信息安全培训.ppt

1、信息安全培训,2,提纲,信息安全形势概述 信息安全知识简述 如何做好信息安全,3,当今网络信息安全形势概述,4,我们已经跨入以社会信息化、设备数字化、通信网络化的信息社会； 互联网、物理网、无线人体局域网，云计算、大数据、可穿戴设备、智能化技术的飞速发展，推动我们的信息社会发生巨大的变化； 未来，任何物体，甚至是我们的身体也将成为信息网络社会的一部分。,我们已进入信息社会,5,从Compter到Cyberspace,局域计算机网络：离散的计算机、离散的数据,开放的广域计算机网络：相连的计算机、静态为主的数据,数字化通信网络：通信设备开放互联、流动的数据,人的信息通信网络：社会网络化、社交应用,

2、万物与人的网络：ICS、IOT、智慧城市,生活/生存网络：一切活动所依赖的网络,6,信息安全无处不在,信息安全危害越来越严峻,信息安全问题影响和危害国家安全和社会稳定 斯诺登事件 伊朗布什尔核电站“震网”事件 信息安全危害到每个人的生命权、财产权和隐私权 入侵植入式心脏起搏器 入侵ATM取款机 个人信息贩卖、社工库,8,YOU ARE THE TARGET,我们所面临的，是多种动机的威胁,9,攻击向损人不利己向获取利益转变,网络钓鱼,https:/ 网络钓鱼,我不钓鱼，我拿渔叉叉鱼,挥金如土者行动,网络钓鱼只是表象,表象！,本质：,13,高达7000万名顾客的4000万分有关信用卡、借记卡、电

3、话号码和电子邮箱地址的信息被窃取,鱼，不一定靠钓的,14,鱼，不一定靠钓的,招商银行、工商银行被曝出黑幕，员工通过中介向外兜售客户个人信息将近3000份，造成损失达3000多万元。 犯罪嫌疑人朱凯华交代，他从网上买到了50万个车主的详细个人信息，包括车主在浙江银行的银行卡卡号和账户余额，而个人征信报告中包含更为详尽的个人信息，包括银行客户的收入，详细住址、手机号、家庭电话号码，甚至职业和生日等。正是因为这些信息，朱凯华筛选出最有可能的六位号码。之后逐个进入网银进行破译。朱凯华被抓时，造成受害人损失3000多万元。 招商银行信用卡中心风险管理部贷款审核员胡斌是这些信息的出售人之一，他向朱凯华出售

4、个人信息300多份。,15,信息泄露泛滥成灾,国内首个基于大数据的网络犯罪研究报告2015年第一季度网络诈骗犯罪数据研究报告正式发布。报告显示，中国公民已经泄漏的个人信息多达11.27亿条。,“大玩家”入场,和过去的攻击者相比： 怀有不同的动机 选择不同的目标 掌握不同的资源 拥有不同的能力 使用不同的方法,攻击从个人向规模团队化转变,17,攻击从个人向规模团队化转变,国外反共黑客组织频繁对我国政府网站发动篡改攻击,18,攻击从个人向规模团队化转变,韩国广播公司,韩国文化广播公司,韩联社新闻台,新韩银行,农协银行,3家主要广播电视台节目无法制作,2家主要银行系统瘫痪,19,攻击体系化APT攻击

5、的出现,APT攻击特点 利用社会工程学、供应链、0Day漏洞、系统后门、病毒木马、发起的主动攻击。 传统安全防护无效； 极具针对性的、多阶段、多手段组合的； 平时以窃取数据为主要目的；战时以致瘫网络为目的。,超级病毒：震网（STUXNET）,2010年6月,超级病毒：火焰（FLAME）,2012年5月28日,影响最大的APT事件,监控体系： 码头Marina：互联网终端、设备、软件、用户、时间、地点等； 主干道Mainway：通信网通话及时间、地点、参与者、设备等； 核子：Nucleon：截获电话通话中的对话内容及关键词 棱镜PRISM：在科技巨头的配合下监控互联网数据,美国主要IT企业： 微

