《信息安全意识培训》由会员分享,可在线阅读,更多相关《信息安全意识培训(135页珍藏版)》请在金锄头文库上搜索。
1、信息安全意识培训信息安全意识培训2 欢迎您参加这次欢迎您参加这次欢迎您参加这次欢迎您参加这次信息安全意识培训信息安全意识培训信息安全意识培训信息安全意识培训,本课程是上,本课程是上,本课程是上,本课程是上海安言信息技术有限公司特为主持开发的,旨在帮助学海安言信息技术有限公司特为主持开发的,旨在帮助学海安言信息技术有限公司特为主持开发的,旨在帮助学海安言信息技术有限公司特为主持开发的,旨在帮助学员深刻理解员深刻理解员深刻理解员深刻理解“ “信息安全意识信息安全意识信息安全意识信息安全意识安全贵在未雨绸缪安全贵在未雨绸缪安全贵在未雨绸缪安全贵在未雨绸缪” ”的的的的重要性,并将之贯彻到相应的日常工
2、作中去。衷心祝愿重要性,并将之贯彻到相应的日常工作中去。衷心祝愿重要性,并将之贯彻到相应的日常工作中去。衷心祝愿重要性,并将之贯彻到相应的日常工作中去。衷心祝愿您在整个课程过程中与我们度过紧凑而富有成效的美好您在整个课程过程中与我们度过紧凑而富有成效的美好您在整个课程过程中与我们度过紧凑而富有成效的美好您在整个课程过程中与我们度过紧凑而富有成效的美好时光。时光。时光。时光。 本次课后,请将您对本课程的批评、意见或建议本次课后,请将您对本课程的批评、意见或建议本次课后,请将您对本课程的批评、意见或建议本次课后,请将您对本课程的批评、意见或建议填写在我们提供的反馈表中。填写在我们提供的反馈表中。填
3、写在我们提供的反馈表中。填写在我们提供的反馈表中。 再次欢迎您的参与,真诚感谢您的支持与合作!再次欢迎您的参与,真诚感谢您的支持与合作!再次欢迎您的参与,真诚感谢您的支持与合作!再次欢迎您的参与,真诚感谢您的支持与合作!344积极积极积极积极参与,小组讨论,活跃气氛参与,小组讨论,活跃气氛参与,小组讨论,活跃气氛参与,小组讨论,活跃气氛44遵守遵守遵守遵守时间时间时间时间44请将移动请将移动请将移动请将移动电话设置电话设置电话设置电话设置为震动为震动为震动为震动44有问题请有问题请有问题请有问题请随时随时随时随时提出提出提出提出课堂注意事项课堂注意事项课堂注意事项课堂注意事项444建立对信息安
4、全的敏感意识和正确认识建立对信息安全的敏感意识和正确认识44掌握信息安全的基本概念、原则和惯例掌握信息安全的基本概念、原则和惯例44清楚可能面临的威胁和风险清楚可能面临的威胁和风险44遵守各项安全策略和制度遵守各项安全策略和制度44在日常工作中养成良好的安全习惯在日常工作中养成良好的安全习惯44最终提升整体的信息安全水平最终提升整体的信息安全水平我们的我们的我们的我们的目标目标目标目标5 信息安全意识信息安全意识信息安全意识信息安全意识(InformationInformation Security Security AwarenessAwareness),就是能够),就是能够),就是能够),
5、就是能够认知认知认知认知可能存在的信息安可能存在的信息安可能存在的信息安可能存在的信息安全问题,全问题,全问题,全问题,预估预估预估预估信息安全事故对组织的危害,信息安全事故对组织的危害,信息安全事故对组织的危害,信息安全事故对组织的危害,恪守恪守恪守恪守正正正正确的行为方式,并且确的行为方式,并且确的行为方式,并且确的行为方式,并且执行执行执行执行在信息安全事故发生时所在信息安全事故发生时所在信息安全事故发生时所在信息安全事故发生时所应采取的措施。应采取的措施。应采取的措施。应采取的措施。什么是什么是什么是什么是信息安全意识信息安全意识信息安全意识信息安全意识?6现实教训现实教训现实教训现实
6、教训追踪问题的根源追踪问题的根源追踪问题的根源追踪问题的根源掌握基本概念掌握基本概念掌握基本概念掌握基本概念建立良好的安全习惯建立良好的安全习惯建立良好的安全习惯建立良好的安全习惯44重要信息的保密重要信息的保密重要信息的保密重要信息的保密44信息交换及备份信息交换及备份信息交换及备份信息交换及备份44软件应用安全软件应用安全软件应用安全软件应用安全44计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全44人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理44移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公44
7、工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求44防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码44口令安全口令安全口令安全口令安全44电子邮件安全电子邮件安全电子邮件安全电子邮件安全44介质安全管理介质安全管理介质安全管理介质安全管理44警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学44应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划44法律法规法律法规法律法规法律法规安全工具安全工具安全工具安全工具Top 10Top 10Top 10Top 10目目 录录7严峻的现
8、实!严峻的现实!惨痛的教训!惨痛的教训!第第1部分部分8惨痛的惨痛的惨痛的惨痛的教训教训教训教训9uu 2006 2006年年1010月,被仿冒月,被仿冒uu 仿冒页面地址:仿冒页面地址:http:/www.e- http:/ 分析()分析()分析()分析()10惨痛的惨痛的惨痛的惨痛的教训教训教训教训(网上工行)(网上工行)(网上工行)(网上工行)11uu 2006 2006年年6 6月,月,工行工行被仿冒被仿冒u TrojanSpy.Banker.yy 110k120k大小大小uu svchost.exesvchost.exeuu 伪造伪造页面弹出个人密码修改窗口页面弹出个人密码修改窗口并
9、给出系统并给出系统升级升级提示提示u “为了给您提供更加优良的电子银行服务,为了给您提供更加优良的电子银行服务,6 6月月2525日日我行对电子银行系统进行了升级。请您务必修改以上信我行对电子银行系统进行了升级。请您务必修改以上信息!息!” uu 密码被发送到指定的密码被发送到指定的163163信箱中信箱中uu 下载下载“灰鸽子灰鸽子”病毒控制病毒控制PCPC系统系统分析(网上工行)分析(网上工行)分析(网上工行)分析(网上工行)12我们来总结一下我们来总结一下我们来总结一下我们来总结一下uu 储户的储户的个人个人安全安全意识意识uu 网上银行网上银行应用应用(B/SB/S、C/SC/S)自身
10、)自身绝对安全绝对安全uu 安全监管安全监管法律法规法律法规意识意识uu 安全技能安全技能绝对熟练绝对熟练uu 13人某银行某银行某银行某银行业务架构业务架构业务架构业务架构14生产网生产网办公网办公网保护网络保护网络保护网络保护网络保护应用保护应用保护应用保护应用保护主机保护主机保护主机保护主机 移动办公接入安全规范落实与移动办公接入安全规范落实与移动办公接入安全规范落实与移动办公接入安全规范落实与执行情况?执行情况?执行情况?执行情况? VPNVPN有无?身份验证?有无?身份验证?有无?身份验证?有无?身份验证? 控制权限?控制权限?控制权限?控制权限? 互联网接入平台的控制有效性互联网接
11、入平台的控制有效性互联网接入平台的控制有效性互联网接入平台的控制有效性? 防火墙的配置适用性?防火墙的配置适用性?防火墙的配置适用性?防火墙的配置适用性? IDSIDS的统计分析?的统计分析?的统计分析?的统计分析? 应用代理服务器自身安全性?应用代理服务器自身安全性?应用代理服务器自身安全性?应用代理服务器自身安全性? 端口配置?服务配置?端口配置?服务配置?端口配置?服务配置?端口配置?服务配置? 边界访问控制措施有无?边界访问控制措施有无?边界访问控制措施有无?边界访问控制措施有无? (无线)非法外联接入检测、(无线)非法外联接入检测、(无线)非法外联接入检测、(无线)非法外联接入检测、
12、阻断与控制?阻断与控制?阻断与控制?阻断与控制? 所有计算机终端缺乏网络访问所有计算机终端缺乏网络访问所有计算机终端缺乏网络访问所有计算机终端缺乏网络访问控制措施控制措施控制措施控制措施 管理网段的边界控制措施?管理网段的边界控制措施?管理网段的边界控制措施?管理网段的边界控制措施? FTPFTP服务器、服务器、服务器、服务器、WebWeb服务器、服务器、服务器、服务器、OAOA、邮件服务器等帐号管理、邮件服务器等帐号管理、邮件服务器等帐号管理、邮件服务器等帐号管理、日志监控?日志监控?日志监控?日志监控? 管理网段对全网公开可访问?管理网段对全网公开可访问?管理网段对全网公开可访问?管理网段
13、对全网公开可访问?注释:安全风险点-操作控制注释:安全风险点-系统配置某银行某银行某银行某银行管理架构管理架构管理架构管理架构15信息安全意识信息安全意识的提高的提高刻不容缓刻不容缓!16你碰到过类似的事吗?你碰到过类似的事吗?17威胁威胁和和弱点弱点问题的问题的根源根源第第2部分部分18 信息资产信息资产信息资产信息资产拒绝服务拒绝服务拒绝服务拒绝服务逻辑炸弹逻辑炸弹逻辑炸弹逻辑炸弹黑客渗透黑客渗透黑客渗透黑客渗透内部人员威胁内部人员威胁内部人员威胁内部人员威胁木马后门木马后门木马后门木马后门病毒和蠕虫病毒和蠕虫病毒和蠕虫病毒和蠕虫社会工程社会工程社会工程社会工程系统漏洞系统漏洞硬件故障硬件
14、故障硬件故障硬件故障网络通信故障网络通信故障网络通信故障网络通信故障供电中断供电中断供电中断供电中断失火失火失火失火雷雨雷雨地震地震地震地震威胁威胁威胁威胁无处不在无处不在无处不在无处不在19uu 人之初性本非善恶人之初性本非善恶人之初性本非善恶人之初性本非善恶uu 吾自三省吾身吾自三省吾身吾自三省吾身吾自三省吾身提高提高人员信息安全人员信息安全意识意识和和素质素质势在必行!势在必行!人人人人是最关键的因素是最关键的因素是最关键的因素是最关键的因素20外部外部外部外部威胁威胁威胁威胁21黑客攻击黑客攻击黑客攻击黑客攻击基本手法基本手法基本手法基本手法22uu 病从口入病从口入病从口入病从口入u
15、u 天时天时天时天时 地利地利地利地利 人和人和人和人和员工误操作员工误操作员工误操作员工误操作蓄意破坏蓄意破坏职责权限混淆职责权限混淆职责权限混淆职责权限混淆内部内部内部内部威胁威胁威胁威胁23 技术技术技术技术弱点弱点弱点弱点 操作操作操作操作弱点弱点弱点弱点 管理管理管理管理弱点弱点弱点弱点系统、系统、 程序、设备中存在的漏洞或缺陷程序、设备中存在的漏洞或缺陷配置、操作和使用中的缺陷,包括人员的不良习配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份过程的不当等惯、审计或备份过程的不当等策略、程序、规章制度、人员意识、组织结构等策略、程序、规章制度、人员意识、组织结构等方面的不足方
