信息安全基本常识

Intranet
关闭安全维护
“I后nt门er”net
入侵检测 实时监控
技术部门
Modem 安企装业认网证 &络授权
内部/个体
授权复查
内部/组织 外部/个体 安全隐患
外部/组织
高素质的人员队伍
信息安全保障专家
信息安全专业人员
（信息安全相关的岗位和职责）
计划 组织
开发 采购
实施 交付
运行 维护
废 弃
信息安全从业人员 （信息系统相关的岗位和职责）
❖ 1-4月，我国累计实现软件业务收入3626亿元，同比增长 28.7%。信息技术增值服务收入同比增长38.1%。集成电路设 计开发收入228亿元，同比增长63%。软件产品、系统集成和 支持服务、信息技术咨询和管理服务、嵌入式系统软件、分 别实现1333、728、320和638亿元，分别增长27%、25.1%、 26.3%、23%。
• 经调查发现，这是一起企图利用计算机网络信息系统技术诈骗 彩票奖金的案件，并于6月12日将犯罪嫌疑人程某抓获，程某 为深圳市某技术公司软件开发工程师，利用公司在深圳福彩中 心实施技术合作项目的机会，通过木马攻击程序，恶意篡改彩 票数据，伪造了5注一等奖欲牟取非法利益。
案例2
❖ 2001年初，北京市国家税务局、北京 市公安局联合查处了陈学军团伙虚开 增值税专用发票案件。主犯陈学军与 原北京市海淀区国家税务局干部吴芝 刚内外勾结，从海淀区国家税务局套 购增值税专用发票10900份，为数百家 企业虚开增值税专用发票2800余份， 虚开税款共计人民币3.93亿元。陈学 军以虚开增值税专用发票罪被判处并 已执行死刑；吴芝刚以虚开增值税专 用发票罪、巨额财产来源不明罪两罪 并罚，一审判处死刑，二审改判死刑 缓期执行。
❖ 数据大集中——风险也更集中了； ❖ 系统复杂了——安全问题解决难度加大； ❖ 云计算——安全已经不再是自己可以控制的 ❖3G 、物联网、三网合一——IP网络中安全问题引入
到了电话、手机、广播电视中 ❖web2.0 、微博、人肉搜索——网络安全与日常生活
越来越贴近
网络群体性事件影响政治、社会稳定
❖ 2009年6月，美国国防部长罗伯特·盖茨下令组建网络司 令部，以统一协调美军网络安全，开展网络战争等与计 算机相关的军事行动。
新闻
❖ 2010年3月24日，美国参议院商务、科学和运输委员会通过了旨 在加强美国网络安全，帮助美国政府机构和企业更好地对应网 络威胁的《网络安全法案》。该委员会主席洛克菲勒在法案通 过后发表声明说：“现状不可忍受，我们需要21世纪的新模式 ，我们必须确保美国的关键网络以及在全球的市场中的创新和 竞争力”。
目录增强信息安全意识、提高个人防护能力
一、信息安全基本常识 二、信息安全形势和任务
三、个人信息安全防护基本技能
一、信息安全基本常识
为什么会有信息安全问题？
❖ 因为有病毒吗？
• 因为有黑客吗？
• 因为有漏洞吗？
这些都是原因， 但没有说到根源
安全问题根源—内因系统越来越复杂
工作计算机 员工在使用 移动介质 内网中的其它系统 单位连接因特网 电话拨号上网
可用性：确保拥有授权的用户或程序可以及 时、正常使用信息
完整性 （Integrity）
秘密 保密性
（Confidentiality）
可用性 （Availability）
如何保障信息安全？
信息是依赖与承载它的信息技术系统存在的 需要在技术层面部署完善的控制措施
信息系统是由人来建设使用和维护的 需要通过有效的管理手段约束人
❖ 2010年2月26日，微软公司请求国家互联网应急中心（CNCERT） 协助关闭Waledac僵尸网络所使用的部分中国注册的域名， CNCERT在经过技术验证后，迅速采取行动，在数小时内成功关 闭16个恶意域名。Waledac僵尸网络所使用的服务器大多为于德 国、荷兰、瑞典、俄罗斯和中国，控制全球约10万台计算机（ 其中中国约5000台），每天发出约15亿个有害邮件。
❖ 云南晋宁看守所“躲猫猫” ❖ 浙江杭州“飙车事件” ❖ 湖北巴东县“邓玉娇事件” ❖ 河南农民工“开胸验肺事件” ❖ 上海“钓鱼执法事件” ❖ 南京“周久耕房管局长天价烟
”
新闻
