资源描述
IDC信息安全意识培训,从小事做起,从自身做起 遵守IDC各项安全策略和制度规范,2,什么是安全意识?,安全意识(Security awareness),就是能够认知可能存在的安全问题,明白安全事故对组织的危害,恪守正确的行为方式,并且清楚在安全事故发生时所应采取的措施。,3,我们的目标,建立对信息安全的敏感意识和正确认识 掌握信息安全的基本概念、原则和惯例 了解信息安全管理体系(ISMS)概况 清楚可能面临的威胁和风险 遵守IDC各项安全策略和制度 在日常工作中养成良好的安全习惯 最终提升IDC整体的信息安全水平,4,制作说明,本培训材料由IDC信息安全管理体系实施组织安全执行委员会编写,并经安全管理委员会批准,供IDC内部学习使用,旨在贯彻IDC信息安全策略和各项管理制度,全面提升员工信息安全意识。,5,现实教训 追踪问题的根源 掌握基本概念 了解信息安全管理体系 建立良好的安全习惯 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 寻求帮助,6,严峻的现实!,惨痛的教训!,第1部分,7,在线银行一颗定时炸弹。 最近,南非的Absa银行遇到了麻烦,它的互联网银行服务发生一系列安全事件,导致其客户成百万美元的损失。Absa银行声称自己的系统是绝对安全的,而把责任归结为客户所犯的安全错误上。Absa银行的这种处理方式遭致广泛批评。那么,究竟是怎么回事呢?,一起国外的金融计算机犯罪案例,8,前因后果是这样的 ,Absa是南非最大的一家银行,占有35%的市场份额,其Internet银行业务拥有40多万客户。 2003年6、7月间,一个30岁男子,盯上了Absa的在线客户,向这些客户发送携带有间谍软件(spyware)的邮件,并成功获得众多客户的账号信息,从而通过Internet进行非法转帐,先后致使10个Absa的在线客户损失达数万法郎。 该男子后来被南非警方逮捕。,9,间谍软件 eBlaster,这是一个商业软件( 该软件可记录包括电子邮件、网上聊天、即使消息、Web访问、键盘操作等活动,并将记录信息悄悄发到指定邮箱 商业杀毒软件一般都忽略了这个商业软件 本案犯罪人就是用邮件附件方式,欺骗受害者执行该软件,然后窃取其网上银行账号和PIN码信息的,10,我们来总结一下教训,Absa声称不是自己的责任,而是客户的问题 安全专家和权威评论员则认为:Absa应负必要责任,其电子银行的安全性值得怀疑 Deloitte安全专家Rogan Dawes认为:Absa应向其客户灌输更多安全意识,并在易用性和安全性方面达成平衡 IT技术专家则认为:电子银行应采用更强健的双因素认证机制(口令或PIN智能卡),而不是简单的口令 我们认为:Absa银行和客户都有责任,11,国内金融计算机犯罪的典型案例,一名普通的系统维护人员,轻松破解数道密码,进入邮政储蓄网络,盗走83.5万元。这起利用网络进行金融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破获 人民日报,2003年12月,时间:2003年11月 地点:甘肃省定西地区临洮县太石镇邮政储蓄所 人物:一个普通的系统管理员,12,怪事是这么发生的,2003年10月5日,定西临洮县太石镇邮政储蓄所的营业电脑突然死机 工作人员以为是一般的故障,对电脑进行了简单的修复和重装处理 17日,工作人员发现打印出的报表储蓄余额与实际不符,对账发现,13日发生了11笔交易,83.5万异地帐户是虚存(有交易记录但无实际现金) 紧急与开户行联系,发现存款已从兰州、西安等地被取走大半 储蓄所向县公安局报案 公安局向定西公安处汇报 公安处成立专案组,同时向省公安厅上报 ,13,当然,最终结果不错 ,经过缜密的调查取证,我英勇机智的公安干警终于一举抓获这起案件的罪魁祸首 会宁邮政局一个普通的系统维护人员张某,14,事情的经过原来是这样的 , 会宁的张某用假身份证在兰州开了8个活期帐户,15,到底哪里出了纰漏 ,张某29岁,毕业于邮电学院,资质平平,谈不上精通计算机和网络技术,邮政储蓄网络的防范可谓严密: 与Internet物理隔离的专网;配备了防火墙;从前台分机到主机经过数重密码认证,16,可还是出事了,郁闷呀 问题究竟出在哪里? 思考中 哦,原来如此 ,17,看来,问题真的不少呀 ,张某私搭电缆,没人过问和阻止,使其轻易进入邮政储蓄专网 临洮县太石镇的邮政储蓄网点使用原始密码,没有定期更改,而且被员工周知,致使张某轻松突破数道密码关,直接进入了操作系统 问题出现时,工作人员以为是网络系统故障,没有足够重视 ,18,总结教训 ,最直接的教训:漠视口令安全带来恶果! 归根到底,是管理上存在漏洞,人员安全意识淡薄,安全意识的提高刻不容缓!,19,一起证券行业计算机犯罪案例,凭借自己的耐心和别人的粗心,股市“菜鸟”严某非法侵入“股神通”10个单位和个人的股票账户,用别人的钱磨练自己的炒股技艺 青年报,2003年12月,时间:2003年6月 地点:上海 人物:26岁的待业青年严某,20,事情是这样的 ,2003年3月,严父在家中安装开通“股神通”业务,进行即时股票交易。 