《银行信息安全意识培训ppt课件.ppt》由会员分享,可在线阅读,更多相关《银行信息安全意识培训ppt课件.ppt(101页珍藏版)》请在三一办公上搜索。
1、信息科技部,信息安全意识培训(下),建立对信息安全的敏感意识和正确认识掌握信息安全的基本概念、原则和惯例清楚可能面临的威胁和风险遵守各项安全策略和制度在日常工作中养成良好的安全习惯最终提升整体的信息安全水平,2,我们的目标,1、国内多家银行网银用户遭到大规模钓鱼攻击,损失巨大; 2、RSA遭黑客攻击,主流身份认证产品SecureID的重要信息泄漏,导致美国多家军工企业信息系统受到严重威胁; 3、LulzSec成功袭击了中央情报局,美国参议院,任天堂,索尼等多家机构,引起国际社会广泛关注; 4、花旗银行网站遭遇黑客 20万信用卡用户信息被盗; 5、由于南海领土纠纷引起中越黑客相互攻击对方重要网站
2、; 6、韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数据丢失; 7、美联合航空电脑故障,全国服务大乱; 8、腾讯网大面积访问异常; 9、新浪微博病毒大范围传播; 10、Comodo等多家证书机构遭到攻击,攻击者得以伪造google等多家知名网站证书,使互联网安全遭遇严重威胁;,4,Windows XP/7,如果我是黑客1、绝大多数笔记本电脑都内置麦克风且处于开启状态;2、开启录音功能;3、录制所需内容并将其放置于某Web页面之上:4.开启所有笔记本的摄像头,并把录像放置于某Web页面之上:,5,信息资产,拒绝服务,流氓软件,黑客渗透,内部人员威胁,木马后门,病毒和蠕虫,社会工程,系统漏洞,
3、硬件故障,网络通信故障,供电中断,失火,雷雨,地震,威胁无处不在,6,外部威胁,7,黑客攻击基本手法,8,病从口入 天时 地利 人和,员工误操作,蓄意破坏,职责权限混淆,内部威胁,9, 技术弱点, 操作弱点, 管理弱点,系统、 程序、设备中存在的漏洞或缺陷,配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份过程的不当等,策略、程序、规章制度、人员意识、组织结构等方面的不足,自身弱点,10,将口令写在便签上,贴在电脑监视器旁 开着电脑离开,就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件,好奇打开邮件附件 使用容易猜测的口令,或者根本不设口令 丢失笔记本电脑 不能保守秘密,口无遮拦,上当
4、受骗,泄漏敏感信息 随便拨号上网,或者随意将无关设备连入公司网络 事不关己,高高挂起,不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁,忽视企业内部人员的问题 会后不擦黑板,会议资料随意放置在会场,最常犯的一些错误,11,信息资产对我们很重要,是要保护的对象 威胁就像苍蝇一样,挥之不去,无所不在 资产自身又有各种弱点,给威胁带来可乘之机 面临各种风险,一旦发生就成为安全事件、事故,保持清醒认识,12,熟悉潜在的安全问题知道怎样防止其发生明确发生后如何应对,我们应该,13,理解和铺垫,基本概念,14,消息、信号、数据、情报和知识 信息本身是无形的,借助于信息媒体以多种形式存在
5、或传播: 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产: 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服务 具有价值的信息资产面临诸多威胁,需要妥善保护,Information,什么是信息,15,采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。,什么是信息安全,16,CIA,信息安全基本目标,17,管理者的最终目标,18,因果关系,19,物理安全:
6、环境安全、设备安全、媒体安全 系统安全:操作系统及数据库系统的安全性 网络安全:网络隔离、访问控制、VPN、入侵检测、扫描评估 应用安全:Email安全、Web访问安全、内容过滤、应用系统安全 数据加密:硬件和软件加密,实现身份认证和数据信息的CIA特性 认证授权:口令认证、SSO认证(例如Kerberos)、证书认证等 访问控制:防火墙、访问控制列表等 审计跟踪:入侵检测、日志审计、辨析取证 防杀病毒:单机防病毒技术逐渐发展成整体防病毒体系 灾备恢复:业务连续性,前提就是对数据的备份,技术手段,20,在可用性(Usability)和安全性(Security)之间是一种相反的关系提高了安全性,
