信息安全意识培训全体员工资料

《信息安全意识培训全体员工资料》由会员分享，可在线阅读，更多相关《信息安全意识培训全体员工资料（77页珍藏版）》请在金锄头文库上搜索。

1、11234什么(shn me)是信息安全？怎样(znyng)搞好信息安全？信息产业发展(fzhn)现状主要内容信息安全基本概念第一页，共77页。2授之以鱼授之以鱼授之以鱼授之以鱼不如不如不如不如(br)(br)授授授授之以渔之以渔之以渔之以渔产品产品产品产品(chnpn)(chnpn)技术技术技术技术(jsh)(jsh)更不如激之其欲更不如激之其欲更不如激之其欲更不如激之其欲意识意识意识意识谈笑间，风险灰飞烟灭。谈笑间，风险灰飞烟灭。引言第二页，共77页。3什么(shn me)是信息安全？不止不止(bzh)有产品、技术才是信息安有产品、技术才是信息安全全第三页，共77页。4信息安全无处不在信息

2、安全信息安全信息安全信息安全 人员人员人员人员安全安全安全安全物理物理物理物理安全安全安全安全事件事件事件事件管理管理管理管理安全安全安全安全策略策略策略策略法律法律法律法律合规合规合规合规开发开发开发开发安全安全安全安全安全安全安全安全组织组织组织组织资产资产资产资产管理管理管理管理业务业务业务业务连续连续连续连续网络网络网络网络安全安全安全安全访问访问访问访问控制控制控制控制第四页，共77页。 一个软件公司的老总，等他所有的员工下班之后，他在那里想：我的企业到底值多少钱呢？假如它的企业市值1亿，那么此时此刻，他的企业就值2600万。 因为据Delphi公司统计，公司价值的26%体现在固定资

3、产和一些文档上，而高达42%的价值是存储在员工的脑子里，而这些信息的保护没有任何一款产品可以做得到，所以需要我们(w men)建立信息安全管理体系，也就是常说的ISMS！5怎样(znyng)搞好信息安全？第五页，共77页。6信息(xnx)在哪里？纸质文档纸质文档电子文档电子文档员工员工其他其他(qt)信信息介质息介质小问题：公司小问题：公司(n s)的信息都在哪里？的信息都在哪里？第六页，共77页。7小测试(csh)： 您离开(l ki)家每次都关门吗？ 您离开(l ki)公司每次都关门吗？ 您的保险箱设密码吗？ 您的电脑设密码吗？第七页，共77页。8答案(d n)解释： 如果您记得关家里的门

4、，而不记得关公司的门， 说明您可能对公司的安全认知度不够。 如果您记得给保险箱设密码，而不记得给电脑设密码， 说明您可能对信息资产(zchn)安全认识不够。第八页，共77页。9这就是这就是(jish)意识缺乏意识缺乏的两大的两大结症(ji zhn)！不看重大公司，更看重小家庭。不看重大公司，更看重小家庭。1 1家家公司公司公司公司2 2钞票更顺眼，信息无所谓。钞票更顺眼，信息无所谓。第九页，共77页。10思想(sxing)上的转变（一） 公司的钱，就是(jish)我的钱， 只是先放在,老板那里第十页，共77页。11WHY?信息安全搞好信息安全搞好(o ho)了了信息安全搞砸了信息安全搞砸了公司

5、赚钱了公司赚钱了领导笑了领导笑了领导怒了领导怒了公司赔钱了公司赔钱了你就你就“跌跌” 了了你就你就“涨涨” 了了第十一页，共77页。12思想(sxing)上的转变（二） 信息比钞票更重要，更脆弱(curu)，我们更应该保护它。第十二页，共77页。13WHY?装有100万的 保险箱需要 3个悍匪、公司损失： 100万装有客户信息的 电脑只要 1个商业间谍、1个U盘，就能偷走。公司损失：公司损失：公司损失：公司损失：所有客户！所有客户！所有客户！所有客户！1辆车，才能偷走。第十三页，共77页。14典型(dinxng)案例第十四页，共77页。15安全(nqun)名言 公司的利益(ly)就是自己的利益

6、(ly)，不保护公司，就是不保护自己。 电脑不仅仅是工具，而是装有十分重要信息的保险箱。第十五页，共77页。16绝对(judu)的安全是不存在的绝对的零风险是不存在的，要想实现零风险，也是不现实的；绝对的零风险是不存在的，要想实现零风险，也是不现实的；计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种种(y zhn)(y zhn)平衡。平衡。 在计算机安全领域有一句格言：在计算机安全领域有一句格言：“

7、真正安真正安全的计算机是拔下网线，断掉电源，放置全的计算机是拔下网线，断掉电源，放置(fngzh)(fngzh)在地下掩体的保险柜中，并在掩体在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。内充满毒气，在掩体外安排士兵守卫。” 显然，这样的计算机是无法使用的。显然，这样的计算机是无法使用的。第十六页，共77页。17安全是一种(y zhn)平衡第十七页，共77页。18安全是一种(y zhn)平衡安全控制的成本(chngbn)安全事件的损失(snsh)最小化的总成本最小化的总成本低高高安全成本/损失所提供的安全水平关键是实现成本利益的平衡关键是实现成本利益的平衡第十八页，共77页。

8、信息信息(xnx)的价值的价值 = 使用信息使用信息(xnx)所获得的收益所获得的收益 获取信息获取信息(xnx)所用成本所用成本信息信息(xnx)具备了安全的保护特性具备了安全的保护特性19信息(xnx)的价值第十九页，共77页。广义上讲 领域 涉及到信息的保密性，完整性，可用性，真实性，可控性的相关技术和理论。本质上保护 系统的硬件，软件，数据防止 系统和数据遭受破坏，更改，泄露保证 系统连续可靠正常地运行，服务不中断两个层面技术层面 防止外部用户的非法入侵管理(gunl)层面 内部员工的教育和管理(gunl)20信息安全的定义(dngy)第二十页，共77页。21信息安全基本(jbn)目标

