13信息安全意识培训

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

中石油信息安全培训2010年11月增强信息安全意识、提高个人防护能力目录三、个人信息安全防护基本技能二、信息安全形势和任务一、信息安全基本常识一、信息安全基本常识为什么会有信息安全问题?因为有病毒吗?•因为有黑客吗?•因为有漏洞吗?这些都是原因,但没有说到根源安全问题根源—内因系统越来越复杂安全问题根源—内因我们使用的网络是开放的安全问题根源—内因人是复杂的安全问题根源—外因来自对手的威胁信息战士减小国家决策空间、战略优势,制造混乱,进行目标破坏国家安全威胁情报机构搜集政治、军事,经济信息恐怖分子破坏公共秩序,制造混乱,发动政变商业间谍掠夺竞争优势,恐吓共同威胁犯罪团伙施行报复,实现经济目的,破坏制度社会型黑客攫取金钱,恐吓,挑战,获取声望局部威胁娱乐型黑客以吓人为乐,喜欢挑战安全问题根源—外因来自自然的破坏信息技术的发展电报电话通信计算机加工存储网络互联时代信息安全问题的诞生•人类开始信息的通信,信息安全的历史就开始了–公元前500年,斯巴达人用于加解密的一种军事设备。发送者把一条羊皮螺旋形地缠在一个圆柱形棒上。通信安全20世纪,40年代-70年代通过密码技术解决通信保密,内容篡改转轮密码机ENIGMA,1944年装备德国海军以二战时期真实历史为背景的,关于电报密文窃听和密码破解的故事信息系统安全20世纪,70-90年代后,计算机和网络改变了一切确保信息在网络信息系统中的存储、处理和传输过程中免受非授权的访问,防止授权用户的拒绝服务信息安全保障“组织内部环境”信息系统安全问题通信安全数据安全技术系统安全问题网络安全现在人们意识到:技术很重要,但技术不是一切;信息系统很重要,只有服务于组织业务使命才有意义什么是信息?信息的属性:基本元素是数据,每个数据代表某个意义;以各种形式存在:纸、电子、影片、交谈等;数据具有一定的逻辑关系;具有一定的时效性;对组织具有价值,是一种资产;需要适当的保护。知识信息数据指导意义抽象程度什么是安全?安全Security:事物保持不受损害什么是信息安全?不该知道的人,不让他知道!什么是信息安全?信息不能追求残缺美!什么是信息安全?信息要方便、快捷!不能像某国首都二环早高峰,也不能像春运的火车站什么是信息安全秘密保密性(Confidentiality)完整性(Integrity)可用性(Availability)信息本身的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持,即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。保密性:确保信息没有非授权的泄漏,不被非授权的个人、组织和计算机程序使用完整性:确保信息没有遭到篡改和破坏可用性:确保拥有授权的用户或程序可以及时、正常使用信息什么是信息安全风险什么是信息安全风险什么是信息安全风险什么是信息安全风险外在威胁利用信息系统存在的脆弱性,致其损失或破坏对系统价值造成损害的可能性资产威胁防护措施脆弱性风险利用对抗导致增加减少作用于为什么需要信息安全保障•组织机构的使命/业务目标实现越来越依赖于信息系统•信息系统成为组织机构生存和发展的关键因素•信息系统的安全风险也成为组织风险的一部分•为了保障组织机构完成其使命,必须加强信息安全保障,抵抗这些风险。信息系统使命风险保障如何保障信息安全?