公司信息安全意識培訓(xùn)課件

公司信息安全意識培訓(xùn)1公司信息安全意識培訓(xùn)121234什么是信息安全？怎樣搞好信息安全？信息產(chǎn)業(yè)發(fā)展現(xiàn)狀主要內(nèi)容信息安全基本概念21234什么是信息安全？怎樣搞好信息安全？信息產(chǎn)業(yè)發(fā)展現(xiàn)狀3授之以魚不如授之以漁——產(chǎn)品——技術(shù)更不如激之其欲——意識談笑間，風(fēng)險灰飛煙滅。引言3授之以魚不如授之以漁——產(chǎn)品——技術(shù)更不如激之其欲——意識4什么是信息安全？不止有產(chǎn)品、技術(shù)才是信息安全4什么是信息安全？不止有產(chǎn)品、技術(shù)才是信息安全5信息安全無處不在信息安全人員安全物理安全事件管理安全策略法律合規(guī)開發(fā)安全安全組織資產(chǎn)管理業(yè)務(wù)連續(xù)網(wǎng)絡(luò)安全訪問控制5信息安全無處不在信息安全人員安全物理安全事件管理安全策略

一個軟件公司的老總，等他所有的員工下班之后，他在那里想：我的企業(yè)到底值多少錢呢？假如它的企業(yè)市值1億，那么此時此刻，他的企業(yè)就值2600萬。因為據(jù)Delphi公司統(tǒng)計，公司價值的26%體現(xiàn)在固定資產(chǎn)和一些文檔上，而高達(dá)42%的價值是存儲在員工的腦子里，而這些信息的保護(hù)沒有任何一款產(chǎn)品可以做得到，所以需要我們建立信息安全管理體系，也就是常說的ISMS！6怎樣搞好信息安全？一個軟件公司的老總，等他所有的員工下班之后，他在那7信息在哪里？紙質(zhì)文檔電子文檔員工其他信息介質(zhì)小問題：公司的信息都在哪里？7信息在哪里？紙質(zhì)文檔小問題：公司的信息都在哪里？8小測試：

您離開家每次都關(guān)門嗎？您離開公司每次都關(guān)門嗎？您的保險箱設(shè)密碼嗎？您的電腦設(shè)密碼嗎？8小測試：您離開家每次都關(guān)門嗎？9答案解釋：

如果您記得關(guān)家里的門，而不記得關(guān)公司的門，說明您可能對公司的安全認(rèn)知度不夠。

如果您記得給保險箱設(shè)密碼，而不記得給電腦設(shè)密碼，說明您可能對信息資產(chǎn)安全認(rèn)識不夠。9答案解釋：如果您記得關(guān)家里的門，而不記得關(guān)公司的10這就是意識缺乏的兩大結(jié)癥！不看重大公司，更看重小家庭。1家公司2鈔票更順眼，信息無所謂。〉10這就是意識缺乏的兩大結(jié)癥！不看重大公司，更看重小家庭。111思想上的轉(zhuǎn)變（一）

公司的錢，就是我的錢，只是先放在,老板那里~~~11思想上的轉(zhuǎn)變（一）公司的錢，就是我的錢，老板那12WHY???信息安全搞好了信息安全搞砸了公司賺錢了領(lǐng)導(dǎo)笑了領(lǐng)導(dǎo)怒了公司賠錢了你就“跌”了你就“漲”了12WHY???信息安全搞好了信息安全搞砸了公司賺錢了領(lǐng)導(dǎo)笑13思想上的轉(zhuǎn)變（二）

信息比鈔票更重要，更脆弱，我們更應(yīng)該保護(hù)它。13思想上的轉(zhuǎn)變（二）信息比鈔票更重要，更脆弱14WHY???裝有100萬的保險箱需要3個悍匪、公司損失：100萬裝有客戶信息的電腦只要1個商業(yè)間諜、1個U盤，就能偷走。公司損失：所有客戶！1輛車，才能偷走。14WHY???裝有100萬的需要3個悍匪、公司損失：15典型案例15典型案例16安全名言

公司的利益就是自己的利益，不保護(hù)公司，就是不保護(hù)自己。

電腦不僅僅是工具，而是裝有十分重要信息的保險箱。16安全名言公司的利益就是自己的利益，不保護(hù)公司，就是不保17絕對的安全是不存在的絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)險，也是不現(xiàn)實的；計算機(jī)系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。

在計算機(jī)安全領(lǐng)域有一句格言：“真正安全的計算機(jī)是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！憋@然，這樣的計算機(jī)是無法使用的。17絕對的安全是不存在的絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)18安全是一種平衡18安全是一種平衡19安全是一種平衡安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平關(guān)鍵是實現(xiàn)成本利益的平衡19安全是一種平衡安全控制的成本安全事件的損失最小化的總成本信息的價值=使用信息所獲得的收益─獲取信息所用成本信息具備了安全的保護(hù)特性20信息的價值信息的價值=使用信息所獲得的收益─獲取信息所用成本2廣義上講領(lǐng)域——涉及到信息的保密性，完整性，可用性，真實性，可控性的相關(guān)技術(shù)和理論。本質(zhì)上保護(hù)——系統(tǒng)的硬件，軟件，數(shù)據(jù)防止——系統(tǒng)和數(shù)據(jù)遭受破壞，更改，泄露保證——系統(tǒng)連續(xù)可靠正常地運行，服務(wù)不中斷兩個層面技術(shù)層面——防止外部用戶的非法入侵管理層面——內(nèi)部員工的教育和管理21信息安全的定義廣義上講21信息安全的定義22信息安全基本目標(biāo)保密性，完整性，可用性CIAonfidentialityntegrityvailabilityCIA22信息安全基本目標(biāo)保密性，完整性，可用性CIAon23信息生命周期創(chuàng)建傳遞銷毀存儲使用更改23信息生命周期創(chuàng)建傳遞銷毀存儲使用更改24信息產(chǎn)業(yè)發(fā)展迅猛截至2008年7月，我國固定電話已達(dá)到3.55億戶，移動電話用戶數(shù)達(dá)到6.08億。截至2008年6月，我國網(wǎng)民數(shù)量達(dá)到了2.53億，成為世界上網(wǎng)民最多的國家，與去年同期相比，中國網(wǎng)民人數(shù)增加了9100萬人，同比增長達(dá)到56.2%。手機(jī)上網(wǎng)成為用戶上網(wǎng)的重要途徑，網(wǎng)民中的28.9%在過去半年曾經(jīng)使用過手機(jī)上網(wǎng)，手機(jī)網(wǎng)民規(guī)模達(dá)到7305萬人。2007年電子商務(wù)交易總額已超過2萬億元。目前，全國網(wǎng)站總數(shù)達(dá)192萬，中文網(wǎng)頁已達(dá)84.7億頁，個人博客/個人空間的網(wǎng)民比例達(dá)到42.3%。目前，縣級以上96%的政府機(jī)構(gòu)都建立了網(wǎng)站，電子政務(wù)正以改善公共服務(wù)為重點，在教育、醫(yī)療、住房等方面，提供便捷的基本公共服務(wù)。24信息產(chǎn)業(yè)發(fā)展迅猛截至2008年7月，我國固定電話已達(dá)到325信息安全令人擔(dān)憂內(nèi)地企業(yè)44%信息安全事件是數(shù)據(jù)失竊

