信息安全意識培訓(xùn)課件資料

1、信息技術(shù)部2011年7月銀行(ynhng)信息安全意識交流共九十二頁建立對信息安全的敏感意識(y sh)和正確認(rèn)識掌握信息安全的基本概念、原則和慣例清楚可能面臨的威脅和風(fēng)險遵守各項安全策略和制度在日常工作中養(yǎng)成良好的安全習(xí)慣最終提升整體的信息安全水平2我們(w men)的目標(biāo)共九十二頁 1、國內(nèi)多家銀行網(wǎng)銀用戶遭到大規(guī)模釣魚攻擊，損失巨大； 2、RSA遭黑客攻擊，主流身份認(rèn)證產(chǎn)品SecureID的重要信息泄漏，導(dǎo)致美國多家軍工企業(yè)信息系統(tǒng)受到嚴(yán)重威脅； 3、LulzSec成功襲擊了中央情報局，美國參議院，任天堂，索尼等多家機(jī)構(gòu)，引起國際社會廣泛關(guān)注； 4、花旗銀行網(wǎng)站遭遇黑客 20萬信用卡用戶

2、信息被盜； 5、由于南海領(lǐng)土糾紛(jifn)引起中越黑客相互攻擊對方重要網(wǎng)站； 6、韓國農(nóng)協(xié)銀行遭遇攻擊導(dǎo)致系統(tǒng)長時間癱瘓及大量交易數(shù)據(jù)丟失； 7、美聯(lián)合航空電腦故障，全國服務(wù)大亂； 8、騰訊網(wǎng)大面積訪問異常； 9、新浪微博病毒大范圍傳播； 10、Comodo等多家證書機(jī)構(gòu)遭到攻擊，攻擊者得以偽造google等多家知名網(wǎng)站證書，使互聯(lián)網(wǎng)安全遭遇嚴(yán)重威脅；共九十二頁4共九十二頁5高枕無憂慘痛教訓(xùn)補(bǔ)丁管理應(yīng)用安全數(shù)據(jù)加密隱私防范拒絕服務(wù)攻擊集中管理移動存儲釣魚劫持惡意代碼無線攻擊共九十二頁6Windows XP/7如果我是黑客1、絕大多數(shù)筆記本電腦都內(nèi)置麥克風(fēng)且處于(chy)開啟狀態(tài)；2、開啟錄音

3、功能；3、錄制所需內(nèi)容并將其放置于某Web頁面之上：4.開啟所有筆記本的攝像頭，并把錄像放置于某Web頁面之上：共九十二頁7 信息(xnx)資產(chǎn)拒絕服務(wù)流氓軟件黑客滲透內(nèi)部人員威脅木馬后門病毒和蠕蟲社會工程系統(tǒng)漏洞硬件故障網(wǎng)絡(luò)通信故障供電中斷失火雷雨地震威脅(wixi)無處不在共九十二頁8外部(wib)威脅共九十二頁9踩點掃描破壞攻擊滲透攻擊獲得訪問權(quán)獲得控制權(quán)清除痕跡安裝后門遠(yuǎn)程控制轉(zhuǎn)移目標(biāo)竊密破壞黑客攻擊基本(jbn)手法共九十二頁10 病從口入 天時(tinsh) 地利 人和員工(yungng)誤操作蓄意破壞職責(zé)權(quán)限混淆內(nèi)部威脅共九十二頁11 技術(shù)(jsh)弱點 操作(cozu)弱點 管

4、理弱點系統(tǒng)、 程序、設(shè)備中存在的漏洞或缺陷配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計或備份過程的不當(dāng)?shù)炔呗浴⒊绦?、?guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足自身弱點共九十二頁12 將口令寫在便簽上，貼在電腦監(jiān)視器旁 開著電腦離開，就像離開家卻忘記關(guān)燈那樣 輕易相信來自陌生人的郵件，好奇打開郵件附件 使用容易猜測的口令，或者根本不設(shè)口令 丟失筆記本電腦 不能保守秘密，口無遮攔(zhln)，上當(dāng)受騙，泄漏敏感信息 隨便撥號上網(wǎng)，或者隨意將無關(guān)設(shè)備連入公司網(wǎng)絡(luò) 事不關(guān)己，高高掛起，不報告安全事件 在系統(tǒng)更新和安裝補(bǔ)丁上總是行動遲緩 只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題 會后不擦黑板，會議資

