信息安全意识培训

www.trendsettin'

cn

安全意识22

培训目标

现实教训

问题根源

员工信息安全管理规范什么是安全意识安全意识（Security

awareness），就是能够认知可能存在的安全问题，明白安全事故对组织的危害，恪守正确的行为方式，并且清楚在安全事故发生时所应采取的措施。什么是安全意识34安全意识培训目标安全意识培训目标

从小事做起，从自身做起

形成遵守各项安全策略和制度规范的习惯Trendsetting您身边的信息安全问题信息泄密战略规划泄露公司重要市场策划泄露工资信息泄露产品资料泄露投标价格泄露客户信息泄露供应商信息泄露上市公司经营报告泄露邮件信息泄露Trendsetting您身边的信息安全问题IT系统安全问题核心系统宕机数据丢失无法恢复专线出口被封全网或某个网段瘫痪邮件域名被列入黑名单数据错误导致重大损失重要的计算机瘫痪系统崩溃备份无效网络遭公安机关检查Trendsetting您身边的信息安全问题员工安全问题将账户口令告诉同事口令记在本子上使用初始口令或空口令打印后不及时取走资料公共场所谈论公司业务计算机交接给他人介质随意借用离开办公位不锁屏重要资料随意堆放Trendsetting只重视技术导致的泄密事件Trendsetting只重视技术导致的泄密事件• 如果有这样一个管理制度，事件就不会发生项目验收制度明确要求修改原始口令• 如果有这样一个管理制度损失就不会如此大安全产品维护制度明确每天查看并分析日志Trendsetting没有管理流程导致的破坏完整性事件Trendsetting• 业务人员在ERP系统中录入订单• 录入时把数量多录了一个0，导致1000万的订单变成1亿订单• 半个月以后发现问题• 直接经济损失达到3000万• 企业信用也受到了严重影响没有管理流程导致的破坏完整性事件Trendsetting• 如果有以下任何一个管理环节，事件就不会发生• 订单录入后有人审核或审批• 大额订单有提示和告警功能• 如果大家的责任心都很强没有管理流程导致系统不可用的事件• 开发人员向服务器管理员申请一台服务器做开发测试• 服务器管理员告诉开发人员服务器在机房的位置，服务器的特征，让开发人员自己搞定• 开发人员发现服务器在运行，登陆不了，便重启了服务器，直接用光盘引导重装操作系统• 正在运行的业务系统服务器被格式化，业务软件、数据丢失，业务停顿了半天Trendsetting没有管理流程导致系统不可用的事件• 如果有以下任何一个管理环节，事件就不会发生• 服务器、机架有明确的编号• 服务器有BIOS开机口令• 服务器禁用光驱或者不允许光盘引导• 机房重地不允许其他人进入或者必须由管理员陪同Trendsetting建立信息安全管理体系,保护信息资产安全• [相关案例]2005年11月1日、12月8日，东京证交所罕见的连续两次技术故障，造成了数亿美元的经济损失，引起全球关注。2005年12月8日，日本瑞穗证券公司的一名经纪人在向交易系统中输入数据时，出现重大操作失误，使证券公司在16分钟之内蒙受了高达270亿日元（约合18.5亿人民币）的损失，造成日本证券交易史上前所未有的重大事故。中国国内2006年5月以来A股井喷式行情对于证券公司技术系统普遍带来压力，由于数据库容量与通讯带宽限制导致明显的交易延迟和功能错误，这种现象在全球多数证券公司都曾出现过。[安全启示]– 保护信息安全不仅仅是对付病毒、黑客，不安全因素存在于人员、技术和过程的方方面面。– 应当根据“木桶原理”对信息安全进行管理，即对信息安全行涉及的各个环节进行综合考虑、规划和构架；同时，信息安全管理是一个动态的过程，要根据组织内不断发生的变化，及时发现并修补安全方面存在的“短板”。– 国际标准ISO27001为信息安全管理提供了由14个域共

113项安全措施组成的完备控制框架，建立并完善信息安全管理体系(ISMS)，以实现信息安全管理的制度化与标准化，保护组织信息资产的机密性、完整性与可用性。Trendsetting14信息安全方针与策略• [相关案例]春节后上班的第一天，某集团公司信息中心的网络管理员，打开了节日期间关闭的邮件服务器，刚上班的员工们都忙着下载和浏览积压的邮件，他们没有想到一场灾难正慢慢逼近，由于刚打开的邮件服务器的防病毒软件没有即时更新病毒库，邮件中夹带的病毒迅速泛滥，很快就使网络及服务器无法正常工作。在花了很大的精力还无法清理病毒的情况下，信息中心主任感慨地说“要是早制定了即时更新的防病毒策略，并严格遵守，就不会吃这么大的苦头了!...”[安全启示]–这位信息中心主任所说的防病毒策略就是信息安全策

