安全意識（網(wǎng)管中心）課件

1、網(wǎng)管中心網(wǎng)管中心 2010年5月 安全意識宣傳安全意識宣傳 1安全意識（網(wǎng)管中心） 2 安全意識（網(wǎng)管中心） 3 安全意識（網(wǎng)管中心） 4 安全意識（網(wǎng)管中心） 55安全意識（網(wǎng)管中心） 6 安全意識（網(wǎng)管中心） 7 安全意識（網(wǎng)管中心） 8安全意識（網(wǎng)管中心） 工業(yè)和信息部發(fā)布了關(guān)于做好應(yīng)對部分IC卡出現(xiàn)嚴(yán)重安全漏洞工作的 通知，要求各地各機(jī)關(guān)和部門開展對IC卡使用情況的調(diào)查及應(yīng)對工作。 9安全意識（網(wǎng)管中心） 10安全意識（網(wǎng)管中心） 11 安全意識（網(wǎng)管中心） 12 注釋: 安全風(fēng)險點-操作控制注釋: 安全風(fēng)險點-系統(tǒng)配置 安全意識（網(wǎng)管中心） 13 安全意識（網(wǎng)管中心） 14 安全意識

2、（網(wǎng)管中心） 15 安全意識（網(wǎng)管中心） 16 你碰到過類似的事嗎？你碰到過類似的事嗎？ 安全意識（網(wǎng)管中心） 17 安全意識（網(wǎng)管中心） 18 系統(tǒng)漏洞系統(tǒng)漏洞 雷雨雷雨 安全意識（網(wǎng)管中心） 19 提高提高人員信息安全人員信息安全意識意識和和素質(zhì)素質(zhì)勢在必行！勢在必行！ 安全意識（網(wǎng)管中心） 20 安全意識（網(wǎng)管中心） 21 安全意識（網(wǎng)管中心） 22 蓄意破壞蓄意破壞 安全意識（網(wǎng)管中心） 23 安全意識（網(wǎng)管中心） 24 一個巴掌拍不響！一個巴掌拍不響！ 安全意識（網(wǎng)管中心） 25 安全意識（網(wǎng)管中心） 26 想想你是否也犯過想想你是否也犯過 這些錯誤？這些錯誤？ 安全意識（網(wǎng)管中心）

3、 27 嘿嘿，這頓美餐 唾手可得 嗚嗚，可憐我手 無縛雞之力 TomTom FishFish 安全意識（網(wǎng)管中心） 28 安全意識（網(wǎng)管中心） 29 嚴(yán)防威脅嚴(yán)防威脅 消減弱點消減弱點 應(yīng)急響應(yīng)應(yīng)急響應(yīng) 保護(hù)資產(chǎn)保護(hù)資產(chǎn) 安全意識（網(wǎng)管中心） 30 安全意識（網(wǎng)管中心） 31 安全意識（網(wǎng)管中心） 32 安全意識（網(wǎng)管中心） 33 安全意識（網(wǎng)管中心） 34 安全意識（網(wǎng)管中心） 35 安全意識（網(wǎng)管中心） 36 安全意識（網(wǎng)管中心） 37 風(fēng)險風(fēng)險 漏洞漏洞 威脅威脅 控制措施控制措施 安全需求安全需求資產(chǎn)價值資產(chǎn)價值 防止防止 Reduce Increase Indicate Increa

4、se 暴露 具有 Decrease 符合符合 安全意識（網(wǎng)管中心） 38 安全意識（網(wǎng)管中心） 39 安全意識（網(wǎng)管中心） 40 數(shù)據(jù)層數(shù)據(jù)層 數(shù)據(jù)層數(shù)據(jù)層 應(yīng)用層應(yīng)用層 應(yīng)用層應(yīng)用層 系統(tǒng)層系統(tǒng)層 系統(tǒng)層系統(tǒng)層 網(wǎng)絡(luò)層網(wǎng)絡(luò)層 網(wǎng)絡(luò)層網(wǎng)絡(luò)層 物理層物理層 物理層物理層 備份備份恢復(fù)恢復(fù) B & RB & R 備份備份恢復(fù)恢復(fù) B & RB & R 身份認(rèn)證身份認(rèn)證 I&AI&A 身份認(rèn)證身份認(rèn)證 I&AI&A 加密加密 CryptoCrypto 加密加密 CryptoCrypto 防惡防惡 AntiAnti- -MalMal 防惡防惡 AntiAnti- -MalMal 監(jiān)控監(jiān)控 Monito

