《信息安全意识培训-全体员工学习资料.ppt》由会员分享,可在线阅读,更多相关《信息安全意识培训-全体员工学习资料.ppt(90页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全意识培训信息安全意识培训-全体全体员工员工信息安全信息安全信息安全信息安全 人员人员人员人员安全安全安全安全物理物理物理物理安全安全安全安全事件事件事件事件管理管理管理管理安全安全安全安全策略策略策略策略法律法律法律法律合规合规合规合规开发开发开发开发安全安全安全安全安全安全安全安全组织组织组织组织资产资产资产资产管理管理管理管理业务业务业务业务连续连续连续连续网络网络网络网络安全安全安全安全访问访问访问访问控制控制控制控制lISO/IEC 17799:2005版版11 个方面、个方面、39 个控制目标和个控制目标和133 项控制措项控制措施列表施列表p1)安全方针安全方针7)访问控制
2、访问控制p2)信息安全组织信息安全组织8)信息系统获取、开发和维护信息系统获取、开发和维护p3)资产管理资产管理9)信息安全事故管理信息安全事故管理p4)人力资源安全人力资源安全10)业务连续性管理业务连续性管理p5)物理和环境安全物理和环境安全11)符合性符合性p6)通信和操作管理通信和操作管理ISMS(信息安全管理系统)lISO/IEC 27001:2005版通篇就在讲一件事,版通篇就在讲一件事,ISMS(信息安全管理系统信息安全管理系统)。l本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Infor
3、mationSecurity Management System,简称,简称ISMS)提供模型。采用)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。按照组织的需要实施其支持系统会不断发生变化。按照组织的需要实施ISMS,是本标准所期望的,例,是本标准所期望的,例如,简单的情况可采用简单的如,简单的情况可采用简单的ISMS解决方案
4、。解决方案。本标准可被内部和外部相关方用于一致性评估。本标准可被内部和外部相关方用于一致性评估。l(引用自引用自ISO/IEC 27001:2005中中“0.1 总则总则”)PDCA(戴明环)lPDCA(Plan、Do、Check 和和Act)是管理学惯用的一个过程模型,最早是由休哈特)是管理学惯用的一个过程模型,最早是由休哈特(WalterShewhart)于)于19 世纪世纪30 年代构想的,后来被戴明(年代构想的,后来被戴明(Edwards Deming)采纳、)采纳、宣传并运用于持续改善产品质量的过程当中宣传并运用于持续改善产品质量的过程当中。p1、P(Plan)-计划,确定方针和目标
5、,确定活动计划;计划,确定方针和目标,确定活动计划;p2、D(Do)-执行,实地去做,实现计划中的内容;执行,实地去做,实现计划中的内容;p3、C(Check)-检查,总结执行计划的结果,注意效检查,总结执行计划的结果,注意效果,找出问题果,找出问题;p4、A(Action)-行动,对总结检查的结果进行处理,行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化;失败的教成功的经验加以肯定并适当推广、标准化;失败的教训加以总结,以免重现,未解决的问题放到下一个训加以总结,以免重现,未解决的问题放到下一个PDCA循环。循环。PDCA特点l 大环套小环,小环保大环,推动大循环大环套小
6、环,小环保大环,推动大循环 pPDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整个企业和循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标,都有自己的企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。大环是小环的母体循环,层层循环,形成大环套小环,小环里面又套更小的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方和依据,小环是大环的分解和保证。各级部门的小环都围绕着
