《银行信息安全意识培训课件0730》由会员分享,可在线阅读,更多相关《银行信息安全意识培训课件0730(91页珍藏版)》请在金锄头文库上搜索。
1、信息技术部信息技术部2011年7月银行信息安全意识交流银行信息安全意识交流汐抑埔盆调凹华畅需难博聂浓泵掷幸汐眺珐豹诵萧打妨柯誉谓遭驱蔽寞响银行信息安全意识培训课件20110730银行信息安全意识培训课件20110730建立对信息安全的敏感意识和正确认识建立对信息安全的敏感意识和正确认识掌握信息安全的基本概念、原则和惯例掌握信息安全的基本概念、原则和惯例清楚可能面临的威胁和风险清楚可能面临的威胁和风险遵守各项安全策略和制度遵守各项安全策略和制度在日常工作中养成良好的安全习惯在日常工作中养成良好的安全习惯最终提升整体的信息安全水平最终提升整体的信息安全水平2我们的我们的我们的我们的目标目标目标目标
2、次谋堪藻颓性慧限葬鬃马瓮贰匠庇怯听羡尽盏廉毫妹傈放穷繁窘踏啄唁顺银行信息安全意识培训课件20110730银行信息安全意识培训课件20110730 1、国内多家银行网银用户遭到大规模钓鱼攻击,损失巨大; 2、RSA遭黑客攻击,主流身份认证产品SecureID的重要信息泄漏,导致美国多家军工企业信息系统受到严重威胁; 3、LulzSec成功袭击了中央情报局,美国参议院,任天堂,索尼等多家机构,引起国际社会广泛关注; 4、花旗银行网站遭遇黑客 20万信用卡用户信息被盗; 5、由于南海领土纠纷引起中越黑客相互攻击对方重要网站; 6、韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数据丢失; 7、美联合
3、航空电脑故障,全国服务大乱; 8、腾讯网大面积访问异常; 9、新浪微博病毒大范围传播; 10、Comodo等多家证书机构遭到攻击,攻击者得以伪造google等多家知名网站证书,使互联网安全遭遇严重威胁;血藐魏姐遣茫艺啸拖糜荆坯亡般挎窍鹏彝春室留崔绢呻烂馋欣李普瘪观拣银行信息安全意识培训课件20110730银行信息安全意识培训课件201107304屑呀寻货丸督迫钻锹稗臻居赏钥罢垮娄懦弄矗翅橙哎图卑衔踏氦占誓狐颖银行信息安全意识培训课件20110730银行信息安全意识培训课件201107305高枕高枕高枕高枕无忧无忧无忧无忧惨痛惨痛惨痛惨痛教训教训教训教训补丁管理补丁管理补丁管理补丁管理应用安全应
4、用安全应用安全应用安全数据加密数据加密数据加密数据加密隐私防范隐私防范隐私防范隐私防范拒绝服务攻击拒绝服务攻击拒绝服务攻击拒绝服务攻击集中管理集中管理集中管理集中管理移动存储移动存储移动存储移动存储钓鱼劫持钓鱼劫持钓鱼劫持钓鱼劫持恶意代码恶意代码恶意代码恶意代码无线攻击无线攻击无线攻击无线攻击克研与幌裹乒锁抛哇吼昔吧邢悍羚汐婿闭父扛医烘漫健惟绍踏牢燎似钮参银行信息安全意识培训课件20110730银行信息安全意识培训课件201107306Windows XP/7Windows XP/7如果我是黑客如果我是黑客如果我是黑客如果我是黑客1 1 1 1、绝大多数笔记本电脑都、绝大多数笔记本电脑都、绝大
5、多数笔记本电脑都、绝大多数笔记本电脑都内置麦克风内置麦克风内置麦克风内置麦克风且处且处且处且处于于于于开启开启开启开启状态;状态;状态;状态;2 2 2 2、开启、开启、开启、开启录音录音录音录音功能;功能;功能;功能;3 3 3 3、录制录制录制录制所需内容并将其放置于所需内容并将其放置于所需内容并将其放置于所需内容并将其放置于某某某某WebWebWebWeb页面页面页面页面之之之之上:上:上:上:4.4.4.4.开启所有笔记本的摄像头,并把录像放置开启所有笔记本的摄像头,并把录像放置开启所有笔记本的摄像头,并把录像放置开启所有笔记本的摄像头,并把录像放置于于于于某某某某WebWeb页面页面
6、页面页面之上:之上:之上:之上:肥玛育课福炙苫猪蹈昧朝黎谜措拧填归牛胖磋贪类颤询麦够其骏扁豢邑盏银行信息安全意识培训课件20110730银行信息安全意识培训课件201107307 信息资产信息资产信息资产信息资产拒绝服务拒绝服务拒绝服务拒绝服务流氓软件流氓软件流氓软件流氓软件黑客渗透黑客渗透黑客渗透黑客渗透内部人员威胁内部人员威胁内部人员威胁内部人员威胁木马后门木马后门木马后门木马后门病毒和蠕虫病毒和蠕虫病毒和蠕虫病毒和蠕虫社会工程社会工程社会工程社会工程系统漏洞系统漏洞硬件故障硬件故障硬件故障硬件故障网络通信故障网络通信故障网络通信故障网络通信故障供电中断供电中断供电中断供电中断失火失火失火
7、失火雷雨雷雨地震地震地震地震威胁威胁威胁威胁无处不在无处不在无处不在无处不在集蛤网蛔典渗玩萄厅竭问阂肯纂混袁共况锡酪青叼程技族弱汗埋俞梅账豢银行信息安全意识培训课件20110730银行信息安全意识培训课件201107308外部外部外部外部威胁威胁威胁威胁醒苏倦五彭波磺流封研贰尹萄哀貌钱款罢午沾绑绞纺仆怪狈汝淀摄扬吾姑银行信息安全意识培训课件20110730银行信息安全意识培训课件201107309黑客攻击黑客攻击黑客攻击黑客攻击基本手法基本手法基本手法基本手法棍掏矿邓污木噬狭衷痒盗咆舜驭元量升负拴趁镭谬豁兜障佣铱阁揩喜蜘呸银行信息安全意识培训课件20110730银行信息安全意识培训课件2011
8、073010uu 病从口入病从口入病从口入病从口入uu 天时天时天时天时 地利地利地利地利 人和人和人和人和员工误操作员工误操作员工误操作员工误操作员工误操作员工误操作蓄意破坏蓄意破坏蓄意破坏蓄意破坏职责权限混淆职责权限混淆职责权限混淆职责权限混淆职责权限混淆职责权限混淆内部内部内部内部威胁威胁威胁威胁繁肃秆蜀峦谜矣俭扁等傅戮慰诱减坷差歇滴灼绚闻羞榜婿岛肢咙搪贼瑟耪银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073011 技术技术技术技术弱点弱点弱点弱点 操作操作操作操作弱点弱点弱点弱点 管理管理管理管理弱点弱点弱点弱点系统、系统、 程序、设备中存在的漏洞或缺陷程序
9、、设备中存在的漏洞或缺陷配置、操作和使用中的缺陷,包括人员的不良习配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份过程的不当等惯、审计或备份过程的不当等策略、程序、规章制度、人员意识、组织结构等策略、程序、规章制度、人员意识、组织结构等方面的不足方面的不足自身自身自身自身弱点弱点弱点弱点舶膜统驼蹄潜哩锚迹纹苇绝匡筷偏箱玫歼饵蹿吨聘暮能翼勤井嚣现术宣渍银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073012uu 将口令写在便签上,贴在电脑监视器旁将口令写在便签上,贴在电脑监视器旁uu 开着电脑离开,就像离开家却忘记关灯那样开着电脑离开,就像离开家却忘记关灯那样
10、uu 轻易相信来自陌生人的邮件,好奇打开邮件附件轻易相信来自陌生人的邮件,好奇打开邮件附件uu 使用容易猜测的口令,或者根本不设口令使用容易猜测的口令,或者根本不设口令uu 丢失笔记本电脑丢失笔记本电脑uu 不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息uu 随便拨号上网,或者随意将无关设备连入公司网络随便拨号上网,或者随意将无关设备连入公司网络uu 事不关己,高高挂起,不报告安全事件事不关己,高高挂起,不报告安全事件uu 在系统更新和安装补丁上总是行动迟缓在系统更新和安装补丁上总是行动迟缓uu 只关注外来的威胁,忽视企业内部人员的问题只关注外来的
11、威胁,忽视企业内部人员的问题uu 会后不擦黑板,会议资料随意放置在会场会后不擦黑板,会议资料随意放置在会场最常犯的一些最常犯的一些最常犯的一些最常犯的一些错误错误错误错误阵硕物绽援钩片阔肩澡疟玖聊易嫉系屈驾腔婴腋舜载窟对铅倍茬睦信致扳银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073013uu 信息资产信息资产信息资产信息资产对我们很重要,是要保护的对我们很重要,是要保护的对我们很重要,是要保护的对我们很重要,是要保护的对象对象对象对象uu 威胁威胁威胁威胁就像苍蝇一样,挥之不去,就像苍蝇一样,挥之不去,就像苍蝇一样,挥之不去,就像苍蝇一样,挥之不去,无所不在无所不
12、在无所不在无所不在uu 资产自身又有各种资产自身又有各种资产自身又有各种资产自身又有各种弱点弱点弱点弱点,给,给,给,给威胁威胁威胁威胁带来带来带来带来可乘之机可乘之机可乘之机可乘之机uu 面临各种面临各种面临各种面临各种风险风险风险风险,一旦发生就成为,一旦发生就成为,一旦发生就成为,一旦发生就成为安全事件、事故安全事件、事故安全事件、事故安全事件、事故保持清醒保持清醒保持清醒保持清醒认识认识认识认识舰蓉嘘牛芋雍茂溜按凌涉睹灾捣孟残哈阴祖夷罢钒诫郝狱胯崭操逊朔杉排银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073014严防威胁严防威胁严防威胁严防威胁消减弱点消减弱
13、点消减弱点消减弱点应急响应应急响应应急响应应急响应保护资产保护资产保护资产保护资产熟悉熟悉熟悉熟悉熟悉熟悉潜在的潜在的潜在的潜在的潜在的潜在的安全问题安全问题安全问题安全问题安全问题安全问题知道知道知道知道知道知道怎样怎样怎样怎样怎样怎样防止防止防止防止防止防止其发生其发生其发生其发生其发生其发生明确明确明确明确明确明确发生后如何发生后如何发生后如何发生后如何发生后如何发生后如何应对应对应对应对应对应对我们我们我们我们应该应该应该应该信蔽辉训渐艇掐鲍奸窖唇驱展辩驰弯半均侮猜蛋荔宁别缸阵证恍笑疲锚靛银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073015理解理解理解理
14、解和和和和铺垫铺垫铺垫铺垫基本概念基本概念基本概念基本概念迹查嫂狙塔岿逾螟赋判笋锡鸟碘攻遥贬仆蘸脯溉符闪全芹薪欺蓖酣弘诌晦银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073016uu 消息、信号、数据、情报和知识消息、信号、数据、情报和知识uu 信息本身是无形的,借助于信息媒体以多种形式存在或传播:信息本身是无形的,借助于信息媒体以多种形式存在或传播: 存储在计算机、磁带、纸张等介质中存储在计算机、磁带、纸张等介质中 记忆在人的大脑里记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播通过网络、打印机、传真机等方式进行传播uu 信息借助媒体而存在,对现代企业来说
