信息安全基礎(chǔ)培訓(xùn)文檔

1、第 0 頁(yè)管理部信息安全基礎(chǔ)培訓(xùn)文檔第 1 頁(yè)管理部培訓(xùn)目標(biāo)經(jīng)過(guò)本次培訓(xùn)之后，您將認(rèn)識(shí)到信息安全的重要性了解您的角色與責(zé)任知道您該做些什么付諸行動(dòng)!第 2 頁(yè)管理部目錄認(rèn)識(shí)身邊的信息安全威脅如何做好信息保護(hù)信息安全最佳實(shí)踐總結(jié)第 3 頁(yè)管理部目錄認(rèn)識(shí)身邊的信息安全威脅如何做好信息保護(hù)信息安全最佳實(shí)踐總結(jié)第 4 頁(yè)管理部信息安全的定義國(guó)際標(biāo)準(zhǔn)化組織（ISO）將信息安全定義為為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬 件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露，使系統(tǒng)能夠連續(xù)，正常運(yùn)行。你是如何對(duì)待家里鑰匙的？第 5 頁(yè)管理部信息安全威脅對(duì)公司的威脅網(wǎng)絡(luò)詐騙文件共享

2、資源濫用侵犯隱私社交網(wǎng)絡(luò)泄密數(shù)據(jù)泄露對(duì)信息系統(tǒng)的威脅病毒 蠕蟲 木馬間諜軟件 對(duì)個(gè)人的威脅網(wǎng)絡(luò)釣魚在線欺詐垃圾郵件侵犯隱私惡作劇第 6 頁(yè)管理部安全現(xiàn)狀信息安全事故傳統(tǒng)的重災(zāi)區(qū)是北美和歐洲但是，中國(guó)的信息安全事故愈演愈烈。source: /第 7 頁(yè)管理部安全現(xiàn)狀2011年，在企業(yè)信息安全事件造成影響的原因中，最嚴(yán)重的問(wèn)題是系統(tǒng)故障和惡意軟件，其中：系統(tǒng)故障或者數(shù)據(jù)損壞：25%惡意軟件/流氓軟件：23%相比2010年，中小企業(yè)受到員工錯(cuò)誤使用互聯(lián)網(wǎng)或者郵件造成的安全事故比例從2010年的9%上升到15%。source: PWC 2012 informat

3、ion-security-breaches-survey-technical-report第 8 頁(yè)管理部source: 瑞星2012年上半年中國(guó)信息安全報(bào)告安全現(xiàn)狀第 9 頁(yè)管理部安全現(xiàn)狀2011年，信息安全事件給企業(yè)造成直接或者間接的經(jīng)濟(jì)損失巨大，其中平均損失為：小型機(jī)構(gòu)：RMB 15萬(wàn)30萬(wàn)大型機(jī)構(gòu)：RMB 110萬(wàn)250萬(wàn)source: PWC 2012 information-security-breaches-survey-technical-report第 10 頁(yè)管理部致命的信任危機(jī)第 11 頁(yè)管理部案例1：DigiNotar因證書泄露事件倒閉2011年7月19日，總部設(shè)立在荷

4、蘭，頒發(fā)互聯(lián)網(wǎng)根證書的公司DigiNotar發(fā)現(xiàn)系統(tǒng)被攻擊，但是公司并沒(méi)有公布向使用該公司證書的瀏覽器制造者公開(kāi)消息，直到一個(gè)月之后的8月底，DigiNotar才承認(rèn)黑客從公司系統(tǒng)非法竊取了大量的SSL證書，其中包括 的一個(gè)證書，這個(gè)證書當(dāng)時(shí)已經(jīng)導(dǎo)致30萬(wàn)左右的伊朗用戶信息泄露。DigiNotar于2011年9月21日向荷蘭法院提交破產(chǎn)申請(qǐng)，正式開(kāi)始破產(chǎn)清算，預(yù)計(jì)損失330-480萬(wàn)美元。第 12 頁(yè)管理部案例2：1億信用卡賬戶 資料遭竊2009年1月，美國(guó)第6大支付處理公司Heartland稱，系統(tǒng)去年遭黑客入侵，但未知多少個(gè)賬戶資料被竊取。分析指，受影響賬戶可能高達(dá)1億個(gè)，規(guī)?；蚴敲绹?guó)史上