16、面的不足自身自身自身自身弱点弱点弱点弱点24一个巴掌拍不响!一个巴掌拍不响!外因外因是是条件条件 内因内因才是才是根本根本!25uu 将口令写在便签上,贴在电脑监视器旁将口令写在便签上,贴在电脑监视器旁uu 开着电脑离开,就像离开家却忘记关灯那样开着电脑离开,就像离开家却忘记关灯那样uu 轻易相信来自陌生人的邮件,好奇打开邮件附件轻易相信来自陌生人的邮件,好奇打开邮件附件uu 使用容易猜测的口令,或者根本不设口令使用容易猜测的口令,或者根本不设口令uu 丢失笔记本电脑丢失笔记本电脑uu 不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息uu 随便拨号上
17、网,或者随意将无关设备连入公司网络随便拨号上网,或者随意将无关设备连入公司网络uu 事不关己,高高挂起,不报告安全事件事不关己,高高挂起,不报告安全事件uu 在系统更新和安装补丁上总是行动迟缓在系统更新和安装补丁上总是行动迟缓uu 只关注外来的威胁,忽视企业内部人员的问题只关注外来的威胁,忽视企业内部人员的问题最常犯的一些最常犯的一些最常犯的一些最常犯的一些错误错误错误错误26想想你是否也犯过想想你是否也犯过这些错误?这些错误?27嘿嘿,这顿美餐唾手可得呜呜,可怜我手无缚鸡之力TomFish弱点弱点弱点弱点 威胁威胁威胁威胁28uu 信息资产信息资产信息资产信息资产对我们很重要,是要保护的对我
18、们很重要,是要保护的对我们很重要,是要保护的对我们很重要,是要保护的对象对象对象对象uu 威胁威胁威胁威胁就像苍蝇一样,挥之不去,就像苍蝇一样,挥之不去,就像苍蝇一样,挥之不去,就像苍蝇一样,挥之不去,无所不在无所不在无所不在无所不在uu 资产自身又有各种资产自身又有各种资产自身又有各种资产自身又有各种弱点弱点弱点弱点,给,给,给,给威胁威胁威胁威胁带来带来带来带来可乘之机可乘之机可乘之机可乘之机uu 面临各种面临各种面临各种面临各种风险风险风险风险,一旦发生就成为,一旦发生就成为,一旦发生就成为,一旦发生就成为安全事件、事故安全事件、事故安全事件、事故安全事件、事故保持清醒保持清醒保持清醒保
19、持清醒认识认识认识认识29严防威胁严防威胁消减弱点消减弱点应急响应应急响应保护资产保护资产熟悉熟悉熟悉熟悉潜在的潜在的潜在的潜在的安全问题安全问题安全问题安全问题知道知道知道知道怎样怎样怎样怎样防止防止防止防止其发生其发生其发生其发生明确明确明确明确发生后如何发生后如何发生后如何发生后如何应对应对应对应对我们我们我们我们应该应该应该应该30隐患险于明火!隐患险于明火!预防重于救灾!预防重于救灾!消防救火消防救火消防救火消防救火方针方针方针方针31信息安全意识信息安全意识信息安全意识信息安全意识方针方针方针方针安全贵在未雨绸缪安全贵在未雨绸缪32理解理解和和铺垫铺垫基本概念基本概念第第3部分部分
20、33uu 消息、信号、数据、情报和知识消息、信号、数据、情报和知识uu 信息本身是无形的,借助于信息媒体以多种形式存在或传播:信息本身是无形的,借助于信息媒体以多种形式存在或传播: 存储在计算机、磁带、纸张等介质中存储在计算机、磁带、纸张等介质中 记忆在人的大脑里记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播通过网络、打印机、传真机等方式进行传播uu 信息借助媒体而存在,对现代企业来说具有价值,就成为信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产信息资产信息资产信息资产: 计算机和网络中的数据计算机和网络中的数据 硬件、软件、文档资料硬件、软件、文档资料 关键人员关键人员
21、 组织提供的服务组织提供的服务uu 具有价值的信息资产面临诸多威胁,需要妥善保护具有价值的信息资产面临诸多威胁,需要妥善保护Information什么是什么是什么是什么是信息信息信息信息34 采取措施保护信息资产,使采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减使安全事件对业务造成的影响减到最小,确保组织业务运行的连到最小,确保组织业务运行的连续性。续性。什么是什么是什么是什么是信息安全信息安全信息安全信息安全35CI
22、AonfidentialityntegrityvailabilityCIACIA信息安全信息安全信息安全信息安全基本目标基本目标基本目标基本目标36ConfidentialityConfidentialityIntegrityIntegrityAvailabilityAvailabilityInformationInformation管理者的管理者的管理者的管理者的最终目标最终目标最终目标最终目标37风险风险漏洞漏洞威胁威胁控制措施控制措施安全需求安全需求资产价值资产价值信息资产信息资产信息资产信息资产防止防止利用利用ReduceIncreaseIndicateIncrease暴露具有Decr
23、ease符合符合对组织的影响对组织的影响对组织的影响对组织的影响因果因果因果因果关系关系关系关系38因果因果因果因果关系(立体)关系(立体)关系(立体)关系(立体)39uu 物理安全物理安全:环境安全、设备安全、媒体安全:环境安全、设备安全、媒体安全uu 系统安全系统安全:操作系统及数据库系统的安全性:操作系统及数据库系统的安全性uu 网络安全网络安全:网络隔离、访问控制、:网络隔离、访问控制、VPNVPN、入侵检测、扫描评估、入侵检测、扫描评估uu 应用安全应用安全:EmailEmail安全、安全、WebWeb访问安全、内容过滤、应用系统安全访问安全、内容过滤、应用系统安全uu 数据加密数据
24、加密:硬件和软件加密,实现身份认证和数据信息的:硬件和软件加密,实现身份认证和数据信息的CIACIA特性特性uu 认证授权认证授权:口令认证、:口令认证、SSOSSO认证(例如认证(例如KerberosKerberos)、证书认证等)、证书认证等uu 访问控制访问控制:防火墙、访问控制列表等:防火墙、访问控制列表等uu 审计跟踪审计跟踪:入侵检测、日志审计、辨析取证:入侵检测、日志审计、辨析取证uu 防杀病毒防杀病毒:单机防病毒技术逐渐发展成整体防病毒体系:单机防病毒技术逐渐发展成整体防病毒体系uu 灾备恢复灾备恢复:业务连续性,前提就是对数据的备份:业务连续性,前提就是对数据的备份技术技术技
25、术技术手段手段手段手段40技术技术技术技术手段(立体)手段(立体)手段(立体)手段(立体)41uu在方便性(在方便性(在方便性(在方便性(convenienceconvenienceconvenienceconvenience,即易用性)和安全性(,即易用性)和安全性(,即易用性)和安全性(,即易用性)和安全性(securitysecuritysecuritysecurity)之间是一种相反的关系之间是一种相反的关系之间是一种相反的关系之间是一种相反的关系uu提高了安全性,相应地就降低了方便性提高了安全性,相应地就降低了方便性提高了安全性,相应地就降低了方便性提高了安全性,相应地就降低了方便性
26、uu而要提高安全性,又势必增大成本而要提高安全性,又势必增大成本而要提高安全性,又势必增大成本而要提高安全性,又势必增大成本uu管理者应在二者之间达成一种可接受的平衡管理者应在二者之间达成一种可接受的平衡管理者应在二者之间达成一种可接受的平衡管理者应在二者之间达成一种可接受的平衡安全安全安全安全 vs. vs. 易用易用易用易用平衡之道平衡之道平衡之道平衡之道42 计算机安全领域一句格言:计算机安全领域一句格言:计算机安全领域一句格言:计算机安全领域一句格言: “真正安全的计算机是拔下真正安全的计算机是拔下真正安全的计算机是拔下真正安全的计算机是拔下网线,断掉电源,放在地下掩体网线,断掉电源,
27、放在地下掩体网线,断掉电源,放在地下掩体网线,断掉电源,放在地下掩体的保险柜中,并在掩体内充满毒的保险柜中,并在掩体内充满毒的保险柜中,并在掩体内充满毒的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。气,在掩体外安排士兵守卫。气,在掩体外安排士兵守卫。气,在掩体外安排士兵守卫。”绝对绝对的的安全安全是是不存在不存在的!的!43uu 技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂uu 信息安全管理构成了信息安全具有能动性的部分,是指导和控制信息安全管理构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动
28、组织的关于信息安全风险的相互协调的活动 uu 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的技术上的原因,不如说是管理不善造成的uu 理解并重视管理对于信息安全的关键作用,对于真正实现信息安理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标尤其重要全目标尤其重要uu 唯有信息安全管理工作活动持续而周期性的推动作用方能真正将唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实信息安全意识贯彻落实三分技术,七分管理!关键关键关键关键点:点:点:点:信息安全管理信
29、息安全管理信息安全管理信息安全管理44务必务必重视重视信息安全管理信息安全管理加强加强信息安全建设工作信息安全建设工作管理层管理层管理层管理层:信息安全意识:信息安全意识:信息安全意识:信息安全意识要点要点要点要点45 安全不是产品的简单安全不是产品的简单堆积,也不是一次性的静态堆积,也不是一次性的静态过程,它是过程,它是人员人员、技术技术、操操作作三者紧密结合的系统工程,三者紧密结合的系统工程,是不断是不断演进演进、循环循环发展的发展的动动态过程态过程如何如何如何如何正确认识正确认识正确认识正确认识信息安全信息安全信息安全信息安全46从从身边身边做起做起良好良好的安全的安全习惯习惯第第4部分
30、部分47重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件
31、安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规重重要要信信息息的的保保密密48OwnerOwner数据的属主(数据的属主(OM/PM)决定所属数据的敏感级别决定所属数据的敏感级别确定必要的保护措施确定必要的保护措施最终批准并最终批准并Review用户访问权限用户访问权限CustodianCustodian受受Owner委托管理数据委托管理数据通常是通常是IT人员或部门系统
