信息安全讲座

信息安全CompanyLogo什么是信息安全1为什么需要信息安全2典型信息安全案例分析3安全基本原则4ContentsCompanyLogo信息安全范围国家政府军事机密安全商业企业机密泄露个人信息泄露CompanyLogo信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。什么是信息安全CompanyLogo信息安全的重要性信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略。但是，对于不同的部门和行业来说，其对信息安全的要求和重点却是有区别的CompanyLogo信息安全的实现目标真实性：对信息的来源进行判断，能对伪造来源的信息予以鉴别。保密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义。完整性：保证数据的一致性，防止数据被非法用户篡改。可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。不可抵赖性：建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。可控制性：对信息的传播及内容具有控制能力。可审查性：对出现的网络安全问题提供调查的依据和手段CompanyLogoContents什么是信息安全1为什么需要信息安全2典型信息安全案例分析3安全基本原则4CompanyLogo各种威胁方的分布百分比CompanyLogo各种威胁方的分布百分比独立黑客：黑客攻击越来越频繁，直接影响企业正常的业务运作！内部员工：1、信息安全意识薄弱的员工误用、滥用等；2、越权访问，如：系统管理员，应用管理员越权访问数据；3、政治言论发表、非法站点的访问等；4、内部不稳定、情绪不满的员工。如：员工离职带走企业秘密，尤其是企业内部高层流动、集体流动等！竞争对手：法制环境不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）！国外政府或机构：法制环境不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）！CompanyLogo企业面临的主要信息安全问题•人员问题：•信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失，信息泄漏等问题•特权人员越权访问，如：系统管理员，应用管理员越权访问、传播敏感数据•内部员工和即将离职员工窃取企业秘密，尤其是骨干员工流动、集体流动等•技术问题：•病毒和黑客攻击越来越多、爆发越来越频繁，直接影响企业正常的业务运作•法律方面•网络滥用：员工发表政治言论、访问非法网站•法制不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）CompanyLogo信息安全面临的威胁类型网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫CompanyLogo对信息安全问题产生过程的认识•环境威胁方资产系统漏洞管理漏洞物理漏洞威胁（破坏或滥用）利用工具通过CompanyLogo为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。---保家卫国威胁因素威胁脆弱性风险资产暴露安全措施引起利用导致可以破坏并且引起一个能够被预防，通过直接作用到CompanyLogo举个例子：包里有10块钱，下班坐公交打瞌睡，可能小偷偷了而晚上没饭吃。用风险评估的概念来描述这个案例：资产=10块钱威胁=小偷弱点=打瞌睡暴露=晚上没饭吃CompanyLogo巡游五角大楼，登录克里姆林宫，进出全球所有计算机系统，摧垮全球金融秩序和重建新的世界格局，谁也阻挡不了我们的进攻，我们才是世界的主宰。——凯文·米特尼克CompanyLogoContents什么是信息安全1为什么需要信息安全2典型信息安全案例分析3安全基本原则4CompanyLogo攻击的目的纯粹为了个人娱乐•我能想到最浪漫的事,就是入侵你的电脑•-----黑客语录为了利益•间谍，商业间谍，国防，犯罪CompanyLogo信息安全事件回放（一）全国最大的网上盗窃通讯资费案某合作方工程师，负责某电信运营商的设备安装。获得充值中心数据库最高系统权限从2005年2月开始，复制出了14000个充值密码。获利380万。2005年7月16日才接到用户投诉说购买的充值卡无法充值，这才发现密码被人盗窃并报警。无法充值的原因是他最后盗取的那批密码忘记了修改有效日期反思：目前是否有类似事件等待进一步发现对第三方的有效安全管理规范缺失CompanyLogo信息安全事件回放（二）北京ADSL断网事件2006年7月12日14:35左右，北京地区互联网大面积断网。事故原因：路由器软件设置发生故障，直接导致了这次大面积断网现象。事故分析：操作设备的过程中操作失误或软件不完善属于“天灾”，但问题出现后不及时恢复和弥补，这就涉及人为的因素了，实际上这也是可以控制的。需制定实施的业务连续性管理体系CompanyLogo信息安全事件回放（三）希腊总理手机被窃听，沃达丰总裁遭传唤早在2004年雅典奥运会之前，希腊高官们的手机便已开始被第三方窃听，2006年3月份才被发现。事故原因：沃达丰（希腊）公司的中央服务系统被安装了间谍软件制定严格的核心操作系统访问控制流程CompanyLogo信息安全事件（四）两名电信公司员工利用职务上的便利篡改客户资料，侵吞ADSL宽带用户服务费76.7万余元事故原因：内部安全管理缺失缺乏有效的内控措施和定期审计CompanyLogo其他信息安全事件（五）网络广告：移动大客户资料，低价出售！