5、最大，被盜取的資料包括銀行卡號(hào)碼、卡到期日及網(wǎng)上銀行代碼，足以用作偽造假卡。Heartland要向Visa和萬(wàn)事達(dá)卡賠償約8.6億人民幣，以補(bǔ)償重新發(fā)卡的開(kāi)支。第 13 頁(yè)管理部安全事故分析source: Verizon 2011_Data_Breach_Investigations_Report_CN第 14 頁(yè)管理部安全事故分析最常見(jiàn)的成功攻擊：默認(rèn)密碼容易猜測(cè)的密碼偷取的登錄信息暴力破解后門/木馬系統(tǒng)無(wú)需驗(yàn)證source: Verizon data-breach-investigations-report-2012_en第 15 頁(yè)管理部日益嚴(yán)格的監(jiān)管和合規(guī)要求第 16 頁(yè)管理部目錄認(rèn)識(shí)

6、身邊的信息安全威脅如何做好信息保護(hù)信息安全最佳實(shí)踐總結(jié)第 17 頁(yè)管理部IT風(fēng)險(xiǎn)管理框架企業(yè)全面風(fēng)險(xiǎn)管理COSO ERMIT風(fēng)險(xiǎn)管理ITGI Risk IT Framework信息安全管理ISO27001/27002IT治理向理論框架IT治理與內(nèi)部控制框架COBITIT服務(wù)管理最佳實(shí)踐ITIL / ISO20000IT投資管理體系ITGI Val IT信息安全及相關(guān)管理框架第 18 頁(yè)管理部信息安全管理體系 (“ISMS”) 11個(gè)安全領(lǐng)域 39個(gè)控制目標(biāo) 133個(gè)控制活動(dòng)安全策略合規(guī)性信息安全事故管理業(yè)務(wù)持續(xù)性管理系統(tǒng)獲取開(kāi)發(fā)維護(hù)管理 物理環(huán)境安全信息安全組織 人力資源安全資產(chǎn)管理權(quán)限控制溝

7、通與運(yùn)營(yíng)管理ISO27001信息安全標(biāo)準(zhǔn)第 19 頁(yè)管理部信息安全的關(guān)鍵三分技術(shù)、七分管理從業(yè)務(wù)角度確定信息安全風(fēng)險(xiǎn)管理的必要性 Confidentiality 保密性 Integrity 完整性 Availability 可用性 人員 技術(shù) 流程第 20 頁(yè)管理部做好信息安全的重要因素-人員這兩堵墻有區(qū)別嗎？第 21 頁(yè)管理部做好信息安全的重要因素-人員“真倒霉，今天還有好多墻要砌”“我要建最漂亮的房子，加油！”第 22 頁(yè)管理部案例3：銀行員工販賣客戶信息央視315晚會(huì)曝光招商銀行、工商銀行、農(nóng)業(yè)銀行等 網(wǎng)上銀行“失竊案”，源于銀行內(nèi)部員工出售客戶信息。比如，招商銀行信用卡中心風(fēng)險(xiǎn)管理部貸

8、款審核員胡某向朱某出售個(gè)人信息300多份；中國(guó)工商銀行客戶經(jīng)理曹某通過(guò)中介向朱某出售高達(dá)2300多份；中國(guó)農(nóng)業(yè)銀行無(wú)錫支行董某向朱某出售多份儲(chǔ)戶信息。所有這些資料都成為犯罪分子的工具。朱某被抓住時(shí)，已造成受害人損失共計(jì)3000多萬(wàn)元。持卡人信息（客戶資料）是銀行、證券等金融相關(guān)行業(yè)企業(yè)重要資產(chǎn)，企業(yè)職員通過(guò)出售客戶資料非法獲利，已納入刑事犯罪范疇。第 23 頁(yè)管理部案例4：外包危機(jī)某電信公司設(shè)備技術(shù)外包維護(hù)人員姚某，在2006年6月8日至8月10日以維護(hù)設(shè)備為借口，先后6次進(jìn)入電信系統(tǒng)創(chuàng)建小靈通充值卡序列號(hào)偽造充值卡。在這段期間系統(tǒng)非正常制作了33.1萬(wàn)張充值卡，造成直接經(jīng)濟(jì)損失1600余萬(wàn)元

