信息系统安全培训ppt课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,第8章 信息系统安全,第8章 信息系统安全,1,开篇案例：波士顿凯尔特人大败间谍软件,波士顿凯尔特人在篮球场上争夺季后赛席位的同时，球队后方也打起了信息战。信息主管Wessel试图帮助球队摆脱间谍软件的困扰。,Wessel带领他的团队管理约100台笔记本电脑，分属于教练、球探及销售、市场和财务部门的员工，他们的计算机被植入了许多恶意软件。,Wessel认为“宾馆的网络是间谍软件活动的温床”。在外面受间谍软件侵害的计算机再带回波士顿球队总部使用，这样就造成网络阻塞。此外，间谍软件也会影响凯尔特人专用统计数据库的进入和使用。,凯尔特人队标,开篇案例：波士顿凯尔特人大败间谍软件 波士顿凯尔特人在,2,使用Mi5 Webgate阻止间谍软件入侵计算机网络，同时阻止已被植入间谍软件的计算机连接外部网络,使用SurfControl过滤电子邮件和网页浏览,使用TrendMicro杀毒,使用SonicWALL防火墙和入侵探测系统,使用Aladdin eSafe阻止其他恶意软件,凯尔特人队的技术解决方案：,使用Mi5 Webgate阻止间谍软件入侵计算机网络，同时阻,3,凯尔特人夺得过17次NBA总冠军，年份分别是1957、1959、1960、1961、1962、1963、1964、1965、1966、1968、1969、1974、1976、1981、1984、1986、2008,凯尔特人夺得过17次NBA总冠军，年份分别是1957、195,4,8.1 系统脆弱性与滥用,8.1.1 为什么系统容易遭到破坏,1、互联网的脆弱性,左图为谷歌公布的被攻破网站的数量分布图，从多到少依次为：红色橙色、黄色、绿色、,8.1 系统脆弱性与滥用8.1.1 为什么系统容易遭到破坏,5,2、无线网络的安全挑战,如果和其他用户处在同一个Wifi区域内，则其他用户就有了直接攻击本机的能力,注：Wifi是Wireless Fidelity（无线保真）的缩写,2、无线网络的安全挑战如果和其他用户处在同一个Wifi区域内,6,案例：最恶劣的数据盗窃案,在国外网站，单凭信用卡号及少数资料即可消费，没有密码。因此，如果购物网站没有妥善保管好用户的信用卡信息而被黑客窃取，将会给用户带来很大的损失。,2008年8月初，美国联邦检察官指控5个国家的11名犯罪嫌疑人盗取4100多万个信用卡和借记卡号码。这是迄今为止历史上最大的信用卡号码盗窃案。他们的作案目标集中在大型零售连锁店，如OT.J.Maxx等。通过这些企业的网络漏洞，入侵其系统，截获客户的信用卡号并出售，非信用卡则直接去ATM机提取现金。,案例：最恶劣的数据盗窃案在国外网站，单凭信用卡号及少数资料即,7,8.1.2 恶意软件：病毒、蠕虫、木马、间谍软件,恶意软件,（malware）是指对计算机造成威胁的软件，如计算机病毒、蠕虫和木马。,计算机病毒,（computer virus）是指在用户不知晓或未允许的情况下，在计算机程序或数据文件中插入的可执行的一组计算机指令或者程序代码。大多数计算机病毒都会造成一定后果。,蠕虫,（worms）：不需要依赖其他程序，可独立存在，能通过网络在计算机之间实现自我复制和传播。,木马,(Trojan horse)表面上没有什么破坏性，但是它所造成的后果会出乎意料。木马不会自我复制，从这个角度来看，它不是病毒，不过它经常把病毒或其他恶意代码带入计算机系统。,间谍软件,(spyware)也是恶意软件。这些小程序自动安装在计算机上，监控用户的上网记录并为广告服务。,8.1.2 恶意软件：病毒、蠕虫、木马、间谍软件恶意软件（m,8,2006年12月初，我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下，隐藏着巨大的传染潜力，短短三四个月，“烧香”潮波及上千万个人用户、网吧及企业局域网用户，造成直接和间接损失超过1亿元。,2007年2月3日，“熊猫烧香”病毒的制造者李俊落网。随着案情的揭露，一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件，盗号者追寻这些图案，利用木马等盗号软件，盗取电脑里的游戏账号密码，取得虚拟货币进行买卖。,“熊猫烧香”案主犯李俊最终被判处有期徒刑4年,2006年12月初，我国互联网上大规模爆发“熊猫烧香”病毒及,9,8.1.3 黑客与计算机犯罪,1、电子欺骗和窃听,黑客经常伪装成其他用户，以开展非法行为，这属于网络欺骗。例如，伪造虚假的邮件地址，冒用他人IP地址等,电子欺骗（,spoofing,）还可能涉及将网页链接重定向至与本来的地址不同的地址，该地址被伪装成目的地。,8.1.3 黑客与计算机犯罪1、电子欺骗和窃听黑客经常伪装,10,嗅探器(sniffer)是一种可以监控网络中信息传输的窃听程序。嗅探器合法使用时，有助于发现潜在的网络故障点或网络犯罪活动，但在非法使用的情况下，它们的危害巨大并非常难以察觉。黑客可以利用嗅探器在网络上任何位置窃取专有信息，包括电子邮件、公司文件和机密报告。,嗅探器(sniffer)是一种可以监控网络中信息传输的窃听程,11,2、拒绝服务攻击,拒绝服务(denial-of-service,DoS)攻击是指黑客向网络服务器或Web服务器发送大量请求，使服务器来不及响应，从而无法正常工作。分布式拒绝服务(DDoS)攻击利用大量计算机从众多发射点发送请求，使网络崩溃。