Transcript 安全意识和风险关联
信息安全意识交流 江苏公司 汤伟 什么是安全意识? 安全意识(Security awareness),就是能够认 知可能存在的安全问题,明白安全事故对教学的 危害,恪守正确的行为方式,并且清楚在安全事 故发生时所应采取的措施。 2 目 录 • • • • 现实教训 追踪问题的根源 掌握基本概念 建立良好的安全习惯 – – – – – – – – – – – – – • 3 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 法律法规 寻求帮助 第1部分 惨痛的教训! 严峻的现实! 4 一起国外的金融计算机犯罪案例 在线银行——一颗定时炸弹。 最近,南非的Absa银行遇到了 麻烦,它的互联网银行服务发生一 系列安全事件,导致其客户成百万 美元的损失。Absa银行声称自己 的系统是绝对安全的,而把责任归 结为客户所犯的安全错误上。 Absa银行的这种处理方式遭致广 泛批评。那么,究竟是怎么回事呢? 5 前因后果是这样的 …… Absa是南非最大的一家银行,占有35%的市场份额, 其Internet银行业务拥有40多万客户。 2003年6、7月间,一个30岁男子,盯上了Absa的在 线客户,向这些客户发送携带有间谍软件(spyware) 的邮件,并成功获得众多客户的账号信息,从而通过 Internet进行非法转帐,先后致使10个Absa的在线客户 损失达数万法郎。 该男子后来被南非警方逮捕。 6 间谍软件 —— eBlaster 这是一个商业软件(http://www.spectorsoft.com/),该软件本意是 帮助父母或老板监视孩子或雇员的上网活动 该软件可记录包括电子邮件、网上聊天、即时消息、Web访问、 键盘操作等活动,并将记录信息悄悄发到指定邮箱 商业杀毒软件一般都忽略了这个商业软件 本案犯罪人就是用邮件附件方式,欺骗受害者执行该软件,然后 窃取其网上银行账号和PIN码信息的 7 我们来总结一下教训 Absa声称不是自己的责任,而是客户的问题 安全专家和权威评论员则认为:Absa应负必要责任, 其电子银行的安全性值得怀疑 Deloitte安全专家Rogan Dawes认为:Absa应向其客 户灌输更多安全意识,并在易用性和安全性方面达成平 衡 IT技术专家则认为:电子银行应采用更强健的双因素认 证机制(口令或PIN+智能卡),而不是简单的口令 我们认为:Absa银行和客户都有责任 8 国内金融计算机犯罪的典型案例 一名普通的系统维护人员,轻松破解数道密码,进入 邮政储蓄网络,盗走83.5万元。这起利用网络进行金融 盗窃犯罪的案件不久前被甘肃省定西地区公安机关破 获 …… ———— 人民日报,2010年12月 时间:2010年11月 地点:甘肃省定西地区临洮县太石 镇邮政储蓄所 人物:一个普通的系统管理员 9 怪事是这么发生的…… 2010年10月5日,定西临洮县太石镇邮政储蓄所的营业电脑突然死机 工作人员以为是一般的故障,对电脑进行了简单的修复和重装处理 17日,工作人员发现打印出的报表储蓄余额与实际不符,对账发现,13 日发生了11笔交易,83.5万异地帐户是虚存(有交易记录但无实际现金) 紧急与开户行联系,发现存款已从兰州、西安等地被取走大半 储蓄所向县公安局报案 公安局向定西公安处汇报 公安处成立专案组,同时向省公安厅上报 …… 10 当然,最终结果不错 …… 经过缜密的调查取证,我 英勇机智的公安干警终于一 举抓获这起案件的罪魁祸 首 —— 会宁邮政局一个普 通的系统维护人员张某 11 事情的经过原来是这样的 …… ③ 登录到 永登邮政局 ② 张某借 工作之便, 利用笔记本 电脑连接电 缆到邮政储 蓄专网 会宁 ④ 破解口令,登录到 临洮一个邮政储蓄所 临洮 永登 ⑤ 向这些帐户虚存83.5万,退 出系统前删掉了打印操作系统 ① 会宁的张某用假身份证 在兰州开了8个活期帐户 12 ⑥ 最后,张某在兰州 和西安等地提取现金 到底哪里出了纰漏 …… 张某29岁,毕业于邮电学院,资质平平,谈不上精 通计算机和网络技术 邮政储蓄网络的防范可谓严密: 与Internet物理隔离的专网;配备了防火墙; 从前台分机到主机经过数重密码认证 13 可还是出事了,郁闷呀 问题究竟出在哪里? 思考中…… 哦,原来如此 —— 14 看来,问题真的不少呀 …… 张某私搭电缆,没人过问和阻止,使其轻易进入邮政 储蓄专网 临洮县太石镇的邮政储蓄网点使用原始密码,没有定 期更改,而且被员工周知,致使张某轻松突破数道密码 关,直接进入了操作系统 问题出现时,工作人员以为是网络系统故障,没有足 够重视 …… 15 总结教训 …… 最直接的教训:漠视口令安全带来恶果! 归根到底,是管理上存在漏洞,人员安全意识淡薄 安全意识的提高刻不容缓! 16 一起证券行业计算机犯罪案例 凭借自己的耐心和别人的粗心,股市“菜鸟”严某非法 侵入“股神通”10个单位和个人的股票账户,用别人的钱 磨练自己的炒股技艺 …… ———— 青年报,2009年12月 时间:2009年6月 地点:上海 人物:26岁的待业青年严某 17 事情是这样的 …… 2009年3月,严父在家中安装开通“股神通”业务,进行即时股票交易。 