安全意识培训(监控版)

安全培训意识培训安全组2009.3前言安全培训的必要性信息安全是靠人、技术和管理共同来实现的，人员的安全意识和安全技术水平将直接影响到整个信息安全体系建设的实施和有效利用。组织内信息安全的保障工作不仅和系统管理员、网络管理员的安全知识有关，而且和组织内全体员工，特别是组织中的领导者都有很大关系。因此，定期开展针对组织内不同对象的各种层次的安全培训是十分必要的。前言培训目的：安全培训的是一个跨专业的培训，它的培训对象应该面向企业中每一名员工。•提高整个组织普遍的安全意识和人员安全防护能力，使组织员工充分了解既定的安全策略。•通过培训可以改变中心员工对信息安全的态度，使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题。议程•安全意识的重要性•网管中心安全策略简介•安全操作技巧与常识议程一•安全意识的重要性•网管中心安全策略简介•安全操作技巧与常识信息安全基础信息安全要解决的问题C.I.A.(Confidentiality、Integrity和Availability)•保密性:简单地说就是保密。间谍影片把它称作“EyesOnly”(最高机密)。实际上确实是如此。只有那些有权看这些信息的人才能接触到这些信息。因此，要在纸上写上这些内容，阻止其他人偷窥，对这些内容加密或者使用访问控制机制。•完整性:确保信息不被内部人员修改或者篡改或者被意外地修改，不管这些信息是程序还是数据。银行对这个问题特别小心。•可用性:所有的系统和信息资源必须能够按照机构的需求启动和运行。拒绝服务攻击秘而不宣。信息安全基础信息面临的风险:1、病毒：信息的完整性与可用性2、黑客：信息的保密性3、系统BUG：信息的保密性与可用性4、人：安全操作流程安全意识•人是信息安全最薄弱的环节•用户拥有接触数据的密码•黑客可以通过工具取得你的密码，破解密码非常容易•不安全的密码可使整个系统被攻破安全意识的重要性互连网安全现状•病毒泛滥•黑客攻击工具普及、技术水平要求降低•IT投资逐年加大，但收效甚微•急需立法、完善健全相关法律信息安全基础网管网安全现状1、用户数目接近1k；2、各类生产终端、网元等近2k；3、每年发生的病毒事件100+台次；4、用户密码丢失或遗忘近1K人次；5、存在域外无法控制的终端；6、许多人使用默认口令；7、少数人安全意识薄弱；……安全意识的重要性2006年十大病毒排行安全意识的重要性通讯网安全现状通讯安全问题：大家都有手机，请问胡主席、温总理敢用手机打电话吗？无线通讯系统，GSM、CDMA都是不安全的。•GSM国际标准中有3个加密算法：A3、A8、A5，但美国出口到中国的GSM系统中不含3个加密算法，其密码出口相当于军火出口，要国防部批准。手机通话等于向全世界广播——“全球通”。现在有这样的设备，很小，几百元可以买到，只要输入对方手机号，就可听到所有通话内容。所有的无线通讯都可以监听，所以千万不要通过手机做案、行贿授贿。关键是手机中没有安全模块。即使加上了也可以破译。•CDMA称安全保密好，其实使用的技术是60年代的，叫扩频技术，海军、潜艇也使用，原理：把固定的通讯频率扩展到无限大，根据码子进行扩和还原，谁有了码就可以监听，而CDMA的码子在美国卡根公司，并没有出口给中国。GPS全球定位系统用的就是CDMA技术。•卫星通讯也不安全，几个法论功分子就搞定了。安全意识的重要性•人=意识是最重要的一环意识决定行为行为决定结果•10分安全≈3分技术+7分管理安全意识的重要性•日本佐世保海军基地“朝雪”号驱逐舰信息泄露事件事件回放：该舰上负责对外联络和通信事务的电信官海曹长违反管理规定，把军舰上的机密数据拷贝到个人电脑上，当他在家中用电脑下载音乐时，遭到木马攻击，所有个人文件被电脑黑客获取，并发布到互联网上,至此日、美海岛作战计划浮出水面。国外有关专家指出，此次泄密事件影响很大，各国的情报机关均能够从这些文件中推测出该舰的真实战斗力。