《信息安全意识培训讲义.pdf》由会员分享,可在线阅读,更多相关《信息安全意识培训讲义.pdf(126页珍藏版)》请在金锄头文库上搜索。
1、中石油信息安全培训中石油信息安全培训 2010年11月 增强信息安全意识、提高个人防护能力增强信息安全意识、提高个人防护能力 目录目录 三、个人信息安全防护基本技能三、个人信息安全防护基本技能 二、二、信息安全形势和任务信息安全形势和任务 一、一、信息安全基本常识信息安全基本常识 一、信息安全基本常识一、信息安全基本常识 为什么会有信息安全问题?为什么会有信息安全问题? 因为有病毒吗? 因为有黑客吗?因为有黑客吗? 因为有漏洞吗?因为有漏洞吗? 这些都是原因,这些都是原因, 但没有说到根源但没有说到根源 安全问题根源安全问题根源内因系统越来越复杂内因系统越来越复杂 安全问题根源安全问题根源内因
2、我们使用的网络是开放的内因我们使用的网络是开放的 安全问题根源安全问题根源内因人是复杂的内因人是复杂的 安全问题根源安全问题根源外因来自对手的威胁外因来自对手的威胁 信息战士信息战士 减小国家决策空间、 战略优势, 制造混乱,进行目标破坏 国家国家 安全安全 威胁威胁 情报机构情报机构 搜集政治、军事,经济信息 恐怖分子恐怖分子 破坏公共秩序,制造混乱,发 动政变 商业间谍商业间谍 掠夺竞争优势,恐吓 共同共同 威胁威胁 犯罪团伙犯罪团伙 施行报复,实现经济目的, 破坏制度 社会型黑客社会型黑客 攫取金钱,恐吓,挑战,获取 声望 局部局部 威胁威胁 娱乐型黑客娱乐型黑客 以吓人为乐,喜欢挑战
3、安全问题根源安全问题根源外因来自自然的破坏外因来自自然的破坏 信息技术的发展信息技术的发展 电报电话通信 计算机加工存储 网络互联时代 信息安全问题的诞生信息安全问题的诞生 人类开始信息的通信,信息安全的历史就开始了 公元前500年,斯巴达人用于加解密的一种军事设备。 发送者把一条羊皮螺旋形地缠在一个圆柱形棒上。 通信安全通信安全 20世纪,40年代-70年代 通过密码技术解决通信保密,内容篡改 转轮密码机转轮密码机ENIGMA,1944年装备德国海年装备德国海 军军 以二战时 期真实历 史为背景 的,关于 电报密文 窃听和密 码破解的 故事 信息系统安全信息系统安全 20世纪,70-90年代
4、后,计算机和网络改变了一切 确保信息在网络信息系统中的存储、处理和传输过程中 免受非授权的访问,防止授权用户的拒绝服务 信息安全保障信息安全保障 “组织内部环境” 信息系统安全问题信息系统安全问题 通信安全 数据安全 技术系统安全问题技术系统安全问题 网络安全 现在人们意识到:技术很重要,但技术不是一切;信现在人们意识到:技术很重要,但技术不是一切;信 息系统很重要,只有服务于组织业务使命才有意义息系统很重要,只有服务于组织业务使命才有意义 什么是信息?什么是信息? 信息的属性: 基本元素是数据,每个数据代表某个意义; 以各种形式存在:纸、电子、影片、交谈等; 数据具有一定的逻辑关系; 具有一
5、定的时效性; 对组织具有价值 ,是一种资产; 需要适当的保护。 知识知识 信息信息 数数 据据 指导 意义 抽象 程度 什么是安全?什么是安全? 安全安全 Security:事物保持不受损害:事物保持不受损害 什么是信息安全?什么是信息安全? 不该知道的人,不让他知道!不该知道的人,不让他知道! 什么是信息安全?什么是信息安全? 信息不能追求残缺美!信息不能追求残缺美! 什么是信息安全?什么是信息安全? 信息要方便、快捷!信息要方便、快捷! 不能像某国首都二环早高峰,不能像某国首都二环早高峰, 也不能像春运的火车站也不能像春运的火车站 什么是信息安全什么是信息安全 秘密秘密 保密性 ( 保密性
