信息安全意识培训--重点关注

,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,#,Click to edit Master title style,信息,安,安全,意,意识,培,培训,2,什么,是,是安,全,全意,识,识？,安全,意,意识,（,（,Securityawareness,），,就,就是,能,能够,认,认知,可,可能,存,存在,的,的安,全,全问,题,题，,明,明白,安,安全,事,事故,对,对组,织,织的,危,危害,，,，恪,守,守正,确,确的,行,行为,方,方式,，,，并,且,且清,楚,楚在,安,安全,事,事故,发,发生,时,时所,应,应采,取,取的,措,措施,。,。,3,我们,的,的目,标,标,建立,对,对信,息,息安,全,全的,敏,敏感,意,意识,和,和正,确,确认,识,识,掌握,信,信息,安,安全,的,的基,本,本概,念,念、,原,原则,和,和惯,例,例,了解,信,信息,安,安全,管,管理,体,体系,（,（,ISMS,）概,况,况,清楚,可,可能,面,面临,的,的威,胁,胁和,风,风险,遵守,IDC,各项,安,安全,策,策略,和,和制,度,度,在日,常,常工,作,作中,养,养成,良,良好,的,的安,全,全习,惯,惯,最终,提,提升,IDC,整体,的,的信,息,息安,全,全水,平,平,4,制作,说,说明,本培,训,训材,料,料由,IDC,信息,安,安全,管,管理,体,体系,实,实施,组,组织,安,安全,执,执行,委,委员,会,会编,写,写，,并,并经,安,安全,管,管理,委,委员,会,会批,准,准，,供,供,IDC,内部,学,学习,使,使用,，,，旨,在,在贯,彻,彻,IDC,信息,安,安全,策,策略,和,和各,项,项管,理,理制,度,度，,全,全面,提,提升,员,员工,信,信息,安,安全,意,意识,。,。,5,现实,教,教训,追踪,问,问题,的,的根,源,源,掌握,基,基本,概,概念,了解,信,信息,安,安全,管,管理,体,体系,建立,良,良好,的,的安,全,全习,惯,惯,重要,信,信息,的,的保,密,密,信息,交,交换,及,及备,份,份,软件,使,使用,安,安全,计算,机,机及,网,网络,访,访问,安,安全,人员,及,及第,三,三方,安,安全,管,管理,移动,计,计算,与,与远,程,程办,公,公,工作,环,环境,及,及物,理,理安,全,全要,求,求,防范,病,病毒,和,和恶,意,意代,码,码,口令,安,安全,电子,邮,邮件,安,安全,介质,安,安全,管,管理,警惕,社,社会,工,工程,学,学,应急,响,响应,和,和业,务,务连,续,续性,计,计划,法律,法,法规,寻求,帮,帮助,目,录,录,6,严峻,的,的现,实,实！,惨痛,的,的教,训,训！,第,1,部分,7,在线,银,银行,一颗,定,定时,炸,炸弹,。,。,最近,，,，南,非,非的,Absa,银行,遇,遇到,了,了麻,烦,烦，,它,它的,互,互联,网,网银,行,行服,务,务发,生,生一,系,系列,安,安全,事,事件,，,，导,致,致其,客,客户,成,成百,万,万美,元,元的,损,损失,。,。,Absa,银行,声,声称,自,自己,的,的系,统,统是,绝,绝对,安,安全,的,的，,而,而把,责,责任,归,归结,为,为客,户,户所,犯,犯的,安,安全,错,错误,上,上。,Absa,银行,的,的这,种,种处,理,理方,式,式遭,致,致广,泛,泛批,评,评。,那,那么,，,，究,竟,竟是,怎,怎么,回,回事,呢,呢？,一起,国,国外,的,的金,融,融计,算,算机,犯,犯罪,案,案例,8,前因,后,后果,是,是这,样,样的,Absa,是南,非,非最,大,大的,一,一家,银,银行,，,，占,有,有,35%,的市,场,场份,额,额，,其,其,Internet,银行,业,业务,拥,拥有,40,多万,客,客户,。,。,2003,年,6,、,7,月间,，,，一,个,个,30,岁男,子,子，,盯,盯上,了,了,Absa,的在,线,线客,户,户，,向,向这,些,些客,户,户发,送,送携,带,带有,间,间谍,软,软件,（,（,spyware,）的,邮,邮件,，,，并,成,成功,获,获得,众,众多,客,客户,的,的账,号,号信,息,息，,从,从而,通,通过,Internet,进行,非,非法,转,转帐,，,，先,后,后致,使,使,10,个,Absa,的在,线,线客,户,户损,失,失达,数,数万,法,法郎,。,。,该男,子,子后,来,来被,南,南非,警,警方,逮,逮捕,。,。