9、保密性， 完整性， 可用性CIAonfidentiality ntegrityvailabilityCIACIA第二十一页，共77页。22信息(xnx)生命周期创建创建创建创建传递传递传递传递销毁销毁销毁销毁存存存存 储储储储使用使用使用使用更改更改更改更改第二十二页，共77页。23信息产业发展(fzhn)迅猛截至截至2008年年7月，我国固定电话已达到月，我国固定电话已达到3.55亿户，移动电话用户数达到亿户，移动电话用户数达到6.08亿。亿。截至截至2008年年6月，我国网民数量达到了月，我国网民数量达到了2.53亿，成为世界上网民最多的亿，成为世界上网民最多的国家，与去年同期相比，中国网

10、民人数增加了国家，与去年同期相比，中国网民人数增加了9100万人，同比增长达到万人，同比增长达到56.2%。手机上网成为用户上网的重要途径，网民中的手机上网成为用户上网的重要途径，网民中的28.9%在过去半年曾经使在过去半年曾经使用过手机上网，手机网民规模达到用过手机上网，手机网民规模达到7305万人。万人。 2007年电子商务交易总额已超过年电子商务交易总额已超过2万亿元。万亿元。目前，全国网站总数达目前，全国网站总数达192万，中文网页已达万，中文网页已达84.7亿页，个人博客亿页，个人博客/个人个人空间的网民比例达到空间的网民比例达到42.3%。 目前，县级以上目前，县级以上96%的政府

11、的政府(zhngf)机构都建立了网站，电子政务正以机构都建立了网站，电子政务正以改善公共服务为重点，在教育、医疗、住房等方面，提供便捷的基本公改善公共服务为重点，在教育、医疗、住房等方面，提供便捷的基本公共服务。共服务。 第二十三页，共77页。24信息安全令人担忧内地企业内地企业44%44%信息安全事件信息安全事件(shjin)(shjin)是数据失窃是数据失窃 普华永道最新发布的2008年度全球信息安全调查报告显示，中国内地企业在信息安全管理方面存在滞后，信息安全与隐私保障方面已被印度赶超。数据显示，内地企业44%的信息安全事件与数据失窃有关(yugun)，而全球的平均水平只有16%。普华永

12、道的调查显示，中国内地企业在改善信息安全机制上仍有待努力，从近年安全事件结果看，中国每年大约98万美元的财务损失，而亚洲国家平均约为75万美元，印度大约为30.8万美元。此外，42%的中国内地受访企业经历了应用软件、系统和网络的安全事件。第二十四页，共77页。25安全事件（1）第二十五页，共77页。26安全事件（2）第二十六页，共77页。27安全事件（3）第二十七页，共77页。28安全事件（4）第二十八页，共77页。29安全事件（5）第二十九页，共77页。30安全事件（6）熊猫(xingmo)烧香病毒的制造者-李俊 用户电脑中毒后可能会出现蓝屏、频繁重启以及用户电脑中毒后可能会出现蓝屏、频繁重

13、启以及系统硬盘中数据文件被破坏系统硬盘中数据文件被破坏(phui)(phui)等现象。同时，等现象。同时，该病毒可以通过局域网进行传播，进而感染局域网内该病毒可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中常使用，它能感染系统中exeexe，comcom，pifpif，srcsrc，htmlhtml，aspasp等文件，它还能中止大量的反病毒软件进程并等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为且会删除扩展名为ghogho的文件，该文件是一系统备份的文件，该文件是一系统备份工具

14、工具GHOSTGHOST的备份文件，使用户的系统备份文件丢的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有失。被感染的用户系统中所有.exe.exe可执行文件全部被可执行文件全部被改成熊猫举着三根香的模样。改成熊猫举着三根香的模样。 第三十页，共77页。31深度(shnd)分析第三十一页，共77页。32这样(zhyng)的事情还有很多信信信信 息息息息 安安安安 全全全全迫迫迫迫 在在在在 眉眉眉眉 睫！睫！睫！睫！第三十二页，共77页。关键是做好预防关键是做好预防(yfng)(yfng)控制控制 隐患险于明火！隐患险于明火！预防重于救灾！预防重于救灾！第三十三页，共77页。34小

15、故事小故事(gsh)(gsh)，大启发，大启发 信息安全点滴信息安全点滴第三十四页，共77页。首先首先首先首先(sh(sh uxin)uxin)要要要要关注内部人员的安关注内部人员的安关注内部人员的安关注内部人员的安全管理全管理全管理全管理第三十五页，共77页。第三十六页，共77页。37 2007 2007年年年年1111月，集安支月，集安支月，集安支月，集安支行代办员，周末晚上通过运行代办员，周末晚上通过运行代办员，周末晚上通过运行代办员，周末晚上通过运营电脑，将营电脑，将营电脑，将营电脑，将230230万转移到事万转移到事万转移到事万转移到事先办理先办理先办理先办理(bnl)(bnl)的的

16、的的1515张卡上，张卡上，张卡上，张卡上，并一夜间在各并一夜间在各并一夜间在各并一夜间在各ATMATM上取走上取走上取走上取走3838万。周一被发现。万。周一被发现。万。周一被发现。万。周一被发现。 夜间银行监控设备未开夜间银行监控设备未开夜间银行监控设备未开夜间银行监控设备未开放，下班后运营电脑未上锁。放，下班后运营电脑未上锁。放，下班后运营电脑未上锁。放，下班后运营电脑未上锁。 事实上，此前早有人提事实上，此前早有人提事实上，此前早有人提事实上，此前早有人提出过这个问题，只不过没有出过这个问题，只不过没有出过这个问题，只不过没有出过这个问题，只不过没有得到重视。得到重视。得到重视。得到重

17、视。第三十七页，共77页。38典型案例典型案例(n l)：乐购事件：乐购事件2005年年9月月7日，上海乐购超市金山店负责人到市公安局金山分局报案称，该店在盘点货物时发现销售的货物日，上海乐购超市金山店负责人到市公安局金山分局报案称，该店在盘点货物时发现销售的货物和收到的货款不符，有可能款物被非法侵吞。上海市公安局经侦总队和金山分局立即成立了专案组展开调查。和收到的货款不符，有可能款物被非法侵吞。上海市公安局经侦总队和金山分局立即成立了专案组展开调查。专案组调查发现，乐购超市几家门店货物缺损率大大超过了业内千分之五的物损比例，缺损的货物五花八门，专案组调查发现，乐购超市几家门店货物缺损率大大超

