1、安全培训意识培训安全培训意识培训安全组安全组2009.3第1页,共70页。前言 安全培训的必要性 信息安全是靠人、技术和管理共同来实现的,人员的安全意识和安全技术水平将直接影响到整个信息安全体系建设的实施和有效利用。组织内信息安全的保障工作不仅和系统管理员、网络管理员的安全知识有关,而且和组织内全体员工,特别是组织中的领导者都有很大关系。因此,定期开展针对组织内不同对象的各种层次的安全培训是十分必要的。第2页,共70页。前言培训目的:安全培训的是一个跨专业的培训,它的培训对象应该面向企业中每一名员工。提高整个组织普遍的安全意识和人员安全防护能力,使组织员工充分了解既定的安全策略。通过培训可以改
2、变中心员工对信息安全的态度,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题。第3页,共70页。议程 安全意识的重要性安全意识的重要性 网管中心安全策略简介网管中心安全策略简介安全操作技巧与常识安全操作技巧与常识第4页,共70页。议程一安全意识的重要性安全意识的重要性网管中心安全策略简介网管中心安全策略简介安全操作技巧与常识安全操作技巧与常识第5页,共70页。信息安全基础 信息安全要解决的问题.(、和)保密性:简单地说就是保密。间谍影片把它称作“”(最高机密)。实际上确实是如此。只有那些有权看这些信息的人才能接触到这些信息。因此,要在纸上写上这些内容,阻止
3、其他人偷窥,对这些内容加密或者使用访问控制机制。完整性:确保信息不被内部人员修改或者篡改或者被意外地修改,不管这些信息是程序还是数据。银行对这个问题特别小心。可用性:所有的系统和信息资源必须能够按照机构的需求启动和运行。拒绝服务攻击秘而不宣。第6页,共70页。信息安全基础信息面临的风险:1、病毒:信息的完整性与可用性2、黑客:信息的保密性3、系统:信息的保密性与可用性4、人:安全操作流程 安全意识人是信息安全最薄弱的环节用户拥有接触数据的密码黑客可以通过工具取得你的密码,破解密码非常容易不安全的密码可使整个系统被攻破第7页,共70页。安全意识的重要性互连网安全现状病毒泛滥黑客攻击工具普及、技术
4、水平要求降低投资逐年加大,但收效甚微急需立法、完善健全相关法律第8页,共70页。信息安全基础网管网安全现状1、用户数目接近1k;2、各类生产终端、网元等近2k;3、每年发生的病毒事件100+台次;4、用户密码丢失或遗忘近1K人次;5、存在域外无法控制的终端;6、许多人使用默认口令;7、少数人安全意识薄弱;第9页,共70页。安全意识的重要性2006年十大病毒排行年十大病毒排行第10页,共70页。安全意识的重要性通讯网安全现状 通讯安全问题:大家都有手机,请问胡主席、温总理敢用手机打电话吗?无线通讯系统,、都是不安全的。国际标准中有3个加密算法:A3、A8、A5,但美国出口到中国的系统中不含3个加
5、密算法,其密码出口相当于军火出口,要国防部批准。手机通话等于向全世界广播“全球通”。现在有这样的设备,很小,几百元可以买到,只要输入对方手机号,就可听到所有通话内容。所有的无线通讯都可以监听,所以千万不要通过手机做案、行贿授贿。关键是手机中没有安全模块。即使加上了也可以破译。称安全保密好,其实使用的技术是60年代的,叫扩频技术,海军、潜艇也使用,原理:把固定的通讯频率扩展到无限大,根据码子进行扩和还原,谁有了码就可以监听,而的码子在美国卡根公司,并没有出口给中国。全球定位系统用的就是技术。卫星通讯也不安全,几个法论功分子就搞定了。第11页,共70页。安全意识的重要性人=意识 是最重要的一环 意
6、识决定行为 行为决定结果10分安全3分技术+7分管理第12页,共70页。安全意识的重要性日本佐世保海军基地“朝雪”号驱逐舰信息泄露事件 事件回放:该舰上负责对外联络和通信事务的电信官海曹长违反管理规定,把军舰上的机密数据拷贝到个人电脑上,当他在家中用电脑下载音乐时,遭到木马攻击,所有个人文件被电脑黑客获取,并发布到互联网上,至此日、美海岛作战计划浮出水面。国外有关专家指出,此次泄密事件影响很大,各国的情报机关均能够从这些文件中推测出该舰的真实战斗力。据称,这是日本防卫厅有史以来最大的泄密灾难,日本首相“小犬”称之为“这是一件失信于全体国民的大事”。第13页,共70页。安全意识的重要性事件反思:
