信息安全意識培訓2什么是安全意識？

安全意識（Securityawareness），就是能夠認知可能存在的安全問題，明白安全事故對組織的危害，恪守正確的行為方式，并且清楚在安全事故發生時所應采取的措施。3我們的目標建立對信息安全的敏感意識和正確認識掌握信息安全的基本概念、原則和慣例了解信息安全管理體系（ISMS）概況清楚可能面臨的威脅和風險遵守IDC各項安全策略和制度在日常工作中養成良好的安全習慣最終提升IDC整體的信息安全水平4制作說明

本培訓材料由IDC信息安全管理體系實施組織安全執行委員會編寫，并經安全管理委員會批準，供IDC內部學習使用，旨在貫徹IDC信息安全策略和各項管理制度，全面提升員工信息安全意識。5現實教訓追蹤問題的根源掌握基本概念了解信息安全管理體系建立良好的安全習慣重要信息的保密信息交換及備份軟件使用安全計算機及網絡訪問安全人員及第三方安全管理移動計算與遠程辦公工作環境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質安全管理警惕社會工程學應急響應和業務連續性計劃法律法規尋求幫助目錄6嚴峻的現實！慘痛的教訓！第1部分7

在線銀行——一顆定時炸彈。最近，南非的Absa銀行遇到了麻煩，它的互聯網銀行服務發生一系列安全事件，導致其客戶成百萬美元的損失。Absa銀行聲稱自己的系統是絕對安全的，而把責任歸結為客戶所犯的安全錯誤上。Absa銀行的這種處理方式遭致廣泛批評。那么，究竟是怎么回事呢？

一起國外的金融計算機犯罪案例8前因后果是這樣的……Absa是南非最大的一家銀行，占有35%的市場份額，其Internet銀行業務擁有40多萬客戶。

2003年6、7月間，一個30歲男子，盯上了Absa的在線客戶，向這些客戶發送攜帶有間諜軟件（spyware）的郵件，并成功獲得眾多客戶的賬號信息，從而通過Internet進行非法轉帳，先后致使10個Absa的在線客戶損失達數萬法郎。該男子后來被南非警方逮捕。9間諜軟件——eBlaster

這是一個商業軟件（），該軟件本意是幫助父母或老板監視孩子或雇員的上網活動該軟件可記錄包括電子郵件、網上聊天、即使消息、Web訪問、鍵盤操作等活動，并將記錄信息悄悄發到指定郵箱商業殺毒軟件一般都忽略了這個商業軟件本案犯罪人就是用郵件附件方式，欺騙受害者執行該軟件，然后竊取其網上銀行賬號和PIN碼信息的10我們來總結一下教訓Absa聲稱不是自己的責任，而是客戶的問題安全專家和權威評論員則認為：Absa應負必要責任，其電子銀行的安全性值得懷疑

Deloitte安全專家RoganDawes認為：Absa應向其客戶灌輸更多安全意識，并在易用性和安全性方面達成平衡

IT技術專家則認為：電子銀行應采用更強健的雙因素認證機制（口令或PIN＋智能卡），而不是簡單的口令我們認為：Absa銀行和客戶都有責任11國內金融計算機犯罪的典型案例

一名普通的系統維護人員，輕松破解數道密碼，進入郵政儲蓄網絡，盜走83.5萬元。這起利用網絡進行金融盜竊犯罪的案件不久前被甘肅省定西地區公安機關破獲……

————

人民日報，2003年12月時間：2003年11月地點：甘肅省定西地區臨洮縣太石鎮郵政儲蓄所人物：一個普通的系統管理員12怪事是這么發生的……2003年10月5日，定西臨洮縣太石鎮郵政儲蓄所的營業電腦突然死機工作人員以為是一般的故障，對電腦進行了簡單的修復和重裝處理

17日，工作人員發現打印出的報表儲蓄余額與實際不符，對賬發現，13日發生了11筆交易，83.5萬異地帳戶是虛存（有交易記錄但無實際現金）緊急與開戶行聯系，發現存款已從蘭州、西安等地被取走大半儲蓄所向縣公安局報案公安局向定西公安處匯報公安處成立專案組，同時向省公安廳上報

