资讯安全3

《资讯安全3》由会员分享，可在线阅读，更多相关《资讯安全3（39页珍藏版）》请在金锄头文库上搜索。

1、1,资讯安全,Information Security,2,关于资安的提问？,办公室是否可使用个人笔记本？ 个人在公司主导的专利是否可授权他人使用？ 工作文档是否可以带回家加班处理？ 培训讲义是否可以带出厂区？ 是否可以发邮件到公司外部？ 办公室是否可以玩星际争霸II？,3,课程大纲,资讯安全概述 资讯安全管控政策 资讯安全处罚规定 案例分享,IS,IS,IS,IS,4,序言从黑客说起,伊朗网军攻击百度,5,人肉搜索！VS 个人隐私？,2006年2月28日，网民“碎玻璃渣”在 网上公布了一组虐猫视频截图。 不久，网友“黑暗 执政官”在天涯社 区 制作“宇宙通缉令”，让天下网友举 报。不少网友发

2、愿捐出猫币、人民币 悬赏捉拿凶手，连猫扑网官方也将赏 金从1000元涨到5000元。 2006年3月2日上午10点20分，网友“我不是沙漠天使”在猫扑上发帖：“这个女人是在黑龙江的一个小城”，他的帖子让事件出现关键性转变。 3月4日中午12点，虐猫事件的三个嫌疑人基本确定，距离“碎玻璃渣”在网上贴虐猫组图不过6天时间，其效率之高可能不亚于警方的办案速度。,6,一、资讯与资讯安全,资讯是集团有形或无形的资产，是集团业务营运的重要资本。(资讯：数据包含的讯息) 资讯安全即为了降低因人为疏忽蓄意破坏或自然灾害等因素带来的风险，运用一整套适当的控制措施，包括政策实践、步骤组织结构和软硬件功能等，来确保

3、集团的资产受到妥善的保护。,7,商业秘密外泄 知识产权泄露 正常生产中断 系统信息破坏,蓄意破坏,商业间谍 监守自盗 黑客入侵,人为疏忽,作业不当 不遵标准 过期账户,管理缺失,非法软件 系统故障 病毒泛滥,资讯安全隐患,8,知识产权常识,知识产权：公民或法人等主体依据法律的规定，对其从事智力创作或创新活动所产生的知识产品所享有的专有权利，包括：著作权、专利、商标、商业秘密等。 商业秘密：指不为公众所知悉、能为权利人带来经济利益，具有实用性并经权利人采取保密措施的技术信息和经营信息。含管理方法，产销策略，客户名单、货源情报等经营信息；生产配方、工艺流程、技术诀窍、设计图纸等技术信息。 由单位主

4、持、代表单位意志创作并由单位承担责任的作品，单位被视为作者，行使完整的著作权。 职务发明创造的专利申请权和取得的专利权归发明人或设计人所在的单位；使用他人的专利技术，必须依法征得专利权人的授权或许可。,9,资安案例力拓间谍门,我国的铁矿石进口量占据了世界铁矿石的50。2009年，力拓等国际铁矿石三巨头最终不接受中钢协降价要求，态度强硬，令人费解。 有关人员将钢铁企业的生产安排、炼钢配比、采购计划、毛利率、库存量等企业内部资料，甚至铁矿石谈判的对策和底线等极为关键的信息透露给铁矿石供应商，对方据此掌控价格。 事关中国钢铁企业数十亿、乃至上百亿的盈亏。 2009年7月7日，力拓中国首席代表胡士泰涉

5、嫌窃取中国国家机密被拘，2010年3月被判10年。,力拓间谍门一审结果： 上海市第一中级人民法院对被告人胡士泰等非国家工作人员受贿、侵犯商业秘密案作出一审判决，分别以非国家工作人员受贿罪、侵犯商业秘密罪，数罪并罚。 判处被告人胡士泰有期徒刑十年，并处没收财产和罚金人民币100万元；王勇有期徒刑十四年，并处没收财产和罚金人民币520万元；葛民强有期徒刑八年，并处没收财产和罚金人民币80万元；刘才魁有期徒刑七年，并处没收财产和罚金人民币70万元；违法所得均予以追缴。,10,资讯安全的目的-C.I.A.,机密性：只有经过授权的人才能存取资讯,可用性：确保资讯在需要时可以提供给有授权的用户,完整性：保

