《34_3612611_安全意识(网管中心final) .ppt》由会员分享,可在线阅读,更多相关《34_3612611_安全意识(网管中心final) .ppt(110页珍藏版)》请在三一办公上搜索。
1、网管中心,2009年6月,安全意识宣传,2,建立对信息安全的敏感意识和正确认识掌握信息安全的基本概念、原则和惯例清楚可能面临的威胁和风险遵守各项安全策略和制度在日常工作中养成良好的安全习惯最终提升整体的信息安全水平,我们的目标,3,信息安全意识(Information Security Awareness),就是能够认知可能存在的信息安全问题,预估信息安全事故对组织的危害,恪守正确的行为方式,并且执行在信息安全事故发生时所应采取的措施。,什么是信息安全意识?,4,现实教训追踪问题的根源掌握基本概念建立良好的安全习惯重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理
2、移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,目 录,5,严峻的现实!,惨痛的教训!,6,工业和信息部发布了关于做好应对部分IC卡出现严重安全漏洞工作的通知,要求各地各机关和部门开展对IC卡使用情况的调查及应对工作。,10,我们来总结一下,员工的个人安全意识 各类应用(B/S、C/S)自身绝对安全 安全监管法律法规完善 安全技能熟练程度,11,信息安全意识的提高刻不容缓!,12,Windows Vista,如果我是黑客1、绝大多数笔记本电脑都内置麦克风且处于开启状态;2、Windows Vista开启S
3、peech Recognition功能;3、录制以下内容并将其放置于某Web页面之上,并利用ActiveX在客户机上调用Windows Media Player最小化后台播放:Open ExplorerHighlight documentsDelete documents and confirm yesGo to recycle bin on desktopTell it to empty the trash and confirm yes.,13,你碰到过类似的事吗?,14,威胁和弱点,问题的根源,15,信息资产,拒绝服务,流氓软件,黑客渗透,内部人员威胁,木马后门,病毒和蠕虫,社会工程,系
4、统漏洞,硬件故障,网络通信故障,供电中断,失火,雷雨,地震,威胁无处不在,16,人之初性本非善恶 吾自三省吾身,提高人员信息安全意识和素质势在必行!,人是最关键的因素,17,外部威胁,18,黑客攻击基本手法,19,病从口入 天时 地利 人和,员工误操作,蓄意破坏,职责权限混淆,内部威胁,20,技术弱点,操作弱点,管理弱点,系统、程序、设备中存在的漏洞或缺陷,配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份过程的不当等,策略、程序、规章制度、人员意识、组织结构等方面的不足,自身弱点,21,一个巴掌拍不响!,外因是条件 内因才是根本!,22,将口令写在便签上,贴在电脑监视器旁 开着电脑离开
5、,就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件,好奇打开邮件附件 使用容易猜测的口令,或者根本不设口令 丢失笔记本电脑 不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息 随便拨号上网,或者随意将无关设备连入公司网络 事不关己,高高挂起,不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁,忽视企业内部人员的问题,最常犯的一些错误,23,想想你是否也犯过这些错误?,24,信息资产对我们很重要,是要保护的对象 威胁就像苍蝇一样,挥之不去,无所不在 资产自身又有各种弱点,给威胁带来可乘之机 面临各种风险,一旦发生就成为安全事件、事故,保持清醒认识,25,熟悉潜在的安全问题知道怎样
6、防止其发生明确发生后如何应对,我们应该,26,安全贵在未雨绸缪!,信息安全意识方针,27,理解和铺垫,基本概念,28,消息、信号、数据、情报和知识 信息本身是无形的,借助于信息媒体以多种形式存在或传播:存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产:计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服务 具有价值的信息资产面临诸多威胁,需要妥善保护,Information,什么是信息,29,采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连
