信息安全意识培训上海市信息安全测评认证中心——意识决定行为模式提纲1.波澜诡谲的丛林2.丛林中的惨案3.带上一把猎枪4.怎样在丛林生存波澜诡谲的丛林在原始丛林中生存不容易,你得穿过荆棘丛,时刻辨别方向,躲避沼泽地带,忍受蚊子、水蛭等昆虫的骚扰,提防各种可能威胁到你的陆地、水中、空中的动物。波澜诡谲的丛林同样,在计算机和网络形成的丛林里面,如何生存也是个问题。波澜诡谲的丛林原始丛林中,我们会遇到讨厌的天气、有毒昆虫、食肉动物、危险地形信息系统中,我们会遇到软硬件故障地震、火灾操作失误恶意代码网络攻击泄密各种各样的威胁波澜诡谲的丛林原始丛林中,我们要保护我们的胳膊、腿,哦,记得还有鼻子!信息系统中,我们要保护纸质文档电子文档其他信息介质员工您会在乎来你家里的陌生人吗?您会在乎来你办公室的陌生人吗?您的保险箱设密码吗?您的电脑设密码吗?波澜诡谲的丛林如果您在乎家里的陌生人,而不关注办公室里的陌生人,说明您可能对公司的安全认知度不够。如果您记得给保险箱设密码,而不记得给电脑设密码,说明您可能对信息资产安全认识不够。波澜诡谲的丛林波澜诡谲的丛林计算机和网络触及现代生活的方方面面。我们越来越依赖于计算机/网络技术来进行交流沟通、资金转账、公共设施管理、政府服务、军事行动和维护保密信息。我们用技术来提供电力、水、紧急服务、防御系统、电子银行和公共健康服务。然而同时,这种技术也被用于破坏通信/数据,执行种种非法活动。波澜诡谲的丛林“信息战”一词包括许多与个人、组织和国家有关的各种活动。各国政府早已采用信息战术获取有价值的战术信息。各种组织利用它在竞争者发布新的产品前来偷窃商业秘密和计划。个人也已经用相关技术窃取金钱、获取财务信息、盗窃他人身份、从事破坏活动以引起公众的注意。严峻的现实!惨痛的教训!丛林中的惨案1213WindowsVista…如果我是黑客……1、很多笔记本电脑都内置麦克风且处于开启状态;2、WindowsVista开启SpeechRecognition功能;3、录制以下内容并将其放置于某Web页面之上,并利用ActiveX在客户机上调用WindowsMediaPlayer最小化后台播放:•OpenExplorer•Highlightdocuments•Deletedocumentsandconfirmyes•Gotorecyclebinondesktop•Tellittoemptythetrashandconfirmyes.丛林中的惨案甲房间感兴趣使用集中供热金属管道的单位(常见于中国北方)乙房间15您肯定用过银行的ATM机,您插入银行卡,然后输入密码,然后取钱,然后拔卡,然后离开,您也许注意到您的旁边没有别人,您很小心,可是,您真的足够小心吗?……我们再来看一个案例丛林中的惨案16丛林中的惨案17丛林中的惨案18丛林中的惨案19丛林中的惨案20丛林中的惨案21丛林中的惨案丛林中的惨案同样的技巧和技术也被应用于传真机、碎纸机等办公用品上。丛林中的惨案CIH病毒陈盈豪:当时台湾的一个大学生1998年2月,1.2版1998年4月26日,台湾少量发作1999年4月26日,全球发作破坏主板BIOS通过网络(软件下载)传播全球有超过6000万台的机器被感染第一个能够破坏计算机硬件的病毒全球直接经济损失超过10亿美元丛林中的惨案“美丽莎”病毒大卫.史密斯,美国新泽西州工程师在16小时内席卷全球互联网至少造成10亿美元的损失!通过email传播传播规模(50的n次方,n为传播的次数)丛林中的惨案•熊猫烧香用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。它能感染系统中exe,com,pif,src,html,asp等文件。它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。