1、信息技術(shù)部,2011年7月,銀行信息安全意識(shí)交流,建立對(duì)信息安全的敏感意識(shí)和正確認(rèn)識(shí) 掌握信息安全的基本概念、原則和慣例 清楚可能面臨的威脅和風(fēng)險(xiǎn) 遵守各項(xiàng)安全策略和制度 在日常工作中養(yǎng)成良好的安全習(xí)慣 最終提升整體的信息安全水平,2,我們的目標(biāo),1、國(guó)內(nèi)多家銀行網(wǎng)銀用戶遭到大規(guī)模釣魚攻擊，損失巨大； 2、RSA遭黑客攻擊，主流身份認(rèn)證產(chǎn)品SecureID的重要信息泄漏，導(dǎo)致美國(guó)多家軍工企業(yè)信息系統(tǒng)受到嚴(yán)重威脅； 3、LulzSec成功襲擊了中央情報(bào)局，美國(guó)參議院，任天堂，索尼等多家機(jī)構(gòu)，引起國(guó)際社會(huì)廣泛關(guān)注； 4、花旗銀行網(wǎng)站遭遇黑客 20萬信用卡用戶信息被盜； 5、由于南海領(lǐng)土糾紛引起中越

2、黑客相互攻擊對(duì)方重要網(wǎng)站； 6、韓國(guó)農(nóng)協(xié)銀行遭遇攻擊導(dǎo)致系統(tǒng)長(zhǎng)時(shí)間癱瘓及大量交易數(shù)據(jù)丟失； 7、美聯(lián)合航空電腦故障，全國(guó)服務(wù)大亂； 8、騰訊網(wǎng)大面積訪問異常； 9、新浪微博病毒大范圍傳播； 10、Comodo等多家證書機(jī)構(gòu)遭到攻擊，攻擊者得以偽造google等多家知名網(wǎng)站證書，使互聯(lián)網(wǎng)安全遭遇嚴(yán)重威脅；,4,5,高枕無憂,慘痛教訓(xùn),補(bǔ)丁管理,應(yīng)用安全,數(shù)據(jù)加密,隱私防范,拒絕服務(wù)攻擊,集中管理,移動(dòng)存儲(chǔ),釣魚劫持,惡意代碼,無線攻擊,6,Windows XP/7,如果我是黑客 1、絕大多數(shù)筆記本電腦都內(nèi)置麥克風(fēng)且處于開啟狀態(tài)； 2、開啟錄音功能； 3、錄制所需內(nèi)容并將其放置于某Web頁(yè)面之上：

3、 4.開啟所有筆記本的攝像頭，并把錄像放置于某Web頁(yè)面之上：,7,信息資產(chǎn),拒絕服務(wù),流氓軟件,黑客滲透,內(nèi)部人員威脅,木馬后門,病毒和蠕蟲,社會(huì)工程,系統(tǒng)漏洞,硬件故障,網(wǎng)絡(luò)通信故障,供電中斷,失火,雷雨,地震,威脅無處不在,8,外部威脅,9,黑客攻擊基本手法,10,病從口入 天時(shí) 地利 人和,員工誤操作,蓄意破壞,職責(zé)權(quán)限混淆,內(nèi)部威脅,11, 技術(shù)弱點(diǎn), 操作弱點(diǎn), 管理弱點(diǎn),系統(tǒng)、 程序、設(shè)備中存在的漏洞或缺陷,配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計(jì)或備份過程的不當(dāng)?shù)?策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面的不足,自身弱點(diǎn),12,將口令寫在便簽上，貼在電腦監(jiān)視器旁