信息是依赖与承载它的信息技术系统存在的需要在技术层面部署完善的控制措施信息系统是由人来建设使用和维护的需要通过有效的管理手段约束人今天系统安全了明天未必安全需要贯穿系统生命周期的工程过程信息安全的对抗,归根结底是人员知识、技能和素质的对抗需要建设高素质的人才队伍一个单位如何考虑安全技术体系?DMZ?E-Mail?FileTransfer?HTTPIntranet企业网络机关行政部门机关业务部门对外服务厅技术部门路由Internet中继DMZ?E-Mail?FileTransfer?HTTPIntranet企业网络机关行政部门机关业务部门对外服务厅技术部门路由Internet中继完善的信息安全技术体系考虑过程安全隐患外部/个体外部/组织内部/个体内部/组织关闭安全维护“后门”更改缺省的系统口令操作系统补丁Modem数据文件加密安装认证&授权授权复查入侵检测实时监控病毒防护有效的信息安全管理体系风险管理组织体系规章制度有效落实切实可行有关部门协调配合高层领导参与覆盖范围全面奖惩措施提高人员意识和技能科学的信息安全工程过程DISCOVERNEEDSDEFINESYSTEMREQUIREMENTSDESIGNSYSTEMARCHITECTUREDEVELOPDETAILEDDESIGNIMPLEMENTSYSTEM发掘需求定义系统要求定义系统体系结构开发详细设计实现系统用户/用户代表评估有效性计划组织开发采购实施交付运行维护废弃将安全措施融入信息系统生命周期高素质的人员队伍安全意识安全基础和安全文化信息安全专业人员(信息安全相关的岗位和职责)计划组织开发采购实施交付运行维护废弃信息安全从业人员(信息系统相关的岗位和职责)所有员工注册信息安全员(CISM)信息安全保障专家注册信息安全专业人员(CISP)培训意识信息系统安全保障模型技术工程管理人员保障要素开发采购实施交付运行维护完整性可用性废弃保密性安全特征计划组织生命周期安全保障的目标是支持业务信息安全保障需要持续进行安全保障要适度•追求高技术?•与我们的业务有关?•我们的目标方向有否偏差?•安全设施影响业务系统性能?•增加多少额外操作?•国家秘密吗?工作秘密吗?•代价多大?•风险可以忍受吗?二、信息安全形势和任务我国信息化迅猛发展我国信息化建设起步于20世纪80年代20世纪90年代取得长足进步•现在信息技术已经广泛应用于促进–国民经济发展–政府管理和服务水平提高–企业竞争力增强–人民生活水平该改善我国正在步入信息化时代我国信息化迅猛发展的数据数据来源:工业与信息化部网站2010年1-2月,基础电信企业互联网宽带接入用户净增359.3万户,达到10681.8万户1-4月,我国生产生产手机23290万部,增长34.5%;微型计算机7112万台,增长50.1%,其中笔记本电脑增长50.6%;集成电路190亿块,增长78.5%1-4月,我国累计实现软件业务收入3626亿元,同比增长28.7%。信息技术增值服务收入同比增长38.1%。集成电路设计开发收入228亿元,同比增长63%。软件产品、系统集成和支持服务、信息技术咨询和管理服务、嵌入式系统软件、分别实现1333、728、320和638亿元,分别增长27%、25.1%、26.3%、23%。信息化建设的意义小平同志提出:党的十六大报告也指出:信息化建设的意义信息化作为全球化的重要方面,直接推动了国际关系的演变和全球经济体系的形成电子政务、电子商务和整个社会的信息化发展,标志着我国进入信息化社会整个社会越来越依赖于网络和信息系统,网络和信息系统正成为社会运行和发展的重要支撑要素然而,没有信息安全就没有真正有效的信息化信息安全受到高度重视党中央、国务院对信息安全提出明确要求2003年9月,中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》,第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度。2004年秋,党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。非传统安全问题日益得到重视。信息安全趋势隐蔽性:信息安全的一个最大特点就是看不见摸不着。在不知不觉中就已经中了招,在不知不觉中就已经遭受了重大损失。