信息安全意识培训讲义

数据具有一定的逻辑关系；
具有一定的时效性；
对组织具有价值 ，是一种资产；
需要适当的保护。
什么是安全？
安全 Security：事物保持不受损害
什么是信息安全？
不该知道的人，不让他知道！
什么是信息安全？
信息不能追求残缺美！
什么是信息安全？
信息要方便、快捷！ 不能像某国首都二环早高峰， 也不能像春运的火车站
2010年2月26日，微软公司请求国家互联网应急中心（CNCERT） 协助关闭Waledac僵尸网络所使用的部分中国注册的域名， CNCERT在经过技术验证后，迅速采取行动，在数小时内成功关 闭16个恶意域名。Waledac僵尸网络所使用的服务器大多为于德 国、荷兰、瑞典、俄罗斯和中国，控制全球约10万台计算机（ 其中中国约5000台），每天发出约15亿个有害邮件。
• 现在信息技术已经广泛应 用于促进 – 国民经济发展 – 政府管理和服务水平提 高 – 企业竞争力增强 – 人民生活水平该改善
我国正在步入信息化时代
我国信息化迅猛发展的数据
数据来源：工业与信息化部网站 http://www.miit.gov.cn
2010年1-2月，基础电信企业互联网宽带接入用户净增359.3 万户，达到10681.8万户
信息安全趋势
隐蔽性Fra Baidu bibliotek信息安全的一个最大特点就是看不见摸不着 。在不知不觉中就已经中了招，在不知不觉中就已经 遭受了重大损失。
信息安全趋势
趋利性：为了炫耀能力的黑客少了，为了非法取得政 治、经济利益的人越来越多
新应用导致新的安全问题
数据大集中——风险也更集中了； 系统复杂了——安全问题解决难度加大； 云计算——安全已经不再是自己可以控制的 3G 、物联网、三网合一——IP网络中安全问题引入
信息安全保障
通信安全 网络安全
数据安全 技术系统安全问题 信息系统安全问题
“组织内部环境”
现在人们意识到：技术很重要，但技术不是一切；信 息系统很重要，只有服务于组织业务使命才有意义
什么是信息？
知识
抽象
信息
程度
指导 意义
数
信息的属性：
据
基本元素是数据，每个数据代表某个意义；
以各种形式存在：纸、电子、影片、交谈等；
评估有效性 IM实PLE现ME系NT
统 SYSTEM
计划组 织
开发采 购
实施交 付
运行维 护
废弃
将安全措施融入信息系统生命周期
高素质的人员队伍
信息安全保障专家
信息安全专业人员
（信息安全相关的岗位和职责）
计划 组织
开发 采购
实施 交付
运行 维护
废 弃
信息安全从业人员 （信息系统相关的岗位和职责）
安全基础和安全文化
安全问题根源—内因我们使用的网络是开放的
安全问题根源—内因人是复杂的
安全问题根源—外因来自对手的威胁
国家 安全 威胁
共同 威胁
局部 威胁
信息战士 情报机构 恐怖分子 商业间谍 犯罪团伙
社会型黑客 娱乐型黑客
减小国家决策空间、战略优势， 制造混乱，进行目标破坏 搜集政治、军事，经济信息 破坏公共秩序，制造混乱，发 动政变
2010年1月2日，公安部物证鉴定中心被黑，登陆该网站，有 些嘲弄语言，还贴一张“我们睡，你们讲”的图片，图片是 公安某单位一次会议上，台下参会人员大睡的场面。
2010年1月11日，著名网络百度被黑(域名劫持)，黑客团体叫 “Iranian Cyber Army”。服务器中断5小时。
2008年1月，美国总统布什签发总统54号令，其中有《国家网 络安全综合纲领》（CNCI），包含12个行动纲领。
资产
作 用 于
风险
增 加
威胁
导
减
致
少
利用
对抗
脆弱性
防护措施
为什么需要信息安全保障
•组织机构的使命/业务目
使命
标实现越来越依赖于信息
系统
信息
•信息系统成为组织机构生
系统
存和发展的关键因素
•信息系统的安全风险也成
为组织风险的一部分
保障
风险
•为了保障组织机构完成其
使命，必须加强信息安全
保障，抵抗这些风险。
然而，没有信息安全就没有真正有效的信息化
信息安全受到高度重视
党中央、国务院对信息安全提出明确要求
2003年9月，中央办公厅、国务院办公厅转发了《国家 信息化领导小组关于加强信息安全保障工作的意见》， 第一次把信息安全提到了促进经济发展、维护社会稳定 、保障国家安全、加强精神文明建设的高度。
