信息安全意識培訓(xùn)課件-銀行

1、信息技術(shù)部2011年7月銀行信息安全意識交流建立對信息安全的敏感意識和正確認(rèn)識掌握信息安全的基本概念、原則和慣例清楚可能面臨的威脅和風(fēng)險遵守各項安全策略和制度在日常工作中養(yǎng)成良好的安全習(xí)慣最終提升整體的信息安全水平2我們的目標(biāo) 1、國內(nèi)多家銀行網(wǎng)銀用戶遭到大規(guī)模釣魚攻擊，損失巨大； 2、RSA遭黑客攻擊，主流身份認(rèn)證產(chǎn)品SecureID的重要信息泄漏，導(dǎo)致美國多家軍工企業(yè)信息系統(tǒng)受到嚴(yán)重威脅； 3、LulzSec成功襲擊了中央情報局，美國參議院，任天堂，索尼等多家機構(gòu)，引起國際社會廣泛關(guān)注； 4、花旗銀行網(wǎng)站遭遇黑客 20萬信用卡用戶信息被盜； 5、由于南海領(lǐng)土糾紛引起中越黑客相互攻擊對方重要

2、網(wǎng)站； 6、韓國農(nóng)協(xié)銀行遭遇攻擊導(dǎo)致系統(tǒng)長時間癱瘓及大量交易數(shù)據(jù)丟失； 7、美聯(lián)合航空電腦故障，全國服務(wù)大亂； 8、騰訊網(wǎng)大面積訪問異常； 9、新浪微博病毒大范圍傳播； 10、Comodo等多家證書機構(gòu)遭到攻擊，攻擊者得以偽造google等多家知名網(wǎng)站證書，使互聯(lián)網(wǎng)安全遭遇嚴(yán)重威脅；45高枕無憂慘痛教訓(xùn)補丁管理應(yīng)用安全數(shù)據(jù)加密隱私防范拒絕服務(wù)攻擊集中管理移動存儲釣魚劫持惡意代碼無線攻擊6Windows XP/7如果我是黑客1、絕大多數(shù)筆記本電腦都內(nèi)置麥克風(fēng)且處于開啟狀態(tài)；2、開啟錄音功能；3、錄制所需內(nèi)容并將其放置于某Web頁面之上：4.開啟所有筆記本的攝像頭，并把錄像放置于某Web頁面之上：

3、7 信息資產(chǎn)拒絕服務(wù)流氓軟件黑客滲透內(nèi)部人員威脅木馬后門病毒和蠕蟲社會工程系統(tǒng)漏洞硬件故障網(wǎng)絡(luò)通信故障供電中斷失火雷雨地震威脅無處不在8外部威脅9踩點掃描破壞攻擊滲透攻擊獲得訪問權(quán)獲得控制權(quán)清除痕跡安裝后門遠程控制轉(zhuǎn)移目標(biāo)竊密破壞黑客攻擊基本手法10 病從口入 天時 地利 人和員工誤操作蓄意破壞職責(zé)權(quán)限混淆內(nèi)部威脅11 技術(shù)弱點 操作弱點 管理弱點系統(tǒng)、 程序、設(shè)備中存在的漏洞或缺陷配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計或備份過程的不當(dāng)?shù)炔呗浴⒊绦?、?guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足自身弱點12 將口令寫在便簽上，貼在電腦監(jiān)視器旁 開著電腦離開，就像離開家卻忘記關(guān)燈那樣 輕易

4、相信來自陌生人的郵件，好奇打開郵件附件 使用容易猜測的口令，或者根本不設(shè)口令 丟失筆記本電腦 不能保守秘密，口無遮攔，上當(dāng)受騙，泄漏敏感信息 隨便撥號上網(wǎng)，或者隨意將無關(guān)設(shè)備連入公司網(wǎng)絡(luò) 事不關(guān)己，高高掛起，不報告安全事件 在系統(tǒng)更新和安裝補丁上總是行動遲緩 只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題 會后不擦黑板，會議資料隨意放置在會場最常犯的一些錯誤13 信息資產(chǎn)對我們很重要，是要保護的對象 威脅就像蒼蠅一樣，揮之不去，無所不在 資產(chǎn)自身又有各種弱點，給威脅帶來可乘之機 面臨各種風(fēng)險，一旦發(fā)生就成為安全事件、事故保持清醒認(rèn)識14嚴(yán)防威脅消減弱點應(yīng)急響應(yīng)保護資產(chǎn)熟悉潛在的安全問題知道怎樣防止其

