信息安全意识

信息安全意识目录21国内外信息安全形势2信息安全的基本概念3信息安全意识的重要性4信息安全意识建设的经验交流5党政机关、学校工作如何提高信息安全意识2培训知识要点信息安全基本概念什么是信息安全什么是安全意识信息安全意识的重要性信息安全意识建设与提高33培训内容41国内外信息安全形势2信息安全的基本概念3信息安全意识的重要性4信息安全意识建设的经验交流5党政机关、学校工作如何提高信息安全意识4攻击威胁虚拟化云计算大数据WEB3.0BYOD物联网RFID智慧城市工业控制系统国际形势IPv6移动互联模式变革技术发展零日攻击网络钓鱼恶意程序APT社会工程学隐私泄露拒绝服务攻击网络空间战网络武器网络部队网络威慑网络战士网络联合军演网络间谍当今最热的话题5信息化建设分散，少量集中，巨量化固定，单一移动，多元化集中，实体隔离，封闭互联，开放化网络数据终端资源分布，虚拟化用户行为难识别业务风险复杂化桌面应用不可控信息泄露途径多新技术新模式新安全6大数据成为网络攻击的显著目标大数据挑战现有的存储和安防措施大数据加大隐私泄露风险大数据为黑客攻击提供便利大数据大风险7攻击爱好者网络罪犯骇客军团表达政治诉求彰显个人能力追求曝光率窃取个人隐私窃取商业情报获取经济利益获取高价值信息展开信息战网络入侵网页篡改拒绝服务攻击病毒、蠕虫木马、后门渗透攻击APT管理漏洞人性弱点社交工程恶意程序数据分析隐蔽泄露技术漏洞政府类网站高知名度网站个人终端论坛、社交网站商业机构网络技术漏洞管理漏洞政府、军事机构重要信息系统高新技术单位攻击速度快破坏能力强目标定位准方法途径多攻击进化风险加剧8网络空间进入以网络扩军热为代表的“后黑客时代”美军秘密制定新版网络战作战条令北约推出网络战规则指导手册欧盟出台最新网络安全战略美、俄、以、伊、韩、日、印，甚至台湾地区都纷纷建立和扩充网军美国空军将6大网络工具定性为武器信息基础设施、核心技术受制于人政府金融能源国防科技通讯制造外围环境恶化威胁日趋严重9没有网络安全就没有国家安全，没有信息化就没有现代化。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。国家层面应对信息安全10目录111国内外信息安全形势2信息安全的基本概念3信息安全意识的重要性4信息安全意识建设的经验交流5党政机关、学校工作如何提高信息安全意识1112什么是信息？象其他重要业务资产一样，信息也是对组织业务至关重要的一种资产，因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中（也可参考关于信息系统和网络的安全的OECD指南）。信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在，用哪种方法存储或共享，都应对它进行适当地保护。信息是对事物的存在方式、运动状态以及事物间相互联系特性的表述13什么是安全？安全就是没有危险；不受威胁；不出事故。---《现代汉语小词典》商务印书馆安全是在人类生产过程中，将系统的运行状态对人类的生命、财产、环境可能产生的损害控制在人类能接受水平以下的状态。---百度百科安全就是没有危险；不受威胁；不出事故14什么是信息安全？保证信息的保密性（Confidentiality），完整性（Integrity），可用性（Availability）；另外也可包括诸如：真实性（authenticity），可核查性（accountability），不可否认性（non-repudiation）和可靠性（reliability）等特性。---ISO/IEC27002:2005信息安全（CIA）C:保密I:完整A:可用15什么是信息安全？保密性保密性（Confidentiality）信息不能被未授权的个人，实体或者过程利用或知悉的特性。信息安全：保密性16什么是信息安全？完整性完整性（Integrity）：保护资产的准确和完整的特性。