1、 信息安全培训 信息安全基础介绍 信息安全管理 信息安全意识1 12 23 3什么是信息安全什么是信息安全对信息的保密性、完整性、可用性的保护软件和系统数据和文档服务无形资产人硬件和设施保证合法用户对信息和资源的使用不会被不正当地拒绝。可用性Availability保证数据的一致性,防止数据被非法用户篡改完整性Integrality保证机密信息不被窃听,或窃听者不能了解信息的真实含义保密性Confidentiality信息安全:就是保护属于自己的钱不被除自己以外的人拿走1.首先我们不希望别人知道自己有多少钱 保密性;2.其次我们不希望自己的钱无缘无故少了 完整性;3.我们希望自己随时都能随心所
2、欲的用这笔钱 可用性;什么是风险什么是风险威胁利用资产的脆弱性使资产受到损失例子:我钱包里有100块钱,下班坐公交车打瞌睡,被小偷偷了。资产=我 威胁=小偷 脆弱性=打瞌睡 信息安全基础介绍 信息安全管理 信息安全意识1 12 23 3十分钟的悲剧2008年9月15日上午10点,拥有158年历史的美国第四大投资银行雷曼兄弟公司向法院申请破产保护,消息转瞬间传遍地球的各个角落。令人匪夷所思的是,在如此明朗的情况下,德国某银行,10点10分,居然按照外汇掉期协议的交易,通过计算机自动付款系统,向雷曼兄弟公司即将冻结的银行账户转入了3亿欧元。毫无疑问,3亿欧元将作为肉包子,有去无回。转账风波曝光后,
3、德国社会舆论哗然。销量最大的图片报在9月18日头版的标题中,指责该银行是迄今“德国最愚蠢的银行”。法律事务所的调查员先后询问了银行各个部门的数十名职员,几天后,他们向国会和财政部递交了一份调查报告。报告并不复杂深奥,只是记载了被询问人员在这十分钟内忙了些什么?首席执行官乌尔里奇施罗德:我知道今天要按照协议约定转账,至于是否撤销这笔巨额交易,应该让董事会讨论决定。董事长保卢斯:我们还没有得到风险评估报告,无法及时做出正确的决策。董事会秘书史里芬:我打电话给国际业务部催要风险评估报告,可那里总是占线,我想还是隔一会儿再打吧。国际业务部经理克鲁克:星期五晚上准备带上全家人去听音乐会,我得提前打电话预
4、订门票。国际业务部副经理伊梅尔曼:忙于其他事情,没有时间去关心雷曼兄弟公司的消息。负责处理与雷曼兄弟公司业务的高级经理希特霍芬:我让文员上网浏览新闻,一旦有雷曼兄弟公司的消息就立即报告,现在我要去休息室喝杯咖啡了。文员施特鲁克:10点03分,我在网上看到了雷曼兄弟公司向法院申请破产保护的新闻,马上就跑到希特霍芬的办公室,可是他不在,我就写了张便条放在办公桌上,他回来后会看到的。结算部经理德尔布吕克:今天是协议规定的交易日子,我没有接到停止交易的指令,那就按照原计划转账吧。结算部自动付款系统操作员曼斯坦因:德尔布吕克让我执行转账操作,我什么也没问就做了。信贷部经理莫德尔:我在走廊里碰到了施特鲁克
5、他告诉我雷曼兄弟公司的破产消息,但是我相信希特霍芬和其他职员的专业素养,一定不会犯低级错误,因此也没必要提醒他们。公关部经理贝克:雷曼兄弟公司破产是板上钉钉的事,我想跟乌尔里奇施罗德谈谈这件事,但上午要会见几个克罗地亚客人,等下午再找他也不迟,反正不差这几个小时。实际上,只要当中有一个人认真负责一点,那么这场悲剧就不会发生。演绎一场悲剧,短短十分钟十分钟就已足够!资产管理:资产清单资产分类资产管理访问控制:物理环境逻辑访问远程访问事故管理:安全事故(级)重大安全事故是指能够导致严重影响或破坏的信息安全事件 严重事件(级)严重事件是指能够导致较严重影响或破坏的信息安全事件。一般事件(级)一般事
6、件是指能够导致较小影响或破坏的信息安全事件。事故管理:BCP和DRPRTO和RPO美国德克萨斯州大学的调查显示:只有6%的公司可以在重要数据丢失后生存下来,43%的公司会彻底关门,51%的公司会在两年之内消失。在经历过灾难的企业中,每5家中有2家在5年内会完全退出市场。当且仅当企业在灾难前和灾难后采取了必要的措施后,企业才可以改变这种状况。在所有公司中,50-60%没有可以用于工作的灾难恢复计划 信息安全基础介绍 信息安全管理 信息安全意识1 12 23 3黑客内部员工竞争对手 就是能够认知可能存在的信息安全问题,预估信息安全事故对组织的危害,恪守正确的行为方式,并且执行在信息安全事故发生时所应采取的措施。什么是什么是信息安全意识信息安全意识?您肯定用过银行ATM机,您插入银行卡,然后输入密码,然后取钱,然后拔卡,然后离开,您也许注意到您的旁边没有别人,您很小心,可是,您真的足够小心吗?物理环境管理:访客管理门禁管理工作位管理访问控制:权限管理密码管理信息交换个人隐私通信和操作安全:补丁管理防病毒管理OA及邮件系统管理信息安全三大证书:CISABS7799 LA CISSP人,信息安全的关键因素人,信息安全的关键因素!