略的一种。安全策略的制定与正确实施不仅能促进全体员工参与到保障组织信息安全的行动中来，而且能有效地降低由于人为因素造成的信息安全损失。– 我们需要根据ISO27001的要求，在全行范围内建立信息安全方针、信息安全策略，以规范与指导员工在日常业务活动中遵守安全规则，保护本所信息资产的安全，保障本所业务活动连续性

。–我们需要建立以“保护信息资产安全，保障业务持续

运行”、“信息安全，人人有责”为主旨的信息安全方针，并针对各个安全域制定了相应的安全策略。Trendsetting2014年10月11日星期六15• [相关案例]一艘载着船员和士兵的寻宝船在大海中游弋，海面波涛汹涌，大雾弥漫，储存的食品和淡水已经不多了。船员和士兵对海船的航向产生了争执。将军认为应该穿过海峡直抵宝岛，以节省时间，增加生存的希望。而船长这时认为海峡里风浪太大，应该绕行抵达。将军认为他有佩剑，海船应该向佩剑指点的方向前进；船长认为在大海上，一切都应该听船长的而不是将军的。最后将军用佩剑胁迫船长向海峡挺进，结果，船行驶到海峡中央，被迎头的巨浪掀翻，船员和士兵都在风浪中沉没了…[安全启示]– 这个小故事中的道理同样适用于组织的信息安全管理，组织要达到对信息安全的有效保护，首先要通过信息安全方针

确定方向，并建立有效的信息安全组织，以协调、监控安全目标的实现。–需要建立信息安全工作委员会，明确了信息安全管理领导小组、工作小组及部门信息安全管理员的职责。通过多层次的教育与培训，提高人员安全意识与技能。– 信息安全不仅要在组织内部沟通，而且要与上级监管机构、合作单位、外部的安全专家、安全组织等进行良好的沟通与协作；要把安全责任落实到每一个员工身上和外部人员身上。信息安全组织Trendsetting2014年10月11日星期六16• [相关案例]从2005年国内总共近50亿元的信息安全市场情况看，防火墙、防病毒、入侵检测系统等占了绝大部分，机构花费在信息安全管理咨询、安全教育培训方面的费用微乎其微。英国泰晤士报曾对企业知识储存方式做了一个调查，结果发现在企业的知识结构中，26%的知识以纸质文件的形式储存，20%的知识以电子文件存储，

42%的知识储存在员工的头脑中，12%以其他形式存在。这就是说企业花了绝大部分的钱，只保护了占信息资产20%的数据资产！而且目前的技术手段还谈不上100%地有效保护这20%的数据资产……[安全启示]…

– ISO27001中对信息资产的定义：“信息是一种资产，像其他重要的业务资产一样，对组织具有价值，因此需要妥善保护”。–我们习惯于把计算机软硬件、通讯设备、介质等看成信息资产，而

不习惯于把对组织有重要价值的档案资料、人员、企业形象、服务等看作是信息资产，往往忽略了对这些信息资产的保护，实际上这些信息资产对组织的业务持续性来说是至关重要的。– 我们根据国家标准和ISO27001的要求，对行内的各类信息资产进行了识别，并进行科学而有效的分类，在各个层面上对信息资产落实管理责任。Trendsetting2014年10月11日星期六17信息资产安全• [相关案例]如果有一个地下组织付给黑客100万元经费，让黑客去破解一个高度安全的系统（比如电子商务的网上支付系统），黑客如何最高效率地实现目标？许多黑客首选的方法是：“从内部突破，贿赂员工，以合法身份进入系统…”在实际的信息安全实践中，我们忽略的恰恰就是对人的管理。公安部曾作过统计，70％的泄密犯罪来自于组织内部；电脑应用单位80％未设立相应的信息安全

管理体系；58％无严格的信息安全管理制度。如果相关技术人员违规操作（如管理员泄露密码），即便组织有最好的安全技术的支持，也不能完全保证信息安全

。[安全启示]– 人是信息安全管理中最活跃的因素，人的行为是信息安全保障最主要的方面。人，特别是内部员工既可以是组织最可靠的安全防线，也可能是组织信息安全的最大潜在威胁，”技术防火墙“并不能解决所有问题。–