2009年6月的一天,严某偶得其父一张股票交易单,上有9位数字的账号, 遂动了“瞎猫碰死老鼠”的念头:该证券公司客户账号前6位数字是相同的, 只需猜后3位;而6位密码,严某锁定为“123456”。 严某”埋头苦干“,第一天连续输入了3000个数字组合,一无所获。 第二天继续,很快”奇迹“出现,严某顺利进入一个股票账户。利用相同 的方法,严某又先后侵入了10余个股票账户。 严某利用别人的账户,十几天里共买进卖出1000多万元股票,损失超过 14万元,直到6月10日案发。 严某被以破坏计算机信息系统罪依法逮捕。 18 问题出在哪里 …… 严某不算聪明,但他深知炒股的多是中老年人,密码 设置肯定不会复杂。首先,作为股民,安全意识薄弱 证券公司,在进行账户管理时也存在不足:初始密 码设置太简单,没提醒客户及时修改等 作为设备提供商,“股神通”软件设计里的安全机制太 简单脆弱,易被人利用 19 总结教训 …… 又是口令安全的问题! 又是人的安全意识问题! 再次强调安全意识的重要性! 20 一个与物理安全相关的典型案例 一个普通的系统管理员,利用看似简单的方法,就进 入了需要门卡认证的数据中心…… ———— 来自国外某论坛的激烈讨论,2009年 时间:2009年某天夜里 地点:A公司的数据中心大楼 人物:一个普通的系统管理员 21 情况是这样的 …… A公司的数据中心是重地,设立了严格的门禁制度,要求必须插入门卡 才能进入。不过,出来时很简单,数据中心一旁的动作探测器会检测到有 人朝出口走去,门会自动打开 数据中心有个系统管理员张三君,这天晚上加班到很晚,中间离开数据 中心出去夜宵,可返回时发现自己被锁在了外面,门卡落在里面了,四周 别无他人,一片静寂 张三急需今夜加班,可他又不想打扰他人,怎么办? 22 一点线索: 昨天曾在接待区庆祝过某 人生日,现场还未清理干净, 遗留下很多杂物,哦,还有 气球…… 23 聪明的张三想出了妙计 …… ① 张三找 到一个气球, 放掉气 ② 张三面朝大门入口趴下来, 把气球塞进门里,只留下气 球的嘴在门的这边 ③ 张三在门外吹气球, 气球在门内膨胀,然后, 他释放了气球…… ④ 由于气球在门内弹跳, 触发动作探测器,门终于 开了 24 问题出在哪里 …… 如果门和地板齐平且没有缝隙,就不会出这样的事 如果动作探测器的灵敏度调整到不对快速放气的气 球作出反应,也不会出此事 当然,如果根本就不使用动作探测器来从里面开门, 这种事情同样不会发生 25 总结教训 …… 虽然是偶然事件,也没有直接危害,但是潜在风险 既是物理安全的问题,更是管理问题 切记!有时候自以为是的安全,恰恰是最不安全! 物理安全非常关键! 26 类似的事件不胜枚举 苏州某中学计算机教师罗某,只因嫌准备考试太麻烦,产生反 感情绪,竟向江苏省教育厅会考办的考试服务器发动攻击,他以黑 客身份两次闯入该考试服务器,共删除全省中小学信息技术等级考 试文件达100多个,直接经济损失达20多万元,后被警方抓获。 某高校招生办一台服务器,因设置网络共享不加密码,导致共 享目录中保存的有关高考招生的重要信息泄漏,造成了恶劣的社会 影响。 屡屡出现的关于银行ATM取款机的问题。 …… 27 你碰到过类似的事吗? 28 想想校园曾经发生的安全事件 办公环境中曾经发生过丢失笔记本电脑或者手机的情况。 曾经有外来人员,直接进入办公室,在无人随同的情况下,自 己找到空位,将笔记本电脑随意插入到校园网络,致使校园网络感 染病毒。 29 不同行业遭受攻击的平均次数 961 1000 895 900 800 705 725 700 600 500 520 561 592 439 400 300 200 100 0 医疗机构 应用服务 制造商 教育行业 媒体机构 能源制造 金融机构 高科技 过去6个月的统计。Source: Riptech Internet Security Threat Report. January 2011 30 CSI/FBI对安全事件损失的统计 主动塔线窃听 电信窃听 系统渗透 因不满而蓄意破坏 $705,000 $76,000 $2,754,400 $5,148,500 $65,643,300 拒绝服务 $11,767,200 内部人员滥用网络 掌上电脑失窃 $6,830,500 $27,382,340 病毒 $70,195,900 私秘信息失窃 电信欺诈 $701,500 $10,186,400 金融欺诈 内部人员非法访问 $0 $406,300 $10,000,000 $20,000,000 $30,000,000 $40,000,000 $50,000,000 $60,000,000 —— 摘自CSI/FBI的统计报告 2011年12月 31 $70,000,000 $80,000,000 第2部分 问题的根源 威胁和弱点 32 我们时刻都面临来自外部的威胁 木马后门 病毒和蠕虫 黑客渗透 内部人员威胁 逻辑炸弹 拒绝服务 系统Bug 信息资产 社会工程 硬件故障 地震 雷雨 网络通信故障 供电中断 33 失火 人是最关键的因素 判断威胁来源,综合了人为因素和系统自身逻辑与物 理上诸多因素在一起,归根结底,还是人起着决定性的 作用 正是因为人在有意(攻击破坏)或无意(误操作、误 配置)间的活动,才给信息系统安全带来了隐患和威胁 提高人员安全意识和素质势在必行! 