《计算机信息系统人员安全管理课件》由会员分享,可在线阅读,更多相关《计算机信息系统人员安全管理课件(79页珍藏版)》请在金锄头文库上搜索。
1、计算机信息系统人员安全管理,一、当今社会,计算机信息与我们息息相关,1、规模巨大 1)中国网民规模跃居世界第一位 全球网站总量已经达到2.315亿个,新增网站主要来自中国。 中国网民数量06年是1.23亿,2010年,我国网民规模继续稳步增长,网民总数达到4.57亿,互联网普及率攀升至34.3%,远超美国为全球第一 2)中国互联网用户互联网消费数额惊人 2009年中国互联网用户网络消费总规模突破7000亿, 达7160.4亿元,增长23.1%。人均每月用于互联网的消费为170元 ,其中主要用于网络购物。,引言,2、关系密切 网民当选人大代表、政协委员,网民受邀列席将虚拟世界的网民请进,成为今年
2、一些地方的亮点。 浙江杭州市政府工作报告征求意见稿,在政府门户网站向社会进行为期一周的公示。政府工作报告在市前通过互联网向全体市民征求意见,这在杭州还是第一次。 四川省政协办公厅与四川政协网开辟“民意直通车”,邀请网民一起提交提案、议案。由中国社科院新闻与传播研究所、社科文献出版社联合发布的新媒体蓝皮书。1998-2010年中国重大网络舆论事件与传播特征指出,中国的网络舆论给人留下的负面印象高于积极作用,但据对中国210起重大舆论事件的研究,网络舆论在67%的事件中起到了推动政府解决问题的正面积极作用。,近年重大网络事件:天津“我爸是李刚”、武汉“厅官妻子打错门”、云南“躲猫猫”、湖北邓玉娇事
3、件,河南 “替谁说话”,上海“钓鱼执法”,计算机在迅速改变着这个世界,给社会和越来越多的人提供便利,但与此同时,计算机网络里的违法犯罪活动也越来越猖獗。 正义与邪恶的较量,正越来越趋于激烈。这种较量,直接关系到每一个人的切身利益,关系到国家的经济、政治、文化和社会安全。,二、计算机网络犯罪日益猖獗, 计算机信息安全刻不容缓,1、损失巨大 全世界每年被计算机犯罪直接盗走的资金达数百亿元; 据美国联邦调查局统计测算,一起刑事案件的平均损失为2000美元,而一起计算机犯罪案件的平均损失高达50万美元。据计算机安全专家估算,近年因计算机犯罪给总部在美国的公司带来的损失约为2500亿美元。 2008年1
4、0月1700万名德国电信用户的个人数据遭泄漏;12月,德国再爆2100万个私人银行账号在市面上非法流通,个人存款面临威胁。,2、攻击频繁 2009年1月4日,金山毒霸“云安全”中心监测结果显示,2009年元旦期间,全国近百万台电脑遭遇病毒攻击。其中元月1号一天就有40万台电脑受到病毒的攻击。 IE7攻击代码每日进行22万次攻击该代码。 2008年上半年,江民反病毒中心共截获新病毒206439种,1至6月全国共有9871681台计算机感染了病毒。目前江民反病毒中心日处理病毒数量达到最高达到上万种。 3、手法多样 随着计算机技术水平的的不断提高,计算机犯罪的手段层出不穷。,案例介绍工商银行网站假网
5、页案,据报:有人建了一个假冒的工商银行网站,试图骗取该行用户的账号和密码,它的网站和真正的工行网站www.I,只有“1”和“I”一字之差。 用户进入假工商银行网站后,输入一个卡号并进行修改密码后,该网站显示“密码修改成功,请牢记”。专家介绍,如果此时输的是正确卡号和密码就已经被该网站盗取了。工行一位技术人员说,一旦犯罪分子掌握了他人银行卡号和密码,就可以做假卡到提款机上取现金了。 一位用户称,前天他收到一封电子邮件称:“最近我们发现您的工商银行账号有异常活动,为了保证您的账户安全,我行将于48小时内冻结您的账号,如果您希望继续使用,请点击输入账号和密码激活”。邮件落款为:中国工商银行客户服务中
