《银行信息安全意识培训课件ppt.ppt》由会员分享,可在线阅读,更多相关《银行信息安全意识培训课件ppt.ppt(91页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么信息技术部信息技术部2019年7月银行信息安全意识交流银行信息安全意识交流在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么 建立建立对对信息安全的敏感意信息安全的敏感意识识和正确和正确认识认识 掌握信息安全的基本概念、原掌握信息安全的基本概念、原则则和和惯惯例例 清楚可能面清楚可能面临临的威的威胁胁和和风险风险 遵守各遵守各项项安全策略和制度安全策略和制度 在日常工作中养成良好的安全在日常工作中养成良好的安全习惯习惯 最最终终提升整体的
2、信息安全水平提升整体的信息安全水平2我们的我们的我们的我们的目标目标目标目标在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么 1、国内多家银行网银用户遭到大规模钓鱼攻击,损失巨大;2、RSA遭黑客攻击,主流身份认证产品SecureID的重要信息泄漏,导致美国多家军工企业信息系统受到严重威胁;3、LulzSec成功袭击了中央情报局,美国参议院,任天堂,索尼等多家机构,引起国际社会广泛关注;4、花旗银行网站遭遇黑客 20万信用卡用户信息被盗;5、由于南海领土纠纷引起中越黑客相互攻击对方重要网站;6、韩国农协银行遭遇攻击导致系统长时间瘫痪及大量
3、交易数据丢失;7、美联合航空电脑故障,全国服务大乱;8、腾讯网大面积访问异常;9、新浪微博病毒大范围传播;10、Comodo等多家证书机构遭到攻击,攻击者得以伪造google等多家知名网站证书,使互联网安全遭遇严重威胁;在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么4在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么5高枕高枕高枕高枕无忧无忧无忧无忧惨痛惨痛惨痛惨痛教训教训教训教训补丁管理补丁管理补丁管理补丁管理应用安全应用安全应用安全应用安全数据加密数据加密数据加密数据加密隐私防范
4、隐私防范隐私防范隐私防范拒绝服务攻击拒绝服务攻击拒绝服务攻击拒绝服务攻击集中管理集中管理集中管理集中管理移动存储移动存储移动存储移动存储钓鱼劫持钓鱼劫持钓鱼劫持钓鱼劫持恶意代码恶意代码恶意代码恶意代码无线攻击无线攻击无线攻击无线攻击在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么6Windows XP/7Windows XP/7如果我是黑客如果我是黑客如果我是黑客如果我是黑客1 1 1 1、绝大多数笔记本电脑都、绝大多数笔记本电脑都、绝大多数笔记本电脑都、绝大多数笔记本电脑都内置麦克风内置麦克风内置麦克风内置麦克风且处且处且处且处于于于于
5、开启开启开启开启状态;状态;状态;状态;2 2 2 2、开启、开启、开启、开启录音录音录音录音功能;功能;功能;功能;3 3 3 3、录制录制录制录制所需内容并将其放置于所需内容并将其放置于所需内容并将其放置于所需内容并将其放置于某某某某WebWebWebWeb页面页面页面页面之之之之上:上:上:上:4.4.4.4.开启所有笔记本的摄像头,并把录像放置开启所有笔记本的摄像头,并把录像放置开启所有笔记本的摄像头,并把录像放置开启所有笔记本的摄像头,并把录像放置于于于于某某某某WebWeb页面页面页面页面之上:之上:之上:之上:在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费
6、,也许你认为浪费这一点点算不了什么7 信息资产信息资产信息资产信息资产拒绝服务拒绝服务拒绝服务拒绝服务流氓软件流氓软件流氓软件流氓软件黑客渗透黑客渗透黑客渗透黑客渗透内部人员威胁内部人员威胁内部人员威胁内部人员威胁木马后门木马后门木马后门木马后门病毒和蠕虫病毒和蠕虫病毒和蠕虫病毒和蠕虫社会工程社会工程社会工程社会工程系统漏洞系统漏洞硬件故障硬件故障硬件故障硬件故障网络通信故障网络通信故障网络通信故障网络通信故障供电中断供电中断供电中断供电中断失火失火失火失火雷雨雷雨地震地震地震地震威胁威胁威胁威胁无处不在无处不在无处不在无处不在在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在