为建立可靠的”人力防火墙“，我们需要从任用前、任用

中、任用后三个方面建立了对人力资源进行管理的信息安全制度，如人员信息安全守则、保密协议，并规划了安全意识教育与技能培训，通过结合人力资源管理措施以及企业安全文化熏陶，有计划有步骤地把人员从

“最大威胁”转变到“最可靠防线”

。Trendsetting18人力资源安全[安全启示]–我们需要根据物理类资产的重要性和敏感性，划分物

理安全区域，确定的相应安全保护范围，并采取了包括安全标识、保卫、门禁、摄像等各种物理安全控制措施。–我们还需要考虑设备安置、供电、消防、电缆与设备

维护、办公场所外的设备及设备处置与再利用方面的安全控制。• [相关案例]我们在防备黑客进入组织内部网络盗窃敏感信息时，不要忘了少数非授权的内部人员（如：心怀不满的员工），或外部人员（如：伪装成勤杂工、送货工的盗窃分子）的威胁，这些人员可能不具备IT知识，可是他们通过盗

窃、破坏对组织信息设施所造成的损失，有时甚至超过技术高超的职业黑客。我们经常从媒体上看到这样的报道，一些公司、机关及高校的机房经常会发生盗窃案件，小偷趁人员疏忽、节假日外出、夜晚睡觉不关房门或外出不锁门等机会，偷盗台式电脑、笔记本电脑或掌上电脑，或者拆走电脑的CPU、硬盘、内存条等部件，使组织的业务被迫中断，并造成很大的经济

损失。Trendsetting19物理与环境安全[安全启示]– 我们的主要业务都构架在IT上，对IT的基础架构、应用系统的实施有效的运行管理是保障我们业务持续性的重要基础。– 根据ISO27001的要求，我们需要从运行程序和落实责任、第三方服务交付管理、系统规划和验收、防范恶意代码和移动代码、备份、网络安全管理、介质处理、信息和软件交换、电子商务服务、监视等方面建立必要的策略与程序，以指导通信与运行管理工作。• [相关案例]2001年6月，NASDAQ

当机长达半天，原因是操作人员做了一个未经测试的变更动作，结果导致整个系统停机。同样也是在2001

年6

月，NYSE

在半夜

做了一次软件更新，导致部份系统当机，无法完成股票买卖交易。2006年国内因为通信和运行方面的问题发生的信息安全事件有：银联计算机故障造成不能跨行取款、大量网银用户网上银行存款被盗、首都机场离港系统多次故障…Trendsetting20通信和运行管理Trendsetting212014年10月11日星期六• [相关案例]全球平均20秒就发生一次计算机病毒入侵，互联网上的防火墙大约25%被攻破；窃取商业信息的事件以每月260%的速度增

加；组织发生信息安全事件的首要原因是病毒，其次是内部员工的非授权访问。公安部公共信息网络安全监察局2006年8月25日发布的一项调查报告显示，54％的被调查单位发生过重大信息安全事件，比去年上升了5％，其中发生过3次以上的占22％，比去年上升7％。73％的信息安全事件是由于未修补或防范软件漏洞而导致的非授权访问。[安全启示]–访问控制是指通过计算机终端及网络来使用信

息处理系统并访问数据资源的行为进行控制。在网络广泛互联的今天，采用技术与管理手段建立访问控制己是保障信息安全的重要手段。–我们需要通过建立访问控制安全策略与制度，

对以下访问控制方面进行了有效管理：用户访问管理、用户责任、网络访问控制、操作系统访问控制、应用系统访问控制、检测系统的访问与使用、移动计算与远程工作。访问控制[安全启示]–

在软件开发过程中的进行质量管理、职责分离，以及在

需求中集成安全措施，才能真正起到预防与控制风险的作用。在软件开发生命周期中，越早引入控制措施，将来运行与维护费用就越少。– 我们需要根据ISO27001的要求，对系统开发维护活动建立必要的安全控制方法，包括建立应用系统的安全需求、软件需求与设计评审制度、编码安全、软件开发过程中的质量保证(QA)、测试数据安全与系统文件安全等方面。• [相关案例]江苏省徐州市某银行的软件维护员孙某在为银行安装一套库存现金查询系统时，加入了自己设计的一套自动增加自己账户存款余额的程序，即余额低于3万元时，系统自动增加到3万元。孙某只在银行存过10元钱，