9、。除2000余張偽造的小靈通充值卡過(guò)期作廢外，其余均被消費(fèi)者使用。至次年2月，該公司核查數(shù)據(jù)時(shí)才發(fā)現(xiàn)。第 24 頁(yè)管理部做好信息安全的重要因素-流程行為導(dǎo)引對(duì)管理制度在操作層面上的細(xì)化明晰權(quán)責(zé)描述相關(guān)部門和角色的權(quán)力和職責(zé)防范風(fēng)險(xiǎn)增加控制環(huán)節(jié)，發(fā)揮獨(dú)立審核和評(píng)估作用，增加透明度第 25 頁(yè)管理部做好信息安全的重要因素-流程關(guān)于流程的小游戲第 26 頁(yè)管理部做好信息安全的重要因素-技術(shù)個(gè)人防火墻網(wǎng)絡(luò)防火墻入侵檢測(cè)滲透測(cè)試防病毒數(shù)據(jù)加密第 27 頁(yè)管理部案例5：黃金第一案利用中國(guó)工商銀行提供的黃金買賣交易系統(tǒng)，宋榮貴通過(guò)電話委托方式，短短十天內(nèi)買賣黃金超過(guò)2100千克，總金額達(dá)3.2億元，獲利21

10、00多萬(wàn)元，但很快被開(kāi)戶銀行以“不當(dāng)?shù)美睘橛蓪㈠X劃走，宋榮貴將銀行告上法庭，卻被銀行反訴。由于涉案金額巨大并挑戰(zhàn)諸多法律空白，此案被稱為“中國(guó)黃金第一案”。法官審理發(fā)現(xiàn)，宋榮貴在2006年6月29日至7月8日期間，是以一種叫“止損委托”的方式進(jìn)行的65筆買入交易，設(shè)定的委托買入價(jià)均低于當(dāng)時(shí)的銀行報(bào)價(jià)，違反了交易規(guī)則。實(shí)際上，銀行交易系統(tǒng)應(yīng)當(dāng)作出拒絕接受交易的判斷，但由于該系統(tǒng)存在漏洞，沒(méi)有作出正確判定，造成宋榮貴的交易沒(méi)有被系統(tǒng)發(fā)現(xiàn)，宋榮貴正是鉆了系統(tǒng)的空。第 28 頁(yè)管理部網(wǎng)路釣魚郵件(phishing)偽造發(fā)信方向用戶發(fā)送郵件欺騙用戶點(diǎn)擊進(jìn)入偽造的網(wǎng)站（如銀行）竊取用戶賬號(hào)和密碼按鍵輸入

11、記錄器(key-logger)可能木馬植入電腦記錄所有的鍵盤操作，記錄敏感信息：如賬號(hào)密碼，信用卡號(hào)碼等等通過(guò)網(wǎng)絡(luò)回傳給駭客木馬程序 (trojan)可能由釣魚郵件發(fā)起，誘騙用戶運(yùn)行接受駭客遠(yuǎn)程控制掃描硬盤上的文件，偷窺并能控制用戶的作偽造自身獲得用戶信任誘騙用戶運(yùn)行或登錄伺機(jī)竊取信息常見(jiàn)攻擊手段第 29 頁(yè)管理部發(fā)件人貌似無(wú)任何異常：中國(guó)農(nóng)業(yè)銀行網(wǎng)絡(luò)釣魚郵件示例收到銀行來(lái)信聲稱你的賬號(hào)有問(wèn)題，需要登錄網(wǎng)銀確認(rèn)賬號(hào)信息。網(wǎng)址為：https:/第 30 頁(yè)管理部點(diǎn)擊鏈接打開(kāi)網(wǎng)站后發(fā)現(xiàn)與真實(shí)的中國(guó)農(nóng)業(yè)銀行網(wǎng)站無(wú)異。但瀏覽器上的地址變成了：http:/點(diǎn)擊鏈接打開(kāi)網(wǎng)站后發(fā)現(xiàn)與真實(shí)網(wǎng)站無(wú)異誘騙用戶輸入