❖ 2010年初，美国硅谷的迈克菲公司发布最新报告，约109.5万 台中国计算机被病毒感染（美国105.7万），排第一位。
今天系统安全了明天未必安全 需要贯穿系统生命周期的工程过程
信息安全的对抗，归根结底是人员知识、技能和素质 的对抗 需要建设高素质的人才队伍
完善的信息安全技术体系考虑过程
机关行政部门
操作系统补丁
机关业务部门
更改缺省DM的Z 系统口?令E-Mail
? ? HTTP
中继
路由
对外数服务据厅文件加密
病毒防护
❖ 2010年1月2日，公安部物证鉴定中心被黑，登陆该网站，有 些嘲弄语言，还贴一张“我们睡，你们讲”的图片，图片是 公安某单位一次会议上，台下参会人员大睡的场面。
❖ 2010年1月11日，著名网络被黑(域名劫持)，黑客团体叫 “Iranian Cyber Army”。服务器中断5小时。
❖ 2008年1月，美国总统布什签发总统54号令，其中有《国家网 络安全综合纲领》（CNCI），包含12个行动纲领。
IT部门告诉你的需要注意事项
2.哪些是你需要注意的事？
✓ 回到电脑前检查下用户名是否存在异常，是否跟离 开前的状态一样。 ✓ 禁止和他人共用一个账户 ✓ 禁止将自己账户密码告诉他人 ✓ 在确认电脑长时间不使用后，请对电脑关机。
IT部门告诉你的需要注意事项
1.公司电脑为什么必须输入口令
✓ 向系统表明自己的身份，登录系统，获取权限 ✓ 阻止其他人以自己的身份登录系统 ✓ 阻止未授权用户登录系统
信息安全受到高度重视
❖ 党中央、国务院对信息安全提出明确要求
▪ 2003年9月，中央办公厅、国务院办公厅转发了《国家 信息化领导小组关于加强信息安全保障工作的意见》， 第一次把信息安全提到了促进经济发展、维护社会稳定 、保障国家安全、加强精神文明建设的高度。
▪ 2004年秋，党的十六届四中全会将信息安全与政治安全 、经济安全、文化安全并列为国家安全的重要组成要素 。非传统安全问题日益得到重视。
通信安全
以二战时 期真实历 史为背景 的，关于 电报密文 窃听和密 码破解的 故事
转轮密码机ENIGMA，1944年装备德国海 军
❖ 20世纪，40年代-70年代
▪ 通过密码技术解决通信保密，内容篡改
信息系统安全
❖ 20世纪，70-90年代后，计算机和网络改变了一切
▪ 确保信息在网络信息系统中的存储、处理和传输过程中 免受非授权的访问，防止授权用户的拒绝服务
❖ 今年“两会”期间，3月3日，全国政协委员严琪所办陶然居餐 饮集团网站（）被黑，引发热议。
案例1
❖ 2009年6月9日，双色球2009066期开奖，全国 共中出一等奖4注，但是，开奖系统却显示一 等奖中奖数为9注，其中深圳地区中奖为5注。 深圳市福彩中心在开奖程序结束后发现系统出 现异常，经多次数据检验，工作人员判断，福 彩中心销售系统疑被非法入侵，中奖彩票数据 记录疑被人为篡改。
掠夺竞争优势，恐吓
施行报复，实现经济目的， 破坏制度 攫取金钱，恐吓，挑战，获取 声望
以吓人为乐，喜欢挑战
安全问题根源—外因来自自然的破坏
信息技术的发展
Hale Waihona Puke 电报电话通信计算机加工存储 网络互联时代
信息安全问题的诞生
• 人类开始信息的通信，信息安全的历史就开始了
– 公元前500年，斯巴达人用于加解密的一种军事设备。 发送者把一条羊皮螺旋形地缠在一个圆柱形棒上。
安全基础和安全文化
注册信息安全专业人员 （CISP）
培 训
注册信息安全员 （CISM）
所有员工
意
识
安全意识
二、信息安全形势和任务
我国信息化迅猛发展
❖ 我国信息化建设起步于20世纪80年代 ❖ 20世纪90年代取得长足进步
• 现在信息技术已经广泛应 用于促进 – 国民经济发展 – 政府管理和服务水平提 高 – 企业竞争力增强 – 人民生活水平该改善
案例3
❖ 英国税务局“光盘”门
▪ 2007年11月，英国税务及海关总署的一名公务员在将两张 光碟寄给审计部门时，由于疏忽忘记依照规范以挂号寄出 ，导致光碟下落不明。光碟中有英国家庭申请十六岁以下 儿童福利补助的资料，包括公民的姓名、地址、出生年月 、社会保险号码和银行帐户资料，据称其中还包括了英国 首相布朗一家的机密资料。
