信息安全意識(shí)培訓(xùn)課件(經(jīng)典版)

什么是安全意識(shí)？

安全意識(shí)（Securityawareness），就是能夠認(rèn)知可能存在的安全問(wèn)題，明白安全事故對(duì)組織的危害，恪守正確的行為方式，并且清楚在安全事故發(fā)生時(shí)所應(yīng)采取的措施。第一頁(yè)1第二頁(yè)，共77頁(yè)。我們的目標(biāo)建立對(duì)信息安全的敏感意識(shí)和正確認(rèn)識(shí)掌握信息安全的基本概念、原則和慣例了解信息安全管理體系（ISMS）概況清楚可能面臨的威脅和風(fēng)險(xiǎn)遵守IDC各項(xiàng)安全策略和制度在日常工作中養(yǎng)成良好的安全習(xí)慣最終提升IDC整體的信息安全水平第二頁(yè)2第三頁(yè)，共77頁(yè)。制作說(shuō)明

本培訓(xùn)材料由IDC信息安全管理體系實(shí)施組織安全執(zhí)行委員會(huì)編寫，并經(jīng)安全管理委員會(huì)批準(zhǔn)，供IDC內(nèi)部學(xué)習(xí)使用，旨在貫徹IDC信息安全策略和各項(xiàng)管理制度，全面提升員工信息安全意識(shí)。第三頁(yè)3第四頁(yè)，共77頁(yè)?，F(xiàn)實(shí)教訓(xùn)追蹤問(wèn)題的根源掌握基本概念了解信息安全管理體系建立良好的安全習(xí)慣重要信息的保密信息交換及備份軟件使用安全計(jì)算機(jī)及網(wǎng)絡(luò)訪問(wèn)安全人員及第三方安全管理移動(dòng)計(jì)算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會(huì)工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃法律法規(guī)尋求幫助目錄第四頁(yè)4第五頁(yè)，共77頁(yè)。嚴(yán)峻的現(xiàn)實(shí)！慘痛的教訓(xùn)！第1部分第五頁(yè)5第六頁(yè)，共77頁(yè)。

在線銀行——一顆定時(shí)炸彈。最近，南非的Absa銀行遇到了麻煩，它的互聯(lián)網(wǎng)銀行服務(wù)發(fā)生一系列安全事件，導(dǎo)致其客戶成百萬(wàn)美元的損失。Absa銀行聲稱自己的系統(tǒng)是絕對(duì)安全的，而把責(zé)任歸結(jié)為客戶所犯的安全錯(cuò)誤上。Absa銀行的這種處理方式遭致廣泛批評(píng)。那么，究竟是怎么回事呢？

一起國(guó)外的金融計(jì)算機(jī)犯罪案例第六頁(yè)6第七頁(yè)，共77頁(yè)。前因后果是這樣的……Absa是南非最大的一家銀行，占有35%的市場(chǎng)份額，其Internet銀行業(yè)務(wù)擁有40多萬(wàn)客戶。

2003年6、7月間，一個(gè)30歲男子，盯上了Absa的在線客戶，向這些客戶發(fā)送攜帶有間諜軟件（spyware）的郵件，并成功獲得眾多客戶的賬號(hào)信息，從而通過(guò)Internet進(jìn)行非法轉(zhuǎn)帳，先后致使10個(gè)Absa的在線客戶損失達(dá)數(shù)萬(wàn)法郎。該男子后來(lái)被南非警方逮捕。第七頁(yè)7第八頁(yè)，共77頁(yè)。間諜軟件——eBlaster

這是一個(gè)商業(yè)軟件（），該軟件本意是幫助父母或老板監(jiān)視孩子或雇員的上網(wǎng)活動(dòng)該軟件可記錄包括電子郵件、網(wǎng)上聊天、即使消息、Web訪問(wèn)、鍵盤操作等活動(dòng)，并將記錄信息悄悄發(fā)到指定郵箱商業(yè)殺毒軟件一般都忽略了這個(gè)商業(yè)軟件本案犯罪人就是用郵件附件方式，欺騙受害者執(zhí)行該軟件，然后竊取其網(wǎng)上銀行賬號(hào)和PIN碼信息的第八頁(yè)8第九頁(yè)，共77頁(yè)。我們來(lái)總結(jié)一下教訓(xùn)Absa聲稱不是自己的責(zé)任，而是客戶的問(wèn)題安全專家和權(quán)威評(píng)論員則認(rèn)為：Absa應(yīng)負(fù)必要責(zé)任，其電子銀行的安全性值得懷疑

