2015年9月IT部信息安全意識(shí)豪爵鈴木IT部信息安全主要內(nèi)容1234什么是信息安全？怎樣搞好信息安全？信息產(chǎn)業(yè)發(fā)展現(xiàn)狀信息安全基本概念23授之以魚不如授之以漁——產(chǎn)品更不如激之其欲——意識(shí)談笑間，風(fēng)險(xiǎn)灰飛煙滅。引言4什么是信息安全？5信息安全無處不在信息安全人員安全物理安全事件管理安全策略法律合規(guī)開發(fā)安全安全組織資產(chǎn)管理業(yè)務(wù)連續(xù)網(wǎng)絡(luò)安全訪問控制

一個(gè)軟件公司的老總，等他所有的員工下班之后，他在那里想：我的企業(yè)到底值多少錢呢？假如它的企業(yè)市值1億，那么此時(shí)此刻，他的企業(yè)就值2600萬。因?yàn)閾?jù)Delphi公司統(tǒng)計(jì)，公司價(jià)值的26%體現(xiàn)在固定資產(chǎn)和一些文檔上，而高達(dá)42%的價(jià)值是存儲(chǔ)在員工的腦子里，而這些信息的保護(hù)沒有任何一款產(chǎn)品可以做得到，所以需要我們建立信息安全管理體系，也就是常說的ISMS！6怎樣搞好信息安全？7信息在哪里？紙質(zhì)文檔電子文檔員工其他信息介質(zhì)小問題：公司的信息都在哪里？8小測(cè)試：9答案解釋：10這就是意識(shí)缺乏的兩大結(jié)癥！不看重大公司，更看重小家庭。1家公司2鈔票更順眼，信息無所謂?！?1思想上的轉(zhuǎn)變（一）

公司的錢，就是我的錢，只是先放在,老板那里~~~12WHY???信息安全搞好了信息安全搞砸了公司賺錢了領(lǐng)導(dǎo)笑了領(lǐng)導(dǎo)怒了公司賠錢了你就“跌”了你就“漲”了13思想上的轉(zhuǎn)變（二）

信息比鈔票更重要，更脆弱，我們更應(yīng)該保護(hù)它。14WHY???裝有100萬的保險(xiǎn)箱需要3個(gè)悍匪、公司損失：100萬裝有客戶信息的電腦只要1個(gè)商業(yè)間諜、1個(gè)U盤，就能偷走。公司損失：所有客戶！1輛車，才能偷走。15典型案例16安全名言17絕對(duì)的安全是不存在的絕對(duì)的零風(fēng)險(xiǎn)是不存在的，要想實(shí)現(xiàn)零風(fēng)險(xiǎn)，也是不現(xiàn)實(shí)的；計(jì)算機(jī)系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。18安全是一種平衡19安全是一種平衡安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平關(guān)鍵是實(shí)現(xiàn)成本利益的平衡信息的價(jià)值=使用信息所獲得的收益─獲取信息所用成本信息具備了安全的保護(hù)特性20信息的價(jià)值21信息安全的定義22信息安全基本目標(biāo)保密性，完整性，可用性CIAonfidentialityntegrityvailabilityCIA23信息生命周期創(chuàng)建傳遞銷毀存儲(chǔ)使用更改24信息產(chǎn)業(yè)發(fā)展迅猛截至２０１５年６月，互聯(lián)網(wǎng)普及率為４８．８％，我國(guó)網(wǎng)民總數(shù)已達(dá)６．６８億人。手機(jī)上網(wǎng)成為用戶上網(wǎng)的重要途徑，截至２０１５年６月，中國(guó)手機(jī)網(wǎng)民規(guī)模達(dá)５．９４億。中國(guó)網(wǎng)民通過臺(tái)式電腦和筆記本電腦接入互聯(lián)網(wǎng)比例分別為６８．４％和４２．５％。截至2014年12月底,中國(guó)網(wǎng)站總量達(dá)到364.7萬余個(gè)。目前，政府機(jī)構(gòu)都建立了85890個(gè)網(wǎng)站，電子政務(wù)正以改善公共服務(wù)為重點(diǎn)，在教育、醫(yī)療、住房等方面，提供便捷的基本公共服務(wù)。25信息安全令人擔(dān)憂內(nèi)地企業(yè)44%信息安全事件是數(shù)據(jù)失竊

