1、公司信息安全意識(shí)培訓(xùn),2,什么是信息安全？,怎樣搞好信息安全？,信息產(chǎn)業(yè)發(fā)展現(xiàn)狀,主要內(nèi)容,信息安全基本概念,3,授之以魚(yú),不如授之以漁,產(chǎn)品,技術(shù),更不如激之其欲,意識(shí),談笑間，風(fēng)險(xiǎn)灰飛煙滅。,引言,4,什么是信息安全？,不止有產(chǎn)品、技術(shù)才是信息安全,5,信息安全無(wú)處不在,一個(gè)軟件公司的老總，等他所有的員工下班之后，他在那里想：我的企業(yè)到底值多少錢(qián)呢？假如它的企業(yè)市值1億，那么此時(shí)此刻，他的企業(yè)就值2600萬(wàn)。 因?yàn)閾?jù)Delphi公司統(tǒng)計(jì)，公司價(jià)值的26%體現(xiàn)在固定資產(chǎn)和一些文檔上，而高達(dá)42%的價(jià)值是存儲(chǔ)在員工的腦子里，而這些信息的保護(hù)沒(méi)有任何一款產(chǎn)品可以做得到，所以需要我們建立信息安全管

2、理體系，也就是常說(shuō)的ISMS！,6,怎樣搞好信息安全？,7,信息在哪里？,紙質(zhì)文檔 電子文檔 員工 其他信息介質(zhì),小問(wèn)題：公司的信息都在哪里？,8,小測(cè)試：,您離開(kāi)家每次都關(guān)門(mén)嗎？ 您離開(kāi)公司每次都關(guān)門(mén)嗎？ 您的保險(xiǎn)箱設(shè)密碼嗎？ 您的電腦設(shè)密碼嗎？,9,答案解釋?zhuān)?如果您記得關(guān)家里的門(mén)，而不記得關(guān)公司的門(mén)， 說(shuō)明您可能對(duì)公司的安全認(rèn)知度不夠。 如果您記得給保險(xiǎn)箱設(shè)密碼，而不記得給電腦設(shè)密碼， 說(shuō)明您可能對(duì)信息資產(chǎn)安全認(rèn)識(shí)不夠。,10,這就是意識(shí)缺乏的兩大,結(jié)癥！,11,思想上的轉(zhuǎn)變（一）,公司的錢(qián)，就是我的錢(qián)， 只是先放在,老板那里,12,WHY?,信息安全搞好了,信息安全搞砸了,13,思想上

3、的轉(zhuǎn)變（二）,信息比鈔票更重要，更脆弱，我們更應(yīng)該保護(hù)它。,14,WHY?,裝有100萬(wàn)的 保險(xiǎn)箱,需要 3個(gè)悍匪、,公司損失： 100萬(wàn),裝有客戶(hù)信息的 電腦,只要 1個(gè)商業(yè)間諜、,1個(gè)U盤(pán)，就能偷走。,公司損失： 所有客戶(hù)！,15,典型案例,16,安全名言,公司的利益就是自己的利益，不保護(hù)公司，就是不保護(hù)自己。 電腦不僅僅是工具，而是裝有十分重要信息的保險(xiǎn)箱。,17,絕對(duì)的安全是不存在的,絕對(duì)的零風(fēng)險(xiǎn)是不存在的，要想實(shí)現(xiàn)零風(fēng)險(xiǎn)，也是不現(xiàn)實(shí)的； 計(jì)算機(jī)系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來(lái)說(shuō)，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。,在計(jì)算機(jī)安全領(lǐng)域

