遇诈骗短信后提出了共同的疑问：诈骗方是如何知道乘客姓名、航班班次、订单号甚至身份证号

5、、护照号等详细信息的。此案涉及南航、东航、山东航空、深圳航空等多家国内知名航空公司。,信息安全事件（四）,陕西移动BBS积分漏洞 2008年，陕西移动开启BBS，为吸引人气，推出发一个帖子给10个积分的活动，积分可以换取礼品和话费。但是BBS出现一个漏洞，编辑一个帖子并不停按回车键就可以不停的发新帖，短时间内积分可迅速增加。2012年京东商城网站积分换话费的活动也出现了重大漏洞，充值未成功的积分则会被双倍退回账户。该漏洞被网友发现后，在网络上被大量转发，不少用户都充值了上千元的Q币、购买数百元的彩票，甚至还有用户称充值了36万元的话费。业界人士预计京东亏损在2亿左右。,信息安全事件（五）,二维

6、码病毒 黑客将病毒、木马程序或手机扣费软件等网站链接生成二维码形式的图形，伪装于打折、促销广告或者热门游戏、系统升级软件中，诱导用户扫描（扫描二维码相当于点击了一次病毒链接）。用户扫描后，恶意程序在后台运行，使用户发送短信，消耗流量、造成话费流失。如果用户在手机上使用电子商务应用，可能造成用户电子商务信息的丢失，国内经常发生扫描二维码后支付宝资金被转走的事件。注意：到官方网站下载二维码扫描软件不要见码就刷，确认该二维码出自正规网站在手机预装杀毒软件,信息安全不再是高科技电影中的桥段，在工作、生活中面临信息安全带来的各种威胁。从多个案例看，无论是个人隐私，还是企业机密，乃至国家机要，都面临着全面

7、泄密的风险。智能移动设备带来的信息安全风险最大。随着技术的日益发展，信息安全问题将有可能成为影响企业生存发展的致命伤。,案例思考,什么是信息？,通常我们可以把信息理解为消息、信号、数据、情报和知识。信息本身是无形的，借助于信息媒体以多种形式存在或传播：存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产：计算机和网络中的数据 硬件和软件 关键人员 组织提供的服务 各类文档,信息生命周期,创建,传递,销毁,存 储,使用,更改,什么是信息安全？,不止技术才是信息安全,采取技术与管理措施保护信息资产，使

8、之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。,C,保密性（Confidentiality）确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。,完整性（Integrity）确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。,可用性（Availability）确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。,CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：,I

9、,A,信息安全的三要素CIA,保护组织的信息资产，使之不坏、更改及泄露，保证信息确保组织业务运行的连续性。,信息安全的实质,信息安全现状统计,信息安全现状统计,2012年，检测到恶意程序162981个，较2011年增加25倍。其中，82.5%针对android平台，恶意扣费软件占据第一位。,信息安全现状统计,2012年，火焰病毒、高斯病毒、红色十月病毒等实施复杂apt攻击的恶意程序频现，其功能以收集信息和窃取情报为主，且均已隐蔽工作了数年。涉及政府机构、重要信息系统部门和高新技术企事业单位。,信息安全现状,信息安全认识,主要内容,信息安全常用控制措施,信息安全技术理论,信息安全威胁无处不在,信

10、息资产,流氓软件,黑客渗透,内部人员威胁,病毒和蠕虫,硬件故障,网络通信故障,供电中断,失火,雷雨,地震,拒绝服务,社会工程,系统漏洞,木马后门,小测试,您每次是双击打开U盘吗？您离开自己的电脑会锁屏吗？您会点击不明邮件发来的链接吗？您的电脑定期更换密码吗？,安全名言,计算机安全领域一句格言：“真正安全的计算机是拔下网线，断掉电源，放在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”,绝对的安全是不存在的！,安全名言,“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话”Kevin Mitnick,人是信息安全最薄弱的

11、环节！,安全名言,安全是一种平衡！,安全名言,安全控制的成本,安全事件的损失,最小化的总成本,低,高,高,安全成本/损失,所提供的安全水平,保密性与可用性平衡成本利益的平衡,信息安全并不是无数的信息安全产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程。,安全名言,信息安全现状,信息安全认识,主要内容,信息安全常用控制措施,信息安全技术理论,物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程学口令安全,信息安全控制,物理安全,控制措施（举例）物理区域设置门禁，出入登记关键物理区域，安排接待人员或门卫所有人员必