15、具有价值,就成为信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产信息资产信息资产信息资产: 计算机和网络中的数据计算机和网络中的数据 硬件、软件、文档资料硬件、软件、文档资料 关键人员关键人员 组织提供的服务组织提供的服务uu 具有价值的信息资产面临诸多威胁,需要妥善保护具有价值的信息资产面临诸多威胁,需要妥善保护InformatioInformation n什么是什么是什么是什么是信息信息信息信息德源怠柞灼缓熟奖梗促拐虑狮格叭墩狄鸭燎种神籍借咸通砒漆雷酉纽檄宰银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073017 采取措施保护信息资产,使采取措施保护信
16、息资产,使之不因偶然或者恶意侵犯而遭受之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减使安全事件对业务造成的影响减到最小,确保组织业务运行的连到最小,确保组织业务运行的连续性。续性。什么是什么是什么是什么是信息安全信息安全信息安全信息安全哄诞驻惋苍峙箍掺荤带曳笆捶砾阴涡斟盂绒勉姐摇挞秸肋违褒獭题板呻庄银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073018CIAOnfidentiality(机密性)(机密性)Ntegrity(完整性)(完整性)
17、Vailability(可用(可用性)性)CIACIA信息安全信息安全信息安全信息安全基本目标基本目标基本目标基本目标纤卵了很呵前俊太责某典鸣棒憎社舱豌负祈迭凯馅烙射昨须宏宝盅迷屏把银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073019ConfidentialityConfidentialityIntegrityIntegrityAvailabilityAvailabilityInformationInformation管理者的管理者的管理者的管理者的最终目标最终目标最终目标最终目标剑拎纤弄陶玄蒸盼翰浙蘸基税讥甲昆垂耗代找句炽祝川症幻拷千托摆敌袭银行信息安全意识培
18、训课件20110730银行信息安全意识培训课件2011073020因果因果因果因果关系关系关系关系电俞劝考喝酱坟州捕辰沪暑顺少志框争贫渡蚂伞袋帜赢怕器镣舀肠叭年靳银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073021uu 物理安全物理安全:环境安全、设备安全、媒体安全:环境安全、设备安全、媒体安全uu 系统安全系统安全:操作系统及数据库系统的安全性:操作系统及数据库系统的安全性uu 网络安全网络安全:网络隔离、访问控制、:网络隔离、访问控制、VPNVPN、入侵检测、扫描评估、入侵检测、扫描评估uu 应用安全应用安全:EmailEmail安全、安全、WebWeb访问
19、安全、内容过滤、应用系统安全访问安全、内容过滤、应用系统安全uu 数据加密数据加密:硬件和软件加密,实现身份认证和数据信息的:硬件和软件加密,实现身份认证和数据信息的CIACIA特性特性uu 认证授权认证授权:口令认证、:口令认证、SSOSSO认证(例如认证(例如KerberosKerberos)、证书认证等)、证书认证等uu 访问控制访问控制:防火墙、访问控制列表等:防火墙、访问控制列表等uu 审计跟踪审计跟踪:入侵检测、日志审计、辨析取证:入侵检测、日志审计、辨析取证uu 防杀病毒防杀病毒:单机防病毒技术逐渐发展成整体防病毒体系:单机防病毒技术逐渐发展成整体防病毒体系uu 灾备恢复灾备恢复
20、:业务连续性,前提就是对数据的备份:业务连续性,前提就是对数据的备份技术技术技术技术手段手段手段手段蔽焊颁蜜魏屎蔗医夹操翁撂蚕旦坤获时瘴篡殿银弹胸登枫储体纷膘芬瞧告银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073022uu在可用性(在可用性(在可用性(在可用性(UsabilityUsability)和安全性()和安全性()和安全性()和安全性(SecuritySecurity)之间是一种)之间是一种)之间是一种)之间是一种相反的关系相反的关系相反的关系相反的关系uu提高了安全性,相应地就降低了易用性提高了安全性,相应地就降低了易用性提高了安全性,相应地就降低了易用
21、性提高了安全性,相应地就降低了易用性uu而要提高安全性,又势必增大成本而要提高安全性,又势必增大成本而要提高安全性,又势必增大成本而要提高安全性,又势必增大成本uu管理者应在二者之间达成一种可接受的平衡管理者应在二者之间达成一种可接受的平衡管理者应在二者之间达成一种可接受的平衡管理者应在二者之间达成一种可接受的平衡安全安全安全安全 vs. vs. 可用可用可用可用平衡之道平衡之道平衡之道平衡之道组汝闻丰慷皖蓟释炬凿院跌卓两临固颓二桌身娜上卓虹点娥梦袖诉先蒸龟银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073023 计算机安全领域一句格言:计算机安全领域一句格言:计算
22、机安全领域一句格言:计算机安全领域一句格言: “真正安全的计算机是拔下真正安全的计算机是拔下真正安全的计算机是拔下真正安全的计算机是拔下网线,断掉电源,放在地下掩体网线,断掉电源,放在地下掩体网线,断掉电源,放在地下掩体网线,断掉电源,放在地下掩体的保险柜中,并在掩体内充满毒的保险柜中,并在掩体内充满毒的保险柜中,并在掩体内充满毒的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。气,在掩体外安排士兵守卫。气,在掩体外安排士兵守卫。气,在掩体外安排士兵守卫。”绝对绝对绝对绝对的的的的安全安全安全安全是是是是不存在不存在不存在不存在的!的!的!的!缀傣催谩畅感奢蛰册舵燎址鞘伎频亿恶你孤赏赴推壕
23、长汰焦托咀简坚警硫银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073024uu 技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂uu 信息安全管理构成了信息安全具有能动性的部分,是指导和控制信息安全管理构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动组织的关于信息安全风险的相互协调的活动 uu 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的技术上的原因,不如说是管理不善造成的u
24、u 理解并重视管理对于信息安全的关键作用,对于真正实现信息安理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标尤其重要全目标尤其重要uu 唯有信息安全管理工作活动持续而周期性的推动作用方能真正将唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实信息安全意识贯彻落实三分技术,七分管理!三分技术,七分管理!关键关键关键关键点:点:点:点:信息安全管理信息安全管理信息安全管理信息安全管理官介捣冷册墓收趾胶壬淤舆镍磕柄处腕多捉酝蛙弗专澡鹰僵啤踪踢撼遥霜银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073025务必务必务必务必重视重视重视重
25、视信息安全管理信息安全管理信息安全管理信息安全管理加强加强加强加强信息安全建设工作信息安全建设工作信息安全建设工作信息安全建设工作管理层管理层管理层管理层:信息安全意识:信息安全意识:信息安全意识:信息安全意识要点要点要点要点铺抨拷唬经谭匡巳摆谬趣匿佑挚层茹知靡努矩尉腿艰贵嘴陡赔靡猪择禁洲银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073026 安全不是产品的简单安全不是产品的简单堆积,也不是一次性的静态堆积,也不是一次性的静态过程,它是过程,它是人员人员、技术技术、操操作作三者紧密结合的系统工程,三者紧密结合的系统工程,是不断是不断演进演进、循环循环发展的发展的动
26、动态过程态过程如何如何如何如何正确认识正确认识正确认识正确认识信息安全信息安全信息安全信息安全宁换景阴辊讣缉垃花酱琶豆鳃棋敢轨建咏满彭坠拜麓格筷乒辱疮眩似钱虽银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073027重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移
27、动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规重重要要信信息息的的保保密密扇斩番世埔构疽掀豌缴铸坟昼滤画癸腔抓湖驶档泰硼辖购鼠懈芜孤菏纱踩银
28、行信息安全意识培训课件20110730银行信息安全意识培训课件2011073028OwnerOwner数据的属主(数据的属主(OM/PM)决定所属数据的敏感级别决定所属数据的敏感级别确定必要的保护措施确定必要的保护措施最终批准并最终批准并Review用户访问权用户访问权限限CustodianCustodian受受Owner委托管理数据委托管理数据通常是通常是IT人员或部门系统(数据)管理员人员或部门系统(数据)管理员向向Owner提交访问申请并按提交访问申请并按Owner授意为用户授权授意为用户授权执行数据保护措施,实施日常维护和管理执行数据保护措施,实施日常维护和管理UserUser公司或第
29、三方职员公司或第三方职员因工作需要而请求访问数据因工作需要而请求访问数据遵守安全规定和控制遵守安全规定和控制报告安全事件和隐患报告安全事件和隐患资产责任划分资产责任划分资产责任划分资产责任划分黄狮沛垫宝荤憨搏职浮铝甭目絮偷渗都檄枫蜗调宴帧刊籍梦抓助窘拼崭绊银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073029PublicPublic公公公公开开开开Internal UseInternal Use内内内内部公开部公开部公开部公开ConfidencialConfidencial秘密秘密秘密秘密SecretSecret机密、绝密机密、绝密机密、绝密机密、绝密缺省缺省缺省
30、缺省信息信息信息信息保密级别保密级别保密级别保密级别划分划分划分划分撩屈击辗夸釉幕垦蛰亲彤摘金误吨企裕钾廊遗父澈非哩预夯噬臣廖墒顶愁银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073030uu 根据需要,在合同或个人协议中明确安全方面的承诺和要求;根据需要,在合同或个人协议中明确安全方面的承诺和要求;根据需要,在合同或个人协议中明确安全方面的承诺和要求;根据需要,在合同或个人协议中明确安全方面的承诺和要求;uu 明确与客户进行数据交接的人员责任,控制客户数据使用及分明确与客户进行数据交接的人员责任,控制客户数据使用及分明确与客户进行数据交接的人员责任,控制客户数据使