……13當然，最終結果不錯……

經過縝密的調查取證，我英勇機智的公安干警終于一舉抓獲這起案件的罪魁禍首——

會寧郵政局一個普通的系統維護人員張某14事情的經過原來是這樣的……③登錄到永登郵政局永登臨洮④破解口令，登錄到臨洮一個郵政儲蓄所①會寧的張某用假身份證在蘭州開了8個活期帳戶②張某借工作之便，利用筆記本電腦連接電纜到郵政儲蓄專網會寧⑤向這些帳戶虛存83.5萬，退出系統前刪掉了打印操作系統⑥最后，張某在蘭州和西安等地提取現金15到底哪里出了紕漏……張某29歲，畢業于郵電學院，資質平平，談不上精通計算機和網絡技術郵政儲蓄網絡的防范可謂嚴密：與Internet物理隔離的專網；配備了防火墻；從前臺分機到主機經過數重密碼認證16可還是出事了，郁悶呀問題究竟出在哪里？思考中……哦，原來如此——17看來，問題真的不少呀……

張某私搭電纜，沒人過問和阻止，使其輕易進入郵政儲蓄專網臨洮縣太石鎮的郵政儲蓄網點使用原始密碼，沒有定期更改，而且被員工周知，致使張某輕松突破數道密碼關，直接進入了操作系統問題出現時，工作人員以為是網絡系統故障，沒有足夠重視

……18總結教訓……

最直接的教訓：漠視口令安全帶來惡果！歸根到底，是管理上存在漏洞，人員安全意識淡薄安全意識的提高刻不容緩！19一起證券行業計算機犯罪案例

憑借自己的耐心和別人的粗心，股市“菜鳥”嚴某非法侵入“股神通”10個單位和個人的股票賬戶，用別人的錢磨練自己的炒股技藝……

————

青年報，2003年12月時間：2003年6月地點：上海人物：26歲的待業青年嚴某20事情是這樣的……2003年3月，嚴父在家中安裝開通“股神通”業務，進行即時股票交易。

2003年6月的一天，嚴某偶得其父一張股票交易單，上有9位數字的賬號，遂動了“瞎貓碰死老鼠”的念頭：該證券公司客戶賬號前6位數字是相同的，只需猜后3位；而6位密碼，嚴某鎖定為“123456”。嚴某”埋頭苦干“，第一天連續輸入了3000個數字組合，一無所獲。第二天繼續，很快”奇跡“出現，嚴某順利進入一個股票賬戶。利用相同的方法，嚴某又先后侵入了10余個股票賬戶。嚴某利用別人的賬戶，十幾天里共買進賣出1000多萬元股票，損失超過14萬元，直到6月10日案發。嚴某被以破壞計算機信息系統罪依法逮捕。21問題出在哪里……

嚴某不算聰明，但他深知炒股的多是中老年人，密碼設置肯定不會復雜。首先，作為股民，安全意識薄弱

證券公司，在進行賬戶管理時也存在不足：初始密碼設置太簡單，沒提醒客戶及時修改等

作為設備提供商，“股神通”軟件設計里的安全機制太簡單脆弱，易被人利用22總結教訓……

又是口令安全的問題！又是人的安全意識問題！再次強調安全意識的重要性！23一個與物理安全相關的典型案例時間：2002年某天夜里地點：A公司的數據中心大樓人物：一個普通的系統管理員