6、证资讯没有经过非法的篡改,11,资安管控的失衡,安全第一,12,2002年11月27日，比亚迪股份公司董事长王传福一行参观富士康生产线，同年比亚迪着手建立第三事业部，开始代理加工手机零部件产品。 从2003年年初开始，比亚迪不断利诱富士康的员工跳槽，至今多达400余人次，包括富士康花费几十万元派往欧洲培养的高级技术人才和高阶管理人员。富士康不断发现比亚迪的技术人员向富士康内部员工发送电子邮件，利诱他们跳槽到比亚迪工作，并承诺跳槽者均可获得优厚待遇。 为了更快启动手机制造项目，比亚迪指使一些原富士康员工利用其曾在富士康任职的便利，或违规带走富士康内部工艺流程文件，或与富士康人员里应外合窃取商业秘

7、密，然后再将这些文件和信息提供给比亚迪，供比亚迪使用。,富士康诉比亚迪案,13,富士康诉比亚迪案,富士康通过深圳警方已经处理了四起富士康员工跳槽至比亚迪，盗窃富士康商业秘密的案件，其中已有两人被法院判处有期徒刑。 2008 年3 月24 日，司少青被深圳市龙岗区人民法院判决侵犯富士康科技集团商业秘密罪名成立，判处之刑罚包括有期徒刑一年零四个月。 2008 年3 月31 日，柳相军 被深圳市宝安区人民法院判 决侵犯富士康科技集团商业 秘密罪名成立，判处之刑罚 包括有期徒刑四年。,14,二、公司资安管控政策,15,1、员工资讯安全责任及义务,对外发言：严禁擅自代表公司对外发表言论，严禁员工在公共场

8、合谈论公司营运相关内容 教育训练：必须参加集团举办的资安教育训练 员工离职：交还相关设备及数据,注销资讯账号，遵守保密规定 员工调动：移交相关设备及数据,移交资讯账号 保密协议：签订知识产权暨保密协议书，特定员工签订特定保密契约,16,2、资讯处理设备资安管控(1/3),光盘,照相机,摄影机,任何储存、摄影、拍照、传输等相关设备,电 脑,硬 盘,NoteBook,HDisk or Floppy,USB Disk,Mp3 Mp4,智能手机,PDA,17,2、资讯处理设备资安管控(2/3),员工资讯处理设备 未经授权严禁携带资讯处理设备进出公司 严禁携带个人资讯处理设备进出公司生产办公区域，但可在

9、生活区使用 公务使用/公用资讯处理设备出入管制卡 所有人员禁止携入三线管制 区域(各生产车间/研发单位),18,2、资讯处理设备资安管控(3/3),外来访客资讯处理设备 供货商、协力厂商、客户，事先申请，携出前签核手提电脑(含台式计算机主机)携入携出申请单 应聘人员及其它参访人员不得携带进入 资讯处理设备送修报废及邮递 资讯处理设备需经过安全处理(如消磁等)并经授权方可进行委外维修、报废 未经授权及加密处理，禁止将资讯处理设备及机密性纸本文件以邮寄或快递的方式携出公司,19,门禁管控,请主动配合警卫安检,金属侦测器,USB Disk杜绝带禁厂区,Note Book出厂区要进行资安检查,20,案

10、例1：携带教育训练教材出厂区,事件经过： 2009年12月24日集團员工陈某携带内部教育训练教材出厂区，在中央安全处被门岗拦截。 据了解，陈某是内部教育训练讲师，所携带的教育训练教材为文员发的，陈某想带回家复习应付第二天讲师资格考试。所带教材被中央资安管理部判定为 机密数据。 处理结果： 根据员工手册第一百一十八条，对该员工进行开除处分。,21,案例2：偷窃图纸,事件经过 2006年12月，集團员工荣某夹带模具设计图纸。 据当事人自己描述 ：自认为所携带的四张图纸非公司机密资料，为了让其表弟更顺利的完成毕业设计（其表弟所学专业即模具设计），且将这四张图纸带回给其弟作参考学习用！因为觉得此文档不

11、重要，所以没有开物品放行单。夹带设计图纸遭门岗警卫发现 处理结果： 根据员工手册第一百一十八条对该员工进行开除处分。,22,3、办公环境资讯安全规定(1/8),软件使用 仅能使用与工作相关的软件 严禁未经授权私自安装任何软件 测试版软件使用需符合法律法规及集团智慧财产相关规范 禁止以任何方式提供或泄露于任何第三方软件公司使用管理信息 账号及密码 禁止泄露及共享(共享郵箱除外) 密码最低标准要求：不能少于8位密码须是数字+大小写英文字母+特殊符号之组合；每月更换一次,23,3、办公环境资讯安全规定(2/8),办公电脑使用 工作场所之电脑及电脑周边资源，不得作私人用途； 未经授权，严禁私自拆卸、改

