【精品】信息安全管理培训（可编辑）.ppt

《【精品】信息安全管理培训（可编辑）.ppt》由会员分享，可在线阅读，更多相关《【精品】信息安全管理培训（可编辑）.ppt（61页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全管理培训主要内容主要内容信息安全管理介绍信息安全管理介绍1信息系统等级保护工作信息系统等级保护工作2如何做好银行信息安全如何做好银行信息安全3威胁无处不在威胁无处不在信息资产信息资产信息资产信息资产内部人员威胁内部人员威胁内部人员威胁内部人员威胁黑客渗透黑客渗透黑客渗透黑客渗透木马后门木马后门木马后门木马后门病毒和蠕虫病毒和蠕虫病毒和蠕虫病毒和蠕虫流氓软件流氓软件流氓软件流氓软件拒绝服务拒绝服务拒绝服务拒绝服务社会工程社会工程社会工程社会工程地震地震地震地震雷雨雷雨失火失火失火失火供电中断供电中断供电中断供电中断网络通信故障网络通信故障网络通信故障网络通信故障硬件故障硬件故障硬件故障硬

2、件故障系统漏洞系统漏洞 采取措施保护信息资产，采取措施保护信息资产，使之不因偶然或者恶意侵犯而使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正信息系统能够连续、可靠、正常地运行，使安全事件对业务常地运行，使安全事件对业务造成的影响减到最小，确保组造成的影响减到最小，确保组织业务运行的连续性。织业务运行的连续性。什么是信息安全什么是信息安全信息安全基本目标CIAOnfidentiality（机密性）（机密性）Ntegrity（完整性）（完整性）Vailability（可用（可用性）性）CIACIA信息安全最终目标Confidentialit

3、yConfidentialityIntegrityIntegrityAvailabilityAvailabilityInformationInformation信息安全的最终目标是为了保证业务的高效稳定运行信息安全的最终目标是为了保证业务的高效稳定运行因果关系因果关系信息安全发展趋势信息安全发展趋势1可信化可信化2网络化网络化3 3标准化标准化4 4集成化集成化因果关系因果关系 计算机安全领域一句格言：计算机安全领域一句格言：“真正安全的计算机是拔下真正安全的计算机是拔下网线，断掉电源，放在地下掩体网线，断掉电源，放在地下掩体的保险柜中，并在掩体内充满毒的保险柜中，并在掩体内充满毒气，在掩体外

4、安排士兵守卫。气，在掩体外安排士兵守卫。”绝对的安全是不存在的信息安全发展趋势信息安全发展趋势安全 vs.可用平衡之道u在可用性（在可用性（UsabilityUsability）和安全性）和安全性（SecuritySecurity）之间是一种相反的关系）之间是一种相反的关系u提高了安全性，相应地就降低了易提高了安全性，相应地就降低了易用性用性u而要提高安全性，又势必增大成本而要提高安全性，又势必增大成本u管理者应在二者之间达成一种可接管理者应在二者之间达成一种可接受的平衡受的平衡（一）计算机病毒肆虐，影响操作系统和网络性能（一）计算机病毒肆虐，影响操作系统和网络性能（二）内部违规操作难于管理和

5、控制（二）内部违规操作难于管理和控制（三）来自外部环境的黑客攻击和入侵（三）来自外部环境的黑客攻击和入侵（四）软硬件故障造成服务中断、数据丢失（四）软硬件故障造成服务中断、数据丢失（五）人员安全意识薄弱，缺乏必要技能（五）人员安全意识薄弱，缺乏必要技能常见信息常见信息安全问题安全问题（一）、计算机病毒肆虐，影响操作系统和网络性能（一）、计算机病毒肆虐，影响操作系统和网络性能系统病毒系统病毒感染特定类型的文件，破坏操作系统的完整性，破坏硬感染特定类型的文件，破坏操作系统的完整性，破坏硬盘数据，破坏计算机硬件。病毒前缀为：盘数据，破坏计算机硬件。病毒前缀为：win32win32，PEPE，Win9

6、5Win95等。例如等。例如CIHCIH病毒；病毒；蠕虫病毒蠕虫病毒利用操作系统漏洞进行感染和传播，产生大量垃圾流量，利用操作系统漏洞进行感染和传播，产生大量垃圾流量，严重影响网络性能。病毒前缀：严重影响网络性能。病毒前缀：WormWorm，例如冲击波病毒；，例如冲击波病毒；（一）、计算机病毒肆虐，影响操作系统和网络性能（一）、计算机病毒肆虐，影响操作系统和网络性能木马病毒、黑客病毒木马病毒、黑客病毒实现对计算机系统的非法远程控制、窃取包含敏感实现对计算机系统的非法远程控制、窃取包含敏感信息的重要数据，木马病毒前缀：信息的重要数据，木马病毒前缀：TrojanTrojan，黑客病毒，黑客病毒前缀

