搜索
信息安全管理培训主要内容信息安全管理介绍1信息系统等级保护工作2如何做好银行信息安全3威胁无处不在信息资产内部人员威胁黑客渗透木马后门病毒和蠕虫流氓软件拒绝服务社会工程地震雷雨失火供电中断网络通信故障硬件故障系统漏洞采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。什么是信息安全信息安全防护重点信息防泄露内容防篡改内部防越权网络防攻击系统防入侵信息安全防护重点信息安全基本目标CIAOnfidentiality(机密性)Ntegrity(完整性)Vailability(可用性)CIA信息安全最终目标ConfidentialityIntegrityAvailabilityInformation信息安全的最终目标是为了保证业务的高效稳定运行因果关系信息安全发展趋势1可信化2网络化3标准化4集成化因果关系计算机安全领域一句格言:“真正安全的计算机是拔下网线,断掉电源,放在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。”绝对的安全是不存在的信息安全发展趋势安全vs.可用——平衡之道在可用性(Usability)和安全性(Security)之间是一种相反的关系提高了安全性,相应地就降低了易用性而要提高安全性,又势必增大成本管理者应在二者之间达成一种可接受的平衡(一)计算机病毒肆虐,影响操作系统和网络性能(二)内部违规操作难于管理和控制(三)来自外部环境的黑客攻击和入侵(四)软硬件故障造成服务中断、数据丢失(五)人员安全意识薄弱,缺乏必要技能常见信息安全问题(一)、计算机病毒肆虐,影响操作系统和网络性能系统病毒感染特定类型的文件,破坏操作系统的完整性,破坏硬盘数据,破坏计算机硬件。病毒前缀为:win32,PE,Win95等。例如CIH病毒;蠕虫病毒利用操作系统漏洞进行感染和传播,产生大量垃圾流量,严重影响网络性能。病毒前缀:Worm,例如冲击波病毒;(一)、计算机病毒肆虐,影响操作系统和网络性能木马病毒、黑客病毒实现对计算机系统的非法远程控制、窃取包含敏感信息的重要数据,木马病毒前缀:Trojan,黑客病毒前缀为Hack.后门病毒前缀:Backdoor,该类病毒的公有特性是通过网络传播,给系统开后门。(360?)其他:脚本病毒、宏病毒、玩笑病毒等。(二)、内部违规操作难于管理和控制计算机使用权限划分不明确,无法满足最小授权的基本原则;内部用户使用BT或者EMule等P2P软件下载文件和影视数据,挤占因特网出口带宽,威胁正常应用的服务质量;内部用户发起的攻击行为和违规操作,难于被检测和发现。案例12009年6月9日,深圳福彩双色球开出5注一等奖,奖金3305万元。调查发现该5注一等奖是深圳市某技术公司软件开发工程师程某,利用在深圳福彩中心实施技术合作项目的机会,通过木马程序,攻击了存储福彩信息的数据库,并进一步进行了篡改彩票中奖数据的恶意行为,以期达到其牟取非法利益的目的。(三)、来自外部环境的黑客攻击和入侵非法获取服务器主机的控制权限,任意使用系统计算资源,例如开启因特网服务,免费使用硬盘空间,将服务器作为入侵跳板或者傀儡主机;对服务器主机发起渗透性攻击和入侵,破坏原有数据,恶意篡改网页,造成严重的声誉损失,或者非法获取控制权限,继而盗窃敏感信息和数据。网络钓鱼,通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息)的一种攻击方式。案例22007年3月14日,灰鸽子木马团伙调动上万台“肉鸡”组成的“僵尸网络”,对金山毒霸官方网站进行疯狂的攻击,造成浏览金山毒霸网站的用户被挟持到幕后黑手指定的网站。案例32009年7月14日,土耳其使馆遭黑客攻击变身一夜情网站。云安全中心最新的监测数据显示,14日土耳其驻华大使馆的官网受到两个不同的黑客团伙同时攻击,结果沦为两个团伙的“聊天室”。案例42004年7月19日,恶意网站伪装成联想的主页(四)、软硬件故障造成服务中断、数据丢失缺乏数据备份手段,一旦数据丢失,就不可恢复。骨干网络设备以及服务器主机出现单点故障,造成服务中断,业务停顿;硬盘损坏,造成业务数据丢失;(五)、人员安全意识薄弱,缺乏必要技能管理层对信息安全建设重视程度不够,不能推动自顶向下的安全管理;关键技术人员缺乏必要的知识储备和操作技能,难以胜任岗位要求;普通用户没有建立正确的安全意识和安全的操作习惯,非恶意的误操作将大量本可避免的安全问题引入企业IT系统。最常犯的一些错误将口令写在便签上,贴在电脑监视器旁开着电脑离开,就像离开家却忘记关灯那样轻易相信来自陌生人的邮件,好奇打开邮件附件使用容易猜测的口令,或者根本不设口令丢失笔记本电脑不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息随便拨号上网,或者随意将无关设备连入公司网络事不关己,高高挂起,不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁,忽视企业内部人员的问题会后不擦黑板,会议资料随意放置在会场主要内容信息安全管理介绍1信息系统等级保护工作2如何做好信息安全工作32、信息等级保护工作信息系统安全等级划分一级二级三级四级五级自主保护级指导保护级监督保护级监控保护级强制保护级等保5级划分第一级信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。