《邯郸市医卫系统信息安全交流》由会员分享,可在线阅读,更多相关《邯郸市医卫系统信息安全交流(108页珍藏版)》请在金锄头文库上搜索。
1、邯郸市医卫系统信息安全交流,目录,信息安全现状 信息安全目标 信息安全意识 相关信息安全技术,我们的世界,世界变化越来越快,世界越来越小 世界越来越复杂 越来越缺乏安全感,2012 RSA “5大安全话题”,更好的阻止黑客组织;,阻止社会工程学攻击;,保护员工的智能手机和平板电脑;,阻止高级持续性安全威胁;,保护大数据;,FROM RSA 2012,新技术 新模式 新安全,漫步云中,随处皆服务,但:,云中身份认证与访问控制 服务与参与对象的信任问题,WEB2.0使网络具有个性化和集市化,但:,超越法律的网络舆情 虚拟资产 网络犯罪与诈骗,新领域 新挑战 新安全,社会化 多视角 大安全,开放的、
2、与社会紧密耦合的、人机结合的复杂巨系统: 必须满足国家政策的要求 必须保护公众的隐私安全 必须实现企业的业务安全,关注可用性、价值、数据; 关注IT威胁和非IT威胁,如:电源故障、火灾、社会工程攻击; 关注有组织的攻击;,我们希望的。,所有的威胁都能洞察和控制! 所有的能力都能融合! 一切值得信赖!,生活安心、舒适。,直面挑战 构建能力 提升价值,安全是感知,安全是融合,技术融合,安全与业务融合,服务与产品融合,安全技术融合,融合调度,身份 认证,访问 控制,系统 加固,虚拟化,数据 备份,运行状态监测,内容 识别,安全技术融合,整合业务,提升效率,用户,管理员,统一账户管理系统,单点登录模块
3、,统一认证管理系统,统一授权管理系统,AD,HR,基础数据源,邮件,财务,CRM,OA,ERP,安全与业务的融合,服务(问题处理) (运维服务/服务工具),策略实施与监管 (工程实施服务/服务工具),日常管理 (服务/服务工具),(1) 签到,(2) 巡检,(5) 响应处理,(3) 签收,(4) 通报告警,(6) 审核,(7) 工单修订,整合与完善,分散的安全 专项子系统,整合专项子 系统数据,安全管理人 员工作平台,服务与产品的融合,Internet,分支1,分支n,总部,服务器群,IPS,AV,VPN,URL,业务平台,安全咨询,安全集成,安全培训,安全代维,产品升级,故障检测,产品维修,
4、安全评估/加固,安全应急响应,安全日志分析,安全是感知、融合、信赖,业务 价值,服务与合规,架构与平台,感应与分析,安全产品、技术、知识、能力组件,目录,信息安全现状 信息安全目标 信息安全意识 相关信息安全技术,C,保密性(Confidentiality) 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。,完整性(Integrity) 确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。,可用性(Availability) 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。,CI
5、A三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:,I,A,信息安全的三要素CIA,信息安全的目标?,什么是信息安全,采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。,信息安全的目的,进不来,拿不走,改不了,跑不了,看不懂,可审查,信息安全等级保护法律政策体系,国家等级保护实施,国家等级保护定级标准,国家标准,国家等级保护基本要求,目录,信息安全现状 信息安全目标 信息安全意识 相关信息安全技术,案例分析,2011年1月珠海的关女士收到一条短信,内容是某“
6、国有银行”网上银行客户的E令密码需要升级,要求用户上网操作,关女士对此深信不疑,马上打开家中的电脑,通过互联网进入短信中所称的E令升级网站操作,她按网页上的要求将网银账号、密码和E令密码等相关资料输入进行了“升级”,结果却发现账户内的200万元不翼而飞2011年4月20日,中国银联系统瘫痪达6个小时,34万家商户POS机无法消费,6万台ATM机无法跨行取款,尽管4天后中国银联发表声明称:此次跨行交易故障绝非“黑客攻击”,而是“系统故障”小概率事件,是由于某些外围设备的隐性缺陷诱发了跨行交易系统主机的缺陷,导致主机发生故障。,案例分析,2011 年12 月21 日,微博爆料称国内最大的程序员网站