7、企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。促进。以上特点。PDCA特点(续)l 不断前进、不断提高不断前进、不断提高 p PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步,循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步,然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋式上升的过程。式上升的过程。PDCA质量水平质量水平螺旋上升的
8、螺旋上升的PDCAPDCA和ISMS的结合认证审核现场审核l桌面审核(文件审核)的结果作为现场审核输入。桌面审核(文件审核)的结果作为现场审核输入。l现场审核的内容包括会议、现场调查、形成审核发现、举行末次会议和报现场审核的内容包括会议、现场调查、形成审核发现、举行末次会议和报告审核结果等。告审核结果等。l审核内容审核内容p验证第一阶段的审核发现是否获得纠正。p 证实受审核组织是否按照其方针、目标和程序,执行工作。p 证实受审核组织的ISMS是否符合ISO/IEC 27001:2005第4-8章的所有要求 Page 9认证审核获得证书l所有审核工作结束并达到要求后,用户会得到证书。所有审核工作
9、结束并达到要求后,用户会得到证书。l半年或者一年,用户需要进行复审半年或者一年,用户需要进行复审l三年时,证书期满,需要重新审核。三年时,证书期满,需要重新审核。Page 10举例l为了方便大家理解,举个例子来进行说明:为了方便大家理解,举个例子来进行说明:l华赛公司要参加上地地区的一个卫生评比,评比通过发放华赛公司要参加上地地区的一个卫生评比,评比通过发放上地地区高科上地地区高科技企业卫生红旗技企业卫生红旗。l该次评比有个评比要求该次评比有个评比要求上地地区高科技企业卫生评比要求上地地区高科技企业卫生评比要求,要求内容,要求内容包括,建立长效的卫生机制,如划定公司卫生范围,购买各种卫生用具,
10、包括,建立长效的卫生机制,如划定公司卫生范围,购买各种卫生用具,专门领导负责,成立专门团队,聘请专业保洁公司,组织内部检查,内部专门领导负责,成立专门团队,聘请专业保洁公司,组织内部检查,内部互查等等。互查等等。Page 11信息安全意识培训信息安全意识培训1234什么是信息安全?怎样搞好信息安全?信息产业发展现状主要内容信息安全基本概念授之以鱼授之以鱼授之以鱼授之以鱼不如授之以渔不如授之以渔不如授之以渔不如授之以渔产品产品产品产品技术技术技术技术更不如激之其欲更不如激之其欲更不如激之其欲更不如激之其欲意识意识意识意识谈笑间,风险灰飞烟灭。谈笑间,风险灰飞烟灭。引言14什么是信息安全?不止有产
11、品、技术才是信息安全不止有产品、技术才是信息安全15信息安全无处不在信息安全信息安全信息安全信息安全 人员人员人员人员安全安全安全安全物理物理物理物理安全安全安全安全事件事件事件事件管理管理管理管理安全安全安全安全策略策略策略策略法律法律法律法律合规合规合规合规开发开发开发开发安全安全安全安全安全安全安全安全组织组织组织组织资产资产资产资产管理管理管理管理业务业务业务业务连续连续连续连续网络网络网络网络安全安全安全安全访问访问访问访问控制控制控制控制 一个软件公司的老总,等他所有的员工下班之一个软件公司的老总,等他所有的员工下班之后,他在那里想:我的企业到底值多少钱呢?后,他在那里想:我的企业
12、到底值多少钱呢?假如假如它的企业市值它的企业市值1 1亿,那么此时此刻,他的企业就值亿,那么此时此刻,他的企业就值26002600万。万。因为据因为据DelphiDelphi公司统计,公司价值的公司统计,公司价值的2626%体现体现在固定资产和一些文档上,而在固定资产和一些文档上,而高达高达4242%的价值是存的价值是存储在员工的脑子里,而这些信息的保护没有任何一储在员工的脑子里,而这些信息的保护没有任何一款产品可以做得到款产品可以做得到,所以需要我们建立信息安全管,所以需要我们建立信息安全管理体系,也就是常说的理体系,也就是常说的ISMSISMS!怎样搞好信息安全?信息在哪里?纸质文纸质文档
13、档电子文档电子文档员工员工其他信息介质其他信息介质小问题:小问题:公司的信息都在哪里?小测试:您离开家每次都关门吗?您离开家每次都关门吗?您离开家每次都关门吗?您离开家每次都关门吗?您离开公司每次都关门吗?您离开公司每次都关门吗?您离开公司每次都关门吗?您离开公司每次都关门吗?您的保险箱设密码吗?您的保险箱设密码吗?您的保险箱设密码吗?您的保险箱设密码吗?您的电脑设密码吗?您的电脑设密码吗?您的电脑设密码吗?您的电脑设密码吗?答案解释:如果您记得关家里的门,而不记得关公司的门,如果您记得关家里的门,而不记得关公司的门,如果您记得关家里的门,而不记得关公司的门,如果您记得关家里的门,而不记得关公