普華永道最新發(fā)布的2008年度全球信息安全調(diào)查報告顯示，中國內(nèi)地企業(yè)在信息安全管理方面存在滯后，信息安全與隱私保障方面已被印度趕超。數(shù)據(jù)顯示，內(nèi)地企業(yè)44%的信息安全事件與數(shù)據(jù)失竊有關(guān)，而全球的平均水平只有16%。普華永道的調(diào)查顯示，中國內(nèi)地企業(yè)在改善信息安全機(jī)制上仍有待努力，從近年安全事件結(jié)果看，中國每年大約98萬美元的財務(wù)損失，而亞洲國家平均約為75萬美元，印度大約為30.8萬美元。此外，42%的中國內(nèi)地受訪企業(yè)經(jīng)歷了應(yīng)用軟件、系統(tǒng)和網(wǎng)絡(luò)的安全事件。25信息安全令人擔(dān)憂內(nèi)地企業(yè)44%信息安全事件是數(shù)據(jù)失竊26安全事件（1）26安全事件（1）27安全事件（2）27安全事件（2）28安全事件（3）28安全事件（3）29安全事件（4）29安全事件（4）30安全事件（5）30安全事件（5）31安全事件（6）熊貓燒香病毒的制造者-李俊

用戶電腦中毒后可能會出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。同時，該病毒可以通過局域網(wǎng)進(jìn)行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計算機(jī)系統(tǒng)，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓，無法正常使用，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。

31安全事件（6）熊貓燒香病毒的制造者-李俊32深度分析32深度分析33這樣的事情還有很多……信息安全迫在眉睫！??！33這樣的事情還有很多……信息安全關(guān)鍵是做好預(yù)防控制隱患險于明火！預(yù)防重于救災(zāi)！34關(guān)鍵是做好預(yù)防控制隱患險于明火！3435小故事，大啟發(fā)

——信息安全點滴3535小故事，大啟發(fā)35首先要關(guān)注內(nèi)部人員的安全管理36首先要關(guān)注內(nèi)部人員的安全管理363737382007年11月，集安支行代辦員，周末晚上通過運營電腦，將230萬轉(zhuǎn)移到事先辦理的15張卡上，并一夜間在各ATM上取走38萬。周一被發(fā)現(xiàn)。

夜間銀行監(jiān)控設(shè)備未開放，下班后運營電腦未上鎖。

事實上，此前早有人提出過這個問題，只不過沒有得到重視。38382007年11月，集安支行代辦員，周末晚上39典型案例：樂購事件2005年9月7日，上海樂購超市金山店負(fù)責(zé)人到市公安局金山分局報案稱，該店在盤點貨物時發(fā)現(xiàn)銷售的貨物和收到的貨款不符，有可能款物被非法侵吞。上海市公安局經(jīng)偵總隊和金山分局立即成立了專案組展開調(diào)查。專案組調(diào)查發(fā)現(xiàn)，樂購超市幾家門店貨物缺損率大大超過了業(yè)內(nèi)千分之五的物損比例，缺損的貨物五花八門，油鹽醬醋等日常用品的銷售與實際收到的貨款差別很大。根據(jù)以往的案例，超市內(nèi)的盜竊行為往往是針對體積小價值高的化妝品等物，盜竊者很少光顧油鹽醬醋等生活用品。奇怪的是，在超市的各個經(jīng)營環(huán)節(jié)并沒有發(fā)現(xiàn)明顯漏洞。考慮到錢和物最終的流向收銀員是出口，問題很可能出在收銀環(huán)節(jié)。警方在調(diào)查中發(fā)現(xiàn)，收銀系統(tǒng)軟件的設(shè)計相對嚴(yán)密，除非是負(fù)責(zé)維護(hù)收銀系統(tǒng)的資訊小組職員和收銀員合謀，才有可能對營業(yè)款項動手腳。經(jīng)過深入調(diào)查，偵查人員發(fā)現(xiàn)超市原有的收銀系統(tǒng)被裝入了一個攻擊性的補(bǔ)丁程序，只要收銀員輸入口令、密碼，這個程序會自動運行，刪除該營業(yè)員當(dāng)日20％左右的銷售記錄后再將數(shù)據(jù)傳送至?xí)嫴块T，造成會計部門只按實際營業(yè)額的80％向收銀員收取營業(yè)額。另20％營業(yè)額即可被侵吞。能夠在收銀系統(tǒng)中裝入程序的，負(fù)責(zé)管理、更新、維修超市收銀系統(tǒng)的資訊組工作人員嫌疑最大。

警方順藤摸瓜，挖出一個包括超市資訊員、收銀員在內(nèi)的近40人的犯罪團(tuán)伙。據(jù)調(diào)查，原樂購超市真北店資訊組組長方元在工作中發(fā)現(xiàn)收銀系統(tǒng)漏洞，設(shè)計了攻擊性程序，犯罪嫌疑人于琪、朱永春、武侃佳等人利用擔(dān)任樂購超市多家門店資訊工作的便利，將這一程序植入各門店收銀系統(tǒng)；犯罪嫌疑人陳煒嘉、陳琦、趙一青等人物色不法人員，經(jīng)培訓(xùn)后通過應(yīng)聘安插到各家門店做收銀員，每日將侵吞贓款上繳到犯罪團(tuán)伙主犯方元、陳煒嘉、陳琦等人手中，團(tuán)伙成員按比例分贓。一年時間內(nèi)，先后侵吞樂購超市真北店、金山店、七寶店374萬余元。犯罪團(tuán)伙個人按比例分得贓款數(shù)千元至50萬元不等3939典型案例：樂購事件2005年9月7日，上海樂購超市金山店關(guān)于員工安全管理的建議

根據(jù)不同崗位的需求，在職位描述書中加入安全方面的責(zé)任要求，特別是敏感崗位在招聘環(huán)節(jié)做好人員篩選和背景調(diào)查工作，并且簽訂適當(dāng)?shù)谋Ｃ軈f(xié)議在新員工培訓(xùn)中專門加入信息安全內(nèi)容工作期間，根據(jù)崗位需要，持續(xù)進(jìn)行專項培訓(xùn)通過多種途徑，全面提升員工信息安全意識落實檢查監(jiān)督和獎懲機(jī)制員工內(nèi)部轉(zhuǎn)崗應(yīng)做好訪問控制變更控制員工離職，應(yīng)做好交接和權(quán)限撤銷40關(guān)于員工安全管理的建議根據(jù)不同崗位的需求，在職位描述書中加切不可忽視第三方安全41切不可忽視第三方安全41422003年，上海某家為銀行提供ATM服務(wù)的公司，軟件工程師蘇強(qiáng)。利用自助網(wǎng)點安裝調(diào)試的機(jī)會，繞過加密程序Bug，編寫并植入一個監(jiān)視軟件，記錄用戶卡號、磁條信息和密碼，一個月內(nèi)，記錄下7000條。然后拷貝到自己電腦上，刪掉植入的程序。

