[互联网]信息安全意识培训forEducation.ppt

第 * 页 参考标准 ISO/IEC 15408（CC）：《信息技术安全评估准则》。该标准历经数年完成，提出了新的安全模型，是很多信息安全理论的基础。 ISO/IEC 17799/BS7799-1：《信息安全管理惯例》。这是目前世界上最权威的信息安全管理操作指南，对信息安全工作具有重要指导意义。 ISO/IEC 13335，第一部分：《IT安全的概念和模型》；第二部分：《IT安全的管理和计划制定》；第三部分：《IT安全管理技术》；第四部分：《安全措施的选择》；第五部分：《网络安全管理指南》。 GB17859：《计算机信息系统安全保护等级划分准则》。这是我国政府颁布的信息安全产品等级划分准则。 GA216-1999 ：《计算机信息系统安全产品部件》 GB9387 ISO7498：《信息处理系统开放系统互连》 GB 9361：《计算站场地安全要求》 公安部第51号令：《计算机病毒防治管理办法》 国家经贸委30号令 ： 《电网与电厂计算机监控系统及调度数据网络安全防护规定》 第 * 页 深层次防御体系 安 全 服 务 系统单元 应 传 网 链 物 用 输 络 路 理 层 层 层 层 层 认 证 访 问 控 制 数 据 完 整 性 数 据 保 密 抗 抵 赖 可 用 性 安 全 管 理 安全管理 安 全 管 理 协议层次 审 计 物 理 安 全 计算机网络安全 计算机系统安全 应用系统安全 第 * 页 结论:安全和投资都是没有止境的,要寻求最佳投资回报比的方案,达到安全和投资的平衡 Challenge/ Costs CAPEX OPEX Downtime impact Other Question Investment and Operative Hardware and Software Support and Maintenance How to manage most efficiently Telecom equipments Fixed and Mobile comms costs Cost Optimization Remote / Branch office management How to manage most efficiently Incident and Downtime Investments to High Availability solutions Operational costs Incident cost implications Company Reputation How to minimize negative impacts Recovery costs after incident Downtime productivity costs Downtime revenue impact 网络安全必须按照架构分阶段实施 最重要是保持业务连续性,降低因中断带来的损失 提高工作效率为前提 第 * 页 谢 谢！ * 操作员使用不当 安全配置不规范造成的安全漏洞 用户安全意识不强 选择用户口令不慎 将自己的账号随意转告他人 与他人共享等情况，都会对网络安全构成威胁 开发人员： 加强培训与监理 程序设计上贯彻安全开发规范 外来程序进行安全审核 寻求可信的合作伙伴 操作人员： 某公司的网络管理员为了方便调试路由器，全部打开了过滤规则，调试完又忘记关闭，给系统中留下了重大隐患。 1997年，维吉利亚MAI公司的技术人员对路由器进行了错误配置，波及整个互联网上的路由器当机 * 2000-2003Year2000 2001 2002 2003 Incidents21,756 52,658 82,094 137,529 Total incidents reported (1988-2003): 319,992 * 病毒传播方式不再以存储介质为主要的传播载体，网络成为计算机病毒传播的主要载体 传统病毒日益减少，网络蠕虫成为最主要和破坏力最大的病毒类型 通过恶意网页、浏览器进行攻击的病毒 病毒与木马技术相互结合，出现带有明显病毒特征的木马或者木马特征的病毒 技术的遗传与结合 社会工程学的欺骗方式 跨操作系统的病毒 手机病毒、信息家电病毒的出现 * 　“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用和口令、社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。 * 2001年6月19日的洛涁机时报报道，在一段时间内，黑客对加州的首