2015年9月IT部信息安全意識豪爵鈴木IT部信息安全主要內容1234什么是信息安全？怎樣搞好信息安全？信息產業發展現狀信息安全基本概念23授之以魚不如授之以漁——產品更不如激之其欲——意識談笑間，風險灰飛煙滅。引言4什么是信息安全？5信息安全無處不在信息安全人員安全物理安全事件管理安全策略法律合規開發安全安全組織資產管理業務連續網絡安全訪問控制

一個軟件公司的老總，等他所有的員工下班之后，他在那里想：我的企業到底值多少錢呢？假如它的企業市值1億，那么此時此刻，他的企業就值2600萬。因為據Delphi公司統計，公司價值的26%體現在固定資產和一些文檔上，而高達42%的價值是存儲在員工的腦子里，而這些信息的保護沒有任何一款產品可以做得到，所以需要我們建立信息安全管理體系，也就是常說的ISMS！6怎樣搞好信息安全？7信息在哪里？紙質文檔電子文檔員工其他信息介質小問題：公司的信息都在哪里？8小測試：9答案解釋：10這就是意識缺乏的兩大結癥！不看重大公司，更看重小家庭。1家公司2鈔票更順眼，信息無所謂。〉11思想上的轉變（一）

公司的錢，就是我的錢，只是先放在,老板那里~~~12WHY???信息安全搞好了信息安全搞砸了公司賺錢了領導笑了領導怒了公司賠錢了你就“跌”了你就“漲”了13思想上的轉變（二）

信息比鈔票更重要，更脆弱，我們更應該保護它。14WHY???裝有100萬的保險箱需要3個悍匪、公司損失：100萬裝有客戶信息的電腦只要1個商業間諜、1個U盤，就能偷走。公司損失：所有客戶！1輛車，才能偷走。15典型案例16安全名言17絕對的安全是不存在的絕對的零風險是不存在的，要想實現零風險，也是不現實的；計算機系統的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。18安全是一種平衡19安全是一種平衡安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平關鍵是實現成本利益的平衡信息的價值=使用信息所獲得的收益─獲取信息所用成本信息具備了安全的保護特性20信息的價值21信息安全的定義22信息安全基本目標保密性，完整性，可用性CIAonfidentialityntegrityvailabilityCIA23信息生命周期創建傳遞銷毀存儲使用更改24信息產業發展迅猛截至２０１５年６月，互聯網普及率為４８．８％，我國網民總數已達６．６８億人。手機上網成為用戶上網的重要途徑，截至２０１５年６月，中國手機網民規模達５．９４億。中國網民通過臺式電腦和筆記本電腦接入互聯網比例分別為６８．４％和４２．５％。截至2014年12月底,中國網站總量達到364.7萬余個。目前，政府機構都建立了85890個網站，電子政務正以改善公共服務為重點，在教育、醫療、住房等方面，提供便捷的基本公共服務。25信息安全令人擔憂內地企業44%信息安全事件是數據失竊

普華永道曾發布的2008年度全球信息安全調查報告顯示，中國內地企業在信息安全管理方面存在滯后，信息安全與隱私保障方面已被印度趕超。數據顯示，內地企業44%的信息安全事件與數據失竊有關，而全球的平均水平只有16%。普華永道的調查顯示，中國內地企業在改善信息安全機制上仍有待努力，從近年安全事件結果看，中國每年大約98萬美元的財務損失，而亞洲國家平均約為75萬美元，印度大約為30.8萬美元。此外，42%的中國內地受訪企業經歷了應用軟件、系統和網絡的安全事件。26安全事件（1）27安全事件（2）熊貓燒香病毒的制造者-李俊

用戶電腦中毒后可能會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。同時，該病毒可以通過局域網進行傳播，進而感染局域網內所有計算機系統，最終導致企業局域網癱瘓，無法正常使用，它能感染系統中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件，該文件是一系統備份工具GHOST的備份文件，使用戶的系統備份文件丟失。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。

28深度分析29這樣的事情還有很多……信息安全迫在眉睫?。?！關鍵是做好預防控制隱患險于明火！預防重于救災！31小故事，大啟發

——信息安全點滴首先要關注內部人員的安全管理342007年11月，集安支行代辦員，周末晚上通過運營電腦，將230萬轉移到事先辦理的15張卡上，并一夜間在各ATM上取走38萬。周一被發現。