5、發(fā)生明確發(fā)生后如何應(yīng)對我們應(yīng)該15理解和鋪墊基本概念16 消息、信號、數(shù)據(jù)、情報和知識 信息本身是無形的，借助于信息媒體以多種形式存在或傳播： 存儲在計算機、磁帶、紙張等介質(zhì)中 記憶在人的大腦里 通過網(wǎng)絡(luò)、打印機、傳真機等方式進行傳播 信息借助媒體而存在，對現(xiàn)代企業(yè)來說具有價值，就成為信息資產(chǎn)： 計算機和網(wǎng)絡(luò)中的數(shù)據(jù) 硬件、軟件、文檔資料 關(guān)鍵人員 組織提供的服務(wù) 具有價值的信息資產(chǎn)面臨諸多威脅，需要妥善保護Information什么是信息17 采取措施保護信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行，使安全事件對業(yè)務(wù)造成的影響減到最小，確保

6、組織業(yè)務(wù)運行的連續(xù)性。什么是信息安全18CIAOnfidentiality（機密性）Ntegrity（完整性）Vailability（可用性）CIA信息安全基本目標(biāo)19ConfidentialityIntegrityAvailabilityInformation管理者的最終目標(biāo)20因果關(guān)系21 物理安全：環(huán)境安全、設(shè)備安全、媒體安全 系統(tǒng)安全：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性 網(wǎng)絡(luò)安全：網(wǎng)絡(luò)隔離、訪問控制、VPN、入侵檢測、掃描評估 應(yīng)用安全：Email安全、Web訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全 數(shù)據(jù)加密：硬件和軟件加密，實現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的CIA特性 認(rèn)證授權(quán)：口令認(rèn)證、SSO認(rèn)證（例如K

7、erberos）、證書認(rèn)證等 訪問控制：防火墻、訪問控制列表等 審計跟蹤：入侵檢測、日志審計、辨析取證 防殺病毒：單機防病毒技術(shù)逐漸發(fā)展成整體防病毒體系 災(zāi)備恢復(fù)：業(yè)務(wù)連續(xù)性，前提就是對數(shù)據(jù)的備份技術(shù)手段22在可用性（Usability）和安全性（Security）之間是一種相反的關(guān)系提高了安全性，相應(yīng)地就降低了易用性而要提高安全性，又勢必增大成本管理者應(yīng)在二者之間達成一種可接受的平衡安全 vs. 可用平衡之道23 計算機安全領(lǐng)域一句格言： “真正安全的計算機是拔下網(wǎng)線，斷掉電源，放在地下掩體的保險柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！苯^對的安全是不存在的！24 技術(shù)是信息安全的構(gòu)

8、筑材料，管理是真正的粘合劑和催化劑 信息安全管理構(gòu)成了信息安全具有能動性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動 現(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的 理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標(biāo)尤其重要 唯有信息安全管理工作活動持續(xù)而周期性的推動作用方能真正將信息安全意識貫徹落實三分技術(shù)，七分管理！關(guān)鍵點：信息安全管理25務(wù)必重視信息安全管理加強信息安全建設(shè)工作管理層：信息安全意識要點26 安全不是產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展

9、的動態(tài)過程如何正確認(rèn)識信息安全27重要信息的保密信息交換及備份軟件應(yīng)用安全計算機及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)重要信息的保密28Owner數(shù)據(jù)的屬主（OM/PM）決定所屬數(shù)據(jù)的敏感級別確定必要的保護措施最終批準(zhǔn)并Review用戶訪問權(quán)限Custodian受Owner委托管理數(shù)據(jù)通常是IT人員或部門系統(tǒng)（數(shù)據(jù)）管理員向Owner提交訪問申請并按Owner授意為用戶授權(quán)執(zhí)行數(shù)據(jù)保護措施，實施日常維護和管理User公司或第三方職員因工作需要而請求訪問數(shù)據(jù)遵守安全