吴芝刚在宣判现场
案例2（续）
❖ 北京市海淀区国税局增值税专用发票管理岗位的3名 税务干部在案发过程中，由于思想疏忽大意，没有严 格保护个人工作计算机和应用系统的密码和使用权限 ，为吴芝刚趁工作之便，非法获得计算机密码，进入 防伪税控“认证”系统的作案行为提供了便利。这3 名税务干部，因工作严重违规失职也受到严厉的法律 追究，根据情节轻重，分别被处以不同程度的刑事处 罚。
日常生活中的习惯——酒驾
遵章守纪？
日常工作中的习惯——口令
制度执行
为什么总是出现信息安全事件？
❖ 外因是条件，内因是关键。 ❖ 外因是危险的网络环境，病毒、木马，钓鱼，欺诈等。 ❖ 内因是自己对信息安全的意识和重视。
个人计算机信息安全防护
口令
帐户 管理
防病毒软件
补丁管理
共享、网 络安全
日志、审核
我国正在步入信息化时代
我国信息化迅猛发展的数据
数据来源：工业与信息化部网站
❖ 2010年1-2月，基础电信企业互联网宽带接入用户净增359.3 万户，达到10681.8万户
❖ 1-4月，我国生产生产手机23290万部，增长34.5%; 微型计算 机7112万台，增长50.1%，其中笔记本电脑增长50.6%; 集成 电路190亿块，增长78.5%
信息安全趋势
❖隐蔽性：信息安全的一个最大特点就是看不见摸不着
。在不知不觉中就已经中了招，在不知不觉中就已经 遭受了重大损失。
想一想 你的计算机上的病毒和流氓软件
能回忆出是何时中招的吗？
信息安全趋势
❖ 趋利性：为了炫耀能力的黑客少了，为了非法取得政 治、经济利益的人越来越多
新应用导致新的安全问题
信息安全保障
通信安全 网络安全
数据安全 技术系统安全问题 信息系统安全问题
“组织内部环境”
现在人们意识到：技术很重要，但技术不是一切；信 息系统很重要，只有服务于组织业务使命才有意义
什么是信息安全？
保密！
不该知道的人，不让他知道！
什么是信息安全？
完整！
信息不能追求残缺美！
什么是信息安全？
可用！
英国财政大臣达林在 国会下院承认数据丢 失，布朗面色凝重。
信息安全问题
就像植入广告
长期存在
无处不在
影响愈发深远
明确信息安全责任的重要性
❖ 在一个机构中，安全角色与责任的不明确是实施信息 安全过程中的最大障碍，建立安全组织与落实责任是 实施信息安全管理的第一步。
三、个人信息安全防护基本技能
日常生活中的习惯——抢行
连接其它单位网络
无线网络
安全问题根源—内因人是复杂的
安全问题根源—外因来自对手的威胁
国家 安全 威胁
共同 威胁
局部 威胁
信息战士 情报机构 恐怖分子 商业间谍 犯罪团伙
社会型黑客 娱乐型黑客
减小国家决策空间、战略优势， 制造混乱，进行目标破坏 搜集政治、军事，经济信息 破坏公共秩序，制造混乱，发 动政变
软件更 新、配置
移动存储设备管理
服务管理
IT部门告诉你的需要注意事项
1.公司为什么要让电脑加入域？
✓ 操作系统通过帐户来识别用户，并根据帐户的权限为 用户的操作授权，不同级别的帐户拥有不同的权限，加入 域后，在服务器就可以记录下你的登陆信息，这样可以起 到一个追朔性。 ✓ 避免计算机被非授权用户访问，造成公司资料外泄， 给公司带来损失
良好的习惯：请各位同事在离开计算机时随 手按下CTRL+ALT+DELETE三个按键，锁 定计算机。
设置口令时的注意事项
2.公司电脑设置口令要注意什么？
✓ 不能设置过于简单的弱口令 ✓ 公司电脑的密码规则要求是设置不能小于8位的复杂密码 ✓ 公司电脑根据策略要求90天更改一次密码，而且不能跟90内所 设置过的密码相重复，当电脑提示您还有多少天密码过期的时 候，请您立即更改您的密码，保障您的电脑安全。
信息要方便、快捷！ 不能像某国首都二环早高峰， 也不能像春运的火车站
什么是信息安全
信息本身的机密性（Confidentiality）、完整性（Integrity）和 可用性（Availability）的保持，即防止防止未经授权使用信息、 防止对信息的非法修改和破坏、确保及时可靠地使用信息。
保密性：确保信息没有非授权的泄漏，不被 非授权的个人、组织和计算机程序使用 完整性：确保信息没有遭到篡改和破坏