32、(数据)管理员人员或部门系统(数据)管理员向向Owner提交访问申请并按提交访问申请并按Owner授意为用户授权授意为用户授权执行数据保护措施,实施日常维护和管理执行数据保护措施,实施日常维护和管理UserUser公司或第三方职员公司或第三方职员因工作需要而请求访问数据因工作需要而请求访问数据遵守安全规定和控制遵守安全规定和控制报告安全事件和隐患报告安全事件和隐患资产责任划分资产责任划分资产责任划分资产责任划分49PublicPublicInternal Internal UseUseConfidencialConfidencialSecretSecret缺省缺省缺省缺省信息信息信息信息保密级
33、别保密级别保密级别保密级别划分划分划分划分50uu 信息属主或创建者可确定恰当的信息标注方式信息属主或创建者可确定恰当的信息标注方式uu 电子邮件或纸质信函的标题栏应该注明敏感级别电子邮件或纸质信函的标题栏应该注明敏感级别uu 光盘、磁带等存储介质上应该妥善标注光盘、磁带等存储介质上应该妥善标注uu 如果内部包含多个级别的数据,以最高级为准如果内部包含多个级别的数据,以最高级为准uu “ “PublicPublic” ”信息不需标注:信息不需标注:市场宣传册市场宣传册/ /媒体发布媒体发布/ /网站公开信息网站公开信息uu “ “Internal UseInternal Use” ”可以根据需
34、要标注(缺省)可以根据需要标注(缺省)uu “ “ConfidencialConfidencial” ”必须标注必须标注uu “ “SecretSecret” ”必须标注必须标注信息信息信息信息标注标注标注标注规定规定规定规定51uu 各类信息,无论电子还是纸质,在标注、授权、访问、各类信息,无论电子还是纸质,在标注、授权、访问、存储、拷贝、传真、内部和外部分发(包括第三方转交)存储、拷贝、传真、内部和外部分发(包括第三方转交)、传输、处理等各个环节,都应该遵守既定策略、传输、处理等各个环节,都应该遵守既定策略uu 信息分类管理程序只约定要求和原则,具体控制和实信息分类管理程序只约定要求和原则
35、,具体控制和实现方式,由信息属主或相关部门确定,以遵守最佳实践现方式,由信息属主或相关部门确定,以遵守最佳实践和法律法规为参照和法律法规为参照uu 凡违反程序规定的行为,酌情予以纪律处分凡违反程序规定的行为,酌情予以纪律处分信息信息信息信息处理处理处理处理与与与与保护保护保护保护52uu 根据需要,在根据需要,在根据需要,在根据需要,在SOWSOW或个人协议中明确安全方面的承诺和要求;或个人协议中明确安全方面的承诺和要求;或个人协议中明确安全方面的承诺和要求;或个人协议中明确安全方面的承诺和要求;uu 明确与客户进行数据交接的人员责任,控制客户数据使用及分明确与客户进行数据交接的人员责任,控制
36、客户数据使用及分明确与客户进行数据交接的人员责任,控制客户数据使用及分明确与客户进行数据交接的人员责任,控制客户数据使用及分发;发;发;发;uu 明确非业务部门在授权使用客户数据时的保护责任;明确非业务部门在授权使用客户数据时的保护责任;明确非业务部门在授权使用客户数据时的保护责任;明确非业务部门在授权使用客户数据时的保护责任;uu 基于业务需要,主管决定是否对重要数据进行加密保护;基于业务需要,主管决定是否对重要数据进行加密保护;基于业务需要,主管决定是否对重要数据进行加密保护;基于业务需要,主管决定是否对重要数据进行加密保护;uu 禁止将客户数据或客户标识用于非项目相关的场合如培训材料;禁
37、止将客户数据或客户标识用于非项目相关的场合如培训材料;禁止将客户数据或客户标识用于非项目相关的场合如培训材料;禁止将客户数据或客户标识用于非项目相关的场合如培训材料;uu 客户现场的工作人员,严格遵守客户客户现场的工作人员,严格遵守客户客户现场的工作人员,严格遵守客户客户现场的工作人员,严格遵守客户PolicyPolicy,妥善保护客户数,妥善保护客户数,妥善保护客户数,妥善保护客户数据;据;据;据;uu 打印件应设置标识,及时取回,并妥善保存或处理。打印件应设置标识,及时取回,并妥善保存或处理。打印件应设置标识,及时取回,并妥善保存或处理。打印件应设置标识,及时取回,并妥善保存或处理。数据保
38、护数据保护数据保护数据保护安全(举例)安全(举例)安全(举例)安全(举例)53重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病
39、毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规信信息息交交换换与与备备份份54uu信息交换原则:信息交换原则:信息交换原则:信息交换原则:uu明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施明确要交换信息
40、的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施uu信息发送者和接收者有责任遵守信息交换要求信息发送者和接收者有责任遵守信息交换要求信息发送者和接收者有责任遵守信息交换要求信息发送者和接收者有责任遵守信息交换要求uu物理介质传输:物理介质传输:物理介质传输:物理介质传输:uu与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施uu电
41、子邮件和互联网信息交换电子邮件和互联网信息交换电子邮件和互联网信息交换电子邮件和互联网信息交换uu明确不可涉及敏感数据,如客户信息、订单合同等信息明确不可涉及敏感数据,如客户信息、订单合同等信息明确不可涉及敏感数据,如客户信息、订单合同等信息明确不可涉及敏感数据,如客户信息、订单合同等信息uu如必须交换此类信息,需申请主管批准并采取加密传输措施或如必须交换此类信息,需申请主管批准并采取加密传输措施或如必须交换此类信息,需申请主管批准并采取加密传输措施或如必须交换此类信息,需申请主管批准并采取加密传输措施或DRMDRM保护机制保护机制保护机制保护机制uu文件共享:文件共享:文件共享:文件共享:u
42、u包括包括包括包括ConfidentialConfidential在内的高级别的信息不能被发布于公共区域在内的高级别的信息不能被发布于公共区域在内的高级别的信息不能被发布于公共区域在内的高级别的信息不能被发布于公共区域 uu所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中开设共享。开设共享。开设共享。开设共享。uu共享文件夹应该设置恰当的访问
43、控制,禁止向所有用户赋予完全访问权限共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限uu临时共享的文件事后应予以删除临时共享的文件事后应予以删除临时共享的文件事后应予以删除临时共享的文件事后应予以删除信息交换信息交换信息交换信息交换安全(举例)安全(举例)安全(举例)安全(举例)55uu通过传真发送机密信息时,应提前通知接收者并确保号通过传真发送机密信息时,应提前通知接收者并确保号通过传真发送机密信息时,应提前通知接收者并确保号通过传真发送机密信息时,
44、应提前通知接收者并确保号码正确码正确码正确码正确uu不允许在公共区域用移动电话谈论机密信息不允许在公共区域用移动电话谈论机密信息不允许在公共区域用移动电话谈论机密信息不允许在公共区域用移动电话谈论机密信息uu不允许在公共区域与人谈论机密信息不允许在公共区域与人谈论机密信息不允许在公共区域与人谈论机密信息不允许在公共区域与人谈论机密信息uu不允许通过电子邮件或不允许通过电子邮件或不允许通过电子邮件或不允许通过电子邮件或IMIM工具交换账号和口令信息工具交换账号和口令信息工具交换账号和口令信息工具交换账号和口令信息uu不允许借助公司资源做非工作相关的信息交换不允许借助公司资源做非工作相关的信息交换
45、不允许借助公司资源做非工作相关的信息交换不允许借助公司资源做非工作相关的信息交换uu不允许通过不允许通过不允许通过不允许通过IMIM工具传输文件工具传输文件工具传输文件工具传输文件信息交换信息交换信息交换信息交换安全(举例:续)安全(举例:续)安全(举例:续)安全(举例:续)56uu重要信息系统应支持全备份、差量备份和增量备份重要信息系统应支持全备份、差量备份和增量备份重要信息系统应支持全备份、差量备份和增量备份重要信息系统应支持全备份、差量备份和增量备份uu任何部门如果需要备份服务,应该经主管批准,并向任何部门如果需要备份服务,应该经主管批准,并向任何部门如果需要备份服务,应该经主管批准,并
46、向任何部门如果需要备份服务,应该经主管批准,并向ITIT部门提出申请部门提出申请部门提出申请部门提出申请uuITIT部门提供备份所需的技术支持和必要的培训部门提供备份所需的技术支持和必要的培训部门提供备份所需的技术支持和必要的培训部门提供备份所需的技术支持和必要的培训uu申请者应该填写申请表,其中包含对介质、数据容量、申请者应该填写申请表,其中包含对介质、数据容量、申请者应该填写申请表,其中包含对介质、数据容量、申请者应该填写申请表,其中包含对介质、数据容量、属主和操作者的需求属主和操作者的需求属主和操作者的需求属主和操作者的需求uu属主应该确保备份成功并定期检查日志,根据需要,实属主应该确保
47、备份成功并定期检查日志,根据需要,实属主应该确保备份成功并定期检查日志,根据需要,实属主应该确保备份成功并定期检查日志,根据需要,实施测试以验证备份效率和效力施测试以验证备份效率和效力施测试以验证备份效率和效力施测试以验证备份效率和效力信息备份信息备份信息备份信息备份安全(举例)安全(举例)安全(举例)安全(举例)57重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理
48、人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规软软件件应应用用
49、安安全全58安全培训安全培训安全计划启动安全计划启动并并统一注册统一注册安全设计安全设计最佳做法最佳做法安全体系结构安全体系结构和攻击面审核和攻击面审核使用安全开发使用安全开发工具以及工具以及安全开发和安全开发和测试最佳做法测试最佳做法创建产品创建产品安全文档安全文档和工具和工具准备安全准备安全响应计划响应计划安全推动安全推动活动活动 渗透渗透 测试测试 最终最终安全安全审核审核安全维护安全维护和和响应执行响应执行功能列表功能列表质量指导原则质量指导原则体系结构文档体系结构文档日程表日程表设计规范设计规范测试和验证测试和验证编写新代码编写新代码故障修复故障修复代码签发代码签发 + Checkp