丛林中的惨案•记事本幽灵(Win32.Troj.Axela.w)该病毒通过QQ聊天软件,自动向用户的好友发送含有病毒网址的消息,病毒网页上有一个flash文件,一旦你打开该网页就会自动下载病毒程序。病毒会在用户的电脑上生成文件%Windir%\System\windll.dll,其内容是:AllJapanesArePigs,当病毒再次被运行后,将修改IE默认主页项,只要你打开IE,病毒就连接到指定的网站,干扰用户的正常工作。另外,用户每次打开文本文件时,都会运行该病毒,其进程名字为Oteped.exe和Taskmgr.exe,病毒伪装任务管理器程序,迷惑用户。丛林中的惨案•灰鸽子(Hack.Huigezi)它自带文件捆绑工具,寄生在图片、动画等文件中,一旦你打开此类文件即可中招。此木马为内嵌式木马,使用DLL进行监听,一旦发现控制端的连接请求就激活自身,绑在一个进程上进行木马操作,打开你的8225端口,偷窃各种密码,监视你的一举一动。木马运行后,会建立%systemroot%\system\mapis32a.dll文件,还会在system32.dll内生成一个系统文件(c:\windows\system32\vschost.exe)很像的文件svchost.exe,每次开机后这个文件被自动加载;如果和客户端上后svchost.exe每一个进程的线程数迅速增加到100个以上,此时系统运行速度非常慢。丛林中的惨案•网银大盗A(Troj.KeyLog.a)“网银大盗”的木马病毒专门攻击中国工商银行的网上银行用户(使用数字IP地址登录的用户),盗取用户的账号和密码。网银大盗运行后会设置与IE的关联,只要你一打开IE,病毒即开始工作。病毒每隔0.5秒搜索用户的浏览器窗口,如果发现你正在工行网上银行的登录界面,就会自动转到数字IP地址页面,然后记录用户键入的帐号和密码,通过电子邮件发给病毒作者。丛林中的惨案•钓鱼网站近半年来,众多中行网银客户先后经历“惊魂300秒”,账户内资金瞬间被钓鱼网站洗劫一空。监测数据显示,近期网银盗窃侵财型案件举报甚多,特别是假冒中国银行网站大幅增加。据国家计算机网络应急中心估算,“网络钓鱼”给电子商务用户带来的损失目前已达76亿元,平均每位网购用户被“钓”走的金额为86元。丛林中的惨案•针对工控系统的病毒以色列迪莫纳核基地和美国能源部下属的国家实验室联合完成了“震网”病毒的开发工作。在研发过程中,德国和英国政府也专门提供了必要的援助。以色列曾在迪莫纳核基地内对“震网”病毒进行测试,并在去年11月成功造成伊朗约20%的离心机因感染病毒而失灵甚至是完全报废。“震网”病毒有两个作用,一是让离心机失控,二是在离心机失控后仍向控制室发出“工作正常”的报告。因此当伊朗人发现离心机工作异常时,很多离心机已经被破坏。丛林中的惨案•黑客侵入北京移动充值中心盗取密码谋利370万UT斯达康有限公司深圳分公司工程师程稚瀚利用互联网,多次侵入充值中心数据库修改密码后进行销售。该起盗窃案经检察机关提起公诉,北京市第二中级人民法院已正式受理。起诉书指控,自2005年3月以来,程稚瀚利用互联网,多次通过某地移动通信有限责任公司的计算机系统,侵入北京移动通信有限责任公司的充值中心数据库,修改充值卡原始数据并窃取充值卡密码,后向他人销售,造成北京移动通信有限责任公司损害共计价值人民币370余万元。公诉机关认为,被告人程稚瀚无视国法,以非法占有为目的,窃取公司财物,且数额特别巨大,其行为已构成盗窃罪,应依法予以惩处。丛林中的惨案•全球最大用户信息库被窃大盗落网被判8年2006年2月美国阿肯色州检察官指控46岁的莱文与他人一起盗窃了数据管理公司埃克希姆(AcxiomCorp.)公司数据库中10亿多个记录中的个人信息材料,其中包括姓名、电话号码、住址和电子邮件地址等。莱文还被指控利用解密软件获取密码,并超越权限,进入埃克希姆公司的数据库。莱文因未经授权进入数据库、欺诈和妨碍司法等多项罪名去年8月被定罪。