4、 開著電腦離開，就像離開家卻忘記關(guān)燈那樣 輕易相信來自陌生人的郵件，好奇打開郵件附件 使用容易猜測(cè)的口令，或者根本不設(shè)口令 丟失筆記本電腦 不能保守秘密，口無遮攔，上當(dāng)受騙，泄漏敏感信息 隨便撥號(hào)上網(wǎng)，或者隨意將無關(guān)設(shè)備連入公司網(wǎng)絡(luò) 事不關(guān)己，高高掛起，不報(bào)告安全事件 在系統(tǒng)更新和安裝補(bǔ)丁上總是行動(dòng)遲緩 只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題 會(huì)后不擦黑板，會(huì)議資料隨意放置在會(huì)場(chǎng),最常犯的一些錯(cuò)誤,13,信息資產(chǎn)對(duì)我們很重要，是要保護(hù)的對(duì)象 威脅就像蒼蠅一樣，揮之不去，無所不在 資產(chǎn)自身又有各種弱點(diǎn)，給威脅帶來可乘之機(jī) 面臨各種風(fēng)險(xiǎn)，一旦發(fā)生就成為安全事件、事故,保持清醒認(rèn)識(shí),14,熟悉潛在

5、的安全問題 知道怎樣防止其發(fā)生 明確發(fā)生后如何應(yīng)對(duì),我們應(yīng)該,15,理解和鋪墊,基本概念,16,消息、信號(hào)、數(shù)據(jù)、情報(bào)和知識(shí) 信息本身是無形的，借助于信息媒體以多種形式存在或傳播： 存儲(chǔ)在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中 記憶在人的大腦里 通過網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播 信息借助媒體而存在，對(duì)現(xiàn)代企業(yè)來說具有價(jià)值，就成為信息資產(chǎn)： 計(jì)算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù) 硬件、軟件、文檔資料 關(guān)鍵人員 組織提供的服務(wù) 具有價(jià)值的信息資產(chǎn)面臨諸多威脅，需要妥善保護(hù),Information,什么是信息,17,采取措施保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)

6、行，使安全事件對(duì)業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。,什么是信息安全,18,CIA,信息安全基本目標(biāo),19,管理者的最終目標(biāo),20,因果關(guān)系,21,物理安全：環(huán)境安全、設(shè)備安全、媒體安全 系統(tǒng)安全：操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)的安全性 網(wǎng)絡(luò)安全：網(wǎng)絡(luò)隔離、訪問控制、VPN、入侵檢測(cè)、掃描評(píng)估 應(yīng)用安全：Email安全、Web訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全 數(shù)據(jù)加密：硬件和軟件加密，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的CIA特性 認(rèn)證授權(quán)：口令認(rèn)證、SSO認(rèn)證（例如Kerberos）、證書認(rèn)證等 訪問控制：防火墻、訪問控制列表等 審計(jì)跟蹤：入侵檢測(cè)、日志審計(jì)、辨析取證 防殺病毒：?jiǎn)螜C(jī)防病毒技術(shù)逐漸發(fā)

7、展成整體防病毒體系 災(zāi)備恢復(fù)：業(yè)務(wù)連續(xù)性，前提就是對(duì)數(shù)據(jù)的備份,技術(shù)手段,22,在可用性（Usability）和安全性（Security）之間是一種相反的關(guān)系 提高了安全性，相應(yīng)地就降低了易用性 而要提高安全性，又勢(shì)必增大成本 管理者應(yīng)在二者之間達(dá)成一種可接受的平衡,安全 vs. 可用平衡之道,23,計(jì)算機(jī)安全領(lǐng)域一句格言： “真正安全的計(jì)算機(jī)是拔下網(wǎng)線，斷掉電源，放在地下掩體的保險(xiǎn)柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！?絕對(duì)的安全是不存在的！,24,技術(shù)是信息安全的構(gòu)筑材料，管理是真正的粘合劑和催化劑 信息安全管理構(gòu)成了信息安全具有能動(dòng)性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)

8、的相互協(xié)調(diào)的活動(dòng) 現(xiàn)實(shí)世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的 理解并重視管理對(duì)于信息安全的關(guān)鍵作用，對(duì)于真正實(shí)現(xiàn)信息安全目標(biāo)尤其重要 唯有信息安全管理工作活動(dòng)持續(xù)而周期性的推動(dòng)作用方能真正將信息安全意識(shí)貫徹落實(shí),三分技術(shù)，七分管理！,關(guān)鍵點(diǎn)：信息安全管理,25,務(wù)必重視信息安全管理 加強(qiáng)信息安全建設(shè)工作,管理層：信息安全意識(shí)要點(diǎn),26,安全不是產(chǎn)品的簡(jiǎn)單堆積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程,如何正確認(rèn)識(shí)信息安全,27,重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪

