1、2 1、國內(nèi)多家銀行網(wǎng)銀用戶遭到大規(guī)模釣魚攻擊，損失巨大； 2、RSA遭黑客攻擊，主流身份認(rèn)證產(chǎn)品SecureID的重要信息泄漏，導(dǎo)致美國多家軍工企業(yè)信息系統(tǒng)受到嚴(yán)重威脅； 3、LulzSec成功襲擊了中央情報局，美國參議院，任天堂，索尼等多家機(jī)構(gòu)，引起國際社會廣泛關(guān)注； 4、花旗銀行網(wǎng)站遭遇黑客 20萬信用卡用戶信息被盜； 5、由于南海領(lǐng)土糾紛引起中越黑客相互攻擊對方重要網(wǎng)站； 6、韓國農(nóng)協(xié)銀行遭遇攻擊導(dǎo)致系統(tǒng)長時間癱瘓及大量交易數(shù)據(jù)丟失； 7、美聯(lián)合航空電腦故障，全國服務(wù)大亂； 8、騰訊網(wǎng)大面積訪問異常； 9、新浪微博病毒大范圍傳播； 10、Comodo等多家證書機(jī)構(gòu)遭到攻擊，攻擊者得以偽

2、造google等多家知名網(wǎng)站證書，使互聯(lián)網(wǎng)安全遭遇嚴(yán)重威脅；45 系統(tǒng)漏洞系統(tǒng)漏洞雷雨雷雨678蓄意破壞蓄意破壞9101112嚴(yán)防威脅嚴(yán)防威脅消減弱點(diǎn)消減弱點(diǎn)應(yīng)急響應(yīng)應(yīng)急響應(yīng)保護(hù)資產(chǎn)保護(hù)資產(chǎn)13141516171819202122三分技術(shù)，七分管理！232425對于敏感類的電子信息，要建立嚴(yán)格的邏輯訪問控制措施，例如數(shù)字證書、 動態(tài)口令、一次性口令卡等強(qiáng)認(rèn)證措施來保證電子數(shù)據(jù)的安全使用；同時也須建立留痕機(jī)制，以確定敏感信息使用情況的可審計性。限制敏感類信息在網(wǎng)上，特別是在外網(wǎng)上進(jìn)行傳輸。對敏感類的文件、資料、音像制品等，要存放在文件柜內(nèi)，并加鎖保護(hù)；不得隨意擱置在桌面或夾帶在日常的文件中，不得

3、私自翻印、復(fù)制、摘錄及外傳。符合保密辦要求的機(jī)密類文件，按保密辦的有關(guān)要求處理。用于登錄和訪問計算機(jī)系統(tǒng)的終端設(shè)備，要專機(jī)專用，不可以訪問外部網(wǎng)絡(luò)，并及時更新的殺毒軟件，做好病毒防范工作。27u 根據(jù)需要，在合同或個人協(xié)議中明確安全方面的承諾和要求；u 明確及客戶進(jìn)行數(shù)據(jù)交接的人員責(zé)任，控制客戶數(shù)據(jù)使用及分發(fā)；u 明確非業(yè)務(wù)部門在授權(quán)使用客戶數(shù)據(jù)時的保護(hù)責(zé)任；u 基于業(yè)務(wù)需要，主管決定是否對重要數(shù)據(jù)進(jìn)行加密保護(hù)；u 禁止將客戶數(shù)據(jù)或客戶標(biāo)識用于非項目相關(guān)的場合如培訓(xùn)材料；u 客戶現(xiàn)場的工作人員，嚴(yán)格遵守客戶Policy，妥善保護(hù)客戶數(shù)據(jù)；u 打印件應(yīng)設(shè)置標(biāo)識，及時取回，并妥善保存或處理。數(shù)據(jù)恢

4、復(fù)數(shù)據(jù)恢復(fù)技術(shù)：技術(shù)： 數(shù)據(jù)恢復(fù)是指運(yùn)用軟、硬件技術(shù)對刪除或因介質(zhì)損壞等丟失的數(shù)據(jù)予以還原的過程。U盤或計算機(jī)硬盤存儲的數(shù)據(jù)即使已被刪除或進(jìn)行格式化處理，使用專用軟件仍能將其恢復(fù)，這種方法也因此成為竊密的手段之一。 例如，竊密者使用從互聯(lián)網(wǎng)下載的恢復(fù)軟件對目標(biāo)計算機(jī)的已被格式化的U盤進(jìn)行格式化恢復(fù)操作后，即可成功的恢復(fù)原有文件。安全事件安全事件 香港某明星曾托助手將其手提電腦，送到一間計算機(jī)公司維修，其后有人把計算機(jī)中已經(jīng)刪除的照片恢復(fù)后制作成光盤，發(fā)放予朋友及其它人士觀賞。 2930 31323334安全培訓(xùn)安全培訓(xùn)安全計劃啟動安全計劃啟動并并統(tǒng)一注冊統(tǒng)一注冊安全設(shè)計安全設(shè)計最佳做法最佳做法