7、一向以纪律严明、管理规范的日本自卫队竟会发生如此重大的失泄密事件,人们在震惊之余,对其深层次原因产生了不少思考。究其根本问题,就是涉密人员的安全观念淡薄、保密意识差。因此,在信息化建设快速发展,信息系统应用日益广泛的大环境下,必须把做好人的工作,做好人员的安全意识工作,因为人是信息安全保密的第一道防线和最关键环节。第14页,共70页。安全意识的重要性3个U盘搞掉一个企业 事件回放:06年5月,有一些网络罪犯试图用恶意软件入侵某一企业,但他们发现,这个机构的物理安全架构非常健全,通过互联网链接入侵也不太可能。最终,他们想到了一个办法:买了3个64M的U盘,安装恶意软件,然后把U盘扔到这个企业办公
8、大楼的停车场。结果,该企业有员工捡到了U盘,并好奇地把它插进了办公室里的电脑,于是这个恶意软件通过接口攻击了员工的电脑,进而影响了公司的整个网络。第15页,共70页。安全意识的重要性事件反思:人的安全意识;终端安全的重要性;防范社会工程学攻击;第16页,共70页。安全意识案例三31岁工程师入侵北京移动盗窃380万 事件回放:31岁的程稚瀚利用他为西藏移动做技术时使用的密码(此密码自程稚瀚离开后一直没有更改),轻松进入了西藏移动的服务器。通过西藏移动的服务器,程稚瀚又跳转到了北京移动数据库,取得了数据库的最高权限,并通过读取数据库日志文件,反推破译出密码。从2005年3月至7月,程稚瀚先后4次侵
9、入北京移动数据库,修改充值卡的时间和金额,将已充值的充值卡状态改为未充值,共修改复制出上万个充值卡密码。他还将盗出的充值卡密码通过淘宝网出售,共获利380余万元。直到2005年7月,由于一次“疏忽”,程稚瀚将一批充值卡售出时,忘了修改使用期限,使用期限仍为90天。购买到这批充值卡的用户因无法使用便投诉到北京移动,北京移动才发现有6600张充值卡被非法复制,立即报警。2005年8月24日,程稚瀚在深圳被抓获,所获赃款全部起获。第17页,共70页。安全意识的重要性事件反思一:个人的安全意识 一念之差从一个月薪万元的白领沦为一文不名的阶下囚,而且还得熬过12年,进去时31岁,出来时已是43岁,一个男
10、人事业的黄金期就这样错过了,旁人都感到惋惜,更何况自己的父母妻子,所以人在关键时刻是否能把握住自己不是一瞬间的事,而是一个长期积累的过程,行成于思毁于随,意识决定行为,行为决定结果,如果平时不注意提升自己的意识水平,到了关键时候将很难把握住自己。第18页,共70页。安全意识的重要性反思二:企业的安全意识 这个案件之所以会发生,最重要的原因就在于西藏移动公司缺乏健全的安全管理制度,维护人员缺乏安全意识,这才给了案犯可乘之机。而案犯竟然可以从西藏的系统侵入北京的数据库,北京移动花重金安装的网络安全系统却没有发挥作用,凭的是什么呢?就凭一个密码,一个几年都没改过的密码。从这个案例我们可以看出,安全意
11、识不但决定着个人的前途也影响着企业的命运,所以奉劝大家无论在什么事的时候都要三思而行,更不要小看你们手中的那一个小小的密码。在你的手中它可能不算什么,但到了黑客手里,却可以用它来翻天覆地。第19页,共70页。安全意识的重要性 小结:技术本身实际上是信息安全体系里最不重要的部分了。不管一项技术有多先进,都只不过是辅助实现信息安全的手段而已。我们并不是认为技术不重要,但在信息安全的架构里,它一定要在好的信息安全治理的基础上,信息安全归根到底是管理和治理层面的问题。尤其是对人的管理是安全管理体系中最重要的,人的安全意识水平决定着企业的安全管理水平。第20页,共70页。议程二安全意识的重要性安全意识的
12、重要性网管中心安全策略简介网管中心安全策略简介 安全操作技巧与常识安全操作技巧与常识第21页,共70页。网管中心安全理念安全理念安全是个过程 安全是有相对的安全策略反映着人权、文化安全是一种服务安全体系的建设实质是安全文化建设第22页,共70页。网管中心安全策略帐户安全策略终端安全策略 补丁、防毒、防火墙、外设管理、系统策略互连网访问策略移动办公安全策略文档策略(1G、极重要文档存放)邮件策略安全管理制度第23页,共70页。帐户安全策略网管帐户号能做什么?-身份1、收发邮件;2、上博客、;3、查看各种企业信息;4、打电话;5、发短信/彩信6、上互连网;7、其它各种授权访问的资源第24页,共70