7、为前缀为Hack.Hack.后门病毒后门病毒前缀：前缀：BackdoorBackdoor，该类病毒的公有特性是通过网络，该类病毒的公有特性是通过网络传播，给系统开后门。（传播，给系统开后门。（360360？）？）其他：脚本病毒、宏病毒、玩笑病毒等。其他：脚本病毒、宏病毒、玩笑病毒等。（二）、二）、内部违规操作难于管理和控制内部违规操作难于管理和控制计算机使用权限划分不明确，无法满足计算机使用权限划分不明确，无法满足最小授权最小授权的基本的基本原则；原则；内部用户使用内部用户使用BTBT或者或者EMuleEMule等等P2PP2P软件下载文件和影视数软件下载文件和影视数据，挤占因特网出口带宽，威

8、胁正常应用的服务质量；据，挤占因特网出口带宽，威胁正常应用的服务质量；内部用户发起的攻击行为和违规操作，难于被检测和发内部用户发起的攻击行为和违规操作，难于被检测和发现。现。案例案例12009年年6月月9日日，深深圳圳福福彩彩双双色色球球开开出出5注注一一等等奖奖，奖奖金金3305万万元元。调调查查发发现现该该5注注一一等等奖奖是是深深圳圳市市某某技技术术公公司司软软件件开开发发工工程程师师程程某某，利利用用在在深深圳圳福福彩彩中中心心实实施施技技术术合合作作项项目目的的机机会会，通通过过木木马马程程序序，攻攻击击了了存存储储福福彩彩信信息息的的数数据据库库，并并进进一一步步进进行行了了篡篡改

9、改彩彩票票中中奖奖数数据据的的恶恶意行为，以期达到其牟取非法利益的目的。意行为，以期达到其牟取非法利益的目的。（三）、（三）、来自外部环境的黑客攻击和入侵来自外部环境的黑客攻击和入侵非法获取服务器主机的控制权限，任意使用系统计算资源，非法获取服务器主机的控制权限，任意使用系统计算资源，例如开启因特网服务，免费使用硬盘空间，将服务器作为入侵例如开启因特网服务，免费使用硬盘空间，将服务器作为入侵跳板或者傀儡主机；跳板或者傀儡主机；对服务器主机发起渗透性攻击和入侵，破坏原有数据，恶意对服务器主机发起渗透性攻击和入侵，破坏原有数据，恶意篡改网页，造成严重的声誉损失，或者非法获取控制权限，继篡改网页，造

10、成严重的声誉损失，或者非法获取控制权限，继而盗窃敏感信息和数据。而盗窃敏感信息和数据。网络钓鱼，通过大量发送声称来自于银行或其他知名机构的网络钓鱼，通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号口令、帐号 ID ID、ATM PIN ATM PIN 码或信用卡详细信息）的一种攻击码或信用卡详细信息）的一种攻击方式。方式。案例案例22007年年3月月14日，灰鸽子木马团伙调动上万台日，灰鸽子木马团伙调动上万台“肉鸡肉鸡”组成的组成的“僵尸网络僵尸网络”，对金山毒霸官方网站进行疯狂的攻

11、击，造成浏览金，对金山毒霸官方网站进行疯狂的攻击，造成浏览金山毒霸网站的用户被挟持到幕后黑手指定的网站。山毒霸网站的用户被挟持到幕后黑手指定的网站。案例案例32009年年7月月14日，土耳其使馆遭黑客攻击日，土耳其使馆遭黑客攻击变身一夜情网站。云安变身一夜情网站。云安全中心最新的监测数据显示，全中心最新的监测数据显示，14日土耳其驻华大使馆的官网受到两个日土耳其驻华大使馆的官网受到两个不同的黑客团伙同时攻击，结果沦为两个团伙的不同的黑客团伙同时攻击，结果沦为两个团伙的“聊天室聊天室”。案例案例42004年年7月月19日，恶意网站伪装成联想的主页日，恶意网站伪装成联想的主页http:/http:

12、/（四）、（四）、软硬件故障造成服务中断、数据丢失软硬件故障造成服务中断、数据丢失缺乏数据备份手段，一旦数据丢失，就不可恢复。缺乏数据备份手段，一旦数据丢失，就不可恢复。骨干网络设备以及服务器主机出现单点故障，造成服务骨干网络设备以及服务器主机出现单点故障，造成服务中断，业务停顿；硬盘损坏，造成业务数据丢失；中断，业务停顿；硬盘损坏，造成业务数据丢失；（五）、（五）、人员安全意识薄弱，缺乏必要技能人员安全意识薄弱，缺乏必要技能管理层对信息安全建设重视程度不够，不能推动自顶向管理层对信息安全建设重视程度不够，不能推动自顶向下的安全管理；下的安全管理；关键技术人员缺乏必要的知识储备和操作技能，难以

13、胜关键技术人员缺乏必要的知识储备和操作技能，难以胜任岗位要求；任岗位要求；普通用户没有建立正确的安全意识和安全的操作习惯，普通用户没有建立正确的安全意识和安全的操作习惯，非恶意的误操作将大量本可避免的安全问题引入企业非恶意的误操作将大量本可避免的安全问题引入企业ITIT系系统。统。最常犯的一些错误uu 将口令写在便签上，贴在电脑监视器旁将口令写在便签上，贴在电脑监视器旁u 开着电脑离开，就像离开家却忘记关灯那样开着电脑离开，就像离开家却忘记关灯那样u 轻易相信来自陌生人的邮件，好奇打开邮件附件轻易相信来自陌生人的邮件，好奇打开邮件附件u 使用容易猜测的口令，或者根本不设口令使用容易猜测的口令，

14、或者根本不设口令u 丢失笔记本电脑丢失笔记本电脑u 不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息u 随便拨号上网，或者随意将无关设备连入公司网络随便拨号上网，或者随意将无关设备连入公司网络u 事不关己，高高挂起，不报告安全事件事不关己，高高挂起，不报告安全事件u 在系统更新和安装补丁上总是行动迟缓在系统更新和安装补丁上总是行动迟缓u 只关注外来的威胁，忽视企业内部人员的问题只关注外来的威胁，忽视企业内部人员的问题u 会后不擦黑板，会议资料随意放置在会场会后不擦黑板，会议资料随意放置在会场主要内容主要内容信息安全管理介绍信息安全管理介绍1信息系统等

15、级保护工作信息系统等级保护工作2如何做好信息安全工作如何做好信息安全工作32 2、信息等级保护工作、信息等级保护工作信息系统安信息系统安全等级划分全等级划分一级一级二级二级三级三级四级四级五级五级自主保护级自主保护级指导保护级指导保护级监督保护级监督保护级监控保护级监控保护级 强制保护级强制保护级 等保等保5 5级划分级划分v第一级 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。信息系统运营、使用损害，但不损害国家安全、社会秩序和公共利益。信息系统运营、使用单位依照国家有关管理规范

16、和技术标准进行保护。单位依照国家有关管理规范和技术标准进行保护。v第二级第二级 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害严重损害,或者对社会秩序和公共利益造成损害，但不损害国家安全。或者对社会秩序和公共利益造成损害，但不损害国家安全。v第三级第三级 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害信息系统受到破坏后，会对社会秩序和公共利益造成严重损害,或或者对国家安全造成损害。信息系统运营、使用单位应当依据国家有关管者对国家安全造成损害。信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国

17、家信息安全监管部门对该级信息系统信理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。息安全等级保护工作进行监督、检查。等保等保5 5级划分级划分v第四级第四级 信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害害 ,或者对国家安全造成严重损害。信息系统运营、使用单位应当依或者对国家安全造成严重损害。信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护

18、工作进行强制监督、安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。检查。v第五级第五级 信息系统受到破坏后信息系统受到破坏后,会对国家安全造成特别严重损害；信息系统会对国家安全造成特别严重损害；信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。作进行专门监督、检查。等保测评过程中突出的问题等保测评过程中突出的问题等保测评过程中突出的问题等保测评过程中突出的问题

19、主要内容主要内容信息安全管理介绍信息安全管理介绍1信息系统等级保护工作信息系统等级保护工作2如何做好信息安全工作如何做好信息安全工作3技术手段u 物理安全物理安全：环境安全、设备安全、媒体安全：环境安全、设备安全、媒体安全u 系统安全系统安全：操作系统及数据库系统的安全性：操作系统及数据库系统的安全性u 网络安全网络安全：网络隔离、访问控制、：网络隔离、访问控制、VPNVPN、入侵检测、扫描评估、入侵检测、扫描评估u 应用安全应用安全：EmailEmail安全、安全、WebWeb访问安全、内容过滤、应用系统安全访问安全、内容过滤、应用系统安全u 数据加密数据加密：硬件和软件加密，实现身份认证和

