目录三、个人信息安全防护基本技能二、信息安全形势和任务一、信息安全基本常识增强信息安全意识、提高个人防护能力一、信息安全基本常识为什么会有信息安全问题?因为有病毒吗?•因为有黑客吗?•因为有漏洞吗?这些都是原因,但没有说到根源安全问题根源—内因系统越来越复杂安全问题根源—内因人是复杂的安全问题根源—外因来自对手的威胁信息战士减小国家决策空间、战略优势,制造混乱,进行目标破坏国家安全威胁情报机构搜集政治、军事,经济信息恐怖分子破坏公共秩序,制造混乱,发动政变商业间谍掠夺竞争优势,恐吓共同威胁犯罪团伙施行报复,实现经济目的,破坏制度社会型黑客攫取金钱,恐吓,挑战,获取声望局部威胁娱乐型黑客以吓人为乐,喜欢挑战安全问题根源—外因来自自然的破坏信息技术的发展电报电话通信计算机加工存储网络互联时代信息安全问题的诞生•人类开始信息的通信,信息安全的历史就开始了–公元前500年,斯巴达人用于加解密的一种军事设备。发送者把一条羊皮螺旋形地缠在一个圆柱形棒上。通信安全20世纪,40年代-70年代通过密码技术解决通信保密,内容篡改转轮密码机ENIGMA,1944年装备德国海军以二战时期真实历史为背景的,关于电报密文窃听和密码破解的故事信息系统安全20世纪,70-90年代后,计算机和网络改变了一切确保信息在网络信息系统中的存储、处理和传输过程中免受非授权的访问,防止授权用户的拒绝服务信息安全保障“组织内部环境”信息系统安全问题通信安全数据安全技术系统安全问题网络安全现在人们意识到:技术很重要,但技术不是一切;信息系统很重要,只有服务于组织业务使命才有意义什么是信息安全?不该知道的人,不让他知道!什么是信息安全?信息不能追求残缺美!什么是信息安全?信息要方便、快捷!不能像某国首都二环早高峰,也不能像春运的火车站什么是信息安全秘密保密性(Confidentiality)完整性(Integrity)可用性(Availability)信息本身的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持,即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。保密性:确保信息没有非授权的泄漏,不被非授权的个人、组织和计算机程序使用完整性:确保信息没有遭到篡改和破坏可用性:确保拥有授权的用户或程序可以及时、正常使用信息如何保障信息安全?信息是依赖与承载它的信息技术系统存在的需要在技术层面部署完善的控制措施信息系统是由人来建设使用和维护的需要通过有效的管理手段约束人今天系统安全了明天未必安全需要贯穿系统生命周期的工程过程信息安全的对抗,归根结底是人员知识、技能和素质的对抗需要建设高素质的人才队伍DMZ?E-Mail?FileTransfer?HTTPIntranet企业网络机关行政部门机关业务部门对外服务厅技术部门路由Internet中继完善的信息安全技术体系考虑过程安全隐患外部/个体外部/组织内部/个体内部/组织关闭安全维护“后门”更改缺省的系统口令操作系统补丁Modem数据文件加密安装认证&授权授权复查入侵检测实时监控病毒防护高素质的人员队伍安全意识安全基础和安全文化信息安全专业人员(信息安全相关的岗位和职责)计划组织开发采购实施交付运行维护废弃信息安全从业人员(信息系统相关的岗位和职责)所有员工注册信息安全员(CISM)信息安全保障专家注册信息安全专业人员(CISP)培训意识二、信息安全形势和任务我国信息化迅猛发展我国信息化建设起步于20世纪80年代20世纪90年代取得长足进步•现在信息技术已经广泛应用于促进–国民经济发展–政府管理和服务水平提高–企业竞争力增强–人民生活水平该改善我国正在步入信息化时代我国信息化迅猛发展的数据数据来源:工业与信息化部网站2010年1-2月,基础电信企业互联网宽带接入用户净增359.3万户,达到10681.8万户1-4月,我国生产生产手机23290万部,增长34.5%;微型计算机7112万台,增长50.1%,其中笔记本电脑增长50.6%;集成电路190亿块,增长78.5%1-4月,我国累计实现软件业务收入3626亿元,同比增长28.7%。