信息安全培训20111230课件

1、信息安全培训信息技术部 信息安全员 钱昭敏进行安全培训的原因 信息安全管理使用规则(GB/T 19716-2005)第6.2.1点：组织的所有雇员和（若相关的）第三方用户要接受组织的策略和规程方面的适当培训和定期更新内容。这包括安全要求、合法职责和业务控制以及在给予访问信息和服务之前正确使用信息处理设施的培训，例如登录过程、使用软件包等。证券公司信息技术管理规范（JR/T 00232004）第4.4.2点：信息系统安全管理组织应组织信息系统安全教育及技术培训。证券期货经营机构信息技术治理工作指引第八章第四十九条：公司应对全体员工开展必要的信息安全培训、教育和考核。证券期货业信息安全保障管理暂行

2、办法（证监信息字20055号）第三章第十条：信息安全保障工作的目标： 提高证券期货业人员的信息安全意识、安全专业素质以及安全管理与服务水平； 课程导航我司信息安全保障体系介绍员工信息安全指引投资者教育-交易系统使用安全指引我司信息安全保障体系信息安全行政管理工作集中交易安全管理工作网上信息系统安全管理工作营业部信息系统安全保障工作信息安全行政管理工作-法律法规证券公司分类监管规定（2010年修订）第二章第五条：证券公司风险管理能力主要根据资本充足、公司治理与合规管理、动态风险监控、信息系统安全、客户权益保护、信息披露等6类评价指标，按照证券公司风险管理能力评价指标与标准进行评价，体现证券公司对

3、流动性风险、合规风险、市场风险、信用风险、技术风险及操作风险等管理能力。信息系统安全评价指标与标准：IT治理完善，信息系统管理机制独立有效信息系统功能齐备，有效满足客户委托、交易、清算、开户、查询等需求，客户电子资料等信息安全信息系统安全稳定运行，能够避免频繁信息安全事故或重大事故信息系统应急预案有效， 能够及时应对信息安全事故安全管理应做到“谁主管，谁负责”、“谁运营，谁负责”，注重以法律手段明确与他方的责任关系，通过契约、协调等方式与他方进行责任划分，明确进行风险转移，通过责任主体制约他方。（证券期货业信息安全保障管理暂行办法)信息安全行政管理工作-法律法规东莞证券有限责任公司信息技术管理

4、制度第十五章第二条：公司信息安全目标：保障投资者信息安全；杜绝大范围影响投资者正常业务或引起大范围投资者不满的重大事故发生；保障公司业务活动连续性；保障公司信息资产安全：公司信息安全最低要求保证交易系统99.9 可用率。信息安全行政管理工作-我司落实情况信息技术治理委员会为信息安全管理最高机构；建立一把手负责制，公司总裁为公司信息技术安全第一责任人，总部各部室、各营业网点均由本单位负责人作为信息安全第一责任人，信息技术部为公司计算机安全日常管理的职能部门，负责全公司信息技术的安全管理。（信息技术管理制度）2010年8月4日，我司各营业部负责人向分管信息的公司领导签订了责任状，营业部技术人员向营

5、业部总经理签订了责任状；信息技术部负责人向分管信息的公司领导签订了责任状，信息技术部员工向信息技术部负责人签订了责任状。集中交易安全管理工作-法律法规证券公司集中交易安全管理技术指引从管理组织体系、机房和运行环境、系统建设、运行管理、灾难备份、技术委托与外包、应急恢复与事故处理、技术监管等方面，对证券公司集中交易系统的安全管理工作做出了明确的指引要求。证券公司信息技术管理规范第3点指出：证券公司在信息技术管理工作中应遵循：安全性原则，应树立技术风险的防范意识，把安全措施落实到信息技术管理的每个环节、每个方面，应在信息系统的设计、开发、运行、维护各环节和硬件、软件、网络通讯、数据、管理制度各方面

6、，贯彻安全性原则。实用性原则，应加强信息技术管理，注重采用成熟的先进技术，在确保信息系统性能和安全的前提下，遵循高效益、低成本、易操作的原则。系统化原则，将证券公司信息技术管理有关的资源和活动以系统的观点来进行管理，理解和识别管理过程中的相互关系和作用，明确每个管理过程的职责和权限。集中交易安全管理工作目前我司集中交易系统采取双中心运营模式，外围交易系统采用多站点冗余接入运行机制，可实现绝大多数系统热冗余运行，缩短信息系统故障应急处理时间，大大提高了系统运行的安全性，信息安全保障提升至一个新的层次。集中交易安全管理采用专人专岗管理制度，每个工作岗位均具备明确的工作职责及责任人，重要权限采用多岗

