信息安全意識培訓(xùn)課件-

信息安全意識培訓(xùn)信息安全意識培訓(xùn)信息安全人員安全物理安全事件管理安全策略法律合規(guī)開發(fā)安全安全組織資產(chǎn)管理業(yè)務(wù)連續(xù)網(wǎng)絡(luò)安全訪問控制信息安全人員安全物理安全事件管理安全策略法律合規(guī)開發(fā)安全安ISO/IEC

17799:2005版11個(gè)方面、39

個(gè)控制目標(biāo)與133

項(xiàng)控制措施列表1)安全方針

7)訪問控制2)信息安全組織

8)信息系統(tǒng)獲取、開發(fā)與維護(hù)3)資產(chǎn)管理

9)信息安全事故管理4)人力資源安全

10)業(yè)務(wù)連續(xù)性管理5)物理與環(huán)境安全

11)符合性6)通信與操作管理ISO/IEC17799:2005版11個(gè)方面、39個(gè)ISMS(信息安全管理系統(tǒng))ISO/IEC

27001:2005版通篇就在講一件事,ISMS(信息安全管理系統(tǒng))。本標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持與改進(jìn)信息安全管理體系(InformationSecurityManagementSystem,簡稱ISMS)提供模型。采納ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織的ISMS的設(shè)計(jì)與實(shí)施受其需要與目標(biāo)、安全要求、所采納的過程以及組織的規(guī)模與結(jié)構(gòu)的影響,上述因素及其支持系統(tǒng)會(huì)不斷發(fā)生變化。依照組織的需要實(shí)施ISMS,是本標(biāo)準(zhǔn)所期望的,例如,簡單的情況可采納簡單的ISMS解決方案。本標(biāo)準(zhǔn)可被內(nèi)部與外部相關(guān)方用于一致性評估。(引用自ISO/IEC27001:2005中“0、1

總則”

)ISMS(信息安全管理系統(tǒng))ISO/IEC27001:20Page5PDCA(戴明環(huán))PDCA(Plan、Do、Check與Act)是管理學(xué)慣用的一個(gè)過程模型,最早是由休哈特(WalterShewhart)于19世紀(jì)30年代構(gòu)想的,后來被戴明(EdwardsDeming)采納、宣傳并運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過程當(dāng)中。1、P(Plan)--計(jì)劃,確定方針與目標(biāo),確定活動(dòng)計(jì)劃;2、D(Do)--執(zhí)行,實(shí)地去做,實(shí)現(xiàn)計(jì)劃中的內(nèi)容;3、C(Check)--檢查,總結(jié)執(zhí)行計(jì)劃的結(jié)果,注意效果,找出問題;4、A(Action)--行動(dòng),對總結(jié)檢查的結(jié)果進(jìn)行處理,成功的經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化;失敗的教訓(xùn)加以總結(jié),以免重現(xiàn),未解決的問題放到下一個(gè)PDCA循環(huán)。Page5PDCA(戴明環(huán))PDCA(Plan、Do、ChPage6PDCA特點(diǎn)大環(huán)套小環(huán),小環(huán)保大環(huán),推動(dòng)大循環(huán)PDCA循環(huán)作為質(zhì)量管理的基本方法,不僅適用于整個(gè)工程項(xiàng)目,也習(xí)慣于整個(gè)企業(yè)與企業(yè)內(nèi)的科室、工段、班組以至個(gè)人。各級部門依照企業(yè)的方針目標(biāo),都有自己的PDCA循環(huán),層層循環(huán),形成大環(huán)套小環(huán),小環(huán)里面又套更小的環(huán)。大環(huán)是小環(huán)的母體與依據(jù),小環(huán)是大環(huán)的分解與保證。各級部門的小環(huán)都圍繞著企業(yè)的總目標(biāo)朝著同一方向轉(zhuǎn)動(dòng)。通過循環(huán)把企業(yè)上下或工程項(xiàng)目的各項(xiàng)工作有機(jī)地聯(lián)系起來,相互協(xié)同,互相促進(jìn)。以上特點(diǎn)。

Page6PDCA特點(diǎn)大環(huán)套小環(huán),小環(huán)保大環(huán),推動(dòng)大循環(huán)Page7PDCA特點(diǎn)(續(xù))

不斷前進(jìn)、不斷提高

PDCA循環(huán)就像爬樓梯一樣,一個(gè)循環(huán)運(yùn)轉(zhuǎn)結(jié)束,生產(chǎn)的質(zhì)量就會(huì)提高一步,然后再制定下一個(gè)循環(huán),再運(yùn)轉(zhuǎn)、再提高,不斷前進(jìn),不斷提高,是一個(gè)螺旋式上升的過程。PDCA質(zhì)量水平螺旋上升的PDCAPage7PDCA特點(diǎn)(續(xù))不斷前進(jìn)、不斷提高PDPage8PDCA與ISMS的結(jié)合Page8PDCA與ISMS的結(jié)合Page9認(rèn)證審核－現(xiàn)場審核桌面審核(文件審核)的結(jié)果作為現(xiàn)場審核輸入?，F(xiàn)場審核的內(nèi)容包括會(huì)議、現(xiàn)場調(diào)查、形成審核發(fā)現(xiàn)、舉行末次會(huì)議與報(bào)告審核結(jié)果等。審核內(nèi)容驗(yàn)證第一時(shí)期的審核發(fā)現(xiàn)是否獲得糾正。證實(shí)受審核組織是否依照其方針、目標(biāo)與程序,執(zhí)行工作。證實(shí)受審核組織的ISMS是否符合ISO/IEC27001:2005第4-8章的所有要求Page9認(rèn)證審核－現(xiàn)場審核桌面審核(文件審核)的結(jié)果作為Page10認(rèn)證審核－獲得證書所有審核工作結(jié)束并達(dá)到要求后,用戶會(huì)得到證書。半年或者一年,用戶需要進(jìn)行復(fù)審三年時(shí),證書期滿,需要重新審核。Page10認(rèn)證審核－獲得證書所有審核工作結(jié)束并達(dá)到要求后Page11舉例為了方便大伙兒理解,舉個(gè)例子來進(jìn)行說明:華賽公司要參加上地地區(qū)的一個(gè)衛(wèi)生評比,評比通過發(fā)放《上地地區(qū)高科技企業(yè)衛(wèi)生紅旗》。該次評比有個(gè)評比要求《上地地區(qū)高科技企業(yè)衛(wèi)生評比要求》,要求內(nèi)容包括,建立長效的衛(wèi)生機(jī)制,如劃定公司衛(wèi)生范圍,購買各種衛(wèi)生用具,專門領(lǐng)導(dǎo)負(fù)責(zé),成立專門團(tuán)隊(duì),聘請專業(yè)保潔公司,組織內(nèi)部檢查,內(nèi)部互查等等。Page11舉例為了方便大伙兒理解,舉個(gè)例子來進(jìn)行說明:信息安全意識培訓(xùn)信息安全意識培訓(xùn)131234什么是信息安全？如何搞好信息安全？信息產(chǎn)業(yè)發(fā)展現(xiàn)狀主要內(nèi)容信息安全基本概念131234什么是信息安全？如何搞好信息安全？信息產(chǎn)業(yè)發(fā)展現(xiàn)14授之以魚不如授之以漁——產(chǎn)品——技術(shù)更不如激之其欲——意識談笑間，風(fēng)險(xiǎn)灰飛煙滅。引言14授之以魚不如授之以漁——產(chǎn)品——技術(shù)更不如激之其欲——意15什么是信息安全？不止有產(chǎn)品、技術(shù)才是信息安全15什么是信息安全？不止有產(chǎn)品、技術(shù)才是信息安全16信息安全無處不在信息安全人員安全物理安全事件管理安全策略法律合規(guī)開發(fā)安全安全組織資產(chǎn)管理業(yè)務(wù)連續(xù)網(wǎng)絡(luò)安全訪問控制16信息安全無處不在信息安全人員安全物理安全事件管理安全策

一個(gè)軟件公司的老總,等他所有的員工下班之后,他在那兒想:我的企業(yè)到底值多少錢呢？假如它的企業(yè)市值1億,那么此時(shí)此刻,他的企業(yè)就值2600萬。因?yàn)閾?jù)Delphi公司統(tǒng)計(jì),公司價(jià)值的26%體現(xiàn)在固定資產(chǎn)與一些文檔上,而高達(dá)42%的價(jià)值是存儲(chǔ)在員工的腦子里,而這些信息的保護(hù)沒有任何一款產(chǎn)品能夠做得到,因此需要我們建立信息安全管理體系,也就是常說的ISMS！17如何搞好信息安全？一個(gè)軟件公司的老總,等他所有的員工下班之后,他在那18信息在哪里？紙質(zhì)文檔電子文檔員工其他信息介質(zhì)小問題:公司的信息都在哪里？18信息在哪里？紙質(zhì)文檔小問題:公司的信息都在哪里？19小測試:

您離開家每次都關(guān)門不？您離開公司每次都關(guān)門不？您的保險(xiǎn)箱設(shè)密碼不？您的電腦設(shè)密碼不？19小測試:您離開家每次都關(guān)門不？20答案解釋:

假如您記得關(guān)家里的門,而不記得關(guān)公司的門,說明您估計(jì)對公司的安全認(rèn)知度不夠。

假如您記得給保險(xiǎn)箱設(shè)密碼,而不記得給電腦設(shè)密碼,說明您估計(jì)對信息資產(chǎn)安全認(rèn)識不夠。20答案解釋:假如您記得關(guān)家里的門,而不記得關(guān)公司21這就是意識缺乏的兩大結(jié)癥！不看重大公司，更看重小家庭。1家公司2鈔票更順眼，信息無所謂?！?1這就是意識缺乏的兩大結(jié)癥！不看重大公司，更看重小家庭。122思想上的轉(zhuǎn)變(一)

