银行信息安全意识培训课件

信息技术部2019年7月银行信息安全意识交流信息技术部2019年7月银行信息安全意识交流1建立对信息安全的敏感意识和正确认识掌握信息安全的基本概念、原则和惯例清楚可能面临的威胁和风险遵守各项安全策略和制度在日常工作中养成良好的安全习惯最终提升整体的信息安全水平2我们的目标建立对信息安全的敏感意识和正确认识2我们的目标2

1、国内多家银行网银用户遭到大规模钓鱼攻击，损失巨大；

2、RSA遭黑客攻击，主流身份认证产品SecureID的重要信息泄漏，导致美国多家军工企业信息系统受到严重威胁；

3、LulzSec成功袭击了中央情报局，美国参议院，任天堂，索尼等多家机构，引起国际社会广泛关注；

4、花旗银行网站遭遇黑客20万信用卡用户信息被盗；

5、由于南海领土纠纷引起中越黑客相互攻击对方重要网站；

6、韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数据丢失；

7、美联合航空电脑故障，全国服务大乱；

8、腾讯网大面积访问异常；

9、新浪微博病毒大范围传播；

10、Comodo等多家证书机构遭到攻击，攻击者得以伪造google等多家知名网站证书，使互联网安全遭遇严重威胁；1、国内多家银行网银用户遭到大规模钓鱼攻击，损失巨大；34445高枕无忧惨痛教训补丁管理应用安全数据加密隐私防范拒绝服务攻击集中管理移动存储钓鱼劫持恶意代码无线攻击…5高枕无忧惨痛教训补丁管理应用安全数据加密隐私防范拒绝服务攻56WindowsXP/7…如果我是黑客……1、绝大多数笔记本电脑都内置麦克风且处于开启状态；2、开启录音功能；3、录制所需内容并将其放置于某Web页面之上：4.开启所有笔记本的摄像头，并把录像放置于某Web页面之上：6WindowsXP/7…如果我是黑客……67

信息资产拒绝服务流氓软件黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统漏洞硬件故障网络通信故障供电中断失火雷雨地震威胁无处不在7信息资产拒绝服务流氓软件黑客渗透内部人员威胁木马后门病毒78外部威胁8外部威胁89踩点扫描破坏攻击渗透攻击获得访问权获得控制权清除痕迹安装后门远程控制转移目标窃密破坏黑客攻击基本手法9踩点扫描破坏攻击渗透攻击获得访问权获得控制权清除痕迹安装后910

病从口入

天时地利人和员工误操作蓄意破坏职责权限混淆内部威胁10病从口入员工误操作蓄意破坏职责权限混淆内部威胁1011

技术弱点

操作弱点

管理弱点系统、程序、设备中存在的漏洞或缺陷配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份过程的不当等策略、程序、规章制度、人员意识、组织结构等方面的不足自身弱点11技术弱点操作弱点管理弱点系统、程序、设备中1112

将口令写在便签上，贴在电脑监视器旁开着电脑离开，就像离开家却忘记关灯那样轻易相信来自陌生人的邮件，好奇打开邮件附件使用容易猜测的口令，或者根本不设口令丢失笔记本电脑不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息随便拨号上网，或者随意将无关设备连入公司网络事不关己，高高挂起，不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁，忽视企业内部人员的问题会后不擦黑板，会议资料随意放置在会场最常犯的一些错误12将口令写在便签上，贴在电脑监视器旁最常犯的一些错误1213

信息资产对我们很重要，是要保护的对象

威胁就像苍蝇一样，挥之不去，无所不在资产自身又有各种弱点，给威胁带来可乘之机面临各种风险，一旦发生就成为安全事件、事故保持清醒认识13信息资产对我们很重要，是要保护的对象保持清醒认识1314严防威胁消减弱点应急响应保护资产熟悉潜在的安全问题知道怎样防止其发生明确发生后如何应对我们应该……14严防威胁熟悉潜在的安全问题我们应该……1415理解和铺垫基本概念15理解和铺垫基本概念1516