5、rMonitor 監(jiān)控監(jiān)控 MonitorMonitor 訪問管理訪問管理 AMAM 訪問管理訪問管理 AMAM 審核跟蹤審核跟蹤 AuditAudit TrailTrail 審核跟蹤審核跟蹤 AuditAudit TrailTrail 加固加固 HardeningHardening 加固加固 HardeningHardening 數(shù)據(jù)層數(shù)據(jù)層 數(shù)據(jù)層數(shù)據(jù)層 應(yīng)用層應(yīng)用層 應(yīng)用層應(yīng)用層 系統(tǒng)層系統(tǒng)層 系統(tǒng)層系統(tǒng)層 網(wǎng)絡(luò)層網(wǎng)絡(luò)層 網(wǎng)絡(luò)層網(wǎng)絡(luò)層 物理層物理層 物理層物理層 備份備份恢復(fù)恢復(fù) B & RB & R 備份備份恢復(fù)恢復(fù) B & RB & R 身份認(rèn)證身份認(rèn)證 I&AI&A 身份認(rèn)證身份認(rèn)

6、證 I&AI&A 加密加密 CryptoCrypto 加密加密 CryptoCrypto 防惡防惡 AntiAnti- -MalMal 防惡防惡 AntiAnti- -MalMal 監(jiān)控監(jiān)控 MonitorMonitor 監(jiān)控監(jiān)控 MonitorMonitor 訪問管理訪問管理 AMAM 訪問管理訪問管理 AMAM 審核跟蹤審核跟蹤 AuditAudit TrailTrail 審核跟蹤審核跟蹤 AuditAudit TrailTrail 加固加固 HardeningHardening 加固加固 HardeningHardening 安全意識（網(wǎng)管中心） 41 安全意識（網(wǎng)管中心） 42 安全意

7、識（網(wǎng)管中心） 43 三分技術(shù)，七分管理！ 安全意識（網(wǎng)管中心） 44 安全意識（網(wǎng)管中心） 45 安全意識（網(wǎng)管中心） 46 安全意識（網(wǎng)管中心） 47 安全意識（網(wǎng)管中心） 48 數(shù)據(jù)的屬主（數(shù)據(jù)的屬主（OM/PMOM/PM） 決定所屬數(shù)據(jù)的敏感級別決定所屬數(shù)據(jù)的敏感級別 確定必要的保護(hù)措施確定必要的保護(hù)措施 最終批準(zhǔn)并最終批準(zhǔn)并ReviewReview用戶訪問權(quán)限用戶訪問權(quán)限 受受OwnerOwner委托管理數(shù)據(jù)委托管理數(shù)據(jù) 通常是通常是ITIT人員或部門系統(tǒng)（數(shù)據(jù)）管理員人員或部門系統(tǒng)（數(shù)據(jù)）管理員 向向OwnerOwner提交訪問申請并按提交訪問申請并按OwnerOwner授意為用戶

8、授權(quán)授意為用戶授權(quán) 執(zhí)行數(shù)據(jù)保護(hù)措施，實施日常維護(hù)和管理執(zhí)行數(shù)據(jù)保護(hù)措施，實施日常維護(hù)和管理 公司或第三方職員公司或第三方職員 因工作需要而請求訪問數(shù)據(jù)因工作需要而請求訪問數(shù)據(jù) 遵守安全規(guī)定和控制遵守安全規(guī)定和控制 報告安全事件和隱患報告安全事件和隱患 安全意識（網(wǎng)管中心） 49 安全意識（網(wǎng)管中心） 50 安全意識（網(wǎng)管中心） 51 安全意識（網(wǎng)管中心） 52 安全意識（網(wǎng)管中心） 53 安全意識（網(wǎng)管中心） 54 安全意識（網(wǎng)管中心） 55 安全意識（網(wǎng)管中心） 56 安全意識（網(wǎng)管中心） 57 安全意識（網(wǎng)管中心） 58 安全培訓(xùn)安全培訓(xùn) 安全計劃啟動安全計劃啟動 并并 統(tǒng)一注冊統(tǒng)一注冊