7、相应地就降低了易用性而要提高安全性,又势必增大成本管理者应在二者之间达成一种可接受的平衡,安全 vs. 可用平衡之道,21,计算机安全领域一句格言: “真正安全的计算机是拔下网线,断掉电源,放在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。”,绝对的安全是不存在的!,22,技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂 信息安全管理构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的 理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标尤其
8、重要 唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实,三分技术,七分管理!,关键点:信息安全管理,23,安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程,如何正确认识信息安全,24,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,重要信息的保密,25,Public公开,Internal Use内部公开,Confidencial
9、秘密,Secret机密、绝密,信息保密级别划分,对于敏感类的电子信息,要建立严格的逻辑访问控制措施,例如数字证书、 动态口令、一次性口令卡等强认证措施来保证电子数据的安全使用;同时也须建立留痕机制,以确定敏感信息使用情况的可审计性。限制敏感类信息在网上,特别是在外网上进行传输。对敏感类的文件、资料、音像制品等,要存放在文件柜内,并加锁保护;不得随意搁置在桌面或夹带在日常的文件中,不得私自翻印、复制、摘录与外传。符合保密办要求的机密类文件,按保密办的有关要求处理。用于登录和访问计算机系统的终端设备,要专机专用,不可以访问外部网络,并及时更新的杀毒软件,做好病毒防范工作。,27,根据需要,在合同或
10、个人协议中明确安全方面的承诺和要求; 明确与客户进行数据交接的人员责任,控制客户数据使用及分发; 明确非业务部门在授权使用客户数据时的保护责任; 基于业务需要,主管决定是否对重要数据进行加密保护; 禁止将客户数据或客户标识用于非项目相关的场合如培训材料; 客户现场的工作人员,严格遵守客户Policy,妥善保护客户数据; 打印件应设置标识,及时取回,并妥善保存或处理。,数据保护安全(举例),数据恢复技术: 数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以还原的过程。U盘或计算机硬盘存储的数据即使已被删除或进行格式化处理,使用专用软件仍能将其恢复,这种方法也因此成为窃密的手段之一。
11、例如,窃密者使用从互联网下载的恢复软件对目标计算机的已被格式化的U盘进行格式化恢复操作后,即可成功的恢复原有文件。安全事件 香港某明星曾托助手将其手提电脑,送到一间计算机公司维修,其后有人把计算机中已经删除的照片恢复后制作成光盘,发放予朋友及其它人士观赏。,29,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备的使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,信息交换与备份,30,信息交换原则:明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施信息发送
12、者和接收者有责任遵守信息交换要求物理介质传输:与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施电子邮件和互联网信息交换明确不可涉及敏感数据,如客户信息、订单合同等信息如必须交换此类信息,需申请主管批准并采取加密传输措施或其它保护机制文件共享:包括Confidential(机密性)在内的高级别的信息不能被发布于公共区域 所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中开设共享。共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限临时共享的文件事后应予以删除,信息交换安全(举例),31,通过传真发送机密信息时,应提前通知接收者并确保号码正确不允许在
