国有企业信息安全意识技能培训完整版(培训员工版)

吴芝刚在宣判现场
案例2（续）
通信安全
以二战时 期真实历 史为背景 的，关于 电报密文 窃听和密 码破解的 故事
转轮密码机ENIGMA，1944年装备德国海 军
❖ 20世纪，40年代-70年代
▪ 通过密码技术解决通信保密，内容篡改
信息系统安全
❖ 20世纪，70-90年代后，计算机和网络改变了一切
▪ 确保信息在网络信息系统中的存储、处理和传输过程中 免受非授权的访问，防止授权用户的拒绝服务
• 经调查发现，这是一起企图利用计算机网络信息系统技术诈骗 彩票奖金的案件，并于6月12日将犯罪嫌疑人程某抓获，程某 为深圳市某技术公司软件开发工程师，利用公司在深圳福彩中 心实施技术合作项目的机会，通过木马攻击程序，恶意篡改彩 票数据，伪造了5注一等奖欲牟取非法利益。
案例2
❖ 2001年初，北京市国家税务局、北京 市公安局联合查处了陈学军团伙虚开 增值税专用发票案件。主犯陈学军与 原北京市海淀区国家税务局干部吴芝 刚内外勾结，从海淀区国家税务局套 购增值税专用发票10900份，为数百家 企业虚开增值税专用发票2800余份， 虚开税款共计人民币3.93亿元。陈学 军以虚开增值税专用发票罪被判处并 已执行死刑；吴芝刚以虚开增值税专 用发票罪、巨额财产来源不明罪两罪 并罚，一审判处死刑，二审改判死刑 缓期执行。
信息化建设的意义
❖ 小平同志提出：
❖ 党的十六大报告也指出：
信息化建设的意义
❖ 信息化作为全球化的重要方面，直接推动了国际关系 的演变和全球经济体系的形成
❖ 电子政务、电子商务和整个社会的信息化发展，标志 着我国进入信息化社会
❖ 整个社会越来越依赖于网络和信息系统，网络和信息 系统正成为社会运行和发展的重要支撑要素
然而，没有信息安全就没有真正有效的信息化
信息安全受到高度重视
❖ 党中央、国务院对信息安全提出明确要求
▪ 2003年9月，中央办公厅、国务院办公厅转发了《国家 信息化领导小组关于加强信息安全保障工作的意见》， 第一次把信息安全提到了促进经济发展、维护社会稳定 、保障国家安全、加强精神文明建设的高度。
注册信息安全专业人员 （CISP）
培 训
注册信息安全员 （CISM）
所有员工
意
识
安全意识
废 弃
运 行 维 护
实 施 交
开付 发 采 购
计 划 组 织
信息系统安全保障模型
生命周期
技术
保
工程
障
要
素
管理
人员
安全特征
可 用 完性 保整 密性 性
安全保障的目标是支持业务
信息安全保障需要持续进行
安全保障要适度
机关行政部门 机关业务部门
DMZ ? E-Mail ? File Transfer ? HTTP
中继
路由
Internet
对外服务厅
技术部门
企业网络
Intranet
完善的信息安全技术体系考虑过程
机关行政部门
操作系统补丁
机关业务部门
更改缺省DM的Z 系统口?令E-Mail
? File Transfer ? HTTP
❖ 2010年1月2日，公安部物证鉴定中心被黑，登陆该网站，有 些嘲弄语言，还贴一张“我们睡，你们讲”的图片，图片是 公安某单位一次会议上，台下参会人员大睡的场面。
❖ 2010年1月11日，著名网络百度被黑(域名劫持)，黑客团体叫 “Iranian Cyber Army”。服务器中断5小时。
❖ 2008年1月，美国总统布什签发总统54号令，其中有《国家网 络安全综合纲领》（CNCI），包含12个行动纲领。
信息安全保障
通信安全 网络安全
数据安全 技术系统安全问题 信息系统安全问题
“组织内部环境”
现在人们意识到：技术很重要，但技术不是一切；信 息系统很重要，只有服务于组织业务使命才有意义
什么是信息？
知识
抽象
信息
程度
指导 ቤተ መጻሕፍቲ ባይዱ义
❖ 信息的属性：
数 据
✓基本元素是数据，每个数据代表某个意义；
✓以各种形式存在：纸、电子、影片、交谈等；
掠夺竞争优势，恐吓
施行报复，实现经济目的， 破坏制度 攫取金钱，恐吓，挑战，获取 声望
以吓人为乐，喜欢挑战
安全问题根源—外因来自自然的破坏
信息技术的发展
电报电话通信
计算机加工存储 网络互联时代
