1、信息安全培训 2提纲1. 信息安全形势概述2. 信息安全知识简述3. 如何做好信息安全3当今网络信息安全形势概述4 我们已经跨入以社会信息化、设备数字化、通信网络化的信息社会; 互联网、物理网、无线人体局域网,云计算、大数据、可穿戴设备、智能化技术的飞速发展,推动我们的信息社会发生巨大的变化; 未来,任何物体,甚至是我们的身体也将成为信息网络社会的一部分。我们已进入信息社会5从Compter到Cyberspace局域计算机网络:离散的计算机、离散的数据开放的广域计算机网络:相连的计算机、静态为主的数据数字化通信网络:通信设备开放互联、流动的数据人的信息通信网络:社会网络化、社交应用万物与人的网
2、络:ICS、IOT、智慧城市生活/生存网络:一切活动所依赖的网络6信息安全无处不在信息安全危害越来越严峻n 信息安全问题影响和危害国家安全和社会稳定-斯诺登事件-伊朗布什尔核电站“震网”事件n 信息安全危害到每个人的生命权、财产权和隐私权-入侵植入式心脏起搏器-入侵ATM取款机-个人信息贩卖、社工库8YOU ARE THE TARGET我们所面临的,是多种动机的威胁9攻击向损人不利己向获取利益转变网络钓鱼https:/ 2012年6月,在一次大规模的网络攻击中,黑客们利用自动化等“成熟”技术,攻击银行的基于云计算服务器。他们将目标对准全球各地的企业和个人存款数额高的银行账户,从欧洲、美国和世界
3、其他地区的公60多家银行中卷走6000万欧元鱼叉式网络钓鱼我不钓鱼,我拿渔叉叉鱼挥金如土者行动WEB应用安全和数据库安全的领航者网络钓鱼只是表象表象!表象!本质:本质:13高达7000万名顾客的4000万分有关信用卡、借记卡、电话号码和电子邮箱地址的信息被窃取鱼,不一定靠钓的14鱼,不一定靠钓的 招商银行、工商银行被曝出黑幕,员工通过中介向外兜售客户个人信息将近3000份,造成损失达3000多万元。 犯罪嫌疑人朱凯华交代,他从网上买到了50万个车主的详细个人信息,包括车主在浙江银行的银行卡卡号和账户余额,而个人征信报告中包含更为详尽的个人信息,包括银行客户的收入,详细住址、手机号、家庭电话号码
4、,甚至职业和生日等。正是因为这些信息,朱凯华筛选出最有可能的六位号码。之后逐个进入网银进行破译。朱凯华被抓时,造成受害人损失3000多万元。 招商银行信用卡中心风险管理部贷款审核员胡斌是这些信息的出售人之一,他向朱凯华出售个人信息300多份。15信息泄露泛滥成灾 国内首个基于大数据的网络犯罪研究报告2015年第一季度网络诈骗犯罪数据研究报告正式发布。报告显示,中国公民已经泄漏的个人信息多达11.27亿条。 “大玩家”入场和过去的攻击者相比:怀有不同的动机选择不同的目标掌握不同的资源拥有不同的能力使用不同的方法攻击从个人向规模团队化转变17攻击从个人向规模团队化转变 国外反共黑客组织频繁对我国政
5、府网站发动篡改攻击18攻击从个人向规模团队化转变韩国广播公司韩国文化广播公司韩联社新闻台新韩银行农协银行3家主要广播电视台节目无法制作2家主要银行系统瘫痪2013年3月20日,韩国主要广播电视台和银行系统遭受大规模攻击,引发韩国社会一度混乱19攻击体系化APT攻击的出现 APT攻击特点 利用社会工程学、供应链、0Day漏洞、系统后门、病毒木马、发起的主动攻击。 传统安全防护无效; 极具针对性的、多阶段、多手段组合的; 平时以窃取数据为主要目的;战时以致瘫网络为目的。超级病毒:震网(STUXNET)2010年年6月月超级病毒:火焰(FLAME)2012年年5月月28日日影响最大的APT事件监控体
6、系:码头Marina:互联网终端、设备、软件、用户、时间、地点等;主干道Mainway:通信网通话及时间、地点、参与者、设备等;核子:Nucleon:截获电话通话中的对话内容及关键词棱镜PRISM:在科技巨头的配合下监控互联网数据美国主要IT企业:微软、雅虎、谷歌、脸谱、paltalk、youtube、skype、美国在线、苹果、思科、Verizon针对中国的数百次攻击:机构:NSA、司法部;NSA下属机构TAO对中国进行了长达15年的攻击协助:思科等目标:中国大陆运营商、重要政务办公网、科研机构;中国香港中文大学的互联网交换中心、卫星遥感接收站、商业机构、公职人员等人物:前总统小布什;前副总
