《信息安全意识培训ppt课件[智囊书屋]》由会员分享,可在线阅读,更多相关《信息安全意识培训ppt课件[智囊书屋](77页珍藏版)》请在金锄头文库上搜索。
1、IDCIDC信息安全意识培训信息安全意识培训信息安全意识培训信息安全意识培训从小事做起,从自身做起从小事做起,从自身做起遵守遵守IDCIDC各项安全策略和制度规范各项安全策略和制度规范1智囊书苑什么是安全意识?什么是安全意识?什么是安全意识?什么是安全意识? 安全意识(安全意识(Security awarenessSecurity awareness),就是能),就是能够认知可能存在的安全问题,明白安全事故对组够认知可能存在的安全问题,明白安全事故对组织的危害,恪守正确的行为方式,并且清楚在安织的危害,恪守正确的行为方式,并且清楚在安全事故发生时所应采取的措施。全事故发生时所应采取的措施。2智
2、囊书苑我们的目标我们的目标我们的目标我们的目标建立对信息安全的敏感意识和正确认识建立对信息安全的敏感意识和正确认识掌握信息安全的基本概念、原则和惯例掌握信息安全的基本概念、原则和惯例了解信息安全管理体系(了解信息安全管理体系(ISMSISMS)概况)概况清楚可能面临的威胁和风险清楚可能面临的威胁和风险遵守遵守IDCIDC各项安全策略和制度各项安全策略和制度在日常工作中养成良好的安全习惯在日常工作中养成良好的安全习惯最终提升最终提升IDCIDC整体的信息安全水平整体的信息安全水平3智囊书苑制作说明制作说明制作说明制作说明 本培训材料由本培训材料由IDCIDC信息安全管理体系实施组织信息安全管理体
3、系实施组织安全执行委员会编写,并经安全管理委员会批准,安全执行委员会编写,并经安全管理委员会批准,供供IDCIDC内部学习使用,旨在贯彻内部学习使用,旨在贯彻IDCIDC信息安全策略信息安全策略和各项管理制度,全面提升员工信息安全意识。和各项管理制度,全面提升员工信息安全意识。4智囊书苑 现实教训现实教训现实教训现实教训 追踪问题的根源追踪问题的根源追踪问题的根源追踪问题的根源 掌握基本概念掌握基本概念掌握基本概念掌握基本概念 了解信息安全管理体系了解信息安全管理体系了解信息安全管理体系了解信息安全管理体系 建立良好的安全习惯建立良好的安全习惯建立良好的安全习惯建立良好的安全习惯重要信息的保密
4、重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件使用安全软件使用安全软件使用安全软件使用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮
5、件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规 寻求帮助寻求帮助寻求帮助寻求帮助目目 录录5智囊书苑严峻的现实!严峻的现实!严峻的现实!严峻的现实!惨痛的教训!惨痛的教训!惨痛的教训!惨痛的教训!第第1部分部分6智囊书苑 在线银行在线银行在线银行在线银行一颗定时炸弹。一颗定时炸弹。一颗定时炸弹。一颗定时炸弹。 最近,南非的最近,南非的最近,南非的最近,南非的AbsaAbsaAbsaAbsa银行
6、遇到了银行遇到了银行遇到了银行遇到了麻烦,它的互联网银行服务发生一麻烦,它的互联网银行服务发生一麻烦,它的互联网银行服务发生一麻烦,它的互联网银行服务发生一系列安全事件,导致其客户成百万系列安全事件,导致其客户成百万系列安全事件,导致其客户成百万系列安全事件,导致其客户成百万美元的损失。美元的损失。美元的损失。美元的损失。AbsaAbsaAbsaAbsa银行声称自己的银行声称自己的银行声称自己的银行声称自己的系统是绝对安全的,而把责任归结系统是绝对安全的,而把责任归结系统是绝对安全的,而把责任归结系统是绝对安全的,而把责任归结为客户所犯的安全错误上。为客户所犯的安全错误上。为客户所犯的安全错误
7、上。为客户所犯的安全错误上。AbsaAbsaAbsaAbsa银银银银行的这种处理方式遭致广泛批评。行的这种处理方式遭致广泛批评。行的这种处理方式遭致广泛批评。行的这种处理方式遭致广泛批评。那么,究竟是怎么回事呢?那么,究竟是怎么回事呢?那么,究竟是怎么回事呢?那么,究竟是怎么回事呢? 一起国外的金融计算机犯罪案例一起国外的金融计算机犯罪案例一起国外的金融计算机犯罪案例一起国外的金融计算机犯罪案例7智囊书苑前因后果是这样的前因后果是这样的前因后果是这样的前因后果是这样的 uu Absa Absa是南非最大的一家银行,占有是南非最大的一家银行,占有35%35%的市场份额,的市场份额,其其Inter
8、netInternet银行业务拥有银行业务拥有4040多万客户。多万客户。uu 20032003年年6 6、7 7月间,一个月间,一个3030岁男子,盯上了岁男子,盯上了AbsaAbsa的在线的在线客户,向这些客户发送携带有间谍软件(客户,向这些客户发送携带有间谍软件(spywarespyware)的邮)的邮件,并成功获得众多客户的账号信息,从而通过件,并成功获得众多客户的账号信息,从而通过InternetInternet进行非法转帐,先后致使进行非法转帐,先后致使1010个个AbsaAbsa的在线客户的在线客户损失达数万法郎。损失达数万法郎。uu 该男子后来被南非警方逮捕。该男子后来被南非警
9、方逮捕。8智囊书苑间谍软件间谍软件间谍软件间谍软件 eBlaster eBlasteruu 这是一个商业软件(这是一个商业软件(http:/ 该软件可记录包括电子邮件、网上聊天、即使消息、该软件可记录包括电子邮件、网上聊天、即使消息、WebWeb访问、访问、键盘操作等活动,并将记录信息悄悄发到指定邮箱键盘操作等活动,并将记录信息悄悄发到指定邮箱uu 商业杀毒软件一般都忽略了这个商业软件商业杀毒软件一般都忽略了这个商业软件uu 本案犯罪人就是用邮件附件方式,欺骗受害者执行该软件,然后本案犯罪人就是用邮件附件方式,欺骗受害者执行该软件,然后窃取其网上银行账号和窃取其网上银行账号和PINPIN码信息
10、的码信息的9智囊书苑我们来总结一下教训我们来总结一下教训我们来总结一下教训我们来总结一下教训 Absa Absa声称不是自己的责任,而是客户的问题声称不是自己的责任,而是客户的问题 安全专家和权威评论员则认为:安全专家和权威评论员则认为:AbsaAbsa应负必要责任,应负必要责任,其电子银行的安全性值得怀疑其电子银行的安全性值得怀疑 DeloitteDeloitte安全专家安全专家Rogan DawesRogan Dawes认为:认为:AbsaAbsa应向其客户应向其客户灌输更多安全意识,并在易用性和安全性方面达成平衡灌输更多安全意识,并在易用性和安全性方面达成平衡 ITIT技术专家则认为:电
11、子银行应采用更强健的双因素技术专家则认为:电子银行应采用更强健的双因素认证机制(口令或认证机制(口令或PINPIN智能卡),而不是简单的口令智能卡),而不是简单的口令 我们认为:我们认为:AbsaAbsa银行和客户都有责任银行和客户都有责任10智囊书苑国内金融计算机犯罪的典型案例国内金融计算机犯罪的典型案例国内金融计算机犯罪的典型案例国内金融计算机犯罪的典型案例 一名普通的系统维护人员,轻松破解数道密码,进一名普通的系统维护人员,轻松破解数道密码,进一名普通的系统维护人员,轻松破解数道密码,进一名普通的系统维护人员,轻松破解数道密码,进入邮政储蓄网络,盗走入邮政储蓄网络,盗走入邮政储蓄网络,盗
