1、2022-8-10信息安全讲座信息安全讲座信息安全讲座信息安全讲座什么是信息安全1为什么需要信息安全2典型信息安全案例分析3安全基本原则4Contents信息安全讲座信息安全范围信息安全范围国家政府军事机密安全国家政府军事机密安全商业企业机密泄露商业企业机密泄露个人信息泄露个人信息泄露信息安全讲座v 信息安全是指信息信息安全是指信息网络网络的的硬件硬件、软件软件及其系统中及其系统中的数据受到保护,不受偶然的或者恶意的原因而的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。行,信息服务不中断。v 信息
2、安全是一门涉及计算机科学、信息安全是一门涉及计算机科学、网络技术网络技术、通通信技术信技术、密码技术密码技术、信息安全技术信息安全技术、应用数学应用数学、数论数论、信息论信息论等多种学科的综合性学科。等多种学科的综合性学科。什么是信息安全什么是信息安全信息安全讲座信息安全的重要性信息安全的重要性v 信息作为一种资源,它的普遍性、共享性、增值信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威系统或
3、信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。指信息的完整性、可用性、保密性和可靠性。v 信息安全是任何国家、政府、部门、行业都必须信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的息安全的要求和重点却是有区别的
4、 信息安全讲座信息安全的实现目标信息安全的实现目标v 真实性:对信息的来源进行判断,能对伪造来源的信息予真实性:对信息的来源进行判断,能对伪造来源的信息予以鉴别。以鉴别。v 保密性:保证机密信息不被窃听,或窃听者不能了解信息保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。的真实含义。v 完整性:保证数据的一致性,防止数据被非法用户篡改。完整性:保证数据的一致性,防止数据被非法用户篡改。v 可用性:保证合法用户对信息和资源的使用不会被不正当可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。地拒绝。v 不可抵赖性:建立有效的责任机制,防止用户否认其行为,不可抵赖性:建立有效的
5、责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。这一点在电子商务中是极其重要的。v 可控制性:对信息的传播及内容具有控制能力。可控制性:对信息的传播及内容具有控制能力。v 可审查性:对出现的网络安全问题提供调查的依据和手段可审查性:对出现的网络安全问题提供调查的依据和手段 信息安全讲座Contents什么是信息安全1为什么需要信息安全2典型信息安全案例分析3安全基本原则4信息安全讲座各种威胁方的分布百分比各种威胁方的分布百分比信息安全讲座各种威胁方的分布百分比各种威胁方的分布百分比v 独立黑客:黑客攻击越来越频繁,直接影响企业正常的业务运作!v 内部员工:1、信息安全意识薄弱的员
6、工误用、滥用等;、信息安全意识薄弱的员工误用、滥用等;2、越权访问,如:系统管理员,应用管理员越权访问、越权访问,如:系统管理员,应用管理员越权访问数据;数据;3、政治言论发表、非法站点的访问等;、政治言论发表、非法站点的访问等;4、内部不稳定、情绪不满的员工。如:员工离职带走、内部不稳定、情绪不满的员工。如:员工离职带走企业秘密,尤其是企业内部高层流动、集体流动等!企业秘密,尤其是企业内部高层流动、集体流动等!v 竞争对手:法制环境不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)!v 国外政府或机构:法制环境不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)!信息安全讲座企
