银行信息安全意识培训课件

信息科技部2015年12月信息安全意识培训（下）建立对信息安全的敏感意识和正确认识掌握信息安全的基本概念、原则和惯例清楚可能面临的威胁和风险遵守各项安全策略和制度在日常工作中养成良好的安全习惯最终提升整体的信息安全水平2我们的目标1、国内多家银行网银用户遭到大规模钓鱼攻击，损失巨大；2、RSA遭黑客攻击，主流身份认证产品SecureID的重要信息泄漏，导致美国多家军工企业信息系统受到严重威胁；3、LulzSec成功袭击了中央情报局，美国参议院，任天堂，索尼等多家机构，引起国际社会广泛关注；4、花旗银行网站遭遇黑客20万信用卡用户信息被盗；5、由于南海领土纠纷引起中越黑客相互攻击对方重要网站；6、韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数据丢失；7、美联合航空电脑故障，全国服务大乱；8、腾讯网大面积访问异常；9、新浪微博病毒大范围传播；10、Comodo等多家证书机构遭到攻击，攻击者得以伪造google等多家知名网站证书，使互联网安全遭遇严重威胁；4WindowsXP/7…如果我是黑客……1、绝大多数笔记本电脑都内置麦克风且处于开启状态；2、开启录音功能；3、录制所需内容并将其放置于某Web页面之上：4.开启所有笔记本的摄像头，并把录像放置于某Web页面之上：5信息资产拒绝服务流氓软件黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统漏洞硬件故障网络通信故障供电中断失火雷雨地震威胁无处不在6外部威胁7踩点扫描破坏攻击渗透攻击获得访问权获得控制权清除痕迹安装后门远程控制转移目标窃密破坏黑客攻击基本手法8病从口入天时地利人和员工误操作蓄意破坏职责权限混淆内部威胁9技术弱点操作弱点管理弱点系统、程序、设备中存在的漏洞或缺陷配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份过程的不当等策略、程序、规章制度、人员意识、组织结构等方面的不足自身弱点10将口令写在便签上，贴在电脑监视器旁开着电脑离开，就像离开家却忘记关灯那样轻易相信来自陌生人的邮件，好奇打开邮件附件使用容易猜测的口令，或者根本不设口令丢失笔记本电脑不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息随便拨号上网，或者随意将无关设备连入公司网络事不关己，高高挂起，不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁，忽视企业内部人员的问题会后不擦黑板，会议资料随意放置在会场最常犯的一些错误11信息资产对我们很重要，是要保护的对象威胁就像苍蝇一样，挥之不去，无所不在资产自身又有各种弱点，给威胁带来可乘之机面临各种风险，一旦发生就成为安全事件、事故保持清醒认识12严防威胁消减弱点应急响应保护资产熟悉潜在的安全问题知道怎样防止其发生明确发生后如何应对我们应该……13理解和铺垫基本概念14消息、信号、数据、情报和知识信息本身是无形的，借助于信息媒体以多种形式存在或传播：•存储在计算机、磁带、纸张等介质中•记忆在人的大脑里•通过网络、打印机、传真机等方式进行传播信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产：•计算机和网络中的数据•硬件、软件、文档资料•关键人员•组织提供的服务具有价值的信息资产面临诸多威胁，需要妥善保护什么是信息15采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。什么是信息安全16CIAOnfidentiality（机密性）Ntegrity（完整性）Vailability（可用性）CIA信息安全基本目标17ConfidentialityIntegrityAvailabilityInformation管理者的最终目标18因果关系19物理安全：环境安全、设备安全、媒体安全系统安全：操作系统及数据库系统的安全性网络安全：网络隔离、访问控制、VPN、入侵检测、扫描评估应用安全：Email安全、Web访问安全、内容过滤、应用系统安全数据加密：硬件和软件加密，实现身份认证和数据信息的CIA特性认证授权：口令认证、SSO认证（例如Kerberos）、证书认证等访问控制：防火墙、访问控制列表等审计跟踪：入侵检测、日志审计、辨析取证防杀病毒：单机防病毒技术逐渐发展成整体防病毒体系灾备恢复：业务连续性，前提就是对数据的备份技术手段20在可用性（Usability）和安全性（Security）之间是一种相反的关系提高了安全性，相应地就降低了易用性而要提高安全性，又势必增大成本管理者应在二者之间达成一种可接受的平衡安全vs.可用——平衡之道21计算机安全领域一句格言：“真正安全的计算机是拔下网线，断掉电源，放在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”绝对的安全是不存在的！22技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂信息安全管理构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标尤其重要唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实三分技术，七分管理！