Deloitte安全專家RoganDawes認(rèn)為：Absa應(yīng)向其客戶灌輸更多安全意識(shí)，并在易用性和安全性方面達(dá)成平衡

IT技術(shù)專家則認(rèn)為：電子銀行應(yīng)采用更強(qiáng)健的雙因素認(rèn)證機(jī)制（口令或PIN＋智能卡），而不是簡(jiǎn)單的口令我們認(rèn)為：Absa銀行和客戶都有責(zé)任第九頁(yè)9第十頁(yè)，共77頁(yè)。國(guó)內(nèi)金融計(jì)算機(jī)犯罪的典型案例

一名普通的系統(tǒng)維護(hù)人員，輕松破解數(shù)道密碼，進(jìn)入郵政儲(chǔ)蓄網(wǎng)絡(luò)，盜走83.5萬(wàn)元。這起利用網(wǎng)絡(luò)進(jìn)行金融盜竊犯罪的案件不久前被甘肅省定西地區(qū)公安機(jī)關(guān)破獲……

————

人民日?qǐng)?bào)，2003年12月時(shí)間：2003年11月地點(diǎn)：甘肅省定西地區(qū)臨洮縣太石鎮(zhèn)郵政儲(chǔ)蓄所人物：一個(gè)普通的系統(tǒng)管理員第十頁(yè)10第十一頁(yè)，共77頁(yè)。怪事是這么發(fā)生的……2003年10月5日，定西臨洮縣太石鎮(zhèn)郵政儲(chǔ)蓄所的營(yíng)業(yè)電腦突然死機(jī)工作人員以為是一般的故障，對(duì)電腦進(jìn)行了簡(jiǎn)單的修復(fù)和重裝處理

17日，工作人員發(fā)現(xiàn)打印出的報(bào)表儲(chǔ)蓄余額與實(shí)際不符，對(duì)賬發(fā)現(xiàn)，13日發(fā)生了11筆交易，83.5萬(wàn)異地帳戶是虛存（有交易記錄但無(wú)實(shí)際現(xiàn)金）緊急與開戶行聯(lián)系，發(fā)現(xiàn)存款已從蘭州、西安等地被取走大半儲(chǔ)蓄所向縣公安局報(bào)案公安局向定西公安處匯報(bào)公安處成立專案組，同時(shí)向省公安廳上報(bào)

……第十一頁(yè)11第十二頁(yè)，共77頁(yè)。當(dāng)然，最終結(jié)果不錯(cuò)……

經(jīng)過(guò)縝密的調(diào)查取證，我英勇機(jī)智的公安干警終于一舉抓獲這起案件的罪魁禍?zhǔn)住?/p>

會(huì)寧郵政局一個(gè)普通的系統(tǒng)維護(hù)人員張某第十二頁(yè)12第十三頁(yè)，共77頁(yè)。事情的經(jīng)過(guò)原來(lái)是這樣的……③登錄到永登郵政局永登臨洮④破解口令，登錄到臨洮一個(gè)郵政儲(chǔ)蓄所①會(huì)寧的張某用假身份證在蘭州開了8個(gè)活期帳戶②張某借工作之便，利用筆記本電腦連接電纜到郵政儲(chǔ)蓄專網(wǎng)會(huì)寧⑤向這些帳戶虛存83.5萬(wàn)，退出系統(tǒng)前刪掉了打印操作系統(tǒng)⑥最后，張某在蘭州和西安等地提取現(xiàn)金第十三頁(yè)13第十四頁(yè)，共77頁(yè)。到底哪里出了紕漏……張某29歲，畢業(yè)于郵電學(xué)院，資質(zhì)平平，談不上精通計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)郵政儲(chǔ)蓄網(wǎng)絡(luò)的防范可謂嚴(yán)密：與Internet物理隔離的專網(wǎng)；配備了防火墻；從前臺(tái)分機(jī)到主機(jī)經(jīng)過(guò)數(shù)重密碼認(rèn)證第十四頁(yè)14第十五頁(yè)，共77頁(yè)?？蛇€是出事了，郁悶呀

問(wèn)題究竟出在哪里？思考中……哦，原來(lái)如此——第十五頁(yè)15第十六頁(yè)，共77頁(yè)?？磥?lái)，問(wèn)題真的不少呀……

