信息安全意識培訓V1-20150928

1、信 息 安 全 意 識豪爵鈴木豪爵鈴木 IT部部信 息 安 全主要內容1234什么是信息安全？怎樣搞好信息安全？信息產業(yè)發(fā)展現(xiàn)狀信息安全基本概念23引言引言4什么是信息安全？什么是信息安全？ 不止有產品、技術才是信息安全5信息安全無處不在信息安全無處不在 一個軟件公司的老總，等他所有的員工下班之一個軟件公司的老總，等他所有的員工下班之后，他在那里想：我的企業(yè)到底值多少錢呢？后，他在那里想：我的企業(yè)到底值多少錢呢？假假如它的企業(yè)市值如它的企業(yè)市值1 1億，那么此時此刻，他的企業(yè)就億，那么此時此刻，他的企業(yè)就值值26002600萬。萬。 因為據(jù)因為據(jù)DelphiDelphi公司統(tǒng)計，公司價值的公司

2、統(tǒng)計，公司價值的2626%體現(xiàn)體現(xiàn)在固定資產和一些文檔上，而在固定資產和一些文檔上，而高達高達4242%的價值是存的價值是存儲在員工的腦子里，而這些信息的保護沒有任何儲在員工的腦子里，而這些信息的保護沒有任何一款產品可以做得到一款產品可以做得到，所以需要我們建立信息安，所以需要我們建立信息安全管理體系，也就是常說的全管理體系，也就是常說的ISMSISMS！6怎樣搞好信息安全？怎樣搞好信息安全？7信息在哪里？信息在哪里？紙質文檔紙質文檔電子文檔電子文檔員工員工其他信息介質其他信息介質小問題：小問題：公司的信息都在哪里？8小測試：小測試： 9答案解釋：答案解釋： 10這就是意識缺乏的兩大這就是意識

3、缺乏的兩大不看重大公司，更看重小家庭。不看重大公司，更看重小家庭。鈔票更順眼，信息無所謂。鈔票更順眼，信息無所謂。11思想上的轉變（一）思想上的轉變（一） 老板那里12WHY?WHY?信息安全搞好了信息安全搞好了信息安全搞砸了信息安全搞砸了公司賺錢了公司賺錢了領導笑了領導笑了領導怒了領導怒了公司賠錢了公司賠錢了你就你就“跌跌” 了了你就你就“漲漲” 了了13思想上的轉變（二）思想上的轉變（二） 信息比鈔票更重要，信息比鈔票更重要，更脆弱，我們更應該保護更脆弱，我們更應該保護它。它。14WHY?WHY?裝有100萬的 保險箱需要 3個悍匪、公司損失： 100萬裝有客戶信息的 電腦只要 1個商業(yè)間

4、諜、1個U盤，就能偷走。1輛車，才能偷走。15典型案例典型案例16安全名言安全名言 公司的利益就是自己的利益，不保護公司公司的利益就是自己的利益，不保護公司，就是不保護自己。，就是不保護自己。 電腦不僅僅是工具，而是裝有十分重要信電腦不僅僅是工具，而是裝有十分重要信息的保險箱。息的保險箱。17絕對的安全是不存在的絕對的安全是不存在的絕對的零風險是不存在的，要想實現(xiàn)零風險，也是不現(xiàn)實的；絕對的零風險是不存在的，要想實現(xiàn)零風險，也是不現(xiàn)實的；計算機系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，計算機系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以

5、及安全性和成本投入之間做一一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。種平衡。 在計算機安全領域有一句格言：“真正安全的計算機是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險柜中，并在掩體內充滿毒氣，在掩體外安排士兵守衛(wèi)?！?顯然，這樣的計算機是無法使用的。18安全是一種平衡安全是一種平衡19安全是一種平衡安全是一種平衡安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平關鍵是實現(xiàn)成本利益的平衡信息的價值信息的價值 = 使用信息所獲得的收益使用信息所獲得的收益 獲獲取信息所用成本取信息所用成本信息具備了安全的保護特性信息具備了安全的保護特性20信息的