信息安全问题的诞生
• 人类开始信息的通信，信息安全的历史就开始了
– 公元前500年，斯巴达人用于加解密的一种军事设备。 发送者把一条羊皮螺旋形地缠在一个圆柱形棒上。
中继
路由
对外数服务据厅文件加密
病毒防护
Intranet
关闭安全维护
“I后nt门er”net
入侵检测 实时监控
技术部门
Modem 安企装业认网证 &络授权
内部/个体
授权复查
内部/组织 外部/个体 安全隐患
外部/组织
有效的信息安全管理体系
高层领导参与 有关部门协调配合
组织体系
规章制度 风险管理
覆盖范围全面 切实可行
提高人员意识 和技能
奖惩措施
有效落实
科学的信息安全工程过程
发掘需
DISCOVER
求 NEEDS
定DE义FINE系 统要求 SYSTEM
REQUIREMENTS
定义系 统体系 DESIGN
SYSTEM
结构 ARCHITECTURE
用户/用户代表
D开EV发ELO详P 细设计 DETAILED
DESIGN
✓数据具有一定的逻辑关系；
✓具有一定的时效性；
✓对组织具有价值 ，是一种资产；
✓需要适当的保护。
什么是安全？
安全 Security：事物保持不受损害
什么是信息安全？
不该知道的人，不让他知道！
什么是信息安全？
信息不能追求残缺美！
什么是信息安全？
信息要方便、快捷！ 不能像某国首都二环早高峰， 也不能像春运的火车站
可用性：确保拥有授权的用户或程序可以及 时、正常使用信息
完整性 （Integrity）
秘密 保密性
（Confidentiality）
可用性 （Availability）
什么是信息安全风险
什么是信息安全风险
什么是信息安全风险
什么是信息安全风险
❖ 外在威胁利用信息系 统存在的脆弱性，致 其损失或破坏对系统 价值造成损害的可能 性
❖ 2010年2月26日，微软公司请求国家互联网应急中心（CNCERT） 协助关闭Waledac僵尸网络所使用的部分中国注册的域名， CNCERT在经过技术验证后，迅速采取行动，在数小时内成功关 闭16个恶意域名。Waledac僵尸网络所使用的服务器大多为于德 国、荷兰、瑞典、俄罗斯和中国，控制全球约10万台计算机（ 其中中国约5000台），每天发出约15亿个有害邮件。
什么是信息安全
信息本身的机密性（Confidentiality）、完整性（Integrity）和 可用性（Availability）的保持，即防止防止未经授权使用信息、 防止对信息的非法修改和破坏、确保及时可靠地使用信息。
保密性：确保信息没有非授权的泄漏，不被 非授权的个人、组织和计算机程序使用 完整性：确保信息没有遭到篡改和破坏
❖ 今年“两会”期间，3月3日，全国政协委员严琪所办陶然居餐 饮集团网站（www.cn-taoranju.com）被黑，引发热议。
案例1
❖ 2009年6月9日，双色球2009066期开奖，全国 共中出一等奖4注，但是，开奖系统却显示一 等奖中奖数为9注，其中深圳地区中奖为5注。 深圳市福彩中心在开奖程序结束后发现系统出 现异常，经多次数据检验，工作人员判断，福 彩中心销售系统疑被非法入侵，中奖彩票数据 记录疑被人为篡改。
❖ 云南晋宁看守所“躲猫猫” ❖ 浙江杭州“飙车事件” ❖ 湖北巴东县“邓玉娇事件” ❖ 河南农民工“开胸验肺事件” ❖ 上海“钓鱼执法事件” ❖ 南京“周久耕房管局长天价烟
”
新闻
❖ 2010年初，美国硅谷的迈克菲公司发布最新报告，约109.5万 台中国计算机被病毒感染（美国105.7万），排第一位。
新应用导致新的安全问题
❖ 数据大集中——风险也更集中了； ❖ 系统复杂了——安全问题解决难度加大； ❖ 云计算——安全已经不再是自己可以控制的 ❖3G 、物联网、三网合一——IP网络中安全问题引入
到了电话、手机、广播电视中 ❖web2.0 、微博、人肉搜索——网络安全与日常生活
越来越贴近
网络群体性事件影响政治、社会稳定
安全问题根源—内因我们使用的网络是开放的
安全问题根源—内因人是复杂的
安全问题根源—外因来自对手的威胁
国家 安全 威胁
共同 威胁
局部 威胁
信息战士 情报机构 恐怖分子 商业间谍 犯罪团伙