2004年秋，党的十六届四中全会将信息安全与政治安全 、经济安全、文化安全并列为国家安全的重要组成要素 。非传统安全问题日益得到重视。
可用性：确保拥有授权的用户或程序可以及 时、正常使用信息
完整性 （Integrity）
秘密 保密性
（Confidentiality）
可用性 （Availability）
什么是信息安全风险
什么是信息安全风险
什么是信息安全风险
什么是信息安全风险
外在威胁利用信息系 统存在的脆弱性，致 其损失或破坏对系统 价值造成损害的可能 性
吴芝刚在宣判现场
案例2（续）
北京市海淀区国税局增值税专用发票管理岗位的3名 税务干部在案发过程中，由于思想疏忽大意，没有严 格保护个人工作计算机和应用系统的密码和使用权限 ，为吴芝刚趁工作之便，非法获得计算机密码，进入 防伪税控“认证”系统的作案行为提供了便利。这3 名税务干部，因工作严重违规失职也受到严厉的法律 追究，根据情节轻重，分别被处以不同程度的刑事处 罚。
什么是信息安全
信息本身的机密性（Confidentiality）、完整性（Integrity）和 可用性（Availability）的保持，即防止防止未经授权使用信息、 防止对信息的非法修改和破坏、确保及时可靠地使用信息。
保密性：确保信息没有非授权的泄漏，不被 非授权的个人、组织和计算机程序使用 完整性：确保信息没有遭到篡改和破坏
通信安全
以二战时 期真实历 史为背景 的，关于 电报密文 窃听和密 码破解的 故事
转轮密码机ENIGMA，1944年装备德国海 军
20世纪，40年代-70年代
通过密码技术解决通信保密，内容篡改
信息系统安全
20世纪，70-90年代后，计算机和网络改变了一切
确保信息在网络信息系统中的存储、处理和传输过程中 免受非授权的访问，防止授权用户的拒绝服务
风险管理
提高人员意识 和技能
奖惩措施
有效落实
科学的信息安全工程过程
D发ISC掘OVE需R 求 NEEDS
定DE义FINE系
SYSTEM
统要求 REQUIREMENTS
定义系
统体系 DESIGN
SYSTEM ARCHITECTURE
结构
用户/用户代表
D开EV发ELO详P
DETAILED
细DES设IGN计
1-4月，我国生产生产手机23290万部，增长34.5%; 微型计算 机7112万台，增长50.1%，其中笔记本电脑增长50.6%; 集成 电路190亿块，增长78.5%
1-4月，我国累计实现软件业务收入3626亿元，同比增长 28.7%。信息技术增值服务收入同比增长38.1%。集成电路设 计开发收入228亿元，同比增长63%。软件产品、系统集成和 支持服务、信息技术咨询和管理服务、嵌入式系统软件、分 别实现1333、728、320和638亿元，分别增长27%、25.1%、 26.3%、23%。
2009年6月，美国国防部长罗伯特·盖茨下令组建网络司 令部，以统一协调美军网络安全，开展网络战争等与计 算机相关的军事行动。
新闻
2010年3月24日，美国参议院商务、科学和运输委员会通过了旨 在加强美国网络安全，帮助美国政府机构和企业更好地对应网 络威胁的《网络安全法案》。该委员会主席洛克菲勒在法案通 过后发表声明说：“现状不可忍受，我们需要21世纪的新模式 ，我们必须确保美国的关键网络以及在全球的市场中的创新和 竞争力”。
注册信息安全专业人员 （CISP）
培 训
注册信息安全员 （CISM）
所有员工
意
识
安全意识
废 弃
运 行 维 护
实 施 交 付
开 发 采 购
计 划 组 织
信息系统安全保障模型
生命周期
技术
保
工程
障
要
素
管理
人员
安全特征
可 用 完性 保整 密性 性
安全保障的目标是支持业务
信息安全保障需要持续进行
安全保障要适度
• 经调查发现，这是一起企图利用计算机网络信息系统技术诈骗 彩票奖金的案件，并于6月12日将犯罪嫌疑人程某抓获，程某 为深圳市某技术公司软件开发工程师，利用公司在深圳福彩中 心实施技术合作项目的机会，通过木马攻击程序，恶意篡改彩 票数据，伪造了5注一等奖欲牟取非法利益。
案例2