9、問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī),重要信息的保密,28,資產(chǎn)責(zé)任劃分,29,Public公開,Internal Use內(nèi)部公開,Confidencial秘密,Secret機(jī)密、絕密,缺省,信息保密級(jí)別劃分,30,根據(jù)需要，在合同或個(gè)人協(xié)議中明確安全方面的承諾和要求； 明確與客戶進(jìn)行數(shù)據(jù)交接的人員責(zé)任，控制客戶數(shù)據(jù)使用及分發(fā)； 明確非業(yè)務(wù)部門在授權(quán)使用客戶數(shù)據(jù)時(shí)的保護(hù)責(zé)任； 基于業(yè)務(wù)需要，主管決定是否對(duì)重要數(shù)據(jù)進(jìn)行加密保護(hù)； 禁止將客戶數(shù)據(jù)或客戶標(biāo)

10、識(shí)用于非項(xiàng)目相關(guān)的場(chǎng)合如培訓(xùn)材料； 客戶現(xiàn)場(chǎng)的工作人員，嚴(yán)格遵守客戶Policy，妥善保護(hù)客戶數(shù)據(jù)； 打印件應(yīng)設(shè)置標(biāo)識(shí)，及時(shí)取回，并妥善保存或處理。,數(shù)據(jù)保護(hù)安全（舉例）,數(shù)據(jù)恢復(fù)技術(shù)： 數(shù)據(jù)恢復(fù)是指運(yùn)用軟、硬件技術(shù)對(duì)刪除或因介質(zhì)損壞等丟失的數(shù)據(jù)予以還原的過程。U盤或計(jì)算機(jī)硬盤存儲(chǔ)的數(shù)據(jù)即使已被刪除或進(jìn)行格式化處理，使用專用軟件仍能將其恢復(fù)，這種方法也因此成為竊密的手段之一。 例如，竊密者使用從互聯(lián)網(wǎng)下載的恢復(fù)軟件對(duì)目標(biāo)計(jì)算機(jī)的已被格式化的U盤進(jìn)行格式化恢復(fù)操作后，即可成功的恢復(fù)原有文件。 安全事件 香港某明星曾托助手將其手提電腦，送到一間計(jì)算機(jī)公司維修，其后有人把計(jì)算機(jī)中已經(jīng)刪除的照片恢復(fù)后

11、制作成光盤，發(fā)放予朋友及其它人士觀賞。,32,重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī),信息交換與備份,33,信息交換原則： 明確要交換信息的敏感級(jí)別，除了顯著標(biāo)注外，根據(jù)其敏感級(jí)別采取合適的保護(hù)措施 信息發(fā)送者和接收者有責(zé)任遵守信息交換要求 物理介質(zhì)傳輸： 與快遞公司簽署不擴(kuò)散協(xié)議，識(shí)別丟失風(fēng)險(xiǎn)，采取必要的控制措施 電子郵件和互聯(lián)網(wǎng)信息交換 明確不可涉及敏感數(shù)據(jù)，如客戶信息、訂單合同等信息 如

12、必須交換此類信息，需申請(qǐng)主管批準(zhǔn)并采取加密傳輸措施或其它保護(hù)機(jī)制 文件共享： 包括Confidential（機(jī)密性）在內(nèi)的高級(jí)別的信息不能被發(fā)布于公共區(qū)域 所有共享文件應(yīng)按照規(guī)則放置在相應(yīng)的文件服務(wù)器目錄中，任何人不得在其個(gè)人電腦中開設(shè)共享。 共享文件夾應(yīng)該設(shè)置恰當(dāng)?shù)脑L問控制，禁止向所有用戶賦予完全訪問權(quán)限 臨時(shí)共享的文件事后應(yīng)予以刪除,信息交換安全（舉例）,34,通過傳真發(fā)送機(jī)密信息時(shí)，應(yīng)提前通知接收者并確保號(hào)碼正確 不允許在公共區(qū)域用移動(dòng)電話談?wù)摍C(jī)密信息 不允許在公共區(qū)域與人談?wù)摍C(jī)密信息 不允許通過電子郵件或IM工具交換賬號(hào)和口令信息 不允許借助公司資源做非工作相關(guān)的信息交換 不允許通過I