7、统切尼;奥巴马;司法部长霍尔德23NSA对中国网络公司的监听NSA成功入侵华为(行动代号:shotgiant):1. 入侵了华为深圳总部的网络;2. 拷贝了大量内部文档和客户名单;3. 获取了大量邮件,包括任正非和孙亚芳的邮件;4. 获取了产品的源代码。24NSA植入后门1. 截获运送给全世界各个监视目标的网络设备;2. 将设备运送到NSA雇员所在的秘密地点,安装信标植入物(beacon implants);3. 重新打包运送到原始目的的。25APT攻击改变安全思路26智能终端成为新的攻击目标u2013东京全球顶级安全竞赛碁震云计算安全研究团队在不到30秒的时间内攻破了苹果最新手机操作系统IO
8、S 7.0.3uBlackhat 2013上,黑客展示了利用充电器,攻破iPhone IOS27n 2015年上半年中国互联网移动安全报告1. 手机病毒软件新增数量达到127.31 万个,环比增长 240%。2. 盗版应用猖獗,造成流量消耗、隐私泄露、恶意扣费、远程控制、购物欺诈等危害。3. 全国近三成用户处在移动支付风险环境中,风险主要来自不安全的WiFi。4. 银行类、购物支付类APP普遍存在应用漏洞智能终端成为新的攻击目标2828移动操作系统漏洞频发 9月18日,苹果iOS被曝出安全漏洞,黑客利用经过篡改的开发工具Xcode向300余款千万量级的热门APP注入了木马病毒,致使上亿用户的手
9、机配置信息被第三方提取,并随时存在用户隐私信息泄漏、Apple ID账密泄漏、网银及第三方支付账户被盗等风险。 一家安全研究公司声称,安卓系统上存在一处漏洞,足以对几乎所有此类设备产生威胁。该漏洞存在于安卓内置的称之为“Stagefright”的媒体播放工具中。只需向安卓设备发送一条简单的文本消息,黑客就可以取得该设备的全部权限,进而窃取各类数据,包括信用卡或个人信息。29免费WIFI成为新的攻击方式 通过免费WiFi截获信息轻而易举,邮箱、密码、个人信息、通话记录等将完全暴露。 今年央视“315晚会”现场演示了黑客如何利用虚假WiFi盗取晚会现场观众手机系统信息、品牌型号、自拍照片、邮箱帐号
10、密码等各类隐私数据。30利用WIFI进行攻击31GSM嗅探:对GSM进行信号分析以及嗅探GSM嗅探:GSM 流量嗅探工具GSM网络嗅探32攻击3G/4G SIM卡 3G/4G卡复制 目前使用最多的3G/4G卡的复制技术。利用各种边信道等方法,获取卡中的密钥, 并且复制一张完全相同的卡。33大数据成为黑客攻击的显著目标大数据加大隐私泄露风险云和大数据时代的高度风险云计算资源非法利用后果严重服务服务中断和数据失泄影响巨大中断和数据失泄影响巨大34用免费云端服务构建一个僵尸网络云服务利用攻击35云计算引发的信息泄露36 隐私信息随处可得 信息关联/数据分析绘制每个人的数字生活网络购物网络缴费快递服务
11、社交网络搞清楚了你社会关系网GPS准确定位你的行踪智能家居将你的生活细节暴漏给网络大数据发掘隐私信息大数据加大隐私泄露37大数据大机遇38数据可视化成为未来趋势智慧城市将安全带入物理世界 智能家庭和智能家电容易受到黑客攻击,2014balck hat大会上来自Trustworthy的Logan展示了智慧家庭中容易遭受攻击者攻击的设备和攻击方法。来自Blue Coat的Felix展示了智能电视设备攻击方法。 针对汽车的攻击彻底攻破特斯拉汽车攻击吉普车 成功攻击后均可完全控制汽车,包括汽车的启动、停止、转向等,也控制了包括媒体系统在内的所有系统智慧城市将安全带入物理世界41智慧城市将安全带入物理世
12、界入侵电子路标“注意,前方有僵尸”入侵监控摄像机直播私生活42国际网络空间局势紧张43来自美国的信息霸权44斯诺登事件反映了什么? 美国对信息霸权的利用 我国网络空间安全面临重大挑战 未来网络空间博弈的重要性和方法 我国的国家安全和网络空间安全该怎么办45 美国重新启动网络安全框架,为美国在大数据时代网络安全顶层制度设计与实践。 德国总理默克尔与法国总统奥朗德探讨建立欧洲独立互联网(绕开美国),并计划在年底通过欧洲数据保护改革方案。 作为中国邻国的俄罗斯、日本和印度也一直在积极行动。 目前,已有四十多个国家颁布了网络空间国家安全战略,五十多个国家和地区颁布保护网络信息安全的法律。网海陆空天网信