公司的錢,就是我的錢,只是先放在,老板那里~~~22思想上的轉(zhuǎn)變(一)公司的錢,就是我的錢,老板那23WHY???信息安全搞好了信息安全搞砸了公司賺錢了領(lǐng)導(dǎo)笑了領(lǐng)導(dǎo)怒了公司賠錢了你就“跌”了你就“漲”了23WHY???信息安全搞好了信息安全搞砸了公司賺錢了領(lǐng)導(dǎo)笑24思想上的轉(zhuǎn)變(二)

信息比鈔票更重要,更脆弱,我們更應(yīng)該保護(hù)它。24思想上的轉(zhuǎn)變(二)信息比鈔票更重要,更脆弱25WHY???裝有100萬的保險(xiǎn)箱需要3個(gè)悍匪、公司損失：100萬裝有客戶信息的電腦只要1個(gè)商業(yè)間諜、1個(gè)U盤，就能偷走。公司損失：所有客戶！1輛車，才能偷走。25WHY???裝有100萬的需要3個(gè)悍匪、公司損失：26典型案例26典型案例27安全名言

公司的利益就是自己的利益,不保護(hù)公司,就是不保護(hù)自己。

電腦不僅僅是工具,而是裝有十分重要信息的保險(xiǎn)箱。27安全名言公司的利益就是自己的利益,不保護(hù)公司,就是不保28絕對的安全是不存在的絕對的零風(fēng)險(xiǎn)是不存在的,要想實(shí)現(xiàn)零風(fēng)險(xiǎn),也是不現(xiàn)實(shí)的;計(jì)算機(jī)系統(tǒng)的安全性越高,其可用性越低,需要付出的成本也就越大,一般來說,需要在安全性與可用性,以及安全性與成本投入之間做一種平衡。

在計(jì)算機(jī)安全領(lǐng)域有一句格言:“真正安全的計(jì)算機(jī)是拔下網(wǎng)線,斷掉電源,放置在地下掩體的保險(xiǎn)柜中,并在掩體內(nèi)充滿毒氣,在掩體外安排士兵守衛(wèi)?！憋@然,如此的計(jì)算機(jī)是無法使用的。28絕對的安全是不存在的絕對的零風(fēng)險(xiǎn)是不存在的,要想實(shí)現(xiàn)零風(fēng)29安全是一種平衡29安全是一種平衡30安全是一種平衡安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平關(guān)鍵是實(shí)現(xiàn)成本利益的平衡30安全是一種平衡安全控制的成本安全事件的損失最小化的總成本信息的價(jià)值=使用信息所獲得的收益─獲取信息所用成本信息具備了安全的保護(hù)特性31信息的價(jià)值信息的價(jià)值=使用信息所獲得的收益─獲取信息所用成本3廣義上講領(lǐng)域——涉及到信息的保密性,完整性,可用性,真實(shí)性,可控性的相關(guān)技術(shù)與理論。本質(zhì)上保護(hù)——系統(tǒng)的硬件,軟件,數(shù)據(jù)防止——系統(tǒng)與數(shù)據(jù)遭受破壞,更改,泄露保證——系統(tǒng)連續(xù)可靠正常地運(yùn)行,服務(wù)不中斷兩個(gè)層面技術(shù)層面——防止外部用戶的非法入侵管理層面——內(nèi)部員工的教育與管理32信息安全的定義廣義上講32信息安全的定義33信息安全基本目標(biāo)保密性,完整性,可用性CIAonfidentialityntegrityvailabilityCIA33信息安全基本目標(biāo)保密性,完整性,可用性CIAon34信息生命周期創(chuàng)建傳遞銷毀存儲(chǔ)使用更改34信息生命周期創(chuàng)建傳遞銷毀存儲(chǔ)使用更改35信息產(chǎn)業(yè)發(fā)展迅猛截至2008年7月,我國固定電話已達(dá)到3、55億戶,移動(dòng)電話用戶數(shù)達(dá)到6、08億。截至2008年6月,我國網(wǎng)民數(shù)量達(dá)到了2、53億,成為世界上網(wǎng)民最多的國家,與去年同期相比,中國網(wǎng)民人數(shù)增加了9100萬人,同比增長達(dá)到56、2%。手機(jī)上網(wǎng)成為用戶上網(wǎng)的重要途徑,網(wǎng)民中的28、9%在過去半年曾經(jīng)使用過手機(jī)上網(wǎng),手機(jī)網(wǎng)民規(guī)模達(dá)到7305萬人。2007年電子商務(wù)交易總額已超過2萬億元。目前,全國網(wǎng)站總數(shù)達(dá)192萬,中文網(wǎng)頁已達(dá)84、7億頁,個(gè)人博客/個(gè)人空間的網(wǎng)民比例達(dá)到42、3%。目前,縣級以上96%的政府機(jī)構(gòu)都建立了網(wǎng)站,電子政務(wù)正以改善公共服務(wù)為重點(diǎn),在教育、醫(yī)療、住房等方面,提供便捷的基本公共服務(wù)。35信息產(chǎn)業(yè)發(fā)展迅猛截至2008年7月,我國固定電話已達(dá)到336信息安全令人擔(dān)憂內(nèi)地企業(yè)44%信息安全事件是數(shù)據(jù)失竊

普華永道最新公布的2008年度全球信息安全調(diào)查報(bào)告顯示,中國內(nèi)地企業(yè)在信息安全管理方面存在滯后,信息安全與隱私保障方面已被印度趕超。數(shù)據(jù)顯示,內(nèi)地企業(yè)44%的信息安全事件與數(shù)據(jù)失竊有關(guān),而全球的平均水平只有16%。普華永道的調(diào)查顯示,中國內(nèi)地企業(yè)在改善信息安全機(jī)制上仍有待努力,從近年安全事件結(jié)果看,中國每年大約98萬美元的財(cái)務(wù)損失,而亞洲國家平均約為75萬美元,印度大約為30、8萬美元。此外,42%的中國內(nèi)地受訪企業(yè)經(jīng)歷了應(yīng)用軟件、系統(tǒng)與網(wǎng)絡(luò)的安全事件。36信息安全令人擔(dān)憂內(nèi)地企業(yè)44%信息安全事件是數(shù)據(jù)失竊37安全事件(1)37安全事件(1)38安全事件(2)38安全事件(2)39安全事件(3)39安全事件(3)40安全事件(4)40安全事件(4)41安全事件(5)41安全事件(5)42安全事件(6)熊貓燒香病毒的制造者-李俊

用戶電腦中毒后估計(jì)會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。同時(shí),該病毒能夠通過局域網(wǎng)進(jìn)行傳播,進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng),最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓,無法正常使用,它能感染系統(tǒng)中exe,,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進(jìn)程同時(shí)會(huì)刪除擴(kuò)展名為gho的文件,該文件是一系統(tǒng)備份工具GHOST的備份文件,使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有、exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。

42安全事件(6)熊貓燒香病毒的制造者-李俊43深度分析43深度分析44如此的情況還有特別多……信息安全迫在眉睫！??！44如此的情況還有特別多……信息安全關(guān)鍵是做好預(yù)防控制隱患險(xiǎn)于明火！預(yù)防重于救災(zāi)！關(guān)鍵是做好預(yù)防控制隱患險(xiǎn)于明火！46小故事,大啟發(fā)

——信息安全點(diǎn)滴46小故事,大啟發(fā)首先要關(guān)注內(nèi)部人員的安全管理首先要關(guān)注內(nèi)部人員的安全管理信息安全意識培訓(xùn)課件-492007年11月,集安支行代辦員,周末晚上通過運(yùn)營電腦,將230萬轉(zhuǎn)移到事先辦理的15張卡上,并一夜間在各ATM上取走38萬。周一被發(fā)現(xiàn)。

夜間銀行監(jiān)控設(shè)備未開放,下班后運(yùn)營電腦未上鎖。

事實(shí)上,此前早有人提出過這個(gè)問題,只只是沒有得到重視。492007年11月,集安支行代辦員,周末晚上50典型案例:樂購事件2005年9月7日,上海樂購超市金山店負(fù)責(zé)人到市公安局金山分局報(bào)案稱,該店在盤點(diǎn)貨物時(shí)發(fā)現(xiàn)銷售的貨物與收到的貨款不符,有估計(jì)款物被非法侵吞。上海市公安局經(jīng)偵總隊(duì)與金山分局馬上成立了專案組展開調(diào)查。專案組調(diào)查發(fā)現(xiàn),樂購超市幾家門店貨物缺損率大大超過了業(yè)內(nèi)千分之五的物損比例,缺損的貨物五花八門,油鹽醬醋等日常用品的銷售與實(shí)際收到的貨款差別特別大。依照以往的案例,超市內(nèi)的盜竊行為往往是針對體積小價(jià)值高的化妝品等物,盜竊者特別少光顧油鹽醬醋等生活用品。奇怪的是,在超市的各個(gè)經(jīng)營環(huán)節(jié)并沒有發(fā)現(xiàn)明顯漏洞。考慮到錢與物最終的流向收銀員是出口,問題特別估計(jì)出在收銀環(huán)節(jié)。警方在調(diào)查中發(fā)現(xiàn),收銀系統(tǒng)軟件的設(shè)計(jì)相對嚴(yán)密,除非是負(fù)責(zé)維護(hù)收銀系統(tǒng)的資訊小組職員與收銀員合謀,才有估計(jì)對營業(yè)款項(xiàng)動(dòng)手腳。經(jīng)過深入調(diào)查,偵查人員發(fā)現(xiàn)超市原有的收銀系統(tǒng)被裝入了一個(gè)攻擊性的補(bǔ)丁程序,只要收銀員輸入口令、密碼,這個(gè)程序會(huì)自動(dòng)運(yùn)行,刪除該營業(yè)員當(dāng)日20％左右的銷售記錄后再將數(shù)據(jù)傳送至?xí)?jì)部門,造成會(huì)計(jì)部門只按實(shí)際營業(yè)額的80％向收銀員收取營業(yè)額。另20％營業(yè)額即可被侵吞。能夠在收銀系統(tǒng)中裝入程序的,負(fù)責(zé)管理、更新、維修超市收銀系統(tǒng)的資訊組工作人員嫌疑最大。

