搜索
1信息安全意识培训韩云2014年3月2建立对信息安全的敏感意识和正确认识掌握信息安全的基本概念、原则和惯例清楚可能面临的威胁和风险遵守各项安全策略和制度在日常工作中养成良好的安全习惯最终提升整体的信息安全水平我们的目标3信息安全意识(InformationSecurityAwareness),就是能够认知可能存在的信息安全问题,预估信息安全事故对组织的危害,恪守正确的行为方式,并且执行在信息安全事故发生时所应采取的措施。什么是信息安全意识?4•现实教训•追踪问题的根源•掌握基本概念•建立良好的安全习惯5严峻的现实!惨痛的教训!6工业和信息部发布了《关于做好应对部分IC卡出现严重安全漏洞工作的通知》,要求各地各机关和部门开展对IC卡使用情况的调查及应对工作。我们的信息是怎么泄露的呢?10我们来总结一下员工的个人安全意识各类应用(B/S、C/S)自身绝对安全安全监管法律法规完善安全技能熟练程度……11信息安全意识的提高刻不容缓!12WindowsVista„如果我是黑客……1、绝大多数笔记本电脑都内置麦克风且处于开启状态;2、WindowsVista开启SpeechRecognition功能;3、录制以下内容并将其放置于某Web页面之上,并利用ActiveX在客户机上调用WindowsMediaPlayer最小化后台播放:•OpenExplorer•Highlightdocuments•Deletedocumentsandconfirmyes•Gotorecyclebinondesktop•Tellittoemptythetrashandconfirmyes.13你碰到过类似的事吗?14威胁和弱点问题的根源15信息资产拒绝服务流氓软件黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统漏洞硬件故障网络通信故障供电中断失火雷雨地震威胁无处不在16人之初性本非善恶吾自三省吾身提高人员信息安全意识和素质势在必行!人是最关键的因素17外部威胁18踩点扫描破坏攻击渗透攻击获得访问权获得控制权清除痕迹安装后门远程控制转移目标窃密破坏黑客攻击基本手法19病从口入天时地利人和员工误操作蓄意破坏职责权限混淆内部威胁20技术弱点操作弱点管理弱点系统、程序、设备中存在的漏洞或缺陷配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份过程的不当等策略、程序、规章制度、人员意识、组织结构等方面的不足自身弱点21一个巴掌拍不响!外因是条件内因才是根本!22将口令写在便签上,贴在电脑监视器旁开着电脑离开,就像离开家却忘记关灯那样轻易相信来自陌生人的邮件,好奇打开邮件附件使用容易猜测的口令,或者根本不设口令丢失笔记本电脑不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息随便拨号上网,或者随意将无关设备连入公司网络事不关己,高高挂起,不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁,忽视企业内部人员的问题最常犯的一些错误23想想你是否也犯过这些错误?24信息资产对我们很重要,是要保护的对象威胁就像苍蝇一样,挥之不去,无所不在资产自身又有各种弱点,给威胁带来可乘之机面临各种风险,一旦发生就成为安全事件、事故保持清醒认识25严防威胁消减弱点应急响应保护资产熟悉潜在的安全问题知道怎样防止其发生明确发生后如何应对我们应该……26隐患险于明火!预防重于救灾!安全贵在未雨绸缪!信息安全意识方针27理解和铺垫基本概念28消息、信号、数据、情报和知识信息本身是无形的,借助于信息媒体以多种形式存在或传播:•存储在计算机、磁带、纸张等介质中•记忆在人的大脑里•通过网络、打印机、传真机等方式进行传播信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产:•计算机和网络中的数据•硬件、软件、文档资料•关键人员•组织提供的服务具有价值的信息资产面临诸多威胁,需要妥善保护什么是信息29采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。什么是信息安全30CIAonfidentialityntegrityvailabilityCIA信息安全基本目标31ConfidentialityIntegrityAvailabilityInformation管理者的最终目标32风险漏洞威胁控制措施安全需求资产价值信息资产防止利用Reduce暴露具有符合对组织的影响因果关系33因果关系(立体)34技术手段数据层数据层应用层应用层系统层系统层网络层网络层物理层物理层备份恢复B&R备份恢复B&R身份认证I&A身份认证I&A加密Crypto加密Crypto防恶Anti-Mal防恶Anti-Mal监控Monitor监控Monitor访问管理AM访问管理AM审核跟踪AuditTrail审核跟踪AuditTrail加固Hardening加固Hardening数据层数据层应用层应用层系统层系统层网络层网络层物理层物理层备份恢复B&R备份恢复B&R身份认证I&A身份认证I&A加密Crypto加密Crypto防恶Anti-Mal防恶Anti-Mal监控Monitor监控Monitor访问管理AM访问管理AM审核跟踪AuditTrail审核跟踪AuditTrail加固Hardening加固Hardening35在可用性(Usability)和安全性(Security)之间是一种相反的关系提高了安全性,相应地就降低了易用性而要提高安全性,又势必增大成本管理者应在二者之间达成一种可接受的平衡安全vs.