信息安全意識(shí)培訓(xùn)-全體員工

1、信息安全意識(shí)培訓(xùn)信息安全意識(shí)培訓(xùn)集團(tuán)IT中心/IT應(yīng)用管理部 孫興亞21234什么是信息安全？怎樣搞好信息安全？信息產(chǎn)業(yè)發(fā)展現(xiàn)狀主要內(nèi)容信息安全基本概念3引言4什么是信息安全？ 不止有產(chǎn)品、技術(shù)才是信息安全不止有產(chǎn)品、技術(shù)才是信息安全5信息安全無(wú)處不在6 一個(gè)軟件公司的老總，等他所有的員工下班之一個(gè)軟件公司的老總，等他所有的員工下班之后，他在那里想：我的企業(yè)到底值多少錢呢？后，他在那里想：我的企業(yè)到底值多少錢呢？假假如它的企業(yè)市值如它的企業(yè)市值1 1億，那么此時(shí)此刻，他的企業(yè)就億，那么此時(shí)此刻，他的企業(yè)就值值26002600萬(wàn)。萬(wàn)。 因?yàn)閾?jù)因?yàn)閾?jù)DelphiDelphi公司統(tǒng)計(jì)，公司價(jià)值的公司

2、統(tǒng)計(jì)，公司價(jià)值的2626%體現(xiàn)體現(xiàn)在固定資產(chǎn)和一些文檔上，而在固定資產(chǎn)和一些文檔上，而高達(dá)高達(dá)4242%的價(jià)值是存的價(jià)值是存儲(chǔ)在員工的腦子里，而這些信息的保護(hù)沒有任何儲(chǔ)在員工的腦子里，而這些信息的保護(hù)沒有任何一款產(chǎn)品可以做得到一款產(chǎn)品可以做得到，所以需要我們建立信息安，所以需要我們建立信息安全管理體系，也就是常說的全管理體系，也就是常說的ISMSISMS！怎樣搞好信息安全？7信息在哪里？紙質(zhì)文檔紙質(zhì)文檔電子文檔電子文檔員工員工其他信息介質(zhì)其他信息介質(zhì)小問題：小問題：公司的信息都在哪里？8小測(cè)試： 9答案解釋： 10這就是意識(shí)缺乏的兩大這就是意識(shí)缺乏的兩大不看重大公司，更看重小家庭。不看重大公司

3、，更看重小家庭。鈔票更順眼，信息無(wú)所謂。鈔票更順眼，信息無(wú)所謂。11思想上的轉(zhuǎn)變（一） 老板那里12WHY?信息安全搞好了信息安全搞好了信息安全搞砸了信息安全搞砸了公司賺錢了公司賺錢了領(lǐng)導(dǎo)笑了領(lǐng)導(dǎo)笑了領(lǐng)導(dǎo)怒了領(lǐng)導(dǎo)怒了公司賠錢了公司賠錢了你就你就“跌跌” 了了你就你就“漲漲” 了了13思想上的轉(zhuǎn)變（二） 信息比鈔票更重要，信息比鈔票更重要，更脆弱，我們更應(yīng)該保護(hù)更脆弱，我們更應(yīng)該保護(hù)它。它。14WHY?裝有100萬(wàn)的 保險(xiǎn)箱需要 3個(gè)悍匪、公司損失： 100萬(wàn)裝有客戶信息的 電腦只要 1個(gè)商業(yè)間諜、1個(gè)U盤，就能偷走。1輛車，才能偷走。15典型案例16安全名言 公司的利益就是自己的利益，不保護(hù)公

