信息安全講座課件

1、信息安全講座2022/7/24信息安全講座什么是信息安全1為什么需要信息安全2典型信息安全案例分析3安全基本原則4株洲君安安全科技Contents信息安全講座信息安全范圍國家政府軍事機密安全商業(yè)企業(yè)機密泄露個人信息泄露株洲君安安全科技信息安全講座信息安全是指信息網絡的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷。信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。 什么是信息安全株洲君安安全科技信息安全講座信息安全的重要性信息作為一種資源，它的普遍性

2、、共享性、增值性、可處理性和多效用性，使其對于人類具有特別重要的意義。信息安全的實質就是要保護信息系統(tǒng)或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。根據(jù)國際標準化組織的定義，信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何國家、政府、部門、行業(yè)都必須十分重視的問題，是一個不容忽視的國家安全戰(zhàn)略。但是，對于不同的部門和行業(yè)來說，其對信息安全的要求和重點卻是有區(qū)別的 株洲君安安全科技信息安全講座信息安全的實現(xiàn)目標真實性：對信息的來源進行判斷，能對偽造來源的信息予以鑒別。保密性：保證機密信息不被竊聽，或竊聽者不能了解信息的真實含義。完整性：保證

3、數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改?？捎眯裕罕ＷC合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^。不可抵賴性：建立有效的責任機制，防止用戶否認其行為，這一點在電子商務中是極其重要的?？煽刂菩裕簩π畔⒌膫鞑ゼ皟热菥哂锌刂颇芰??？蓪彶樾裕簩Τ霈F(xiàn)的網絡安全問題提供調查的依據(jù)和手段 株洲君安安全科技信息安全講座Contents什么是信息安全1為什么需要信息安全2典型信息安全案例分析3安全基本原則4株洲君安安全科技信息安全講座各種威脅方的分布百分比株洲君安安全科技信息安全講座各種威脅方的分布百分比 獨立黑客：黑客攻擊越來越頻繁，直接影響企業(yè)正常的業(yè)務運作！ 內部員工：1、信息安全意識薄弱的員工誤用、濫用等

4、；2、越權訪問，如：系統(tǒng)管理員，應用管理員越權訪問數(shù)據(jù)；3、政治言論發(fā)表、非法站點的訪問等；4、內部不穩(wěn)定、情緒不滿的員工。如：員工離職帶走企業(yè)秘密，尤其是企業(yè)內部高層流動、集體流動等！ 競爭對手：法制環(huán)境不健全，行業(yè)不正當競爭（如：竊取機密，破壞企業(yè)的業(yè)務服務）！ 國外政府或機構：法制環(huán)境不健全，行業(yè)不正當競爭（如：竊取機密，破壞企業(yè)的業(yè)務服務）！株洲君安安全科技信息安全講座企業(yè)面臨的主要信息安全問題人員問題：信息安全意識薄弱的員工誤操作、誤設置造成系統(tǒng)宕機、數(shù)據(jù)丟失，信息泄漏等問題特權人員越權訪問，如：系統(tǒng)管理員，應用管理員越權訪問、傳播敏感數(shù)據(jù)內部員工和即將離職員工竊取企業(yè)秘密，尤其是骨

5、干員工流動、集體流動等技術問題：病毒和黑客攻擊越來越多、爆發(fā)越來越頻繁，直接影響企業(yè)正常的業(yè)務運作法律方面網絡濫用：員工發(fā)表政治言論、訪問非法網站法制不健全，行業(yè)不正當競爭（如：竊取機密，破壞企業(yè)的業(yè)務服務）株洲君安安全科技信息安全講座信息安全面臨的威脅類型 網絡內部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲株洲君安安全科技信息安全講座對信息安全問題產生過程的認識環(huán)境威脅方資產系統(tǒng)漏洞管理漏洞物理漏洞威脅（破壞或濫用）利用工具通過株洲君安安全科技信息安全講座為數(shù)據(jù)處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和

6、惡意的原因遭到破壞、更改和泄露。- 保家衛(wèi)國株洲君安安全科技信息安全講座舉個例子：包里有10塊錢，下班坐公交打瞌睡，可能小偷偷了而晚上沒飯吃。用風險評估的概念來描述這個案例：資產 = 10塊錢威脅 = 小偷弱點 = 打瞌睡暴露 = 晚上沒飯吃株洲君安安全科技信息安全講座 巡游五角大樓，登錄克里姆林宮，進出全球所有計算機系統(tǒng)，摧垮全球金融秩序和重建新的世界格局，誰也阻擋不了我們的進攻，我們才是世界的主宰。 凱文米特尼克 株洲君安安全科技信息安全講座Contents什么是信息安全1為什么需要信息安全2典型信息安全案例分析3安全基本原則4株洲君安安全科技信息安全講座攻擊的目的純粹為了個人娛樂我能想到

