1、信息安全意識(y sh)培訓集團IT中心(zhngxn)/IT應用管理部 孫興亞共七十九頁21234什么(shn me)是信息安全？怎樣(znyng)搞好信息安全？信息產業發展現狀主要內容信息安全基本概念共七十九頁3授之以魚不如(br)授之以漁產品(chnpn)技術更不如激之其欲意識談笑間，風險灰飛煙滅。引言共七十九頁4什么(shn me)是信息安全？不止(bzh)有產品、技術才是信息安全共七十九頁5信息安全無處不在信息安全 人員安全物理安全事件管理安全策略法律合規開發安全安全組織資產管理業務連續網絡安全訪問控制共七十九頁 一個軟件公司的老總，等他所有的員工(yungng)下班之后，他在那里想

2、：我的企業到底值多少錢呢？假如它的企業市值1億，那么此時此刻，他的企業就值2600萬。 因為據Delphi公司統計，公司價值的26%體現在固定資產和一些文檔上，而高達42%的價值是存儲在員工的腦子里，而這些信息的保護沒有任何一款產品可以做得到，所以需要我們建立信息安全管理體系，也就是常說的ISMS！6怎樣(znyng)搞好信息安全？共七十九頁7信息(xnx)在哪里？紙質文檔電子文檔員工其他(qt)信息介質小問題：公司的信息都在哪里？共七十九頁8小測試(csh)： 您離開家每次都關門(gunmn)嗎？ 您離開公司每次都關門嗎？ 您的保險箱設密碼嗎？ 您的電腦設密碼嗎？共七十九頁9答案(d n)解

3、釋： 如果(rgu)您記得關家里的門，而不記得關公司的門， 說明您可能對公司的安全認知度不夠。 如果您記得給保險箱設密碼，而不記得給電腦設密碼， 說明您可能對信息資產安全認識不夠。共七十九頁10這就是(jish)意識缺乏的兩大結癥(ji zhn)！不看重大公司，更看重小家庭。1家公司2鈔票更順眼，信息無所謂。共七十九頁11思想(sxing)上的轉變（一） 公司的錢，就是(jish)我的錢， 只是先放在,老板那里共七十九頁12WHY?信息安全搞好(o ho)了信息安全搞砸了公司賺錢了領導笑了領導怒了公司賠錢了你就“跌” 了你就“漲” 了共七十九頁13思想(sxing)上的轉變（二） 信息比鈔票更

4、重要，更脆弱，我們(w men)更應該保護它。共七十九頁14WHY?裝有100萬的 保險箱需要 3個悍匪、公司損失： 100萬裝有客戶信息的 電腦只要 1個商業間諜、1個U盤，就能偷走。公司損失：所有客戶！1輛車，才能偷走。共七十九頁15典型(dinxng)案例共七十九頁16安全(nqun)名言 公司(n s)的利益就是自己的利益，不保護公司(n s)，就是不保護自己。 電腦不僅僅是工具，而是裝有十分重要信息的保險箱。共七十九頁17絕對的安全(nqun)是不存在的絕對的零風險是不存在的，要想實現零風險，也是不現實的；計算機系統的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在

5、安全性和可用性，以及(yj)安全性和成本投入之間做一種平衡。 在計算機安全領域有一句格言：“真正安全的計算機是拔下網線，斷掉電源，放置在地下掩體的保險柜中，并在掩體內充滿毒氣，在掩體外安排士兵守衛。” 顯然，這樣的計算機是無法使用的。共七十九頁18安全(nqun)是一種平衡共七十九頁19安全(nqun)是一種平衡安全控制的成本(chngbn)安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平關鍵是實現成本利益的平衡共七十九頁信息的價值 = 使用信息所獲得的收益 獲取信息所用成本信息具備了安全(nqun)的保護特性20信息(xnx)的價值共七十九頁廣義上講 領域 涉及到信息的保密性