消息、信号、数据、情报和知识信息本身是无形的，借助于信息媒体以多种形式存在或传播：存储在计算机、磁带、纸张等介质中记忆在人的大脑里通过网络、打印机、传真机等方式进行传播信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产：计算机和网络中的数据硬件、软件、文档资料关键人员组织提供的服务具有价值的信息资产面临诸多威胁，需要妥善保护Information什么是信息16消息、信号、数据、情报和知识Information什么1617

采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。什么是信息安全17采取措施保护信息资产，使之不因偶然或者恶意侵犯而1718CIAOnfidentiality（机密性）Ntegrity（完整性）Vailability（可用性）CIA信息安全基本目标18CIAOnfidentiality（机密性）Ntegri1819ConfidentialityIntegrityAvailabilityInformation管理者的最终目标19ConfidentialityIntegrityAvai1920因果关系20因果关系2021

物理安全：环境安全、设备安全、媒体安全

系统安全：操作系统及数据库系统的安全性

网络安全：网络隔离、访问控制、VPN、入侵检测、扫描评估

应用安全：Email安全、Web访问安全、内容过滤、应用系统安全

数据加密：硬件和软件加密，实现身份认证和数据信息的CIA特性

认证授权：口令认证、SSO认证（例如Kerberos）、证书认证等

访问控制：防火墙、访问控制列表等

审计跟踪：入侵检测、日志审计、辨析取证

防杀病毒：单机防病毒技术逐渐发展成整体防病毒体系

灾备恢复：业务连续性，前提就是对数据的备份技术手段21物理安全：环境安全、设备安全、媒体安全技术手段2122在可用性（Usability）和安全性（Security）之间是一种相反的关系提高了安全性，相应地就降低了易用性而要提高安全性，又势必增大成本管理者应在二者之间达成一种可接受的平衡安全vs.可用——平衡之道22在可用性（Usability）和安全性（Security2223

计算机安全领域一句格言：

“真正安全的计算机是拔下网线，断掉电源，放在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”绝对的安全是不存在的！23计算机安全领域一句格言：绝对的安全是不存在的！2324

技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂信息安全管理构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标尤其重要唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实三分技术，七分管理！关键点：信息安全管理24技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂三2425务必重视信息安全管理加强信息安全建设工作管理层：信息安全意识要点25务必重视信息安全管理管理层：信息安全意识要点2526

安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程如何正确认识信息安全26安全不是产品的简单堆积，也不是一次性的静态过2627重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规重要信息的保密27重要信息的保密重要信息的保密2728Owner数据的属主（OM/PM）决定所属数据的敏感级别确定必要的保护措施最终批准并Review用户访问权限Custodian受Owner委托管理数据通常是IT人员或部门系统（数据）管理员向Owner提交访问申请并按Owner授意为用户授权执行数据保护措施，实施日常维护和管理User公司或第三方职员因工作需要而请求访问数据遵守安全规定和控制报告安全事件和隐患资产责任划分28Owner数据的属主（OM/PM）Custodian受O2829Public公开InternalUse内部公开Confidencial秘密Secret机密、绝密缺省信息保密级别划分29Public公开InternalUse内部公开Conf2930

根据需要，在合同或个人协议中明确安全方面的承诺和要求；明确与客户进行数据交接的人员责任，控制客户数据使用及分发；明确非业务部门在授权使用客户数据时的保护责任；基于业务需要，主管决定是否对重要数据进行加密保护；禁止将客户数据或客户标识用于非项目相关的场合如培训材料；客户现场的工作人员，严格遵守客户Policy，妥善保护客户数据；打印件应设置标识，及时取回，并妥善保存或处理。数据保护安全（举例）30根据需要，在合同或个人协议中明确安全方面的承诺和要求；30数据恢复技术：

数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以还原的过程。U盘或计算机硬盘存储的数据即使已被删除或进行格式化处理，使用专用软件仍能将其恢复，这种方法也因此成为窃密的手段之一。例如，窃密者使用从互联网下载的恢复软件对目标计算机的已被格式化的U盘进行格式化恢复操作后，即可成功的恢复原有文件。安全事件