7、业面临的主要信息安全问题企业面临的主要信息安全问题人员问题:人员问题:信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信息泄漏等问题特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感数据内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流动等技术问题:技术问题:病毒和黑客攻击越来越多、爆发越来越频繁,直接影响企业正常的业务运作法律方面法律方面网络滥用:员工发表政治言论、访问非法网站法制不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)信息安全讲座信息安全面临的威胁类型信息安全面临的威胁类型 网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻
8、辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息丢失、篡改、销毁篡改、销毁后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫信息安全讲座对信息安全问题产生过程的认识对信息安全问题产生过程的认识 环环境境威胁方资产资产系统漏洞管理漏洞物理漏洞威胁(破坏或滥用)利用工具通过信息安全讲座为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。-保家卫国保家卫国信息安全讲座举个例子:包里有10块钱,下班坐公交打瞌睡,可能小偷偷了而晚上没饭吃。用风险评估的概念来描述这个案例:资产=10块钱威胁=小偷弱点=打瞌睡暴露=晚上没
9、饭吃信息安全讲座 巡游五角大楼,登录克里姆林宫,进出全球所有巡游五角大楼,登录克里姆林宫,进出全球所有计算机系统,摧垮全球金融秩序和重建新的世界计算机系统,摧垮全球金融秩序和重建新的世界格局,谁也阻挡不了我们的进攻,我们才是世界格局,谁也阻挡不了我们的进攻,我们才是世界的主宰。的主宰。凯文凯文米特尼克米特尼克 信息安全讲座Contents什么是信息安全1为什么需要信息安全2典型信息安全案例分析3安全基本原则4信息安全讲座v 攻击的目的攻击的目的v纯粹为了个人娱乐纯粹为了个人娱乐v我能想到最浪漫的事我能想到最浪漫的事,就是入侵你的电脑就是入侵你的电脑 v -黑客语录黑客语录v为了利益为了利益v间
10、谍,商业间谍,国防,犯罪间谍,商业间谍,国防,犯罪信息安全讲座信息安全事件回放(一)信息安全事件回放(一)全国最大的网上盗窃通讯资费案全国最大的网上盗窃通讯资费案 某合作方工程师,负责某电信运营商的设备安装。获某合作方工程师,负责某电信运营商的设备安装。获得充值中心数据库最高系统权限得充值中心数据库最高系统权限 从从2005年年2月开始,复制出了月开始,复制出了14000个充值密码。获利个充值密码。获利380万。万。2005年年7月月16日才接到用户投诉说购买的充值卡无法日才接到用户投诉说购买的充值卡无法充值,这才发现密码被人盗窃并报警。充值,这才发现密码被人盗窃并报警。无法充值的原因是他最后
11、盗取的那批密码忘记了修改无法充值的原因是他最后盗取的那批密码忘记了修改有效日期有效日期 反思:目前是否有类似事件等待进一步发现反思:目前是否有类似事件等待进一步发现信息安全讲座信息安全事件回放(二)信息安全事件回放(二)v 北京北京ADSL断网事件断网事件 2006年年7月月12日日14:35左右,北京地区互联网大左右,北京地区互联网大面积断网。面积断网。事故原因:路由器软件设置发生故障,直接导事故原因:路由器软件设置发生故障,直接导致了这次大面积断网现象。致了这次大面积断网现象。事故分析:操作设备的过程中操作失误或软件事故分析:操作设备的过程中操作失误或软件不完善属于不完善属于“天灾天灾”,