,9,间谍,软,软件,eBlaster,10,我们,来,来总,结,结一,下,下教,训,训,Absa,声称,不,不是,自,自己,的,的责,任,任，,而,而是,客,客户,的,的问,题,题,安全,专,专家,和,和权,威,威评,论,论员,则,则认,为,为：,Absa,应负,必,必要,责,责任,，,，其,电,电子,银,银行,的,的安,全,全性,值,值得,怀,怀疑,Deloitte,安全,专,专家,RoganDawes,认为,：,：,Absa,应向,其,其客,户,户灌,输,输更,多,多安,全,全意,识,识，,并,并在,易,易用,性,性和,安,安全,性,性方,面,面达,成,成平,衡,衡,IT,技术,专,专家,则,则认,为,为：,电,电子,银,银行,应,应采,用,用更,强,强健,的,的双,因,因素,认,认证,机,机制,（,（口,令,令或,PIN,智,能,能卡,）,），,而,而不,是,是简,单,单的,口,口令,我们,认,认为,：,：,Absa,银行,和,和客,户,户都,有,有责,任,任,11,国内,金,金融,计,计算,机,机犯,罪,罪的,典,典型,案,案例,一名,普,普通,的,的系,统,统维,护,护人,员,员，,轻,轻松,破,破解,数,数道,密,密码,，,，进,入,入邮,政,政储,蓄,蓄网,络,络，,盗,盗走,83.5,万元,。,。这,起,起利,用,用网,络,络进,行,行金,融,融盗,窃,窃犯,罪,罪的,案,案件,不,不久,前,前被,甘,甘肃,省,省定,西,西地,区,区公,安,安机,关,关破,获,获,人民,日,日报,，,，,2003,年,12,月,时间,：,：,2003,年,11,月,地点,：,：,甘肃,省,省定,西,西地,区,区临,洮,洮县,太,太石,镇,镇邮,政,政储,蓄,蓄所,人物,：,：,一个,普,普通,的,的系,统,统管,理,理员,12,怪事,是,是这,么,么发,生,生的,2003,年,10,月,5,日，,定,定西,临,临洮,县,县太,石,石镇,邮,邮政,储,储蓄,所,所的,营,营业,电,电脑,突,突然,死,死机,工作,人,人员,以,以为,是,是一,般,般的,故,故障,，,，对,电,电脑,进,进行,了,了简,单,单的,修,修复,和,和重,装,装处,理,理,17,日，,工,工作,人,人员,发,发现,打,打印,出,出的,报,报表,储,储蓄,余,余额,与,与实,际,际不,符,符，,对,对账,发,发现,，,，,13,日发,生,生了,11,笔交,易,易，,83.5,万异,地,地帐,户,户是,虚,虚存,（,（有,交,交易,记,记录,但,但无,实,实际,现,现金,）,）,紧急,与,与开,户,户行,联,联系,，,，发,现,现存,款,款已,从,从兰,州,州、,西,西安,等,等地,被,被取,走,走大,半,半,储蓄,所,所向,县,县公,安,安局,报,报案,公安,局,局向,定,定西,公,公安,处,处汇,报,报,公安,处,处成,立,立专,案,案组,，,，同,时,时向,省,省公,安,安厅,上,上报,13,当然,，,，最,终,终结,果,果不,错,错,经过,缜,缜密,的,的调,查,查取,证,证，,我,我英,勇,勇机,智,智的,公,公安,干,干警,终,终于,一,一举,抓,抓获,这,这起,案,案件,的,的罪,魁,魁祸,首,首,会宁,邮,邮政,局,局一,个,个普,通,通的,系,系统,维,维护,人,人员,张,张某,14,事情,的,的经,过,过原,来,来是,这,这样,的,的,登录到永登邮政局,永登,临洮,破解口令，,登录到临洮一个邮政储蓄所,会宁的张某用假身份证在兰州开了,8,个活期帐户,张某借工作之便，,利用笔记本电脑连接电缆到邮政储蓄专网,会宁,向这些帐户虚存,83.5,万，退出系统前删掉了打印操作系统,最后，张某在兰州和西安等地提取现金,15,到底,哪,哪里,出,出了,纰,纰漏,张某,29,岁，,毕,毕业,于,于邮,电,电学,院,院，,资,资质,平,平平,，,，谈,不,不上,精,精通,计,计算,机,机和,网,网络,技,技术,邮政,储,储蓄,网,网络,的,的防,范,范可,谓,谓严,密,密：,与,Internet,物理,隔,隔离,的,的专,网,网；,配,配备,了,了防,火,火墙,；,；从,前,前台,分,分机,到,到主,机,机经,过,过数,重,重密,码,码认,证,证,16,可还,是,是出,事,事了,，,，郁,闷,闷呀,问题,究,究竟,出,出在,哪,哪里,？,？,思考,中,中,哦，,原,原来,如,如此,17,看来,，,，问,题,题真,的,的不,少,少呀,张某,私,私搭,电,电缆,，,，没,人,人过,问,问和,阻,阻止,，,，使,其,其轻,易,易进,入,入邮,政,政储,蓄,蓄专,网,网,临洮,县,县太,石,石镇,的,的邮,政,政储,蓄,蓄网,点,点使,用,用原,始,始密,码,码，,没,没有,定,定期,更,更改,，,，而,且,且被,员,员工,周,周知,，,，致,使,使张,某,某轻,松,松突,破,破数,道,道密,码,码关,，,，直,接,接进,入,入了,操,操作,系,系统,问题,出,出现,时,时，,工,工作,人,人员,以,以为,是,是网,络,络系,统,统故,障,障，,没,没有,足,足够,重,重视,18,总结,教,教训,最直,接,接的,教,教训,：,：漠,视,视口,令,令安,全,全带,来,来恶,果,果！