13、公共区域用移动电话谈论机密信息不允许在公共区域与人谈论机密信息不允许通过电子邮件或IM工具交换账号和口令信息不允许借助公司资源做非工作相关的信息交换不允许通过IM工具传输文件,信息交换安全(举例:续),32,重要信息系统应支持全备份、差量备份和增量备份IT部门提供备份所需的技术支持和必要的培训属主应该确保备份成功并定期检查日志,根据需要,实施测试以验证备份效率和效力,信息备份安全(举例),33,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性
14、计划法律法规,软件应用安全,34,安全培训,安全计划启动并统一注册,安全设计最佳做法,安全体系结构和攻击面审核,使用安全开发工具以及安全开发和测试最佳做法,创建产品安全文档和工具,准备安全响应计划,安全推动活动,渗透 测试,最终安全审核,安全维护和响应执行,功能列表质量指导原则体系结构文档日程表,设计规范,测试和验证,编写新代码,故障修复,代码签发 + Checkpoint Press 签发,RTM,产品支持服务包/QFE 安全更新,需求,设计,实施,验证,发行,支持和维护,威胁建模,功能规范,传统软件开发生命周期的任务和流程,软件应用安全(方法论),35,软件应用安全(举例),开发相关软件,
15、业务和技术部门做需求评估,IT相关软件由IT部门负责 评估结果提交专家委员会审核,确定是否采购、外包或自行开发 IT资产管理部门负责对新软件登记注册并标注 软件安装之前应确保其处于安全状态(如:无流氓插件、病毒、License合法等) 软件License管理应由专人负责 软件若需更新,应提出申请,经评估确认后才能实施,并进行记录 软件使用到期,应卸载软件,36,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,计算机网络访问,我行
16、应保障应用系统、操作系统、网络系统访问控制的安全,并满足以下基本原则:(一)必需知道和最小授权原则。在业务需求或工作需要的范围内,授予用户最小的访问权限。(二)职责分离原则。应分离工作职责,以降低未授权访问、无意识修改或滥用信息系统和数据的可能性。(三)默认拒绝原则。当用户没有明确标明权限配置,则默认用户不能访问未经授权的信息系统和数据。(四)可审计原则。通过安全管理平台访问流程中保留相关记录,可审计跟踪其工作过程和结果。,38,访问控制基本原则:未经明确允许即为禁止访问 必须通过唯一注册的用户ID来控制用户对网络的访问 系统管理员必须确保用户访问基于最小特权原则授权 用户必须根据要求使用口令
17、并保守秘密 系统管理员必须对用户访问权限进行检查,防止滥用 系统管理员必须确保网络服务可用 系统管理员必须根据安全制度要求定义访问控制规则,用户必须遵守规则 各部门应按照管理规定制定并实施对业务应用系统、开发和测试系统的访问规则,计算机网络访问安全(举例),39,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,人员安全管理,40,背景检查,签署保密协议,安全职责说明,技能意识培训,内部职位调整及离职检查流程,绩效考核和奖惩,人员
18、安全(举例),应对我行所有员工及外包人员进行安全管理,明确人员任用各环节中的安全控制措施,确保其理解应承担的安全责任,减少因人员故意或过失导致的安全风险我行应加强对外包人员的安全管理,按照“必需知道”和“最小授权”原则进行授权。应避免外包人员进入我行安全区域,如需进入,应得到适当的批准,相关人员的活动也应受到严格监控。定期对我行所有员工及外包人员进行信息安全意识教育和岗位相关安全技能培训,使其了解常见的安全威胁及相应的防护措施。,我行在人员任用前应实施有效的安全控制,包括但不限于:(一)所有员工及可能接触我行信息资产的外包人员在任用前,均应进行背景考察,并签署保密协议。(二)确保所有员工及外包
19、人员开展工作前,了解我行的安全管理规定,并通过适当的岗位说明书及相关协议加以明确。 我行在人员任用中应实施适当的安全控制,包括但不限于:(一)明确各级人员信息安全职责,使所有员工和外包人员了解工作中面临的信息安全风险、信息安全相关责任和义务。(二)所有员工及外包人员应遵守我行信息安全管理办法及相关规定。(三)制定明确的罚则,对违反我行信息安全管理办法及相关规定的员工及外包人员进行相应的处罚。,在人员任用中止与任用变更时实施的安全控制包括但不限于:(一)终止离职或变更的我行所有员工和外包人员的工作职责。(二)收回离职的我行所有员工和外包人员所使用的相关物品与信息资产。(三)删除或变更他们对我行信
20、息及信息系统的所有使用权和访问权。,44,所有员工必须根据需要接受恰当的安全培训和指导 根据工作所需,各部门应该识别并评估员工的培训需求 业务部门应该建立并维持员工安全意识程序,确保员工通过培训而精于工作技能,并将信息安全意识深入其工作之中 管理层有责任引领信息安全意识促进活动 信息安全意识培训应该持续进行,员工有责任对培训效果提出反馈 人力资源部门负责跟踪培训策略的符合性,保留员工接受培训的相关记录 信息安全经理应该接受专门的信息安全技能培训 技术部门等特定职能和人员应该接受相应的技能培训,人员安全(举例),45,应该识别来自第三方的风险:保安、清洁、基础设施维护、供应商或外包人员,低质量的
