《安全意识(网管中心).pptx》由会员分享,可在线阅读,更多相关《安全意识(网管中心).pptx(134页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网管中心网管中心2010年5月安全意识宣传安全意识宣传244遵守遵守遵守遵守时间时间时间时间44请将移动请将移动请将移动请将移动电话设置电话设置电话设置电话设置为震动为震动为震动为震动44有问题请有问题请有问题请有问题请随时随时随时随时提出提出提出提出注意注意注意注意事项事项事项事项 建立对信息安全的敏感意识和正确认识建立对信息安全的敏感意识和正确认识 掌握信息安全的基本概念、原则和惯例掌握信息安全的基本概念、原则和惯例 清楚可能面临的威胁和风险清楚可能面临的威胁和风险 遵守各项安全策略和制度遵守各项安全策略和制度 在日常工作中养成良好的安全习惯在日常工作中养成良好的安全习惯 最终提升整体的信
2、息安全水平最终提升整体的信息安全水平3我们的我们的我们的我们的目标目标目标目标4 信息安全意识信息安全意识信息安全意识信息安全意识(InformationInformation Security Security AwarenessAwareness),就是能够),就是能够),就是能够),就是能够认知认知认知认知可能存在的信息安可能存在的信息安可能存在的信息安可能存在的信息安全问题,全问题,全问题,全问题,预估预估预估预估信息安全事故对组织的危害,信息安全事故对组织的危害,信息安全事故对组织的危害,信息安全事故对组织的危害,恪守恪守恪守恪守正正正正确的行为方式,并且确的行为方式,并且确的行为方
3、式,并且确的行为方式,并且执行执行执行执行在信息安全事故发生时所在信息安全事故发生时所在信息安全事故发生时所在信息安全事故发生时所应采取的措施。应采取的措施。应采取的措施。应采取的措施。什么是什么是什么是什么是信息安全意识信息安全意识信息安全意识信息安全意识?现实教训现实教训现实教训现实教训 追踪问题的根源追踪问题的根源追踪问题的根源追踪问题的根源 掌握基本概念掌握基本概念掌握基本概念掌握基本概念 建立良好的安全习惯建立良好的安全习惯建立良好的安全习惯建立良好的安全习惯 重要信息的保密重要信息的保密重要信息的保密重要信息的保密 信息交换及备份信息交换及备份信息交换及备份信息交换及备份 软件应用
4、安全软件应用安全软件应用安全软件应用安全 计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全 人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理 移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公 工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求 防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码 口令安全口令安全口令安全口令安全 电子邮件安全电子邮件安全电子邮件安全电子邮件安全 介质安全管理介质安全管理介质安全管理介质安全管理 警惕社会工程学警惕社会
5、工程学警惕社会工程学警惕社会工程学 应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划 法律法律法律法律法规法规法规法规5目目目目 录录录录6严峻的现实!严峻的现实!严峻的现实!严峻的现实!惨痛的教训!惨痛的教训!惨痛的教训!惨痛的教训!7工业和信息部发布了关于做好应对部分IC卡出现严重安全漏洞工作的通知,要求各地各机关和部门开展对IC卡使用情况的调查及应对工作。11高枕高枕高枕高枕无忧无忧无忧无忧惨痛惨痛惨痛惨痛教训教训教训教训补丁管理补丁管理补丁管理补丁管理应用安全应用安全应用安全应用安全数据加密数据加密数据加密数据加密隐私防范隐私防范隐私防范