6、，完整性，可用性，真實性，可控性的相關技術和理論。本質上保護 系統的硬件，軟件，數據防止 系統和數據遭受破壞，更改，泄露保證 系統連續可靠正常地運行，服務不中斷兩個層面技術層面 防止外部用戶的非法入侵管理(gunl)層面 內部員工的教育和管理21信息安全的定義(dngy)共七十九頁22信息安全基本(jbn)目標保密性， 完整性， 可用性CIAonfidentiality ntegrityvailabilityCIA共七十九頁23信息(xnx)生命周期創建傳遞銷毀存 儲使用更改共七十九頁24信息產業(xn x chn y)發展迅猛截至2008年7月，我國固定電話已達到3.55億戶，移動電話用戶數

7、達到6.08億。截至2008年6月，我國網民數量達到了2.53億，成為世界上網民最多的國家，與去年同期相比，中國網民人數增加了9100萬人，同比增長達到56.2%。手機上網成為用戶上網的重要途徑，網民中的28.9%在過去半年曾經使用過手機上網，手機網民規模達到7305萬人。 2007年電子商務交易總額已超過2萬億元。目前，全國網站總數達192萬，中文網頁已達84.7億頁，個人博客/個人空間的網民比例達到42.3%。 目前，縣級以上96%的政府機構都建立了網站，電子政務正以改善公共服務為重點，在教育、醫療、住房等方面(fngmin)，提供便捷的基本公共服務。 共七十九頁25信息安全令人擔憂內地(

8、nid)企業44%信息安全事件是數據失竊 普華永道最新發布的2008年度全球信息安全調查報告顯示，中國內地企業在信息安全管理方面存在滯后，信息安全與隱私保障方面已被印度趕超。數據顯示，內地企業44%的信息安全事件與數據失竊有關，而全球的平均水平只有16%。普華永道的調查顯示，中國內地企業在改善信息安全機制上仍有待努力，從近年安全事件結果(ji gu)看，中國每年大約98萬美元的財務損失，而亞洲國家平均約為75萬美元，印度大約為30.8萬美元。此外，42%的中國內地受訪企業經歷了應用軟件、系統和網絡的安全事件。共七十九頁26安全事件（1）共七十九頁27安全事件（2）共七十九頁28安全事件（3）共

9、七十九頁29安全事件（4）共七十九頁30安全事件（5）共七十九頁31安全事件（6）熊貓(xingmo)燒香病毒的制造者-李俊 用戶電腦中毒后可能會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。同時，該病毒可以通過局域網進行傳播，進而感染局域網內所有計算機系統，最終導致企業(qy)局域網癱瘓，無法正常使用，它能感染系統中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件，該文件是一系統備份工具GHOST的備份文件，使用戶的系統備份文件丟失。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。 共七十九頁

10、32深度(shnd)分析共七十九頁33這樣(zhyng)的事情還有很多信 息 安 全迫 在 眉 睫！共七十九頁關鍵是做好預防(yfng)控制 隱患險于明火！預防重于救災！共七十九頁35小故事(gsh)，大啟發 信息安全點滴共七十九頁首先(shuxin)要關注內部人員的安全管理共七十九頁共七十九頁38 2007年11月，集安支行代辦員，周末晚上通過運營電腦，將230萬轉移到事先辦理的15張卡上，并一夜間在各ATM上取走38萬。周一被發現。 夜間(y jin)銀行監控設備未開放，下班后運營電腦未上鎖。 事實上，此前早有人提出過這個問題，只不過沒有得到重視。共七十九頁39典型(dinxng)案例：樂

