员工信息安全意识培训
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
度 • 发生任何病毒传播事件,相关人员应及时向IT管理部门汇报 • …… • 仅此就够了么
37
拒绝服务攻击
分布式拒绝服务攻击(DDOS)
Hacker (黑客)
M
M
M
Master
(主攻手)
zzz
zz
z z z Zombie (僵尸)
Target (目标机)
漏洞攻击
----定义 在硬件、软件、
协议的具体实现或系 统安全策略上存在的 缺陷,从而可以使攻 击者能够在未授权的 情况下访问或破坏系 统。是受限制的计算 机、组件、应用程序 或其他联机资源的无 意中留下的不受保护 的入口点。
• 这类网站可能使用与合法网站相似的域名或子域名 • 这类网站可能使用与合法网站相似的表格来收集访客的资料 • 这类网站可能以真正网页为背景,而本身则采用弹出的视窗形式,藉以误
导和混淆访问者,令他们以为自已身处合法网站
钓鱼网站
• 该仿冒网站与中国银行(香港)有限公司(中银香港 )的官方网站相似。域名为: www.boctelex.cn
信息安全培训
2018年5月
议题
• 需要了解的基本概念 • 当前的安全形势 • 常见的攻击形式 • 应具备的信息安全意识
什么是信息?
符号
数据 01101001011110110010101010010011010010111110100101 什么是信息?
图片
语音
什么是信息安全?
信息安全的三要素CIA
蠕虫
Worm
木马
Trojan
特洛伊木马是一种传统的后门程序,它可以冒 充正常程序,截取敏感信息,或进行其他非法 的操作
制作恶意代码用来做什么?
恶意代码怎么来的
• 网络 • 系统缺陷 • 移动存储设备 • 软件被他人恶意捆绑 • 恶意欺骗 • 操作疏忽
恶意代码怎么来的
• 大多数Hale Waihona Puke Baidu毒都是通过系统缺陷传播
客户
IT技术
企业
互联网时代的安全威胁特征
APT攻击成为常态
• 近年来,黑客组织锁定高度机密的 政府数据、金融信息、工业设计资 料等等,成功利用APT(高级持续 性威胁)攻击制造多起大型数据外 泄事件
信息窃取类攻击加剧
• 攻击主要目的从破坏转向获取信息 • 美国 Target 超市7000万笔客户资料 • 美国 Home Depot 16 家饰建材连锁卖
法机构或合法个人,骗取用户名、账号、 密码等信息
钓鱼网站 • 诱使浏览看似合法网站的欺诈网站,并
在站内的表格输入个人资料。
钓鱼邮件欺骗的特点
• 这类邮件一般以重要告 示、紧急更新或警报的 形式示人,其虚假的标 题旨在令收件人相信发 件来源可靠而把邮件打 开。
• 这类邮件通常使用假冒 的发件人地址或伪冒的 机构名称,令邮件看似 确是发自其伪冒的机构。
Confidentiality
Availability
Information
Integrity
信息面临着安全威胁
嘿嘿,这顿美 餐唾手可 得……
威胁就像这只贪婪的猫
如果盘中美食暴露在外
遭受损失也就难免了
呜呜,可怜我手 无缚鸡之力……
6
为什么会有信息安全问题?
•因为有病毒吗? • 因为有黑客吗?
• 因为有漏洞吗?