14、司的门,说明您可能对公司的安全认知度不够。说明您可能对公司的安全认知度不够。说明您可能对公司的安全认知度不够。说明您可能对公司的安全认知度不够。如果您记得给保险箱设密码,而不记得给电脑设密码,如果您记得给保险箱设密码,而不记得给电脑设密码,如果您记得给保险箱设密码,而不记得给电脑设密码,如果您记得给保险箱设密码,而不记得给电脑设密码,说明您可能对信息资产安全认识不够。说明您可能对信息资产安全认识不够。说明您可能对信息资产安全认识不够。说明您可能对信息资产安全认识不够。这就是意识缺乏的两大这就是意识缺乏的两大结症!结症!不看重大公司,更看重小家庭。不看重大公司,更看重小家庭。1 1 1 1家家公
15、司公司公司公司2 2 2 2钞票更顺眼,信息无所谓。钞票更顺眼,信息无所谓。思想上的转变(一)公司的钱,就是我的钱,公司的钱,就是我的钱,只是先放在只是先放在,老板那里WHY?信息安全搞好了信息安全搞好了信息安全搞砸了信息安全搞砸了公司赚钱了公司赚钱了领导笑了领导笑了领导怒了领导怒了公司赔钱了公司赔钱了你就你就“跌跌”了了你就你就“涨涨”了了思想上的转变(二)信息比钞票更重要,信息比钞票更重要,更脆弱,我们更应该保护更脆弱,我们更应该保护它。它。WHY?装有100万的 保险箱需要 3个悍匪、公司损失:100万装有客户信息的 电脑只要 1个商业间谍、1个U盘,就能偷走。公司损失:公司损失:公司损
16、失:公司损失:所有客户!所有客户!所有客户!所有客户!1辆车,才能偷走。典型案例安全名言 公司的利益就是自己的利益,不保护公司,公司的利益就是自己的利益,不保护公司,就是不保护自己。就是不保护自己。电脑不仅仅是工具,而是装有十分重要信电脑不仅仅是工具,而是装有十分重要信息的保险箱。息的保险箱。绝对的安全是不存在的绝对的零风险是不存在的,要想实现零风险,也是不现实的;绝对的零风险是不存在的,要想实现零风险,也是不现实的;计算机系统的安全性越高,其可用性越低,需要付出的成本也就越大,计算机系统的安全性越高,其可用性越低,需要付出的成本也就越大,一般来说,需要在安全性和可用性,以及安全性和成本投入之
17、间做一一般来说,需要在安全性和可用性,以及安全性和成本投入之间做一种平衡。种平衡。在计算机安全领域有一句格言:“真正真正安全的计算机是拔下网线,断掉电源,放置安全的计算机是拔下网线,断掉电源,放置在地下掩体的保险柜中,并在掩体内充满毒在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。气,在掩体外安排士兵守卫。”显然,这样的计算机是无法使用的。安全是一种平衡安全是一种平衡安全控制的成本安全事件的损失最小化的总成本最小化的总成本低高高安全成本/损失所提供的安全水平关键是实现成本利益的平衡关键是实现成本利益的平衡信息的价信息的价值=使用信息所使用信息所获得的收益得的收益获取信息所用成本
18、取信息所用成本信息具信息具备了安全的保了安全的保护特性特性信息的价值广义上讲领域域 涉及到信息的保密性,完整性,可用性,涉及到信息的保密性,完整性,可用性,真真实性,可控性的相关技性,可控性的相关技术和理和理论。本质上1.1.保保护 系系统的硬件,的硬件,软件,数据件,数据2.2.防止防止 系系统和数据遭受破坏,更改,泄露和数据遭受破坏,更改,泄露3.3.保保证 系系统连续可靠正常地运行,服可靠正常地运行,服务不中断不中断两个层面1.1.技技术层面面 防止外部用防止外部用户的非法入侵的非法入侵2.2.管理管理层面面 内部内部员工的教育和管理工的教育和管理信息安全的定义信息安全基本目标保密性,完
19、整性,可用性CIAonfidentiality ntegrityvailabilityCIACIA信息生命周期创建创建创建创建传递传递传递传递销毁销毁销毁销毁存存存存 储储储储使用使用使用使用更改更改更改更改信息产业发展迅猛截至截至2008年年7月,我国固定电话已达到月,我国固定电话已达到3.55亿户,移动电话用户数达到亿户,移动电话用户数达到6.08亿。亿。截至截至2008年年6月,月,我国网民数量达到了我国网民数量达到了2.53亿亿,成为世界上网民最多的国,成为世界上网民最多的国家,与去年同期相比,中国网民人数增加了家,与去年同期相比,中国网民人数增加了9100万人,同比增长达到万人,同比