12、但问题出现后不及时恢,但问题出现后不及时恢复和弥补,这就涉及人为的因素了,实际上这复和弥补,这就涉及人为的因素了,实际上这也是可以控制的。也是可以控制的。信息安全讲座信息安全事件回放(三)信息安全事件回放(三)v 希腊总理手机被窃听,沃达丰总裁遭传唤希腊总理手机被窃听,沃达丰总裁遭传唤 早在早在2004年雅典奥运会之前,希腊高官们的手年雅典奥运会之前,希腊高官们的手机便已开始被第三方窃听机便已开始被第三方窃听,2006年年3月份才被月份才被发现。发现。事故原因:沃达丰(希腊)公司的中央服务系事故原因:沃达丰(希腊)公司的中央服务系统被安装了间谍软件统被安装了间谍软件 信息安全讲座信息安全事件(
13、四)信息安全事件(四)v 两名电信公司员工利用职务上的便利篡改客户资两名电信公司员工利用职务上的便利篡改客户资料,侵吞料,侵吞ADSL宽带用户服务费宽带用户服务费76.7万余元万余元v 事故原因:内部安全管理缺失事故原因:内部安全管理缺失信息安全讲座其他信息安全事件(五)其他信息安全事件(五)v 网络广告:移动大客户资料,低价出售!有意者网络广告:移动大客户资料,低价出售!有意者联系联系 QQ:305410928 v 网络广告:移动金卡银卡大客户资料网络广告:移动金卡银卡大客户资料7万万v 客户投诉移动内部人员泄漏客户资料客户投诉移动内部人员泄漏客户资料v 某运营商员工利用工作便利散布反动政治
14、言论某运营商员工利用工作便利散布反动政治言论信息安全讲座安全威胁举例安全威胁举例 -Phishing-Phishing安全威胁安全威胁信息安全讲座v这是一波电脑病毒蔓延的狂潮。在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬、颔首敬香的“熊猫”除而不尽。反病毒工程师们将它命名为“尼姆亚”。它还有一个更通俗的名字“熊猫烧香”。安全威胁举例安全威胁举例 -熊猫烧香 信息安全讲座v 高级攻击技术高级攻击技术:道高一尺,魔高一丈道高一尺,魔高一丈身份认证身份认证防火墙防火墙入侵检测入侵检测日志分析日志分析信息安全讲座v 攻击技术演示攻击技术演示v 环境说明环境说明v 攻击方法攻击方法v发现弱
15、点发现弱点-漏洞攻击漏洞攻击-清除痕迹清除痕迹-留下留下后门后门信息安全讲座日常工作中安全威胁举例日常工作中安全威胁举例 没有及时更新安全补丁没有安装杀毒软件或者没有及时升级病毒库代码打开可疑的邮件和可疑的网站用户名密码过于简单薄弱把机密数据(如财务数据)带回家办公任意将自己笔记本电脑带入公司使用随便把自己的用户名密码告诉他人.信息安全讲座安全策略是安全防护体系的基础安全策略是安全防护体系的基础举个例子:举个例子:我国有完善的法律法规我国有完善的法律法规,公民需要遵守国家相关的法律、公民需要遵守国家相关的法律、法规来保证社会秩序的安定和平。法规来保证社会秩序的安定和平。国家国家 =公司公司 法
16、律法规法律法规 =安全策略安全策略 人是安全防护体系中最薄弱的环节 加强员工安全教育、提高网络安全意识 保家卫国保家卫国,人人有责人人有责信息安全讲座风险管理:识别、评估风险,并将这风险减少到一个可以接受的程度,并实行正确的机制以保持这种程度的风险的过程。安全没有百分之百 No 100%Security 每个系统都有其脆弱性,承担一定程度的风险。安全威胁带来的损失代价 安全措施本身的费用 信息安全讲座风险风险RISKRISKRISKRISKRISKRISKRISKRISK风险风险基本的风险基本的风险采取措施后剩余的风险采取措施后剩余的风险漏洞漏洞信息安全讲座安全防护体系需要采用多层、堡垒式防护