后來蘇強(qiáng)去讀研究生，買了白卡和讀卡器，偽造銀行卡，兩年內(nèi)共提取6萬元。只是因為偶然原因被發(fā)現(xiàn)，公安機(jī)關(guān)通過檢查網(wǎng)上查詢客戶信息的IP地址追查到蘇強(qiáng)，破壞案件。42422003年，上海某家為銀行提供ATM服務(wù)43北京移動電話充值卡事件31歲的軟件工程師程稚瀚，在華為工作期間，曾為西藏移動做過技術(shù)工作，案發(fā)時，在UT斯達(dá)康深圳分公司工作。2005年3月開始，其利用為西藏移動做技術(shù)時使用的密碼（此密碼自程稚瀚離開后一直沒有更改），輕松進(jìn)入了西藏移動的服務(wù)器。通過西藏移動的服務(wù)器，程稚瀚又跳轉(zhuǎn)到了北京移動數(shù)據(jù)庫，取得了數(shù)據(jù)從2005年3月至7月，程稚瀚先后4次侵入北京移動數(shù)據(jù)庫，修改充值卡的時間和金額，將已充值的充值卡狀態(tài)改為未充值，共修改復(fù)制出上萬個充值卡密碼。他還將盜出的充值卡密碼通過淘寶網(wǎng)出售，共獲利370余萬元。直到2005年7月，由于一次“疏忽”，程稚瀚將一批充值卡售出時，忘了修改使用期限，使用期限仍為90天。購買到這批充值卡的用戶因無法使用便投訴到北京移動，北京移動才發(fā)現(xiàn)有6600張充值卡被非法復(fù)制，立即報警。2005年8月24日，程稚瀚在深圳被抓獲，所獲贓款全部起獲。

4343北京移動電話充值卡事件31歲的軟件工程師程稚瀚，在華為工關(guān)于第三方安全管理的建議

識別所有相關(guān)第三方：服務(wù)提供商，設(shè)備提供商，咨詢顧問，審計機(jī)構(gòu)，物業(yè)，保潔等識別所有與第三方相關(guān)的安全風(fēng)險，無論是牽涉到物理訪問還是邏輯訪問在沒有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪問。應(yīng)該讓外部伙伴意識到其責(zé)任和必須遵守的規(guī)定在與第三方簽訂協(xié)議時特別提出信息安全方面的要求，特別是訪問控制要求對第三方實施有效的監(jiān)督，定期Review服務(wù)交付44關(guān)于第三方安全管理的建議識別所有相關(guān)第三方：服務(wù)提供商，設(shè)物理環(huán)境中需要信息安全45物理環(huán)境中需要信息安全45在自助銀行入口刷卡器下方粘上一個黑色小方塊，叫“讀卡器”，罩上一個加長的“殼”，把銀行的刷卡器和讀卡器一起藏在里面，一般人很難發(fā)現(xiàn)。取款人在刷卡進(jìn)門時，銀行卡上的全部信息就一下被刷進(jìn)了犯罪分子的讀卡器上。在取款機(jī)窗口內(nèi)側(cè)頂部，粘上一個貼著“ATM”字樣的“發(fā)光燈”。這個“發(fā)光燈”是經(jīng)過特殊改造的，里面用一塊手機(jī)電池做電源，連接兩個燈泡，核心部分則是一個MP4。取款人取款時的全過程被犯罪分子裝的“針孔攝像機(jī)”進(jìn)行了“實況錄像”。ATM詐騙三部曲取款人一走，犯罪分子立即收“家伙”進(jìn)車，先把MP4連上筆記本電腦，回放錄像記下取錢人按下的密碼，接著再連上讀卡器，同時再在電腦上連上一個叫“寫卡器”的長條形東西。這時，他們隨便拿出一張卡，不管是澡堂充值卡，還是超市禮品卡，只要是帶磁條的，只要在寫卡器里過一下，此卡就被成功“克隆”成一張“有實無名”的銀行卡了。46在自助銀行入口刷卡器下方粘上一個黑色小方塊，叫“讀卡器”，罩您的供電系統(tǒng)真的萬無一失？是一路電還是兩路電？兩路電是否一定是兩個輸電站？有沒有UPS？UPS能維持多久？有沒有備用發(fā)電機(jī)組？備用發(fā)電機(jī)是否有充足的油料儲備？47您的供電系統(tǒng)真的萬無一失？是一路電還是兩路電？47另一個與物理安全相關(guān)的案例時間：2002年某天夜里地點：A公司的數(shù)據(jù)中心大樓人物：一個普通的系統(tǒng)管理員

一個普通的系統(tǒng)管理員，利用看似簡單的方法，就進(jìn)入了需要門卡認(rèn)證的數(shù)據(jù)中心……

————

來自國外某論壇的激烈討論48另一個與物理安全相關(guān)的案例時間：2002年某天夜里一情況是這樣的……A公司的數(shù)據(jù)中心是重地，設(shè)立了嚴(yán)格的門禁制度，要求必須插入門卡才能進(jìn)入。不過，出來時很簡單，數(shù)據(jù)中心一旁的動作探測器會檢測到有人朝出口走去，門會自動打開數(shù)據(jù)中心有個系統(tǒng)管理員張三君，這天晚上加班到很晚，中間離開數(shù)據(jù)中心出去夜宵，可返回時發(fā)現(xiàn)自己被鎖在了外面，門卡落在里面了，四周別無他人，一片靜寂張三急需今夜加班，可他又不想打擾他人，怎么辦？49情況是這樣的……A公司的數(shù)據(jù)中心是重地，設(shè)立了嚴(yán)格的門一點線索：昨天曾在接待區(qū)慶祝過某人生日，現(xiàn)場還未清理干凈，遺留下很多雜物，哦，還有氣球……50一點線索：50聰明的張三想出了妙計……①張三找到一個氣球，放掉氣②張三面朝大門入口趴下來，把氣球塞進(jìn)門里，只留下氣球的嘴在門的這邊③張三在門外吹氣球，氣球在門內(nèi)膨脹，然后，他釋放了氣球……④由于氣球在門內(nèi)彈跳，觸發(fā)動作探測器，門終于開了51聰明的張三想出了妙計……①張三找到一個氣球，放掉氣②問題出在哪里……

如果門和地板齊平且沒有縫隙，就不會出這樣的事

如果動作探測器的靈敏度調(diào)整到不對快速放氣的氣球作出反應(yīng)，也不會出此事

當(dāng)然，如果根本就不使用動作探測器來從里面開門，這種事情同樣不會發(fā)生52問題出在哪里……如果門和地板齊平且沒有縫隙，就不會出這總結(jié)教訓(xùn)……

雖然是偶然事件，也沒有直接危害，但是潛在風(fēng)險既是物理安全的問題，更是管理問題切記！有時候自以為是的安全，恰恰是最不安全！物理安全非常關(guān)鍵！53總結(jié)教訓(xùn)……雖然是偶然事件，也沒有直接危害，但是潛在風(fēng)關(guān)于物理安全的建議

將敏感設(shè)備和信息放置在受控的安全區(qū)域所有到受控區(qū)域的入口都應(yīng)該加鎖、設(shè)置門衛(wèi)，或者以某種方式進(jìn)行監(jiān)視，并做好進(jìn)出登記如果進(jìn)出需要ID徽章，請隨身帶好，嚴(yán)禁無證進(jìn)入鑰匙和門卡僅供本人使用，不要交給他人使用嚴(yán)格控制帶存儲和攝像功能的手持設(shè)備的使用使用公共區(qū)域的打印機(jī)、傳真機(jī)、復(fù)印機(jī)時，一定不要遺留敏感文件

移動電腦是惡意者經(jīng)常關(guān)注的目標(biāo)，一定要注意保護(hù)使用碎紙機(jī)，謹(jǐn)防敏感文件通過垃圾簍而泄漏如果發(fā)現(xiàn)可疑情況，請立即報告54關(guān)于物理安全的建議將敏感設(shè)備和信息放置在受控的安全區(qū)域54日常工作需特別留意信息安全55日常工作需特別留意信息安全5556移動介質(zhì)管控的要求與落實脫節(jié)“擺渡攻擊”