6、隐私防范GG式攻击式攻击式攻击式攻击集中管理集中管理集中管理集中管理移动存储移动存储移动存储移动存储钓鱼劫持钓鱼劫持钓鱼劫持钓鱼劫持恶意代码恶意代码恶意代码恶意代码无线游侠无线游侠无线游侠无线游侠12生产网生产网办公网办公网保护网络保护网络保护网络保护网络保护应用保护应用保护应用保护应用保护主机保护主机保护主机保护主机 移动办公接入安全规范落实与移动办公接入安全规范落实与移动办公接入安全规范落实与移动办公接入安全规范落实与执行情况?执行情况?执行情况?执行情况?IDCIDC托管机房的安全服务水平托管机房的安全服务水平托管机房的安全服务水平托管机房的安全服务水平约束有无?约束有无?约束有无?约束
7、有无?VPNVPN有无?身份验证机制?有无?身份验证机制?有无?身份验证机制?有无?身份验证机制?控制权限?控制权限?控制权限?控制权限?防火墙的配置适用性?防火墙的配置适用性?防火墙的配置适用性?防火墙的配置适用性?日志的统计分析?日志的统计分析?日志的统计分析?日志的统计分析?端口配置?服务配置?端口配置?服务配置?端口配置?服务配置?端口配置?服务配置?研发网络、测试网络是否有明研发网络、测试网络是否有明研发网络、测试网络是否有明研发网络、测试网络是否有明确访问控制措施?确访问控制措施?确访问控制措施?确访问控制措施?源代码在测试网络中是否边界源代码在测试网络中是否边界源代码在测试网络中
8、是否边界源代码在测试网络中是否边界访问控制措施有无?访问控制措施有无?访问控制措施有无?访问控制措施有无?(无线)非法外联接入检测、(无线)非法外联接入检测、(无线)非法外联接入检测、(无线)非法外联接入检测、阻断与控制?阻断与控制?阻断与控制?阻断与控制?终端访问控制措施有无?终端访问控制措施有无?终端访问控制措施有无?终端访问控制措施有无?管理网段的边界控制措施?管理网段的边界控制措施?管理网段的边界控制措施?管理网段的边界控制措施?FTPFTP文件交换服务器、文件交换服务器、文件交换服务器、文件交换服务器、WebWeb服服服服务器、务器、务器、务器、OAOA、邮件服务器等帐号、邮件服务器
9、等帐号、邮件服务器等帐号、邮件服务器等帐号管理、日志监控?管理、日志监控?管理、日志监控?管理、日志监控?管理网段对全网公开可访问?管理网段对全网公开可访问?管理网段对全网公开可访问?管理网段对全网公开可访问?全部服务?全部服务?全部服务?全部服务?注释:安全风险点-操作控制注释:安全风险点-系统配置ITIT基础基础基础基础管理架构管理架构管理架构管理架构13我们来总结一下我们来总结一下我们来总结一下我们来总结一下uu 员工员工的的个人个人安全安全意识意识uu 各类各类应用应用(B/SB/S、C/SC/S)自身)自身绝对安全绝对安全uu 安全监管安全监管法律法规法律法规完善完善uu 安全技能安
10、全技能熟练程度熟练程度uu 14信息安全意识信息安全意识信息安全意识信息安全意识的提高的提高的提高的提高刻不容缓刻不容缓刻不容缓刻不容缓!15Windows VistaWindows Vista如果我是黑客如果我是黑客如果我是黑客如果我是黑客1 1 1 1、绝大多数笔记本电脑都、绝大多数笔记本电脑都、绝大多数笔记本电脑都、绝大多数笔记本电脑都内置麦克风内置麦克风内置麦克风内置麦克风且处且处且处且处于于于于开启开启开启开启状态;状态;状态;状态;2 2 2 2、Windows VistaWindows VistaWindows VistaWindows Vista开启开启开启开启Speech R
11、ecognitionSpeech RecognitionSpeech RecognitionSpeech Recognition功能;功能;功能;功能;3 3 3 3、录制录制录制录制以下内容并将其放置于以下内容并将其放置于以下内容并将其放置于以下内容并将其放置于某某某某WebWebWebWeb页面页面页面页面之之之之上,并利用上,并利用上,并利用上,并利用ActiveXActiveXActiveXActiveX在客户机上调用在客户机上调用在客户机上调用在客户机上调用Windows Windows Windows Windows Media PlayerMedia PlayerMedia Pl