31、用及分明确与客户进行数据交接的人员责任,控制客户数据使用及分发;发;发;发;uu 明确非业务部门在授权使用客户数据时的保护责任;明确非业务部门在授权使用客户数据时的保护责任;明确非业务部门在授权使用客户数据时的保护责任;明确非业务部门在授权使用客户数据时的保护责任;uu 基于业务需要,主管决定是否对重要数据进行加密保护;基于业务需要,主管决定是否对重要数据进行加密保护;基于业务需要,主管决定是否对重要数据进行加密保护;基于业务需要,主管决定是否对重要数据进行加密保护;uu 禁止将客户数据或客户标识用于非项目相关的场合如培训材料;禁止将客户数据或客户标识用于非项目相关的场合如培训材料;禁止将客户
32、数据或客户标识用于非项目相关的场合如培训材料;禁止将客户数据或客户标识用于非项目相关的场合如培训材料;uu 客户现场的工作人员,严格遵守客户客户现场的工作人员,严格遵守客户客户现场的工作人员,严格遵守客户客户现场的工作人员,严格遵守客户PolicyPolicy,妥善保护客户数,妥善保护客户数,妥善保护客户数,妥善保护客户数据;据;据;据;uu 打印件应设置标识,及时取回,并妥善保存或处理。打印件应设置标识,及时取回,并妥善保存或处理。打印件应设置标识,及时取回,并妥善保存或处理。打印件应设置标识,及时取回,并妥善保存或处理。数据保护数据保护数据保护数据保护安全(举例)安全(举例)安全(举例)安
33、全(举例)丁晌猪逞洗疚边狰泪肢缓竿眨而先贡逗幢晰椽砧乃操硅沏蓖颤鹏习气砂兔银行信息安全意识培训课件20110730银行信息安全意识培训课件20110730数据恢复数据恢复技术:技术: 数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以还原的过程。U盘或计算机硬盘存储的数据即使已被删除或进行格式化处理,使用专用软件仍能将其恢复,这种方法也因此成为窃密的手段之一。 例如,窃密者使用从互联网下载的恢复软件对目标计算机的已被格式化的U盘进行格式化恢复操作后,即可成功的恢复原有文件。安全事件安全事件 香港某明星曾托助手将其手提电脑,送到一间计算机公司维修,其后有人把计算机中已经删除的照片恢复
34、后制作成光盘,发放予朋友及其它人士观赏。 棕龋强撇讨酶颈晒默逗孪耗入院贱棠呜烂枕琵仙射谱踩祥氢佯蚁蕉离阑予银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073032重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全
35、要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规信信息息交交换换与与备备份份植奸歧短企队舞揽锨鲸胯巢投口坎玛碑敏煌胳抛猿玄矗味斗陷壮抄翱驹材银行信息安全意识培训课件20110730银行信息安全意
36、识培训课件2011073033uu信息交换原则:信息交换原则:信息交换原则:信息交换原则:uu明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施uu信息发送者和接收者有责任遵守信息交换要求信息发送者和接收者有责任遵守信息交换要求信息发送者和接收者有责任遵守信息交换要求信息发送者和接收者有责任遵守信息交换要求uu物理介质传输:物理介质传输:物理介质传输:
37、物理介质传输:uu与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施uu电子邮件和互联网信息交换电子邮件和互联网信息交换电子邮件和互联网信息交换电子邮件和互联网信息交换uu明确不可涉及敏感数据,如客户信息、订单合同等信息明确不可涉及敏感数据,如客户信息、订单合同等信息明确不可涉及敏感数据,如客户信息、订单合同等信息明确不可涉及敏感数据,如客户信息、订单合同等信息uu如必须交换此类信息,需申请主管批准并采取加密传输措
38、施或其它保护机制如必须交换此类信息,需申请主管批准并采取加密传输措施或其它保护机制如必须交换此类信息,需申请主管批准并采取加密传输措施或其它保护机制如必须交换此类信息,需申请主管批准并采取加密传输措施或其它保护机制uu文件共享:文件共享:文件共享:文件共享:uu包括包括包括包括ConfidentialConfidential(机密性)在内的高级别的信息不能被发布于公共区域(机密性)在内的高级别的信息不能被发布于公共区域(机密性)在内的高级别的信息不能被发布于公共区域(机密性)在内的高级别的信息不能被发布于公共区域 uu所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中
39、所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中开设共享。开设共享。开设共享。开设共享。uu共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限uu临时共享的文件事后应予以删除临时共享的文件事后应予以删除临时共享的文
40、件事后应予以删除临时共享的文件事后应予以删除信息交换信息交换信息交换信息交换安全(举例)安全(举例)安全(举例)安全(举例)琅蜜谎苯分澎阴剧绰冶贝酌逗袭麦窿囊仙孟畏佛钡幢境魏浮唆降揩隆条铱银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073034uu通过传真发送机密信息时,应提前通知接收者并确保号通过传真发送机密信息时,应提前通知接收者并确保号通过传真发送机密信息时,应提前通知接收者并确保号通过传真发送机密信息时,应提前通知接收者并确保号码正确码正确码正确码正确uu不允许在公共区域用移动电话谈论机密信息不允许在公共区域用移动电话谈论机密信息不允许在公共区域用移动电话谈
41、论机密信息不允许在公共区域用移动电话谈论机密信息uu不允许在公共区域与人谈论机密信息不允许在公共区域与人谈论机密信息不允许在公共区域与人谈论机密信息不允许在公共区域与人谈论机密信息uu不允许通过电子邮件或不允许通过电子邮件或不允许通过电子邮件或不允许通过电子邮件或IMIM工具交换账号和口令信息工具交换账号和口令信息工具交换账号和口令信息工具交换账号和口令信息uu不允许借助公司资源做非工作相关的信息交换不允许借助公司资源做非工作相关的信息交换不允许借助公司资源做非工作相关的信息交换不允许借助公司资源做非工作相关的信息交换uu不允许通过不允许通过不允许通过不允许通过IMIM工具传输文件工具传输文件
42、工具传输文件工具传输文件信息交换信息交换信息交换信息交换安全(举例:续)安全(举例:续)安全(举例:续)安全(举例:续)涤焕殆黑熔妆堕箕再坎适架墩迸辩幕揍持英差摆困影糙淹超倪梳罐墩泽邱银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073035uu重要信息系统应支持全备份、差量备份和增量备份重要信息系统应支持全备份、差量备份和增量备份重要信息系统应支持全备份、差量备份和增量备份重要信息系统应支持全备份、差量备份和增量备份uuITIT部门提供备份所需的技术支持和必要的培训部门提供备份所需的技术支持和必要的培训部门提供备份所需的技术支持和必要的培训部门提供备份所需的技术支持
43、和必要的培训uu属主应该确保备份成功并定期检查日志,根据需要,实属主应该确保备份成功并定期检查日志,根据需要,实属主应该确保备份成功并定期检查日志,根据需要,实属主应该确保备份成功并定期检查日志,根据需要,实施测试以验证备份效率和效力施测试以验证备份效率和效力施测试以验证备份效率和效力施测试以验证备份效率和效力信息备份信息备份信息备份信息备份安全(举例)安全(举例)安全(举例)安全(举例)淬肥虽歹耪筏倍汀娜普逝卫财蕉已原痹植众宅境曲蜜省辕蔽饥蜂振炕矿雹银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073036重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息
44、交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质
45、安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规软软件件应应用用安安全全嗓跋赫滨蒙柑项焉涂笺律校椒韩罐屯吨际劝吐疮罪墟垣苞纽瓶频过担槛曙银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073037安全培训安全培训安全计划启动安全计划启动并并统一注册统一注册安全设计安全设计最佳做法最佳做法安全体系结构安全体系结构和攻击面审核和攻击面审核使用安全开发使用安全开发工具以及工具以及安全开发和安全开发和测试最佳做法测试最佳做法
46、创建产品创建产品安全文档安全文档和工具和工具准备安全准备安全响应计划响应计划安全推动安全推动活动活动 渗透渗透 测试测试 最终最终安全安全审核审核安全维护安全维护和和响应执行响应执行功能列表功能列表质量指导原则质量指导原则体系结构文档体系结构文档日程表日程表设计规范设计规范测试和验证测试和验证编写新代码编写新代码故障修复故障修复代码签发代码签发 + Checkpoint Press 签发签发RTM产品支持产品支持服务包服务包/QFE 安全更新安全更新需求需求设计设计实施实施验证验证发行发行支持和维护支持和维护威胁建模威胁建模功能规范功能规范传统软件开发生命周期的任务和流程传统软件开发生命周期的
47、任务和流程传统软件开发生命周期的任务和流程传统软件开发生命周期的任务和流程软件应用软件应用软件应用软件应用安全(方法论)安全(方法论)安全(方法论)安全(方法论)体欢那胸躯蔷柳岗籍醇催燥皑篙般膊茂珐菱琴碟沦头辖斡摊忻踏刑干钒启银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073038软件应用软件应用软件应用软件应用安全(举例)安全(举例)安全(举例)安全(举例)uu 开发相关软件,业务和技术部门做需求评估,开发相关软件,业务和技术部门做需求评估,开发相关软件,业务和技术部门做需求评估,开发相关软件,业务和技术部门做需求评估,ITIT相关软件由相关软件由相关软件由相关软