5、料隨意放置在會場最常犯的一些(yxi)錯誤共九十二頁13 信息資產(chǎn)對我們很重要，是要保護(hù)的對象 威脅就像蒼蠅一樣，揮之不去，無所不在 資產(chǎn)自身又有各種弱點，給威脅帶來可乘之機(jī) 面臨各種風(fēng)險(fngxin)，一旦發(fā)生就成為安全事件、事故保持清醒(qngxng)認(rèn)識共九十二頁14嚴(yán)防威脅消減弱點應(yīng)急響應(yīng)保護(hù)資產(chǎn)熟悉潛在的安全問題知道(zh do)怎樣防止其發(fā)生明確發(fā)生后如何應(yīng)對我們(w men)應(yīng)該共九十二頁15理解(lji)和鋪墊基本概念共九十二頁16 消息、信號、數(shù)據(jù)、情報和知識 信息本身是無形的，借助于信息媒體以多種形式存在或傳播： 存儲在計算機(jī)、磁帶、紙張等介質(zhì)中 記憶在人的大腦里 通過網(wǎng)

6、絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播 信息借助媒體而存在，對現(xiàn)代企業(yè)來說具有價值，就成為信息資產(chǎn)： 計算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù) 硬件、軟件、文檔資料 關(guān)鍵人員 組織提供的服務(wù) 具有價值的信息資產(chǎn)面臨諸多威脅(wixi)，需要妥善保護(hù)Information什么(shn me)是信息共九十二頁17 采取措施保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受(zoshu)破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。什么(shn me)是信息安全共九十二頁18CIAOnfidentiality（機(jī)密性）Ntegrity（完整性）Vailabi

7、lity（可用性）CIA信息安全基本(jbn)目標(biāo)共九十二頁19ConfidentialityIntegrityAvailabilityInformation管理者的最終目標(biāo)共九十二頁20因果(yngu)關(guān)系共九十二頁21 物理安全：環(huán)境安全、設(shè)備安全、媒體安全 系統(tǒng)安全：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性 網(wǎng)絡(luò)安全：網(wǎng)絡(luò)隔離、訪問控制、VPN、入侵檢測、掃描評估 應(yīng)用安全：Email安全、Web訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全 數(shù)據(jù)加密：硬件和軟件加密，實現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的CIA特性 認(rèn)證授權(quán)：口令認(rèn)證、SSO認(rèn)證（例如Kerberos）、證書認(rèn)證等 訪問控制：防火墻、訪問控制列表等 審計跟蹤

8、：入侵檢測、日志審計、辨析取證 防殺病毒：單機(jī)防病毒技術(shù)逐漸發(fā)展成整體防病毒體系 災(zāi)備恢復(fù)：業(yè)務(wù)連續(xù)性，前提(qint)就是對數(shù)據(jù)的備份技術(shù)(jsh)手段共九十二頁22在可用性（Usability）和安全性（Security）之間是一種(y zhn)相反的關(guān)系提高了安全性，相應(yīng)地就降低了易用性而要提高安全性，又勢必增大成本管理者應(yīng)在二者之間達(dá)成一種可接受的平衡安全(nqun) vs. 可用平衡之道共九十二頁23 計算機(jī)安全領(lǐng)域一句格言： “真正安全的計算機(jī)是拔下網(wǎng)線，斷掉電源，放在地下掩體的保險柜中，并在掩體內(nèi)充滿(chngmn)毒氣，在掩體外安排士兵守衛(wèi)?！苯^對的安全(nqun)是不存在的！

9、共九十二頁24 技術(shù)是信息安全的構(gòu)筑材料，管理是真正的粘合劑和催化劑 信息安全管理構(gòu)成了信息安全具有能動性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)(xitio)的活動 現(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的 理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標(biāo)尤其重要 唯有信息安全管理工作活動持續(xù)而周期性的推動作用方能真正將信息安全意識貫徹落實三分(sn fn)技術(shù)，七分管理！關(guān)鍵點：信息安全管理共九十二頁25務(wù)必重視(zhngsh)信息安全管理加強(qiáng)信息安全建設(shè)工作管理層：信息安全意識(y sh)要點共九十二頁26 安