警方順藤摸瓜,挖出一個(gè)包括超市資訊員、收銀員在內(nèi)的近40人的犯罪團(tuán)伙。據(jù)調(diào)查,原樂購超市真北店資訊組組長方元在工作中發(fā)現(xiàn)收銀系統(tǒng)漏洞,設(shè)計(jì)了攻擊性程序,犯罪嫌疑人于琪、朱永春、武侃佳等人利用擔(dān)任樂購超市多家門店資訊工作的便利,將這一程序植入各門店收銀系統(tǒng);犯罪嫌疑人陳煒嘉、陳琦、趙一青等人物色不法人員,經(jīng)培訓(xùn)后通過應(yīng)聘安插到各家門店做收銀員,每日將侵吞贓款上繳到犯罪團(tuán)伙主犯方元、陳煒嘉、陳琦等人手中,團(tuán)伙成員按比例分贓。一年時(shí)間內(nèi),先后侵吞樂購超市真北店、金山店、七寶店374萬余元。犯罪團(tuán)伙個(gè)人按比例分得贓款數(shù)千元至50萬元不等50典型案例:樂購事件2005年9月7日,上海樂購超市金山店關(guān)于員工安全管理的建議

依照不同崗位的需求,在職位描述書中加入安全方面的責(zé)任要求,特別是敏感崗位在招聘環(huán)節(jié)做好人員篩選與背景調(diào)查工作,同時(shí)簽訂適當(dāng)?shù)谋Ｃ軈f(xié)議在新員工培訓(xùn)中專門加入信息安全內(nèi)容工作期間,依照崗位需要,持續(xù)進(jìn)行專項(xiàng)培訓(xùn)通過多種途徑,全面提升員工信息安全意識落實(shí)檢查監(jiān)督與獎(jiǎng)懲機(jī)制員工內(nèi)部轉(zhuǎn)崗應(yīng)做好訪問控制變更控制員工離職,應(yīng)做好交接與權(quán)限撤銷關(guān)于員工安全管理的建議依照不同崗位的需求,在職位描述書中加切不可忽視第三方安全切不可忽視第三方安全532003年,上海某家為銀行提供ATM服務(wù)的公司,軟件工程師蘇強(qiáng)。利用自助網(wǎng)點(diǎn)安裝調(diào)試的機(jī)會(huì),繞過加密程序Bug,編寫并植入一個(gè)監(jiān)視軟件,記錄用戶卡號、磁條信息與密碼,一個(gè)月內(nèi),記錄下7000條。然后拷貝到自己電腦上,刪掉植入的程序。

后來蘇強(qiáng)去讀研究生,買了白卡與讀卡器,偽造銀行卡,兩年內(nèi)共提取6萬元。只是因?yàn)榕既辉虮话l(fā)現(xiàn),公安機(jī)關(guān)通過檢查網(wǎng)上查詢客戶信息的IP地址追查到蘇強(qiáng),破壞案件。532003年,上海某家為銀行提供ATM服務(wù)54北京移動(dòng)電話充值卡事件31歲的軟件工程師程稚瀚,在華為工作期間,曾為西藏移動(dòng)做過技術(shù)工作,案發(fā)時(shí),在UT斯達(dá)康深圳分公司工作。2005年3月開始,其利用為西藏移動(dòng)做技術(shù)時(shí)使用的密碼(此密碼自程稚瀚離開后一直沒有更改),輕松進(jìn)入了西藏移動(dòng)的服務(wù)器。通過西藏移動(dòng)的服務(wù)器,程稚瀚又跳轉(zhuǎn)到了北京移動(dòng)數(shù)據(jù)庫,取得了數(shù)據(jù)從2005年3月至7月,程稚瀚先后4次侵入北京移動(dòng)數(shù)據(jù)庫,修改充值卡的時(shí)間與金額,將已充值的充值卡狀態(tài)改為未充值,共修改復(fù)制出上萬個(gè)充值卡密碼。他還將盜出的充值卡密碼通過淘寶網(wǎng)出售,共獲利370余萬元。直到2005年7月,由于一次“疏忽”,程稚瀚將一批充值卡售出時(shí),忘了修改使用期限,使用期限仍為90天。購買到這批充值卡的用戶因無法使用便投訴到北京移動(dòng),北京移動(dòng)才發(fā)現(xiàn)有6600張充值卡被非法復(fù)制,馬上報(bào)警。2005年8月24日,程稚瀚在深圳被抓獲,所獲贓款全部起獲。

54北京移動(dòng)電話充值卡事件31歲的軟件工程師程稚瀚,在華為工關(guān)于第三方安全管理的建議

識別所有相關(guān)第三方:服務(wù)提供商,設(shè)備提供商,咨詢顧問,審計(jì)機(jī)構(gòu),物業(yè),保潔等識別所有與第三方相關(guān)的安全風(fēng)險(xiǎn),不管是牽涉到物理訪問依然邏輯訪問在沒有采取必要控制措施,包括簽署相關(guān)協(xié)議之前,不應(yīng)該授權(quán)給外部伙伴訪問。應(yīng)該讓外部伙伴意識到其責(zé)任與必須遵守的規(guī)定在與第三方簽訂協(xié)議時(shí)特別提出信息安全方面的要求,特別是訪問控制要求對第三方實(shí)施有效的監(jiān)督,定期Review服務(wù)交付關(guān)于第三方安全管理的建議識別所有相關(guān)第三方:服務(wù)提供商,設(shè)物理環(huán)境中需要信息安全物理環(huán)境中需要信息安全在自助銀行入口刷卡器下方粘上一個(gè)黑色小方塊，叫“讀卡器”，罩上一個(gè)加長的“殼”，把銀行的刷卡器和讀卡器一起藏在里面，一般人很難發(fā)現(xiàn)。取款人在刷卡進(jìn)門時(shí)，銀行卡上的全部信息就一下被刷進(jìn)了犯罪分子的讀卡器上。在取款機(jī)窗口內(nèi)側(cè)頂部,粘上一個(gè)貼著“ATM”字樣的“發(fā)光燈”。這個(gè)“發(fā)光燈”是經(jīng)過特別改造的,里面用一塊手機(jī)電池做電源,連接兩個(gè)燈泡,核心部分則是一個(gè)MP4。取款人取款時(shí)的全過程被犯罪分子裝的“針孔攝像機(jī)”進(jìn)行了“實(shí)況錄像”。ATM詐騙三部曲取款人一走,犯罪分子馬上收“家伙”進(jìn)車,先把MP4連上筆記本電腦,回放錄像記下取錢人按下的密碼,接著再連上讀卡器,同時(shí)再在電腦上連上一個(gè)叫“寫卡器”的長條形東西。這時(shí),他們隨便拿出一張卡,不管是澡堂充值卡,依然超市禮品卡,只要是帶磁條的,只要在寫卡器里過一下,此卡就被成功“克隆”成一張“有實(shí)無名”的銀行卡了。在自助銀行入口刷卡器下方粘上一個(gè)黑色小方塊，叫“讀卡器”，罩您的供電系統(tǒng)確實(shí)萬無一失？是一路電依然兩路電？兩路電是否一定是兩個(gè)輸電站？有沒有UPS？UPS能維持多久？有沒有備用發(fā)電機(jī)組？備用發(fā)電機(jī)是否有充足的油料儲(chǔ)備？您的供電系統(tǒng)確實(shí)萬無一失？是一路電依然兩路電？另一個(gè)與物理安全相關(guān)的案例時(shí)間:2002年某天夜里地點(diǎn):A公司的數(shù)據(jù)中心大樓人物:一個(gè)普通的系統(tǒng)管理員

一個(gè)普通的系統(tǒng)管理員,利用看似簡單的方法,就進(jìn)入了需要門卡認(rèn)證的數(shù)據(jù)中心……

————

來自國外某論壇的激烈討論另一個(gè)與物理安全相關(guān)的案例時(shí)間:2002年某天夜里一情況是如此的……A公司的數(shù)據(jù)中心是重地,設(shè)立了嚴(yán)格的門禁制度,要求必須插入門卡才能進(jìn)入。只是,出來時(shí)特別簡單,數(shù)據(jù)中心一旁的動(dòng)作探測器會(huì)檢測到有人朝出口走去,門會(huì)自動(dòng)打開數(shù)據(jù)中心有個(gè)系統(tǒng)管理員張三君,這天晚上加班到特別晚,中間離開數(shù)據(jù)中心出去夜宵,可返回時(shí)發(fā)現(xiàn)自己被鎖在了外面,門卡落在里面了,四周別無他人,一片靜寂張三急需今夜加班,可他又不想打擾他人,如何辦？情況是如此的……A公司的數(shù)據(jù)中心是重地,設(shè)立了嚴(yán)格的門一點(diǎn)線索:昨天曾在接待區(qū)慶祝過某人一輩子日,現(xiàn)場還未清理干凈,遺留下特別多雜物,哦,還有氣球……一點(diǎn)線索:聰明的張三想出了妙計(jì)……①張三找到一個(gè)氣球，放掉氣②張三面朝大門入口趴下來,把氣球塞進(jìn)門里,只留下氣球的嘴在門的這邊③張三在門外吹氣球，氣球在門內(nèi)膨脹，然后，他釋放了氣球……④由于氣球在門內(nèi)彈跳，觸發(fā)動(dòng)作探測器，門終于開了聰明的張三想出了妙計(jì)……①張三找到一個(gè)氣球，放掉氣②問題出在哪里……