20、增长达到56.2%。手机上网成为用户上网的重要途径,网民中的手机上网成为用户上网的重要途径,网民中的28.9%在过去半年曾经使在过去半年曾经使用过手机上网,用过手机上网,手机网民规模达到手机网民规模达到7305万人万人。2007年电子商务交易总额已超过年电子商务交易总额已超过2万亿元。万亿元。目前,目前,全国网站总数达全国网站总数达192万万,中文网页已达,中文网页已达84.7亿页,个人博客亿页,个人博客/个人个人空间的网民比例达到空间的网民比例达到42.3%。目前,县级以上目前,县级以上96%的政府机构都建立了网站的政府机构都建立了网站,电子政务正以改善公共,电子政务正以改善公共服务为重点,
21、在教育、医疗、住房等方面,提供便捷的基本公共服务。服务为重点,在教育、医疗、住房等方面,提供便捷的基本公共服务。信息安全令人担忧内地企业内地企业4444%信息安全事件是数据失窃信息安全事件是数据失窃 普华永道最新发布的2008年度全球信息安全调查报告显示,中国内地企业在信息安全管理方面存在滞后,信息安全与隐私保障方面已被印度赶超。数据显示,内地企业内地企业4444%的信息安全事件与的信息安全事件与数据失窃有关,而全球的平均水平只有数据失窃有关,而全球的平均水平只有1616%。普华永道的调查显示,中国内地企业在改善信息安全机制上仍有待努力,从近年安全事件结果看,中国每年大约中国每年大约9898万
22、美元的万美元的财务损失,而亚洲国家平均约为财务损失,而亚洲国家平均约为7575万美元,印度大约为万美元,印度大约为30.830.8万美万美元元。此外,42%的中国内地受访企业经历了应用软件、系统和网络的安全事件。安全事件(1)安全事件(2)安全事件(3)安全事件(4)安全事件(5)安全事件(6)熊猫烧香病毒的制造者-李俊 用户电脑中毒后可能会出现蓝屏、频繁重用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同启以及系统硬盘中数据文件被破坏等现象。同时,该病毒可以通过局域网进行传播,进而感时,该病毒可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局染局
23、域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中域网瘫痪,无法正常使用,它能感染系统中exeexe,comcom,pifpif,srcsrc,htmlhtml,aspasp等文件,它还等文件,它还能中止大量的反病毒软件进程并且会删除扩展能中止大量的反病毒软件进程并且会删除扩展名为名为ghogho的文件,该文件是一系统备份工具的文件,该文件是一系统备份工具GHOSTGHOST的备份文件,使用户的系统备份文件的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有丢失。被感染的用户系统中所有.exe.exe可执行文可执行文件全部被改成熊猫举着三根香的模样。件全部被改成
24、熊猫举着三根香的模样。深度分析这样的事情还有很多信信信信 息息息息 安安安安 全全全全迫迫迫迫 在在在在 眉眉眉眉 睫!睫!睫!睫!关键是做好预防控制关键是做好预防控制 隐患险于明火!隐患险于明火!预防重于救灾!预防重于救灾!46小故事,大启发小故事,大启发 信息安全点滴信息安全点滴首先要关注内部人首先要关注内部人首先要关注内部人首先要关注内部人员的安全管理员的安全管理员的安全管理员的安全管理49 2007 2007年年年年1111月,集安月,集安月,集安月,集安支行代办员,周末晚上支行代办员,周末晚上支行代办员,周末晚上支行代办员,周末晚上通过运营电脑,将通过运营电脑,将通过运营电脑,将通过
25、运营电脑,将230230万万万万转移到事先办理的转移到事先办理的转移到事先办理的转移到事先办理的1515张张张张卡上,并一夜间在各卡上,并一夜间在各卡上,并一夜间在各卡上,并一夜间在各ATMATM上取走上取走上取走上取走3838万。周一万。周一万。周一万。周一被发现。被发现。被发现。被发现。夜间银行监控设备夜间银行监控设备夜间银行监控设备夜间银行监控设备未开放,下班后运营电未开放,下班后运营电未开放,下班后运营电未开放,下班后运营电脑未上锁。脑未上锁。脑未上锁。脑未上锁。事实上,此前早有事实上,此前早有事实上,此前早有事实上,此前早有人提出过这个问题,只人提出过这个问题,只人提出过这个问题,只