7、多人制衡管理，日常工作严格按照规范的工作流程执行，具备比较完善的风险评估、应急预案、操作复核、领导审核的流程，具备重要技术、资料保密管理制度。网上信息系统安全管理工作-法律法规证券公司网上证券信息系统技术指引是目前针对网上信息系统的最为重要的一份指引文件，在网站、网上交易客户端、移动证券等方面均做出了明确的安全要求。其中第四条做出了原则性要求：证券公司利用网上证券信息系统开展证券业务应遵循如下基本原则： （一）安全性原则：网上证券信息系统的建设应提高风险防范意识，保证在网上开展证券业务的安全性。通过技术措施和管理手段，实现信息的保密性、完整性和服务可用性。（二）系统性原则：网上证券信息系统的安

8、全建设应覆盖安全保障体系的各个方面，包括：安全体系建设、证券业务在网上的开展、网络和系统安全、应用系统安全、运维和安全保障、灾难恢复和应急措施等。（三）可用性原则：网上证券信息系统的建设应在保障安全的原则下，确保在网上开展的证券业务的连续性和可靠性。网上信息系统安全管理工作-建设情况证券公司应在两个以上的物理地点建立网上证券信息系统，互为备份，并应具备2个或2个以上不同运营商的互联网接入，避免在同一运营商的线路接入上出现单点故障和瓶颈，同时应充分考虑不同互联网运营商的互联瓶颈问题，确保局部故障或灾难发生时，系统能继续对用户提供服务。 证券公司网上证券信息系统技术指引第十八条我司目前建立了四个运

9、营商互联网接入服务点（IDC），其中包括两个中国电信IDC，一个中国联通IDC以及一个中国移动IDC。所有机柜通过独享100M（中国移动独享50M）互联网线路接入提供服务。网上信息系统安全管理工作-建设情况证券公司应在门户网站部署防篡改系统，当网站上的页面内容、提供给投资者下载的客户端软件及其它文件被异常修改时，能自动告警或自动恢复，防止被捆绑木马程序。 证券公司网上证券信息系统技术指引第二十三条我司网站已按照国家主管部门的有关规定办理网站备案，已部署防篡改系统，具有防注入和跨站攻击，以及特殊字符过滤功能 。除了防篡改主动防御系统，我们也在软件下载页面提供了MD5校验器以及各个软件的MD5校验

10、码，客户下载了交易软件后，可通过检查软件MD5是否一致，从而避免下载了被捆绑木马程序的软件。网上信息系统安全管理工作-建设情况网上证券客户端应提供技术手段协助用户检查、清除木马等恶意程序，并提供验证码、强制口令图形键盘、安全的口令输入安全控件、客户端电脑或手机特征码绑定、软硬件证书、动态口令等多种用户认证方式，防范不法分子利用木马等黑客程序窃取客户账号和口令信息，进行证券盗买盗卖非法活动。 证券公司网上证券信息系统技术指引第二十八条网上信息系统安全管理工作-建设情况提供可靠的用户身份认证机制，支持网上证券客户端采用多种认证方式与服务端进行身份认证。除输入证券帐号、口令、验证码的身份认证方式之外

11、，还提供了硬件证书（U-key）的身份认证方式 。客户身份信息和交易数据等重要数据传输均采用国家信息安全机构认可的加密技术和加密强度，并达到SSL协议128位的加密强度 。能在指定的闲置时间间隔到期后（默认5分钟），自动锁定客户端的使用 。能向客户提示最近一次登录的日期、时间、地址等信息。提供预留验证信息服务，在客户登录时向客户显示预留的验证信息，帮助客户识别仿冒的网上证券信息系统。具备防止用户使用简单口令，对客户使用简单密码或设置为简单密码均有风险提示，并能够抵御连续猜测等对客户账户恶意攻击行为 。后台即时能记录、存储必要的日志信息，其中包含能识别服务请求方身份的内容、登录终端的IP地址、M