4、有一句格言：“真正安全的計(jì)算機(jī)是拔下網(wǎng)線(xiàn)，斷掉電源，放置在地下掩體的保險(xiǎn)柜中，并在掩體內(nèi)充滿(mǎn)毒氣，在掩體外安排士兵守衛(wèi)?！?顯然，這樣的計(jì)算機(jī)是無(wú)法使用的。,18,安全是一種平衡,19,安全是一種平衡,安全控制的成本,安全事件的損失,最小化的總成本,低,高,高,安全成本/損失,所提供的安全水平,關(guān)鍵是實(shí)現(xiàn)成本利益的平衡,信息的價(jià)值 = 使用信息所獲得的收益 獲取信息所用成本 信息具備了安全的保護(hù)特性,20,信息的價(jià)值,廣義上講 領(lǐng)域 涉及到信息的保密性，完整性，可用性，真實(shí)性，可控性的相關(guān)技術(shù)和理論。 本質(zhì)上 保護(hù) 系統(tǒng)的硬件，軟件，數(shù)據(jù) 防止 系統(tǒng)和數(shù)據(jù)遭受破壞，更改，泄露 保證 系統(tǒng)連續(xù)可

5、靠正常地運(yùn)行，服務(wù)不中斷 兩個(gè)層面 技術(shù)層面 防止外部用戶(hù)的非法入侵 管理層面 內(nèi)部員工的教育和管理,21,信息安全的定義,22,信息安全基本目標(biāo),保密性， 完整性， 可用性,CIA,23,信息生命周期,創(chuàng)建,傳遞,銷(xiāo)毀,存 儲(chǔ),使用,更改,24,信息產(chǎn)業(yè)發(fā)展迅猛,截至2008年7月，我國(guó)固定電話(huà)已達(dá)到3.55億戶(hù)，移動(dòng)電話(huà)用戶(hù)數(shù)達(dá)到6.08億。 截至2008年6月，我國(guó)網(wǎng)民數(shù)量達(dá)到了2.53億，成為世界上網(wǎng)民最多的國(guó)家，與去年同期相比，中國(guó)網(wǎng)民人數(shù)增加了9100萬(wàn)人，同比增長(zhǎng)達(dá)到56.2%。 手機(jī)上網(wǎng)成為用戶(hù)上網(wǎng)的重要途徑，網(wǎng)民中的28.9%在過(guò)去半年曾經(jīng)使用過(guò)手機(jī)上網(wǎng)，手機(jī)網(wǎng)民規(guī)模達(dá)到73

6、05萬(wàn)人。 2007年電子商務(wù)交易總額已超過(guò)2萬(wàn)億元。 目前，全國(guó)網(wǎng)站總數(shù)達(dá)192萬(wàn)，中文網(wǎng)頁(yè)已達(dá)84.7億頁(yè)，個(gè)人博客/個(gè)人空間的網(wǎng)民比例達(dá)到42.3%。 目前，縣級(jí)以上96%的政府機(jī)構(gòu)都建立了網(wǎng)站，電子政務(wù)正以改善公共服務(wù)為重點(diǎn)，在教育、醫(yī)療、住房等方面，提供便捷的基本公共服務(wù)。,25,信息安全令人擔(dān)憂(yōu),內(nèi)地企業(yè)44%信息安全事件是數(shù)據(jù)失竊,普華永道最新發(fā)布的2008年度全球信息安全調(diào)查報(bào)告顯示，中國(guó)內(nèi)地企業(yè)在信息安全管理方面存在滯后，信息安全與隱私保障方面已被印度趕超。數(shù)據(jù)顯示，內(nèi)地企業(yè)44%的信息安全事件與數(shù)據(jù)失竊有關(guān)，而全球的平均水平只有16%。 普華永道的調(diào)查顯示，中國(guó)內(nèi)地企業(yè)在改

7、善信息安全機(jī)制上仍有待努力，從近年安全事件結(jié)果看，中國(guó)每年大約98萬(wàn)美元的財(cái)務(wù)損失，而亞洲國(guó)家平均約為75萬(wàn)美元，印度大約為30.8萬(wàn)美元。此外，42%的中國(guó)內(nèi)地受訪(fǎng)企業(yè)經(jīng)歷了應(yīng)用軟件、系統(tǒng)和網(wǎng)絡(luò)的安全事件。,26,安全事件（1）,27,安全事件（2）,28,安全事件（3）,29,安全事件（4）,30,安全事件（5）,31,安全事件（6）,熊貓燒香病毒的制造者-李俊,用戶(hù)電腦中毒后可能會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤(pán)中數(shù)據(jù)文件被破壞等現(xiàn)象。同時(shí)，該病毒可以通過(guò)局域網(wǎng)進(jìn)行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng)，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓，無(wú)法正常使用，它能感染系統(tǒng)中exe，com，pif，src，ht