4、司公司的利益就是自己的利益，不保護(hù)公司，就是不保護(hù)自己。，就是不保護(hù)自己。 電腦不僅僅是工具，而是裝有十分重要信電腦不僅僅是工具，而是裝有十分重要信息的保險(xiǎn)箱。息的保險(xiǎn)箱。17絕對(duì)的安全是不存在的絕對(duì)的零風(fēng)險(xiǎn)是不存在的，要想實(shí)現(xiàn)零風(fēng)險(xiǎn)，也是不現(xiàn)實(shí)的；絕對(duì)的零風(fēng)險(xiǎn)是不存在的，要想實(shí)現(xiàn)零風(fēng)險(xiǎn)，也是不現(xiàn)實(shí)的；計(jì)算機(jī)系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，計(jì)算機(jī)系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來(lái)說，需要在安全性和可用性，以及安全性和成本投入之間做一一般來(lái)說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。種平衡。 在計(jì)算機(jī)安全領(lǐng)域有一句格言：“真正

5、真正安全的計(jì)算機(jī)是拔下網(wǎng)線，斷掉電源，放置安全的計(jì)算機(jī)是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險(xiǎn)柜中，并在掩體內(nèi)充滿毒在地下掩體的保險(xiǎn)柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)。氣，在掩體外安排士兵守衛(wèi)?！?顯然，這樣的計(jì)算機(jī)是無(wú)法使用的。18安全是一種平衡19安全是一種平衡安全控制的成本安全事件的損失最小化的總成本最小化的總成本低高高安全成本/損失所提供的安全水平關(guān)鍵是實(shí)現(xiàn)成本利益的平衡關(guān)鍵是實(shí)現(xiàn)成本利益的平衡20信息的價(jià)值信息的價(jià)值 = 使用信息所獲得的收益使用信息所獲得的收益 獲取信息所用成本獲取信息所用成本信息具備了安全的保護(hù)特性信息具備了安全的保護(hù)特性信息的價(jià)值21廣義上講 領(lǐng)域

6、領(lǐng)域 涉及到信息的保密性，完整性，可用性，涉及到信息的保密性，完整性，可用性，真實(shí)性，可控性的相關(guān)技術(shù)和理論。真實(shí)性，可控性的相關(guān)技術(shù)和理論。本質(zhì)上 保護(hù)保護(hù) 系統(tǒng)的硬件，軟件，數(shù)據(jù)系統(tǒng)的硬件，軟件，數(shù)據(jù) 防止防止 系統(tǒng)和數(shù)據(jù)遭受破壞，更改，泄露系統(tǒng)和數(shù)據(jù)遭受破壞，更改，泄露 保證保證 系統(tǒng)連續(xù)可靠正常地運(yùn)行，服務(wù)不中斷系統(tǒng)連續(xù)可靠正常地運(yùn)行，服務(wù)不中斷兩個(gè)層面 技術(shù)層面技術(shù)層面 防止外部用戶的非法入侵防止外部用戶的非法入侵 管理層面管理層面 內(nèi)部員工的教育和管理內(nèi)部員工的教育和管理信息安全的定義22信息安全基本目標(biāo)23信息生命周期24信息產(chǎn)業(yè)發(fā)展迅猛截至截至2008年年7月，我國(guó)固定電話已達(dá)

7、到月，我國(guó)固定電話已達(dá)到3.55億戶，移動(dòng)電話用戶數(shù)達(dá)到億戶，移動(dòng)電話用戶數(shù)達(dá)到6.08億。億。截至截至2008年年6月，月，我國(guó)網(wǎng)民數(shù)量達(dá)到了我國(guó)網(wǎng)民數(shù)量達(dá)到了2.53億億，成為世界上網(wǎng)民最多的，成為世界上網(wǎng)民最多的國(guó)家，與去年同期相比，中國(guó)網(wǎng)民人數(shù)增加了國(guó)家，與去年同期相比，中國(guó)網(wǎng)民人數(shù)增加了9100萬(wàn)人，同比增長(zhǎng)達(dá)到萬(wàn)人，同比增長(zhǎng)達(dá)到56.2%。手機(jī)上網(wǎng)成為用戶上網(wǎng)的重要途徑，網(wǎng)民中的手機(jī)上網(wǎng)成為用戶上網(wǎng)的重要途徑，網(wǎng)民中的28.9%在過去半年曾經(jīng)使在過去半年曾經(jīng)使用過手機(jī)上網(wǎng)，用過手機(jī)上網(wǎng)，手機(jī)網(wǎng)民規(guī)模達(dá)到手機(jī)網(wǎng)民規(guī)模達(dá)到7305萬(wàn)人萬(wàn)人。 2007年電子商務(wù)交易總額已超過年電子商務(wù)交