5、安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)和攻擊面審核和攻擊面審核使用安全開發(fā)使用安全開發(fā)工具以及工具以及安全開發(fā)和安全開發(fā)和測試最佳做法測試最佳做法創(chuàng)建產(chǎn)品創(chuàng)建產(chǎn)品安全文檔安全文檔和工具和工具準(zhǔn)備安全準(zhǔn)備安全響應(yīng)計劃響應(yīng)計劃安全推動安全推動活動活動 滲透滲透 測試測試 最終最終安全安全審核審核安全維護(hù)安全維護(hù)和和響應(yīng)執(zhí)行響應(yīng)執(zhí)行功能列表功能列表質(zhì)量指導(dǎo)原則質(zhì)量指導(dǎo)原則體系結(jié)構(gòu)文檔體系結(jié)構(gòu)文檔日程表日程表設(shè)計規(guī)范設(shè)計規(guī)范測試和驗證測試和驗證編寫新代碼編寫新代碼故障修復(fù)故障修復(fù)代碼簽發(fā)代碼簽發(fā) + Checkpoint Press 簽發(fā)簽發(fā)RTM產(chǎn)品支持產(chǎn)品支持服務(wù)包服務(wù)包/QFE 安全更新安全更新需求需求設(shè)計設(shè)

6、計實施實施驗證驗證發(fā)行發(fā)行支持和維護(hù)支持和維護(hù)威脅建模威脅建模功能規(guī)范功能規(guī)范3536 我行應(yīng)保障應(yīng)用系統(tǒng)、操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)訪問控制的安全，并滿足以下基本原則：（一）必需知道和最小授權(quán)原則。在業(yè)務(wù)需求或工作需要的范圍內(nèi)，授予用戶最小的訪問權(quán)限。（二）職責(zé)分離原則。應(yīng)分離工作職責(zé)，以降低未授權(quán)訪問、無意識修改或濫用信息系統(tǒng)和數(shù)據(jù)的可能性。（三）默認(rèn)拒絕原則。當(dāng)用戶沒有明確標(biāo)明權(quán)限配置，則默認(rèn)用戶不能訪問未經(jīng)授權(quán)的信息系統(tǒng)和數(shù)據(jù)。（四）可審計原則。通過安全管理平臺訪問流程中保留相關(guān)記錄，可審計跟蹤其工作過程和結(jié)果。383940應(yīng)對我行所有員工及外包人員進(jìn)行安全管理，明確人員任用各環(huán)節(jié)中的安全控制

7、措施，確保其理解應(yīng)承擔(dān)的安全責(zé)任，減少因人員故意或過失導(dǎo)致的安全風(fēng)險我行應(yīng)加強(qiáng)對外包人員的安全管理，按照“必需知道”和“最小授權(quán)”原則進(jìn)行授權(quán)。應(yīng)避免外包人員進(jìn)入我行安全區(qū)域，如需進(jìn)入，應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn)，相關(guān)人員的活動也應(yīng)受到嚴(yán)格監(jiān)控。定期對我行所有員工及外包人員進(jìn)行信息安全意識教育和崗位相關(guān)安全技能培訓(xùn)，使其了解常見的安全威脅及相應(yīng)的防護(hù)措施。 我行在人員任用前應(yīng)實施有效的安全控制，包括但不限于：（一）所有員工及可能接觸我行信息資產(chǎn)的外包人員在任用前，均應(yīng)進(jìn)行背景考察，并簽署保密協(xié)議。（二）確保所有員工及外包人員開展工作前，了解我行的安全管理規(guī)定，并通過適當(dāng)?shù)膷徫徽f明書及相關(guān)協(xié)議加以明確。

8、我行在人員任用中應(yīng)實施適當(dāng)?shù)陌踩刂疲ǖ幌抻冢海ㄒ唬┟鞔_各級人員信息安全職責(zé)，使所有員工和外包人員了解工作中面臨的信息安全風(fēng)險、信息安全相關(guān)責(zé)任和義務(wù)。（二）所有員工及外包人員應(yīng)遵守我行信息安全管理辦法及相關(guān)規(guī)定。（三）制定明確的罰則，對違反我行信息安全管理辦法及相關(guān)規(guī)定的員工及外包人員進(jìn)行相應(yīng)的處罰。在人員任用中止及任用變更時實施的安全控制包括但不限于：（一）終止離職或變更的我行所有員工和外包人員的工作職責(zé)。（二）收回離職的我行所有員工和外包人員所使用的相關(guān)物品與信息資產(chǎn)。（三）刪除或變更他們對我行信息及信息系統(tǒng)的所有使用權(quán)和訪問權(quán)。44454647495051525354555657