8、ml，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶(hù)的系統(tǒng)備份文件丟失。被感染的用戶(hù)系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。,32,深度分析,33,這樣的事情還有很多,信 息 安 全 迫 在 眉 睫！,關(guān)鍵是做好預(yù)防控制,35,小故事，大啟發(fā) 信息安全點(diǎn)滴,首先要關(guān)注內(nèi)部人員的安全管理,38,2007年11月，集安支行代辦員，周末晚上通過(guò)運(yùn)營(yíng)電腦，將230萬(wàn)轉(zhuǎn)移到事先辦理的15張卡上，并一夜間在各ATM上取走38萬(wàn)。周一被發(fā)現(xiàn)。 夜間銀行監(jiān)控設(shè)備未開(kāi)放，下班后運(yùn)營(yíng)電腦未上鎖。 事實(shí)上，此前早有人

9、提出過(guò)這個(gè)問(wèn)題，只不過(guò)沒(méi)有得到重視。,39,典型案例：樂(lè)購(gòu)事件,2005年9月7日，上海樂(lè)購(gòu)超市金山店負(fù)責(zé)人到市公安局金山分局報(bào)案稱(chēng)，該店在盤(pán)點(diǎn)貨物時(shí)發(fā)現(xiàn)銷(xiāo)售的貨物和收到的貨款不符，有可能款物被非法侵吞。上海市公安局經(jīng)偵總隊(duì)和金山分局立即成立了專(zhuān)案組展開(kāi)調(diào)查。 專(zhuān)案組調(diào)查發(fā)現(xiàn)，樂(lè)購(gòu)超市幾家門(mén)店貨物缺損率大大超過(guò)了業(yè)內(nèi)千分之五的物損比例，缺損的貨物五花八門(mén)，油鹽醬醋等日常用品的銷(xiāo)售與實(shí)際收到的貨款差別很大。根據(jù)以往的案例，超市內(nèi)的盜竊行為往往是針對(duì)體積小價(jià)值高的化妝品等物，盜竊者很少光顧油鹽醬醋等生活用品。奇怪的是，在超市的各個(gè)經(jīng)營(yíng)環(huán)節(jié)并沒(méi)有發(fā)現(xiàn)明顯漏洞。 考慮到錢(qián)和物最終的流向收銀員是出口，問(wèn)

10、題很可能出在收銀環(huán)節(jié)。警方在調(diào)查中發(fā)現(xiàn)，收銀系統(tǒng)軟件的設(shè)計(jì)相對(duì)嚴(yán)密，除非是負(fù)責(zé)維護(hù)收銀系統(tǒng)的資訊小組職員和收銀員合謀，才有可能對(duì)營(yíng)業(yè)款項(xiàng)動(dòng)手腳。 經(jīng)過(guò)深入調(diào)查，偵查人員發(fā)現(xiàn)超市原有的收銀系統(tǒng)被裝入了一個(gè)攻擊性的補(bǔ)丁程序，只要收銀員輸入口令、密碼，這個(gè)程序會(huì)自動(dòng)運(yùn)行，刪除該營(yíng)業(yè)員當(dāng)日20左右的銷(xiāo)售記錄后再將數(shù)據(jù)傳送至?xí)?jì)部門(mén)，造成會(huì)計(jì)部門(mén)只按實(shí)際營(yíng)業(yè)額的80向收銀員收取營(yíng)業(yè)額。另20營(yíng)業(yè)額即可被侵吞。 能夠在收銀系統(tǒng)中裝入程序的，負(fù)責(zé)管理、更新、維修超市收銀系統(tǒng)的資訊組工作人員嫌疑最大。 警方順藤摸瓜，挖出一個(gè)包括超市資訊員、收銀員在內(nèi)的近40人的犯罪團(tuán)伙。據(jù)調(diào)查，原樂(lè)購(gòu)超市真北店資訊組組長(zhǎng)方元