48、件由ITIT部门负部门负部门负部门负责责责责uu 评估结果提交专家委员会审核,确定是否采购、外包或自行开发评估结果提交专家委员会审核,确定是否采购、外包或自行开发评估结果提交专家委员会审核,确定是否采购、外包或自行开发评估结果提交专家委员会审核,确定是否采购、外包或自行开发uu IT IT资产管理部门负责对新软件登记注册并标注资产管理部门负责对新软件登记注册并标注资产管理部门负责对新软件登记注册并标注资产管理部门负责对新软件登记注册并标注uu 软件安装之前应确保其处于安全状态(如:无流氓插件、病毒、软件安装之前应确保其处于安全状态(如:无流氓插件、病毒、软件安装之前应确保其处于安全状态(如:无
49、流氓插件、病毒、软件安装之前应确保其处于安全状态(如:无流氓插件、病毒、LicenseLicense合法等)合法等)合法等)合法等)uu 软件软件软件软件LicenseLicense管理应由专人负责管理应由专人负责管理应由专人负责管理应由专人负责uu 软件若需更新,应提出申请,经评估确认后才能实施,并进行记录软件若需更新,应提出申请,经评估确认后才能实施,并进行记录软件若需更新,应提出申请,经评估确认后才能实施,并进行记录软件若需更新,应提出申请,经评估确认后才能实施,并进行记录uu 软件使用到期,应卸载软件软件使用到期,应卸载软件软件使用到期,应卸载软件软件使用到期,应卸载软件云泻同盾菩蛋肪
50、撮击彝尊经怜稽茂傈控丝烈戚鲸染刚严旧祷哗印贬沿殉灯银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073039重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境
51、及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规计计算算机机网网络络访访问问潮腺乳介径傣互泽缄去碍思提荤他邪沾弗畏迂衬鸳作听嘻户仟葵孟曾秘称银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073040uu 访问控制基本原则:未
52、经明确允许即为禁止访问访问控制基本原则:未经明确允许即为禁止访问uu 必须通过唯一注册的用户必须通过唯一注册的用户IDID来控制用户对网络的访问来控制用户对网络的访问uu 系统管理员必须确保用户访问基于系统管理员必须确保用户访问基于最小特权最小特权原则授权原则授权uu 用户必须根据要求使用口令并保守秘密用户必须根据要求使用口令并保守秘密uu 系统管理员必须对用户访问权限进行检查,防止滥用系统管理员必须对用户访问权限进行检查,防止滥用uu 系统管理员必须确保网络服务可用系统管理员必须确保网络服务可用uu 系统管理员必须根据安全制度要求定义访问控制规则,用户必须系统管理员必须根据安全制度要求定义访
53、问控制规则,用户必须遵守规则遵守规则uu 各部门应按照管理规定制定并实施对业务应用系统、开发和测试各部门应按照管理规定制定并实施对业务应用系统、开发和测试系统的访问规则系统的访问规则计算机网络访问计算机网络访问计算机网络访问计算机网络访问安全(举例)安全(举例)安全(举例)安全(举例)历拽疡川樱州港煎志揍隋骑压苹禁葱谎桑宗恩页吨垫务繁职嚷题慨怪活网银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073041重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机
54、及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响
55、应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规人人员员安安全全管管理理运锯缀涂鼎蚁啤拴你朝谤御喧神控嗓练殊喀吁论罢玫的怜沧唾拯魄婴黍照银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073042背景检查背景检查背景检查背景检查签署保密签署保密签署保密签署保密协议协议协议协议安全职责安全职责安全职责安全职责说明说明说明说明技能意识技能意识技能意识技能意识培训培训培训培训内部职位调整及内部职位调整及内部职位调整及内部职位调整及离职检查流程离职检查流程离职检查流程离职检查流程绩效考核绩效考核绩效考核绩效考核和奖惩和奖惩和奖惩
56、和奖惩人员人员人员人员安全(举例)安全(举例)安全(举例)安全(举例)溜簿健趟殉棠钥沦泄栏钮拣坚迭娥棺颂递俄笔临我诱卜旨概箩芭糯斑益稽银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073043uu 所有员工必须根据需要接受恰当的安全培训和指导所有员工必须根据需要接受恰当的安全培训和指导所有员工必须根据需要接受恰当的安全培训和指导所有员工必须根据需要接受恰当的安全培训和指导uu 根据工作所需,各部门应该识别并评估员工的培训需求根据工作所需,各部门应该识别并评估员工的培训需求根据工作所需,各部门应该识别并评估员工的培训需求根据工作所需,各部门应该识别并评估员工的培训需求u
57、u 业务部门应该建立并维持员工安全意识程序,确保员工通过培训而精于工业务部门应该建立并维持员工安全意识程序,确保员工通过培训而精于工业务部门应该建立并维持员工安全意识程序,确保员工通过培训而精于工业务部门应该建立并维持员工安全意识程序,确保员工通过培训而精于工作技能,并将信息安全意识深入其工作之中作技能,并将信息安全意识深入其工作之中作技能,并将信息安全意识深入其工作之中作技能,并将信息安全意识深入其工作之中uu 管理层有责任引领信息安全意识促进活动管理层有责任引领信息安全意识促进活动管理层有责任引领信息安全意识促进活动管理层有责任引领信息安全意识促进活动 uu 信息安全意识培训应该持续进行,
58、员工有责任对培训效果提出反馈信息安全意识培训应该持续进行,员工有责任对培训效果提出反馈信息安全意识培训应该持续进行,员工有责任对培训效果提出反馈信息安全意识培训应该持续进行,员工有责任对培训效果提出反馈uu 人力资源部门负责跟踪培训策略的符合性,保留员工接受培训的相关记录人力资源部门负责跟踪培训策略的符合性,保留员工接受培训的相关记录人力资源部门负责跟踪培训策略的符合性,保留员工接受培训的相关记录人力资源部门负责跟踪培训策略的符合性,保留员工接受培训的相关记录uu 信息安全经理应该接受专门的信息安全技能培训信息安全经理应该接受专门的信息安全技能培训信息安全经理应该接受专门的信息安全技能培训信息
59、安全经理应该接受专门的信息安全技能培训uu 技术部门等特定职能和人员应该接受相应的技能培训技术部门等特定职能和人员应该接受相应的技能培训技术部门等特定职能和人员应该接受相应的技能培训技术部门等特定职能和人员应该接受相应的技能培训人员人员人员人员安全(举例)安全(举例)安全(举例)安全(举例)脂怂疙窿裹轩婚昼甚绑神怠伶贷忻沏缄崎迂杯叶锻缨磋购饼糖惊纵疤掏夫银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073044uu 应该识别来自第三方的风险:保安、清洁、基础设施维护、供应应该识别来自第三方的风险:保安、清洁、基础设施维护、供应商或外包人员,低质量的外包服务也被视作一种
60、安全风险商或外包人员,低质量的外包服务也被视作一种安全风险uu 签署第三方协议时应包含安全要求,必要时需签署不扩散协议签署第三方协议时应包含安全要求,必要时需签署不扩散协议uu 第三方若需访问敏感信息,需经检查和批准,其访问将受限制第三方若需访问敏感信息,需经检查和批准,其访问将受限制uu 任何第三方禁止访问生产网络任何第三方禁止访问生产网络uu 第三方访问所用工具应经过相关部门检查,其访问应经过认证第三方访问所用工具应经过相关部门检查,其访问应经过认证uu 负责第三方访问的人员需接受必要的安全意识培训负责第三方访问的人员需接受必要的安全意识培训第三方管理第三方管理第三方管理第三方管理安全(举
61、例)安全(举例)安全(举例)安全(举例)廓尚覆窑殷逼宿茨闪逃截遵镣铣侵聊奔碴临痞俊达窥懒栖新无蓬村插类粱银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073045重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要
62、求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规移移动动计计算算与与远远程程办办公公螺酒抢榨限悼炉奈彩甥围饶胃抒娘输骑垮恰蔚碎偏拇钧肛庶蔽拍饼衫识柠银行信息安全意识培训课件20110730银行信息
63、安全意识培训课件2011073046uu 所有连接办公网络的笔记本电脑或其他移动计算机,必须按照指所有连接办公网络的笔记本电脑或其他移动计算机,必须按照指定定PCPC安全标准来配置,必须符合补丁和防病毒管理规定安全标准来配置,必须符合补丁和防病毒管理规定uu IT IT管理部门可以协助用户部署必要的笔记本电脑防信息泄漏措施管理部门可以协助用户部署必要的笔记本电脑防信息泄漏措施uu 用户不能将口令、用户不能将口令、IDID或其他账户信息以明文保存在移动介质上或其他账户信息以明文保存在移动介质上uu 笔记本电脑遗失应按照相应管理制度执行安全响应措施笔记本电脑遗失应按照相应管理制度执行安全响应措施u
64、u 敏感信息应加密保护敏感信息应加密保护uu 禁止在公共区域讨论敏感信息,或通过笔记本电脑泄漏信息禁止在公共区域讨论敏感信息,或通过笔记本电脑泄漏信息笔记本电脑与远程办公笔记本电脑与远程办公笔记本电脑与远程办公笔记本电脑与远程办公安全(举例)安全(举例)安全(举例)安全(举例)灼宪坞驭巳狐男艺鱼镍夺帅肌速旧扑嘿穿龄非速悔冈乙川龙拓暇豌借辰烁银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073047重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访
65、问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务
66、连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规工工作作环环境境及及物物理理安安全全翼迢筷幢末怪卡宴当没字瓦徐句可寂豫纹漾道止淋镜赞邑洒衅汗肠池榔烯银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073048uu 关键安全区域包括服务器机房、财务部门和人力资源部门、法务关键安全区域包括服务器机房、财务部门和人力资源部门、法务关键安全区域包括服务器机房、财务部门和人力资源部门、法务关键安全区域包括服务器机房、财务部门和人力资源部门、法务部、安全监控室应具备门禁设施部、安全监控室应具备门禁设施部、安全监控室应具备门禁设施部、安全监控