夜間銀行監控設備未開放，下班后運營電腦未上鎖。

事實上，此前早有人提出過這個問題，只不過沒有得到重視。35典型案例：樂購事件關于員工安全管理的建議

根據不同崗位的需求，在職位描述書中加入安全方面的責任要求，特別是敏感崗位在招聘環節做好人員篩選和背景調查工作，并且簽訂適當的保密協議在新員工培訓中專門加入信息安全內容工作期間，根據崗位需要，持續進行專項培訓通過多種途徑，全面提升員工信息安全意識落實檢查監督和獎懲機制員工內部轉崗應做好訪問控制變更控制員工離職，應做好交接和權限撤銷切不可忽視第三方安全38北京移動電話充值卡事件關于第三方安全管理的建議

識別所有相關第三方：服務提供商，設備提供商，咨詢顧問，審計機構，物業，保潔等識別所有與第三方相關的安全風險，無論是牽涉到物理訪問還是邏輯訪問在沒有采取必要控制措施，包括簽署相關協議之前，不應該授權給外部伙伴訪問。應該讓外部伙伴意識到其責任和必須遵守的規定在與第三方簽訂協議時特別提出信息安全方面的要求，特別是訪問控制要求對第三方實施有效的監督，定期Review服務交付物理環境中需要信息安全在自助銀行入口刷卡器下方粘上一個黑色小方塊，叫“讀卡器”，罩上一個加長的“殼”，把銀行的刷卡器和讀卡器一起藏在里面，一般人很難發現。取款人在刷卡進門時，銀行卡上的全部信息就一下被刷進了犯罪分子的讀卡器上。ATM詐騙三部曲您的供電系統真的萬無一失？是一路電還是兩路電？兩路電是否一定是兩個輸電站？有沒有UPS？UPS能維持多久？有沒有備用發電機組？備用發電機是否有充足的油料儲備？另一個與物理安全相關的案例時間：2002年某天夜里地點：A公司的數據中心大樓人物：一個普通的系統管理員

一個普通的系統管理員，利用看似簡單的方法，就進入了需要門卡認證的數據中心……

————

來自國外某論壇的激烈討論情況是這樣的……A公司的數據中心是重地，設立了嚴格的門禁制度，要求必須插入門卡才能進入。不過，出來時很簡單，數據中心一旁的動作探測器會檢測到有人朝出口走去，門會自動打開數據中心有個系統管理員張三君，這天晚上加班到很晚，中間離開數據中心出去夜宵，可返回時發現自己被鎖在了外面，門卡落在里面了，四周別無他人，一片靜寂張三急需今夜加班，可他又不想打擾他人，怎么辦？一點線索：昨天曾在接待區慶祝過某人生日，現場還未清理干凈，遺留下很多雜物，哦，還有氣球……聰明的張三想出了妙計……①張三找到一個氣球，放掉氣②張三面朝大門入口趴下來，把氣球塞進門里，只留下氣球的嘴在門的這邊③張三在門外吹氣球，氣球在門內膨脹，然后，他釋放了氣球……④由于氣球在門內彈跳，觸發動作探測器，門終于開了問題出在哪里……

如果門和地板齊平且沒有縫隙，就不會出這樣的事

如果動作探測器的靈敏度調整到不對快速放氣的氣球作出反應，也不會出此事

當然，如果根本就不使用動作探測器來從里面開門，這種事情同樣不會發生總結教訓……

雖然是偶然事件，也沒有直接危害，但是潛在風險既是物理安全的問題，更是管理問題切記！有時候自以為是的安全，恰恰是最不安全！物理安全非常關鍵！關于物理安全的建議

將敏感設備和信息放置在受控的安全區域所有到受控區域的入口都應該加鎖、設置門衛，或者以某種方式進行監視，并做好進出登記如果進出需要ID徽章，請隨身帶好，嚴禁無證進入鑰匙和門卡僅供本人使用，不要交給他人使用嚴格控制帶存儲和攝像功能的手持設備的使用使用公共區域的打印機、傳真機、復印機時，一定不要遺留敏感文件

移動電腦是惡意者經常關注的目標，一定要注意保護使用碎紙機，謹防敏感文件通過垃圾簍而泄漏如果發現可疑情況，請立即報告日常工作需特別留意信息安全51移動介質管控的要求與落實脫節“擺渡攻擊”

涉密網絡中的泄密現象關于口令的一些調查結果

一個有趣的調查發現，如果你用一條巧克力來作為交換，有70％的人樂意告訴你他（她）的口令有34％的人，甚至不需要賄賂，就可奉獻自己的口令另據調查，有79％的人，在被提問時，會無意間泄漏足以被用來竊取其身份的信息姓名、寵物名、生日、球隊名最常被用作口令平均每人要記住四個口令，大多數人都習慣使用相同的口令（在很多需要口令的地方）

33％的人選擇將口令寫下來，然后放