11、購事件2005年9月7日，上海樂購超市金山店負責人到市公安局金山分局報案稱，該店在盤點貨物時發現銷售的貨物和收到的貨款不符，有可能款物被非法侵吞。上海市公安局經偵總隊和金山分局立即成立了專案組展開調查。專案組調查發現，樂購超市幾家門店貨物缺損率大大超過了業內千分之五的物損比例，缺損的貨物五花八門，油鹽醬醋等日常用品的銷售與實際收到的貨款差別很大。根據以往的案例，超市內的盜竊行為往往是針對體積小價值高的化妝品等物，盜竊者很少光顧油鹽醬醋等生活用品。奇怪的是，在超市的各個經營環節并沒有發現明顯漏洞(ludng)。考慮到錢和物最終的流向收銀員是出口，問題很可能出在收銀環節。警方在調查中發現，收銀系統

12、軟件的設計相對嚴密，除非是負責維護收銀系統的資訊小組職員和收銀員合謀，才有可能對營業款項動手腳。經過深入調查，偵查人員發現超市原有的收銀系統被裝入了一個攻擊性的補丁程序，只要收銀員輸入口令、密碼，這個程序會自動運行，刪除該營業員當日20左右的銷售記錄后再將數據傳送至會計部門，造成會計部門只按實際營業額的80向收銀員收取營業額。另20營業額即可被侵吞。能夠在收銀系統中裝入程序的，負責管理、更新、維修超市收銀系統的資訊組工作人員嫌疑最大。 警方順藤摸瓜，挖出一個包括超市資訊員、收銀員在內的近40人的犯罪團伙。據調查，原樂購超市真北店資訊組組長方元在工作中發現收銀系統漏洞，設計了攻擊性程序，犯罪嫌疑

13、人于琪、朱永春、武侃佳等人利用擔任樂購超市多家門店資訊工作的便利，將這一程序植入各門店收銀系統；犯罪嫌疑人陳煒嘉、陳琦、趙一青等人物色不法人員，經培訓后通過應聘安插到各家門店做收銀員，每日將侵吞贓款上繳到犯罪團伙主犯方元、陳煒嘉、陳琦等人手中，團伙成員按比例分贓。一年時間內，先后侵吞樂購超市真北店、金山店、七寶店374萬余元。犯罪團伙個人按比例分得贓款數千元至50萬元不等共七十九頁關于員工安全管理(gunl)的建議 根據不同崗位(gng wi)的需求，在職位描述書中加入安全方面的責任要求，特別是敏感崗位(gng wi) 在招聘環節做好人員篩選和背景調查工作，并且簽訂適當的保密協議 在新員工培訓

14、中專門加入信息安全內容 工作期間，根據崗位需要，持續進行專項培訓 通過多種途徑，全面提升員工信息安全意識 落實檢查監督和獎懲機制 員工內部轉崗應做好訪問控制變更控制 員工離職，應做好交接和權限撤銷共七十九頁切不可忽視(hsh)第三方安全共七十九頁42 2003年，上海某家為銀行提供ATM服務的公司，軟件工程師蘇強。利用自助網點安裝調試的機會，繞過加密程序Bug，編寫并植入一個監視軟件，記錄用戶卡號、磁條信息和密碼，一個月內，記錄下7000條。然后拷貝到自己電腦上，刪掉植入的程序。 后來蘇強去讀研究生，買了白卡和讀卡器，偽造銀行卡，兩年內共提取6萬元。只是因為偶然原因被發現，公安機關通過檢查網上

15、查詢客戶信息的IP地址追查(zhuch)到蘇強，破壞案件。共七十九頁43北京(bi jn)移動電話充值卡事件31歲的軟件工程師程稚瀚，在華為工作期間，曾為西藏移動做過技術工作，案發時，在UT斯達康深圳分公司工作。2005年3月開始，其利用為西藏移動做技術時使用的密碼（此密碼自程稚瀚離開后一直沒有更改），輕松進入了西藏移動的服務器。通過西藏移動的服務器，程稚瀚又跳轉到了北京移動數據庫，取得了數據從2005年3月至7月，程稚瀚先后4次侵入北京移動數據庫，修改充值卡的時間和金額，將已充值的充值卡狀態改為未充值，共修改復制出上萬個充值卡密碼。他還將盜出的充值卡密碼通過淘寶網出售，共獲利370余萬元。