一個普通的系統管理員，利用看似簡單的方法，就進入了需要門卡認證的數據中心……

————

來自國外某論壇的激烈討論，2002年24情況是這樣的……A公司的數據中心是重地，設立了嚴格的門禁制度，要求必須插入門卡才能進入。不過，出來時很簡單，數據中心一旁的動作探測器會檢測到有人朝出口走去，門會自動打開數據中心有個系統管理員張三君，這天晚上加班到很晚，中間離開數據中心出去夜宵，可返回時發現自己被鎖在了外面，門卡落在里面了，四周別無他人，一片靜寂張三急需今夜加班，可他又不想打擾他人，怎么辦？25一點線索：昨天曾在接待區慶祝過某人生日，現場還未清理干凈，遺留下很多雜物，哦，還有氣球……26聰明的張三想出了妙計……①張三找到一個氣球，放掉氣②張三面朝大門入口趴下來，把氣球塞進門里，只留下氣球的嘴在門的這邊③張三在門外吹氣球，氣球在門內膨脹，然后，他釋放了氣球……④由于氣球在門內彈跳，觸發動作探測器，門終于開了27問題出在哪里……

如果門和地板齊平且沒有縫隙，就不會出這樣的事

如果動作探測器的靈敏度調整到不對快速放氣的氣球作出反應，也不會出此事

當然，如果根本就不使用動作探測器來從里面開門，這種事情同樣不會發生28總結教訓……

雖然是偶然事件，也沒有直接危害，但是潛在風險既是物理安全的問題，更是管理問題切記！有時候自以為是的安全，恰恰是最不安全！物理安全非常關鍵！29類似的事件不勝枚舉

蘇州某中學計算機教師羅某，只因嫌準備考試太麻煩，產生反感情緒，竟向江蘇省教育廳會考辦的考試服務器發動攻擊，他以黑客身份兩次闖入該考試服務器，共刪除全省中小學信息技術等級考試文件達100多個，直接經濟損失達20多萬元，后被警方抓獲。某高校招生辦一臺服務器，因設置網絡共享不加密碼，導致共享目錄中保存的有關高考招生的重要信息泄漏，造成了惡劣的社會影響。屢屢出現的關于銀行ATM取款機的問題。

……30你碰到過類似的事嗎？31CERT關于安全事件的統計——摘自CERT/CC的統計報告2003年12月32過去6個月的統計。Source:RiptechInternetSecurityThreatReport.January2002

醫療機構應用服務制造商非贏利機構媒體機構能源制造金融機構高科技不同行業遭受攻擊的平均次數33CSI/FBI對安全事件損失的統計——摘自CSI/FBI的統計報告2003年12月34威脅和弱點問題的根源第2部分35我們時刻都面臨來自外部的威脅

信息資產拒絕服務邏輯炸彈黑客滲透內部人員威脅木馬后門病毒和蠕蟲社會工程系統Bug硬件故障網絡通信故障供電中斷失火雷雨地震36人是最關鍵的因素

判斷威脅來源，綜合了人為因素和系統自身邏輯與物理上諸多因素在一起，歸根結底，還是人起著決定性的作用正是因為人在有意（攻擊破壞）或無意（誤操作、誤配置）間的活動，才給信息系統安全帶來了隱患和威脅提高人員安全意識和素質勢在必行！37黑客攻擊，是我們聽說最多的威脅！38AtomicPalertscustomerstobreach—

CNetNMar20,2001Nasdaqdefaced..andotherseasonalgraffiti

—

SecurityWDec27,2000APSiteHacked

—

InteractiveWeekMar20,2001FrenchGroupClaimsDoubleClickhackedfor2years—

EcommerceTimes,Mar28,2001

ElectronicHolyWarHitsD.C.Pro-IsraelSite

—

Newsbytes,Nov3,2000

NTremainshackers'favorite

—

VNUnet,Jan10,2001

HackershitU.S.,U.K.,Australiangovernmentsites-InfoWorldJan22,2001

Travelocityexposescustomerinformation

—

CNetJan22,2001

U.S.NavyHacked

—

SecurityW,March30,2001

LaxSecurityFoundinIRSElectronicFilingSystem—

LATImes,Mar15,2001

39世界頭號黑客——KevinMitnick

出生于1964年

15歲入侵北美空軍防務指揮系統，竊取核彈機密入侵太平洋電話公司的通信網絡入侵聯邦調查局電腦網絡，戲弄調查人員

16歲被捕，但旋即獲釋入侵摩托羅拉、Novell、Sun、Nokia等大公司與聯邦調查局玩貓捉老鼠的游戲

1995年被抓獲，被判5年監禁獲釋后禁止接觸電子物品，禁止從事計算機行業40黑客不請自來，乘虛而入踩點掃描破壞攻擊滲透攻擊獲得訪問權獲得控制權清除痕跡安裝后門遠程控制轉移目標竊密破壞41