,归根,到,到底,，,，是,管,管理,上,上存,在,在漏,洞,洞，,人,人员,安,安全,意,意识,淡,淡薄,安全,意,意识,的,的提,高,高刻,不,不容,缓,缓！,19,一起,证,证券,行,行业,计,计算,机,机犯,罪,罪案,例,例,凭借,自,自己,的,的耐,心,心和,别,别人,的,的粗,心,心，,股,股市,“,菜鸟,”,严某,非,非法,侵,侵入,“,股神,通,通,”,10,个单,位,位和,个,个人,的,的股,票,票账,户,户，,用,用别,人,人的,钱,钱磨,练,练自,己,己的,炒,炒股,技,技艺,青年,报,报，,2003,年,12,月,时间,：,：,2003,年,6,月,地点,：,：,上海,人物,：,：,26,岁的,待,待业,青,青年,严,严某,20,事情,是,是这,样,样的,2003,年,3,月，,严,严父,在,在家,中,中安,装,装开,通,通,“,股神,通,通,”,业务,，,，进,行,行即,时,时股,票,票交,易,易。,2003,年,6,月的,一,一天,，,，严,某,某偶,得,得其,父,父一,张,张股,票,票交,易,易单,，,，上,有,有,9,位数,字,字的,账,账号,，,，遂,动,动了,“,瞎猫,碰,碰死,老,老鼠,”,的念,头,头：,该,该证,券,券公,司,司客,户,户账,号,号前,6,位数,字,字是,相,相同,的,的，,只,只需,猜,猜后,3,位；,而,而,6,位密,码,码，,严,严某,锁,锁定,为,为,“,123456,”,。,严某,”,埋头,苦,苦干,“,，第,一,一天,连,连续,输,输入,了,了,3000,个数,字,字组,合,合，,一,一无,所,所获,。,。,第二,天,天继,续,续，,很,很快,”,奇迹,“,出现,，,，严,某,某顺,利,利进,入,入一,个,个股,票,票账,户,户。,利,利用,相,相同,的,的方,法,法，,严,严某,又,又先,后,后侵,入,入了,10,余个,股,股票,账,账户,。,。,严某,利,利用,别,别人,的,的账,户,户，,十,十几,天,天里,共,共买,进,进卖,出,出,1000,多万,元,元股,票,票，,损,损失,超,超过,14,万元,，,，直,到,到,6,月,10,日案,发,发。,严某,被,被以,破,破坏,计,计算,机,机信,息,息系,统,统罪,依,依法,逮,逮捕,。,。,21,问题出,在,在哪里,严某不,算,算聪明,，,，但他,深,深知炒,股,股的多,是,是中老,年,年人，,密,密码设,置,置肯定,不,不会复,杂,杂。首,先,先，作,为,为股民,，,，安全,意,意识薄,弱,弱,证券公,司,司，在,进,进行账,户,户管理,时,时也存,在,在不足,：,：初始,密,密码设,置,置太简,单,单，没,提,提醒客,户,户及时,修,修改等,作为设,备,备提供,商,商，,“,股神通,”,软件设,计,计里的,安,安全机,制,制太简,单,单脆弱,，,，易被,人,人利用,22,总结教,训,训,又是口,令,令安全,的,的问题,！,！,又是人,的,的安全,意,意识问,题,题！,再次强,调,调安全,意,意识的,重,重要性,！,！,23,一个与,物,物理安,全,全相关,的,的典型,案,案例,时间：,2002,年某天,夜,夜里,地点：,A,公司的,数,数据中,心,心大楼,人物：,一个普,通,通的系,统,统管理,员,员,一个普,通,通的系,统,统管理,员,员，利,用,用看似,简,简单的,方,方法，,就,就进入,了,了需要,门,门卡认,证,证的数,据,据中心,来自国,外,外某论,坛,坛的激,烈,烈讨论,，,，,2002,年,24,情况是,这,这样的,A,公司的,数,数据中,心,心是重,地,地，设,立,立了严,格,格的门,禁,禁制度,，,，要求,必,必须插,入,入门卡,才,才能进,入,入。不,过,过，出,来,来时很,简,简单，,数据中,心,心一旁,的,的动作,探,探测器,会,会检测,到,到有人,朝,朝出口,走,走去，,门,门会自,动,动打开,数据中,心,心有个,系,系统管,理,理员张,三,三君，,这,这天晚,上,上加班,到,到很晚,，,，中间,离,离开数,据,据中心,出,出去夜,宵,宵，可,返,返回时,发,发现自,己,己被锁,在,在了外,面,面，门,卡,卡落在,里,里面了,，,，四周,别,别无他,人,人，一,片,片静寂,张三急,需,需今夜,加,加班，,可,可他又,不,不想打,扰,扰他人,，,，,怎么办,？