6、软、雅虎、谷歌、脸谱、paltalk、youtube、skype、美国在线、苹果、思科、Verizon,针对中国的数百次攻击： 机构：NSA、司法部；NSA下属机构TAO对中国进行了长达15年的攻击 协助：思科等 目标：中国大陆运营商、重要政务办公网、科研机构；中国香港中文大学的互联网交换中心、卫星遥感接收站、商业机构、公职人员等,人物： 前总统小布什；前副总统切尼；奥巴马；司法部长霍尔德,23,NSA对中国网络公司的监听,NSA成功入侵华为(行动代号：shotgiant)： 入侵了华为深圳总部的网络； 拷贝了大量内部文档和客户名单； 获取了大量邮件，包括任正非和孙亚芳的邮件； 获取了产品的源

7、代码。,24,NSA植入后门,截获运送给全世界各个监视目标的网络设备； 将设备运送到NSA雇员所在的秘密地点，安装信标植入物（beacon implants)； 重新打包运送到原始目的的。,25,APT攻击改变安全思路,26,智能终端成为新的攻击目标,2013东京全球顶级安全竞赛碁震云计算安全研究团队在不到30秒的时间内攻破了苹果最新手机操作系统IOS 7.0.3,Blackhat 2013上，黑客展示了利用充电器，攻破iPhone IOS,27,2015年上半年中国互联网移动安全报告 手机病毒软件新增数量达到127.31 万个，环比增长 240%。 盗版应用猖獗，造成流量消耗、隐私泄露、恶意

8、扣费、远程控制、购物欺诈等危害。 全国近三成用户处在移动支付风险环境中，风险主要来自不安全的WiFi。 银行类、购物支付类APP普遍存在应用漏洞,智能终端成为新的攻击目标,28,28,移动操作系统漏洞频发,9月18日，苹果iOS被曝出安全漏洞，黑客利用经过篡改的开发工具Xcode向300余款千万量级的热门APP注入了木马病毒，致使上亿用户的手机配置信息被第三方提取，并随时存在用户隐私信息泄漏、Apple ID账密泄漏、网银及第三方支付账户被盗等风险。,一家安全研究公司声称，安卓系统上存在一处漏洞，足以对几乎所有此类设备产生威胁。该漏洞存在于安卓内置的称之为“Stagefright”的媒体播放工

9、具中。只需向安卓设备发送一条简单的文本消息，黑客就可以取得该设备的全部权限，进而窃取各类数据，包括信用卡或个人信息。,29,免费WIFI成为新的攻击方式,通过免费WiFi截获信息轻而易举，邮箱、密码、个人信息、通话记录等将完全暴露。 今年央视“315晚会”现场演示了黑客如何利用虚假WiFi盗取晚会现场观众手机系统信息、品牌型号、自拍照片、邮箱帐号密码等各类隐私数据。,30,利用WIFI进行攻击,31,GSM嗅探： 对GSM进行信号分析以及嗅探,GSM嗅探： GSM 流量嗅探工具,GSM网络嗅探,32,攻击3G/4G SIM卡,3G/4G卡复制 目前使用最多的3G/4G卡的复制技术。利用各种边信

10、道等方法，获取卡中的密钥， 并且复制一张完全相同的卡。,33,大数据成为黑客攻击的显著目标,大数据加大隐私泄露风险,云和大数据时代的高度风险,云计算资源非法利用后果严重,服务中断和数据失泄影响巨大,34,用免费云端服务构建一个僵尸网络,云服务利用攻击,35,云计算引发的信息泄露,36,隐私信息随处可得 信息关联/数据分析绘制每个人的数字生活,网络购物,网络缴费,快递服务,社交网络搞清楚了你社会关系网,GPS准确定位你的行踪,智能家居将你的生活细节暴漏给网络,大数据发掘隐私信息,大数据加大隐私泄露,37,大数据大机遇,38,数据可视化成为未来趋势,智慧城市将安全带入物理世界,智能家庭和智能家电容