12、走入邮政储蓄网络,盗走83.583.583.583.5万元。这起利用网络进行金万元。这起利用网络进行金万元。这起利用网络进行金万元。这起利用网络进行金融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破获获获获 人民日报,人民日报,人民日报,人民日报,2003200320032003年年年年12121212月月月月时间:时间:时间:时间:20032003年年1111月月地点:地点:地点:地点:甘肃省定西地区临洮县太石甘肃省定西地区临洮县太石镇邮政储蓄所镇邮
13、政储蓄所人物:人物:人物:人物:一个普通的系统管理员一个普通的系统管理员11智囊书苑怪事是这么发生的怪事是这么发生的怪事是这么发生的怪事是这么发生的l l 2003 2003年年1010月月5 5日,定西临洮县太石镇邮政储蓄所的营业电脑突然死机日,定西临洮县太石镇邮政储蓄所的营业电脑突然死机l l 工作人员以为是一般的故障,对电脑进行了简单的修复和重装处理工作人员以为是一般的故障,对电脑进行了简单的修复和重装处理l l 1717日,工作人员发现打印出的报表储蓄余额与实际不符,对账发现,日,工作人员发现打印出的报表储蓄余额与实际不符,对账发现,1313日发生了日发生了1111笔交易,笔交易,83
14、.583.5万异地帐户是虚存(有交易记录但无实际现金)万异地帐户是虚存(有交易记录但无实际现金)l l 紧急与开户行联系,发现存款已从兰州、西安等地被取走大半紧急与开户行联系,发现存款已从兰州、西安等地被取走大半l l 储蓄所向县公安局报案储蓄所向县公安局报案l l 公安局向定西公安处汇报公安局向定西公安处汇报l l 公安处成立专案组,同时向省公安厅上报公安处成立专案组,同时向省公安厅上报l l 12智囊书苑当然,最终结果不错当然,最终结果不错当然,最终结果不错当然,最终结果不错 经过缜密的调查取证,经过缜密的调查取证,我英勇机智的公安干警终于我英勇机智的公安干警终于一举抓获这起案件的罪魁祸一
15、举抓获这起案件的罪魁祸首首 会宁邮政局一个普会宁邮政局一个普通的系统维护人员张某通的系统维护人员张某13智囊书苑事情的经过原来是这样的事情的经过原来是这样的事情的经过原来是这样的事情的经过原来是这样的 登录到登录到永登邮政局永登邮政局永登永登临洮临洮 破解口令,破解口令,登录到登录到临洮一个邮政储蓄所临洮一个邮政储蓄所 会宁的张某用假身份证会宁的张某用假身份证在兰州开了在兰州开了8个活期帐户个活期帐户 张某借张某借工作之便,工作之便,利用笔记本利用笔记本电脑连接电电脑连接电缆到邮政储缆到邮政储蓄专网蓄专网会宁会宁 向这些帐户虚存向这些帐户虚存83.5万,退万,退出系统前删掉了打印操作系统出系统
16、前删掉了打印操作系统 最后,张某在兰州最后,张某在兰州和西安等地提取现金和西安等地提取现金14智囊书苑到底哪里出了纰漏到底哪里出了纰漏到底哪里出了纰漏到底哪里出了纰漏 张某张某张某张某29292929岁,毕业于邮电学院,资质平平,谈不上精岁,毕业于邮电学院,资质平平,谈不上精岁,毕业于邮电学院,资质平平,谈不上精岁,毕业于邮电学院,资质平平,谈不上精通计算机和网络技术通计算机和网络技术通计算机和网络技术通计算机和网络技术邮政储蓄网络的防范可谓严密:邮政储蓄网络的防范可谓严密:邮政储蓄网络的防范可谓严密:邮政储蓄网络的防范可谓严密:与与与与InternetInternetInternetInte
17、rnet物理隔离的专网;配备了防火墙;物理隔离的专网;配备了防火墙;物理隔离的专网;配备了防火墙;物理隔离的专网;配备了防火墙;从前台分机到主机经过数重密码认证从前台分机到主机经过数重密码认证从前台分机到主机经过数重密码认证从前台分机到主机经过数重密码认证15智囊书苑可还是出事了,郁闷呀可还是出事了,郁闷呀可还是出事了,郁闷呀可还是出事了,郁闷呀 问题究竟出在哪里?问题究竟出在哪里?问题究竟出在哪里?问题究竟出在哪里?思考中思考中思考中思考中哦,原来如此哦,原来如此哦,原来如此哦,原来如此 16智囊书苑看来,问题真的不少呀看来,问题真的不少呀看来,问题真的不少呀看来,问题真的不少呀 张某私搭电
18、缆,没人过问和阻止,使其轻易进入邮政张某私搭电缆,没人过问和阻止,使其轻易进入邮政储蓄专网储蓄专网 临洮县太石镇的邮政储蓄网点使用原始密码,没有定临洮县太石镇的邮政储蓄网点使用原始密码,没有定期更改,而且被员工周知,致使张某轻松突破数道密码期更改,而且被员工周知,致使张某轻松突破数道密码关,直接进入了操作系统关,直接进入了操作系统 问题出现时,工作人员以为是网络系统故障,没有足问题出现时,工作人员以为是网络系统故障,没有足够重视够重视 17智囊书苑总结教训总结教训总结教训总结教训 最直接的教训:漠视口令安全带来恶果!最直接的教训:漠视口令安全带来恶果! 归根到底,是管理上存在漏洞,人员安全意识
19、淡薄归根到底,是管理上存在漏洞,人员安全意识淡薄安全意识的提高刻不容缓!安全意识的提高刻不容缓!安全意识的提高刻不容缓!安全意识的提高刻不容缓!18智囊书苑一起证券行业计算机犯罪案例一起证券行业计算机犯罪案例一起证券行业计算机犯罪案例一起证券行业计算机犯罪案例 凭借自己的耐心和别人的粗心,股市凭借自己的耐心和别人的粗心,股市凭借自己的耐心和别人的粗心,股市凭借自己的耐心和别人的粗心,股市“ “菜鸟菜鸟菜鸟菜鸟” ”严某严某严某严某非法侵入非法侵入非法侵入非法侵入“ “股神通股神通股神通股神通” ”10101010个单位和个人的股票账户,用别个单位和个人的股票账户,用别个单位和个人的股票账户,用
20、别个单位和个人的股票账户,用别人的钱磨练自己的炒股技艺人的钱磨练自己的炒股技艺人的钱磨练自己的炒股技艺人的钱磨练自己的炒股技艺 青年报,青年报,青年报,青年报,2003200320032003年年年年12121212月月月月时间:时间:时间:时间:20032003年年6 6月月地点:地点:地点:地点:上海上海人物:人物:人物:人物:2626岁的待业青年严某岁的待业青年严某19智囊书苑事情是这样的事情是这样的事情是这样的事情是这样的 l l 2003 2003年年3 3月,严父在家中安装开通月,严父在家中安装开通“ “股神通股神通” ”业务,进行即时股票交易。业务,进行即时股票交易。l l 20
21、032003年年6 6月的一天,严某偶得其父一张股票交易单,上有月的一天,严某偶得其父一张股票交易单,上有9 9位数字的账号,位数字的账号,遂动了遂动了“ “瞎猫碰死老鼠瞎猫碰死老鼠” ”的念头:该证券公司客户账号前的念头:该证券公司客户账号前6 6位数字是相同的,位数字是相同的,只需猜后只需猜后3 3位;而位;而6 6位密码,严某锁定为位密码,严某锁定为“ “123456123456” ”。l l 严某严某” ”埋头苦干埋头苦干“ “,第一天连续输入了,第一天连续输入了30003000个数字组合,一无所获。个数字组合,一无所获。l l 第二天继续,很快第二天继续,很快” ”奇迹奇迹“ “出现
