银行信息安全意识培训课件

1、信息科技部信息科技部2015年12月信息安全意识培训（下）信息安全意识培训（下）2 1、国内多家银行网银用户遭到大规模钓鱼攻击，损失巨大； 2、RSA遭黑客攻击，主流身份认证产品SecureID的重要信息泄漏，导致美国多家军工企业信息系统受到严重威胁； 3、LulzSec成功袭击了中央情报局，美国参议院，任天堂，索尼等多家机构，引起国际社会广泛关注； 4、花旗银行网站遭遇黑客 20万信用卡用户信息被盗； 5、由于南海领土纠纷引起中越黑客相互攻击对方重要网站； 6、韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数据丢失； 7、美联合航空电脑故障，全国服务大乱； 8、腾讯网大面积访问异常； 9、

2、新浪微博病毒大范围传播； 10、Comodo等多家证书机构遭到攻击，攻击者得以伪造google等多家知名网站证书，使互联网安全遭遇严重威胁；45 系统漏洞系统漏洞雷雨雷雨678蓄意破坏蓄意破坏9101112严防威胁严防威胁消减弱点消减弱点应急响应应急响应保护资产保护资产13141516171819202122三分技术，七分管理！232425对于敏感类的电子信息，要建立严格的逻辑访问控制措施，例如数字证书、 动态口令、一次性口令卡等强认证措施来保证电子数据的安全使用；同时也须建立留痕机制，以确定敏感信息使用情况的可审计性。限制敏感类信息在网上，特别是在外网上进行传输。对敏感类的文件、资料、音像制

3、品等，要存放在文件柜内，并加锁保护；不得随意搁置在桌面或夹带在日常的文件中，不得私自翻印、复制、摘录与外传。符合保密办要求的机密类文件，按保密办的有关要求处理。用于登录和访问计算机系统的终端设备，要专机专用，不可以访问外部网络，并及时更新的杀毒软件，做好病毒防范工作。27u 根据需要，在合同或个人协议中明确安全方面的承诺和要求；u 明确与客户进行数据交接的人员责任，控制客户数据使用及分发；u 明确非业务部门在授权使用客户数据时的保护责任；u 基于业务需要，主管决定是否对重要数据进行加密保护；u 禁止将客户数据或客户标识用于非项目相关的场合如培训材料；u 客户现场的工作人员，严格遵守客户Poli

4、cy，妥善保护客户数据；u 打印件应设置标识，及时取回，并妥善保存或处理。数据恢复数据恢复技术：技术： 数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以还原的过程。U盘或计算机硬盘存储的数据即使已被删除或进行格式化处理，使用专用软件仍能将其恢复，这种方法也因此成为窃密的手段之一。 例如，窃密者使用从互联网下载的恢复软件对目标计算机的已被格式化的U盘进行格式化恢复操作后，即可成功的恢复原有文件。安全事件安全事件 香港某明星曾托助手将其手提电脑，送到一间计算机公司维修，其后有人把计算机中已经删除的照片恢复后制作成光盘，发放予朋友及其它人士观赏。 2930 31323334安全培训安全

5、培训安全计划启动安全计划启动并并统一注册统一注册安全设计安全设计最佳做法最佳做法安全体系结构安全体系结构和攻击面审核和攻击面审核使用安全开发使用安全开发工具以及工具以及安全开发和安全开发和测试最佳做法测试最佳做法创建产品创建产品安全文档安全文档和工具和工具准备安全准备安全响应计划响应计划安全推动安全推动活动活动 渗透渗透 测试测试 最终最终安全安全审核审核安全维护安全维护和和响应执行响应执行功能列表功能列表质量指导原则质量指导原则体系结构文档体系结构文档日程表日程表设计规范设计规范测试和验证测试和验证编写新代码编写新代码故障修复故障修复代码签发代码签发 + Checkpoint Press 签