据称，这是日本防卫厅有史以来最大的泄密灾难，日本首相“小犬”称之为“这是一件失信于全体国民的大事”。安全意识的重要性•事件反思：一向以纪律严明、管理规范的日本自卫队竟会发生如此重大的失泄密事件，人们在震惊之余，对其深层次原因产生了不少思考。究其根本问题，就是涉密人员的安全观念淡薄、保密意识差。因此，在信息化建设快速发展，信息系统应用日益广泛的大环境下，必须把做好人的工作，做好人员的安全意识工作，因为人是信息安全保密的第一道防线和最关键环节。安全意识的重要性•3个U盘搞掉一个企业事件回放：06年5月，有一些网络罪犯试图用恶意软件入侵某一企业，但他们发现，这个机构的物理安全架构非常健全，通过互联网链接入侵也不太可能。最终，他们想到了一个办法：买了3个64M的U盘，安装恶意软件，然后把U盘扔到这个企业办公大楼的停车场。结果，该企业有员工捡到了U盘，并好奇地把它插进了办公室里的电脑，于是这个恶意软件通过USB接口攻击了员工的电脑，进而影响了公司的整个网络。安全意识的重要性事件反思：•人的安全意识；•终端安全的重要性；•防范社会工程学攻击；安全意识案例三•31岁工程师入侵北京移动盗窃380万事件回放：31岁的程稚瀚利用他为西藏移动做技术时使用的密码（此密码自程稚瀚离开后一直没有更改），轻松进入了西藏移动的服务器。通过西藏移动的服务器，程稚瀚又跳转到了北京移动数据库，取得了数据库的最高权限，并通过读取数据库日志文件，反推破译出密码。从2005年3月至7月，程稚瀚先后4次侵入北京移动数据库，修改充值卡的时间和金额，将已充值的充值卡状态改为未充值，共修改复制出上万个充值卡密码。他还将盗出的充值卡密码通过淘宝网出售，共获利380余万元。直到2005年7月，由于一次“疏忽”，程稚瀚将一批充值卡售出时，忘了修改使用期限，使用期限仍为90天。购买到这批充值卡的用户因无法使用便投诉到北京移动，北京移动才发现有6600张充值卡被非法复制，立即报警。2005年8月24日，程稚瀚在深圳被抓获，所获赃款全部起获。安全意识的重要性事件反思一：•个人的安全意识一念之差从一个月薪万元的白领沦为一文不名的阶下囚，而且还得熬过12年，进去时31岁，出来时已是43岁，一个男人事业的黄金期就这样错过了，旁人都感到惋惜，更何况自己的父母妻子，所以人在关键时刻是否能把握住自己不是一瞬间的事，而是一个长期积累的过程，行成于思毁于随，意识决定行为，行为决定结果，如果平时不注意提升自己的意识水平，到了关键时候将很难把握住自己。安全意识的重要性•反思二：企业的安全意识这个案件之所以会发生，最重要的原因就在于西藏移动公司缺乏健全的安全管理制度，维护人员缺乏安全意识，这才给了案犯可乘之机。而案犯竟然可以从西藏的系统侵入北京的数据库，北京移动花重金安装的网络安全系统却没有发挥作用，凭的是什么呢？就凭一个密码，一个几年都没改过的密码。从这个案例我们可以看出，安全意识不但决定着个人的前途也影响着企业的命运，所以奉劝大家无论在什么事的时候都要三思而行，更不要小看你们手中的那一个小小的密码。在你的手中它可能不算什么，但到了黑客手里，却可以用它来翻天覆地。安全意识的重要性小结：技术本身实际上是信息安全体系里最不重要的部分了。不管一项技术有多先进，都只不过是辅助实现信息安全的手段而已。我们并不是认为技术不重要，但在信息安全的架构里，它一定要在好的信息安全治理的基础上，信息安全归根到底是管理和治理层面的问题。尤其是对人的管理是安全管理体系中最重要的，人的安全意识水平决定着企业的安全管理水平。议程二•安全意识的重要性•网管中心安全策略简介•安全操作技巧与常识网管中心安全理念安全理念•安全是个过程•安全是有相对的•安全策略反映着人权、文化•安全是一种服务•安全体系的建设实质是安全文化建设网管中心安全策略•帐户安全策略•终端安全策略补丁、防毒、防火墙、外设管理、系统策略•互连网访问策略•移动办公安全策略•文档策略（1G、极重要文档存放）•邮件策略•安全管理制度帐户安全策略网管帐户号能做什么？