7、浪费,也许你认为浪费这一点点算不了什么8外部外部外部外部威胁威胁威胁威胁在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么9黑客攻击黑客攻击黑客攻击黑客攻击基本手法基本手法基本手法基本手法在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么10uu 病从口入病从口入病从口入病从口入uu天天天天时时 地利地利地利地利 人和人和人和人和员工误操作员工误操作员工误操作员工误操作员工误操作员工误操作蓄意破坏蓄意破坏蓄意破坏蓄意破坏职责权限混淆职责权限混淆职责权限混淆职责权限混淆职责权限混淆职责权限
8、混淆内部内部内部内部威胁威胁威胁威胁在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么11 技术技术技术技术弱点弱点弱点弱点 操作操作操作操作弱点弱点弱点弱点 管理管理管理管理弱点弱点弱点弱点系系统统、程序、程序、设备设备中存在的漏洞或缺陷中存在的漏洞或缺陷配置、操作和使用中的缺陷,包括人配置、操作和使用中的缺陷,包括人员员的不良的不良习习惯惯、审计审计或或备备份份过过程的不当等程的不当等策略、程序、策略、程序、规规章制度、人章制度、人员员意意识识、组织结组织结构等构等方面的不足方面的不足自身自身自身自身弱点弱点弱点弱点在日常生活中,随处都
9、可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么12uu 将口令写在便将口令写在便签签上,上,贴贴在在电脑监视电脑监视器旁器旁uu 开着开着电脑电脑离开,就像离开家却忘离开,就像离开家却忘记记关灯那关灯那样样uu 轻轻易相信来自陌生人的易相信来自陌生人的邮邮件,好奇打开件,好奇打开邮邮件附件件附件uu 使用容易猜使用容易猜测测的口令,或者根本不的口令,或者根本不设设口令口令uu 丢丢失笔失笔记记本本电脑电脑uu 不能保守秘密,口无遮不能保守秘密,口无遮拦拦,上当受,上当受骗骗,泄漏敏感信息,泄漏敏感信息uu 随便随便拨拨号上网,或者随意将无关号上网,或者随意
10、将无关设备连设备连入公司网入公司网络络uu 事不关己,高高挂起,不事不关己,高高挂起,不报报告安全事件告安全事件uu 在系在系统统更新和安装更新和安装补补丁上丁上总总是行是行动迟缓动迟缓uu 只关注外来的威只关注外来的威胁胁,忽,忽视视企企业业内部人内部人员员的的问题问题uu 会后不擦黑板,会会后不擦黑板,会议资议资料随意放置在会料随意放置在会场场最常犯的一些最常犯的一些最常犯的一些最常犯的一些错误错误错误错误在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么13uu 信息信息信息信息资产资产对对我我我我们们很重要,是要保很重要,是要保很重
11、要,是要保很重要,是要保护护的的的的对对象象象象uu威威威威胁胁就像就像就像就像苍蝇苍蝇一一一一样样,挥挥之不去,之不去,之不去,之不去,无所不在无所不在无所不在无所不在uu资产资产自身又有各种自身又有各种自身又有各种自身又有各种弱点弱点弱点弱点,给给威威威威胁胁带带来来来来可乘之机可乘之机可乘之机可乘之机uu面面面面临临各种各种各种各种风险风险,一旦,一旦,一旦,一旦发发生就成生就成生就成生就成为为安全事件、事故安全事件、事故安全事件、事故安全事件、事故保持清醒保持清醒保持清醒保持清醒认识认识认识认识在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点
12、点算不了什么14严防威胁严防威胁严防威胁严防威胁消减弱点消减弱点消减弱点消减弱点应急响应应急响应应急响应应急响应保护资产保护资产保护资产保护资产熟悉熟悉熟悉熟悉熟悉熟悉潜在的潜在的潜在的潜在的潜在的潜在的安全问题安全问题安全问题安全问题安全问题安全问题知道知道知道知道知道知道怎样怎样怎样怎样怎样怎样防止防止防止防止防止防止其发生其发生其发生其发生其发生其发生明确明确明确明确明确明确发生后如何发生后如何发生后如何发生后如何发生后如何发生后如何应对应对应对应对应对应对我们我们我们我们应该应该应该应该在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了
13、什么15理解理解理解理解和和和和铺垫铺垫铺垫铺垫基本概念基本概念基本概念基本概念在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么16uu 消息、信号、数据、情报和知识消息、信号、数据、情报和知识uu 信息本身是无形的,借助于信息媒体以多种形式存在或传播:信息本身是无形的,借助于信息媒体以多种形式存在或传播:存存储储在在计计算机、磁算机、磁带带、纸张纸张等介等介质质中中 记忆记忆在人的大在人的大脑脑里里 通通过过网网络络、打印机、打印机、传传真机等方式真机等方式进进行行传传播播uu 信息借助媒体而存在,对现代企业来说具有价值,就成为信息借助