12、ayerMedia Player最小化后台最小化后台最小化后台最小化后台播放播放播放播放:Open ExplorerOpen ExplorerOpen ExplorerOpen Explorer Highlight documentsHighlight documentsHighlight documentsHighlight documents Delete documents and confirm yesDelete documents and confirm yesDelete documents and confirm yesDelete documents and confirm
13、yes Go to recycle bin on desktopGo to recycle bin on desktopGo to recycle bin on desktopGo to recycle bin on desktop Tell it to empty the trash and Tell it to empty the trash and Tell it to empty the trash and Tell it to empty the trash and confirm yes.confirm yes.confirm yes.confirm yes.16你碰到过类似的事吗
14、?你碰到过类似的事吗?你碰到过类似的事吗?你碰到过类似的事吗?17威胁威胁威胁威胁和和和和弱点弱点弱点弱点问题的问题的问题的问题的根源根源根源根源18 信息资产信息资产信息资产信息资产拒绝服务拒绝服务拒绝服务拒绝服务流氓软件流氓软件流氓软件流氓软件黑客渗透黑客渗透黑客渗透黑客渗透内部人员威胁内部人员威胁内部人员威胁内部人员威胁木马后门木马后门木马后门木马后门病毒和蠕虫病毒和蠕虫病毒和蠕虫病毒和蠕虫社会工程社会工程社会工程社会工程系统漏洞系统漏洞硬件故障硬件故障硬件故障硬件故障网络通信故障网络通信故障网络通信故障网络通信故障供电中断供电中断供电中断供电中断失火失火失火失火雷雨雷雨地震地震地震地震
15、威胁威胁威胁威胁无处不在无处不在无处不在无处不在19uu 人之初性本非善恶人之初性本非善恶人之初性本非善恶人之初性本非善恶uu 吾自三省吾身吾自三省吾身吾自三省吾身吾自三省吾身提高提高提高提高人员信息安全人员信息安全人员信息安全人员信息安全意识意识意识意识和和和和素质素质素质素质势在必行!势在必行!势在必行!势在必行!人人人人是最关键的因素是最关键的因素是最关键的因素是最关键的因素20外部外部外部外部威胁威胁威胁威胁21踩点踩点踩点踩点扫描扫描扫描扫描破坏攻击破坏攻击破坏攻击破坏攻击渗透攻击渗透攻击渗透攻击渗透攻击获得访问权获得访问权获得访问权获得访问权获得控制权获得控制权获得控制权获得控制权
16、清除痕迹清除痕迹清除痕迹清除痕迹安装后门安装后门安装后门安装后门远程控制远程控制远程控制远程控制转移目标转移目标转移目标转移目标窃密破坏窃密破坏窃密破坏窃密破坏黑客攻击黑客攻击黑客攻击黑客攻击基本手法基本手法基本手法基本手法22uu 病从口入病从口入病从口入病从口入uu 天时天时天时天时 地利地利地利地利 人和人和人和人和员工误操作员工误操作员工误操作员工误操作员工误操作员工误操作蓄意破坏蓄意破坏蓄意破坏蓄意破坏职责权限混淆职责权限混淆职责权限混淆职责权限混淆职责权限混淆职责权限混淆内部内部内部内部威胁威胁威胁威胁23 技术技术技术技术弱点弱点弱点弱点 操作操作操作操作弱点弱点弱点弱点 管理管
17、理管理管理弱点弱点弱点弱点系统、系统、程序、设备中存在的漏洞或缺陷程序、设备中存在的漏洞或缺陷配置、操作和使用中的缺陷,包括人员的不良习配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份过程的不当等惯、审计或备份过程的不当等策略、程序、规章制度、人员意识、组织结构等策略、程序、规章制度、人员意识、组织结构等方面的不足方面的不足自身自身自身自身弱点弱点弱点弱点24一个巴掌拍不响!一个巴掌拍不响!一个巴掌拍不响!一个巴掌拍不响!外因外因外因外因是是是是条件条件条件条件 内因内因内因内因才是才是才是才是根本根本根本根本!25uu 将口令写在便签上,贴在电脑监视器旁将口令写在便签上,贴在电脑监视