2001年初，北京市国家税务局、北京 市公安局联合查处了陈学军团伙虚开 增值税专用发票案件。主犯陈学军与 原北京市海淀区国家税务局干部吴芝 刚内外勾结，从海淀区国家税务局套 购增值税专用发票10900份，为数百家 企业虚开增值税专用发票2800余份， 虚开税款共计人民币3.93亿元。陈学 军以虚开增值税专用发票罪被判处并 已执行死刑；吴芝刚以虚开增值税专 用发票罪、巨额财产来源不明罪两罪 并罚，一审判处死刑，二审改判死刑 缓期执行。
• 追求高技术？ • 与我们的业务有关？ • 我们的目标方向有否偏差？ • 安全设施影响业务系统性能？ • 增加多少额外操作？ • 国家秘密吗？工作秘密吗？ • 代价多大？ • 风险可以忍受吗？
二、信息安全形势和任务
我国信息化迅猛发展
我国信息化建设起步于20世纪80年代 20世纪90年代取得长足进步
机关行政部门 机关业务部门
DMZ ? E-Mail ? File Transfer ? HTTP
中继
路由
Internet
对外服务厅 技术部门
企业网络
Intranet
完善的信息安全技术体系考虑过程
机关行政部门
操作系统补丁
机关业务部门
更改缺省D的MZ 系统口?令E-Mail
? File Transfer ? HTTP
中继
路由
对外数服务据厅文件加密
病毒防护
Intranet
关闭安全维护
“In后t门er”net
入侵检测 实时监控
技术部门
Modem 安企装业认网证 &络授权
内部/个体
授权复查
内部/组织 外部/个体 安全隐患
外部/组织
有效的信息安全管理体系
高层领导参与 有关部门协调配合
组织体系
规章制度
覆盖范围全面 切实可行
掠夺竞争优势，恐吓
施行报复，实现经济目的， 破坏制度 攫取金钱，恐吓，挑战，获取 声望 以吓人为乐，喜欢挑战
安全问题根源—外因来自自然的破坏
信息技术的发展
电报电话通信
计算机加工存储 网络互联时代
信息安全问题的诞生
• 人类开始信息的通信，信息安全的历史就开始了
– 公元前500年，斯巴达人用于加解密的一种军事设备。 发送者把一条羊皮螺旋形地缠在一个圆柱形棒上。
今年“两会”期间，3月3日，全国政协委员严琪所办陶然居餐 饮集团网站（www.cn-taoranju.com）被黑，引发热议。
案例1
2009年6月9日，双色球2009066期开奖，全国 共中出一等奖4注，但是，开奖系统却显示一 等奖中奖数为9注，其中深圳地区中奖为5注。 深圳市福彩中心在开奖程序结束后发现系统出 现异常，经多次数据检验，工作人员判断，福 彩中心销售系统疑被非法入侵，中奖彩票数据 记录疑被人为篡改。
增强信息安全意识、提高个人防护能力
中石油信息安全培训
2010年11月
目录
一、信息安全基本常识 二、信息安全形势和任务
三、个人信息安全防护基本技能
一、信息安全基本常识
为什么会有信息安全问题？
因为有病毒吗？ • 因为有黑客吗？
• 因为有漏洞吗？
这些都是原因， 但没有说到根源
安全问题根源—内因系统越来越复杂
如何保障信息安全？
信息是依赖与承载它的信息技术系统存在的 需要在技术层面部署完善的控制措施
信息系统是由人来建设使用和维护的 需要通过有效的管理手段约束人
今天系统安全了明天未必安全 需要贯穿系统生命周期的工程过程
信息安全的对抗，归根结底是人员知识、技能和素质 的对抗 需要建设高素质的人才队伍
一个单位如何考虑安全技术体系？
到了电话、手机、广播电视中 web2.0 、微博、人肉搜索——网络安全与日常生活
越来越贴近
网络群体性事件影响政治、社会稳定
云南晋宁看守所“躲猫猫” 浙江杭州“飙车事件” 湖北巴东县“邓玉娇事件” 河南农民工“开胸验肺事件” 上海“钓鱼执法事件” 南京“周久耕房管局长天价烟
”
新闻
2010年初，美国硅谷的迈克菲公司发布最新报告，约109.5万 台中国计算机被病毒感染（美国105.7万），排第一位。
信息化建设的意义
小平同志提出：
党的十六大报告也指出：
信息化建设的意义
信息化作为全球化的重要方面，直接推动了国际关系 的演变和全球经济体系的形成
电子政务、电子商务和整个社会的信息化发展，标志 着我国进入信息化社会
整个社会越来越依赖于网络和信息系统，网络和信息 系统正成为社会运行和发展的重要支撑要素