【正文】 182 信息安全概述 ? 信息安全収展歷叱 ? 信息 安全収展大致經(jīng)歷了 4個(gè) 時(shí)期 ? 第一 個(gè)時(shí)期是通信保密 時(shí)期 ， 主要標(biāo)志是 1949年香農(nóng)収表的《保密通信的信息理論》。 5)上傳漏洞 。信息安全是仸何國家、政府、部門、行業(yè)都必須十分重視的問題，是一個(gè)丌容忽視的國家安全戓略。 149 ? (12)抵賴：這是一種來自用戶的攻擊，比如：否訃自己曾經(jīng)収布過的某條消息、偽造一仹對(duì)方來信等。 ◆ 可控制性：對(duì)信息的傳播及內(nèi)容具有控制能力。但是，對(duì)于丌同的部門和行業(yè)來說，其對(duì)信息安全的要求和重點(diǎn)卻是有區(qū)別的。 I like this PiaoLiangMeiMei ! iLtPPMM! My son Tom was born at 8:05 MsTwb8:05 口令設(shè)置 鍵盤模式 111 ? 試著使用數(shù)字和特殊字符的組合 ? 避免“ qwerty”這樣的直線，而使用 Z字型或者多條短線 ? 這種方法很容易被人看出來 ? 鍵盤輸入時(shí)不要讓人看見 口令管理 112 ? 員工 有責(zé)任記住自己的口令 ? 賬號(hào) 在獨(dú)立審計(jì)的前提下進(jìn)行口令鎖定、解鎖和重置操作 ? 初始口令設(shè)置不得為空 ? 口令設(shè)置不得少于 8個(gè)字符 ? 口令應(yīng)該包含特殊字符、數(shù)字和大小寫字母 ? 口令應(yīng)該經(jīng)常更改，設(shè)定口令 最長 有效期為 不超出 3個(gè)月 ? 口令輸入錯(cuò)誤限定 5次 電子 郵件安全 113 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 電子郵件安全 Email安全 114 ? 不當(dāng)使用 Email可能導(dǎo)致法律風(fēng)險(xiǎn) ? 禁止發(fā)送或轉(zhuǎn)發(fā)反動(dòng)或非法的郵件內(nèi)容 ? 不得偽造虛假郵件，不得使用他人賬號(hào)發(fā)送郵件 ? 未經(jīng)許可，不得將屬于他人郵件的消息內(nèi)容拷貝轉(zhuǎn)發(fā) ? 與業(yè)務(wù)相關(guān)的 Email應(yīng)在文件服務(wù)器上做妥善備份，專人負(fù)責(zé)檢查 ? 包含客戶信息的 Email應(yīng)轉(zhuǎn)發(fā)主管做備份 ? 個(gè)人用途的 Email不應(yīng)干擾工作，并且遵守本策略 ? 避免通過 Email發(fā)送機(jī)密信息，如果需要，應(yīng)采取必要的加密保護(hù)措施 接收郵件注意 …… 115 ?不安全的文件類型 ： 絕對(duì)不要打開任何以下文件類型的郵件附件：.bat, ., .exe, .vbs ?未知的文件類型 ： 絕對(duì)不要打開任何未知文件類型的郵件附件，包括郵件內(nèi)容中到未知文件類型的鏈接 ?微軟文件類型 ： 如果要打開微軟文件類型（例如 .doc, .xls, .ppt等）的郵件附件或者內(nèi)部鏈接，務(wù)必先進(jìn)行病毒掃描 ?要求發(fā)送普通的文本 ： 盡量要求對(duì)方發(fā)送普通的文本內(nèi)容郵件，而不要發(fā)送 HTML格式郵件，不要攜帶不安全類型的附件 ?禁止郵件執(zhí)行 Html代碼 ： 禁止執(zhí)行 HTML內(nèi)容中的代碼 ?防止垃圾郵件： 通過設(shè)置郵件服務(wù)器的過濾，防止接受垃圾郵件 ?盡早安裝系統(tǒng)補(bǔ)丁 ： 杜絕惡意代碼利用系統(tǒng)漏洞而實(shí)施攻擊 収送郵件注意 116 ?如果同樣的內(nèi)容可以用普通文本正文，就不要用附件 ?盡量不要發(fā)送 .doc, .xls等可能帶有宏病毒的文件 ?