香港某明星曾托助手将其手提电脑，送到一间计算机公司维修，其后有人把计算机中已经删除的照片恢复后制作成光盘，发放予朋友及其它人士观赏。

数据恢复技术：3132重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规信息交换与备份32重要信息的保密信息交换与备份3233信息交换原则：明确要交换信息的敏感级别，除了显著标注外，根据其敏感级别采取合适的保护措施信息发送者和接收者有责任遵守信息交换要求物理介质传输：与快递公司签署不扩散协议，识别丢失风险，采取必要的控制措施电子邮件和互联网信息交换明确不可涉及敏感数据，如客户信息、订单合同等信息如必须交换此类信息，需申请主管批准并采取加密传输措施或其它保护机制文件共享：包括Confidential（机密性）在内的高级别的信息不能被发布于公共区域

所有共享文件应按照规则放置在相应的文件服务器目录中，任何人不得在其个人电脑中开设共享。共享文件夹应该设置恰当的访问控制，禁止向所有用户赋予完全访问权限临时共享的文件事后应予以删除信息交换安全（举例）33信息交换原则：信息交换安全（举例）3334通过传真发送机密信息时，应提前通知接收者并确保号码正确不允许在公共区域用移动电话谈论机密信息不允许在公共区域与人谈论机密信息不允许通过电子邮件或IM工具交换账号和口令信息不允许借助公司资源做非工作相关的信息交换不允许通过IM工具传输文件信息交换安全（举例：续）34通过传真发送机密信息时，应提前通知接收者并确保号码正确信3435重要信息系统应支持全备份、差量备份和增量备份IT部门提供备份所需的技术支持和必要的培训属主应该确保备份成功并定期检查日志，根据需要，实施测试以验证备份效率和效力信息备份安全（举例）35重要信息系统应支持全备份、差量备份和增量备份信息备份安全3536重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规软件应用安全36重要信息的保密软件应用安全3637安全培训安全计划启动

并

统一注册安全设计最佳做法安全体系结构和攻击面审核使用安全开发工具以及安全开发和测试最佳做法创建产品安全文档和工具准备安全响应计划安全推动活动渗透

测试最终安全审核安全维护和响应执行功能列表

质量指导原则

体系结构文档

日程表设计规范测试和验证编写新代码故障修复代码签发+

CheckpointPress签发RTM产品支持

服务包/

QFE安全更新需求设计实施验证发行支持和维护威胁建模功能规范传统软件开发生命周期的任务和流程软件应用安全（方法论）37安全培训安全计划启动

并

统一注册安全设计安全体系结构使3738软件应用安全（举例）

开发相关软件，业务和技术部门做需求评估，IT相关软件由IT部门负责评估结果提交专家委员会审核，确定是否采购、外包或自行开发

IT资产管理部门负责对新软件登记注册并标注软件安装之前应确保其处于安全状态（如：无流氓插件、病毒、License合法等）软件License管理应由专人负责软件若需更新，应提出申请，经评估确认后才能实施，并进行记录软件使用到期，应卸载软件38软件应用安全（举例）开发相关软件，业务和技术部门做需求3839重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规计算机网络访问39重要信息的保密计算机网络访问3940

访问控制基本原则：未经明确允许即为禁止访问必须通过唯一注册的用户ID来控制用户对网络的访问系统管理员必须确保用户访问基于最小特权原则授权用户必须根据要求使用口令并保守秘密系统管理员必须对用户访问权限进行检查，防止滥用系统管理员必须确保网络服务可用系统管理员必须根据安全制度要求定义访问控制规则，用户必须遵守规则各部门应按照管理规定制定并实施对业务应用系统、开发和测试系统的访问规则计算机网络访问安全（举例）40访问控制基本原则：未经明确允许即为禁止访问计算机网络访4041重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规人员安全管理41重要信息的保密人员安全管理4142背景检查签署保密协议安全职责说明技能意识培训内部职位调整及离职检查流程绩效考核和奖惩人员安全（举例）42背景检查签署保密协议安全职责说明技能意识培训内部职位调整4243

