《idc信息安全意识培训教材》由会员分享,可在线阅读,更多相关《idc信息安全意识培训教材(77页珍藏版)》请在金锄头文库上搜索。
1、IDC信息安全意识培训,从小事做起,从自身做起 遵守IDC各项安全策略和制度规范,2,什么是安全意识?,安全意识(Security awareness),就是能够认知可能存在的安全问题,明白安全事故对组织的危害,恪守正确的行为方式,并且清楚在安全事故发生时所应采取的措施。,3,我们的目标,建立对信息安全的敏感意识和正确认识 掌握信息安全的基本概念、原则和惯例 了解信息安全管理体系(ISMS)概况 清楚可能面临的威胁和风险 遵守IDC各项安全策略和制度 在日常工作中养成良好的安全习惯 最终提升IDC整体的信息安全水平,4,制作说明,本培训材料由IDC信息安全管理体系实施组织安全执行委员会编写,并
2、经安全管理委员会批准,供IDC内部学习使用,旨在贯彻IDC信息安全策略和各项管理制度,全面提升员工信息安全意识。,5,现实教训 追踪问题的根源 掌握基本概念 了解信息安全管理体系 建立良好的安全习惯 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 寻求帮助,目 录,6,严峻的现实!,惨痛的教训!,第1部分,7,在线银行一颗定时炸弹。 最近,南非的Absa银行遇到了麻烦,它的互联网银行服务发生一系列安全
3、事件,导致其客户成百万美元的损失。Absa银行声称自己的系统是绝对安全的,而把责任归结为客户所犯的安全错误上。Absa银行的这种处理方式遭致广泛批评。那么,究竟是怎么回事呢?,一起国外的金融计算机犯罪案例,8,前因后果是这样的 ,Absa是南非最大的一家银行,占有35%的市场份额,其Internet银行业务拥有40多万客户。 2003年6、7月间,一个30岁男子,盯上了Absa的在线客户,向这些客户发送携带有间谍软件(spyware)的邮件,并成功获得众多客户的账号信息,从而通过Internet进行非法转帐,先后致使10个Absa的在线客户损失达数万法郎。 该男子后来被南非警方逮捕。,9,间谍
4、软件 eBlaster,这是一个商业软件(http:/ 该软件可记录包括电子邮件、网上聊天、即使消息、Web访问、键盘操作等活动,并将记录信息悄悄发到指定邮箱 商业杀毒软件一般都忽略了这个商业软件 本案犯罪人就是用邮件附件方式,欺骗受害者执行该软件,然后窃取其网上银行账号和PIN码信息的,10,我们来总结一下教训,Absa声称不是自己的责任,而是客户的问题 安全专家和权威评论员则认为:Absa应负必要责任,其电子银行的安全性值得怀疑 Deloitte安全专家Rogan Dawes认为:Absa应向其客户灌输更多安全意识,并在易用性和安全性方面达成平衡 IT技术专家则认为:电子银行应采用更强健的
5、双因素认证机制(口令或PIN智能卡),而不是简单的口令 我们认为:Absa银行和客户都有责任,11,国内金融计算机犯罪的典型案例,一名普通的系统维护人员,轻松破解数道密码,进入邮政储蓄网络,盗走83.5万元。这起利用网络进行金融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破获 人民日报,2003年12月,时间:2003年11月 地点:甘肃省定西地区临洮县太石镇邮政储蓄所 人物:一个普通的系统管理员,12,怪事是这么发生的,2003年10月5日,定西临洮县太石镇邮政储蓄所的营业电脑突然死机 工作人员以为是一般的故障,对电脑进行了简单的修复和重装处理 17日,工作人员发现打印出的报表储蓄余额与实际
