搜索
IDC信息安全意识培训从小事做起,从自身做起遵守IDC各项安全策略和制度规范2什么是安全意识?安全意识(Securityawareness),就是能够认知可能存在的安全问题,明白安全事故对组织的危害,恪守正确的行为方式,并且清楚在安全事故发生时所应采取的措施。3我们的目标•建立对信息安全的敏感意识和正确认识•掌握信息安全的基本概念、原则和惯例•了解信息安全管理体系(ISMS)概况•清楚可能面临的威胁和风险•遵守IDC各项安全策略和制度•在日常工作中养成良好的安全习惯•最终提升IDC整体的信息安全水平4制作说明本培训材料由IDC信息安全管理体系实施组织安全执行委员会编写,并经安全管理委员会批准,供IDC内部学习使用,旨在贯彻IDC信息安全策略和各项管理制度,全面提升员工信息安全意识。5•现实教训•追踪问题的根源•掌握基本概念•了解信息安全管理体系•建立良好的安全习惯•重要信息的保密•信息交换及备份•软件使用安全•计算机及网络访问安全•人员及第三方安全管理•移动计算与远程办公•工作环境及物理安全要求•防范病毒和恶意代码•口令安全•电子邮件安全•介质安全管理•警惕社会工程学•应急响应和业务连续性计划•法律法规•寻求帮助目录6严峻的现实!惨痛的教训!第1部分7在线银行——一颗定时炸弹。最近,南非的Absa银行遇到了麻烦,它的互联网银行服务发生一系列安全事件,导致其客户成百万美元的损失。Absa银行声称自己的系统是绝对安全的,而把责任归结为客户所犯的安全错误上。Absa银行的这种处理方式遭致广泛批评。那么,究竟是怎么回事呢?一起国外的金融计算机犯罪案例8前因后果是这样的……Absa是南非最大的一家银行,占有35%的市场份额,其Internet银行业务拥有40多万客户。2003年6、7月间,一个30岁男子,盯上了Absa的在线客户,向这些客户发送携带有间谍软件(spyware)的邮件,并成功获得众多客户的账号信息,从而通过Internet进行非法转帐,先后致使10个Absa的在线客户损失达数万法郎。该男子后来被南非警方逮捕。9间谍软件——eBlaster这是一个商业软件(),该软件本意是帮助父母或老板监视孩子或雇员的上网活动该软件可记录包括电子邮件、网上聊天、即使消息、Web访问、键盘操作等活动,并将记录信息悄悄发到指定邮箱商业杀毒软件一般都忽略了这个商业软件本案犯罪人就是用邮件附件方式,欺骗受害者执行该软件,然后窃取其网上银行账号和PIN码信息的10我们来总结一下教训Absa声称不是自己的责任,而是客户的问题安全专家和权威评论员则认为:Absa应负必要责任,其电子银行的安全性值得怀疑Deloitte安全专家RoganDawes认为:Absa应向其客户灌输更多安全意识,并在易用性和安全性方面达成平衡IT技术专家则认为:电子银行应采用更强健的双因素认证机制(口令或PIN+智能卡),而不是简单的口令我们认为:Absa银行和客户都有责任11国内金融计算机犯罪的典型案例一名普通的系统维护人员,轻松破解数道密码,进入邮政储蓄网络,盗走83.5万元。这起利用网络进行金融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破获……————人民日报,2003年12月时间:2003年11月地点:甘肃省定西地区临洮县太石镇邮政储蓄所人物:一个普通的系统管理员12怪事是这么发生的……2003年10月5日,定西临洮县太石镇邮政储蓄所的营业电脑突然死机工作人员以为是一般的故障,对电脑进行了简单的修复和重装处理17日,工作人员发现打印出的报表储蓄余额与实际不符,对账发现,13日发生了11笔交易,83.5万异地帐户是虚存(有交易记录但无实际现金)紧急与开户行联系,发现存款已从兰州、西安等地被取走大半储蓄所向县公安局报案公安局向定西公安处汇报公安处成立专案组,同时向省公安厅上报……13当然,最终结果不错……经过缜密的调查取证,我英勇机智的公安干警终于一