所有员工必须根据需要接受恰当的安全培训和指导根据工作所需，各部门应该识别并评估员工的培训需求业务部门应该建立并维持员工安全意识程序，确保员工通过培训而精于工作技能，并将信息安全意识深入其工作之中管理层有责任引领信息安全意识促进活动

信息安全意识培训应该持续进行，员工有责任对培训效果提出反馈人力资源部门负责跟踪培训策略的符合性，保留员工接受培训的相关记录信息安全经理应该接受专门的信息安全技能培训技术部门等特定职能和人员应该接受相应的技能培训人员安全（举例）43所有员工必须根据需要接受恰当的安全培训和指导人员安全（4344

应该识别来自第三方的风险：保安、清洁、基础设施维护、供应商或外包人员，低质量的外包服务也被视作一种安全风险签署第三方协议时应包含安全要求，必要时需签署不扩散协议第三方若需访问敏感信息，需经检查和批准，其访问将受限制任何第三方禁止访问生产网络第三方访问所用工具应经过相关部门检查，其访问应经过认证负责第三方访问的人员需接受必要的安全意识培训第三方管理安全（举例）44应该识别来自第三方的风险：保安、清洁、基础设施维护、供4445重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规移动计算与远程办公45重要信息的保密移动计算与远程办公4546

所有连接办公网络的笔记本电脑或其他移动计算机，必须按照指定PC安全标准来配置，必须符合补丁和防病毒管理规定

IT管理部门可以协助用户部署必要的笔记本电脑防信息泄漏措施用户不能将口令、ID或其他账户信息以明文保存在移动介质上笔记本电脑遗失应按照相应管理制度执行安全响应措施敏感信息应加密保护禁止在公共区域讨论敏感信息，或通过笔记本电脑泄漏信息笔记本电脑与远程办公安全（举例）46所有连接办公网络的笔记本电脑或其他移动计算机，必须按照4647重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规工作环境及物理安全47重要信息的保密工作环境及物理安全4748

关键安全区域包括服务器机房、财务部门和人力资源部门、法务部、安全监控室应具备门禁设施前台接待负责检查外来访客证件并进行登记，访客进入内部需持临时卡并由相关人员陪同实施7×24小时保安服务，检查保安记录所有入口和内部安全区都需部署有摄像头，大门及各楼层入口都被实时监控禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用碎纸机粉碎废弃或待修磁介质转交他人时应经IT管理部门消磁处理

工作环境安全（举例）48关键安全区域包括服务器机房、财务部门和人力资源部门、法4849

您肯定用过银行的ATM机，您插入银行卡，然后输入密码，然后取钱，然后拔卡，然后离开，您也许注意到您的旁边没有别人，您很小心，可是，您真的足够小心吗？……我们来看一个案例49您肯定用过银行的ATM机，您插入银行卡，然后输入4950505051515152525253535354545455重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规病毒与恶意代码55重要信息的保密病毒与恶意代码5556——《中华人民共和国计算机信息系统安全保护条例》

“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”什么是计算机病毒56——《中华人民共和国计算机信息系统安全保护条例》5657病毒Virus蠕虫Worm木马Trojan传统的计算机病毒，具有自我繁殖能力，寄生于其他可执行程序中的，通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染网络蠕虫不需借助其他可执行程序就能独立存在并运行，通常利用网络中某些主机存在的漏洞来感染和扩散特洛伊木马是一种传统的后门程序，它可以冒充正常程序，截取敏感信息，或进行其他非法的操作病毒蠕虫木马57病毒Virus蠕虫Worm木马Trojan传统的计5758

除了蠕虫、病毒、木马等恶意代码，其他恶意代码还包括逻辑炸弹、远程控制后门等现在，传统的计算机病毒日益与网络蠕虫结合，发展成威力更为强大的混合型蠕虫病毒，传播途径更加多样化（网络、邮件、网页、局域网等）通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木马程序，但并不能防止未知病毒，需要经常更新让我们继续……58除了蠕虫、病毒、木马等恶意代码，其他恶意代码还包括逻辑5859

