搜索
信息安全系列培训-安全意识Trendsetting22222主题安全意识培训目标现实教训问题根源员工信息安全管理规范Trendsetting3什么是安全意识安全意识(Securityawareness),就是能够认知可能存在的安全问题,明白安全事故对组织的危害,恪守正确的行为方式,并且清楚在安全事故发生时所应采取的措施。什么是安全意识Trendsetting4安全意识培训目标从小事做起,从自身做起形成遵守各项安全策略和制度规范的习惯安全意识培训目标Trendsetting您身边的信息安全问题信息泄密战略规划泄露公司重要市场策划泄露工资信息泄露产品资料泄露投标价格泄露客户信息泄露供应商信息泄露上市公司经营报告泄露邮件信息泄露Trendsetting您身边的信息安全问题IT系统安全问题核心系统宕机数据丢失无法恢复专线出口被封全网或某个网段瘫痪邮件域名被列入黑名单数据错误导致重大损失重要的计算机瘫痪系统崩溃备份无效网络遭公安机关检查Trendsetting您身边的信息安全问题员工安全问题将账户口令告诉同事口令记在本子上使用初始口令或空口令打印后不及时取走资料公共场所谈了公司业务计算机交接给他人介质随意借用离开办公位不锁屏重要资料随意堆放Trendsetting只重视技术导致的泄密事件Trendsetting只重视技术导致的泄密事件•如果有这样一个管理制度,事件就不会发生•如果有这样一个管理制度损失就不会如此大项目验收制度明确要求修改原始口令安全产品维护制度明确每天查看并分析日志Trendsetting没有管理流程导致的破坏完整性事件•业务人员在ERP系统中录入订单•录入时把数量多录了一个0,导致1000万的订单变成1亿订单•半个月以后发现问题•直接经济损失达到3000万•企业信用也受到了严重影响Trendsetting没有管理流程导致的破坏完整性事件•如果有以下任何一个管理环节,事件就不会发生•订单录入后有人审核或审批•大额订单有提示和告警功能•如果大家的责任心都很强Trendsetting没有管理流程导致系统不可用的事件•开发人员向服务器管理员申请一台服务器做开发测试•服务器管理员告诉开发人员服务器在机房的位置,服务器的特征,让开发人员自己搞定•开发人员发现服务器在运行,登陆不了,便重启了服务器,直接用光盘引导重装操作系统•正在运行的业务系统服务器被格式化,业务软件、数据丢失,业务停顿了半天Trendsetting没有管理流程导致系统不可用的事件•如果有以下任何一个管理环节,事件就不会发生•服务器、机架有明确的编号•服务器有BIOS开机口令•服务器禁用光驱或者不允许光盘引导•机房重地不允许其他人进入或者必须由管理员陪同Trendsetting14–保护信息安全不仅仅是对付病毒、黑客,不安全因素存在于人员、技术和过程的方方面面。–应当根据“木桶原理”对信息安全进行管理,即对信息安全行涉及的各个环节进行综合考虑、规划和构架;同时,信息安全管理是一个动态的过程,要根据组织内不断发生的变化,及时发现并修补安全方面存在的“短板”。–国际标准ISO27001为信息安全管理提供了由14个域共113项安全措施组成的完备控制框架,建立并完善信息安全管理体系(ISMS),以实现信息安全管理的制度化与标准化,保护组织信息资产的机密性、完整性与可用性。建立信息安全管理体系,保护信息资产安全•[相关案例]2005年11月1日、12月8日,东京证交所罕见的连续两次技术故障,造成了数亿美元的经济损失,引起全球关注。2005年12月8日,日本瑞穗证券公司的一名经纪人在向交易系统中输入数据时,出现重大操作失误,使证券公司在16分钟之内蒙受了高达270亿日元(约合18.5亿人民币)的损失,造成日本证券交易史上前所未有的重大事故。中国国内2006年5月以来A股井喷式行情对于证券公司技术系统普遍带来压力,由于数据库容量与通讯带宽限制导致明显的交易延迟和功能错误,这种现象在全球多数证券公司都曾出现过。