12、装或搬移资讯处理设备，不得擅自使用他人电脑； 所有微软操作系统之个人电脑必须加入AD管控； 不得使用USB设备、光驱、无线网络相关设备、 红外线、蓝牙等； 不得使用实时通讯和P2P下载工具； 不得私自共享活页夹； 离开座位时应及时锁屏，长时间离开应关闭电脑。,24,3、办公环境资讯安全规定(3/8),病毒及间谍程序 所有终端需连接防毒服务器； 员工浏览网页时应确认所访问的网址与网站内容的一致性，以避免遭受网络诈骗； 未经授权，员工上网时不得随意下载软件，如确因工作需要下载软件时，须先使用杀毒软件确认安全后方可使用； 严禁编制、运行或传播病毒、黑客或间谍程序； 发现中毒应该终端网络连接。,25,

13、3、办公环境资讯安全规定(4/8),服务器、网站架设管理 未经授权严禁私架、采购服务器，严禁私自接入办公网络； 服务器要统一放置于机房并由专人维护及管理； 未经授权员工严禁私自架设网站； 极机密数据严禁于网站发布及传送； 服务器及网站管理密码必须妥善保管。,26,案例：网站泄漏人事资料案,事件经过: 2005年10月12日，集團员工周某在进行网站维护测试时把手头一份含有台干人事内容的数据上传至网站 (该员工除维护技委会网站外还负责集团教育训练工作故拥有包括台干在内的人事数据)后忘记删除。11月21日其它单位员工浏览网页时发现并通报资安相关单位。 处理结果： 根据员工手册第一百一十七条对该员工进

14、行记大过处分,27,3、办公环境资讯安全规定(5/8),电子邮件(E-Mail)安全使用规范 严禁利用公司信箱传阅与工作无关之私人邮件 严禁传送连锁信件与恶意信件， 系统锁定收件人限制最多30位收件人； 邮件系统设定审核机制不得使用公司电子邮件信箱以外地任何方式违规寄送邮件 公司信箱按照员工级别设定配额限制（50-100M） 个人重要邮件请随时做好备份和保存。 公司内部的邮件邮件附档不得超过20MB送往互联网的邮件邮件附档大小不得超过2MB(出)/10MB(入),28,3、办公环境资讯安全规定(6/8),电子邮件(E-Mail)安全使用规范（续） 邮件内机密数据请对邮件设置加密及回执同时对附档

15、进行加密利用电话等非网络方式告知密码 依据集团规定针对资料分级分类信件内容须标示机密等级(一般/密/机密/极机密)及优先等级(一般/急/特急件) 在收到来历不明的邮件时不得打开里面的附件直接删除或通知IT人员处理。,29,案例:利用邮箱BUG逃避主管审核,事件经过： 2009年10月6日，集團员工刘某发现邮箱存在BUG可以外发邮件避免主管审核，尝试几次均没问题，有一次外发一份简历给私人邮箱被系统拦截。 处理结果： 利用邮件系统漏洞逃避主管审核，根据资安处罚条例对该员工予以记大过处分,30,3、办公环境资讯安全规定(7/8),打印复印传真系统 已打印复印的各种数据要立即取回不可随意丢弃在机器旁

16、印有公司机密或重要信息的纸张严禁作再生纸使用若该数据无须再使用应用碎纸机等方式安全销毁 传真机系统应严格管控非经授权严禁向公司外部传送数据,31,3、办公环境资讯安全规定(8/8),会议安全管控规范内部会议 会前，需确保会议室、参会人员、开会内容的安全级别相匹配。会议结束后，须带走相关的会议数据，同时清理会议室场所(电子材料、板书信息、纸本数据)等 会议安全管控规范集团外部会议 会议召集人员负责会议的资讯安全。明确参会者身份及其参会资格，重要会议、会场的出入口应有专人看守或关闭 每位参会者应自觉将会议资料保管好，不得在离开会议现场时随意将其放置在桌面上或是在人离开后放置在其它地方，更不得将保密资料随手丢到垃圾桶里； 如果需要录音录像或拍照等，需要经过授权主管批准。,32,4、网络使用安全规范(1/3),电话通讯服务 电话接通后在未确认对方身份前，不得轻易透露公司重要信息，对不属于自己工作范畴内的讯息，不得擅自作答，应转至相关权责部门； 严禁私接、串接电话线。,33,4、网络使用安全规