丛林中的惨案•气体喷淋灭火培训不够(七氟丙烷本身无毒,遇高温后会分解产生氢氟酸)•空调断续电重启不完善(未使用专用空调可能引起火灾)•…………你碰到过类似的事吗?丛林中的惨案威胁和弱点问题的根源丛林中的惨案信息资产拒绝服务流氓软件黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统漏洞硬件故障网络通信故障供电中断失火雷雨地震威胁无处不在丛林中的惨案踩点扫描破坏攻击渗透攻击获得访问权获得控制权清除痕迹安装后门远程控制转移目标窃密破坏黑客攻击基本手法丛林中的惨案丛林里的东西不能乱吃,尤其是蘑菇,如果吃了,那么身体内部……内部攻击的优势:天时+地利+人和员工误操作蓄意破坏职责权限混淆内部威胁丛林中的惨案操作弱点管理弱点策略、程序、规章制度、人员意识、组织结构等方面的不足自身弱点丛林中的惨案技术弱点系统、程序、设备中存在的漏洞或缺陷配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份过程的不当等一个巴掌拍不响!外因是条件内因才是根本!丛林中的惨案将口令写在便签上,贴在电脑监视器旁开着电脑离开,就像离开家却忘记关灯那样轻易相信来自陌生人的邮件,好奇打开邮件附件使用容易猜测的口令,或者根本不设口令丢失笔记本电脑不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息随便拨号上网,或者随意将无关设备连入公司网络事不关己,高高挂起,不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁,忽视企业内部人员的问题最常犯的一些错误丛林中的惨案想想你是否也犯过这些错误?丛林中的惨案信息安全意识的提高刻不容缓!丛林中的惨案手里拿把猎枪再踏出帐篷吾自三省吾身提高人员信息安全意识和素质势在必行!人是最关键的因素带上一把猎枪信息资产对我们很重要,是要保护的对象威胁就像苍蝇一样,挥之不去,无所不在资产自身又有各种弱点,给威胁带来可乘之机面临各种风险,一旦发生就成为安全事件、事故保持清醒认识带上一把猎枪严防威胁消减弱点应急响应保护资产熟悉潜在的安全问题知道怎样防止其发生明确发生后如何应对我们应该……带上一把猎枪隐患险于明火!预防重于救灾!安全贵在未雨绸缪!信息安全意识方针带上一把猎枪理解和铺垫基本概念带上一把猎枪消息、信号、数据、情报和知识信息本身是无形的,借助于信息媒体以多种形式存在或传播:•存储在计算机、磁带、纸张等介质中•记忆在人的大脑里•通过网络、打印机、传真机等方式进行传播信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产:•计算机和网络中的数据•硬件、软件、文档资料•关键人员•组织提供的服务具有价值的信息资产面临诸多威胁,需要妥善保护什么是信息带上一把猎枪采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。什么是信息安全带上一把猎枪CIAonfidentialityntegrityvailabilityCIA信息安全基本目标带上一把猎枪ConfidentialityIntegrityAvailabilityInformation管理者的最终目标带上一把猎枪风险漏洞威胁控制措施安全需求资产价值信息资产防止利用Reduce暴露具有符合对组织的影响因果关系带上一把猎枪因果关系(立体)带上一把猎枪技术手段数据层数据层应用层应用层系统层系统层网络层网络层物理层物理层备份恢复B&R备份恢复B&R身份认证I&A身份认证I&A加密Crypto加密Crypto防恶Anti-Mal防恶Anti-Mal监控Monitor监控Monitor访问管理AM访问管理AM审核跟踪AuditTrail审核跟踪AuditTrail加固Hardening加固Hardening数据层数据层应用层应用层系统层系统层网络层网络层物理层物理层备份恢复B