張某私搭電纜，沒(méi)人過(guò)問(wèn)和阻止，使其輕易進(jìn)入郵政儲(chǔ)蓄專網(wǎng)臨洮縣太石鎮(zhèn)的郵政儲(chǔ)蓄網(wǎng)點(diǎn)使用原始密碼，沒(méi)有定期更改，而且被員工周知，致使張某輕松突破數(shù)道密碼關(guān)，直接進(jìn)入了操作系統(tǒng)問(wèn)題出現(xiàn)時(shí)，工作人員以為是網(wǎng)絡(luò)系統(tǒng)故障，沒(méi)有足夠重視

……第十六頁(yè)16第十七頁(yè)，共77頁(yè)?？偨Y(jié)教訓(xùn)……

最直接的教訓(xùn)：漠視口令安全帶來(lái)惡果！歸根到底，是管理上存在漏洞，人員安全意識(shí)淡薄安全意識(shí)的提高刻不容緩！第十七頁(yè)17第十八頁(yè)，共77頁(yè)。一起證券行業(yè)計(jì)算機(jī)犯罪案例

憑借自己的耐心和別人的粗心，股市“菜鳥”嚴(yán)某非法侵入“股神通”10個(gè)單位和個(gè)人的股票賬戶，用別人的錢磨練自己的炒股技藝……

————

青年報(bào)，2003年12月時(shí)間：2003年6月地點(diǎn)：上海人物：26歲的待業(yè)青年嚴(yán)某第十八頁(yè)18第十九頁(yè)，共77頁(yè)。事情是這樣的……2003年3月，嚴(yán)父在家中安裝開通“股神通”業(yè)務(wù)，進(jìn)行即時(shí)股票交易。

2003年6月的一天，嚴(yán)某偶得其父一張股票交易單，上有9位數(shù)字的賬號(hào)，遂動(dòng)了“瞎貓碰死老鼠”的念頭：該證券公司客戶賬號(hào)前6位數(shù)字是相同的，只需猜后3位；而6位密碼，嚴(yán)某鎖定為“123456”。嚴(yán)某”埋頭苦干“，第一天連續(xù)輸入了3000個(gè)數(shù)字組合，一無(wú)所獲。第二天繼續(xù)，很快”奇跡“出現(xiàn)，嚴(yán)某順利進(jìn)入一個(gè)股票賬戶。利用相同的方法，嚴(yán)某又先后侵入了10余個(gè)股票賬戶。嚴(yán)某利用別人的賬戶，十幾天里共買進(jìn)賣出1000多萬(wàn)元股票，損失超過(guò)14萬(wàn)元，直到6月10日案發(fā)。嚴(yán)某被以破壞計(jì)算機(jī)信息系統(tǒng)罪依法逮捕。第十九頁(yè)19第二十頁(yè)，共77頁(yè)。問(wèn)題出在哪里……

嚴(yán)某不算聰明，但他深知炒股的多是中老年人，密碼設(shè)置肯定不會(huì)復(fù)雜。首先，作為股民，安全意識(shí)薄弱

證券公司，在進(jìn)行賬戶管理時(shí)也存在不足：初始密碼設(shè)置太簡(jiǎn)單，沒(méi)提醒客戶及時(shí)修改等

作為設(shè)備提供商，“股神通”軟件設(shè)計(jì)里的安全機(jī)制太簡(jiǎn)單脆弱，易被人利用第二十頁(yè)20第二十一頁(yè)，共77頁(yè)?？偨Y(jié)教訓(xùn)……

又是口令安全的問(wèn)題！又是人的安全意識(shí)問(wèn)題！再次強(qiáng)調(diào)安全意識(shí)的重要性！第二十一頁(yè)21第二十二頁(yè)，共77頁(yè)。一個(gè)與物理安全相關(guān)的典型案例時(shí)間：2002年某天夜里地點(diǎn)：A公司的數(shù)據(jù)中心大樓人物：一個(gè)普通的系統(tǒng)管理員