18、器旁uu 开着电脑离开,就像离开家却忘记关灯那样开着电脑离开,就像离开家却忘记关灯那样uu 轻易相信来自陌生人的邮件,好奇打开邮件附件轻易相信来自陌生人的邮件,好奇打开邮件附件uu 使用容易猜测的口令,或者根本不设口令使用容易猜测的口令,或者根本不设口令uu 丢失笔记本电脑丢失笔记本电脑uu 不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息uu 随便拨号上网,或者随意将无关设备连入公司网络随便拨号上网,或者随意将无关设备连入公司网络uu 事不关己,高高挂起,不报告安全事件事不关己,高高挂起,不报告安全事件uu 在系统更新和安装补丁上总是行动迟缓在系统
19、更新和安装补丁上总是行动迟缓uu 只关注外来的威胁,忽视企业内部人员的问题只关注外来的威胁,忽视企业内部人员的问题最常犯的一些最常犯的一些最常犯的一些最常犯的一些错误错误错误错误26想想你是否也犯过想想你是否也犯过想想你是否也犯过想想你是否也犯过这些错误?这些错误?这些错误?这些错误?27嘿嘿,这顿美餐唾手可得呜呜,可怜我手无缚鸡之力TomTomFishFish弱点弱点弱点弱点弱点弱点 威胁威胁威胁威胁威胁威胁28uu 信息资产信息资产信息资产信息资产对我们很重要,是要保护的对我们很重要,是要保护的对我们很重要,是要保护的对我们很重要,是要保护的对象对象对象对象uu 威胁威胁威胁威胁就像苍蝇一
20、样,挥之不去,就像苍蝇一样,挥之不去,就像苍蝇一样,挥之不去,就像苍蝇一样,挥之不去,无所不在无所不在无所不在无所不在uu 资产自身又有各种资产自身又有各种资产自身又有各种资产自身又有各种弱点弱点弱点弱点,给,给,给,给威胁威胁威胁威胁带来带来带来带来可乘之机可乘之机可乘之机可乘之机uu 面临各种面临各种面临各种面临各种风险风险风险风险,一旦发生就成为,一旦发生就成为,一旦发生就成为,一旦发生就成为安全事件、事故安全事件、事故安全事件、事故安全事件、事故保持清醒保持清醒保持清醒保持清醒认识认识认识认识29严防威胁严防威胁严防威胁严防威胁消减弱点消减弱点消减弱点消减弱点应急响应应急响应应急响应应
21、急响应保护资产保护资产保护资产保护资产熟悉熟悉熟悉熟悉熟悉熟悉潜在的潜在的潜在的潜在的潜在的潜在的安全问题安全问题安全问题安全问题安全问题安全问题知道知道知道知道知道知道怎样怎样怎样怎样怎样怎样防止防止防止防止防止防止其发生其发生其发生其发生其发生其发生明确明确明确明确明确明确发生后如何发生后如何发生后如何发生后如何发生后如何发生后如何应对应对应对应对应对应对我们我们我们我们应该应该应该应该30隐患险于明火!隐患险于明火!预防重于救灾!预防重于救灾!消防救火消防救火消防救火消防救火方针方针方针方针31信息安全意识信息安全意识信息安全意识信息安全意识方针方针方针方针安全贵在未雨绸缪安全贵在未雨绸
22、缪安全贵在未雨绸缪安全贵在未雨绸缪32理解理解理解理解和和和和铺垫铺垫铺垫铺垫基本概念基本概念基本概念基本概念33uu 消息、信号、数据、情报和知识消息、信号、数据、情报和知识uu 信息本身是无形的,借助于信息媒体以多种形式存在或传播:信息本身是无形的,借助于信息媒体以多种形式存在或传播:存储在计算机、磁带、纸张等介质中存储在计算机、磁带、纸张等介质中 记忆在人的大脑里记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播通过网络、打印机、传真机等方式进行传播uu 信息借助媒体而存在,对现代企业来说具有价值,就成为信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产信息资产信息资产信息
23、资产:计算机和网络中的数据计算机和网络中的数据 硬件、软件、文档资料硬件、软件、文档资料 关键人员关键人员 组织提供的服务组织提供的服务uu 具有价值的信息资产面临诸多威胁,需要妥善保护具有价值的信息资产面临诸多威胁,需要妥善保护InformationInformation什么是什么是什么是什么是信息信息信息信息34 采取措施保护信息资产,使采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减使安全事件对业务造成的影响减到最