6、发签发RTM产品支持产品支持服务包服务包/QFE 安全更新安全更新需求需求设计设计实施实施验证验证发行发行支持和维护支持和维护威胁建模威胁建模功能规范功能规范3536 我行应保障应用系统、操作系统、网络系统访问控制的安全，并满足以下基本原则：（一）必需知道和最小授权原则。在业务需求或工作需要的范围内，授予用户最小的访问权限。（二）职责分离原则。应分离工作职责，以降低未授权访问、无意识修改或滥用信息系统和数据的可能性。（三）默认拒绝原则。当用户没有明确标明权限配置，则默认用户不能访问未经授权的信息系统和数据。（四）可审计原则。通过安全管理平台访问流程中保留相关记录，可审计跟踪其工作过程和结果。3

7、83940应对我行所有员工及外包人员进行安全管理，明确人员任用各环节中的安全控制措施，确保其理解应承担的安全责任，减少因人员故意或过失导致的安全风险我行应加强对外包人员的安全管理，按照“必需知道”和“最小授权”原则进行授权。应避免外包人员进入我行安全区域，如需进入，应得到适当的批准，相关人员的活动也应受到严格监控。定期对我行所有员工及外包人员进行信息安全意识教育和岗位相关安全技能培训，使其了解常见的安全威胁及相应的防护措施。 我行在人员任用前应实施有效的安全控制，包括但不限于：（一）所有员工及可能接触我行信息资产的外包人员在任用前，均应进行背景考察，并签署保密协议。（二）确保所有员工及外包人员

8、开展工作前，了解我行的安全管理规定，并通过适当的岗位说明书及相关协议加以明确。 我行在人员任用中应实施适当的安全控制，包括但不限于：（一）明确各级人员信息安全职责，使所有员工和外包人员了解工作中面临的信息安全风险、信息安全相关责任和义务。（二）所有员工及外包人员应遵守我行信息安全管理办法及相关规定。（三）制定明确的罚则，对违反我行信息安全管理办法及相关规定的员工及外包人员进行相应的处罚。在人员任用中止与任用变更时实施的安全控制包括但不限于：（一）终止离职或变更的我行所有员工和外包人员的工作职责。（二）收回离职的我行所有员工和外包人员所使用的相关物品与信息资产。（三）删除或变更他们对我行信息及信

9、息系统的所有使用权和访问权。4445464749505152535455565758596061计算机病毒及木马等恶意程序能导致系统破坏、数据泄露、网络中断等严重安全事件发生，是信息系统的最大安全威胁之一。员工应配合作好个人办公机及个人生产终端等的病毒防范工作。员工应在日常工作中落实防治病毒日常管理制度，PC责任人对使用计算机染毒情况进行自查。个人所用电脑应开启防病毒软件及相应安全防护软件的实时防护功能。防病毒软件及相应安全防护软件升级周期为互联网计算机实时升级、生产终端每周至少升级一次，员工应检查确认是否及时升级，每周至少检查一次。员工个人所用电脑每周至少进行一次病毒全面查杀，防病毒软件一般

10、设置为定期自动查杀，如未设置，也可手动进行查杀。个人所用电脑上发现病毒时，应及时进行病毒查杀。生产终端上发现病毒时，应立即断开网络，全面查杀并经信息安全管理员确认后方可再次连入网络。我行病毒防范相关要求我行病毒防范相关要求移动存储设备的管理遵循“统一购买、统一标识、责任到人”的原则。采取授权管理，由PC使用部门负责人审核并授权后，移动设备方可在金融网PC上使用。移动存储设备在入网使用前，要查杀病毒、木马等恶意代码。在使用U盘、光盘等移动介质前，一定要先进行病毒检查；在生产终端上使用的U盘等应作到专用；尽量减少在生产终端上使用移动介质；禁止使用不明来历的移动介质。禁止使用USB口给手机等设备充电