16、直到2005年7月，由于一次“疏忽”，程稚瀚將一批充值卡售出時，忘了修改使用期限，使用期限仍為90天。購買到這批充值卡的用戶因無法使用便投訴到北京移動，北京移動才發現(fxin)有6600張充值卡被非法復制，立即報警。 2005年8月24日，程稚瀚在深圳被抓獲，所獲贓款全部起獲。 共七十九頁關于(guny)第三方安全管理的建議 識別所有相關第三方：服務提供商，設備提供商，咨詢顧問，審計機構，物業，保潔等 識別所有與第三方相關的安全風險，無論是牽涉到物理訪問還是(hi shi)邏輯訪問 在沒有采取必要控制措施，包括簽署相關協議之前，不應該授權給外部伙伴訪問。應該讓外部伙伴意識到其責任和必須遵守的

17、規定 在與第三方簽訂協議時特別提出信息安全方面的要求，特別是訪問控制要求 對第三方實施有效的監督，定期Review服務交付共七十九頁物理(wl)環境中需要信息安全共七十九頁在自助銀行入口刷卡器下方粘上一個黑色小方塊，叫“讀卡器”，罩上一個加長的“殼”，把銀行的刷卡器和讀卡器一起藏在里面，一般人很難發現。取款人在刷卡進門時，銀行卡上的全部信息就一下被刷進了犯罪分子的讀卡器上。 在取款機窗口內側頂部，粘上一個貼著“ATM”字樣的“發光(f un)燈”。這個“發光(f un)燈”是經過特殊改造的，里面用一塊手機電池做電源，連接兩個燈泡，核心部分則是一個MP4。取款人取款時的全過程被犯罪分子裝的“針孔

18、攝像機”進行了“實況錄像”。 ATM詐騙(zhpin)三部曲取款人一走，犯罪分子立即收“家伙”進車，先把MP4連上筆記本電腦，回放錄像記下取錢人按下的密碼，接著再連上讀卡器，同時再在電腦上連上一個叫“寫卡器”的長條形東西。這時，他們隨便拿出一張卡，不管是澡堂充值卡，還是超市禮品卡，只要是帶磁條的，只要在寫卡器里過一下，此卡就被成功“克隆”成一張“有實無名”的銀行卡了。 共七十九頁您的供電系統(n din x tn)真的萬無一失？是一路電還是(hi shi)兩路電？兩路電是否一定是兩個輸電站？有沒有UPS？UPS能維持多久？有沒有備用發電機組？備用發電機是否有充足的油料儲備？共七十九頁另一個與物

19、理安全(nqun)相關的案例時間：2002年某天夜里地點：A公司的數據中心大樓人物(rnw)：一個普通的系統管理員 一個普通的系統管理員，利用看似簡單的方法，就進入了需要門卡認證的數據中心 來自國外某論壇的激烈討論共七十九頁情況(qngkung)是這樣的 A公司的數據中心是重地，設立了嚴格的門禁制度，要求必須插入門卡才能進入。不過，出來時很簡單，數據中心一旁的動作探測器會檢測到有人朝出口走去，門會自動打開 數據中心有個系統管理員張三君，這天晚上加班到很晚，中間離開(l ki)數據中心出去夜宵，可返回時發現自己被鎖在了外面，門卡落在里面了，四周別無他人，一片靜寂 張三急需今夜加班，可他又不想打擾

20、他人，怎么辦？共七十九頁一點線索(xin su)： 昨天曾在接待區慶祝過某人生日，現場還未清理干凈，遺留下很多雜物，哦，還有氣球共七十九頁聰明(cngmng)的張三想出了妙計 張三找到一個氣球，放掉氣 張三面朝大門(dmn)入口趴下來，把氣球塞進門里，只留下氣球的嘴在門的這邊 張三在門外吹氣球，氣球在門內膨脹，然后，他釋放了氣球 由于氣球在門內彈跳，觸發動作探測器，門終于開了共七十九頁問題(wnt)出在哪里 如果門和地板齊平且沒有(mi yu)縫隙，就不會出這樣的事 如果動作探測器的靈敏度調整到不對快速放氣的氣球作出反應，也不會出此事 當然，如果根本就不使用動作探測器來從里面開門，這種事情同樣