21、外包服务也被视作一种安全风险 签署第三方协议时应包含安全要求,必要时需签署不扩散协议 第三方若需访问敏感信息,需经检查和批准,其访问将受限制 任何第三方禁止访问生产网络 第三方访问所用工具应经过相关部门检查,其访问应经过认证 负责第三方访问的人员需接受必要的安全意识培训,第三方管理安全(举例),46,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,终端设备使用安全,47,本行使用的终端类设备,包括所有接入办公和营业系统的台式机、
22、终端、自助设备终端、网银体验机、便携机、打印机、读卡器等。各类终端设备必须置于安全的环境中存放、使用。使用人不得将终端设备置于过热、过冷、强磁或潮湿的环境中存放或使用,以免损坏设备;使用人不得将本行网点的终端设备接入不安全的网络环境中;使用人不得在公开场合使用网点的终端设备处理各种敏感信息,以避免敏感信息泄漏。信息科技工作主管部门按照优化配置的原则,负责本辖区内设备资源的统一调配,任何单位或个人不得擅自将设备借出或调换使用。终端设备使用人员应妥善保管设备,防止盗窃及硬件损坏等情况的发生。,终端设备使用安全(举例),设备使用人员及其部门负责设备的保养维护,主要包括对设备的防尘、防垢、防潮等处理;
23、信息科技工作主管部门负责设备的软硬件系统优化、故障隐患处理、使用状况巡检等。设备使用人员不得擅自拆装设备、更改系统配置、安装与本职工作无关的软件。终端设备因使用时间较长或严重损坏而无法修复及超过固定资产使用年限需要报废的,由使用部门申请按相关报废流程进行。需送修的由信息科技工作主管部门统一联系维修商,送修前应将存储介质中的应用程序等与安全和业务相关的信息予以删除,生产用机需将硬盘卸下后送修。,49,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连
24、续性计划法律法规,工作环境及物理安全,50,我行物理与环境安全管理目标是保护计算机设备、设施以及信息系统的物理环境免遭自然灾害和其他形式的破坏,保证信息系统的实体安全。我行针对不同的安全区域,采取不同等级的安全防护和访问控制措施,防止非法访问、破坏和干扰,所有人员进入安全区域应经过授权。机房内线缆必须分束捆扎,不同性质电缆之间保持一定的间距。各类电缆和信号线走线、连接不应悬挂、搭接和跨接,应予以固定、排列整齐、捆扎规范。相关线路、开关和设备等清楚注明其用途,使用的标签应为机打标签,具有防脱落、防水、耐高温性。我行应对基础设施设备定期进行维护,设备维护工作均需经过授权,日常维护和故障处理都应记录
25、在案。优先保证人员安全,防止由于物理环境上的灾害导致人员的伤亡。,工作环境安全(举例),51,您肯定用过银行的ATM机,您插入银行卡,然后输入密码,然后取钱,然后拔卡,然后离开,您也许注意到您的旁边没有别人,您很小心,可是,您真的足够小心吗?,我们来看一个案例,52,53,54,55,56,57,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,病毒防范与恶意代码,58,中华人民共和国计算机信息系统安全保护条例,“计算机病毒,是指
26、编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”,什么是计算机病毒,59,病毒 Virus,蠕虫 Worm,木马 Trojan,传统的计算机病毒,具有自我繁殖能力,寄生于其他可执行程序中的,通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染,网络蠕虫不需借助其他可执行程序就能独立存在并运行,通常利用网络中某些主机存在的漏洞来感染和扩散,特洛伊木马是一种传统的后门程序,它可以冒充正常程序,截取敏感信息,或进行其他非法的操作,病毒 蠕虫 木马,60,除了蠕虫、病毒、木马等恶意代码,其他恶意代码还包括逻辑炸弹、远程控制后门等