11、。对不必使用移动设备的生产网终端采取技术手段，对终端USB端口进行封堵。封堵后需要开启时，必须由终端使用部门领导授权审核后，方可由技术人员开启。员工发现防病毒软件不能有效清除病毒时，应立即向信息科技工作主管部门报告，在问题处理前禁止使用感染病毒的文件。我行病毒防范相关要求我行病毒防范相关要求646566676869我行账户及口令管理要求本行生产网计算机禁用guest用户，严禁私自启用其他具有管理员权限的账户，严禁私自建立普通用户，如需增加其他用户，严格控制用户权限，生产用机中普通用户和管理员用户应严格分离。不得私下互相转让、借用本行IT资源的账号。在工作岗位调动或离职时，员工应主动移交全部账号

12、和口令。本行员工必须严格遵守生产机账户设置及口令要求：（一）在使用自己所属的计算机时，应该设置计算机开机口令、操作系统登录口令、操作系统屏幕保护口令（操作系统屏幕保护程序要设置为在5分钟内自动启动）。 （二）计算机口令应满足密码强度要求，应当同时包含大、小写字母、数字和特殊字符的组合，口令长度不能小于8个字符；（三）操作系统或应用系统应当启动口令设置规则，防止用户使用原始密码等弱口令。（四）口令中不得使用以下组合：用户名、姓名的拼音、英文名、身份证号码、电话号码、生日等容易被别人猜测的信息，以及其它系统已使用的口令等。（五）口令至少每3月更改一次，6个月内不得重复使用相同的口令。本行员工必须严

13、格遵守生产机账户设置及口令要求：（六）计算机系统用户口令持有人应保证口令的保密性，不应将口令记录在纸质介质中（密码信封除外）和电子文档中，严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕等上。（七）严禁将计算机系统用户口令借给他人使用，任何情况下不应泄漏计算机系统用户口令，一旦发现或怀疑计算机系统用户口令泄漏，应立即更换。（八）及时清理各业务系统中已不在岗的账号。7374757677电子邮件已成为常用的通信方式，但电子邮件导致病毒传播、数据泄露，垃圾邮件消耗系统资源、降低工作效率等安全问题日益严重，员工在使用电子邮件时应作好相应安全防范工作。根据用途和数据安全等因素建立邮箱分类使用策略：（一

14、）收发本行业务数据时使用本行内部OA邮箱；（二）公务处理和私人邮箱分开；（三）网站注册用户时提供不重要的邮箱作为联系邮箱等。为经常使用的邮箱和重要邮箱设置安全强度高的密码，并定期修改，建议每季度修改一次。不同用途的邮箱设置不同的密码。防范电子邮件传播病毒的基本要求：（一）在收发电子邮件前，应确认防病毒软件实时监控功能已开启；（二）对每次收到的电子邮件，打开前均检查病毒；（三）在收到来自本行内部员工发来的含有病毒的邮件，除自己进行杀毒外，还应及时通知对方杀毒；（四）不打开可疑邮件、垃圾邮件、不明来源邮件等提供的附件或网址，对这类邮件直接删除；防范垃圾邮件的基本要求（一）经常使用的邮箱，尤其是本行

15、内部邮箱，应尽量避免在互联网上公开。 例如：网上调查表填写、网站用户注册、BBS论坛中。（二）不要回复可疑邮件、垃圾邮件、不明来源邮件。（三）不要在免费邮箱上保存敏感数据。防范数据泄露的基本要求：（一）收发本行业务相关的邮件时，必须使用本行内部OA邮箱，并尽量要求对方使用对方内部邮箱。（二）发送敏感数据时，应采用加密邮件方式发送。82838485868788899091业务持续性管理程序业务持续性管理程序安全事件安全事件管理程序管理程序部门级的部门级的BCP/DRP（基于（基于BIA）紧急响应紧急响应处理程序处理程序9293 事先做好备份等准备工作事先做好备份等准备工作 灾难发生后妥善处理以降

16、灾难发生后妥善处理以降 低损失低损失 在确定时限内恢复在确定时限内恢复 分析原因，做好记录分析原因，做好记录 BCP应定期测试和维护应定期测试和维护 应该明确责任人应该明确责任人949596计算机信息系统安全保计算机信息系统安全保护条例护条例计算机信息网络国际联计算机信息网络国际联网安全保护管理办法网安全保护管理办法97“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。” “提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机