IDC信息安全意识培训讲义.pptVIP

* 一个巴掌拍不响！ 外因是条件 内因才是根本！ * 我们自身的弱点不容小视 ? 技术弱点 ? 操作弱点 ? 管理弱点 系统、 程序、设备中存在的漏洞或缺陷 配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份过程的不当等 策略、程序、规章制度、人员意识、组织结构等方面的不足 * 人最常犯的一些错误 将口令写在便签上，贴在电脑监视器旁 开着电脑离开，就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件，好奇打开邮件附件 使用容易猜测的口令，或者根本不设口令 丢失笔记本电脑 不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息 随便拨号上网，或者随意将无关设备连入公司网络 事不关己，高高挂起，不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁，忽视企业内部人员的问题 * 想想你是否也犯过这些错误？ * 嘿嘿，这顿美餐唾手可得…… 呜呜，可怜我手无缚鸡之力…… 威胁就像这只贪婪的猫 如果盘中美食暴露在外 遭受损失也就难免了 * 信息资产对我们很重要，是要保护的对象 外在的威胁就像苍蝇一样，挥之不去，无孔不入 资产本身又有各种弱点，给威胁带来可乘之机 于是，我们面临各种风险，一旦发生就成为安全事件 时刻都应保持清醒的认识 * 我们需要去做的就是 …… 严防威胁 消减弱点 应急响应 保护资产 熟悉潜在的安全问题 知道怎样防止其发生 知道发生后如何应对 * 还记得消防战略吗？ 隐患险于明火！ 预防重于救灾！ * 到底哪里出了纰漏 …… 张某29岁，毕业于邮电学院，资质平平，谈不上精通计算机和网络技术 邮政储蓄网络的防范可谓严密： 与Internet物理隔离的专网；配备了防火墙；从前台分机到主机经过数重密码认证 * 可还是出事了，郁闷呀 ? 问题究竟出在哪里？ 思考中…… 哦，原来如此 —— * 看来，问题真的不少呀 …… 张某私搭电缆，没人过问和阻止，使其轻易进入邮政储蓄专网 临洮县太石镇的邮政储蓄网点使用原始密码，没有定期更改，而且被员工周知，致使张某轻松突破数道密码关，直接进入了操作系统 问题出现时，工作人员以为是网络系统故障，没有足够重视 …… * 总结教训 …… 最直接的教训：漠视口令安全带来恶果！ 归根到底，是管理上存在漏洞，人员安全意识淡薄 安全意识的提高刻不容缓！ * 一起证券行业计算机犯罪案例 凭借自己的耐心和别人的粗心，股市“菜鸟”严某非法侵入“股神通”10个单位和个人的股票账户，用别人的钱磨练自己的炒股技艺 …… ———— 青年报，2003年12月 时间：2003年6月 地点：上海 人物：26岁的待业青年严某 * 事情是这样的 …… 2003年3月，严父在家中安装开通“股神通”业务，进行即时股票交易。 2003年6月的一天，严某偶得其父一张股票交易单，上有9位数字的账号，遂动了“瞎猫碰死老鼠”的念头：该证券公司客户账号前6位数字是相同的，只需猜后3位；而6位密码，严某锁定为“123456”。 严某”埋头苦干“，第一天连续输入了3000个数字组合，一无所获。 第二天继续，很快”奇迹“出现，严某顺利进入一个股票账户。利用相同的方法，严某又先后侵入了10余个股票账户。 严某利用别人的账户，十几天里共买进卖出1000多万元股票，损失超过14万元，直到6月10日案发。 严某被以破坏计算机信息系统罪依法逮捕。 * 问题出在哪里 …… 严某不算聪明，但他深知炒股的多是中老年人，密码设置肯定不会复杂。首先，作为股民，安全意识薄弱 证券公司，在进行账户管理时也存在不足：初始密码设置太简单，没提醒客户及时修改等 作为设备提供商，“股神通”软件设计里的安全机制太简单脆弱，易被人利用 * 总结教训 …… 又是口令安全的问题！ 又是人的安全意识问题！ 再次强调安全意识的重要性！ * 一个与物理安全相关的典型案例 时间：2002年某天夜里 地点：A公司的数据中心大楼 人物：一个普通的系统管理员 一个普通的系统管理员，利用看似简单的方法，就进入了需要门卡认证的数据中心…… ———— 来自国外某论坛的激烈讨论，2002年 * 情况是这样的 …… A公司的数据中心是重地，设立了严格的门禁制度，要求必须插入门卡才能进入。不过，出来时很简单，数据中心一旁的动作探测器会检测到有人朝出口走去，门会自动打开 数据中心有个系统管理员张三君，这天晚上加班到很晚，中间离开数据中心出去夜宵，可返回时发现自己被锁在了外面，门卡落在里面了，四周别无他人，一片静寂 张三急需今夜加班，可他又不想打扰他人，怎么办