涉密網(wǎng)絡(luò)中的泄密現(xiàn)象5656移動介質(zhì)管控的要求與落實脫節(jié)56關(guān)于口令的一些調(diào)查結(jié)果

一個有趣的調(diào)查發(fā)現(xiàn)，如果你用一條巧克力來作為交換，有70％的人樂意告訴你他（她）的口令有34％的人，甚至不需要賄賂，就可奉獻(xiàn)自己的口令另據(jù)調(diào)查，有79％的人，在被提問時，會無意間泄漏足以被用來竊取其身份的信息姓名、寵物名、生日、球隊名最常被用作口令平均每人要記住四個口令，大多數(shù)人都習(xí)慣使用相同的口令（在很多需要口令的地方）

33％的人選擇將口令寫下來，然后放到抽屜或夾到文件里57關(guān)于口令的一些調(diào)查結(jié)果一個有趣的調(diào)查發(fā)現(xiàn)，如果你用一條巧克什么樣的口令是比較脆弱的？

少于8個字符單一的字符類型，例如只用小寫字母，或只用數(shù)字用戶名與口令相同最常被人使用的弱口令：自己、家人、朋友、親戚、寵物的名字生日、結(jié)婚紀(jì)念日、電話號碼等個人信息工作中用到的專業(yè)術(shù)語，職業(yè)特征字典中包含的單詞，或者只在單詞后加簡單的后綴所有系統(tǒng)都使用相同的口令口令一直不變58什么樣的口令是比較脆弱的？少于8個字符58口令安全建議

應(yīng)該設(shè)置強(qiáng)口令口令應(yīng)該經(jīng)常更改，比如3個月不同的系統(tǒng)或場所應(yīng)使用不同的口令一定要即刻更改系統(tǒng)的缺省或初始化口令不要與任何人共享你的口令不要把口令寫在紙上不要把口令存儲在計算機(jī)文件中輸入口令時嚴(yán)防有人偷看如果有人在電話中向你索取口令，拒絕后立即報告如果發(fā)覺有人獲知你的口令，立即改變它59口令安全建議應(yīng)該設(shè)置強(qiáng)口令59從一點一滴做起！從自身做起！60從一點一滴做起！從自身做起！6061IT安全問題011、一般情況下，個人計算機(jī)在（）分鐘的非活動狀態(tài)里要求自動激活屏幕鎖定02A、5分鐘B、10分鐘03C、15分鐘D、30分鐘61IT安全問題011、一般情況下，個人計算機(jī)在（）62IT安全問題012、下列說法錯誤的是()02A、個人計算機(jī)操作系統(tǒng)必須設(shè)置口令。04C、離開自己的計算機(jī)時，必須激活具有密碼保護(hù)的屏幕保護(hù)程序。05D、為方便第二天工作，下班后可以不用關(guān)閉計算機(jī)。03B、在每天工作結(jié)束時，將便攜電腦妥善保管，如鎖入文件柜。62IT安全問題012、下列說法錯誤的是()02A、個63IT安全問題013、口令要求至少（）更換一次02A、3個月04C、1年05D、可以一直使用一個口令，不用修改。03B、6個月63IT安全問題013、口令要求至少（）更換一次64IT安全問題014、下列關(guān)于個人計算機(jī)的訪問密碼設(shè)置要求，描述錯誤的是（）：02A、密碼要求至少設(shè)置8位字符長。04C、禁止使用前兩次的密碼05D、如果需要訪問不在公司控制下的計算機(jī)系統(tǒng)，禁止選擇在公司內(nèi)部系統(tǒng)使用的密碼作為外部系統(tǒng)的密碼。03B、為便于記憶，可將自己生日作為密碼。64IT安全問題014、下列關(guān)于個人計算機(jī)的訪問密碼設(shè)置要求65IT安全問題015、下列關(guān)于外網(wǎng)使用說法錯誤的是（）：02A、外網(wǎng)只能從分公司一點接入。04C、外網(wǎng)接入須經(jīng)過防火墻以加強(qiáng)安全防護(hù)。05D、只使用有授權(quán)訪問的服務(wù)。不要嘗試訪問未經(jīng)授權(quán)的互聯(lián)網(wǎng)系統(tǒng)或服務(wù)器端口。03B、地市公司或管理部門為方便外網(wǎng)使用，可自己向電信申請開通ADSL外網(wǎng)接入。65IT安全問題015、下列關(guān)于外網(wǎng)使用說法錯誤的是（）：66IT安全問題016、用upload賬戶通過分公司85服務(wù)器上傳文件文件，描述錯誤的是（）02A、需保密的文件上傳前應(yīng)該做加密處理。04C、不可將分公司FTP服務(wù)器當(dāng)作自己重要數(shù)據(jù)文件的備份服務(wù)器。05D、上傳后的文件可以不用處理，一直放到分公司FTP服務(wù)器上。03B、在對方下載后立即從FTP服務(wù)器上刪除自己所傳文件。66IT安全問題016、用upload賬戶通過分公司85服務(wù)67IT安全問題017、關(guān)于個人計算機(jī)數(shù)據(jù)備份描述錯誤的是（）02A、備份的目的是有效保證個人計算機(jī)內(nèi)的重要信息在遭到損壞時能夠及時恢復(fù)。04C、員工應(yīng)根據(jù)個人計算機(jī)上信息的重要程度和修改頻率定期對信息進(jìn)行備份。05D、備份介質(zhì)必須要注意防范偷竊或未經(jīng)授權(quán)的訪問。03B、個人計算機(jī)數(shù)據(jù)備份是信息技術(shù)部的事情，應(yīng)由信息技術(shù)部負(fù)責(zé)完成。67IT安全問題017、關(guān)于個人計算機(jī)數(shù)據(jù)備份描述錯誤的是（68IT安全問題018、關(guān)于電子郵件的使用，描述錯誤的是（）02A、不得散發(fā)可能被認(rèn)為不適當(dāng)?shù)?，對他人不尊重或提倡違法行為的內(nèi)容；04C、禁止使用非CPIC的電子郵箱，如YAHOO，AOL，HOTMAIL等交換CPIC公司信息；05D、非CPIC授權(quán)人員禁止使用即時通訊軟件，如MSN交換CPIC公司信息。03B、可以自動轉(zhuǎn)發(fā)公司內(nèi)部郵件到互聯(lián)網(wǎng)上；68IT安全問題018、關(guān)于電子郵件的使用，描述錯誤的是（69IT安全問題019、下列關(guān)于病毒防護(hù)描述錯誤的是（）02A、個人工作站必須安裝統(tǒng)一部署的防病毒軟件，未經(jīng)信息技術(shù)部批準(zhǔn)不得擅自安裝非本公司指定的防病毒軟件。04C、在處理外部介質(zhì)之前應(yīng)用防病毒軟件掃描。05D、個人計算機(jī)上安裝了防病毒軟件即可，不用定期進(jìn)行病毒掃描。03B、如果從公共資源得到程序（比如，網(wǎng)站，公告版），那么在使用之前需使用防病毒程序掃描。69IT安全問題019、下列關(guān)于病毒防護(hù)描述錯誤的是（）070IT安全問題0110、位于高風(fēng)險區(qū)域的移動計算機(jī)，例如，在沒有物理訪問控制的區(qū)域等應(yīng)設(shè)屏幕鎖定為（）分鐘，以防止非授權(quán)人員的訪問；02A、5分鐘B、10分鐘03C、15分鐘D、30分鐘70IT安全問題0110、位于高風(fēng)險區(qū)域的移動計算機(jī)，例如，71IT安全問題0111、關(guān)于數(shù)據(jù)保存，說法錯誤的是（）02A、將重要數(shù)據(jù)文件保存到C盤或者桌面。04C、將重要數(shù)據(jù)文件保存到C盤外的其它硬盤分區(qū)。03B、定期對重要數(shù)據(jù)文件用移動硬盤或光盤進(jìn)行備份。71IT安全問題0111、關(guān)于數(shù)據(jù)保存，說法錯誤的是（）072IT安全問題0112、關(guān)于代碼權(quán)限管理規(guī)定說法錯誤的是（）02A、非在編人員不能加代碼，試用期員工可加代碼。04C、出單和理賠操作員經(jīng)培訓(xùn)、考試合格才能申請權(quán)限。05D、人員離職后，人員代碼及相應(yīng)權(quán)限應(yīng)立即予以清理。03B、為方便工作，同事之間的代碼可以相互借用。72IT安全問題0112、關(guān)于代碼權(quán)限管理規(guī)定說法錯誤的是（73IT安全問題13、使用者必須向分公司信息技術(shù)部提出書面申請并得到書面確認(rèn)后方可安裝的軟件屬于以下哪一類（）A：I類B：II類C：III類D：IV類73IT安全問題13、使用者必須向分公司信息技術(shù)部提出書面申74IT安全問題0114、下列關(guān)于筆記本使用規(guī)范描述錯誤的是（）02A、筆記本應(yīng)該設(shè)置硬盤保護(hù)密碼以加強(qiáng)安全保護(hù)；04C、如果便攜電腦或公司的機(jī)密信息被偷，丟失，必須及時報告給公司的安全部門和你的上級主管。05D、單位筆記本可以帶回家供娛樂使用，例如玩游戲等。03B、在旅行中或在辦公室之外的地方工作時要盡可能將便攜電腦置于個人的控制之下。74IT安全問題0114、下列關(guān)于筆記本使用規(guī)范描述錯誤的是75問題一0115、在旅行中或出差時等辦公室之外的地方使用便攜電腦，以下哪一種使用方式不符合公司的安全規(guī)定：02A、乘飛機(jī)旅行時，將便攜電腦放在托運的行李中；04C、如果便攜電腦被偷或丟失，報告給公司當(dāng)?shù)氐陌踩块T和你的上級主管；05D、在候機(jī)室或者飛機(jī)上看影片。03B、外出時將便攜電腦鎖在酒店保險柜里；75問題一0115、在旅行中或出差時等辦公室之外的地方使用便76問題二0116、以下哪一種是正確的使用公司電腦的方式：02A、公司上網(wǎng)需要申請，自己買張移動上網(wǎng)卡接入電腦上Internet；04C、習(xí)慣使用AdobePhotoshop編輯軟件，但公司的電腦沒有安裝，自己買張盜版光盤自行安裝；05D、定期把自己電腦的文檔備份在移動硬盤上；03B、要給客戶發(fā)保險產(chǎn)品信息，使用Hotmail發(fā)送過去；76問題二0116、以下哪一種是正確的使用公司電腦的方式：077問題三0117、以下哪一項不是太保信息安全等級的分類：02A、公共信息；04C、敏感信息；05D、秘密信息；03B、內(nèi)部信息；77問題三0117、以下哪一項不是太保信息安全等級的分類：0謝謝謝謝