8、易總額已超過2萬(wàn)億元。萬(wàn)億元。目前，目前，全國(guó)網(wǎng)站總數(shù)達(dá)全國(guó)網(wǎng)站總數(shù)達(dá)192萬(wàn)萬(wàn)，中文網(wǎng)頁(yè)已達(dá)，中文網(wǎng)頁(yè)已達(dá)84.7億頁(yè)，個(gè)人博客億頁(yè)，個(gè)人博客/個(gè)人個(gè)人空間的網(wǎng)民比例達(dá)到空間的網(wǎng)民比例達(dá)到42.3%。 目前，縣級(jí)以上目前，縣級(jí)以上96%的政府機(jī)構(gòu)都建立了網(wǎng)站的政府機(jī)構(gòu)都建立了網(wǎng)站，電子政務(wù)正以改善公共，電子政務(wù)正以改善公共服務(wù)為重點(diǎn)，在教育、醫(yī)療、住房等方面，提供便捷的基本公共服務(wù)。服務(wù)為重點(diǎn)，在教育、醫(yī)療、住房等方面，提供便捷的基本公共服務(wù)。 25信息安全令人擔(dān)憂內(nèi)地企業(yè)內(nèi)地企業(yè)4444%信息安全事件是數(shù)據(jù)失竊信息安全事件是數(shù)據(jù)失竊 普華永道最新發(fā)布的2008年度全球信息安全調(diào)查報(bào)告顯示，

9、中國(guó)內(nèi)地企業(yè)在信息安全管理方面存在滯后，信息安全與隱私保障方面已被印度趕超。數(shù)據(jù)顯示，內(nèi)地企業(yè)內(nèi)地企業(yè)4444%的信息安全事件與的信息安全事件與數(shù)據(jù)失竊有關(guān)，而全球的平均水平只有數(shù)據(jù)失竊有關(guān)，而全球的平均水平只有1616%。普華永道的調(diào)查顯示，中國(guó)內(nèi)地企業(yè)在改善信息安全機(jī)制上仍有待努力，從近年安全事件結(jié)果看，中國(guó)每年大約中國(guó)每年大約9898萬(wàn)美元的萬(wàn)美元的財(cái)務(wù)損失，而亞洲國(guó)家平均約為財(cái)務(wù)損失，而亞洲國(guó)家平均約為7575萬(wàn)美元，印度大約為萬(wàn)美元，印度大約為30.830.8萬(wàn)美萬(wàn)美元元。此外，42%的中國(guó)內(nèi)地受訪企業(yè)經(jīng)歷了應(yīng)用軟件、系統(tǒng)和網(wǎng)絡(luò)的安全事件。26安全事件（1）27安全事件（2）28安全

10、事件（3）29安全事件（4）30安全事件（5）31安全事件（6）熊貓燒香病毒的制造者-李俊 32深度分析33這樣的事情還有很多關(guān)鍵是做好預(yù)防控制關(guān)鍵是做好預(yù)防控制 3538392005年年9月月7日，上海樂購(gòu)超市金山店負(fù)責(zé)人到市公安局金山分局報(bào)案稱，該店在盤點(diǎn)貨物時(shí)發(fā)現(xiàn)日，上海樂購(gòu)超市金山店負(fù)責(zé)人到市公安局金山分局報(bào)案稱，該店在盤點(diǎn)貨物時(shí)發(fā)現(xiàn)銷售的貨物和收到的貨款不符，有可能款物被非法侵吞。上海市公安局經(jīng)偵總隊(duì)和金山分局立即成銷售的貨物和收到的貨款不符，有可能款物被非法侵吞。上海市公安局經(jīng)偵總隊(duì)和金山分局立即成立了專案組展開調(diào)查。立了專案組展開調(diào)查。專案組調(diào)查發(fā)現(xiàn)，樂購(gòu)超市幾家門店貨物缺損率大