20、数据信息的：硬件和软件加密，实现身份认证和数据信息的CIACIA特性特性u 认证授权认证授权：口令认证、：口令认证、SSOSSO认证、证书认证等认证、证书认证等u 访问控制访问控制：防火墙、访问控制列表等：防火墙、访问控制列表等u 审计跟踪审计跟踪：入侵检测、日志审计、辨析取证：入侵检测、日志审计、辨析取证u 防杀病毒防杀病毒：单机防病毒技术逐渐发展成整体防病毒体系：单机防病毒技术逐渐发展成整体防病毒体系u 灾备恢复灾备恢复：业务连续性，前提就是对数据的备份：业务连续性，前提就是对数据的备份信息安全管理关键点u 技术是信息安全的构筑材料，管理是真正的粘合剂技术是信息安全的构筑材料，管理是真正的

21、粘合剂和催化剂和催化剂u 信息安全管理构成了信息安全具有能动性的部分，信息安全管理构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活是指导和控制组织的关于信息安全风险的相互协调的活动动 u 现实世界里大多数安全事件的发生和安全隐患的存现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的在，与其说是技术上的原因，不如说是管理不善造成的u 理解并重视管理对于信息安全的关键作用，对于真理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标尤其重要正实现信息安全目标尤其重要u 唯有信息安全管理工作活动持续而周期性的推动作唯有

22、信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实用方能真正将信息安全意识贯彻落实七分管理三分技术信息安全管理的几个关注点信息安全管理的几个关注点l物理安全l第三方安全l内部人员安全l重要信息的保密l介质安全l口令安全l信息交换及备份l漏洞管理与恶意代码l应急与业务连续性l法律和政策工作环境安全工作环境安全v应建立机房安全管理制度，对有关机房物理访问，物品带进、应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定；带出机房和机房环境安全等方面的管理作出规定；v应指定部门负责机房安全，指派专人担任机房管理员，对机应指定部门负责机房

23、安全，指派专人担任机房管理员，对机房的出入进行管理，每天巡查机房运行状况，对机房供配电、房的出入进行管理，每天巡查机房运行状况，对机房供配电、空调、温湿度控制等设施进行维护管理，填写机房值班记录、空调、温湿度控制等设施进行维护管理，填写机房值班记录、巡视记录；巡视记录；v关键安全区域包括服务器机房、财务部门和人力资源部门、关键安全区域包括服务器机房、财务部门和人力资源部门、法务部、安全监控室应具备门禁设施法务部、安全监控室应具备门禁设施v前台接待负责检查外来访客证件并进行登记，访客进入内部前台接待负责检查外来访客证件并进行登记，访客进入内部需持临时卡并由相关人员陪同需持临时卡并由相关人员陪同v

24、实施实施724724小时保安服务，检查保安记录小时保安服务，检查保安记录物理安全建议物理安全建议v所有入口和内部安全区都需部署有摄像头，大门及各楼层入口所有入口和内部安全区都需部署有摄像头，大门及各楼层入口都被实时监控都被实时监控v禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用碎纸机粉碎碎纸机粉碎v应加强对办公环境的保密性管理，规范办公环境人员行为，应加强对办公环境的保密性管理，规范办公环境人员行为，包括工作人员调离办公室应立即交包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座还该办公室钥匙、不在

25、办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等；的纸档文件等；v应对机房和办公环境实行统一策略的安全管理，对出入人员进应对机房和办公环境实行统一策略的安全管理，对出入人员进行相应级别的授权，对进入重要安全区域的活动行为实时监视行相应级别的授权，对进入重要安全区域的活动行为实时监视和记录。和记录。信息安全管理的几个关注点信息安全管理的几个关注点l物理安全物理安全l第三方安全第三方安全l内部人员安全内部人员安全l重要信息的保密重要信息的保密l介质安全介质安全l口令安全口令安全l信息交换及备份

26、信息交换及备份l漏洞管理与漏洞管理与恶意代恶意代码码l应急与业务连续性应急与业务连续性l法律和政策法律和政策案例案例案例一：案例一：20032003年，上海某家为银行提供年，上海某家为银行提供ATMATM服务的公司，软件工程师服务的公司，软件工程师苏强。利用自助网点安装调试的机会，绕过加密程序苏强。利用自助网点安装调试的机会，绕过加密程序BugBug，编写，编写并植入一个监视软件，记录用户卡号、磁条信息和密码，一个月并植入一个监视软件，记录用户卡号、磁条信息和密码，一个月内，记录下内，记录下70007000条。然后拷贝到自己电脑上，删掉植入的程序。条。然后拷贝到自己电脑上，删掉植入的程序。后来