14、媒体而存在,对现代企业来说具有价值,就成为信息资产信息资产信息资产信息资产:计计算机和网算机和网络络中的数据中的数据 硬件、硬件、软软件、文档件、文档资资料料 关关键键人人员员 组织组织提供的服提供的服务务uu 具有价值的信息资产面临诸多威胁,需要妥善保护具有价值的信息资产面临诸多威胁,需要妥善保护InformationInformation什么是什么是什么是什么是信息信息信息信息在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么17 采取措施保护信息资产,使采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受之不因偶然或者恶意侵犯而遭受破
15、坏、更改及泄露,保证信息系破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减使安全事件对业务造成的影响减到最小,确保组织业务运行的连到最小,确保组织业务运行的连续性。续性。什么是什么是什么是什么是信息安全信息安全信息安全信息安全在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么18CIAOnfidentiality(机密性)(机密性)Ntegrity(完整性)(完整性)Vailability(可用(可用性)性)CIACIA信息安全信息安全信息安全信息安全基本目标基本目标基本目
16、标基本目标在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么19ConfidentialityConfidentialityIntegrityIntegrityAvailabilityAvailabilityInformationInformation管理者的管理者的管理者的管理者的最终目标最终目标最终目标最终目标在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么20因果因果因果因果关系关系关系关系在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一
17、点点算不了什么21uu 物理安全物理安全:环环境安全、境安全、设备设备安全、媒体安全安全、媒体安全uu 系系统统安全安全:操作系:操作系统统及数据及数据库库系系统统的安全性的安全性uu 网网络络安全安全:网:网络络隔离、隔离、访问访问控制、控制、VPNVPN、入侵、入侵检测检测、扫扫描描评评估估uu 应应用安全用安全:EmailEmail安全、安全、WebWeb访问访问安全、内容安全、内容过滤过滤、应应用系用系统统安全安全uu 数据加密数据加密:硬件和:硬件和软软件加密,件加密,实现实现身份身份认证认证和数据信息的和数据信息的CIACIA特性特性uu 认证认证授授权权:口令:口令认证认证、SS
18、OSSO认证认证(例如(例如KerberosKerberos)、)、证书认证证书认证等等uu 访问访问控制控制:防火:防火墙墙、访问访问控制列表等控制列表等uu 审计审计跟踪跟踪:入侵:入侵检测检测、日志、日志审计审计、辨析取、辨析取证证uu 防防杀杀病毒病毒:单单机防病毒技机防病毒技术术逐逐渐发渐发展成整体防病毒体系展成整体防病毒体系uu 灾灾备备恢复恢复:业务连续业务连续性,前提就是性,前提就是对对数据的数据的备备份份技术技术技术技术手段手段手段手段在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么22uu在可用性(在可用性(在可用性(
19、在可用性(UsabilityUsability)和安全性()和安全性()和安全性()和安全性(SecuritySecurity)之)之)之)之间间是一种是一种是一种是一种相反的关系相反的关系相反的关系相反的关系uu提高了安全性,相提高了安全性,相提高了安全性,相提高了安全性,相应应地就降低了易用性地就降低了易用性地就降低了易用性地就降低了易用性uu而要提高安全性,又而要提高安全性,又而要提高安全性,又而要提高安全性,又势势必增大成本必增大成本必增大成本必增大成本uu管理者管理者管理者管理者应应在二者之在二者之在二者之在二者之间间达成一种可接受的平衡达成一种可接受的平衡达成一种可接受的平衡达成一