11、在工作中發(fā)現(xiàn)收銀系統(tǒng)漏洞，設(shè)計(jì)了攻擊性程序，犯罪嫌疑人于琪、朱永春、武侃佳等人利用擔(dān)任樂(lè)購(gòu)超市多家門(mén)店資訊工作的便利，將這一程序植入各門(mén)店收銀系統(tǒng)；犯罪嫌疑人陳煒嘉、陳琦、趙一青等人物色不法人員，經(jīng)培訓(xùn)后通過(guò)應(yīng)聘安插到各家門(mén)店做收銀員，每日將侵吞贓款上繳到犯罪團(tuán)伙主犯方元、陳煒嘉、陳琦等人手中，團(tuán)伙成員按比例分贓。一年時(shí)間內(nèi)，先后侵吞樂(lè)購(gòu)超市真北店、金山店、七寶店374萬(wàn)余元。犯罪團(tuán)伙個(gè)人按比例分得贓款數(shù)千元至50萬(wàn)元不等,關(guān)于員工安全管理的建議,根據(jù)不同崗位的需求，在職位描述書(shū)中加入安全方面的責(zé)任要求，特別是敏感崗位 在招聘環(huán)節(jié)做好人員篩選和背景調(diào)查工作，并且簽訂適當(dāng)?shù)谋Ｃ軈f(xié)議 在新員工培訓(xùn)

12、中專(zhuān)門(mén)加入信息安全內(nèi)容 工作期間，根據(jù)崗位需要，持續(xù)進(jìn)行專(zhuān)項(xiàng)培訓(xùn) 通過(guò)多種途徑，全面提升員工信息安全意識(shí) 落實(shí)檢查監(jiān)督和獎(jiǎng)懲機(jī)制 員工內(nèi)部轉(zhuǎn)崗應(yīng)做好訪(fǎng)問(wèn)控制變更控制 員工離職，應(yīng)做好交接和權(quán)限撤銷(xiāo),切不可忽視第三方安全,42,2003年，上海某家為銀行提供ATM服務(wù)的公司，軟件工程師蘇強(qiáng)。利用自助網(wǎng)點(diǎn)安裝調(diào)試的機(jī)會(huì)，繞過(guò)加密程序Bug，編寫(xiě)并植入一個(gè)監(jiān)視軟件，記錄用戶(hù)卡號(hào)、磁條信息和密碼，一個(gè)月內(nèi)，記錄下7000條。然后拷貝到自己電腦上，刪掉植入的程序。 后來(lái)蘇強(qiáng)去讀研究生，買(mǎi)了白卡和讀卡器，偽造銀行卡，兩年內(nèi)共提取6萬(wàn)元。只是因?yàn)榕既辉虮话l(fā)現(xiàn)，公安機(jī)關(guān)通過(guò)檢查網(wǎng)上查詢(xún)客戶(hù)信息的IP地址追查

13、到蘇強(qiáng)，破壞案件。,43,北京移動(dòng)電話(huà)充值卡事件,31歲的軟件工程師程稚瀚，在華為工作期間，曾為西藏移動(dòng)做過(guò)技術(shù)工作，案發(fā)時(shí)，在UT斯達(dá)康深圳分公司工作。 2005年3月開(kāi)始，其利用為西藏移動(dòng)做技術(shù)時(shí)使用的密碼（此密碼自程稚瀚離開(kāi)后一直沒(méi)有更改），輕松進(jìn)入了西藏移動(dòng)的服務(wù)器。通過(guò)西藏移動(dòng)的服務(wù)器，程稚瀚又跳轉(zhuǎn)到了北京移動(dòng)數(shù)據(jù)庫(kù)，取得了數(shù)據(jù)從2005年3月至7月，程稚瀚先后4次侵入北京移動(dòng)數(shù)據(jù)庫(kù)，修改充值卡的時(shí)間和金額，將已充值的充值卡狀態(tài)改為未充值，共修改復(fù)制出上萬(wàn)個(gè)充值卡密碼。他還將盜出的充值卡密碼通過(guò)淘寶網(wǎng)出售，共獲利370余萬(wàn)元。 直到2005年7月，由于一次“疏忽”，程稚瀚將一批充值卡