13、M工具傳輸文件,信息交換安全（舉例：續(xù)）,35,重要信息系統(tǒng)應(yīng)支持全備份、差量備份和增量備份 IT部門提供備份所需的技術(shù)支持和必要的培訓(xùn) 屬主應(yīng)該確保備份成功并定期檢查日志，根據(jù)需要，實(shí)施測(cè)試以驗(yàn)證備份效率和效力,信息備份安全（舉例）,36,重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī),軟件應(yīng)用安全,37,安全培訓(xùn),安全計(jì)劃啟動(dòng)并統(tǒng)一注冊(cè),安全設(shè)計(jì) 最佳做法,安全體系結(jié)構(gòu) 和攻擊面審核,使用安全開發(fā)

14、 工具以及 安全開發(fā)和 測(cè)試最佳做法,創(chuàng)建產(chǎn)品 安全文檔 和工具,準(zhǔn)備安全 響應(yīng)計(jì)劃,安全推動(dòng) 活動(dòng),滲透 測(cè)試,最終 安全 審核,安全維護(hù) 和 響應(yīng)執(zhí)行,功能列表質(zhì)量指導(dǎo)原則體系結(jié)構(gòu)文檔日程表,設(shè)計(jì)規(guī)范,測(cè)試和驗(yàn)證,編寫新代碼,故障修復(fù),代碼簽發(fā) + Checkpoint Press 簽發(fā),RTM,產(chǎn)品支持服務(wù)包/QFE 安全更新,需求,設(shè)計(jì),實(shí)施,驗(yàn)證,發(fā)行,支持和維護(hù),威脅建模,功能規(guī)范,傳統(tǒng)軟件開發(fā)生命周期的任務(wù)和流程,軟件應(yīng)用安全（方法論）,38,軟件應(yīng)用安全（舉例）,開發(fā)相關(guān)軟件，業(yè)務(wù)和技術(shù)部門做需求評(píng)估，IT相關(guān)軟件由IT部門負(fù)責(zé) 評(píng)估結(jié)果提交專家委員會(huì)審核，確定是否采購(gòu)、外包或

15、自行開發(fā) IT資產(chǎn)管理部門負(fù)責(zé)對(duì)新軟件登記注冊(cè)并標(biāo)注 軟件安裝之前應(yīng)確保其處于安全狀態(tài)（如：無流氓插件、病毒、License合法等） 軟件License管理應(yīng)由專人負(fù)責(zé) 軟件若需更新，應(yīng)提出申請(qǐng)，經(jīng)評(píng)估確認(rèn)后才能實(shí)施，并進(jìn)行記錄 軟件使用到期，應(yīng)卸載軟件,39,重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī),計(jì)算機(jī)網(wǎng)絡(luò)訪問,40,訪問控制基本原則：未經(jīng)明確允許即為禁止訪問 必須通過唯一注冊(cè)的用戶ID來

16、控制用戶對(duì)網(wǎng)絡(luò)的訪問 系統(tǒng)管理員必須確保用戶訪問基于最小特權(quán)原則授權(quán) 用戶必須根據(jù)要求使用口令并保守秘密 系統(tǒng)管理員必須對(duì)用戶訪問權(quán)限進(jìn)行檢查，防止濫用 系統(tǒng)管理員必須確保網(wǎng)絡(luò)服務(wù)可用 系統(tǒng)管理員必須根據(jù)安全制度要求定義訪問控制規(guī)則，用戶必須遵守規(guī)則 各部門應(yīng)按照管理規(guī)定制定并實(shí)施對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)、開發(fā)和測(cè)試系統(tǒng)的訪問規(guī)則,計(jì)算機(jī)網(wǎng)絡(luò)訪問安全（舉例）,41,重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī)