21、不會發生共七十九頁總結(zngji)教訓 雖然(surn)是偶然事件，也沒有直接危害，但是潛在風險 既是物理安全的問題，更是管理問題 切記！有時候自以為是的安全，恰恰是最不安全！物理安全非常關鍵！共七十九頁關于(guny)物理安全的建議 將敏感設備和信息放置在受控的安全區域 所有到受控區域的入口都應該加鎖、設置門衛，或者以某種方式進行監視，并做好進出登記 如果進出需要ID徽章，請隨身帶好，嚴禁無證進入(jnr) 鑰匙和門卡僅供本人使用，不要交給他人使用 嚴格控制帶存儲和攝像功能的手持設備的使用 使用公共區域的打印機、傳真機、復印機時，一定不要遺留敏感文件 移動電腦是惡意者經常關注的目標，一定要

22、注意保護 使用碎紙機，謹防敏感文件通過垃圾簍而泄漏 如果發現可疑情況，請立即報告共七十九頁日常工作需特別(tbi)留意信息安全共七十九頁56 移動介質管控的要求與落實脫節(tu ji) “擺渡攻擊” 涉密網絡中的泄密現象共七十九頁關于口令(kulng)的一些調查結果 一個有趣的調查發現，如果你用一條巧克力來作為交換，有70的人樂意告訴你他（她）的口令 有34的人，甚至不需要賄賂，就可奉獻自己的口令 另據調查，有79的人，在被提問時，會無意間泄漏足以被用來竊取其身份的信息 姓名、寵物名、生日、球隊名最常被用作口令 平均每人要記住四個口令，大多數人都習慣使用相同的口令（在很多需要口令的地方） 33

23、的人選擇將口令寫下來，然后(rnhu)放到抽屜或夾到文件里共七十九頁什么樣的口令是比較(bjio)脆弱的？ 少于8個字符 單一的字符類型，例如只用小寫字母，或只用數字 用戶名與口令相同 最常被人使用的弱口令： 自己(zj)、家人、朋友、親戚、寵物的名字 生日、結婚紀念日、電話號碼等個人信息 工作中用到的專業術語，職業特征 字典中包含的單詞，或者只在單詞后加簡單的后綴 所有系統都使用相同的口令 口令一直不變共七十九頁口令(kulng)安全建議 應該設置強口令 口令應該經常更改，比如3個月 不同的系統或場所應使用不同的口令 一定要即刻更改系統的缺省或初始化口令 不要與任何人共享你的口令 不要把口令

24、寫在紙上 不要把口令存儲在計算機文件中 輸入口令時嚴防有人偷看(tu kn) 如果有人在電話中向你索取口令，拒絕后立即報告 如果發覺有人獲知你的口令，立即改變它共七十九頁從一點一滴(y din y d)做起！從自身(zshn)做起！共七十九頁61IT安全(nqun)問題1、一般情況下，個人計算機在（ ） 分鐘的非活動狀態里要求自動激活屏幕(pngm)鎖定 A、5分鐘 B、10分鐘C、15分鐘 D、30分鐘共七十九頁62IT安全(nqun)問題2、下列說法錯誤的是( )A、個人計算機操作系統必須設置口令。 B、在每天工作結束(jish)時，將便攜電腦妥善保 管，如鎖入文件柜。 C、離開自己的計算