,？,25,一点线,索,索：,昨天曾,在,在接待,区,区庆祝,过,过某人,生,生日，,现,现场还,未,未清理,干,干净，,遗,遗留下,很,很多杂,物,物，哦,，,，还有,气,气球,26,聪明的,张,张三想,出,出了妙,计,计,张三找到一个气球，放掉气,张三,面朝大,门,门入口,趴,趴下来,，,，把气,球,球塞进,门,门里，,只,只留下,气,气球的,嘴,嘴在门,的,的这边,张三在门外吹气球，气球在门内膨胀，然后，他释放了气球,由于气球在门内弹跳，触发动作探测器，门终于开了,27,问题出,在,在哪里,如果门,和,和地板,齐,齐平且,没,没有缝,隙,隙，就,不,不会出,这,这样的,事,事,如果动,作,作探测,器,器的灵,敏,敏度调,整,整到不,对,对,快速放,气,气的气,球,球作出,反,反应，,也,也不会,出,出此事,当然，,如,如果根,本,本就不,使,使用动,作,作探测,器,器来从,里,里面开,门,门，这,种,种事情,同,同样不,会,会发生,28,总结教,训,训,虽然是,偶,偶然事,件,件，也,没,没有直,接,接危害,，,，但是,潜,潜在风,险,险,既是物,理,理安全,的,的问题,，,，更是,管,管理问,题,题,切记！,有,有时候,自,自以为,是,是的安,全,全，恰,恰,恰是最,不,不安全,！,！,物理安,全,全非常,关,关键！,29,类似的,事,事件不,胜,胜枚举,苏州某,中,中学计,算,算机教,师,师罗某,，,，只因,嫌,嫌准备,考,考试太,麻,麻烦，,产,产生反,感,感情绪,，,，竟向,江,江苏省,教,教育厅,会,会考办,的,的考试,服,服务器,发,发动攻,击,击，他,以,以黑客,身,身份两,次,次闯入,该,该考试,服,服务器,，,，共删,除,除全省,中,中小学,信,信息技,术,术等级,考,考试文,件,件达,100,多个，,直,直接经,济,济损失,达,达,20,多万元,，,，后被,警,警方抓,获,获。,某高校,招,招生办,一,一台服,务,务器，,因,因设置,网,网络共,享,享不加,密,密码，,导,导致共,享,享目录,中,中保存,的,的有关,高,高考招,生,生的重,要,要信息,泄,泄漏，,造,造成了,恶,恶劣的,社,社会影,响,响。,屡屡出,现,现的关,于,于银行,ATM,取款机,的,的问题,。,。,30,你碰到,过,过类似,的,的事吗,？,？,31,CERT,关于安全,事,事件的统,计,计,摘自,CERT/CC,的统计报,告,告,2003,年,12,月,32,过去,6,个月的统,计,计。,Source:,RiptechInternetSecurity ThreatReport.January 2002,医疗机构,应用服务,制造商,非赢利机构,媒体机构,能源制造,金融机构,高科技,不同行业,遭,遭受攻击,的,的平均次,数,数,33,CSI/FBI,对安全事,件,件损失的,统,统计,摘自,CSI/FBI,的统计报,告,告,2003,年,12,月,34,威胁和弱,点,点,问题的根,源,源,第,2,部分,35,我们时刻,都,都面临来,自,自外部的,威,威胁,信息资产,拒绝服务,逻辑炸弹,黑客渗透,内部人员威胁,木马后门,病毒和蠕虫,社会工程,系统,Bug,硬件故障,网络通信故障,供电中断,失火,雷雨,地震,36,人是最关,键,键的因素,判断威胁,来,来源，综,合,合了人为,因,因素和系,统,统自身逻,辑,辑与物理,上,上诸多因,素,素在一起,，,，归根结,底,底，还是,人,人起着决,定,定性的作,用,用,正是因为,人,人在有意,（,（攻击破,坏,坏）或无,意,意（误操,作,作、误配,置,置）间的,活,活动，才,给,给信息系,统,统安全带,来,来了隐患,和,和威胁,提高人员,安,安全意识,和,和素质势,在,在必行！,37,黑客攻击,，,，是我们,听,听说最多,的,的威胁！,38,AtomicP alerts customers to breach,CNetN,Mar 20, 2001,Nasdaq defaced.and other seasonal graffiti,SecurityW,Dec 27,2000,AP Site Hacked,Interactive Week,Mar 20,2001,French Group Claims DoubleClick hacked for 2 years,Ecommerce Times, Mar 28, 2001,Electronic Holy War Hits D.C. Pro-Israel Site,Newsbytes, Nov 3, 2000,NT remains hackers favorite,VNUnet, Jan 