假如門與地板齊平且沒有縫隙,就可不能出如此的事

假如動(dòng)作探測器的靈敏度調(diào)整到不對快速放氣的氣球作出反應(yīng),也可不能出此事

當(dāng)然,假如根本就不使用動(dòng)作探測器來從里面開門,這種情況同樣可不能發(fā)生問題出在哪里……假如門與地板齊平且沒有縫隙,就可不能出總結(jié)教訓(xùn)……

盡管是偶然事件,也沒有直截了當(dāng)危害,然而潛在風(fēng)險(xiǎn)既是物理安全的問題,更是管理問題切記！有時(shí)候自以為是的安全,恰恰是最不安全！物理安全特別關(guān)鍵！總結(jié)教訓(xùn)……盡管是偶然事件,也沒有直截了當(dāng)危害,然而潛關(guān)于物理安全的建議

將敏感設(shè)備與信息放置在受控的安全區(qū)域所有到受控區(qū)域的入口都應(yīng)該加鎖、設(shè)置門衛(wèi),或者以某種方式進(jìn)行監(jiān)視,并做好進(jìn)出登記假如進(jìn)出需要ID徽章,請隨身帶好,嚴(yán)禁無證進(jìn)入鑰匙與門卡僅供本人使用,不要交給他人使用嚴(yán)格控制帶存儲(chǔ)與攝像功能的手持設(shè)備的使用使用公共區(qū)域的打印機(jī)、傳真機(jī)、復(fù)印機(jī)時(shí),一定不要遺留敏感文件

移動(dòng)電腦是惡意者經(jīng)常關(guān)注的目標(biāo),一定要注意保護(hù)使用碎紙機(jī),謹(jǐn)防敏感文件通過垃圾簍而泄漏假如發(fā)現(xiàn)可疑情況,請馬上報(bào)告關(guān)于物理安全的建議將敏感設(shè)備與信息放置在受控的安全區(qū)域日常工作需特別留意信息安全日常工作需特別留意信息安全67移動(dòng)介質(zhì)管控的要求與落實(shí)脫節(jié)“擺渡攻擊”

涉密網(wǎng)絡(luò)中的泄密現(xiàn)象67移動(dòng)介質(zhì)管控的要求與落實(shí)脫節(jié)關(guān)于口令的一些調(diào)查結(jié)果

一個(gè)有趣的調(diào)查發(fā)現(xiàn),假如您用一條巧克力來作為交換,有70％的人樂意告訴您他(她)的口令有34％的人,甚至不需要賄賂,就可奉獻(xiàn)自己的口令另據(jù)調(diào)查,有79％的人,在被提問時(shí),會(huì)無意間泄漏足以被用來竊取其身份的信息姓名、寵物名、生日、球隊(duì)名最常被用作口令平均每人要記住四個(gè)口令,大多數(shù)人都習(xí)慣使用相同的口令(在特別多需要口令的地方)

33％的人選擇將口令寫下來,然后放到抽屜或夾到文件里關(guān)于口令的一些調(diào)查結(jié)果一個(gè)有趣的調(diào)查發(fā)現(xiàn),假如您用一條巧克什么樣的口令是比較脆弱的？

少于8個(gè)字符單一的字符類型,例如只用小寫字母,或只用數(shù)字用戶名與口令相同最常被人使用的弱口令:自己、家人、朋友、親戚、寵物的名字生日、結(jié)婚紀(jì)念日、電話號碼等個(gè)人信息工作中用到的專業(yè)術(shù)語,職業(yè)特征字典中包含的單詞,或者只在單詞后加簡單的后綴所有系統(tǒng)都使用相同的口令口令一直不變什么樣的口令是比較脆弱的？少于8個(gè)字符口令安全建議

應(yīng)該設(shè)置強(qiáng)口令口令應(yīng)該經(jīng)常更改,比如3個(gè)月不同的系統(tǒng)或場所應(yīng)使用不同的口令一定要即刻更改系統(tǒng)的缺省或初始化口令不要與任何人共享您的口令不要把口令寫在紙上不要把口令存儲(chǔ)在計(jì)算機(jī)文件中輸入口令時(shí)嚴(yán)防有人偷看假如有人在電話中向您索取口令,拒絕后馬上報(bào)告假如發(fā)覺有人獲知您的口令,馬上改變它口令安全建議應(yīng)該設(shè)置強(qiáng)口令從一點(diǎn)一滴做起！從自身做起！從一點(diǎn)一滴做起！從自身做起！72IT安全問題1、一般情況下,個(gè)人計(jì)算機(jī)在()

分鐘的非活動(dòng)狀態(tài)里要求自動(dòng)激活屏幕鎖定A、5分鐘B、10分鐘C、15分鐘D、30分鐘72IT安全問題1、一般情況下,個(gè)人計(jì)算機(jī)在()分鐘73IT安全問題2、下列說法錯(cuò)誤的是()A、個(gè)人計(jì)算機(jī)操作系統(tǒng)必須設(shè)置口令。B、在每天工作結(jié)束時(shí),將便攜電腦妥善保管,如鎖入文件柜。C、離開自己的計(jì)算機(jī)時(shí),必須激活具有密碼保護(hù)的屏幕保護(hù)程序。D、為方便第二天工作,下班后能夠不用關(guān)閉計(jì)算機(jī)。73IT安全問題2、下列說法錯(cuò)誤的是()74IT安全問題3、口令要求至少()更換一次A、3個(gè)月B、6個(gè)月C、1年D、能夠一直使用一個(gè)口令,不用修改。74IT安全問題3、口令要求至少()更換一次75IT安全問題4、下列關(guān)于個(gè)人計(jì)算機(jī)的訪問密碼設(shè)置要求,描述錯(cuò)誤的是():A、密碼要求至少設(shè)置8位字符長。B、為便于記憶,可將自己生日作為密碼。C、禁止使用前兩次的密碼D、假如需要訪問不在公司控制下的計(jì)算機(jī)系統(tǒng),禁止選擇在公司內(nèi)部系統(tǒng)使用的密碼作為外部系統(tǒng)的密碼。

75IT安全問題4、下列關(guān)于個(gè)人計(jì)算機(jī)的訪問密碼設(shè)置要求,描76IT安全問題5、下列關(guān)于外網(wǎng)使用說法錯(cuò)誤的是():A、外網(wǎng)只能從分公司一點(diǎn)接入。B、地市公司或管理部門為方便外網(wǎng)使用,可自己向電信申請開通ADSL外網(wǎng)接入。C、外網(wǎng)接入須經(jīng)過防火墻以加強(qiáng)安全防護(hù)。D、只使用有授權(quán)訪問的服務(wù)。不要嘗試訪問未經(jīng)授權(quán)的互聯(lián)網(wǎng)系統(tǒng)或服務(wù)器端口。76IT安全問題5、下列關(guān)于外網(wǎng)使用說法錯(cuò)誤的是():77IT安全問題6、用upload賬戶通過分公司85服務(wù)器上傳文件文件,描述錯(cuò)誤的是()A、需保密的文件上傳前應(yīng)該做加密處理。B、在對方下載后馬上從FTP服務(wù)器上刪除自己所傳文件。C、不可將分公司FTP服務(wù)器當(dāng)作自己重要數(shù)據(jù)文件的備份服務(wù)器。D、上傳后的文件能夠不用處理,一直放到分公司FTP服務(wù)器上。77IT安全問題6、用upload賬戶通過分公司85服務(wù)器上78IT安全問題7、關(guān)于個(gè)人計(jì)算機(jī)數(shù)據(jù)備份描述錯(cuò)誤的是()A、備份的目的是有效保證個(gè)人計(jì)算機(jī)內(nèi)的重要信息在遭到損壞時(shí)能夠及時(shí)恢復(fù)。B、個(gè)人計(jì)算機(jī)數(shù)據(jù)備份是信息技術(shù)部的情況,應(yīng)由信息技術(shù)部負(fù)責(zé)完成。C、員工應(yīng)依照個(gè)人計(jì)算機(jī)上信息的重要程度與修改頻率定期對信息進(jìn)行備份。D、備份介質(zhì)必須要注意防范偷竊或未經(jīng)授權(quán)的訪問。78IT安全問題7、關(guān)于個(gè)人計(jì)算機(jī)數(shù)據(jù)備份描述錯(cuò)誤的是()79IT安全問題8、關(guān)于電子郵件的使用,描述錯(cuò)誤的是()A、不得散發(fā)估計(jì)被認(rèn)為不適當(dāng)?shù)?對他人不尊重或提倡違法行為的內(nèi)容;B、能夠自動(dòng)轉(zhuǎn)發(fā)公司內(nèi)部郵件到互聯(lián)網(wǎng)上;C、禁止使用非CPIC的電子郵箱,如YAHOO,AOL,HOTMAIL等交換CPIC公司信息;D、非CPIC授權(quán)人員禁止使用即時(shí)通訊軟件,如MSN交換CPIC公司信息。79IT安全問題8、關(guān)于電子郵件的使用,描述錯(cuò)誤的是()80IT安全問題9、下列關(guān)于病毒防護(hù)描述錯(cuò)誤的是()A、個(gè)人工作站必須安裝統(tǒng)一部署的防病毒軟件,未經(jīng)信息技術(shù)部批準(zhǔn)不得擅自安裝非本公司指定的防病毒軟件。B、假如從公共資源得到程序(比如,網(wǎng)站,公告版),那么在使用之前需使用防病毒程序掃描。C、在處理外部介質(zhì)之前應(yīng)用防病毒軟件掃描。D、個(gè)人計(jì)算機(jī)上安裝了防病毒軟件即可,不用定期進(jìn)行病毒掃描。80IT安全問題9、下列關(guān)于病毒防護(hù)描述錯(cuò)誤的是()81IT安全問題10、位于高風(fēng)險(xiǎn)區(qū)域的移動(dòng)計(jì)算機(jī),例如,在沒有物理訪問控制的區(qū)域等應(yīng)設(shè)屏幕鎖定為()分鐘,以防止非授權(quán)人員的訪問;A、5分鐘B、10分鐘C、15分鐘D、30分鐘81IT安全問題10、位于高風(fēng)險(xiǎn)區(qū)域的移動(dòng)計(jì)算機(jī),例如,在沒82IT安全問題11、關(guān)于數(shù)據(jù)保存,說法錯(cuò)誤的是()A、將重要數(shù)據(jù)文件保存到C盤或者桌面。B、定期對重要數(shù)據(jù)文件用移動(dòng)硬盤或光盤進(jìn)行備份。C、將重要數(shù)據(jù)文件保存到C盤外的其它硬盤分區(qū)。82IT安全問題11、關(guān)于數(shù)據(jù)保存,說法錯(cuò)誤的是()83IT安全問題12、關(guān)于代碼權(quán)限管理規(guī)定說法錯(cuò)誤的是()A、非在編人員不能加代碼,試用期員工可加代碼。B、為方便工作,同事之間的代碼能夠相互借用。C、出單與理賠操作員經(jīng)培訓(xùn)、考試合格才能申請權(quán)限。D、人員離職后,人員代碼及相應(yīng)權(quán)限應(yīng)馬上予以清理。83IT安全問題12、關(guān)于代碼權(quán)限管理規(guī)定說法錯(cuò)誤的是()84IT安全問題13、使用者必須向分公司信息技術(shù)部提出書面申請并得到書面確認(rèn)后方可安裝的軟件屬于以下哪一類()