所有计算机必须部署指定的防病毒软件防病毒软件必须持续更新感染病毒的计算机必须从网络中隔离直至清除病毒任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度发生任何病毒传播事件，相关人员应及时向IT管理部门汇报

……仅此就够了么恶意代码防范策略59所有计算机必须部署指定的防病毒软件恶意代码防范策略5960重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规口令安全60重要信息的保密口令安全6061

用户名+口令是最简单也最常用的身份认证方式口令是抵御攻击的第一道防线，防止冒名顶替口令也是抵御网络攻击的最后一道防线

针对口令的攻击简便易行，口令破解快速有效由于使用不当，往往使口令成为最薄弱的安全环节口令与个人隐私息息相关，必须慎重保护为什么口令很重要61用户名+口令是最简单也最常用的身份认证方式为什么口令很6162

如果你以请一顿工作餐来作为交换，有70％的人乐意告诉你他（她）的机器口令有34％的人，甚至不需要贿赂，就可奉献自己的口令另据调查，有79％的人，在被提问时，会无意间泄漏足以被用来窃取其身份的信息平均每人要记住四个口令，95％都习惯使用相同的口令（在很多需要口令的地方）

33％的人选择将口令写下来，然后放到抽屉或夹到文件里一些数字……62如果你以请一顿工作餐来作为交换，有70％的人乐意告诉你6263

少于8个字符单一的字符类型，例如只用小写字母，或只用数字用户名与口令相同最常被人使用的弱口令：自己、家人、朋友、亲戚、宠物的名字生日、结婚纪念日、电话号码等个人信息工作中用到的专业术语，职业特征字典中包含的单词，或者只在单词后加简单的后缀所有系统都使用相同的口令口令一直不变脆弱的口令……63少于8个字符脆弱的口令……6364

简单的猜测使用专门的口令破解工具字典攻击（DictionaryAttack）暴力攻击（BruteForceAttack）混合攻击（HibridAttack）在网络中嗅探明文传送的口令利用后门工具来截获口令通过社会工程获取口令如何破解口令64简单的猜测如何破解口令6465

口令是越长越好但“选用20个随机字符作为口令”的建议也不可取人们总习惯选择容易记忆的口令如果口令难记，可能会被写下来，这样反倒更不安全值得注意的……65口令是越长越好值得注意的……6566

口令至少应该由8个字符组成口令应该是大小写字母、数字、特殊字符的混合体不要使用名字、生日等个人信息和字典单词选择易记强口令的几个窍门：口令短语字符替换单词误拼键盘模式建议……66口令至少应该由8个字符组成建议……6667