信息技术增值服务收入同比增长38.1%。集成电路设计开发收入228亿元,同比增长63%。软件产品、系统集成和支持服务、信息技术咨询和管理服务、嵌入式系统软件、分别实现1333、728、320和638亿元,分别增长27%、25.1%、26.3%、23%。信息安全受到高度重视党中央、国务院对信息安全提出明确要求2003年9月,中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》,第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度。2004年秋,党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。非传统安全问题日益得到重视。信息安全趋势隐蔽性:信息安全的一个最大特点就是看不见摸不着。在不知不觉中就已经中了招,在不知不觉中就已经遭受了重大损失。信息安全趋势趋利性:为了炫耀能力的黑客少了,为了非法取得政治、经济利益的人越来越多新应用导致新的安全问题数据大集中——风险也更集中了;系统复杂了——安全问题解决难度加大;云计算——安全已经不再是自己可以控制的3G、物联网、三网合一——IP网络中安全问题引入到了电话、手机、广播电视中web2.0、微博、人肉搜索——网络安全与日常生活越来越贴近网络群体性事件影响政治、社会稳定云南晋宁看守所“躲猫猫”浙江杭州“飙车事件”湖北巴东县“邓玉娇事件”河南农民工“开胸验肺事件”上海“钓鱼执法事件”南京“周久耕房管局长天价烟”新闻2010年初,美国硅谷的迈克菲公司发布最新报告,约109.5万台中国计算机被病毒感染(美国105.7万),排第一位。2010年1月2日,公安部物证鉴定中心被黑,登陆该网站,有些嘲弄语言,还贴一张“我们睡,你们讲”的图片,图片是公安某单位一次会议上,台下参会人员大睡的场面。2010年1月11日,著名网络百度被黑(域名劫持),黑客团体叫“IranianCyberArmy”。服务器中断5小时。2008年1月,美国总统布什签发总统54号令,其中有《国家网络安全综合纲领》(CNCI),包含12个行动纲领。2009年6月,美国国防部长罗伯特·盖茨下令组建网络司令部,以统一协调美军网络安全,开展网络战争等与计算机相关的军事行动。新闻2010年3月24日,美国参议院商务、科学和运输委员会通过了旨在加强美国网络安全,帮助美国政府机构和企业更好地对应网络威胁的《网络安全法案》。该委员会主席洛克菲勒在法案通过后发表声明说:“现状不可忍受,我们需要21世纪的新模式,我们必须确保美国的关键网络以及在全球的市场中的创新和竞争力”。2010年2月26日,微软公司请求国家互联网应急中心(CNCERT)协助关闭Waledac僵尸网络所使用的部分中国注册的域名,CNCERT在经过技术验证后,迅速采取行动,在数小时内成功关闭16个恶意域名。Waledac僵尸网络所使用的服务器大多为于德国、荷兰、瑞典、俄罗斯和中国,控制全球约10万台计算机(其中中国约5000台),每天发出约15亿个有害邮件。今年“两会”期间,3月3日,全国政协委员严琪所办陶然居餐饮集团网站()被黑,引发热议。案例12009年6月9日,双色球2009066期开奖,全国共中出一等奖4注,但是,开奖系统却显示一等奖中奖数为9注,其中深圳地区中奖为5注。深圳市福彩中心在开奖程序结束后发现系统出现异常,经多次数据检验,工作人员判断,福彩中心销售系统疑被非法入侵,中奖彩票数据记录疑被人为篡改。