10、規(guī)定和控制報告安全事件和隱患資產(chǎn)責(zé)任劃分29Public公開Internal Use內(nèi)部公開Confidencial秘密Secret機密、絕密缺省信息保密級別劃分30 根據(jù)需要，在合同或個人協(xié)議中明確安全方面的承諾和要求； 明確與客戶進行數(shù)據(jù)交接的人員責(zé)任，控制客戶數(shù)據(jù)使用及分發(fā)； 明確非業(yè)務(wù)部門在授權(quán)使用客戶數(shù)據(jù)時的保護責(zé)任； 基于業(yè)務(wù)需要，主管決定是否對重要數(shù)據(jù)進行加密保護； 禁止將客戶數(shù)據(jù)或客戶標(biāo)識用于非項目相關(guān)的場合如培訓(xùn)材料； 客戶現(xiàn)場的工作人員，嚴(yán)格遵守客戶Policy，妥善保護客戶數(shù)據(jù)； 打印件應(yīng)設(shè)置標(biāo)識，及時取回，并妥善保存或處理。數(shù)據(jù)保護安全（舉例）數(shù)據(jù)恢復(fù)技術(shù)： 數(shù)據(jù)恢復(fù)是

11、指運用軟、硬件技術(shù)對刪除或因介質(zhì)損壞等丟失的數(shù)據(jù)予以還原的過程。U盤或計算機硬盤存儲的數(shù)據(jù)即使已被刪除或進行格式化處理，使用專用軟件仍能將其恢復(fù)，這種方法也因此成為竊密的手段之一。 例如，竊密者使用從互聯(lián)網(wǎng)下載的恢復(fù)軟件對目標(biāo)計算機的已被格式化的U盤進行格式化恢復(fù)操作后，即可成功的恢復(fù)原有文件。安全事件 香港某明星曾托助手將其手提電腦，送到一間計算機公司維修，其后有人把計算機中已經(jīng)刪除的照片恢復(fù)后制作成光盤，發(fā)放予朋友及其它人士觀賞。 32重要信息的保密信息交換及備份軟件應(yīng)用安全計算機及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安

12、全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)信息交換與備份33信息交換原則：明確要交換信息的敏感級別，除了顯著標(biāo)注外，根據(jù)其敏感級別采取合適的保護措施信息發(fā)送者和接收者有責(zé)任遵守信息交換要求物理介質(zhì)傳輸：與快遞公司簽署不擴散協(xié)議，識別丟失風(fēng)險，采取必要的控制措施電子郵件和互聯(lián)網(wǎng)信息交換明確不可涉及敏感數(shù)據(jù)，如客戶信息、訂單合同等信息如必須交換此類信息，需申請主管批準(zhǔn)并采取加密傳輸措施或其它保護機制文件共享：包括Confidential（機密性）在內(nèi)的高級別的信息不能被發(fā)布于公共區(qū)域 所有共享文件應(yīng)按照規(guī)則放置在相應(yīng)的文件服務(wù)器目錄中，任何人不得在其個人電腦中開設(shè)共享。共享文件夾

13、應(yīng)該設(shè)置恰當(dāng)?shù)脑L問控制，禁止向所有用戶賦予完全訪問權(quán)限臨時共享的文件事后應(yīng)予以刪除信息交換安全（舉例）34通過傳真發(fā)送機密信息時，應(yīng)提前通知接收者并確保號碼正確不允許在公共區(qū)域用移動電話談?wù)摍C密信息不允許在公共區(qū)域與人談?wù)摍C密信息不允許通過電子郵件或IM工具交換賬號和口令信息不允許借助公司資源做非工作相關(guān)的信息交換不允許通過IM工具傳輸文件信息交換安全（舉例：續(xù)）35重要信息系統(tǒng)應(yīng)支持全備份、差量備份和增量備份IT部門提供備份所需的技術(shù)支持和必要的培訓(xùn)屬主應(yīng)該確保備份成功并定期檢查日志，根據(jù)需要，實施測試以驗證備份效率和效力信息備份安全（舉例）36重要信息的保密信息交換及備份軟件應(yīng)用安全計算機

14、及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)軟件應(yīng)用安全37安全培訓(xùn)安全計劃啟動并統(tǒng)一注冊安全設(shè)計最佳做法安全體系結(jié)構(gòu)和攻擊面審核使用安全開發(fā)工具以及安全開發(fā)和測試最佳做法創(chuàng)建產(chǎn)品安全文檔和工具準(zhǔn)備安全響應(yīng)計劃安全推動活動 滲透 測試 最終安全審核安全維護和響應(yīng)執(zhí)行功能列表質(zhì)量指導(dǎo)原則體系結(jié)構(gòu)文檔日程表設(shè)計規(guī)范測試和驗證編寫新代碼故障修復(fù)代碼簽發(fā) + Checkpoint Press 簽發(fā)RTM產(chǎn)品支持服務(wù)包/QFE 安全更新需求設(shè)計實施驗證發(fā)行支持和維護威脅建模功能規(guī)