12、AC地址等 。营业部信息系统安全保障工作-法律法规证券营业部信息技术指引对营业网点建设和日常运营的系统工作提出了总体性的框架规范，对基础建设、运维制度、安全保障的方面均作出了明确的要求。第二条证券公司应按照信息系统安全性、实用性、可操作性原则，统一规划和建设证券营业部信息系统，全面负责证券营业部信息技术的安全管理。第三条证券营业部应在所属证券公司的集中统一管理下，制定相应的信息技术工作流程和操作规范，确保信息系统对业务的有效支撑。营业部信息系统安全保障工作-基础环境证券营业部机房建设应符合GB9361-88计算站场地安全要求和GB2887-89计算站场地技术条件的有关规定。证券营业部信息技术指

13、引第六条物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存储数据的介质等免受物理环境、自然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻击。物理安全是防护信息系统安全的最底层，缺乏物理安全，其他任何安全措施都是毫无意义的。物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护营业部信息系统安全保障工作-运维管理证券营业部应用系统应具备足够的健壮性，系统处理能力具有一定的冗余度，行情、交易、资讯系统等关键硬件设备应通过热备、冷备等手段，避免单点故障，提高系统可用性。 证券营业部信息技术指引第二十八条任何服务器的设

14、置变动，必须采用双人复核制。除故障应急外，开市交易期间不得进行任何与交易业务相关的信息系统变更操作。信息系统应急步骤必须具有可操作性，备用服务器需确保在交易期间随时可切换。所有服务器必须定期更新杀毒软件病毒库。建立内网WSUS更新服务器，所有信息系统服务器、柜台用机及时进行补丁更新。营业部信息系统安全保障工作-管理制度证券营业部应执行所属证券公司的人员管理、机房管理、网络管理、设备管理、数据管理、技术文档管理、系统运维管理、应急处理等制度。每年将信息系统运行及制度执行情况报告所属证券公司并同时按监管部门的要求抄报有关单位。证券营业部信息技术指引第三十三条安全管理制度包括信息安全工作的总体方针、

15、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。每天的操作日志必须完整、真实填写，妥善保管，随时备查。主备岗制度必须贯彻落实，备岗人员能够独立完成所有信息系统日常操作，熟悉应急步骤。了解公司信息技术管理制度，熟悉信息系统应急预案和应急流程。营业部信息系统安全保障案例一：某营业部的大智慧行情系统即将到期，在开市后从大智慧网站下载了续期的授权文件，更新了授权。结果在更新授权后，无盘行情工作站不能刷新行情，严重影响了客户看行情。案例二：某营业部的NOVELL服务器时间不准，在收市后对服务器的时间进行了调校。但在调整了服务器时钟后，操作人自己没有细心观察、检查测试，亦没有

16、第二人复核检查。操作的技术员在输入调整时间命令时，没有区分24小时制，将下午的4点多设成了早上的4点多，时间相差了12小时。第二天早上9点多，大智慧的转码机还不能自动初始化，直到9:30开市客户才发现行情还不会变化。营业部信息系统安全保障案例三：青海某地停电一天，停电期间，营业部的备用发电机无法正常工作，UPS备用电源仅能保证机房、柜台等重要岗位以及不足15台客户交易终端的应急使用，无法保证部分现场交易客户观看行情和交易的需要，导致部分现场交易客户长时间无法正常交易，造成了较为恶劣的影响。员工信息安全指引网络使用文件管理数据管理业务系统员工信息安全指引-网络安全员工在日常工作中，应严格遵守公司

17、关于内外网隔离的有关规定。互联网实际上充满了攻击与病毒危险，将内外网直接连通，就意味着将公司的内部网络暴露于互联网之中，对公司的网络环境造成很大的风险。在任何情况下，都不得擅自将内外网直接连通。如涉及系统应急工作，应预先做好符合规定的应急方案，申请并建立安全的VPN连接，使网络的安全可控。在日常访问互联网时，应该时刻保持风险意识，不贸然打开一些不受信任的网站，不随意接收他人通过QQ等方式传输过来的文件，防止木马入侵。员工信息安全指引-文件管理病毒的特征它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。它必须能自我复制。例如，它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可

18、以感染桌面计算机也可以感染网络服务器。 引自中华人民共和国计算机信息系统安全保护条例蠕虫病毒蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合，等等。员工信息安全指引-文件管理木马的特征表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。窃取信息是木马最大的目的。它是具有欺骗性的文件(宣称是良性的，但事实上是恶意的)，是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段