7、最浪漫的事,就是入侵你的電腦 -黑客語錄為了利益間諜，商業(yè)間諜，國防，犯罪株洲君安安全科技信息安全講座信息安全事件回放（一）全國最大的網上盜竊通訊資費案某合作方工程師，負責某電信運營商的設備安裝。獲得充值中心數(shù)據(jù)庫最高系統(tǒng)權限從2005年2月開始，復制出了14000個充值密碼。獲利380萬。2005年7月16日才接到用戶投訴說購買的充值卡無法充值，這才發(fā)現(xiàn)密碼被人盜竊并報警。無法充值的原因是他最后盜取的那批密碼忘記了修改有效日期 反思：目前是否有類似事件等待進一步發(fā)現(xiàn)對第三方的有效安全管理規(guī)范缺失株洲君安安全科技信息安全講座信息安全事件回放（二）北京ADSL斷網事件2006年7月12日14:3

8、5左右，北京地區(qū)互聯(lián)網大面積斷網。事故原因：路由器軟件設置發(fā)生故障，直接導致了這次大面積斷網現(xiàn)象。事故分析：操作設備的過程中操作失誤或軟件不完善屬于“天災”，但問題出現(xiàn)后不及時恢復和彌補，這就涉及人為的因素了，實際上這也是可以控制的。 需制定實施的業(yè)務連續(xù)性管理體系株洲君安安全科技信息安全講座信息安全事件回放（三）希臘總理手機被竊聽，沃達豐總裁遭傳喚早在2004年雅典奧運會之前，希臘高官們的手機便已開始被第三方竊聽 ，2006年3月份才被發(fā)現(xiàn)。事故原因：沃達豐（希臘）公司的中央服務系統(tǒng)被安裝了間諜軟件 制定嚴格的核心操作系統(tǒng)訪問控制流程株洲君安安全科技信息安全講座信息安全事件（四）兩名電信公司

9、員工利用職務上的便利篡改客戶資料，侵吞ADSL寬帶用戶服務費76.7萬余元事故原因：內部安全管理缺失缺乏有效的內控措施和定期審計株洲君安安全科技信息安全講座其他信息安全事件（五）網絡廣告：移動大客戶資料，低價出售！有意者聯(lián)系 QQ：305410928 網絡廣告：移動金卡銀卡大客戶資料7萬客戶投訴移動內部人員泄漏客戶資料某運營商員工利用工作便利散布反動政治言論關鍵信息的保密性機制株洲君安安全科技信息安全講座安全威脅舉例 - Phishing安全威脅釣魚欺騙事件頻頻發(fā)生，給電子商務和網上銀行蒙上陰影株洲君安安全科技信息安全講座這是一波電腦病毒蔓延的狂潮。在兩個多月的時間里，數(shù)百萬電腦用戶被卷將進去

10、，那只憨態(tài)可掬、頷首敬香的“熊貓”除而不盡。反病毒工程師們將它命名為“尼姆亞”。它還有一個更通俗的名字“熊貓燒香”。 安全威脅舉例 -熊貓燒香 株洲君安安全科技信息安全講座高級攻擊技術:道高一尺，魔高一丈身份認證防火墻入侵檢測日志分析株洲君安安全科技信息安全講座攻擊技術演示環(huán)境說明攻擊方法發(fā)現(xiàn)弱點-漏洞攻擊-清除痕跡-留下后門株洲君安安全科技信息安全講座日常工作中安全威脅舉例 沒有及時更新安全補丁沒有安裝殺毒軟件或者沒有及時升級病毒庫代碼打開可疑的郵件和可疑的網站用戶名密碼過于簡單薄弱把機密數(shù)據(jù)（如財務數(shù)據(jù)）帶回家辦公任意將自己筆記本電腦帶入公司使用隨便把自己的用戶名密碼告訴他人.株洲君安安全

11、科技信息安全講座安全策略是安全防護體系的基礎舉個例子：我國有完善的法律法規(guī),公民需要遵守國家相關的法律、法規(guī)來保證社會秩序的安定和平。 國家 = 公司 法律法規(guī) = 安全策略 人是安全防護體系中最薄弱的環(huán)節(jié) 加強員工安全教育、提高網絡安全意識 保家衛(wèi)國,人人有責株洲君安安全科技信息安全講座風險管理:識別、評估風險，并將這風險減少到一個可以接受的程度，并實行正確的機制以保持這種程度的風險的過程。安全沒有百分之百 No 100% Security 每個系統(tǒng)都有其脆弱性，承擔一定程度的風險。安全威脅帶來的損失代價 安全措施本身的費用 株洲君安安全科技信息安全講座風險RISKRISKRISKRISK風

12、險基本的風險采取措施后剩余的風險資產威脅漏洞資產威脅漏洞風險管理：-就是為了把企業(yè)的風險降到可接受的程度株洲君安安全科技信息安全講座安全防護體系需要采用多層、堡壘式防護策略單一的安全保護往往效果不理想需要從多個層面解決安全問題（物理、通信、網絡、系統(tǒng)、應用、人員、組織和管理）分層的安全防護成倍地增加了黑客攻擊的成本和難度從而卓有成效地降低被攻擊的危險，達到安全防護的目標。株洲君安安全科技信息安全講座備份資料。記住你的系統(tǒng)永遠不會是無懈可擊的，災難性的數(shù)據(jù)損失會發(fā)生在你身上只需一條蟲子或一只木馬就已足夠。選擇很難猜的密碼。不要沒有腦子地填上幾個與你有關的數(shù)字，在任何情況下，都要及時修改默認密碼。