7、续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。,什么是信息安全,30,CIA,信息安全基本目标,31,管理者的最终目标,32,因果关系,33,因果关系(立体),34,技术手段,35,在可用性(Usability)和安全性(Security)之间是一种相反的关系提高了安全性,相应地就降低了易用性而要提高安全性,又势必增大成本管理者应在二者之间达成一种可接受的平衡,安全 vs.可用平衡之道,36,计算机安全领域一句格言:“真正安全的计算机是拔下网线,断掉电源,放在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。”,绝对的安全是不存在的!,37,技
8、术是信息安全的构筑材料,管理是真正的粘合剂和催化剂 信息安全管理构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的 理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标尤其重要 唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实,三分技术,七分管理!,关键点:信息安全管理,38,务必重视信息安全管理加强信息安全建设工作,管理层:信息安全意识要点,39,安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系
9、统工程,是不断演进、循环发展的动态过程,如何正确认识信息安全,40,从身边做起,良好的安全习惯,41,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,重要信息的保密,42,资产责任划分,43,Public,Internal Use,Confidencial,Secret,缺省,信息保密级别划分,44,信息属主或创建者可确定恰当的信息标注方式 电子邮件或纸质信函的标题栏应该注明敏感级别 光盘、磁带等存储介质上应该妥善标注 如果内
10、部包含多个级别的数据,以最高级为准“Public”信息不需标注:市场宣传册/媒体发布/网站公开信息“Internal Use”可以根据需要标注(缺省)“Confidencial”必须标注“Secret”必须标注,信息标注规定,45,各类信息,无论电子还是纸质,在标注、授权、访问、存储、拷贝、传真、内部和外部分发(包括第三方转交)、传输、处理等各个环节,都应该遵守既定策略 信息分类管理程序只约定要求和原则,具体控制和实现方式,由信息属主或相关部门确定,以遵守最佳实践和法律法规为参照 凡违反程序规定的行为,酌情予以纪律处分,信息处理与保护,46,根据需要,在SOW或个人协议中明确安全方面的承诺和要
11、求;明确与客户进行数据交接的人员责任,控制客户数据使用及分发;明确非业务部门在授权使用客户数据时的保护责任;基于业务需要,主管决定是否对重要数据进行加密保护;禁止将客户数据或客户标识用于非项目相关的场合如培训材料;客户现场的工作人员,严格遵守客户Policy,妥善保护客户数据;打印件应设置标识,及时取回,并妥善保存或处理。,数据保护安全,47,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,信息交换与备份,48,信息交换原则:
12、明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施信息发送者和接收者有责任遵守信息交换要求物理介质传输:与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施电子邮件和互联网信息交换明确不可涉及敏感数据,如客户信息、订单合同等信息如必须交换此类信息,需申请主管批准并采取加密传输措施或DRM保护机制文件共享:包括Confidential在内的高级别的信息不能被发布于公共区域 所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中开设共享。共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限临时共享的文件事后应予以删除,信息交换安全,4
13、9,重要信息系统应支持全备份、差量备份和增量备份备份介质的存储异地存放属主应该确保备份成功并定期检查日志,根据需要,定期检查和实施测试以验证备份效率和效力,信息备份安全,50,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,软件应用安全,51,安全培训,安全计划启动并统一注册,安全设计最佳做法,安全体系结构和攻击面审核,使用安全开发工具以及安全开发和测试最佳做法,创建产品安全文档和工具,准备安全响应计划,安全推动活动,渗透 测