14、售出時(shí)，忘了修改使用期限，使用期限仍為90天。購(gòu)買(mǎi)到這批充值卡的用戶(hù)因無(wú)法使用便投訴到北京移動(dòng)，北京移動(dòng)才發(fā)現(xiàn)有6600張充值卡被非法復(fù)制，立即報(bào)警。 2005年8月24日，程稚瀚在深圳被抓獲，所獲贓款全部起獲。,關(guān)于第三方安全管理的建議,識(shí)別所有相關(guān)第三方：服務(wù)提供商，設(shè)備提供商，咨詢(xún)顧問(wèn)，審計(jì)機(jī)構(gòu)，物業(yè)，保潔等 識(shí)別所有與第三方相關(guān)的安全風(fēng)險(xiǎn)，無(wú)論是牽涉到物理訪(fǎng)問(wèn)還是邏輯訪(fǎng)問(wèn) 在沒(méi)有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪(fǎng)問(wèn)。應(yīng)該讓外部伙伴意識(shí)到其責(zé)任和必須遵守的規(guī)定 在與第三方簽訂協(xié)議時(shí)特別提出信息安全方面的要求，特別是訪(fǎng)問(wèn)控制要求 對(duì)第三方實(shí)施有效的監(jiān)督，定期Re

15、view服務(wù)交付,物理環(huán)境中需要信息安全,在自助銀行入口刷卡器下方粘上一個(gè)黑色小方塊，叫“讀卡器”，罩上一個(gè)加長(zhǎng)的“殼”，把銀行的刷卡器和讀卡器一起藏在里面，一般人很難發(fā)現(xiàn)。取款人在刷卡進(jìn)門(mén)時(shí)，銀行卡上的全部信息就一下被刷進(jìn)了犯罪分子的讀卡器上。,在取款機(jī)窗口內(nèi)側(cè)頂部，粘上一個(gè)貼著“ATM”字樣的“發(fā)光燈”。這個(gè)“發(fā)光燈”是經(jīng)過(guò)特殊改造的，里面用一塊手機(jī)電池做電源，連接兩個(gè)燈泡，核心部分則是一個(gè)MP4。取款人取款時(shí)的全過(guò)程被犯罪分子裝的“針孔攝像機(jī)”進(jìn)行了“實(shí)況錄像”。,ATM詐騙三部曲,取款人一走，犯罪分子立即收“家伙”進(jìn)車(chē)，先把MP4連上筆記本電腦，回放錄像記下取錢(qián)人按下的密碼，接著再連上

16、讀卡器，同時(shí)再在電腦上連上一個(gè)叫“寫(xiě)卡器”的長(zhǎng)條形東西。這時(shí)，他們隨便拿出一張卡，不管是澡堂充值卡，還是超市禮品卡，只要是帶磁條的，只要在寫(xiě)卡器里過(guò)一下，此卡就被成功“克隆”成一張“有實(shí)無(wú)名”的銀行卡了。,您的供電系統(tǒng)真的萬(wàn)無(wú)一失？,是一路電還是兩路電？ 兩路電是否一定是兩個(gè)輸電站？ 有沒(méi)有UPS？ UPS能維持多久？ 有沒(méi)有備用發(fā)電機(jī)組？ 備用發(fā)電機(jī)是否有充足的油料儲(chǔ)備？,另一個(gè)與物理安全相關(guān)的案例,時(shí)間：2002年某天夜里 地點(diǎn)：A公司的數(shù)據(jù)中心大樓 人物：一個(gè)普通的系統(tǒng)管理員,一個(gè)普通的系統(tǒng)管理員，利用看似簡(jiǎn)單的方法，就進(jìn)入了需要門(mén)卡認(rèn)證的數(shù)據(jù)中心 來(lái)自國(guó)外某論壇的激烈討論,情況是這樣的