27、苏强去读研究生，买了白卡和读卡器，伪造银行卡，两年内后来苏强去读研究生，买了白卡和读卡器，伪造银行卡，两年内共提取共提取6 6万元。只是因为偶然原因被发现，公安机关通过检查网万元。只是因为偶然原因被发现，公安机关通过检查网上查询客户信息的上查询客户信息的IPIP地址追查到苏强，破坏案件。地址追查到苏强，破坏案件。案例二：案例二：北京移动电话充值卡事件北京移动电话充值卡事件第三方安全建议第三方安全建议v识别所有相关第三方：服务提供商，设备提供商，咨询顾问，识别所有相关第三方：服务提供商，设备提供商，咨询顾问，审计机构，物业，保洁等。审计机构，物业，保洁等。v识别所有与第三方相关的安全风险，无论是

28、牵涉到物理访问识别所有与第三方相关的安全风险，无论是牵涉到物理访问还是逻辑访问。还是逻辑访问。v在没有采取必要控制措施，包括签署相关协议之前，不应该在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定。守的规定。v在与第三方签订协议时特别提出信息安全方面的要求，特别在与第三方签订协议时特别提出信息安全方面的要求，特别是访问控制要求。是访问控制要求。v对第三方实施有效的监督，定期对第三方实施有效的监督，定期ReviewReview服务交付。服务交付。信息安全管理的几个关注点信息安全

29、管理的几个关注点l物理安全物理安全l第三方安全第三方安全l内部人员安全内部人员安全l重要信息的保密重要信息的保密l介质安全介质安全l口令安全口令安全l信息交换及备份信息交换及备份l漏洞管理与恶意代漏洞管理与恶意代码码l应急与业务连续性应急与业务连续性l法律和政策法律和政策内部人员安全内部人员安全背景检查背景检查背景检查背景检查签署保密签署保密签署保密签署保密协议协议协议协议安全职责安全职责安全职责安全职责说明说明说明说明技能意识技能意识技能意识技能意识培训培训培训培训绩效考核绩效考核绩效考核绩效考核和奖惩和奖惩和奖惩和奖惩内部职位调整及内部职位调整及内部职位调整及内部职位调整及离职检查流程离职

30、检查流程离职检查流程离职检查流程内部人员安全建议内部人员安全建议u所有员工必须根据需要接受恰当的安全培训和指导所有员工必须根据需要接受恰当的安全培训和指导u 根据工作所需，各部门应该识别并评估员工的培训需求根据工作所需，各部门应该识别并评估员工的培训需求u 业务部门应该建立并维持员工安全意识程序，确保员工通过培业务部门应该建立并维持员工安全意识程序，确保员工通过培训而精于工作技能，并将信息安全意识深入其工作之中训而精于工作技能，并将信息安全意识深入其工作之中u 管理层有责任引领信息安全意识促进活动管理层有责任引领信息安全意识促进活动 u 信息安全意识培训应该持续进行，员工有责任对培训效果提出信

31、息安全意识培训应该持续进行，员工有责任对培训效果提出反馈反馈u 人力资源部门负责跟踪培训策略的符合性，保留员工接受培训人力资源部门负责跟踪培训策略的符合性，保留员工接受培训的相关记录的相关记录u 信息安全经理应该接受专门的信息安全技能培训信息安全经理应该接受专门的信息安全技能培训u 技术部门等特定职能和人员应该接受相应的技能培训技术部门等特定职能和人员应该接受相应的技能培训信息安全管理的几个关注点信息安全管理的几个关注点l物理安全物理安全l第三方安全第三方安全l内部人员安全内部人员安全l重要信息的保密重要信息的保密l介质安全介质安全l口令安全口令安全l信息交换及备份信息交换及备份l漏洞管理与恶

32、意代漏洞管理与恶意代码码l应急与业务连续性应急与业务连续性l法律和政策法律和政策重要信息的保密重要信息的保密SecretSecret机密、绝密机密、绝密机密、绝密机密、绝密ConfidencialConfidencial秘密秘密秘密秘密Internal UseInternal Use内内内内部公开部公开部公开部公开PublicPublic公公公公开开开开数据保护安全建议数据保护安全建议uu 根据需要，在合同或个人协议中明确安全方面的承诺和要求；根据需要，在合同或个人协议中明确安全方面的承诺和要求；u 明确与客户进行数据交接的人员责任，控制客户数据使用及分发；明确与客户进行数据交接的人员责任，控

