信息安全师认证培训.ppt

《信息安全师》认证培训时事新闻2011年,中国国家互联网安全中心指出2010年,国家互联网应急中心监测发现共近48万个木马控制端IP2010年,,,受到木马病毒攻击的国内电脑数量,,发生信息安全事故的知名企业(部分)国际货币基金组织(IMF)世嘉游戏网站宏基美国亚利桑那州公共安全部门美国议会美国FBI附属机构InfraGard及中央情报局时事新闻2011年,中国信息安全测评中心《信息安全企业在等级保护建设整改中如何发挥作用》指出:信息安全是一个动态发展的过程,仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段,是不能持续有效的威胁最大的并不是恶意的外部人员,恰恰是缺乏责任心或专业技能不足的内部人员由于没有遵循规章制度和操作流程,或不具备岗位技能而导致信息系统故障或被攻击信息安全面临的主要威胁来源有环境因素和人为因素信息网络安全对企业业务的影响一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对企业的合法权益造成影响和损害,给企业造成无法挽回的损失增加清除成本或数据被窃还对于企业的品牌形象客户信赖度市场占有率甚至股价都有潜在影响影响正常工作的开展导致业务能力下降造成不良影响引起法律纠纷导致公司停工面临的问题网络威胁的主要体现内外部的攻击外部环境日益复杂应用层及终端的安全问题网络安全战略性地位提升面临的问题黑客攻击方法主要有SQL注入:利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力DDoS:分布式拒绝服务,即阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的网络钓鱼:利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动跨站攻击:迫使Web站点回显可执行代码的攻击技术,而这些可执行代码由攻击者提供、最终为用户浏览器加载社会工程:利用电话、email和网络的社会工程学攻击伎俩,引诱某人去做某事,或者泄露敏感信息加强信息安全维护的紧迫性网络信息安全的极端重要性低危行业存在的高危环节网络终端安全问题升成重点企业职员应具备的基本技能密码技术应用网络安全应用恶意代码防护Web与数据库安全管理安全编程与安全攻防风险管理安全工程与应急响应灾难备份与恢复信息安全法律法规公安部三所《信息安全师》认证培训《信息安全师》介绍背景培训由国家公安部第三研究所、国家反计算机入侵和防病毒研究中心发起的信息网络安全专业人员认证培训体系公安部第三研究所公安部直属科研单位负责公安部信息安全管理的重要部门国家信息安全等级保护的骨干技术单位国家反计算机入侵和防病毒研究中心信息安全领域国家级研究基地