信息安全意识培训经典版.ppt

* * * * * * * * * * * * 人员威胁：故意破坏和无意失误，内部人员和外部人员 系统威胁：系统、网络或服务出现的故障 环境威胁：电源故障、污染、液体泄漏、火灾等 自然威胁：洪水、地震、台风、雷电等 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * CERT/CC：CERT Coordination Center是属于Carnegie Mellon University的一个服务注册商标，CERT代表computer security incident response team，最早源于美国国防部对软件工程协会（Software Engineering Institute SEI）的资助项目 迄今为止，统计在案的安全事件已经达到297,318起（从1988年到现在） 2003年的统计数字只是前三个季度的 * * Computer Security Institute（CSI）是致力于服务和培训信息、计算机及网络安全专家的全球领先的组织 CSI/FBI Computer Crime and Security Survey，是CSI协同FBI一起举办的权威的安全调查。 2003年的调查对象是530家公司，牵涉到高科技、制造业、通信、运输、金融、政府等行业。 调查显示，有56％的响应者承认自己公司发生过非法使用的事件，所有事件造成的损失总量达到$201,797,340（前一年度，这个数字是$455Million） * 人最常犯的一些错误 将口令写在便签上，贴在电脑监视器旁 开着电脑离开，就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件，好奇打开邮件附件 使用容易猜测的口令，或者根本不设口令 丢失笔记本电脑 不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息 随便拨号上网，或者随意将无关设备连入公司网络 事不关己，高高挂起，不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁，忽视企业内部人员的问题 * 想想你是否也犯过这些错误？ * 嘿嘿，这顿美餐唾手可得…… 呜呜，可怜我手无缚鸡之力…… 威胁就像这只贪婪的猫 如果盘中美食暴露在外 遭受损失也就难免了 * 信息资产对我们很重要，是要保护的对象 外在的威胁就像苍蝇一样，挥之不去，无孔不入 资产本身又有各种弱点，给威胁带来可乘之机 于是，我们面临各种风险，一旦发生就成为安全事件 时刻都应保持清醒的认识 * 我们需要去做的就是 …… 严防威胁 消减弱点 应急响应 保护资产 熟悉潜在的安全问题 知道怎样防止其发生 知道发生后如何应对 * 还记得消防战略吗？ 隐患险于明火！ 预防重于救灾！ * 理解和铺垫 基本概念 第3部分 * 消息、信号、数据、情报和知识 信息本身是无形的，借助于信息媒体以多种形式存在或传播： 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产： 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服务 具有价值的信息资产面临诸多威胁，需要妥善保护 Information 什么是信息？ * 什么是信息安全？ 采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。 * C I A onfidentiality ntegrity vailability CIA 谨记信息安全基本目标 * 企业管理者关注的是最终目标 Confidentiality Integrity Availability Information * 风险 漏洞 威胁 控制措施 安全需求 资产价值 信息资产 防止 利用 Reduce Increase Indicate Increase 暴露 具有 Decrease 符合 对组织的影响 信息安全关键因素及其相互关系 * 实现信息安全可以采取一些技术手段 物理安全技术：环境安全、设备安全、媒体安全 系统安全技术：操作系统及数据库系统的安全性 网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估 应用安全技术：Email安全、Web访问安全、内容过滤、应用系统安全 数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA特性 认证授权技术：口令认证、SSO认证（例如Kerberos）、证书认证等 访