6、價值信息的價值廣義上講 領域領域 涉及到信息的保密性，完整性，可用性，真涉及到信息的保密性，完整性，可用性，真實性，可控性的相關技術和理論。實性，可控性的相關技術和理論。本質上v 保護保護 系統(tǒng)的硬件，軟件，數(shù)據(jù)系統(tǒng)的硬件，軟件，數(shù)據(jù)v 防止防止 系統(tǒng)和數(shù)據(jù)遭受破壞，更改，泄露系統(tǒng)和數(shù)據(jù)遭受破壞，更改，泄露v 保證保證 系統(tǒng)連續(xù)可靠正常地運行，服務不中斷系統(tǒng)連續(xù)可靠正常地運行，服務不中斷兩個層面v 技術層面技術層面 防止外部用戶的非法入侵防止外部用戶的非法入侵v 管理層面管理層面 內部員工的教育和管理內部員工的教育和管理21信息安全的定義信息安全的定義22信息安全基本目標信息安全基本目標23信

7、息生命周期信息生命周期24信息產業(yè)發(fā)展迅猛信息產業(yè)發(fā)展迅猛截至年月，互聯(lián)網(wǎng)普及率為，我國網(wǎng)民總數(shù)已達億人。手機上網(wǎng)成為用戶上網(wǎng)的重要途徑，截至年月，中國手機網(wǎng)民規(guī)模達億。 中國網(wǎng)民通過臺式電腦和筆記本電腦接入互聯(lián)網(wǎng)比例分別為和 。截至2014年12月底,中國網(wǎng)站總量達到364.7萬余個。 目前，政府機構都建立了85890個網(wǎng)站，電子政務正以改善公共服務為重點，在教育、醫(yī)療、住房等方面，提供便捷的基本公共服務。 25信息安全令人擔憂信息安全令人擔憂內地企業(yè)44%信息安全事件是數(shù)據(jù)失竊 普華永道曾發(fā)布的2008年度全球信息安全調查報告顯示，中國內地企業(yè)在信息安全管理方面存在滯后，信息安全與隱私保障

8、方面已被印度趕超。數(shù)據(jù)顯示，內地企業(yè)44%的信息安全事件與數(shù)據(jù)失竊有關，而全球的平均水平只有16%。普華永道的調查顯示，中國內地企業(yè)在改善信息安全機制上仍有待努力，從近年安全事件結果看，中國每年大約98萬美元的財務損失，而亞洲國家平均約為75萬美元，印度大約為30.8萬美元。此外，42%的中國內地受訪企業(yè)經(jīng)歷了應用軟件、系統(tǒng)和網(wǎng)絡的安全事件。26安全事件（安全事件（1 1）27安全事件（安全事件（2 2）熊貓燒香病毒的制造者-李俊 28深度分析深度分析29這樣的事情還有很多這樣的事情還有很多關鍵是做好預防控制 3134352005年9月7日，上海樂購超市金山店負責人到市公安局金山分局報案稱，該

9、店在盤點貨物時發(fā)現(xiàn)銷售的貨物和收到的貨款不符，有可能款物被非法侵吞。上海市公安局經(jīng)偵總隊和金山分局立即成立了專案組展開調查。專案組調查發(fā)現(xiàn)，樂購超市幾家門店貨物缺損率大大超過了業(yè)內千分之五的物損比例，缺損的貨物五花八門，油鹽醬醋等日常用品的銷售與實際收到的貨款差別很大。根據(jù)以往的案例，超市內的盜竊行為往往是針對體積小價值高的化妝品等物，盜竊者很少光顧油鹽醬醋等生活用品。奇怪的是，在超市的各個經(jīng)營環(huán)節(jié)并沒有發(fā)現(xiàn)明顯漏洞?？紤]到錢和物最終的流向收銀員是出口，問題很可能出在收銀環(huán)節(jié)。警方在調查中發(fā)現(xiàn)，收銀系統(tǒng)軟件的設計相對嚴密，除非是負責維護收銀系統(tǒng)的資訊小組職員和收銀員合謀，才有可能對營業(yè)款項動手

10、腳。經(jīng)過深入調查，偵查人員發(fā)現(xiàn)超市原有的收銀系統(tǒng)被裝入了一個攻擊性的補丁程序，只要收銀員輸入口令、密碼，這個程序會自動運行，刪除該營業(yè)員當日20左右的銷售記錄后再將數(shù)據(jù)傳送至會計部門，造成會計部門只按實際營業(yè)額的80向收銀員收取營業(yè)額。另20營業(yè)額即可被侵吞。能夠在收銀系統(tǒng)中裝入程序的，負責管理、更新、維修超市收銀系統(tǒng)的資訊組工作人員嫌疑最大。 警方順藤摸瓜，挖出一個包括超市資訊員、收銀員在內的近40人的犯罪團伙。據(jù)調查，原樂購超市真北店資訊組組長方元在工作中發(fā)現(xiàn)收銀系統(tǒng)漏洞，設計了攻擊性程序，犯罪嫌疑人于琪、朱永春、武侃佳等人利用擔任樂購超市多家門店資訊工作的便利，將這一程序植入各門店收銀系