公司信息安全意識培訓(xùn)79公司信息安全意識培訓(xùn)1801234什么是信息安全？怎樣搞好信息安全？信息產(chǎn)業(yè)發(fā)展現(xiàn)狀主要內(nèi)容信息安全基本概念21234什么是信息安全？怎樣搞好信息安全？信息產(chǎn)業(yè)發(fā)展現(xiàn)狀81授之以魚不如授之以漁——產(chǎn)品——技術(shù)更不如激之其欲——意識談笑間，風(fēng)險灰飛煙滅。引言3授之以魚不如授之以漁——產(chǎn)品——技術(shù)更不如激之其欲——意識82什么是信息安全？不止有產(chǎn)品、技術(shù)才是信息安全4什么是信息安全？不止有產(chǎn)品、技術(shù)才是信息安全83信息安全無處不在信息安全人員安全物理安全事件管理安全策略法律合規(guī)開發(fā)安全安全組織資產(chǎn)管理業(yè)務(wù)連續(xù)網(wǎng)絡(luò)安全訪問控制5信息安全無處不在信息安全人員安全物理安全事件管理安全策略

一個軟件公司的老總，等他所有的員工下班之后，他在那里想：我的企業(yè)到底值多少錢呢？假如它的企業(yè)市值1億，那么此時此刻，他的企業(yè)就值2600萬。因為據(jù)Delphi公司統(tǒng)計，公司價值的26%體現(xiàn)在固定資產(chǎn)和一些文檔上，而高達(dá)42%的價值是存儲在員工的腦子里，而這些信息的保護(hù)沒有任何一款產(chǎn)品可以做得到，所以需要我們建立信息安全管理體系，也就是常說的ISMS！84怎樣搞好信息安全？一個軟件公司的老總，等他所有的員工下班之后，他在那85信息在哪里？紙質(zhì)文檔電子文檔員工其他信息介質(zhì)小問題：公司的信息都在哪里？7信息在哪里？紙質(zhì)文檔小問題：公司的信息都在哪里？86小測試：

您離開家每次都關(guān)門嗎？您離開公司每次都關(guān)門嗎？您的保險箱設(shè)密碼嗎？您的電腦設(shè)密碼嗎？8小測試：您離開家每次都關(guān)門嗎？87答案解釋：

如果您記得關(guān)家里的門，而不記得關(guān)公司的門，說明您可能對公司的安全認(rèn)知度不夠。

如果您記得給保險箱設(shè)密碼，而不記得給電腦設(shè)密碼，說明您可能對信息資產(chǎn)安全認(rèn)識不夠。9答案解釋：如果您記得關(guān)家里的門，而不記得關(guān)公司的88這就是意識缺乏的兩大結(jié)癥！不看重大公司，更看重小家庭。1家公司2鈔票更順眼，信息無所謂?！?0這就是意識缺乏的兩大結(jié)癥！不看重大公司，更看重小家庭。189思想上的轉(zhuǎn)變（一）

公司的錢，就是我的錢，只是先放在,老板那里~~~11思想上的轉(zhuǎn)變（一）公司的錢，就是我的錢，老板那90WHY???信息安全搞好了信息安全搞砸了公司賺錢了領(lǐng)導(dǎo)笑了領(lǐng)導(dǎo)怒了公司賠錢了你就“跌”了你就“漲”了12WHY???信息安全搞好了信息安全搞砸了公司賺錢了領(lǐng)導(dǎo)笑91思想上的轉(zhuǎn)變（二）

信息比鈔票更重要，更脆弱，我們更應(yīng)該保護(hù)它。13思想上的轉(zhuǎn)變（二）信息比鈔票更重要，更脆弱92WHY???裝有100萬的保險箱需要3個悍匪、公司損失：100萬裝有客戶信息的電腦只要1個商業(yè)間諜、1個U盤，就能偷走。公司損失：所有客戶！1輛車，才能偷走。14WHY???裝有100萬的需要3個悍匪、公司損失：93典型案例15典型案例94安全名言