17、 ,A公司的數(shù)據(jù)中心是重地，設(shè)立了嚴(yán)格的門(mén)禁制度，要求必須插入門(mén)卡才能進(jìn)入。不過(guò)，出來(lái)時(shí)很簡(jiǎn)單，數(shù)據(jù)中心一旁的動(dòng)作探測(cè)器會(huì)檢測(cè)到有人朝出口走去，門(mén)會(huì)自動(dòng)打開(kāi) 數(shù)據(jù)中心有個(gè)系統(tǒng)管理員張三君，這天晚上加班到很晚，中間離開(kāi)數(shù)據(jù)中心出去夜宵，可返回時(shí)發(fā)現(xiàn)自己被鎖在了外面，門(mén)卡落在里面了，四周別無(wú)他人，一片靜寂 張三急需今夜加班，可他又不想打擾他人，怎么辦？,一點(diǎn)線(xiàn)索： 昨天曾在接待區(qū)慶祝過(guò)某人生日，現(xiàn)場(chǎng)還未清理干凈，遺留下很多雜物，哦，還有氣球,聰明的張三想出了妙計(jì) , 張三找到一個(gè)氣球，放掉氣, 張三面朝大門(mén)入口趴下來(lái)，把氣球塞進(jìn)門(mén)里，只留下氣球的嘴在門(mén)的這邊, 張三在門(mén)外吹氣球，氣球在門(mén)內(nèi)膨脹，然

18、后，他釋放了氣球, 由于氣球在門(mén)內(nèi)彈跳，觸發(fā)動(dòng)作探測(cè)器，門(mén)終于開(kāi)了,問(wèn)題出在哪里 ,如果門(mén)和地板齊平且沒(méi)有縫隙，就不會(huì)出這樣的事,如果動(dòng)作探測(cè)器的靈敏度調(diào)整到不對(duì)快速放氣的氣球作出反應(yīng)，也不會(huì)出此事,當(dāng)然，如果根本就不使用動(dòng)作探測(cè)器來(lái)從里面開(kāi)門(mén)，這種事情同樣不會(huì)發(fā)生,總結(jié)教訓(xùn) ,雖然是偶然事件，也沒(méi)有直接危害，但是潛在風(fēng)險(xiǎn) 既是物理安全的問(wèn)題，更是管理問(wèn)題 切記！有時(shí)候自以為是的安全，恰恰是最不安全！,物理安全非常關(guān)鍵！,關(guān)于物理安全的建議,將敏感設(shè)備和信息放置在受控的安全區(qū)域 所有到受控區(qū)域的入口都應(yīng)該加鎖、設(shè)置門(mén)衛(wèi)，或者以某種方式進(jìn)行監(jiān)視，并做好進(jìn)出登記 如果進(jìn)出需要ID徽章，請(qǐng)隨身帶好，

19、嚴(yán)禁無(wú)證進(jìn)入 鑰匙和門(mén)卡僅供本人使用，不要交給他人使用 嚴(yán)格控制帶存儲(chǔ)和攝像功能的手持設(shè)備的使用 使用公共區(qū)域的打印機(jī)、傳真機(jī)、復(fù)印機(jī)時(shí)，一定不要遺留敏感文件 移動(dòng)電腦是惡意者經(jīng)常關(guān)注的目標(biāo)，一定要注意保護(hù) 使用碎紙機(jī)，謹(jǐn)防敏感文件通過(guò)垃圾簍而泄漏 如果發(fā)現(xiàn)可疑情況，請(qǐng)立即報(bào)告,日常工作需特別留意信息安全,56,移動(dòng)介質(zhì)管控的要求與落實(shí)脫節(jié) “擺渡攻擊” 涉密網(wǎng)絡(luò)中的泄密現(xiàn)象,關(guān)于口令的一些調(diào)查結(jié)果,一個(gè)有趣的調(diào)查發(fā)現(xiàn)，如果你用一條巧克力來(lái)作為交換，有70的人樂(lè)意告訴你他（她）的口令 有34的人，甚至不需要賄賂，就可奉獻(xiàn)自己的口令 另?yè)?jù)調(diào)查，有79的人，在被提問(wèn)時(shí)，會(huì)無(wú)意間泄漏足以被用來(lái)竊取其