一個(gè)普通的系統(tǒng)管理員，利用看似簡(jiǎn)單的方法，就進(jìn)入了需要門卡認(rèn)證的數(shù)據(jù)中心……

————

來(lái)自國(guó)外某論壇的激烈討論，2002年第二十二頁(yè)22第二十三頁(yè)，共77頁(yè)。情況是這樣的……A公司的數(shù)據(jù)中心是重地，設(shè)立了嚴(yán)格的門禁制度，要求必須插入門卡才能進(jìn)入。不過(guò)，出來(lái)時(shí)很簡(jiǎn)單，數(shù)據(jù)中心一旁的動(dòng)作探測(cè)器會(huì)檢測(cè)到有人朝出口走去，門會(huì)自動(dòng)打開數(shù)據(jù)中心有個(gè)系統(tǒng)管理員張三君，這天晚上加班到很晚，中間離開數(shù)據(jù)中心出去夜宵，可返回時(shí)發(fā)現(xiàn)自己被鎖在了外面，門卡落在里面了，四周別無(wú)他人，一片靜寂張三急需今夜加班，可他又不想打擾他人，怎么辦？第二十三頁(yè)23第二十四頁(yè)，共77頁(yè)。一點(diǎn)線索：昨天曾在接待區(qū)慶祝過(guò)某人生日，現(xiàn)場(chǎng)還未清理干凈，遺留下很多雜物，哦，還有氣球……第二十四頁(yè)24第二十五頁(yè)，共77頁(yè)。聰明的張三想出了妙計(jì)……①?gòu)埲业揭粋€(gè)氣球，放掉氣②張三面朝大門入口趴下來(lái)，把氣球塞進(jìn)門里，只留下氣球的嘴在門的這邊③張三在門外吹氣球，氣球在門內(nèi)膨脹，然后，他釋放了氣球……④由于氣球在門內(nèi)彈跳，觸發(fā)動(dòng)作探測(cè)器，門終于開了第二十五頁(yè)25第二十六頁(yè)，共77頁(yè)。問(wèn)題出在哪里……

如果門和地板齊平且沒(méi)有縫隙，就不會(huì)出這樣的事

如果動(dòng)作探測(cè)器的靈敏度調(diào)整到不對(duì)快速放氣的氣球作出反應(yīng)，也不會(huì)出此事

當(dāng)然，如果根本就不使用動(dòng)作探測(cè)器來(lái)從里面開門，這種事情同樣不會(huì)發(fā)生第二十六頁(yè)26第二十七頁(yè)，共77頁(yè)。總結(jié)教訓(xùn)……

雖然是偶然事件，也沒(méi)有直接危害，但是潛在風(fēng)險(xiǎn)既是物理安全的問(wèn)題，更是管理問(wèn)題切記！有時(shí)候自以為是的安全，恰恰是最不安全！物理安全非常關(guān)鍵！第二十七頁(yè)27第二十八頁(yè)，共77頁(yè)。類似的事件不勝枚舉

蘇州某中學(xué)計(jì)算機(jī)教師羅某，只因嫌準(zhǔn)備考試太麻煩，產(chǎn)生反感情緒，竟向江蘇省教育廳會(huì)考辦的考試服務(wù)器發(fā)動(dòng)攻擊，他以黑客身份兩次闖入該考試服務(wù)器，共刪除全省中小學(xué)信息技術(shù)等級(jí)考試文件達(dá)100多個(gè)，直接經(jīng)濟(jì)損失達(dá)20多萬(wàn)元，后被警方抓獲。某高校招生辦一臺(tái)服務(wù)器，因設(shè)置網(wǎng)絡(luò)共享不加密碼，導(dǎo)致共享目錄中保存的有關(guān)高考招生的重要信息泄漏，造成了惡劣的社會(huì)影響。屢屢出現(xiàn)的關(guān)于銀行ATM取款機(jī)的問(wèn)題。

……第二十八頁(yè)28第二十九頁(yè)，共77頁(yè)。你碰到過(guò)類似的事嗎？第二十九頁(yè)29第三十頁(yè)，共77頁(yè)。IDC曾經(jīng)發(fā)生的安全事件(請(qǐng)?zhí)砑樱桑模米约旱膬?nèi)容)第三十頁(yè)30第三十一頁(yè)，共77頁(yè)。CERT關(guān)于安全事件的統(tǒng)計(jì)——摘自CERT/CC的統(tǒng)計(jì)報(bào)告2003年12月第三十一頁(yè)31第三十二頁(yè)，共77頁(yè)。過(guò)去6個(gè)月的統(tǒng)計(jì)。Source:RiptechInternetSecurityThreatReport.January2002

