信息技术部2011年7月银行信息安全意识交流建立对信息安全的敏感意识和正确认识建立对信息安全的敏感意识和正确认识掌握信息安全的基本概念、原则和惯例掌握信息安全的基本概念、原则和惯例清楚可能面临的威胁和风险清楚可能面临的威胁和风险遵守各项安全策略和制度遵守各项安全策略和制度在日常工作中养成良好的安全习惯在日常工作中养成良好的安全习惯最终提升整体的信息安全水平最终提升整体的信息安全水平2我们的我们的目标目标1、国内多家银行网银用户遭到大规模钓鱼攻击,损失巨大;2、RSA遭黑客攻击,主流身份认证产品SecureID的重要信息泄漏,导致美国多家军工企业信息系统受到严重威胁;3、LulzSec成功袭击了中央情报局,美国参议院,任天堂,索尼等多家机构,引起国际社会广泛关注;4、花旗银行网站遭遇黑客20万信用卡用户信息被盗;5、由于南海领土纠纷引起中越黑客相互攻击对方重要网站;6、韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数据丢失;7、美联合航空电脑故障,全国服务大乱;8、腾讯网大面积访问异常;9、新浪微博病毒大范围传播;10、Comodo等多家证书机构遭到攻击,攻击者得以伪造google等多家知名网站证书,使互联网安全遭遇严重威胁;45高枕高枕无忧无忧惨痛惨痛教训教训补丁管理补丁管理应用安全应用安全数据加密数据加密隐私防范隐私防范拒绝服务攻击拒绝服务攻击集中管理集中管理移动存储移动存储钓鱼劫持钓鱼劫持恶意代码恶意代码无线攻击无线攻击……6WindowsXP/7…WindowsXP/7…如果我是黑客如果我是黑客…………11、绝大多数笔记本电脑都、绝大多数笔记本电脑都内置麦克风内置麦克风且处且处于于开启开启状态;状态;22、开启、开启录音录音功能;功能;33、、录制录制所需内容并将其放置于所需内容并将其放置于某某WebWeb页面页面之上:之上:4.4.开启所有笔记本的摄像头,并把录像放开启所有笔记本的摄像头,并把录像放置置于于某某WebWeb页面页面之上:之上:7信息资产信息资产信息资产信息资产拒绝服务拒绝服务流氓软件流氓软件黑客渗透黑客渗透内部人员威胁内部人员威胁木马后门木马后门病毒和蠕虫病毒和蠕虫社会工程社会工程系统漏洞硬件故障硬件故障网络通信故障网络通信故障供电中断供电中断失火失火雷雨地震地震威胁威胁无处不在无处不在8外部外部威胁威胁9踩点踩点扫描扫描破坏攻击破坏攻击渗透攻击渗透攻击获得访问权获得访问权获得控制权获得控制权清除痕迹清除痕迹安装后门安装后门远程控制远程控制转移目标转移目标窃密破坏窃密破坏黑客攻击黑客攻击基本手法基本手法10病从口入病从口入天时地利人和天时地利人和员工误操作员工误操作员工误操作员工误操作蓄意破坏蓄意破坏职责权限混淆职责权限混淆职责权限混淆职责权限混淆内部内部威胁威胁11技术技术弱点弱点操作操作弱点弱点管理管理弱点弱点系统、程序、设备中存在的漏洞或缺陷系统、程序、设备中存在的漏洞或缺陷配置、操作和使用中的缺陷,包括人员的不良习配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份过程的不当等惯、审计或备份过程的不当等策略、程序、规章制度、人员意识、组织结构等策略、程序、规章制度、人员意识、组织结构等方面的不足方面的不足自身自身弱点弱点12将口令写在便签上,贴在电脑监视器旁将口令写在便签上,贴在电脑监视器旁开着电脑离开,就像离开家却忘记关灯那样开着电脑离开,就像离开家却忘记关灯那样轻易相信来自陌生人的邮件,好奇打开邮件附件轻易相信来自陌生人的邮件,好奇打开邮件附件使用容易猜测的口令,或者根本不设口令使用容易猜测的口令,或者根本不设口令丢失笔记本电脑丢失笔记本电脑不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息随便拨号上网,或者随意将无关设备连入公司网络随便拨号上网,或者随意将无关设备连入公司网络事不关己,高高挂起,不报告安全事件事不关己,高高挂起,不报告安全事件在系统更新和安装补丁上总是行动迟缓在系统更新和安装补丁上总是行动迟缓只关注外来的...