11、統(tǒng)；犯罪嫌疑人陳煒嘉、陳琦、趙一青等人物色不法人員，經(jīng)培訓后通過應聘安插到各家門店做收銀員，每日將侵吞贓款上繳到犯罪團伙主犯方元、陳煒嘉、陳琦等人手中，團伙成員按比例分贓。一年時間內，先后侵吞樂購超市真北店、金山店、七寶店374萬余元。犯罪團伙個人按比例分得贓款數(shù)千元至50萬元不等關于員工安全管理的建議 根據(jù)不同崗位的需求，在職位描述書中加入安全方面根據(jù)不同崗位的需求，在職位描述書中加入安全方面的責任要求，特別是敏感崗位的責任要求，特別是敏感崗位 在招聘環(huán)節(jié)做好人員篩選和背景調查工作，并且簽訂在招聘環(huán)節(jié)做好人員篩選和背景調查工作，并且簽訂適當?shù)谋Ｃ軈f(xié)議適當?shù)谋Ｃ軈f(xié)議 在新員工培訓中專門加入信息

12、安全內容在新員工培訓中專門加入信息安全內容 工作期間，根據(jù)崗位需要，持續(xù)進行專項培訓工作期間，根據(jù)崗位需要，持續(xù)進行專項培訓 通過多種途徑，全面提升員工信息安全意識通過多種途徑，全面提升員工信息安全意識 落實檢查監(jiān)督和獎懲機制落實檢查監(jiān)督和獎懲機制 員工內部轉崗應做好訪問控制變更控制員工內部轉崗應做好訪問控制變更控制 員工離職，應做好交接和權限撤銷員工離職，應做好交接和權限撤銷3831歲的軟件工程師程稚瀚，在華為工作期間，曾為西藏移動做過技術工作，案發(fā)時，在UT斯達康深圳分公司工作。2005年3月開始，其利用為西藏移動做技術時使用的密碼（此密碼自程稚瀚離開后一直沒有更改），輕松進入了西藏移動的

13、服務器。通過西藏移動的服務器，程稚瀚又跳轉到了北京移動數(shù)據(jù)庫，取得了數(shù)據(jù)從2005年3月至7月，程稚瀚先后4次侵入北京移動數(shù)據(jù)庫，修改充值卡的時間和金額，將已充值的充值卡狀態(tài)改為未充值，共修改復制出上萬個充值卡密碼。他還將盜出的充值卡密碼通過淘寶網(wǎng)出售，共獲利370余萬元。 直到2005年7月，由于一次“疏忽”，程稚瀚將一批充值卡售出時，忘了修改使用期限，使用期限仍為90天。購買到這批充值卡的用戶因無法使用便投訴到北京移動，北京移動才發(fā)現(xiàn)有6600張充值卡被非法復制，立即報警。 2005年8月24日，程稚瀚在深圳被抓獲，所獲贓款全部起獲。 關于第三方安全管理的建議 識別所有相關第三方：服務提供

14、商，設備提供商，咨識別所有相關第三方：服務提供商，設備提供商，咨詢顧問，審計機構，物業(yè)，保潔等詢顧問，審計機構，物業(yè)，保潔等 識別所有與第三方相關的安全風險，無論是牽涉到物識別所有與第三方相關的安全風險，無論是牽涉到物理訪問還是邏輯訪問理訪問還是邏輯訪問 在沒有采取必要控制措施，包括簽署相關協(xié)議之前，在沒有采取必要控制措施，包括簽署相關協(xié)議之前，不應該授權給外部伙伴訪問。應該讓外部伙伴意識到其不應該授權給外部伙伴訪問。應該讓外部伙伴意識到其責任和必須遵守的規(guī)定責任和必須遵守的規(guī)定 在與第三方簽訂協(xié)議時特別提出信息安全方面的要求，在與第三方簽訂協(xié)議時特別提出信息安全方面的要求，特別是訪問控制要求特別是訪問控制要求 對第三方實施有效的監(jiān)督，定期對第三方實施有效的監(jiān)督，定期ReviewReview服務交付服務交付是一路電還是兩路