踩點：千方百計搜集信息，明確攻擊目標

掃描：通過網絡，用工具來找到目標系統的漏洞

DoS攻擊：拒絕服務，是一種破壞性攻擊，目的是使資源不可用

DDoS攻擊：是DoS的延伸，更大規模，多點對一點實施攻擊

滲透攻擊：利用攻擊軟件，遠程得到目標系統的訪問權或控制權

遠程控制：利用安裝的后門來實施隱蔽而方便的控制

網絡蠕蟲：一種自動擴散的惡意代碼，就像一個不受控的黑客了解一些黑客攻擊手段很有必要42DoS攻擊示例——Smurf攻擊者冒充受害主機的IP地址，向一個大的網絡發送echorequest

的定向廣播包中間網絡的許多主機都作出響應，受害主機會收到大量的echoreply消息攻擊者受害者中間反彈網絡43DDoS攻擊模型

Internet

Intruder

Master

Master

Daemon

Daemon

Daemon

Daemon

Daemon

Daemon

Victim

44漏洞系統已打補丁的系統CodeRed蠕蟲制造者DDOSDDOSDDOSDDOSDDOSDDOSDDOSRandomlyAttack

RandomlyAttack

RandomlyAttack

Internet蠕蟲攻擊示例——CodeRed45威脅更多是來自公司內部

黑客雖然可怕，可更多時候，內部人員威脅卻更易被忽略，但卻更容易造成危害據權威部門統計，內部人員犯罪（或與內部人員有關的犯罪）占到了計算機犯罪總量的70%以上員工誤操作蓄意破壞公司資源私用46一個巴掌拍不響！外因是條件內因才是根本！47我們自身的弱點不容小視

技術弱點

操作弱點

管理弱點系統、程序、設備中存在的漏洞或缺陷配置、操作和使用中的缺陷，包括人員的不良習慣、審計或備份過程的不當等策略、程序、規章制度、人員意識、組織結構等方面的不足48人最常犯的一些錯誤

將口令寫在便簽上，貼在電腦監視器旁開著電腦離開，就像離開家卻忘記關燈那樣輕易相信來自陌生人的郵件，好奇打開郵件附件使用容易猜測的口令，或者根本不設口令丟失筆記本電腦不能保守秘密，口無遮攔，上當受騙，泄漏敏感信息隨便撥號上網，或者隨意將無關設備連入公司網絡事不關己，高高掛起，不報告安全事件在系統更新和安裝補丁上總是行動遲緩只關注外來的威脅，忽視企業內部人員的問題49想想你是否也犯過這些錯誤？50嘿嘿，這頓美餐唾手可得……嗚嗚，可憐我手無縛雞之力……威脅就像這只貪婪的貓如果盤中美食暴露在外遭受損失也就難免了51

信息資產對我們很重要，是要保護的對象外在的威脅就像蒼蠅一樣，揮之不去，無孔不入資產本身又有各種弱點，給威脅帶來可乘之機于是，我們面臨各種風險，一旦發生就成為安全事件時刻都應保持清醒的認識52我們需要去做的就是……嚴防威脅消減弱點應急響應保護資產熟悉潛在的安全問題知道怎樣防止其發生知道發生后如何應對53還記得消防戰略嗎？隱患險于明火！預防重于救災！54理解和鋪墊基本概念第3部分55