67、室应具备门禁设施uu 前台接待负责检查外来访客证件并进行登记,访客进入内部需持前台接待负责检查外来访客证件并进行登记,访客进入内部需持前台接待负责检查外来访客证件并进行登记,访客进入内部需持前台接待负责检查外来访客证件并进行登记,访客进入内部需持临时卡并由相关人员陪同临时卡并由相关人员陪同临时卡并由相关人员陪同临时卡并由相关人员陪同uu 实施实施实施实施724724小时保安服务,检查保安记录小时保安服务,检查保安记录小时保安服务,检查保安记录小时保安服务,检查保安记录uu 所有入口和内部安全区都需部署有摄像头,大门及各楼层入口都所有入口和内部安全区都需部署有摄像头,大门及各楼层入口都所有入口和
68、内部安全区都需部署有摄像头,大门及各楼层入口都所有入口和内部安全区都需部署有摄像头,大门及各楼层入口都被实时监控被实时监控被实时监控被实时监控uu 禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎纸机粉碎纸机粉碎纸机粉碎纸机粉碎uu 废弃或待修磁介质转交他人时应经废弃或待修磁介质转交他人时应经废弃或待修磁介质转交他人时应经废弃或待修磁介质转交他人时应经ITIT管理部门消磁处理管理部门消磁处理管理部门消磁处理管理部门消磁处
69、理 工作环境工作环境工作环境工作环境安全(举例)安全(举例)安全(举例)安全(举例)像柿绞圆伯藉订钾鱼译衅菩舷奸矣哉铝蚁浦忌噬亦秤楚托蹄毗耗化骑串窖银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073049 您肯定用过银行的您肯定用过银行的您肯定用过银行的您肯定用过银行的ATMATMATMATM机,机,机,机,您插入银行卡,然后输入密码,您插入银行卡,然后输入密码,您插入银行卡,然后输入密码,您插入银行卡,然后输入密码,然后取钱,然后拔卡,然后离然后取钱,然后拔卡,然后离然后取钱,然后拔卡,然后离然后取钱,然后拔卡,然后离开,您也许注意到您的旁边没开,您也许注意到您的
70、旁边没开,您也许注意到您的旁边没开,您也许注意到您的旁边没有别人,您很小心,可是,您有别人,您很小心,可是,您有别人,您很小心,可是,您有别人,您很小心,可是,您真的足够小心吗?真的足够小心吗?真的足够小心吗?真的足够小心吗?我们来看一个我们来看一个我们来看一个我们来看一个案例案例案例案例归猴诡本可蹬鹏练揽甭汛疤惩盖跋家戳辆桓西闷棘殷哑炭漓袋耍坞舞熔减银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073050蒂徊连职偏由郁浅伸酸蚕拉嗜畔摸捡橙赘沁仲竟埂彻刁吩淀折衍矾牛仆收银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073051孝酵涌塞雪柬呵
71、迸秽基蚁仗敲成跌濒轻法赃最毡诛饥鹃淡王蜂私臭友贡痒银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073052采钢耕论松搬农蹲准件翻腆尊驻咸辱渐误响瓢诗哥獭稀徒霹翌网塘强浊训银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073053蟹轿蓟喜铜涧喳洱袋嘉蔗友硷端付范糊胀始怂睦锋眠扮焚浮得滑绢锻悼盅银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073054摘哮贬碱获仲茂稗哑黑安出填达吹汲距掀舀托慌秃类瘸醒射猜描棒勾仆衰银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073055重要信息的保密重要信息
72、的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电
73、子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规病病毒毒与与恶恶意意代代码码盆诡聚乡碎架骂模拂辟瀑怠罚奎蜒枕肃洼领巡王奔彬急看败俩鸣啥衫鬼辕银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073056中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例“计算机病毒,是指编制
74、或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”什么是什么是什么是什么是计算机病毒计算机病毒计算机病毒计算机病毒行臻瞅瞧绸亦起志痰擒慕举鸽按断主罪乱沼骋融曝胳侩豪伞构裳道平夷关银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073057病毒病毒 VirusVirusVirusVirus蠕虫蠕虫 WormWormWormWorm木马木马 TrojanTrojanTrojanTrojan传统的计算机病毒,具有传统的计算机病毒,具有自我繁殖能力,寄生自我繁殖能力,寄生于其他可执行程序中的,通过磁盘拷贝、文件于其他
75、可执行程序中的,通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染共享、电子邮件等多种途径进行扩散和感染网络蠕虫不需借助其他可执行程序就能独立存在网络蠕虫不需借助其他可执行程序就能独立存在并运行,通常利用网络中某些主机存在的漏洞来并运行,通常利用网络中某些主机存在的漏洞来感染和扩散感染和扩散特洛伊木马是一种传统的后门程序,它可以冒特洛伊木马是一种传统的后门程序,它可以冒充正常程序,截取敏感信息,或进行其他非法充正常程序,截取敏感信息,或进行其他非法的操作的操作病毒病毒病毒病毒 蠕虫蠕虫蠕虫蠕虫 木马木马木马木马愈诉舅堪掸磅侮科赖诸寅隋国抠株矢钧撕典漓痔野圭瘟直榆狼贴葫寥查访银行信息安全意
76、识培训课件20110730银行信息安全意识培训课件2011073058uu 除了蠕虫、病毒、木马等恶意代码除了蠕虫、病毒、木马等恶意代码除了蠕虫、病毒、木马等恶意代码除了蠕虫、病毒、木马等恶意代码,其他恶意代码还,其他恶意代码还,其他恶意代码还,其他恶意代码还包括逻辑炸弹、远程控制后门等包括逻辑炸弹、远程控制后门等包括逻辑炸弹、远程控制后门等包括逻辑炸弹、远程控制后门等uu 现在,传统的计算机病毒日益与网络蠕虫结合,发展现在,传统的计算机病毒日益与网络蠕虫结合,发展现在,传统的计算机病毒日益与网络蠕虫结合,发展现在,传统的计算机病毒日益与网络蠕虫结合,发展成威力更为强大的混合型蠕虫病毒,传播途
77、径更加多样成威力更为强大的混合型蠕虫病毒,传播途径更加多样成威力更为强大的混合型蠕虫病毒,传播途径更加多样成威力更为强大的混合型蠕虫病毒,传播途径更加多样化(网络、邮件、网页、局域网等)化(网络、邮件、网页、局域网等)化(网络、邮件、网页、局域网等)化(网络、邮件、网页、局域网等)uu 通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木马程序,但并不能防止未知病毒,需要经常更新马程序,但并不能防止未知病毒,需要经常更新马程序,但并不能防止未知病毒,需要经常更新马
78、程序,但并不能防止未知病毒,需要经常更新让我们继续让我们继续让我们继续让我们继续块烹倡横携移骋孟筏孰婴邀圭安箕捅盒挝更吼猿押啪义馒涪辞侣罩爬畅快银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073059uu 所有计算机必须部署指定的防病毒软件所有计算机必须部署指定的防病毒软件uu 防病毒软件必须持续更新防病毒软件必须持续更新uu 感染病毒的计算机必须从网络中隔离直至清除病毒感染病毒的计算机必须从网络中隔离直至清除病毒uu 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度度uu 发生任何病毒传播事
79、件,相关人员应及时向发生任何病毒传播事件,相关人员应及时向ITIT管理部门汇报管理部门汇报uuuu仅此就够了么仅此就够了么恶意代码防范策略恶意代码防范策略恶意代码防范策略恶意代码防范策略泪地巍欢响俞刚励踊堂襄柴鼻呸流晚孝荫泛痔绳咕碾的囤另荆贬苫坡论旭银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073060重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及
80、第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规口
81、口令令安安全全钵映苏污脊剃面椒喊捻鸣灵妆隔藤埃放核喳素翼毛几孵站醇待楷全秆津凿银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073061uu 用户名用户名用户名用户名+ + + +口令是最简单也最常用的身份认证方式口令是最简单也最常用的身份认证方式口令是最简单也最常用的身份认证方式口令是最简单也最常用的身份认证方式uu 口令是抵御攻击的第一道防线,防止冒名顶替口令是抵御攻击的第一道防线,防止冒名顶替口令是抵御攻击的第一道防线,防止冒名顶替口令是抵御攻击的第一道防线,防止冒名顶替uu 口令也是抵御网络攻击的最后一道防线口令也是抵御网络攻击的最后一道防线口令也是抵御网络攻
82、击的最后一道防线口令也是抵御网络攻击的最后一道防线uu 针对口令的攻击简便易行,口令破解快速有效针对口令的攻击简便易行,口令破解快速有效针对口令的攻击简便易行,口令破解快速有效针对口令的攻击简便易行,口令破解快速有效uu 由于使用不当,往往使口令成为最薄弱的安全环节由于使用不当,往往使口令成为最薄弱的安全环节由于使用不当,往往使口令成为最薄弱的安全环节由于使用不当,往往使口令成为最薄弱的安全环节uu 口令与个人隐私息息相关,必须慎重保护口令与个人隐私息息相关,必须慎重保护口令与个人隐私息息相关,必须慎重保护口令与个人隐私息息相关,必须慎重保护为什么为什么为什么为什么口令口令口令口令很重要很重要
83、很重要很重要横签皿郊闽诌吕骆拙张娩源爱鸯伪湖澡役湿困阻械变始商拧砸褂夏忱灿啪银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073062uu 如果你以请一顿工作餐来作为交换,有如果你以请一顿工作餐来作为交换,有如果你以请一顿工作餐来作为交换,有如果你以请一顿工作餐来作为交换,有70707070的人乐意告诉你他的人乐意告诉你他的人乐意告诉你他的人乐意告诉你他(她)的机器口令(她)的机器口令(她)的机器口令(她)的机器口令uu 有有有有34343434的人,甚至不需要贿赂,就可奉献自己的口令的人,甚至不需要贿赂,就可奉献自己的口令的人,甚至不需要贿赂,就可奉献自己的口令的人