11、大超過了業(yè)內(nèi)千分之五的物損比例，缺損的貨物專案組調(diào)查發(fā)現(xiàn)，樂購(gòu)超市幾家門店貨物缺損率大大超過了業(yè)內(nèi)千分之五的物損比例，缺損的貨物五花八門，油鹽醬醋等日常用品的銷售與實(shí)際收到的貨款差別很大。根據(jù)以往的案例，超市內(nèi)的盜五花八門，油鹽醬醋等日常用品的銷售與實(shí)際收到的貨款差別很大。根據(jù)以往的案例，超市內(nèi)的盜竊行為往往是針對(duì)體積小價(jià)值高的化妝品等物，盜竊者很少光顧油鹽醬醋等生活用品。奇怪的是，竊行為往往是針對(duì)體積小價(jià)值高的化妝品等物，盜竊者很少光顧油鹽醬醋等生活用品。奇怪的是，在超市的各個(gè)經(jīng)營(yíng)環(huán)節(jié)并沒有發(fā)現(xiàn)明顯漏洞。在超市的各個(gè)經(jīng)營(yíng)環(huán)節(jié)并沒有發(fā)現(xiàn)明顯漏洞。考慮到錢和物最終的流向收銀員是出口，問題很可能出

12、在收銀環(huán)節(jié)?？紤]到錢和物最終的流向收銀員是出口，問題很可能出在收銀環(huán)節(jié)。警方在調(diào)查中發(fā)現(xiàn)，收銀系統(tǒng)警方在調(diào)查中發(fā)現(xiàn)，收銀系統(tǒng)軟件的設(shè)計(jì)相對(duì)嚴(yán)密，除非是負(fù)責(zé)維護(hù)收銀系統(tǒng)的資訊小組職員和收銀員合謀，才有可能對(duì)營(yíng)業(yè)款軟件的設(shè)計(jì)相對(duì)嚴(yán)密，除非是負(fù)責(zé)維護(hù)收銀系統(tǒng)的資訊小組職員和收銀員合謀，才有可能對(duì)營(yíng)業(yè)款項(xiàng)動(dòng)手腳。項(xiàng)動(dòng)手腳。經(jīng)過深入調(diào)查，偵查人員發(fā)現(xiàn)超市原有的收銀系統(tǒng)被裝入了一個(gè)攻擊性的補(bǔ)丁程序，只要收銀員輸經(jīng)過深入調(diào)查，偵查人員發(fā)現(xiàn)超市原有的收銀系統(tǒng)被裝入了一個(gè)攻擊性的補(bǔ)丁程序，只要收銀員輸入口令、密碼，這個(gè)程序會(huì)自動(dòng)運(yùn)行，刪除該營(yíng)業(yè)員當(dāng)日入口令、密碼，這個(gè)程序會(huì)自動(dòng)運(yùn)行，刪除該營(yíng)業(yè)員當(dāng)日20左右的銷