24、小,确保组织业务运行的连到最小,确保组织业务运行的连续性。续性。什么是什么是什么是什么是信息安全信息安全信息安全信息安全35CIAonfidentialityntegrityvailabilityCIACIA信息安全信息安全信息安全信息安全基本目标基本目标基本目标基本目标36ConfidentialityConfidentialityIntegrityIntegrityAvailabilityAvailabilityInformationInformation管理者的管理者的管理者的管理者的最终目标最终目标最终目标最终目标37风险风险漏洞漏洞威胁威胁控制措施控制措施安全需求安全需求资产价值资产
25、价值信息资产信息资产信息资产信息资产防止防止利用利用ReduceIncreaseIndicateIncrease暴露具有Decrease符合符合对组织的影响对组织的影响对组织的影响对组织的影响因果因果因果因果关系关系关系关系38因果因果因果因果关系(立体)关系(立体)关系(立体)关系(立体)39uu 物理安全物理安全:环境安全、设备安全、媒体安全:环境安全、设备安全、媒体安全uu 系统安全系统安全:操作系统及数据库系统的安全性:操作系统及数据库系统的安全性uu 网络安全网络安全:网络隔离、访问控制、:网络隔离、访问控制、VPNVPN、入侵检测、扫描评估、入侵检测、扫描评估uu 应用安全应用安全
26、:EmailEmail安全、安全、WebWeb访问安全、内容过滤、应用系统安全访问安全、内容过滤、应用系统安全uu 数据加密数据加密:硬件和软件加密,实现身份认证和数据信息的:硬件和软件加密,实现身份认证和数据信息的CIACIA特性特性uu 认证授权认证授权:口令认证、:口令认证、SSOSSO认证(例如认证(例如KerberosKerberos)、证书认证等)、证书认证等uu 访问控制访问控制:防火墙、访问控制列表等:防火墙、访问控制列表等uu 审计跟踪审计跟踪:入侵检测、日志审计、辨析取证:入侵检测、日志审计、辨析取证uu 防杀病毒防杀病毒:单机防病毒技术逐渐发展成整体防病毒体系:单机防病毒
27、技术逐渐发展成整体防病毒体系uu 灾备恢复灾备恢复:业务连续性,前提就是对数据的备份:业务连续性,前提就是对数据的备份技术技术技术技术手段手段手段手段40技术技术技术技术手段(立体)手段(立体)手段(立体)手段(立体)41uu在可用性(在可用性(在可用性(在可用性(UsabilityUsability)和安全性()和安全性()和安全性()和安全性(SecuritySecurity)之间是一种)之间是一种)之间是一种)之间是一种相反的关系相反的关系相反的关系相反的关系uu提高了安全性,相应地就降低了易用性提高了安全性,相应地就降低了易用性提高了安全性,相应地就降低了易用性提高了安全性,相应地就降
28、低了易用性uu而要提高安全性,又势必增大成本而要提高安全性,又势必增大成本而要提高安全性,又势必增大成本而要提高安全性,又势必增大成本uu管理者应在二者之间达成一种可接受的平衡管理者应在二者之间达成一种可接受的平衡管理者应在二者之间达成一种可接受的平衡管理者应在二者之间达成一种可接受的平衡安全安全安全安全 vs.vs.可用可用可用可用平衡之道平衡之道平衡之道平衡之道42 计算机安全领域一句格言:计算机安全领域一句格言:计算机安全领域一句格言:计算机安全领域一句格言:“真正安全的计算机是拔下真正安全的计算机是拔下真正安全的计算机是拔下真正安全的计算机是拔下网线,断掉电源,放在地下掩体网线,断掉电
29、源,放在地下掩体网线,断掉电源,放在地下掩体网线,断掉电源,放在地下掩体的保险柜中,并在掩体内充满毒的保险柜中,并在掩体内充满毒的保险柜中,并在掩体内充满毒的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。气,在掩体外安排士兵守卫。气,在掩体外安排士兵守卫。气,在掩体外安排士兵守卫。”绝对绝对绝对绝对的的的的安全安全安全安全是是是是不存在不存在不存在不存在的!的!的!的!43uu 技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂uu 信息安全管理构成了信息安全具有能动性的部分,是指导和控制信息安全管理构成了信息安全具有能动性的部分,是