26、人提出过这个问题,只不过没有得到重视。不过没有得到重视。不过没有得到重视。不过没有得到重视。50典型案例:乐购事件典型案例:乐购事件2005年年9月月7日,上海日,上海乐购超市金山店超市金山店负责人到市公安局金山分局人到市公安局金山分局报案称,案称,该店在店在盘点点货物物时发现销售的售的货物和收到的物和收到的货款不符,有可能款物被非法侵吞。上海市公安局款不符,有可能款物被非法侵吞。上海市公安局经侦总队和金山分局立即成立了和金山分局立即成立了专案案组展开展开调查。专案案组调查发现,乐购超市几家超市几家门店店货物缺物缺损率大大超率大大超过了了业内千分之五的物内千分之五的物损比例,缺比例,缺损的的货
27、物五物五花八花八门,油,油盐酱醋等日常用品的醋等日常用品的销售与售与实际收到的收到的货款差款差别很大。根据以往的案例,超市内的盗窃行很大。根据以往的案例,超市内的盗窃行为往往是往往是针对体体积小价小价值高的化高的化妆品等物,盗窃者很少光品等物,盗窃者很少光顾油油盐酱醋等生活用品。奇怪的是,在超市醋等生活用品。奇怪的是,在超市的各个的各个经营环节并没有并没有发现明明显漏洞。漏洞。考考虑到到钱和物最和物最终的流向收的流向收银员是出口,是出口,问题很可能出在收很可能出在收银环节。警方在调查中发现,收银系统软警方在调查中发现,收银系统软件的设计相对严密,除非是负责维护收银系统的资讯小组职员和收银员合谋
28、,才有可能对营业款项动件的设计相对严密,除非是负责维护收银系统的资讯小组职员和收银员合谋,才有可能对营业款项动手脚。手脚。经过深入调查,侦查人员发现超市原有的收银系统被装入了一个攻击性的补丁程序,只要收银员输入经过深入调查,侦查人员发现超市原有的收银系统被装入了一个攻击性的补丁程序,只要收银员输入口令、密码,这个程序会自动运行,删除该营业员当日口令、密码,这个程序会自动运行,删除该营业员当日20左右的销售记录后再将数据传送至会计部左右的销售记录后再将数据传送至会计部门,造成会计部门只按实际营业额的门,造成会计部门只按实际营业额的80向收银员收取营业额。另向收银员收取营业额。另20营业额即可被侵
29、吞。营业额即可被侵吞。能够在收银系统中装入程序的,负责管理、更新、维修超市收银系统的资讯组工作人员嫌疑最大。能够在收银系统中装入程序的,负责管理、更新、维修超市收银系统的资讯组工作人员嫌疑最大。警方顺藤摸瓜,挖出一个包括超市资讯员、收银员在内的近警方顺藤摸瓜,挖出一个包括超市资讯员、收银员在内的近40人的犯罪团伙。据调查,原乐购超市真人的犯罪团伙。据调查,原乐购超市真北店资讯组组长方元在工作中发现收银系统漏洞,设计了攻击性程序,犯罪嫌疑人于琪、朱永春、武北店资讯组组长方元在工作中发现收银系统漏洞,设计了攻击性程序,犯罪嫌疑人于琪、朱永春、武侃佳等人利用担任乐购超市多家门店资讯工作的便利,将这一
30、程序植入各门店收银系统;犯罪嫌疑人侃佳等人利用担任乐购超市多家门店资讯工作的便利,将这一程序植入各门店收银系统;犯罪嫌疑人陈炜嘉、陈琦、赵一青等人物色不法人员,经培训后通过应聘安插到各家门店做收银员,每日将侵吞陈炜嘉、陈琦、赵一青等人物色不法人员,经培训后通过应聘安插到各家门店做收银员,每日将侵吞赃款上缴到犯罪团伙主犯方元、陈炜嘉、陈琦等人手中,团伙成员按比例分赃。一年时间内,先后侵赃款上缴到犯罪团伙主犯方元、陈炜嘉、陈琦等人手中,团伙成员按比例分赃。一年时间内,先后侵吞乐购超市真北店、金山店、七宝店吞乐购超市真北店、金山店、七宝店374万余元。犯罪团伙个人按比例分得赃款数千元至万余元。犯罪团
31、伙个人按比例分得赃款数千元至50万元不等万元不等关于员工安全管理的建议关于员工安全管理的建议关于员工安全管理的建议关于员工安全管理的建议 根据不同岗位的需求,在职位描述书中加入安全方面根据不同岗位的需求,在职位描述书中加入安全方面的责任要求,特别是敏感岗位的责任要求,特别是敏感岗位 在招聘环节做好人员筛选和背景调查工作,并且签订在招聘环节做好人员筛选和背景调查工作,并且签订适当的保密协议适当的保密协议 在新员工培训中专门加入信息安全内容在新员工培训中专门加入信息安全内容 工作期间,根据岗位需要,持续进行专项培训工作期间,根据岗位需要,持续进行专项培训 通过多种途径,全面提升员工信息安全意识通过