A:I類

B:II類

C:III類

D:IV類84IT安全問題13、使用者必須向分公司信息技術(shù)部提出書面申85IT安全問題14、下列關(guān)于筆記本使用規(guī)范描述錯(cuò)誤的是()A、筆記本應(yīng)該設(shè)置硬盤保護(hù)密碼以加強(qiáng)安全保護(hù);B、在旅行中或在辦公室之外的地方工作時(shí)要盡估計(jì)將便攜電腦置于個(gè)人的控制之下。C、假如便攜電腦或公司的機(jī)密信息被偷,丟失,必須及時(shí)報(bào)告給公司的安全部門與您的上級主管。D、單位筆記本能夠帶回家供娛樂使用,例如玩游戲等。85IT安全問題14、下列關(guān)于筆記本使用規(guī)范描述錯(cuò)誤的是()問題一15、在旅行中或出差時(shí)等辦公室之外的地方使用便攜電腦,以下哪一種使用方式不符合公司的安全規(guī)定:A、乘飛機(jī)旅行時(shí),將便攜電腦放在托運(yùn)的行李中;B、外出時(shí)將便攜電腦鎖在酒店保險(xiǎn)柜里;C、假如便攜電腦被偷或丟失,報(bào)告給公司當(dāng)?shù)氐陌踩块T與您的上級主管;D、在候機(jī)室或者飛機(jī)上看影片。86問題一15、在旅行中或出差時(shí)等辦公室之外的地方使用便攜電腦,問題二16、以下哪一種是正確的使用公司電腦的方式:A、公司上網(wǎng)需要申請,自己買張移動(dòng)上網(wǎng)卡接入電腦上Internet;B、要給客戶發(fā)保險(xiǎn)產(chǎn)品信息,使用Hotmail發(fā)送過去;C、習(xí)慣使用AdobePhotoshop編輯軟件,但公司的電腦沒有安裝,自己買張盜版光盤自行安裝;D、定期把自己電腦的文檔備份在移動(dòng)硬盤上;87問題二16、以下哪一種是正確的使用公司電腦的方式:87問題三17、以下哪一項(xiàng)不是太保信息安全等級的分類:A、公共信息;B、內(nèi)部信息;C、敏感信息;D、秘密信息;88問題三17、以下哪一項(xiàng)不是太保信息安全等級的分類:88感謝您的聆聽！感謝您的聆聽！信息安全意識培訓(xùn)信息安全意識培訓(xùn)信息安全人員安全物理安全事件管理安全策略法律合規(guī)開發(fā)安全安全組織資產(chǎn)管理業(yè)務(wù)連續(xù)網(wǎng)絡(luò)安全訪問控制信息安全人員安全物理安全事件管理安全策略法律合規(guī)開發(fā)安全安ISO/IEC

17799:2005版11個(gè)方面、39

個(gè)控制目標(biāo)與133

項(xiàng)控制措施列表1)安全方針

7)訪問控制2)信息安全組織

8)信息系統(tǒng)獲取、開發(fā)與維護(hù)3)資產(chǎn)管理

9)信息安全事故管理4)人力資源安全

10)業(yè)務(wù)連續(xù)性管理5)物理與環(huán)境安全

11)符合性6)通信與操作管理ISO/IEC17799:2005版11個(gè)方面、39個(gè)ISMS(信息安全管理系統(tǒng))ISO/IEC

27001:2005版通篇就在講一件事,ISMS(信息安全管理系統(tǒng))。本標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持與改進(jìn)信息安全管理體系(InformationSecurityManagementSystem,簡稱ISMS)提供模型。采納ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織的ISMS的設(shè)計(jì)與實(shí)施受其需要與目標(biāo)、安全要求、所采納的過程以及組織的規(guī)模與結(jié)構(gòu)的影響,上述因素及其支持系統(tǒng)會(huì)不斷發(fā)生變化。依照組織的需要實(shí)施ISMS,是本標(biāo)準(zhǔn)所期望的,例如,簡單的情況可采納簡單的ISMS解決方案。本標(biāo)準(zhǔn)可被內(nèi)部與外部相關(guān)方用于一致性評估。(引用自ISO/IEC27001:2005中“0、1

總則”

)ISMS(信息安全管理系統(tǒng))ISO/IEC27001:20Page94PDCA(戴明環(huán))PDCA(Plan、Do、Check與Act)是管理學(xué)慣用的一個(gè)過程模型,最早是由休哈特(WalterShewhart)于19世紀(jì)30年代構(gòu)想的,后來被戴明(EdwardsDeming)采納、宣傳并運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過程當(dāng)中。1、P(Plan)--計(jì)劃,確定方針與目標(biāo),確定活動(dòng)計(jì)劃;2、D(Do)--執(zhí)行,實(shí)地去做,實(shí)現(xiàn)計(jì)劃中的內(nèi)容;3、C(Check)--檢查,總結(jié)執(zhí)行計(jì)劃的結(jié)果,注意效果,找出問題;4、A(Action)--行動(dòng),對總結(jié)檢查的結(jié)果進(jìn)行處理,成功的經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化;失敗的教訓(xùn)加以總結(jié),以免重現(xiàn),未解決的問題放到下一個(gè)PDCA循環(huán)。Page5PDCA(戴明環(huán))PDCA(Plan、Do、ChPage95PDCA特點(diǎn)大環(huán)套小環(huán),小環(huán)保大環(huán),推動(dòng)大循環(huán)PDCA循環(huán)作為質(zhì)量管理的基本方法,不僅適用于整個(gè)工程項(xiàng)目,也習(xí)慣于整個(gè)企業(yè)與企業(yè)內(nèi)的科室、工段、班組以至個(gè)人。各級部門依照企業(yè)的方針目標(biāo),都有自己的PDCA循環(huán),層層循環(huán),形成大環(huán)套小環(huán),小環(huán)里面又套更小的環(huán)。大環(huán)是小環(huán)的母體與依據(jù),小環(huán)是大環(huán)的分解與保證。各級部門的小環(huán)都圍繞著企業(yè)的總目標(biāo)朝著同一方向轉(zhuǎn)動(dòng)。通過循環(huán)把企業(yè)上下或工程項(xiàng)目的各項(xiàng)工作有機(jī)地聯(lián)系起來,相互協(xié)同,互相促進(jìn)。以上特點(diǎn)。

Page6PDCA特點(diǎn)大環(huán)套小環(huán),小環(huán)保大環(huán),推動(dòng)大循環(huán)Page96PDCA特點(diǎn)(續(xù))