信息安全趋势趋利性:为了炫耀能力的黑客少了,为了非法取得政治、经济利益的人越来越多新应用导致新的安全问题数据大集中——风险也更集中了;系统复杂了——安全问题解决难度加大;云计算——安全已经不再是自己可以控制的3G、物联网、三网合一——IP网络中安全问题引入到了电话、手机、广播电视中web2.0、微博、人肉搜索——网络安全与日常生活越来越贴近网络群体性事件影响政治、社会稳定云南晋宁看守所“躲猫猫”浙江杭州“飙车事件”湖北巴东县“邓玉娇事件”河南农民工“开胸验肺事件”上海“钓鱼执法事件”南京“周久耕房管局长天价烟”新闻2010年初,美国硅谷的迈克菲公司发布最新报告,约109.5万台中国计算机被病毒感染(美国105.7万),排第一位。2010年1月2日,公安部物证鉴定中心被黑,登陆该网站,有些嘲弄语言,还贴一张“我们睡,你们讲”的图片,图片是公安某单位一次会议上,台下参会人员大睡的场面。2010年1月11日,著名网络百度被黑(域名劫持),黑客团体叫“IranianCyberArmy”。服务器中断5小时。2008年1月,美国总统布什签发总统54号令,其中有《国家网络安全综合纲领》(CNCI),包含12个行动纲领。2009年6月,美国国防部长罗伯特·盖茨下令组建网络司令部,以统一协调美军网络安全,开展网络战争等与计算机相关的军事行动。新闻2010年3月24日,美国参议院商务、科学和运输委员会通过了旨在加强美国网络安全,帮助美国政府机构和企业更好地对应网络威胁的《网络安全法案》。该委员会主席洛克菲勒在法案通过后发表声明说:“现状不可忍受,我们需要21世纪的新模式,我们必须确保美国的关键网络以及在全球的市场中的创新和竞争力”。2010年2月26日,微软公司请求国家互联网应急中心(CNCERT)协助关闭Waledac僵尸网络所使用的部分中国注册的域名,CNCERT在经过技术验证后,迅速采取行动,在数小时内成功关闭16个恶意域名。Waledac僵尸网络所使用的服务器大多为于德国、荷兰、瑞典、俄罗斯和中国,控制全球约10万台计算机(其中中国约5000台),每天发出约15亿个有害邮件。今年“两会”期间,3月3日,全国政协委员严琪所办陶然居餐饮集团网站()被黑,引发热议。案例12009年6月9日,双色球2009066期开奖,全国共中出一等奖4注,但是,开奖系统却显示一等奖中奖数为9注,其中深圳地区中奖为5注。深圳市福彩中心在开奖程序结束后发现系统出现异常,经多次数据检验,工作人员判断,福彩中心销售系统疑被非法入侵,中奖彩票数据记录疑被人为篡改。•经调查发现,这是一起企图利用计算机网络信息系统技术诈骗彩票奖金的案件,并于6月12日将犯罪嫌疑人程某抓获,程某为深圳市某技术公司软件开发工程师,利用公司在深圳福彩中心实施技术合作项目的机会,通过木马攻击程序,恶意篡改彩票数据,伪造了5注一等奖欲牟取非法利益。案例22001年初,北京市国家税务局、北京市公安局联合查处了陈学军团伙虚开增值税专用发票案件。主犯陈学军与原北京市海淀区国家税务局干部吴芝刚内外勾结,从海淀区国家税务局套购增值税专用发票10900份,为数百家企业虚开增值税专用发票2800余份,虚开税款共计人民币3.93亿元。陈学军以虚开增值税专用发票罪被判处并已执行死刑;吴芝刚以虚开增值税专用发票罪、巨额财产来源不明罪两罪并罚,一审判处死刑,二审改判死刑缓期执行。吴芝刚在宣判现场案例2(续)北京市海淀区国税局增值税专用发票管理岗位的3名税务干部在案发过程中,由于思想疏忽大意,没有严格保护个人工作计算机和应用系统的密码和使用权限,为吴芝刚趁工作之便,非法获得计算机密码,进入防伪税控“认证”系统的作案行为提供了便利。这3名税务干部,因工作严重违规失职也受到严厉的法律追究,根据情节轻重,分别被处以不同程度的刑事处罚。案例3英国税务局“光盘”门2007年11月,英国税务及海关总署的一名公务员在将两张光碟寄给审计部门时,由于疏忽忘记依照规范以挂号寄出,导致光碟下落不明。光碟中有英国家庭申请十六岁以下儿童福利补助的资料,包括公民的姓名、地址、出生年月、社会保险号码和银行帐户资料,据称其中还包括了英国

1 / 126
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功