掠夺竞争优势,恐吓
威胁
犯罪团伙
施行报复,实现经济目的,
破坏制度
局部
社会型黑客
攫取金钱,恐吓,挑战,获取 声望
威胁
娱乐型黑客
以吓人为乐,喜欢挑战
安全问题根源—外因2:来自自然的破坏
安全问题随着信息技术的发展同时产生
电报电话通信
计算机加工存储 网络互联时代
信息安全问题的诞生
• 人类开始信息的通信,信息安全的历史就开始了 – 公元前500年,斯巴达人用于加解密的一种军事设备。发送者 把一条羊皮螺旋形地缠在一个圆柱形棒上。
❖ 在相信任何人之前,先校验其真实的身份 ❖ 不要违背公司的安全策略,哪怕是你的上司向你索取个人敏感信息(
Kevin Mitnick最擅长的就是冒充一个很焦急的老板,利用一般人好心 以及害怕上司的心理,向系统管理员索取口令) ❖ 所谓的黑客,更多时候并不是技术多么出众,而是社会工程的能力比 较强
– 冲击波 – 震荡波 – 尼姆达 – 魔鬼波
恶意代码怎么来的
• 由于移动存储设备经常被多个电脑使用,所有病毒设计者 就利用这点进行小范围传播。
– 移动硬盘 – 软盘 – 光盘 – U盘
恶意代码怎么来的
❖ 安装的软件被他人捆绑了恶意代码
▪ 木马 ▪ 病毒
❖ 安装了流氓软件
▪ CNNIC中文网址 ▪ DuDu加速器 ▪ 网络猪 ▪ STD广告发布系统 ▪ 千橡下属网站 ▪ 桌面传媒 ▪ 划词搜索
社会工程学
❖ Social Engneering ❖ 利用社会交往(通常是在伪装
之下)从目标对象那里获取信 息
❖ 例如:
电话呼叫服务中心 在走廊里的聊天 冒充服务技术人员
❖ 著名黑客Kevin Mitnick更多是 通过社会工程来渗透网络的, 而不是高超的黑客技术
“人是最薄弱的 环节。你可能拥有最 好的技术、防火墙、 入侵检测系统、生物 鉴别设备,可只要有 人给毫无戒心的员工 打个电话……”
应用安全 安全服务
通信安全 网络安全
信息保障
安全管理 风险管理 安全管控 体系建设 合规遵从
数据安全 技术系统安全问题 信息系统安全问题
“组织内部环境”
现在人们意识到:所有信息安全问题的根源都来自于人( 的行为),必须从管理的角度解决问题
为什么总是出现信息安全事件?
外因是条件,内因是关键。 外因是危险的网络环境,病毒、木马,钓鱼, 欺诈等。 内因是自己对信息安全的意识和重视。
• 在进行网上银行或财务查询/交易时,不要使用浏览器从事其他网上活动或 连接其他网址。在完成交易后,切记要打印或备存交易记录或确认通知,以 供日后查核。不要保存帐号和密码
• 不要给通过电子方式给任何机构和个人提供敏感的个人或账户资料 • 确保电脑采用最新的病毒识别码,以减低利用软件漏洞的机会
其它欺骗方式
高危安全漏洞频现
• 心脏滴血(Heartbleed)漏洞、BASH漏洞、 POODLE漏洞等重大安全漏洞的曝光,震 动了整个互联网
• 截至2014年底,已有近165家P2P平台由于 黑客攻击造成系统瘫痪、数据被恶意篡改 、资金被洗劫一空
保险业
互联网金融
议题
• 需要了解的基本概念 • 当前的安全形势 • 常见的攻击形式 • 应具备的信息安全意识
议题
• 需要了解的基本概念 • 当前的安全形势 • 常见的攻击形式 • 应具备的信息安全意识
18
传统的企业运作模式
❖ 信息安全仅作为后台数据的保障 ❖ 基本与业务无关的信息安全需求 ❖ 传统的安全威胁:病毒、宕机、误
操作、泄密
新的运作模式
❖ 基于以移动设备和应用为核心,以云 服务、移动网络、大数据分析、社交 网络技术为依托的第三平台
场的6000万笔客户资料 • eBay遭到神秘黑客的攻击 • iCloud泄露出大量好莱坞影星私密照片
internet
针对移动和金融领域威胁增加
• 2014年新增移动恶意程序和手机银行 木马分别达295500种和12100种,较 2013年高出1.8倍和8倍。不仅如此, 53%的网络攻击均涉及窃取用户钱财( 短信木马和银行木马)的手机木马。
恶意代码怎么来的 • 如果你收到这样一封Email
自动弹出了一个黑客程序 如果这个程序是木马的话
恶意代码怎么来的
• 通过IM发送链接或 附件,引诱用户打 开链接或接收附件, 从而感染病毒
• 不要随意下载或安装软件 • 不要接收与打开从E-mail或IM(QQ、MSN等)中传来的不明附件 • 不要点击他人发送的不明链接,也不登录不明网站 • 尽量不能过移动介质共享文件 • 自动或定期更新OS与应用软件的补丁 • 所有计算机必须部署指定的防病毒软件 • 防病毒软件与病毒库必须持续更新 • 感染病毒的计算机必须从网络中隔离(拨除连接的网线)直至清除病毒 • 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制
防范措施
• 不要登入可疑网站,不要打开或滥发邮件中不可信赖来源或所载的URL链接, 以免被看似合法的恶意链接转往恶意网站
• 打开邮件附件时要提高警惕,不要打开扩展名为“pif”, “exe”, “bat”, ".vbs"的附件
• 避免在咖啡室、图书馆、网吧等场所的公用计算机进行网上银行或财务查询 /交易。这些公用计算机可能装有入侵工具或特洛伊木马
C
保密性(Confidentiality)—— 确保信息在存储、使用、传输过程 中不会泄漏给非授权用户或实体。
完整性(Integrity)—— 确保信息在存储、使用、传输过程中不会