12、须佩戴相应的身份识别卡进门注意身后是否有无关人员，防止尾随所有人员不得将身份识别卡借与他人使用物理区域应划分为不同的安全级别，分别标识与控制定期备份机房视频录像,物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程学口令安全,信息安全控制,信息资产安全,控制措施（举例）信息资产要按照敏感性进行分类与标识员工对信息资产的访问应根据其工作职责及信息资产的敏感性设置不同的访问控制措施明确各类信息资产的管理及使用职责,信息安全控制,物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程学口令安全,移动介质安全,控制措施（举例）未经批准，严禁携带移动介质进入机房等敏

13、感区域，在机房内必须使用专用的移动介质。移动介质内临时存储的敏感数据应及时清除。在自己的办公电脑上使用别人的移动介质前应查杀病毒。,物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程学口令安全,信息安全控制,电子邮件安全,控制措施（举例）在接收或发送电子邮件前，公司的防病毒服务器应对所有电子邮件的附件进行安全扫描。办公电脑要安装防病毒软件，并打开邮件监控功能，及时更新病毒库。不随便打开陌生地址邮件的附件。,物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程学口令安全,信息安全控制,常见的计算机病毒,网络蠕虫利用网络进行复制和传播，传染途径是通过网络和

14、电子邮件。,蠕虫 Worm,木马 Trojan,木马病毒一种后门程序，商业目的特征强，主要目的是偷窃计算机上的敏感信息（如银行账户、游戏账号等）。,病毒防范策略,控制措施（举例）升级操作系统，更新补丁。安装并更新杀毒软件及木马防火墙。不要随意下载或安装不明网站软件。用杀毒软件定期全盘扫描计算机。,物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶意软件防范社会工程口令安全,信息安全控制,什么是社会工程学,定义 为某些非容易的获取讯息，利用社会科学（此指其中的社会常识）尤其心理学，语言学，欺诈学将其进行综合，有效的利用（如人性的弱点），并最终获得信息为最终目的学科称为“社会工程学”。常见方式

15、冒充银行人员诱导客户转账到指定账户。（如ATM诈骗）偷听内部员工在走廊里的聊天内容。冒充邮差，清洁工等外部人员进入公司窃取敏感资料。冒充厂商技术人员打电话获取内部信息（如网络地址，端口号等）,典型社会工程应用网络钓鱼,定义 网络钓鱼（Phishing）攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。,钓鱼网站类型,新型钓鱼方法示例,如何防范网络钓鱼,控制措施（举例）不要把自己的隐私资料通过网络传输，包括银行卡号码、

16、身份证号、电子商务网站账户等资料不要通过QQ、MSN、Email 等软件传播，这些途径往往可能被黑客利用来进行诈骗。不要相信网上流传的消息，除非得到权威途径的证明。如股票QQ群发布的信息。不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。不要轻易相信通过电子邮件、手机短信等发布的中奖信息、促销信息等，除非得到另外途径的证明。收到类似短信“钱还没打吧，我那卡磁条坏了，请汇到这个卡上就行了，农业银行xxxxxxxxxxxxxxxx，户名：XXX”,物理安全信息资产安全移动介质安全电子邮件安全防病毒及恶

17、意软件防范社会工程口令安全,信息安全控制,脆弱的口令,举例少于8个字符单一的字符类型，例如只用小写字母，或只用数字用户名与口令相同最常被人使用的弱口令：123456自己、家人、朋友、亲戚、宠物的名字生日、结婚纪念日、电话号码等个人信息,安全口令建议,日常工作安全注意事项,严格遵守公司各项信息安全制度日常工作中，应严格按照系统的操作流程、安全规范进行操作不要随意从互联网下载或安装软件不要随意打开从E-mail或IM（QQ、MSN等）中传来的不明附件不要点击他人发送的不明链接，不登录不明网站防病毒软件必须持续更新，病毒库保持最新感染病毒的计算机必须从网络中隔离(拨除连接的网线)直至清除病毒发生任何