19、隐藏木马，这样服务端即使发现感染了木马，也难以确定其具体位置;所谓非授权性是指一旦控制端与服务端连接后，控制端将窃取到服务端的很多操作权限，如修改文件，修改注册表，控制鼠标，键盘，窃取信息等等。一旦中了木马，你的系统可能就会门户大开，毫无秘密可言。员工信息安全指引-文件管理案例一：04年的“证券大盗”木马(Trojan/PSW.Soufan)。该木马可以盗取包括多家证券交易系统的交易账户和密码，被盗号的股民账户存在被人恶意操纵的可能。据介绍，病毒运行后，自动监控一些特定的金融证券网站页面，当病毒监测到包含证券公司名字等标题的网站窗口时，就开始使用键盘钩子程序自动记录用户登陆信息，包括用户名和密

20、码，同时，病毒还通过屏幕快照将用户登陆时窗口画面保存为图片，在记录达到一定次数后，将记录的信息和图片通过电子邮件发送给病毒作者。案例二：年底，我国互联网上大规模爆发“熊猫烧香”病毒及其变种，该病毒通过多种方式进行传播，并将感染的所有程序文件改成熊猫举着三根香的模样，同时该病毒还具有盗取用户游戏账号、账号等功能。该病毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。瑞星安全报告将其列为十大病毒之首，在年度中国大陆地区电脑病毒疫情和互联网安全报告的十大病毒排行中一举成为“毒王”。信息系统使用安全指引-数据管理客户资料管理授权管理，

21、应该遵循最小化原则；多客户查询权限、导出功能权限应谨慎授权。因工作需要查询客户资料后，不可外泄给与本公司无关的第三方人员；导出客户资料后应该在使用完成后及时进行删除。移动介质由专人管理，严禁互连网与内网之间未经安全确认传输文件及数据。信息系统使用安全指引-业务系统操作帐号管理在没有得到授权的情况下，不可借用他人帐号，或者提供操作帐号给其他人。帐号密码复杂度应符合安全标准。（大小写、字母、长度）定期修改密码离柜锁屏投资者教育-交易系统使用安全指引证券公司利用网上证券信息系统开展证券业务应遵循如下基本原则： 安全性原则：网上证券信息系统的建设应提高风险防范意识，保证在网上开展证券业务的安全性。通过

22、技术措施和管理手段，实现信息的保密性、完整性和服务可用性。系统性原则：网上证券信息系统的安全建设应覆盖安全保障体系的各个方面，包括：安全体系建设、证券业务在网上的开展、网络和系统安全、应用系统安全、运维和安全保障、灾难恢复和应急措施等。可用性原则：网上证券信息系统的建设应在保障安全的原则下，确保在网上开展的证券业务的连续性和可靠性。 证券公司网上证券信息系统技术指引第一章第四条投资者教育-交易系统使用安全指引指引客户在使用交易软件的电脑上安装可升级的杀毒软件，开启系统补丁自动更新。指引客户务必到我司官方网站下载交易软件。下载完成后，建议客户使用MD5校验器对软件进行校验，防止软件遭篡改。建议客

23、户不要使用生日、电话号码、门牌号或类似“123456”等带有明显规律的密码。同时，证券账户的密码不要保存在电脑上。如登录时交易软件提示密码过于简单，应尽快修改密码。投资者教育-交易系统使用安全指引只在可信任的电脑上进行账户操作，尽量不要在网吧等公共场所使用。由于公共计算机的安全防范措施不高，往往会存在病毒、木马，这都给网上炒股带来风险。如果必须使用此类计算机，则在进行网上交易前必须先对电脑进行查毒，同时，在完成交易后一定要退出交易系统，以免造成股票和账户资金损失。常见黑客攻击手段网上诈骗（网络钓鱼）所谓“网上诈骗”，就是黑客实现建立一个与正常网站几乎一模一样的假冒网站，同时申请一个与正常网站相近的域名，俗称钓鱼网站。当用户输入错网址后，就会被引入到这个虚假的网站。一旦用户在这个假网站中输入自己的帐号、密码，这些信息就会被黑客窃取 。同时，一些病毒感染用户计算机后也会弹出假冒的窗口，引诱用户输入隐私信息，达到相同的目的 。常见黑客攻击手段木马潜入（证券大盗）这类木马的基本原则是“只偷窃不破坏”，因此有着很大的隐蔽性。用户的计算机感染这类病毒后，没有明显的发作特征，用户几乎察觉不到被病毒感染，而这些病毒则在后台悄悄地运行，当用户登录网络银行、证券系统时自动记录输入的信息，并将这些信息发送给黑客。行业教训2001年9