20、种可接受的平衡安全安全安全安全 vs.vs.可用可用可用可用平衡之道平衡之道平衡之道平衡之道在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么23计计算机安全算机安全算机安全算机安全领领域一句格言:域一句格言:域一句格言:域一句格言:“真正安全的真正安全的真正安全的真正安全的计计算机是拔下算机是拔下算机是拔下算机是拔下网网网网线线,断掉,断掉,断掉,断掉电电源,放在地下掩体源,放在地下掩体源,放在地下掩体源,放在地下掩体的保的保的保的保险险柜中,并在掩体内充柜中,并在掩体内充柜中,并在掩体内充柜中,并在掩体内充满满毒毒毒毒气,在掩体外安排士
21、兵守气,在掩体外安排士兵守气,在掩体外安排士兵守气,在掩体外安排士兵守卫卫。”绝对绝对绝对绝对的的的的安全安全安全安全是是是是不存在不存在不存在不存在的!的!的!的!在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么24uu 技技术术是信息安全的构筑材料,管理是真正的粘合是信息安全的构筑材料,管理是真正的粘合剂剂和催化和催化剂剂uu 信息安全管理构成了信息安全具有能信息安全管理构成了信息安全具有能动动性的部分,是指性的部分,是指导导和控制和控制组织组织的关于信息安全的关于信息安全风险风险的相互的相互协调协调的活的活动动 uu 现实现实世界里
22、大多数安全事件的世界里大多数安全事件的发发生和安全生和安全隐隐患的存在,与其患的存在,与其说说是是技技术术上的原因,不如上的原因,不如说说是管理不善造成的是管理不善造成的uu 理解并重理解并重视视管理管理对对于信息安全的关于信息安全的关键键作用,作用,对对于真正于真正实现实现信息安信息安全目全目标标尤其重要尤其重要uu 唯有信息安全管理工作活唯有信息安全管理工作活动动持持续续而周期性的推而周期性的推动动作用方能真正将作用方能真正将信息安全意信息安全意识贯彻识贯彻落落实实三分技术,七分管理!三分技术,七分管理!关键关键关键关键点:点:点:点:信息安全管理信息安全管理信息安全管理信息安全管理在日常
23、生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么25务必务必务必务必重视重视重视重视信息安全管理信息安全管理信息安全管理信息安全管理加强加强加强加强信息安全建设工作信息安全建设工作信息安全建设工作信息安全建设工作管理层管理层管理层管理层:信息安全意识:信息安全意识:信息安全意识:信息安全意识要点要点要点要点在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么26 安全不是产品的简单堆积,安全不是产品的简单堆积,也不是一次性的静态过程,也不是一次性的静态过程,它是它是人员人员、技术技术、操作操作
24、三者三者紧密结合的系统工程,是不紧密结合的系统工程,是不断断演进演进、循环循环发展的发展的动态过动态过程程如何如何如何如何正确认识正确认识正确认识正确认识信息安全信息安全信息安全信息安全在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么27重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及
25、第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规重重要要信信息息的的保保密密在日常生活中,
26、随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么28OwnerOwner数据的属主(数据的属主(OM/PM)决定所属数据的敏感级别决定所属数据的敏感级别确定必要的保护措施确定必要的保护措施最终批准并最终批准并Review用户访问权用户访问权限限CustodianCustodian受受Owner委托管理数据委托管理数据通常是通常是IT人员或部门系统(数据)管理员人员或部门系统(数据)管理员向向Owner提交访问申请并按提交访问申请并按Owner授意为用户授权授意为用户授权执行数据保护措施,实施日常维护和管理执行数据保护措施,实施日常维护和管理UserUs
27、er公司或第三方职员公司或第三方职员因工作需要而请求访问数据因工作需要而请求访问数据遵守安全规定和控制遵守安全规定和控制报告安全事件和隐患报告安全事件和隐患资产责任划分资产责任划分资产责任划分资产责任划分在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么29PublicPublic公公公公开开开开Internal UseInternal Use内内内内部公开部公开部公开部公开ConfidencialConfidencial秘密秘密秘密秘密SecretSecret机密、绝密机密、绝密机密、绝密机密、绝密缺省缺省缺省缺省信息信息信息信息保密级别