17、策略安全防护体系需要采用多层、堡垒式防护策略单一的安全保护往往效果不理想需要从多个层面解决安全问题(物理、通信、网络、系统、应用、人员、组织和管理)分层的安全防护成倍地增加了黑客攻击的成本和难度从而卓有成效地降低被攻击的危险,达到安全防护的目标。信息安全讲座v备份资料。记住你的系统永远不会是无懈可击的,灾难性的数据损失备份资料。记住你的系统永远不会是无懈可击的,灾难性的数据损失会发生在你身上会发生在你身上只需一条虫子或一只木马就已足够。只需一条虫子或一只木马就已足够。v选择很难猜的密码。不要没有脑子地填上几个与你有关的数字,在任选择很难猜的密码。不要没有脑子地填上几个与你有关的数字,在任何情况
18、下,都要及时修改默认密码。何情况下,都要及时修改默认密码。v安装防毒软件,并让它每天更新升级。安装防毒软件,并让它每天更新升级。v及时更新操作系统,时刻留意软件制造商发布的各种补丁,并及时安及时更新操作系统,时刻留意软件制造商发布的各种补丁,并及时安装应用。装应用。v在在IE或其它浏览器中会出现一些黑客鱼饵,对此要保持清醒,拒绝点或其它浏览器中会出现一些黑客鱼饵,对此要保持清醒,拒绝点击,同时将电子邮件客户端的自动脚本功能关闭。击,同时将电子邮件客户端的自动脚本功能关闭。v在发送敏感邮件时使用加密软件,也可用加密软件保护你的硬盘上的在发送敏感邮件时使用加密软件,也可用加密软件保护你的硬盘上的数
19、据。数据。信息安全讲座v安装一个或几个反间谍程序,并且要经常运行检查。安装一个或几个反间谍程序,并且要经常运行检查。v使用个人防火墙并正确设置它,阻止其它计算机、网络和网址与你的使用个人防火墙并正确设置它,阻止其它计算机、网络和网址与你的计算机建立连接,指定哪些程序可以自动连接到网络。计算机建立连接,指定哪些程序可以自动连接到网络。v关闭所有你不使用的系统服务,特别是那些可以让别人远程控制你的关闭所有你不使用的系统服务,特别是那些可以让别人远程控制你的计算机的服务,如计算机的服务,如RemoteDesktop、RealVNC和和NetBIOS等。等。v保证无线连接的安全。在家里,可以使用无线保
20、护接入保证无线连接的安全。在家里,可以使用无线保护接入WPA和至少和至少20个字符的密码。正确设置你的笔记本电脑,不要加入任何网络,个字符的密码。正确设置你的笔记本电脑,不要加入任何网络,除非它使用除非它使用WPA。要想在一个充满敌意的因特网世界里保护自己,。要想在一个充满敌意的因特网世界里保护自己,的确是一件不容易的事。你要时刻想着,在地球另一端的某个角落里,的确是一件不容易的事。你要时刻想着,在地球另一端的某个角落里,一个或一些毫无道德的人正在刺探你的系统漏洞,并利用它们窃取你一个或一些毫无道德的人正在刺探你的系统漏洞,并利用它们窃取你最敏感的秘密。希望你不会成为这些网络入侵者的下一个牺牲
21、品。最敏感的秘密。希望你不会成为这些网络入侵者的下一个牺牲品。信息安全讲座Contents什么是信息安全1为什么需要信息安全2典型信息安全案例分析3安全基本原则4信息安全讲座 可用性可用性 确保授权用户在需要时可以访问确保授权用户在需要时可以访问信息并使用相关信息资产信息并使用相关信息资产 完整性完整性 保护信息和信息的处理方法准保护信息和信息的处理方法准确而完整确而完整 机密性机密性 确保只有经过授权的人才能访确保只有经过授权的人才能访问信息问信息 安全的基本原则安全的基本原则信息安全讲座通过生活的事例来说明安全-就是保护属于自己的钱不被除自己以外的任何人拿走1首先你的钱你不希望别人知道,因
22、为那是你的 保密性;其次你不希望突然有一天发现自己的钱少了,原来有多少钱现在还是多少钱 完整性;你肯定希望自己随时都能随心所欲的用这笔钱 可用性;信息安全讲座中移动网络与信息安全体系建立紧迫性中移动网络与信息安全体系建立紧迫性v 李跃总的讲话李跃总的讲话 安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒,安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒,只讲我们自身的工作安全。只讲我们自身的工作安全。从全球及我们自身看,网络安全的形式非常严峻从全球及我们自身看,网络安全的形式非常严峻 进入网管中心或者通过网管中心进入各生产网元,一定要实行有进入网管中心或者通过网管中心进入各生产网元