32、多种途径,全面提升员工信息安全意识 落实检查监督和奖惩机制落实检查监督和奖惩机制 员工内部转岗应做好访问控制变更控制员工内部转岗应做好访问控制变更控制 员工离职,应做好交接和权限撤销员工离职,应做好交接和权限撤销切不可忽视切不可忽视切不可忽视切不可忽视第三方安全第三方安全第三方安全第三方安全53 2003 2003年,上海某家为银行提供年,上海某家为银行提供年,上海某家为银行提供年,上海某家为银行提供ATMATM服务的公司,软件工程服务的公司,软件工程服务的公司,软件工程服务的公司,软件工程师苏强。利用自助网点安装调试的机会,绕过加密程序师苏强。利用自助网点安装调试的机会,绕过加密程序师苏强。
33、利用自助网点安装调试的机会,绕过加密程序师苏强。利用自助网点安装调试的机会,绕过加密程序BugBug,编写并植入一个监视软件,记录用户卡号、磁条信息和密码,编写并植入一个监视软件,记录用户卡号、磁条信息和密码,编写并植入一个监视软件,记录用户卡号、磁条信息和密码,编写并植入一个监视软件,记录用户卡号、磁条信息和密码,一个月内,记录下一个月内,记录下一个月内,记录下一个月内,记录下70007000条。然后拷贝到自己电脑上,删掉植入条。然后拷贝到自己电脑上,删掉植入条。然后拷贝到自己电脑上,删掉植入条。然后拷贝到自己电脑上,删掉植入的程序。的程序。的程序。的程序。后来苏强去读研究生,买了白卡和读卡
34、器,伪造银行卡,后来苏强去读研究生,买了白卡和读卡器,伪造银行卡,后来苏强去读研究生,买了白卡和读卡器,伪造银行卡,后来苏强去读研究生,买了白卡和读卡器,伪造银行卡,两年内共提取两年内共提取两年内共提取两年内共提取6 6万元。只是因为偶然原因被发现,公安机关通过万元。只是因为偶然原因被发现,公安机关通过万元。只是因为偶然原因被发现,公安机关通过万元。只是因为偶然原因被发现,公安机关通过检查网上查询客户信息的检查网上查询客户信息的检查网上查询客户信息的检查网上查询客户信息的IPIP地址追查到苏强,破坏案件。地址追查到苏强,破坏案件。地址追查到苏强,破坏案件。地址追查到苏强,破坏案件。54北京移动
35、电话充值卡事件北京移动电话充值卡事件3131岁的软件工程师岁的软件工程师程稚瀚,在华为工作期间,曾为西藏移动做过技术工程稚瀚,在华为工作期间,曾为西藏移动做过技术工作,案发时,在作,案发时,在UT斯达康深圳分公司工作。斯达康深圳分公司工作。20052005年年3 3月开始,其月开始,其利用为西藏移动做技术时使用的密码(此密码自程利用为西藏移动做技术时使用的密码(此密码自程稚瀚离开后一直没有更改),轻松进入了西藏移动的服务器。通过西稚瀚离开后一直没有更改),轻松进入了西藏移动的服务器。通过西藏移动的服务器,程稚瀚又跳转到了北京移动数据库,取得了数据从藏移动的服务器,程稚瀚又跳转到了北京移动数据库
36、,取得了数据从2005年年3月至月至7月,程稚瀚先后月,程稚瀚先后4次侵入北京移动数据库,修改充值卡的次侵入北京移动数据库,修改充值卡的时间和金额,将已充值的充值卡状态改为未充值,共修改复制出上万时间和金额,将已充值的充值卡状态改为未充值,共修改复制出上万个充值卡密码。他还将盗出的充值卡密码通过淘宝网出售,共获利个充值卡密码。他还将盗出的充值卡密码通过淘宝网出售,共获利370余万元。余万元。直到直到2005年年7月,由于一次月,由于一次“疏忽疏忽”,程稚瀚将一批充值卡售出时,忘,程稚瀚将一批充值卡售出时,忘了修改使用期限,使用期限仍为了修改使用期限,使用期限仍为90天。购买到这批充值卡的用户因
37、无天。购买到这批充值卡的用户因无法使用便投诉到北京移动,北京移动才发现有法使用便投诉到北京移动,北京移动才发现有6600张充值卡被非法复张充值卡被非法复制,立即报警。制,立即报警。2005年年8月月24日,程稚瀚在深圳被抓获,所获赃款全部起获。日,程稚瀚在深圳被抓获,所获赃款全部起获。关于第三方安全管理的建议关于第三方安全管理的建议关于第三方安全管理的建议关于第三方安全管理的建议 识别所有相关第三方:服务提供商,设备提供商,咨识别所有相关第三方:服务提供商,设备提供商,咨询顾问,审计机构,物业,保洁等询顾问,审计机构,物业,保洁等 识别所有与第三方相关的安全风险,无论是牵涉到物识别所有与第三方