9、 安全設(shè)計安全設(shè)計 最佳做法最佳做法 安全體系結(jié)構(gòu)安全體系結(jié)構(gòu) 和攻擊面審核和攻擊面審核 使用安全開發(fā)使用安全開發(fā) 工具以及工具以及 安全開發(fā)和安全開發(fā)和 測試最佳做法測試最佳做法 創(chuàng)建產(chǎn)品創(chuàng)建產(chǎn)品 安全文檔安全文檔 和工具和工具 準(zhǔn)備安全準(zhǔn)備安全 響應(yīng)計劃響應(yīng)計劃 安全推動安全推動 活動活動 滲透滲透 測試測試 最終最終 安全安全 審核審核 安全維護(hù)安全維護(hù) 和和 響應(yīng)執(zhí)行響應(yīng)執(zhí)行 功能列表功能列表 質(zhì)量指導(dǎo)原則質(zhì)量指導(dǎo)原則 體系結(jié)構(gòu)文檔體系結(jié)構(gòu)文檔 日程表日程表 設(shè)計規(guī)范設(shè)計規(guī)范 測試和驗證測試和驗證 編寫新代碼編寫新代碼 故障修復(fù)故障修復(fù) 代碼簽發(fā)代碼簽發(fā) + Checkpoint Pr

10、ess 簽發(fā)簽發(fā) RTM 產(chǎn)品支持產(chǎn)品支持 服務(wù)包服務(wù)包/ QFE 安全更新安全更新 需求需求設(shè)計設(shè)計實施實施驗證驗證發(fā)行發(fā)行支持和維護(hù)支持和維護(hù) 威脅建模威脅建模 功能規(guī)范功能規(guī)范 安全意識（網(wǎng)管中心） 59 安全意識（網(wǎng)管中心） 60 安全意識（網(wǎng)管中心） 61 安全意識（網(wǎng)管中心） 62 安全意識（網(wǎng)管中心） 63 安全意識（網(wǎng)管中心） 64 安全意識（網(wǎng)管中心） 65 安全意識（網(wǎng)管中心） 66 安全意識（網(wǎng)管中心） 67 安全意識（網(wǎng)管中心） 68 安全意識（網(wǎng)管中心） 69 安全意識（網(wǎng)管中心） 70 注意你的身邊！注意你的身邊！ 注意最細(xì)微的地方！注意最細(xì)微的地方！ 安全意識（網(wǎng)

11、管中心） 71 安全意識（網(wǎng)管中心） 72 安全意識（網(wǎng)管中心） 73 安全意識（網(wǎng)管中心） 74 安全意識（網(wǎng)管中心） 75 安全意識（網(wǎng)管中心） 76 安全意識（網(wǎng)管中心） 77 安全意識（網(wǎng)管中心） 78 因此，請留意您的身邊！因此，請留意您的身邊！ 安全意識（網(wǎng)管中心） 79 安全意識（網(wǎng)管中心） 80 安全意識（網(wǎng)管中心） 81 安全意識（網(wǎng)管中心） 82 安全意識（網(wǎng)管中心） 83 安全意識（網(wǎng)管中心） 84 安全意識（網(wǎng)管中心） 85 安全意識（網(wǎng)管中心） 86 安全意識（網(wǎng)管中心） 87 安全意識（網(wǎng)管中心） 88 安全意識（網(wǎng)管中心） 89 安全意識（網(wǎng)管中心） 90 安全意

12、識（網(wǎng)管中心） 91 I iLtPPMM! My son Tom was born at 8:05 MsTwb8:05 安全意識（網(wǎng)管中心） 92 S$ O0 L1 I1 E3 安全意識（網(wǎng)管中心） 93 安全意識（網(wǎng)管中心） 94 安全意識（網(wǎng)管中心） 95 安全意識（網(wǎng)管中心） 96 安全意識（網(wǎng)管中心） 97 安全意識（網(wǎng)管中心） 98 安全意識（網(wǎng)管中心） 99 安全意識（網(wǎng)管中心） 100 安全意識（網(wǎng)管中心） 101 安全意識（網(wǎng)管中心） 102 No Image 安全意識（網(wǎng)管中心） 103 安全意識（網(wǎng)管中心） 104 安全意識（網(wǎng)管中心） 105 安全意識（網(wǎng)管中心） 106