13、页。帐户安全策略使用网管帐户应注意的问题1、帐户唯一性,禁止共用;2、帐户重名的处理;3、帐户禁用/锁定/有效期;4、帐户审计;5、帐户绑定手机;6、相片、生日等个性信息;第25页,共70页。密码策略第26页,共70页。帐户策略:帐户锁定策略第27页,共70页。帐户问题申告申告 问题描述清晰:锁定?密码错误?问题描述清晰:锁定?密码错误?帐户与终端无关性帐户与终端无关性 帐户不能用时如何发申告?帐户不能用时如何发申告?、帐户的关系、帐户的关系第28页,共70页。帐户更改帐户密码的方法更改帐户密码的方法解除帐户锁定的方法解除帐户锁定的方法:编辑短信发送到编辑短信发送到02485681611便可便
14、可立即解锁立即解锁第29页,共70页。设定密码的技巧不包含全部或部分的用户帐户名不包含全部或部分的用户帐户名 长度至少为长度至少为8个字符个字符 包含来自以下四个类别中的三个的字符:包含来自以下四个类别中的三个的字符:英文大写字母(从英文大写字母(从 A 到到 Z)英文小写字母(从英文小写字母(从 a 到到 z)10 个基本数字(从个基本数字(从 0 到到 9)非字母字符(例如,非字母字符(例如,!、$、#、%)更改或创建密码时,会强制执行复杂性要求。更改或创建密码时,会强制执行复杂性要求。第30页,共70页。终端安全策略 终端的重要性 病从口入-终端是网络安全的第一道防线;终端安全影响着网络
15、安全;第31页,共70页。终端安全策略终端托管终端组终端外设禁用;取消用户管理权限;禁止安装非标准程序;强制锁屏;日常维护问题:防毒、补丁安全组审计终端安全属性;第32页,共70页。互连网访问策略 由安全组统一控制 不同角色拥有不同的访问访问;禁止访问公网邮箱、信息发布等;可浏览的文件格式:;代理由策略统一部署;综合信息站点;学习类站点;互连网资源变更申请第33页,共70页。移动办公策略 拨号笔记本 双因素认证 网关路由/权限控制第34页,共70页。文档策略个人文档漫游;存储空间限制;1G个人文档绝对保密;第35页,共70页。邮件策略 邮箱大小限制;100M 附件大小限制;10M 附件格式限制
16、:禁止等可执行格式 附件主题、附件内容/关键字过滤;邮件监控与审计 网管功能扩充:短信(群发)/彩信功能集成第36页,共70页。网管中心安全相关制度及标准网管中心安全保密制度网管中心远程接入安全保密规定网管中心口令管理规定网管中心计算机病毒防治管理制度网管中心互连网使用管理制度网管中心拨号笔记本电脑使用制度网管中心终端安全检查标准详情请参阅:第37页,共70页。议程三 安全意识的重要性安全意识的重要性 网管中心安全策略简介网管中心安全策略简介 安全操作技巧与常识安全操作技巧与常识第38页,共70页。主要内容:口令安全终端安全防毒安全上网安全邮件安全数据安全笔记本安全手机安全出差安全 第39页,
17、共70页。口令安全1、不使用默认口令或空口令;2、不要把密码写在纸上或贴在计算机上;3、不要拿自己名字、生日、电话号码作密码;4、避免使用字典上有的词汇当密码;5、不要使用弱口令字典上有的密码;6、经常更改;7、用口令词替换口令字;8、防范社会工程学第40页,共70页。终端安全1、操作系统一定要格式;2、C盘不要放数据文件;3、系统防护:防毒、防漏、防盗、防黑;4、关闭服务和端口;5、关闭U盘等外存设备的自动运行功能;6、禁用不用或无用帐户;7、管理员帐户一定要强口令;8、不要设置共享文件夹(最小授权)第41页,共70页。防毒安全1、终端一定要安装防毒软件;2、让它保持及时更新;3、发生隔离失