I
被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息
内部和外部的一致性。
A
可用性(Availability)—— 确保授权用户或实体对信息及资源的正 常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
—— Kevin Mitnick
常见方式
• 多次搜集你认为无用的的信息 • 正面攻击—直接索取(直接了当的开口要求所需的信息 ) • 通过建立信任来获取信息 • 博取同情,希望得到帮助来获取信息 • 假冒网站和邮件 • 逆向骗局 • 进入内部 • 攻击新进员工
警惕社会工程学
❖ 不要轻易泄漏任何信息,社会工程师可以从信息中找到隐藏的有价值 的信息,更不要说是口令和账号
26
特洛伊木马
黑客攻击 后门、隐蔽通道 计算机病毒
信息丢失、 篡改、销毁
网络
逻辑炸弹
蠕虫
拒绝服务攻击 内部、外部泄密
恶意代码
常见的计算机病毒
病毒
Virus
传统的计算机病毒,具有自我繁殖能力,寄生于 其他可执行程序中的,通过磁盘拷贝、文件共享、 电子邮件等多种途径进行扩散和感染
网络蠕虫不需借助其他可执行程序就能独立存在 并运行,通常利用网络中某些主机存在的漏洞来 感染和扩散
信息安全发展历程
通信安全
信息安全
数据保密
网络安全 系统安全
应用安全 安全服务
信息保障
安全管理 风险管理 安全管控 体系建设 合规遵从
以二战时期真实 历史为背景的, 关于电报密文窃 听和密码破解的 故事
转轮密码机ENIGMA,1944年 装备德国海军
20世纪,40年代-70年代,通过密码技术解决通信保密,内容篡改
• 这类邮件所设的URL,通 常会诱导收件人连接到 一个欺诈网站,而非链 路表上面所显示的合法 网站。
钓鱼网站欺骗的特点
• 这类网站使用外表真实网站一样的内容,如图像、文字或公司标记,甚至 会复制合法网站,以诱骗访客输入帐户或财务资料
• 这类网站设有真正链接,连接合法网站中如「联络我们」或「私隐及免责 声明」等网页内容,藉以蒙骗访问者
这些都是原因, 但没有说到根源
安全问题根源—内因1:系统越来越复杂
安全问题根源—内因2:人是复杂的
安全问题根源—外因1:来自对手的威胁
国家 安全
信息战士
减小国家决策空间、战略优势, 制造混乱,进行目标破坏
威胁
情报机构
搜集政治、军事,经济信息
恐怖分子
破坏公共秩序,制造混乱,发 动政变
共同
商业间谍
CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:
D A D 泄
篡
破
漏
isclosure 改
lteration 坏
estruction
什么是信息安全? 信息安全的实质
采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、 更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事 件对业务造成的影响减到最小,确保组织业务运行的连续性。
漏洞举例:越权访问漏洞
漏洞举例:信息泄露漏洞
漏洞举例:业务逻辑漏洞
安全建议
网络钓鱼
网络钓鱼的常用手法
• 钓鱼 (Phishing)
• 利用电子邮件或恶意网站吸引受害者 • 伪装成有名的、可信的网站
• 通常为了金钱或个人信息 • 网站要求用户填入账户或个人信息
钓鱼邮件 • 通过邮件诱使收件人相信邮件是来自合
信息系统安全
通信安全
信息安全
数据保密
网络安全 系统安全
应用安全 安全服务
信息保障
安全管理 风险管理 安全管控 体系建设 合规遵从
20世纪,70-90年代后,计算机和网络改变了一切,安全变成了 确保信息在网络信息系统中的存储、处理和传输过程中免受非授权 的访问
信息安全保障
通信安全
信息安全
数据保密
网络安全 系统安全
❖ C2C、B2B、 B2C、 O2O
新的安全环境
❖ 网络结构日趋复杂,移动化使传统的网 络边界变的模糊,传统的安全防护手段 很难再提供可靠的保障求
❖ 新兴安全威胁:安全漏洞、APT、 DDOS、恶意APP、金融木马、信息泄 露、帐号窃取、钓鱼攻击
传统业务模式
业务
客户
企业
IT支撑
IT技术
新业务模式 业务 IT支撑
37
拒绝服务攻击
分布式拒绝服务攻击(DDOS)
Hacker (黑客)
M
M
M
Master
(主攻手)
zzz
zz
z z z Zombie (僵尸)
Target (目标机)
漏洞攻击
----定义 在硬件、软件、
协议的具体实现或系 统安全策略上存在的 缺陷,从而可以使攻 击者能够在未授权的 情况下访问或破坏系 统。是受限制的计算 机、组件、应用程序 或其他联机资源的无 意中留下的不受保护 的入口点。
• 这类网站可能使用与合法网站相似的域名或子域名 • 这类网站可能使用与合法网站相似的表格来收集访客的资料 • 这类网站可能以真正网页为背景,而本身则采用弹出的视窗形式,藉以误
导和混淆访问者,令他们以为自已身处合法网站
钓鱼网站
• 该仿冒网站与中国银行(香港)有限公司(中银香港 )的官方网站相似。域名为: www.boctelex.cn
信息安全培训
2018年5月
议题
• 需要了解的基本概念 • 当前的安全形势 • 常见的攻击形式 • 应具备的信息安全意识
什么是信息?