[安全启示]Trendsetting152014年10月11日星期六–这位信息中心主任所说的防病毒策略就是信息安全策略的一种。安全策略的制定与正确实施不仅能促进全体员工参与到保障组织信息安全的行动中来,而且能有效地降低由于人为因素造成的信息安全损失。–我们需要根据ISO27001的要求,在全行范围内建立信息安全方针、信息安全策略,以规范与指导员工在日常业务活动中遵守安全规则,保护本所信息资产的安全,保障本所业务活动连续性。–我们需要建立以“保护信息资产安全,保障业务持续运行”、“信息安全,人人有责”为主旨的信息安全方针,并针对各个安全域制定了相应的安全策略。信息安全方针与策略•[相关案例]春节后上班的第一天,某集团公司信息中心的网络管理员,打开了节日期间关闭的邮件服务器,刚上班的员工们都忙着下载和浏览积压的邮件,他们没有想到一场灾难正慢慢逼近,由于刚打开的邮件服务器的防病毒软件没有即时更新病毒库,邮件中夹带的病毒迅速泛滥,很快就使网络及服务器无法正常工作。在花了很大的精力还无法清理病毒的情况下,信息中心主任感慨地说“要是早制定了即时更新的防病毒策略,并严格遵守,就不会吃这么大的苦头了!...”[安全启示]Trendsetting162014年10月11日星期六•[相关案例][安全启示]一艘载着船员和士兵的寻宝船在大海中游弋,海面波涛汹涌,大雾弥漫,储存的食品和淡水已经不多了。船员和士兵对海船的航向产生了争执。将军认为应该穿过海峡直抵宝岛,以节省时间,增加生存的希望。而船长这时认为海峡里风浪太大,应该绕行抵达。将军认为他有佩剑,海船应该向佩剑指点的方向前进;船长认为在大海上,一切都应该听船长的而不是将军的。最后将军用佩剑胁迫船长向海峡挺进,结果,船行驶到海峡中央,被迎头的巨浪掀翻,船员和士兵都在风浪中沉没了…–这个小故事中的道理同样适用于组织的信息安全管理,组织要达到对信息安全的有效保护,首先要通过信息安全方针确定方向,并建立有效的信息安全组织,以协调、监控安全目标的实现。–需要建立信息安全工作委员会,明确了信息安全管理领导小组、工作小组及部门信息安全管理员的职责。通过多层次的教育与培训,提高人员安全意识与技能。–信息安全不仅要在组织内部沟通,而且要与上级监管机构、合作单位、外部的安全专家、安全组织等进行良好的沟通与协作;要把安全责任落实到每一个员工身上和外部人员身上。信息安全组织Trendsetting172014年10月11日星期六…–ISO27001中对信息资产的定义:“信息是一种资产,像其他重要的业务资产一样,对组织具有价值,因此需要妥善保护”。–我们习惯于把计算机软硬件、通讯设备、介质等看成信息资产,而不习惯于把对组织有重要价值的档案资料、人员、企业形象、服务等看作是信息资产,往往忽略了对这些信息资产的保护,实际上这些信息资产对组织的业务持续性来说是至关重要的。–我们根据国家标准和ISO27001的要求,对行内的各类信息资产进行了识别,并进行科学而有效的分类,在各个层面上对信息资产落实管理责任。•[相关案例][安全启示]从2005年国内总共近50亿元的信息安全市场情况看,防火墙、防病毒、入侵检测系统等占了绝大部分,机构花费在信息安全管理咨询、安全教育培训方面的费用微乎其微。英国泰晤士报曾对企业知识储存方式做了一个调查,结果发现在企业的知识结构中,26%的知识以纸质文件的形式储存,20%的知识以电子文件存储,42%的知识储存在员工的头脑中,12%以其他形式存在。这就是说企业花了绝大部分的钱,只保护了占信息资产20%的数据资产!而且目前的技术手段还谈不上100%地有效保护这20%的数据资产……信息资产安全Trendsetting18•[相关案例]–人是信息安全管理中最活跃的因素,人的行为是信息安全保障最主要的方面。人,特别是内部员工既可以是组织最可靠的安全防线,也可能是组织信息安全的最大潜在威胁,”技术防火墙“并不能解决所有问题。