9、58596061計算機(jī)病毒及木馬等惡意程序能導(dǎo)致系統(tǒng)破壞、數(shù)據(jù)泄露、網(wǎng)絡(luò)中斷等嚴(yán)重安全事件發(fā)生，是信息系統(tǒng)的最大安全威脅之一。員工應(yīng)配合作好個人辦公機(jī)及個人生產(chǎn)終端等的病毒防范工作。員工應(yīng)在日常工作中落實防治病毒日常管理制度，PC責(zé)任人對使用計算機(jī)染毒情況進(jìn)行自查。個人所用電腦應(yīng)開啟防病毒軟件及相應(yīng)安全防護(hù)軟件的實時防護(hù)功能。防病毒軟件及相應(yīng)安全防護(hù)軟件升級周期為互聯(lián)網(wǎng)計算機(jī)實時升級、生產(chǎn)終端每周至少升級一次，員工應(yīng)檢查確認(rèn)是否及時升級，每周至少檢查一次。員工個人所用電腦每周至少進(jìn)行一次病毒全面查殺，防病毒軟件一般設(shè)置為定期自動查殺，如未設(shè)置，也可手動進(jìn)行查殺。個人所用電腦上發(fā)現(xiàn)病毒時，應(yīng)及時

10、進(jìn)行病毒查殺。生產(chǎn)終端上發(fā)現(xiàn)病毒時，應(yīng)立即斷開網(wǎng)絡(luò)，全面查殺并經(jīng)信息安全管理員確認(rèn)后方可再次連入網(wǎng)絡(luò)。我行病毒防范相關(guān)要求我行病毒防范相關(guān)要求移動存儲設(shè)備的管理遵循“統(tǒng)一購買、統(tǒng)一標(biāo)識、責(zé)任到人”的原則。采取授權(quán)管理，由PC使用部門負(fù)責(zé)人審核并授權(quán)后，移動設(shè)備方可在金融網(wǎng)PC上使用。移動存儲設(shè)備在入網(wǎng)使用前，要查殺病毒、木馬等惡意代碼。在使用U盤、光盤等移動介質(zhì)前，一定要先進(jìn)行病毒檢查；在生產(chǎn)終端上使用的U盤等應(yīng)作到專用；盡量減少在生產(chǎn)終端上使用移動介質(zhì)；禁止使用不明來歷的移動介質(zhì)。禁止使用USB口給手機(jī)等設(shè)備充電。對不必使用移動設(shè)備的生產(chǎn)網(wǎng)終端采取技術(shù)手段，對終端USB端口進(jìn)行封堵。封堵后需

11、要開啟時，必須由終端使用部門領(lǐng)導(dǎo)授權(quán)審核后，方可由技術(shù)人員開啟。員工發(fā)現(xiàn)防病毒軟件不能有效清除病毒時，應(yīng)立即向信息科技工作主管部門報告，在問題處理前禁止使用感染病毒的文件。我行病毒防范相關(guān)要求我行病毒防范相關(guān)要求646566676869我行賬戶及口令管理要求本行生產(chǎn)網(wǎng)計算機(jī)禁用guest用戶，嚴(yán)禁私自啟用其他具有管理員權(quán)限的賬戶，嚴(yán)禁私自建立普通用戶，如需增加其他用戶，嚴(yán)格控制用戶權(quán)限，生產(chǎn)用機(jī)中普通用戶和管理員用戶應(yīng)嚴(yán)格分離。不得私下互相轉(zhuǎn)讓、借用本行IT資源的賬號。在工作崗位調(diào)動或離職時，員工應(yīng)主動移交全部賬號和口令。本行員工必須嚴(yán)格遵守生產(chǎn)機(jī)賬戶設(shè)置及口令要求：（一）在使用自己所屬的計算

12、機(jī)時，應(yīng)該設(shè)置計算機(jī)開機(jī)口令、操作系統(tǒng)登錄口令、操作系統(tǒng)屏幕保護(hù)口令（操作系統(tǒng)屏幕保護(hù)程序要設(shè)置為在5分鐘內(nèi)自動啟動）。 （二）計算機(jī)口令應(yīng)滿足密碼強(qiáng)度要求，應(yīng)當(dāng)同時包含大、小寫字母、數(shù)字和特殊字符的組合，口令長度不能小于8個字符；（三）操作系統(tǒng)或應(yīng)用系統(tǒng)應(yīng)當(dāng)啟動口令設(shè)置規(guī)則，防止用戶使用原始密碼等弱口令。（四）口令中不得使用以下組合：用戶名、姓名的拼音、英文名、身份證號碼、電話號碼、生日等容易被別人猜測的信息，以及其它系統(tǒng)已使用的口令等。（五）口令至少每3月更改一次，6個月內(nèi)不得重復(fù)使用相同的口令。本行員工必須嚴(yán)格遵守生產(chǎn)機(jī)賬戶設(shè)置及口令要求：（六）計算機(jī)系統(tǒng)用戶口令持有人應(yīng)保證口令的保密性