6、不符,对账发现,13日发生了11笔交易,83.5万异地帐户是虚存(有交易记录但无实际现金) 紧急与开户行联系,发现存款已从兰州、西安等地被取走大半 储蓄所向县公安局报案 公安局向定西公安处汇报 公安处成立专案组,同时向省公安厅上报 ,13,当然,最终结果不错 ,经过缜密的调查取证,我英勇机智的公安干警终于一举抓获这起案件的罪魁祸首 会宁邮政局一个普通的系统维护人员张某,14,事情的经过原来是这样的 , 会宁的张某用假身份证在兰州开了8个活期帐户,15,到底哪里出了纰漏 ,张某29岁,毕业于邮电学院,资质平平,谈不上精通计算机和网络技术,邮政储蓄网络的防范可谓严密: 与Internet物理隔离的
7、专网;配备了防火墙;从前台分机到主机经过数重密码认证,16,可还是出事了,郁闷呀 问题究竟出在哪里? 思考中 哦,原来如此 ,17,看来,问题真的不少呀 ,张某私搭电缆,没人过问和阻止,使其轻易进入邮政储蓄专网 临洮县太石镇的邮政储蓄网点使用原始密码,没有定期更改,而且被员工周知,致使张某轻松突破数道密码关,直接进入了操作系统 问题出现时,工作人员以为是网络系统故障,没有足够重视 ,18,总结教训 ,最直接的教训:漠视口令安全带来恶果! 归根到底,是管理上存在漏洞,人员安全意识淡薄,安全意识的提高刻不容缓!,19,一起证券行业计算机犯罪案例,凭借自己的耐心和别人的粗心,股市“菜鸟”严某非法侵入
8、“股神通”10个单位和个人的股票账户,用别人的钱磨练自己的炒股技艺 青年报,2003年12月,时间:2003年6月 地点:上海 人物:26岁的待业青年严某,20,事情是这样的 ,2003年3月,严父在家中安装开通“股神通”业务,进行即时股票交易。 2003年6月的一天,严某偶得其父一张股票交易单,上有9位数字的账号,遂动了“瞎猫碰死老鼠”的念头:该证券公司客户账号前6位数字是相同的,只需猜后3位;而6位密码,严某锁定为“123456”。 严某”埋头苦干“,第一天连续输入了3000个数字组合,一无所获。 第二天继续,很快”奇迹“出现,严某顺利进入一个股票账户。利用相同的方法,严某又先后侵入了10
9、余个股票账户。 严某利用别人的账户,十几天里共买进卖出1000多万元股票,损失超过14万元,直到6月10日案发。 严某被以破坏计算机信息系统罪依法逮捕。,21,问题出在哪里 ,严某不算聪明,但他深知炒股的多是中老年人,密码设置肯定不会复杂。首先,作为股民,安全意识薄弱,证券公司,在进行账户管理时也存在不足:初始密码设置太简单,没提醒客户及时修改等,作为设备提供商,“股神通”软件设计里的安全机制太简单脆弱,易被人利用,22,总结教训 ,又是口令安全的问题! 又是人的安全意识问题!,再次强调安全意识的重要性!,23,一个与物理安全相关的典型案例,时间:2002年某天夜里 地点:A公司的数据中心大楼
10、 人物:一个普通的系统管理员,一个普通的系统管理员,利用看似简单的方法,就进入了需要门卡认证的数据中心 来自国外某论坛的激烈讨论,2002年,24,情况是这样的 ,A公司的数据中心是重地,设立了严格的门禁制度,要求必须插入门卡才能进入。不过,出来时很简单,数据中心一旁的动作探测器会检测到有人朝出口走去,门会自动打开 数据中心有个系统管理员张三君,这天晚上加班到很晚,中间离开数据中心出去夜宵,可返回时发现自己被锁在了外面,门卡落在里面了,四周别无他人,一片静寂 张三急需今夜加班,可他又不想打扰他人,怎么办?,25,一点线索: 昨天曾在接待区庆祝过某人生日,现场还未清理干净,遗留下很多杂物,哦,还