13、售記錄后再將數(shù)據(jù)傳送至?xí)笥业匿N售記錄后再將數(shù)據(jù)傳送至?xí)?jì)部門，造成會(huì)計(jì)部門只按實(shí)際營(yíng)業(yè)額的計(jì)部門，造成會(huì)計(jì)部門只按實(shí)際營(yíng)業(yè)額的80向收銀員收取營(yíng)業(yè)額。另向收銀員收取營(yíng)業(yè)額。另20營(yíng)業(yè)額即可被侵吞。營(yíng)業(yè)額即可被侵吞。能夠在收銀系統(tǒng)中裝入程序的，負(fù)責(zé)管理、更新、維修超市收銀系統(tǒng)的資訊組工作人員嫌疑最大。能夠在收銀系統(tǒng)中裝入程序的，負(fù)責(zé)管理、更新、維修超市收銀系統(tǒng)的資訊組工作人員嫌疑最大。 警方順藤摸瓜，挖出一個(gè)包括超市資訊員、收銀員在內(nèi)的近警方順藤摸瓜，挖出一個(gè)包括超市資訊員、收銀員在內(nèi)的近40人的犯罪團(tuán)伙。據(jù)調(diào)查，原樂購(gòu)超市人的犯罪團(tuán)伙。據(jù)調(diào)查，原樂購(gòu)超市真北店資訊組組長(zhǎng)方元在工作中發(fā)現(xiàn)收銀系

14、統(tǒng)漏洞，設(shè)計(jì)了攻擊性程序，犯罪嫌疑人于琪、朱永春真北店資訊組組長(zhǎng)方元在工作中發(fā)現(xiàn)收銀系統(tǒng)漏洞，設(shè)計(jì)了攻擊性程序，犯罪嫌疑人于琪、朱永春、武侃佳等人利用擔(dān)任樂購(gòu)超市多家門店資訊工作的便利，將這一程序植入各門店收銀系統(tǒng)；犯罪、武侃佳等人利用擔(dān)任樂購(gòu)超市多家門店資訊工作的便利，將這一程序植入各門店收銀系統(tǒng)；犯罪嫌疑人陳煒嘉、陳琦、趙一青等人物色不法人員，經(jīng)培訓(xùn)后通過應(yīng)聘安插到各家門店做收銀員，每嫌疑人陳煒嘉、陳琦、趙一青等人物色不法人員，經(jīng)培訓(xùn)后通過應(yīng)聘安插到各家門店做收銀員，每日將侵吞贓款上繳到犯罪團(tuán)伙主犯方元、陳煒嘉、陳琦等人手中，團(tuán)伙成員按比例分贓。一年時(shí)間日將侵吞贓款上繳到犯罪團(tuán)伙主犯方元、

15、陳煒嘉、陳琦等人手中，團(tuán)伙成員按比例分贓。一年時(shí)間內(nèi)，先后侵吞樂購(gòu)超市真北店、金山店、七寶店內(nèi)，先后侵吞樂購(gòu)超市真北店、金山店、七寶店374萬(wàn)余元。犯罪團(tuán)伙個(gè)人按比例分得贓款數(shù)千元至萬(wàn)余元。犯罪團(tuán)伙個(gè)人按比例分得贓款數(shù)千元至50萬(wàn)元不等萬(wàn)元不等關(guān)于員工安全管理的建議關(guān)于員工安全管理的建議 根據(jù)不同崗位的需求，在職位描述書中加入安全方面根據(jù)不同崗位的需求，在職位描述書中加入安全方面的責(zé)任要求，特別是敏感崗位的責(zé)任要求，特別是敏感崗位 在招聘環(huán)節(jié)做好人員篩選和背景調(diào)查工作，并且簽訂在招聘環(huán)節(jié)做好人員篩選和背景調(diào)查工作，并且簽訂適當(dāng)?shù)谋Ｃ軈f(xié)議適當(dāng)?shù)谋Ｃ軈f(xié)議 在新員工培訓(xùn)中專門加入信息安全內(nèi)容在新員工