12、銀行卡卡號(hào)密碼等信息網(wǎng)絡(luò)釣魚郵件示例（續(xù)）第 31 頁(yè)管理部典型木馬程序 灰鴿子灰鴿子木馬運(yùn)行后，會(huì)自我復(fù)制到Windows目錄下，并自行將安裝程序刪除。同時(shí)修改注冊(cè)表，將病毒文件注冊(cè)為服務(wù)項(xiàng)實(shí)現(xiàn)開(kāi)機(jī)自啟。木馬程序還會(huì)注入所有的進(jìn)程中，隱藏自我，防止被殺毒軟件查殺。并且該木馬會(huì)自動(dòng)開(kāi)啟IE瀏覽器，以便與外界進(jìn)行通信，偵聽(tīng)黑客指令，在用戶不知情的情況下連接黑客指定站點(diǎn)，盜取用戶信息、下載其它特定程序。第 32 頁(yè)管理部H123456789H123456789*whatever駭客在網(wǎng)絡(luò)上的另一臺(tái)電腦上利用接收器獲得所有的鍵盤輸入記錄用戶在一臺(tái)已經(jīng)安裝有key-logger程序的電腦輸入網(wǎng)銀的賬號(hào)

13、和密碼按鍵輸入記錄器(Key-logger) 實(shí)例第 33 頁(yè)管理部下午好，我是新加坡信息技術(shù)部的XXX。我是電子郵件系統(tǒng)的管理員。請(qǐng)問(wèn)這里是XXXX分機(jī)嗎？攻擊者受害者對(duì)不起打攪了。因?yàn)榻裢碛幸粋€(gè)重要的系統(tǒng)升級(jí)，很可能會(huì)對(duì)香港的部分用戶造成影響。我們現(xiàn)在正在聯(lián)系所有可能被影響到的用戶，并幫他們手工重設(shè)密碼，使得他們可以正常登陸系統(tǒng)。為了幫您檢查您是否會(huì)受影響，您介意把您的用戶名告訴我嗎？是的當(dāng)然沒(méi)問(wèn)題。我的用戶名是 “susan.bean”.請(qǐng)確保明天我可以正常使用郵件系統(tǒng)，因?yàn)橛泻芏喙ぷ餍枰褂秒娮余]件。我現(xiàn)在的密碼是“XXXX”好的，讓我查看一下。很不幸，您的賬號(hào)會(huì)受到影響。為了確保您明

14、天能正常登錄系統(tǒng)，請(qǐng)您告訴我您現(xiàn)在的密碼，好讓我能重設(shè)您的賬號(hào)。好的.完成了！您的新密碼將是“12qwas”。請(qǐng)注意，新密碼明天才會(huì)生效。如果您遇到任何登陸相關(guān)的問(wèn)題，請(qǐng)聯(lián)系我們，電話號(hào)碼XX-XXXXXXXX。十分感謝您的配合，祝您愉快！多謝！社會(huì)工程攻擊(Social Engineering)第 34 頁(yè)管理部目錄認(rèn)識(shí)身邊的信息安全威脅如何做好信息保護(hù)信息安全最佳實(shí)踐總結(jié)第 35 頁(yè)管理部監(jiān)督安全制度組織架構(gòu)執(zhí)行推進(jìn)報(bào)告指標(biāo)體系KPI會(huì)議培訓(xùn)郵件視頻印刷品董事會(huì)高級(jí)管理層信息安全委員會(huì)首席安全官信息安全管理小組技術(shù)掃描報(bào)告內(nèi)控自我評(píng)估報(bào)告風(fēng)險(xiǎn)評(píng)估報(bào)告內(nèi)部審計(jì)報(bào)告外部評(píng)估報(bào)告人為指標(biāo)非人為指