符号
数据 01101001011110110010101010010011010010111110100101 什么是信息?
图片
语音
什么是信息安全?
信息安全的三要素CIA
蠕虫
Worm
木马
Trojan
特洛伊木马是一种传统的后门程序,它可以冒 充正常程序,截取敏感信息,或进行其他非法 的操作
制作恶意代码用来做什么?
恶意代码怎么来的
• 网络 • 系统缺陷 • 移动存储设备 • 软件被他人恶意捆绑 • 恶意欺骗 • 操作疏忽
恶意代码怎么来的
• 大多数Hale Waihona Puke Baidu毒都是通过系统缺陷传播
客户
IT技术
企业
互联网时代的安全威胁特征
APT攻击成为常态
• 近年来,黑客组织锁定高度机密的 政府数据、金融信息、工业设计资 料等等,成功利用APT(高级持续 性威胁)攻击制造多起大型数据外 泄事件
信息窃取类攻击加剧
• 攻击主要目的从破坏转向获取信息 • 美国 Target 超市7000万笔客户资料 • 美国 Home Depot 16 家饰建材连锁卖
法机构或合法个人,骗取用户名、账号、 密码等信息
钓鱼网站 • 诱使浏览看似合法网站的欺诈网站,并
在站内的表格输入个人资料。
钓鱼邮件欺骗的特点
• 这类邮件一般以重要告 示、紧急更新或警报的 形式示人,其虚假的标 题旨在令收件人相信发 件来源可靠而把邮件打 开。
• 这类邮件通常使用假冒 的发件人地址或伪冒的 机构名称,令邮件看似 确是发自其伪冒的机构。
Confidentiality
Availability
Information
Integrity
信息面临着安全威胁
嘿嘿,这顿美 餐唾手可 得……
威胁就像这只贪婪的猫
如果盘中美食暴露在外
遭受损失也就难免了
呜呜,可怜我手 无缚鸡之力……
6
为什么会有信息安全问题?
•因为有病毒吗? • 因为有黑客吗?
• 因为有漏洞吗?