不斷前進(jìn)、不斷提高

PDCA循環(huán)就像爬樓梯一樣,一個(gè)循環(huán)運(yùn)轉(zhuǎn)結(jié)束,生產(chǎn)的質(zhì)量就會(huì)提高一步,然后再制定下一個(gè)循環(huán),再運(yùn)轉(zhuǎn)、再提高,不斷前進(jìn),不斷提高,是一個(gè)螺旋式上升的過程。PDCA質(zhì)量水平螺旋上升的PDCAPage7PDCA特點(diǎn)(續(xù))不斷前進(jìn)、不斷提高PDPage97PDCA與ISMS的結(jié)合Page8PDCA與ISMS的結(jié)合Page98認(rèn)證審核－現(xiàn)場審核桌面審核(文件審核)的結(jié)果作為現(xiàn)場審核輸入?，F(xiàn)場審核的內(nèi)容包括會(huì)議、現(xiàn)場調(diào)查、形成審核發(fā)現(xiàn)、舉行末次會(huì)議與報(bào)告審核結(jié)果等。審核內(nèi)容驗(yàn)證第一時(shí)期的審核發(fā)現(xiàn)是否獲得糾正。證實(shí)受審核組織是否依照其方針、目標(biāo)與程序,執(zhí)行工作。證實(shí)受審核組織的ISMS是否符合ISO/IEC27001:2005第4-8章的所有要求Page9認(rèn)證審核－現(xiàn)場審核桌面審核(文件審核)的結(jié)果作為Page99認(rèn)證審核－獲得證書所有審核工作結(jié)束并達(dá)到要求后,用戶會(huì)得到證書。半年或者一年,用戶需要進(jìn)行復(fù)審三年時(shí),證書期滿,需要重新審核。Page10認(rèn)證審核－獲得證書所有審核工作結(jié)束并達(dá)到要求后Page100舉例為了方便大伙兒理解,舉個(gè)例子來進(jìn)行說明:華賽公司要參加上地地區(qū)的一個(gè)衛(wèi)生評比,評比通過發(fā)放《上地地區(qū)高科技企業(yè)衛(wèi)生紅旗》。該次評比有個(gè)評比要求《上地地區(qū)高科技企業(yè)衛(wèi)生評比要求》,要求內(nèi)容包括,建立長效的衛(wèi)生機(jī)制,如劃定公司衛(wèi)生范圍,購買各種衛(wèi)生用具,專門領(lǐng)導(dǎo)負(fù)責(zé),成立專門團(tuán)隊(duì),聘請專業(yè)保潔公司,組織內(nèi)部檢查,內(nèi)部互查等等。Page11舉例為了方便大伙兒理解,舉個(gè)例子來進(jìn)行說明:信息安全意識培訓(xùn)信息安全意識培訓(xùn)1021234什么是信息安全？如何搞好信息安全？信息產(chǎn)業(yè)發(fā)展現(xiàn)狀主要內(nèi)容信息安全基本概念131234什么是信息安全？如何搞好信息安全？信息產(chǎn)業(yè)發(fā)展現(xiàn)103授之以魚不如授之以漁——產(chǎn)品——技術(shù)更不如激之其欲——意識談笑間，風(fēng)險(xiǎn)灰飛煙滅。引言14授之以魚不如授之以漁——產(chǎn)品——技術(shù)更不如激之其欲——意104什么是信息安全？不止有產(chǎn)品、技術(shù)才是信息安全15什么是信息安全？不止有產(chǎn)品、技術(shù)才是信息安全105信息安全無處不在信息安全人員安全物理安全事件管理安全策略法律合規(guī)開發(fā)安全安全組織資產(chǎn)管理業(yè)務(wù)連續(xù)網(wǎng)絡(luò)安全訪問控制16信息安全無處不在信息安全人員安全物理安全事件管理安全策

一個(gè)軟件公司的老總,等他所有的員工下班之后,他在那兒想:我的企業(yè)到底值多少錢呢？假如它的企業(yè)市值1億,那么此時(shí)此刻,他的企業(yè)就值2600萬。因?yàn)閾?jù)Delphi公司統(tǒng)計(jì),公司價(jià)值的26%體現(xiàn)在固定資產(chǎn)與一些文檔上,而高達(dá)42%的價(jià)值是存儲(chǔ)在員工的腦子里,而這些信息的保護(hù)沒有任何一款產(chǎn)品能夠做得到,因此需要我們建立信息安全管理體系,也就是常說的ISMS！106如何搞好信息安全？一個(gè)軟件公司的老總,等他所有的員工下班之后,他在那107信息在哪里？紙質(zhì)文檔電子文檔員工其他信息介質(zhì)小問題:公司的信息都在哪里？18信息在哪里？紙質(zhì)文檔小問題:公司的信息都在哪里？108小測試:

您離開家每次都關(guān)門不？您離開公司每次都關(guān)門不？您的保險(xiǎn)箱設(shè)密碼不？您的電腦設(shè)密碼不？19小測試:您離開家每次都關(guān)門不？109答案解釋:

假如您記得關(guān)家里的門,而不記得關(guān)公司的門,說明您估計(jì)對公司的安全認(rèn)知度不夠。

假如您記得給保險(xiǎn)箱設(shè)密碼,而不記得給電腦設(shè)密碼,說明您估計(jì)對信息資產(chǎn)安全認(rèn)識不夠。20答案解釋:假如您記得關(guān)家里的門,而不記得關(guān)公司110這就是意識缺乏的兩大結(jié)癥！不看重大公司，更看重小家庭。1家公司2鈔票更順眼，信息無所謂?！?1這就是意識缺乏的兩大結(jié)癥！不看重大公司，更看重小家庭。1111思想上的轉(zhuǎn)變(一)

公司的錢,就是我的錢,只是先放在,老板那里~~~22思想上的轉(zhuǎn)變(一)公司的錢,就是我的錢,老板那112WHY???信息安全搞好了信息安全搞砸了公司賺錢了領(lǐng)導(dǎo)笑了領(lǐng)導(dǎo)怒了公司賠錢了你就“跌”了你就“漲”了23WHY???信息安全搞好了信息安全搞砸了公司賺錢了領(lǐng)導(dǎo)笑113思想上的轉(zhuǎn)變(二)

信息比鈔票更重要,更脆弱,我們更應(yīng)該保護(hù)它。24思想上的轉(zhuǎn)變(二)信息比鈔票更重要,更脆弱114WHY???裝有100萬的保險(xiǎn)箱需要3個(gè)悍匪、公司損失：100萬裝有客戶信息的電腦只要1個(gè)商業(yè)間諜、1個(gè)U盤，就能偷走。公司損失：所有客戶！1輛車，才能偷走。25WHY???裝有100萬的需要3個(gè)悍匪、公司損失：115典型案例26典型案例116安全名言

公司的利益就是自己的利益,不保護(hù)公司,就是不保護(hù)自己。

電腦不僅僅是工具,而是裝有十分重要信息的保險(xiǎn)箱。27安全名言公司的利益就是自己的利益,不保護(hù)公司,就是不保117絕對的安全是不存在的絕對的零風(fēng)險(xiǎn)是不存在的,要想實(shí)現(xiàn)零風(fēng)險(xiǎn),也是不現(xiàn)實(shí)的;計(jì)算機(jī)系統(tǒng)的安全性越高,其可用性越低,需要付出的成本也就越大,一般來說,需要在安全性與可用性,以及安全性與成本投入之間做一種平衡。

在計(jì)算機(jī)安全領(lǐng)域有一句格言:“真正安全的計(jì)算機(jī)是拔下網(wǎng)線,斷掉電源,放置在地下掩體的保險(xiǎn)柜中,并在掩體內(nèi)充滿毒氣,在掩體外安排士兵守衛(wèi)?！憋@然,如此的計(jì)算機(jī)是無法使用的。28絕對的安全是不存在的絕對的零風(fēng)險(xiǎn)是不存在的,要想實(shí)現(xiàn)零風(fēng)118安全是一種平衡29安全是一種平衡119安全是一種平衡安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平關(guān)鍵是實(shí)現(xiàn)成本利益的平衡30安全是一種平衡安全控制的成本安全事件的損失最小化的總成本信息的價(jià)值=使用信息所獲得的收益─獲取信息所用成本信息具備了安全的保護(hù)特性120信息的價(jià)值信息的價(jià)值=使用信息所獲得的收益─獲取信息所用成本3廣義上講領(lǐng)域——涉及到信息的保密性,完整性,可用性,真實(shí)性,可控性的相關(guān)技術(shù)與理論。本質(zhì)上保護(hù)——系統(tǒng)的硬件,軟件,數(shù)據(jù)防止——系統(tǒng)與數(shù)據(jù)遭受破壞,更改,泄露保證——系統(tǒng)連續(xù)可靠正常地運(yùn)行,服務(wù)不中斷兩個(gè)層面技術(shù)層面——防止外部用戶的非法入侵管理層面——內(nèi)部員工的教育與管理121信息安全的定義廣義上講32信息安全的定義122信息安全基本目標(biāo)保密性,完整性,可用性CIAonfidentialityntegrityvailabilityCIA33信息安全基本目標(biāo)保密性,完整性,可用性CIAon123信息生命周期創(chuàng)建傳遞銷毀存儲(chǔ)使用更改34信息生命周期創(chuàng)建傳遞銷毀存儲(chǔ)使用更改124信息產(chǎn)業(yè)發(fā)展迅猛截至2008年7月,我國固定電話已達(dá)到3、55億戶,移動(dòng)電話用戶數(shù)達(dá)到6、08億。截至2008年6月,我國網(wǎng)民數(shù)量達(dá)到了2、53億,成為世界上網(wǎng)民最多的國家,與去年同期相比,中國網(wǎng)民人數(shù)增加了9100萬人,同比增長達(dá)到56、2%。手機(jī)上網(wǎng)成為用戶上網(wǎng)的重要途徑,網(wǎng)民中的28、9%在過去半年曾經(jīng)使用過手機(jī)上網(wǎng),手機(jī)網(wǎng)民規(guī)模達(dá)到7305萬人。2007年電子商務(wù)交易總額已超過2萬億元。目前,全國網(wǎng)站總數(shù)達(dá)192萬,中文網(wǎng)頁已達(dá)84、7億頁,個(gè)人博客/個(gè)人空間的網(wǎng)民比例達(dá)到42、3%。目前,縣級以上96%的政府機(jī)構(gòu)都建立了網(wǎng)站,電子政務(wù)正以改善公共服務(wù)為重點(diǎn),在教育、醫(yī)療、住房等方面,提供便捷的基本公共服務(wù)。35信息產(chǎn)業(yè)發(fā)展迅猛截至2008年7月,我國固定電話已達(dá)到3125信息安全令人擔(dān)憂內(nèi)地企業(yè)44%信息安全事件是數(shù)據(jù)失竊