半年多来从银行取走了33．8万余元。2001年3月徐州市云龙区法院以贪

污罪判处他有期徒刑5年。Trendsetting22信息系统获得、开发与维护– Gartner调查表明，处理以上信息安全事件的最有效方法就是推行流程式管理和进行统一的控制。组织要根据安全事件与故障的反应过程建立一个报告、反应、评价和惩戒的机制。– 我们结合正在实施的IT服务管理(ITSM)，建立了必要的信息安全事件处理流程。工作人员一

旦发现任何安全事件或风险苗头，须立即报告给本部门信息安全管理员或打帮助台电话。• [相关案例]Gartner在2002年的一项调查表明，信息安全事件主要表现在以下方面：

恶意代码攻击

缺乏有效的监控制度和手段

IT设备本身的性能问题Trendsetting23

应用系统/数据库本身存在Bugs

员工缺少技能培训，不按规定/流程操作

维护不及时或缺乏有计划的维护

缺少总体规划/重复建设

不同部门的IT人员之间缺乏协调

缺少运营管理方法论的指导信息安全事件管理[安全启示]Trendsetting242014年10月11日星期六业务连续性管理• [相关案例]美国“911”

事件中，世贸中心在遭受攻击后数小时内，如MorganStanley集团和AmericanExpress等公司能够迅速恢复服务，

完全归功于组织事前建立了稳妥的业务连续性计划。对于eSpeed公司，甚至其在这次恐怖中袭击损失了接近四分之三的员工，仍然能够在几天后金融市场重开时能够继续运作。2003年春夏之交中国“SARS”肆虐时，成功实施业务连续性计划的亚信、摩托罗拉中国等公司使人们看到面对这样的重大灾害时，企业怎样才能避免束手无策。[安全启示]我们根据ISO27001描述的业务连续性管理主要有以下要点：− 制定和实施完整的业务连续性计划(BCP)应从理解自身业务的开始，进行业务影响分析和风险评估；− 由高层管理者形成本所的业务连续性战略方针，然后由BCP实施部门规划制定详细BCP计划；− 对BCP计划进行测试与实施；− 进行BCP计划的维护与更新，通过审计保证计划不断改进和完善。Trendsetting25符合性• [相关案例]目前，Internet上至少有三万多个公开的黑客网站，这些网站除了黑客知识与技能的培训外，还提供了大量的黑客工具，一个稍具电脑知识的中学生经过黑客网站的培训，利用下载的黑客工具就可以发起有一定威胁性的攻击。如果法律明确了对虚拟世界的不负责任的行为怎么处罚，黑客也就不敢轻易就实施攻击；如果发生了攻击行为，入侵者将承担相应的责任。信息安全立法不仅可以保障用户的权益，更是对网络犯罪分子的一种威慑。[安全启示]– 根据ISO27001的要求，组织应当识别出适用的法律、法规并遵守及应用，以便更可靠、更有效地保障信息安全。– 我们强调了在建立信息安全体系时，除了要遵守的方针、策略、程序等的要求以外，还要遵守适用的信息安全方面的法律、法规要求、行业规范和相关方要求，符合相关技术标准的要求。www.trendsettin'

cn第一个案例：一起国外的金融计算机犯罪案例一起国外的金融计算机犯罪案例在线银行——一颗定时炸弹。南非的Absa银行遇到了麻烦，它的互联网银行服务发生一系列安全事件，导致其客户成百万美元的损失。Absa银行声称自己的系统是绝对安全的，而把责任归结为客户所犯的安全错误上。Absa银行的这种处理

方式遭致广泛批评。那么，究竟是怎么回事呢？27Trendsetting第一个案例：前因后果是这样的

……前因后果是这样的

……Absa是南非最大的一家银行，占有35%的市场份额，其Internet银行业务拥有40多万客户。2003年6、7月间，一个30岁男子，盯上了Absa的在线客户，向这些客户发送携带有间谍软件（spyware）的邮件，并成功获得众多客户的账号信息，从而通过Internet进行非法转帐，先后致使多个Absa的在线客户损失达数万法郎。该男子后来被南非警方逮捕。28Trendsetting第一个案例：前因后果是这样的

……前因后果是这样的

……Absa是南非最大的一家银行，占有35%的市场份额，其Internet银行业务拥有40多万客户。2003年6、7月间，一个30岁男子，盯上了Absa的在线客户，向这些客户发送携带有间谍软件（spyware/eBlaster）的邮件，并成功获得众多客户的账号信息，从而通过Internet进行非法转帐，先后致