13、，不應(yīng)將口令記錄在紙質(zhì)介質(zhì)中（密碼信封除外）和電子文檔中，嚴(yán)禁將口令放置在辦公桌面或貼在計算機(jī)機(jī)箱、終端屏幕等上。（七）嚴(yán)禁將計算機(jī)系統(tǒng)用戶口令借給他人使用，任何情況下不應(yīng)泄漏計算機(jī)系統(tǒng)用戶口令，一旦發(fā)現(xiàn)或懷疑計算機(jī)系統(tǒng)用戶口令泄漏，應(yīng)立即更換。（八）及時清理各業(yè)務(wù)系統(tǒng)中已不在崗的賬號。7374757677電子郵件已成為常用的通信方式，但電子郵件導(dǎo)致病毒傳播、數(shù)據(jù)泄露，垃圾郵件消耗系統(tǒng)資源、降低工作效率等安全問題日益嚴(yán)重，員工在使用電子郵件時應(yīng)作好相應(yīng)安全防范工作。根據(jù)用途和數(shù)據(jù)安全等因素建立郵箱分類使用策略：（一）收發(fā)本行業(yè)務(wù)數(shù)據(jù)時使用本行內(nèi)部OA郵箱；（二）公務(wù)處理和私人郵箱分開；（三）網(wǎng)

14、站注冊用戶時提供不重要的郵箱作為聯(lián)系郵箱等。為經(jīng)常使用的郵箱和重要郵箱設(shè)置安全強(qiáng)度高的密碼，并定期修改，建議每季度修改一次。不同用途的郵箱設(shè)置不同的密碼。防范電子郵件傳播病毒的基本要求：（一）在收發(fā)電子郵件前，應(yīng)確認(rèn)防病毒軟件實時監(jiān)控功能已開啟；（二）對每次收到的電子郵件，打開前均檢查病毒；（三）在收到來自本行內(nèi)部員工發(fā)來的含有病毒的郵件，除自己進(jìn)行殺毒外，還應(yīng)及時通知對方殺毒；（四）不打開可疑郵件、垃圾郵件、不明來源郵件等提供的附件或網(wǎng)址，對這類郵件直接刪除；防范垃圾郵件的基本要求（一）經(jīng)常使用的郵箱，尤其是本行內(nèi)部郵箱，應(yīng)盡量避免在互聯(lián)網(wǎng)上公開。 例如：網(wǎng)上調(diào)查表填寫、網(wǎng)站用戶注冊、BBS

15、論壇中。（二）不要回復(fù)可疑郵件、垃圾郵件、不明來源郵件。（三）不要在免費(fèi)郵箱上保存敏感數(shù)據(jù)。防范數(shù)據(jù)泄露的基本要求：（一）收發(fā)本行業(yè)務(wù)相關(guān)的郵件時，必須使用本行內(nèi)部OA郵箱，并盡量要求對方使用對方內(nèi)部郵箱。（二）發(fā)送敏感數(shù)據(jù)時，應(yīng)采用加密郵件方式發(fā)送。82838485868788899091業(yè)務(wù)持續(xù)性管理程序業(yè)務(wù)持續(xù)性管理程序安全事件安全事件管理程序管理程序部門級的部門級的BCP/DRP（基于（基于BIA）緊急響應(yīng)緊急響應(yīng)處理程序處理程序9293 事先做好備份等準(zhǔn)備工作事先做好備份等準(zhǔn)備工作 災(zāi)難發(fā)生后妥善處理以降災(zāi)難發(fā)生后妥善處理以降 低損失低損失 在確定時限內(nèi)恢復(fù)在確定時限內(nèi)恢復(fù) 分析原因

16、，做好記錄分析原因，做好記錄 BCP應(yīng)定期測試和維護(hù)應(yīng)定期測試和維護(hù) 應(yīng)該明確責(zé)任人應(yīng)該明確責(zé)任人949596計算機(jī)信息系統(tǒng)安全保計算機(jī)信息系統(tǒng)安全保護(hù)條例護(hù)條例計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法網(wǎng)安全保護(hù)管理辦法97“違反國家規(guī)定，侵入前款規(guī)定以外的計算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機(jī)信息系統(tǒng)實施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。” “提供專門用于侵入、非法控制計算機(jī)信息系統(tǒng)的程序、工具，或者明知他人實施侵入、非法控制計算機(jī)信息系統(tǒng)