–为建立可靠的”人力防火墙“,我们需要从任用前、任用中、任用后三个方面建立了对人力资源进行管理的信息安全制度,如人员信息安全守则、保密协议,并规划了安全意识教育与技能培训,通过结合人力资源管理措施以及企业安全文化熏陶,有计划有步骤地把人员从“最大威胁”转变到“最可靠防线”。如果有一个地下组织付给黑客100万元经费,让黑客去破解一个高度安全的系统(比如电子商务的网上支付系统),黑客如何最高效率地实现目标?许多黑客首选的方法是:“从内部突破,贿赂员工,以合法身份进入系统…”在实际的信息安全实践中,我们忽略的恰恰就是对人的管理。公安部曾作过统计,70%的泄密犯罪来自于组织内部;电脑应用单位80%未设立相应的信息安全管理体系;58%无严格的信息安全管理制度。如果相关技术人员违规操作(如管理员泄露密码),即便组织有最好的安全技术的支持,也不能完全保证信息安全。[安全启示]人力资源安全Trendsetting19–我们需要根据物理类资产的重要性和敏感性,划分物理安全区域,确定的相应安全保护范围,并采取了包括安全标识、保卫、门禁、摄像等各种物理安全控制措施。–我们还需要考虑设备安置、供电、消防、电缆与设备维护、办公场所外的设备及设备处置与再利用方面的安全控制。•[相关案例][安全启示]我们在防备黑客进入组织内部网络盗窃敏感信息时,不要忘了少数非授权的内部人员(如:心怀不满的员工),或外部人员(如:伪装成勤杂工、送货工的盗窃分子)的威胁,这些人员可能不具备IT知识,可是他们通过盗窃、破坏对组织信息设施所造成的损失,有时甚至超过技术高超的职业黑客。我们经常从媒体上看到这样的报道,一些公司、机关及高校的机房经常会发生盗窃案件,小偷趁人员疏忽、节假日外出、夜晚睡觉不关房门或外出不锁门等机会,偷盗台式电脑、笔记本电脑或掌上电脑,或者拆走电脑的CPU、硬盘、内存条等部件,使组织的业务被迫中断,并造成很大的经济损失。物理与环境安全Trendsetting20–我们的主要业务都构架在IT上,对IT的基础架构、应用系统的实施有效的运行管理是保障我们业务持续性的重要基础。–根据ISO27001的要求,我们需要从运行程序和落实责任、第三方服务交付管理、系统规划和验收、防范恶意代码和移动代码、备份、网络安全管理、介质处理、信息和软件交换、电子商务服务、监视等方面建立必要的策略与程序,以指导通信与运行管理工作。•[相关案例][安全启示]2001年6月,NASDAQ当机长达半天,原因是操作人员做了一个未经测试的变更动作,结果导致整个系统停机。同样也是在2001年6月,NYSE在半夜做了一次软件更新,导致部份系统当机,无法完成股票买卖交易。2006年国内因为通信和运行方面的问题发生的信息安全事件有:银联计算机故障造成不能跨行取款、大量网银用户网上银行存款被盗、首都机场离港系统多次故障…通信和运行管理Trendsetting212014年10月11日星期六–访问控制是指通过计算机终端及网络来使用信息处理系统并访问数据资源的行为进行控制。在网络广泛互联的今天,采用技术与管理手段建立访问控制己是保障信息安全的重要手段。–我们需要通过建立访问控制安全策略与制度,对以下访问控制方面进行了有效管理:用户访问管理、用户责任、网络访问控制、操作系统访问控制、应用系统访问控制、检测系统的访问与使用、移动计算与远程工作。•[相关案例][安全启示]全球平均20秒就发生一次计算机病毒入侵,互联网上的防火墙大约25%被攻破;窃取商业信息的事件以每月260%的速度增加;组织发生信息安全事件的首要原因是病毒,其次是内部员工的非授权访问。公安部公共信息网络安全监察局2006年8月25日发布的一项调查报告显示,54%的被调查单位发生过重大信息安全事件,比去年上升了5%,其中发生过3次以上的占22%,比去年上升7%。73%的信息安全事件是由于未修补或防范软件漏洞而导致的非授权访问。访问控制Trendsetting22–在软件开发过程中的进行质量管理、职责分离,以及在需求中集成安全措施,才能真正