醫(yī)療機(jī)構(gòu)應(yīng)用服務(wù)制造商非贏利機(jī)構(gòu)媒體機(jī)構(gòu)能源制造金融機(jī)構(gòu)高科技不同行業(yè)遭受攻擊的平均次數(shù)第三十二頁(yè)32第三十三頁(yè)，共77頁(yè)。CSI/FBI對(duì)安全事件損失的統(tǒng)計(jì)——摘自CSI/FBI的統(tǒng)計(jì)報(bào)告2003年12月第三十三頁(yè)33第三十四頁(yè)，共77頁(yè)。威脅和弱點(diǎn)問(wèn)題的根源第2部分第三十四頁(yè)34第三十五頁(yè)，共77頁(yè)。我們時(shí)刻都面臨來(lái)自外部的威脅

信息資產(chǎn)拒絕服務(wù)邏輯炸彈黑客滲透內(nèi)部人員威脅木馬后門病毒和蠕蟲社會(huì)工程系統(tǒng)Bug硬件故障網(wǎng)絡(luò)通信故障供電中斷失火雷雨地震第三十五頁(yè)35第三十六頁(yè)，共77頁(yè)。人是最關(guān)鍵的因素

判斷威脅來(lái)源，綜合了人為因素和系統(tǒng)自身邏輯與物理上諸多因素在一起，歸根結(jié)底，還是人起著決定性的作用正是因?yàn)槿嗽谟幸猓ü羝茐模┗驘o(wú)意（誤操作、誤配置）間的活動(dòng)，才給信息系統(tǒng)安全帶來(lái)了隱患和威脅提高人員安全意識(shí)和素質(zhì)勢(shì)在必行！第三十六頁(yè)36第三十七頁(yè)，共77頁(yè)。黑客攻擊，是我們聽說(shuō)最多的威脅！第三十七頁(yè)37第三十八頁(yè)，共77頁(yè)。AtomicPalertscustomerstobreach—

CNetNMar20,2001Nasdaqdefaced..andotherseasonalgraffiti

—

SecurityWDec27,2000APSiteHacked

—

InteractiveWeekMar20,2001FrenchGroupClaimsDoubleClickhackedfor2years—

EcommerceTimes,Mar28,2001

ElectronicHolyWarHitsD.C.Pro-IsraelSite

—

Newsbytes,Nov3,2000

NTremainshackers'favorite

—

VNUnet,Jan10,2001

HackershitU.S.,U.K.,Australiangovernmentsites-InfoWorldJan22,2001

Travelocityexposescustomerinformation

—

CNetJan22,2001

U.S.NavyHacked

—

SecurityW,March30,2001

LaxSecurityFoundinIRSElectronicFilingSystem—

LATImes,Mar15,2001

第三十八頁(yè)38第三十九頁(yè)，共77頁(yè)。世界頭號(hào)黑客——KevinMitnick

出生于1964年

15歲入侵北美空軍防務(wù)指揮系統(tǒng)，竊取核彈機(jī)密入侵太平洋電話公司的通信網(wǎng)絡(luò)入侵聯(lián)邦調(diào)查局電腦網(wǎng)絡(luò)，戲弄調(diào)查人員

16歲被捕，但旋即獲釋入侵摩托羅拉、Novell、Sun、Nokia等大公司與聯(lián)邦調(diào)查局玩貓捉老鼠的游戲

1995年被抓獲，被判5年監(jiān)禁獲釋后禁止接觸電子物品，禁止從事計(jì)算機(jī)行業(yè)第三十九頁(yè)39第四十頁(yè)，共77頁(yè)。黑客不請(qǐng)自來(lái)，乘虛而入踩點(diǎn)掃描破壞攻擊滲透攻擊獲得訪問(wèn)權(quán)獲得控制權(quán)清除痕跡安裝后門遠(yuǎn)程控制轉(zhuǎn)移目標(biāo)竊密破壞第四十頁(yè)40第四十一頁(yè)，共77頁(yè)。

踩點(diǎn)：千方百計(jì)搜集信息，明確攻擊目標(biāo)

掃描：通過(guò)網(wǎng)絡(luò)，用工具來(lái)找到目標(biāo)系統(tǒng)的漏洞

DoS攻擊：拒絕服務(wù)，是一種破壞性攻擊，目的是使資源不可用

DDoS攻擊：是DoS的延伸，更大規(guī)模，多點(diǎn)對(duì)一點(diǎn)實(shí)施攻擊

滲透攻擊：利用攻擊軟件，遠(yuǎn)程得到目標(biāo)系統(tǒng)的訪問(wèn)權(quán)或控制權(quán)