2003年6月的一天,严某偶得其父一张股票交易单,上有9位数字的账号,遂动了“瞎猫碰死老鼠”的念头:该证券公司客户账号前6位数字是相同的,只需猜后3位;而6位密码,严某锁定为“123456”。 严某”埋头苦干“,第一天连续输入了3000个数字组合,一无所获。 第二天继续,很快”奇迹“出现,严某顺利进入一个股票账户。利用相同的方法,严某又先后侵入了10余个股票账户。 严某利用别人的账户,十几天里共买进卖出1000多万元股票,损失超过14万元,直到6月10日案发。 严某被以破坏计算机信息系统罪依法逮捕。,21,问题出在哪里 ,严某不算聪明,但他深知炒股的多是中老年人,密码设置肯定不会复杂。首先,作为股民,安全意识薄弱,证券公司,在进行账户管理时也存在不足:初始密码设置太简单,没提醒客户及时修改等,作为设备提供商,“股神通”软件设计里的安全机制太简单脆弱,易被人利用,22,总结教训 ,又是口令安全的问题! 又是人的安全意识问题!,再次强调安全意识的重要性!,23,一个与物理安全相关的典型案例,时间:2002年某天夜里 地点:A公司的数据中心大楼 人物:一个普通的系统管理员,一个普通的系统管理员,利用看似简单的方法,就进入了需要门卡认证的数据中心 来自国外某论坛的激烈讨论,2002年,24,情况是这样的 ,A公司的数据中心是重地,设立了严格的门禁制度,要求必须插入门卡才能进入。不过,出来时很简单,数据中心一旁的动作探测器会检测到有人朝出口走去,门会自动打开 数据中心有个系统管理员张三君,这天晚上加班到很晚,中间离开数据中心出去夜宵,可返回时发现自己被锁在了外面,门卡落在里面了,四周别无他人,一片静寂 张三急需今夜加班,可他又不想打扰他人,怎么办?,25,一点线索: 昨天曾在接待区庆祝过某人生日,现场还未清理干净,遗留下很多杂物,哦,还有气球,26,聪明的张三想出了妙计 , 张三找到一个气球,放掉气, 张三面朝大门入口趴下来,把气球塞进门里,只留下气球的嘴在门的这边, 张三在门外吹气球,气球在门内膨胀,然后,他释放了气球, 由于气球在门内弹跳,触发动作探测器,门终于开了,27,问题出在哪里 ,如果门和地板齐平且没有缝隙,就不会出这样的事,如果动作探测器的灵敏度调整到不对快速放气的气球作出反应,也不会出此事,当然,如果根本就不使用动作探测器来从里面开门,这种事情同样不会发生,28,总结教训 ,虽然是偶然事件,也没有直接危害,但是潜在风险 既是物理安全的问题,更是管理问题 切记!有时候自以为是的安全,恰恰是最不安全!,物理安全非常关键!,29,类似的事件不胜枚举,苏州某中学计算机教师罗某,只因嫌准备考试太麻烦,产生反感情绪,竟向江苏省教育厅会考办的考试服务器发动攻击,他以黑客身份两次闯入该考试服务器,共删除全省中小学信息技术等级考试文件达100多个,直接经济损失达20多万元,后被警方抓获。 某高校招生办一台服务器,因设置网络共享不加密码,导致共享目录中保存的有关高考招生的重要信息泄漏,造成了恶劣的社会影响。 屡屡出现的关于银行ATM取款机的问题。 ,30,你碰到过类似的事吗?,31,IDC曾经发生的安全事件,(请添加自己的内容),32,CERT关于安全事件的统计, 摘自CERT/CC的统计报告 2003年12月,33,过去6个月的统计。Source: Riptech Internet Security Threat Report. January 2002,不同行业遭受攻击的平均次数,34,CSI/FBI对安全事件损失的统计, 摘自CSI/FBI的统计报告 2003年12月,35,威胁和弱点,问题的根源,第2部分,36,我们时刻都面临来自外部的威胁,37,人是最关键的因素,判断威胁来源,综合了人为因素和系统自身逻辑与物理上诸多因素在一起,归根结底,还是人起着决定性的作用 正是因为人在有意(攻击破坏)或无意(误操作、误配置)间的活动,才给信息系统安全带来了隐患和威胁,提高人员安全意识和素质势在必行!,38,黑客攻击,是我们听说最多的威胁!,39,40,世界头号黑客 Kevin Mitnick,出生于1964年 15岁入侵北美空军防务指挥系统,窃取核弹机密 入侵太平洋电话公司的通信网络 入侵联邦调查局电脑网络,戏弄调查人员 16岁被捕,但旋即获释 入侵摩托罗拉、Novell、Sun、Nokia等大公司 与联邦调查局玩猫捉老鼠的游戏 1995年被抓获,被判5年监禁 获释后禁止接触电子物品,禁止从事计算机行业,41,黑客不请自来,乘虚而入,42,踩点:千方百计搜集信息,明确攻击目标 扫描:通过网络,用工具来找到目标系统的漏洞 DoS攻击:拒绝服务,是一种破坏性攻击,目的是使资源不可用 DDoS攻击:是DoS的延伸,更大规模,多点对一点实施攻击 渗透攻击:利用攻击软件,远程得到目标系统的访问权或控制权 