使多个Absa的在线客户损失达数万法郎。该男子后来被南非警方逮捕。29Trendsetting第一个案例：前因后果是这样的

……eBlaster是一个商业软件（/），该软件本意是帮助父母或老板监视孩子或雇员的上网活动。该软件可记录包括电子邮件、网上聊天、即使消息、Web访问、键盘操作等活动，并将记录信息悄悄发到指定邮箱。

商业杀毒软件一般都忽略了这个商业软件。本案犯罪人就是用邮件附件方式，欺骗受害者执行该软件，然后窃取其网上银行账号和PIN码信息的。前因后果是这样的

……30Trendsetting第一个案例：经验总结

……，Absa声称不是自己的责任，而是客户的问题安全专家和权威评论员则认为：Absa应负必要责任，其电子银行的安全性值得怀疑Deloitte安全专家RoganDawes认为：Absa应向其客户灌输更多安全意识，并在易用性和安全性方面达成平衡

IT技术专家则认为：电子银行应采用更强健的双因素认证机制（口令或PIN＋智能卡）而不是简单的口令。我们认为：Absa银行和客户都有责任经验总结31Trendsetting第二个案例：国内金融计算机犯罪的典型案例时间：2003年11月地点：甘肃省定西地区临洮县太石镇邮政储蓄所人物：一个普通的系统管理员国内金融计算机犯罪的典型案例一名普通的系统维护人员，轻松破解数道密码，进入邮政储蓄网络，盗走83.5万元。这起利用网络进行金融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破获

…… （人民日报，2003年12月）32Trendsetting第二个案例：怪事是这样发生的国内金融计算机犯罪的典型案例

2003年10月5日，定西临洮县太石镇邮政储蓄所的营业电脑突然死机，

工作人员以为是一般的故障，

对电脑进行了简单的修复和重装处理

17日，工作人员发现打印出的报表储蓄余额与实际不符，对账发现，13日发生了11笔交易，83.5万异地

帐户是虚存（有交易记录但无实际现金）

紧急与开户行联系，发现存款已从兰州、西安等地被取走大半

储蓄所向县公安局报案

公安局向定西公安处汇报

公安处成立专案组，同时向省公安厅上报

……33Trendsetting第二个案例：当然结果不错国内金融计算机犯罪的典型案例经过缜密的调查取证，我英勇机智的公安干警终于一举抓获这起案件的罪魁祸首——

会宁邮政局一个普通的系统维护人员张某34Trendsetting第二个案例：事情的经过原来是这样的

……③

登录到永登

邮政局永登临洮④

破解口令，登录到临洮一

个邮政储蓄所①会宁的张某用假身份证在兰州

开了8个活期帐户②

张某借工作

之便，利用笔

记本电脑连接

电缆到邮政储

蓄专网会宁⑤

向这些帐户虚存83.5万，退出系统前删掉了打印操作系统⑥

最后，张某在兰州和西安

等地提取现金3535Trendsetting第二个案例：到底哪里出了纰漏

……张某29岁，毕业于邮电学院，资质平平，谈不上精通计算机和网络技术邮政储蓄网络的防范可谓严密：与Internet物理隔离的专网；配备了防火墙；从前台分机到主机经过数重密码认证到底哪里出了纰漏3636Trendsetting

张某私搭电缆，没人过问和阻止，使其轻易进入邮政储蓄专网

临洮县太石镇的邮政储蓄网点使用原始密码，没有定期更改，而且被员工周知，致使张某轻松突破数道密码关，直接进入了操作系统

问题出现时，工作人员以为是网络系统故障，没有足够重视

……看来，问题真的不少呀

……3737Trendsetting第二个案例：总结教训

……安全意识的提高刻不容缓！总结教训……

最直接的教训：漠视口令安全带来恶果！

归根到底，是管理上存在漏洞，人员安全意识淡薄3838Trendsetting第三个案例：

一起证券行业计算机犯罪案例时间：2003年6月地点：上海

人物：26岁的待业青年严某一起证券行业计算机犯罪案例凭借自己的耐心和别人的粗心，股市“菜鸟”严某非法侵入“股神通”10个单位和个人的股票账户，用别人的钱磨练自己的炒股技艺

