信息系统安全等级保护建设培训方案-OK.pptVIP

*回顾几乎所有基于安全层面给出的建议都是基于“信任”这个核心给出的，安全的本质是信任。“除了你自己没谁是真的可信的，然而实施起来缺困难重重，特别当下业务应用中的交互性信任体系；信息安全的核心问题即时如何建立针对当下信息安全环境的新型技术信任体系的问题，并且必须要能够很好的持续运转它；新型信任体系的建立已不是传统安全厂商提供一大堆设备就能够实现的过程，我们不但需要技术、执行力，更需要的是基于理论的思维模式以及迅速的安全服务纠错能力。*电子政务外网等保体系简要建设思路**实施过程1系统定级安全规划设计安全实施安全运行定期检查局部调整重大变更**实施过程2**信息系统安全保护技术现状分析开展建设整改技术方案详细设计工程实施及验收等级测评不符合标准要求开展建设整改技术方案论证和评审确定安全策略，开展建设整改技术方案总体设计网络安全物理安全应用安全边界安全主机安全备份和恢复建设并落实安全技术措施技术建设整改工作流程**明确主管领导、落实责任部门落实安全岗位和人员信息系统安全管理现状分析项目实施方案详细设计确定安全管理策略、制定安全管理制度安全自查和调整系统建设管理落实安全管理措施人员安全管理环境和资产管理设备和介质管理日常运行维护集中安全管理事件处置和应急响应灾难备份安全监测……系统运维管理管理建设流程**人有了知识，就会具备各种分析能力，明辨是非的能力。所以我们要勤恳读书，广泛阅读，古人说“书中自有黄金屋。”通过阅读科技书籍，我们能丰富知识，培养逻辑思维能力；通过阅读文学作品，我们能提高文学鉴赏水平，培养文学情趣；通过阅读报刊，我们能增长见识，扩大自己的知识面。有许多书籍还能培养我们的道德情操，给我们巨大的精神力量，鼓舞我们前进。***国家互联网应急中心，CNCERT/CC于2000年10月成立，在近些年发生的红色代码、SQL杀手、尼姆达蠕虫、震荡波蠕虫等重大网络安全事件处理过程中，CNCERT/CC协调各骨干网运营商、CERT组织，共同采取有效控制手段，及时遏制蠕虫和恶意程序在我国公共互联网上的大面积传播，保障了我国公共互联网的运行安全。/漏洞发现者称，如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统，而慧达驿站在其服务器上实时存储了这些酒店客户的记录，包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。结果因为某种原因，这些信息是可以被黑客拿到的。漏洞的根源在于慧达驿站公司管理机制的不完善，因为他们的系统要求酒店在提交开放记录的时候进行网页认证，但不是在酒店服务器上，而要通过慧达驿站自己的服务器，理所当然地就存下了客户的信息。另外，客户信息的数据同步是通过http协议实现的，需要认证，但是认证用户名、密码竟然是明文传输的，各个途径都可能被轻松嗅探到，用这个认证信息就可以从他们数据服务器上获得所有酒店上传的客户开房信息。此次数据泄露涉及在2011年所建的群关系，其中涉及7000多万个QQ群、12亿个部分重复的QQ号。腾讯群关系数据泄漏（可根据QQ号获得该人姓名经历等详细信息）从CSDN明文密码库到天涯明文密码库到酒店开房库到Adobe用户库到QQ群关系库泄露等等通过微薄查任意qq号，再通过qq群关系数据库，查更多信息。找到名字再通过12306、开房的库查到身份证号……支付宝前技术员工利用工作之便，偷取公司20G用户信息盗卖，已被警方控制。支付宝方面也承认确有内部员工盗卖用户信息案。此外，据传凡客诚品系最大买家，花重金从该员工处购得支付宝用户资料1000万条。据称，这些用户资料中，包括公民个人的实名、手机、电子邮箱、家庭住址、消费记录等。这些信息对普通人可能没用，但对于一些电商来说，从这些定位精准的用户信息中，可以掌握目标消费群体的具体信息。在电商领域，的确存在隐秘的客户资料黑色产业链，在“黑市”中，用户资料的价格按照“行规”是以文件大小来销售的，打包文件大部分是上百兆的大小，含有几千条信息，一般价格是几万元不等。其中，最值钱的是电商的用户资料，可以按条数来卖，一个经过精细分析的“数据包”甚至可以叫价百万元以上。买家的目的各自不一，有人是用以信息诈骗，有人是买断竞争对手的全部用户资源，有人则是为了给目标客户发送广告。被你们信任的服务商或内鬼偷偷交易出去的，比如支付宝最近那个泄密事件，就是内鬼所为。3月22日晚6点，乌云漏洞平台发布消息称：