30、指导和控制组织的关于信息安全风险的相互协调的活动组织的关于信息安全风险的相互协调的活动 uu 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的技术上的原因,不如说是管理不善造成的uu 理解并重视管理对于信息安全的关键作用,对于真正实现信息安理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标尤其重要全目标尤其重要uu 唯有信息安全管理工作活动持续而周期性的推动作用方能真正将唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实信息安全意识贯彻落实三分技术,七分管理
31、!三分技术,七分管理!关键关键关键关键点:点:点:点:信息安全管理信息安全管理信息安全管理信息安全管理44务必务必务必务必重视重视重视重视信息安全管理信息安全管理信息安全管理信息安全管理加强加强加强加强信息安全建设工作信息安全建设工作信息安全建设工作信息安全建设工作管理层管理层管理层管理层:信息安全意识:信息安全意识:信息安全意识:信息安全意识要点要点要点要点45 安全不是产品的简单堆积,安全不是产品的简单堆积,也不是一次性的静态过程,也不是一次性的静态过程,它是它是人员人员、技术技术、操作操作三者三者紧密结合的系统工程,是不紧密结合的系统工程,是不断断演进演进、循环循环发展的发展的动态过动态
32、过程程如何如何如何如何正确认识正确认识正确认识正确认识信息安全信息安全信息安全信息安全46从从从从身边身边身边身边做起做起做起做起良好良好良好良好的安全的安全的安全的安全习惯习惯习惯习惯47重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全
33、要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规重重要要信信息息的的保保密密48OwnerOwner数据的属主(数据的属主(OM/PM)决定所属数据的敏感级别决定所属数据的敏感级别确定必要的保护
34、措施确定必要的保护措施最终批准并最终批准并Review用户访问权用户访问权限限CustodianCustodian受受Owner委托管理数据委托管理数据通常是通常是IT人员或部门系统(数据)管理员人员或部门系统(数据)管理员向向Owner提交访问申请并按提交访问申请并按Owner授意为用户授权授意为用户授权执行数据保护措施,实施日常维护和管理执行数据保护措施,实施日常维护和管理UserUser公司或第三方职员公司或第三方职员因工作需要而请求访问数据因工作需要而请求访问数据遵守安全规定和控制遵守安全规定和控制报告安全事件和隐患报告安全事件和隐患资产责任划分资产责任划分资产责任划分资产责任划分49
35、PublicPublicInternal Internal UseUseConfidencialConfidencialSecretSecret缺省缺省缺省缺省信息信息信息信息保密级别保密级别保密级别保密级别划分划分划分划分50uu 信息属主或创建者可确定恰当的信息标注方式信息属主或创建者可确定恰当的信息标注方式uu 电子邮件或纸质信函的标题栏应该注明敏感级别电子邮件或纸质信函的标题栏应该注明敏感级别uu 光盘、磁带等存储介质上应该妥善标注光盘、磁带等存储介质上应该妥善标注uu 如果内部包含多个级别的数据,以最高级为准如果内部包含多个级别的数据,以最高级为准uu “PublicPublic”信
36、息不需标注:信息不需标注:市场宣传册市场宣传册/媒体发布媒体发布/网站公开信息网站公开信息uu “Internal UseInternal Use”可以根据需要标注(缺省)可以根据需要标注(缺省)uu “ConfidencialConfidencial”必须标注必须标注uu “SecretSecret”必须标注必须标注信息信息信息信息标注标注标注标注规定规定规定规定51uu 各类信息,无论电子还是纸质,在标注、授权、访问、各类信息,无论电子还是纸质,在标注、授权、访问、存储、拷贝、传真、内部和外部分发(包括第三方转交)存储、拷贝、传真、内部和外部分发(包括第三方转交)、传输、处理等各个环节,都