遠(yuǎn)程控制：利用安裝的后門來(lái)實(shí)施隱蔽而方便的控制

網(wǎng)絡(luò)蠕蟲：一種自動(dòng)擴(kuò)散的惡意代碼，就像一個(gè)不受控的黑客了解一些黑客攻擊手段很有必要第四十一頁(yè)41第四十二頁(yè)，共77頁(yè)。DoS攻擊示例——Smurf攻擊者冒充受害主機(jī)的IP地址，向一個(gè)大的網(wǎng)絡(luò)發(fā)送echorequest

的定向廣播包中間網(wǎng)絡(luò)的許多主機(jī)都作出響應(yīng)，受害主機(jī)會(huì)收到大量的echoreply消息攻擊者受害者中間反彈網(wǎng)絡(luò)第四十二頁(yè)42第四十三頁(yè)，共77頁(yè)。DDoS攻擊模型

Internet

Intruder

Master

Master

Daemon

Daemon

Daemon

Daemon

Daemon

Daemon

Victim

第四十三頁(yè)43第四十四頁(yè)，共77頁(yè)。漏洞系統(tǒng)已打補(bǔ)丁的系統(tǒng)CodeRed蠕蟲制造者DDOSDDOSDDOSDDOSDDOSDDOSDDOSRandomlyAttack

RandomlyAttack

RandomlyAttack

Internet蠕蟲攻擊示例——CodeRed第四十四頁(yè)44第四十五頁(yè)，共77頁(yè)。威脅更多是來(lái)自公司內(nèi)部

黑客雖然可怕，可更多時(shí)候，內(nèi)部人員威脅卻更易被忽略，但卻更容易造成危害據(jù)權(quán)威部門統(tǒng)計(jì)，內(nèi)部人員犯罪（或與內(nèi)部人員有關(guān)的犯罪）占到了計(jì)算機(jī)犯罪總量的70%以上員工誤操作蓄意破壞公司資源私用第四十五頁(yè)45第四十六頁(yè)，共77頁(yè)。一個(gè)巴掌拍不響！外因是條件內(nèi)因才是根本！第四十六頁(yè)46第四十七頁(yè)，共77頁(yè)。我們自身的弱點(diǎn)不容小視

技術(shù)弱點(diǎn)

操作弱點(diǎn)

管理弱點(diǎn)系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計(jì)或備份過(guò)程的不當(dāng)?shù)炔呗浴⒊绦?、?guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面的不足第四十七頁(yè)47第四十八頁(yè)，共77頁(yè)。人最常犯的一些錯(cuò)誤

將口令寫在便簽上，貼在電腦監(jiān)視器旁開著電腦離開，就像離開家卻忘記關(guān)燈那樣輕易相信來(lái)自陌生人的郵件，好奇打開郵件附件使用容易猜測(cè)的口令，或者根本不設(shè)口令丟失筆記本電腦不能保守秘密，口無(wú)遮攔，上當(dāng)受騙，泄漏敏感信息隨便撥號(hào)上網(wǎng)，或者隨意將無(wú)關(guān)設(shè)備連入公司網(wǎng)絡(luò)事不關(guān)己，高高掛起，不報(bào)告安全事件在系統(tǒng)更新和安裝補(bǔ)丁上總是行動(dòng)遲緩只關(guān)注外來(lái)的威脅，忽視企業(yè)內(nèi)部人員的問(wèn)題第四十八頁(yè)48第四十九頁(yè)，共77頁(yè)。想想你是否也犯過(guò)這些錯(cuò)誤？第四十九頁(yè)49第五十頁(yè)，共77頁(yè)。嘿嘿，這頓美餐唾手可得……嗚嗚，可憐我手無(wú)縛雞之力……威脅就像這只貪婪的貓如果盤中美食暴露在外遭受損失也就難免了第五十頁(yè)50第五十一頁(yè)，共77頁(yè)。