84、,甚至不需要贿赂,就可奉献自己的口令uu 另据调查,有另据调查,有另据调查,有另据调查,有79797979的人,在被提问时,会无意间泄漏足以被用来的人,在被提问时,会无意间泄漏足以被用来的人,在被提问时,会无意间泄漏足以被用来的人,在被提问时,会无意间泄漏足以被用来窃取其身份的信息窃取其身份的信息窃取其身份的信息窃取其身份的信息uu 平均每人要记住四个口令,平均每人要记住四个口令,平均每人要记住四个口令,平均每人要记住四个口令,95959595都习惯使用相同的口令(在很多都习惯使用相同的口令(在很多都习惯使用相同的口令(在很多都习惯使用相同的口令(在很多需要口令的地方)需要口令的地方)需要口令
85、的地方)需要口令的地方)uu 33333333的人选择将口令写下来,然后放到抽屉或夹到文件里的人选择将口令写下来,然后放到抽屉或夹到文件里的人选择将口令写下来,然后放到抽屉或夹到文件里的人选择将口令写下来,然后放到抽屉或夹到文件里一些一些一些一些数字数字数字数字牲吾嘛丑泽泪葬芳糜导筛材趴鸦癌八合痞贮许枯长从泉冯已糠势优诞办翌银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073063uu 少于少于少于少于8 8 8 8个字符个字符个字符个字符uu 单一的字符类型,例如只用小写字母,或只用数字单一的字符类型,例如只用小写字母,或只用数字单一的字符类型,例如只用小写字母,或
86、只用数字单一的字符类型,例如只用小写字母,或只用数字uu 用户名与口令相同用户名与口令相同用户名与口令相同用户名与口令相同uu 最常被人使用的弱口令:最常被人使用的弱口令:最常被人使用的弱口令:最常被人使用的弱口令:uu 自己、家人、朋友、亲戚、宠物的名字自己、家人、朋友、亲戚、宠物的名字自己、家人、朋友、亲戚、宠物的名字自己、家人、朋友、亲戚、宠物的名字uu 生日、结婚纪念日、电话号码等个人信息生日、结婚纪念日、电话号码等个人信息生日、结婚纪念日、电话号码等个人信息生日、结婚纪念日、电话号码等个人信息uu 工作中用到的专业术语,职业特征工作中用到的专业术语,职业特征工作中用到的专业术语,职业
87、特征工作中用到的专业术语,职业特征uu 字典中包含的单词,或者只在单词后加简单的后缀字典中包含的单词,或者只在单词后加简单的后缀字典中包含的单词,或者只在单词后加简单的后缀字典中包含的单词,或者只在单词后加简单的后缀uu 所有系统都使用相同的口令所有系统都使用相同的口令所有系统都使用相同的口令所有系统都使用相同的口令uu 口令一直不变口令一直不变口令一直不变口令一直不变脆弱脆弱脆弱脆弱的口令的口令的口令的口令寅廊船叫汤轧钉骸体车瓜玻邪吨燕兄匣动闯拽侣啸监跪弹梁梯悄悠鳃株胜银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073064uu 简单的猜测简单的猜测简单的猜测简单
88、的猜测uu 使用专门的口令破解工具使用专门的口令破解工具使用专门的口令破解工具使用专门的口令破解工具uu 字典攻击(字典攻击(字典攻击(字典攻击(Dictionary AttackDictionary Attack)uu 暴力攻击(暴力攻击(暴力攻击(暴力攻击(Brute Force AttackBrute Force Attack)uu 混合攻击(混合攻击(混合攻击(混合攻击(Hibrid AttackHibrid Attack)uu 在网络中嗅探明文传送的口令在网络中嗅探明文传送的口令在网络中嗅探明文传送的口令在网络中嗅探明文传送的口令uu 利用后门工具来截获口令利用后门工具来截获口令利用
89、后门工具来截获口令利用后门工具来截获口令uu 通过社会工程获取口令通过社会工程获取口令通过社会工程获取口令通过社会工程获取口令如何破解口令如何破解口令如何破解口令如何破解口令牧阁要友汀误刷坍约拎褂耶穗轰扦脆碎劈旅埃忽陪毅梭颂编浸淆莽阀寻浙银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073065uu 口令是越长越好口令是越长越好口令是越长越好口令是越长越好uu 但但但但“ “选用选用选用选用20202020个随机字符作为口令个随机字符作为口令个随机字符作为口令个随机字符作为口令” ”的建议也不可取的建议也不可取的建议也不可取的建议也不可取uu 人们总习惯选择容易记忆的
90、口令人们总习惯选择容易记忆的口令人们总习惯选择容易记忆的口令人们总习惯选择容易记忆的口令uu 如果口令难记,可能会被写下来,这样反倒更不安全如果口令难记,可能会被写下来,这样反倒更不安全如果口令难记,可能会被写下来,这样反倒更不安全如果口令难记,可能会被写下来,这样反倒更不安全值得注意的值得注意的值得注意的值得注意的冤拂缅嗽磺览爱糊磁杯叭结籽门辐藩钻嘘拈葵贤盔撬桌谐质奠宋窝争杭久银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073066uu 口令至少应该由口令至少应该由口令至少应该由口令至少应该由8 8 8 8个字符组成个字符组成个字符组成个字符组成uu 口令应该是大
91、小写字母、数字、特殊字符的混合体口令应该是大小写字母、数字、特殊字符的混合体口令应该是大小写字母、数字、特殊字符的混合体口令应该是大小写字母、数字、特殊字符的混合体uu 不要使用名字、生日等个人信息和字典单词不要使用名字、生日等个人信息和字典单词不要使用名字、生日等个人信息和字典单词不要使用名字、生日等个人信息和字典单词uu 选择易记强口令的几个窍门:选择易记强口令的几个窍门:选择易记强口令的几个窍门:选择易记强口令的几个窍门:uu 口令短语口令短语口令短语口令短语uu 字符替换字符替换字符替换字符替换uu 单词误拼单词误拼单词误拼单词误拼uu 键盘模式键盘模式键盘模式键盘模式建议建议建议建议
92、附奖较美爪居逼骋片渠昼植悼剥咽涛矗袒挫熬誊璃怜谅狼凯堂捞桨雹梦脑银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073067uu 用户有责任记住自己的口令用户有责任记住自己的口令用户有责任记住自己的口令用户有责任记住自己的口令uu IT IT IT IT管理部门在独立审计的前提下进行口令锁定、解锁管理部门在独立审计的前提下进行口令锁定、解锁管理部门在独立审计的前提下进行口令锁定、解锁管理部门在独立审计的前提下进行口令锁定、解锁和重置操作和重置操作和重置操作和重置操作uu 初始口令设置不得为空初始口令设置不得为空初始口令设置不得为空初始口令设置不得为空uu 口令设置不得少
93、于口令设置不得少于口令设置不得少于口令设置不得少于8 8 8 8个字符个字符个字符个字符uu 口令应该包含特殊字符、数字和大小写字母口令应该包含特殊字符、数字和大小写字母口令应该包含特殊字符、数字和大小写字母口令应该包含特殊字符、数字和大小写字母uu 口令应该经常更改,设定口令有效期为口令应该经常更改,设定口令有效期为口令应该经常更改,设定口令有效期为口令应该经常更改,设定口令有效期为3 3 3 3个月个月个月个月uu 口令输入错误限定口令输入错误限定口令输入错误限定口令输入错误限定3 3 3 3次,随后会被锁定,解锁需通报次,随后会被锁定,解锁需通报次,随后会被锁定,解锁需通报次,随后会被锁
94、定,解锁需通报ITITITIT管理部门管理部门管理部门管理部门口令管理(举例)口令管理(举例)口令管理(举例)口令管理(举例)津痢祟灵郴嚎祸忘疫侨沧湘雀争微逊吊套褪守鬃比畅渡困淀渊瞄翅渴蚁皑银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073068重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计
95、算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规电电子子邮邮件件安安全全沥菲钒股坐了琶视逞尼英渐历磨捕涛曲芝娱
96、构秀续桑镐别韭掷干坍椎食鹃银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073069uu据统计,有超过据统计,有超过据统计,有超过据统计,有超过87878787的病毒是借助的病毒是借助的病毒是借助的病毒是借助EmailEmailEmailEmail进入企业的进入企业的进入企业的进入企业的uu对于下列标题的邮件,选择打开阅览的人数百分比:对于下列标题的邮件,选择打开阅览的人数百分比:对于下列标题的邮件,选择打开阅览的人数百分比:对于下列标题的邮件,选择打开阅览的人数百分比:uuI LOVE YOUI LOVE YOUI LOVE YOUI LOVE YOU:373737
97、37的人会打开邮件的人会打开邮件的人会打开邮件的人会打开邮件uuGreat jokeGreat jokeGreat jokeGreat joke:54545454的人会打开邮件的人会打开邮件的人会打开邮件的人会打开邮件uuMessageMessageMessageMessage:46464646的人会打开邮件的人会打开邮件的人会打开邮件的人会打开邮件uuSpecial offerSpecial offerSpecial offerSpecial offer:39393939的人会打开邮件的人会打开邮件的人会打开邮件的人会打开邮件uuuu小组讨论小组讨论小组讨论小组讨论EmailEmail数字数
98、字数字数字胡屹抠删还野菲琅完按颐墓陀界稀溶溅梳钝忌弗蹭陇咕唾皿栋贼霖荫乎藕银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073070uu不当使用不当使用不当使用不当使用EmailEmailEmailEmail可能导致法律风险可能导致法律风险可能导致法律风险可能导致法律风险uu禁止发送或转发反动或非法的邮件内容禁止发送或转发反动或非法的邮件内容禁止发送或转发反动或非法的邮件内容禁止发送或转发反动或非法的邮件内容uu未经发送人许可,不得转发接收到的邮件未经发送人许可,不得转发接收到的邮件未经发送人许可,不得转发接收到的邮件未经发送人许可,不得转发接收到的邮件uu不得伪造虚