信息安全：完整性17什么是信息安全？可用性可用性（availability）：根据授权实体的要求可访问和利用的特性信息安全：可用性18什么是信息安全？真实性真实性（authenticity）：确保主体或资源的身份是所声称的身份特性。信息安全：真实性19什么是信息安全？可核查性可核查性（accountability）：确保可将一个实体的行动唯一的追踪到此时体的特性。信息安全：可核查性20什么是信息安全？不可否认性不可否认性（non-repudiation）：证实某个活动或事件已经发生，使得事后无法否认的特性。信息安全：不可否认性21什么是信息安全？可靠性可靠性（reliability）：与预期行为和结果相一致的特性。信息安全：可靠性22什么是安全意识安全意识（Securityawareness），就是能够认知可能存在的安全问题，明白安全事故对组织的危害，恪守正确的行为方式，并且清楚在安全事故发生时所应采取的措施。什么是安全意识目录231国内外信息安全形势2信息安全的基本概念3信息安全意识的重要性4信息安全意识建设的经验交流5党政机关、学校工作如何提高信息安全意识23信息作为一种资产，是企业或组织进行正常业务运作和管理不可或缺的资源，也是企业财产和个人隐私等的重要载体。与此同时，信息安全的重要性也越加凸显：从最高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到正常运作和持续发展；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家，保持关键的信息资产的安全性都是非常重要的。信息安全工作与管理层、技术人员与及普通员工都有紧密的关系，上至领导、下到基层员工，安全意识的薄弱正在成为企业面临的最大风险，忽视信息安全意识教育，可能遭受灾难性的打击。24信息安全意识的重要性2425留学生账号信息安全被盗家长被骗22万案例记者从广东兴宁市警方获悉，兴宁刘女士近日与在澳大利亚留学的女儿QQ聊天时，误信盗用其女儿QQ信息安全的嫌疑人编造的“教授家属住院急需用钱，要兑换澳元”理由，被骗走22万元。留学生账号信息安全被盗家长被骗22万案例26案例分析……针对留学生人群的诈骗案例一直比较活跃，一来使用网络进行联系是二者之间的主要沟通方式；二来双方远隔重洋，信息核实有时间差，骗子更容易得手。在这类案件中，骗子团伙首先会在盗取的QQ号中锁定留学生人群，然后加留学生为好友，诱骗留学生视频通话，并将对方的视频录下来。随后，骗子登录留学生的QQ号，假冒身份与其亲属聊天，播放提前录好的当事人视频影音文件，同时以话筒、声卡坏了或是网络信号差为由，要求边打字边视频。由于骗子编撰了各种“急需钱”的借口，而亲属们又比较关心远在他乡的留学生，很容易失去警惕性。案例分析27国内金融计算机犯罪的典型案例一名普通的系统维护人员，轻松破解数道密码，进入邮政储蓄网络，盗走83.5万元。这起利用网络进行金融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破获…（人民日报，2003年12月）时间：2003年11月地点：甘肃省定西地区临洮县太石镇邮政储蓄所人物：一个普通的系统管理员国内金融计算机犯罪的典型案例28怪事是这样发生的2003年10月5日，定西临洮县太石镇邮政储蓄所的营业电脑突然死机，工作人员以为是一般的故障，对电脑进行了简单的修复和重装处理17日，工作人员发现打印出的报表储蓄余额与实际不符，对账发现，13日发生了11笔交易，83.5万异地帐户是虚存（有交易记录但无实际现金）紧急与开户行联系，发现存款已从兰州、西安等地被取走大半储蓄所向县公安局报案公安局向定西公安处汇报公安处成立专案组，同时向省公安厅上报……国内金融计算机犯罪的典型案例29当然结果不错经过缜密的调查取证，我英勇机智的公安干警终于一举抓获这起案件的罪魁祸首——会宁邮政局一个普通的系统