10、全不是產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展(fzhn)的動態(tài)過程如何(rh)正確認(rèn)識信息安全共九十二頁27重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理(gunl)移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)重要信息(xnx)的保密共九十二頁28Owner數(shù)據(jù)的屬主（OM/PM）決定所屬數(shù)據(jù)的敏感級別確定必要的保護(hù)措施最終批準(zhǔn)并Review用戶訪問權(quán)限Custodian受Owner委托管理數(shù)據(jù)通常是IT

11、人員或部門系統(tǒng)（數(shù)據(jù)）管理員向Owner提交訪問申請并按Owner授意為用戶授權(quán)執(zhí)行數(shù)據(jù)保護(hù)措施，實施日常維護(hù)和管理User公司或第三方職員因工作需要而請求訪問數(shù)據(jù)遵守安全規(guī)定和控制報告安全事件和隱患資產(chǎn)責(zé)任(zrn)劃分共九十二頁29Public公開Internal Use內(nèi)部公開Confidencial秘密Secret機(jī)密、絕密缺省信息(xnx)保密級別劃分共九十二頁30 根據(jù)需要，在合同或個人協(xié)議中明確安全方面的承諾和要求； 明確與客戶進(jìn)行數(shù)據(jù)交接的人員責(zé)任，控制客戶數(shù)據(jù)使用及分發(fā)； 明確非業(yè)務(wù)部門在授權(quán)使用客戶數(shù)據(jù)時的保護(hù)責(zé)任； 基于業(yè)務(wù)需要，主管決定是否對重要數(shù)據(jù)進(jìn)行加密保護(hù)； 禁止

12、將客戶數(shù)據(jù)或客戶標(biāo)識用于非項目相關(guān)的場合如培訓(xùn)材料； 客戶現(xiàn)場的工作人員，嚴(yán)格遵守客戶Policy，妥善保護(hù)客戶數(shù)據(jù)； 打印件應(yīng)設(shè)置(shzh)標(biāo)識，及時取回，并妥善保存或處理。數(shù)據(jù)保護(hù)安全(nqun)（舉例）共九十二頁數(shù)據(jù)恢復(fù)技術(shù)： 數(shù)據(jù)恢復(fù)是指運(yùn)用軟、硬件技術(shù)對刪除或因介質(zhì)損壞等丟失的數(shù)據(jù)予以還原的過程。U盤或計算機(jī)硬盤存儲的數(shù)據(jù)即使已被刪除或進(jìn)行格式化處理，使用專用軟件仍能將其恢復(fù)，這種方法也因此成為竊密的手段之一。 例如，竊密者使用從互聯(lián)網(wǎng)下載的恢復(fù)軟件對目標(biāo)計算機(jī)的已被格式化的U盤進(jìn)行格式化恢復(fù)操作后，即可成功的恢復(fù)原有文件。安全事件 香港某明星曾托助手將其手提電腦，送到一間計算機(jī)公

13、司維修，其后有人把計算機(jī)中已經(jīng)刪除的照片(zhopin)恢復(fù)后制作成光盤，發(fā)放予朋友及其它人士觀賞。 共九十二頁32重要信息(xnx)的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)信息交換(jiohun)與備份共九十二頁33信息交換原則：明確要交換信息的敏感級別，除了顯著標(biāo)注外，根據(jù)其敏感級別采取合適的保護(hù)措施信息發(fā)送者和接收者有責(zé)任遵守信息交換要求物理介質(zhì)傳輸：與快遞公司簽署不擴(kuò)散協(xié)議，識別丟失(dis)風(fēng)險，采取必要的控制措施電子

14、郵件和互聯(lián)網(wǎng)信息交換明確不可涉及敏感數(shù)據(jù)，如客戶信息、訂單合同等信息如必須交換此類信息，需申請主管批準(zhǔn)并采取加密傳輸措施或其它保護(hù)機(jī)制文件共享：包括Confidential（機(jī)密性）在內(nèi)的高級別的信息不能被發(fā)布于公共區(qū)域 所有共享文件應(yīng)按照規(guī)則放置在相應(yīng)的文件服務(wù)器目錄中，任何人不得在其個人電腦中開設(shè)共享。共享文件夾應(yīng)該設(shè)置恰當(dāng)?shù)脑L問控制，禁止向所有用戶賦予完全訪問權(quán)限臨時共享的文件事后應(yīng)予以刪除信息交換安全(nqun)（舉例）共九十二頁34通過傳真發(fā)送機(jī)密信息時，應(yīng)提前通知接收者并確保號碼正確不允許在公共區(qū)域用移動電話談?wù)摍C(jī)密信息不允許在公共區(qū)域與人談?wù)摍C(jī)密信息不允許通過電子郵件或IM工具交