50、oint Press 签发签发RTM产品支持产品支持服务包服务包/QFE 安全更新安全更新需求需求设计设计实施实施验证验证发行发行支持和维护支持和维护威胁建模威胁建模功能规范功能规范传统软件开发生命周期的任务和流程传统软件开发生命周期的任务和流程传统软件开发生命周期的任务和流程传统软件开发生命周期的任务和流程软件应用软件应用软件应用软件应用安全(方法论)安全(方法论)安全(方法论)安全(方法论)59软件应用软件应用软件应用软件应用安全(举例)安全(举例)安全(举例)安全(举例)uu 开发相关软件,技术委员会做需求评估,开发相关软件,技术委员会做需求评估,开发相关软件,技术委员会做需求评估,开发
51、相关软件,技术委员会做需求评估,ITIT相关软件由相关软件由相关软件由相关软件由ITIT部门负责部门负责部门负责部门负责uu 评估结果提交专家委员会审核,确定是否采购、外包或自行开发评估结果提交专家委员会审核,确定是否采购、外包或自行开发评估结果提交专家委员会审核,确定是否采购、外包或自行开发评估结果提交专家委员会审核,确定是否采购、外包或自行开发uu ITIT资产管理部门负责对新软件登记注册并标注,业务等相关部门存资产管理部门负责对新软件登记注册并标注,业务等相关部门存资产管理部门负责对新软件登记注册并标注,业务等相关部门存资产管理部门负责对新软件登记注册并标注,业务等相关部门存储物理介质,
52、软拷贝置于文件服务器上供使用储物理介质,软拷贝置于文件服务器上供使用储物理介质,软拷贝置于文件服务器上供使用储物理介质,软拷贝置于文件服务器上供使用uu 软件安装之前应确保其处于安全状态(如:无流氓插件、病毒、软件安装之前应确保其处于安全状态(如:无流氓插件、病毒、软件安装之前应确保其处于安全状态(如:无流氓插件、病毒、软件安装之前应确保其处于安全状态(如:无流氓插件、病毒、LicenseLicense合法等)合法等)合法等)合法等)uu 软件软件软件软件LicenseLicense管理应由专人负责管理应由专人负责管理应由专人负责管理应由专人负责uu 软件若需更新,应提出申请,经评估确认后才能
53、实施,并进行记录软件若需更新,应提出申请,经评估确认后才能实施,并进行记录软件若需更新,应提出申请,经评估确认后才能实施,并进行记录软件若需更新,应提出申请,经评估确认后才能实施,并进行记录uu 软件使用到期,应卸载软件软件使用到期,应卸载软件软件使用到期,应卸载软件软件使用到期,应卸载软件60重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员
54、及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规计计算算机机网网络络访访问问61uu 访
55、问控制基本原则:未经明确允许即为禁止访问访问控制基本原则:未经明确允许即为禁止访问uu 必须通过唯一注册的用户必须通过唯一注册的用户IDID来控制用户对网络的访问来控制用户对网络的访问uu 系统管理员必须确保用户访问基于系统管理员必须确保用户访问基于最小特权最小特权原则而授权原则而授权uu 用户必须根据要求使用口令并保守秘密用户必须根据要求使用口令并保守秘密uu 系统管理员必须对用户访问权限进行检查,防止滥用系统管理员必须对用户访问权限进行检查,防止滥用uu 系统管理员必须确保网络服务可用系统管理员必须确保网络服务可用uu 系统管理员必须根据安全制度要求定义访问控制规则,用户必须系统管理员必须
56、根据安全制度要求定义访问控制规则,用户必须遵守规则遵守规则uu 各部门应自行制定并实施对业务应用系统、开发和测试系统的访各部门应自行制定并实施对业务应用系统、开发和测试系统的访问规则问规则计算机网络访问计算机网络访问计算机网络访问计算机网络访问安全(举例)安全(举例)安全(举例)安全(举例)62重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员
57、及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规人人员员安安全全管管理理63背景检查背景
58、检查背景检查背景检查签署保密签署保密签署保密签署保密协议协议协议协议安全职责安全职责安全职责安全职责说明说明说明说明技能意识技能意识技能意识技能意识培训培训培训培训内部职位调整及内部职位调整及内部职位调整及内部职位调整及离职检查流程离职检查流程离职检查流程离职检查流程绩效考核绩效考核绩效考核绩效考核和奖惩和奖惩和奖惩和奖惩人员人员人员人员安全(举例)安全(举例)安全(举例)安全(举例)64uu 所有员工必须根据需要接受恰当的安全培训和指导所有员工必须根据需要接受恰当的安全培训和指导所有员工必须根据需要接受恰当的安全培训和指导所有员工必须根据需要接受恰当的安全培训和指导uu 根据工作所需,各部门
59、应该识别并评估员工的培训需求根据工作所需,各部门应该识别并评估员工的培训需求根据工作所需,各部门应该识别并评估员工的培训需求根据工作所需,各部门应该识别并评估员工的培训需求uu 业务部门应该建立并维持员工安全意识程序,确保员工通过培训而精于工业务部门应该建立并维持员工安全意识程序,确保员工通过培训而精于工业务部门应该建立并维持员工安全意识程序,确保员工通过培训而精于工业务部门应该建立并维持员工安全意识程序,确保员工通过培训而精于工作技能,并将信息安全意识深入其工作之中作技能,并将信息安全意识深入其工作之中作技能,并将信息安全意识深入其工作之中作技能,并将信息安全意识深入其工作之中uu 管理层有
60、责任引领信息安全意识促进活动管理层有责任引领信息安全意识促进活动管理层有责任引领信息安全意识促进活动管理层有责任引领信息安全意识促进活动 uu 信息安全意识培训应该持续进行,员工有责任对培训效果提出反馈信息安全意识培训应该持续进行,员工有责任对培训效果提出反馈信息安全意识培训应该持续进行,员工有责任对培训效果提出反馈信息安全意识培训应该持续进行,员工有责任对培训效果提出反馈uu 人力资源部门负责跟踪培训策略的符合性,人力资源部门负责跟踪培训策略的符合性,人力资源部门负责跟踪培训策略的符合性,人力资源部门负责跟踪培训策略的符合性,保留员工接受培训的相关记录保留员工接受培训的相关记录保留员工接受培
61、训的相关记录保留员工接受培训的相关记录uu 信息安全经理应该接受专门的信息安全技能培训信息安全经理应该接受专门的信息安全技能培训信息安全经理应该接受专门的信息安全技能培训信息安全经理应该接受专门的信息安全技能培训uu 技术部门等特定职能和人员应该接受相应的技能培训技术部门等特定职能和人员应该接受相应的技能培训技术部门等特定职能和人员应该接受相应的技能培训技术部门等特定职能和人员应该接受相应的技能培训人员人员人员人员安全(举例)安全(举例)安全(举例)安全(举例)65uu 应该识别来自第三方的风险:保安、清洁、基础设施维护、供应应该识别来自第三方的风险:保安、清洁、基础设施维护、供应商或外包人员
62、,低质量的外包服务也被视作一种安全风险商或外包人员,低质量的外包服务也被视作一种安全风险uu 签署第三方协议时应包含安全要求,必要时需签署不扩散协议签署第三方协议时应包含安全要求,必要时需签署不扩散协议uu 第三方若需访问敏感信息,需经检查和批准,其访问将受限制第三方若需访问敏感信息,需经检查和批准,其访问将受限制uu 任何第三方禁止访问生产网络任何第三方禁止访问生产网络uu 第三方访问所用工具应经过相关部门检查,其访问应经过认证第三方访问所用工具应经过相关部门检查,其访问应经过认证uu 负责第三方访问的人员需接受必要的安全意识培训负责第三方访问的人员需接受必要的安全意识培训第三方管理第三方管
63、理第三方管理第三方管理安全(举例)安全(举例)安全(举例)安全(举例)66重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和
64、恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规移移动动计计算算与与远远程程办办公公67uu 所有连接办公网络的笔记本电脑或其他移动计算机,必须按照指所有连接办公网络的笔记本电脑或其他移动计算机,必须按照指定定PCPC安全标准来配置,必须符合补丁和防病毒管理规定安全标准来配置,必须符合补丁和防病毒管理规定uu
65、 ITIT管理部门可以协助用户部署必要的笔记本电脑防信息泄漏措施管理部门可以协助用户部署必要的笔记本电脑防信息泄漏措施uu 用户不能将口令、用户不能将口令、IDID或其他账户信息以明文保存在移动介质上或其他账户信息以明文保存在移动介质上uu 笔记本电脑遗失应按照相应管理制度执行安全响应措施笔记本电脑遗失应按照相应管理制度执行安全响应措施uu 敏感信息应加密保护敏感信息应加密保护uu 禁止在公共区域讨论敏感信息,或通过笔记本电脑泄漏信息禁止在公共区域讨论敏感信息,或通过笔记本电脑泄漏信息笔记本电脑与远程办公笔记本电脑与远程办公笔记本电脑与远程办公笔记本电脑与远程办公安全(举例)安全(举例)安全(
66、举例)安全(举例)68重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口
67、令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规工工作作环环境境及及物物理理安安全全69uu 关键安全区域包括数据中心、财务部门和人力资源部门、安全监关键安全区域包括数据中心、财务部门和人力资源部门、安全监关键安全区域包括数据中心、财务部门和人力资源部门、安全监关键安全区域包括数据中心、财务部门和人力资源部门、安全监控室应具备门禁设施控室应具备门禁设施控室应具
68、备门禁设施控室应具备门禁设施uu 前台接待负责检查外来访客证件并进行登记,访客进入内部需持前台接待负责检查外来访客证件并进行登记,访客进入内部需持前台接待负责检查外来访客证件并进行登记,访客进入内部需持前台接待负责检查外来访客证件并进行登记,访客进入内部需持临时卡并由相关人员陪同临时卡并由相关人员陪同临时卡并由相关人员陪同临时卡并由相关人员陪同uu 实施实施实施实施724724小时保安服务,检查保安记录小时保安服务,检查保安记录小时保安服务,检查保安记录小时保安服务,检查保安记录uu 所有入口和内部安全区都部署有摄像头,大门及各楼层入口都被所有入口和内部安全区都部署有摄像头,大门及各楼层入口都
69、被所有入口和内部安全区都部署有摄像头,大门及各楼层入口都被所有入口和内部安全区都部署有摄像头,大门及各楼层入口都被实时监控实时监控实时监控实时监控uu 禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎纸机粉碎纸机粉碎纸机粉碎纸机粉碎uu 废弃或待修磁介质转交他人时应经废弃或待修磁介质转交他人时应经废弃或待修磁介质转交他人时应经废弃或待修磁介质转交他人时应经ITIT管理部门消磁处理管理部门消磁处理管理部门消磁处理管理部门消