7、CSDN 的数据库遭到黑客攻击,涉及600 余万用户的信息被泄露。 2011年12月25 日下午国内知名的社区网站天涯社区的用户隐私也遭到黑客泄漏,据了解此次被泄漏用户数量达到4000 万。 被泄漏的用户密码全部以明文方式保存,数量之大令人乍舌。,案例分析,U盘引发的安全事件,黑客想攻击某单位的内网,由于这个单位互联网边界安全建设的非常好,攻击多次也未能攻入该公司的内部网络,情急之下,想出了一个“狠招”,他购买了几个U盘,把木马病毒拷贝到这几个U盘中,扔到该单位的地下停车场,结果没过几天,他就成功地入侵了该单位的业务系统。,仅仅通过技术手段就可以解决安全问题北京移动充值卡泄漏事件,信息安全理念
8、上的误区,北京移动冲值卡泄漏事件之前在信息安全技术设备上的投入达到了1.2亿,原因之一:威胁无处不在,信息资产,拒绝服务,流氓软件,黑客渗透,内部人员威胁,木马后门,病毒和蠕虫,社会工程,系统漏洞,硬件故障,网络通信故障,供电中断,失火,雷雨,地震,原因之二:自身弱点, 技术弱点, 操作弱点, 管理弱点,系统、 程序、设备中存在的漏洞或缺陷,配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份过程的不当等,策略、程序、规章制度、人员意识、组织结构等方面的不足,保持清醒认识,信息资产对我们很重要,是要保护的对象威胁就像苍蝇一样,挥之不去,无所不在资产自身又有各种弱点,给威胁带来可乘之机面临各
9、种风险,一旦发生就成为安全事件、事故,我们应该,熟悉潜在的安全问题 知道怎样防止其发生 明确发生后如何应对,从别忘了关门的故事说起,不妨换个思维,商学院2005年第七期的一篇文章,别忘了关门,另眼看信息安全,信息安全除了是故事中的围栏之外, 还是那道千万别忘记关的门,还有 那颗别忘了关门的心安全意识,安全意识(Security awareness)就是能够认知可能存在的安全问题,明白安全事故对组织的危害,恪守正确的行为方式,并且清楚在安全事故发生时所应采取的措施。,什么是信息安全意识,以下安全事件是否曾经发生?,办公环境中曾经发生过丢失笔记本电脑的情况。曾经有外来人员,直接进入办公环境,在无人
10、随同的情况下,自己找到空位,将笔记本电脑随意接入到公司网络,致使网络感染病毒。曾经有内部人员,不小心将机密信息通过电子邮件发送给不应接收的人员。一名内部员工,因为浏览不明网站,感染蠕虫病毒, 恶意代码利用系统的漏洞而在网络发作,致使网络瘫痪。,犯过以下的错误吗?,将口令写在便签上,贴在电脑监视器旁 开着电脑离开,就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件,好奇打开邮件附件 使用容易猜测的口令,或者根本不设口令 不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息 随便拨号上网,或者随意将无关设备连入公司网络 事不关己,高高挂起,不报告安全事件 在系统更新和安装补丁上总是行动迟缓 在公共场合谈
11、论单位信息 会后不擦黑板,会议资料随意放置在会场,想想这些错误存在哪些潜在问题?您会如何应对?,从自身做起,良好的安全习惯,Internet使用安全 警惕社会工程学 介质安全、笔记本电脑及个人数据安全 重要信息的保密 口令安全 信息交换与备份安全 计算机及网络访问安全 工作环境及物理安全要求,Internet使用安全,内容,病毒 Virus,蠕虫 Worm,木马 Trojan,传统的计算机病毒,具有自我繁殖能力,寄生于其他可执行程序中的,通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染,网络蠕虫不需借助其他可执行程序就能独立存在并运行,通常利用网络中某些主机存在的漏洞来感染和扩散,特洛