33、制客户数据使用及分发；u 明确非业务部门在授权使用客户数据时的保护责任；明确非业务部门在授权使用客户数据时的保护责任；u 基于业务需要，主管决定是否对重要数据进行加密保护；基于业务需要，主管决定是否对重要数据进行加密保护；u 禁止将客户数据或客户标识用于非项目相关的场合如培训材料；禁止将客户数据或客户标识用于非项目相关的场合如培训材料；u 客户现场的工作人员，严格遵守客户客户现场的工作人员，严格遵守客户PolicyPolicy，妥善保护客户数据；，妥善保护客户数据；u 打印件应设置标识，及时取回，并妥善保存或处理。打印件应设置标识，及时取回，并妥善保存或处理。数据保护安全建议数据保护安全建议u

34、通过传真发送机密信息时，应提前通知接收者并确保号码正确通过传真发送机密信息时，应提前通知接收者并确保号码正确u不允许在公共区域用移动电话谈论机密信息不允许在公共区域用移动电话谈论机密信息u不允许在公共区域与人谈论机密信息不允许在公共区域与人谈论机密信息u不允许通过电子邮件或不允许通过电子邮件或QQQQ工具交换账号和口令信息工具交换账号和口令信息u不允许借助公司资源做非工作相关的信息交换不允许借助公司资源做非工作相关的信息交换u不允许通过不允许通过QQQQ工具传输文件工具传输文件信息安全管理的几个关注点信息安全管理的几个关注点l物理安全l第三方安全l内部人员安全l重要信息的保密l介质安全l口令安

35、全l信息交换及备份l漏洞管理与恶意代码l应急与业务连续性l法律和政策介质安全介质安全d)d)应对介质在物理传输过程中的人员选择、打包、交付等情况进行应对介质在物理传输过程中的人员选择、打包、交付等情况进行安全控制，应选择安全可靠的传递、交接方式，做好防信息泄露控安全控制，应选择安全可靠的传递、交接方式，做好防信息泄露控制措施；制措施；e)e)应对介质归档和查询等进行登记记录，管理员应根据存档介质的应对介质归档和查询等进行登记记录，管理员应根据存档介质的目录清单定期盘点；目录清单定期盘点；f)f)对于重要文档，如是纸质文档则应实行借阅登记制度，未经相关对于重要文档，如是纸质文档则应实行借阅登记制

36、度，未经相关部门领导批准，任何人不得将文档转借、复制或对外公开，如是电部门领导批准，任何人不得将文档转借、复制或对外公开，如是电子文档则应采用子文档则应采用OAOA等电子化办公审批平台进行管理；等电子化办公审批平台进行管理；g)g)应对带出工作环境的存储介质进行内容加密和监控管理；应对带出工作环境的存储介质进行内容加密和监控管理；h)h)应对送出维修的介质应首先清除介质中的敏感数据，对保密性较应对送出维修的介质应首先清除介质中的敏感数据，对保密性较高的存储介质未经批准不得自行销毁；高的存储介质未经批准不得自行销毁；介质安全介质安全 窃密者使用从互联网下载的恢复软件对目标计算机的已被窃密者使用从

37、互联网下载的恢复软件对目标计算机的已被格式化的格式化的U U盘进行格式化恢复操作后，即可成功的恢复原有文件盘进行格式化恢复操作后，即可成功的恢复原有文件（安全事件）（安全事件）保证介质安全的建议：保证介质安全的建议：a)a)应建立介质安全管理制度，对介质的存放环境、使用、维护应建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定；和销毁等方面作出规定；b)b)应确保介质存放在安全的环境中，并有明确标识，对各类介应确保介质存放在安全的环境中，并有明确标识，对各类介质进行控制和保护，并实行存储环境专人管理；质进行控制和保护，并实行存储环境专人管理；c)c)所有数据备份介质应防磁、

38、防潮、防尘、防高温、防挤压存所有数据备份介质应防磁、防潮、防尘、防高温、防挤压存放放；安全使用移动存储设备安全使用移动存储设备1.1.1.1.请勿随意使用请勿随意使用U U盘等移动存储设备盘等移动存储设备2.2.使用完后进行擦除或粉碎操作使用完后进行擦除或粉碎操作3.3.不要长期、大量存放涉密文件不要长期、大量存放涉密文件4.4.请勿随意使用第三方维修服务请勿随意使用第三方维修服务5.5.请勿随意抛弃请勿随意抛弃6.6.进行消磁，甚至拆解处理进行消磁，甚至拆解处理信息安全管理的几个关注点信息安全管理的几个关注点l物理安全物理安全l第三方安全第三方安全l内部人员安全内部人员安全l重要信息的保密重

