《信息安全意识培训课件》由会员分享,可在线阅读,更多相关《信息安全意识培训课件(77页珍藏版)》请在金锄头文库上搜索。
1、IDCIDC信息安全意识培训信息安全意识培训从小事做起,从自身做起从小事做起,从自身做起 遵守遵守IDCIDC各项安全策略和制度规范各项安全策略和制度规范2什么是安全意识?什么是安全意识?安全意识(安全意识(Security awarenessSecurity awareness),就是能),就是能够认知可能存在的安全问题,明白安全事故对组够认知可能存在的安全问题,明白安全事故对组织的危害,恪守正确的行为方式,并且清楚在安织的危害,恪守正确的行为方式,并且清楚在安全事故发生时所应采取的措施。全事故发生时所应采取的措施。3我们的目标我们的目标 建立对信息安全的敏感意识和正确认识建立对信息安全的敏
2、感意识和正确认识 掌握信息安全的基本概念、原则和惯例掌握信息安全的基本概念、原则和惯例 了解信息安全管理体系(了解信息安全管理体系(ISMSISMS)概况)概况 清楚可能面临的威胁和风险清楚可能面临的威胁和风险 遵守遵守IDCIDC各项安全策略和制度各项安全策略和制度 在日常工作中养成良好的安全习惯在日常工作中养成良好的安全习惯 最终提升最终提升IDCIDC整体的信息安全水平整体的信息安全水平4制作说明制作说明本培训材料由本培训材料由IDCIDC信息安全管理体系实施组织信息安全管理体系实施组织安全执行委员会编写,并经安全管理委员会批准安全执行委员会编写,并经安全管理委员会批准,供,供IDCID
3、C内部学习使用,旨在贯彻内部学习使用,旨在贯彻IDCIDC信息安全策信息安全策略和各项管理制度,全面提升员工信息安全意识略和各项管理制度,全面提升员工信息安全意识。5 现实教训现实教训 追踪问题的根源追踪问题的根源 掌握基本概念掌握基本概念 了解信息安全管理体系了解信息安全管理体系 建立良好的安全习惯建立良好的安全习惯 重要信息的保密重要信息的保密 信息交换及备份信息交换及备份 软件使用安全软件使用安全 计算机及网络访问安全计算机及网络访问安全 人员及第三方安全管理人员及第三方安全管理 移动计算与远程办公移动计算与远程办公 工作环境及物理安全要求工作环境及物理安全要求 防范病毒和恶意代码防范病
4、毒和恶意代码 口令安全口令安全 电子邮件安全电子邮件安全 介质安全管理介质安全管理 警惕社会工程学警惕社会工程学 应急响应和业务连续性计划应急响应和业务连续性计划 法律法规法律法规 寻求帮助寻求帮助目 录6严峻的现实!严峻的现实!惨痛的教训!惨痛的教训!第第1 1部分部分7在线银行在线银行一颗定时炸弹。一颗定时炸弹。最近,南非的最近,南非的AbsaAbsa银行遇到了银行遇到了 麻烦,它的互联网银行服务发生一麻烦,它的互联网银行服务发生一 系列安全事件,导致其客户成百万系列安全事件,导致其客户成百万 美元的损失。美元的损失。AbsaAbsa银行声称自己的银行声称自己的 系统是绝对安全的,而把责任
5、归结系统是绝对安全的,而把责任归结 为客户所犯的安全错误上。为客户所犯的安全错误上。AbsaAbsa银银 行的这种处理方式遭致广泛批评。行的这种处理方式遭致广泛批评。 那么,究竟是怎么回事呢?那么,究竟是怎么回事呢?一起国外的金融计算机犯罪案例一起国外的金融计算机犯罪案例8前因后果是这样的前因后果是这样的 uu Absa Absa是南非最大的一家银行,占有是南非最大的一家银行,占有35%35%的市场份额,的市场份额, 其其InternetInternet银行业务拥有银行业务拥有4040多万客户。多万客户。uu 20032003年年6 6、7 7月间,一个月间,一个3030岁男子,盯上了岁男子,