远程控制:利用安装的后门来实施隐蔽而方便的控制 网络蠕虫:一种自动扩散的恶意代码,就像一个不受控的黑客,了解一些黑客攻击手段很有必要,43,DoS攻击示例 Smurf,攻击者,受害者,44,DDoS攻击模型,Internet,Intruder,Master,Master,Daemon,Daemon,Daemon,Daemon,Daemon,Daemon,Victim,45,蠕虫攻击示例 CodeRed,46,威胁更多是来自公司内部,黑客虽然可怕,可更多时候,内部人员威胁却更易被忽略,但却更容易造成危害 据权威部门统计,内部人员犯罪(或与内部人员有关的犯罪)占到了计算机犯罪总量的70%以上,员工误操作,蓄意破坏,公司资源私用,47,一个巴掌拍不响!,外因是条件 内因才是根本!,48,我们自身的弱点不容小视, 技术弱点, 操作弱点, 管理弱点,系统、 程序、设备中存在的漏洞或缺陷,配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份过程的不当等,策略、程序、规章制度、人员意识、组织结构等方面的不足,49,人最常犯的一些错误,将口令写在便签上,贴在电脑监视器旁 开着电脑离开,就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件,好奇打开邮件附件 使用容易猜测的口令,或者根本不设口令 丢失笔记本电脑 不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息 随便拨号上网,或者随意将无关设备连入公司网络 事不关己,高高挂起,不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁,忽视企业内部人员的问题,50,想想你是否也犯过这些错误?,51,嘿嘿,这顿美餐唾手可得,呜呜,可怜我手无缚鸡之力,威胁就像这只贪婪的猫,如果盘中美食暴露在外,遭受损失也就难免了,52,信息资产对我们很重要,是要保护的对象 外在的威胁就像苍蝇一样,挥之不去,无孔不入 资产本身又有各种弱点,给威胁带来可乘之机 于是,我们面临各种风险,一旦发生就成为安全事件,时刻都应保持清醒的认识,53,我们需要去做的就是 ,熟悉潜在的安全问题 知道怎样防止其发生 知道发生后如何应对,54,还记得消防战略吗?,55,理解和铺垫,基本概念,第3部分,56,消息、信号、数据、情报和知识 信息本身是无形的,借助于信息媒体以多种形式存在或传播: 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产: 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服务 具有价值的信息资产面临诸多威胁,需要妥善保护,Information,什么是信息?,57,什么是信息安全?,采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。,58,CIA,谨记信息安全基本目标,59,企业管理者关注的是最终目标,60,信息安全关键因素及其相互关系,61,实现信息安全可以采取一些技术手段,物理安全技术:环境安全、设备安全、媒体安全 系统安全技术:操作系统及数据库系统的安全性 网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估 应用安全技术:Email安全、Web访问安全、内容过滤、应用系统安全 数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA特性 认证授权技术:口令认证、SSO认证(例如Kerberos)、证书认证等 访问控制技术:防火墙、访问控制列表等 审计跟踪技术:入侵检测、日志审计、辨析取证 防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系 灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份,62,63,但关键还要看整体的信息安全管理,技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂 信息安全管理构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的 理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标尤其重要,三分技术,七分管理!,64,务必重视信息安全管理 加强信息安全建设工作,65,PDCA信息安全管理模型,根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。,实施所选的安全控制措施。,针对检查结果采取应对措施,改进安全状况。