15、換賬號和口令信息不允許借助公司資源做非工作相關(guān)的信息交換不允許通過IM工具傳輸(chun sh)文件信息交換安全(nqun)（舉例：續(xù)）共九十二頁35重要信息系統(tǒng)應(yīng)支持全備份、差量備份和增量備份IT部門提供備份所需的技術(shù)支持和必要的培訓(xùn)屬主應(yīng)該(ynggi)確保備份成功并定期檢查日志，根據(jù)需要，實施測試以驗證備份效率和效力信息備份(bi fn)安全（舉例）共九十二頁36重要信息(xnx)的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)軟

16、件應(yīng)用安全(nqun)共九十二頁37安全(nqun)培訓(xùn)安全計劃啟動并統(tǒng)一(tngy)注冊安全設(shè)計最佳做法安全體系結(jié)構(gòu)和攻擊面審核使用安全開發(fā)工具以及安全開發(fā)和測試最佳做法創(chuàng)建產(chǎn)品安全文檔和工具準(zhǔn)備安全響應(yīng)計劃安全推動活動 滲透 測試 最終安全審核安全維護(hù)和響應(yīng)執(zhí)行功能列表質(zhì)量指導(dǎo)原則體系結(jié)構(gòu)文檔日程表設(shè)計規(guī)范測試和驗證編寫新代碼故障修復(fù)代碼簽發(fā) + Checkpoint Press 簽發(fā)RTM產(chǎn)品支持服務(wù)包/QFE 安全更新需求設(shè)計實施驗證發(fā)行支持和維護(hù)威脅建模功能規(guī)范傳統(tǒng)軟件開發(fā)生命周期的任務(wù)和流程軟件應(yīng)用安全（方法論）共九十二頁38軟件應(yīng)用安全(nqun)（舉例） 開發(fā)相關(guān)軟件，業(yè)務(wù)和技

17、術(shù)部門做需求評估，IT相關(guān)軟件由IT部門負(fù)責(zé) 評估結(jié)果提交專家委員會審核，確定是否采購、外包或自行開發(fā) IT資產(chǎn)管理部門負(fù)責(zé)對新軟件登記注冊并標(biāo)注 軟件安裝之前應(yīng)確保其處于安全狀態(tài)（如：無流氓插件、病毒、License合法等） 軟件License管理應(yīng)由專人負(fù)責(zé) 軟件若需更新，應(yīng)提出申請，經(jīng)評估確認(rèn)后才能實施(shsh)，并進(jìn)行記錄 軟件使用到期，應(yīng)卸載軟件共九十二頁39重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)(wnglu)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律

18、法規(guī)計算機(jī)網(wǎng)絡(luò)訪問(fngwn)共九十二頁40 訪問控制基本原則：未經(jīng)明確允許即為禁止訪問 必須(bx)通過唯一注冊的用戶ID來控制用戶對網(wǎng)絡(luò)的訪問 系統(tǒng)管理員必須確保用戶訪問基于最小特權(quán)原則授權(quán) 用戶必須根據(jù)要求使用口令并保守秘密 系統(tǒng)管理員必須對用戶訪問權(quán)限進(jìn)行檢查，防止濫用 系統(tǒng)管理員必須確保網(wǎng)絡(luò)服務(wù)可用 系統(tǒng)管理員必須根據(jù)安全制度要求定義訪問控制規(guī)則，用戶必須遵守規(guī)則 各部門應(yīng)按照管理規(guī)定制定并實施對業(yè)務(wù)應(yīng)用系統(tǒng)、開發(fā)和測試系統(tǒng)的訪問規(guī)則計算機(jī)網(wǎng)絡(luò)訪問安全(nqun)（舉例）共九十二頁41重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公