6、 (Confidentiality) 完整性 ( ) 完整性 (Integrity) 可用性 ( ) 可用性 (Availability) 信息本身的机密性(信息本身的机密性(Confidentiality)、完整性()、完整性(Integrity)和)和 可用性(可用性(Availability)的保持,即防止防止未经授权使用信息、)的保持,即防止防止未经授权使用信息、 防止对信息的非法修改和破坏、确保及时可靠地使用信息。防止对信息的非法修改和破坏、确保及时可靠地使用信息。 保密性:保密性:确保信息没有非授权的泄漏,不被确保信息没有非授权的泄漏,不被 非授权的个人、组织和计算机程序使用非授权
7、的个人、组织和计算机程序使用 完整性:完整性:确保信息没有遭到篡改和破坏确保信息没有遭到篡改和破坏 可用性:可用性:确保拥有授权的用户或程序可以及确保拥有授权的用户或程序可以及 时、正常使用信息时、正常使用信息 什么是信息安全风险什么是信息安全风险 什么是信息安全风险什么是信息安全风险 什么是信息安全风险什么是信息安全风险 什么是信息安全风险什么是信息安全风险 外在威胁利用信息系 统存在的脆弱性,致 其损失或破坏对系统 价值造成损害的可能 性 资产资产 威胁威胁 防护措施防护措施 脆弱性脆弱性 风险风险 利用利用 对抗对抗 导导 致致 增增 加加 减减 少少 作作 用用 于于 为什么需要信息安
8、全保障为什么需要信息安全保障 组织机构的使命组织机构的使命/业务目业务目 标实现越来越依赖于信息标实现越来越依赖于信息 系统系统 信息系统成为组织机构生信息系统成为组织机构生 存和发展的关键因素存和发展的关键因素 信息系统的安全风险也成信息系统的安全风险也成 为组织风险的一部分为组织风险的一部分 为了保障组织机构完成其为了保障组织机构完成其 使命,必须加强信息安全使命,必须加强信息安全 保障,抵抗这些风险。保障,抵抗这些风险。 信息 系统 使命 风险保障 如何保障信息安全?如何保障信息安全? 信息是依赖与承载它的信息技术系统存在的信息是依赖与承载它的信息技术系统存在的 需要在技术层面部署完善的
9、控制措施需要在技术层面部署完善的控制措施 信息系统是由人来建设使用和维护的信息系统是由人来建设使用和维护的 需要通过有效的管理手段约束人需要通过有效的管理手段约束人 今天系统安全了明天未必安全今天系统安全了明天未必安全 需要贯穿系统生命周期的工程过程需要贯穿系统生命周期的工程过程 信息安全的对抗,归根结底是人员知识、技能和素质信息安全的对抗,归根结底是人员知识、技能和素质 的对抗的对抗 需要建设高素质的人才队伍需要建设高素质的人才队伍 一个单位如何考虑安全技术体系?一个单位如何考虑安全技术体系? DMZ ? E-Mail ? File Transfer ? HTTP IntranetIntra
10、net 企业网络 机关行政部门 机关业务部门 对外服务厅 技术部门 路由 Internet 中继 DMZ ? E-Mail ? File Transfer ? HTTP IntranetIntranet 企业网络 机关行政部门 机关业务部门 对外服务厅 技术部门 路由 Internet 中继 完善的信息安全技术体系考虑过程完善的信息安全技术体系考虑过程 安安 全全 隐隐 患患 外部/个体 外部/组织 内部/个体 内部/组织 关闭安全维护关闭安全维护 “后门”“后门” 更改缺省的更改缺省的 系统口令系统口令 操作系统补丁操作系统补丁 Modem 数据文件加密数据文件加密 安装认证安装认证 微型计