普華永道曾發(fā)布的2008年度全球信息安全調(diào)查報(bào)告顯示，中國(guó)內(nèi)地企業(yè)在信息安全管理方面存在滯后，信息安全與隱私保障方面已被印度趕超。數(shù)據(jù)顯示，內(nèi)地企業(yè)44%的信息安全事件與數(shù)據(jù)失竊有關(guān)，而全球的平均水平只有16%。普華永道的調(diào)查顯示，中國(guó)內(nèi)地企業(yè)在改善信息安全機(jī)制上仍有待努力，從近年安全事件結(jié)果看，中國(guó)每年大約98萬美元的財(cái)務(wù)損失，而亞洲國(guó)家平均約為75萬美元，印度大約為30.8萬美元。此外，42%的中國(guó)內(nèi)地受訪企業(yè)經(jīng)歷了應(yīng)用軟件、系統(tǒng)和網(wǎng)絡(luò)的安全事件。26安全事件（1）27安全事件（2）熊貓燒香病毒的制造者-李俊

用戶電腦中毒后可能會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。同時(shí)，該病毒可以通過局域網(wǎng)進(jìn)行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng)，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓，無法正常使用，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。

28深度分析29這樣的事情還有很多……信息安全迫在眉睫?。?！關(guān)鍵是做好預(yù)防控制隱患險(xiǎn)于明火！預(yù)防重于救災(zāi)！31小故事，大啟發(fā)

——信息安全點(diǎn)滴首先要關(guān)注內(nèi)部人員的安全管理342007年11月，集安支行代辦員，周末晚上通過運(yùn)營(yíng)電腦，將230萬轉(zhuǎn)移到事先辦理的15張卡上，并一夜間在各ATM上取走38萬。周一被發(fā)現(xiàn)。

夜間銀行監(jiān)控設(shè)備未開放，下班后運(yùn)營(yíng)電腦未上鎖。

事實(shí)上，此前早有人提出過這個(gè)問題，只不過沒有得到重視。35典型案例：樂購(gòu)事件關(guān)于員工安全管理的建議

根據(jù)不同崗位的需求，在職位描述書中加入安全方面的責(zé)任要求，特別是敏感崗位在招聘環(huán)節(jié)做好人員篩選和背景調(diào)查工作，并且簽訂適當(dāng)?shù)谋Ｃ軈f(xié)議在新員工培訓(xùn)中專門加入信息安全內(nèi)容工作期間，根據(jù)崗位需要，持續(xù)進(jìn)行專項(xiàng)培訓(xùn)通過多種途徑，全面提升員工信息安全意識(shí)落實(shí)檢查監(jiān)督和獎(jiǎng)懲機(jī)制員工內(nèi)部轉(zhuǎn)崗應(yīng)做好訪問控制變更控制員工離職，應(yīng)做好交接和權(quán)限撤銷切不可忽視第三方安全38北京移動(dòng)電話充值卡事件關(guān)于第三方安全管理的建議

識(shí)別所有相關(guān)第三方：服務(wù)提供商，設(shè)備提供商，咨詢顧問，審計(jì)機(jī)構(gòu)，物業(yè)，保潔等識(shí)別所有與第三方相關(guān)的安全風(fēng)險(xiǎn)，無論是牽涉到物理訪問還是邏輯訪問在沒有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪問。應(yīng)該讓外部伙伴意識(shí)到其責(zé)任和必須遵守的規(guī)定在與第三方簽訂協(xié)議時(shí)特別提出信息安全方面的要求，特別是訪問控制要求對(duì)第三方實(shí)施有效的監(jiān)督，定期Review服務(wù)交付物理環(huán)境中需要信息安全在自助銀行入口刷卡器下方粘上一個(gè)黑色小方塊，叫“讀卡器”，罩上一個(gè)加長(zhǎng)的“殼”，把銀行的刷卡器和讀卡器一起藏在里面，一般人很難發(fā)現(xiàn)。取款人在刷卡進(jìn)門時(shí)，銀行卡上的全部信息就一下被刷進(jìn)了犯罪分子的讀卡器上。ATM詐騙三部曲您的供電系統(tǒng)真的萬無一失？是一路電還是兩路電？?jī)陕冯娛欠褚欢ㄊ莾蓚€(gè)輸電站？有沒有UPS？UPS能維持多久？有沒有備用發(fā)電機(jī)組？備用發(fā)電機(jī)是否有充足的油料儲(chǔ)備？另一個(gè)與物理安全相關(guān)的案例時(shí)間：2002年某天夜里地點(diǎn)：A公司的數(shù)據(jù)中心大樓人物：一個(gè)普通的系統(tǒng)管理員