可用——平衡之道36计算机安全领域一句格言:“真正安全的计算机是拔下网线,断掉电源,放在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。”绝对的安全是不存在的!37技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂信息安全管理构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标尤其重要唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实三分技术,七分管理!关键点:信息安全管理38务必重视信息安全管理加强信息安全建设工作管理层:信息安全意识要点39安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程如何正确认识信息安全40从身边做起良好的安全习惯41重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规重要信息的保密42Owner数据的属主(OM/PM)决定所属数据的敏感级别确定必要的保护措施最终批准并Review用户访问权限Custodian受Owner委托管理数据通常是IT人员或部门系统(数据)管理员向Owner提交访问申请并按Owner授意为用户授权执行数据保护措施,实施日常维护和管理User公司或第三方职员因工作需要而请求访问数据遵守安全规定和控制报告安全事件和隐患资产责任划分43PublicInternalUseConfidencialSecret缺省信息保密级别划分44信息属主或创建者可确定恰当的信息标注方式电子邮件或纸质信函的标题栏应该注明敏感级别光盘、磁带等存储介质上应该妥善标注如果内部包含多个级别的数据,以最高级为准“Public”信息不需标注:市场宣传册/媒体发布/网站公开信息“InternalUse”可以根据需要标注(缺省)“Confidencial”必须标注“Secret”必须标注信息标注规定45各类信息,无论电子还是纸质,在标注、授权、访问、存储、拷贝、传真、内部和外部分发(包括第三方转交)、传输、处理等各个环节,都应该遵守既定策略信息分类管理程序只约定要求和原则,具体控制和实现方式,由信息属主或相关部门确定,以遵守最佳实践和法律法规为参照凡违反程序规定的行为,酌情予以纪律处分信息处理与保护46根据需要,在SOW或个人协议中明确安全方面的承诺和要求;明确与客户进行数据交接的人员责任,控制客户数据使用及分发;明确非业务部门在授权使用客户数据时的保护责任;基于业务需要,主管决定是否对重要数据进行加密保护;禁止将客户数据或客户标识用于非项目相关的场合如培训材料;客户现场的工作人员,严格遵守客户Policy,妥善保护客户数据;打印件应设置标识,及时取回,并妥善保存或处理。数据保护安全47重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规信息交换与备份48信息交换原则:明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施信息发送者和接收者有责任遵守信息交换要求物理介质传输:与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施电子邮件和互联网信息交换明确不可涉及敏感数据,如客户信息、订单合同等信息如必须交换此类信息,需申请主管批准并采取加密传输措施或DRM保护机制文件共享:包括Confidential在内的高级别的信息不能被发布于公共区域所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中开设共享。共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限临时共享的文件事后应予以删除信息交换安全49重要信息系统应支持全备份、差量备份和增量备份备份介质的存储异地存放属主应该确保备份成功并定期检查日志,根据需要,定期检查和实施测试以验证备份效率和效力信息备份安全50重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规软件应用安全51安全培训安全计划启动并统一注册安全设计最佳做法安全体系结构和攻击面审核使用安全开发工具以及安全开发和测试最佳做法创建产品安全文档和工具准备安全响应计划安全推动活动渗透测试最终安全审核安全维护和响应执行功能列表质量指导原则体系结构文档日程表设计规范测试和验证编写新代码故障修复代码签发+CheckpointPress签发RTM产品支持服务包/QFE安全更新需求设计实施验证发行支持和维护威胁建模功能规范传统软件开发生命周期的任务和流程软件应用安全52重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规计算机网络访问53访问控制基本原则:未经明确允许即为禁止访问必须通过唯一注册的用户ID来控制用户对网络的访问系统管理员必须确保用户访问基于最小特权原则而授权用户必须根据要求使用口令并保守秘密系统管理员必须对用户访问权限进行检查,防止滥用系统管理员必须根据安全制度要求定义访问控制规则,用户必须遵守规则各部门应按照管理规定制定并实施对业务应用系统、开发和测试系统的访问规则计算机网络访问安全54重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规人员安全管理55背景检查签署保密协议安全职责说明技能意识培训内部职位调整及离职检查流程绩效考核和奖惩人员