15、范傳統(tǒng)軟件開發(fā)生命周期的任務(wù)和流程軟件應(yīng)用安全（方法論）38軟件應(yīng)用安全（舉例） 開發(fā)相關(guān)軟件，業(yè)務(wù)和技術(shù)部門做需求評估，IT相關(guān)軟件由IT部門負(fù)責(zé) 評估結(jié)果提交專家委員會審核，確定是否采購、外包或自行開發(fā) IT資產(chǎn)管理部門負(fù)責(zé)對新軟件登記注冊并標(biāo)注 軟件安裝之前應(yīng)確保其處于安全狀態(tài)（如：無流氓插件、病毒、License合法等） 軟件License管理應(yīng)由專人負(fù)責(zé) 軟件若需更新，應(yīng)提出申請，經(jīng)評估確認(rèn)后才能實施，并進行記錄 軟件使用到期，應(yīng)卸載軟件39重要信息的保密信息交換及備份軟件應(yīng)用安全計算機及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安

16、全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)計算機網(wǎng)絡(luò)訪問40 訪問控制基本原則：未經(jīng)明確允許即為禁止訪問 必須通過唯一注冊的用戶ID來控制用戶對網(wǎng)絡(luò)的訪問 系統(tǒng)管理員必須確保用戶訪問基于最小特權(quán)原則授權(quán) 用戶必須根據(jù)要求使用口令并保守秘密 系統(tǒng)管理員必須對用戶訪問權(quán)限進行檢查，防止濫用 系統(tǒng)管理員必須確保網(wǎng)絡(luò)服務(wù)可用 系統(tǒng)管理員必須根據(jù)安全制度要求定義訪問控制規(guī)則，用戶必須遵守規(guī)則 各部門應(yīng)按照管理規(guī)定制定并實施對業(yè)務(wù)應(yīng)用系統(tǒng)、開發(fā)和測試系統(tǒng)的訪問規(guī)則計算機網(wǎng)絡(luò)訪問安全（舉例）41重要信息的保密信息交換及備份軟件應(yīng)用安全計算機及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動

17、計算與遠程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)人員安全管理42背景檢查簽署保密協(xié)議安全職責(zé)說明技能意識培訓(xùn)內(nèi)部職位調(diào)整及離職檢查流程績效考核和獎懲人員安全（舉例）43 所有員工必須根據(jù)需要接受恰當(dāng)?shù)陌踩嘤?xùn)和指導(dǎo) 根據(jù)工作所需，各部門應(yīng)該識別并評估員工的培訓(xùn)需求 業(yè)務(wù)部門應(yīng)該建立并維持員工安全意識程序，確保員工通過培訓(xùn)而精于工作技能，并將信息安全意識深入其工作之中 管理層有責(zé)任引領(lǐng)信息安全意識促進活動 信息安全意識培訓(xùn)應(yīng)該持續(xù)進行，員工有責(zé)任對培訓(xùn)效果提出反饋 人力資源部門負(fù)責(zé)跟蹤培訓(xùn)策略的符合性，保留員工接

18、受培訓(xùn)的相關(guān)記錄 信息安全經(jīng)理應(yīng)該接受專門的信息安全技能培訓(xùn) 技術(shù)部門等特定職能和人員應(yīng)該接受相應(yīng)的技能培訓(xùn)人員安全（舉例）44 應(yīng)該識別來自第三方的風(fēng)險：保安、清潔、基礎(chǔ)設(shè)施維護、供應(yīng)商或外包人員，低質(zhì)量的外包服務(wù)也被視作一種安全風(fēng)險 簽署第三方協(xié)議時應(yīng)包含安全要求，必要時需簽署不擴散協(xié)議 第三方若需訪問敏感信息，需經(jīng)檢查和批準(zhǔn)，其訪問將受限制 任何第三方禁止訪問生產(chǎn)網(wǎng)絡(luò) 第三方訪問所用工具應(yīng)經(jīng)過相關(guān)部門檢查，其訪問應(yīng)經(jīng)過認(rèn)證 負(fù)責(zé)第三方訪問的人員需接受必要的安全意識培訓(xùn)第三方管理安全（舉例）45重要信息的保密信息交換及備份軟件應(yīng)用安全計算機及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠程辦