信息資產(chǎn)對(duì)我們很重要，是要保護(hù)的對(duì)象外在的威脅就像蒼蠅一樣，揮之不去，無(wú)孔不入資產(chǎn)本身又有各種弱點(diǎn)，給威脅帶來(lái)可乘之機(jī)于是，我們面臨各種風(fēng)險(xiǎn)，一旦發(fā)生就成為安全事件時(shí)刻都應(yīng)保持清醒的認(rèn)識(shí)第五十一頁(yè)51第五十二頁(yè)，共77頁(yè)。我們需要去做的就是……嚴(yán)防威脅消減弱點(diǎn)應(yīng)急響應(yīng)保護(hù)資產(chǎn)熟悉潛在的安全問(wèn)題知道怎樣防止其發(fā)生知道發(fā)生后如何應(yīng)對(duì)第五十二頁(yè)52第五十三頁(yè)，共77頁(yè)。還記得消防戰(zhàn)略嗎？隱患險(xiǎn)于明火！預(yù)防重于救災(zāi)！第五十三頁(yè)53第五十四頁(yè)，共77頁(yè)。理解和鋪墊基本概念第3部分第五十四頁(yè)54第五十五頁(yè)，共77頁(yè)。

消息、信號(hào)、數(shù)據(jù)、情報(bào)和知識(shí)信息本身是無(wú)形的，借助于信息媒體以多種形式存在或傳播：存儲(chǔ)在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中記憶在人的大腦里通過(guò)網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播信息借助媒體而存在，對(duì)現(xiàn)代企業(yè)來(lái)說(shuō)具有價(jià)值，就成為信息資產(chǎn)：計(jì)算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù)硬件、軟件、文檔資料關(guān)鍵人員組織提供的服務(wù)具有價(jià)值的信息資產(chǎn)面臨諸多威脅，需要妥善保護(hù)Information什么是信息？第五十五頁(yè)55第五十六頁(yè)，共77頁(yè)。什么是信息安全？

采取措施保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對(duì)業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。第五十六頁(yè)56第五十七頁(yè)，共77頁(yè)。CIAonfidentialityntegrityvailabilityCIA謹(jǐn)記信息安全基本目標(biāo)第五十七頁(yè)57第五十八頁(yè)，共77頁(yè)。企業(yè)管理者關(guān)注的是最終目標(biāo)ConfidentialityIntegrityAvailabilityInformation第五十八頁(yè)58第五十九頁(yè)，共77頁(yè)。風(fēng)險(xiǎn)漏洞威脅控制措施安全需求資產(chǎn)價(jià)值信息資產(chǎn)防止利用ReduceIncreaseIndicateIncrease暴露具有Decrease符合對(duì)組織的影響信息安全關(guān)鍵因素及其相互關(guān)系第五十九頁(yè)59第六十頁(yè)，共77頁(yè)。實(shí)現(xiàn)信息安全可以采取一些技術(shù)手段

物理安全技術(shù)：環(huán)境安全、設(shè)備安全、媒體安全

系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)的安全性

網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問(wèn)控制、VPN、入侵檢測(cè)、掃描評(píng)估

應(yīng)用安全技術(shù)：Email安全、Web訪問(wèn)安全、內(nèi)容過(guò)濾、應(yīng)用系統(tǒng)安全

數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的CIA特性

認(rèn)證授權(quán)技術(shù)：口令認(rèn)證、SSO認(rèn)證（例如Kerberos）、證書認(rèn)證等

訪問(wèn)控制技術(shù)：防火墻、訪問(wèn)控制列表等審計(jì)跟蹤技術(shù)：入侵檢測(cè)、日志審計(jì)、辨析取證

防病毒技術(shù)：?jiǎn)螜C(jī)防病毒技術(shù)逐漸發(fā)展成整體防病毒體系

災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對(duì)數(shù)據(jù)的備份第六十頁(yè)60第六十一頁(yè)，共77頁(yè)。防火墻網(wǎng)絡(luò)入侵檢測(cè)病毒防護(hù)主機(jī)入侵檢測(cè)漏洞掃描評(píng)估VPN通道訪問(wèn)控制第六十一頁(yè)61第六十二頁(yè)，共77頁(yè)。但關(guān)鍵還要看整體的信息安全管理