信息系统运营、使用单位依照国家有关管理规范和技术标准进行保护。第二级信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。等保5级划分第四级信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统受到破坏后,会对国家安全造成特别严重损害;信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。等保测评过程中突出的问题问题1个别网络逻辑区域划分不合理,生产网和办公网混在一起问题2使用Telnet方式远程管理网络设备和安全设备,登录设备的用户名、口令在网络中明文传输。问题3数据库\操作系统密码策略不符合要求,如弱口令,并且没有设置登录失败的处理措施。问题4部分应用系统业务用户口令的长度、复杂度、更换周期、管理账户登录失败次数等限制功能较弱,无法对身份鉴别策略进行配置。等保测评过程中突出的问题问题5机房内没有部署防盗报警装置。问题7没有对关键岗位的人员进行全面、严格的安全审查和技能考核或考核结果没有归档保存。问题8重要员工之间没有形成相互制约关系。问题6视频监控记录保存时间较短。主要内容信息安全管理介绍1信息系统等级保护工作2如何做好信息安全工作3技术手段物理安全:环境安全、设备安全、媒体安全系统安全:操作系统及数据库系统的安全性网络安全:网络隔离、访问控制、VPN、入侵检测、扫描评估应用安全:Email安全、Web访问安全、内容过滤、应用系统安全数据加密:硬件和软件加密,实现身份认证和数据信息的CIA特性认证授权:口令认证、SSO认证、证书认证等访问控制:防火墙、访问控制列表等审计跟踪:入侵检测、日志审计、辨析取证防杀病毒:单机防病毒技术逐渐发展成整体防病毒体系灾备恢复:业务连续性,前提就是对数据的备份信息安全管理关键点技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂信息安全管理构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标尤其重要唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实七分管理三分技术信息安全管理的几个关注点物理安全第三方安全内部人员安全重要信息的保密介质安全口令安全信息交换及备份漏洞管理与恶意代码应急与业务连续性法律和政策工作环境安全应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;应指定部门负责机房安全,指派专人担任机房管理员,对机房的出入进行管理,每天巡查机房运行状况,对机房供配电、空调、温湿度控制等设施进行维护管理,填写机房值班记录、巡视记录;关键安全区域包括服务器机房、财务部门和人力资源部门、法务部、安全监控室应具备门禁设施前台接待负责检查外来访客证件并进行登记,访客进入内部需持临时卡并由相关人员陪同实施7×24小时保安服务,检查保安记录物理安全建议所有入口和内部安全区都需部署有摄像头,大门及各楼层入口都被实时监控禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎纸机粉碎应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等;应对机房和办公环境实行统一策略的安全管理,对出入人员进行相应级别的授权,对进入重要安全区域的活动行为实时监视和记录。信息安全管理的几个关注点物理安全第三方安全内部人员安全重要信息的保密介质安全口令安全信息交换及备份漏洞管理与恶意代码应急与业务连续性法律和政策案例案例一:2003年,上海某家为银行提供ATM服务的公司,软件工程师苏强。利用自助网点安装调试的机会,绕过加密程序Bug,编写并植入一个监视软件,记录用户卡号、磁条信息和密码,一个月内,记录下7000条。然后拷贝到自己电脑上,删掉植入的程序。后来苏强去读研究生,买了白卡和读卡器,伪造银行卡,两年内共提取6万元。只是因为偶然原因被发现,公安机关通过检查网上查询客户信息的IP地址追查到苏强,破坏案件。案例二:北京移动电话充值卡事件第三方安全建议识别所有相关第三方:服务提供商,设备提供商,咨询顾问,审计机构,物业,保洁等。识别所有与第三方相关的安全风险,无论是牵涉到物理访问还是逻辑访问。在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定。在与第三方签订协议时特别提出信息安全方面的要求,特别是访问控制要求。对第三方实施有效的监督,定期Review服务交付。信息安全管理的几个关注点物理安全第三方安全内部人员安全重要信息的保密介质安全口令安全信息交换及备份漏洞管理与恶意代码应急与业务连续性法律和政策内部人员安全背景检查签署保密协议安全职责说明技能意识培训绩效考核和奖惩内部职位调整及离职检查流程内部人员安全建议所有员工必须根据需要接受恰当的安全培训和指导根据工作所需,各部门应该识别并评估员工的培训需求业务部门应该建立并维持员工安全意识程序,确保员工通过培训而精于工作技能,并将信息安全意识深入其工作之中管理层有责任引领信息安全意识促进活动信息安全意识培训应该持续进行,员工有责任对培训效果提出反馈人力资源部门负责跟踪培训策略的符合性,保留员工接受培训的相关记录信息安全经理应该接受专门的信息安全技能培训技术部门等特定职能和人员应该