70、磁处理 工作环境工作环境工作环境工作环境安全(举例)安全(举例)安全(举例)安全(举例)70注意你的身边!注意你的身边!注意最细微的地方!注意最细微的地方!71 您肯定用过银行的您肯定用过银行的您肯定用过银行的您肯定用过银行的ATMATMATMATM机,机,机,机,您插入银行卡,然后输入密码,您插入银行卡,然后输入密码,您插入银行卡,然后输入密码,您插入银行卡,然后输入密码,然后取钱,然后拔卡,然后离然后取钱,然后拔卡,然后离然后取钱,然后拔卡,然后离然后取钱,然后拔卡,然后离开,您也许注意到您的旁边没开,您也许注意到您的旁边没开,您也许注意到您的旁边没开,您也许注意到您的旁边没有别人,您很小
71、心,可是,您有别人,您很小心,可是,您有别人,您很小心,可是,您有别人,您很小心,可是,您真的足够小心吗?真的足够小心吗?真的足够小心吗?真的足够小心吗?我们来看一个我们来看一个我们来看一个我们来看一个案例案例案例案例72737475767778因此,请留意您的身边!因此,请留意您的身边!79重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及
72、第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规病病毒毒与与恶恶意意代代码码80中华人民共
73、和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例 “计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”什么是什么是什么是什么是计算机病毒计算机病毒计算机病毒计算机病毒81病毒病毒 VirusVirus蠕虫蠕虫 WormWorm木木马马 TrojanTrojan传统的计算机病毒,具有传统的计算机病毒,具有自我繁殖能力,寄生自我繁殖能力,寄生于其他可执行程序中的,通过磁盘拷贝、文件于其他可执行程序中的,通过磁盘拷贝、
74、文件共享、电子邮件等多种途径进行扩散和感染共享、电子邮件等多种途径进行扩散和感染网络蠕虫不需借助其他可执行程序就能独立存在网络蠕虫不需借助其他可执行程序就能独立存在并运行,通常利用网络中某些主机存在的漏洞来并运行,通常利用网络中某些主机存在的漏洞来感染和扩散感染和扩散特洛伊木马是一种传统的后门程序,它可以冒特洛伊木马是一种传统的后门程序,它可以冒充正常程序,截取敏感信息,或进行其他非法充正常程序,截取敏感信息,或进行其他非法的操作的操作病毒病毒病毒病毒 蠕虫蠕虫蠕虫蠕虫 木马木马木马木马82uu 除了蠕虫、病毒、木马等恶意代码除了蠕虫、病毒、木马等恶意代码除了蠕虫、病毒、木马等恶意代码除了蠕虫
75、、病毒、木马等恶意代码,其他恶意代码还,其他恶意代码还,其他恶意代码还,其他恶意代码还包括逻辑炸弹、远程控制后门等包括逻辑炸弹、远程控制后门等包括逻辑炸弹、远程控制后门等包括逻辑炸弹、远程控制后门等uu 现在,传统的计算机病毒日益与网络蠕虫结合,发展现在,传统的计算机病毒日益与网络蠕虫结合,发展现在,传统的计算机病毒日益与网络蠕虫结合,发展现在,传统的计算机病毒日益与网络蠕虫结合,发展成威力更为强大的混合型蠕虫病毒,传播途径更加多样成威力更为强大的混合型蠕虫病毒,传播途径更加多样成威力更为强大的混合型蠕虫病毒,传播途径更加多样成威力更为强大的混合型蠕虫病毒,传播途径更加多样化(网络、邮件、网页
76、、局域网等)化(网络、邮件、网页、局域网等)化(网络、邮件、网页、局域网等)化(网络、邮件、网页、局域网等)uu 通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木马程序,但并不能防止未知病毒,需要经常更新马程序,但并不能防止未知病毒,需要经常更新马程序,但并不能防止未知病毒,需要经常更新马程序,但并不能防止未知病毒,需要经常更新让我们继续让我们继续让我们继续让我们继续83uu 所有计算机必须部署指定的防病毒软件所有计算机必须部署指定的防病毒软件uu 防病毒软件
77、必须持续更新防病毒软件必须持续更新uu 感染病毒的计算机必须从网络中隔离直至清除病毒感染病毒的计算机必须从网络中隔离直至清除病毒uu 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度度uu 发生任何病毒传播事件,相关人员应及时向发生任何病毒传播事件,相关人员应及时向ITIT管理部门汇报管理部门汇报uu uu仅此就够了么仅此就够了么恶意代码防范策略恶意代码防范策略恶意代码防范策略恶意代码防范策略84重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软
78、件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕
79、社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规口口令令安安全全85uu 用户名用户名用户名用户名+ + + +口令是最简单也最常用的身份认证方式口令是最简单也最常用的身份认证方式口令是最简单也最常用的身份认证方式口令是最简单也最常用的身份认证方式uu 口令是抵御攻击的第一道防线,防止冒名顶替口令是抵御攻击的第一道防线,防止冒名顶替口令是抵御攻击的第一道防线,防止冒名顶替口令是抵御攻击的第一道防线,防止冒名顶替uu 口令也是抵御网络攻击的最后一道防线口令也是抵御网络攻击的最后一道防线口令也是抵御网络攻击的
80、最后一道防线口令也是抵御网络攻击的最后一道防线uu 针对口令的攻击简便易行,口令破解快速有效针对口令的攻击简便易行,口令破解快速有效针对口令的攻击简便易行,口令破解快速有效针对口令的攻击简便易行,口令破解快速有效uu 由于使用不当,往往使口令成为最薄弱的安全环节由于使用不当,往往使口令成为最薄弱的安全环节由于使用不当,往往使口令成为最薄弱的安全环节由于使用不当,往往使口令成为最薄弱的安全环节uu 口令与个人隐私息息相关,必须慎重保护口令与个人隐私息息相关,必须慎重保护口令与个人隐私息息相关,必须慎重保护口令与个人隐私息息相关,必须慎重保护为什么为什么为什么为什么口令口令口令口令很重要很重要很重
81、要很重要86uu 如果你以请一顿工作餐来作为交换,有如果你以请一顿工作餐来作为交换,有如果你以请一顿工作餐来作为交换,有如果你以请一顿工作餐来作为交换,有70707070的人乐意告诉你他的人乐意告诉你他的人乐意告诉你他的人乐意告诉你他(她)的机器口令(她)的机器口令(她)的机器口令(她)的机器口令uu 有有有有34343434的人,甚至不需要贿赂,就可奉献自己的口令的人,甚至不需要贿赂,就可奉献自己的口令的人,甚至不需要贿赂,就可奉献自己的口令的人,甚至不需要贿赂,就可奉献自己的口令uu 另据调查,有另据调查,有另据调查,有另据调查,有79797979的人,在被提问时,会无意间泄漏足以被用来的
82、人,在被提问时,会无意间泄漏足以被用来的人,在被提问时,会无意间泄漏足以被用来的人,在被提问时,会无意间泄漏足以被用来窃取其身份的信息窃取其身份的信息窃取其身份的信息窃取其身份的信息uu 平均每人要记住四个口令,平均每人要记住四个口令,平均每人要记住四个口令,平均每人要记住四个口令,95959595都习惯使用相同的口令(在很多都习惯使用相同的口令(在很多都习惯使用相同的口令(在很多都习惯使用相同的口令(在很多需要口令的地方)需要口令的地方)需要口令的地方)需要口令的地方)uu 33333333的人选择将口令写下来,然后放到抽屉或夹到文件里的人选择将口令写下来,然后放到抽屉或夹到文件里的人选择将
83、口令写下来,然后放到抽屉或夹到文件里的人选择将口令写下来,然后放到抽屉或夹到文件里一些一些一些一些数字数字数字数字87uu 少于少于少于少于8 8 8 8个字符个字符个字符个字符uu 单一的字符类型,例如只用小写字母,或只用数字单一的字符类型,例如只用小写字母,或只用数字单一的字符类型,例如只用小写字母,或只用数字单一的字符类型,例如只用小写字母,或只用数字uu 用户名与口令相同用户名与口令相同用户名与口令相同用户名与口令相同uu 最常被人使用的弱口令:最常被人使用的弱口令:最常被人使用的弱口令:最常被人使用的弱口令:uu 自己、家人、朋友、亲戚、宠物的名字自己、家人、朋友、亲戚、宠物的名字自
84、己、家人、朋友、亲戚、宠物的名字自己、家人、朋友、亲戚、宠物的名字uu 生日、结婚纪念日、电话号码等个人信息生日、结婚纪念日、电话号码等个人信息生日、结婚纪念日、电话号码等个人信息生日、结婚纪念日、电话号码等个人信息uu 工作中用到的专业术语,职业特征工作中用到的专业术语,职业特征工作中用到的专业术语,职业特征工作中用到的专业术语,职业特征uu 字典中包含的单词,或者只在单词后加简单的后缀字典中包含的单词,或者只在单词后加简单的后缀字典中包含的单词,或者只在单词后加简单的后缀字典中包含的单词,或者只在单词后加简单的后缀uu 所有系统都使用相同的口令所有系统都使用相同的口令所有系统都使用相同的口
85、令所有系统都使用相同的口令uu 口令一直不变口令一直不变口令一直不变口令一直不变脆弱脆弱脆弱脆弱的口令的口令的口令的口令88uu 简单的猜测简单的猜测简单的猜测简单的猜测uu 使用专门的口令破解工具使用专门的口令破解工具使用专门的口令破解工具使用专门的口令破解工具uu 字典攻击(字典攻击(字典攻击(字典攻击(Dictionary AttackDictionary Attack)uu 暴力攻击(暴力攻击(暴力攻击(暴力攻击(Brute Force AttackBrute Force Attack)uu 混合攻击(混合攻击(混合攻击(混合攻击(Hibrid AttackHibrid Attack)
86、uu 在网络中嗅探明文传送的口令在网络中嗅探明文传送的口令在网络中嗅探明文传送的口令在网络中嗅探明文传送的口令uu 利用后门工具来截获口令利用后门工具来截获口令利用后门工具来截获口令利用后门工具来截获口令uu 通过社会工程获取口令通过社会工程获取口令通过社会工程获取口令通过社会工程获取口令如何破解口令如何破解口令如何破解口令如何破解口令89uu 口令是越长越好口令是越长越好口令是越长越好口令是越长越好uu 但但但但“ “选用选用选用选用20202020个随机字符作为口令个随机字符作为口令个随机字符作为口令个随机字符作为口令” ”的建议也不可取的建议也不可取的建议也不可取的建议也不可取uu 人们