16、培訓(xùn)中專門加入信息安全內(nèi)容 工作期間，根據(jù)崗位需要，持續(xù)進(jìn)行專項(xiàng)培訓(xùn)工作期間，根據(jù)崗位需要，持續(xù)進(jìn)行專項(xiàng)培訓(xùn) 通過多種途徑，全面提升員工信息安全意識(shí)通過多種途徑，全面提升員工信息安全意識(shí) 落實(shí)檢查監(jiān)督和獎(jiǎng)懲機(jī)制落實(shí)檢查監(jiān)督和獎(jiǎng)懲機(jī)制 員工內(nèi)部轉(zhuǎn)崗應(yīng)做好訪問控制變更控制員工內(nèi)部轉(zhuǎn)崗應(yīng)做好訪問控制變更控制 員工離職，應(yīng)做好交接和權(quán)限撤銷員工離職，應(yīng)做好交接和權(quán)限撤銷42433131歲的軟件工程師歲的軟件工程師程稚瀚，在華為工作期間，曾為西藏移動(dòng)做過技術(shù)程稚瀚，在華為工作期間，曾為西藏移動(dòng)做過技術(shù)工作，案發(fā)時(shí)，在工作，案發(fā)時(shí)，在UT斯達(dá)康深圳分公司工作。斯達(dá)康深圳分公司工作。20052005年年3

17、3月開始，其月開始，其利用為西藏移動(dòng)做技術(shù)時(shí)使用的密碼（此密碼自程利用為西藏移動(dòng)做技術(shù)時(shí)使用的密碼（此密碼自程稚瀚離開后一直沒有更改），輕松進(jìn)入了西藏移動(dòng)的服務(wù)器。通過西稚瀚離開后一直沒有更改），輕松進(jìn)入了西藏移動(dòng)的服務(wù)器。通過西藏移動(dòng)的服務(wù)器，程稚瀚又跳轉(zhuǎn)到了北京移動(dòng)數(shù)據(jù)庫(kù)，取得了數(shù)據(jù)從藏移動(dòng)的服務(wù)器，程稚瀚又跳轉(zhuǎn)到了北京移動(dòng)數(shù)據(jù)庫(kù)，取得了數(shù)據(jù)從2005年年3月至月至7月，程稚瀚先后月，程稚瀚先后4次侵入北京移動(dòng)數(shù)據(jù)庫(kù)，修改充值卡次侵入北京移動(dòng)數(shù)據(jù)庫(kù)，修改充值卡的時(shí)間和金額，將已充值的充值卡狀態(tài)改為未充值，共修改復(fù)制出上的時(shí)間和金額，將已充值的充值卡狀態(tài)改為未充值，共修改復(fù)制出上萬(wàn)個(gè)充值卡密

18、碼。他還將盜出的充值卡密碼通過淘寶網(wǎng)出售，共獲利萬(wàn)個(gè)充值卡密碼。他還將盜出的充值卡密碼通過淘寶網(wǎng)出售，共獲利370余萬(wàn)元。余萬(wàn)元。 直到直到2005年年7月，由于一次月，由于一次“疏忽疏忽”，程稚瀚將一批充值卡售出時(shí)，忘，程稚瀚將一批充值卡售出時(shí)，忘了修改使用期限，使用期限仍為了修改使用期限，使用期限仍為90天。購(gòu)買到這批充值卡的用戶因無(wú)天。購(gòu)買到這批充值卡的用戶因無(wú)法使用便投訴到北京移動(dòng)，北京移動(dòng)才發(fā)現(xiàn)有法使用便投訴到北京移動(dòng)，北京移動(dòng)才發(fā)現(xiàn)有6600張充值卡被非法復(fù)張充值卡被非法復(fù)制，立即報(bào)警。制，立即報(bào)警。 2005年年8月月24日，程稚瀚在深圳被抓獲，所獲贓款全部起獲。日，程稚瀚在深圳