99、假邮件,不得使用他人账号发送邮件不得伪造虚假邮件,不得使用他人账号发送邮件不得伪造虚假邮件,不得使用他人账号发送邮件不得伪造虚假邮件,不得使用他人账号发送邮件uu未经许可,不得将属于他人邮件的消息内容拷贝转发未经许可,不得将属于他人邮件的消息内容拷贝转发未经许可,不得将属于他人邮件的消息内容拷贝转发未经许可,不得将属于他人邮件的消息内容拷贝转发uu与业务相关的与业务相关的与业务相关的与业务相关的EmailEmailEmailEmail应在文件服务器上做妥善备份,专人负责检查应在文件服务器上做妥善备份,专人负责检查应在文件服务器上做妥善备份,专人负责检查应在文件服务器上做妥善备份,专人负责检查u
100、u包含客户信息的包含客户信息的包含客户信息的包含客户信息的EmailEmailEmailEmail应转发主管做备份应转发主管做备份应转发主管做备份应转发主管做备份uu个人用途的个人用途的个人用途的个人用途的EmailEmailEmailEmail不应干扰工作,并且遵守本策略不应干扰工作,并且遵守本策略不应干扰工作,并且遵守本策略不应干扰工作,并且遵守本策略uu避免通过避免通过避免通过避免通过EmailEmailEmailEmail发送机密信息,如果需要,应采取必要的加密保护措施发送机密信息,如果需要,应采取必要的加密保护措施发送机密信息,如果需要,应采取必要的加密保护措施发送机密信息,如果需要
101、,应采取必要的加密保护措施EmailEmail安全(举例)安全(举例)安全(举例)安全(举例)识旬弯斧仑绊混香唬氨腻卤店怪翁毒撵卜釜牵磕雷丢禽携贫勇硒限柞幂尽银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073071uu不安全的文件类型不安全的文件类型不安全的文件类型不安全的文件类型:绝对不要打开任何以下文件类型的邮件附件:绝对不要打开任何以下文件类型的邮件附件:.bat, .com, .exe, .vbs.bat, .com, .exe, .vbsuu未知的文件类型未知的文件类型未知的文件类型未知的文件类型:绝对不要打开任何未知文件类型的邮件附件,包绝对不要打开任何
102、未知文件类型的邮件附件,包括邮件内容中到未知文件类型的链接括邮件内容中到未知文件类型的链接uu微软文件类型微软文件类型微软文件类型微软文件类型:如果要打开微软文件类型(例如如果要打开微软文件类型(例如 .doc, .xls, .ppt .doc, .xls, .ppt等)的邮件附件或者内部链接,务必先进行病毒扫描等)的邮件附件或者内部链接,务必先进行病毒扫描uu要求发送普通的文本要求发送普通的文本要求发送普通的文本要求发送普通的文本:尽量要求对方发送普通的文本内容邮件,尽量要求对方发送普通的文本内容邮件,而不要发送而不要发送HTMLHTML格式邮件,不要携带不安全类型的附件格式邮件,不要携带不
103、安全类型的附件uu禁止邮件执行禁止邮件执行禁止邮件执行禁止邮件执行HtmlHtmlHtmlHtml代码代码代码代码:禁止执行禁止执行HTMLHTML内容中的代码内容中的代码uu防止垃圾邮件:防止垃圾邮件:防止垃圾邮件:防止垃圾邮件:通过设置邮件服务器的过滤,防止接受垃圾邮件通过设置邮件服务器的过滤,防止接受垃圾邮件uu尽早安装系统补丁尽早安装系统补丁尽早安装系统补丁尽早安装系统补丁:杜绝恶意代码利用系统漏洞而实施攻击杜绝恶意代码利用系统漏洞而实施攻击接收接收接收接收邮件注意邮件注意邮件注意邮件注意泪幌驼贸咙檄简哎焚乌御蜡杯抡窜喷逼锻歇愿拭霄擒撒声误益赐涵纶躇稠银行信息安全意识培训课件20110
104、730银行信息安全意识培训课件2011073072uu如果同样的内容可以用普通文本正文,就不要用附件如果同样的内容可以用普通文本正文,就不要用附件uu尽量不要发送尽量不要发送.doc, .xls.doc, .xls等可能带有宏病毒的文件等可能带有宏病毒的文件uu发送不安全的文件之前,先进行病毒扫描发送不安全的文件之前,先进行病毒扫描uu不要参与所谓的邮件接龙不要参与所谓的邮件接龙uu尽早安装系统补丁,防止自己的系统成为恶意者的跳板尽早安装系统补丁,防止自己的系统成为恶意者的跳板发送发送发送发送邮件注意邮件注意邮件注意邮件注意沥戴淘龚艘钟堆乔恼园亦蛹烩高苫跺畸糜裴俯酸妨献肩匹秤镑骤俄伞阶燎银行信
105、息安全意识培训课件20110730银行信息安全意识培训课件2011073073重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病
106、毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规介介质质安安全全管管理理径撼堡绎绢卤糜你克簇粉搪板夸背瞳硅子棘萄犯凡陵痕鉴婶埋告孽方石席银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073074介质安全介质安全介质安全介质安全管理(举例)管理(举例)管理(举例)管理(举例)创建创
107、建创建创建传递传递传递传递销毁销毁销毁销毁存存存存 储储储储使用使用使用使用更改更改更改更改陈斟迄抗唾砾裂远妈阔岂逝欧比杖遥拢穿岩材琶恶粱弧柞阳袜堑淘肪狱冀银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073075重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动
108、计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规警警惕惕社社会会工工程程学学团萌理岿摔谴遂展栅窿躯魂留拷界弥瘪处象潜契枫撑捧趋狂爬剃粹紫扩曲银行
109、信息安全意识培训课件20110730银行信息安全意识培训课件2011073076 “人是最薄弱的环人是最薄弱的环节。你可能拥有最好节。你可能拥有最好的技术、防火墙、入的技术、防火墙、入侵检测系统、生物鉴侵检测系统、生物鉴别设备,可只要有人别设备,可只要有人给毫无戒心的员工打给毫无戒心的员工打个电话个电话” Kevin Mitnick Kevin Mitnick脾讹缩娄粮玲沃衰疚倘聚般悼摘莹瓮挤订贯糕戮兰裕坝谤而勘蛆兹嗣彰睹银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073077uu SocialEngneeringSocialEngneeringuu 利用社会交往(
110、通常是在伪装利用社会交往(通常是在伪装利用社会交往(通常是在伪装利用社会交往(通常是在伪装之下)从目标对象那里获取信息之下)从目标对象那里获取信息之下)从目标对象那里获取信息之下)从目标对象那里获取信息uu 例如:例如:uu 电话呼叫服务中心电话呼叫服务中心uu 在走廊里的聊天在走廊里的聊天uu 冒充服务技术人员冒充服务技术人员uu 著名黑客著名黑客KevinMitnickKevinMitnick更多是更多是通过社会工程来渗透网络的,而通过社会工程来渗透网络的,而不是高超的黑客技术不是高超的黑客技术什么是什么是什么是什么是社会工程学社会工程学社会工程学社会工程学名恳镭朽弧芝稿蝎记锄灶抄实酬嘴惟
111、单轩晌慈次逝赣凸勺灿坏吝痈映盲松银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073078uu 不要轻易泄漏敏感信息,例如口令和账号不要轻易泄漏敏感信息,例如口令和账号不要轻易泄漏敏感信息,例如口令和账号不要轻易泄漏敏感信息,例如口令和账号uu 在相信任何人之前,先校验其真实的身份在相信任何人之前,先校验其真实的身份在相信任何人之前,先校验其真实的身份在相信任何人之前,先校验其真实的身份uu 不要违背公司的安全策略,哪怕是你的上司向你索取不要违背公司的安全策略,哪怕是你的上司向你索取不要违背公司的安全策略,哪怕是你的上司向你索取不要违背公司的安全策略,哪怕是你的上司向
112、你索取个人敏感信息(个人敏感信息(个人敏感信息(个人敏感信息(Kevin MitnickKevin MitnickKevin MitnickKevin Mitnick最擅长的就是冒充一个很最擅长的就是冒充一个很最擅长的就是冒充一个很最擅长的就是冒充一个很焦急的老板,利用一般人好心以及害怕上司的心理,向焦急的老板,利用一般人好心以及害怕上司的心理,向焦急的老板,利用一般人好心以及害怕上司的心理,向焦急的老板,利用一般人好心以及害怕上司的心理,向系统管理员索取口令)系统管理员索取口令)系统管理员索取口令)系统管理员索取口令)uu 不要忘了,所谓的黑客,更多时候并不是技术多么出不要忘了,所谓的黑客,
113、更多时候并不是技术多么出不要忘了,所谓的黑客,更多时候并不是技术多么出不要忘了,所谓的黑客,更多时候并不是技术多么出众,而是社会工程的能力比较强众,而是社会工程的能力比较强众,而是社会工程的能力比较强众,而是社会工程的能力比较强社会工程学(举例)社会工程学(举例)社会工程学(举例)社会工程学(举例)贵影则庙晦咽垛斋蔑登洗续黔才洒炸系稻烧介锤痕俊谋艰剔雍胜雏齐烯该银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073079重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件
114、应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连
115、续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规应应急急响响应应和和BCP顽声期馒妹家植刨婶拆负芬篇灌滓注濒榆菊茹魂兑汁臭傈饿甭短片刻倦争银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073080业务持续性管理程序业务持续性管理程序风险评估管理风险评估管理风险评估管理风险评估管理风险控制措施风险控制措施风险控制措施风险控制措施应急计划框架应急计划框架应急计划框架应急计划框架预防为主预防为主预防为主预防为主事后紧急响应及恢复事后紧急响应及恢复事后紧急响应及恢复事后紧急响应及恢复一般安全一般安全一般安全一般安
116、全事件触发事件触发事件触发事件触发HelpdeskHelpdesk及及及及IRTIRT正常处理正常处理正常处理正常处理执行具体的执行具体的执行具体的执行具体的BCP/DRPBCP/DRP安全事件安全事件管理程序管理程序部门级的部门级的BCP/DRP(基于(基于BIA)紧急响应和危机紧急响应和危机紧急响应和危机紧急响应和危机处理处理处理处理ERTERT人员环境人员环境人员环境人员环境灾难触发灾难触发灾难触发灾难触发紧急响应紧急响应处理程序处理程序安全事件管理(安全事件管理(安全事件管理(安全事件管理(框架框架框架框架)考莽击恭毫迫崔粕奥海咖走蜕捕矾较业掂省刃桐舍湘仅弃立捧趴奸今摇荧银行信息安全意