87、总习惯选择容易记忆的口令人们总习惯选择容易记忆的口令人们总习惯选择容易记忆的口令人们总习惯选择容易记忆的口令uu 如果口令难记,可能会被写下来,这样反倒更不安全如果口令难记,可能会被写下来,这样反倒更不安全如果口令难记,可能会被写下来,这样反倒更不安全如果口令难记,可能会被写下来,这样反倒更不安全值得注意的值得注意的值得注意的值得注意的90uu 口令至少应该由口令至少应该由口令至少应该由口令至少应该由8 8 8 8个字符组成个字符组成个字符组成个字符组成uu 口令应该是大小写字母、数字、特殊字符的混合体口令应该是大小写字母、数字、特殊字符的混合体口令应该是大小写字母、数字、特殊字符的混合体口令
88、应该是大小写字母、数字、特殊字符的混合体uu 不要使用名字、生日等个人信息和字典单词不要使用名字、生日等个人信息和字典单词不要使用名字、生日等个人信息和字典单词不要使用名字、生日等个人信息和字典单词uu 选择易记强口令的几个窍门:选择易记强口令的几个窍门:选择易记强口令的几个窍门:选择易记强口令的几个窍门:uu 口令短语口令短语口令短语口令短语uu 字符替换字符替换字符替换字符替换uu 单词误拼单词误拼单词误拼单词误拼uu 键盘模式键盘模式键盘模式键盘模式建议建议建议建议91 找到一个生僻但易记的短语或句子(可以摘自歌曲、找到一个生僻但易记的短语或句子(可以摘自歌曲、书本或电影),然后创建它的
89、缩写形式,其中包括大写字书本或电影),然后创建它的缩写形式,其中包括大写字母和标点符号等。母和标点符号等。I like this like this PiaoLiangMeiMei !PiaoLiangMeiMei !iLtPPMM!My son Tom was born at 8:05MsTwb8:05口令设置(举例)口令设置(举例)口令设置(举例)口令设置(举例)92 这种方法本身并不足够强壮,但用数字或符号来替换这种方法本身并不足够强壮,但用数字或符号来替换选定的字母,可提高口令的复杂性。选定的字母,可提高口令的复杂性。S$O0L1I1E3例如例如例如例如 $LEEP, PA$WORD$
90、LEEP, PA$WORD例如例如例如例如 H00K, B0ATH00K, B0AT例如例如例如例如 S1EEP, E1EPHANTS1EEP, E1EPHANT例如例如例如例如 PAT1ENT, HOSP1TALPAT1ENT, HOSP1TAL例如例如例如例如 SL33p, 3L3PHANTSL33p, 3L3PHANT什么是什么是什么是什么是计算机病毒计算机病毒计算机病毒计算机病毒93 单词误拼本身并不足够强壮,但可以和其他方法一起单词误拼本身并不足够强壮,但可以和其他方法一起单词误拼本身并不足够强壮,但可以和其他方法一起单词误拼本身并不足够强壮,但可以和其他方法一起使用,以提高口令的安
91、全性。使用,以提高口令的安全性。使用,以提高口令的安全性。使用,以提高口令的安全性。Dawg (Dog)Dawg (Dog)Toona (Tuna)Toona (Tuna)Howz (House)Howz (House)Luv (Love)Luv (Love)Supe (Soup)Supe (Soup)Muther (Mother)Muther (Mother)Shevrolet (Chevrolet)Shevrolet (Chevrolet)Jeneric (Generic)Jeneric (Generic)Halliday (Holiday)Halliday (Holiday)Kar (C
92、ar)Kar (Car)口令设置(举例:续)口令设置(举例:续)口令设置(举例:续)口令设置(举例:续)94uu 试着使用数字和特殊字符的组合试着使用数字和特殊字符的组合试着使用数字和特殊字符的组合试着使用数字和特殊字符的组合uu 避免避免避免避免“ “qwertyqwerty” ”这样的直线,而使用这样的直线,而使用这样的直线,而使用这样的直线,而使用Z Z字型或者多条短字型或者多条短字型或者多条短字型或者多条短线线线线uu 这种方法很容易被人看出来这种方法很容易被人看出来这种方法很容易被人看出来这种方法很容易被人看出来uu 键盘输入时不要让人看见键盘输入时不要让人看见键盘输入时不要让人看见
93、键盘输入时不要让人看见口令设置口令设置口令设置口令设置键盘模式键盘模式键盘模式键盘模式95uu 用户有责任记住自己的口令用户有责任记住自己的口令用户有责任记住自己的口令用户有责任记住自己的口令uu ITITITIT管理部门在独立审计的前提下进行口令锁定、解锁管理部门在独立审计的前提下进行口令锁定、解锁管理部门在独立审计的前提下进行口令锁定、解锁管理部门在独立审计的前提下进行口令锁定、解锁和重置操作和重置操作和重置操作和重置操作uu 初始口令设置不得为空初始口令设置不得为空初始口令设置不得为空初始口令设置不得为空uu 口令设置不得少于口令设置不得少于口令设置不得少于口令设置不得少于8 8 8 8
94、个字符个字符个字符个字符uu 口令应该包含特殊字符、数字和大小写字母口令应该包含特殊字符、数字和大小写字母口令应该包含特殊字符、数字和大小写字母口令应该包含特殊字符、数字和大小写字母uu 口令应该经常更改,设定口令有效期为口令应该经常更改,设定口令有效期为口令应该经常更改,设定口令有效期为口令应该经常更改,设定口令有效期为3 3 3 3个月个月个月个月uu 口令输入错误限定口令输入错误限定口令输入错误限定口令输入错误限定3 3 3 3次,随后会被锁定,解锁需通报次,随后会被锁定,解锁需通报次,随后会被锁定,解锁需通报次,随后会被锁定,解锁需通报ITITITIT管理部门管理部门管理部门管理部门口
95、令管理(举例)口令管理(举例)口令管理(举例)口令管理(举例)96重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码
96、防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规电电子子邮邮件件安安全全97uu据统计,有超过据统计,有超过据统计,有超过据统计,有超过87878787的病毒是借助的病毒是借助的病毒是借助的病毒是借助EmailEmailEmailEmail进入企业的进入企业的进入企业的进入企业的uu对于下列标题的邮件,选择打开阅览的
97、人数百分比:对于下列标题的邮件,选择打开阅览的人数百分比:对于下列标题的邮件,选择打开阅览的人数百分比:对于下列标题的邮件,选择打开阅览的人数百分比:uuI LOVE YOUI LOVE YOUI LOVE YOUI LOVE YOU:37373737的人会打开邮件的人会打开邮件的人会打开邮件的人会打开邮件uuGreat jokeGreat jokeGreat jokeGreat joke:54545454的人会打开邮件的人会打开邮件的人会打开邮件的人会打开邮件uuMessageMessageMessageMessage:46464646的人会打开邮件的人会打开邮件的人会打开邮件的人会打开邮件
98、uuSpecial offerSpecial offerSpecial offerSpecial offer:39393939的人会打开邮件的人会打开邮件的人会打开邮件的人会打开邮件uuuu小组讨论小组讨论小组讨论小组讨论EmailEmail数字数字数字数字98uu不当使用不当使用不当使用不当使用EmailEmailEmailEmail可能导致法律风险可能导致法律风险可能导致法律风险可能导致法律风险uu禁止发送或转发反动或非法的邮件内容禁止发送或转发反动或非法的邮件内容禁止发送或转发反动或非法的邮件内容禁止发送或转发反动或非法的邮件内容uu未经发送人许可,不得转发接收到的邮件未经发送人许可,不
99、得转发接收到的邮件未经发送人许可,不得转发接收到的邮件未经发送人许可,不得转发接收到的邮件uu不得伪造虚假邮件,不得使用他人账号发送邮件不得伪造虚假邮件,不得使用他人账号发送邮件不得伪造虚假邮件,不得使用他人账号发送邮件不得伪造虚假邮件,不得使用他人账号发送邮件uu未经许可,不得将属于他人邮件的消息内容拷贝转发未经许可,不得将属于他人邮件的消息内容拷贝转发未经许可,不得将属于他人邮件的消息内容拷贝转发未经许可,不得将属于他人邮件的消息内容拷贝转发uu与业务相关的与业务相关的与业务相关的与业务相关的EmailEmailEmailEmail应在文件服务器上做妥善备份,专人负责检查应在文件服务器上做
100、妥善备份,专人负责检查应在文件服务器上做妥善备份,专人负责检查应在文件服务器上做妥善备份,专人负责检查uu包含客户信息的包含客户信息的包含客户信息的包含客户信息的EmailEmailEmailEmail应转发主管做备份应转发主管做备份应转发主管做备份应转发主管做备份uu个人用途的个人用途的个人用途的个人用途的EmailEmailEmailEmail不应干扰工作,并且遵守本策略不应干扰工作,并且遵守本策略不应干扰工作,并且遵守本策略不应干扰工作,并且遵守本策略uu避免通过避免通过避免通过避免通过EmailEmailEmailEmail发送机密信息,如果需要,应采取必要的加密保护措施发送机密信息,
101、如果需要,应采取必要的加密保护措施发送机密信息,如果需要,应采取必要的加密保护措施发送机密信息,如果需要,应采取必要的加密保护措施EmailEmail安全(举例)安全(举例)安全(举例)安全(举例)99uu不安全的文件类型不安全的文件类型不安全的文件类型不安全的文件类型:绝对不要打开任何以下文件类型的邮件附件:绝对不要打开任何以下文件类型的邮件附件:.bat, .com, .exe, .vbs.bat, .com, .exe, .vbsuu未知的文件类型未知的文件类型未知的文件类型未知的文件类型:绝对不要打开任何未知文件类型的邮件附件,包绝对不要打开任何未知文件类型的邮件附件,包括邮件内容中到
102、未知文件类型的链接括邮件内容中到未知文件类型的链接uu微软文件类型微软文件类型微软文件类型微软文件类型:如果要打开微软文件类型(例如如果要打开微软文件类型(例如 .doc, .xls, .ppt.doc, .xls, .ppt等)的邮件附件或者内部链接,务必先进行病毒扫描等)的邮件附件或者内部链接,务必先进行病毒扫描uu要求发送普通的文本要求发送普通的文本要求发送普通的文本要求发送普通的文本:尽量要求对方发送普通的文本内容邮件,尽量要求对方发送普通的文本内容邮件,而不要发送而不要发送HTMLHTML格式邮件,不要携带不安全类型的附件格式邮件,不要携带不安全类型的附件uu禁止邮件执行禁止邮件执行