19、被抓獲，所獲贓款全部起獲。 關(guān)于第三方安全管理的建議關(guān)于第三方安全管理的建議 識(shí)別所有相關(guān)第三方：服務(wù)提供商，設(shè)備提供商，咨識(shí)別所有相關(guān)第三方：服務(wù)提供商，設(shè)備提供商，咨詢顧問，審計(jì)機(jī)構(gòu)，物業(yè)，保潔等詢顧問，審計(jì)機(jī)構(gòu)，物業(yè)，保潔等 識(shí)別所有與第三方相關(guān)的安全風(fēng)險(xiǎn)，無(wú)論是牽涉到物識(shí)別所有與第三方相關(guān)的安全風(fēng)險(xiǎn)，無(wú)論是牽涉到物理訪問還是邏輯訪問理訪問還是邏輯訪問 在沒有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，在沒有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪問。應(yīng)該讓外部伙伴意識(shí)到其不應(yīng)該授權(quán)給外部伙伴訪問。應(yīng)該讓外部伙伴意識(shí)到其責(zé)任和必須遵守的規(guī)定責(zé)任和必須遵守的規(guī)定 在與第三

20、方簽訂協(xié)議時(shí)特別提出信息安全方面的要求，在與第三方簽訂協(xié)議時(shí)特別提出信息安全方面的要求，特別是訪問控制要求特別是訪問控制要求 對(duì)第三方實(shí)施有效的監(jiān)督，定期對(duì)第三方實(shí)施有效的監(jiān)督，定期ReviewReview服務(wù)交付服務(wù)交付是一路電還是兩路電？是一路電還是兩路電？?jī)陕冯娛欠褚欢ㄊ莾蓚€(gè)輸電站？?jī)陕冯娛欠褚欢ㄊ莾蓚€(gè)輸電站？有沒有有沒有UPS？UPS能維持多久？能維持多久？有沒有備用發(fā)電機(jī)組？有沒有備用發(fā)電機(jī)組？備用發(fā)電機(jī)是否有充足的油料儲(chǔ)備？備用發(fā)電機(jī)是否有充足的油料儲(chǔ)備？另一個(gè)與物理安全相關(guān)的案例另一個(gè)與物理安全相關(guān)的案例情況是這樣的情況是這樣的 聰明的張三想出了妙計(jì)聰明的張三想出了妙計(jì) 問題出在

21、哪里問題出在哪里 總結(jié)教訓(xùn)總結(jié)教訓(xùn) 物理安全非常關(guān)鍵！物理安全非常關(guān)鍵！關(guān)于物理安全的建議關(guān)于物理安全的建議56關(guān)于口令的一些調(diào)查結(jié)果關(guān)于口令的一些調(diào)查結(jié)果什么樣的口令是比較脆弱的？什么樣的口令是比較脆弱的？口令安全建議口令安全建議從一點(diǎn)一滴做起！從一點(diǎn)一滴做起！從自身做起！從自身做起！61IT安全問題1、一般情況下，個(gè)人計(jì)算機(jī)在（ ） 分鐘的非活動(dòng)狀態(tài)里要求自動(dòng)激活屏幕鎖定 A、5分鐘 B、10分鐘C、15分鐘 D、30分鐘62IT安全問題2、下列說法錯(cuò)誤的是( )A、個(gè)人計(jì)算機(jī)操作系統(tǒng)必須設(shè)置口令。 B、在每天工作結(jié)束時(shí)，將便攜電腦妥善保 管，如鎖入文件柜。 C、離開自己的計(jì)算機(jī)時(shí)，必須激

22、活具有密碼保護(hù)的屏幕保護(hù)程序。 D、為方便第二天工作，下班后可以不用關(guān)閉計(jì)算機(jī)。63IT安全問題3、口令要求至少（ ）更換一次 A、3個(gè)月 B、6個(gè)月 C、1年 D、可以一直使用一個(gè)口令 ，不用修改。64IT安全問題4、下列關(guān)于個(gè)人計(jì)算機(jī)的訪問密碼設(shè)置要求，描述錯(cuò)誤的是（ ）：A、密碼要求至少設(shè)置8位字符長(zhǎng)。B、為便于記憶，可將自己生日作為密碼。C、禁止使用前兩次的密碼 D、如果需要訪問不在公司控制下的計(jì)算機(jī)系統(tǒng)，禁止選擇在公司內(nèi)部系統(tǒng)使用的密碼作為外部系統(tǒng)的密碼。 65IT安全問題5、下列關(guān)于外網(wǎng)使用說法錯(cuò)誤的是（ ）：A、外網(wǎng)只能從分公司一點(diǎn)接入。B、地市公司或管理部門為方便外網(wǎng)使用，可自