普華永道最新公布的2008年度全球信息安全調(diào)查報(bào)告顯示,中國內(nèi)地企業(yè)在信息安全管理方面存在滯后,信息安全與隱私保障方面已被印度趕超。數(shù)據(jù)顯示,內(nèi)地企業(yè)44%的信息安全事件與數(shù)據(jù)失竊有關(guān),而全球的平均水平只有16%。普華永道的調(diào)查顯示,中國內(nèi)地企業(yè)在改善信息安全機(jī)制上仍有待努力,從近年安全事件結(jié)果看,中國每年大約98萬美元的財(cái)務(wù)損失,而亞洲國家平均約為75萬美元,印度大約為30、8萬美元。此外,42%的中國內(nèi)地受訪企業(yè)經(jīng)歷了應(yīng)用軟件、系統(tǒng)與網(wǎng)絡(luò)的安全事件。36信息安全令人擔(dān)憂內(nèi)地企業(yè)44%信息安全事件是數(shù)據(jù)失竊126安全事件(1)37安全事件(1)127安全事件(2)38安全事件(2)128安全事件(3)39安全事件(3)129安全事件(4)40安全事件(4)130安全事件(5)41安全事件(5)131安全事件(6)熊貓燒香病毒的制造者-李俊

用戶電腦中毒后估計(jì)會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。同時(shí),該病毒能夠通過局域網(wǎng)進(jìn)行傳播,進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng),最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓,無法正常使用,它能感染系統(tǒng)中exe,,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進(jìn)程同時(shí)會(huì)刪除擴(kuò)展名為gho的文件,該文件是一系統(tǒng)備份工具GHOST的備份文件,使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有、exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。

42安全事件(6)熊貓燒香病毒的制造者-李俊132深度分析43深度分析133如此的情況還有特別多……信息安全迫在眉睫?。。?4如此的情況還有特別多……信息安全關(guān)鍵是做好預(yù)防控制隱患險(xiǎn)于明火！預(yù)防重于救災(zāi)！關(guān)鍵是做好預(yù)防控制隱患險(xiǎn)于明火！135小故事,大啟發(fā)

——信息安全點(diǎn)滴46小故事,大啟發(fā)首先要關(guān)注內(nèi)部人員的安全管理首先要關(guān)注內(nèi)部人員的安全管理信息安全意識培訓(xùn)課件-1382007年11月,集安支行代辦員,周末晚上通過運(yùn)營電腦,將230萬轉(zhuǎn)移到事先辦理的15張卡上,并一夜間在各ATM上取走38萬。周一被發(fā)現(xiàn)。

夜間銀行監(jiān)控設(shè)備未開放,下班后運(yùn)營電腦未上鎖。

事實(shí)上,此前早有人提出過這個(gè)問題,只只是沒有得到重視。492007年11月,集安支行代辦員,周末晚上139典型案例:樂購事件2005年9月7日,上海樂購超市金山店負(fù)責(zé)人到市公安局金山分局報(bào)案稱,該店在盤點(diǎn)貨物時(shí)發(fā)現(xiàn)銷售的貨物與收到的貨款不符,有估計(jì)款物被非法侵吞。上海市公安局經(jīng)偵總隊(duì)與金山分局馬上成立了專案組展開調(diào)查。專案組調(diào)查發(fā)現(xiàn),樂購超市幾家門店貨物缺損率大大超過了業(yè)內(nèi)千分之五的物損比例,缺損的貨物五花八門,油鹽醬醋等日常用品的銷售與實(shí)際收到的貨款差別特別大。依照以往的案例,超市內(nèi)的盜竊行為往往是針對體積小價(jià)值高的化妝品等物,盜竊者特別少光顧油鹽醬醋等生活用品。奇怪的是,在超市的各個(gè)經(jīng)營環(huán)節(jié)并沒有發(fā)現(xiàn)明顯漏洞?？紤]到錢與物最終的流向收銀員是出口,問題特別估計(jì)出在收銀環(huán)節(jié)。警方在調(diào)查中發(fā)現(xiàn),收銀系統(tǒng)軟件的設(shè)計(jì)相對嚴(yán)密,除非是負(fù)責(zé)維護(hù)收銀系統(tǒng)的資訊小組職員與收銀員合謀,才有估計(jì)對營業(yè)款項(xiàng)動(dòng)手腳。經(jīng)過深入調(diào)查,偵查人員發(fā)現(xiàn)超市原有的收銀系統(tǒng)被裝入了一個(gè)攻擊性的補(bǔ)丁程序,只要收銀員輸入口令、密碼,這個(gè)程序會(huì)自動(dòng)運(yùn)行,刪除該營業(yè)員當(dāng)日20％左右的銷售記錄后再將數(shù)據(jù)傳送至?xí)?jì)部門,造成會(huì)計(jì)部門只按實(shí)際營業(yè)額的80％向收銀員收取營業(yè)額。另20％營業(yè)額即可被侵吞。能夠在收銀系統(tǒng)中裝入程序的,負(fù)責(zé)管理、更新、維修超市收銀系統(tǒng)的資訊組工作人員嫌疑最大。

警方順藤摸瓜,挖出一個(gè)包括超市資訊員、收銀員在內(nèi)的近40人的犯罪團(tuán)伙。據(jù)調(diào)查,原樂購超市真北店資訊組組長方元在工作中發(fā)現(xiàn)收銀系統(tǒng)漏洞,設(shè)計(jì)了攻擊性程序,犯罪嫌疑人于琪、朱永春、武侃佳等人利用擔(dān)任樂購超市多家門店資訊工作的便利,將這一程序植入各門店收銀系統(tǒng);犯罪嫌疑人陳煒嘉、陳琦、趙一青等人物色不法人員,經(jīng)培訓(xùn)后通過應(yīng)聘安插到各家門店做收銀員,每日將侵吞贓款上繳到犯罪團(tuán)伙主犯方元、陳煒嘉、陳琦等人手中,團(tuán)伙成員按比例分贓。一年時(shí)間內(nèi),先后侵吞樂購超市真北店、金山店、七寶店374萬余元。犯罪團(tuán)伙個(gè)人按比例分得贓款數(shù)千元至50萬元不等50典型案例:樂購事件2005年9月7日,上海樂購超市金山店關(guān)于員工安全管理的建議

依照不同崗位的需求,在職位描述書中加入安全方面的責(zé)任要求,特別是敏感崗位在招聘環(huán)節(jié)做好人員篩選與背景調(diào)查工作,同時(shí)簽訂適當(dāng)?shù)谋Ｃ軈f(xié)議在新員工培訓(xùn)中專門加入信息安全內(nèi)容工作期間,依照崗位需要,持續(xù)進(jìn)行專項(xiàng)培訓(xùn)通過多種途徑,全面提升員工信息安全意識落實(shí)檢查監(jiān)督與獎(jiǎng)懲機(jī)制員工內(nèi)部轉(zhuǎn)崗應(yīng)做好訪問控制變更控制員工離職,應(yīng)做好交接與權(quán)限撤銷關(guān)于員工安全管理的建議依照不同崗位的需求,在職位描述書中加切不可忽視第三方安全切不可忽視第三方安全1422003年,上海某家為銀行提供ATM服務(wù)的公司,軟件工程師蘇強(qiáng)。利用自助網(wǎng)點(diǎn)安裝調(diào)試的機(jī)會(huì),繞過加密程序Bug,編寫并植入一個(gè)監(jiān)視軟件,記錄用戶卡號、磁條信息與密碼,一個(gè)月內(nèi),記錄下7000條。然后拷貝到自己電腦上,刪掉植入的程序。

后來蘇強(qiáng)去讀研究生,買了白卡與讀卡器,偽造銀行卡,兩年內(nèi)共提取6萬元。只是因?yàn)榕既辉虮话l(fā)現(xiàn),公安機(jī)關(guān)通過檢查網(wǎng)上查詢客戶信息的IP地址追查到蘇強(qiáng),破壞案件。532003年,上海某家為銀行提供ATM服務(wù)143北京移動(dòng)電話充值卡事件31歲的軟件工程師程稚瀚,在華為工作期間,曾為西藏移動(dòng)做過技術(shù)工作,案發(fā)時(shí),在UT斯達(dá)康深圳分公司工作。2005年3月開始,其利用為西藏移動(dòng)做技術(shù)時(shí)使用的密碼(此密碼自程稚瀚離開后一直沒有更改),輕松進(jìn)入了西藏移動(dòng)的服務(wù)器。通過西藏移動(dòng)的服務(wù)器,程稚瀚又跳轉(zhuǎn)到了北京移動(dòng)數(shù)據(jù)庫,取得了數(shù)據(jù)從2005年3月至7月,程稚瀚先后4次侵入北京移動(dòng)數(shù)據(jù)庫,修改充值卡的時(shí)間與金額,將已充值的充值卡狀態(tài)改為未充值,共修改復(fù)制出上萬個(gè)充值卡密碼。他還將盜出的充值卡密碼通過淘寶網(wǎng)出售,共獲利370余萬元。直到2005年7月,由于一次“疏忽”,程稚瀚將一批充值卡售出時(shí),忘了修改使用期限,使用期限仍為90天。購買到這批充值卡的用戶因無法使用便投訴到北京移動(dòng),北京移動(dòng)才發(fā)現(xiàn)有6600張充值卡被非法復(fù)制,馬上報(bào)警。2005年8月24日,程稚瀚在深圳被抓獲,所獲贓款全部起獲。