公司的利益就是自己的利益，不保護(hù)公司，就是不保護(hù)自己。

電腦不僅僅是工具，而是裝有十分重要信息的保險箱。16安全名言公司的利益就是自己的利益，不保護(hù)公司，就是不保95絕對的安全是不存在的絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)險，也是不現(xiàn)實的；計算機(jī)系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。

在計算機(jī)安全領(lǐng)域有一句格言：“真正安全的計算機(jī)是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！憋@然，這樣的計算機(jī)是無法使用的。17絕對的安全是不存在的絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)96安全是一種平衡18安全是一種平衡97安全是一種平衡安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平關(guān)鍵是實現(xiàn)成本利益的平衡19安全是一種平衡安全控制的成本安全事件的損失最小化的總成本信息的價值=使用信息所獲得的收益─獲取信息所用成本信息具備了安全的保護(hù)特性98信息的價值信息的價值=使用信息所獲得的收益─獲取信息所用成本2廣義上講領(lǐng)域——涉及到信息的保密性，完整性，可用性，真實性，可控性的相關(guān)技術(shù)和理論。本質(zhì)上保護(hù)——系統(tǒng)的硬件，軟件，數(shù)據(jù)防止——系統(tǒng)和數(shù)據(jù)遭受破壞，更改，泄露保證——系統(tǒng)連續(xù)可靠正常地運行，服務(wù)不中斷兩個層面技術(shù)層面——防止外部用戶的非法入侵管理層面——內(nèi)部員工的教育和管理99信息安全的定義廣義上講21信息安全的定義100信息安全基本目標(biāo)保密性，完整性，可用性CIAonfidentialityntegrityvailabilityCIA22信息安全基本目標(biāo)保密性，完整性，可用性CIAon101信息生命周期創(chuàng)建傳遞銷毀存儲使用更改23信息生命周期創(chuàng)建傳遞銷毀存儲使用更改102信息產(chǎn)業(yè)發(fā)展迅猛截至2008年7月，我國固定電話已達(dá)到3.55億戶，移動電話用戶數(shù)達(dá)到6.08億。截至2008年6月，我國網(wǎng)民數(shù)量達(dá)到了2.53億，成為世界上網(wǎng)民最多的國家，與去年同期相比，中國網(wǎng)民人數(shù)增加了9100萬人，同比增長達(dá)到56.2%。手機(jī)上網(wǎng)成為用戶上網(wǎng)的重要途徑，網(wǎng)民中的28.9%在過去半年曾經(jīng)使用過手機(jī)上網(wǎng)，手機(jī)網(wǎng)民規(guī)模達(dá)到7305萬人。2007年電子商務(wù)交易總額已超過2萬億元。目前，全國網(wǎng)站總數(shù)達(dá)192萬，中文網(wǎng)頁已達(dá)84.7億頁，個人博客/個人空間的網(wǎng)民比例達(dá)到42.3%。目前，縣級以上96%的政府機(jī)構(gòu)都建立了網(wǎng)站，電子政務(wù)正以改善公共服務(wù)為重點，在教育、醫(yī)療、住房等方面，提供便捷的基本公共服務(wù)。24信息產(chǎn)業(yè)發(fā)展迅猛截至2008年7月，我國固定電話已達(dá)到3103信息安全令人擔(dān)憂內(nèi)地企業(yè)44%信息安全事件是數(shù)據(jù)失竊

普華永道最新發(fā)布的2008年度全球信息安全調(diào)查報告顯示，中國內(nèi)地企業(yè)在信息安全管理方面存在滯后，信息安全與隱私保障方面已被印度趕超。數(shù)據(jù)顯示，內(nèi)地企業(yè)44%的信息安全事件與數(shù)據(jù)失竊有關(guān)，而全球的平均水平只有16%。普華永道的調(diào)查顯示，中國內(nèi)地企業(yè)在改善信息安全機(jī)制上仍有待努力，從近年安全事件結(jié)果看，中國每年大約98萬美元的財務(wù)損失，而亞洲國家平均約為75萬美元，印度大約為30.8萬美元。此外，42%的中國內(nèi)地受訪企業(yè)經(jīng)歷了應(yīng)用軟件、系統(tǒng)和網(wǎng)絡(luò)的安全事件。25信息安全令人擔(dān)憂內(nèi)地企業(yè)44%信息安全事件是數(shù)據(jù)失竊104安全事件（1）26安全事件（1）105安全事件（2）27安全事件（2）106安全事件（3）28安全事件（3）107安全事件（4）29安全事件（4）108安全事件（5）30安全事件（5）109安全事件（6）熊貓燒香病毒的制造者-李俊

用戶電腦中毒后可能會出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。同時，該病毒可以通過局域網(wǎng)進(jìn)行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計算機(jī)系統(tǒng)，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓，無法正常使用，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。

31安全事件（6）熊貓燒香病毒的制造者-李俊110深度分析32深度分析111這樣的事情還有很多……信息安全迫在眉睫！！！33這樣的事情還有很多……信息安全關(guān)鍵是做好預(yù)防控制隱患險于明火！預(yù)防重于救災(zāi)！112關(guān)鍵是做好預(yù)防控制隱患險于明火！34113小故事，大啟發(fā)

——信息安全點滴11335小故事，大啟發(fā)35首先要關(guān)注內(nèi)部人員的安全管理114首先要關(guān)注內(nèi)部人員的安全管理36115371162007年11月，集安支行代辦員，周末晚上通過運營電腦，將230萬轉(zhuǎn)移到事先辦理的15張卡上，并一夜間在各ATM上取走38萬。周一被發(fā)現(xiàn)。

夜間銀行監(jiān)控設(shè)備未開放，下班后運營電腦未上鎖。

事實上，此前早有人提出過這個問題，只不過沒有得到重視。116382007年11月，集安支行代辦員，周末晚上117典型案例：樂購事件2005年9月7日，上海樂購超市金山店負(fù)責(zé)人到市公安局金山分局報案稱，該店在盤點貨物時發(fā)現(xiàn)銷售的貨物和收到的貨款不符，有可能款物被非法侵吞。上海市公安局經(jīng)偵總隊和金山分局立即成立了專案組展開調(diào)查。專案組調(diào)查發(fā)現(xiàn)，樂購超市幾家門店貨物缺損率大大超過了業(yè)內(nèi)千分之五的物損比例，缺損的貨物五花八門，油鹽醬醋等日常用品的銷售與實際收到的貨款差別很大。根據(jù)以往的案例，超市內(nèi)的盜竊行為往往是針對體積小價值高的化妝品等物，盜竊者很少光顧油鹽醬醋等生活用品。奇怪的是，在超市的各個經(jīng)營環(huán)節(jié)并沒有發(fā)現(xiàn)明顯漏洞。考慮到錢和物最終的流向收銀員是出口，問題很可能出在收銀環(huán)節(jié)。警方在調(diào)查中發(fā)現(xiàn)，收銀系統(tǒng)軟件的設(shè)計相對嚴(yán)密，除非是負(fù)責(zé)維護(hù)收銀系統(tǒng)的資訊小組職員和收銀員合謀，才有可能對營業(yè)款項動手腳。經(jīng)過深入調(diào)查，偵查人員發(fā)現(xiàn)超市原有的收銀系統(tǒng)被裝入了一個攻擊性的補(bǔ)丁程序，只要收銀員輸入口令、密碼，這個程序會自動運行，刪除該營業(yè)員當(dāng)日20％左右的銷售記錄后再將數(shù)據(jù)傳送至?xí)嫴块T，造成會計部門只按實際營業(yè)額的80％向收銀員收取營業(yè)額。另20％營業(yè)額即可被侵吞。能夠在收銀系統(tǒng)中裝入程序的，負(fù)責(zé)管理、更新、維修超市收銀系統(tǒng)的資訊組工作人員嫌疑最大。

