【正文】 信息技術(shù)部 2022年 7月 銀行信息安全意識交流 ? 建立對信息安全的敏感意識和正確認(rèn)識 ? 掌握信息安全的基本概念、原則和慣例 ? 清楚可能面臨的威脅和風(fēng)險(xiǎn) ? 遵守各項(xiàng)安全策略和制度 ? 在日常工作中養(yǎng)成良好的安全習(xí)慣 ? 最終提升整體的信息安全水平 2 我們的 目標(biāo) ? 國內(nèi)多家銀行網(wǎng)銀用戶遭到大規(guī)模釣魚攻擊，損失巨大； ? RSA遭黑客攻擊，主流身份認(rèn)證產(chǎn)品 SecureID的重要信息泄漏，導(dǎo)致美國多家軍工企業(yè)信息系統(tǒng)受到嚴(yán)重威脅； ? LulzSec成功襲擊了中央情報(bào)局，美國參議院，任天堂，索尼等多家機(jī)構(gòu)，引起國際社會廣泛關(guān)注； ? 花旗銀行網(wǎng)站遭遇黑客 20萬信用卡用戶信息被盜； ? 由于南海領(lǐng)土糾紛引起中越黑客相互攻擊對方重要網(wǎng)站； ? 韓國農(nóng)協(xié)銀行遭遇攻擊導(dǎo)致系統(tǒng)長時(shí)間癱瘓及大量交易數(shù)據(jù)丟失； ? 美聯(lián)合航空電腦故障，全國服務(wù)大亂； ? 騰訊網(wǎng)大面積訪問異常； ? 新浪微博病毒大范圍傳播； ? Comodo等多家證書機(jī)構(gòu)遭到攻擊，攻擊者得以偽造google等多家知名網(wǎng)站證書，使互聯(lián)網(wǎng)安全遭遇嚴(yán)重威脅； 4 5 高枕 無憂 慘痛 教訓(xùn) 補(bǔ)丁管理 應(yīng)用安全 數(shù)據(jù)加密 隱私防范 拒絕服務(wù)攻擊 集中管理 移動存儲 釣魚劫持 惡意代碼 無線攻擊 … 6 Windows XP/7… 如果我是黑客 …… 絕大多數(shù)筆記本電腦都 內(nèi)置麥克風(fēng) 且處于 開啟 狀態(tài)； 開啟 錄音 功能； 錄制 所需內(nèi)容并將其放置于 某 Web頁面之上： ，并把錄像放置 于 某 Web頁面 之上： 7 信息資產(chǎn) 拒絕服務(wù) 流氓軟件 黑客滲透 內(nèi)部人員威脅 木馬后門 病毒和蠕蟲 社會工程 系統(tǒng)漏洞 硬件故障 網(wǎng)絡(luò)通信故障 供電中斷 失火 雷雨 地震 威脅 無處不在 8 外部 威脅 9 踩點(diǎn) 掃描 破壞攻擊 滲透攻擊 獲得訪問權(quán) 獲得控制權(quán) 清除痕跡 安裝后門 遠(yuǎn)程控制 轉(zhuǎn)移目標(biāo) 竊密破壞 黑客攻擊 基本手法 10 ? 病從口入 ? 天時(shí) 地利 人和 員工誤操作 蓄意破壞 職責(zé)權(quán)限混淆 內(nèi)部 威脅 11 ? 技術(shù) 弱點(diǎn) ? 操作 弱點(diǎn) ? 管理 弱點(diǎn) 系統(tǒng)、 程序、設(shè)備中存在的漏洞或缺陷 配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計(jì)或備份過程的不當(dāng)?shù)? 策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足 自身 弱點(diǎn) 12 ? 將口令寫在便簽上，貼在電腦監(jiān)視器旁 ? 開著電腦離開，就像離開家卻忘記關(guān)燈那樣 ? 輕易相信來自陌生人的郵件，好奇打開郵件附件 ? 使用容易猜測的口令，或者根本不設(shè)口令 ? 丟失筆記本電腦 ? 不能保守秘密，口無遮攔，上當(dāng)受騙，泄漏敏感信息 ? 隨便撥號上網(wǎng)，或者隨意將無關(guān)設(shè)備連入公司網(wǎng)絡(luò) ? 事不關(guān)己，高高掛起，不報(bào)告安全事件 ? 在系統(tǒng)更新和安裝補(bǔ)丁上總是行動遲緩 ? 只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題 ? 會后不擦黑板，會議資料隨意放置在會場 最常犯的一些 錯(cuò)誤 13 ? 信息資產(chǎn) 對我們很重要，是要保護(hù)的 對象 ? 威脅 就像蒼蠅一樣，揮之不去， 無所不在 ? 