举抓获这起案件的罪魁祸首——会宁邮政局一个普通的系统维护人员张某14事情的经过原来是这样的……③登录到永登邮政局永登临洮④破解口令,登录到临洮一个邮政储蓄所①会宁的张某用假身份证在兰州开了8个活期帐户②张某借工作之便,利用笔记本电脑连接电缆到邮政储蓄专网会宁⑤向这些帐户虚存83.5万,退出系统前删掉了打印操作系统⑥最后,张某在兰州和西安等地提取现金15到底哪里出了纰漏……张某29岁,毕业于邮电学院,资质平平,谈不上精通计算机和网络技术邮政储蓄网络的防范可谓严密:与Internet物理隔离的专网;配备了防火墙;从前台分机到主机经过数重密码认证16可还是出事了,郁闷呀问题究竟出在哪里?思考中……哦,原来如此——17看来,问题真的不少呀……张某私搭电缆,没人过问和阻止,使其轻易进入邮政储蓄专网临洮县太石镇的邮政储蓄网点使用原始密码,没有定期更改,而且被员工周知,致使张某轻松突破数道密码关,直接进入了操作系统问题出现时,工作人员以为是网络系统故障,没有足够重视……18总结教训……最直接的教训:漠视口令安全带来恶果!归根到底,是管理上存在漏洞,人员安全意识淡薄安全意识的提高刻不容缓!19一起证券行业计算机犯罪案例凭借自己的耐心和别人的粗心,股市“菜鸟”严某非法侵入“股神通”10个单位和个人的股票账户,用别人的钱磨练自己的炒股技艺……————青年报,2003年12月时间:2003年6月地点:上海人物:26岁的待业青年严某20事情是这样的……2003年3月,严父在家中安装开通“股神通”业务,进行即时股票交易。2003年6月的一天,严某偶得其父一张股票交易单,上有9位数字的账号,遂动了“瞎猫碰死老鼠”的念头:该证券公司客户账号前6位数字是相同的,只需猜后3位;而6位密码,严某锁定为“123456”。严某”埋头苦干“,第一天连续输入了3000个数字组合,一无所获。第二天继续,很快”奇迹“出现,严某顺利进入一个股票账户。利用相同的方法,严某又先后侵入了10余个股票账户。严某利用别人的账户,十几天里共买进卖出1000多万元股票,损失超过14万元,直到6月10日案发。严某被以破坏计算机信息系统罪依法逮捕。21问题出在哪里……严某不算聪明,但他深知炒股的多是中老年人,密码设置肯定不会复杂。首先,作为股民,安全意识薄弱证券公司,在进行账户管理时也存在不足:初始密码设置太简单,没提醒客户及时修改等作为设备提供商,“股神通”软件设计里的安全机制太简单脆弱,易被人利用22总结教训……又是口令安全的问题!又是人的安全意识问题!再次强调安全意识的重要性!23一个与物理安全相关的典型案例时间:2002年某天夜里地点:A公司的数据中心大楼人物:一个普通的系统管理员一个普通的系统管理员,利用看似简单的方法,就进入了需要门卡认证的数据中心……————来自国外某论坛的激烈讨论,2002年24情况是这样的……A公司的数据中心是重地,设立了严格的门禁制度,要求必须插入门卡才能进入。不过,出来时很简单,数据中心一旁的动作探测器会检测到有人朝出口走去,门会自动打开数据中心有个系统管理员张三君,这天晚上加班到很晚,中间离开数据中心出去夜宵,可返回时发现自己被锁在了外面,门卡落在里面了,四周别无他人,一片静寂张三急需今夜加班,可他又不想打扰他人,怎么办?25一点线索:昨天曾在接待区庆祝过某人生日,现场还未清理干净,遗留下很多杂物,哦,还有气球……26聪明的张三想出了妙计……①张三找到一个气球,放掉气②张三面朝大门入口趴下来,把气球塞进门里,只留下气球的嘴在门的这边③张三在门外吹气球,气球在门内膨胀,然后,他释放了气球……④由于气球在门内弹跳,触发动作探测器,门终于开了27问题出在哪里……如果门和地板齐平且没有缝隙,就不会出这样的事如果动作探测器的灵敏度调整到不对快速放气的气球作出反应,也不会出此事当然,如果根本就不使用动作探测器来从里面开门,这种事情同样不会发生28总结教训……虽然是偶然事件,也没有直接危害,但是潜在风险既是物理安全的问题,更是管理问题切记!