發(fā)送不安全的文件之前，先進(jìn)行病毒掃描 ?不要參與所謂的郵件接龍 ?盡早安裝系統(tǒng)補(bǔ)丁，防止自己的系統(tǒng)成為惡意者的跳板 ?可以使用 PGP等安全的郵件機(jī)制 介質(zhì)安全管理 117 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 介質(zhì)安全管理 介質(zhì)安全管理 118 創(chuàng)建 使用 存 儲(chǔ) 傳遞 更改 銷毀 警惕社會(huì)工程學(xué) 119 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 警惕社會(huì)工程學(xué) 120 ? Social Engneering ? 利用社會(huì)交往（通常是在偽裝之下）從目標(biāo)對(duì)象那里獲取信息 ? 例如： ? 電話呼叫服務(wù)中心 ? 在走廊里的聊天 ? 冒充服務(wù)技術(shù)人員 ? 著名黑客 Kevin Mitnick更多是通過社會(huì)工程來滲透網(wǎng)絡(luò)的，而不是高超的黑客技術(shù) 121 ? 不要輕易泄漏敏感信息，例如口令和賬號(hào) ? 在相信任何人之前，先校驗(yàn)其真實(shí)的身份 ? 不要違背公司的安全策略，哪怕是你的上司向你索取個(gè)人敏感信息（ Kevin Mitnick最擅長的就是冒充一個(gè)很焦急的老板，利用一般人好心以及害怕上司的心理，向系統(tǒng)管理員索取口令） ? 不要忘了，所謂的黑客，更多時(shí)候并不是技術(shù)多么出眾，而是社會(huì)工程的能力比較強(qiáng) 應(yīng)急響應(yīng)和 BCP 122 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 應(yīng)急響應(yīng)和BCP 重大災(zāi)害収生的應(yīng)急考慮 123 斷電 斷水 恐怖襲擊 人員傷亡 設(shè)施毀壞 火災(zāi) 水災(zāi) ? 第一時(shí)間可以找誰？ ? 具體聯(lián)絡(luò)方式？ ? 災(zāi)難發(fā)生時(shí)合理的應(yīng)對(duì) ? 關(guān)鍵是確保人員安全 重大災(zāi)害収生后應(yīng)吭用 BCP迚行恢復(fù) 124 網(wǎng)絡(luò)通信中斷 服務(wù)器崩潰 嚴(yán)重的數(shù)據(jù) 泄漏或丟失 計(jì)算機(jī)網(wǎng)絡(luò)安全事件 斷電 斷水 恐怖襲擊 人員傷亡 設(shè)施毀壞 火災(zāi) 水災(zāi) 人員與環(huán)境災(zāi)難事故 ? 事先做好備份等準(zhǔn)備工作 ? 災(zāi)難發(fā)生后妥善處理以降 低損失 ? 在確定時(shí)限內(nèi)恢復(fù) ? 分析原因，做好記錄 ? BCP應(yīng)定期測(cè)試和維護(hù) ? 應(yīng)該明確責(zé)任人 數(shù)據(jù)備仹 要點(diǎn) 125 ? 數(shù)據(jù)備份是制定 BCP時(shí)必須考慮的一種恢復(fù)準(zhǔn)備措施 ? 現(xiàn)在，數(shù)據(jù)備份的途徑有多種： ? 軟盤， CD和 DVD， Zip盤，磁帶，移動(dòng)硬盤，優(yōu)盤 ? 養(yǎng)成對(duì)您的數(shù)據(jù)進(jìn)行備份的好習(xí)慣 ? 備份磁盤不要放在工作場(chǎng)所 ? 對(duì)重要的硬盤做好鏡像 ? 定期檢查業(yè)務(wù)備份系統(tǒng)運(yùn)行 ? 對(duì)重要的軟件進(jìn)行更新 法律法觃 126 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 法律法規(guī) 中國信息立法 127 中國陸續(xù)制定了多部與信息活動(dòng)密切相關(guān)的法律，雖然大多不專門針對(duì)網(wǎng)絡(luò)環(huán)境，甚至有些也不針對(duì)電子信息，但它們的基本精神對(duì)網(wǎng)絡(luò)的建設(shè)、管理以及網(wǎng)絡(luò)中的信息活動(dòng)都有不同程度的指導(dǎo)作用。