18、过了业内千分之五的物损比例，缺损的货物五花八门，油盐酱醋等日常用品的销售与实际收到的货款差别很大。根据以往的案例，超市内的盗窃行为往往是针对体油盐酱醋等日常用品的销售与实际收到的货款差别很大。根据以往的案例，超市内的盗窃行为往往是针对体积小价值高的化妆品等物，盗窃者很少光顾油盐酱醋等生活用品。奇怪的是，在超市的各个经营环节并没有积小价值高的化妆品等物，盗窃者很少光顾油盐酱醋等生活用品。奇怪的是，在超市的各个经营环节并没有发现明显漏洞。发现明显漏洞。考虑到钱和物最终的流向收银员是出口，问题很可能出在收银环节。警方在调查中发现，收银系统软件的设考虑到钱和物最终的流向收银员是出口，问题很可能出在收银

19、环节。警方在调查中发现，收银系统软件的设计相对严密计相对严密(ynm)，除非是负责维护收银系统的资讯小组职员和收银员合谋，才有可能对营业款项动手脚。，除非是负责维护收银系统的资讯小组职员和收银员合谋，才有可能对营业款项动手脚。经过深入调查，侦查人员发现超市原有的收银系统被装入了一个攻击性的补丁程序，只要收银员输入口令、经过深入调查，侦查人员发现超市原有的收银系统被装入了一个攻击性的补丁程序，只要收银员输入口令、密码，这个程序会自动运行，删除该营业员当日密码，这个程序会自动运行，删除该营业员当日20左右的销售记录后再将数据传送至会计部门，造成会计左右的销售记录后再将数据传送至会计部门，造成会计部

20、门只按实际营业额的部门只按实际营业额的80向收银员收取营业额。另向收银员收取营业额。另20营业额即可被侵吞。营业额即可被侵吞。能够在收银系统中装入程序的，负责管理、更新、维修超市收银系统的资讯组工作人员嫌疑最大。能够在收银系统中装入程序的，负责管理、更新、维修超市收银系统的资讯组工作人员嫌疑最大。 警方顺藤摸瓜，挖出一个包括超市资讯员、收银员在内的近警方顺藤摸瓜，挖出一个包括超市资讯员、收银员在内的近40人的犯罪团伙。据调查，原乐购超市真北店资人的犯罪团伙。据调查，原乐购超市真北店资讯组组长方元在工作中发现收银系统漏洞，设计了攻击性程序，犯罪嫌疑人于琪、朱永春、武侃佳等人利用讯组组长方元在工作

21、中发现收银系统漏洞，设计了攻击性程序，犯罪嫌疑人于琪、朱永春、武侃佳等人利用担任乐购超市多家门店资讯工作的便利，将这一程序植入各门店收银系统；犯罪嫌疑人陈炜嘉、陈琦、赵一担任乐购超市多家门店资讯工作的便利，将这一程序植入各门店收银系统；犯罪嫌疑人陈炜嘉、陈琦、赵一青等人物色不法人员，经培训后通过应聘安插到各家门店做收银员，每日将侵吞赃款上缴到犯罪团伙主犯方青等人物色不法人员，经培训后通过应聘安插到各家门店做收银员，每日将侵吞赃款上缴到犯罪团伙主犯方元、陈炜嘉、陈琦等人手中，团伙成员按比例分赃。一年时间内，先后侵吞乐购超市真北店、金山店、七宝元、陈炜嘉、陈琦等人手中，团伙成员按比例分赃。一年时间

22、内，先后侵吞乐购超市真北店、金山店、七宝店店374万余元。犯罪团伙个人按比例分得赃款数千元至万余元。犯罪团伙个人按比例分得赃款数千元至50万元不等万元不等第三十八页，共77页。关于员工关于员工关于员工关于员工(yungng)(yungng)安全管理的建安全管理的建安全管理的建安全管理的建议议议议 根据不同岗位的需求，在职位描述书中加入安全方面根据不同岗位的需求，在职位描述书中加入安全方面的责任要求，特别是敏感岗位的责任要求，特别是敏感岗位 在招聘环节做好人员筛选和背景调查工作，并且签订在招聘环节做好人员筛选和背景调查工作，并且签订适当的保密协议适当的保密协议 在新员工培训中专门加入信息安全内容

23、在新员工培训中专门加入信息安全内容(nirng)(nirng) 工作期间，根据岗位需要，持续进行专项培训工作期间，根据岗位需要，持续进行专项培训 通过多种途径，全面提升员工信息安全意识通过多种途径，全面提升员工信息安全意识 落实检查监督和奖惩机制落实检查监督和奖惩机制 员工内部转岗应做好访问控制变更控制员工内部转岗应做好访问控制变更控制 员工离职，应做好交接和权限撤销员工离职，应做好交接和权限撤销第三十九页，共77页。切不可忽视切不可忽视切不可忽视切不可忽视(hsh)(hsh)第第第第三方安全三方安全三方安全三方安全第四十页，共77页。41 2003 2003年，上海某家为银行提供年，上海某家

24、为银行提供年，上海某家为银行提供年，上海某家为银行提供ATMATM服务的公司，软件工程服务的公司，软件工程服务的公司，软件工程服务的公司，软件工程师苏强。利用自助网点师苏强。利用自助网点师苏强。利用自助网点师苏强。利用自助网点(wn din)(wn din)安装调试的机会，绕过加密安装调试的机会，绕过加密安装调试的机会，绕过加密安装调试的机会，绕过加密程序程序程序程序BugBug，编写并植入一个监视软件，记录用户卡号、磁条信，编写并植入一个监视软件，记录用户卡号、磁条信，编写并植入一个监视软件，记录用户卡号、磁条信，编写并植入一个监视软件，记录用户卡号、磁条信息和密码，一个月内，记录下息和密码

25、，一个月内，记录下息和密码，一个月内，记录下息和密码，一个月内，记录下70007000条。然后拷贝到自己电脑上，条。然后拷贝到自己电脑上，条。然后拷贝到自己电脑上，条。然后拷贝到自己电脑上，删掉植入的程序。删掉植入的程序。删掉植入的程序。删掉植入的程序。 后来苏强去读研究生，买了白卡和读卡器，伪造银行卡，后来苏强去读研究生，买了白卡和读卡器，伪造银行卡，后来苏强去读研究生，买了白卡和读卡器，伪造银行卡，后来苏强去读研究生，买了白卡和读卡器，伪造银行卡，两年内共提取两年内共提取两年内共提取两年内共提取6 6万元。只是因为偶然原因被发现，公安机关通过万元。只是因为偶然原因被发现，公安机关通过万元。