28、保密级别保密级别保密级别划分划分划分划分在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么30uu 根据需要,在合同或个人根据需要,在合同或个人根据需要,在合同或个人根据需要,在合同或个人协议协议中明确安全方面的承中明确安全方面的承中明确安全方面的承中明确安全方面的承诺诺和要求;和要求;和要求;和要求;uu 明确与客明确与客明确与客明确与客户进户进行数据交接的人行数据交接的人行数据交接的人行数据交接的人员责员责任,控制客任,控制客任,控制客任,控制客户户数据使用及分数据使用及分数据使用及分数据使用及分发发;uu 明确非明确非明确非明确非业务
29、业务部部部部门门在授在授在授在授权权使用客使用客使用客使用客户户数据数据数据数据时时的保的保的保的保护责护责任;任;任;任;uu 基于基于基于基于业务业务需要,主管决定是否需要,主管决定是否需要,主管决定是否需要,主管决定是否对对重要数据重要数据重要数据重要数据进进行加密保行加密保行加密保行加密保护护;uu 禁止将客禁止将客禁止将客禁止将客户户数据或客数据或客数据或客数据或客户标识户标识用于非用于非用于非用于非项项目相关的目相关的目相关的目相关的场场合如培合如培合如培合如培训训材料;材料;材料;材料;uu 客客客客户现场户现场的工作人的工作人的工作人的工作人员员,严严格遵守客格遵守客格遵守客格
30、遵守客户户PolicyPolicy,妥善保,妥善保,妥善保,妥善保护护客客客客户户数数数数据;据;据;据;uu 打印件打印件打印件打印件应设应设置置置置标识标识,及,及,及,及时时取回,并妥善保存或取回,并妥善保存或取回,并妥善保存或取回,并妥善保存或处处理。理。理。理。数据保护数据保护数据保护数据保护安全(举例)安全(举例)安全(举例)安全(举例)在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么数据恢复数据恢复技技术:数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以还原的过程。U盘或计算机硬盘存储的数据即使已被删除或进行格
31、式化处理,使用专用软件仍能将其恢复,这种方法也因此成为窃密的手段之一。例如,窃密者使用从互联网下载的恢复软件对目标计算机的已被格式化的U盘进行格式化恢复操作后,即可成功的恢复原有文件。安全事件安全事件 香港某明星曾托助手将其手提电脑,送到一间计算机公司维修,其后有人把计算机中已经删除的照片恢复后制作成光盘,发放予朋友及其它人士观赏。在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么32重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安
32、全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计
33、划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规信信息息交交换换与与备备份份在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么33uu信息交信息交信息交信息交换换原原原原则则:uu明确要交明确要交明确要交明确要交换换信息的敏感信息的敏感信息的敏感信息的敏感级别级别,除了,除了,除了,除了显显著著著著标标注外,根据其敏感注外,根据其敏感注外,根据其敏感注外,根据其敏感级别级别采取合适的保采取合适的保采取合适的保采取合适的保护护措施措施措施措施uu信息信息信息信息发发送者和接收者有送者和
34、接收者有送者和接收者有送者和接收者有责责任遵守信息交任遵守信息交任遵守信息交任遵守信息交换换要求要求要求要求uu物理介物理介物理介物理介质传输质传输:uu与快与快与快与快递递公司公司公司公司签签署不署不署不署不扩扩散散散散协议协议,识别丢识别丢失失失失风险风险,采取必要的控制措施,采取必要的控制措施,采取必要的控制措施,采取必要的控制措施uu电电子子子子邮邮件和互件和互件和互件和互联联网信息交网信息交网信息交网信息交换换uu明确不可涉及敏感数据,如客明确不可涉及敏感数据,如客明确不可涉及敏感数据,如客明确不可涉及敏感数据,如客户户信息、信息、信息、信息、订单订单合同等信息合同等信息合同等信息合