11、有气球,26,聪明的张三想出了妙计 , 张三找到一个气球,放掉气, 张三面朝大门入口趴下来,把气球塞进门里,只留下气球的嘴在门的这边, 张三在门外吹气球,气球在门内膨胀,然后,他释放了气球, 由于气球在门内弹跳,触发动作探测器,门终于开了,27,问题出在哪里 ,如果门和地板齐平且没有缝隙,就不会出这样的事,如果动作探测器的灵敏度调整到不对快速放气的气球作出反应,也不会出此事,当然,如果根本就不使用动作探测器来从里面开门,这种事情同样不会发生,28,总结教训 ,虽然是偶然事件,也没有直接危害,但是潜在风险 既是物理安全的问题,更是管理问题 切记!有时候自以为是的安全,恰恰是最不安全!,物理安全非
12、常关键!,29,类似的事件不胜枚举,苏州某中学计算机教师罗某,只因嫌准备考试太麻烦,产生反感情绪,竟向江苏省教育厅会考办的考试服务器发动攻击,他以黑客身份两次闯入该考试服务器,共删除全省中小学信息技术等级考试文件达100多个,直接经济损失达20多万元,后被警方抓获。 某高校招生办一台服务器,因设置网络共享不加密码,导致共享目录中保存的有关高考招生的重要信息泄漏,造成了恶劣的社会影响。 屡屡出现的关于银行ATM取款机的问题。 ,30,你碰到过类似的事吗?,31,IDC曾经发生的安全事件,(请添加自己的内容),32,CERT关于安全事件的统计, 摘自CERT/CC的统计报告 2003年12月,33
13、,过去6个月的统计。Source: Riptech Internet Security Threat Report. January 2002,不同行业遭受攻击的平均次数,34,CSI/FBI对安全事件损失的统计, 摘自CSI/FBI的统计报告 2003年12月,35,威胁和弱点,问题的根源,第2部分,36,我们时刻都面临来自外部的威胁,37,人是最关键的因素,判断威胁来源,综合了人为因素和系统自身逻辑与物理上诸多因素在一起,归根结底,还是人起着决定性的作用 正是因为人在有意(攻击破坏)或无意(误操作、误配置)间的活动,才给信息系统安全带来了隐患和威胁,提高人员安全意识和素质势在必行!,38,
14、黑客攻击,是我们听说最多的威胁!,39,40,世界头号黑客 Kevin Mitnick,出生于1964年 15岁入侵北美空军防务指挥系统,窃取核弹机密 入侵太平洋电话公司的通信网络 入侵联邦调查局电脑网络,戏弄调查人员 16岁被捕,但旋即获释 入侵摩托罗拉、Novell、Sun、Nokia等大公司 与联邦调查局玩猫捉老鼠的游戏 1995年被抓获,被判5年监禁 获释后禁止接触电子物品,禁止从事计算机行业,41,黑客不请自来,乘虚而入,42,踩点:千方百计搜集信息,明确攻击目标 扫描:通过网络,用工具来找到目标系统的漏洞 DoS攻击:拒绝服务,是一种破坏性攻击,目的是使资源不可用 DDoS攻击:是
15、DoS的延伸,更大规模,多点对一点实施攻击 渗透攻击:利用攻击软件,远程得到目标系统的访问权或控制权 远程控制:利用安装的后门来实施隐蔽而方便的控制 网络蠕虫:一种自动扩散的恶意代码,就像一个不受控的黑客,了解一些黑客攻击手段很有必要,43,DoS攻击示例 Smurf,攻击者,受害者,44,DDoS攻击模型,Internet,Intruder,Master,Master,Daemon,Daemon,Daemon,Daemon,Daemon,Daemon,Victim,45,蠕虫攻击示例 CodeRed,46,威胁更多是来自公司内部,黑客虽然可怕,可更多时候,内部人员威胁却更易被忽略,但却更容易造成危害 据权威部门统计,内部人员犯罪(或与内部人员有关的犯罪)占到了计算机犯罪总量的70%以上,员工误操作,蓄意破坏,公司资源私用,47,一个巴掌拍不响!,外因是条件 内因才是根本!,48,我们自身的弱点不容小视, 技术弱点, 操作弱点, 管理弱点,系统、 程序、设备中存在的漏洞或缺陷,配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份过程的不当等,策略、程序、规章制度、人员