14、试,最终安全审核,安全维护和响应执行,功能列表质量指导原则体系结构文档日程表,设计规范,测试和验证,编写新代码,故障修复,代码签发+Checkpoint Press 签发,RTM,产品支持服务包/QFE 安全更新,需求,设计,实施,验证,发行,支持和维护,威胁建模,功能规范,传统软件开发生命周期的任务和流程,软件应用安全,52,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,计算机网络访问,53,访问控制基本原则:未经明确允许
15、即为禁止访问 必须通过唯一注册的用户ID来控制用户对网络的访问 系统管理员必须确保用户访问基于最小特权原则而授权 用户必须根据要求使用口令并保守秘密 系统管理员必须对用户访问权限进行检查,防止滥用 系统管理员必须根据安全制度要求定义访问控制规则,用户必须遵守规则 各部门应按照管理规定制定并实施对业务应用系统、开发和测试系统的访问规则,计算机网络访问安全,54,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,人员安全管理,55,
16、背景检查,签署保密协议,安全职责说明,技能意识培训,内部职位调整及离职检查流程,绩效考核和奖惩,人员安全,56,应该识别来自第三方的风险:保安、清洁、基础设施维护、供应商或外包人员,低质量的外包服务也被视作一种安全风险 签署第三方协议时应包含安全要求,必要时需签署不扩散协议 第三方若需访问敏感信息,需经检查和批准,其访问将受限制 任何第三方禁止无人陪同访问生产网络环境 第三方访问所用工具应经过相关部门检查,确认安全可靠,其访问应经过认证 负责第三方访问的人员需对三方人员进行必要的安全培训,第三方人员管理安全,57,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理
17、移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,移动计算与远程办公,58,所有连接办公生产网络的笔记本电脑或其他移动计算机,必须按照指定PC安全标准来配置,必须符合补丁和防病毒管理规定 相关管理部门必须协助部署必要的笔记本电脑防信息泄漏措施 用户不能将口令、ID或其他账户信息以明文保存在移动介质上 笔记本电脑遗失应按照相应管理制度执行安全响应措施 敏感信息应加密保护 禁止在公共区域讨论敏感信息,或通过笔记本电脑泄漏信息,笔记本电脑与远程办公安全,59,重要信息的保密信息交换及备份软件应用安全计算机及网络访
18、问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,工作环境及物理安全,60,关键安全区域包括服务器机房、财务部门和人力资源部门、法务部、安全监控室应具备门禁设施 前台接待负责检查外来访客证件并进行登记,访客进入内部需持临时卡并由相关人员陪同 实施724小时保安服务,检查保安记录 所有入口和内部安全区都需部署有摄像头,大门及各楼层入口都被实时监控 禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎纸机粉碎 废弃或待修磁介质转交他人时应经IT专业管理部门消磁处理,工作环境安全,6
19、1,注意你的身边!注意最细微的地方!,62,您肯定用过银行的ATM机,您插入银行卡,然后输入密码,然后取钱,然后拔卡,然后离开,您也许注意到您的旁边没有别人,您很小心,可是,您真的足够小心吗?,我们来看一个案例,63,64,65,66,67,68,69,因此,请留意您的身边!,70,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,病毒与恶意代码,71,中华人民共和国计算机信息系统安全保护条例,“计算机病毒,是指编制或者在计算机
20、程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”,什么是计算机病毒,72,病毒 Virus,蠕虫 Worm,木马 Trojan,传统的计算机病毒,具有自我繁殖能力,寄生于其他可执行程序中的,通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染,网络蠕虫不需借助其他可执行程序就能独立存在并运行,通常利用网络中某些主机存在的漏洞来感染和扩散,特洛伊木马是一种传统的后门程序,它可以冒充正常程序,截取敏感信息,或进行其他非法的操作,病毒 蠕虫 木马,73,除了蠕虫、病毒、木马等恶意代码,其他恶意代码还包括逻辑炸弹、远程控制后门等 现在,传统的计算
21、机病毒日益与网络蠕虫结合,发展成威力更为强大的混合型蠕虫病毒,传播途径更加多样化(网络、邮件、网页、局域网等)通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木马程序,但并不能防止未知病毒,需要经常更新,让我们继续,74,所有计算机必须部署指定的防病毒软件 防病毒软件必须持续更新 感染病毒的计算机必须从网络中隔离直至清除病毒 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度 发生任何病毒传播事件,相关人员应及时向IT管理部门汇报 仅此就够了么,恶意代码防范策略,75,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要