18、败时,请先断网,然后通知安全管理员;4、当心木马;第42页,共70页。上网安全1、警惕网络钓鱼;2、网络注册不要提供真实信息;3、下载软件要到正规则站点下载;4、下载视频时,提防的文件类型;5、在公共场所上网时,不要保存登录密码,下网后要及时清空;6、在点击链接前,请将鼠标悬浮在链接上,查看浏览器左下角的状态栏,可以看到真正的链接。7第43页,共70页。网络钓鱼一是发送电子邮件,以虚假信息引诱用户中圈套;二是建立假冒网上银行、网上证券网站,骗取用户账号密码实施盗窃;三是利用虚假的电子商务进行诈骗;四是利用木马和黑客技术等手段窃取用户信息后实施盗窃活动;五是利用用户弱口令等漏洞破解、猜测用户账号
19、和密码。同时,还通过手机短信、进行各种各样的“网上钓鱼”不法活动,利用部分用户贪图方便,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金。第44页,共70页。网络钓鱼案例仿冒工行、招行等金融网站假冒腾迅客服骗取号第45页,共70页。网络钓鱼案例 06年10月份左右,许多用户都收到了一封冒充招商银行名义的邮件,该邮件以对账、核实账户消费记录等名义要求客户登录招行网站查询详情,并提供招行网站的超级链接,如果点击链接就会打开一个冒充招商银行的页面。该网页不仅从页面布局及内容方面仿冒得很像,足以以假乱真,而且域名也很具有欺骗性。该网站的域名是“95
20、555”,真招行网站的域名是“”,“”是招行的英文缩写,而“95555”是使用招行账户的用户都非常熟悉的招行电话银行号码,不法分子将与95555组合在一起,就会让用户不会对它产生怀疑,具有较强的欺骗性。用户往往误认为自己进入了招行的真正网站,其实用户所造访的不过是一个经过精心设计的假冒网站而已。第46页,共70页。网络钓鱼案例第47页,共70页。网络钓鱼案例首先,正规的工行网上银行用户登录界面的网址应该是,:,是以:开头,而这家钓鱼网站由于没有应用该技术只是以:(:)开头,真假一眼即可判断。其次,真正的工商银行网站的右下角有北京市工商局授权的“工商”红盾标志(经营性网站备案信息),点击可以验证
21、网站身份及企业相关信息。其他如招行采用的是由经深圳市公安局公共信息网络安全监察分局备案的“网安”标志。第三,骗子伪造的发信者邮件地址为,而工行公布的邮件地址为。第48页,共70页。网络钓鱼案例95555 第49页,共70页。网络钓鱼案例近日,一个假冒腾讯公司的钓鱼网站./,正在利用大肆散播诈骗信息。该钓鱼网站从客服电话、领奖人信息到公证证书一应俱全,对于对腾讯网址比较陌生的网民,基本很难辨别真伪。由于该钓鱼网站制作完善、获奖人照片、公证证书等信息应有尽有,所以短短几日,就造成了大量用户上当受骗,严重威胁着广大网民的网络资产安全,此次假冒的钓鱼事件,波及范围之广、经济损失之惨重,堪称07年首宗重
22、大网络钓鱼案件。据专家介绍,该钓鱼网站主要以信息的形式通知用户获得惊喜大奖,并指引用户登陆网站./进行领奖,从而让用户一步步掉入骗子预先设计好的陷阱!第50页,共70页。网络钓鱼案例钓鱼网站首先伪装成腾讯公司的客服,用户名设为10000,并申请添加其为好友。第51页,共70页。网络钓鱼案例添加成功后,立刻向广大用户发送诈骗信息。第52页,共70页。网络钓鱼案例用户一旦被消息中所提到的大奖所吸引,并登录网站./,将出现下图所示窗口。第53页,共70页。网络钓鱼案例按照提示,输入验证码。第54页,共70页。网络钓鱼案例按确定后,网站将内出现详细的获奖信息、获奖人的照片以及公证证书等。第55页,共7
23、0页。网络钓鱼案例假冒的公证证书 第56页,共70页。网络钓鱼-应对方法 1、认真核对网址,看是否与真正网址一致,最好能将工行等网上银行的网址加入到“收藏夹”中,不要采用超级链接方式间接访问网上银行网站。2、科学设置和保护好账号密码,不要选诸如身份证号码、出生日期、电话号码等作为密码,建议用字母、数字混合密码,尽量避免在不同系统使用同一密码;为个人网上银行设置专门密码(区别于存折、银行卡取款密码等);任何情况下,不要轻易将个人账号(卡号)、密码、身份证等个人重要信息告诉别人,不要相信任何通过电子邮件、短信、电话、等方式索要卡号和密码的行为。3、避免在公共场所(如网吧、公共图书馆等)和公用的计算