18、病毒传播事件，相关人员应及时向网络安全管理小组汇报自动或定期更新操作系统的补丁,日常工作安全注意事项,废弃或待修电脑转交他人时应经IT部门消磁处理定期做好重要数据的备份使用别人的移动介质前要进行杀毒不得随意将自己的移动存储设备插入机房内的硬件设备对系统数据的访问应本着“知必所需”的原则，不得访问未经授权的数据禁止在公共场合谈论客户敏感的事件，例如客户发生了网上交易账户被盗事件禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用碎纸机粉碎应主动防止陌生人尾随进入办公区域应将复印或打印的敏感资料及时取走，防止被他人偷看或者拿走离开座位时，应将贵重物品、含有机密信息的资料锁入柜中，并对使用的电脑桌

19、面进行锁屏,信息安全现状,信息安全认识,主要内容,信息安全常用控制措施,信息安全技术理论,信息安全木桶原理,木桶原理：木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么木桶的最大容量不取决于长的木板，而取决于最短的那块木板。该原理同样适用于信息安全：组织（系统）的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。这些环节包括安全管理、物理安全、主机DB安全、应用安全、网络安全和数据安全，环节中的任何一个都可能影响信息系统的整体安全水平。因此，要从整体上提高一个组织的信息系统安全水平，必须保证信息系统各个环节的安全。要实现这个目标，组织必须制定严格的、系统的安全策略来保证信息系

20、统的安全性，包括高层领导授权/支持、保密政策、安全实施、监督检查制度、员工安全意识培训、可靠的技术设备等等，也就是要使构成安全防范体系这只“木桶”的所有木板拥有相近的长度且不存在短板。,风险评估,定义：运用定性、定量的科学分析方法和手段，系统地分析信息和信息系统等资产所面临的人为的和自然的威胁，以及威胁事件一旦发生可能遭受的危害程度，有针对性地提出抵御威胁的安全等级防护对策和整改措施，从而最大限度地减少经济损失和负面影响。,等级保护测评,定义：信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用

21、的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。,信息安全保障体系,信息安全技术体系,信息安全管理体系,测试,1信息安全的三个主要属性是什么_A：完整性、可用性、保密性B：完整性、保密性、真实性C：完整性、可控制性、可用性D：保密性、可审查性、不可抵赖性,2通用的信息安全规范方面的“用户名与密码的管理”中错误的是_A：帐号与密码不可以相同。B：不要拿自己的名字、生日、电话号码作为密码。C：避免使用公共场所的计算机处理重要资料，如网 吧等，以免密码被窃听或不慎记录遭利用。D：密码之组成至少需5个字符以上。,3对于安全规范下列哪种说法是错误的_。A：网络行

22、为是受到监控的B：员工的所有应用系统的用户名和密码，必须符合安全要求。C：笔记本电脑可以不受控制。D：办公室的网络接入应该只能于业务用途。,4 以下说法中，在一定程序上会降低公司发生安全事故,正确的是_。A：机密性的纸质文档或员工的信息被随意撕成碎纸扔到垃圾箱中。B：使用独立无人值守的打印室，方便所有员工网络打印。C：第三方经批准进入组织中不受监控的访问机密的信息区域。D：公司信息安全管理员定期分发及管理安全补丁、修复程序和更新程序,5关于信息存在的形式的说法，错误的是_。A：在电话交谈中，不存在有信息。B：信息可以通过电脑存储。C：信息可以通过传真收发。D：信息可以通过胶卷摄制。,6如果你在

23、上网的时候，突然发现你的电脑硬盘灯在不停地闪动，这里你怀疑有黑客的攻击你的计算机。那么你最先要做的是_A：拨掉网线B：查看计算机开放的端口C：查看系统进程D：查看注册表,7对于新人培训管理，说法不正确的是_。A：培训内容可以包括公司规章制度B：培训内容可以包括公司企业文化C：培训内容可以包括关键技术D：培训内容可以包括公司一些人事制度,8 用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段？A：缓存溢出攻击B：钓鱼攻击C：漏洞攻击D：DDOS攻击,风险评估的三个要素(A)：政策，结构和技术(B)：组织，技术和信息(C)：硬件，软件和人(D)：资产，威胁和脆弱性,10 主要用于加密机制的协议是 A：HTTPB：FTPC：TELNETD：SSH,信息安全具有“短板效应”，在做好自己的本职工作的同时，还需要我们自己经常主动的学习一些基本的信息安全知识，只有通过我们每个员工的努力，才能保证公司的信息安全。,