12、伊木马是一种传统的后门程序,它可以冒充正常程序,截取敏感信息,或进行其他非法的操作,常见的计算机病毒,网络,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,计算机病毒怎么来的?,由于移动存储设备经常被多个电脑使用,所有病毒设计者就利用这点进行小范围传播。 移动硬盘 软盘 光盘 U盘 (最近正流行,双击无法打开硬盘、右键菜单多Auto),计算机病毒怎么来,恶意代码防范策略,不要随意下载或安装软件 不要接收与打开从E-mail或IM(QQ、MSN等)中传来的不明附件 不要点击他人发送的不明链接,也不登录不明网站 尽量不通过移动介质共享文件 自动或定期
13、更新OS与应用软件的补丁 所有计算机必须部署指定的防病毒软件 防病毒软件与病毒库必须持续更新 感染病毒的计算机必须从网络中隔离(拨除连接的网线)直至清除病毒 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度 发生任何病毒传播事件,相关人员应及时向IT管理部门汇报 ,Internet使用安全 警惕社会工程学 介质安全、笔记本电脑及个人数据安全 重要信息的保密 口令安全 信息交换与备份安全 计算机及网络访问安全 工作环境及物理安全要求,警惕社会工程学,内容,“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话” Kevin
14、Mitnick,社会工程flash,警惕社会工程学,不要轻易泄漏任何信息,社会工程师可以从信息中找到隐藏的有价值的信息,更不要说是口令和账号 在相信任何人之前,先校验其真实的身份 不要违背单位的安全策略,哪怕是你的上司向你索取个人敏感信息(Kevin Mitnick最擅长的就是冒充一个很焦急的老板,利用一般人好心以及害怕上司的心理,向系统管理员索取口令) 所谓的黑客,更多时候并不是技术多么出众,而是社会工程的能力比较强,Internet使用安全 警惕社会工程学 介质安全、笔记本电脑及个人数据安全 重要信息的保密 口令安全 信息交换与备份安全 计算机及网络访问安全 工作环境及物理安全要求,介质安
15、全及数据安全,内容,介质安全管理,创建,传递,销毁,存 储,使用,更改,介质包括:硬盘、U盘、移动硬盘、光盘、软盘、纸等具有存储信息功能的所有介质,LifeCycle,Internet使用安全 警惕社会工程学 介质安全、笔记本电脑及个人数据安全 重要信息的保密 口令安全 信息交换与备份安全 计算机及网络访问安全 工作环境及物理安全要求,重要信息的保密,内容,依据公司资产管理策略,信息保密级别分类 根据保密级别进行标识 对不同级别的信息进行不同的处理与保护 根据不同级别的信息设定访问控制策略,帐户与口令安全,内容,Internet使用安全 警惕社会工程学 介质安全、笔记本电脑及个人数据安全 重要
16、信息的保密 口令安全 信息交换与备份安全 计算机及网络访问安全 工作环境及物理安全要求,脆弱的口令,少于8个字符 单一的字符类型,例如只用小写字母,或只用数字 用户名与口令相同 最常被人使用的弱口令:自己、家人、朋友、亲戚、宠物的名字生日、结婚纪念日、电话号码等个人信息工作中用到的专业术语,职业特征字典中包含的单词,或者只在单词后加简单的后缀 所有系统都使用相同的口令 口令一直不变,建议,选择易记强口令的几个窍门:口令短语字符替换单词误拼键盘模式,信息交换备份安全,内容,Internet使用安全 警惕社会工程学 介质安全、笔记本电脑及个人数据安全 重要信息的保密 口令安全 信息交换与备份安全 计算机及网络访问安全 工作环境及物理安全要求,信息交换安全,通过传真发送机密信息时,应提前通知接收者并确保号码正确 不允许在公共区域用移动电话谈论机密信息 不允许在公共区域与人谈论机密信息 不允许通过电子邮件或IM工具交换账号和口令信息 不允许借助公司资源做非工作相关的信息交换 不允许通过IM工具传输附件 禁止通过WINDOWS的SHARE方式共享信息 应该使用专用打印机或复印机处理绝密资料 打印或复印的资料应立即取走 ,