15、標(biāo)內(nèi)部因素指標(biāo)外部因素指標(biāo)安全管理指標(biāo)信息安全制度信息安全標(biāo)準(zhǔn)信息安全流程操作指引技術(shù)工具關(guān)鍵組成關(guān)鍵活動(dòng)信息安全管理體系第 36 頁(yè)管理部我們應(yīng)該怎么做培養(yǎng)意識(shí)利知道如何去識(shí)別一個(gè)潛在的問(wèn)題用正確的判斷力掌握和實(shí)行良好的安全習(xí)慣在日常事務(wù)中將養(yǎng)成良好的習(xí)慣同時(shí)鼓勵(lì)其他人也這么做報(bào)告任何異常事件如果您發(fā)現(xiàn)了某件安全事件，通知經(jīng)理和安全中心第 37 頁(yè)管理部第 38 頁(yè)管理部第 39 頁(yè)管理部我們應(yīng)該怎么做 - 日常辦公提示辦公環(huán)境：佩帶員工通行證，詢問(wèn)身份不明的人員當(dāng)身份不明的人要求您開(kāi)門讓他進(jìn)來(lái)時(shí)，您有責(zé)任確認(rèn)他/她的身份和進(jìn)入目的發(fā)現(xiàn)可疑人物要及時(shí)報(bào)告安全官Office安全：對(duì)于敏感的of

16、fice文件進(jìn)行加密管理對(duì)于不希望拷貝和編輯的文件轉(zhuǎn)換成PDF格式第 40 頁(yè)管理部互聯(lián)網(wǎng)使用不與別人共享您的用戶名和密碼;不瀏覽與您業(yè)務(wù)無(wú)關(guān)的網(wǎng)站;不使用互聯(lián)網(wǎng)信箱或者其它存儲(chǔ)系統(tǒng)來(lái)發(fā)送或存儲(chǔ)機(jī)密信息;不隨便上傳和下載商業(yè)/共享軟件;設(shè)置防病毒軟件自動(dòng)更新功能;不隨意點(diǎn)擊鏈接；把證實(shí)的安全站點(diǎn)加入收藏夾，通過(guò)收藏夾訪問(wèn)；辨識(shí)官方網(wǎng)站我們應(yīng)該怎么做 - 日常辦公提示第 41 頁(yè)管理部打印/復(fù)制只打印或者復(fù)制所要求的份數(shù);如果打印機(jī)復(fù)印機(jī)塞紙，要取回可能留在機(jī)器中的復(fù)印件;檢查復(fù)印機(jī)附近區(qū)域是否有多余的復(fù)印件;保證在離開(kāi)復(fù)印機(jī)前已經(jīng)取回原件;如果打印機(jī)不工作，要從任務(wù)隊(duì)列中刪除打印任務(wù);將涉及敏

17、感數(shù)據(jù)的廢棄文件進(jìn)行粉碎處理。我們應(yīng)該怎么做 - 日常辦公提示第 42 頁(yè)管理部電子郵件在任何情況下不要把您的密碼泄漏給任何人;當(dāng)您離開(kāi)桌面時(shí)，記住退出登錄或者”Win+L”鎖定您的工作站;您可能從公司內(nèi)部或者外部收到包含有畫面、圖像、剪貼板、屏保程序或者其他應(yīng)用程序的郵件。除非這些郵件與業(yè)務(wù)相關(guān)，否則不要瀏覽、安裝，轉(zhuǎn)發(fā)或者保存它們;郵件中的附件要保存后并經(jīng)過(guò)掃描確認(rèn)沒(méi)有病毒后打開(kāi);盡量避免在郵件中寫沒(méi)有經(jīng)過(guò)加密處理的機(jī)密信息。我們應(yīng)該怎么做 - 日常辦公提示第 43 頁(yè)管理部我們應(yīng)該怎么做 - 日常辦公提示賬號(hào)和密碼安全不要使用姓名不要使用個(gè)人信息不要使用字典里的單詞同時(shí)使用字母和數(shù)字盡量使用特殊字符 (#&$)使用大小寫包含拼錯(cuò)的單詞最好使用8個(gè)字符每隔90天更改一次密碼不要重復(fù)以前用過(guò)的12個(gè)密碼不要將密碼記錄在便利貼并粘貼在公共區(qū)域LockD公布采用“ 暴力破解” 方式獲取密碼的時(shí)間長(zhǎng)度。利用一臺(tái)雙核心PC破解密碼由此可知，對(duì)于普通人而言，考慮到容易記憶以及安全性，八位密碼（數(shù)字大小寫字母）是最佳選擇。密碼組合方式密碼組合方