……————

青年报，2003年12月3939Trendsetting第三个案例：事情是这样的

……事情是这样的……

2003年3月，严父在家中安装开通“股神通”业务，进行即时股票交易。

2003年6月的一天，严某偶得其父一张股票交易单，上有9位数字的账号，遂动了“瞎猫碰死老鼠”的念头：该证券公司客户账号前6位数字是相同的，只需猜后3位；而6位密码，严某锁定为“123456”。

严某”埋头苦干“，第一天连续输入了3000个数字组合，一无所获。

第二天继续，很快”奇迹“出现，严某顺利进入一个股票账户。利用相同的方法，严某又先后侵入了10余个股票账户。

严某利用别人的账户，十几天里共买进卖出1000多万元股票，损失超过14万元，直到6月10日案发。

严某被以破坏计算机信息系统罪依法逮捕。4040Trendsetting第三个案例：问题出在哪里

……问题出在哪里……

严某不算聪明，但他深知炒股的多是中老年人，密码设置肯定不会复杂。首先，作为股民，安全意识薄弱

证券公司，在进行账户管理时也存在不足：初始密码设置太简单，没提醒客户及时修改等

作为设备提供商，“股神通”软件设计里的安全机制太简单脆弱，易被人利用4141Trendsetting第三个案例：总结教训

……

又是口令安全的问题！

又是人的安全意识问题！再次强调安全意识的重要性！总结教训……4242Trendsetting第四个案例：一个与物理安全相关的典型案例时间：2002年某天夜里地点：A公司的数据中心大楼

人物：一个普通的系统管理员一个与物理安全相关的典型案例一个普通的系统管理员，利用看似简单的方法，就进入了需要门卡认证的数据中心……----来自国外某论坛的激烈讨论，2002年4343Trendsetting

A公司的数据中心是重地，设立了严格的门禁制度，要求必须插入门卡才能进入。不过，出来时很简单，数据中心一旁的动作探测器会检测到有人朝出口走去，门会自动打开

数据中心有个系统管理员张三君，这天晚上加班到很晚，中间离开数据中心出去夜宵，可返回时发现自己被锁在了外面，门卡落在里面了，四周别无他人，一片静寂

张三急需今夜加班，可他又不想打扰他人，怎么办？情况是这样的

……44444Trendsetting第四个案例：一点线索昨天曾在接待区庆祝过某人生日，现场还未清理干净，遗留下很多杂物，哦，还有气

球……45Trendsetting第四个案例：聪明的张三想出了妙计

……①

张三找到

一个气球，放掉气②

张三面朝大门入口趴下来，把

气球塞进门里，只留下气球的嘴在门的这边③

张三在门外吹气球，气球

在门内膨胀，然后，他释放了气球……④

由于气球在门内弹跳，触

发动作探测器，门终于开了4646Trendsetting第四个案例：问题出在哪里

……

如果门和地板齐平且没有缝隙，就不会出这样的事

如果动作探测器的灵敏度调整到不对快速放气的气球作出反应，也不会出此事

当然，如果根本就不使用动作探测器来从里面开门，这种事情同样不会发生问题出在哪里

……4747Trendsetting

虽然是偶然事件，也没有直接危害，但是潜在风险

既是物理安全的问题，更是管理问题

切记！有时候自以为是的安全，恰恰是最不安全!物理安全非常关键！总结教训……4448848Trendsetting类似的事件不胜枚举类似的事件不胜枚举

苏州某中学计算机教师罗某，只因嫌准备考试太麻烦，产生反感情绪，竟向江苏省教育厅会考办的考试

服务器发动攻击，他以黑客身份两次闯入该考试服务器，共删除全省中小学信息技术等级考试文件达100多个，直接经济损失达20多万元，后被警方抓获。

某高校招生办一台服务器，因设置网络共享不加密码，导致共享目录中保存的有关高考招生的重要信息泄漏，造成了恶劣的社会影响。

屡屡出现的关于银行ATM取款机的问题。

……4949Trendsetting威胁和弱点问题的根源第2部分Trendsetting50www.trendsettin'

cn我们时刻都面临来自外部的威胁信息资产拒绝服务逻辑炸弹黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统Bug硬件故障网络通信故障供电中断失火雷雨地震5252Trendsetting人是最关键的因素人是最关键的因素

判断威胁来源，综合了人为因素和系统自身逻辑与物理上诸多因素在一起，归根结底，还是人起着决定性的作用

正是因为人在有意（攻击破坏）或无意（误操作、误配置）间的活动，才给信息系统安全带来了隐患和威胁提高人员安全意识和素质势在必行！5353Trendsetting黑客攻击，是我们听说最多的威胁！人是最关键的因素黑客攻击，是我们听说最多的威胁！5454Trendsetting威胁更多是来自公司内部员工误操作蓄意破坏公司资源私用威胁更多是来自公司内部