消息、信號、數據、情報和知識信息本身是無形的，借助于信息媒體以多種形式存在或傳播：存儲在計算機、磁帶、紙張等介質中記憶在人的大腦里通過網絡、打印機、傳真機等方式進行傳播信息借助媒體而存在，對現代企業來說具有價值，就成為信息資產：計算機和網絡中的數據硬件、軟件、文檔資料關鍵人員組織提供的服務具有價值的信息資產面臨諸多威脅，需要妥善保護Information什么是信息？56什么是信息安全？

采取措施保護信息資產，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統能夠連續、可靠、正常地運行，使安全事件對業務造成的影響減到最小，確保組織業務運行的連續性。57CIAonfidentialityntegrityvailabilityCIA謹記信息安全基本目標58企業管理者關注的是最終目標ConfidentialityIntegrityAvailabilityInformation59風險漏洞威脅控制措施安全需求資產價值信息資產防止利用ReduceIncreaseIndicateIncrease暴露具有Decrease符合對組織的影響信息安全關鍵因素及其相互關系60實現信息安全可以采取一些技術手段

物理安全技術：環境安全、設備安全、媒體安全

系統安全技術：操作系統及數據庫系統的安全性

網絡安全技術：網絡隔離、訪問控制、VPN、入侵檢測、掃描評估

應用安全技術：Email安全、Web訪問安全、內容過濾、應用系統安全

數據加密技術：硬件和軟件加密，實現身份認證和數據信息的CIA特性

認證授權技術：口令認證、SSO認證（例如Kerberos）、證書認證等

訪問控制技術：防火墻、訪問控制列表等審計跟蹤技術：入侵檢測、日志審計、辨析取證

防病毒技術：單機防病毒技術逐漸發展成整體防病毒體系

災難恢復和備份技術：業務連續性技術，前提就是對數據的備份61防火墻網絡入侵檢測病毒防護主機入侵檢測漏洞掃描評估VPN通道訪問控制62但關鍵還要看整體的信息安全管理

技術是信息安全的構筑材料，管理是真正的粘合劑和催化劑信息安全管理構成了信息安全具有能動性的部分，是指導和控制組織的關于信息安全風險的相互協調的活動現實世界里大多數安全事件的發生和安全隱患的存在，與其說是技術上的原因，不如說是管理不善造成的理解并重視管理對于信息安全的關鍵作用，對于真正實現信息安全目標尤其重要三分技術，七分管理！63務必重視信息安全管理加強信息安全建設工作64PDCA信息安全管理模型

根據風險評估結果、法律法規要求、組織業務運作自身需要來確定控制目標與控制措施。

實施所選的安全控制措施。

針對檢查結果采取應對措施，改進安全狀況。

依據策略、程序、標準和法律法規，對安全措施的實施情況進行符合性檢查。65可以參考的標準規范和最佳慣例ISO2700166安全性與方便性的平衡問題在方便性（convenience，即易用性）和安全性（security）之間是一種相反的關系提高了安全性，相應地就降低了方便性而要提高安全性，又勢必增大成本管理者應在二者之間達成一種可接受的平衡67

計算機安全領域一句格言：

“真正安全的計算機是拔下網線，斷掉電源，放在地下掩體的保險柜中，并在掩體內充滿毒氣，在掩體外安排士兵守衛。”這樣的計算機是沒法用了。絕對的安全是不存在的！68正確認識信息安全

安全不是產品的簡單堆積，也不是一次性的靜態過程，它是人員、技術、操作三者緊密結合的系統工程，是不斷演進、循環發展的動態過程69整體管理思路信息安全管理體系第4部分70

英國標準協會（BritishStandardsInstitute，BSI）制定的信息安全標準。由信息安全方面的最佳慣例組成的一套全面的控制集。信息安全管理方面最受推崇的國際標準。ISO27001是關于信息安全管理的標準71ISO27001標準包含兩個部分ISO17799:2005：信息安全管理實施細則（CodeofPracticeforInformationSecurityManagement），相當于一個工具包，體現了三分技術七分管理ISO27001：是建立信息安全管理系統（ISMS）的一套規范（SpecificationforInformationSecurityManagementSystems），詳細說明了建立、實施和維護信息安全