34 黑客攻击,是我们 听说最多的威胁! 35 世界头号黑客 —— Kevin Mitnick 出生于1964年 15岁入侵北美空军防务指挥系统,窃取核弹机密 入侵太平洋电话公司的通信网络 入侵联邦调查局电脑网络,戏弄调查人员 16岁被捕,但旋即获释 入侵摩托罗拉、Novell、Sun、Nokia等大公司 与联邦调查局玩猫捉老鼠的游戏 1995年被抓获,被判5年监禁 获释后禁止接触电子物品,禁止从事计算机行业 36 黑客不请自来,乘虚而入 远程控制 破坏攻击 踩点 扫描 获得控制权 清除痕迹 安装后门 转移目标 渗透攻击 获得访问权 37 窃密破坏 了解一些黑客攻击手段很有必要 踩点:千方百计搜集信息,明确攻击目标 扫描:通过网络,用工具来找到目标系统的漏洞 DoS攻击:拒绝服务,是一种破坏性攻击,目的是使资源不可用 DDoS攻击:是DoS的延伸,更大规模,多点对一点实施攻击 渗透攻击:利用攻击软件,远程得到目标系统的访问权或控制权 远程控制:利用安装的后门来实施隐蔽而方便的控制 网络蠕虫:一种自动扩散的恶意代码,就像一个不受控的黑客 38 DoS攻击示例 —— Smurf 攻击者冒充受害主机的IP地址,向一个大 的网络发送echo request 的定向广播包 攻击者 中间网络的许多主机都作出响应,受害主 机会收到大量的echo reply消息 中间反弹网络 受害者 39 DDoS攻击模型 Daemon Daemon Daemon Daemon Internet Daemon Victim Master Daemon Master Intruder 40 蠕虫攻击示例 —— CodeRed DDOS DDOS DDOS Internet DDOS DDOS Randomly Attack Randomly Attack DDOS CodeRed DDOS Randomly Attack 蠕虫制造者 漏洞系统 已打补丁的系统 41 威胁更多是来自公司内部 黑客虽然可怕,可更多时候,内部人员威胁却更易被 忽略,但却更容易造成危害 据权威部门统计,内部人员犯罪(或与内部人员有关 的犯罪)占到了计算机犯罪总量的70%以上 员工误操作 42 蓄意破坏 公司资源私用 一个巴掌拍不响! 外因是条件 内因才是根本! 43 我们自身的弱点不容小视 44 技术弱点 系统、 程序、设备中存在的漏洞或缺陷 操作弱点 配置、操作和使用中的缺陷,包括人员的不良习 惯、审计或备份过程的不当等 管理弱点 策略、程序、规章制度、人员意识、组织结构等 方面的不足 人最常犯的一些错误 将口令写在便签上,贴在电脑监视器旁 开着电脑离开,就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件,好奇打开邮件附件 使用容易猜测的口令,或者根本不设口令 丢失笔记本电脑 不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息 随便拨号上网,或者随意将无关设备连入网络 事不关己,高高挂起,不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁,忽视内部人员的问题 45 想想你是否也犯过 这些错误? 46 嘿嘿,这顿美 餐唾手可 得…… 威胁就像这只贪婪的猫 如果盘中美食暴露在外 遭受损失也就难免了 呜呜,可怜我手 无缚鸡之力…… 47 时刻都应保持清醒的认识 信息资产对我们很重要,是要保护的对象 外在的威胁就像苍蝇一样,挥之不去,无孔不入 资产本身又有各种弱点,给威胁带来可乘之机 于是,我们面临各种风险,一旦发生就成为安全事件 48 我们需要去做的就是 …… 严防威胁 消减弱点 应急响应 保护资产 49 熟悉潜在的安全问题 知道怎样防止其发生 知道发生后如何应对 还记得消防战略吗? 隐患险于明火! 预防重于救灾! 50 第3部分 基本概念 理解和铺垫 51 什么是信息? 消息、信号、数据、情报和知识 信息本身是无形的,借助于信息媒体以多种形式存在或传播: • 存储在计算机、磁带、纸张等介质中 • 记忆在人的大脑里 • 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产: • 计算机和网络中的数据 • 硬件、软件、文档资料 • 关键人员 • 组织提供的服务 具有价值的信息资产面临诸多威胁,需要妥善保护 52 什么是信息安全? 采取措施保护信息资产, 使之不因偶然或者恶意侵犯而遭 受破坏、更改及泄露,保证信息 系统能够连续、可靠、正常地运 行,使安全事件对业务造成的影 响减到最小,确保组织业务运行 的连续性。 