17、,人員安全管理,42,背景檢查,簽署保密協(xié)議,安全職責(zé)說明,技能意識(shí)培訓(xùn),內(nèi)部職位調(diào)整及離職檢查流程,績(jī)效考核和獎(jiǎng)懲,人員安全（舉例）,43,所有員工必須根據(jù)需要接受恰當(dāng)?shù)陌踩嘤?xùn)和指導(dǎo) 根據(jù)工作所需，各部門應(yīng)該識(shí)別并評(píng)估員工的培訓(xùn)需求 業(yè)務(wù)部門應(yīng)該建立并維持員工安全意識(shí)程序，確保員工通過培訓(xùn)而精于工作技能，并將信息安全意識(shí)深入其工作之中 管理層有責(zé)任引領(lǐng)信息安全意識(shí)促進(jìn)活動(dòng) 信息安全意識(shí)培訓(xùn)應(yīng)該持續(xù)進(jìn)行，員工有責(zé)任對(duì)培訓(xùn)效果提出反饋 人力資源部門負(fù)責(zé)跟蹤培訓(xùn)策略的符合性，保留員工接受培訓(xùn)的相關(guān)記錄 信息安全經(jīng)理應(yīng)該接受專門的信息安全技能培訓(xùn) 技術(shù)部門等特定職能和人員應(yīng)該接受相應(yīng)的技能培訓(xùn),人

18、員安全（舉例）,44,應(yīng)該識(shí)別來自第三方的風(fēng)險(xiǎn)：保安、清潔、基礎(chǔ)設(shè)施維護(hù)、供應(yīng)商或外包人員，低質(zhì)量的外包服務(wù)也被視作一種安全風(fēng)險(xiǎn) 簽署第三方協(xié)議時(shí)應(yīng)包含安全要求，必要時(shí)需簽署不擴(kuò)散協(xié)議 第三方若需訪問敏感信息，需經(jīng)檢查和批準(zhǔn)，其訪問將受限制 任何第三方禁止訪問生產(chǎn)網(wǎng)絡(luò) 第三方訪問所用工具應(yīng)經(jīng)過相關(guān)部門檢查，其訪問應(yīng)經(jīng)過認(rèn)證 負(fù)責(zé)第三方訪問的人員需接受必要的安全意識(shí)培訓(xùn),第三方管理安全（舉例）,45,重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社

19、會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī),移動(dòng)計(jì)算與遠(yuǎn)程辦公,46,所有連接辦公網(wǎng)絡(luò)的筆記本電腦或其他移動(dòng)計(jì)算機(jī)，必須按照指定PC安全標(biāo)準(zhǔn)來配置，必須符合補(bǔ)丁和防病毒管理規(guī)定 IT管理部門可以協(xié)助用戶部署必要的筆記本電腦防信息泄漏措施 用戶不能將口令、ID或其他賬戶信息以明文保存在移動(dòng)介質(zhì)上 筆記本電腦遺失應(yīng)按照相應(yīng)管理制度執(zhí)行安全響應(yīng)措施 敏感信息應(yīng)加密保護(hù) 禁止在公共區(qū)域討論敏感信息，或通過筆記本電腦泄漏信息,筆記本電腦與遠(yuǎn)程辦公安全（舉例）,47,重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范

20、病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī),工作環(huán)境及物理安全,48,關(guān)鍵安全區(qū)域包括服務(wù)器機(jī)房、財(cái)務(wù)部門和人力資源部門、法務(wù)部、安全監(jiān)控室應(yīng)具備門禁設(shè)施 前臺(tái)接待負(fù)責(zé)檢查外來訪客證件并進(jìn)行登記，訪客進(jìn)入內(nèi)部需持臨時(shí)卡并由相關(guān)人員陪同 實(shí)施724小時(shí)保安服務(wù)，檢查保安記錄 所有入口和內(nèi)部安全區(qū)都需部署有攝像頭，大門及各樓層入口都被實(shí)時(shí)監(jiān)控 禁止隨意放置或丟棄含有敏感信息的紙質(zhì)文件，廢棄文件需用碎紙機(jī)粉碎 廢棄或待修磁介質(zhì)轉(zhuǎn)交他人時(shí)應(yīng)經(jīng)IT管理部門消磁處理,工作環(huán)境安全（舉例）,49,您肯定用過銀行的ATM機(jī)，您插入銀行卡，然后輸入密