23、己向電信申請(qǐng)開通ADSL外網(wǎng)接入。C、外網(wǎng)接入須經(jīng)過防火墻以加強(qiáng)安全防護(hù)。D、只使用有授權(quán)訪問的服務(wù)。不要嘗試訪問未經(jīng)授權(quán)的互聯(lián)網(wǎng)系統(tǒng)或服務(wù)器端口 。66IT安全問題6、用upload賬戶通過分公司85服務(wù)器上傳文件文件，描述錯(cuò)誤的是（ ） A、需保密的文件上傳前應(yīng)該做加密處理。B、在對(duì)方下載后立即從FTP服務(wù)器上刪除自己所傳文件。C、不可將分公司FTP服務(wù)器當(dāng)作自己重要數(shù)據(jù)文件的備份服務(wù)器。D、上傳后的文件可以不用處理，一直放到分公司FTP服務(wù)器上。67IT安全問題7、關(guān)于個(gè)人計(jì)算機(jī)數(shù)據(jù)備份描述錯(cuò)誤的是（）A、備份的目的是有效保證個(gè)人計(jì)算機(jī)內(nèi)的重要信息在遭到損壞時(shí)能夠及時(shí)恢復(fù)。B、個(gè)人計(jì)算機(jī)

24、數(shù)據(jù)備份是信息技術(shù)部的事情，應(yīng)由信息技術(shù)部負(fù)責(zé)完成。C、員工應(yīng)根據(jù)個(gè)人計(jì)算機(jī)上信息的重要程度和修改頻率定期對(duì)信息進(jìn)行備份。D、備份介質(zhì)必須要注意防范偷竊或未經(jīng)授權(quán)的訪問。 68IT安全問題8、關(guān)于電子郵件的使用，描述錯(cuò)誤的是（ ）A、不得散發(fā)可能被認(rèn)為不適當(dāng)?shù)?，?duì)他人不尊重或提倡違法行為的內(nèi)容；B 、可以自動(dòng)轉(zhuǎn)發(fā)公司內(nèi)部郵件到互聯(lián)網(wǎng)上；C 、禁止使用非CPIC 的電子郵箱，如YAHOO，AOL，HOTMAIL 等交換CPIC公司信息；D、非CPIC 授權(quán)人員禁止使用即時(shí)通訊軟件，如MSN 交換CPIC 公司信息。 69IT安全問題9、下列關(guān)于病毒防護(hù)描述錯(cuò)誤的是（ ）A、個(gè)人工作站必須安裝統(tǒng)一部署的防病毒軟件，未經(jīng)信息技術(shù)部批準(zhǔn)不得擅自安裝非本公司指定的防病毒軟件。 B、如果從公共資源得到程序（比如，網(wǎng)站，公告版），那么在使用之前需使用防病毒程序掃描。C、在處理外部介質(zhì)之前應(yīng)用防病毒軟件掃描。D、個(gè)人計(jì)算機(jī)上安裝了防病毒軟件即可，不用定期進(jìn)行病毒掃描。70IT安全問題10、位于高風(fēng)險(xiǎn)區(qū)域的移動(dòng)計(jì)算機(jī)，例如，在沒有物理訪問控制的區(qū)域等應(yīng)設(shè)屏幕鎖定為（ ）分鐘，以防止非授權(quán)人員的訪問；A、5分鐘 B、10分鐘C、15分鐘 D、