19、公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)移動計算與遠程辦公46 所有連接辦公網(wǎng)絡(luò)的筆記本電腦或其他移動計算機，必須按照指定PC安全標(biāo)準(zhǔn)來配置，必須符合補丁和防病毒管理規(guī)定 IT管理部門可以協(xié)助用戶部署必要的筆記本電腦防信息泄漏措施 用戶不能將口令、ID或其他賬戶信息以明文保存在移動介質(zhì)上 筆記本電腦遺失應(yīng)按照相應(yīng)管理制度執(zhí)行安全響應(yīng)措施 敏感信息應(yīng)加密保護 禁止在公共區(qū)域討論敏感信息，或通過筆記本電腦泄漏信息筆記本電腦與遠程辦公安全（舉例）47重要信息的保密信息交換及備份軟件應(yīng)用安全計算機及網(wǎng)絡(luò)訪問安全人員及第三方

20、安全管理移動計算與遠程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)工作環(huán)境及物理安全48 關(guān)鍵安全區(qū)域包括服務(wù)器機房、財務(wù)部門和人力資源部門、法務(wù)部、安全監(jiān)控室應(yīng)具備門禁設(shè)施 前臺接待負(fù)責(zé)檢查外來訪客證件并進行登記，訪客進入內(nèi)部需持臨時卡并由相關(guān)人員陪同 實施724小時保安服務(wù)，檢查保安記錄 所有入口和內(nèi)部安全區(qū)都需部署有攝像頭，大門及各樓層入口都被實時監(jiān)控 禁止隨意放置或丟棄含有敏感信息的紙質(zhì)文件，廢棄文件需用碎紙機粉碎 廢棄或待修磁介質(zhì)轉(zhuǎn)交他人時應(yīng)經(jīng)IT管理部門消磁處理 工作環(huán)境安全（舉例）49 您肯定用過銀行的

21、ATM機，您插入銀行卡，然后輸入密碼，然后取錢，然后拔卡，然后離開，您也許注意到您的旁邊沒有別人，您很小心，可是，您真的足夠小心嗎？我們來看一個案例505152535455重要信息的保密信息交換及備份軟件應(yīng)用安全計算機及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)病毒與惡意代碼56中華人民共和國計算機信息系統(tǒng)安全保護條例 “計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼?！笔裁词怯嬎銠C病毒5

22、7病毒 Virus蠕蟲 Worm木馬 Trojan傳統(tǒng)的計算機病毒，具有自我繁殖能力，寄生于其他可執(zhí)行程序中的，通過磁盤拷貝、文件共享、電子郵件等多種途徑進行擴散和感染網(wǎng)絡(luò)蠕蟲不需借助其他可執(zhí)行程序就能獨立存在并運行，通常利用網(wǎng)絡(luò)中某些主機存在的漏洞來感染和擴散特洛伊木馬是一種傳統(tǒng)的后門程序，它可以冒充正常程序，截取敏感信息，或進行其他非法的操作病毒 蠕蟲 木馬58 除了蠕蟲、病毒、木馬等惡意代碼，其他惡意代碼還包括邏輯炸彈、遠程控制后門等 現(xiàn)在，傳統(tǒng)的計算機病毒日益與網(wǎng)絡(luò)蠕蟲結(jié)合，發(fā)展成威力更為強大的混合型蠕蟲病毒，傳播途徑更加多樣化（網(wǎng)絡(luò)、郵件、網(wǎng)頁、局域網(wǎng)等） 通常的商業(yè)殺毒軟件都能查殺

23、基本的病毒、蠕蟲和木馬程序，但并不能防止未知病毒，需要經(jīng)常更新讓我們繼續(xù)59 所有計算機必須部署指定的防病毒軟件 防病毒軟件必須持續(xù)更新 感染病毒的計算機必須從網(wǎng)絡(luò)中隔離直至清除病毒 任何意圖在內(nèi)部網(wǎng)絡(luò)創(chuàng)建或分發(fā)惡意代碼的行為都被視為違反管理制度 發(fā)生任何病毒傳播事件，相關(guān)人員應(yīng)及時向IT管理部門匯報 僅此就夠了么惡意代碼防范策略60重要信息的保密信息交換及備份軟件應(yīng)用安全計算機及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)口令安全61 用戶名+口令是最簡單也最常用的身份