37、应该遵守既定策略、传输、处理等各个环节,都应该遵守既定策略uu 信息分类管理程序只约定要求和原则,具体控制和实信息分类管理程序只约定要求和原则,具体控制和实现方式,由信息属主或相关部门确定,以遵守最佳实践现方式,由信息属主或相关部门确定,以遵守最佳实践和法律法规为参照和法律法规为参照uu 凡违反程序规定的行为,酌情予以纪律处分凡违反程序规定的行为,酌情予以纪律处分信息信息信息信息处理处理处理处理与与与与保护保护保护保护52uu 根据需要,在根据需要,在根据需要,在根据需要,在SOWSOW或个人协议中明确安全方面的承诺和要求;或个人协议中明确安全方面的承诺和要求;或个人协议中明确安全方面的承诺和
38、要求;或个人协议中明确安全方面的承诺和要求;uu 明确与客户进行数据交接的人员责任,控制客户数据使用及分明确与客户进行数据交接的人员责任,控制客户数据使用及分明确与客户进行数据交接的人员责任,控制客户数据使用及分明确与客户进行数据交接的人员责任,控制客户数据使用及分发;发;发;发;uu 明确非业务部门在授权使用客户数据时的保护责任;明确非业务部门在授权使用客户数据时的保护责任;明确非业务部门在授权使用客户数据时的保护责任;明确非业务部门在授权使用客户数据时的保护责任;uu 基于业务需要,主管决定是否对重要数据进行加密保护;基于业务需要,主管决定是否对重要数据进行加密保护;基于业务需要,主管决定
39、是否对重要数据进行加密保护;基于业务需要,主管决定是否对重要数据进行加密保护;uu 禁止将客户数据或客户标识用于非项目相关的场合如培训材料;禁止将客户数据或客户标识用于非项目相关的场合如培训材料;禁止将客户数据或客户标识用于非项目相关的场合如培训材料;禁止将客户数据或客户标识用于非项目相关的场合如培训材料;uu 客户现场的工作人员,严格遵守客户客户现场的工作人员,严格遵守客户客户现场的工作人员,严格遵守客户客户现场的工作人员,严格遵守客户PolicyPolicy,妥善保护客户数,妥善保护客户数,妥善保护客户数,妥善保护客户数据;据;据;据;uu 打印件应设置标识,及时取回,并妥善保存或处理。打
40、印件应设置标识,及时取回,并妥善保存或处理。打印件应设置标识,及时取回,并妥善保存或处理。打印件应设置标识,及时取回,并妥善保存或处理。数据保护数据保护数据保护数据保护安全(举例)安全(举例)安全(举例)安全(举例)53重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计
41、算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划应急响应和业务连续性计划法律法规法律法规法律法规法律法规信信息息交交换换与与备备份份54uu信息交换原则:信息交换原则:信息交换原则:信息交换原则:uu明确要交换信息的敏感
42、级别,除了显著标注外,根据其敏感级别采取合适的保护措施明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施uu信息发送者和接收者有责任遵守信息交换要求信息发送者和接收者有责任遵守信息交换要求信息发送者和接收者有责任遵守信息交换要求信息发送者和接收者有责任遵守信息交换要求uu物理介质传输:物理介质传输:物理介质传输:物理介质传输:uu与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施与快递公司签署不扩散协议,识别丢失风险
43、,采取必要的控制措施与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施uu电子邮件和互联网信息交换电子邮件和互联网信息交换电子邮件和互联网信息交换电子邮件和互联网信息交换uu明确不可涉及敏感数据,如客户信息、订单合同等信息明确不可涉及敏感数据,如客户信息、订单合同等信息明确不可涉及敏感数据,如客户信息、订单合同等信息明确不可涉及敏感数据,如客户信息、订单合同等信息uu如必须交换此类信息,需申请主管批准并采取加密传输措施或如必须交换此类信息,需申请主管批准并采取加密传输措施或如必须交换此类信息,需申请主管批准并采取加密传输措施或如