13、安裝防毒軟件，并讓它每天更新升級。及時更新操作系統(tǒng)，時刻留意軟件制造商發(fā)布的各種補丁，并及時安裝應用。在IE或其它瀏覽器中會出現(xiàn)一些黑客魚餌，對此要保持清醒，拒絕點擊，同時將電子郵件客戶端的自動腳本功能關閉。在發(fā)送敏感郵件時使用加密軟件，也可用加密軟件保護你的硬盤上的數(shù)據(jù)。株洲君安安全科技信息安全講座安裝一個或幾個反間諜程序，并且要經常運行檢查。使用個人防火墻并正確設置它，阻止其它計算機、網絡和網址與你的計算機建立連接，指定哪些程序可以自動連接到網絡。關閉所有你不使用的系統(tǒng)服務，特別是那些可以讓別人遠程控制你的計算機的服務，如RemoteDesktop、RealVNC和NetBIOS等。保證無

14、線連接的安全。在家里，可以使用無線保護接入WPA和至少20個字符的密碼。正確設置你的筆記本電腦，不要加入任何網絡，除非它使用WPA。要想在一個充滿敵意的因特網世界里保護自己，的確是一件不容易的事。你要時刻想著，在地球另一端的某個角落里，一個或一些毫無道德的人正在刺探你的系統(tǒng)漏洞，并利用它們竊取你最敏感的秘密。希望你不會成為這些網絡入侵者的下一個犧牲品。株洲君安安全科技信息安全講座Contents什么是信息安全1為什么需要信息安全2典型信息安全案例分析3安全基本原則4株洲君安安全科技信息安全講座可用性 確保授權用戶在需要時可以訪問信息并使用相關信息資產 完整性 保護信息和信息的處理方法準確而完整

15、 機密性 確保只有經過授權的人才能訪問信息 安全的基本原則株洲君安安全科技信息安全講座通過生活的事例來說明安全- 就是保護屬于自己的錢不被除自己以外的任何人拿走1首先你的錢你不希望別人知道，因為那是你的 保密性； 其次你不希望突然有一天發(fā)現(xiàn)自己的錢少了，原來有多少錢現(xiàn)在還是多少錢 完整性； 你肯定希望自己隨時都能隨心所欲的用這筆錢 可用性； 株洲君安安全科技信息安全講座中移動網絡與信息安全體系建立緊迫性李躍總的講話安全問題已時不我待。我所講的安全問題還不是黑客和防病毒，只講我們自身的工作安全。 從全球及我們自身看，網絡安全的形式非常嚴峻進入網管中心或者通過網管中心進入各生產網元，一定要實行有效

16、的多次密碼認證的管理，嚴格管理每一次進入。 對內部人員的登陸要有嚴格的管理規(guī)定，后臺操作要留有痕跡。不能光管外人不管自己。（重在管理，其次是手段） 對外來人員的進入，我們一定要限人、限時、限范圍，明確進入的時間、進入的目的。誰放廠家的人進去誰就要負責檢查，并做好記錄，要承擔起核心設備網元的管理權，出了問題要承擔責任。 株洲君安安全科技信息安全講座信息安全是信息服務提供商的核心保證一個不安全的網絡，將不可能提供高質量的信息服務信息服務必須讓客戶可信任解決信息安全問題的關鍵建立一個完善的信息安全管理體系株洲君安安全科技信息安全講座中移動網絡與信息安全的目標為中國移動的網絡與信息安全管理工作建立科學

17、的體系，確保安全控制措施落實到位，為各項業(yè)務的安全運行提供保障。目前公司網絡與信息安全工作的重點集中在可用性、保密性和可審查性?？捎眯酝暾员Ｃ苄苑赖仲囆钥蓪彶樾员ＷC公司業(yè)務運作的連續(xù)性，即使在遭受意外的情況下也可迅速恢復關鍵信息資產的使用都必須經過授權，只有得到相應授權的人員才可使用網絡和保密信息任何對公司業(yè)務運作的威脅和破壞行為都得到記錄，并能跟蹤和追查株洲君安安全科技信息安全講座中移動信息安全建設原則與總體策略安全管理流程、制度和安全控制措施的設計應基于風險分析，而不應基于信任管理權限制衡和監(jiān)督原則：安全管理人員和網絡管理人員、主機管理人員相互制約作為國家基礎設施提供商，其網絡與信息安全工作目前必須圍繞公司業(yè)務目標開展；網絡與信息安全管理工作應以風險管理為基礎，在安全、效率和成本之間均衡考慮；全面防范，突出重點高層牽頭領導負責全員參與專人管理株