21、碼，然后取錢，然后拔卡，然后離開，您也許注意到您的旁邊沒有別人，您很小心，可是，您真的足夠小心嗎？,我們來看一個(gè)案例,50,51,52,53,54,55,重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī),病毒與惡意代碼,56,中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例,“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。”,什

22、么是計(jì)算機(jī)病毒,57,病毒 Virus,蠕蟲 Worm,木馬 Trojan,傳統(tǒng)的計(jì)算機(jī)病毒，具有自我繁殖能力，寄生于其他可執(zhí)行程序中的，通過磁盤拷貝、文件共享、電子郵件等多種途徑進(jìn)行擴(kuò)散和感染,網(wǎng)絡(luò)蠕蟲不需借助其他可執(zhí)行程序就能獨(dú)立存在并運(yùn)行，通常利用網(wǎng)絡(luò)中某些主機(jī)存在的漏洞來感染和擴(kuò)散,特洛伊木馬是一種傳統(tǒng)的后門程序，它可以冒充正常程序，截取敏感信息，或進(jìn)行其他非法的操作,病毒 蠕蟲 木馬,58,除了蠕蟲、病毒、木馬等惡意代碼，其他惡意代碼還包括邏輯炸彈、遠(yuǎn)程控制后門等 現(xiàn)在，傳統(tǒng)的計(jì)算機(jī)病毒日益與網(wǎng)絡(luò)蠕蟲結(jié)合，發(fā)展成威力更為強(qiáng)大的混合型蠕蟲病毒，傳播途徑更加多樣化（網(wǎng)絡(luò)、郵件、網(wǎng)頁(yè)、局域

23、網(wǎng)等） 通常的商業(yè)殺毒軟件都能查殺基本的病毒、蠕蟲和木馬程序，但并不能防止未知病毒，需要經(jīng)常更新,讓我們繼續(xù),59,所有計(jì)算機(jī)必須部署指定的防病毒軟件 防病毒軟件必須持續(xù)更新 感染病毒的計(jì)算機(jī)必須從網(wǎng)絡(luò)中隔離直至清除病毒 任何意圖在內(nèi)部網(wǎng)絡(luò)創(chuàng)建或分發(fā)惡意代碼的行為都被視為違反管理制度 發(fā)生任何病毒傳播事件，相關(guān)人員應(yīng)及時(shí)向IT管理部門匯報(bào) 僅此就夠了么,惡意代碼防范策略,60,重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)

24、務(wù)連續(xù)性計(jì)劃 法律法規(guī),口令安全,61,用戶名+口令是最簡(jiǎn)單也最常用的身份認(rèn)證方式 口令是抵御攻擊的第一道防線，防止冒名頂替 口令也是抵御網(wǎng)絡(luò)攻擊的最后一道防線 針對(duì)口令的攻擊簡(jiǎn)便易行，口令破解快速有效 由于使用不當(dāng)，往往使口令成為最薄弱的安全環(huán)節(jié) 口令與個(gè)人隱私息息相關(guān)，必須慎重保護(hù),為什么口令很重要,62,如果你以請(qǐng)一頓工作餐來作為交換，有70的人樂意告訴你他（她）的機(jī)器口令 有34的人，甚至不需要賄賂，就可奉獻(xiàn)自己的口令 另?yè)?jù)調(diào)查，有79的人，在被提問時(shí)，會(huì)無意間泄漏足以被用來竊取其身份的信息 平均每人要記住四個(gè)口令，95都習(xí)慣使用相同的口令（在很多需要口令的地方） 33的人選擇將口令寫