维护人员张某国内金融计算机犯罪的典型案例30事情的经过原来是这样的……30③登录到永登邮政局永登临洮④破解口令，登录到临洮一个邮政储蓄所①会宁的张某用假身份证在兰州开了8个活期帐户②张某借工作之便，利用笔记本电脑连接电缆到邮政储蓄专网会宁⑤向这些帐户虚存83.5万，退出系统前删掉了打印操作系统⑥最后，张某在兰州和西安等地提取现金31到底哪里出了纰漏……31张某29岁，毕业于邮电学院，资质平平，谈不上精通计算机和网络技术邮政储蓄网络的防范可谓严密：与Internet物理隔离的专网；配备了防火墙；从前台分机到主机经过数重密码认证到底哪里出了纰漏32看来，问题真的不少呀……32张某私搭电缆，没人过问和阻止，使其轻易进入邮政储蓄专网临洮县太石镇的邮政储蓄网点使用原始密码，没有定期更改，而且被员工周知，致使张某轻松突破数道密码关，直接进入了操作系统问题出现时，工作人员以为是网络系统故障，没有足够重视……看来，问题真的不少呀……33总结教训……33最直接的教训：漠视口令安全带来恶果！归根到底，是管理上存在漏洞，人员安全意识淡薄安全意识的提高刻不容缓！总结教训……34学校信息数据泄漏事件案例34近日有读者向羊城晚报爆料，称某某职业技术学校学生信息遭到泄露，许多家长接到诈骗电话。8日，记者登录某某技校官方网站发现，除了官网外，该校还开发了独立运行的教学管理系统，在其网址后加上文档的英文字母“files/”，页面便成功跳转至目录列表。在里边，有3551份电子文件，均以“字母”加“数字”的方式进行命名。记者不需要输入账号跟密码，便可任意下载。这些电子文件涉及学校教学的方方面面，包括老师公开课教案、学生申请搭餐人数统计表、实习老师值班安排表等等。上述资料似乎无关痛痒，但记者很快发现，泄露文档中有多份学生实习名单、助学金申请表、技能大赛报名表，包含了学生的真实姓名、身份证编号、照片、联系方式等个人信息。记者甚至找到了三份“(2013年)11月19日走读生吸食违禁品事件记录”，这是三名未成年学生在厕所吸“K粉”的口述报告。令人瞠目结舌的是，记者下载编号为“cjq250675”的Excle文件表后，发现这是某某职业技术学院全校学生的花名册，学生身份证、姓名、家庭详细住址、监护人姓名及手机号码等内容历历在目，涉及该校从2010年秋季入学至今的2640名学生完整信息。打开网上文档便知学生秘密案例3535记者根据花名册的信息，按照“城市户口”、“农村户口”“非某某地区”等类别，分别拨打给5位家长，有两位家长反映接到过关于小孩的诈骗电话。在外地工作的家长梁女士告诉记者，不久前有位女骗子来电自称是某某技校的老师，说她儿子出现了严重车祸，被送往医院抢救，学校垫付医疗费后还不够，让她马上汇钱到指定账号去。“那骗子知道我们很多信息，我不得不就信了。”梁女士回忆说，她当时心头一惊，赶紧打儿子手机，却怎么也打不通，心急如焚。后来辗转联系上了，才发现不过是一场骗局，“幸亏没有让骗子得逞”。一位不愿意透露姓名的家长告诉记者，许多家长都接到诈骗电话，有的还不止接到一两个，“学生个人隐私被泄露至少有一年时间了，学校并没有公开对全体家长进行答复处理。”骗子窃取信息家长差点被骗学校信息数据泄漏事件案例3636在网址上添加文档的英文名“files”，便能直接访问后台文件，这到底是巧合还是普遍现象?据不完全统计，某某地区至少还有两所技校开发了独立的教学管理系统网站，分别是某职业技术学院。当记者尝试用上述手法进行访问时，浏览器提示“指向错误”，并没有出现可供下载的文件。有业内人士告诉记者，之所以可以直接访问后台文件，是因为设计网页配置服务器信息时，允许用户进行“目录浏览”，没有设置权限拦截，“这是非常低级的漏洞”。昨日中午，某某技校办公室杨主任向记者坦言，今年6月份确实有家长投诉学生个人信息泄露，但她对“低级漏洞”给予了否定，“这是被黑客入侵的结果”。据杨主任介绍，某某教学管理系统是内部网络，并不对外公开。接到反映后，学校进行了调查，发