13、 安全意識（網(wǎng)管中心） 107 安全意識（網(wǎng)管中心） 108 業(yè)務(wù)持續(xù)性管理程序業(yè)務(wù)持續(xù)性管理程序 安全事件安全事件 管理程序管理程序 部門級的部門級的BCP/DRP（基于（基于BIA） 緊急響應(yīng)緊急響應(yīng) 處理程序處理程序 安全意識（網(wǎng)管中心） 109 安全意識（網(wǎng)管中心） 110 第一時間可以找誰？第一時間可以找誰？ 具體聯(lián)絡(luò)方式？具體聯(lián)絡(luò)方式？ 災(zāi)難發(fā)生時合理的應(yīng)對災(zāi)難發(fā)生時合理的應(yīng)對 關(guān)鍵是確保人員安全關(guān)鍵是確保人員安全 安全意識（網(wǎng)管中心） 111 事先做好備份等準(zhǔn)備工作事先做好備份等準(zhǔn)備工作 災(zāi)難發(fā)生后妥善處理以降災(zāi)難發(fā)生后妥善處理以降 低損失低損失 在確定時限內(nèi)恢復(fù)在確定時限內(nèi)恢復(fù)

14、 分析原因，做好記錄分析原因，做好記錄 BCP應(yīng)定期測試和維護(hù)應(yīng)定期測試和維護(hù) 應(yīng)該明確責(zé)任人應(yīng)該明確責(zé)任人 安全意識（網(wǎng)管中心） 112 安全意識（網(wǎng)管中心） 113 安全意識（網(wǎng)管中心） 114 計算機(jī)信息系統(tǒng)安全計算機(jī)信息系統(tǒng)安全 保護(hù)條例保護(hù)條例 計算機(jī)信息網(wǎng)絡(luò)國際計算機(jī)信息網(wǎng)絡(luò)國際 聯(lián)網(wǎng)安全保護(hù)管理辦法聯(lián)網(wǎng)安全保護(hù)管理辦法 安全意識（網(wǎng)管中心） 115 “違反國家規(guī)定，侵入前款規(guī)定以外的計算機(jī)信息系統(tǒng)或者 采用其他技術(shù)手段，獲取該計算機(jī)信息系統(tǒng)中存儲、處理或 者傳輸?shù)臄?shù)據(jù)，或者對該計算機(jī)信息系統(tǒng)實施非法控制，情 節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰 金；情節(jié)特別嚴(yán)重的

15、，處三年以上七年以下有期徒刑，并處 罰金?！?“提供專門用于侵入、非法控制計算機(jī)信息系統(tǒng)的程序、 工具，或者明知他人實施侵入、非法控制計算機(jī)信息系統(tǒng)的 違法犯罪行為而為其提供程序、工具，情節(jié)嚴(yán)重的，依照前 款的規(guī)定處罰?！?安全意識（網(wǎng)管中心） 116 安全意識（網(wǎng)管中心） 117 安全意識（網(wǎng)管中心） 118 安全意識（網(wǎng)管中心） 119 P 加強(qiáng)敏感信息的保密加強(qiáng)敏感信息的保密 P 留意物理安全留意物理安全 P 遵守法律法規(guī)和安全策略遵守法律法規(guī)和安全策略 P 公司資源只供公司所用公司資源只供公司所用 P 保守口令秘密保守口令秘密 P 謹(jǐn)慎使用謹(jǐn)慎使用InternetInternet、EMAILEMAIL、QQQQ P 加強(qiáng)人員安全管理加強(qiáng)人員安全管理 P 識別并控制第三方風(fēng)險識別并控制第三方風(fēng)險 P 加強(qiáng)防病毒措施加強(qiáng)防病毒措施 P 有問題及時報告有問題及時報告 安全意識（網(wǎng)管中心） 120 安全意識（網(wǎng)管中心） 121 安全意識（網(wǎng)管中心） 122 安全意識（網(wǎng)管中心） 123 安全意識（網(wǎng)管中心） 124 安全意識（網(wǎng)管中心） 125 安全意識（網(wǎng)管中心） 讀寫網(wǎng)絡(luò)連接數(shù)據(jù) 端口綁定 SSL加密&SOCKS代理 衍生很多種類 瑞士軍刀 126 安全意識（網(wǎng)管中心） 625+種服務(wù)器版本 230+種特定服務(wù)器問題 320