資產(chǎn)自身又有各種 弱點(diǎn) ，給 威脅 帶來 可乘之機(jī) ? 面臨各種 風(fēng)險(xiǎn) ，一旦發(fā)生就成為 安全事件、事故 保持清醒 認(rèn)識 14 嚴(yán)防威脅 消減弱點(diǎn) 應(yīng)急響應(yīng) 保護(hù)資產(chǎn) 熟悉 潛在的 安全問題 知道 怎樣 防止 其發(fā)生 明確 發(fā)生后如何 應(yīng)對 我們 應(yīng)該 …… 15 理解 和 鋪墊 基本概念 16 ? 消息、信號、數(shù)據(jù)、情報(bào)和知識 ? 信息本身是無形的，借助于信息媒體以多種形式存在或傳播： ? 存儲在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中 ? 記憶在人的大腦里 ? 通過網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播 ? 信息借助媒體而存在，對現(xiàn)代企業(yè)來說具有價(jià)值，就成為 信息資產(chǎn) ： ? 計(jì)算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù) ? 硬件、軟件、文檔資料 ? 關(guān)鍵人員 ? 組織提供的服務(wù) ? 具有價(jià)值的信息資產(chǎn)面臨諸多威脅，需要妥善保護(hù) 什么是 信息 17 采取措施保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。 什么是 信息安全 18 C I A Onfidentiality（機(jī)密性） Ntegrity（完整性） Vailability（可用性） CIA 信息安全 基本目標(biāo) 19 Confidentiality Integrity Availability Information 管理者的 最終目標(biāo) 20 因果 關(guān)系 21 ? 物理安全 ：環(huán)境安全、設(shè)備安全、媒體安全 ? 系統(tǒng)安全 ：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性 ? 網(wǎng)絡(luò)安全 ：網(wǎng)絡(luò)隔離、訪問控制、 VPN、入侵檢測、掃描評估 ? 應(yīng)用安全 ： Email安全、 Web訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全 ? 數(shù)據(jù)加密 ：硬件和軟件加密，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的 CIA特性 ? 認(rèn)證授權(quán) ：口令認(rèn)證、 SSO認(rèn)證（例如 Kerberos）、證書認(rèn)證等 ? 訪問控制 ：防火墻、訪問控制列表等 ? 審計(jì)跟蹤 ：入侵檢測、日志審計(jì)、辨析取證 ? 防殺病毒 ：單機(jī)防病毒技術(shù)逐漸發(fā)展成整體防病毒體系 ? 災(zāi)備恢復(fù) ：業(yè)務(wù)連續(xù)性，前提就是對數(shù)據(jù)的備份 技術(shù) 手段 22 ? 在可用性（ Usability）和安全性（ Security）之間是一種相反的關(guān)系 ? 提高了安全性，相應(yīng)地就降低了易用性 ? 而要提高安全性，又勢必增大成本 ? 管理者應(yīng)在二者之間達(dá)成一種可接受的平衡 安全 vs. 可用 —— 平衡之道 23 計(jì)算機(jī)安全領(lǐng)域一句格言： “ 真正安全的計(jì)算機(jī)是拔下網(wǎng)線，斷掉電源，放在地下掩體的保險(xiǎn)柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)。 ” 絕對 的 安全 是 不存在 的！ 24 ? 技術(shù)是信息安全的構(gòu)筑材料，管理是真正的粘合劑和催化劑 ? 信息安全管理構(gòu)成了信息安全具有能動性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動 ? 現(xiàn)實(shí)世界里大多數(shù)安全事件的發(fā)生和安