13、息安全上升到国家安全高度462014年2月27日,中央成立“网络安全和信息化领导小组”,由习总书记 亲自担任组长并且在第一次会议就提出“没有信息化就没有现代化,没有网络安全就没有国家安全”。标志着我国网络及信息安全已上升为“国家安全战略”信息安全上升到国家安全高度47互联网应用发展迅猛,生活已离不开网络黑客职业化、产业化攻击技术普及,工具自动化个人信息泄漏泛滥APT攻击严重威胁国家安全无线安全/手机安全问题开始出现云计算、大数据带来新的威胁智慧城市将安全带入物理世界网络安全上升为国家战略当今的网络信息安全形势48信息安全基础知识简述49什么是信息?什么是信息?数据011010010111101
14、100101010100100110100101111101001符号图片语音50 信息本身的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持,即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。什么是信息安全51不该知道的人,不让他知道!信息安全三要素52信息不能追求残缺美!信息安全三要素53信息要方便、快捷!不能像天朝首都二环早高峰,也不能像春运的火车站信息安全三要素54因为有病毒吗?因为有黑客吗?因为有漏洞吗?这些都是原因,但没有说到根源为什么会有信息安全问题55信息安全问题产生的根源与环节v内因
15、: 复杂性:过程复杂,结构复杂,使用复杂导致的脆弱性。 v外因: 对手: 威胁与破坏56内在复杂过程 信息系统理论 如图灵机,在程序与数据的区分上没有确定性的原则, 设计 从设计的角度看,在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置 实现 由于人性的弱点和程序设计方法学的不完善,软件总是存在BUG 生产与集成 使用与运行维护57内在复杂结构工作站中存在信息数据员工移动介质网络中其他系统网络中其他资源访问Internet访问其他局域网到Internet的其他路由电话和调制解调器开放的网络端口远程用户厂商和合同方的访问访问外部资源公共信息服务运行维护环境58内
16、在复杂使用59安全外因来自对手的威胁信信息息战战士士减小美国决策空间、战略优势,制造混乱,进行目标破坏国国家家安安全全威威胁胁情情报报机机构构搜集政治、军事,经济信息恐恐怖怖分分子子破坏公共秩序,制造混乱,发动政变工工业业间间谍谍掠夺竞争优势,恐吓共共同同威威胁胁犯犯罪罪团团伙伙施行报复,实现经济目的,破坏制度社社会会型型黑黑客客攫取金钱,恐吓,挑战,获取声望局局部部威威胁胁娱娱乐乐型型黑黑客客以吓人为乐,喜欢挑战60安全外因来自自然的破坏61资产脆弱性威胁风险对象内因外因风险 risk 一个指定的威胁利用一项资产或多项资产的脆弱点、并由此造成对组织的损害的潜在可能。 它是根据事件的概率和其后
17、果的组合来衡量的。(ISO/IEC 13335:2004 )ISO27005:2008风险管理62信息安全的目标信息安全的目标:将风险降低到可以接受的程度RISKRisk资产威胁脆弱性资产威胁脆弱性63对比项错误正确总体目标降低风险,提升SLA降低风险,提升SLA规划评估没有风险评估 详细风险评估规划预算导向安全目标导出,目标分解设计技术体系风险管理程序,技术体系,管理体系,指标开发建设实施产品实施产品实施,管理实施,变更管理,运维交付产品培训发布管理,安全培训、产品培训、SLM运维事故管理风险管理(资产管理、事件管理、脆弱性管理、威胁管理),基线管理(配置管理和变更管理)评价客户体验差异报告
18、,SLM改进更换产品问题管理,流程管理信息安全管理思路核心-预防为主的主动风险管理是否是已有安全措施的确认风险计算风险是否接受保持已有的控制措施选择适当的控制措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险 评估过程文档评估过程文档评估结果文档否风险评估过程风险分析风险评估记录风险评估的准备65安全是一种平衡安全控制的成本安全事件的损失最小化的总成本低高高安全成本/损失所提供的安全水平关键是实现成本利益的平衡如何衡量信息安全的价值?66u 信息资产对我们很重要,是要保护的对象u 威胁就像苍蝇一样,挥之不去,无所不在u 资产自身又有各种弱点,给威胁带来可乘之机u 面临各种