103、禁止邮件执行禁止邮件执行HtmlHtmlHtmlHtml代码代码代码代码:禁止执行禁止执行HTMLHTML内容中的代码内容中的代码uu防止垃圾邮件:防止垃圾邮件:防止垃圾邮件:防止垃圾邮件:通过设置邮件服务器的过滤,防止接受垃圾邮件通过设置邮件服务器的过滤,防止接受垃圾邮件uu尽早安装系统补丁尽早安装系统补丁尽早安装系统补丁尽早安装系统补丁:杜绝恶意代码利用系统漏洞而实施攻击杜绝恶意代码利用系统漏洞而实施攻击接收接收接收接收邮件注意邮件注意邮件注意邮件注意100uu如果同样的内容可以用普通文本正文,就不要用附件如果同样的内容可以用普通文本正文,就不要用附件uu尽量不要发送尽量不要发送.doc,
104、 .xls.doc, .xls等可能带有宏病毒的文件等可能带有宏病毒的文件uu发送不安全的文件之前,先进行病毒扫描发送不安全的文件之前,先进行病毒扫描uu不要参与所谓的邮件接龙不要参与所谓的邮件接龙uu尽早安装系统补丁,防止自己的系统成为恶意者的跳板尽早安装系统补丁,防止自己的系统成为恶意者的跳板uu可以使用可以使用PGPPGP等安全的邮件机制等安全的邮件机制发送发送发送发送邮件注意邮件注意邮件注意邮件注意101重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算
105、机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划
106、应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规介介质质安安全全管管理理102介质安全介质安全介质安全介质安全管理(举例)管理(举例)管理(举例)管理(举例)创建创建创建创建传递传递传递传递销毁销毁销毁销毁存存存存 储储储储使用使用使用使用更改更改更改更改103重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及
107、第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规警警惕惕社社会会工工程程学学104 “人是
108、最薄弱的环人是最薄弱的环节。你可能拥有最好节。你可能拥有最好的技术、防火墙、入的技术、防火墙、入侵检测系统、生物鉴侵检测系统、生物鉴别设备,可只要有人别设备,可只要有人给毫无戒心的员工打给毫无戒心的员工打个电话个电话” Kevin Mitnick Kevin Mitnick105uu Social EngneeringSocial Engneeringuu 利用社会交往(通常是在伪装利用社会交往(通常是在伪装利用社会交往(通常是在伪装利用社会交往(通常是在伪装之下)从目标对象那里获取信息之下)从目标对象那里获取信息之下)从目标对象那里获取信息之下)从目标对象那里获取信息uu 例如:例如:uu
109、电话呼叫服务中心电话呼叫服务中心uu 在走廊里的聊天在走廊里的聊天uu 冒充服务技术人员冒充服务技术人员uu 著名黑客著名黑客Kevin MitnickKevin Mitnick更多是更多是通过社会工程来渗透网络的,而通过社会工程来渗透网络的,而不是高超的黑客技术不是高超的黑客技术什么是什么是什么是什么是社会工程学社会工程学社会工程学社会工程学106uu 不要轻易泄漏敏感信息,例如口令和账号不要轻易泄漏敏感信息,例如口令和账号不要轻易泄漏敏感信息,例如口令和账号不要轻易泄漏敏感信息,例如口令和账号uu 在相信任何人之前,先校验其真实的身份在相信任何人之前,先校验其真实的身份在相信任何人之前,先
110、校验其真实的身份在相信任何人之前,先校验其真实的身份uu 不要违背公司的安全策略,哪怕是你的上司向你索取不要违背公司的安全策略,哪怕是你的上司向你索取不要违背公司的安全策略,哪怕是你的上司向你索取不要违背公司的安全策略,哪怕是你的上司向你索取个人敏感信息(个人敏感信息(个人敏感信息(个人敏感信息(Kevin MitnickKevin MitnickKevin MitnickKevin Mitnick最擅长的就是冒充一个很最擅长的就是冒充一个很最擅长的就是冒充一个很最擅长的就是冒充一个很焦急的老板,利用一般人好心以及害怕上司的心理,向焦急的老板,利用一般人好心以及害怕上司的心理,向焦急的老板,利
111、用一般人好心以及害怕上司的心理,向焦急的老板,利用一般人好心以及害怕上司的心理,向系统管理员索取口令)系统管理员索取口令)系统管理员索取口令)系统管理员索取口令)uu 不要忘了,所谓的黑客,更多时候并不是技术多么出不要忘了,所谓的黑客,更多时候并不是技术多么出不要忘了,所谓的黑客,更多时候并不是技术多么出不要忘了,所谓的黑客,更多时候并不是技术多么出众,而是社会工程的能力比较强众,而是社会工程的能力比较强众,而是社会工程的能力比较强众,而是社会工程的能力比较强社会工程学(举例)社会工程学(举例)社会工程学(举例)社会工程学(举例)107重要信息的保密重要信息的保密重要信息的保密重要信息的保密信
112、息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介
113、质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规应应急急响响应应和和BCP108业务持续性管理程序业务持续性管理程序风险评估管理风险评估管理风险评估管理风险评估管理风险控制措施风险控制措施风险控制措施风险控制措施应急计划框架应急计划框架应急计划框架应急计划框架预防为主预防为主预防为主预防为主事后紧急响应及恢复事后紧急响应及恢复事后紧急响应及恢复事后紧急响应及恢复一般安全一般安全一般安全一般安全事件触发事件触发事件触发事件触发Helpdes
114、kHelpdesk及及及及IRTIRT正常处理正常处理正常处理正常处理执行具体的执行具体的执行具体的执行具体的BCP/DRPBCP/DRP安全事件安全事件管理程序管理程序部门级的部门级的BCP/DRP(基于(基于BIA)紧急响应和危机紧急响应和危机紧急响应和危机紧急响应和危机处理处理处理处理ERTERT人员环境人员环境人员环境人员环境灾难触发灾难触发灾难触发灾难触发紧急响应紧急响应处理程序处理程序安全事件管理(安全事件管理(安全事件管理(安全事件管理(框架框架框架框架)109uu 事先制定可行的安全事件响应计划事先制定可行的安全事件响应计划事先制定可行的安全事件响应计划事先制定可行的安全事件响
115、应计划uu 建立事件响应小组,以管理不同风险级别的安全事件建立事件响应小组,以管理不同风险级别的安全事件建立事件响应小组,以管理不同风险级别的安全事件建立事件响应小组,以管理不同风险级别的安全事件uu 员工有责任向其上级报告任何已知或可疑的安全问题或违规行为员工有责任向其上级报告任何已知或可疑的安全问题或违规行为员工有责任向其上级报告任何已知或可疑的安全问题或违规行为员工有责任向其上级报告任何已知或可疑的安全问题或违规行为uu 必要时,管理层可决定引入法律程序必要时,管理层可决定引入法律程序必要时,管理层可决定引入法律程序必要时,管理层可决定引入法律程序uu 做好证据采集和保留工作做好证据采集
116、和保留工作做好证据采集和保留工作做好证据采集和保留工作uu 应提交安全事件和相关问题的定期管理报告,以备管理层检查应提交安全事件和相关问题的定期管理报告,以备管理层检查应提交安全事件和相关问题的定期管理报告,以备管理层检查应提交安全事件和相关问题的定期管理报告,以备管理层检查uu 应该定期检查应急计划的有效性应该定期检查应急计划的有效性应该定期检查应急计划的有效性应该定期检查应急计划的有效性安全事件管理安全事件管理安全事件管理安全事件管理要点要点要点要点(举例)(举例)(举例)(举例)110断电断电断电断电断水断水断水断水恐怖袭击恐怖袭击恐怖袭击恐怖袭击人员伤亡人员伤亡人员伤亡人员伤亡设施毁坏
117、设施毁坏设施毁坏设施毁坏火灾火灾火灾火灾水灾水灾水灾水灾 第一时间可以找谁?第一时间可以找谁? 具体联络方式?具体联络方式? 灾难发生时合理的应对灾难发生时合理的应对 关键是确保人员安全关键是确保人员安全重大灾害发生时的应急考虑重大灾害发生时的应急考虑111网络通信中断网络通信中断网络通信中断网络通信中断服务器崩溃服务器崩溃服务器崩溃服务器崩溃严重的数据严重的数据严重的数据严重的数据泄漏或丢失泄漏或丢失泄漏或丢失泄漏或丢失计计计计算算算算机机机机网网网网络络络络安安安安全全全全事事事事件件件件断电断电断电断电断水断水断水断水恐怖袭击恐怖袭击恐怖袭击恐怖袭击人员伤亡人员伤亡人员伤亡人员伤亡设施毁
118、坏设施毁坏设施毁坏设施毁坏火灾火灾火灾火灾水灾水灾水灾水灾人人人人员员员员与与与与环环环环境境境境灾灾灾灾难难难难事事事事故故故故 事先做好备份等准备工作事先做好备份等准备工作 灾难发生后妥善处理以降灾难发生后妥善处理以降 低损失低损失 在确定时限内恢复在确定时限内恢复 分析原因,做好记录分析原因,做好记录 BCP应定期测试和维护应定期测试和维护 应该明确责任人应该明确责任人重大灾害发生后应启用重大灾害发生后应启用BCPBCP进行恢复进行恢复112uu 数据备份是制定数据备份是制定数据备份是制定数据备份是制定BCPBCPBCPBCP时必须考虑的一种恢复准备措施时必须考虑的一种恢复准备措施时必须
119、考虑的一种恢复准备措施时必须考虑的一种恢复准备措施uu 现在,数据备份的途径有多种:现在,数据备份的途径有多种:现在,数据备份的途径有多种:现在,数据备份的途径有多种:uu 软盘,软盘,软盘,软盘,CDCDCDCD和和和和DVDDVDDVDDVD,ZipZipZipZip盘,磁带,移动硬盘,优盘盘,磁带,移动硬盘,优盘盘,磁带,移动硬盘,优盘盘,磁带,移动硬盘,优盘uu 养成对您的数据进行备份的好习惯养成对您的数据进行备份的好习惯养成对您的数据进行备份的好习惯养成对您的数据进行备份的好习惯uu 备份磁盘不要放在工作场所备份磁盘不要放在工作场所备份磁盘不要放在工作场所备份磁盘不要放在工作场所uu
120、 对重要的硬盘做好镜像对重要的硬盘做好镜像对重要的硬盘做好镜像对重要的硬盘做好镜像uu 对重要的软件进行更新,例如微软的产品对重要的软件进行更新,例如微软的产品对重要的软件进行更新,例如微软的产品对重要的软件进行更新,例如微软的产品uu http:/http:/http:/http:/数据备份要点数据备份要点数据备份要点数据备份要点113重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理
121、人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律
122、法规法法律律法法规规114uu 与计算机安全相关的法律法规与计算机安全相关的法律法规与计算机安全相关的法律法规与计算机安全相关的法律法规uu 对知识产权和个人隐私的保护对知识产权和个人隐私的保护对知识产权和个人隐私的保护对知识产权和个人隐私的保护uu 关于盗版软件的问题关于盗版软件的问题关于盗版软件的问题关于盗版软件的问题uu 关于计算机犯罪、道德问题关于计算机犯罪、道德问题关于计算机犯罪、道德问题关于计算机犯罪、道德问题法律法规法律法规法律法规法律法规115中国的信息立法中国的信息立法 统计法统计法统计法统计法 档案法档案法档案法档案法 测绘法测绘法测绘法测绘法 国家安全法国家安全法国家安全