,依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查。,66,可以参考的标准规范和最佳惯例,ISO27001,67,安全性与方便性的平衡问题,在方便性(convenience,即易用性)和安全性(security)之间是一种相反的关系 提高了安全性,相应地就降低了方便性 而要提高安全性,又势必增大成本 管理者应在二者之间达成一种可接受的平衡,68,计算机安全领域一句格言: “真正安全的计算机是拔下网线,断掉电源,放在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。” 这样的计算机是没法用了。,绝对的安全是不存在的!,69,正确认识信息安全,安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程,70,整体管理思路,信息安全管理体系,第4部分,71,英国标准协会(British Standards Institute,BSI)制定的信息安全标准。 由信息安全方面的最佳惯例组成的一套全面的控制集。 信息安全管理方面最受推崇的国际标准。,ISO27001是关于信息安全管理的标准,72,ISO27001 标准包含两个部分,ISO17799:2005:信息安全管理实施细则(Code of Practice for Information Security Management),相当于一个工具包,体现了三分技术七分管理 ISO27001:是建立信息安全管理系统(ISMS)的一套规范(Specification for Information Security Management Systems),详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估标准,73,什么是信息安全管理体系?,以往我们对信息安全的认识只停留在技术和产品上,是只见树木不见森林,只治标不治本 其实,信息安全成败,三分靠技术,七分靠管理,技术一般但管理良好的系统远比技术高超但管理混乱的系统安全 但以往我们的管理,只是粗浅的、静态的、不成体系的管理 信息安全必须从整体去考虑,必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样的全程管理的路子,而整个的过程,必须有一套完整的文件体系来控制和指引 这就是信息安全管理体系,应该成为组织整体管理体系的一部分,74,IDC建立信息安全管理体系的目的,检验IDC信息安全管理现状,全面评估安全风险,找到问题所在,采取措施解决问题,从而建立完善的信息安全管理体系 在此过程中,通过IDC全员的参与,全面提升IDC信息安全管理水平和意识技能,将信息安全理念融入到IDC企业文化当中 接受认证机构的审核,获得具有国际权威性的ISO27001认证证书 通过内功修炼和外在证明,提升IDC作为软件开发和服务企业的市场竞争力,赢取客户的认可和信任,75,信息安全方针IDC的“宪法”,IDC设立信息安全管理委员会来领导信息安全各项工作。,信息安全组织建设规定,必须确保IDC所属的各项信息资产包括客户数据都能得到妥善保护,确保信息的保密性,维持信息的完整性和可用性,防止信息非授权访问。,IDC所有员工都必须接受信息安全培训和教育,增强信息安全意识。,应该遵守各项法律法规要求,同时利用法律法规来保护公司的利益。,IDC采取一套有效的安全事件管理机制,明确所有员工的安全责任,建立对已发生或可疑的信息安全事件的报告及响应流程,并对违反安全策略的人员进行惩罚。,加强工作环境的安全管理,严格执行人员进出和对重要区域的管理制度。,在软件系统对开放方提出安全要求,防范病毒与各种恶意软件的入侵。,信息资产分类管理程序 信息交换管理程序,信息安全培训管理程序 人力资源管理程序,法律法规符合性管理规定,安全事件管理程序,工作环境安全管理规定,系统开发与维护管理程序,病毒防范策略,识别来自第三方的风险,确保第三方访问或责任外包时的安全性。,第三方安全管理策略,76,控制对内外部网络服务的访问,保护网络化服务的安全性与可靠性,防止重要信息泄漏。,对用户权限和口令进行严格管理,防止对信息系统的非授权访问。,对重要信息进行备份保护,确保信息的可用性。,实施业务连续性计划,保证公司主要业务流程不受重大故障和灾难的影响。,IDC建立有效的审核机制,加强对信息安全各项工作的监督与审核。,为了支持本方针,需要制定相应的程序文件及各项规定。,IDC高管负责批准并发布本方针。,各部门经理直接负责方针的执行,确保各部门员工都能遵守本方针。,信息安全方针必须强制执行。,访问控制方针 网络使用安全管理规定,用户管理规定,信息备份策略,业务持续性管理程序,信息安全审核管理程序,信息安全方针(续),MISC负责Review本方针(一年一次),并为方针执行提供必要的支持。,ISCC负责制定与本方针相关的支持性策略及文件。,77,IDC的信息安全组织架构,
展开阅读全文