53 信息安全关键因素及其相互关系 利用 威胁 漏洞 防止 暴露 控制措施 Reduce 风险 具有 符合 安全需求 资产价值 对组织的影响 54 信息资产 实现信息安全可以采取一些技术手段 物理安全技术:环境安全、设备安全、媒体安全 系统安全技术:操作系统及数据库系统的安全性 网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估 应用安全技术:Email安全、Web访问安全、内容过滤、应用系统安全 数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA特性 认证授权技术:口令认证、证书认证等 访问控制技术:防火墙、访问控制列表等 审计跟踪技术:入侵检测、日志审计、辨析取证 防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系 灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份 55 病毒防护 主机入侵检测 访问控制 漏洞扫描评估 网络入侵检测 防火墙 VPN通道 56 但关键还要看整体的信息安全管理 技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂 信息安全管理构成了信息安全具有能动性的部分,是指导和控制 组织的关于信息安全风险的相互协调的活动 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是 技术上的原因,不如说是管理不善造成的 理解并重视管理对于信息安全的关键作用,对于真正实现信息安 全目标尤其重要 三分技术,七分管理! 57 务必重视信息安全管理 加强信息安全建设工作 58 安全性与方便性的平衡问题 在方便性(convenience,即易用性)和安全性(security) 之间是一种相反的关系 提高了安全性,相应地就降低了方便性 而要提高安全性,又势必增大成本 管理者应在二者之间达成一种可接受的平衡 59 计算机安全领域一句格言: “真正安全的计算机是拔下网 线,断掉电源,放在地下掩体的 保险柜中,并在掩体内充满毒气, 在掩体外安排士兵守卫。” 这样的计算机是没法用了。 绝对的安全是不存在的! 60 正确认识信息安全 安全不是产品的简 单堆积,也不是一次性的静 态过程,它是人员、技术、 操作三者紧密结合的系统工 程,是不断演进、循环发展 的动态过程 61 第4部分 良好的安全习惯 从身边做起 62 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 法律法规 63 重 要 信 息 的 保 密 信息保密级别划分标准 Secret Confidencial Internal Use 缺省 64 Public 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 法律法规 65 信 息 交 换 与 备 份 信息交换及备份 信息交换原则: 明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施 信息发送者和接收者有责任遵守信息交换要求 信息备份 66 对重要的工作文档定期备份到移动存储介质或者网络服务器中。 对于重要的文档可以刻录成光盘,便于长期保存。 养成良好的习惯,不将工作的电子文档存放在桌面上,以免系统崩溃后文档的丢失。 关于数据备份与更新的建议 数据备份是制定备份制度时必须考虑的一种恢复准备 措施 现在,数据备份的途径有多种: • 软盘,CD和DVD,Zip盘,磁带,移动硬盘,优盘 养成对您的数据进行备份的好习惯 备份磁盘不要放在工作场所 对重要的硬盘做好镜像 对重要的软件进行更新,例如微软的产品 • http://windowsupdate.microsoft.com 67 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 法律法规 68 计 算 机 网 络 访 问 软件使用安全 软件使用安全注意点 软件下载需在知名的大网站上下载,尽量不要在个人网页或论坛上下载 不要下载破解的未经认证的软件。 