20、身份的信息 姓名、寵物名、生日、球隊(duì)名最常被用作口令 平均每人要記住四個(gè)口令，大多數(shù)人都習(xí)慣使用相同的口令（在很多需要口令的地方） 33的人選擇將口令寫(xiě)下來(lái)，然后放到抽屜或夾到文件里,什么樣的口令是比較脆弱的？,少于8個(gè)字符 單一的字符類(lèi)型，例如只用小寫(xiě)字母，或只用數(shù)字 用戶(hù)名與口令相同 最常被人使用的弱口令： 自己、家人、朋友、親戚、寵物的名字 生日、結(jié)婚紀(jì)念日、電話(huà)號(hào)碼等個(gè)人信息 工作中用到的專(zhuān)業(yè)術(shù)語(yǔ)，職業(yè)特征 字典中包含的單詞，或者只在單詞后加簡(jiǎn)單的后綴 所有系統(tǒng)都使用相同的口令 口令一直不變,口令安全建議,應(yīng)該設(shè)置強(qiáng)口令 口令應(yīng)該經(jīng)常更改，比如3個(gè)月 不同的系統(tǒng)或場(chǎng)所應(yīng)使用不同的口令

21、一定要即刻更改系統(tǒng)的缺省或初始化口令 不要與任何人共享你的口令 不要把口令寫(xiě)在紙上 不要把口令存儲(chǔ)在計(jì)算機(jī)文件中 輸入口令時(shí)嚴(yán)防有人偷看 如果有人在電話(huà)中向你索取口令，拒絕后立即報(bào)告 如果發(fā)覺(jué)有人獲知你的口令，立即改變它,從一點(diǎn)一滴做起！,從自身做起！,61,IT安全問(wèn)題,01,1、一般情況下，個(gè)人計(jì)算機(jī)在（ ） 分鐘的非活動(dòng)狀態(tài)里要求自動(dòng)激活屏幕鎖定,02,A、5分鐘 B、10分鐘,03,C、15分鐘 D、30分鐘,62,IT安全問(wèn)題,01,2、下列說(shuō)法錯(cuò)誤的是( ),02,A、個(gè)人計(jì)算機(jī)操作系統(tǒng)必須設(shè)置口令。,04,C、離開(kāi)自己的計(jì)算機(jī)時(shí)，必須激活具有密碼保護(hù)的屏幕保護(hù)程序。,05,D、為

22、方便第二天工作，下班后可以不用關(guān)閉計(jì)算機(jī)。,03,B、在每天工作結(jié)束時(shí)，將便攜電腦妥善保 管，如鎖入文件柜。,63,IT安全問(wèn)題,01,3、口令要求至少（ ）更換一次,02,A、3個(gè)月,04,C、1年,05,D、可以一直使用一個(gè)口令 ，不用修改。,03,B、6個(gè)月,64,IT安全問(wèn)題,01,4、下列關(guān)于個(gè)人計(jì)算機(jī)的訪(fǎng)問(wèn)密碼設(shè)置要求，描述錯(cuò)誤的是（ ）：,02,A、密碼要求至少設(shè)置8位字符長(zhǎng)。,04,C、禁止使用前兩次的密碼,05,D、如果需要訪(fǎng)問(wèn)不在公司控制下的計(jì)算機(jī)系統(tǒng)，禁止選擇在公司內(nèi)部系統(tǒng)使用的密碼作為外部系統(tǒng)的密碼。,03,B、為便于記憶，可將自己生日作為密碼。,65,IT安全問(wèn)題,0