10,2001,Hackers hit U.S., U.K., Australian government sites,-,InfoWorld Jan 22, 2001,Travelocity exposes customer information,CNet Jan 22, 2001,U.S. Navy Hacked,SecurityW, March 30,2001,Lax Security Found in IRS Electronic Filing System,LA TImes, Mar 15, 2001,39,世界头号,黑,黑客,Kevin Mitnick,出生于,1964,年,15,岁入侵北,美,美空军防,务,务指挥系,统,统，窃取,核,核弹机密,入侵太平,洋,洋电话公,司,司的通信,网,网络,入侵联邦,调,调查局电,脑,脑网络，,戏,戏弄调查,人,人员,16,岁被捕，,但,但旋即获,释,释,入侵摩托,罗,罗拉、,Novell,、,Sun,、,Nokia,等大公司,与联邦调,查,查局玩猫,捉,捉老鼠的,游,游戏,1995,年被抓获,，,，被判,5,年监禁,获释后禁,止,止接触电,子,子物品，,禁,禁止从事,计,计算机行,业,业,40,黑客不请,自,自来，乘,虚,虚而入,踩点,扫描,破坏攻击,渗透攻击,获得访问权,获得控制权,清除痕迹,安装后门,远程控制,转移目标,窃密破坏,41,踩点,：,千方百计,搜,搜集信息,，,，明确攻,击,击目标,扫描,：,通过网络,，,，用工具,来,来找到目,标,标系统的,漏,漏洞,DoS,攻击,：,拒绝服务,，,，是一种,破,破坏性攻,击,击，目的,是,是使资源,不,不可用,DDoS,攻击,：,是,DoS,的延伸，,更,更大规模,，,，多点对,一,一点实施,攻,攻击,渗透攻击,：,利用攻击,软,软件，远,程,程得到目,标,标系统的,访,访问权或,控,控制权,远程控制,：,利用安装,的,的后门来,实,实施隐蔽,而,而方便的,控,控制,网络蠕虫,：,一种自动,扩,扩散的恶,意,意代码，,就,就像一个,不,不受控的,黑,黑客,了解一些,黑,黑客攻击,手,手段很有,必,必要,42,DoS,攻击示例,Smurf,攻击者冒充受害主机的,IP,地址，向一个大的网络发送,echo request,的定向广播包,中间网络的许多主机都作出响应，受害主机会收到大量的,echo reply,消息,攻击者,受害者,中间反弹网络,43,DDoS,攻击模型,Internet,Intruder,Master,Master,Daemon,Daemon,Daemon,Daemon,Daemon,Daemon,Victim,44,漏洞系统,已打补丁的系统,CodeRed,蠕虫制造者,DDOS,DDOS,DDOS,DDOS,DDOS,DDOS,DDOS,Randomly,Attack,Randomly,Attack,Randomly,Attack,Internet,蠕虫攻击,示,示例,CodeRed,45,威胁更多,是,是来自公,司,司内部,黑客虽然,可,可怕，可,更,更多时候,，,，内部人,员,员威胁却,更,更易被忽,略,略，但却,更,更容易造,成,成危害,据权威部,门,门统计，,内,内部人员,犯,犯罪（或,与,与内部人,员,员有关的,犯,犯罪）占,到,到了计算,机,机犯罪总,量,量的,70%,以上,员工误操,作,作,蓄意破坏,公司资源,私,私用,46,一个巴掌,拍,拍不响！,外因是条,件,件,内因才是,根,根本！,47,我们自身,的,的弱点不,容,容小视,技术弱点,操作弱点,管理弱点,系统、,程,程序、设,备,备中存在,的,的漏洞或,缺,缺陷,配置、操,作,作和使用,中,中的缺陷,，,，包括人,员,员的不良,习,习惯、审,计,计或备份,过,过程的不,当,当等,策略、程,序,序、规章,制,制度、人,员,员意识、,组,组织结构,等,等方面的,不,不足,48,人最常犯,的,的一些错,误,误,将口令写,在,在便签上,，,，贴在电,脑,脑监视器,旁,旁,开着电脑,离,离开，就,像,像离开家,却,却忘记关,灯,灯那样,轻易相信,来,来自陌生,人,人的邮件,，,，好奇打,开,开邮件附,件,件,使用容易,猜,猜测的口,令,令，或者,根,根本不设,口,口令,丢失笔记,本,本电脑,不能保守,秘,秘密，口,无,无遮拦，,上,上当受骗,，,，泄漏敏,感,感信息,随便拨号,上,上网，或,者,者随意将,无,无关设备,连,连入公司,网,网络,事不关己,，,，高高挂,起,起，不报,告,告安全事,件,件,在系统更,新,新和安装,补,补丁上总,是,是行动迟,缓,缓,只关注外,来,来的威胁,，,，忽视企,业,业内部人,员,员的问题,49,想想你是,否,否也犯过,这,这些错误,？