黑客虽然可怕，可更多时候，内部人员威胁却更易被忽略，但却更容易造成危害

据权威部门统计，内部人员犯罪（或与内部人员有关的犯罪）占到了计算机犯罪总量的70%以上5555Trendsetting发生的发生一定是漏洞和威胁的结合一个巴掌拍不响！外因是条件内因才是根本！5656Trendsetting我们自身的弱点不容小视我们自身的弱点不容小视

技术弱点

系统、

程序、设备中存在的漏洞或缺陷

操作弱点

配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份过程的不当等

管理弱点

策略、程序、规章制度、人员意识、组织结构等方面的不足5757Trendsetting人最常犯的一些错误

将口令写在便签上，贴在电脑监视器旁

开着电脑离开，就像离开家却忘记关灯那样

轻易相信来自陌生人的邮件，好奇打开邮件附件

使用容易猜测的口令，或者根本不设口令

丢失笔记本电脑

不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息

随便拨号上网，或者随意将无关设备连入公司网络

事不关己，高高挂起，不报告安全事件

在系统更新和安装补丁上总是行动迟缓

只关注外来的威胁，忽视企业内部人员的问题人最常犯的一些错误5858Trendsetting想想你是否也犯过这样的错误？想想你是否也犯过这样的错误？5959Trendsetting时刻都应保持清醒的认识时刻都应保持清醒的认识

信息资产对我们很重要，是要保护的对象

外在的威胁就像苍蝇一样，挥之不去，无孔不入

资产本身又有各种弱点，给威胁带来可乘之机

于是，我们面临各种风险，一旦发生就成为安全事件6060Trendsetting我们需要去做的就是

……严防威胁消减弱点应急响应保护资产熟悉潜在的安全问题知道怎样防止其发生知道发生后如何应对6161Trendsetting实现信息安全可以采取一些技术手段6262Trendsetting

物理安全技术：环境安全、设备安全、媒体安全

系统安全技术：操作系统及数据库系统的安全性

网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估

应用安全技术：Email安全、Web访问安全、内容过滤、应用系统安全

数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA特性

认证授权技术：口令认证、SSO认证（例如Kerberos）、证书认证等

访问控制技术：防火墙、访问控制列表等

审计跟踪技术：入侵检测、日志审计、辨析取证

防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系

灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份但关键还要看整体的信息安全管理

技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂

信息安全管理构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相

互协调的活动

现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的

理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标尤其重要三分技术，七分管理！6363Trendsetting提高意识，加强防范务必重视信息安全管理加强信息安全建设工作6464Trendsettingwww.trendsettin'