25、機時，必須激活具有密碼保護的屏幕保護程序。 D、為方便第二天工作，下班后可以不用關閉計算機。共七十九頁63IT安全(nqun)問題3、口令要求至少（ ）更換一次 A、3個月 B、6個月 C、1年 D、可以一直使用一個(y )口令 ，不用修改。共七十九頁64IT安全(nqun)問題4、下列關于個人計算機的訪問密碼設置要求，描述錯誤的是（ ）：A、密碼要求至少設置8位字符長。B、為便于記憶，可將自己生日作為密碼。C、禁止使用前兩次的密碼 D、如果需要訪問不在公司控制下的計算機系統，禁止選擇(xunz)在公司內部系統使用的密碼作為外部系統的密碼。 共七十九頁65IT安全(nqun)問題5、下列關于外

26、網使用說法(shuf)錯誤的是（ ）：A、外網只能從分公司一點接入。B、地市公司或管理部門為方便外網使用，可自己向電信申請開通ADSL外網接入。C、外網接入須經過防火墻以加強安全防護。D、只使用有授權訪問的服務。不要嘗試訪問未經授權的互聯網系統或服務器端口 。共七十九頁66IT安全(nqun)問題6、用upload賬戶通過分公司85服務器上傳文件文件，描述錯誤的是（ ） A、需保密(bo m)的文件上傳前應該做加密處理。B、在對方下載后立即從FTP服務器上刪除自己所傳文件。C、不可將分公司FTP服務器當作自己重要數據文件的備份服務器。D、上傳后的文件可以不用處理，一直放到分公司FTP服務器上。

27、共七十九頁67IT安全(nqun)問題7、關于個人計算機數據備份描述錯誤的是（）A、備份的目的是有效保證個人計算機內的重要信息在遭到損壞時能夠及時恢復。B、個人計算機數據備份是信息技術部的事情，應由信息技術部負責完成。C、員工應根據個人計算機上信息的重要程度和修改頻率定期對信息進行備份。D、備份介質(jizh)必須要注意防范偷竊或未經授權的訪問。 共七十九頁68IT安全(nqun)問題8、關于電子郵件的使用，描述錯誤的是（ ）A、不得散發可能被認為不適當的，對他人不尊重或提倡違法行為的內容；B 、可以自動轉發公司內部郵件到互聯網上；C 、禁止使用非CPIC 的電子郵箱，如YAHOO，AOL，H

28、OTMAIL 等交換(jiohun)CPIC公司信息；D、非CPIC 授權人員禁止使用即時通訊軟件，如MSN 交換CPIC 公司信息。 共七十九頁69IT安全(nqun)問題9、下列關于病毒防護描述錯誤的是（ ）A、個人工作站必須安裝統一部署的防病毒軟件，未經信息技術部批準不得擅自安裝非本公司指定的防病毒軟件。 B、如果從公共資源得到程序（比如，網站，公告版），那么在使用之前(zhqin)需使用防病毒程序掃描。C、在處理外部介質之前應用防病毒軟件掃描。D、個人計算機上安裝了防病毒軟件即可，不用定期進行病毒掃描。共七十九頁70IT安全(nqun)問題10、位于高風險區域的移動計算機，例如(lr)

29、，在沒有物理訪問控制的區域等應設屏幕鎖定為（ ）分鐘，以防止非授權人員的訪問；A、5分鐘 B、10分鐘C、15分鐘 D、30分鐘共七十九頁71IT安全(nqun)問題11、關于數據保存，說法(shuf)錯誤的是（ ）A、將重要數據文件保存到C盤或者桌面。B、定期對重要數據文件用移動硬盤或光盤進行備份。C、將重要數據文件保存到C盤外的其它硬盤分區。共七十九頁72IT安全(nqun)問題12、關于代碼權限管理規定說法錯誤的是（）A、非在編人員不能加代碼，試用期員工可加代碼。 B、為方便工作，同事之間的代碼可以相互借用。C、出單和理賠操作員經培訓、考試合格才能申請權限 。D、人員離職后，人員代碼及相應(xingyng)權限應立即予以清理。共七十九頁73IT安全(nqun)問題13、使用者必須向分公司信息技術部提出書面申請并