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 法律法规 70 计 算 机 网 络 访 问 信息系统访问控制方针 访问控制基本原则:未经明确允许即为禁止访问 必须通过唯一注册的用户ID来控制用户对网络的访问 用户必须根据要求使用口令并保守秘密 如果遇到用户的岗位变更,需要提出申请开通相应权限 71 网络使用管理规定 内部网络服务:无论直接连接还是通过VPN访问内部网络,必须使用指定的, 并且遵守内部网络访问策略: 用户连接内网访问外部网络必须经过指定防火墙,接受控制和检查 网络带宽和存储容量等计算机资源有限,禁止浪费资源的行为:发送大量邮件列 表和接龙邮件、玩游戏、在线聊天、上传或下载大文件、访问流媒体文件、创建非 业务相关的网络负载等 从内网服务器以外获取的文件,使用前必须接受病毒扫描 72 网络使用管理规定(续1) 允许受控状态下的无线访问,但禁止无线连接外网同时连接内部网络 互联网访问要求: 禁止下载或浏览非法内容 禁止下载或安装非工作相关软件 禁止利用公司计算机非授权进入其他计算机或网络 禁止破坏或干扰其他计算机或网络用户、服务或设备 禁止冒名顶替 IM工具:允许使用IM软件,但禁止通过其传送文件、账号口令等机密信息 第三方临时用户访问:外来计算机进入公司并且需要连接公司网络之前,必 须经过IT部门检查和批准,确保其中不含间谍软件或病毒 第三方远程访问网络时也应遵守相应规定 73 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 法律法规 74 人 员 安 全 管 理 人员管理安全考虑 背景检查 技能意识 培训 75 签署保密 协议 绩效考核 和奖惩 安全职责 说明 内部职位调整及 离职检查流程 信息安全培训规定 所有员工必须根据需要接受恰当的安全培训和指导 根据工作所需,各部门应该识别并评估员工的培训需求 业务部门应该建立并保持员工安全意识程序,确保员工通过培训而精于工 作技能,并将信息安全意识印于脑海 员工接受培训应有签署记录 高管有责任引领信息安全意识促进活动 信息安全意识培训应该持续进行,员工有责任对培训效果提出反馈 技术部门等特定职能和人员应该接受相应的技能培训 76 第三方安全管理规定 应该识别来自第三方的风险:保安、清洁、基础设施维护、供应商 或外包人员,低质量的外包服务也被视作一种安全风险 签署第三方协议时应包含安全要求 第三方若需访问内部信息,需经检查和批准,其访问将受限制 任何第三方禁止访问内网 第三方访问所用工具应经过相关部门检查,其访问应经过认证 负责第三方访问的人员需接受必要的安全意识培训 77 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 法律法规 78 移 动 计 算 与 远 程 办 公 笔记本电脑及远程办公管理规定 所有连接网络的笔记本电脑或其他移动计算机,必须按照公司安全 标准来配置,必须符合的补丁和防病毒管理要求 Office内部非工作时间或在Office外部不使用时,笔记本应锁定,长 时间不使用的笔记本也应锁定 用户不能将口令、用户ID或其他访问信息保存在移动系统上 笔记本遗失应立即向领导汇报 敏感信息(Confidential和Secret)应加密保护 79 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 法律法规 80 工 作 环 境 及 物 理 安 全 工作环境安全管理规定 关键安全区域包括数据中心、安全监控室。其他工作区域和会议室 都属于一般安全区。会客区属于隔离区域 员工需持卡进入公司,忘记带卡时需登记 前台接待负责检查外来访客证件并进行登记,访客进入公司需持 临时卡并经公司相关人员随同 所有入口和内部安全区都部署有摄像头,大门及各楼层入口都被 实时监控 员工禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用 碎纸机粉碎 81 注意你的身边! 注意最细微的地方! 82 我们来看一个可怕的案例 您肯定用过银行的ATM机, 您插入银行卡,然后输入密码, 然后取钱,然后拔卡,然后离 开,您也许注意到您的旁边没 有别人,您很小心,可是,您 真的足够小心吗?…… 83 84 85 86 87 88 89 无论在哪,留意您的 身边总是没错的! 90 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 法律法规 91 病 毒 与 恶 意 代 码 什么是计算机病毒? “计算机病毒,是指编制或者在计算机 程序中插入的破坏计算机功能或者毁坏数 据,影响计算机使用,并能自我复制的一 组计算机指令或者程序代码。” ——《中华人民共和国计算机信息系统安全保护条例》 92 澄清几个概念 病毒 Virus 传统的计算机病毒,具有自我繁殖能力,寄生 于其他可执行程序中的,通过磁盘拷贝、文件 共享、电子邮件等多种途径进行扩散和感染 网络蠕虫不需借助其他可执行程序就能独立存在 并运行,通常利用网络中某些主机存在的漏洞来 感染和扩散,像一个自动化的黑客 木马 Trojan 93 蠕虫 Worm 特洛伊木马是一种传统的后门程序,它可以冒 充正常程序,截取敏感信息,或进行其他非法 的操作 继续讨论 …… 除了蠕虫、病毒、木马等恶意代码,其他恶意代码还 包括逻辑炸弹、远程控制后门等 现在,传统的计算机病毒日益与网络蠕虫结合,发展 成威力更为强大的混合型蠕虫病毒,传播途径更加多样 化(网络、邮件、网页、局域网等) 通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木 