6、心。在的网站上,按照提示,张先生随意输了一个账号和密码,竟显示激活成功。,假工商银行还举行过一项“送大礼”活动,其内容非常诱人:为了回报网上银行用户,本行特进行火爆送大礼活动!此网页还注明,领奖者需输入网上银行注册卡号、登录密码、交易密码完成领奖注册后,才能获得以上相应礼物。 中国互联网信息举报中心监测数据显示,2011年春节以来,与中国某银行相关的诈骗网站举报数量明显增加,克隆网站多达70多个。 在媒体公开报道的案例中,有用户被骗走的金额高达百万元。据国家计算机网络应急中心估算,“网络钓鱼”给电子商务用户带来的损失目前已达76亿元,平均每位网购用户被“钓”走的金额为86元。 不断升级的诈骗技
7、术再次敲响网银用户安全的警钟。昨天,,乐购超市案,案例大概:2006年1月19日,上海市金山区人民法院作出一审判决,以职务侵占罪判处被告人方元有期徒刑14年,并处没收财产30万元;同案的于琪等42名被告人分别被判处有期徒刑12年至拘役4个月缓刑6个月,另有8名被告人处没收财产10万至1万元。 团伙的核心一号人物方元,26岁,曾经担任过超市的资讯组长,是“漏斗”程序设计者。二号人物陈炜嘉,34岁,曾经是超市的驾驶员,负责招收可靠的收银员。三号人物于琪,26岁,曾任超市资讯组长,负责秘密安装漏斗程序,可以说算是潜伏在里面很深的卧底。,方在工作中发现了超市收银系统存在漏洞,于是便设计了攻击性的“漏斗
8、”程序。根据方的设计,只要收银员输入口令、密码,这个程序会自动运行,删除该营业员当日20%左右的销售记录后再将数据传送至会计部门,造成会计部门只按实际营业额的80%向收银员收取营业额,另20%营业额即可被侵吞。,2004年5月,已从乐购超市真北店辞职的方元和当时在该店任资讯员的于琪合谋,实施利用非法程序截留超市营业款。2004年6月至2005年8月期间,由方负责设计并定期修改非法程序,于琪等人利用工作便利,将方设计的非法应用程序安装传送到该超市真北店、金山店、七宝店的收银系统,超市的驾驶员陈炜嘉负责从社会上物色和招聘人员,进行面试和技能培训,然后将他们作为“自己人”安插到超市收银员等岗位。,从
9、此,方元家便成了“卧底收银员”的培训基地。方元专门搬来一台收银机现场演示,而陈炜嘉还特意写下了操作中的注意事项。 在一年多时间里,这个团伙敛财397万元。由于作案手段专业隐秘,超市苦于被盗却查不出损失到底是如何产生的。正当他们沉浸在发财梦中,认为万无一失的时候,他们引以为豪的“漏斗”软件被警方识破,整个团伙一网打尽。,商场使用收银程序进行计算机(或POS)收银,在国内是1980年代中期的事情,之后在1990年代逐渐流行,到2000年前后,城市里面绝大部分大型超市都采用收款机来进行收银,包括产品的进销调存处理。既然使用计算机进行销售处理,当然要采用计算机程序。收银的计算机程序一般对于每一笔业务都
10、可以登载清楚,并作为结算的依据。本案的案例反映出几个问题:,一是商场的管理非常涣散,因为帐款不符,在每个柜台的对帐和盘点过程中很容易发现这种问题 二是商场的制度很不健全,这么多人,长时间进行舞弊操作,按理说是很不容易组织和维持的,反而维持了很长时间,致使商场蒙受重大损失,这充分反映了商场在制度上的问题。 本案例企业管理计算机犯罪案例中属于典型案例。企业应该加强内部控制,在实行计算机业务处理后,应该有适当的、与之配合的监控措施。包括另一个计算机监控程序。一方面是技术上的防范,另外一方面是对人的防范。要提高劳动力的素质不光是劳动技能,还要加强劳动纪律、加强职业道德的教育。,上述案例说明:信息安全依
11、然存在不少问题。,一是安全技术保障体系尚不完善,许多单位花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标; 二是应急反应体系没有经常化、制度化: 三是企业、单位信息安全的标准、制度建设滞后。,美国联邦调查局(FBI)2001年12月日3日宣布,对全局机构进行全面调整,将成立一个新的网络犯罪侦查处(Cybercrime Division),专门处理知识产权保护、高科技与计算机犯罪等问题。 调整以后,FBI原有的11个部门将合并为4个新的部门。新成立的网络犯罪侦查处与刑侦处(Criminal Investigation Division)平级,由分管刑侦的新任局长执行助理鲁