23、1,5、下列關(guān)于外網(wǎng)使用說(shuō)法錯(cuò)誤的是（ ）：,02,A、外網(wǎng)只能從分公司一點(diǎn)接入。,04,C、外網(wǎng)接入須經(jīng)過(guò)防火墻以加強(qiáng)安全防護(hù)。,05,D、只使用有授權(quán)訪(fǎng)問(wèn)的服務(wù)。不要嘗試訪(fǎng)問(wèn)未經(jīng)授權(quán)的互聯(lián)網(wǎng)系統(tǒng)或服務(wù)器端口 。,03,B、地市公司或管理部門(mén)為方便外網(wǎng)使用，可自己向電信申請(qǐng)開(kāi)通ADSL外網(wǎng)接入。,66,IT安全問(wèn)題,01,6、用upload賬戶(hù)通過(guò)分公司85服務(wù)器上傳文件文件，描述錯(cuò)誤的是（ ）,02,A、需保密的文件上傳前應(yīng)該做加密處理。,04,C、不可將分公司FTP服務(wù)器當(dāng)作自己重要數(shù)據(jù)文件的備份服務(wù)器。,05,D、上傳后的文件可以不用處理，一直放到分公司FTP服務(wù)器上。,03,B、在對(duì)

24、方下載后立即從FTP服務(wù)器上刪除自己所傳文件。,67,IT安全問(wèn)題,01,7、關(guān)于個(gè)人計(jì)算機(jī)數(shù)據(jù)備份描述錯(cuò)誤的是（）,02,A、備份的目的是有效保證個(gè)人計(jì)算機(jī)內(nèi)的重要信息在遭到損壞時(shí)能夠及時(shí)恢復(fù)。,04,C、員工應(yīng)根據(jù)個(gè)人計(jì)算機(jī)上信息的重要程度和修改頻率定期對(duì)信息進(jìn)行備份。,05,D、備份介質(zhì)必須要注意防范偷竊或未經(jīng)授權(quán)的訪(fǎng)問(wèn)。,03,B、個(gè)人計(jì)算機(jī)數(shù)據(jù)備份是信息技術(shù)部的事情，應(yīng)由信息技術(shù)部負(fù)責(zé)完成。,68,IT安全問(wèn)題,01,8、關(guān)于電子郵件的使用，描述錯(cuò)誤的是（ ）,02,A、不得散發(fā)可能被認(rèn)為不適當(dāng)?shù)?，?duì)他人不尊重或提倡違法行為的內(nèi)容；,04,C 、禁止使用非CPIC 的電子郵箱，如YA

25、HOO，AOL，HOTMAIL 等交換CPIC公司信息；,05,D、非CPIC 授權(quán)人員禁止使用即時(shí)通訊軟件，如MSN 交換CPIC 公司信息。,03,B 、可以自動(dòng)轉(zhuǎn)發(fā)公司內(nèi)部郵件到互聯(lián)網(wǎng)上；,69,IT安全問(wèn)題,01,9、下列關(guān)于病毒防護(hù)描述錯(cuò)誤的是（ ）,02,A、個(gè)人工作站必須安裝統(tǒng)一部署的防病毒軟件，未經(jīng)信息技術(shù)部批準(zhǔn)不得擅自安裝非本公司指定的防病毒軟件。,04,C、在處理外部介質(zhì)之前應(yīng)用防病毒軟件掃描。,05,D、個(gè)人計(jì)算機(jī)上安裝了防病毒軟件即可，不用定期進(jìn)行病毒掃描。,03,B、如果從公共資源得到程序（比如，網(wǎng)站，公告版），那么在使用之前需使用防病毒程序掃描。,70,IT安全問(wèn)題,01,10、位于高風(fēng)險(xiǎn)區(qū)域的移動(dòng)計(jì)算機(jī)，例如，在沒(méi)有物理訪(fǎng)問(wèn)控制的區(qū)域等應(yīng)設(shè)屏幕鎖定為（ ）分鐘，以防止非授權(quán)人員的訪(fǎng)問(wèn)；,02,A、5分鐘 B、10分鐘,03,C、15分鐘 D、30分鐘,71,IT安全問(wèn)題,01,11、關(guān)于數(shù)據(jù)保存，說(shuō)法錯(cuò)誤的是（ ）,02,A、將重要數(shù)據(jù)文件保存到C盤(pán)或者桌面。,04,C、將重要數(shù)據(jù)文件保存到C盤(pán)外的其它硬盤(pán)分區(qū)。,03,B、定期對(duì)重要數(shù)據(jù)文件用移