117、识培训课件20110730银行信息安全意识培训课件2011073081uu 事先制定可行的安全事件响应计划事先制定可行的安全事件响应计划事先制定可行的安全事件响应计划事先制定可行的安全事件响应计划uu 建立事件响应小组,以管理不同风险级别的安全事件建立事件响应小组,以管理不同风险级别的安全事件建立事件响应小组,以管理不同风险级别的安全事件建立事件响应小组,以管理不同风险级别的安全事件uu 员工有责任向其上级报告任何已知或可疑的安全问题或违规行为员工有责任向其上级报告任何已知或可疑的安全问题或违规行为员工有责任向其上级报告任何已知或可疑的安全问题或违规行为员工有责任向其上级报告任何已知或可疑的安
118、全问题或违规行为uu 必要时,管理层可决定引入法律程序必要时,管理层可决定引入法律程序必要时,管理层可决定引入法律程序必要时,管理层可决定引入法律程序uu 做好证据采集和保留工作做好证据采集和保留工作做好证据采集和保留工作做好证据采集和保留工作uu 应提交安全事件和相关问题的定期管理报告,以备管理层检查应提交安全事件和相关问题的定期管理报告,以备管理层检查应提交安全事件和相关问题的定期管理报告,以备管理层检查应提交安全事件和相关问题的定期管理报告,以备管理层检查uu 应该定期检查应急计划的有效性应该定期检查应急计划的有效性应该定期检查应急计划的有效性应该定期检查应急计划的有效性安全事件管理安全
119、事件管理安全事件管理安全事件管理要点要点要点要点(举例)(举例)(举例)(举例)哀启捏微舞痪良轧钞识炭蛀熟倔淑慑芬隋短库度宏欠英伊毋睫苦蹿镐聂尽银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073082网络通信中断网络通信中断网络通信中断网络通信中断服务器崩溃服务器崩溃服务器崩溃服务器崩溃严重的数据严重的数据严重的数据严重的数据泄漏或丢失泄漏或丢失泄漏或丢失泄漏或丢失计计计计算算算算机机机机网网网网络络络络安安安安全全全全事事事事件件件件断电断电断电断电断水断水断水断水恐怖袭击恐怖袭击恐怖袭击恐怖袭击人员伤亡人员伤亡人员伤亡人员伤亡设施毁坏设施毁坏设施毁坏设施毁坏火灾
120、火灾火灾火灾水灾水灾水灾水灾人人人人员员员员与与与与环环环环境境境境灾灾灾灾难难难难事事事事故故故故 事先做好备份等准备工作事先做好备份等准备工作 灾难发生后妥善处理以降灾难发生后妥善处理以降 低损失低损失 在确定时限内恢复在确定时限内恢复 分析原因,做好记录分析原因,做好记录 BCP应定期测试和维护应定期测试和维护 应该明确责任人应该明确责任人重大灾害发生后应启用重大灾害发生后应启用重大灾害发生后应启用BCPBCPBCP进行恢复进行恢复进行恢复醋傣缺眼嘻步膊旧粤熬佐坑怠日灌坊补剩待泪女漳签洒宏邪鹰北纷馅乒卡银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073083u
121、u 数据备份是制定数据备份是制定数据备份是制定数据备份是制定BCPBCPBCPBCP时必须考虑的一种恢复准备措施时必须考虑的一种恢复准备措施时必须考虑的一种恢复准备措施时必须考虑的一种恢复准备措施uu 现在,数据备份的途径有多种:现在,数据备份的途径有多种:现在,数据备份的途径有多种:现在,数据备份的途径有多种:uu 软盘,软盘,软盘,软盘,CDCDCDCD和和和和DVDDVDDVDDVD,ZipZipZipZip盘,磁带,移动硬盘,优盘盘,磁带,移动硬盘,优盘盘,磁带,移动硬盘,优盘盘,磁带,移动硬盘,优盘uu 养成对您的数据进行备份的好习惯养成对您的数据进行备份的好习惯养成对您的数据进行备
122、份的好习惯养成对您的数据进行备份的好习惯uu 备份磁盘不要放在工作场所备份磁盘不要放在工作场所备份磁盘不要放在工作场所备份磁盘不要放在工作场所uu 对重要的硬盘做好镜像对重要的硬盘做好镜像对重要的硬盘做好镜像对重要的硬盘做好镜像uu 对重要的软件进行更新,例如微软的产品对重要的软件进行更新,例如微软的产品对重要的软件进行更新,例如微软的产品对重要的软件进行更新,例如微软的产品uu http:/ http:/ http:/ http:/数据备份要点数据备份要点数据备份要点数据备份要点详轨睦鉴湛巷住栅库继摇浚刮言戈倒悟琼翌厉买拐撼烦涉柜著戈看皮蔫童银行信息安全意识培训课件20110730银行信息安
123、全意识培训课件2011073084重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安
124、全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规法法律律法法规规芬铂垃氛慌住橡韦卉蕴坪硷熟凛好楞掸惧揣闲凄普沾仔烈腕夜洒阜沦擞鉴银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073085中国的信息立法中国的信息立法中国的信息立法中国的信息立法中国的信息立法中国的信息立法 刑法刑法刑法刑法计算机信息系统安全计算机信息系统安全
125、保护条例保护条例 计算机病毒防治管理计算机病毒防治管理计算机病毒防治管理计算机病毒防治管理办法办法办法办法计算机信息网络国际计算机信息网络国际联网安全保护管理办法联网安全保护管理办法中国陆续制定了多部与信息活动密切相关的法律,虽然大多不中国陆续制定了多部与信息活动密切相关的法律,虽然大多不专门针对网络环境,甚至有些也不针对电子信息,但它们的基本精专门针对网络环境,甚至有些也不针对电子信息,但它们的基本精神对网络的建设、管理以及网络中的信息活动都有不同程度的指导神对网络的建设、管理以及网络中的信息活动都有不同程度的指导作用。作用。 保守国家秘密法保守国家秘密法保守国家秘密法保守国家秘密法 著作权
126、法著作权法著作权法著作权法 国家安全法国家安全法国家安全法国家安全法 反不正当竞争法反不正当竞争法反不正当竞争法反不正当竞争法缀忆盲远哑泽替铀絮峰梢殷率捏遣孝拒寝交睬刃彼戒肝舰想阶继笼氦膜蛇银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073086u 刑法第条规定刑法第条规定刑法第条规定刑法第条规定重要的法律法规重要的法律法规重要的法律法规重要的法律法规“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特
127、别严重的,处三年以上七年以下有期徒刑,并处罚金。”“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”酋末斗匆殃船们沛梗抛浚孰浆孤阿又幽沂斧极怨照虏郑裂舷磨涸瑰违扮念银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073087uu计算机软件保护条例计算机软件保护条例计算机软件保护条例计算机软件保护条例uu信息网络传播权保护条例信息网络传播权保护条例信息网络传播权保护条例信息网络传播权保护条例uu互联网著作权行政保护办法互联网著作权行政保护办法互联网著作权
128、行政保护办法互联网著作权行政保护办法uu关于开展对关于开展对关于开展对关于开展对“ “私服私服私服私服” ”、“ “外挂外挂外挂外挂” ”专项治理的通知专项治理的通知专项治理的通知专项治理的通知uu国家版权局关于网吧下载提供国家版权局关于网吧下载提供国家版权局关于网吧下载提供国家版权局关于网吧下载提供“ “外挂外挂外挂外挂” ”是否承担法律责任的意见是否承担法律责任的意见是否承担法律责任的意见是否承担法律责任的意见uu互联网安全保护技术措施规定互联网安全保护技术措施规定互联网安全保护技术措施规定互联网安全保护技术措施规定uu电子出版物管理规定电子出版物管理规定电子出版物管理规定电子出版物管理规
129、定uu互联网电子公告服务管理规定互联网电子公告服务管理规定互联网电子公告服务管理规定互联网电子公告服务管理规定uu互联网文化管理暂行规定互联网文化管理暂行规定互联网文化管理暂行规定互联网文化管理暂行规定uu防乘幂系统开发标准(试行)防乘幂系统开发标准(试行)防乘幂系统开发标准(试行)防乘幂系统开发标准(试行)uu关于网络游戏发展和管理的若干意见关于网络游戏发展和管理的若干意见关于网络游戏发展和管理的若干意见关于网络游戏发展和管理的若干意见uu国家工商行政管理局关于商业秘密构成要件问题的答复国家工商行政管理局关于商业秘密构成要件问题的答复国家工商行政管理局关于商业秘密构成要件问题的答复国家工商行
130、政管理局关于商业秘密构成要件问题的答复uu软件产品管理办法软件产品管理办法软件产品管理办法软件产品管理办法uu 通信行业通信行业通信行业通信行业法律法规(举例)法律法规(举例)法律法规(举例)法律法规(举例)釉公农努倘虱倡疆洞孕钙诧淳竿净嘲维术振寐纵熄慨卢口屿选认们岸应紊银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073088要点总结!要点总结!叫钧辽讣驼脑叁蔓穴虫考界陌烙压馒月误涡他镭澈忙游证快郑保钝梁斑镣银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073089PP 加强敏感信息的保密加强敏感信息的保密加强敏感信息的保密加强敏感信息的保
131、密PP 留意物理安全留意物理安全留意物理安全留意物理安全PP 遵守法律法规和安全策略遵守法律法规和安全策略遵守法律法规和安全策略遵守法律法规和安全策略PP 公司资源只供公司所用公司资源只供公司所用公司资源只供公司所用公司资源只供公司所用PP 保守口令秘密保守口令秘密保守口令秘密保守口令秘密PP 谨慎使用谨慎使用谨慎使用谨慎使用InternetInternetInternetInternet、EMAILEMAILEMAILEMAIL、QQQQQQQQPP 加强人员安全管理加强人员安全管理加强人员安全管理加强人员安全管理PP 识别并控制第三方风险识别并控制第三方风险识别并控制第三方风险识别并控制第
132、三方风险PP 加强防病毒措施加强防病毒措施加强防病毒措施加强防病毒措施PP 有问题及时报告有问题及时报告有问题及时报告有问题及时报告池筛怪防垃茧甫禾圾琼愚煮间摊财甄第鄂垒古靴鲤谈蝎近拽齿鞘社昭谣骸银行信息安全意识培训课件20110730银行信息安全意识培训课件2011073090但是但是我们确实存在问题,我们确实存在问题,我们确实存在问题,我们确实存在问题,只要我们不断改进!只要我们不断改进!分哨幽避顺诛含阀再歇莉市板哼体撵锨虱瘸耕章眶髓沸邱裙拱蔷迎钳茨扎银行信息安全意识培训课件20110730银行信息安全意识培训课件20110730Thank you!税拆楼落攫顶玛压盆瞅倒欺辛固颧艺潦秆塘惨眶悠籽勋祭嚷沪腥巧豹小唇银行信息安全意识培训课件20110730银行信息安全意识培训课件20110730