38、相关的安全风险,无论是牵涉到物理访问还是逻辑访问理访问还是逻辑访问 在没有采取必要控制措施,包括签署相关协议之前,在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定责任和必须遵守的规定 在与第三方签订协议时特别提出信息安全方面的要求,在与第三方签订协议时特别提出信息安全方面的要求,特别是访问控制要求特别是访问控制要求 对第三方实施有效的监督,定期对第三方实施有效的监督,定期ReviewReview服务交付服务交付物理环境中需要物理环境中需要物理环境中需要物理环境中需要信息安全信息安全
39、信息安全信息安全在自助银行入口刷卡器下方粘上一个黑在自助银行入口刷卡器下方粘上一个黑在自助银行入口刷卡器下方粘上一个黑在自助银行入口刷卡器下方粘上一个黑色小方块,叫色小方块,叫色小方块,叫色小方块,叫“读卡器读卡器读卡器读卡器”,罩上一个加,罩上一个加,罩上一个加,罩上一个加长的长的长的长的“壳壳壳壳”,把银行的刷卡器和读卡器,把银行的刷卡器和读卡器,把银行的刷卡器和读卡器,把银行的刷卡器和读卡器一起藏在里面,一般人很难发现。取款一起藏在里面,一般人很难发现。取款一起藏在里面,一般人很难发现。取款一起藏在里面,一般人很难发现。取款人在刷卡进门时,银行卡上的全部信息人在刷卡进门时,银行卡上的全部
40、信息人在刷卡进门时,银行卡上的全部信息人在刷卡进门时,银行卡上的全部信息就一下被刷进了犯罪分子的读卡器上。就一下被刷进了犯罪分子的读卡器上。就一下被刷进了犯罪分子的读卡器上。就一下被刷进了犯罪分子的读卡器上。在取款机窗口内侧顶部,粘上一个贴在取款机窗口内侧顶部,粘上一个贴在取款机窗口内侧顶部,粘上一个贴在取款机窗口内侧顶部,粘上一个贴着着着着“ATM”ATM”字样的字样的字样的字样的“发光灯发光灯发光灯发光灯”。这个。这个。这个。这个“发光灯发光灯发光灯发光灯”是经过特殊改造的,里面用是经过特殊改造的,里面用是经过特殊改造的,里面用是经过特殊改造的,里面用一块手机电池做电源,连接两个灯泡,一块
41、手机电池做电源,连接两个灯泡,一块手机电池做电源,连接两个灯泡,一块手机电池做电源,连接两个灯泡,核心部分则是一个核心部分则是一个核心部分则是一个核心部分则是一个MP4MP4。取款人取款。取款人取款。取款人取款。取款人取款时的全过程被犯罪分子装的时的全过程被犯罪分子装的时的全过程被犯罪分子装的时的全过程被犯罪分子装的“针孔摄针孔摄针孔摄针孔摄像机像机像机像机”进行了进行了进行了进行了“实况录像实况录像实况录像实况录像”。ATM诈骗三部曲诈骗三部曲取款人一走,犯罪分子立即收取款人一走,犯罪分子立即收取款人一走,犯罪分子立即收取款人一走,犯罪分子立即收“家伙家伙家伙家伙”进车,先把进车,先把进车,
42、先把进车,先把MP4MP4连上笔记连上笔记连上笔记连上笔记本电脑,回放录像记下取钱人按本电脑,回放录像记下取钱人按本电脑,回放录像记下取钱人按本电脑,回放录像记下取钱人按下的密码,接着再连上读卡器,下的密码,接着再连上读卡器,下的密码,接着再连上读卡器,下的密码,接着再连上读卡器,同时再在电脑上连上一个叫同时再在电脑上连上一个叫同时再在电脑上连上一个叫同时再在电脑上连上一个叫“写写写写卡器卡器卡器卡器”的长条形东西。这时,他的长条形东西。这时,他的长条形东西。这时,他的长条形东西。这时,他们随便拿出一张卡,不管是澡堂们随便拿出一张卡,不管是澡堂们随便拿出一张卡,不管是澡堂们随便拿出一张卡,不管
43、是澡堂充值卡,还是超市礼品卡,只要充值卡,还是超市礼品卡,只要充值卡,还是超市礼品卡,只要充值卡,还是超市礼品卡,只要是带磁条的,只要在写卡器里过是带磁条的,只要在写卡器里过是带磁条的,只要在写卡器里过是带磁条的,只要在写卡器里过一下,此卡就被成功一下,此卡就被成功一下,此卡就被成功一下,此卡就被成功“克隆克隆克隆克隆”成成成成一张一张一张一张“有实无名有实无名有实无名有实无名”的银行卡了。的银行卡了。的银行卡了。的银行卡了。您的供电系统真的万无一失?您的供电系统真的万无一失?是一路电还是两路电?是一路电还是两路电?两路电是否一定是两个输电站?两路电是否一定是两个输电站?有没有有没有UPS?U
44、PS能维持多久?能维持多久?有没有备用发电机组?有没有备用发电机组?备用发电机是否有充足的油料储备?备用发电机是否有充足的油料储备?另一个与物理安全相关的案例另一个与物理安全相关的案例另一个与物理安全相关的案例另一个与物理安全相关的案例时间:时间:时间:时间:20022002年某天夜里年某天夜里年某天夜里年某天夜里地点:地点:地点:地点:A A公司的数据中心大楼公司的数据中心大楼公司的数据中心大楼公司的数据中心大楼人物:一个普通的系统管理员人物:一个普通的系统管理员人物:一个普通的系统管理员人物:一个普通的系统管理员 一个普通的系统管理员,利用看似简单的方法,就一个普通的系统管理员,利用看似简