关键点：信息安全管理23安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程如何正确认识信息安全24重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规重要信息的保密25Public公开InternalUse内部公开Confidencial秘密Secret机密、绝密信息保密级别划分对于敏感类的电子信息，要建立严格的逻辑访问控制措施，例如数字证书、动态口令、一次性口令卡等强认证措施来保证电子数据的安全使用；同时也须建立留痕机制，以确定敏感信息使用情况的可审计性。限制敏感类信息在网上，特别是在外网上进行传输。对敏感类的文件、资料、音像制品等，要存放在文件柜内，并加锁保护；不得随意搁置在桌面或夹带在日常的文件中，不得私自翻印、复制、摘录与外传。符合保密办要求的机密类文件，按保密办的有关要求处理。用于登录和访问计算机系统的终端设备，要专机专用，不可以访问外部网络，并及时更新的杀毒软件，做好病毒防范工作。27根据需要，在合同或个人协议中明确安全方面的承诺和要求；明确与客户进行数据交接的人员责任，控制客户数据使用及分发；明确非业务部门在授权使用客户数据时的保护责任；基于业务需要，主管决定是否对重要数据进行加密保护；禁止将客户数据或客户标识用于非项目相关的场合如培训材料；客户现场的工作人员，严格遵守客户Policy，妥善保护客户数据；打印件应设置标识，及时取回，并妥善保存或处理。数据保护安全（举例）数据恢复技术：数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以还原的过程。U盘或计算机硬盘存储的数据即使已被删除或进行格式化处理，使用专用软件仍能将其恢复，这种方法也因此成为窃密的手段之一。例如，窃密者使用从互联网下载的恢复软件对目标计算机的已被格式化的U盘进行格式化恢复操作后，即可成功的恢复原有文件。安全事件香港某明星曾托助手将其手提电脑，送到一间计算机公司维修，其后有人把计算机中已经删除的照片恢复后制作成光盘，发放予朋友及其它人士观赏。29重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备的使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规信息交换与备份30信息交换原则：明确要交换信息的敏感级别，除了显著标注外，根据其敏感级别采取合适的保护措施信息发送者和接收者有责任遵守信息交换要求物理介质传输：与快递公司签署不扩散协议，识别丢失风险，采取必要的控制措施电子邮件和互联网信息交换明确不可涉及敏感数据，如客户信息、订单合同等信息如必须交换此类信息，需申请主管批准并采取加密传输措施或其它保护机制文件共享：包括Confidential（机密性）在内的高级别的信息不能被发布于公共区域所有共享文件应按照规则放置在相应的文件服务器目录中，任何人不得在其个人电脑中开设共享。共享文件夹应该设置恰当的访问控制，禁止向所有用户赋予完全访问权限临时共享的文件事后应予以删除信息交换安全（举例）31通过传真发送机密信息时，应提前通知接收者并确保号码正确不允许在公共区域用移动电话谈论机密信息不允许在公共区域与人谈论机密信息不允许通过电子邮件或IM工具交换账号和口令信息不允许借助公司资源做非工作相关的信息交换不允许通过IM工具传输文件信息交换安全（举例：续）32重要信息系统应支持全备份、差量备份和增量备份IT部门提供备份所需的技术支持和必要的培训属主应该确保备份成功并定期检查日志，根据需要，实施测试以验证备份效率和效力信息备份安全（举例）33重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规软件应用安全34安全培训安全计划启动并统一注册安全设计最佳做法安全体系结构和攻击面审核使用安全开发工具以及安全开发和测试最佳做法创建产品安全文档和工具准备安全响应计划安全推动活动渗透测试最终安全审核安全维护和响应执行功能列表质量指导原则体系结构文档日程表设计规范测试和验证编写新代码故障修复代码签发+CheckpointPress签发RTM产品支持服务包/QFE安全更新需求设计实施验证发行支持和维护威胁建模功能规范传统软件开发生命周期的任务和流程软件应用安全（方法论）35软件应用安全（举例）开发相关软件，业务和技术部门做需求评估，IT相关软件由IT部门负责评估结果提交专家委员会审核，确定是否采购、外包或自行开发IT资产管理部门负责对新软件登记注册并标注软件安装之前应确保其处于安全状态（如：无流氓插件、病毒、License合法等）软件License管理应由专人负责软件若需更新，应提出申请，经评估确认后才能实施，并进行记录软件使用到期，应卸载软件36重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规计算机网络访问我行应保障应用系统、操作系统、网络系统访问控制的安全，并满足以下基本原则：（一）必需知道和最小授权原则。在业务需求或工作需要的范围内，授予用户最小的访问权限。（二）职责分离原则。应分离工作职责，以降低未授权访问、无意识修改或滥用信息系统和数据的可能性。（三）默认拒绝原则。当用户没有明确标明权限配置，则默认用户不能访问未经授权的信息系统和数据。（四）可审计原则。通过安全管理平台访问流程中保留相关记录，可审计跟踪其工作过程和结果。38访问控制基本原则：未经明确允许即为禁止访问必须通过唯一注册的用户ID来控制用户对网络的访问系统管理员必须确保用户访问基于最小特权原则授权用户必须根据要求使用口令并保守秘密系统管理员必须对用户访问权限进行检查，防止滥用系统管理员必须确保网络服务可用系统管理员必须根据安全制度要求定义访问控制规则，用户必须遵守规则各部门应按照管理规定制定并实施对业务应用系统、开发和测试系统的访问规则计算机网络访问安全（举例）39重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三