26、只是因为偶然原因被发现，公安机关通过万元。只是因为偶然原因被发现，公安机关通过检查网上查询客户信息的检查网上查询客户信息的检查网上查询客户信息的检查网上查询客户信息的IPIP地址追查到苏强，破坏案件。地址追查到苏强，破坏案件。地址追查到苏强，破坏案件。地址追查到苏强，破坏案件。第四十一页，共77页。42北京移动电话北京移动电话(y dn din hu)充值卡事件充值卡事件3131岁的软件工程师程稚瀚，在华为工作期间，曾为西藏移动做过技术岁的软件工程师程稚瀚，在华为工作期间，曾为西藏移动做过技术工作，案发时，在工作，案发时，在UTUT斯达康深圳分公司工作。斯达康深圳分公司工作。20052005年

27、年3 3月开始，其利用为西藏移动做技术时使用的密码（此密码自程月开始，其利用为西藏移动做技术时使用的密码（此密码自程稚瀚离开后一直没有更改），轻松进入了西藏移动的服务器。通过西稚瀚离开后一直没有更改），轻松进入了西藏移动的服务器。通过西藏移动的服务器，程稚瀚又跳转到了北京移动数据库，取得了数据从藏移动的服务器，程稚瀚又跳转到了北京移动数据库，取得了数据从20052005年年3 3月至月至7 7月，程稚瀚先后月，程稚瀚先后4 4次侵入北京移动数据库，修改充值卡的次侵入北京移动数据库，修改充值卡的时间和金额，将已充值的充值卡状态改为未充值，共修改复制出上万时间和金额，将已充值的充值卡状态改为未充值

28、，共修改复制出上万个充值卡密码。他还将盗出的充值卡密码通过淘宝网出售，共获利个充值卡密码。他还将盗出的充值卡密码通过淘宝网出售，共获利370370余万元。余万元。 直到直到20052005年年7 7月，由于一次月，由于一次“疏忽疏忽”，程稚瀚将一批充值卡售出时，忘，程稚瀚将一批充值卡售出时，忘了修改使用期限，使用期限仍为了修改使用期限，使用期限仍为9090天。购买到这批充值卡的用户因无天。购买到这批充值卡的用户因无法使用便投诉法使用便投诉(tu s)(tu s)到北京移动，北京移动才发现有到北京移动，北京移动才发现有66006600张充值卡张充值卡被非法复制，立即报警。被非法复制，立即报警。

29、20052005年年8 8月月2424日，程稚瀚在深圳被抓获，所获赃款全部起获。日，程稚瀚在深圳被抓获，所获赃款全部起获。 第四十二页，共77页。关于关于关于关于(guny)(guny)第三方安全管理的建议第三方安全管理的建议第三方安全管理的建议第三方安全管理的建议 识别所有相关第三方：服务提供商，设备提供商，咨询识别所有相关第三方：服务提供商，设备提供商，咨询顾问，审计机构，物业，保洁等顾问，审计机构，物业，保洁等 识别所有与第三方相关的安全识别所有与第三方相关的安全(nqun)(nqun)风险，无论是牵风险，无论是牵涉到物理访问还是逻辑访问涉到物理访问还是逻辑访问 在没有采取必要控制措施，

30、包括签署相关协议之前，不在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定必须遵守的规定 在与第三方签订协议时特别提出信息安全在与第三方签订协议时特别提出信息安全(nqun)(nqun)方面方面的要求，特别是访问控制要求的要求，特别是访问控制要求 对第三方实施有效的监督，定期对第三方实施有效的监督，定期ReviewReview服务交付服务交付第四十三页，共77页。物理物理物理物理(wl(wl ) )环境环境环境环境中需要信息安全中需要信息安全中需要信息安全中需要信息安全第四十四页

31、，共77页。在自助银行入口刷卡器下方粘上一个黑在自助银行入口刷卡器下方粘上一个黑在自助银行入口刷卡器下方粘上一个黑在自助银行入口刷卡器下方粘上一个黑色小方块，叫色小方块，叫色小方块，叫色小方块，叫“ “读卡器读卡器读卡器读卡器” ”，罩上一个加，罩上一个加，罩上一个加，罩上一个加长的长的长的长的“ “壳壳壳壳” ”，把银行的刷卡器和读卡器，把银行的刷卡器和读卡器，把银行的刷卡器和读卡器，把银行的刷卡器和读卡器一起藏在里面，一般人很难发现。取款一起藏在里面，一般人很难发现。取款一起藏在里面，一般人很难发现。取款一起藏在里面，一般人很难发现。取款人在刷卡进门时，银行卡上的全部信息人在刷卡进门时，银

32、行卡上的全部信息人在刷卡进门时，银行卡上的全部信息人在刷卡进门时，银行卡上的全部信息就一下被刷进了犯罪分子的读卡器上。就一下被刷进了犯罪分子的读卡器上。就一下被刷进了犯罪分子的读卡器上。就一下被刷进了犯罪分子的读卡器上。 在取款机窗口内侧顶部，粘上一个贴着在取款机窗口内侧顶部，粘上一个贴着在取款机窗口内侧顶部，粘上一个贴着在取款机窗口内侧顶部，粘上一个贴着“ATM”“ATM”字样的字样的字样的字样的“ “发光灯发光灯发光灯发光灯” ”。这个。这个。这个。这个“ “发光发光发光发光灯灯灯灯” ”是经过特殊改造的，里面用一块是经过特殊改造的，里面用一块是经过特殊改造的，里面用一块是经过特殊改造的，

33、里面用一块(y (y kui)kui)手机电池做电源，连接两个灯泡，手机电池做电源，连接两个灯泡，手机电池做电源，连接两个灯泡，手机电池做电源，连接两个灯泡，核心部分则是一个核心部分则是一个核心部分则是一个核心部分则是一个MP4MP4。取款人取款时的。取款人取款时的。取款人取款时的。取款人取款时的全过程被犯罪分子装的全过程被犯罪分子装的全过程被犯罪分子装的全过程被犯罪分子装的“ “针孔摄像机针孔摄像机针孔摄像机针孔摄像机” ”进进进进行了行了行了行了“ “实况录像实况录像实况录像实况录像” ”。 ATM诈骗诈骗(zhpin)三部曲三部曲取款人一走，犯罪分子立即收取款人一走，犯罪分子立即收取款人