22、,严某顺利进入一个股票账户。利用相出现,严某顺利进入一个股票账户。利用相同的方法,严某又先后侵入了同的方法,严某又先后侵入了1010余个股票账户。余个股票账户。l l 严某利用别人的账户,十几天里共买进卖出严某利用别人的账户,十几天里共买进卖出10001000多万元股票,损失超过多万元股票,损失超过1414万元,直到万元,直到6 6月月1010日案发。日案发。l l 严某被以破坏计算机信息系统罪依法逮捕。严某被以破坏计算机信息系统罪依法逮捕。20智囊书苑问题出在哪里问题出在哪里问题出在哪里问题出在哪里 严某不算聪明,但他深知炒股的多是中老年人,密严某不算聪明,但他深知炒股的多是中老年人,密严某
23、不算聪明,但他深知炒股的多是中老年人,密严某不算聪明,但他深知炒股的多是中老年人,密码设置肯定不会复杂。首先,作为股民,安全意识薄弱码设置肯定不会复杂。首先,作为股民,安全意识薄弱码设置肯定不会复杂。首先,作为股民,安全意识薄弱码设置肯定不会复杂。首先,作为股民,安全意识薄弱 证券公司,在进行账户管理时也存在不足:初始密证券公司,在进行账户管理时也存在不足:初始密证券公司,在进行账户管理时也存在不足:初始密证券公司,在进行账户管理时也存在不足:初始密码设置太简单,没提醒客户及时修改等码设置太简单,没提醒客户及时修改等码设置太简单,没提醒客户及时修改等码设置太简单,没提醒客户及时修改等 作为设备
24、提供商,作为设备提供商,作为设备提供商,作为设备提供商,“ “股神通股神通股神通股神通” ”软件设计里的安全机制软件设计里的安全机制软件设计里的安全机制软件设计里的安全机制太简单脆弱,易被人利用太简单脆弱,易被人利用太简单脆弱,易被人利用太简单脆弱,易被人利用21智囊书苑总结教训总结教训总结教训总结教训 又是口令安全的问题!又是口令安全的问题! 又是人的安全意识问题!又是人的安全意识问题!再次强调安全意识的重要性!再次强调安全意识的重要性!再次强调安全意识的重要性!再次强调安全意识的重要性!22智囊书苑一个与物理安全相关的典型案例一个与物理安全相关的典型案例一个与物理安全相关的典型案例一个与物
25、理安全相关的典型案例时间:时间:时间:时间:20022002年某天夜里年某天夜里地点:地点:地点:地点:A A公司的数据中心大楼公司的数据中心大楼人物:人物:人物:人物:一个普通的系统管理员一个普通的系统管理员 一个普通的系统管理员,利用看似简单的方法,就一个普通的系统管理员,利用看似简单的方法,就一个普通的系统管理员,利用看似简单的方法,就一个普通的系统管理员,利用看似简单的方法,就进入了需要门卡认证的数据中心进入了需要门卡认证的数据中心进入了需要门卡认证的数据中心进入了需要门卡认证的数据中心 来自国外某论坛的激烈讨论,来自国外某论坛的激烈讨论,来自国外某论坛的激烈讨论,来自国外某论坛的激烈
26、讨论,2002200220022002年年年年23智囊书苑情况是这样的情况是这样的情况是这样的情况是这样的 l l A A公司的数据中心是重地,设立了严格的门禁制度,要求必须插入门卡公司的数据中心是重地,设立了严格的门禁制度,要求必须插入门卡才能进入。不过,出来时很简单,才能进入。不过,出来时很简单,数据中心一旁的动作探测器会检测到有数据中心一旁的动作探测器会检测到有人朝出口走去,门会自动打开人朝出口走去,门会自动打开l l 数据中心有个系统管理员张三君,这天晚上加班到很晚,中间离开数据数据中心有个系统管理员张三君,这天晚上加班到很晚,中间离开数据中心出去夜宵,可返回时发现自己被锁在了外面,门
27、卡落在里面了,四周中心出去夜宵,可返回时发现自己被锁在了外面,门卡落在里面了,四周别无他人,一片静寂别无他人,一片静寂l l 张三急需今夜加班,可他又不想打扰他人,张三急需今夜加班,可他又不想打扰他人,怎么办?怎么办?怎么办?怎么办?24智囊书苑一点线索:一点线索:一点线索:一点线索: 昨天曾在接待区庆祝过昨天曾在接待区庆祝过昨天曾在接待区庆祝过昨天曾在接待区庆祝过某人生日,现场还未清理干某人生日,现场还未清理干某人生日,现场还未清理干某人生日,现场还未清理干净,遗留下很多杂物,哦,净,遗留下很多杂物,哦,净,遗留下很多杂物,哦,净,遗留下很多杂物,哦,还有气球还有气球还有气球还有气球25智囊
28、书苑聪明的张三想出了妙计聪明的张三想出了妙计聪明的张三想出了妙计聪明的张三想出了妙计 张三找张三找张三找张三找到一个气球,到一个气球,到一个气球,到一个气球,放掉气放掉气放掉气放掉气 张三张三张三张三面朝大门入口趴下面朝大门入口趴下面朝大门入口趴下面朝大门入口趴下来,把气球塞进门里,只留来,把气球塞进门里,只留来,把气球塞进门里,只留来,把气球塞进门里,只留下气球的嘴在门的这边下气球的嘴在门的这边下气球的嘴在门的这边下气球的嘴在门的这边 张三在门外吹气球,张三在门外吹气球,张三在门外吹气球,张三在门外吹气球,气球在门内膨胀,然后,气球在门内膨胀,然后,气球在门内膨胀,然后,气球在门内膨胀,然后
29、,他释放了气球他释放了气球他释放了气球他释放了气球 由于气球在门内弹跳,由于气球在门内弹跳,由于气球在门内弹跳,由于气球在门内弹跳,触发动作探测器,门终于触发动作探测器,门终于触发动作探测器,门终于触发动作探测器,门终于开了开了开了开了26智囊书苑问题出在哪里问题出在哪里问题出在哪里问题出在哪里 如果门和地板齐平且没有缝隙,就不会出这样的事如果门和地板齐平且没有缝隙,就不会出这样的事如果门和地板齐平且没有缝隙,就不会出这样的事如果门和地板齐平且没有缝隙,就不会出这样的事 如果动作探测器的灵敏度调整到不对如果动作探测器的灵敏度调整到不对如果动作探测器的灵敏度调整到不对如果动作探测器的灵敏度调整到
30、不对快速放气的气快速放气的气快速放气的气快速放气的气球作出反应,也不会出此事球作出反应,也不会出此事球作出反应,也不会出此事球作出反应,也不会出此事 当然,如果根本就不使用动作探测器来从里面开门,当然,如果根本就不使用动作探测器来从里面开门,当然,如果根本就不使用动作探测器来从里面开门,当然,如果根本就不使用动作探测器来从里面开门,这种事情同样不会发生这种事情同样不会发生这种事情同样不会发生这种事情同样不会发生27智囊书苑总结教训总结教训总结教训总结教训 虽然是偶然事件,也没有直接危害,但是潜在风险虽然是偶然事件,也没有直接危害,但是潜在风险 既是物理安全的问题,更是管理问题既是物理安全的问题
31、,更是管理问题 切记!有时候自以为是的安全,恰恰是最不安全!切记!有时候自以为是的安全,恰恰是最不安全!物理安全非常关键!物理安全非常关键!物理安全非常关键!物理安全非常关键!28智囊书苑类似的事件不胜枚举类似的事件不胜枚举类似的事件不胜枚举类似的事件不胜枚举MM 苏州某中学计算机教师罗某,只因嫌准备考试太麻烦,产生反苏州某中学计算机教师罗某,只因嫌准备考试太麻烦,产生反感情绪,竟向江苏省教育厅会考办的考试服务器发动攻击,他以黑感情绪,竟向江苏省教育厅会考办的考试服务器发动攻击,他以黑客身份两次闯入该考试服务器,共删除全省中小学信息技术等级考客身份两次闯入该考试服务器,共删除全省中小学信息技术