警方順藤摸瓜，挖出一個包括超市資訊員、收銀員在內(nèi)的近40人的犯罪團(tuán)伙。據(jù)調(diào)查，原樂購超市真北店資訊組組長方元在工作中發(fā)現(xiàn)收銀系統(tǒng)漏洞，設(shè)計了攻擊性程序，犯罪嫌疑人于琪、朱永春、武侃佳等人利用擔(dān)任樂購超市多家門店資訊工作的便利，將這一程序植入各門店收銀系統(tǒng)；犯罪嫌疑人陳煒嘉、陳琦、趙一青等人物色不法人員，經(jīng)培訓(xùn)后通過應(yīng)聘安插到各家門店做收銀員，每日將侵吞贓款上繳到犯罪團(tuán)伙主犯方元、陳煒嘉、陳琦等人手中，團(tuán)伙成員按比例分贓。一年時間內(nèi)，先后侵吞樂購超市真北店、金山店、七寶店374萬余元。犯罪團(tuán)伙個人按比例分得贓款數(shù)千元至50萬元不等11739典型案例：樂購事件2005年9月7日，上海樂購超市金山店關(guān)于員工安全管理的建議

根據(jù)不同崗位的需求，在職位描述書中加入安全方面的責(zé)任要求，特別是敏感崗位在招聘環(huán)節(jié)做好人員篩選和背景調(diào)查工作，并且簽訂適當(dāng)?shù)谋Ｃ軈f(xié)議在新員工培訓(xùn)中專門加入信息安全內(nèi)容工作期間，根據(jù)崗位需要，持續(xù)進(jìn)行專項培訓(xùn)通過多種途徑，全面提升員工信息安全意識落實檢查監(jiān)督和獎懲機(jī)制員工內(nèi)部轉(zhuǎn)崗應(yīng)做好訪問控制變更控制員工離職，應(yīng)做好交接和權(quán)限撤銷118關(guān)于員工安全管理的建議根據(jù)不同崗位的需求，在職位描述書中加切不可忽視第三方安全119切不可忽視第三方安全411202003年，上海某家為銀行提供ATM服務(wù)的公司，軟件工程師蘇強(qiáng)。利用自助網(wǎng)點安裝調(diào)試的機(jī)會，繞過加密程序Bug，編寫并植入一個監(jiān)視軟件，記錄用戶卡號、磁條信息和密碼，一個月內(nèi)，記錄下7000條。然后拷貝到自己電腦上，刪掉植入的程序。

后來蘇強(qiáng)去讀研究生，買了白卡和讀卡器，偽造銀行卡，兩年內(nèi)共提取6萬元。只是因為偶然原因被發(fā)現(xiàn)，公安機(jī)關(guān)通過檢查網(wǎng)上查詢客戶信息的IP地址追查到蘇強(qiáng)，破壞案件。120422003年，上海某家為銀行提供ATM服務(wù)121北京移動電話充值卡事件31歲的軟件工程師程稚瀚，在華為工作期間，曾為西藏移動做過技術(shù)工作，案發(fā)時，在UT斯達(dá)康深圳分公司工作。2005年3月開始，其利用為西藏移動做技術(shù)時使用的密碼（此密碼自程稚瀚離開后一直沒有更改），輕松進(jìn)入了西藏移動的服務(wù)器。通過西藏移動的服務(wù)器，程稚瀚又跳轉(zhuǎn)到了北京移動數(shù)據(jù)庫，取得了數(shù)據(jù)從2005年3月至7月，程稚瀚先后4次侵入北京移動數(shù)據(jù)庫，修改充值卡的時間和金額，將已充值的充值卡狀態(tài)改為未充值，共修改復(fù)制出上萬個充值卡密碼。他還將盜出的充值卡密碼通過淘寶網(wǎng)出售，共獲利370余萬元。直到2005年7月，由于一次“疏忽”，程稚瀚將一批充值卡售出時，忘了修改使用期限，使用期限仍為90天。購買到這批充值卡的用戶因無法使用便投訴到北京移動，北京移動才發(fā)現(xiàn)有6600張充值卡被非法復(fù)制，立即報警。2005年8月24日，程稚瀚在深圳被抓獲，所獲贓款全部起獲。

12143北京移動電話充值卡事件31歲的軟件工程師程稚瀚，在華為工關(guān)于第三方安全管理的建議

識別所有相關(guān)第三方：服務(wù)提供商，設(shè)備提供商，咨詢顧問，審計機(jī)構(gòu)，物業(yè)，保潔等識別所有與第三方相關(guān)的安全風(fēng)險，無論是牽涉到物理訪問還是邏輯訪問在沒有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪問。應(yīng)該讓外部伙伴意識到其責(zé)任和必須遵守的規(guī)定在與第三方簽訂協(xié)議時特別提出信息安全方面的要求，特別是訪問控制要求對第三方實施有效的監(jiān)督，定期Review服務(wù)交付122關(guān)于第三方安全管理的建議識別所有相關(guān)第三方：服務(wù)提供商，設(shè)物理環(huán)境中需要信息安全123物理環(huán)境中需要信息安全45在自助銀行入口刷卡器下方粘上一個黑色小方塊，叫“讀卡器”，罩上一個加長的“殼”，把銀行的刷卡器和讀卡器一起藏在里面，一般人很難發(fā)現(xiàn)。取款人在刷卡進(jìn)門時，銀行卡上的全部信息就一下被刷進(jìn)了犯罪分子的讀卡器上。在取款機(jī)窗口內(nèi)側(cè)頂部，粘上一個貼著“ATM”字樣的“發(fā)光燈”。這個“發(fā)光燈”是經(jīng)過特殊改造的，里面用一塊手機(jī)電池做電源，連接兩個燈泡，核心部分則是一個MP4。取款人取款時的全過程被犯罪分子裝的“針孔攝像機(jī)”進(jìn)行了“實況錄像”。ATM詐騙三部曲取款人一走，犯罪分子立即收“家伙”進(jìn)車，先把MP4連上筆記本電腦，回放錄像記下取錢人按下的密碼，接著再連上讀卡器，同時再在電腦上連上一個叫“寫卡器”的長條形東西。這時，他們隨便拿出一張卡，不管是澡堂充值卡，還是超市禮品卡，只要是帶磁條的，只要在寫卡器里過一下，此卡就被成功“克隆”成一張“有實無名”的銀行卡了。124在自助銀行入口刷卡器下方粘上一個黑色小方塊，叫“讀卡器”，罩您的供電系統(tǒng)真的萬無一失？是一路電還是兩路電？兩路電是否一定是兩個輸電站？有沒有UPS？UPS能維持多久？有沒有備用發(fā)電機(jī)組？備用發(fā)電機(jī)是否有充足的油料儲備？125您的供電系統(tǒng)真的萬無一失？是一路電還是兩路電？47另一個與物理安全相關(guān)的案例時間：2002年某天夜里地點：A公司的數(shù)據(jù)中心大樓人物：一個普通的系統(tǒng)管理員