用户有责任记住自己的口令

IT管理部门在独立审计的前提下进行口令锁定、解锁和重置操作初始口令设置不得为空口令设置不得少于8个字符口令应该包含特殊字符、数字和大小写字母口令应该经常更改，设定口令有效期为3个月口令输入错误限定3次，随后会被锁定，解锁需通报IT管理部门口令管理（举例）67用户有责任记住自己的口令口令管理（举例）6768重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规电子邮件安全68重要信息的保密电子邮件安全6869据统计，有超过87％的病毒是借助Email进入企业的对于下列标题的邮件，选择打开阅览的人数百分比：ILOVEYOU：37％的人会打开邮件Greatjoke：54％的人会打开邮件Message：46％的人会打开邮件Specialoffer：39％的人会打开邮件……小组讨论Email数字69据统计，有超过87％的病毒是借助Email进入企业的Em6970不当使用Email可能导致法律风险禁止发送或转发反动或非法的邮件内容未经发送人许可，不得转发接收到的邮件不得伪造虚假邮件，不得使用他人账号发送邮件未经许可，不得将属于他人邮件的消息内容拷贝转发与业务相关的Email应在文件服务器上做妥善备份，专人负责检查包含客户信息的Email应转发主管做备份个人用途的Email不应干扰工作，并且遵守本策略避免通过Email发送机密信息，如果需要，应采取必要的加密保护措施Email安全（举例）70不当使用Email可能导致法律风险Email安全（举例）7071不安全的文件类型：绝对不要打开任何以下文件类型的邮件附件：.bat,,.exe,.vbs未知的文件类型：绝对不要打开任何未知文件类型的邮件附件，包括邮件内容中到未知文件类型的链接微软文件类型：如果要打开微软文件类型（例如.doc,.xls,.ppt等）的邮件附件或者内部链接，务必先进行病毒扫描要求发送普通的文本：尽量要求对方发送普通的文本内容邮件，而不要发送HTML格式邮件，不要携带不安全类型的附件禁止邮件执行Html代码：禁止执行HTML内容中的代码防止垃圾邮件：通过设置邮件服务器的过滤，防止接受垃圾邮件尽早安装系统补丁：杜绝恶意代码利用系统漏洞而实施攻击接收邮件注意……71不安全的文件类型：绝对不要打开任何以下文件类型的邮件附件7172如果同样的内容可以用普通文本正文，就不要用附件尽量不要发送.doc,.xls等可能带有宏病毒的文件发送不安全的文件之前，先进行病毒扫描不要参与所谓的邮件接龙尽早安装系统补丁，防止自己的系统成为恶意者的跳板发送邮件注意……72如果同样的内容可以用普通文本正文，就不要用附件发送邮件注7273重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规介质安全管理73重要信息的保密介质安全管理7374介质安全管理（举例）创建传递销毁存储使用更改74介质安全管理（举例）创建传递销毁存储使用更改7475重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规警惕社会工程学75重要信息的保密警惕社会工程学7576“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话……”

——KevinMitnick76“人是最薄弱的环节。你可能拥有最好的技术、7677

SocialEngneering

利用社会交往（通常是在伪装之下）从目标对象那里获取信息例如：电话呼叫服务中心在走廊里的聊天冒充服务技术人员著名黑客KevinMitnick更多是通过社会工程来渗透网络的，而不是高超的黑客技术什么是社会工程学77SocialEngneering什么是社会工程学7778

不要轻易泄漏敏感信息，例如口令和账号在相信任何人之前，先校验其真实的身份不要违背公司的安全策略，哪怕是你的上司向你索取个人敏感信息（KevinMitnick最擅长的就是冒充一个很焦急的老板，利用一般人好心以及害怕上司的心理，向系统管理员索取口令）不要忘了，所谓的黑客，更多时候并不是技术多么出众，而是社会工程的能力比较强社会工程学（举例）78不要轻易泄漏敏感信息，例如口令和账号社会工程学（举例）7879重要信息的保密信息交换及备份软件应用安全计算机及网络访问安全人员及第三方安全管理移动计算与远程办公工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理警惕社会工程学应急响应和业务连续性计划法律法规应急响应和BCP79重要信息的保密应急响应和BCP7980业务持续性管理程序风险评估管理风险控制措施应急计划框架预防为主事后紧急响应及恢复一般安全事件触发Helpdesk及IRT正常处理执行具体的BCP/DRP安全事件管理程序部门级的BCP/DRP（基于BIA）紧急响应和危机处理－ERT人员环境灾难触发紧急响应处理程序安全事件管理（框架）80业务持续性管理程序风险评估管理预防为主事后紧急响应及恢复8081

事先制定可行的安全事件响应计划建立事件响应小组，以管理不同风险级别的安全事件员工有责任向其上级报告任何已知或可疑的安全问题或违规行为必要时，管理层可决定引入法律程序做好证据采集和保留工作应提交安全事件和相关问题的定期管理报告，以备管理层检查应该定期检查应急计划的有效性安全事件管理要点（举例）81事先制定可行的安全事件响应计划安全事件管理要点（举例）8182网络通信中断服务器崩溃严重的数据泄漏或丢失计算机网络安全事件断电断水恐怖袭击人员伤亡设施毁坏火灾水灾人员与环境灾难事故

事先做好备份等准备工作灾难发生后妥善处理以降低损失在确定时限内恢复分析原因，做好记录