-身份1、收发邮件；2、上博客、BBS；3、查看各种企业信息；4、打电话；5、发短信/彩信6、上互连网；7、其它各种授权访问的资源帐户安全策略使用网管帐户应注意的问题1、帐户唯一性，禁止共用；2、帐户重名的处理；3、帐户禁用/锁定/有效期；4、帐户审计；5、帐户绑定手机；6、相片、生日等个性信息；密码策略帐户策略：帐户锁定策略帐户问题申告问题描述清晰：锁定？密码错误？帐户与终端无关性帐户不能用时如何发申告？AD、SD、OA帐户的关系帐户更改帐户密码的方法解除帐户锁定的方法:编辑短信js发送到02485681611便可立即解锁设定密码的技巧•不包含全部或部分的用户帐户名•长度至少为8个字符•包含来自以下四个类别中的三个的字符：•英文大写字母（从A到Z）•英文小写字母（从a到z）•10个基本数字（从0到9）•非字母字符（例如，!、$、#、%）•更改或创建密码时，会强制执行复杂性要求。终端安全策略•终端的重要性病从口入-终端是网络安全的第一道防线；终端安全影响着网络安全；终端安全策略终端托管----终端组•终端外设禁用；•取消用户管理权限；•禁止安装非标准程序；•强制锁屏；•日常维护问题：防毒、补丁•安全组审计终端安全属性；互连网访问策略•由安全组统一控制•不同角色拥有不同的访问访问；•禁止访问公网邮箱、BBS、信息发布等；•可浏览的文件格式：html/gif/jpg/;•代理由策略统一部署；•综合信息站点；•学习类站点；•互连网资源变更申请移动办公策略•拨号笔记本•双因素认证•SSLVPN网关路由/权限控制文档策略个人文档漫游；存储空间限制；1G个人文档绝对保密；邮件策略•邮箱大小限制；100M•附件大小限制；≤10M•附件格式限制：禁止exe,com,bat,asp,msi等可执行格式•附件主题、附件内容/关键字过滤；•邮件监控与审计•网管功能扩充：OUTLOOK短信（群发）/彩信功能集成网管中心安全相关制度及标准•《网管中心安全保密制度》•《网管中心远程接入安全保密规定》•《网管中心口令管理规定》•《网管中心计算机病毒防治管理制度》•《网管中心互连网使用管理制度》•《网管中心拨号笔记本电脑使用制度》•《网管中心终端安全检查标准》•……详情请参阅：议程三•安全意识的重要性•网管中心安全策略简介•安全操作技巧与常识安全操作技巧与常识主要内容：•口令安全•终端安全•防毒安全•上网安全•邮件安全•数据安全•笔记本安全•手机安全•出差安全口令安全1、不使用默认口令或空口令；2、不要把密码写在纸上或贴在计算机上；3、不要拿自己名字、生日、电话号码作密码；4、避免使用字典上有的词汇当密码；5、不要使用弱口令字典上有的密码；6、经常更改；7、用口令词替换口令字；8、防范社会工程学终端安全1、操作系统一定要NTFS格式；2、C盘不要放数据文件；3、系统防护：防毒、防漏、防盗、防黑；4、关闭服务和端口；5、关闭U盘等外存设备的自动运行功能；6、禁用不用或无用帐户；7、管理员帐户一定要强口令；8、不要设置共享文件夹（最小授权）防毒安全1、终端一定要安装防毒软件；2、让它保持及时更新；3、发生隔离失败时，请先断网，然后通知安全管理员；4、当心木马；上网安全•1、警惕网络钓鱼；•2、网络注册不要提供真实信息；•3、下载软件要到正规则站点下载；•4、下载视频时，提防.exe的文件类型；•5、在公共场所上网时，不要保存登录密码，下网后要及时清空；•6、在点击链接前，请将鼠标悬浮在链接上，查看浏览器左下角的状态栏，可以看到真正的链接。•7……网络钓鱼•一是发送电子邮件，以虚假信息引诱用户中圈套；二是建立假冒网上银行、网上证券网站，骗取用户账号密码实施盗窃；三是利用虚假的电子商务进行诈骗；四是利用木马和黑客技术等手段窃取用户信息后实施盗窃活动；五是利用用户弱口令等漏洞破解、猜测用户账号和密码。•同时，还通过手机短信、QQ、MSN进行各种各样的“网上钓鱼”不法活动，利用部分用户贪图方便，引诱用