马程序,但并不能防止未知病毒,需要经常更新 94 病毒防范策略 所有计算机必须部署指定的防病毒软件 防病毒软件必须持续更新 感染病毒的计算机必须从网络中移除,直到清理了其中的病毒 任何意图在网络创建或分发恶意代码的行为都被视为非法 如果非内部的计算机需要连接公司网络,需经IT部分检查 95 关于病毒问题的重要提示 绝大多数恶意代码都是通过Email来传播的,其他传播 方式还有文件共享、受感染介质、网页浏览等 不要打开不明来源的电子邮件附件 不要浏览不明底细的网站,特别是个人网站 在打开下载文件之前,先进行病毒扫描 安装防病毒软件,扫描存储介质,进行实时监控,并 及时更新病毒库 及时安装系统补丁程序 做好重要数据文件的备份 碰到问题,及时向相关部门汇报并得到帮助 96 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 法律法规 97 口 令 安 全 为什么口令非常重要? 用户名+口令是最简单也最常用的身份认证方式 口令是抵御攻击的第一道防线,防止冒名顶替 口令也是抵御网络攻击的最后一道防线 针对口令的攻击简便易行,口令破解快速有效 由于使用不当,往往使口令成为最薄弱的安全环节 口令与个人私秘息息相关,必须慎重保护 98 关于口令的一些调查结果 一个有趣的调查发现,如果你用一条巧克力来作为交换,有70% 的人乐意告诉你他(她)的口令 有34%的人,甚至不需要贿赂,就可奉献自己的口令 另据调查,有79%的人,在被提问时,会无意间泄漏足以被用来 窃取其身份的信息 姓名、宠物名、生日、球队名最常被用作口令 平均每人要记住四个口令,大多数人都习惯使用相同的口令(在 很多需要口令的地方) 33%的人选择将口令写下来,然后放到抽屉或夹到文件里 99 什么样的口令是比较脆弱的? 少于8个字符 单一的字符类型,例如只用小写字母,或只用数字 用户名与口令相同 最常被人使用的弱口令: • • • • 自己、家人、朋友、亲戚、宠物的名字 生日、结婚纪念日、电话号码等个人信息 工作中用到的专业术语,职业特征 字典中包含的单词,或者只在单词后加简单的后缀 所有系统都使用相同的口令 口令一直不变 100 针对口令的攻击手段 简单的猜测 使用专门的口令破解工具 • 字典攻击(Dictionary Attack) • 暴力攻击(Brute Force Attack) • 混合攻击(Hibrid Attack) 在网络中嗅探明文传送的口令 利用后门工具来截获口令 通过社会工程获取口令 101 也不应该走入另一个极端 口令是越长越好 但“选用20个随机字符作为口令”的建议也不可取 人们总习惯选择容易记忆的口令 如果口令难记,可能会被写下来,这样反倒更不安全 102 选择强口令的建议 口令至少应该由8个字符组成 口令应该是大小写字母、数字、特殊字符的混合体 不要使用名字、生日等个人信息和字典单词 选择易记强口令的几个窍门: • 口令短语 • 字符替换 • 单词误拼 • 键盘模式 103 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 法律法规 104 电 子 邮 件 安 全 “病从Email入”非常普遍 据统计,有超过87%的病毒是借助Email进入企业的 对于下列标题的邮件,选择打开阅览的人数百分比: • I LOVE YOU:有37%的人会打开邮件 • Great joke:54%的人会打开邮件 • Message:46%的人会打开邮件 • Special offer:39%的人会打开邮件 尽管许多人都安装有防毒软件,但很多都长久未更新, 存在配置问题,或者根本就被用户禁用了 105 Email安全策略 不当使用Email可能导致法律风险 禁止发送或转发反动或非法的邮件内容 未经发送人许可,不得转发接收到的邮件 不得伪造虚假邮件,不得使用他人账号发送邮件 未经许可,不得将属于他人邮件的消息内容拷贝转发 个人用途的Email不应干扰工作,并且遵守本策略 避免通过Email发送机密信息,如果需要,应采取必要的加密保护措施 106 接收邮件时的注意事项 不安全的文件类型:绝对不要打开任何以下文件类型的邮件附 件:.bat, .com, .exe, .vbs 未知的文件类型:绝对不要打开任何未知文件类型的邮件附件,包 括邮件内容中到未知文件类型的链接 微软文件类型:如果要打开微软文件类型(例如 .doc, .xls, .ppt等) 的邮件附件或者内部链接,务必先进行病毒扫描 要求发送普通的文本:尽量要求对方发送普通的文本内容邮件, 而不要发送HTML格式邮件,不要携带不安全类型的附件 禁止邮件执行:某些邮件软件可设置,禁止执行HTML内容中的代 码 禁止垃圾邮件:通过设置邮件服务器的过滤,防止接受垃圾邮件 尽早安装系统补丁:杜绝恶意代码利用系统漏洞而实施攻击 107 发送邮件时的注意事项 如果同样的内容可以用普通文本正文,就不要用附件 尽量不要发送.doc, .xls等可能带有宏病毒的文件 发送不安全的文件之前,先进行病毒扫描 不要参与所谓的邮件接龙 尽早安装系统补丁,防止自己的系统成为恶意者的跳板 108 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 法律法规 109 介 质 安 全 管 理 介质安全管理 在移动介质接入电脑时要进行扫描,确保安全接入网络 重要的内容存入介质后需妥善保管,以免资料泄露。 