6、盯上了AbsaAbsa的在线的在线 客户,向这些客户发送携带有间谍软件(客户,向这些客户发送携带有间谍软件(spywarespyware)的邮)的邮 件,并成功获得众多客户的账号信息,从而通过件,并成功获得众多客户的账号信息,从而通过 InternetInternet进行非法转帐,先后致使进行非法转帐,先后致使1010个个AbsaAbsa的在线客户的在线客户 损失达数万法郎。损失达数万法郎。uu 该男子后来被南非警方逮捕。该男子后来被南非警方逮捕。9间谍软件间谍软件 eBlaster eBlasteruu 这是一个商业软件(这是一个商业软件(http:/ 帮助父母或老板监视孩子或雇员的上网活动
7、帮助父母或老板监视孩子或雇员的上网活动uu 该软件可记录包括电子邮件、网上聊天、即使消息、该软件可记录包括电子邮件、网上聊天、即使消息、WebWeb访问、访问、 键盘操作等活动,并将记录信息悄悄发到指定邮箱键盘操作等活动,并将记录信息悄悄发到指定邮箱uu 商业杀毒软件一般都忽略了这个商业软件商业杀毒软件一般都忽略了这个商业软件uu 本案犯罪人就是用邮件附件方式,欺骗受害者执行该软件,然后本案犯罪人就是用邮件附件方式,欺骗受害者执行该软件,然后 窃取其网上银行账号和窃取其网上银行账号和PINPIN码信息的码信息的10我们来总结一下教训我们来总结一下教训Absa Absa声称不是自己的责任,而是客
8、户的问题声称不是自己的责任,而是客户的问题安全专家和权威评论员则认为:安全专家和权威评论员则认为:AbsaAbsa应负必要责任,应负必要责任, 其电子银行的安全性值得怀疑其电子银行的安全性值得怀疑DeloitteDeloitte安全专家安全专家Rogan DawesRogan Dawes认为:认为:AbsaAbsa应向其客户应向其客户 灌输更多安全意识,并在易用性和安全性方面达成平衡灌输更多安全意识,并在易用性和安全性方面达成平衡ITIT技术专家则认为:电子银行应采用更强健的双因素技术专家则认为:电子银行应采用更强健的双因素 认证机制(口令或认证机制(口令或PINPIN智能卡),而不是简单的口
9、令智能卡),而不是简单的口令我们认为:我们认为:AbsaAbsa银行和客户都有责任银行和客户都有责任11国内金融计算机犯罪的典型案例国内金融计算机犯罪的典型案例一名普通的系统维护人员,轻松破解数道密码,进一名普通的系统维护人员,轻松破解数道密码,进 入邮政储蓄网络,盗走入邮政储蓄网络,盗走83.583.5万元。这起利用网络进行金万元。这起利用网络进行金 融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破 获获 人民日报,人民日报,20032003年年1212月月时间:时间:20032003年年1111月月地点:地点:甘肃省定西地区临洮县太石甘肃省定
10、西地区临洮县太石 镇邮政储蓄所镇邮政储蓄所人物:人物:一个普通的系统管理员一个普通的系统管理员12怪事是这么发生的怪事是这么发生的l l 2003 2003年年1010月月5 5日,定西临洮县太石镇邮政储蓄所的营业电脑突然死机日,定西临洮县太石镇邮政储蓄所的营业电脑突然死机l l 工作人员以为是一般的故障,对电脑进行了简单的修复和重装处理工作人员以为是一般的故障,对电脑进行了简单的修复和重装处理l l 1717日,工作人员发现打印出的报表储蓄余额与实际不符,对账发现,日,工作人员发现打印出的报表储蓄余额与实际不符,对账发现,1313 日发生了日发生了1111笔交易,笔交易,83.583.5万异