19、工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急(yng j)響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)人員安全(nqun)管理共九十二頁42背景檢查簽署保密協(xié)議安全職責(zé)說明技能意識培訓(xùn)內(nèi)部職位調(diào)整及離職檢查流程績效考核和獎懲人員(rnyun)安全（舉例）共九十二頁43 所有員工必須根據(jù)(gnj)需要接受恰當(dāng)?shù)陌踩嘤?xùn)和指導(dǎo) 根據(jù)工作所需，各部門應(yīng)該識別并評估員工的培訓(xùn)需求 業(yè)務(wù)部門應(yīng)該建立并維持員工安全意識程序，確保員工通過培訓(xùn)而精于工作技能，并將信息安全意識深入其工作之中 管理層有責(zé)任引領(lǐng)信息安全意識促進(jìn)活動 信息安全意識培訓(xùn)應(yīng)該持續(xù)進(jìn)行，員工有責(zé)任對培訓(xùn)效果提

20、出反饋 人力資源部門負(fù)責(zé)跟蹤培訓(xùn)策略的符合性，保留員工接受培訓(xùn)的相關(guān)記錄 信息安全經(jīng)理應(yīng)該接受專門的信息安全技能培訓(xùn) 技術(shù)部門等特定職能和人員應(yīng)該接受相應(yīng)的技能培訓(xùn)人員安全(nqun)（舉例）共九十二頁44 應(yīng)該識別來自第三方的風(fēng)險(fngxin)：保安、清潔、基礎(chǔ)設(shè)施維護(hù)、供應(yīng)商或外包人員，低質(zhì)量的外包服務(wù)也被視作一種安全風(fēng)險(fngxin) 簽署第三方協(xié)議時應(yīng)包含安全要求，必要時需簽署不擴(kuò)散協(xié)議 第三方若需訪問敏感信息，需經(jīng)檢查和批準(zhǔn)，其訪問將受限制 任何第三方禁止訪問生產(chǎn)網(wǎng)絡(luò) 第三方訪問所用工具應(yīng)經(jīng)過相關(guān)部門檢查，其訪問應(yīng)經(jīng)過認(rèn)證 負(fù)責(zé)第三方訪問的人員需接受必要的安全意識培訓(xùn)第三方管理安

21、全(nqun)（舉例）共九十二頁45重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕(jngt)社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)移動計算(j sun)與遠(yuǎn)程辦公共九十二頁46 所有連接辦公網(wǎng)絡(luò)的筆記本電腦或其他(qt)移動計算機(jī)，必須按照指定PC安全標(biāo)準(zhǔn)來配置，必須符合補(bǔ)丁和防病毒管理規(guī)定 IT管理部門可以協(xié)助用戶部署必要的筆記本電腦防信息泄漏措施 用戶不能將口令、ID或其他賬戶信息以明文保存在移動介質(zhì)上 筆記本電腦遺失應(yīng)按照相應(yīng)管理制度執(zhí)行安全響應(yīng)措施 敏感

22、信息應(yīng)加密保護(hù) 禁止在公共區(qū)域討論敏感信息，或通過筆記本電腦泄漏信息筆記本電腦與遠(yuǎn)程辦公(bn gng)安全（舉例）共九十二頁47重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求(yoqi)防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)工作環(huán)境及物理(wl)安全共九十二頁48 關(guān)鍵安全區(qū)域包括服務(wù)器機(jī)房、財務(wù)部門和人力資源部門、法務(wù)部、安全監(jiān)控室應(yīng)具備門禁設(shè)施 前臺接待負(fù)責(zé)檢查外來訪客證件并進(jìn)行登記，訪客進(jìn)入內(nèi)部需持臨時卡并由相關(guān)人員陪同 實施724小時保安服務(wù)，檢查保安記

23、錄 所有(suyu)入口和內(nèi)部安全區(qū)都需部署有攝像頭，大門及各樓層入口都被實時監(jiān)控 禁止隨意放置或丟棄含有敏感信息的紙質(zhì)文件，廢棄文件需用碎紙機(jī)粉碎 廢棄或待修磁介質(zhì)轉(zhuǎn)交他人時應(yīng)經(jīng)IT管理部門消磁處理 工作(gngzu)環(huán)境安全（舉例）共九十二頁49 您肯定用過銀行的ATM機(jī)，您插入銀行卡，然后輸入密碼，然后取錢，然后拔卡，然后離開，您也許(yx)注意到您的旁邊沒有別人，您很小心，可是，您真的足夠小心嗎？我們來看一個(y )案例共九十二頁50共九十二頁51共九十二頁52共九十二頁53共九十二頁54共九十二頁55重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員(rnyun)及第三