123、法国家安全法 近年,中国陆续制定了多部与信息活动密切相关的法律,虽然近年,中国陆续制定了多部与信息活动密切相关的法律,虽然大多不专门针对网络环境,甚至有些也不针对电子信息,但它们的大多不专门针对网络环境,甚至有些也不针对电子信息,但它们的基本精神对网络的建设、管理以及网络中的信息活动都有不同程度基本精神对网络的建设、管理以及网络中的信息活动都有不同程度的指导作用。的指导作用。 保守国家秘密法保守国家秘密法保守国家秘密法保守国家秘密法 著作权法著作权法著作权法著作权法 广告法广告法广告法广告法 反不正当竞争法反不正当竞争法反不正当竞争法反不正当竞争法116uu 中华人民共和国计算机信息系统安全保
124、护条例中华人民共和国计算机信息系统安全保护条例uu 计算机软件著作权登记办法,计算机软件保护条例计算机软件著作权登记办法,计算机软件保护条例uu 计算机场地技术条件,计算机场地安全要求计算机场地技术条件,计算机场地安全要求uu 中华人民共和国保守国家秘密法中华人民共和国保守国家秘密法uu 计算机信息网络国际联网安全保护管理办法计算机信息网络国际联网安全保护管理办法uu 商用密码管理条例商用密码管理条例uu 计算机病毒防治管理办法计算机病毒防治管理办法uu 计算机信息系统安全专用产品分类原则计算机信息系统安全专用产品分类原则uu 计算机信息系统安全专用产品检测和销售许可证管理办法计算机信息系统安
125、全专用产品检测和销售许可证管理办法uu 中华人民共和国刑法(中华人民共和国刑法(19971997年修订时新增关于计算机犯罪条款)年修订时新增关于计算机犯罪条款)uu 全国人民代表大会常务委员会关于维护互联网安全的决定全国人民代表大会常务委员会关于维护互联网安全的决定 中国对信息系统的立法工作很重视,关于计算机信息系统安全方面的法规较多,中国对信息系统的立法工作很重视,关于计算机信息系统安全方面的法规较多,中国对信息系统的立法工作很重视,关于计算机信息系统安全方面的法规较多,中国对信息系统的立法工作很重视,关于计算机信息系统安全方面的法规较多,涉及信息系统安全保护、国际联网管理、商用密码管理、计
126、算机病毒防治、标准化、涉及信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治、标准化、涉及信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治、标准化、涉及信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治、标准化、场地设施安全和安全产品检测与销售等方面。场地设施安全和安全产品检测与销售等方面。场地设施安全和安全产品检测与销售等方面。场地设施安全和安全产品检测与销售等方面。部分现有法律法规部分现有法律法规部分现有法律法规部分现有法律法规117uu 人民银行法人民银行法人民银行法人民银行法、商业银行法商业银行法商业银行法商业银行法、银行业监督管理法银行业监督管理法银行
127、业监督管理法银行业监督管理法 uu 中国银行业监督管理委员会行政处罚办法中国银行业监督管理委员会行政处罚办法中国银行业监督管理委员会行政处罚办法中国银行业监督管理委员会行政处罚办法、中国人民银行行政处罚程序规定中国人民银行行政处罚程序规定中国人民银行行政处罚程序规定中国人民银行行政处罚程序规定、金金金金融违法行为处罚办法融违法行为处罚办法融违法行为处罚办法融违法行为处罚办法 uu 电子银行业务管理办法电子银行业务管理办法电子银行业务管理办法电子银行业务管理办法、电子银行安全评估指引电子银行安全评估指引电子银行安全评估指引电子银行安全评估指引 uu 中国人民银行突发事件应急预案管理办法中国人民银
128、行突发事件应急预案管理办法中国人民银行突发事件应急预案管理办法中国人民银行突发事件应急预案管理办法 uu 个人信用信息基础数据库管理暂行办法个人信用信息基础数据库管理暂行办法个人信用信息基础数据库管理暂行办法个人信用信息基础数据库管理暂行办法、企业信用信息基础数据库管理暂行办法(征企业信用信息基础数据库管理暂行办法(征企业信用信息基础数据库管理暂行办法(征企业信用信息基础数据库管理暂行办法(征求意见稿)求意见稿)求意见稿)求意见稿);中国人民银行、信息产业部关于商业银行与电信企业共享企业和个人信用信息中国人民银行、信息产业部关于商业银行与电信企业共享企业和个人信用信息中国人民银行、信息产业部关
129、于商业银行与电信企业共享企业和个人信用信息中国人民银行、信息产业部关于商业银行与电信企业共享企业和个人信用信息有关问题的指导意见有关问题的指导意见有关问题的指导意见有关问题的指导意见 uu 金融机构营业场所和金库安全防范设施建设许可实施办法金融机构营业场所和金库安全防范设施建设许可实施办法金融机构营业场所和金库安全防范设施建设许可实施办法金融机构营业场所和金库安全防范设施建设许可实施办法 uu 中国人民银行办公厅关于印发中国人民银行办公厅关于印发中国人民银行办公厅关于印发中国人民银行办公厅关于印发国库资金风险管理办法国库资金风险管理办法国库资金风险管理办法国库资金风险管理办法的通知的通知的通知
130、的通知 uu 中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见 uu 金融机构计算机信息系统安全保护工作暂行规定金融机构计算机信息系统安全保护工作暂行规定金融机构计算机信息系统安全保护工作暂行规定金融机构计算机信息系统安全保护工作暂行规定 uu 银行业金融机构内部审计指引银行业金融机构内部审计指引银行业金融机构内部审计指引银行业金融机构内部审计指引 uu 中国人民银行计算机信息系统
131、内审监督检查工作暂行规定中国人民银行计算机信息系统内审监督检查工作暂行规定中国人民银行计算机信息系统内审监督检查工作暂行规定中国人民银行计算机信息系统内审监督检查工作暂行规定、中国人民银行关于加强计中国人民银行关于加强计中国人民银行关于加强计中国人民银行关于加强计算机信息系统内部审计工作的指导意见算机信息系统内部审计工作的指导意见算机信息系统内部审计工作的指导意见算机信息系统内部审计工作的指导意见、中国人民银行计算机信息系统内部审计规程中国人民银行计算机信息系统内部审计规程中国人民银行计算机信息系统内部审计规程中国人民银行计算机信息系统内部审计规程 uu 国有商业银行公司治理及相关监管指引国有
132、商业银行公司治理及相关监管指引国有商业银行公司治理及相关监管指引国有商业银行公司治理及相关监管指引、中国银行业监督管理委员会关于印发中国银行业监督管理委员会关于印发中国银行业监督管理委员会关于印发中国银行业监督管理委员会关于印发股份制股份制股份制股份制商业银行非现场监管规程商业银行非现场监管规程商业银行非现场监管规程商业银行非现场监管规程( (试行试行试行试行) )的通知的通知的通知的通知 uu 银行业金融机构信息系统风险管理指引银行业金融机构信息系统风险管理指引银行业金融机构信息系统风险管理指引银行业金融机构信息系统风险管理指引 uu 银行业银行业银行业银行业法律法规(举例)法律法规(举例)
133、法律法规(举例)法律法规(举例)118要点总结!要点总结!119P 加强敏感信息的保密加强敏感信息的保密P 留意物理安全留意物理安全P 遵守法律法规和安全策略遵守法律法规和安全策略P 公司资源只供公司所用公司资源只供公司所用P 保守口令秘密保守口令秘密P 谨慎使用谨慎使用InternetInternet和和EmailEmailP 加强人员安全管理加强人员安全管理P 识别并控制第三方风险识别并控制第三方风险P 加强防病毒措施加强防病毒措施P 有问题及时报告有问题及时报告120 确保敏感信息免遭窃取、丢失、非确保敏感信息免遭窃取、丢失、非授权访问、非授权泄漏、非授权拷贝,授权访问、非授权泄漏、非授
134、权拷贝,这些信息既包括纸质文件,又包括计算这些信息既包括纸质文件,又包括计算机和存储设备中的信息。机和存储设备中的信息。谨记谨记谨记谨记您的您的您的您的安全责任安全责任安全责任安全责任121从一点一滴做起!从从自身自身做起!做起!122No.1:Nmap No.1:Nmap 端口扫描器端口扫描器 http:/www.insecure.org/http:/www.insecure.org/123No.2:Nessus No.2:Nessus 网络漏洞扫描器网络漏洞扫描器http:/www.nessus.org/http:/www.nessus.org/124No.3:Wireshark No.3
135、:Wireshark 包嗅探器包嗅探器http:/www.wireshark.orghttp:/www.wireshark.org125No.4:Snort No.4:Snort 入侵检测系统入侵检测系统http:/www.snort.orghttp:/www.snort.org126No.5:Netcat No.5:Netcat 网络调试工具网络调试工具http:/www.vulnwatch.org/netcathttp:/www.vulnwatch.org/netcat读写网络连接数据端口绑定SSL加密&SOCKS代理衍生很多种类瑞士军刀127No.4:Snort No.4:Snort 入
136、侵检测系统入侵检测系统http:/www.snort.orghttp:/www.snort.org128No.5:Nikto No.5:Nikto WebWeb漏洞扫描器漏洞扫描器http:/ No.6:Sysinternals RootkitRootkit检测套件检测套件http:/ http:/ 已经被微软收购已经被微软收购已经被微软收购已经被微软收购进程浏览器进程管理器自启动检查器Rootkit监测器TCP/UDP监视器3000万美金Sysinternals130No.7:Google No.7:Google 搜索引擎搜索引擎http:/http:/Google HackingGoogle CodeGoogle everything131No.8:ping/ifconfigNo.8:ping/ifconfig 基本操作命令基本操作命令基本操作命令132No.9:Phlak Live-CDNo.9:Phlak Live-CD操作系统操作系统http:/www.phlak.orghttp:/www.phlak.org133No.10:No.10:管理员管理员 人人你尽力了么?你做好了么?134但是但是我们确实存在问题,我们确实存在问题,我们确实存在问题,我们确实存在问题,只要我们不断改进!只要我们不断改进!135