25、下來，然后放到抽屜或夾到文件里,一些數(shù)字,63,少于8個(gè)字符 單一的字符類型，例如只用小寫字母，或只用數(shù)字 用戶名與口令相同 最常被人使用的弱口令： 自己、家人、朋友、親戚、寵物的名字 生日、結(jié)婚紀(jì)念日、電話號(hào)碼等個(gè)人信息 工作中用到的專業(yè)術(shù)語(yǔ)，職業(yè)特征 字典中包含的單詞，或者只在單詞后加簡(jiǎn)單的后綴 所有系統(tǒng)都使用相同的口令 口令一直不變,脆弱的口令,64,簡(jiǎn)單的猜測(cè) 使用專門的口令破解工具 字典攻擊（Dictionary Attack） 暴力攻擊（Brute Force Attack） 混合攻擊（Hibrid Attack） 在網(wǎng)絡(luò)中嗅探明文傳送的口令 利用后門工具來截獲口令 通過社會(huì)工程獲

26、取口令,如何破解口令,65,口令是越長(zhǎng)越好 但“選用20個(gè)隨機(jī)字符作為口令”的建議也不可取 人們總習(xí)慣選擇容易記憶的口令 如果口令難記，可能會(huì)被寫下來，這樣反倒更不安全,值得注意的,66,口令至少應(yīng)該由8個(gè)字符組成 口令應(yīng)該是大小寫字母、數(shù)字、特殊字符的混合體 不要使用名字、生日等個(gè)人信息和字典單詞 選擇易記強(qiáng)口令的幾個(gè)竅門： 口令短語(yǔ) 字符替換 單詞誤拼 鍵盤模式,建議,67,用戶有責(zé)任記住自己的口令 IT管理部門在獨(dú)立審計(jì)的前提下進(jìn)行口令鎖定、解鎖和重置操作 初始口令設(shè)置不得為空 口令設(shè)置不得少于8個(gè)字符 口令應(yīng)該包含特殊字符、數(shù)字和大小寫字母 口令應(yīng)該經(jīng)常更改，設(shè)定口令有效期為3個(gè)月 口

27、令輸入錯(cuò)誤限定3次，隨后會(huì)被鎖定，解鎖需通報(bào)IT管理部門,口令管理（舉例）,68,重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī),電子郵件安全,69,據(jù)統(tǒng)計(jì)，有超過87的病毒是借助Email進(jìn)入企業(yè)的 對(duì)于下列標(biāo)題的郵件，選擇打開閱覽的人數(shù)百分比： I LOVE YOU：37的人會(huì)打開郵件 Great joke：54的人會(huì)打開郵件 Message：46的人會(huì)打開郵件 Special offer：39的

28、人會(huì)打開郵件 小組討論,Email數(shù)字,70,不當(dāng)使用Email可能導(dǎo)致法律風(fēng)險(xiǎn) 禁止發(fā)送或轉(zhuǎn)發(fā)反動(dòng)或非法的郵件內(nèi)容 未經(jīng)發(fā)送人許可，不得轉(zhuǎn)發(fā)接收到的郵件 不得偽造虛假郵件，不得使用他人賬號(hào)發(fā)送郵件 未經(jīng)許可，不得將屬于他人郵件的消息內(nèi)容拷貝轉(zhuǎn)發(fā) 與業(yè)務(wù)相關(guān)的Email應(yīng)在文件服務(wù)器上做妥善備份，專人負(fù)責(zé)檢查 包含客戶信息的Email應(yīng)轉(zhuǎn)發(fā)主管做備份 個(gè)人用途的Email不應(yīng)干擾工作，并且遵守本策略 避免通過Email發(fā)送機(jī)密信息，如果需要，應(yīng)采取必要的加密保護(hù)措施,Email安全（舉例）,71,不安全的文件類型：絕對(duì)不要打開任何以下文件類型的郵件附件：.bat, .com, .exe, .v