34、一走，犯罪分子立即收取款人一走，犯罪分子立即收“ “家家家家伙伙伙伙” ”进车，先把进车，先把进车，先把进车，先把MP4MP4连上笔记本电连上笔记本电连上笔记本电连上笔记本电脑，回放录像记下取钱人按下的密脑，回放录像记下取钱人按下的密脑，回放录像记下取钱人按下的密脑，回放录像记下取钱人按下的密码，接着再连上读卡器，同时再在码，接着再连上读卡器，同时再在码，接着再连上读卡器，同时再在码，接着再连上读卡器，同时再在电脑上连上一个叫电脑上连上一个叫电脑上连上一个叫电脑上连上一个叫“ “写卡器写卡器写卡器写卡器” ”的长的长的长的长条形东西。这时，他们随便拿出一条形东西。这时，他们随便拿出一条形东西。

35、这时，他们随便拿出一条形东西。这时，他们随便拿出一张卡，不管是澡堂充值卡，还是超张卡，不管是澡堂充值卡，还是超张卡，不管是澡堂充值卡，还是超张卡，不管是澡堂充值卡，还是超市礼品卡，只要是带磁条的，只要市礼品卡，只要是带磁条的，只要市礼品卡，只要是带磁条的，只要市礼品卡，只要是带磁条的，只要在写卡器里过一下，此卡就被成功在写卡器里过一下，此卡就被成功在写卡器里过一下，此卡就被成功在写卡器里过一下，此卡就被成功“ “克隆克隆克隆克隆(k ln)”(k ln)”成一张成一张成一张成一张“ “有实无有实无有实无有实无名名名名” ”的银行卡了。的银行卡了。的银行卡了。的银行卡了。 第四十五页，共77页。

36、您的供电系统真的您的供电系统真的(zhn de)万无一万无一失？失？是一路电还是是一路电还是(hi shi)两路电？两路电？两路电是否一定是两个输电站？两路电是否一定是两个输电站？有没有有没有UPS？UPS能维持多久？能维持多久？有没有备用发电机组？有没有备用发电机组？备用发电机是否有充足的油料储备？备用发电机是否有充足的油料储备？第四十六页，共77页。另一个与物理另一个与物理另一个与物理另一个与物理(wl)(wl)安全相关的案例安全相关的案例安全相关的案例安全相关的案例时间：时间：时间：时间：20022002年某天夜里年某天夜里年某天夜里年某天夜里地点：地点：地点：地点：A A公司公司公司公

37、司( ( nn s) s)的数据中心的数据中心的数据中心的数据中心大楼大楼大楼大楼人物：一个普通的系统管理员人物：一个普通的系统管理员人物：一个普通的系统管理员人物：一个普通的系统管理员 一个普通的系统管理员，利用看似简单的方法，就一个普通的系统管理员，利用看似简单的方法，就一个普通的系统管理员，利用看似简单的方法，就一个普通的系统管理员，利用看似简单的方法，就进入了需要门卡认证进入了需要门卡认证进入了需要门卡认证进入了需要门卡认证(rnzhng)(rnzhng)(rnzhng)(rnzhng)的数据中心的数据中心的数据中心的数据中心 来自国外来自国外来自国外来自国外某论坛的激烈讨论某论坛的激

38、烈讨论某论坛的激烈讨论某论坛的激烈讨论第四十七页，共77页。情况情况情况情况(qngkung)(qngkung)是这样的是这样的是这样的是这样的 l l A A A A公司的数据中心是重地，设立了严格的门禁制度，要求必须公司的数据中心是重地，设立了严格的门禁制度，要求必须公司的数据中心是重地，设立了严格的门禁制度，要求必须公司的数据中心是重地，设立了严格的门禁制度，要求必须(bx)(bx)(bx)(bx)插入门卡才能进入。不过，出来时很简单，数据中心一旁的动作插入门卡才能进入。不过，出来时很简单，数据中心一旁的动作插入门卡才能进入。不过，出来时很简单，数据中心一旁的动作插入门卡才能进入。不过，

39、出来时很简单，数据中心一旁的动作探测器会检测到有人朝出口走去，门会自动打开探测器会检测到有人朝出口走去，门会自动打开探测器会检测到有人朝出口走去，门会自动打开探测器会检测到有人朝出口走去，门会自动打开l l 数据中心有个系统管理员张三君，这天晚上加班到很晚，中间离开数据中心有个系统管理员张三君，这天晚上加班到很晚，中间离开数据中心有个系统管理员张三君，这天晚上加班到很晚，中间离开数据中心有个系统管理员张三君，这天晚上加班到很晚，中间离开数据中心出去夜宵，可返回时发现自己被锁在了外面，门卡落在里面了，数据中心出去夜宵，可返回时发现自己被锁在了外面，门卡落在里面了，数据中心出去夜宵，可返回时发现自

40、己被锁在了外面，门卡落在里面了，数据中心出去夜宵，可返回时发现自己被锁在了外面，门卡落在里面了，四周别无他人，一片静寂四周别无他人，一片静寂四周别无他人，一片静寂四周别无他人，一片静寂l l 张三急需今夜加班，可他又不想打扰他人，怎么办？张三急需今夜加班，可他又不想打扰他人，怎么办？张三急需今夜加班，可他又不想打扰他人，怎么办？张三急需今夜加班，可他又不想打扰他人，怎么办？第四十八页，共77页。一点线索：一点线索：一点线索：一点线索： 昨天曾在接待区庆祝过某人昨天曾在接待区庆祝过某人昨天曾在接待区庆祝过某人昨天曾在接待区庆祝过某人(mu rn)(mu rn)(mu rn)(mu rn)生日，现

