信息安全意识培训课件

1、信息技术部信息技术部2011年7月银行信息安全意识交流银行信息安全意识交流2 1、国内多家银行网银用户遭到大规模钓鱼攻击，损失巨大； 2、RSA遭黑客攻击，主流身份认证产品SecureID的重要信息泄漏，导致美国多家军工企业信息系统受到严重威胁； 3、LulzSec成功袭击了中央情报局，美国参议院，任天堂，索尼等多家机构，引起国际社会广泛关注； 4、花旗银行网站遭遇黑客 20万信用卡用户信息被盗； 5、由于南海领土纠纷引起中越黑客相互攻击对方重要网站； 6、韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数据丢失； 7、美联合航空电脑故障，全国服务大乱； 8、腾讯网大面积访问异常； 9、新浪微

2、博病毒大范围传播； 10、Comodo等多家证书机构遭到攻击，攻击者得以伪造google等多家知名网站证书，使互联网安全遭遇严重威胁；4567 系统漏洞系统漏洞雷雨雷雨8910蓄意破坏蓄意破坏11121314严防威胁严防威胁消减弱点消减弱点应急响应应急响应保护资产保护资产15161718192021222324三分技术，七分管理！25262728数据的属主（数据的属主（OM/PM）决定所属数据的敏感级别决定所属数据的敏感级别确定必要的保护措施确定必要的保护措施最终批准并最终批准并Review用户访问权用户访问权限限受受Owner委托管理数据委托管理数据通常是通常是IT人员或部门系统（数据）管理

3、员人员或部门系统（数据）管理员向向Owner提交访问申请并按提交访问申请并按Owner授意为用户授权授意为用户授权执行数据保护措施，实施日常维护和管理执行数据保护措施，实施日常维护和管理公司或第三方职员公司或第三方职员因工作需要而请求访问数据因工作需要而请求访问数据遵守安全规定和控制遵守安全规定和控制报告安全事件和隐患报告安全事件和隐患2930数据恢复数据恢复技术：技术： 数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以还原的过程。U盘或计算机硬盘存储的数据即使已被删除或进行格式化处理，使用专用软件仍能将其恢复，这种方法也因此成为窃密的手段之一。 例如，窃密者使用从互联网下载的恢

4、复软件对目标计算机的已被格式化的U盘进行格式化恢复操作后，即可成功的恢复原有文件。安全事件安全事件 香港某明星曾托助手将其手提电脑，送到一间计算机公司维修，其后有人把计算机中已经删除的照片恢复后制作成光盘，发放予朋友及其它人士观赏。 3233 34353637安全培训安全培训安全计划启动安全计划启动并并统一注册统一注册安全设计安全设计最佳做法最佳做法安全体系结构安全体系结构和攻击面审核和攻击面审核使用安全开发使用安全开发工具以及工具以及安全开发和安全开发和测试最佳做法测试最佳做法创建产品创建产品安全文档安全文档和工具和工具准备安全准备安全响应计划响应计划安全推动安全推动活动活动 渗透渗透 测试

5、测试 最终最终安全安全审核审核安全维护安全维护和和响应执行响应执行功能列表功能列表质量指导原则质量指导原则体系结构文档体系结构文档日程表日程表设计规范设计规范测试和验证测试和验证编写新代码编写新代码故障修复故障修复代码签发代码签发 + Checkpoint Press 签发签发RTM产品支持产品支持服务包服务包/QFE 安全更新安全更新需求需求设计设计实施实施验证验证发行发行支持和维护支持和维护威胁建模威胁建模功能规范功能规范38394041424344454647484950515253545556575859606162636465666768697071727374NoImage7576

6、77787980业务持续性管理程序业务持续性管理程序安全事件安全事件管理程序管理程序部门级的部门级的BCP/DRP（基于（基于BIA）紧急响应紧急响应处理程序处理程序8182 事先做好备份等准备工作事先做好备份等准备工作 灾难发生后妥善处理以降灾难发生后妥善处理以降 低损失低损失 在确定时限内恢复在确定时限内恢复 分析原因，做好记录分析原因，做好记录 BCP应定期测试和维护应定期测试和维护 应该明确责任人应该明确责任人838485计算机信息系统安全保计算机信息系统安全保护条例护条例计算机信息网络国际联计算机信息网络国际联网安全保护管理办法网安全保护管理办法86“违反国家规定，侵入前款规定以外的

7、计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。” “提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”878889P 加强敏感信息的保密加强敏感信息的保密P 留意物理安全留意物理安全P 遵守法律法规和安全策略遵守法律法规和安全策略P 公司资源只供公司所用公司资源只供公司所用P 保守口令秘密保守口令秘密P 谨慎使用