19、风险,一旦发生就成为安全事件、事故保持清醒认识严防威胁消减弱点应急响应保护资产熟悉潜在的安全问题知道怎样防止其发生明确发生后如何应对我们应该6768如何做好信息安全工作69 一个软件公司的老总,等他所有的员工下班之后,他在那里想:我的企业到底值多少钱呢?假如它的企业市值1亿,那么此时此刻,他的企业就值2600万。 因为据Delphi公司统计,公司价值的26%体现在固定资产和一些文档上,而高达42%的价值是存储在员工的脑子里,而这些信息的保护没有任何一款产品可以做得到,所以需要我们建立信息安全管理体系,也就是常说的ISMS!怎样做好信息安全7070u 技术是信息安全的构筑材料,管理是真正的粘合剂
20、和催化剂u 信息安全管理构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动 u 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的u 理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标尤其重要u 唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实三分技术,七分管理!关键点:信息安全管理务必务必重视重视信息安全管理信息安全管理加强加强信息安全建设工作信息安全建设工作71n 如何防护信息安全,主要有以下几个方面: 工作环境和人员安全 数据分类与防护 防范病毒与恶意代码 个人计算机安全 口
21、令安全 防范社会工程学 养成良好的安全习惯和安全意识如何做好信息安全72工作环境安全u 关键安全区域包括服务器机房、财务部门和人力资源部门、法务部、安全监控室应具备门禁设施。u 前台接待负责检查外来访客证件并进行登记,访客进入内部需持临时卡并由相关人员陪同。u 实施724小时保安服务,检查保安记录。u 所有入口和内部安全区都需部署有摄像头,大门及各楼层入口都被实时监控。u 禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎纸机粉碎。u 废弃或待修磁介质转交他人时应经IT管理部门消磁处理。u离开座位时,应将贵重物品、含有机密信息的资料锁入柜中,并对使用的电脑桌面进行锁屏。 73 安装“三铁
22、一器”,即铁门、铁窗、铁柜和报警器工作环境安全人员安全背景调查签署保密协议第三方人员监管技能意识培训职位调整及离职检查绩效考核和奖惩7475数据分类与防护资产责任划分数据的属主决定所属数据的敏感级别确定必要的保护措施最终批准并回顾用户访问权限受所有者委托管理数据通常是IT人员或部门系统(数据)管理员向所有者提交访问申请并按所有者授意为用户授权执行数据保护措施,实施日常维护和管理公司或第三方职员因工作需要而请求访问数据遵守安全规定和控制报告安全事件和隐患76公开内部使用秘密机密/绝密缺省数据分类与防护信息分类不同级别的数据应设立不同的防护策略,授权不同的访问人群77对重要、敏感的文件进行加密:l
23、 Office文档加密 信息分类与防护加密l 压缩加密78数据分类与防护备份u重要信息系统应支持全备份、差量备份和增量备份u任何部门如果需要备份服务,应该经主管批准,并向IT部门提出申请uIT部门提供备份所需的技术支持和必要的培训u申请者应该填写申请表,其中包含对介质、数据容量、属主和操作者的需求u属主应该确保备份成功并定期检查日志,根据需要,实施测试以验证备份效率和效力79防范病毒与恶意代码病毒发作基本表现:鼠标自动处于繁忙状态未进行任何操作硬盘灯闪烁运行速度明显变慢出现“杀毒”字样强行关闭计算机突然死机或重启产生特定的图案安装病毒软件更新病毒库不打开.exe的邮件附件在打开文件前做病毒扫描