重要纸质介质应摆放在文件柜中,不能任意摊放在桌子 上。 110 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 法律法规 111 警 惕 社 会 工 程 学 “人是最薄弱的环 节。你可能拥有最好 的技术、防火墙、入 侵检测系统、生物鉴 别设备,可只要有人 给毫无戒心的员工打 个电话……” —— Kevin Mitnick 112 什么是社会工程? Social Engneering 利用社会交往(通常是在伪装 之下)从目标对象那里获取信息 例如: • 电话呼叫服务中心 • 在走廊里的聊天 • 冒充服务技术人员 著名黑客Kevin Mitnick更多是 通过社会工程来渗透网络的,而 不是高超的黑客技术 113 怎样防范社会工程? 不要轻易泄漏敏感信息,例如口令和账号 在相信任何人之前,先校验其真实的身份 不要违背公司的安全策略,哪怕是你的上司向你索取 个人敏感信息(Kevin Mitnick最擅长的就是冒充一个很焦 急的老板,利用一般人好心以及害怕上司的心理,向系 统管理员索取口令) 不要忘了,所谓的黑客,更多时候并不是技术多么出 众,而是社会工程的能力比较强 114 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 法律法规 115 法 律 法 规 你应该了解这些内容 …… 与计算机安全相关的法律法规 对知识产权和个人隐私的保护 关于盗版软件的问题 关于计算机犯罪的话题 116 中国的信息立法 近年,中国陆续制定了多部与信息活动密切相关的法律,虽然 大多不专门针对网络环境,甚至有些也不针对电子信息,但它们的 基本精神对网络的建设、管理以及网络中的信息活动都有不同程度 的指导作用。 117 统计法 保守国家秘密法 档案法 著作权法 测绘法 广告法 国家安全法 反不正当竞争法 中国针对信息网络环境的立法 中国对信息系统的立法工作很重视,关于计算机信息系统安全方面的法规较多, 涉及信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治、标准化、 场地设施安全和安全产品检测与销售等方面。 中华人民共和国计算机信息系统安全保护条例 计算机软件著作权登记办法,计算机软件保护条例 计算机场地技术条件,计算机场地安全要求 中华人民共和国保守国家秘密法 计算机信息网络国际联网安全保护管理办法 商用密码管理条例 计算机病毒防治管理办法 计算机信息系统安全专用产品分类原则 计算机信息系统安全专用产品检测和销售许可证管理办法 中华人民共和国刑法(1997年修订时新增关于计算机犯罪条款) 全国人民代表大会常务委员会关于维护互联网安全的决定 118 要点总结! 119 120 加强敏感信息的保密 留意物理安全 遵守法律法规和相应的安全策略 保守口令秘密 谨慎使用Internet和Email 加强人员安全管理 识别并控制第三方风险 加强防病毒措施 有问题及时报告 谨记您的安全责任! 确保敏感信息免遭窃取、丢失、非 授权访问、非授权泄漏、非授权拷贝, 这些信息既包括纸质文件,又包括计算 机和存储设备中的信息。 121 从自身做起! 从一点一滴做起! 122 日常工作须知 123 积极寻求帮 助 软件厂商的安全公告及补丁发布站点 经 典 网 址 推 荐 微软 http://www.microsoft.com/technet/security/current.asp Cisco http://www.cisco.com/warp/public/707/advisory.html Red Hat Linux http://www.redhat.com/support/errata/ Sun Solaris http://sunsolve1.sun.com/ http://www.sun.com/security/ 124 著名的安全公司 http://www.iss.net(互联网安全系统) 经 典 网 址 推 荐 http://www.is-one.net(安氏中国) http://www.nai.com(网络联盟) http://www.symantec.com(赛门铁克) http://www.netscreen.com www.eeye.com (国外著名的安全公司) www.nsfocus.com(中联绿盟) www.venustech.com.cn(启明星辰) http://www.aryasec.com(安言咨询) 125 著名的漏洞及安全信息发布站点 著名的漏洞发布站点Bugtraq 经 典 网 址 推 荐 http://www.securityfocus.com 