41、场还未生日，现场还未生日，现场还未生日，现场还未清理干净，遗留下很多杂物，清理干净，遗留下很多杂物，清理干净，遗留下很多杂物，清理干净，遗留下很多杂物，哦，还有气球哦，还有气球哦，还有气球哦，还有气球第四十九页，共77页。聪明聪明聪明聪明(cngmng)(cngmng)的张三想出了妙计的张三想出了妙计的张三想出了妙计的张三想出了妙计 张三找张三找张三找张三找到一个气球，到一个气球，到一个气球，到一个气球，放掉气放掉气放掉气放掉气 张三面张三面张三面张三面(sn min)(sn min)(sn min)(sn min)朝大门入口趴朝大门入口趴朝大门入口趴朝大门入口趴下来，把气球塞进门里，只留下气

42、球下来，把气球塞进门里，只留下气球下来，把气球塞进门里，只留下气球下来，把气球塞进门里，只留下气球的嘴在门的这边的嘴在门的这边的嘴在门的这边的嘴在门的这边 张三在门外吹气球，张三在门外吹气球，张三在门外吹气球，张三在门外吹气球，气球在门内膨胀，然后，气球在门内膨胀，然后，气球在门内膨胀，然后，气球在门内膨胀，然后，他释放了气球他释放了气球他释放了气球他释放了气球 由于气球在门内弹跳，由于气球在门内弹跳，由于气球在门内弹跳，由于气球在门内弹跳，触发动作探测器，门终于触发动作探测器，门终于触发动作探测器，门终于触发动作探测器，门终于开了开了开了开了第五十页，共77页。问题问题问题问题(wnt)(w

43、nt)出在哪里出在哪里出在哪里出在哪里 如果如果如果如果(rgu)(rgu)(rgu)(rgu)门和地板齐平且没有缝隙，就不会出这样的门和地板齐平且没有缝隙，就不会出这样的门和地板齐平且没有缝隙，就不会出这样的门和地板齐平且没有缝隙，就不会出这样的事事事事 如果动作探测器的灵敏度调整到不对快速如果动作探测器的灵敏度调整到不对快速如果动作探测器的灵敏度调整到不对快速如果动作探测器的灵敏度调整到不对快速(kui s)(kui s)(kui s)(kui s)放气的放气的放气的放气的气球作出反应，也不会出此事气球作出反应，也不会出此事气球作出反应，也不会出此事气球作出反应，也不会出此事 当然，如果根

44、本就不使用动作探测器来从里面开门，这种当然，如果根本就不使用动作探测器来从里面开门，这种当然，如果根本就不使用动作探测器来从里面开门，这种当然，如果根本就不使用动作探测器来从里面开门，这种事情同样不会发生事情同样不会发生事情同样不会发生事情同样不会发生第五十一页，共77页。总结总结总结总结(zngji)(zngji)教训教训教训教训 虽然是偶然事件，也没有直接危害，但是潜在风险虽然是偶然事件，也没有直接危害，但是潜在风险虽然是偶然事件，也没有直接危害，但是潜在风险虽然是偶然事件，也没有直接危害，但是潜在风险(fngxin)(fngxin)(fngxin)(fngxin) 既是物理安全的问题，更

45、是管理问题既是物理安全的问题，更是管理问题既是物理安全的问题，更是管理问题既是物理安全的问题，更是管理问题 切记！有时候自以为是的安全，恰恰是最不安全！切记！有时候自以为是的安全，恰恰是最不安全！切记！有时候自以为是的安全，恰恰是最不安全！切记！有时候自以为是的安全，恰恰是最不安全！物理物理物理物理(wl(wl ) )安全非常关键！安全非常关键！安全非常关键！安全非常关键！第五十二页，共77页。关于物理关于物理关于物理关于物理(wl)(wl)安全的建议安全的建议安全的建议安全的建议 将敏感设备和信息放置在受控的安全区域将敏感设备和信息放置在受控的安全区域将敏感设备和信息放置在受控的安全区域将敏

46、感设备和信息放置在受控的安全区域 所有到受控区域的入口都应该加锁、设置门卫，或者以所有到受控区域的入口都应该加锁、设置门卫，或者以所有到受控区域的入口都应该加锁、设置门卫，或者以所有到受控区域的入口都应该加锁、设置门卫，或者以某种方式进行监视，并做好进出登记某种方式进行监视，并做好进出登记某种方式进行监视，并做好进出登记某种方式进行监视，并做好进出登记 如果进出需要如果进出需要如果进出需要如果进出需要IDIDIDID徽章，请随身带好，严禁无证进入徽章，请随身带好，严禁无证进入徽章，请随身带好，严禁无证进入徽章，请随身带好，严禁无证进入 钥匙和门卡仅供本人使用，不要交给他人使用钥匙和门卡仅供本人

47、使用，不要交给他人使用钥匙和门卡仅供本人使用，不要交给他人使用钥匙和门卡仅供本人使用，不要交给他人使用 严格控制带存储和摄像功能的手持设备的使用严格控制带存储和摄像功能的手持设备的使用严格控制带存储和摄像功能的手持设备的使用严格控制带存储和摄像功能的手持设备的使用 使用公共区域的打印机、传真机、复印机时，一定不要使用公共区域的打印机、传真机、复印机时，一定不要使用公共区域的打印机、传真机、复印机时，一定不要使用公共区域的打印机、传真机、复印机时，一定不要遗留遗留遗留遗留(yli)(yli)(yli)(yli)敏感文件敏感文件敏感文件敏感文件 移动电脑是恶意者经常关注的目标，一定要注意保护移动电

48、脑是恶意者经常关注的目标，一定要注意保护移动电脑是恶意者经常关注的目标，一定要注意保护移动电脑是恶意者经常关注的目标，一定要注意保护 使用碎纸机，谨防敏感文件通过垃圾篓而泄漏使用碎纸机，谨防敏感文件通过垃圾篓而泄漏使用碎纸机，谨防敏感文件通过垃圾篓而泄漏使用碎纸机，谨防敏感文件通过垃圾篓而泄漏 如果发现可疑情况，请立即报告如果发现可疑情况，请立即报告如果发现可疑情况，请立即报告如果发现可疑情况，请立即报告第五十三页，共77页。日常日常日常日常(rchng)(rchng)工作工作工作工作需特别留意信息安全需特别留意信息安全需特别留意信息安全需特别留意信息安全第五十四页，共77页。55l l 移动