24、不下载盗版软件 或视频不要点击即时消息的链接不要浏览不健康网站支 招80个人计算机安全1、加强帐户控制(为系统帐户加上密码)(检测系统更新提高系统发全级别按需设置自动播放)3、开启IE安全防护(清除IE各种记录使用InPrivate模式浏览启用XXS筛选器)2、重要安全设置要设好4、用好自带防火墙(关闭网络发现)5、谨慎共享资源(自定义防火墙设置)81网络扫描网络嗅探拒绝服务欺骗用户系统后门恶意程序黑客常用手段:关闭或删除不需要的服务关闭无用网络端口、共享设置强口令并定期更改防火墙安全级别设为中高使用安全性能高的路由器或防火墙,针对不同协议攻击方式配置好相应的策略。支 招个人计算机安全防黑客攻
25、击82个人计算机安全无线上网安全无线网络技术提供了便捷性和移动性,但也给网络带来了风险。如果下载速度明显减缓,且查看“网上邻居”发现有用户处于联机状态,判定有人在“蹭网”。有时,电脑会自动提示“您的IP地址分配有冲突”,也是在提示有人在共享您的无线网络。支 招设置防火墙WAP加密隐藏SSID绑定MAC无需使用时停用无线网83口令安全口令至少应该由8个字符组成口令应该是大小写字母、数字、特殊字符的混合体口令应该定期更改,设定口令最长有效期为不超出3个月口令输入错误限定5次不要使用名字、生日等个人信息和字典单词选择易记强口令的几个窍门: 口令短语:找到一个生僻但易记的短语或句子(可以摘自歌曲、书本
26、或电影),然后创建它的缩写形式,其中包括大写字母和标点符号等。 字符替换:用数字或符号来替换选定的字母,可提高口令的复杂性。 键盘模式:使用Z字型或者多条短线,并结合数字和特殊字符的组合。84防范社会工程学u利用社会交往(通常是在伪装之下)从目标对象那里获取信息u 例如: 电话呼叫服务中心 在走廊里的聊天 冒充服务技术人员u 著名黑客Kevin Mitnick更多是通过社会工程来渗透网络的,而不是高超的黑客技术85防范社会工程学要做到以下几点: 不要轻易泄漏敏感信息,例如口令和账号 在相信任何人之前,先校验其真实的身份 不要违背公司的安全策略,哪怕是你的上司向你索取个人敏感信息(著名黑客Kev
27、in Mitnick最擅长的就是冒充一个很焦急的老板,利用一般人好心以及害怕上司的心理,向系统管理员索取口令) 不要忘了,所谓的黑客,更多时候并不是技术多么出众,而是社会工程的能力比较强防范社会工程学86改掉如下坏习惯网银资金欺诈案件常见原因使用弱密码登陆钓鱼网站被木马病毒盗取密码登录正确网站防止钓鱼使用安全的浏览器工具栏使用软键盘输密码不在电脑里保存登录信息保管好网银证书和密码养成良好的网银使用习惯支 招网银使用安全网络诈骗的种类以购物为由实施诈骗;以QQ或移动飞信等即时聊天工具发布虚假中奖信息实施的诈骗;以假借网上提供“六合彩特码”实施的诈骗;网上冒充亲朋好友诈骗;冒充合法网站实施购物诈骗
28、。不要轻易相信聊天工具的“中奖”信息;通过正规网站和渠道了解彩票发行规则;谨慎辨认“好友”身份;不要轻易相信卖家发过来的任何链接。支 招防范网络诈骗89手机诈骗四大类型:短信诈骗、语音诈骗、境外声讯诈骗、冒充熟人诈骗。谨防手机病毒:手机病毒就是靠软件系统漏洞来入侵手机的。现在很多具备上网及下载功能的手机,特别是智能手机都可能被手机病毒入侵。手机病毒的传播形式:蓝牙、下载、短信、彩信。手机病毒的危害:话费损失、隐私泄露、功能损坏、电池耗电量增大、导致手机硬件损坏无法使用。支 招1.密码保护设定PIN码或开机密码让手机受到保护2.慎用公网避免使用WiFi自动链接和链接开放性网络3.慎装应用下载第三
29、方应用前审慎考虑4.小心授权程序请求授权时详细阅读授权内容5.防毒软件安装有良好声誉且有效的防毒和防入侵软件手机安全防范90安全提示:在使用了微信的LBS功能后,通过“清除位置信息并退出”可以清除自己当前的地理位置信息,位置信息清除后用户信息将不会在“附近的人”中显示。微信使用安全91 如果不想被陌生人打扰,用户还可以关闭“可通过QQ号找到我”、“可通过手机号搜索到我”按钮,这样就可以避免不必要的骚扰了。安全提示:此项尤为重要,陌生人可以通过查看你的微信空间获得隐私信息。微信使用安全92 微信泄露隐私沈阳一女孩遭杀害 “允许陌生人看照片”功能最好关掉。 2013年6月,一名歹徒利用查看微信附近的人等功能,掌握了沈阳一名岁女孩的活动规律及相貌,尾随女孩将其杀害后抛尸。 微信使用安全93总结从一点一滴做起!安全从自身做起!
