1、目 录 登录到登录到永登邮政局永登邮政局永登永登临洮临洮 破解口令,破解口令,登录到登录到临洮一个邮政储蓄所临洮一个邮政储蓄所 会宁的张某用假身份证会宁的张某用假身份证在兰州开了在兰州开了8个活期帐户个活期帐户 张某借张某借工作之便,工作之便,利用笔记本利用笔记本电脑连接电电脑连接电缆到邮政储缆到邮政储蓄专网蓄专网会宁会宁 向这些帐户虚存向这些帐户虚存83.5万,退万,退出系统前删掉了打印操作系统出系统前删掉了打印操作系统 最后,张某在兰州最后,张某在兰州和西安等地提取现金和西安等地提取现金安全意识的提高刻不容缓!安全意识的提高刻不容缓!再次强调安全意识的重要性!再次强调安全意识的重要性!物理
2、安全非常关键!物理安全非常关键!你碰到过类似的事吗?你碰到过类似的事吗?过去6个月的统计。Source:Riptech Internet Security Threat Report.January 2002 医疗机构 应用服务制造商 非赢利机构 媒体机构 能源制造 金融机构高科技 拒绝服务拒绝服务逻辑炸弹逻辑炸弹黑客渗透黑客渗透内部人员威胁内部人员威胁木马后门木马后门病毒和蠕虫病毒和蠕虫社会工程社会工程系统系统BugBug硬件故障硬件故障网络通信故障网络通信故障供电中断供电中断失火失火雷雨雷雨地震地震提高人员安全意识和素质势在必行!提高人员安全意识和素质势在必行!黑客攻击,是我们黑客攻击,是
3、我们听说最多的威胁!听说最多的威胁!AtomicP alerts customers to breach CNetNMar 20,2001Nasdaq defaced.and other seasonal graffiti SecurityW Dec 27,2000AP Site Hacked Interactive WeekMar 20,2001French Group Claims DoubleClick hacked for 2 years Ecommerce Times,Mar 28,2001 Electronic Holy War Hits D.C.Pro-Israel Site N
4、ewsbytes,Nov 3,2000 NT remains hackers favorite VNUnet,Jan 10,2001 Hackers hit U.S.,U.K.,Australian government sites-InfoWorld Jan 22,2001 Travelocity exposes customer information CNet Jan 22,2001 U.S.Navy Hacked SecurityW,March 30,2001 Lax Security Found in IRS Electronic Filing System LA TImes,Mar
5、 15,2001 N 出生于1964年N 15岁入侵北美空军防务指挥系统,窃取核弹机密N 入侵太平洋电话公司的通信网络N 入侵联邦调查局电脑网络,戏弄调查人员N 16岁被捕,但旋即获释N 入侵摩托罗拉、Novell、Sun、Nokia等大公司N 与联邦调查局玩猫捉老鼠的游戏N 1995年被抓获,被判5年监禁N 获释后禁止接触电子物品,禁止从事计算机行业攻击者冒充受害主机的IP地址,向一个大的网络发送echo request 的定向广播包中间网络的许多主机都作出响应,受害主机会收到大量的echo reply消息漏洞系统漏洞系统已打补丁的系统已打补丁的系统蠕虫制造者蠕虫制造者Internet员工误
6、操作员工误操作蓄意破坏蓄意破坏公司资源私用公司资源私用一个巴掌拍不响!一个巴掌拍不响!外因是条件外因是条件 内因才是根本!内因才是根本!想想你是否也犯过想想你是否也犯过这些错误?这些错误?嘿嘿,这顿美餐唾手可得呜呜,可怜我手无缚鸡之力威胁就像这只贪婪的猫威胁就像这只贪婪的猫如果盘中美食暴露在外如果盘中美食暴露在外遭受损失也就难免了遭受损失也就难免了严防威胁严防威胁消减弱点消减弱点应急响应应急响应保护资产保护资产熟悉潜在的安全问题熟悉潜在的安全问题知道怎样防止其发生知道怎样防止其发生知道发生后如何应对知道发生后如何应对 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机
7、等方式进行传播 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服务风险风险漏洞漏洞威胁威胁控制措施控制措施安全需求安全需求资产价值资产价值防止防止ReduceIncreaseIndicateIncrease暴露具有Decrease符合符合u 物理安全技术物理安全技术:环境安全、设备安全、媒体安全u 系统安全技术系统安全技术:操作系统及数据库系统的安全性u 网络安全技术网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估u 应用安全技术应用安全技术:Email安全、Web访问安全、内容过滤、应用系统安全u 数据加密技术数据加密技术:硬件和软件加密,实现身份认证和数据信息
8、的CIA特性u 认证授权技术认证授权技术:口令认证、SSO认证(例如Kerberos)、证书认证等u 访问控制技术访问控制技术:防火墙、访问控制列表等u 审计跟踪技术审计跟踪技术:入侵检测、日志审计、辨析取证u 防病毒技术防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系u 灾难恢复和备份技术灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份三分技术,七分管理!绝对的安全是不存在的!绝对的安全是不存在的!u 英国标准协会(British Standards Institute,BSI)制定的信息安全标准。u 由信息安全方面的最佳惯例组成的一套全面的控制集。u 信息安全管理方面最受推崇的国
9、际标准。信息安全组织建设规定信息安全组织建设规定信息资产分类管理程序信息资产分类管理程序信息交换管理程序信息交换管理程序信息安全培训管理程序信息安全培训管理程序人力资源管理程序人力资源管理程序法律法规符合性管理规定法律法规符合性管理规定安全事件管理程序安全事件管理程序工作环境安全管理规定工作环境安全管理规定系统开发与维护管理程序系统开发与维护管理程序病毒防范策略病毒防范策略第三方安全管理策略第三方安全管理策略访问控制方针访问控制方针网络使用安全管理规定网络使用安全管理规定用户管理规定用户管理规定信息备份策略信息备份策略业务持续性管理程序业务持续性管理程序信息安全审核管理程序信息安全审核管理程序 信息安全管理委员会 信息安全执行组 事件响应小组(IRT)信息安全管理组 任命/委托 代表/汇报 领导 汇报 信息安全审核组 领导 领导 汇报 汇报