27、现在,传统的计算机病毒日益与网络蠕虫结合,发展成威力更为强大的混合型蠕虫病毒,传播途径更加多样化(网络、邮件、网页、局域网等) 通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木马程序,但并不能防止未知病毒,需要经常更新,让我们继续,61,所有计算机必须部署指定的防病毒软件 防病毒软件必须持续更新 感染病毒的计算机必须从网络中隔离直至清除病毒 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度 发生任何病毒传播事件,相关人员应及时向信息科技工作管理部门汇报 仅此就够了么,恶意代码防范策略,计算机病毒及木马等恶意程序能导致系统破坏、数据泄露、网络中断等严重安全事件发生,是信息系统的最大安
28、全威胁之一。员工应配合作好个人办公机及个人生产终端等的病毒防范工作。员工应在日常工作中落实防治病毒日常管理制度,PC责任人对使用计算机染毒情况进行自查。个人所用电脑应开启防病毒软件及相应安全防护软件的实时防护功能。防病毒软件及相应安全防护软件升级周期为互联网计算机实时升级、生产终端每周至少升级一次,员工应检查确认是否及时升级,每周至少检查一次。员工个人所用电脑每周至少进行一次病毒全面查杀,防病毒软件一般设置为定期自动查杀,如未设置,也可手动进行查杀。个人所用电脑上发现病毒时,应及时进行病毒查杀。生产终端上发现病毒时,应立即断开网络,全面查杀并经信息安全管理员确认后方可再次连入网络。,我行病毒防
29、范相关要求,移动存储设备的管理遵循“统一购买、统一标识、责任到人”的原则。采取授权管理,由PC使用部门负责人审核并授权后,移动设备方可在金融网PC上使用。移动存储设备在入网使用前,要查杀病毒、木马等恶意代码。在使用U盘、光盘等移动介质前,一定要先进行病毒检查;在生产终端上使用的U盘等应作到专用;尽量减少在生产终端上使用移动介质;禁止使用不明来历的移动介质。禁止使用USB口给手机等设备充电。对不必使用移动设备的生产网终端采取技术手段,对终端USB端口进行封堵。封堵后需要开启时,必须由终端使用部门领导授权审核后,方可由技术人员开启。员工发现防病毒软件不能有效清除病毒时,应立即向信息科技工作主管部门
30、报告,在问题处理前禁止使用感染病毒的文件。,我行病毒防范相关要求,64,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防范病毒和恶意代码账户及口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,账户及口令安全,65,用户名+口令是最简单也最常用的身份认证方式 口令是抵御攻击的第一道防线,防止冒名顶替 口令也是抵御网络攻击的最后一道防线 针对口令的攻击简便易行,口令破解快速有效 由于使用不当,往往使口令成为最薄弱的安全环节 口令与个人隐私息息相关,必须慎重保护,为什么口令很重要,66,如果你以请一
31、顿工作餐来作为交换,有70的人乐意告诉你他(她)的机器口令 有34的人,甚至不需要贿赂,就可奉献自己的口令 另据调查,有79的人,在被提问时,会无意间泄漏足以被用来窃取其身份的信息 平均每人要记住四个口令,95都习惯使用相同的口令(在很多需要口令的地方) 33的人选择将口令写下来,然后放到抽屉或夹到文件里,一些数字,67,少于8个字符 单一的字符类型,例如只用小写字母,或只用数字 用户名与口令相同 最常被人使用的弱口令: 自己、家人、朋友、亲戚、宠物的名字 生日、结婚纪念日、电话号码等个人信息 工作中用到的专业术语,职业特征 字典中包含的单词,或者只在单词后加简单的后缀 所有系统都使用相同的口
32、令 口令一直不变,脆弱的口令,68,简单的猜测 使用专门的口令破解工具 字典攻击(Dictionary Attack) 暴力攻击(Brute Force Attack) 混合攻击(Hibrid Attack) 在网络中嗅探明文传送的口令 利用后门工具来截获口令 通过社会工程获取口令,如何破解口令,69,口令是越长越好 但“选用20个随机字符作为口令”的建议也不可取 人们总习惯选择容易记忆的口令 如果口令难记,可能会被写下来,这样反倒更不安全,值得注意的,我行账户及口令管理要求,本行生产网计算机禁用guest用户,严禁私自启用其他具有管理员权限的账户,严禁私自建立普通用户,如需增加其他用户,严格
33、控制用户权限,生产用机中普通用户和管理员用户应严格分离。不得私下互相转让、借用本行IT资源的账号。在工作岗位调动或离职时,员工应主动移交全部账号和口令。,本行员工必须严格遵守生产机账户设置及口令要求:,(一)在使用自己所属的计算机时,应该设置计算机开机口令、操作系统登录口令、操作系统屏幕保护口令(操作系统屏幕保护程序要设置为在5分钟内自动启动)。 (二)计算机口令应满足密码强度要求,应当同时包含大、小写字母、数字和特殊字符的组合,口令长度不能小于8个字符;(三)操作系统或应用系统应当启动口令设置规则,防止用户使用原始密码等弱口令。(四)口令中不得使用以下组合:用户名、姓名的拼音、英文名、身份证