12、本.加西亚领导。另外3个处分别是反恐怖与反间谍处、执法处和行政处。,FBI网络犯罪侦察处的工作 (主要人物:詹妮弗、格里芬,美国的FBI,就专门有着这样一个部门,他们只负责调查和处理存在于因特网上的犯罪记录,关注的是所有与网络有关的犯罪行为,而FBI特派探员詹妮弗,就是这个部门中非常专业的一位成员。 詹妮弗、格里芬在上夜班 詹妮弗已盯某嫌疑人多天 进该人网站,音乐下载,三首歌曲 解压缩,听歌,发现自己金融资料被盗取,詹妮弗也放了木马,可监控嫌疑人的操作 他购买了高级手表,用的是詹妮弗的信用卡 詹妮弗查到网址,是个好人 局域网超连接,查出嫌疑人,锁定 通知当地警方 抓获罪犯。,第一节 安全组织及
13、其职能,做好信息安全工作要建立与系统规模、重要程度相适应的安全组织。 一、建立信息安全组织的必要性 中华人民共和国计算机信息系统安全保护条例第13条: “计算机信息系统的使用单位应当健全安全管理制度,负责本单位计算机信息系统的安全保护工作” 第4条: “计算机信息系统的安全保卫工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。”,从木桶理论谈计算机信息安全,说到木桶理论,可谓众所周知:一个由许多块长短不同的木板箍成的木桶,决定其容水量大小的并非是其中最长的那块木板或全部木板长度的平均值,而是取决于其中最短的那块木板。,这个理论也被引进了安全领域,在信息安
14、全中,认为信息安全的防护强度取决于“马奇诺防线”中最为薄弱的一环, 这个理论意义在于使我们认识到整个安全防护中,最短木块的巨大威胁,并针对最短木块进行改进。但这其实只是一种头痛医头,脚痛医脚的做法,是治标不治本的方法。所以实施后,安全问题还是很多,有人曾形象地说“洞照开,虫照跑,毒照染”。,新木桶理论,一个木桶能不能容水,容多少水,除了看最短木板之外,还要看一些关键信息: 1、这个木桶是否有坚实的底板, 2、木板之间是否有缝隙。,底板是信息安全的基础 一个完整的木桶,除了木桶中长板、短板,木桶还有底板。 对于装信息的木桶来讲,底板正是信息安全的基础,即企业的信息安全架构、制度建设和流程管理。对
15、于多数企业而言,目前还没有整体的信息安全规划和建设,也没有制度和流程。信息安全还没有从整体上进行考虑,随意性相当强。,木板间的缝隙是木桶能否容水的关键。 木桶能否有效地容水,除了需要坚实的底板外,还取决于木板之间的缝隙。 对于一个安全防护体系而言,其不同产品之间的协作和联动有如木板之间的缝隙,通常为我们所忽视,但其危害却最深。,桶箍的妙处就在于它能把一堆独立的木条联合起来,紧紧地排成一圈,同时它消除了木条与木条之间的缝隙,使木条之间形成协作关系,形成一个共同的目标。如果箍不紧,那木桶也就是千疮百孔,纵有千升好水,能得几天不停流? 信息系统的安全组织就是木桶的桶箍,它能把各种安全技术、安全产品、
16、安全策略、安全措施等各种目标等箍在一起,共同形成一个坚实的木桶。,二、安全组织的规模,单位最高领导必须主管计算机安全工作。 规模大的信息系统:设立安全领导小组,成员包括单位最高领导;确定职能部门负责日常信息系统安全管理工作,其成员包括单位负责人、系统管理员、程序员、硬件人员、操作员、人事和保卫;并设立下一级安全组织。 规模小的信息系统:安全组织人员较少或设立信息系统安全专管员。 一般至少“三结合”:即领导、保卫人员、计算机技术人员相结合。,三、安全组织的基本要求,安全组织的运行应独立于信息系统的运行,是一个综合性组织。 1、单位安全负责人领导,不能隶属于计算机运行或应用部门。 2、常设工作职能机构。 3、“三结合”人员组成。 4、双重组织联系:接受公安机关计算机安全监察部门管理、指导以及本系统上下级安全管理工作联系。,安全管理的九个主要环节:,领导重视,组织落实,采取登记保护体制,责任分解明确并落实到人,具体措施到位,各类安全管理制度健全,建立安全技术保障,周密细致的信息安全工作,严格周详