11、易受到黑客攻击，2014balck hat大会上来自Trustworthy的Logan展示了智慧家庭中容易遭受攻击者攻击的设备和攻击方法。来自Blue Coat的Felix展示了智能电视设备攻击方法。,针对汽车的攻击 彻底攻破特斯拉汽车 攻击吉普车成功攻击后均可完全控制汽车，包括汽车的启动、停止、转向等，也控制了包括媒体系统在内的所有系统,智慧城市将安全带入物理世界,41,智慧城市将安全带入物理世界,入侵电子路标 “注意，前方有僵尸”,入侵监控摄像机 直播私生活,42,国际网络空间局势紧张,43,来自美国的信息霸权,44,斯诺登事件反映了什么？,美国对信息霸权的利用 我国网络空间安全面临重大挑

12、战未来网络空间博弈的重要性和方法 我国的国家安全和网络空间安全该怎么办,45,美国重新启动网络安全框架，为美国在大数据时代网络安全顶层制度设计与实践。德国总理默克尔与法国总统奥朗德探讨建立欧洲独立互联网（绕开美国），并计划在年底通过欧洲数据保护改革方案。作为中国邻国的俄罗斯、日本和印度也一直在积极行动。 目前，已有四十多个国家颁布了网络空间国家安全战略，五十多个国家和地区颁布保护网络信息安全的法律。,网,海,陆,空,天,网,信息安全上升到国家安全高度,46,2014年2月27日，中央成立“网络安全和信息化领导小组”，由习总书记 亲自担任组长并且在第一次会议就提出“没有信息化就没有现代化，没有网

13、络安全就没有国家安全”。,标志着我国网络及信息安全已上升为“国家安全战略”,信息安全上升到国家安全高度,47,互联网应用发展迅猛，生活已离不开网络 黑客职业化、产业化 攻击技术普及，工具自动化 个人信息泄漏泛滥 APT攻击严重威胁国家安全 无线安全/手机安全问题开始出现 云计算、大数据带来新的威胁 智慧城市将安全带入物理世界 网络安全上升为国家战略,当今的网络信息安全形势,48,信息安全基础知识简述,49,什么是信息?,什么是信息？,50,信息本身的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持，即防止防止未经授权使用信息、防止

14、对信息的非法修改和破坏、确保及时可靠地使用信息。,什么是信息安全,51,保密！,不该知道的人，不让他知道！,信息安全三要素,52,完整！,信息不能追求残缺美！,信息安全三要素,53,可用！,信息要方便、快捷！ 不能像天朝首都二环早高峰，也不能像春运的火车站,信息安全三要素,54,因为有病毒吗？,因为有黑客吗？,因为有漏洞吗？,这些都是原因， 但没有说到根源,为什么会有信息安全问题,55,信息安全问题产生的根源与环节,内因：复杂性：过程复杂，结构复杂，使用复杂导致的脆弱性。 外因：对手: 威胁与破坏,56,内在复杂过程,信息系统理论 如图灵机，在程序与数据的区分上没有确定性的原则， 设计 从设计

15、的角度看，在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置 实现 由于人性的弱点和程序设计方法学的不完善，软件总是存在BUG 生产与集成 使用与运行维护,57,内在复杂结构,工作站中存在信息数据 员工 移动介质 网络中其他系统 网络中其他资源 访问Internet 访问其他局域网 到Internet的其他路由 电话和调制解调器 开放的网络端口 远程用户 厂商和合同方的访问访问外部资源 公共信息服务 运行维护环境,58,内在复杂使用,59,安全外因来自对手的威胁,60,安全外因来自自然的破坏,61,对象,内因,外因,风险 risk一个指定的威胁利用一项资产或多项

16、资产的脆弱点、并由此造成对组织的损害的潜在可能。它是根据事件的概率和其后果的组合来衡量的。（ISO/IEC 13335:2004 ）ISO27005:2008,风险管理,62,信息安全的目标,信息安全的目标：将风险降低到可以接受的程度,RISK,Risk,资产,威胁,脆弱性,资产,威胁,脆弱性,63,信息安全管理思路,核心-预防为主的主动风险管理,是,否,是,已有安全措施的确认,风险计算,风险是否接受,保持已有的控制措施,选择适当的控制措施并评估残余风险,实施风险管理,脆弱性识别,威胁识别,资产识别,是否接受残余风险,评估过程文档,评估过程文档,评估结果文档,否,风险评估过程,风险分析,风险评