24、認(rèn)證方式 口令是抵御攻擊的第一道防線，防止冒名頂替 口令也是抵御網(wǎng)絡(luò)攻擊的最后一道防線 針對口令的攻擊簡便易行，口令破解快速有效 由于使用不當(dāng)，往往使口令成為最薄弱的安全環(huán)節(jié) 口令與個人隱私息息相關(guān)，必須慎重保護為什么口令很重要62 如果你以請一頓工作餐來作為交換，有70的人樂意告訴你他（她）的機器口令 有34的人，甚至不需要賄賂，就可奉獻自己的口令 另據(jù)調(diào)查，有79的人，在被提問時，會無意間泄漏足以被用來竊取其身份的信息 平均每人要記住四個口令，95都習(xí)慣使用相同的口令（在很多需要口令的地方） 33的人選擇將口令寫下來，然后放到抽屜或夾到文件里一些數(shù)字63 少于8個字符 單一的字符類型，例如

25、只用小寫字母，或只用數(shù)字 用戶名與口令相同 最常被人使用的弱口令： 自己、家人、朋友、親戚、寵物的名字 生日、結(jié)婚紀(jì)念日、電話號碼等個人信息 工作中用到的專業(yè)術(shù)語，職業(yè)特征 字典中包含的單詞，或者只在單詞后加簡單的后綴 所有系統(tǒng)都使用相同的口令 口令一直不變脆弱的口令64 簡單的猜測 使用專門的口令破解工具 字典攻擊（Dictionary Attack） 暴力攻擊（Brute Force Attack） 混合攻擊（Hibrid Attack） 在網(wǎng)絡(luò)中嗅探明文傳送的口令 利用后門工具來截獲口令 通過社會工程獲取口令如何破解口令65 口令是越長越好 但“選用20個隨機字符作為口令”的建議也不可取

26、 人們總習(xí)慣選擇容易記憶的口令 如果口令難記，可能會被寫下來，這樣反倒更不安全值得注意的66 口令至少應(yīng)該由8個字符組成 口令應(yīng)該是大小寫字母、數(shù)字、特殊字符的混合體 不要使用名字、生日等個人信息和字典單詞 選擇易記強口令的幾個竅門： 口令短語 字符替換 單詞誤拼 鍵盤模式建議67 用戶有責(zé)任記住自己的口令 IT管理部門在獨立審計的前提下進行口令鎖定、解鎖和重置操作 初始口令設(shè)置不得為空 口令設(shè)置不得少于8個字符 口令應(yīng)該包含特殊字符、數(shù)字和大小寫字母 口令應(yīng)該經(jīng)常更改，設(shè)定口令有效期為3個月 口令輸入錯誤限定3次，隨后會被鎖定，解鎖需通報IT管理部門口令管理（舉例）68重要信息的保密信息交換

27、及備份軟件應(yīng)用安全計算機及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)電子郵件安全69據(jù)統(tǒng)計，有超過87的病毒是借助Email進入企業(yè)的對于下列標(biāo)題的郵件，選擇打開閱覽的人數(shù)百分比：I LOVE YOU：37的人會打開郵件Great joke：54的人會打開郵件Message：46的人會打開郵件Special offer：39的人會打開郵件小組討論Email數(shù)字70不當(dāng)使用Email可能導(dǎo)致法律風(fēng)險禁止發(fā)送或轉(zhuǎn)發(fā)反動或非法的郵件內(nèi)容未經(jīng)發(fā)送人許可，不得轉(zhuǎn)發(fā)接收到的郵件不得

28、偽造虛假郵件，不得使用他人賬號發(fā)送郵件未經(jīng)許可，不得將屬于他人郵件的消息內(nèi)容拷貝轉(zhuǎn)發(fā)與業(yè)務(wù)相關(guān)的Email應(yīng)在文件服務(wù)器上做妥善備份，專人負(fù)責(zé)檢查包含客戶信息的Email應(yīng)轉(zhuǎn)發(fā)主管做備份個人用途的Email不應(yīng)干擾工作，并且遵守本策略避免通過Email發(fā)送機密信息，如果需要，應(yīng)采取必要的加密保護措施Email安全（舉例）71不安全的文件類型：絕對不要打開任何以下文件類型的郵件附件：.bat, .com, .exe, .vbs未知的文件類型：絕對不要打開任何未知文件類型的郵件附件，包括郵件內(nèi)容中到未知文件類型的鏈接微軟文件類型：如果要打開微軟文件類型（例如 .doc, .xls, .ppt等）的