一個(gè)普通的系統(tǒng)管理員，利用看似簡(jiǎn)單的方法，就進(jìn)入了需要門卡認(rèn)證的數(shù)據(jù)中心……

————

來自國(guó)外某論壇的激烈討論情況是這樣的……A公司的數(shù)據(jù)中心是重地，設(shè)立了嚴(yán)格的門禁制度，要求必須插入門卡才能進(jìn)入。不過，出來時(shí)很簡(jiǎn)單，數(shù)據(jù)中心一旁的動(dòng)作探測(cè)器會(huì)檢測(cè)到有人朝出口走去，門會(huì)自動(dòng)打開數(shù)據(jù)中心有個(gè)系統(tǒng)管理員張三君，這天晚上加班到很晚，中間離開數(shù)據(jù)中心出去夜宵，可返回時(shí)發(fā)現(xiàn)自己被鎖在了外面，門卡落在里面了，四周別無他人，一片靜寂張三急需今夜加班，可他又不想打擾他人，怎么辦？一點(diǎn)線索：昨天曾在接待區(qū)慶祝過某人生日，現(xiàn)場(chǎng)還未清理干凈，遺留下很多雜物，哦，還有氣球……聰明的張三想出了妙計(jì)……①?gòu)埲业揭粋€(gè)氣球，放掉氣②張三面朝大門入口趴下來，把氣球塞進(jìn)門里，只留下氣球的嘴在門的這邊③張三在門外吹氣球，氣球在門內(nèi)膨脹，然后，他釋放了氣球……④由于氣球在門內(nèi)彈跳，觸發(fā)動(dòng)作探測(cè)器，門終于開了問題出在哪里……

如果門和地板齊平且沒有縫隙，就不會(huì)出這樣的事

如果動(dòng)作探測(cè)器的靈敏度調(diào)整到不對(duì)快速放氣的氣球作出反應(yīng)，也不會(huì)出此事

當(dāng)然，如果根本就不使用動(dòng)作探測(cè)器來從里面開門，這種事情同樣不會(huì)發(fā)生總結(jié)教訓(xùn)……

雖然是偶然事件，也沒有直接危害，但是潛在風(fēng)險(xiǎn)既是物理安全的問題，更是管理問題切記！有時(shí)候自以為是的安全，恰恰是最不安全！物理安全非常關(guān)鍵！關(guān)于物理安全的建議

將敏感設(shè)備和信息放置在受控的安全區(qū)域所有到受控區(qū)域的入口都應(yīng)該加鎖、設(shè)置門衛(wèi)，或者以某種方式進(jìn)行監(jiān)視，并做好進(jìn)出登記如果進(jìn)出需要ID徽章，請(qǐng)隨身帶好，嚴(yán)禁無證進(jìn)入鑰匙和門卡僅供本人使用，不要交給他人使用嚴(yán)格控制帶存儲(chǔ)和攝像功能的手持設(shè)備的使用使用公共區(qū)域的打印機(jī)、傳真機(jī)、復(fù)印機(jī)時(shí)，一定不要遺留敏感文件

移動(dòng)電腦是惡意者經(jīng)常關(guān)注的目標(biāo)，一定要注意保護(hù)使用碎紙機(jī)，謹(jǐn)防敏感文件通過垃圾簍而泄漏如果發(fā)現(xiàn)可疑情況，請(qǐng)立即報(bào)告日常工作需特別留意信息安全51移動(dòng)介質(zhì)管控的要求與落實(shí)脫節(jié)“擺渡攻擊”

涉密網(wǎng)絡(luò)中的泄密現(xiàn)象關(guān)于口令的一些調(diào)查結(jié)果

一個(gè)有趣的調(diào)查發(fā)現(xiàn)，如果你用一條巧克力來作為交換，有70％的人樂意告訴你他（她）的口令有34％的人，甚至不需要賄賂，就可奉獻(xiàn)自己的口令另據(jù)調(diào)查，有79％的人，在被提問時(shí)，會(huì)無意間泄漏足以被用來竊取其身份的信息姓名、寵物名、生日、球隊(duì)名最常被用作口令平均每人要記住四個(gè)口令，大多數(shù)人都習(xí)慣使用相同的口令（在很多需要口令的地方）

33％的人選擇將口令寫下來，然后放