17、估记录,风险评估的准备,65,安全是一种平衡,安全控制的成本,安全事件的损失,最小化的总成本,低,高,高,安全成本/损失,所提供的安全水平,关键是实现成本利益的平衡,如何衡量信息安全的价值？,66,信息资产对我们很重要，是要保护的对象威胁就像苍蝇一样，挥之不去，无所不在资产自身又有各种弱点，给威胁带来可乘之机面临各种风险，一旦发生就成为安全事件、事故,保持清醒认识,熟悉潜在的安全问题 知道怎样防止其发生 明确发生后如何应对,我们应该,67,68,如何做好信息安全工作,69,一个软件公司的老总，等他所有的员工下班之后，他在那里想：我的企业到底值多少钱呢？假如它的企业市值1亿，那么此时此刻，他的企

18、业就值2600万。因为据Delphi公司统计，公司价值的26%体现在固定资产和一些文档上，而高达42%的价值是存储在员工的脑子里，而这些信息的保护没有任何一款产品可以做得到，所以需要我们建立信息安全管理体系，也就是常说的ISMS！,怎样做好信息安全,70,70,技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂信息安全管理构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动 现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标尤其重要唯有信息安全管理工作活动持续

19、而周期性的推动作用方能真正将信息安全意识贯彻落实,三分技术，七分管理！,关键点：信息安全管理,务必重视信息安全管理 加强信息安全建设工作,71,如何防护信息安全，主要有以下几个方面： 工作环境和人员安全 数据分类与防护 防范病毒与恶意代码 个人计算机安全 口令安全 防范社会工程学 养成良好的安全习惯和安全意识,如何做好信息安全,72,工作环境安全,关键安全区域包括服务器机房、财务部门和人力资源部门、法务部、安全监控室应具备门禁设施。前台接待负责检查外来访客证件并进行登记，访客进入内部需持临时卡并由相关人员陪同。实施724小时保安服务，检查保安记录。所有入口和内部安全区都需部署有摄像头，大门及各

20、楼层入口都被实时监控。禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用碎纸机粉碎。废弃或待修磁介质转交他人时应经IT管理部门消磁处理。 离开座位时，应将贵重物品、含有机密信息的资料锁入柜中，并对使用的电脑桌面进行锁屏。,73,安装“三铁一器”，即铁门、铁窗、铁柜和报警器,工作环境安全,人员安全,背景调查,签署保密协议,第三方人员监管,技能意识培训,职位调整及离职检查,绩效考核和奖惩,74,75,数据分类与防护资产责任划分,76,公开,内部使用,秘密,机密/绝密,缺省,数据分类与防护信息分类,不同级别的数据应设立不同的防护策略，授权不同的访问人群,77,对重要、敏感的文件进行加密：Offi

21、ce文档加密,信息分类与防护加密,压缩加密,78,数据分类与防护备份,重要信息系统应支持全备份、差量备份和增量备份 任何部门如果需要备份服务，应该经主管批准，并向IT部门提出申请 IT部门提供备份所需的技术支持和必要的培训 申请者应该填写申请表，其中包含对介质、数据容量、属主和操作者的需求 属主应该确保备份成功并定期检查日志，根据需要，实施测试以验证备份效率和效力,79,防范病毒与恶意代码,80,个人计算机安全,1、加强帐户控制,（为系统帐户加上密码）,（检测系统更新 提高系统发全级别 按需设置自动播放）,3、开启IE安全防护,（清除IE各种记录 使用InPrivate模式浏览 启用XXS筛选