11、地帐户是虚存(有交易记录但无实际现金)万异地帐户是虚存(有交易记录但无实际现金)l l 紧急与开户行联系,发现存款已从兰州、西安等地被取走大半紧急与开户行联系,发现存款已从兰州、西安等地被取走大半l l 储蓄所向县公安局报案储蓄所向县公安局报案l l 公安局向定西公安处汇报公安局向定西公安处汇报l l 公安处成立专案组,同时向省公安厅上报公安处成立专案组,同时向省公安厅上报l l 13当然,最终结果不错当然,最终结果不错 经过缜密的调查取证,经过缜密的调查取证, 我英勇机智的公安干警终于我英勇机智的公安干警终于 一举抓获这起案件的罪魁祸一举抓获这起案件的罪魁祸 首首 会宁邮政局一个普会宁邮政局
12、一个普 通的系统维护人员张某通的系统维护人员张某14事情的经过原来是这样的事情的经过原来是这样的 登录到 永登邮政局永登临洮 破解口令,登录到 临洮一个邮政储蓄所 会宁的张某用假身份证 在兰州开了8个活期帐户 张某借 工作之便, 利用笔记本 电脑连接电 缆到邮政储 蓄专网会宁 向这些帐户虚存83.5万,退 出系统前删掉了打印操作系统 最后,张某在兰州 和西安等地提取现金15到底哪里出了纰漏到底哪里出了纰漏 张某张某2929岁,毕业于邮电学院,资质平平,谈不上精岁,毕业于邮电学院,资质平平,谈不上精 通计算机和网络技术通计算机和网络技术邮政储蓄网络的防范可谓严密:邮政储蓄网络的防范可谓严密:与与
13、InternetInternet物理隔离的专网;配备了防火墙物理隔离的专网;配备了防火墙 ;从前台分机到主机经过数重密码认证;从前台分机到主机经过数重密码认证16可还是出事了,郁闷呀可还是出事了,郁闷呀 问题究竟出在哪里?问题究竟出在哪里?思考中思考中哦,原来如此哦,原来如此 17看来,问题真的不少呀看来,问题真的不少呀 张某私搭电缆,没人过问和阻止,使其轻易进入邮政张某私搭电缆,没人过问和阻止,使其轻易进入邮政 储蓄专网储蓄专网临洮县太石镇的邮政储蓄网点使用原始密码,没有定临洮县太石镇的邮政储蓄网点使用原始密码,没有定 期更改,而且被员工周知,致使张某轻松突破数道密码期更改,而且被员工周知,
14、致使张某轻松突破数道密码 关,直接进入了操作系统关,直接进入了操作系统问题出现时,工作人员以为是网络系统故障,没有足问题出现时,工作人员以为是网络系统故障,没有足 够重视够重视18总结教训总结教训 最直接的教训:漠视口令安全带来恶果!最直接的教训:漠视口令安全带来恶果!归根到底,是管理上存在漏洞,人员安全意识淡薄归根到底,是管理上存在漏洞,人员安全意识淡薄安全意识的提高刻不容缓!19一起证券行业计算机犯罪案例一起证券行业计算机犯罪案例凭借自己的耐心和别人的粗心,股市凭借自己的耐心和别人的粗心,股市“ “菜鸟菜鸟” ”严某非严某非 法侵入法侵入“ “股神通股神通” ”1010个单位和个人的股票账
15、户,用别人的个单位和个人的股票账户,用别人的 钱磨练自己的炒股技艺钱磨练自己的炒股技艺 青年报,青年报,20032003年年1212月月时间:时间:20032003年年6 6月月地点:地点:上海上海人物:人物:2626岁的待业青年严某岁的待业青年严某20事情是这样的事情是这样的 l l 2003 2003年年3 3月,严父在家中安装开通月,严父在家中安装开通“ “股神通股神通” ”业务,进行即时股票交易。业务,进行即时股票交易。l l 20032003年年6 6月的一天,严某偶得其父一张股票交易单,上有月的一天,严某偶得其父一张股票交易单,上有9 9位数字的账号位数字的账号 ,遂动了,遂动了“ “瞎猫碰死老鼠瞎猫碰死老鼠” ”的念头:该证券公司客户账号前的念头:该证券公司客户账号前6 6位数字是相同的位数字是相同的 ,只需猜后,只需猜后3 3位;而位;而6 6位密码,严某锁定为位密码,严某锁定为“ “123456123456” ”。l l 严某严某” ”埋头苦干埋头苦干“ “,第一天连续输入了,第一天连续输入了30003000个数字组合,一无所获。个数字组合,一无所获。l l 第二天继续,