54北京移動(dòng)電話充值卡事件31歲的軟件工程師程稚瀚,在華為工關(guān)于第三方安全管理的建議

識別所有相關(guān)第三方:服務(wù)提供商,設(shè)備提供商,咨詢顧問,審計(jì)機(jī)構(gòu),物業(yè),保潔等識別所有與第三方相關(guān)的安全風(fēng)險(xiǎn),不管是牽涉到物理訪問依然邏輯訪問在沒有采取必要控制措施,包括簽署相關(guān)協(xié)議之前,不應(yīng)該授權(quán)給外部伙伴訪問。應(yīng)該讓外部伙伴意識到其責(zé)任與必須遵守的規(guī)定在與第三方簽訂協(xié)議時(shí)特別提出信息安全方面的要求,特別是訪問控制要求對第三方實(shí)施有效的監(jiān)督,定期Review服務(wù)交付關(guān)于第三方安全管理的建議識別所有相關(guān)第三方:服務(wù)提供商,設(shè)物理環(huán)境中需要信息安全物理環(huán)境中需要信息安全在自助銀行入口刷卡器下方粘上一個(gè)黑色小方塊，叫“讀卡器”，罩上一個(gè)加長的“殼”，把銀行的刷卡器和讀卡器一起藏在里面，一般人很難發(fā)現(xiàn)。取款人在刷卡進(jìn)門時(shí)，銀行卡上的全部信息就一下被刷進(jìn)了犯罪分子的讀卡器上。在取款機(jī)窗口內(nèi)側(cè)頂部,粘上一個(gè)貼著“ATM”字樣的“發(fā)光燈”。這個(gè)“發(fā)光燈”是經(jīng)過特別改造的,里面用一塊手機(jī)電池做電源,連接兩個(gè)燈泡,核心部分則是一個(gè)MP4。取款人取款時(shí)的全過程被犯罪分子裝的“針孔攝像機(jī)”進(jìn)行了“實(shí)況錄像”。ATM詐騙三部曲取款人一走,犯罪分子馬上收“家伙”進(jìn)車,先把MP4連上筆記本電腦,回放錄像記下取錢人按下的密碼,接著再連上讀卡器,同時(shí)再在電腦上連上一個(gè)叫“寫卡器”的長條形東西。這時(shí),他們隨便拿出一張卡,不管是澡堂充值卡,依然超市禮品卡,只要是帶磁條的,只要在寫卡器里過一下,此卡就被成功“克隆”成一張“有實(shí)無名”的銀行卡了。在自助銀行入口刷卡器下方粘上一個(gè)黑色小方塊，叫“讀卡器”，罩您的供電系統(tǒng)確實(shí)萬無一失？是一路電依然兩路電？兩路電是否一定是兩個(gè)輸電站？有沒有UPS？UPS能維持多久？有沒有備用發(fā)電機(jī)組？備用發(fā)電機(jī)是否有充足的油料儲(chǔ)備？您的供電系統(tǒng)確實(shí)萬無一失？是一路電依然兩路電？另一個(gè)與物理安全相關(guān)的案例時(shí)間:2002年某天夜里地點(diǎn):A公司的數(shù)據(jù)中心大樓人物:一個(gè)普通的系統(tǒng)管理員

一個(gè)普通的系統(tǒng)管理員,利用看似簡單的方法,就進(jìn)入了需要門卡認(rèn)證的數(shù)據(jù)中心……

————

來自國外某論壇的激烈討論另一個(gè)與物理安全相關(guān)的案例時(shí)間:2002年某天夜里一情況是如此的……A公司的數(shù)據(jù)中心是重地,設(shè)立了嚴(yán)格的門禁制度,要求必須插入門卡才能進(jìn)入。只是,出來時(shí)特別簡單,數(shù)據(jù)中心一旁的動(dòng)作探測器會(huì)檢測到有人朝出口走去,門會(huì)自動(dòng)打開數(shù)據(jù)中心有個(gè)系統(tǒng)管理員張三君,這天晚上加班到特別晚,中間離開數(shù)據(jù)中心出去夜宵,可返回時(shí)發(fā)現(xiàn)自己被鎖在了外面,門卡落在里面了,四周別無他人,一片靜寂張三急需今夜加班,可他又不想打擾他人,如何辦？情況是如此的……A公司的數(shù)據(jù)中心是重地,設(shè)立了嚴(yán)格的門一點(diǎn)線索:昨天曾在接待區(qū)慶祝過某人一輩子日,現(xiàn)場還未清理干凈,遺留下特別多雜物,哦,還有氣球……一點(diǎn)線索:聰明的張三想出了妙計(jì)……①張三找到一個(gè)氣球，放掉氣②張三面朝大門入口趴下來,把氣球塞進(jìn)門里,只留下氣球的嘴在門的這邊③張三在門外吹氣球，氣球在門內(nèi)膨脹，然后，他釋放了氣球……④由于氣球在門內(nèi)彈跳，觸發(fā)動(dòng)作探測器，門終于開了聰明的張三想出了妙計(jì)……①張三找到一個(gè)氣球，放掉氣②問題出在哪里……

假如門與地板齊平且沒有縫隙,就可不能出如此的事

假如動(dòng)作探測器的靈敏度調(diào)整到不對快速放氣的氣球作出反應(yīng),也可不能出此事

當(dāng)然,假如根本就不使用動(dòng)作探測器來從里面開門,這種情況同樣可不能發(fā)生問題出在哪里……假如門與地板齊平且沒有縫隙,就可不能出總結(jié)教訓(xùn)……

盡管是偶然事件,也沒有直截了當(dāng)危害,然而潛在風(fēng)險(xiǎn)既是物理安全的問題,更是管理問題切記！有時(shí)候自以為是的安全,恰恰是最不安全！物理安全特別關(guān)鍵！總結(jié)教訓(xùn)……盡管是偶然事件,也沒有直截了當(dāng)危害,然而潛關(guān)于物理安全的建議

將敏感設(shè)備與信息放置在受控的安全區(qū)域所有到受控區(qū)域的入口都應(yīng)該加鎖、設(shè)置門衛(wèi),或者以某種方式進(jìn)行監(jiān)視,并做好進(jìn)出登記假如進(jìn)出需要ID徽章,請隨身帶好,嚴(yán)禁無證進(jìn)入鑰匙與門卡僅供本人使用,不要交給他人使用嚴(yán)格控制帶存儲(chǔ)與攝像功能的手持設(shè)備的使用使用公共區(qū)域的打印機(jī)、傳真機(jī)、復(fù)印機(jī)時(shí),一定不要遺留敏感文件

移動(dòng)電腦是惡意者經(jīng)常關(guān)注的目標(biāo),一定要注意保護(hù)使用碎紙機(jī),謹(jǐn)防敏感文件通過垃圾簍而泄漏假如發(fā)現(xiàn)可疑情況,請馬上報(bào)告關(guān)于物理安全的建議將敏感設(shè)備與信息放置在受控的安全區(qū)域日常工作需特別留意信息安全日常工作需特別留意信息安全156移動(dòng)介質(zhì)管控的要求與落實(shí)脫節(jié)“擺渡攻擊”

涉密網(wǎng)絡(luò)中的泄密現(xiàn)象67移動(dòng)介質(zhì)管控的要求與落實(shí)脫節(jié)關(guān)于口令的一些調(diào)查結(jié)果

一個(gè)有趣的調(diào)查發(fā)現(xiàn),假如您用一條巧克力來作為交換,有70％的人樂意告訴您他(她)的口令有34％的人,甚至不需要賄賂,就可奉獻(xiàn)自己的口令另據(jù)調(diào)查,有79％的人,在被提問時(shí),會(huì)無意間泄漏足以被用來竊取其身份的信息姓名、寵物名、生日、球隊(duì)名最常被用作口令平均每人要記住四個(gè)口令,大多數(shù)人都習(xí)慣使用相同的口令(在特別多需要口令的地方)

33％的人選擇將口令寫下來,然后放到抽屜或夾到文件里關(guān)于口令的一些調(diào)查結(jié)果一個(gè)有趣的調(diào)查發(fā)現(xiàn),假如您用一條巧克什么樣的口令是比較脆弱的？

少于8個(gè)字符單一的字符類型,例如只用小寫字母,或只用數(shù)字用戶名與口令相同最常被人使用的弱口令:自己、家人、朋友、親戚、寵物的名字生日、結(jié)婚紀(jì)念日、電話號碼等個(gè)人信息工作中用到的專業(yè)術(shù)語,職業(yè)特征字典中包含的單詞,或者只在單詞后加簡單的后綴所有系統(tǒng)都使用相同的口令口令一直不變什么樣的口令是比較脆弱的？少于8個(gè)字符口令安全建議

應(yīng)該設(shè)置強(qiáng)口令口令應(yīng)該經(jīng)常更改,比如3個(gè)月不同的系統(tǒng)或場所應(yīng)使用不同的口令一定要即刻更改系統(tǒng)的缺省或初始化口令不要與任何人共享您的口令不要把口令寫在紙上不要把口令存儲(chǔ)在計(jì)算機(jī)文件中輸入口令時(shí)嚴(yán)防有人偷看假如有人在電話中向您索取口令,拒絕后馬上報(bào)告假如發(fā)覺有人獲知您的口令,馬上改變它口令安全建議應(yīng)該設(shè)置強(qiáng)口令從一點(diǎn)一滴做起！從自身做起！從一點(diǎn)一滴做起！從自身做起！161IT安全問題1、一般情況下,個(gè)人計(jì)算機(jī)在()

分鐘的非活動(dòng)狀態(tài)里要求自動(dòng)激活屏幕鎖定A、5分鐘B、10分鐘C、15分鐘D、30分鐘72IT安全問題1、一般情況下,個(gè)人計(jì)算機(jī)在()分鐘162IT安全問題2、下列說法錯(cuò)誤的是()A、個(gè)人計(jì)算機(jī)操作系統(tǒng)必須設(shè)置口令。B、在每天工作結(jié)束時(shí),將便攜電腦妥善保管,如鎖入文件柜。C、離開自己的計(jì)算機(jī)時(shí),必須激活具有密碼保護(hù)的屏幕保護(hù)程序。D、為方便第二天工作,下班后能夠不用關(guān)閉計(jì)算機(jī)。73IT安全問