•经调查发现,这是一起企图利用计算机网络信息系统技术诈骗彩票奖金的案件,并于6月12日将犯罪嫌疑人程某抓获,程某为深圳市某技术公司软件开发工程师,利用公司在深圳福彩中心实施技术合作项目的机会,通过木马攻击程序,恶意篡改彩票数据,伪造了5注一等奖欲牟取非法利益。案例22001年初,北京市国家税务局、北京市公安局联合查处了陈学军团伙虚开增值税专用发票案件。主犯陈学军与原北京市海淀区国家税务局干部吴芝刚内外勾结,从海淀区国家税务局套购增值税专用发票10900份,为数百家企业虚开增值税专用发票2800余份,虚开税款共计人民币3.93亿元。陈学军以虚开增值税专用发票罪被判处并已执行死刑;吴芝刚以虚开增值税专用发票罪、巨额财产来源不明罪两罪并罚,一审判处死刑,二审改判死刑缓期执行。吴芝刚在宣判现场案例2(续)北京市海淀区国税局增值税专用发票管理岗位的3名税务干部在案发过程中,由于思想疏忽大意,没有严格保护个人工作计算机和应用系统的密码和使用权限,为吴芝刚趁工作之便,非法获得计算机密码,进入防伪税控“认证”系统的作案行为提供了便利。这3名税务干部,因工作严重违规失职也受到严厉的法律追究,根据情节轻重,分别被处以不同程度的刑事处罚。案例3英国税务局“光盘”门2007年11月,英国税务及海关总署的一名公务员在将两张光碟寄给审计部门时,由于疏忽忘记依照规范以挂号寄出,导致光碟下落不明。光碟中有英国家庭申请十六岁以下儿童福利补助的资料,包括公民的姓名、地址、出生年月、社会保险号码和银行帐户资料,据称其中还包括了英国首相布朗一家的机密资料。英国财政大臣达林在国会下院承认数据丢失,布朗面色凝重。信息安全问题长期存在无处不在影响愈发深远明确信息安全责任的重要性在一个机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。三、个人信息安全防护基本技能日常生活中的习惯——抢行日常生活中的习惯——酒驾遵章守纪?日常工作中的习惯——口令制度执行为什么总是出现信息安全事件?外因是条件,内因是关键。外因是危险的网络环境,病毒、木马,钓鱼,欺诈等。内因是自己对信息安全的意识和重视。个人计算机信息安全防护口令防病毒软件补丁管理帐户管理移动存储设备管理共享、网络安全软件更新、配置日志、审核服务管理IT部门告诉你的需要注意事项1.公司为什么要让电脑加入域?操作系统通过帐户来识别用户,并根据帐户的权限为用户的操作授权,不同级别的帐户拥有不同的权限,加入域后,在服务器就可以记录下你的登陆信息,这样可以起到一个追朔性。避免计算机被非授权用户访问,造成公司资料外泄,给公司带来损失IT部门告诉你的需要注意事项2.哪些是你需要注意的事?回到电脑前检查下用户名是否存在异常,是否跟离开前的状态一样。禁止和他人共用一个账户禁止将自己账户密码告诉他人在确认电脑长时间不使用后,请对电脑关机。IT部门告诉你的需要注意事项1.公司电脑为什么必须输入口令向系统表明自己的身份,登录系统,获取权限阻止其他人以自己的身份登录系统阻止未授权用户登录系统良好的习惯:请各位同事在离开计算机时随手按下CTRL+ALT+DELETE三个按键,锁定计算机。设置口令时的注意事项2.公司电脑设置口令要注意什么?不能设置过于简单的弱口令公司电脑的密码规则要求是设置不能小于8位的复杂密码公司电脑根据策略要求90天更改一次密码,而且不能跟90内所设置过的密码相重复,当电脑提示您还有多少天密码过期的时候,请您立即更改您的密码,保障您的电脑安全。什么是弱口令?暴力破解密码时间030s33m1.5h22h时间密码构成方式密码长度为6位数字大写或小写字母大小写字母数字+大小写字母数字+大小写字母+标点设置口令时的注意事项1.什么口令属于强壮口令?包含大、小写字符,数字,特殊符号,长度符合一定要求2.复杂口令容易忘记,您可以这样做?古诗词法,例如:白日依山尽,取bairiyishanjin的BrYsj@013.定期更换太麻烦第一季度取BrYsj,第二季度取黄河入海流,HhRhL@02设置口令时的注意事项−使用大写