35、同等信息uu如必如必如必如必须须交交交交换换此此此此类类信息,需申信息,需申信息,需申信息,需申请请主管批准并采取加密主管批准并采取加密主管批准并采取加密主管批准并采取加密传输传输措施或其它保措施或其它保措施或其它保措施或其它保护护机制机制机制机制uu文件共享:文件共享:文件共享:文件共享:uu包括包括包括包括ConfidentialConfidential(机密性)在内的高(机密性)在内的高(机密性)在内的高(机密性)在内的高级别级别的信息不能被的信息不能被的信息不能被的信息不能被发发布于公共区域布于公共区域布于公共区域布于公共区域 uu所有共享文件所有共享文件所有共享文件所有共享文件应应按
36、照按照按照按照规则规则放置在相放置在相放置在相放置在相应应的文件服的文件服的文件服的文件服务务器目器目器目器目录录中,任何人不得在其个人中,任何人不得在其个人中,任何人不得在其个人中,任何人不得在其个人电脑电脑中中中中开开开开设设共享。共享。共享。共享。uu共享文件共享文件共享文件共享文件夹应该设夹应该设置恰当的置恰当的置恰当的置恰当的访问访问控制,禁止向所有用控制,禁止向所有用控制,禁止向所有用控制,禁止向所有用户赋户赋予完全予完全予完全予完全访问权访问权限限限限uu临时临时共享的文件事后共享的文件事后共享的文件事后共享的文件事后应应予以予以予以予以删删除除除除信息交换信息交换信息交换信息交
37、换安全(举例)安全(举例)安全(举例)安全(举例)在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么34uu通通通通过传过传真真真真发发送机密信息送机密信息送机密信息送机密信息时时,应应提前通知接收者并确保号提前通知接收者并确保号提前通知接收者并确保号提前通知接收者并确保号码码正确正确正确正确uu不允不允不允不允许许在公共区域用移在公共区域用移在公共区域用移在公共区域用移动电话谈论动电话谈论机密信息机密信息机密信息机密信息uu不允不允不允不允许许在公共区域与人在公共区域与人在公共区域与人在公共区域与人谈论谈论机密信息机密信息机密信息机密信息
38、uu不允不允不允不允许许通通通通过电过电子子子子邮邮件或件或件或件或IMIM工具交工具交工具交工具交换账换账号和口令信息号和口令信息号和口令信息号和口令信息uu不允不允不允不允许许借助公司借助公司借助公司借助公司资资源做非工作相关的信息交源做非工作相关的信息交源做非工作相关的信息交源做非工作相关的信息交换换uu不允不允不允不允许许通通通通过过IMIM工具工具工具工具传输传输文件文件文件文件信息交换信息交换信息交换信息交换安全(举例:续)安全(举例:续)安全(举例:续)安全(举例:续)在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么35uu
39、重要信息系重要信息系重要信息系重要信息系统应统应支持全支持全支持全支持全备备份、差量份、差量份、差量份、差量备备份和增量份和增量份和增量份和增量备备份份份份uuITIT部部部部门门提供提供提供提供备备份所需的技份所需的技份所需的技份所需的技术术支持和必要的培支持和必要的培支持和必要的培支持和必要的培训训uu属主属主属主属主应该应该确保确保确保确保备备份成功并定期份成功并定期份成功并定期份成功并定期检查检查日志,根据需要,日志,根据需要,日志,根据需要,日志,根据需要,实实施施施施测试测试以以以以验证备验证备份效率和效力份效率和效力份效率和效力份效率和效力信息备份信息备份信息备份信息备份安全(举
40、例)安全(举例)安全(举例)安全(举例)在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么36重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安
41、全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规软软件件应应用用安安全全在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么37安全培训安全培训安全计划启动安全计划启动并并统一注册统一