,2、拒绝服务攻击拒绝服务(denial-of-service,12,3、计算机犯罪,美国司法部对计算机犯罪（computer crime）的定义是“任何利用计算机技术，可以构成犯罪、审查或起诉的违法行为”,根据2007年SCI对近500家企业有关计算机犯罪和安全的调查显示，它们因计算机犯罪和安全攻击年均损失350，424美元(Richardson,2007)。许多公司都不愿举报计算机犯罪，因为可能有本公司的员工涉案，或者担心暴露系统漏洞可能损害公司声誉。计算机犯罪中造成经济损失最大的是DoS攻击、植入病毒、窃取服务和破坏计算机系统。,3、计算机犯罪美国司法部对计算机犯罪（computer cr,13,4、身份盗用,身份盗用(identity theft)是一种犯罪行为，冒名者利用所获得的他人的重要个人信息，如社会安全号码、驾驶执照号码或信用卡号码，冒充他人身份。该信息可能被用于以受害人的身份获得信贷、商品或服务，或者提供虚假证明。,网络钓鱼（,phishing,）是指建立虚假网站或发送看似来自合法企业的电子邮件或文本消息。,双子星病毒（,evil twins,）是一种假装提供可信的,Wi-Fi,以连接互联网的无线网络，比如机场大厅、旅馆里的无线网络。,4、身份盗用身份盗用(identity theft)是一种犯,14,5、点击欺诈,当你点击搜索引擎上所显示的广告时，广告商通常要为每次点击支付一定费用，因为你被视为其产品的潜在买家。点击欺诈（click fraud）是指个人或计算机程序点击网络广告，但不想了解广告商所发布的信息或无购买意向。,5、点击欺诈当你点击搜索引擎上所显示的广告时，广告商通常要为,15,6、全球性威胁：网络恐怖主义和网络战,互联网或其他网络存在的漏洞使数字网络更易受到恐怖分子、外国情报机构或希望造成大范围破坏和损害的其他群体的攻击。这种网络攻击可能针对电网运行所用的软件、空中交通控制系统或主要银行和金融机构的网络。至少有20个国家被认为是有能力发展进攻型和防御型网络战的国家。2007年，美国共有12，986项政府单位网络系统受袭的报告，其中美国军用网络被入侵的次数与上年同期相比增加了55%。美国国防部的承包公司也受到了攻击。,6、全球性威胁：网络恐怖主义和网络战互联网或其他网络存在的漏,16,8.1.4 内部威胁：员工,人们总是认为，系统安全威胁都来自企业外部。实际上公司内部员工也会威胁系统安全。员工知晓公司安全系统的运作机制，可以收集机密信息且不留痕迹。,研究发现，用户缺乏相关知识是导致网络安全遭到破坏的最主要原因。许多员工忘记他们进入计算机系统的密码或允许同事使用自己的密码，这些行为均会为系统带来威胁。有些恶意入侵者冒充企业内部员工，以工作需要为由让真实员工提供密码等信息，从而进入企业网络。,8.1.4 内部威胁：员工人们总是认为，系统安全威胁都来自,17,8.1.5 软件漏洞,软件的主要问题是存在隐藏错误（bugs）或程序代码缺陷。研究发现，对于大型软件而言，实际上无法完全消除所有程序错误。,8.1.5 软件漏洞软件的主要问题是存在隐藏错误（bugs）,18,8.2 信息系统安全与控制的商业价值,8.2.1 电子记录管理的法规与制度要求,8.2.2 电子证据与计算机取证,计算机取证(computer forensics)是指科学地收集、审查、认证、保存和分析数据，该数据可从计算机存储媒介中获取或恢复，且可在法庭上作为有效证据使用。,电子证据可能以文件的形式存留在计算机存储介质中，即环境数据，普通用户无法看见这些数据，例如已从计算机硬盘中删除的文件。人们可能通过各种技术恢复已被用户删除的数据。计算机取证专家可试图恢复该类隐藏数据作为证据提交。,8.2 信息系统安全与控制的商业价值8.2.1 电子记录,19,8.3 建立安全与控制的管理框架,8.3.1 信息系统的控制类型,一般控制（,general controls,）指的是贯穿整个组织信息技术基础设施，为管理计算机程序的设计、安全和使用，以及数据文件安全而进行的总体控制活动。,应用控制（,application controls,）是针对特定计算机应用（比如薪资结算或订单处理程序）的特殊控制活动。应用控制可分为：（,1,）输入控制；（,2,）处理控制；（,3,）输出控制。,8.3 建立安全与控制的管理框架8.3.1 信息系统的控,20,8.3.2 风险评估,风险评估（,risk assessment,）能够确定当某一活动或流程没有得到适当控制时公司面临的风险程度,8.3.2 风险评估 风险评估（risk asse,21,8.3.3,安全策略,安全策略（,security policy,）包括信息风险分级、确定可接受的安全目标以及实现安全目标的机制。,8.3.3 安全策略安全策略（security policy,22,8.3.4,灾难恢复计划和业务持续计划,灾难恢复计划（,disaster recovery planning,）是指在计算和通信服务遭到破坏后，为将其恢复所制定的计划。,业务持续计划（,business continuity planning,）关注企业在遭受灾难后如何恢复业务运营。,8.3.4 灾难恢复计划和业务持续计划灾难恢复计划（disa,23,8.3.5,审计的作用,管理信息系统审计（,MIS audit,）要审查公司的整体安全环境以及个人使用信息系统的控制情况。,8.3.5 审计的作用管理信息系统审计（MIS audit）,24,8.4 保护信息资源的技术与工具,8.4.1 访问控制,访问控