45、单的方法,就一个普通的系统管理员,利用看似简单的方法,就一个普通的系统管理员,利用看似简单的方法,就进入了需要门卡认证的数据中心进入了需要门卡认证的数据中心进入了需要门卡认证的数据中心进入了需要门卡认证的数据中心 来自国外某论坛的激来自国外某论坛的激来自国外某论坛的激来自国外某论坛的激烈讨论烈讨论烈讨论烈讨论情况是这样的情况是这样的情况是这样的情况是这样的 l l A A A A公司的数据中心是重地,设立了严格的门禁制度,要求必须插公司的数据中心是重地,设立了严格的门禁制度,要求必须插公司的数据中心是重地,设立了严格的门禁制度,要求必须插公司的数据中心是重地,设立了严格的门禁制度,要求必须插入
46、门卡才能进入。不过,出来时很简单,入门卡才能进入。不过,出来时很简单,入门卡才能进入。不过,出来时很简单,入门卡才能进入。不过,出来时很简单,数据中心一旁的动作探测数据中心一旁的动作探测数据中心一旁的动作探测数据中心一旁的动作探测器会检测到有人朝出口走去,门会自动打开器会检测到有人朝出口走去,门会自动打开器会检测到有人朝出口走去,门会自动打开器会检测到有人朝出口走去,门会自动打开l l 数据中心有个系统管理员张三君,这天晚上加班到很晚,中间离数据中心有个系统管理员张三君,这天晚上加班到很晚,中间离数据中心有个系统管理员张三君,这天晚上加班到很晚,中间离数据中心有个系统管理员张三君,这天晚上加班
47、到很晚,中间离开数据中心出去夜宵,可返回时发现自己被锁在了外面,门卡落在开数据中心出去夜宵,可返回时发现自己被锁在了外面,门卡落在开数据中心出去夜宵,可返回时发现自己被锁在了外面,门卡落在开数据中心出去夜宵,可返回时发现自己被锁在了外面,门卡落在里面了,四周别无他人,一片静寂里面了,四周别无他人,一片静寂里面了,四周别无他人,一片静寂里面了,四周别无他人,一片静寂l l 张三急需今夜加班,可他又不想打扰他人,张三急需今夜加班,可他又不想打扰他人,张三急需今夜加班,可他又不想打扰他人,张三急需今夜加班,可他又不想打扰他人,怎么办?怎么办?怎么办?怎么办?一点线索:一点线索:一点线索:一点线索:昨
48、天曾在接待区庆祝过昨天曾在接待区庆祝过昨天曾在接待区庆祝过昨天曾在接待区庆祝过某人生日,现场还未清理干某人生日,现场还未清理干某人生日,现场还未清理干某人生日,现场还未清理干净,遗留下很多杂物,哦,净,遗留下很多杂物,哦,净,遗留下很多杂物,哦,净,遗留下很多杂物,哦,还有气球还有气球还有气球还有气球聪明的张三想出了妙计聪明的张三想出了妙计聪明的张三想出了妙计聪明的张三想出了妙计 张三找张三找张三找张三找到一个气球,到一个气球,到一个气球,到一个气球,放掉气放掉气放掉气放掉气 张三张三张三张三面朝大门入口趴下面朝大门入口趴下面朝大门入口趴下面朝大门入口趴下来,把气球塞进门里,只留来,把气球塞进
49、门里,只留来,把气球塞进门里,只留来,把气球塞进门里,只留下气球的嘴在门的这边下气球的嘴在门的这边下气球的嘴在门的这边下气球的嘴在门的这边 张三在门外吹气球,张三在门外吹气球,张三在门外吹气球,张三在门外吹气球,气球在门内膨胀,然后,气球在门内膨胀,然后,气球在门内膨胀,然后,气球在门内膨胀,然后,他释放了气球他释放了气球他释放了气球他释放了气球 由于气球在门内弹跳,由于气球在门内弹跳,由于气球在门内弹跳,由于气球在门内弹跳,触发动作探测器,门终于触发动作探测器,门终于触发动作探测器,门终于触发动作探测器,门终于开了开了开了开了问题出在哪里问题出在哪里问题出在哪里问题出在哪里 如果门和地板齐平
50、且没有缝隙,就不会出这样的事如果门和地板齐平且没有缝隙,就不会出这样的事如果门和地板齐平且没有缝隙,就不会出这样的事如果门和地板齐平且没有缝隙,就不会出这样的事 如果动作探测器的灵敏度调整到不对如果动作探测器的灵敏度调整到不对如果动作探测器的灵敏度调整到不对如果动作探测器的灵敏度调整到不对快速放气的气快速放气的气快速放气的气快速放气的气球作出反应,也不会出此事球作出反应,也不会出此事球作出反应,也不会出此事球作出反应,也不会出此事 当然,如果根本就不使用动作探测器来从里面开门,当然,如果根本就不使用动作探测器来从里面开门,当然,如果根本就不使用动作探测器来从里面开门,当然,如果根本就不使用动作