信息安全意识培训V1-20150928讲述.ppt

* 小故事，大启发 —— 信息安全点滴 首先要关注内部人员的安全管理 * 2007年11月，集安支行代办员，周末晚上通过运营电脑，将230万转移到事先办理的15张卡上，并一夜间在各ATM上取走38万。周一被发现。 夜间银行监控设备未开放，下班后运营电脑未上锁。 事实上，此前早有人提出过这个问题，只不过没有得到重视。 * 典型案例：乐购事件 2005年9月7日，上海乐购超市金山店负责人到市公安局金山分局报案称，该店在盘点货物时发现销售的货物和收到的货款不符，有可能款物被非法侵吞。上海市公安局经侦总队和金山分局立即成立了专案组展开调查。 专案组调查发现，乐购超市几家门店货物缺损率大大超过了业内千分之五的物损比例，缺损的货物五花八门，油盐酱醋等日常用品的销售与实际收到的货款差别很大。根据以往的案例，超市内的盗窃行为往往是针对体积小价值高的化妆品等物，盗窃者很少光顾油盐酱醋等生活用品。奇怪的是，在超市的各个经营环节并没有发现明显漏洞。 考虑到钱和物最终的流向收银员是出口，问题很可能出在收银环节。警方在调查中发现，收银系统软件的设计相对严密，除非是负责维护收银系统的资讯小组职员和收银员合谋，才有可能对营业款项动手脚。 经过深入调查，侦查人员发现超市原有的收银系统被装入了一个攻击性的补丁程序，只要收银员输入口令、密码，这个程序会自动运行，删除该营业员当日20％左右的销售记录后再将数据传送至会计部门，造成会计部门只按实际营业额的80％向收银员收取营业额。另20％营业额即可被侵吞。 能够在收银系统中装入程序的，负责管理、更新、维修超市收银系统的资讯组工作人员嫌疑最大。 警方顺藤摸瓜，挖出一个包括超市资讯员、收银员在内的近40人的犯罪团伙。据调查，原乐购超市真北店资讯组组长方元在工作中发现收银系统漏洞，设计了攻击性程序，犯罪嫌疑人于琪、朱永春、武侃佳等人利用担任乐购超市多家门店资讯工作的便利，将这一程序植入各门店收银系统；犯罪嫌疑人陈炜嘉、陈琦、赵一青等人物色不法人员，经培训后通过应聘安插到各家门店做收银员，每日将侵吞赃款上缴到犯罪团伙主犯方元、陈炜嘉、陈琦等人手中，团伙成员按比例分赃。一年时间内，先后侵吞乐购超市真北店、金山店、七宝店374万余元。犯罪团伙个人按比例分得赃款数千元至50万元不等 关于员工安全管理的建议 根据不同岗位的需求，在职位描述书中加入安全方面的责任要求，特别是敏感岗位 在招聘环节做好人员筛选和背景调查工作，并且签订适当的保密协议 在新员工培训中专门加入信息安全内容 工作期间，根据岗位需要，持续进行专项培训 通过多种途径，全面提升员工信息安全意识 落实检查监督和奖惩机制 员工内部转岗应做好访问控制变更控制 员工离职，应做好交接和权限撤销 切不可忽视第三方安全 * 北京移动电话充值卡事件 31岁的软件工程师程稚瀚，在华为工作期间，曾为西藏移动做过技术工作，案发时，在UT斯达康深圳分公司工作。 2005年3月开始，其利用为西藏移动做技术时使用的密码（此密码自程稚瀚离开后一直没有更改），轻松进入了西藏移动的服务器。通过西藏移动的服务器，程稚瀚又跳转到了北京移动数据库，取得了数据从2005年3月至7月，程稚瀚先后4次侵入北京移动数据库，修改充值卡的时间和金额，将已充值的充值卡状态改为未充值，共修改复制出上万个充值卡密码。他还将盗出的充值卡密码通过淘宝网出售，共获利370余万元。 直到2005年7月，由于一次“疏忽”，程稚瀚将一批充值卡售出时，忘了修改使用期限，使用期限仍为90天。购买到这批充值卡的用户因无法使用便投诉到北京移动，北京移动才发现有6600张充值卡被非法复制，立即报警。 2005年8月24日，程稚瀚在深圳被抓获，所获赃款全部起获。  关于第三方安全管理的建议 识别所有相关第三方：服务提供商，设备提供商，咨询顾问，审计机构，物业，保洁等 识别所有与第三方相关的安全风险，无论是牵涉到物理访问还是逻辑访问 在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定 在与第三方签订协议时特别提出信息安全方面的要求，特别是访问控制要求 对第三方实施有效的监督，定期Review服务交付 物理环境中需要信息安全 在自助银行入口刷卡器下方粘上一个黑色小方块，叫“读卡器”，罩上一个加长的“壳”，把银行的刷卡器和读卡器一起藏在里面，一般人很难发现。取款人在刷卡进门时，银行卡上的全部信息就一下被刷进了犯罪分子的读卡器上。 在取款机窗口内侧顶部，粘上一个贴着“ATM”字样的“发光灯”。这个“发光灯”是经过特殊改造的，里面用一块手机电池做电源，连接两个灯泡，核心部分则是一个MP4。取款人取款时的全过