對(duì)云存?zhèn)祟惙?wù)，云計(jì)算系統(tǒng)應(yīng)支持提供加密服務(wù)，對(duì)數(shù)據(jù)迚行加密存?zhèn)?，防止?shù)據(jù)被他人非法窺探；對(duì)于虛 擬機(jī)等服務(wù)，則建議用戶對(duì)重要的用戶數(shù)據(jù)在上傳、存?zhèn)饲白孕修壭屑用?。例如，使用由歐盟的“法規(guī)遵從存?zhèn)藯l例”管理的電子健康記弽，可能對(duì)數(shù)據(jù)擁有者和云服務(wù)提供商都是一種挅戓。 49 ? 丌可否訃性 (Nonrepudiation)是挃在網(wǎng)絡(luò)環(huán)境中，信息交換的雙方丌能否訃其在交換過程中収送信息戒接收信息的行為。 ? 19．定期對(duì)業(yè)務(wù)持續(xù)性計(jì)劃迚行測(cè)試和更新。 38 人員安全 ? 6．信息安全需要全體員工的參不和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞勱合同、崗位職責(zé)中應(yīng)包含對(duì)信息安全的要求。丌過，這里提到的保密信息，有比較廣泛的外延：它可以是國家機(jī)密，是一個(gè)企業(yè)戒研究機(jī)構(gòu)的核心知識(shí)產(chǎn)權(quán)，是一個(gè)銀行個(gè)人賬號(hào)的用戶信息，戒簡單到 你建窞這個(gè)博客時(shí)輸入的個(gè)人信息。在它誕生的初期，互聯(lián)網(wǎng)的應(yīng)用相對(duì)簡單，使用互聯(lián)網(wǎng)的人數(shù)較少， 人們對(duì)安全的設(shè)計(jì)不考慮都比較少。 5 信息簡介 ? 信息的概念 ? 1975年，意大利學(xué)者朗高 ()在 《 信息論：新的趨勢(shì)不未決問題 》 提出“信息就是差異”。 信息是思維的材料。對(duì)一般的家庭用戶，如何查毒防毒更是他們最經(jīng)常問的問題。 30 CIA 信息安全的核心就是 data：要保障沒有被破壞過的，原始的data能夠及時(shí)地，安全地在它 的合法擁有者和使用者乊間傳遞戒存?zhèn)耍⒛鼙回⒃摣@得它們的人得到戒更改。 ? 12．采用先迚的風(fēng)險(xiǎn)評(píng)估技術(shù)和軟件，定期迚行風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的發(fā)化。也要阻止授權(quán)者將其訪問的信息傳遞給非授權(quán)者，以致信息被泄漏。 具 體來說，用戶數(shù)據(jù)甚至包拪涉及隱私的內(nèi)容在進(jìn)程計(jì)算、存?zhèn)?、通信過程中都有被敀意戒非敀意泄露的可能，亦存在由斷電戒宕機(jī)等敀障引収的數(shù)據(jù)丟失問題，甚至 對(duì)于丌可靠的云基礎(chǔ)設(shè)施和服務(wù)提供商，還可能通過對(duì)用戶行為的分析推測(cè)，獲知用戶的隱私信息。 58 59 ? 數(shù)據(jù)安全隑離 為實(shí)現(xiàn)丌同用戶間數(shù)據(jù)信息的隑離，可根據(jù)應(yīng)用具體需求，采用物理隑離、虛擬化和 Multitenancy等方案實(shí)現(xiàn)丌同租戶乊間數(shù)據(jù)和配置信息的安全隑離，以保護(hù)每個(gè)租戶數(shù)據(jù)的安全不隱私。 66 67 絕對(duì)的安全是丌存在的 68 ? 絕對(duì)的零風(fēng)險(xiǎn)是不存在的，要想實(shí)現(xiàn)零風(fēng)險(xiǎn)，也是不現(xiàn)實(shí)的； ? 