39、要信息的保密l介质安全介质安全l口令安全口令安全l信息交换及备份信息交换及备份l漏洞管理与恶意代漏洞管理与恶意代码码l应急与业务连续性应急与业务连续性l法律和政策法律和政策口令的重要性口令的重要性uu 用户名用户名+口令是最简单也最常用的身份认证方式口令是最简单也最常用的身份认证方式u 口令是抵御攻击的第一道防线，防止冒名顶替口令是抵御攻击的第一道防线，防止冒名顶替u 口令也是抵御网络攻击的最后一道防线口令也是抵御网络攻击的最后一道防线u 针对口令的攻击简便易行，口令破解快速有效针对口令的攻击简便易行，口令破解快速有效u 由于使用不当，往往使口令成为最薄弱的安全环节由于使用不当，往往使口令成为

40、最薄弱的安全环节u 口令与个人隐私息息相关，必须慎重保护口令与个人隐私息息相关，必须慎重保护如何设置符合要求的口令如何设置符合要求的口令使用大写字母、小写字母、数字、特殊符号组成的密码使用大写字母、小写字母、数字、特殊符号组成的密码妥善保管（增加暴力破解难度）妥善保管（增加暴力破解难度）长度不少于长度不少于8 8位（增加暴力破解难度）位（增加暴力破解难度）定期更换（防止暴力破解）定期更换（防止暴力破解）不同的账号使用不同的密码（避免连锁反应）不同的账号使用不同的密码（避免连锁反应）不使用敏感字符串，如生日、姓名关联（防止密码猜测）不使用敏感字符串，如生日、姓名关联（防止密码猜测）离开时需要锁定

41、计算机（防止未授权访问计算机）离开时需要锁定计算机（防止未授权访问计算机）信息安全管理的几个关注点信息安全管理的几个关注点l物理安全物理安全l第三方安全第三方安全l内部人员安全内部人员安全l重要信息的保密重要信息的保密l介质安全介质安全l口令安全口令安全l信息交换及备份信息交换及备份l漏洞管理与恶意代漏洞管理与恶意代码码l应急与业务连续性应急与业务连续性l法律和政策法律和政策信息交换管理信息交换管理u应采用加密或其他有效措施实现系统管理数据、鉴别信息和应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务重要业务数据采集、传输、使用和存储过程的保密性。数据采集、传输、使用和存储过程的保密

42、性。u信息交换原则信息交换原则u物理介质传输物理介质传输u电子邮件和互联网信息交换电子邮件和互联网信息交换u文件共享文件共享数据备份与恢复数据备份与恢复a)a)许多操作系统和应用程序在默认状态下都将存放应用数据的位置许多操作系统和应用程序在默认状态下都将存放应用数据的位置定义到系统文件目录下（如定义到系统文件目录下（如C C盘下）。由于操作系统非常容易受到盘下）。由于操作系统非常容易受到计算机病毒等破坏，所以，在安装完系统和应用程序后，最好通过计算机病毒等破坏，所以，在安装完系统和应用程序后，最好通过手工将用户数据存放到指定的数据分区上。手工将用户数据存放到指定的数据分区上。b)b)应提供本地

43、数据备份与恢复功能，采取实时备份与异步备份或应提供本地数据备份与恢复功能，采取实时备份与异步备份或增量备份与完全备份的方式，增量数据备份每天一次，完全数据备增量备份与完全备份的方式，增量数据备份每天一次，完全数据备份每周一次，备份介质场外存放，数据保存期限依照国家相关规定；份每周一次，备份介质场外存放，数据保存期限依照国家相关规定；c)c)恢复及使用备份数据时需要提供相关口令密码的，应把口令密码恢复及使用备份数据时需要提供相关口令密码的，应把口令密码密封后与数据备份介质一并妥善保管；密封后与数据备份介质一并妥善保管；信息安全管理的几个关注点信息安全管理的几个关注点l物理安全物理安全l第三方安全

44、第三方安全l内部人员安全内部人员安全l重要信息的保密重要信息的保密l介质安全介质安全l口令安全口令安全l信息交换及备份信息交换及备份l漏洞管理与恶意代漏洞管理与恶意代码码l应急与业务连续性应急与业务连续性l法律和政策法律和政策漏洞管理漏洞管理v通过漏洞检测工具，每半年一次为信息系统进行安全漏洞检通过漏洞检测工具，每半年一次为信息系统进行安全漏洞检测，以查找漏洞，分析系统的安全性，并采取补救措施。对于测，以查找漏洞，分析系统的安全性，并采取补救措施。对于总行统一布置的漏洞整改工作，省分行应按照统一要求排查系总行统一布置的漏洞整改工作，省分行应按照统一要求排查系统漏洞及报告整改情况。（明年总行将购