34、号码、电话号码、生日等容易被别人猜测的信息,以及其它系统已使用的口令等。(五)口令至少每3月更改一次,6个月内不得重复使用相同的口令。,本行员工必须严格遵守生产机账户设置及口令要求:,(六)计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在纸质介质中(密码信封除外)和电子文档中,严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕等上。(七)严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。(八)及时清理各业务系统中已不在岗的账号。,73,口令至少应该由8个字符组成 口令应该是大小写字母、数字、特殊字符的混合体
35、 不要使用名字、生日等个人信息和字典单词 选择易记强口令的几个窍门: 口令短语 字符替换 单词误拼 键盘模式,建议,74,用户有责任记住自己的口令 IT管理部门在独立审计的前提下进行口令锁定、解锁和重置操作 初始口令设置不得为空 口令设置不得少于8个字符 口令应该包含特殊字符、数字和大小写字母 口令应该经常更改,设定口令有效期为3个月 口令输入错误限定3次,随后会被锁定,解锁需通报IT管理部门,口令管理(举例),75,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工
36、程学应急响应和业务连续性计划法律法规,电子邮件安全,76,据统计,有超过87的病毒是借助Email进入企业的对于下列标题的邮件,选择打开阅览的人数百分比:I LOVE YOU:37的人会打开邮件Great joke:54的人会打开邮件Message:46的人会打开邮件Special offer:39的人会打开邮件,Email数字,77,不当使用Email可能导致法律风险禁止发送或转发反动或非法的邮件内容未经发送人许可,不得转发接收到的邮件不得伪造虚假邮件,不得使用他人账号发送邮件未经许可,不得将属于他人邮件的消息内容拷贝转发与业务相关的Email应在文件服务器上做妥善备份,专人负责检查包含客户
37、信息的Email应转发主管做备份个人用途的Email不应干扰工作,并且遵守本策略避免通过Email发送机密信息,如果需要,应采取必要的加密保护措施,Email安全(举例),电子邮件已成为常用的通信方式,但电子邮件导致病毒传播、数据泄露,垃圾邮件消耗系统资源、降低工作效率等安全问题日益严重,员工在使用电子邮件时应作好相应安全防范工作。根据用途和数据安全等因素建立邮箱分类使用策略:(一)收发本行业务数据时使用本行内部OA邮箱;(二)公务处理和私人邮箱分开;(三)网站注册用户时提供不重要的邮箱作为联系邮箱等。为经常使用的邮箱和重要邮箱设置安全强度高的密码,并定期修改,建议每季度修改一次。不同用途的邮
38、箱设置不同的密码。,防范电子邮件传播病毒的基本要求:,(一)在收发电子邮件前,应确认防病毒软件实时监控功能已开启;(二)对每次收到的电子邮件,打开前均检查病毒;(三)在收到来自本行内部员工发来的含有病毒的邮件,除自己进行杀毒外,还应及时通知对方杀毒;(四)不打开可疑邮件、垃圾邮件、不明来源邮件等提供的附件或网址,对这类邮件直接删除;,防范垃圾邮件的基本要求,(一)经常使用的邮箱,尤其是本行内部邮箱,应尽量避免在互联网上公开。 例如:网上调查表填写、网站用户注册、BBS论坛中。(二)不要回复可疑邮件、垃圾邮件、不明来源邮件。(三)不要在免费邮箱上保存敏感数据。,防范数据泄露的基本要求:,(一)收
39、发本行业务相关的邮件时,必须使用本行内部OA邮箱,并尽量要求对方使用对方内部邮箱。(二)发送敏感数据时,应采用加密邮件方式发送。,82,不安全的文件类型:绝对不要打开任何以下文件类型的邮件附件:.bat, .com, .exe, .vbs未知的文件类型:绝对不要打开任何未知文件类型的邮件附件,包括邮件内容中到未知文件类型的链接微软文件类型:如果要打开微软文件类型(例如 .doc, .xls, .ppt等)的邮件附件或者内部链接,务必先进行病毒扫描要求发送普通的文本:尽量要求对方发送普通的文本内容邮件,而不要发送HTML格式邮件,不要携带不安全类型的附件禁止邮件执行Html代码:禁止执行HTML
40、内容中的代码防止垃圾邮件:通过设置邮件服务器的过滤,防止接受垃圾邮件尽早安装系统补丁:杜绝恶意代码利用系统漏洞而实施攻击,接收邮件注意,83,如果同样的内容可以用普通文本正文,就不要用附件尽量不要发送.doc, .xls等可能带有宏病毒的文件发送不安全的文件之前,先进行病毒扫描不要参与所谓的邮件接龙尽早安装系统补丁,防止自己的系统成为恶意者的跳板,发送邮件注意,84,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,介质安全管理,