32、等级考试文件达试文件达100100多个,直接经济损失达多个,直接经济损失达2020多万元,后被警方抓获。多万元,后被警方抓获。MM 某高校招生办一台服务器,因设置网络共享不加密码,导致共某高校招生办一台服务器,因设置网络共享不加密码,导致共享目录中保存的有关高考招生的重要信息泄漏,造成了恶劣的社会享目录中保存的有关高考招生的重要信息泄漏,造成了恶劣的社会影响。影响。MM 屡屡出现的关于银行屡屡出现的关于银行ATMATM取款机的问题。取款机的问题。MM 29智囊书苑你碰到过类似的事吗?你碰到过类似的事吗?你碰到过类似的事吗?你碰到过类似的事吗?30智囊书苑IDCIDC曾经发生的安全事件曾经发生的
33、安全事件曾经发生的安全事件曾经发生的安全事件MM ( (请添加自己的内容请添加自己的内容) )31智囊书苑CERTCERT关于安全事件的统计关于安全事件的统计关于安全事件的统计关于安全事件的统计 摘自摘自CERT/CCCERT/CC的统计报告的统计报告 20032003年年1212月月32智囊书苑过去6个月的统计。Source: Riptech Internet Security Threat Report. January 2002 医疗机构 应用服务制造商 非赢利机构 媒体机构 能源制造 金融机构高科技不同行业遭受攻击的平均次数不同行业遭受攻击的平均次数不同行业遭受攻击的平均次数不同行业遭
34、受攻击的平均次数33智囊书苑CSI/FBICSI/FBI对安全事件损失的统计对安全事件损失的统计对安全事件损失的统计对安全事件损失的统计 摘自摘自CSI/FBICSI/FBI的统计报告的统计报告 20032003年年1212月月34智囊书苑威胁和弱点威胁和弱点威胁和弱点威胁和弱点问题的根源问题的根源问题的根源问题的根源第第2部分部分35智囊书苑我们时刻都面临来自外部的威胁我们时刻都面临来自外部的威胁我们时刻都面临来自外部的威胁我们时刻都面临来自外部的威胁 信息资产信息资产信息资产信息资产拒绝服务拒绝服务逻辑炸弹逻辑炸弹黑客渗透黑客渗透内部人员威胁内部人员威胁木马后门木马后门病毒和蠕虫病毒和蠕虫
35、社会工程社会工程系统系统BugBug硬件故障硬件故障网络通信故障网络通信故障供电中断供电中断失火失火雷雨雷雨地震地震36智囊书苑人是最关键的因素人是最关键的因素人是最关键的因素人是最关键的因素 判断威胁来源,综合了人为因素和系统自身逻辑与物判断威胁来源,综合了人为因素和系统自身逻辑与物理上诸多因素在一起,归根结底,还是人起着决定性的理上诸多因素在一起,归根结底,还是人起着决定性的作用作用 正是因为人在有意(攻击破坏)或无意(误操作、误正是因为人在有意(攻击破坏)或无意(误操作、误配置)间的活动,才给信息系统安全带来了隐患和威胁配置)间的活动,才给信息系统安全带来了隐患和威胁提高人员安全意识和素
36、质势在必行!提高人员安全意识和素质势在必行!提高人员安全意识和素质势在必行!提高人员安全意识和素质势在必行!37智囊书苑黑客攻击,是我们黑客攻击,是我们黑客攻击,是我们黑客攻击,是我们听说最多的威胁!听说最多的威胁!听说最多的威胁!听说最多的威胁!38智囊书苑AtomicP alerts customers to breach CNetNMar 20, 2001Nasdaq defaced.and other seasonal graffiti SecurityW Dec 27,2000AP Site Hacked Interactive WeekMar 20,2001French Group
37、 Claims DoubleClick hacked for 2 years Ecommerce Times, Mar 28, 2001 Electronic Holy War Hits D.C. Pro-Israel Site Newsbytes, Nov 3, 2000 NT remains hackers favorite VNUnet, Jan 10,2001 Hackers hit U.S., U.K., Australian government sites- InfoWorld Jan 22, 2001 Travelocity exposes customer informati
38、on CNet Jan 22, 2001 U.S. Navy Hacked SecurityW, March 30,2001 Lax Security Found in IRS Electronic Filing System LA TImes, Mar 15, 2001 39智囊书苑世界头号黑客世界头号黑客世界头号黑客世界头号黑客 Kevin Mitnick Kevin MitnickN 出生于1964年N 15岁入侵北美空军防务指挥系统,窃取核弹机密N 入侵太平洋电话公司的通信网络N 入侵联邦调查局电脑网络,戏弄调查人员N 16岁被捕,但旋即获释N 入侵摩托罗拉、Novell、Sun、No
39、kia等大公司N 与联邦调查局玩猫捉老鼠的游戏N 1995年被抓获,被判5年监禁N 获释后禁止接触电子物品,禁止从事计算机行业40智囊书苑黑客不请自来,乘虚而入黑客不请自来,乘虚而入黑客不请自来,乘虚而入黑客不请自来,乘虚而入41智囊书苑 踩点踩点踩点踩点:千方百计搜集信息,明确攻击目标千方百计搜集信息,明确攻击目标 扫描扫描扫描扫描:通过网络,用工具来找到目标系统的漏洞通过网络,用工具来找到目标系统的漏洞 DoSDoSDoSDoS攻击攻击攻击攻击:拒绝服务,是一种破坏性攻击,目的是使资源不可用拒绝服务,是一种破坏性攻击,目的是使资源不可用 DDoSDDoSDDoSDDoS攻击攻击攻击攻击:是
40、是DoSDoS的延伸,更大规模,多点对一点实施攻击的延伸,更大规模,多点对一点实施攻击 渗透攻击渗透攻击渗透攻击渗透攻击:利用攻击软件,远程得到目标系统的访问权或控制权利用攻击软件,远程得到目标系统的访问权或控制权 远程控制远程控制远程控制远程控制:利用安装的后门来实施隐蔽而方便的控制利用安装的后门来实施隐蔽而方便的控制 网络蠕虫网络蠕虫网络蠕虫网络蠕虫:一种自动扩散的恶意代码,就像一个不受控的黑客一种自动扩散的恶意代码,就像一个不受控的黑客了解一些黑客攻击手段很有必要了解一些黑客攻击手段很有必要了解一些黑客攻击手段很有必要了解一些黑客攻击手段很有必要42智囊书苑DoSDoS攻击示例攻击示例攻
41、击示例攻击示例 Smurf Smurf攻击者冒充受害主机的IP地址,向一个大的网络发送echo request 的定向广播包中间网络的许多主机都作出响应,受害主机会收到大量的echo reply消息攻击者攻击者攻击者攻击者受害者受害者受害者受害者中间反弹网络中间反弹网络中间反弹网络中间反弹网络43智囊书苑DDoSDDoS攻击模型攻击模型攻击模型攻击模型 InternetInternetInternetInternet IntruderIntruder MasterMaster MasterMaster DaemonDaemon DaemonDaemon DaemonDaemon DaemonD
