信息安全意识培训(QD2014.10.22)

1解析信息安全本质加强信息安全意识青岛2014.10.22林明贵1.信息安全是什么？2.威胁信息安全的因素3.信息安全应对商业信息安全应用案例互联网浪潮下的中国企业，其商业模式、运营模式、管理模式都在发生深刻变化。企业战略、企业组织、企业业务…正从Offline向Online迁移！越来越多的企业业务通过网络,以[数字资产]的形式交换和转移。从[企业内部产业链社会化商业协同]传统的信息安全防御边界已经模糊甚至消失。企业业务不能龟缩在线下，那么：在线上的每一个业务行为、每一次数据交换都可能存在风险！在CEO、CFO、CIO眼里：企业是经营、企业是业务，把企业内外组织连接在一起的，是资金流、物流、信息流企业安全应该是：业务访问安全业务审计安全业务认证安全业务加密安全应用创新焦点：应用整合在系统集成商、设备供应商眼里：企业是板块、企业是连线，把企业内外组织连接在一起的，是电脑、网线、盒子…应用创新焦点：应用整合资金流物流信息流网络部件电脑终端数据…………业务流程信息流程信息与业务7•不止有产品、技术才是信息安全8•更不是只有制度就是信息安全9信息安全的定义采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。10信息安全无处不在信息安全人员安全物理安全事件管理安全策略法律合规开发安全安全组织资产管理业务连续网络安全访问控制1.信息安全是什么？2.威胁信息安全的因素3.信息安全应对12信息资产拒绝服务逻辑炸弹黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统Bug硬件故障网络通信故障供电中断失火雷雨地震我们时刻都面临来自外部的威胁ABABABABAB1.中断2.截取3.修改4.捏造正常的信息流动信息安全发生的节点黑客不请自来，乘虚而入踩点扫描破坏攻击渗透攻击获得访问权获得控制权清除痕迹安装后门远程控制转移目标窃密破坏世界头号黑客KevinMitnick曾说过“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话……”入侵者入侵服务器出售盗取机密信息（图纸、财务报表等）入侵网络游戏服务器中间批发商通过各种频道进行销售盗取游戏道具、虚拟货币盗取用户账户编写病毒批量入侵网络盗取银行账户传播病毒盗取信用卡账号盗取证券交易账号盗取虚拟财产组建僵尸网络洗钱发送垃圾邮件收费传播流氓软件、攻击提高网站流量拒绝服务攻击主动攻击勒索网站受雇攻击收取佣金获取金钱黑客/病毒产业链示意图资料来源：瑞星反病毒中心威胁更多是来自公司内部黑客虽然可怕，可更多时候，内部人员威胁却更易被忽略，但却更容易造成危害据权威部门统计，内部人员犯罪（或与内部人员有关的犯罪）占到了计算机犯罪总量的70%以上员工误操作蓄意破坏公司资源私用17技术弱点操作弱点管理弱点系统、程序、设备中存在的漏洞或缺陷配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份过程的不当等策略、程序、规章制度、人员意识、组织结构等方面的不足意识弱点意识上缺乏足够的重视，认为可以可无或事不关己。我们自身的弱点不容小视18下一个倒霉蛋肯定不是我……技术是万能的……最佳的“ROI”（投资回报率）“三个和尚”的故事（这个不归我管）误区1.信息安全是什么？2.威胁信息安全的因素3.信息安全应对政府部门信息安全评测平台信息安全监管平台信息安全应急处置平台信息安全培训如何应对整体信息安全体系全框架国防国安公共安全电子政务公共事业物流运输制造商业广电传媒电信运营信息生命周期：产生、传递、存储、分发、销毁企业一个企业的整体安全水平不仅要看专职的安全管理与技术人员的能力，还要看全体员工的安全意识是否到位，这与持续的安全意识教育与培训是密不可分的。提高和维持所有员工的信息安全意识和技能，对员工理解信息安全对企业的意义，开展信息安全工作，在企业内逐步建立和融入信息安全的文化，提高整体安全水平是非常重要的。当然，这可能是一个漫长而艰难的过程。使用者如何应对23一起证券行业计算机犯罪案例凭借自己的耐心和别人的粗心，股市“菜鸟”严某非法侵入“股神通”10个单位和个人的股票账户，用别人的钱磨练自己的炒股技艺……————青年报，2003年12月时间：2003年6月地点：上海人物：26岁的待业青年严某案例24事情是这样的……2003年3月，严父在家中安装开通“股神通”业务，进行即时股票交易。2003年6月的一天，严某偶得其父一张股票交易单，上有9位数字的账号，遂动了“瞎猫碰死老鼠”的念头：该证券公司客户账号前6位数字是相同的，只需猜后3位；而6位密码，严某锁定为“123456”。严某”埋头苦干“，第一天连续输入了3000个数字组合，一无所获。第二天继续，很快”奇迹“出现，严某顺利进入一个股票账户。利用相同的方法，严某又先后侵入了10余个股票账户。严某利用别人的账户，十几天里共买进卖出1000多万元股票，损失超过14万元，直到6月10日案发。严某被以破坏计算机信息系统罪依法逮捕。案例25问题出在哪里……严某不算聪明，但他深知炒股的多是中老年人，密码设置肯定不会复杂。首先，作为股民，安全意识薄弱证券公司，在进行账户管理时也存在不足：初始密码设置太简单，没提醒客户及时修改等作为设备提供商，“股神通”软件设计里的安全机制太简单脆弱，易被人利用案例你的密码有多久没有更新了？是不是还是默认的密码？你的OA、银行账户、QQ、邮箱等等，密码是不是一样？针对系统出现的异常情况，你是否有足够的危机意识？你的网络是否是开放的，别人通过笔记本或者手机就可以轻松接入？如果内部人员想拷贝走资料，是不是特别容易？…………安全意识27计算机安全领域一句格言：“真正安全的计算机是拔下网线，断掉电源，放在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”这样的计算机是没法用了。绝对的安全是不存在的！没有绝对的安全高层牵头领导负责全员参与专人管理信息安全是一把手工程，信息安全是全员工程，信息安全工作是三分技术、七份管理。信息安全是全员工程安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程。29以往我们对信息安全的认识只停留在技术和产品上，是只见树木不见森林，只治标不治本其实，信息安全成败，三分靠技术，七分靠管理，技术一般但管理良好的系统远比技术高超但管理混乱的系统安全但以往我们的管理，只是粗浅的、静态的、不成体系的管理信息安全必须从整体去考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样的全程管理的路子，而整个的过程，必须有一套完整的文件体系来控制和指引这就是信息安全管理体系，应该成为组织整体管理体系的一部分信息安全管理体系信息安全最佳实践核心技术●专业产品●全面方案●咨询实施●教育培训All-in-one