24、机上使用网上交易系统。正确使用工行“口令卡”、U盾等网银安全工具,做好交易记录。对网上银行、网上证券等平台办理的转账和支付等业务做好记录,定期查看“历史交易明细”和打印业务对账单,如发现异常交易或差错,立即与工商银行联系,拨打95588客户服务热线查询。4、加强计算机安全管理。使用网银前应按要求下载相关安全控件;不要轻易下载或点击一些来历不明的软件或邮件;安装防火墙和防病毒软件,并经常升级;经常给系统打补丁,堵塞软件漏洞等等。5、对异常情况提高警惕,如不小心在陌生的网址上输入了账户和密码,并遇到类似“系统维护”之类提示时,应立即拨打工商银行的客户服务热线95588进行确认。如发现资料被盗,应立
25、即修改相关交易密码或进行银行卡、证券交易卡挂失;发现网上银行资金被盗,应立即向公安机关报案。第57页,共70页。邮件安全(1)1、经常删除无用的邮件,这点很重要,我们每个人的邮箱都有空间限制,目前是100M,当邮箱满时,您自己不能收发任何信件,并且也无法删除,只能找管理员解决,很费时费力,尤其是在紧急时更是影响个人使用,所以要经常删除过时的邮件,尤其是无用的邮件更要随时删除。2、邮件尽量用汉语主题;并大概说明本邮件的内容。现在很多邮件病毒都使用英语主题,如果我们都使用汉语主题,再加上只有我们内部人才会使用的语言,这样可以在很大程度上避免点击含毒邮件。3、不要轻易打开几乎从未给你发过邮件的人发来
26、的邮件,包括内部员工。很多邮件病毒在感染一个终端时,会搜索当前用户的通讯录,并以当前用户的邮箱随机发送含毒邮件,麻痹他人意识,以为是内部人发来的。但这种邮件一般都是英文主题,诸如:.等,这样很容易识别。第58页,共70页。邮件安全(2)4、不要在邮件中传递密码,特别是在主题中,这样可以防止别人用心的人看到;5、不要轻率地将自己网管邮箱地址发布到互连网。我们的邮箱都使用共同的尾缀,一些“垃圾邮件生产者”会根据邮箱尾缀进行姓名穷举,散发垃圾邮件;6、取消自动预览方式;第59页,共70页。数据安全重要文件加上口令;文件夹加密;重要文件不要存储在移动介质上;第60页,共70页。笔记本安全 笔记本:一方
27、面移动性、方便性,另一方面也有丢失、抢劫的风险 造成泄密事件。启动保护管理员口令磁盘加密文件/文件夹加密()第61页,共70页。手机安全手机安全重要短信看后立即删除电话号码的存储不要透露出关系不用时关闭蓝牙手机防毒/防黑第62页,共70页。手机安全最近出现一款叫作“X卧底”的手机间谍软件,这种软件如果被安装在手机上,就可以窃取该手机收发的所有短消息、通话记录和手机上的通讯录,并且把这些数据通过手机上网后发送到指定的服务器供查询。购买该间谍软件的人首先在该软件网站注册,当需要查看“X卧底”所作的记录时,就用注册时的帐户在该网站登录,很快就能看到所窃取的电话记录,包括全部接听和拔打的电话及其电话号
28、码、通话时间、持续时间、联系人姓名(手机里的电话本也已经被记录下来)等;所有短信也都祥细地显示了短信内容、收发时间、对方电话号码及姓名。专家称,该软件最初源于泰国一家公司提供的软件。该软件需要下载后安装在手机里面才能够运行,目前只有10多款手机能够安装,平时接打电话和收发短信不会感染这种程序,但是拥有蓝牙功能的手机在接收来历不明的程序时要小心在意。第63页,共70页。手机安全第64页,共70页。出差安全事件回放 新疆公司工程师10月4日在乌鲁木齐海德酒店洗手间遭到抢劫,头部受伤,昏迷5天后去世。留下新婚5个月的妻子和肚子里面4个月的小孩。8月在北京天伦皇朝酒店北电公司员工被人跟随进入房间,用枪
29、指吓捆绑后抢劫。第65页,共70页。几点安全忠告1、在你不确定时,一定要选择“N”;2、在你不确认密码是否泄露时,一定要更改;3、千万不要使用默认密码,不论它是否健壮;4、停车时不要忘了拉手刹锁屏;5、确定发生入侵事件时,记住先断网线;6、收到中奖邮件时,千万保持冷静;7、当很多人说你给他们发了乱七八糟邮件,而你确定自己没发过时,请及时通知管理员,将你的邮箱禁用;8、最好用口令词代替口令字;第66页,共70页。安全是一种服务安全为您提供了哪些服务?帐户保护文件防护终端防护病毒防治预警信息订阅:远程接入详情请访问:第67页,共70页。安全是一种服务第68页,共70页。培训结束第69页,共70页。演讲完毕,谢谢观看!第70页,共70页。