42、aemon DaemonDaemon DaemonDaemon VictimVictim 44智囊书苑漏洞系统漏洞系统已打补丁的系统已打补丁的系统CodeRedCodeRed蠕虫制造者蠕虫制造者DDOSDDOSDDOSDDOSDDOSDDOSDDOSDDOSDDOSDDOSDDOSDDOSDDOSDDOSRandomlyRandomlyAttackAttack RandomlyRandomlyAttackAttack RandomlyRandomlyAttackAttack Internet蠕虫攻击示例蠕虫攻击示例蠕虫攻击示例蠕虫攻击示例 CodeRed CodeRed45智囊书苑威胁更多是来
43、自公司内部威胁更多是来自公司内部威胁更多是来自公司内部威胁更多是来自公司内部 黑客虽然可怕,可更多时候,内部人员威胁却更易被黑客虽然可怕,可更多时候,内部人员威胁却更易被忽略,但却更容易造成危害忽略,但却更容易造成危害 据权威部门统计,内部人员犯罪(或与内部人员有关据权威部门统计,内部人员犯罪(或与内部人员有关的犯罪)占到了计算机犯罪总量的的犯罪)占到了计算机犯罪总量的70%70%以上以上员工误操作员工误操作员工误操作员工误操作蓄意破坏蓄意破坏蓄意破坏蓄意破坏公司资源私用公司资源私用公司资源私用公司资源私用46智囊书苑一个巴掌拍不响!一个巴掌拍不响!一个巴掌拍不响!一个巴掌拍不响!外因是条件外
44、因是条件外因是条件外因是条件 内因才是根本!内因才是根本!内因才是根本!内因才是根本!47智囊书苑我们自身的弱点不容小视我们自身的弱点不容小视我们自身的弱点不容小视我们自身的弱点不容小视 技术弱点技术弱点技术弱点技术弱点 操作弱点操作弱点操作弱点操作弱点 管理弱点管理弱点管理弱点管理弱点系统、系统、 程序、设备中存在的漏洞或缺陷程序、设备中存在的漏洞或缺陷配置、操作和使用中的缺陷,包括人员的不良习配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份过程的不当等惯、审计或备份过程的不当等策略、程序、规章制度、人员意识、组织结构等策略、程序、规章制度、人员意识、组织结构等方面的不足方面的不足4
45、8智囊书苑人最常犯的一些错误人最常犯的一些错误人最常犯的一些错误人最常犯的一些错误 将口令写在便签上,贴在电脑监视器旁将口令写在便签上,贴在电脑监视器旁 开着电脑离开,就像离开家却忘记关灯那样开着电脑离开,就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件,好奇打开邮件附件轻易相信来自陌生人的邮件,好奇打开邮件附件 使用容易猜测的口令,或者根本不设口令使用容易猜测的口令,或者根本不设口令 丢失笔记本电脑丢失笔记本电脑 不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息 随便拨号上网,或者随意将无关设备连入公司网络随便拨号上网,或者随意将无关设备连入公司
46、网络 事不关己,高高挂起,不报告安全事件事不关己,高高挂起,不报告安全事件 在系统更新和安装补丁上总是行动迟缓在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁,忽视企业内部人员的问题只关注外来的威胁,忽视企业内部人员的问题49智囊书苑想想你是否也犯过想想你是否也犯过想想你是否也犯过想想你是否也犯过这些错误?这些错误?这些错误?这些错误?50智囊书苑嘿嘿,这顿美餐唾手可得呜呜,可怜我手无缚鸡之力威胁就像这只贪婪的猫威胁就像这只贪婪的猫威胁就像这只贪婪的猫威胁就像这只贪婪的猫如果盘中美食暴露在外如果盘中美食暴露在外如果盘中美食暴露在外如果盘中美食暴露在外遭受损失也就难免了遭受损失也就难免了遭受
47、损失也就难免了遭受损失也就难免了51智囊书苑 信息信息资产资产资产资产对我们很重要,是要保护的对象对我们很重要,是要保护的对象 外在的外在的威胁威胁威胁威胁就像苍蝇一样,挥之不去,无孔不入就像苍蝇一样,挥之不去,无孔不入 资产本身又有各种资产本身又有各种弱点弱点弱点弱点,给威胁带来可乘之机,给威胁带来可乘之机 于是,我们面临各种于是,我们面临各种风险风险风险风险,一旦发生就成为安全事件,一旦发生就成为安全事件时刻都应保持清醒的认识时刻都应保持清醒的认识时刻都应保持清醒的认识时刻都应保持清醒的认识52智囊书苑我们需要去做的就是我们需要去做的就是我们需要去做的就是我们需要去做的就是 严防威胁严防威
48、胁严防威胁严防威胁消减弱点消减弱点消减弱点消减弱点应急响应应急响应应急响应应急响应保护资产保护资产保护资产保护资产熟悉潜在的安全问题熟悉潜在的安全问题熟悉潜在的安全问题熟悉潜在的安全问题知道怎样防止其发生知道怎样防止其发生知道怎样防止其发生知道怎样防止其发生知道发生后如何应对知道发生后如何应对知道发生后如何应对知道发生后如何应对53智囊书苑还记得消防战略吗?还记得消防战略吗?还记得消防战略吗?还记得消防战略吗?隐患险于明火!隐患险于明火!预防重于救灾!预防重于救灾!54智囊书苑理解和铺垫理解和铺垫理解和铺垫理解和铺垫基本概念基本概念基本概念基本概念第第3部分部分55智囊书苑uu 消息、信号、数
49、据、情报和知识消息、信号、数据、情报和知识uu 信息本身是无形的,借助于信息媒体以多种形式存在或传播:信息本身是无形的,借助于信息媒体以多种形式存在或传播: 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播uu 信息借助媒体而存在,对现代企业来说具有价值,就成为信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产信息资产信息资产信息资产: 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服务uu 具有价值的信息资产面临诸多威胁,需要妥善保护具有价值的信息资产面临诸多威胁,需要妥善保护InformatioInformation n什
50、么是信息?什么是信息?什么是信息?什么是信息?56智囊书苑什么是信息安全?什么是信息安全?什么是信息安全?什么是信息安全? 采取措施保护信息资产,采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运系统能够连续、可靠、正常地运行,使安全事件对业务造成的影行,使安全事件对业务造成的影响减到最小,确保组织业务运行响减到最小,确保组织业务运行的连续性。的连续性。57智囊书苑CIAonfidentialityntegrityvailabilityCIACIA谨记信息安全基本目标谨记信息安全基本
51、目标谨记信息安全基本目标谨记信息安全基本目标58智囊书苑企业管理者关注的是最终目标企业管理者关注的是最终目标企业管理者关注的是最终目标企业管理者关注的是最终目标ConfidentialityConfidentialityIntegrityIntegrityAvailabilityAvailabilityInformationInformation59智囊书苑风险风险漏洞漏洞威胁威胁控制措施控制措施安全需求安全需求资产价值资产价值信息资产信息资产信息资产信息资产防止防止利用利用ReduceIncreaseIndicateIncrease暴露具有Decrease符合符合对组织的影响对组织的影响对组