42、注册安全设计安全设计最佳做法最佳做法安全体系结构安全体系结构和攻击面审核和攻击面审核使用安全开发使用安全开发工具以及工具以及安全开发和安全开发和测试最佳做法测试最佳做法创建产品创建产品安全文档安全文档和工具和工具准备安全准备安全响应计划响应计划安全推动安全推动活动活动 渗透渗透 测试测试 最终最终安全安全审核审核安全维护安全维护和和响应执行响应执行功能列表功能列表质量指导原则质量指导原则体系结构文档体系结构文档日程表日程表设计规范设计规范测试和验证测试和验证编写新代码编写新代码故障修复故障修复代码签发代码签发+Checkpoint Press 签发签发RTM产品支持产品支持服务包服务包/QFE
43、 安全更新安全更新需求需求设计设计实施实施验证验证发行发行支持和维护支持和维护威胁建模威胁建模功能规范功能规范传统软件开发生命周期的任务和流程传统软件开发生命周期的任务和流程传统软件开发生命周期的任务和流程传统软件开发生命周期的任务和流程软件应用软件应用软件应用软件应用安全(方法论)安全(方法论)安全(方法论)安全(方法论)在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么38软件应用软件应用软件应用软件应用安全(举例)安全(举例)安全(举例)安全(举例)uu 开开开开发发相关相关相关相关软软件,件,件,件,业务业务和技和技和技和技术术部部
44、部部门门做需求做需求做需求做需求评评估,估,估,估,ITIT相关相关相关相关软软件由件由件由件由ITIT部部部部门负门负责责uu 评评估估估估结结果提交果提交果提交果提交专专家委家委家委家委员员会会会会审审核,确定是否采核,确定是否采核,确定是否采核,确定是否采购购、外包或自行开、外包或自行开、外包或自行开、外包或自行开发发uu ITIT资产资产管理部管理部管理部管理部门负责对门负责对新新新新软软件登件登件登件登记记注册并注册并注册并注册并标标注注注注uu 软软件安装之前件安装之前件安装之前件安装之前应应确保其确保其确保其确保其处处于安全状于安全状于安全状于安全状态态(如:无流氓插件、病毒、(
45、如:无流氓插件、病毒、(如:无流氓插件、病毒、(如:无流氓插件、病毒、LicenseLicense合法等)合法等)合法等)合法等)uu 软软件件件件LicenseLicense管理管理管理管理应应由由由由专专人人人人负责负责uu 软软件若需更新,件若需更新,件若需更新,件若需更新,应应提出申提出申提出申提出申请请,经评经评估确估确估确估确认认后才能后才能后才能后才能实实施,并施,并施,并施,并进进行行行行记录记录uu 软软件使用到期,件使用到期,件使用到期,件使用到期,应应卸卸卸卸载软载软件件件件在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不
46、了什么39重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮
47、件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规计计算算机机网网络络访访问问在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么40uu 访问访问控制基本原控制基本原则则:未:未经经明确允明确允许许即即为为禁止禁止访问访问uu 必必须须通通过过唯一注册的用唯一注册的用户户IDID来控制用来控制用户对户对网网络络的的访问访
48、问uu 系系统统管理管理员员必必须须确保用确保用户访问户访问基于基于最小特最小特权权原原则则授授权权uu 用用户户必必须须根据要求使用口令并保守秘密根据要求使用口令并保守秘密uu 系系统统管理管理员员必必须对须对用用户访问权户访问权限限进进行行检查检查,防止,防止滥滥用用uu 系系统统管理管理员员必必须须确保网确保网络络服服务务可用可用uu 系系统统管理管理员员必必须须根据安全制度要求定根据安全制度要求定义访问义访问控制控制规则规则,用,用户户必必须须遵守遵守规则规则uu 各部各部门应门应按照管理按照管理规规定制定并定制定并实实施施对业务应对业务应用系用系统统、开、开发发和和测试测试系系统统的
49、的访问规则访问规则计算机网络访问计算机网络访问计算机网络访问计算机网络访问安全(举例)安全(举例)安全(举例)安全(举例)在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为浪费这一点点算不了什么41重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程
50、办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规人人员员安安全全管管理理在日常生活中,随处都可以看到浪费粮食的现象。也许你并未意识到自己在浪费,也许你认为
黑公网安备:91230400333293403D