掠夺竞争优势,恐吓
威胁
犯罪团伙
施行报复,实现经济目的,
破坏制度
局部
社会型黑客
攫取金钱,恐吓,挑战,获取 声望
威胁
娱乐型黑客
以吓人为乐,喜欢挑战
安全问题根源—外因2:来自自然的破坏
安全问题随着信息技术的发展同时产生
电报电话通信
计算机加工存储 网络互联时代
信息安全问题的诞生
• 人类开始信息的通信,信息安全的历史就开始了 – 公元前500年,斯巴达人用于加解密的一种军事设备。发送者 把一条羊皮螺旋形地缠在一个圆柱形棒上。
❖ 在相信任何人之前,先校验其真实的身份 ❖ 不要违背公司的安全策略,哪怕是你的上司向你索取个人敏感信息(
Kevin Mitnick最擅长的就是冒充一个很焦急的老板,利用一般人好心 以及害怕上司的心理,向系统管理员索取口令) ❖ 所谓的黑客,更多时候并不是技术多么出众,而是社会工程的能力比 较强
– 冲击波 – 震荡波 – 尼姆达 – 魔鬼波
恶意代码怎么来的
• 由于移动存储设备经常被多个电脑使用,所有病毒设计者 就利用这点进行小范围传播。
– 移动硬盘 – 软盘 – 光盘 – U盘
恶意代码怎么来的
❖ 安装的软件被他人捆绑了恶意代码
▪ 木马 ▪ 病毒
❖ 安装了流氓软件
▪ CNNIC中文网址 ▪ DuDu加速器 ▪ 网络猪 ▪ STD广告发布系统 ▪ 千橡下属网站 ▪ 桌面传媒 ▪ 划词搜索
社会工程学
❖ Social Engneering ❖ 利用社会交往(通常是在伪装
之下)从目标对象那里获取信 息
❖ 例如:
电话呼叫服务中心 在走廊里的聊天 冒充服务技术人员
❖ 著名黑客Kevin Mitnick更多是 通过社会工程来渗透网络的, 而不是高超的黑客技术
“人是最薄弱的 环节。你可能拥有最 好的技术、防火墙、 入侵检测系统、生物 鉴别设备,可只要有 人给毫无戒心的员工 打个电话……”
应用安全 安全服务
通信安全 网络安全
信息保障
安全管理 风险管理 安全管控 体系建设 合规遵从
数据安全 技术系统安全问题 信息系统安全问题
“组织内部环境”
现在人们意识到:所有信息安全问题的根源都来自于人( 的行为),必须从管理的角度解决问题
为什么总是出现信息安全事件?
外因是条件,内因是关键。 外因是危险的网络环境,病毒、木马,钓鱼, 欺诈等。 内因是自己对信息安全的意识和重视。
• 在进行网上银行或财务查询/交易时,不要使用浏览器从事其他网上活动或 连接其他网址。在完成交易后,切记要打印或备存交易记录或确认通知,以 供日后查核。不要保存帐号和密码
• 不要给通过电子方式给任何机构和个人提供敏感的个人或账户资料 • 确保电脑采用最新的病毒识别码,以减低利用软件漏洞的机会
其它欺骗方式
高危安全漏洞频现
• 心脏滴血(Heartbleed)漏洞、BASH漏洞、 POODLE漏洞等重大安全漏洞的曝光,震 动了整个互联网
• 截至2014年底,已有近165家P2P平台由于 黑客攻击造成系统瘫痪、数据被恶意篡改 、资金被洗劫一空
保险业
互联网金融
议题
• 需要了解的基本概念 • 当前的安全形势 • 常见的攻击形式 • 应具备的信息安全意识
议题
• 需要了解的基本概念 • 当前的安全形势 • 常见的攻击形式 • 应具备的信息安全意识
18
传统的企业运作模式
❖ 信息安全仅作为后台数据的保障 ❖ 基本与业务无关的信息安全需求 ❖ 传统的安全威胁:病毒、宕机、误
操作、泄密
新的运作模式
❖ 基于以移动设备和应用为核心,以云 服务、移动网络、大数据分析、社交 网络技术为依托的第三平台
场的6000万笔客户资料 • eBay遭到神秘黑客的攻击 • iCloud泄露出大量好莱坞影星私密照片
internet
针对移动和金融领域威胁增加
• 2014年新增移动恶意程序和手机银行 木马分别达295500种和12100种,较 2013年高出1.8倍和8倍。不仅如此, 53%的网络攻击均涉及窃取用户钱财( 短信木马和银行木马)的手机木马。
恶意代码怎么来的 • 如果你收到这样一封Email
自动弹出了一个黑客程序 如果这个程序是木马的话
恶意代码怎么来的
• 通过IM发送链接或 附件,引诱用户打 开链接或接收附件, 从而感染病毒
• 不要随意下载或安装软件 • 不要接收与打开从E-mail或IM(QQ、MSN等)中传来的不明附件 • 不要点击他人发送的不明链接,也不登录不明网站 • 尽量不能过移动介质共享文件 • 自动或定期更新OS与应用软件的补丁 • 所有计算机必须部署指定的防病毒软件 • 防病毒软件与病毒库必须持续更新 • 感染病毒的计算机必须从网络中隔离(拨除连接的网线)直至清除病毒 • 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制
防范措施
• 不要登入可疑网站,不要打开或滥发邮件中不可信赖来源或所载的URL链接, 以免被看似合法的恶意链接转往恶意网站