52、织的影响对组织的影响信息安全关键因素及其相互关系信息安全关键因素及其相互关系信息安全关键因素及其相互关系信息安全关键因素及其相互关系60智囊书苑实现信息安全可以采取一些技术手段实现信息安全可以采取一些技术手段实现信息安全可以采取一些技术手段实现信息安全可以采取一些技术手段u 物理安全技术物理安全技术:环境安全、设备安全、媒体安全u 系统安全技术系统安全技术:操作系统及数据库系统的安全性u 网络安全技术网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估u 应用安全技术应用安全技术:Email安全、Web访问安全、内容过滤、应用系统安全u 数据加密技术数据加密技术:硬件和软件加密,实现身
53、份认证和数据信息的CIA特性u 认证授权技术认证授权技术:口令认证、SSO认证(例如Kerberos)、证书认证等u 访问控制技术访问控制技术:防火墙、访问控制列表等u 审计跟踪技术审计跟踪技术:入侵检测、日志审计、辨析取证u 防病毒技术防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系u 灾难恢复和备份技术灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份61智囊书苑防火墙防火墙防火墙防火墙网络入侵检测网络入侵检测网络入侵检测网络入侵检测病毒防护病毒防护病毒防护病毒防护主机入侵检测主机入侵检测主机入侵检测主机入侵检测漏洞扫描评估漏洞扫描评估漏洞扫描评估漏洞扫描评估VPNVPN通道通道通
54、道通道访问控制访问控制访问控制访问控制62智囊书苑但关键还要看整体的信息安全管理但关键还要看整体的信息安全管理但关键还要看整体的信息安全管理但关键还要看整体的信息安全管理uu 技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂uu 信息安全管理构成了信息安全具有能动性的部分,是指导和控制信息安全管理构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动组织的关于信息安全风险的相互协调的活动 uu 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上
55、的原因,不如说是管理不善造成的技术上的原因,不如说是管理不善造成的uu 理解并重视管理对于信息安全的关键作用,对于真正实现信息安理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标尤其重要全目标尤其重要三分技术,七分管理!三分技术,七分管理!63智囊书苑务必重视信息安全管理务必重视信息安全管理务必重视信息安全管理务必重视信息安全管理加强信息安全建设工作加强信息安全建设工作加强信息安全建设工作加强信息安全建设工作64智囊书苑PDCAPDCA信息安全管理模型信息安全管理模型信息安全管理模型信息安全管理模型 根据风险评估结果、法律法根据风险评估结果、法律法规要求、组织业务运作自身需要规要求
56、、组织业务运作自身需要来确定控制目标与控制措施。来确定控制目标与控制措施。 实施所选的安全控制措施。实施所选的安全控制措施。 针对检查结果采取应针对检查结果采取应对措施,改进安全状况。对措施,改进安全状况。 依据策略、程序、标准依据策略、程序、标准和法律法规,对安全措施的和法律法规,对安全措施的实施情况进行符合性检查。实施情况进行符合性检查。65智囊书苑可以参考的标准规范和最佳惯例可以参考的标准规范和最佳惯例可以参考的标准规范和最佳惯例可以参考的标准规范和最佳惯例ISO2700166智囊书苑安全性与方便性的平衡问题安全性与方便性的平衡问题安全性与方便性的平衡问题安全性与方便性的平衡问题在方便性
57、(在方便性(在方便性(在方便性(convenienceconvenienceconvenienceconvenience,即易用性)和安全性(,即易用性)和安全性(,即易用性)和安全性(,即易用性)和安全性(securitysecuritysecuritysecurity)之间是一种相反的关系之间是一种相反的关系之间是一种相反的关系之间是一种相反的关系提高了安全性,相应地就降低了方便性提高了安全性,相应地就降低了方便性提高了安全性,相应地就降低了方便性提高了安全性,相应地就降低了方便性而要提高安全性,又势必增大成本而要提高安全性,又势必增大成本而要提高安全性,又势必增大成本而要提高安全性,又势
58、必增大成本管理者应在二者之间达成一种可接受的平衡管理者应在二者之间达成一种可接受的平衡管理者应在二者之间达成一种可接受的平衡管理者应在二者之间达成一种可接受的平衡67智囊书苑 计算机安全领域一句格言:计算机安全领域一句格言: “真正安全的计算机是拔下真正安全的计算机是拔下真正安全的计算机是拔下真正安全的计算机是拔下网线,断掉电源,放在地下掩体网线,断掉电源,放在地下掩体网线,断掉电源,放在地下掩体网线,断掉电源,放在地下掩体的保险柜中,并在掩体内充满毒的保险柜中,并在掩体内充满毒的保险柜中,并在掩体内充满毒的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。气,在掩体外安排士兵守卫。气,在掩
59、体外安排士兵守卫。气,在掩体外安排士兵守卫。” 这样的计算机是没法用了。这样的计算机是没法用了。绝对的安全是不存在的!绝对的安全是不存在的!绝对的安全是不存在的!绝对的安全是不存在的!68智囊书苑正确认识信息安全正确认识信息安全正确认识信息安全正确认识信息安全 安全不是产品的简安全不是产品的简单堆积,也不是一次性的静单堆积,也不是一次性的静态过程,它是人员、技术、态过程,它是人员、技术、操作三者紧密结合的系统工操作三者紧密结合的系统工程,是不断演进、循环发展程,是不断演进、循环发展的动态过程的动态过程69智囊书苑整体管理思路整体管理思路整体管理思路整体管理思路信息安全管理体系信息安全管理体系信
60、息安全管理体系信息安全管理体系第第4部分部分70智囊书苑u 英国标准协会(British Standards Institute,BSI)制定的信息安全标准。u 由信息安全方面的最佳惯例组成的一套全面的控制集。u 信息安全管理方面最受推崇的国际标准。ISO27001ISO27001是关于信息安全管理的标准是关于信息安全管理的标准是关于信息安全管理的标准是关于信息安全管理的标准71智囊书苑ISO27001 ISO27001 标准包含两个部分标准包含两个部分标准包含两个部分标准包含两个部分l l ISO17799:2005 ISO17799:2005:信息安全管理实施细则(信息安全管理实施细则(信