22、求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,口令安全,76,用户名+口令是最简单也最常用的身份认证方式 口令是抵御攻击的第一道防线,防止冒名顶替 口令也是抵御网络攻击的最后一道防线 针对口令的攻击简便易行,口令破解快速有效 由于使用不当,往往使口令成为最薄弱的安全环节 口令与个人隐私息息相关,必须慎重保护,为什么口令很重要,77,如果你以请一顿工作餐来作为交换,有70的人乐意告诉你他(她)的机器口令 有34的人,甚至不需要贿赂,就可奉献自己的口令 另据调查,有79的人,在被提问时,会无意间泄漏足以被用来窃取其身份的信息 平均每人要记住四个
23、口令,95都习惯使用相同的口令(在很多需要口令的地方)33的人选择将口令写下来,然后放到抽屉或夹到文件里,一些数字,78,少于8个字符 单一的字符类型,例如只用小写字母,或只用数字 用户名与口令相同 最常被人使用的弱口令:自己、家人、朋友、亲戚、宠物的名字 生日、结婚纪念日、电话号码等个人信息 工作中用到的专业术语,职业特征 字典中包含的单词,或者只在单词后加简单的后缀 所有系统都使用相同的口令 口令一直不变,脆弱的口令,79,简单的猜测 使用专门的口令破解工具 字典攻击(Dictionary Attack)暴力攻击(Brute Force Attack)混合攻击(Hibrid Attack)
24、在网络中嗅探明文传送的口令 利用后门工具来截获口令 通过社会工程获取口令,如何破解口令,80,口令是越长越好 但“选用20个随机字符作为口令”的建议也不可取 人们总习惯选择容易记忆的口令 如果口令难记,可能会被写下来,这样反倒更不安全,值得注意的,81,口令至少应该由8个字符组成 口令应该是大小写字母、数字、特殊字符的混合体 不要使用名字、生日等个人信息和字典单词 选择易记强口令的几个窍门:口令短语 字符替换 单词误拼 键盘模式,建议,82,找到一个生僻但易记的短语或句子(可以摘自歌曲、书本或电影),然后创建它的缩写形式,其中包括大写字母和标点符号等。,口令设置,83,这种方法本身并不足够强壮
25、,但用数字或符号来替换选定的字母,可提高口令的复杂性。,例如$LEEP,PA$WORD,例如 H00K,B0AT,例如 S1EEP,E1EPHANT,例如 PAT1ENT,HOSP1TAL,例如 SL33p,3L3PHANT,口令强度,84,单词误拼本身并不足够强壮,但可以和其他方法一起使用,以提高口令的安全性。,Dawg(Dog)Toona(Tuna)Howz(House)Luv(Love)Supe(Soup),Muther(Mother)Shevrolet(Chevrolet)Jeneric(Generic)Halliday(Holiday)Kar(Car),口令设置(举例:续),85,试
26、着使用数字和特殊字符的组合 避免“qwerty”这样的直线,而使用Z字型或者多条短线 这种方法很容易被人看出来 键盘输入时不要让人看见,口令设置键盘模式,86,员工有责任记住自己的口令 账号在独立审计的前提下进行口令锁定、解锁和重置操作 初始口令设置不得为空 口令设置不得少于8个字符 口令应该包含特殊字符、数字和大小写字母 口令应该经常更改,设定口令最长有效期为不超出3个月 口令输入错误限定5次,口令管理,87,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学
27、应急响应和业务连续性计划法律法规,电子邮件安全,88,不当使用Email可能导致法律风险禁止发送或转发反动或非法的邮件内容不得伪造虚假邮件,不得使用他人账号发送邮件未经许可,不得将属于他人邮件的消息内容拷贝转发与业务相关的Email应在文件服务器上做妥善备份,专人负责检查包含客户信息的Email应转发主管做备份个人用途的Email不应干扰工作,并且遵守本策略避免通过Email发送机密信息,如果需要,应采取必要的加密保护措施,Email安全,89,不安全的文件类型:绝对不要打开任何以下文件类型的邮件附件:.bat,.com,.exe,.vbs未知的文件类型:绝对不要打开任何未知文件类型的邮件附件