22、器）,2、重要安全设置要设好,4、用好自带防火墙,（关闭网络发现）,5、谨慎共享资源,（自定义防火墙设置）,81,网络扫描,网络嗅探,拒绝服务,欺骗用户,系统后门,恶意程序,黑客常用手段：,个人计算机安全防黑客攻击,82,个人计算机安全无线上网安全,无线网络技术提供了便捷性和移动性，但也给网络带来了风险。,如果下载速度明显减缓，且查看“网上邻居”发现有用户处于联机状态，判定有人在“蹭网”。有时，电脑会自动提示“您的IP地址分配有冲突”，也是在提示有人在共享您的无线网络。,支 招,设置防火墙,WAP加密,隐藏SSID,绑定MAC,无需使用时停用无线网,83,口令安全,口令至少应该由8个字符组成

23、口令应该是大小写字母、数字、特殊字符的混合体 口令应该定期更改，设定口令最长有效期为不超出3个月 口令输入错误限定5次 不要使用名字、生日等个人信息和字典单词 选择易记强口令的几个窍门：,口令短语：找到一个生僻但易记的短语或句子（可以摘自歌曲、书本或电影），然后创建它的缩写形式，其中包括大写字母和标点符号等。 字符替换：用数字或符号来替换选定的字母，可提高口令的复杂性。 键盘模式：使用Z字型或者多条短线，并结合数字和特殊字符的组合。,84,防范社会工程学,利用社会交往（通常是在伪装之下）从目标对象那里获取信息例如：电话呼叫服务中心在走廊里的聊天冒充服务技术人员著名黑客Kevin Mitnick

24、更多是通过社会工程来渗透网络的，而不是高超的黑客技术,85,防范社会工程学要做到以下几点： 不要轻易泄漏敏感信息，例如口令和账号在相信任何人之前，先校验其真实的身份不要违背公司的安全策略，哪怕是你的上司向你索取个人敏感信息（著名黑客Kevin Mitnick最擅长的就是冒充一个很焦急的老板，利用一般人好心以及害怕上司的心理，向系统管理员索取口令）不要忘了，所谓的黑客，更多时候并不是技术多么出众，而是社会工程的能力比较强,防范社会工程学,86,改掉如下坏习惯,网银资金欺诈案件常见原因 使用弱密码 登陆钓鱼网站 被木马病毒盗取密码,登录正确网站防止钓鱼使用安全的浏览器工具栏使用软键盘输密码不在电脑

25、里保存登录信息保管好网银证书和密码养成良好的网银使用习惯,支 招,网银使用安全,网络诈骗的种类 以购物为由实施诈骗； 以QQ或移动飞信等即时聊天工具发布虚假中奖信息实施的诈骗； 以假借网上提供“六合彩特码”实施的诈骗； 网上冒充亲朋好友诈骗； 冒充合法网站实施购物诈骗。,不要轻易相信聊天工具的“中奖”信息； 通过正规网站和渠道了解彩票发行规则； 谨慎辨认“好友”身份； 不要轻易相信卖家发过来的任何链接。,支 招,防范网络诈骗,89,手机诈骗四大类型：短信诈骗、语音诈骗、境外声讯诈骗、冒充熟人诈骗。 谨防手机病毒：手机病毒就是靠软件系统漏洞来入侵手机的。现在很多具备上网及下载功能的手机，特别是智

26、能手机都可能被手机病毒入侵。,手机病毒的传播形式：蓝牙、下载、短信、彩信。 手机病毒的危害：话费损失、隐私泄露、功能损坏、电池耗电量增大、导致手机硬件损坏无法使用。,支 招,手机安全防范,90,安全提示： 在使用了微信的LBS功能后，通过“清除位置信息并退出”可以清除自己当前的地理位置信息，位置信息清除后用户信息将不会在“附近的人”中显示。,微信使用安全,91,如果不想被陌生人打扰，用户还可以关闭“可通过QQ号找到我”、“可通过手机号搜索到我”按钮，这样就可以避免不必要的骚扰了。,安全提示：此项尤为重要，陌生人可以通过查看你的微信空间获得隐私信息。,微信使用安全,92,微信泄露隐私沈阳一女孩遭杀害 “允许陌生人看照片”功能最好关掉。,2013年6月，一名歹徒利用查看微信附近的人等功能，掌握了沈阳一名岁女孩的活动规律及相貌，尾随女孩将其杀害后抛尸。,微信使用安全,93,总结,从一点一滴做起！,安全从自身做起！,