61、息安全管理实施细则(信息安全管理实施细则(Code of Practice for Information Code of Practice for Information Security ManagementSecurity Management),相当于一个),相当于一个),相当于一个),相当于一个工具包,体现了三分技术七分管理工具包,体现了三分技术七分管理工具包,体现了三分技术七分管理工具包,体现了三分技术七分管理l lISO27001ISO27001:是建立信息安全管理系统(是建立信息安全管理系统(是建立信息安全管理系统(是建立信息安全管理系统(ISMSISMS)的一套规范()的一套
62、规范()的一套规范()的一套规范(Specification for Specification for Information Security Management SystemsInformation Security Management Systems),详细说明了建立、实施和维护信息),详细说明了建立、实施和维护信息),详细说明了建立、实施和维护信息),详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估标准安全管理系统的要求,指出实施机构应该遵循的风险评估标准安全管理系统的要求,指出实施机构应该遵循的风险评估标准安全管理系统的要求,指出实施机构应该遵循
63、的风险评估标准安全策略安全策略安全策略安全策略 Security policySecurity policy安全组织安全组织安全组织安全组织 Security organisationSecurity organisation资产分类与控制资产分类与控制资产分类与控制资产分类与控制 Asset classification & controlAsset classification & control人员安全人员安全人员安全人员安全 Personnel Personnel securitysecurity物理与环境安全物理与环境安全物理与环境安全物理与环境安全 Physical & Physi
64、cal & environmental securityenvironmental security通信与操作管理通信与操作管理通信与操作管理通信与操作管理 Communications & Communications & operations operations managementmanagement系统开发与维护系统开发与维护系统开发与维护系统开发与维护 Systems development Systems development & maintenance& maintenance访问控制访问控制访问控制访问控制 Access controlAccess control业务连续性
65、管理业务连续性管理业务连续性管理业务连续性管理 Business continuity managementBusiness continuity management符合性符合性符合性符合性 ComplianceCompliance72智囊书苑什么是信息安全管理体系?什么是信息安全管理体系?什么是信息安全管理体系?什么是信息安全管理体系?l l 以往我们对信息安全的认识只停留在技术和产品上,是只见树木不以往我们对信息安全的认识只停留在技术和产品上,是只见树木不以往我们对信息安全的认识只停留在技术和产品上,是只见树木不以往我们对信息安全的认识只停留在技术和产品上,是只见树木不见森林,只治标不治
66、本见森林,只治标不治本见森林,只治标不治本见森林,只治标不治本l l 其实,信息安全成败,三分靠技术,七分靠管理,其实,信息安全成败,三分靠技术,七分靠管理,其实,信息安全成败,三分靠技术,七分靠管理,其实,信息安全成败,三分靠技术,七分靠管理,技术一般但管理技术一般但管理技术一般但管理技术一般但管理良好的系统远比技术高超但管理混乱的系统安全良好的系统远比技术高超但管理混乱的系统安全良好的系统远比技术高超但管理混乱的系统安全良好的系统远比技术高超但管理混乱的系统安全l l 但以往我们的管理,只是粗浅的、静态的、不成体系的管理但以往我们的管理,只是粗浅的、静态的、不成体系的管理但以往我们的管理,
67、只是粗浅的、静态的、不成体系的管理但以往我们的管理,只是粗浅的、静态的、不成体系的管理l l 信息安全必须从整体去考虑,必须做到信息安全必须从整体去考虑,必须做到信息安全必须从整体去考虑,必须做到信息安全必须从整体去考虑,必须做到“ “有计划有目标、发现问题、有计划有目标、发现问题、有计划有目标、发现问题、有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现分析问题、采取措施解决问题、后续监督避免再现分析问题、采取措施解决问题、后续监督避免再现分析问题、采取措施解决问题、后续监督避免再现” ”这样的全程管理这样的全程管理这样的全程管理这样的全程管理的路子,而整个的过程,必须有一
68、套完整的文件体系来控制和指引的路子,而整个的过程,必须有一套完整的文件体系来控制和指引的路子,而整个的过程,必须有一套完整的文件体系来控制和指引的路子,而整个的过程,必须有一套完整的文件体系来控制和指引l l 这就是信息安全管理体系,应该成为组织整体管理体系的一部分这就是信息安全管理体系,应该成为组织整体管理体系的一部分这就是信息安全管理体系,应该成为组织整体管理体系的一部分这就是信息安全管理体系,应该成为组织整体管理体系的一部分73智囊书苑IDCIDC建立信息安全管理体系的目的建立信息安全管理体系的目的建立信息安全管理体系的目的建立信息安全管理体系的目的l l 检验检验检验检验IDCIDC信
69、息安全管理现状,全面评估安全风险,找到问题所在,采信息安全管理现状,全面评估安全风险,找到问题所在,采信息安全管理现状,全面评估安全风险,找到问题所在,采信息安全管理现状,全面评估安全风险,找到问题所在,采取措施解决问题,从而建立完善的信息安全管理体系取措施解决问题,从而建立完善的信息安全管理体系取措施解决问题,从而建立完善的信息安全管理体系取措施解决问题,从而建立完善的信息安全管理体系l l 在此过程中,通过在此过程中,通过在此过程中,通过在此过程中,通过IDCIDC全员的参与,全面提升全员的参与,全面提升全员的参与,全面提升全员的参与,全面提升IDCIDC信息安全管理水平信息安全管理水平信
70、息安全管理水平信息安全管理水平和意识技能,将信息安全理念融入到和意识技能,将信息安全理念融入到和意识技能,将信息安全理念融入到和意识技能,将信息安全理念融入到IDCIDC企业文化当中企业文化当中企业文化当中企业文化当中l l 接受认证机构的审核,获得具有国际权威性的接受认证机构的审核,获得具有国际权威性的接受认证机构的审核,获得具有国际权威性的接受认证机构的审核,获得具有国际权威性的ISO27001ISO27001认证证书认证证书认证证书认证证书l l 通过内功修炼和外在证明,提升通过内功修炼和外在证明,提升通过内功修炼和外在证明,提升通过内功修炼和外在证明,提升IDCIDC作为软件开发和服务