关于Windows系统安全的综合性网站 http://ntsecurity.net/ 美国计算机应急反应小组 http://www.cert.org 由ISS公司发布的漏洞库 http://xforce.iss.net 漏洞修补网站 http://www.bugnet.com/ ICAT漏洞发布及漏洞库搜索站点 http://icat.nist.gov/icat.cfm 中国计算机网络应急处理中心 http://www.cert.org.cn/cert/index.php 126 著名Exploit程序及安全工具发布站点 经 典 网 址 推 荐 127 www.hack.co.za www.packetstormsecurity.org http://www.thehackerschoice.com/ www.rootshell.com http://www.antionline.com http://lsd-pl.net http://oliver.efri.hr/~crv/security/bugs/list.html http://astalavista.box.sk http://sysinternals.com/ http://www.securiteam.com/ http://www.hideaway.net/Server_Security/Software/software.php http://www.networkintrusion.co.uk/ 优秀的信息安全文档资料汇集站点 经 典 网 址 推 荐 128 http://whitehats.com(白帽子网站,有最新的IDS规则库下载) http://www.phrack.com (国外著名的phrack安全杂志) http://citeseer.nj.nec.com/Security/(大量安全文献的索引) http://www.securityflaw.com/bible/(有大量的安全文献) http://secinf.net/(有大量的安全文档,比较全面) www.sans.org/newlook/home.php(有安全策略等不错的资料) http://www.lisoleg.net/cgi-bin/lisoleg.pl(著名的Linux学习网站) http://bj.aka.org.cn/index.shtml(阿卡主页,著名的开源组织) http://www.itpub.net(不错的信息安全审计及管理论坛) http://csrc.nist.gov/(NIST著名的SP800系列) http://www.blackhat.com/ http://www.cccure.org/(CISSP认证最好的自学网站) 著名的个人和安全组织网站 经 典 网 址 推 荐 129 http://mixter.void.ru/ (Mixter的个人网站) http://www.insecure.org/(Fyodor的个人网站,即Nmap的老家) http://www.guninski.com/的(Georgi Guninski安全研究) http://www.docshow.net/(yawl网站,大量安全文档资料) http://www.ishacker.com/(DigitalBrain的个人网站,国内) http://e4gle.org/(e4gle的个人网站,国内) http://www.sunx.org/(sunx的个人网站,国内) http://www.nsforce.org/(rootshell的个人网站,国内) http://snake12.top263.net/(snake的个人网站,国内) http://www.isfocus.net(SQL的网站,大量工具及文档,国内) http://www.xfoucs.net(安全焦点,国内) 今天的启明星辰公司 130 • 拥有国际一流的攻防技术研究团队,是专业安全产品、解决方案和服务提供商 • 员工超过1000名,是国家级网络安全技术研发基地,设有网络安全博士后工作站 • 国内入侵检测、UTM、审计、安全管理平台(SOC) 产品技术的领跑者 • IDS、UTM、网络审计、漏洞扫描、专业安全服务,国内市场占有率第一 • 国内唯一一家专业的网络安全上市公司(股票代码:002439) • 30多家分支机构,遍布全国的服务网络 • 公安网络安全战略合作单位 广泛应用与服务 • 政府——为国家50多个部、委、办、局提供安全保障 • 金融——国内19家银行中,80%为启明星辰用户 • 电信——为四大运营商集团总公司及50多个省级分公司提供解决方案 • 企业——22个进入世界500强的中国企业中,已有14个为启明星辰用户 131 值得信赖,健康成长 2000年1月24日,江泽民、李岚清、曾庆 红等党和国家领导人亲切视察启明星辰 公司 132 2003年1月24日,胡锦涛总书记亲切接见 启明星辰公司CEO严望佳博士 但是…… 我们确实存在问题, 只要我们不断改进! 133 谢谢!