技術(shù)是信息安全的構(gòu)筑材料，管理是真正的粘合劑和催化劑信息安全管理構(gòu)成了信息安全具有能動(dòng)性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)現(xiàn)實(shí)世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說(shuō)是技術(shù)上的原因，不如說(shuō)是管理不善造成的理解并重視管理對(duì)于信息安全的關(guān)鍵作用，對(duì)于真正實(shí)現(xiàn)信息安全目標(biāo)尤其重要三分技術(shù)，七分管理！第六十二頁(yè)62第六十三頁(yè)，共77頁(yè)。務(wù)必重視信息安全管理加強(qiáng)信息安全建設(shè)工作第六十三頁(yè)63第六十四頁(yè)，共77頁(yè)。PDCA信息安全管理模型

根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來(lái)確定控制目標(biāo)與控制措施。

實(shí)施所選的安全控制措施。

針對(duì)檢查結(jié)果采取應(yīng)對(duì)措施，改進(jìn)安全狀況。

依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對(duì)安全措施的實(shí)施情況進(jìn)行符合性檢查。第六十四頁(yè)64第六十五頁(yè)，共77頁(yè)。可以參考的標(biāo)準(zhǔn)規(guī)范和最佳慣例ISO27001第六十五頁(yè)65第六十六頁(yè)，共77頁(yè)。安全性與方便性的平衡問(wèn)題在方便性（convenience，即易用性）和安全性（security）之間是一種相反的關(guān)系提高了安全性，相應(yīng)地就降低了方便性而要提高安全性，又勢(shì)必增大成本管理者應(yīng)在二者之間達(dá)成一種可接受的平衡第六十六頁(yè)66第六十七頁(yè)，共77頁(yè)。

計(jì)算機(jī)安全領(lǐng)域一句格言：

“真正安全的計(jì)算機(jī)是拔下網(wǎng)線，斷掉電源，放在地下掩體的保險(xiǎn)柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！边@樣的計(jì)算機(jī)是沒(méi)法用了。絕對(duì)的安全是不存在的！第六十七頁(yè)67第六十八頁(yè)，共77頁(yè)。正確認(rèn)識(shí)信息安全

安全不是產(chǎn)品的簡(jiǎn)單堆積，也不是一次性的靜態(tài)過(guò)程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過(guò)程第六十八頁(yè)68第六十九頁(yè)，共77頁(yè)。整體管理思路信息安全管理體系第4部分第六十九頁(yè)69第七十頁(yè)，共77頁(yè)。

英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BritishStandardsInstitute，BSI）制定的信息安全標(biāo)準(zhǔn)。由信息安全方面的最佳慣例組成的一套全面的控制集。信息安全管理方面最受推崇的國(guó)際標(biāo)準(zhǔn)。ISO27001是關(guān)于信息安全管理的標(biāo)準(zhǔn)第七十頁(yè)70第七十一頁(yè)，共77頁(yè)。ISO27001標(biāo)準(zhǔn)包含兩個(gè)部分ISO17799:2005：信息安全管理實(shí)施細(xì)則（CodeofPracticeforInformationSecurityManagement），相當(dāng)于一個(gè)工具包，體現(xiàn)了三分技術(shù)七分管理ISO27001：是建立信息安全管理系統(tǒng)（ISMS）的一套規(guī)范（SpecificationforInformationSecurityManagementSystems），詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)安全策略Securitypolicy安全組織Securityorganisation資產(chǎn)分類與控制Assetclassification&control人員安全Personnelsecurity物理與環(huán)境安全Physical&environmentalsecurity通信與操作管理Communications&operationsmanagement系統(tǒng)開發(fā)與維護(hù)Systemsdevelopment&maintenance訪問(wèn)控制Accesscontrol業(yè)務(wù)連續(xù)性管理Businesscontinuitymanagement符合性Compliance第七十一頁(yè)71第七十二頁(yè)，共77頁(yè)。什么是信息安全管理體系？

以往我們對(duì)信息安全的認(rèn)識(shí)只停留在技術(shù)和產(chǎn)品上，是只見(jiàn)樹木不見(jiàn)森林，只治標(biāo)不治本其實(shí)，信息安全成敗，三分靠技術(shù)，七分靠管理，技術(shù)一般但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全但以往我們的管理，只是粗淺的、靜態(tài)的、不成體系的管理信息安全必須從整體去考慮，必須做到“有計(jì)劃有目標(biāo)、發(fā)現(xiàn)問(wèn)題、分析問(wèn)題、采取措施解決問(wèn)題、后續(xù)監(jiān)督避免再現(xiàn)”這樣的全程管理的路子，而整個(gè)的過(guò)程，必須有一套完整的文件體系來(lái)控制和指引這