29、郵件附件或者內(nèi)部鏈接，務(wù)必先進行病毒掃描要求發(fā)送普通的文本：盡量要求對方發(fā)送普通的文本內(nèi)容郵件，而不要發(fā)送HTML格式郵件，不要攜帶不安全類型的附件禁止郵件執(zhí)行Html代碼：禁止執(zhí)行HTML內(nèi)容中的代碼防止垃圾郵件：通過設(shè)置郵件服務(wù)器的過濾，防止接受垃圾郵件盡早安裝系統(tǒng)補?。憾沤^惡意代碼利用系統(tǒng)漏洞而實施攻擊接收郵件注意72如果同樣的內(nèi)容可以用普通文本正文，就不要用附件盡量不要發(fā)送.doc, .xls等可能帶有宏病毒的文件發(fā)送不安全的文件之前，先進行病毒掃描不要參與所謂的郵件接龍盡早安裝系統(tǒng)補丁，防止自己的系統(tǒng)成為惡意者的跳板發(fā)送郵件注意73重要信息的保密信息交換及備份軟件應(yīng)用安全計算機及網(wǎng)絡(luò)

30、訪問安全人員及第三方安全管理移動計算與遠程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)介質(zhì)安全管理74介質(zhì)安全管理（舉例）創(chuàng)建傳遞銷毀存 儲使用更改75重要信息的保密信息交換及備份軟件應(yīng)用安全計算機及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)警惕社會工程學(xué)76 “人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術(shù)、防火墻、入侵檢測系統(tǒng)、生物鑒別設(shè)備，可只要有人給毫無戒心的員工打個電話” Kevin Mit

31、nick77 Social Engneering 利用社會交往（通常是在偽裝之下）從目標(biāo)對象那里獲取信息 例如： 電話呼叫服務(wù)中心 在走廊里的聊天 冒充服務(wù)技術(shù)人員 著名黑客Kevin Mitnick更多是通過社會工程來滲透網(wǎng)絡(luò)的，而不是高超的黑客技術(shù)什么是社會工程學(xué)78 不要輕易泄漏敏感信息，例如口令和賬號 在相信任何人之前，先校驗其真實的身份 不要違背公司的安全策略，哪怕是你的上司向你索取個人敏感信息（Kevin Mitnick最擅長的就是冒充一個很焦急的老板，利用一般人好心以及害怕上司的心理，向系統(tǒng)管理員索取口令） 不要忘了，所謂的黑客，更多時候并不是技術(shù)多么出眾，而是社會工程的能力比較

32、強社會工程學(xué)（舉例）79重要信息的保密信息交換及備份軟件應(yīng)用安全計算機及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)應(yīng)急響應(yīng)和BCP80業(yè)務(wù)持續(xù)性管理程序風(fēng)險評估管理風(fēng)險控制措施應(yīng)急計劃框架預(yù)防為主事后緊急響應(yīng)及恢復(fù)一般安全事件觸發(fā)Helpdesk及IRT正常處理執(zhí)行具體的BCP/DRP安全事件管理程序部門級的BCP/DRP（基于BIA）緊急響應(yīng)和危機處理ERT人員環(huán)境災(zāi)難觸發(fā)緊急響應(yīng)處理程序安全事件管理（框架）81 事先制定可行的安全事件響應(yīng)計劃 建立事件響應(yīng)小組，以管理不同風(fēng)險級別的安全事件 員工有責(zé)任向其上級報告任何已知或可疑的安全問題或違規(guī)行為 必要時，管理層可決定引入法律程序 做好證據(jù)采集和保留工作 應(yīng)提交安全事件和相關(guān)問題的定期管理報告，以備管理層檢查 應(yīng)該定期檢查應(yīng)急計劃的有效性安全事件管理要點（舉例）82網(wǎng)絡(luò)通信中斷服務(wù)器崩潰嚴(yán)重的數(shù)據(jù)泄漏或丟失計算機網(wǎng)絡(luò)安全事件斷電斷水恐怖襲擊人員傷亡設(shè)施毀壞火災(zāi)水災(zāi)人員與環(huán)境災(zāi)難事故 事先做好備份