24、方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)病毒(bngd)與惡意代碼共九十二頁56中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)(boh)條例 “計算機(jī)病毒，是指編制(binzh)或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼?！笔裁词怯嬎銠C(jī)病毒共九十二頁57病毒 Virus蠕蟲 Worm木馬 Trojan傳統(tǒng)的計算機(jī)病毒，具有自我(zw)繁殖能力，寄生于其他可執(zhí)行程序中的，通過磁盤拷貝、文件共享、電子郵件等多種途徑進(jìn)行擴(kuò)散和感染網(wǎng)絡(luò)蠕蟲不

25、需借助其他(qt)可執(zhí)行程序就能獨(dú)立存在并運(yùn)行，通常利用網(wǎng)絡(luò)中某些主機(jī)存在的漏洞來感染和擴(kuò)散特洛伊木馬是一種傳統(tǒng)的后門程序，它可以冒充正常程序，截取敏感信息，或進(jìn)行其他非法的操作病毒 蠕蟲 木馬共九十二頁58 除了蠕蟲、病毒、木馬等惡意代碼，其他(qt)惡意代碼還包括邏輯炸彈、遠(yuǎn)程控制后門等 現(xiàn)在，傳統(tǒng)的計算機(jī)病毒日益與網(wǎng)絡(luò)蠕蟲結(jié)合，發(fā)展成威力更為強(qiáng)大的混合型蠕蟲病毒，傳播途徑更加多樣化（網(wǎng)絡(luò)、郵件、網(wǎng)頁、局域網(wǎng)等） 通常的商業(yè)殺毒軟件都能查殺基本的病毒、蠕蟲和木馬程序，但并不能防止未知病毒，需要經(jīng)常更新讓我們(w men)繼續(xù)共九十二頁59 所有計算機(jī)必須部署指定的防病毒軟件 防病毒軟件必須

26、持續(xù)更新 感染病毒的計算機(jī)必須從網(wǎng)絡(luò)中隔離直至清除病毒 任何(rnh)意圖在內(nèi)部網(wǎng)絡(luò)創(chuàng)建或分發(fā)惡意代碼的行為都被視為違反管理制度 發(fā)生任何病毒傳播事件，相關(guān)人員應(yīng)及時向IT管理部門匯報 僅此就夠了么惡意代碼防范(fngfn)策略共九十二頁60重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公(bn gng)工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)口令(kulng)安全共九十二頁61 用戶名+口令是最簡單也最常用的身份認(rèn)證方式 口令是抵御攻擊的第一道防線，防止冒名頂替 口

27、令也是抵御網(wǎng)絡(luò)攻擊的最后一道防線 針對口令的攻擊簡便易行，口令破解(p ji)快速有效 由于使用不當(dāng)，往往使口令成為最薄弱的安全環(huán)節(jié) 口令與個人隱私息息相關(guān)，必須慎重保護(hù)為什么口令(kulng)很重要共九十二頁62 如果(rgu)你以請一頓工作餐來作為交換，有70的人樂意告訴你他（她）的機(jī)器口令 有34的人，甚至不需要賄賂，就可奉獻(xiàn)自己的口令 另據(jù)調(diào)查，有79的人，在被提問時，會無意間泄漏足以被用來竊取其身份的信息 平均每人要記住四個口令，95都習(xí)慣使用相同的口令（在很多需要口令的地方） 33的人選擇將口令寫下來，然后放到抽屜或夾到文件里一些(yxi)數(shù)字共九十二頁63 少于8個字符 單一的字

28、符類型，例如只用小寫字母，或只用數(shù)字 用戶名與口令相同 最常被人使用的弱口令： 自己(zj)、家人、朋友、親戚、寵物的名字 生日、結(jié)婚紀(jì)念日、電話號碼等個人信息 工作中用到的專業(yè)術(shù)語，職業(yè)特征 字典中包含的單詞，或者只在單詞后加簡單的后綴 所有系統(tǒng)都使用相同的口令 口令一直不變脆弱(curu)的口令共九十二頁64 簡單的猜測 使用專門的口令破解工具(gngj) 字典攻擊（Dictionary Attack） 暴力攻擊（Brute Force Attack） 混合攻擊（Hibrid Attack） 在網(wǎng)絡(luò)中嗅探明文傳送的口令 利用后門工具來截獲口令 通過社會工程獲取口令如何破解(p ji)口令共