有时候自以为是的安全,恰恰是最不安全!物理安全非常关键!29类似的事件不胜枚举苏州某中学计算机教师罗某,只因嫌准备考试太麻烦,产生反感情绪,竟向江苏省教育厅会考办的考试服务器发动攻击,他以黑客身份两次闯入该考试服务器,共删除全省中小学信息技术等级考试文件达100多个,直接经济损失达20多万元,后被警方抓获。某高校招生办一台服务器,因设置网络共享不加密码,导致共享目录中保存的有关高考招生的重要信息泄漏,造成了恶劣的社会影响。屡屡出现的关于银行ATM取款机的问题。……30你碰到过类似的事吗?31IDC曾经发生的安全事件(请添加IDC自己的内容)32234024122573213437349859217565265882094114855020,00040,00060,00080,000100,000120,0001994年1995年1996年1997年1998年1999年2000年2001年2002年2003年CERT关于安全事件的统计——摘自CERT/CC的统计报告2003年12月33过去6个月的统计。Source:RiptechInternetSecurityThreatReport.January200243952056159270572589596101002003004005006007008009001000医疗机构应用服务制造商非赢利机构媒体机构能源制造金融机构高科技不同行业遭受攻击的平均次数34CSI/FBI对安全事件损失的统计$406,300$10,186,400$701,500$70,195,900$27,382,340$6,830,500$11,767,200$65,643,300$5,148,500$2,754,400$76,000$705,000$0$10,000,000$20,000,000$30,000,000$40,000,000$50,000,000$60,000,000$70,000,000$80,000,000内部人员非法访问金融欺诈电信欺诈私秘信息失窃病毒掌上电脑失窃内部人员滥用网络拒绝服务因不满而蓄意破坏系统渗透电信窃听主动塔线窃听——摘自CSI/FBI的统计报告2003年12月35威胁和弱点问题的根源第2部分36我们时刻都面临来自外部的威胁信息资产拒绝服务逻辑炸弹黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统Bug硬件故障网络通信故障供电中断失火雷雨地震37人是最关键的因素判断威胁来源,综合了人为因素和系统自身逻辑与物理上诸多因素在一起,归根结底,还是人起着决定性的作用正是因为人在有意(攻击破坏)或无意(误操作、误配置)间的活动,才给信息系统安全带来了隐患和威胁提高人员安全意识和素质势在必行!38黑客攻击,是我们听说最多的威胁!39NTremainshackers'favorite—VNUnet,Jan10,200140世界头号黑客——KevinMitnick出生于1964年15岁入侵北美空军防务指挥系统,窃取核弹机密入侵太平洋电话公司的通信网络入侵联邦调查局电脑网络,戏弄调查人员16岁被捕,但旋即获释入侵摩托罗拉、Novell、Sun、Nokia等大公司与联邦调查局玩猫捉老鼠的游戏1995年被抓获,被判5年监禁获释后禁止接触电子物品,禁止从事计算机行业41黑客不请自来,乘虚而入踩点扫描破坏攻击渗透攻击获得访问权获得控制权清除痕迹安装后门远程控制转移目标窃密破坏42踩点:千方百计搜集信息,明确攻击目标扫描:通过网络,用工具来找到目标系统的漏洞DoS攻击:拒绝服务,是一种破坏性攻击,目的是使资源不可用DDoS攻击:是DoS的延伸,更大规模,多点对一点实施攻击渗透攻击:利用攻击软件,远程得到目标系统的访问权或控制权远程控制:利用安装的后门来实施隐蔽而方便的控制网络蠕虫:一种自动扩散的恶意代码,就像一个不受控的黑客了解一些黑客攻击手段很有必