23、,一定要实行有效的多次密码认证的管理,严格管理每一次进入。效的多次密码认证的管理,严格管理每一次进入。对内部人员的登陆要有严格的管理规定,后台操作要留有痕迹。对内部人员的登陆要有严格的管理规定,后台操作要留有痕迹。不能光管外人不管自己。(重在管理,其次是手段)不能光管外人不管自己。(重在管理,其次是手段)对外来人员的进入,我们一定要限人、限时、限范围,明确进入对外来人员的进入,我们一定要限人、限时、限范围,明确进入的时间、进入的目的。谁放厂家的人进去谁就要负责检查,并做的时间、进入的目的。谁放厂家的人进去谁就要负责检查,并做好记录,要承担起核心设备网元的管理权,出了问题要承担责任。好记录,要承
24、担起核心设备网元的管理权,出了问题要承担责任。信息安全讲座信息安全是信息服务提供商的核心保证信息安全是信息服务提供商的核心保证v 一个不安全的网络,将不可能提供高质量的信息一个不安全的网络,将不可能提供高质量的信息服务服务v 信息服务必须让客户可信任信息服务必须让客户可信任v 解决信息安全问题的关键解决信息安全问题的关键 建立一个完善的信息安全管理体系建立一个完善的信息安全管理体系信息安全讲座中移动网络与信息安全的目标中移动网络与信息安全的目标v为中国移动的网络与信息安全管理工作建立科学的体系,确保安全控为中国移动的网络与信息安全管理工作建立科学的体系,确保安全控制措施落实到位,为各项业务的安
25、全运行提供保障。制措施落实到位,为各项业务的安全运行提供保障。v目前公司网络与信息安全工作的重点集中在可用性、保密性和可审查目前公司网络与信息安全工作的重点集中在可用性、保密性和可审查性。性。可用性可用性完整性完整性保密性保密性防抵赖性防抵赖性可审查性可审查性l保证公司业务运作的连续性,即使在遭受意外的情况下也可迅速恢复l关键信息资产的使用都必须经过授权,只有得到相应授权的人员才可使用网络和保密信息l任何对公司业务运作的威胁和破坏行为都得到记录,并能跟踪和追查信息安全讲座中移动信息安全建设原则与总体策略中移动信息安全建设原则与总体策略安全管理流程、制度和安全控制安全管理流程、制度和安全控制措施
26、的设计应基于风险分析,而措施的设计应基于风险分析,而不应基于信任管理不应基于信任管理权限制衡和监督原则:安全管理权限制衡和监督原则:安全管理人员和网络管理人员、主机管理人员和网络管理人员、主机管理人员相互制约人员相互制约作为国家基础设施提供商,其网作为国家基础设施提供商,其网络与信息安全工作目前必须围绕络与信息安全工作目前必须围绕公司业务目标开展;公司业务目标开展;网络与信息安全管理工作应以风网络与信息安全管理工作应以风险管理为基础,在安全、效率和险管理为基础,在安全、效率和成本之间均衡考虑;成本之间均衡考虑;全面防范,突出重点全面防范,突出重点高层牵头高层牵头领导负责领导负责全员参与全员参与专人管理专人管理信息安全讲座信息安全管理组织体系模型信息安全管理组织体系模型信息安全决策层信息安全决策层决策、规划、保证机制信息安全管理层信息安全管理层安全管理、工程、保证管理信息安全操作层信息安全操作层运行、实施、保证建立垂直组织明确岗位职责贯彻分权制衡原则提高任职资格建立关键岗位人员选拔制度加强安全绩效考核信息安全讲座信息安全管理框架信息安全管理框架信息安全目标信息安全目标组织 信息资产分类与控制 职员的安全管理 物理环境的安全 业务连续性管理通信和操作安全访问控制系统开发与维护 检 查总体策略监控与审计2022-8-10信息安全讲座