29、九十二頁65 口令是越長越好 但“選用20個隨機(jī)字符作為口令”的建議也不可取 人們總習(xí)慣選擇容易記憶的口令 如果口令難記，可能會被寫下來，這樣反倒(fndo)更不安全值得注意的共九十二頁66 口令至少(zhsho)應(yīng)該由8個字符組成 口令應(yīng)該是大小寫字母、數(shù)字、特殊字符的混合體 不要使用名字、生日等個人信息和字典單詞 選擇易記強(qiáng)口令的幾個竅門： 口令短語 字符替換 單詞誤拼 鍵盤模式建議(jiny)共九十二頁67 用戶有責(zé)任記住自己的口令 IT管理部門在獨(dú)立(dl)審計的前提下進(jìn)行口令鎖定、解鎖和重置操作 初始口令設(shè)置不得為空 口令設(shè)置不得少于8個字符 口令應(yīng)該包含特殊字符、數(shù)字和大小寫字母

30、口令應(yīng)該經(jīng)常更改，設(shè)定口令有效期為3個月 口令輸入錯誤限定3次，隨后會被鎖定，解鎖需通報IT管理部門口令(kulng)管理（舉例）共九十二頁68重要信息的保密信息交換及備份軟件應(yīng)用安全(nqun)計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)電子郵件(din z yu jin)安全共九十二頁69據(jù)統(tǒng)計，有超過87的病毒(bngd)是借助Email進(jìn)入企業(yè)的對于下列標(biāo)題的郵件，選擇打開閱覽的人數(shù)百分比：I LOVE YOU：37的人會打開郵件Great joke：54

31、的人會打開郵件Message：46的人會打開郵件Special offer：39的人會打開郵件小組討論Email數(shù)字(shz)共九十二頁70不當(dāng)使用Email可能導(dǎo)致法律風(fēng)險禁止發(fā)送或轉(zhuǎn)發(fā)反動或非法的郵件內(nèi)容未經(jīng)發(fā)送人許可，不得轉(zhuǎn)發(fā)接收到的郵件不得偽造虛假郵件，不得使用他人賬號發(fā)送郵件未經(jīng)許可，不得將屬于他人郵件的消息內(nèi)容拷貝轉(zhuǎn)發(fā)與業(yè)務(wù)相關(guān)的Email應(yīng)在文件服務(wù)器上做妥善備份，專人負(fù)責(zé)檢查包含(bohn)客戶信息的Email應(yīng)轉(zhuǎn)發(fā)主管做備份個人用途的Email不應(yīng)干擾工作，并且遵守本策略避免通過Email發(fā)送機(jī)密信息，如果需要，應(yīng)采取必要的加密保護(hù)措施Email安全(nqun)（舉例）共九十

32、二頁71不安全的文件類型：絕對不要打開任何以下文件類型的郵件附件：.bat, .com, .exe, .vbs未知的文件類型：絕對不要打開任何未知文件類型的郵件附件，包括郵件內(nèi)容中到未知文件類型的鏈接微軟文件類型：如果要打開微軟文件類型（例如 .doc, .xls, .ppt等）的郵件附件或者內(nèi)部鏈接，務(wù)必先進(jìn)行病毒掃描要求發(fā)送普通的文本：盡量要求對方發(fā)送普通的文本內(nèi)容郵件，而不要發(fā)送HTML格式郵件，不要攜帶不安全類型的附件禁止郵件執(zhí)行(zhxng)Html代碼：禁止執(zhí)行HTML內(nèi)容中的代碼防止垃圾郵件：通過設(shè)置郵件服務(wù)器的過濾，防止接受垃圾郵件盡早安裝系統(tǒng)補(bǔ)?。憾沤^惡意代碼利用系統(tǒng)漏洞而實

33、施攻擊接收郵件(yujin)注意共九十二頁72如果同樣的內(nèi)容可以用普通文本正文，就不要(byo)用附件盡量不要發(fā)送.doc, .xls等可能帶有宏病毒的文件發(fā)送不安全的文件之前，先進(jìn)行病毒掃描不要參與所謂的郵件接龍盡早安裝系統(tǒng)補(bǔ)丁，防止自己的系統(tǒng)成為惡意者的跳板發(fā)送郵件(yujin)注意共九十二頁73重要信息的保密信息交換及備份軟件應(yīng)用安全(nqun)計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)介質(zhì)安全(nqun)管理共九十二頁74介質(zhì)安全(nqun)管理（舉例）