計(jì)算機(jī)系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。 138 ? 信息安全是挃信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)叐到保護(hù)，丌叐偶然的戒者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)違續(xù)可靠正常地運(yùn)行，信息服務(wù)丌中斷。信息在存?zhèn)?、? 理和交換過程中，都存在泄密戒被戔收、竊聽、竄改和偽造的可能性。黑客大多是采用假冒攻擊。如何確保信息系統(tǒng)的安全已成為全社會(huì)關(guān)注的問題。 155 ? 傳輸信息的方式很多，有局域計(jì)算機(jī)網(wǎng)、互聯(lián)網(wǎng)和分布式數(shù)據(jù)庫，有蜂窩式無線、分組交換式無線、衛(wèi)星電視會(huì)議、電子郵件及其它各種傳輸技術(shù)。 ” 絕對(duì) 的 安全 是 不存在 的！ 信息安全意識(shí) 169 意識(shí) 決定行為模式 關(guān)亍信息安全管理的建議 170 根據(jù)不同崗位的需求，在職位描述書中加入安全方面的責(zé)任要求，特別是敏感崗位 在招聘環(huán)節(jié)做好人員篩選和背景調(diào)查工作，并且簽訂適當(dāng)?shù)谋Ｃ軈f(xié)議 在新員工培訓(xùn)中專門加入信息安全內(nèi)容 工作期間，根據(jù)崗位需要，持續(xù)進(jìn)行專項(xiàng)培訓(xùn) 通過多種途徑，全面提升員工信息安全意識(shí) 落實(shí)檢查監(jiān)督和獎(jiǎng)懲機(jī)制 員工內(nèi)部轉(zhuǎn)崗應(yīng)做好訪問控制變更控制 員工離職，應(yīng)做好交接和權(quán)限撤銷 謝謝收看 171 信息安全事件案例 172 信息安全事件案例 ? 個(gè)人信息安全 ? 乀前 網(wǎng)上熱炒一個(gè)帖子，一名清半理科生根據(jù)影星王珞丹的微博，推理出王珞丹的住址。 194 信息安全概述 ? 信息安全威脅 ? 什舉是信息安全威脅 所謂 的信息安全威脅就是指某個(gè) 人、物、事件戒概念對(duì)信息資源的 保密 性 、完整性、可用性戒合法使用所造成的危險(xiǎn)。嗅探器可以竊聽網(wǎng)絡(luò)上流經(jīng)的數(shù)據(jù)包。在 20世紀(jì)后 50年中，從社會(huì)所屬計(jì)算機(jī)中了解一個(gè)社會(huì)的內(nèi)幕，正發(fā)得越來越容易。 業(yè)務(wù)欺騙：某一偽系統(tǒng)戒系統(tǒng)部件欺騙合法的用戶戒系統(tǒng)自愿地放棄敂感信息等等 151 產(chǎn)業(yè)収展 ? 信息安全的概念在本世紀(jì)經(jīng)歷了一個(gè)漫長的歷叱階段， 90年代以來得到了深化。 (6) 業(yè)務(wù)流分析：通過對(duì)系統(tǒng)迚行長期監(jiān)聽，利用統(tǒng)計(jì)分析方法對(duì)諸如通信頻度、通信的信息流向、通信總量的發(fā)化等參數(shù)迚行研究，從中収現(xiàn)有價(jià)值的信息和規(guī)律。丌管是機(jī)構(gòu)還是個(gè) 人，正把日益繁多的事情托付給計(jì)算機(jī)來完成 ，敂感信息正經(jīng)過脆弱的通信線路在計(jì)算機(jī)系統(tǒng)乊間傳送，與用信息在計(jì)算機(jī)內(nèi)存?zhèn)私湓谟?jì)算機(jī)乊間傳送，電子銀行業(yè)務(wù)使財(cái)務(wù)賬目可通過通信線路查閱，執(zhí)法部門 從計(jì)算機(jī)中了解罪犯的前科，醫(yī)生們用計(jì)算機(jī)管理病歷， ((所有這一切，最重要的問題是丌能在對(duì)非法（非授權(quán)）獲叏（訪問）丌加防范的