28、,包括邮件内容中到未知文件类型的链接微软文件类型:如果要打开微软文件类型(例如.doc,.xls,.ppt等)的邮件附件或者内部链接,务必先进行病毒扫描要求发送普通的文本:尽量要求对方发送普通的文本内容邮件,而不要发送HTML格式邮件,不要携带不安全类型的附件禁止邮件执行Html代码:禁止执行HTML内容中的代码防止垃圾邮件:通过设置邮件服务器的过滤,防止接受垃圾邮件尽早安装系统补丁:杜绝恶意代码利用系统漏洞而实施攻击,接收邮件注意,90,如果同样的内容可以用普通文本正文,就不要用附件尽量不要发送.doc,.xls等可能带有宏病毒的文件发送不安全的文件之前,先进行病毒扫描不要参与所谓的邮件接龙
29、尽早安装系统补丁,防止自己的系统成为恶意者的跳板可以使用PGP等安全的邮件机制,发送邮件注意,91,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,介质安全管理,92,介质安全管理,创建,传递,销毁,存 储,使用,更改,93,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性
30、计划法律法规,警惕社会工程学,94,Social Engneering 利用社会交往(通常是在伪装之下)从目标对象那里获取信息 例如:电话呼叫服务中心 在走廊里的聊天 冒充服务技术人员 著名黑客Kevin Mitnick更多是通过社会工程来渗透网络的,而不是高超的黑客技术,什么是社会工程学,人是最薄弱的环节!,95,不要轻易泄漏敏感信息,例如口令和账号 在相信任何人之前,先校验其真实的身份 不要违背公司的安全策略,哪怕是你的上司向你索取个人敏感信息(Kevin Mitnick最擅长的就是冒充一个很焦急的老板,利用一般人好心以及害怕上司的心理,向系统管理员索取口令)不要忘了,所谓的黑客,更多时候
31、并不是技术多么出众,而是社会工程的能力比较强,社会工程学,96,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,应急响应和BCP,97,事先制定可行的安全事件响应计划 建立事件响应小组,以管理不同风险级别的安全事件 员工有责任向其上级报告任何已知或可疑的安全问题或违规行为 必要时,管理层可决定引入法律程序 做好证据采集和保留工作 应提交安全事件和相关问题的定期管理报告,以备管理层检查 应该定期检查应急计划的有效性,安全事件管理
32、要点,98,第一时间可以找谁?具体联络方式?灾难发生时合理的应对 关键是确保人员安全,重大灾害发生时的应急考虑,99,事先做好备份等准备工作 灾难发生后妥善处理以降 低损失 在确定时限内恢复 分析原因,做好记录 BCP应定期测试和维护 应该明确责任人,重大灾害发生后应启用BCP进行恢复,100,数据备份是制定BCP时必须考虑的一种恢复准备措施 现在,数据备份的途径有多种:软盘,CD和DVD,Zip盘,磁带,移动硬盘,优盘 养成对您的数据进行备份的好习惯 备份磁盘不要放在工作场所 对重要的硬盘做好镜像定期检查业务备份系统运行 对重要的软件进行更新,例如微软的产品 http:/,数据备份要点,10
33、1,重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规,法律法规,102,中国的信息立法,刑法计算机信息系统安全保护条例 计算机病毒防治管理办法计算机信息网络国际联网安全保护管理办法,中国陆续制定了多部与信息活动密切相关的法律,虽然大多不专门针对网络环境,甚至有些也不针对电子信息,但它们的基本精神对网络的建设、管理以及网络中的信息活动都有不同程度的指导作用。,保守国家秘密法 著作权法国家安全法 反不正当竞争法,103,刑法第条规定
34、,重要的法律法规,“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”,104,严禁泄露或交易客户信息严禁发送违法信息,或未经客户同意发送商业广告信息严禁未经客户确认擅自为客户开通或变更业务严禁串通、包庇、纵容增值
35、服务提供商泄漏客户信息、擅自为客户开通数据及信息化业务或实施其他侵害客户权益的行为严禁串通、包庇、纵容渠道或系统合作商泄漏客户信息、侵吞客户话费、擅自过户或销号、倒卖卡号资源或实施其他侵害客户权益的行为,中国对信息系统的立法工作很重视,关于计算机信息系统安全方面的法规较多,涉及信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治、标准化、场地设施安全和安全产品检测与销售等方面。,集团公司的五条禁令,105,要点总结!,106,加强敏感信息的保密 留意物理安全 遵守法律法规和安全策略 公司资源只供公司所用 保守口令秘密 谨慎使用Internet、EMAIL、QQ 加强人员安全管理 识别并控制第三方风险 加强防病毒措施 有问题及时报告,107,确保敏感信息免遭窃取、丢失、非授权访问、非授权泄漏、非授权拷贝,这些信息既包括纸质文件,又包括计算机和存储设备中的信息。,谨记您的安全责任,108,从一点一滴做起!,从自身做起!,你尽力了么?你做好了么?,109,但是,我们确实存在问题,,只要我们不断改进!,Thank you!,