一個普通的系統(tǒng)管理員，利用看似簡單的方法，就進(jìn)入了需要門卡認(rèn)證的數(shù)據(jù)中心……

————

來自國外某論壇的激烈討論126另一個與物理安全相關(guān)的案例時間：2002年某天夜里一情況是這樣的……A公司的數(shù)據(jù)中心是重地，設(shè)立了嚴(yán)格的門禁制度，要求必須插入門卡才能進(jìn)入。不過，出來時很簡單，數(shù)據(jù)中心一旁的動作探測器會檢測到有人朝出口走去，門會自動打開數(shù)據(jù)中心有個系統(tǒng)管理員張三君，這天晚上加班到很晚，中間離開數(shù)據(jù)中心出去夜宵，可返回時發(fā)現(xiàn)自己被鎖在了外面，門卡落在里面了，四周別無他人，一片靜寂張三急需今夜加班，可他又不想打擾他人，怎么辦？127情況是這樣的……A公司的數(shù)據(jù)中心是重地，設(shè)立了嚴(yán)格的門一點線索：昨天曾在接待區(qū)慶祝過某人生日，現(xiàn)場還未清理干凈，遺留下很多雜物，哦，還有氣球……128一點線索：50聰明的張三想出了妙計……①張三找到一個氣球，放掉氣②張三面朝大門入口趴下來，把氣球塞進(jìn)門里，只留下氣球的嘴在門的這邊③張三在門外吹氣球，氣球在門內(nèi)膨脹，然后，他釋放了氣球……④由于氣球在門內(nèi)彈跳，觸發(fā)動作探測器，門終于開了129聰明的張三想出了妙計……①張三找到一個氣球，放掉氣②問題出在哪里……

如果門和地板齊平且沒有縫隙，就不會出這樣的事

如果動作探測器的靈敏度調(diào)整到不對快速放氣的氣球作出反應(yīng)，也不會出此事

當(dāng)然，如果根本就不使用動作探測器來從里面開門，這種事情同樣不會發(fā)生130問題出在哪里……如果門和地板齊平且沒有縫隙，就不會出這總結(jié)教訓(xùn)……

雖然是偶然事件，也沒有直接危害，但是潛在風(fēng)險既是物理安全的問題，更是管理問題切記！有時候自以為是的安全，恰恰是最不安全！物理安全非常關(guān)鍵！131總結(jié)教訓(xùn)……雖然是偶然事件，也沒有直接危害，但是潛在風(fēng)關(guān)于物理安全的建議

將敏感設(shè)備和信息放置在受控的安全區(qū)域所有到受控區(qū)域的入口都應(yīng)該加鎖、設(shè)置門衛(wèi)，或者以某種方式進(jìn)行監(jiān)視，并做好進(jìn)出登記如果進(jìn)出需要ID徽章，請隨身帶好，嚴(yán)禁無證進(jìn)入鑰匙和門卡僅供本人使用，不要交給他人使用嚴(yán)格控制帶存儲和攝像功能的手持設(shè)備的使用使用公共區(qū)域的打印機(jī)、傳真機(jī)、復(fù)印機(jī)時，一定不要遺留敏感文件

移動電腦是惡意者經(jīng)常關(guān)注的目標(biāo)，一定要注意保護(hù)使用碎紙機(jī)，謹(jǐn)防敏感文件通過垃圾簍而泄漏如果發(fā)現(xiàn)可疑情況，請立即報告132關(guān)于物理安全的建議將敏感設(shè)備和信息放置在受控的安全區(qū)域54日常工作需特別留意信息安全133日常工作需特別留意信息安全55134移動介質(zhì)管控的要求與落實脫節(jié)“擺渡攻擊”

涉密網(wǎng)絡(luò)中的泄密現(xiàn)象13456移動介質(zhì)管控的要求與落實脫節(jié)56關(guān)于口令的一些調(diào)查結(jié)果

一個有趣的調(diào)查發(fā)現(xiàn)，如果你用一條巧克力來作為交換，有70％的人樂意告訴你他（她）的口令有34％的人，甚至不需要賄賂，就可奉獻(xiàn)自己的口令另據(jù)調(diào)查，有79％的人，在被提問時，會無意間泄漏足以被用來竊取其身份的信息姓名、寵物名、生日、球隊名最常被用作口令平均每人要記住四個口令，大多數(shù)人都習(xí)慣使用相同的口令（在很多需要口令的地方）

33％的人選擇將口令寫下來，然后放到抽屜或夾到文件里135關(guān)于口令的一些調(diào)查結(jié)果一個有趣的調(diào)查發(fā)現(xiàn)，如果你用一條巧克什么樣的口令是比較脆弱的？

少于8個字符單一的字符類型，例如只用小寫字母，或只用數(shù)字用戶名與口令相同最常被人使用的弱口令：自己、家人、朋友、親戚、寵物的名字生日、結(jié)婚紀(jì)念日、電話號碼等個人信息工作中用到的專業(yè)術(shù)語，職業(yè)特征字典中包含的單詞，或者只在單詞后加簡單的后綴所有系統(tǒng)都使用相同的口令口令一直不變136什么樣的口令是比較脆弱的？少于8個字符58口令安全建議

應(yīng)該設(shè)置強(qiáng)口令口令應(yīng)該經(jīng)常更改，比如3個月不同的系統(tǒng)或場所應(yīng)使用不同的口令一定要即刻更改系統(tǒng)的缺省或初始化口令不要與任何人共享你的口令不要把口令寫在紙上不要把口令存儲在計算機(jī)文件中輸入口令時嚴(yán)防有人偷看如果有人在電話中向你索取口令，拒絕后立即報告如果發(fā)覺有人獲知你的口令，立即改變它137口令安全建議應(yīng)該設(shè)置強(qiáng)口令59從一點一滴做起！從自身做起！138從一點一滴做起！從自身做起！60139IT安全問題011、一般情況下，個人計算機(jī)在（）分鐘的非活動狀態(tài)里要求自動激活屏幕鎖定02A、5分鐘B、10分鐘03C、15分鐘D、30分鐘61IT安全問題011、一般情況下，個人計算機(jī)在（）140IT安全問題012、下列說法錯誤的是()02A、個人計算機(jī)操作系統(tǒng)必須設(shè)置口令。04C、離開自己的計算機(jī)時，必須激活具有密碼保護(hù)的屏幕保護(hù)程序。05D、為方便第二天工作，下班后可以不用關(guān)閉計算機(jī)。03B、在每天工作結(jié)束時，將便攜電腦妥善保管，如鎖入文件柜。62IT安全問題012、下列說法錯誤的是()02A、個141IT安全問題013、口令要求至少（）更換一次02A、3個月04C、1年05D、可以一直使用一個口令，不用修改。03B、6個月63IT安全問題013、口令要求至少（）更換一次142IT安全問題014、下列關(guān)于個人計算機(jī)的訪問密碼設(shè)置要求，描述錯誤的是（）：02A、密碼要求至少設(shè)置8位字符長。04C、禁止使用前兩次的密碼05D、如果需要訪問不在公司控制下的計算機(jī)系統(tǒng)，禁止選擇在公司內(nèi)部系統(tǒng)使用的密碼作為外部系統(tǒng)的密碼。03B、為便于記憶，可將自己生日作為密碼。64IT安全問題014、下列關(guān)于個人計算機(jī)的訪問密碼設(shè)置要求143IT安全問題015、下列關(guān)于外網(wǎng)使用說法錯誤的是（）：02A、外網(wǎng)只能從分公司一點接入。04C、外網(wǎng)接入須經(jīng)過防火墻以加強(qiáng)安全防護(hù)。05D、只使用有授