• 打开邮件附件时要提高警惕,不要打开扩展名为“pif”, “exe”, “bat”, ".vbs"的附件
• 避免在咖啡室、图书馆、网吧等场所的公用计算机进行网上银行或财务查询 /交易。这些公用计算机可能装有入侵工具或特洛伊木马
C
保密性(Confidentiality)—— 确保信息在存储、使用、传输过程 中不会泄漏给非授权用户或实体。
完整性(Integrity)—— 确保信息在存储、使用、传输过程中不会
I
被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息
内部和外部的一致性。
A
可用性(Availability)—— 确保授权用户或实体对信息及资源的正 常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
—— Kevin Mitnick
常见方式
• 多次搜集你认为无用的的信息 • 正面攻击—直接索取(直接了当的开口要求所需的信息 ) • 通过建立信任来获取信息 • 博取同情,希望得到帮助来获取信息 • 假冒网站和邮件 • 逆向骗局 • 进入内部 • 攻击新进员工
警惕社会工程学
❖ 不要轻易泄漏任何信息,社会工程师可以从信息中找到隐藏的有价值 的信息,更不要说是口令和账号
26
特洛伊木马
黑客攻击 后门、隐蔽通道 计算机病毒
信息丢失、 篡改、销毁
网络
逻辑炸弹
蠕虫
拒绝服务攻击 内部、外部泄密
恶意代码
常见的计算机病毒
病毒
Virus
传统的计算机病毒,具有自我繁殖能力,寄生于 其他可执行程序中的,通过磁盘拷贝、文件共享、 电子邮件等多种途径进行扩散和感染
网络蠕虫不需借助其他可执行程序就能独立存在 并运行,通常利用网络中某些主机存在的漏洞来 感染和扩散
信息安全发展历程
通信安全
信息安全
数据保密
网络安全 系统安全
应用安全 安全服务
信息保障
安全管理 风险管理 安全管控 体系建设 合规遵从
以二战时期真实 历史为背景的, 关于电报密文窃 听和密码破解的 故事
转轮密码机ENIGMA,1944年 装备德国海军
20世纪,40年代-70年代,通过密码技术解决通信保密,内容篡改
• 这类邮件所设的URL,通 常会诱导收件人连接到 一个欺诈网站,而非链 路表上面所显示的合法 网站。
钓鱼网站欺骗的特点
• 这类网站使用外表真实网站一样的内容,如图像、文字或公司标记,甚至 会复制合法网站,以诱骗访客输入帐户或财务资料
• 这类网站设有真正链接,连接合法网站中如「联络我们」或「私隐及免责 声明」等网页内容,藉以蒙骗访问者
这些都是原因, 但没有说到根源
安全问题根源—内因1:系统越来越复杂
安全问题根源—内因2:人是复杂的
安全问题根源—外因1:来自对手的威胁
国家 安全
信息战士
减小国家决策空间、战略优势, 制造混乱,进行目标破坏
威胁
情报机构
搜集政治、军事,经济信息
恐怖分子
破坏公共秩序,制造混乱,发 动政变
共同
商业间谍
CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:
D A D 泄
篡
破
漏
isclosure 改
lteration 坏
estruction
什么是信息安全? 信息安全的实质
采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、 更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事 件对业务造成的影响减到最小,确保组织业务运行的连续性。
漏洞举例:越权访问漏洞
漏洞举例:信息泄露漏洞
漏洞举例:业务逻辑漏洞
安全建议
网络钓鱼
网络钓鱼的常用手法
• 钓鱼 (Phishing)
• 利用电子邮件或恶意网站吸引受害者 • 伪装成有名的、可信的网站
• 通常为了金钱或个人信息 • 网站要求用户填入账户或个人信息
钓鱼邮件 • 通过邮件诱使收件人相信邮件是来自合
信息系统安全
通信安全
信息安全
数据保密
网络安全 系统安全
应用安全 安全服务
信息保障
安全管理 风险管理 安全管控 体系建设 合规遵从
20世纪,70-90年代后,计算机和网络改变了一切,安全变成了 确保信息在网络信息系统中的存储、处理和传输过程中免受非授权 的访问
信息安全保障
通信安全
信息安全
数据保密
网络安全 系统安全
❖ C2C、B2B、 B2C、 O2O
新的安全环境
❖ 网络结构日趋复杂,移动化使传统的网 络边界变的模糊,传统的安全防护手段 很难再提供可靠的保障求
❖ 新兴安全威胁:安全漏洞、APT、 DDOS、恶意APP、金融木马、信息泄 露、帐号窃取、钓鱼攻击
传统业务模式
业务
客户
企业
IT支撑
IT技术
新业务模式 业务 IT支撑