41、85,介质安全管理(举例),创建,传递,销毁,存 储,使用,更改,86,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,警惕社会工程学,87,“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话” Kevin Mitnick,88,Social Engneering 利用社会交往(通常是在伪装之下)从目标对象那里获取信息 例如: 电话呼叫服务中心 在走廊里的聊天 冒充服
42、务技术人员 著名黑客Kevin Mitnick更多是通过社会工程来渗透网络的,而不是高超的黑客技术,什么是社会工程学,89,不要轻易泄漏敏感信息,例如口令和账号 在相信任何人之前,先校验其真实的身份 不要违背公司的安全策略,哪怕是你的上司向你索取个人敏感信息(Kevin Mitnick最擅长的就是冒充一个很焦急的老板,利用一般人好心以及害怕上司的心理,向系统管理员索取口令) 不要忘了,所谓的黑客,更多时候并不是技术多么出众,而是社会工程的能力比较强,社会工程学(举例),90,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防
43、范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,应急响应和BCP,91,业务持续性管理程序,风险评估管理风险控制措施应急计划框架,预防为主,事后紧急响应及恢复,一般安全事件触发,Helpdesk及IRT正常处理,执行具体的BCP/DRP,安全事件管理程序,部门级的BCP/DRP(基于BIA),紧急响应和危机处理ERT,人员环境灾难触发,紧急响应处理程序,安全事件管理(框架),92,事先制定可行的安全事件响应计划 建立事件响应小组,以管理不同风险级别的安全事件 员工有责任向其上级报告任何已知或可疑的安全问题或违规行为 必要时,管理层可决定引入法律程
44、序 做好证据采集和保留工作 应提交安全事件和相关问题的定期管理报告,以备管理层检查 应该定期检查应急计划的有效性,安全事件管理要点(举例),93,事先做好备份等准备工作 灾难发生后妥善处理以降 低损失 在确定时限内恢复 分析原因,做好记录 BCP应定期测试和维护 应该明确责任人,重大灾害发生后应启用BCP进行恢复,94,数据备份是制定BCP时必须考虑的一种恢复准备措施 现在,数据备份的途径有多种: 软盘,CD和DVD,Zip盘,磁带,移动硬盘,优盘 养成对您的数据进行备份的好习惯 备份磁盘不要放在工作场所 对重要的硬盘做好镜像 对重要的软件进行更新,例如微软的产品 http:/,数据备份要点,
45、95,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理终端设备使用安全工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,法律法规,96,中国的信息立法,刑法计算机信息系统安全保护条例 计算机病毒防治管理办法计算机信息网络国际联网安全保护管理办法,中国陆续制定了多部与信息活动密切相关的法律,虽然大多不专门针对网络环境,甚至有些也不针对电子信息,但它们的基本精神对网络的建设、管理以及网络中的信息活动都有不同程度的指导作用。,保守国家秘密法 著作权法 国家安全法 反不正当竞争法,97,刑法第条规定,
46、重要的法律法规,“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。” “提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”,98,计算机软件保护条例信息网络传播权保护条例互联网著作权行政保护办法关于开展对“私服”、“外挂”专项治理的通知国家版权局关于网吧下载提供“外挂”是否承担法律责任的意见互联网安全保护技术措施规定电子出版物管理规定互联网电子公告服务管理规定互联网文化管理暂行规定防乘幂系统开发标准(试行)关于网络游戏发展和管理的若干意见国家工商行政管理局关于商业秘密构成要件问题的答复软件产品管理办法 ,通信行业法律法规(举例),99,要点总结!,100,加强敏感信息的保密 留意物理安全 遵守法律法规和安全策略 公司资源只供公司所用 保守口令秘密 谨慎使用Internet、EMAIL、QQ 加强人员安全管理 识别并控制第三方风险 加强防病毒措施 有问题及时报告,Thank you!,