34、創(chuàng)建傳遞銷毀存 儲使用更改共九十二頁75重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令(kulng)安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)警惕(jngt)社會工程學(xué)共九十二頁76 “人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術(shù)、防火墻、入侵檢測系統(tǒng)、生物鑒別設(shè)備，可只要有人給毫無戒心(jixn)的員工打個電話” Kevin Mitnick共九十二頁77 Social Engneering 利用社會交往（通常是在偽裝之下）從目標(biāo)對象那里獲取信息 例如： 電話呼叫服務(wù)中心

35、在走廊里的聊天 冒充服務(wù)技術(shù)人員 著名黑客(hi k)Kevin Mitnick更多是通過社會工程來滲透網(wǎng)絡(luò)的，而不是高超的黑客技術(shù)什么(shn me)是社會工程學(xué)共九十二頁78 不要輕易泄漏敏感信息，例如口令和賬號 在相信任何人之前，先校驗其真實的身份(shn fen) 不要違背公司的安全策略，哪怕是你的上司向你索取個人敏感信息（Kevin Mitnick最擅長的就是冒充一個很焦急的老板，利用一般人好心以及害怕上司的心理，向系統(tǒng)管理員索取口令） 不要忘了，所謂的黑客，更多時候并不是技術(shù)多么出眾，而是社會工程的能力比較強(qiáng)社會(shhu)工程學(xué)（舉例）共九十二頁79重要信息的保密信息交換及備份軟

36、件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急(yng j)響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)應(yīng)急(yng j)響應(yīng)和BCP共九十二頁80業(yè)務(wù)(yw)持續(xù)性管理程序風(fēng)險評估管理(gunl)風(fēng)險控制措施應(yīng)急計劃框架預(yù)防為主事后緊急響應(yīng)及恢復(fù)一般安全事件觸發(fā)Helpdesk及IRT正常處理執(zhí)行具體的BCP/DRP安全事件管理程序部門級的BCP/DRP（基于BIA）緊急響應(yīng)和危機(jī)處理ERT人員環(huán)境災(zāi)難觸發(fā)緊急響應(yīng)處理程序安全事件管理（框架）共九十二頁81 事先制定可行的安全事件響應(yīng)計劃 建立事件

37、響應(yīng)小組，以管理不同風(fēng)險級別的安全事件 員工有責(zé)任向其上級報告任何已知或可疑的安全問題或違規(guī)行為 必要時，管理層可決定引入法律程序 做好證據(jù)采集和保留工作(gngzu) 應(yīng)提交安全事件和相關(guān)問題的定期管理報告，以備管理層檢查 應(yīng)該定期檢查應(yīng)急計劃的有效性安全事件管理要點(yodin)（舉例）共九十二頁82網(wǎng)絡(luò)通信中斷服務(wù)器崩潰嚴(yán)重的數(shù)據(jù)泄漏或丟失計算機(jī)網(wǎng)絡(luò)安全事件斷電斷水恐怖襲擊人員傷亡設(shè)施毀壞火災(zāi)水災(zāi)人員與環(huán)境災(zāi)難事故 事先做好備份等準(zhǔn)備工作 災(zāi)難發(fā)生后妥善處理以降 低損失 在確定時限內(nèi)恢復(fù)(huf) 分析原因，做好記錄 BCP應(yīng)定期測試和維護(hù) 應(yīng)該明確責(zé)任人重大災(zāi)害發(fā)生后應(yīng)啟用(qyng)BCP進(jìn)行恢復(fù)共九十二頁83 數(shù)據(jù)備份是制定BCP時必須考慮的一種恢復(fù)準(zhǔn)備措施 現(xiàn)在，數(shù)據(jù)備份的途徑有多種： 軟盤，CD和DVD，Zip盤，磁帶，移動硬盤，優(yōu)盤 養(yǎng)成對您的數(shù)據(jù)進(jìn)行備份的好習(xí)慣(xgun) 備份磁盤不要放在工作場所 對重要的硬盤做好鏡像 對重要的軟件進(jìn)行更新，例如微軟的產(chǎn)品 http:/數(shù)據(jù)備份要點(yodin)共九十二頁84重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)(wnglu)訪問安全人員及第三方安全管理移動計