29、bs 未知的文件類型：絕對(duì)不要打開任何未知文件類型的郵件附件，包括郵件內(nèi)容中到未知文件類型的鏈接 微軟文件類型：如果要打開微軟文件類型（例如 .doc, .xls, .ppt等）的郵件附件或者內(nèi)部鏈接，務(wù)必先進(jìn)行病毒掃描 要求發(fā)送普通的文本：盡量要求對(duì)方發(fā)送普通的文本內(nèi)容郵件，而不要發(fā)送HTML格式郵件，不要攜帶不安全類型的附件 禁止郵件執(zhí)行Html代碼：禁止執(zhí)行HTML內(nèi)容中的代碼 防止垃圾郵件：通過設(shè)置郵件服務(wù)器的過濾，防止接受垃圾郵件 盡早安裝系統(tǒng)補(bǔ)?。憾沤^惡意代碼利用系統(tǒng)漏洞而實(shí)施攻擊,接收郵件注意,72,如果同樣的內(nèi)容可以用普通文本正文，就不要用附件 盡量不要發(fā)送.doc, .xls

30、等可能帶有宏病毒的文件 發(fā)送不安全的文件之前，先進(jìn)行病毒掃描 不要參與所謂的郵件接龍 盡早安裝系統(tǒng)補(bǔ)丁，防止自己的系統(tǒng)成為惡意者的跳板,發(fā)送郵件注意,73,重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī),介質(zhì)安全管理,74,介質(zhì)安全管理（舉例）,創(chuàng)建,傳遞,銷毀,存 儲(chǔ),使用,更改,75,重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作

31、環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī),警惕社會(huì)工程學(xué),76,“人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術(shù)、防火墻、入侵檢測(cè)系統(tǒng)、生物鑒別設(shè)備，可只要有人給毫無戒心的員工打個(gè)電話” Kevin Mitnick,77,Social Engneering 利用社會(huì)交往（通常是在偽裝之下）從目標(biāo)對(duì)象那里獲取信息 例如： 電話呼叫服務(wù)中心 在走廊里的聊天 冒充服務(wù)技術(shù)人員 著名黑客Kevin Mitnick更多是通過社會(huì)工程來滲透網(wǎng)絡(luò)的，而不是高超的黑客技術(shù),什么是社會(huì)工程學(xué),78,不要輕易泄漏敏感信息，例如口令和賬

32、號(hào) 在相信任何人之前，先校驗(yàn)其真實(shí)的身份 不要違背公司的安全策略，哪怕是你的上司向你索取個(gè)人敏感信息（Kevin Mitnick最擅長(zhǎng)的就是冒充一個(gè)很焦急的老板，利用一般人好心以及害怕上司的心理，向系統(tǒng)管理員索取口令） 不要忘了，所謂的黑客，更多時(shí)候并不是技術(shù)多么出眾，而是社會(huì)工程的能力比較強(qiáng),社會(huì)工程學(xué)（舉例）,79,重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī),應(yīng)急響應(yīng)和BCP,80,業(yè)務(wù)持續(xù)性

33、管理程序,風(fēng)險(xiǎn)評(píng)估管理 風(fēng)險(xiǎn)控制措施 應(yīng)急計(jì)劃框架,預(yù)防為主,事后緊急響應(yīng)及恢復(fù),一般安全事件觸發(fā),Helpdesk及IRT正常處理,執(zhí)行具體的BCP/DRP,安全事件 管理程序,部門級(jí)的BCP/DRP（基于BIA）,緊急響應(yīng)和危機(jī)處理ERT,人員環(huán)境災(zāi)難觸發(fā),緊急響應(yīng) 處理程序,安全事件管理（框架）,81,事先制定可行的安全事件響應(yīng)計(jì)劃 建立事件響應(yīng)小組，以管理不同風(fēng)險(xiǎn)級(jí)別的安全事件 員工有責(zé)任向其上級(jí)報(bào)告任何已知或可疑的安全問題或違規(guī)行為 必要時(shí)，管理層可決定引入法律程序 做好證據(jù)采集和保留工作 應(yīng)提交安全事件和相關(guān)問題的定期管理報(bào)告，以備管理層檢查 應(yīng)該定期檢查應(yīng)急計(jì)劃的有效性,安全事件管理要點(diǎn)（舉例）,82,事先做好備份等準(zhǔn)備工作 災(zāi)難發(fā)生后妥善處理以降 低損失 在確定時(shí)限