,？,50,嘿嘿，这,顿,顿美餐唾,手,手可得,呜呜，可,怜,怜我手无,缚,缚鸡之力,威胁就像,这,这只贪婪,的,的猫,如果盘中,美,美食暴露,在,在外,遭受损失,也,也就难免,了,了,51,信息,资产,对我们很,重,重要，是,要,要保护的,对,对象,外在的,威胁,就像苍蝇,一,一样，挥,之,之不去，,无,无孔不入,资产本身,又,又有各种,弱点,，给威胁,带,带来可乘,之,之机,于是，我,们,们面临各,种,种,风险,，一旦发,生,生就成为,安,安全事件,时刻都应,保,保持清醒,的,的认识,52,我们需要,去,去做的就,是,是,严防威胁,消减弱点,应急响应,保护资产,熟悉潜在,的,的安全问,题,题,知道怎样,防,防止其发,生,生,知道发生,后,后如何应,对,对,53,还记得消,防,防战略吗,？,？,隐患险于明火！,预防重于救灾！,54,理解和铺,垫,垫,基本概念,第,3,部分,55,消息、信,号,号、数据,、,、情报和,知,知识,信息本身,是,是无形的,，,，借助于,信,信息媒体,以,以多种形,式,式存在或,传,传播：,存储在计,算,算机、磁,带,带、纸张,等,等介质中,记忆在人,的,的大脑里,通过网络,、,、打印机,、,、传真机,等,等方式进,行,行传播,信息借助,媒,媒体而存,在,在，对现,代,代企业来,说,说具有价,值,值，就成,为,为,信息资产,：,计算机和,网,网络中的,数,数据,硬件、软,件,件、文档,资,资料,关键人员,组织提供,的,的服务,具有价值,的,的信息资,产,产面临诸,多,多威胁，,需,需要妥善,保,保护,Information,什么是信,息,息？,56,什么是信,息,息安全？,采取措施,保,保护信息,资,资产，使,之,之不因偶,然,然或者恶,意,意侵犯而,遭,遭受破坏,、,、更改及,泄,泄露，保,证,证信息系,统,统能够连,续,续、可靠,、,、正常地,运,运行，使,安,安全事件,对,对业务造,成,成的影响,减,减到最小,，,，确保组,织,织业务运,行,行的连续,性,性。,57,C,I,A,onfidentiality,ntegrity,vailability,CIA,谨记信息,安,安全基本,目,目标,58,企业管理,者,者关注的,是,是最终目,标,标,Confidentiality,Integrity,Availability,Information,59,风险,漏洞,威胁,控制措施,安全需求,资产价值,信息资产,防止,利用,Reduce,Increase,Indicate,Increase,暴露,具有,Decrease,符合,对组织的影响,信息安全,关,关键因素,及,及其相互,关,关系,60,实现信息,安,安全可以,采,采取一些,技,技术手段,物理安全,技,技术,：环境安,全,全、设备,安,安全、媒,体,体安全,系统安全,技,技术,：操作系,统,统及数据,库,库系统的,安,安全性,网络安全,技,技术,：网络隔,离,离、访问,控,控制、,VPN,、入侵检,测,测、扫描,评,评估,应用安全,技,技术,：,Email,安全、,Web,访问安全,、,、内容过,滤,滤、应用,系,系统安全,数据加密,技,技术,：硬件和,软,软件加密,，,，实现身,份,份认证和,数,数据信息,的,的,CIA,特性,认证授权,技,技术,：口令认,证,证、,SSO,认证（例,如,如,Kerberos,）、证书,认,认证等,访问控制,技,技术,：防火墙,、,、访问控,制,制列表等,审计跟踪,技,技术,：入侵检,测,测、日志,审,审计、辨,析,析取证,防病毒技,术,术,：单机防,病,病毒技术,逐,逐渐发展,成,成整体防,病,病毒体系,灾难恢复,和,和备份技,术,术,：业务连,续,续性技术,，,，前提就,是,是对数据,的,的备份,61,防火墙,网络入侵检测,病毒防护,主机入侵检测,漏洞扫描评估,VPN,通道,访问控制,62,但,关,关,键,键,还,还,要,要,看,看,整,整,体,体,的,的,信,信,息,息,安,安,全,全,管,管,理,理,技,术,术,是,是,信,信,息,息,安,安,全,全,的,的,构,构,筑,筑,材,材,料,料,，,，,管,管,理,理,是,是,真,真,正,正,的,的,粘,粘,合,合,剂,剂,和,和,催,催,化,化,剂,剂,信,息,息,安,安,全,全,管,管,理,理,构,构,成,成,了,了,信,信,息,息,安,安,全,全,具,具,有,有,能,能,动,动,性,性,的,的,部,部,分,分,，,，,是,是,指,指,导,导,和,和,控,控,制,制,组,组,织,织,的,的,关,关,于,于,信,信,息,息,安,安,全,全,风,风,险,险,的,的,相,相,互,