cn

要这样做：

对企业负责的信息资产进行分级、分类和标识

慎重处理属于客户的信息资产不要这样做：

随意复制客户的信息资产，随意放置、丢弃客户资料

未授权将客户的资料带出66

2014/10Trendsetting

/11要这样标识：

电子文档：根据文档模板在页眉页脚表示机密性和完整性

纸质文档：没有标识的加盖图章，标示机密性和完整性

电子邮件：标题中标识密级。正文结尾标识所有权和机密信息注意事项

介质：在介质表面贴标签标示机密性、完整性和保存期67

2014/10Trendsetting

/11•要这样做

只访问授权的信息资产，应用系统，办公系统

都有权限控制

使用白板后应立即擦除上面的机密信息

机密的硬拷贝和纸质文件应锁在安全柜子里

打印、复印、传真：机密以上级别的文件应首

先经过审批，打印后，打印人必须立即去走打印件

发送“？级别”的电子邮件时应进行加密，并

保留记录

必须使用碎纸机销毁纸质的“？级别”以上的

纸质文件

必须彻底销毁存有机密的电子存储介质68

2014/10Trendsetting

/11不要这样做：

试图访问没有授权的信息资产

将重要信息资产放置在不安全的地方

未经授权，通过传真方式发送机密以上信息69

2014/10Trendsetting

/11要这样做

离席时锁定计算机

下班后关闭计算机

使用域帐号登录计算机系统，如果由于业务需求必须要使用本地Administrator账户时，由域管理员负责操作

自觉检查系统补丁和病毒库，如没有及时更新应及时手动进行更新，保证补丁与病毒库是最新的。Trendsetting不要这样做

私自拆卸电脑

使用私人电脑处理公司邮件，如果因为工作需要必须使用时，应

使用Web方式查看邮件等方法，确保私人机器上不保留邮件及其附件Trendsetting要这样做：

在访问Internet时，遵守国家法律法规，公司访问控制的相关规定

公司不开放VPN远程访问，有故障由当日值班人员负责处理，必要时及时赶回公司或客户现场处理。Trendsetting不要这样做：

使用通过任何方式向外传送公司信息资料

未经授权在Internet上发布任何有关公司的信息Trendsetting不要这样做：

在公司内网传播病毒、蠕虫、木马、间谍软件等

在公司内网使用网络嗅探、扫描或任何黑客工具

使用他人帐号访问网络

干扰公司网络正常运行

非法入侵或破坏公司网络及计算机系统

试图访问未经授权的网段

将私人设备接入公司网络Trendsetting要这样做：

安装公司指定的防病毒软件

每周主动检查病毒更新情况与补丁更新情况

启动个人防火墙

使用外部获得的资料必须在安装了病毒防护软件的计算机上才可以在内部使用

感染病毒后应立即报告上级负责人

使用公司提供的应用系统共享文件Trendsetting不要这样做：

使用具有可读写权限的共享目录来共享文件

打开任何未知来源的电子邮件或文档

下载未知来源的文件

手工停止防病毒软件

停止预定义的防病毒软件全盘扫描活动Trendsetting要这样做：

只安装公司标准软件清单中的软件

软件使用前，申请使用公司带有许可证的软件

需要使用标准软件清单以外的带有版权和许可证的开放源代码软件前，需提交审批。审批通过后填写变更单执行变更。Trendsetting不要这样做：

使用盗版软件

对计算机软件进行非授权的复制、分发、使用及反编译

私自停止或卸载防病毒、系统监控、终端管理软件

使用软件未经授权的功能

将公司所有的计算机软件复制或安装在私人电脑上Trendsetting要这样做：

默认情况下禁止使用移动介质，如果需要使用移动介质，向上级申请后方可使用，必须用于公司业务用途

禁用计算机所有外部端口，如：USB接口，光驱，软驱等；

借用U盘需要办理借用手续

移动存储介质中的信息在不需要的情况下，应立即清除存储在移动介质中的数据

移动介质在使用的过程中应注意防病毒保护，在进行文件操作时应进行病毒扫描操作

所有的介质都应存放在安全可靠的地方，并符合生产厂家说明书的安全要求

光盘进行销毁时应采取物理破坏或用碎纸机的方式进行；其他IT存储介质，如磁盘、U盘、硬盘、存储卡、磁带等应遵照相关流程进行处理

对于放弃不能再利用的纸质数据，应使用碎纸机废弃Trendsetting•不要这样做：

私自使用移动介质

私自开放外部端口

将移动介质用于非公司业务用途

将个人的移动介质带入工作区内

未经许可将公司的移动介质带出工作区域

再利用保密性要求高的敏感纸质数据Trendsetting要这样做：

全体员工在入职时默认的电子邮件发送权限为只能使用公司邮件系统来接收和发送公司内部邮件

在公司只能通过公司的邮件帐户传输电子邮件Trendsetting要这样做：

根据邮件内容信息的安全等级对邮件内容或附件进行加密

在授权后经安全的方式发送（可采用电子签名、加密控制或密码保护）“机密”和“绝密”等级的电子邮件，并保留记录

确认收信人电子邮件地址，尽量通过直接点击“回复”、选择通讯录中

的联系人等方式选择联系人，在邮件发出之前应再次确认收件人地址，防止误发邮件

只有得到授权的用户才能够发送群组邮件，在发送群组邮件时应再三注意邮件内容，检查发送对象是否正确。

电子邮件的标识：应该在电子邮件标题标注“机密”、“绝密”，正文的结尾标识所有权和机密信息注意事项

接收所有电子邮件及其附件时首先进行病毒扫描

按照相关流程对信息的分级和定义进行保留、保存和处理电子邮件及其附件Trendsetting不要这样做

拦截或试图拦截其他用户的电子邮件。

滥用公司网络资源；（如：邮件接龙，垃圾邮件）

非法或私人用途使用公司电子邮件；（如：使用公司邮件注册论坛ID等）

破坏或侵犯其他人的权利；

发送诽谤，虚假，辱骂，淫秽，色情，亵渎，性导