71、企业的市场作为软件开发和服务企业的市场作为软件开发和服务企业的市场作为软件开发和服务企业的市场竞争力,赢取客户的认可和信任竞争力,赢取客户的认可和信任竞争力,赢取客户的认可和信任竞争力,赢取客户的认可和信任74智囊书苑信息安全方针信息安全方针信息安全方针信息安全方针IDCIDC的的的的“ “宪法宪法宪法宪法” ”l l IDC IDC设立信息安全管理委员会来领导信息安全各项工作。设立信息安全管理委员会来领导信息安全各项工作。设立信息安全管理委员会来领导信息安全各项工作。设立信息安全管理委员会来领导信息安全各项工作。信息安全组织建设规定信息安全组织建设规定l l 必须确保必须确保必须确保必须确保
72、IDCIDC所属的各项信息资产包括客户数据都能得到妥善保护,确保信息的保密所属的各项信息资产包括客户数据都能得到妥善保护,确保信息的保密所属的各项信息资产包括客户数据都能得到妥善保护,确保信息的保密所属的各项信息资产包括客户数据都能得到妥善保护,确保信息的保密性,维持信息的完整性和可用性,防止信息非授权访问。性,维持信息的完整性和可用性,防止信息非授权访问。性,维持信息的完整性和可用性,防止信息非授权访问。性,维持信息的完整性和可用性,防止信息非授权访问。l l IDC IDC所有员工都必须接受信息安全培训和教育,增强信息安全意识。所有员工都必须接受信息安全培训和教育,增强信息安全意识。所有员
73、工都必须接受信息安全培训和教育,增强信息安全意识。所有员工都必须接受信息安全培训和教育,增强信息安全意识。l l 应该遵守各项法律法规要求,同时利用法律法规来保护公司的利益。应该遵守各项法律法规要求,同时利用法律法规来保护公司的利益。应该遵守各项法律法规要求,同时利用法律法规来保护公司的利益。应该遵守各项法律法规要求,同时利用法律法规来保护公司的利益。l l IDC IDC采取一套有效的安全事件管理机制,明确所有员工的安全责任,建立对已发生或采取一套有效的安全事件管理机制,明确所有员工的安全责任,建立对已发生或采取一套有效的安全事件管理机制,明确所有员工的安全责任,建立对已发生或采取一套有效的
74、安全事件管理机制,明确所有员工的安全责任,建立对已发生或可疑的信息安全事件的报告及响应流程,并对违反安全策略的人员进行惩罚。可疑的信息安全事件的报告及响应流程,并对违反安全策略的人员进行惩罚。可疑的信息安全事件的报告及响应流程,并对违反安全策略的人员进行惩罚。可疑的信息安全事件的报告及响应流程,并对违反安全策略的人员进行惩罚。l l 加强工作环境的安全管理,严格执行人员进出和对重要区域的管理制度。加强工作环境的安全管理,严格执行人员进出和对重要区域的管理制度。加强工作环境的安全管理,严格执行人员进出和对重要区域的管理制度。加强工作环境的安全管理,严格执行人员进出和对重要区域的管理制度。l l
75、在软件系统对开放方提出安全要求在软件系统对开放方提出安全要求在软件系统对开放方提出安全要求在软件系统对开放方提出安全要求l l 防范病毒与各种恶意软件的入侵。防范病毒与各种恶意软件的入侵。防范病毒与各种恶意软件的入侵。防范病毒与各种恶意软件的入侵。信息资产分类管理程序信息资产分类管理程序信息交换管理程序信息交换管理程序信息安全培训管理程序信息安全培训管理程序人力资源管理程序人力资源管理程序法律法规符合性管理规定法律法规符合性管理规定安全事件管理程序安全事件管理程序工作环境安全管理规定工作环境安全管理规定系统开发与维护管理程序系统开发与维护管理程序病毒防范策略病毒防范策略l l 识别来自第三方的
76、风险,确保第三方访问或责任外包时的安全性。识别来自第三方的风险,确保第三方访问或责任外包时的安全性。识别来自第三方的风险,确保第三方访问或责任外包时的安全性。识别来自第三方的风险,确保第三方访问或责任外包时的安全性。第三方安全管理策略第三方安全管理策略75智囊书苑l l 控制对内外部网络服务的访问,保护网络化服务的安全性与可靠性,防止重要信息泄漏。控制对内外部网络服务的访问,保护网络化服务的安全性与可靠性,防止重要信息泄漏。控制对内外部网络服务的访问,保护网络化服务的安全性与可靠性,防止重要信息泄漏。控制对内外部网络服务的访问,保护网络化服务的安全性与可靠性,防止重要信息泄漏。l l 对用户权
77、限和口令进行严格管理,防止对信息系统的非授权访问。对用户权限和口令进行严格管理,防止对信息系统的非授权访问。对用户权限和口令进行严格管理,防止对信息系统的非授权访问。对用户权限和口令进行严格管理,防止对信息系统的非授权访问。l l 对重要信息进行备份保护,确保信息的可用性。对重要信息进行备份保护,确保信息的可用性。对重要信息进行备份保护,确保信息的可用性。对重要信息进行备份保护,确保信息的可用性。l l 实施业务连续性计划,保证公司主要业务流程不受重大故障和灾难的影响。实施业务连续性计划,保证公司主要业务流程不受重大故障和灾难的影响。实施业务连续性计划,保证公司主要业务流程不受重大故障和灾难的
78、影响。实施业务连续性计划,保证公司主要业务流程不受重大故障和灾难的影响。l l IDC IDC建立有效的审核机制,加强对信息安全各项工作的监督与审核。建立有效的审核机制,加强对信息安全各项工作的监督与审核。建立有效的审核机制,加强对信息安全各项工作的监督与审核。建立有效的审核机制,加强对信息安全各项工作的监督与审核。l l 为了支持本方针,需要制定相应的程序文件及各项规定。为了支持本方针,需要制定相应的程序文件及各项规定。为了支持本方针,需要制定相应的程序文件及各项规定。为了支持本方针,需要制定相应的程序文件及各项规定。l l IDC IDC高管负责批准并发布本方针。高管负责批准并发布本方针。
79、高管负责批准并发布本方针。高管负责批准并发布本方针。l l 各部门经理直接负责方针的执行,确保各部门员工都能遵守本方针。各部门经理直接负责方针的执行,确保各部门员工都能遵守本方针。各部门经理直接负责方针的执行,确保各部门员工都能遵守本方针。各部门经理直接负责方针的执行,确保各部门员工都能遵守本方针。l l 信息安全方针必须强制执行。信息安全方针必须强制执行。信息安全方针必须强制执行。信息安全方针必须强制执行。 访问控制方针访问控制方针网络使用安全管理规定网络使用安全管理规定用户管理规定用户管理规定信息备份策略信息备份策略业务持续性管理程序业务持续性管理程序信息安全审核管理程序信息安全审核管理程
80、序信息安全方针(续)信息安全方针(续)信息安全方针(续)信息安全方针(续)l l MISC MISC负责负责负责负责ReviewReview本方针(一年一次),并为方针执行提供必要的支持。本方针(一年一次),并为方针执行提供必要的支持。本方针(一年一次),并为方针执行提供必要的支持。本方针(一年一次),并为方针执行提供必要的支持。l l ISCC ISCC负责制定与本方针相关的支持性策略及文件。负责制定与本方针相关的支持性策略及文件。负责制定与本方针相关的支持性策略及文件。负责制定与本方针相关的支持性策略及文件。76智囊书苑IDCIDC的信息安全组织架构的信息安全组织架构的信息安全组织架构的信息安全组织架构77智囊书苑
