银行信息安全意识培训PPT课件

10 10
保持清醒认识
u 信息资产对我们很重要，是要保护的对象 u 威胁就像苍蝇一样，挥之不去，无所不在 u 资产自身又有各种弱点，给威胁带来可乘之机 u 面临各种风险，一旦发生就成为安全事件、事故
11 11
我们应该……
严防威胁 消减弱点 应急响应 保护资产
熟悉潜在的安全问题 知道怎样防止其发生 明确发生后如何应对
信息安全意识培训（下）
信息科技部
1
我们的目标
建立对信息安全的敏感意识和正确认识 掌握信息安全的基本概念、原则和惯例 清楚可能面临的威胁和风险 遵守各项安全策略和制度 在日常工作中养成良好的安全习惯 最终提升整体的信息安全水平
2 2
1、国内多家银行网银用户遭到大规模钓鱼攻击，损失巨大； 2、RSA遭黑客攻击，主流身份认证产品SecureID的重要信息泄
15 15
信息安全基本目标
C Onfidentiality（机密性） I Ntegrity（完整性）
CIA
A Vailability（可用 性）
16 16
管理者的最终目标
Confidentiality
Availability
Information
Integrity
17 17
因果关系
18 18
技术手段
4 4
威胁无处不在
黑客渗透 内部人员威胁
木马后门
病毒和蠕虫 流氓软件
系统漏洞
信息资产
拒绝服务 社会工程
硬件故障
网络通信故障 供电中断
失火
百度文库
雷雨
地震
5 5
外部威胁
6 6
黑客攻击基本手法
踩点
扫描
破坏攻击 渗透攻击
获得控制权 清除痕迹 获得访问权
安装后门
远程控制 转移目标 窃密破坏
7 7
内部威胁
u 病从口入 u 天时 地利 人和
据丢失； 7、美联合航空电脑故障，全国服务大乱； 8、腾讯网大面积访问异常； 9、新浪微博病毒大范围传播； 10、Comodo等多家证书机构遭到攻击，攻击者得以伪造
google等多家知名网站证书，使互联网安全遭遇严重威胁；
3
Windows XP/7…
如果我是黑客…… 1、绝大多数笔记本电脑都内置麦克风且处 于开启状态； 2、开启录音功能； 3、录制所需内容并将其放置于某Web页面 之上： 4.开启所有笔记本的摄像头，并把录像放 置于某Web页面之上：
12 12
基本概念
理解和铺垫
13 13
什么是信息
u 消息、信号、数据、情报和知识 u 信息本身是无形的，借助于信息媒体以多种形式存在或传播：
• 存储在计算机、磁带、纸张等介质中 • 记忆在人的大脑里 • 通过网络、打印机、传真机等方式进行传播
u 信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产：
绝对的安全是不存在的！
21 21
关键点：信息安全管理
u 技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂 u 信息安全管理构成了信息安全具有能动性的部分，是指导和控制组 织的关于信息安全风险的相互协调的活动 u 现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技 术上的原因，不如说是管理不善造成的 u 理解并重视管理对于信息安全的关键作用，对于真正实现信息安全 目标尤其重要 u 唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信 息安全意识贯彻落实
19 19
安全 vs. 可用——平衡之道
u 在可用性（Usability）和安全性（Security）之间是一种
相反的关系 u 提高了安全性，相应地就降低了易用性 u 而要提高安全性，又势必增大成本 u 管理者应在二者之间达成一种可接受的平衡
20 20
计算机安全领域一句格言： “真正安全的计算机是拔下网 线，断掉电源，放在地下掩体的 保险柜中，并在掩体内充满毒气， 在掩体外安排士兵守卫。”
• 计算机和网络中的数据 • 硬件、软件、文档资料 • 关键人员 • 组织提供的服务
u 具有价值的信息资产面临诸多威胁，需要妥善保护
14 14
什么是信息安全
采取措施保护信息资产，使 之不因偶然或者恶意侵犯而遭受 破坏、更改及泄露，保证信息系 统能够连续、可靠、正常地运行， 使安全事件对业务造成的影响减 到最小，确保组织业务运行的连 续性。
u 物理安全：环境安全、设备安全、媒体安全 u 系统安全：操作系统及数据库系统的安全性 u 网络安全：网络隔离、访问控制、VPN、入侵检测、扫描评估 u 应用安全：Email安全、Web访问安全、内容过滤、应用系统安全 u 数据加密：硬件和软件加密，实现身份认证和数据信息的CIA特性 u 认证授权：口令认证、SSO认证（例如Kerberos）、证书认证等 u 访问控制：防火墙、访问控制列表等 u 审计跟踪：入侵检测、日志审计、辨析取证 u 防杀病毒：单机防病毒技术逐渐发展成整体防病毒体系 u 灾备恢复：业务连续性，前提就是对数据的备份
三分技术，七分管理！
22 22
如何正确认识信息安全
安全不是产品的简单堆积， 也不是一次性的静态过程， 它是人员、技术、操作三者 紧密结合的系统工程，是不 断演进、循环发展的动态过 程
员工误操作
蓄意破坏
职责权限混淆
8 8
自身弱点
技术弱点 系统、 程序、设备中存在的漏洞或缺陷
操作弱点
配置、操作和使用中的缺陷，包括人员的不良习 惯、审计或备份过程的不当等
管理弱点
策略、程序、规章制度、人员意识、组织结构等 方面的不足
9 9
最常犯的一些错误
u 将口令写在便签上，贴在电脑监视器旁 u 开着电脑离开，就像离开家却忘记关灯那样 u 轻易相信来自陌生人的邮件，好奇打开邮件附件 u 使用容易猜测的口令，或者根本不设口令 u 丢失笔记本电脑 u 不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息 u 随便拨号上网，或者随意将无关设备连入公司网络 u 事不关己，高高挂起，不报告安全事件 u 在系统更新和安装补丁上总是行动迟缓 u 只关注外来的威胁，忽视企业内部人员的问题 u 会后不擦黑板，会议资料随意放置在会场
漏，导致美国多家军工企业信息系统受到严重威胁； 3、LulzSec成功袭击了中央情报局，美国参议院，任天堂，索
尼等多家机构，引起国际社会广泛关注； 4、花旗银行网站遭遇黑客 20万信用卡用户信息被盗； 5、由于南海领土纠纷引起中越黑客相互攻击对方重要网站； 6、韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数