49、介质管控的要求移动介质管控的要求移动介质管控的要求移动介质管控的要求(yoqi)(yoqi)与落实脱节与落实脱节与落实脱节与落实脱节 l l“ “摆渡攻击摆渡攻击摆渡攻击摆渡攻击” ”l l 涉密网络中的泄密现象涉密网络中的泄密现象涉密网络中的泄密现象涉密网络中的泄密现象第五十五页，共77页。关于口令关于口令关于口令关于口令(kulng)(kulng)的一些调查结的一些调查结的一些调查结的一些调查结果果果果 一个有趣的调查发现，如果你用一条巧克力来作为交换，有一个有趣的调查发现，如果你用一条巧克力来作为交换，有一个有趣的调查发现，如果你用一条巧克力来作为交换，有一个有趣的调查发现，如果你用一条

50、巧克力来作为交换，有70707070的人乐的人乐的人乐的人乐意告诉你他（她）的口令意告诉你他（她）的口令意告诉你他（她）的口令意告诉你他（她）的口令 有有有有34343434的人，甚至不需要贿赂，就可奉献自己的口令的人，甚至不需要贿赂，就可奉献自己的口令的人，甚至不需要贿赂，就可奉献自己的口令的人，甚至不需要贿赂，就可奉献自己的口令 另据调查，有另据调查，有另据调查，有另据调查，有79797979的人，在被提问时，会无意间泄漏足以被用来窃取其的人，在被提问时，会无意间泄漏足以被用来窃取其的人，在被提问时，会无意间泄漏足以被用来窃取其的人，在被提问时，会无意间泄漏足以被用来窃取其身份的信息身份的

51、信息身份的信息身份的信息 姓名、宠物名、生日、球队名最常被用作口令姓名、宠物名、生日、球队名最常被用作口令姓名、宠物名、生日、球队名最常被用作口令姓名、宠物名、生日、球队名最常被用作口令 平均每人平均每人平均每人平均每人(mi rn)(mi rn)(mi rn)(mi rn)要记住四个口令，大多数人都习惯使用相同的口令要记住四个口令，大多数人都习惯使用相同的口令要记住四个口令，大多数人都习惯使用相同的口令要记住四个口令，大多数人都习惯使用相同的口令（在很多需要口令的地方）（在很多需要口令的地方）（在很多需要口令的地方）（在很多需要口令的地方） 33 33 33 33的人选择将口令写下来，然后放

52、到抽屉或夹到文件里的人选择将口令写下来，然后放到抽屉或夹到文件里的人选择将口令写下来，然后放到抽屉或夹到文件里的人选择将口令写下来，然后放到抽屉或夹到文件里第五十六页，共77页。什么样的口令什么样的口令什么样的口令什么样的口令(kulng)(kulng)是比较脆是比较脆是比较脆是比较脆弱的？弱的？弱的？弱的？ 少于少于少于少于8 8 8 8个字符个字符个字符个字符 单一的字符类型，例如只用小写字母，或只用数字单一的字符类型，例如只用小写字母，或只用数字单一的字符类型，例如只用小写字母，或只用数字单一的字符类型，例如只用小写字母，或只用数字 用户名与口令相同用户名与口令相同用户名与口令相同用户名

53、与口令相同 最常被人使用的弱口令：最常被人使用的弱口令：最常被人使用的弱口令：最常被人使用的弱口令： 自己、家人、朋友、亲戚、宠物自己、家人、朋友、亲戚、宠物自己、家人、朋友、亲戚、宠物自己、家人、朋友、亲戚、宠物(chn w)(chn w)(chn w)(chn w)的名字的名字的名字的名字 生日、结婚纪念日、电话号码等个人信息生日、结婚纪念日、电话号码等个人信息生日、结婚纪念日、电话号码等个人信息生日、结婚纪念日、电话号码等个人信息 工作中用到的专业术语，职业特征工作中用到的专业术语，职业特征工作中用到的专业术语，职业特征工作中用到的专业术语，职业特征 字典中包含的单词，或者只在单词后加简

54、单的后缀字典中包含的单词，或者只在单词后加简单的后缀字典中包含的单词，或者只在单词后加简单的后缀字典中包含的单词，或者只在单词后加简单的后缀 所有系统都使用相同的口令所有系统都使用相同的口令所有系统都使用相同的口令所有系统都使用相同的口令 口令一直不变口令一直不变口令一直不变口令一直不变第五十七页，共77页。口令口令口令口令(kulng)(kulng)安全建议安全建议安全建议安全建议 应该设置强口令应该设置强口令应该设置强口令应该设置强口令 口令应该经常更改，比如口令应该经常更改，比如口令应该经常更改，比如口令应该经常更改，比如3 3 3 3个月个月个月个月 不同的系统或场所应使用不同的口令不

55、同的系统或场所应使用不同的口令不同的系统或场所应使用不同的口令不同的系统或场所应使用不同的口令 一定要即刻更改系统的缺省或初始化口令一定要即刻更改系统的缺省或初始化口令一定要即刻更改系统的缺省或初始化口令一定要即刻更改系统的缺省或初始化口令 不要与任何人共享你的口令不要与任何人共享你的口令不要与任何人共享你的口令不要与任何人共享你的口令 不要把口令写在纸上不要把口令写在纸上不要把口令写在纸上不要把口令写在纸上 不要把口令存储在计算机文件中不要把口令存储在计算机文件中不要把口令存储在计算机文件中不要把口令存储在计算机文件中 输入口令时严防有人偷看输入口令时严防有人偷看输入口令时严防有人偷看输入口

56、令时严防有人偷看(tu kn)(tu kn)(tu kn)(tu kn) 如果有人在电话中向你索取口令，拒绝后立即报告如果有人在电话中向你索取口令，拒绝后立即报告如果有人在电话中向你索取口令，拒绝后立即报告如果有人在电话中向你索取口令，拒绝后立即报告 如果发觉有人获知你的口令，立即改变它如果发觉有人获知你的口令，立即改变它如果发觉有人获知你的口令，立即改变它如果发觉有人获知你的口令，立即改变它第五十八页，共77页。从一点一滴从一点一滴从一点一滴从一点一滴(y di(y di n y n y d)d)做起！做起！做起！做起！从自身从自身从自身从自身(zshn)(zshn)做起！做起！做起！做起！