互,协,协,调,调,的,的,活,活,动,动,现,实,实,世,世,界,界,里,里,大,大,多,多,数,数,安,安,全,全,事,事,件,件,的,的,发,发,生,生,和,和,安,安,全,全,隐,隐,患,患,的,的,存,存,在,在,，,，,与,与,其,其,说,说,是,是,技,技,术,术,上,上,的,的,原,原,因,因,，,，,不,不,如,如,说,说,是,是,管,管,理,理,不,不,善,善,造,造,成,成,的,的,理,解,解,并,并,重,重,视,视,管,管,理,理,对,对,于,于,信,信,息,息,安,安,全,全,的,的,关,关,键,键,作,作,用,用,，,，,对,对,于,于,真,真,正,正,实,实,现,现,信,信,息,息,安,安,全,全,目,目,标,标,尤,尤,其,其,重,重,要,要,三,分,分,技,技,术,术,，,，,七,七,分,分,管,管,理,理,！,！,63,务,必,必,重,重,视,视,信,信,息,息,安,安,全,全,管,管,理,理,加,强,强,信,信,息,息,安,安,全,全,建,建,设,设,工,工,作,作,64,PDCA,信,息,息,安,安,全,全,管,管,理,理,模,模,型,型,根,据,据,风,风,险,险,评,评,估,估,结,结,果,果,、,、,法,法,律,律,法,法,规,规,要,要,求,求,、,、,组,组,织,织,业,业,务,务,运,运,作,作,自,自,身,身,需,需,要,要,来,来,确,确,定,定,控,控,制,制,目,目,标,标,与,与,控,控,制,制,措,措,施,施,。,。,实,施,施,所,所,选,选,的,的,安,安,全,全,控,控,制,制,措,措,施,施,。,。,针,对,对,检,检,查,查,结,结,果,果,采,采,取,取,应,应,对,对,措,措,施,施,，,，,改,改,进,进,安,安,全,全,状,状,况,况,。,。,依,据,据,策,策,略,略,、,、,程,程,序,序,、,、,标,标,准,准,和,和,法,法,律,律,法,法,规,规,，,，,对,对,安,安,全,全,措,措,施,施,的,的,实,实,施,施,情,情,况,况,进,进,行,行,符,符,合,合,性,性,检,检,查,查,。,。,65,可,以,以,参,参,考,考,的,的,标,标,准,准,规,规,范,范,和,和,最,最,佳,佳,惯,惯,例,例,ISO27001,66,安,全,全,性,性,与,与,方,方,便,便,性,性,的,的,平,平,衡,衡,问,问,题,题,在,方,方,便,便,性,性,（,（,convenience,，,即,即,易,易,用,用,性,性,）,）,和,和,安,安,全,全,性,性,（,（,security,）,之,之,间,间,是,是,一,一,种,种,相,相,反,反,的,的,关,关,系,系,提高了,安,安全性,，,，相应,地,地就降,低,低了方,便,便性,而要提,高,高安全,性,性，又,势,势必增,大,大成本,管理者,应,应在二,者,者之间,达,达成一,种,种可接,受,受的平,衡,衡,67,计算机,安,安全领,域,域一句,格,格言：,“,真正安,全,全的计,算,算机是,拔,拔下网,线,线，断,掉,掉电源,，,，放在,地,地下掩,体,体的保,险,险柜中,，,，并在,掩,掩体内,充,充满毒,气,气，在,掩,掩体外,安,安排士,兵,兵守卫,。,。,”,这样的,计,计算机,是,是没法,用,用了。,绝对的,安,安全是,不,不存在,的,的！,68,正确认,识,识信息,安,安全,安全不,是,是产品,的,的简单,堆,堆积，,也,也不是,一,一次性,的,的静态,过,过程，,它,它是人,员,员、技,术,术、操,作,作三者,紧,紧密结,合,合的系,统,统工程,，,，是不,断,断演进,、,、循环,发,发展的,动,动态过,程,程,69,整体管,理,理思路,信息安,全,全管理,体,体系,第,4,部分,70,英国标,准,准协会,（,（,British StandardsInstitute,，,BSI,）制定,的,的信息,安,安全标,准,准。,由信息,安,安全方,面,面的最,佳,佳惯例,组,组成的,一,一套全,面,面的控,制,制集。,信息安,全,全管理,方,方面最,受,受推崇,的,的国际,标,标准。