11、算 机7112万台,增长50.1%,其中笔记本电脑增长50.6%; 集成 电路190亿块,增长78.5% 1-4月,我国累计实现软件业务收入3626亿元,同比增长 28.7%。信息技术增值服务收入同比增长38.1%。集成电路设 计开发收入228亿元,同比增长63%。软件产品、系统集成和 支持服务、信息技术咨询和管理服务、嵌入式系统软件、分 别实现1333、728、320和638亿元,分别增长27%、25.1%、 26.3%、23%。 信息化建设的意义信息化建设的意义 小平同志提出: 党的十六大报告也指出: 信息化建设的意义信息化建设的意义 信息化作为全球化的重要方面,直接推动了国际关系 的演变
12、和全球经济体系的形成 电子政务、电子商务和整个社会的信息化发展,标志 着我国进入信息化社会 整个社会越来越依赖于网络和信息系统,网络和信息 系统正成为社会运行和发展的重要支撑要素 然而,没有信息安全就没有真正有效的信息化然而,没有信息安全就没有真正有效的信息化 信息安全受到高度重视信息安全受到高度重视 党中央、国务院对信息安全提出明确要求 2003年9月,中央办公厅、国务院办公厅转发了国家 信息化领导小组关于加强信息安全保障工作的意见, 第一次把信息安全提到了促进经济发展、维护社会稳定 、保障国家安全、加强精神文明建设的高度。 2004年秋,党的十六届四中全会将信息安全与政治安全 、经济安全、
13、文化安全并列为国家安全的重要组成要素 。非传统安全问题日益得到重视。 信息安全趋势信息安全趋势 隐蔽性:信息安全的一个最大特点就是看不见摸不着 。在不知不觉中就已经中了招,在不知不觉中就已经 遭受了重大损失。 信息安全趋势信息安全趋势 趋利性:为了炫耀能力的黑客少了,为了非法取得政 治、经济利益的人越来越多 新应用导致新的安全问题新应用导致新的安全问题 数据大集中风险也更集中了; 系统复杂了安全问题解决难度加大; 云计算安全已经不再是自己可以控制的 3G 、物联网、三网合一IP网络中安全问题引入 到了电话、手机、广播电视中 web2.0 、微博、人肉搜索网络安全与日常生活 越来越贴近 网络群体
14、性事件影响政治、社会稳定网络群体性事件影响政治、社会稳定 云南晋宁看守所“躲猫猫” 浙江杭州“飙车事件” 湖北巴东县“邓玉娇事件” 河南农民工“开胸验肺事件” 上海“钓鱼执法事件” 南京“周久耕房管局长天价烟 ” 新闻新闻 2010年初,美国硅谷的迈克菲公司发布最新报告,约109.5万 台中国计算机被病毒感染(美国105.7万),排第一位。 2010年1月2日,公安部物证鉴定中心被黑,登陆该网站,有 些嘲弄语言,还贴一张“我们睡,你们讲”的图片,图片是 公安某单位一次会议上,台下参会人员大睡的场面。 2010年1月11日,著名网络百度被黑(域名劫持),黑客团体叫 “Iranian Cyber
15、Army”。服务器中断5小时。 2008年1月,美国总统布什签发总统54号令,其中有国家网 络安全综合纲领(CNCI),包含12个行动纲领。 2009年6月,美国国防部长罗伯特盖茨下令组建网络司 令部,以统一协调美军网络安全,开展网络战争等与计 算机相关的军事行动。 新闻新闻 2010年3月24日,美国参议院商务、科学和运输委员会通过了旨 在加强美国网络安全,帮助美国政府机构和企业更好地对应网 络威胁的网络安全法案。该委员会主席洛克菲勒在法案通 过后发表声明说:“现状不可忍受,我们需要21世纪的新模式 ,我们必须确保美国的关键网络以及在全球的市场中的创新和 竞争力”。 2010年2月26日,微软公司请求国家互联网应急中心(CNCERT) 协助关闭Waledac僵尸网络所使用的部分中国注册的域名, CNCERT在经过技术验证后,迅速采取行动,在数小时内成功关 闭16个恶意域名。Waledac僵尸网络所使用的服务器大多为于德 国、荷兰、瑞典、俄罗斯和中国,控制全球约10万台计算机( 其中中国约5000台),每天发出约15亿个有害邮件。 今年“”期间,3月3日,全国政协委员严琪所办陶然居餐 饮集团网站(-)被黑,引发热议。 案例案例1 1 2009年6月9日,双色球2009066期开奖,全国 共