57、第五十九页，共77页。60IT安全(nqun)问题1、一般情况下，个人(grn)计算机在（ ） 分钟的非活动状态里要求自动激活屏幕锁定 A、5分钟 B、10分钟C、15分钟 D、30分钟第六十页，共77页。61IT安全(nqun)问题2、下列说法错误的是( )A、个人计算机操作系统必须设置口令。 B、在每天工作结束时，将便携电脑妥善保 管，如锁入文件柜。 C、离开自己的计算机时，必须激活具有密码保护的屏幕保护程序。 D、为方便第二天工作，下班后可以不用(byng)关闭计算机。第六十一页，共77页。62IT安全(nqun)问题3、口令(kulng)要求至少（ ）更换一次 A、3个月 B、6个月

58、C、1年 D、可以一直使用一个口令(kulng) ，不用修改。第六十二页，共77页。63IT安全(nqun)问题4、下列关于个人计算机的访问密码设置要求，描述错误的是（ ）：A、密码要求至少设置8位字符长。B、为便于记忆，可将自己生日作为密码。C、禁止使用(shyng)前两次的密码 D、如果需要访问不在公司控制下的计算机系统，禁止选择在公司内部系统使用(shyng)的密码作为外部系统的密码。 第六十三页，共77页。64IT安全(nqun)问题5、下列(xili)关于外网使用说法错误的是（ ）：A、外网只能从分公司一点接入。B、地市公司或管理部门为方便外网使用，可自己向电信申请开通ADSL外网接

59、入。C、外网接入须经过防火墙以加强安全防护。D、只使用有授权访问的服务。不要尝试访问未经授权的互联网系统或服务器端口 。第六十四页，共77页。65IT安全(nqun)问题6、用upload账户通过分公司85服务器上传文件文件，描述错误的是（ ） A、需保密的文件上传前应该做加密处理。B、在对方下载后立即从FTP服务器上删除自己所传文件。C、不可将分公司FTP服务器当作自己重要数据文件的备份服务器。D、上传后的文件可以(ky)不用处理，一直放到分公司FTP服务器上。第六十五页，共77页。66IT安全(nqun)问题7、关于个人计算机数据备份描述错误的是（）A、备份的目的是有效保证个人计算机内的重

60、要信息(xnx)在遭到损坏时能够及时恢复。B、个人计算机数据备份是信息(xnx)技术部的事情，应由信息(xnx)技术部负责完成。C、员工应根据个人计算机上信息(xnx)的重要程度和修改频率定期对信息(xnx)进行备份。D、备份介质必须要注意防范偷窃或未经授权的访问。 第六十六页，共77页。67IT安全(nqun)问题8、关于电子邮件的使用，描述错误的是（ ）A、不得散发(snf)可能被认为不适当的，对他人不尊重或提倡违法行为的内容；B 、可以自动转发公司内部邮件到互联网上；C 、禁止使用非CPIC 的电子邮箱，如YAHOO，AOL，HOTMAIL 等交换CPIC公司信息；D、非CPIC 授权人

61、员禁止使用即时通讯软件，如MSN 交换CPIC 公司信息。 第六十七页，共77页。68IT安全(nqun)问题9、下列关于病毒防护描述(mio sh)错误的是（ ）A、个人工作站必须安装统一部署的防病毒软件，未经信息技术部批准不得擅自安装非本公司指定的防病毒软件。 B、如果从公共资源得到程序（比如，网站，公告版），那么在使用之前需使用防病毒程序扫描。C、在处理外部介质之前应用防病毒软件扫描。D、个人计算机上安装了防病毒软件即可，不用定期进行病毒扫描。第六十八页，共77页。69IT安全(nqun)问题10、位于高风险区域的移动(ydng)计算机，例如，在没有物理访问控制的区域等应设屏幕锁定为（

62、）分钟，以防止非授权人员的访问；A、5分钟 B、10分钟C、15分钟 D、30分钟第六十九页，共77页。70IT安全(nqun)问题11、关于数据(shj)保存，说法错误的是（ ）A、将重要数据(shj)文件保存到C盘或者桌面。B、定期对重要数据(shj)文件用移动硬盘或光盘进行备份。C、将重要数据(shj)文件保存到C盘外的其它硬盘分区。第七十页，共77页。71IT安全(nqun)问题12、关于代码权限管理规定说法错误的是（）A、非在编人员不能加代码，试用期员工可加代码。 B、为方便工作，同事之间的代码可以相互借用(jiyng)。C、出单和理赔操作员经培训、考试合格才能申请权限 。D、人员离

63、职后，人员代码及相应权限应立即予以清理。第七十一页，共77页。72IT安全(nqun)问题13、使用者必须向分公司信息技术部提出书面申请并得到书面确认后方可安装(nzhung)的软件属于以下哪一类（） A：I 类 B：II类 C：III类 D：IV类第七十二页，共77页。73IT安全(nqun)问题14、下列关于笔记本使用规范描述错误的是（）A、笔记本应该设置硬盘保护密码以加强安全保护；B、在旅行中或在办公室之外的地方工作时 要尽可能将便携电脑置于个人的控制之下。C、如果便携电脑或公司的机密信息被偷，丢失，必须(bx)及时报告给公司的安全部门和你的上级主管。D、单位笔记本可以带回家供娱乐使用，

64、例如玩游戏等。第七十三页，共77页。问题(wnt)一15、在旅行中或出差时等办公室之外的地方使用便携电脑，以下哪一种使用方式不符合公司的安全规定：A、乘飞机旅行时，将便携电脑放在托运的行李中；B、外出时将便携电脑锁在酒店保险柜里；C、如果便携电脑被偷或丢失，报告给公司当地(dngd)的安全部门和你的上级主管；D、在候机室或者飞机上看影片。74第七十四页，共77页。问题(wnt)二16、以下哪一种是正确的使用公司电脑的方式：A、公司上网需要申请，自己买张移动上网卡接入电脑上Internet；B、要给客户发保险产品信息，使用Hotmail发送过去；C、习惯使用Adobe Photoshop编辑软件，但公司的电脑没有安装，自己买张盗版光盘自行安装；D、定期(dngq)把自己电脑的文档备份在移动硬盘上；75第七十五页，共77页。问题(wnt)三17、以下哪一项不是(b shi)太保信息安全等级的分类：A、公共信息；B、内部信息；C、敏感信息；D、秘密信息；76第七十六页，共77页。谢谢(xi xie)第七十七页，共77页。