有意者联系QQ：305410928网络广告：移动金卡银卡大客户资料7万客户投诉移动内部人员泄漏客户资料某运营商员工利用工作便利散布反动政治言论关键信息的保密性机制CompanyLogo安全威胁举例--Phishing安全威胁钓鱼欺骗事件频频发生，给电子商务和网上银行蒙上阴影CompanyLogo这是一波电脑病毒蔓延的狂潮。在两个多月的时间里，数百万电脑用户被卷将进去，那只憨态可掬、颔首敬香的“熊猫”除而不尽。反病毒工程师们将它命名为“尼姆亚”。它还有一个更通俗的名字—“熊猫烧香”。安全威胁举例--熊猫烧香CompanyLogo高级攻击技术:道高一尺，魔高一丈身份认证防火墙入侵检测日志分析CompanyLogo攻击技术演示环境说明攻击方法发现弱点---》漏洞攻击---》清除痕迹---》留下后门CompanyLogo日常工作中安全威胁举例没有及时更新安全补丁没有安装杀毒软件或者没有及时升级病毒库代码打开可疑的邮件和可疑的网站用户名密码过于简单薄弱把机密数据（如财务数据）带回家办公任意将自己笔记本电脑带入公司使用随便把自己的用户名密码告诉他人…….CompanyLogo安全策略是安全防护体系的基础举个例子：我国有完善的法律法规,公民需要遵守国家相关的法律、法规来保证社会秩序的安定和平。国家=公司法律法规=安全策略人是安全防护体系中最薄弱的环节加强员工安全教育、提高网络安全意识保家卫国,人人有责CompanyLogo风险管理:识别、评估风险，并将这风险减少到一个可以接受的程度，并实行正确的机制以保持这种程度的风险的过程。安全没有百分之百No100%Security每个系统都有其脆弱性，承担一定程度的风险。安全威胁带来的损失代价安全措施本身的费用CompanyLogo风险RISKRISKRISKRISK风险基本的风险采取措施后剩余的风险资产威胁漏洞资产威胁漏洞风险管理：---就是为了把企业的风险降到可接受的程度CompanyLogo安全防护体系需要采用多层、堡垒式防护策略单一的安全保护往往效果不理想需要从多个层面解决安全问题（物理、通信、网络、系统、应用、人员、组织和管理）分层的安全防护成倍地增加了黑客攻击的成本和难度从而卓有成效地降低被攻击的危险，达到安全防护的目标。CompanyLogo备份资料。记住你的系统永远不会是无懈可击的，灾难性的数据损失会发生在你身上———只需一条虫子或一只木马就已足够。选择很难猜的密码。不要没有脑子地填上几个与你有关的数字，在任何情况下，都要及时修改默认密码。安装防毒软件，并让它每天更新升级。及时更新操作系统，时刻留意软件制造商发布的各种补丁，并及时安装应用。在IE或其它浏览器中会出现一些黑客鱼饵，对此要保持清醒，拒绝点击，同时将电子邮件客户端的自动脚本功能关闭。在发送敏感邮件时使用加密软件，也可用加密软件保护你的硬盘上的数据。CompanyLogo安装一个或几个反间谍程序，并且要经常运行检查。使用个人防火墙并正确设置它，阻止其它计算机、网络和网址与你的计算机建立连接，指定哪些程序可以自动连接到网络。关闭所有你不使用的系统服务，特别是那些可以让别人远程控制你的计算机的服务，如RemoteDesktop、RealVNC和NetBIOS等。保证无线连接的安全。在家里，可以使用无线保护接入WPA和至少20个字符的密码。正确设置你的笔记本电脑，不要加入任何网络，除非它使用WPA。要想在一个充满敌意的因特网世界里保护自己，的确是一件不容易的事。你要时刻想着，在地球另一端的某个角落里，一个或一些毫无道德的人正在刺探你的系统漏洞，并利用它们窃取你最敏感的秘密。希望你不会成为这些网络入侵者的下一个牺牲品。CompanyLogoContents什么是信息安全1为什么需要信息安全2典型信息安全案例分析3安全基本原则4CompanyLogo可用性确保授权用户在需要时可以访问信息并使用相关信息资产完整性保护信息和信息的处理方法准确而完整机密性确保只有经过授权的人才能访问信息完整性安全对象机密性可用性安全的基本原则CompanyLogo通过生活的事例来说明安全----就是保护属于自己的钱不被除自己以外的任何人拿走1．首先你的钱你不希望别人知道，因为那是你的――保密性；2.其次你不希望突然有一天发现自己的钱少了，原来有多少钱现在还是多少钱――完整性；3.你肯定希望自己随时都能随心所欲的用这笔钱――可用性；CompanyLogo中移动网络与信息安全体系建立紧迫性李跃总的讲话安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒，只讲我们自身的工作安全。从全球及我们自身看，网络安全的形式非常严峻进入网管中心或者通过网管中心进入各生产网元，一定要实行有效的多次密码认证的管理，严格管理每一次进入。对内部人员的登陆要有严格的管理规定，后台操作要留有痕迹。不能光管外人不管自己。（重在管理，其次是手段）对外来人员的进入，我们一定要限人、限时、限范围，明确进入的时间、进入的目的。谁放厂家的人进去谁就要负责检查，并做好记录，要承担起核心设备网元的管理权，出了问题要承担责任。CompanyLogo信息安全是信息服务提供商的核心保证一个不安全的网络，将不可能提供高质量的信息服务信息服务必须让客户可信任解决信息安全问题的关键建立一个完善的信息安全管理体系CompanyLogo中移动网络与信息安全的目标为中国移动的网络与信息安全管理工作建立科学的体系，确保安全控制措施落实到位，为各项业务的安全运行提供保障。目前公司网络与信息安全工作的重点集中在可用性、保密性和可审查性。可用性完整性保密性防抵赖性可审查性保证公司业务运作的连续性，即使在遭受意外的情况下也可迅速恢复关键信息资产的使用都必须经过授权，只有得到相应授权的人员才可使用网络和保密信息任何对公司业务运作的威胁和破坏行为都得到记录，