,ISO27001,是关于,信,信息安,全,全管理,的,的标准,71,ISO27001,标准包,含,含两个,部,部分,ISO17799:2005,：信息安,全,全管理,实,实施细,则,则（,Code of Practice forInformationSecurityManagement,），,相,相当,于,于一,个,个工具,包,包，,体,体现,了,了三,分,分技,术,术七,分,分管,理,理,ISO27001,：是建,立,立信,息,息安,全,全管,理,理系,统,统（,ISMS,）的,一,一套,规,规范,（,（,SpecificationforInformationSecurityManagementSystems,），,详,详细,说,说明,了,了建,立,立、,实,实施,和,和维,护,护信,息,息安,全,全管,理,理系,统,统的,要,要求,，,，指,出,出实,施,施机,构,构应,该,该遵,循,循的,风,风险,评,评估,标,标准,安全策略,Security policy,安全组织,Security organisation,资产分类与控制,Asset classification & control,人员安全,Personnel security,物理与环境安全,Physical & environmental security,通信与操作管理,Communications & operations management,系统开发与维护,Systems development & maintenance,访问控制,Access control,业务连续性管理,Business continuity management,符合性,Compliance,72,什么,是,是信,息,息安,全,全管,理,理体,系,系？,以往,我,我们,对,对信,息,息安,全,全的,认,认识,只,只停,留,留在,技,技术,和,和产,品,品上,，,，是,只,只见,树,树木,不,不见,森,森林,，,，只,治,治标,不,不治,本,本,其实,，,，信,息,息安,全,全成,败,败，,三,三分,靠,靠技,术,术，,七,七分,靠,靠管,理,理，技术,一,一般,但,但管,理,理良,好,好的,系,系统,远,远比,技,技术,高,高超,但,但管,理,理混,乱,乱的,系,系统,安,安全,但以,往,往我,们,们的,管,管理,，,，只,是,是粗,浅,浅的,、,、静,态,态的,、,、不,成,成体,系,系的,管,管理,信息,安,安全,必,必须,从,从整,体,体去,考,考虑,，,，必,须,须做,到,到“,有,有计,划,划有,目,目标,、,、发,现,现问,题,题、,分,分析,问,问题,、,、采,取,取措,施,施解,决,决问,题,题、,后,后续,监,监督,避,避免,再,再现,”,”这,样,样的,全,全程,管,管理,的,的路,子,子，,而,而整,个,个的,过,过程,，,，必,须,须有,一,一套,完,完整,的,的文,件,件体,系,系来,控,控制,和,和指,引,引,这就,是,是信,息,息安,全,全管,理,理体,系,系，,应,应该,成,成为,组,组织,整,整体,管,管理,体,体系,的,的一,部,部分,73,控制,对,对内,外,外部,网,网络,服,服务,的,的访,问,问，,保,保护,网,网络,化,化服,务,务的,安,安全,性,性与,可,可靠,性,性，,防,防止,重,重要,信,信息,泄,泄漏,。,。,对用,户,户权,限,限和,口,口令,进,进行,严,严格,管,管理,，,，防,止,止对,信,信息,系,系统,的,的非,授,授权,访,访问,。,。,对重,要,要信,息,息进,行,行备,份,份保,护,护，,确,确保,信,信息,的,的可,用,用性,。,。,实施,业,业务,连,连续,性,性计,划,划，,保,保证,公,公司,主,主要,业,业务,流,流程,不,不受,重,重大,故,故障,和,和灾,难,难的,影,影响,。,。,IDC,建立,有,有效,的,的审,核,核机,制,制，,加,加强,对,对信,息,息安,全,全各,项,项工,作,作的,监,监督,与,与审,核,核。,为了,支,支持,本,本方,针,针，,需,需要,制,制定,相,相应,的,的程,序,序文,件,件及,各,各项,规,规定,。,。,IDC,高管,负,负责,批,批准,并,并发,布,布本,方,方针,。,。,各部,门,门经,理,理直,接,接负,责,责方,针,针的,执,执行,，,，确,保,保各,部,部门,员,员工,都,都能,遵,遵守,本,本方,针,针。,信息,安,安全,方,方针,必,必须,强,强制,执,执行,。,。,访问,控,控制,方,方针,网络,使,使用,安,安全,管,管理,规,规定,用户,管,管理,规,规定,信息,备,备份,策,策略,业务,持,持续,性,性管,理,理程,序,序,信息,安,安全,审,审核,管,管理,程,程序,信息,安,安全,方,方针,（,（续,）,）,MISC,负责,Review,本方,针,针（,一,一年,一,一次,）,），,并,并为,方,方针,执,执行,提,提供,必,必要,的,的支,持,持。,ISCC,负责,制,制定,与,与本,方,方针,相,相关,的,的支,持,持性,策,策略,及,及文,件,件。,74,IDC,的信,息,息安,全,全组,织,织架,构,构,演讲,完,完毕,，,，谢,谢,谢观,看,看！,