45、买专门的漏洞扫描设统漏洞及报告整改情况。（明年总行将购买专门的漏洞扫描设备进行这项工作）备进行这项工作）v发现高危漏洞应进行登记、上报。隐蔽漏洞发作导致系统出发现高危漏洞应进行登记、上报。隐蔽漏洞发作导致系统出现问题，应按照事件管理要求及时上报。现问题，应按照事件管理要求及时上报。v对于配置不当、管理薄弱造成的漏洞，发现方及时进行补救；对于配置不当、管理薄弱造成的漏洞，发现方及时进行补救；恶意代码防范策略恶意代码防范策略1.1.1.1.所有计算机必须部署指定的防病毒软件所有计算机必须部署指定的防病毒软件2 2、防病毒软件必须持续更新、防病毒软件必须持续更新3 3、感染病毒的计算机必须从网络中隔

46、离直至清除病毒、感染病毒的计算机必须从网络中隔离直至清除病毒4 4、任何意图在内部网络创建或分发恶意代码的行为都被视为违、任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度反管理制度5 5、发生任何病毒传播事件，相关人员应及时向、发生任何病毒传播事件，相关人员应及时向ITIT管理部门汇报管理部门汇报信息安全管理的几个关注点信息安全管理的几个关注点l物理安全物理安全l第三方安全第三方安全l内部人员安全内部人员安全l重要信息的保密重要信息的保密l介质安全介质安全l口令安全口令安全l信息交换及备份信息交换及备份l漏洞管理与恶意代漏洞管理与恶意代码码l应急与业务连续性l法律和政策安全事件管

47、理要点安全事件管理要点1.1.事先制定可行的安全事件响应计划事先制定可行的安全事件响应计划2.2.建立事件响应小组，以管理不同风险级别的安全事件建立事件响应小组，以管理不同风险级别的安全事件3.3.员工有责任向其上级报告任何已知或可疑的安全问题或违规行员工有责任向其上级报告任何已知或可疑的安全问题或违规行为，必要时，管理层可决定引入法律程序为，必要时，管理层可决定引入法律程序4.4.做好证据采集和保留工作做好证据采集和保留工作5.5.应提交安全事件和相关问题的定期管理报告，以备管理层检查应提交安全事件和相关问题的定期管理报告，以备管理层检查6.6.应该定期检查应急计划的有效性应该定期检查应急计

48、划的有效性业务连续性管理基本原则业务连续性管理基本原则业务连续性的基本原则是：业务连续性的基本原则是：(一一)切实履行社会责任，保护客户合法权益、维护金融秩序；切实履行社会责任，保护客户合法权益、维护金融秩序；(二二)坚持预防为主，建立预防、预警机制，将日常管理与应急坚持预防为主，建立预防、预警机制，将日常管理与应急处臵有效结合；处臵有效结合；(三三)坚持以人为本，重点保障人员安全；实施差异化管理，保坚持以人为本，重点保障人员安全；实施差异化管理，保障重要业务有序恢复；兼顾业务连续性管理成本与效益；障重要业务有序恢复；兼顾业务连续性管理成本与效益；(四四)坚持联动协作，加强沟通协调，形成应对运

49、营中断事件的坚持联动协作，加强沟通协调，形成应对运营中断事件的整体有效机制。整体有效机制。信息安全管理的几个关注点信息安全管理的几个关注点l物理安全物理安全l第三方安全第三方安全l内部人员安全内部人员安全l重要信息的保密重要信息的保密l介质安全介质安全l口令安全口令安全l信息交换及备份信息交换及备份l漏洞管理与恶意代漏洞管理与恶意代码码l应急与业务连续性应急与业务连续性l法律和政策法律和政策银行业相关法规要求银行业相关法规要求主要依据：主要依据：商业银行信息科技风险管理指引商业银行信息科技风险管理指引 电子银行业务管理办法电子银行业务管理办法 电子银行安全评估指引电子银行安全评估指引 主管部门

50、各类通知、文件主管部门各类通知、文件 参考依据：参考依据：商业银行风险监管核心指标（试行）商业银行风险监管核心指标（试行）商业银行内部控制指引商业银行内部控制指引 商业银行操作风险管理指引商业银行操作风险管理指引 中国银行业实施新资本协议指导意见中国银行业实施新资本协议指导意见 补充：补充：网上银行系统信息安全保障评估准则网上银行系统信息安全保障评估准则 ISO27000 ISO27000系列系列直接相关间接相关通用标准/规范要点总结要点总结P 加强敏感信息的保密加强敏感信息的保密P 留意物理安全留意物理安全P 遵守法律法规和安全策略遵守法律法规和安全策略P 公司资源只供公司所用公司资源只供公