社会型黑客 娱乐型黑客
减小国家决策空间、战略优势， 制造混乱，进行目标破坏 搜集政治、军事，经济信息 破坏公共秩序，制造混乱，发 动政变
评估有效性 实现系
IMPLEMENT
统 SYSTEM
计划组 织
开发采 购
实施交 付
运行维 护
废弃
将安全措施融入信息系统生命周期
高素质的人员队伍
信息安全保障专家
信息安全专业人员
（信息安全相关的岗位和职责）
计划 组织
开发 采购
实施 交付
运行 维护
废 弃
信息安全从业人员 （信息系统相关的岗位和职责）
安全基础和安全文化
如何保障信息安全？
信息是依赖与承载它的信息技术系统存在的 需要在技术层面部署完善的控制措施
信息系统是由人来建设使用和维护的 需要通过有效的管理手段约束人
今天系统安全了明天未必安全 需要贯穿系统生命周期的工程过程
信息安全的对抗，归根结底是人员知识、技能和素质 的对抗 需要建设高素质的人才队伍
一个单位如何考虑安全技术体系？
• 现在信息技术已经广泛应 用于促进 – 国民经济发展 – 政府管理和服务水平提 高 – 企业竞争力增强 – 人民生活水平该改善
我国正在步入信息化时代
我国信息化迅猛发展的数据
数据来源：工业与信息化部网站 http://www.miit.gov.cn
❖ 2010年1-2月，基础电信企业互联网宽带接入用户净增359.3 万户，达到10681.8万户
• 追求高技术？ • 与我们的业务有关？ • 我们的目标方向有否偏差？ • 安全设施影响业务系统性能？ • 增加多少额外操作？ • 国家秘密吗？工作秘密吗？ • 代价多大？ • 风险可以忍受吗？
二、信息安全形势和任务
我国信息化迅猛发展
❖ 我国信息化建设起步于20世纪80年代 ❖ 20世纪90年代取得长足进步
❖ 1-4月，我国生产生产手机23290万部，增长34.5%; 微型计算 机7112万台，增长50.1%，其中笔记本电脑增长50.6%; 集成 电路190亿块，增长78.5%
❖ 1-4月，我国累计实现软件业务收入3626亿元，同比增长 28.7%。信息技术增值服务收入同比增长38.1%。集成电路设 计开发收入228亿元，同比增长63%。软件产品、系统集成和 支持服务、信息技术咨询和管理服务、嵌入式系统软件、分 别实现1333、728、320和638亿元，分别增长27%、25.1%、 26.3%、23%。
❖ 2009年6月，美国国防部长罗伯特·盖茨下令组建网络司 令部，以统一协调美军网络安全，开展网络战争等与计 算机相关的军事行动。
新闻
❖ 2010年3月24日，美国参议院商务、科学和运输委员会通过了旨 在加强美国网络安全，帮助美国政府机构和企业更好地对应网 络威胁的《网络安全法案》。该委员会主席洛克菲勒在法案通 过后发表声明说：“现状不可忍受，我们需要21世纪的新模式 ，我们必须确保美国的关键网络以及在全球的市场中的创新和 竞争力”。
资产
作 用 于
风险
增 加
威胁
导
减
致
少
利用
对抗
脆弱性
防护措施
为什么需要信息安全保障
•组织机构的使命/业务目
使命
标实现越来越依赖于信息
系统
信息
•信息系统成为组织机构生
系统
存和发展的关键因素
•信息系统的安全风险也成 为组织风险的一部分
保障
风险
•为了保障组织机构完成其
使命，必须加强信息安全
保障，抵抗这些风险。
增强信息安全意识、提高个人防护能力
某国有大型企业信息安全培训
目录
一、信息安全基本常识 二、信息安全形势和任务
三、个人信息安全防护基本技能
一、信息安全基本常识
为什么会有信息安全问题？
❖ 因为有病毒吗？
• 因为有黑客吗？
• 因为有漏洞吗？
这些都是原因， 但没有说到根源
安全问题根源—内因系统越来越复杂
▪ 2004年秋，党的十六届四中全会将信息安全与政治安全 、经济安全、文化安全并列为国家安全的重要组成要素 。非传统安全问题日益得到重视。
信息安全趋势
❖隐蔽性：信息安全的一个最大特点就是看不见摸不着
。在不知不觉中就已经中了招，在不知不觉中就已经 遭受了重大损失。
信息安全趋势
❖ 趋利性：为了炫耀能力的黑客少了，为了非法取得政 治、经济利益的人越来越多