44、必须交换此类信息,需申请主管批准并采取加密传输措施或DRMDRM保护机制保护机制保护机制保护机制uu文件共享:文件共享:文件共享:文件共享:uu包括包括包括包括ConfidentialConfidential在内的高级别的信息不能被发布于公共区域在内的高级别的信息不能被发布于公共区域在内的高级别的信息不能被发布于公共区域在内的高级别的信息不能被发布于公共区域 uu所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中所有共
45、享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中开设共享。开设共享。开设共享。开设共享。uu共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限uu临时共享的文件事后应予以删除临时共享的文件事后应予以删除临时共享的文件事后应予以删除临时共享的文件事后应予以删除信息交换信息交换信息交换信息交换安全(举例)安全(举例)安全(举例)安全(举例)55uu通过传真发送机密信息时,应
46、提前通知接收者并确保号通过传真发送机密信息时,应提前通知接收者并确保号通过传真发送机密信息时,应提前通知接收者并确保号通过传真发送机密信息时,应提前通知接收者并确保号码正确码正确码正确码正确uu不允许在公共区域用移动电话谈论机密信息不允许在公共区域用移动电话谈论机密信息不允许在公共区域用移动电话谈论机密信息不允许在公共区域用移动电话谈论机密信息uu不允许在公共区域与人谈论机密信息不允许在公共区域与人谈论机密信息不允许在公共区域与人谈论机密信息不允许在公共区域与人谈论机密信息uu不允许通过电子邮件或不允许通过电子邮件或不允许通过电子邮件或不允许通过电子邮件或IMIM工具交换账号和口令信息工具交换
47、账号和口令信息工具交换账号和口令信息工具交换账号和口令信息uu不允许借助公司资源做非工作相关的信息交换不允许借助公司资源做非工作相关的信息交换不允许借助公司资源做非工作相关的信息交换不允许借助公司资源做非工作相关的信息交换uu不允许通过不允许通过不允许通过不允许通过IMIM工具传输文件工具传输文件工具传输文件工具传输文件信息交换信息交换信息交换信息交换安全(举例:续)安全(举例:续)安全(举例:续)安全(举例:续)56uu重要信息系统应支持全备份、差量备份和增量备份重要信息系统应支持全备份、差量备份和增量备份重要信息系统应支持全备份、差量备份和增量备份重要信息系统应支持全备份、差量备份和增量备
48、份uu任何部门如果需要备份服务,应该经主管批准,并向任何部门如果需要备份服务,应该经主管批准,并向任何部门如果需要备份服务,应该经主管批准,并向任何部门如果需要备份服务,应该经主管批准,并向ITIT部门提出申请部门提出申请部门提出申请部门提出申请uuITIT部门提供备份所需的技术支持和必要的培训部门提供备份所需的技术支持和必要的培训部门提供备份所需的技术支持和必要的培训部门提供备份所需的技术支持和必要的培训uu申请者应该填写申请表,其中包含对介质、数据容量、申请者应该填写申请表,其中包含对介质、数据容量、申请者应该填写申请表,其中包含对介质、数据容量、申请者应该填写申请表,其中包含对介质、数据
49、容量、属主和操作者的需求属主和操作者的需求属主和操作者的需求属主和操作者的需求uu属主应该确保备份成功并定期检查日志,根据需要,实属主应该确保备份成功并定期检查日志,根据需要,实属主应该确保备份成功并定期检查日志,根据需要,实属主应该确保备份成功并定期检查日志,根据需要,实施测试以验证备份效率和效力施测试以验证备份效率和效力施测试以验证备份效率和效力施测试以验证备份效率和效力信息备份信息备份信息备份信息备份安全(举例)安全(举例)安全(举例)安全(举例)57重要信息的保密重要信息的保密重要信息的保密重要信息的保密信息交换及备份信息交换及备份信息交换及备份信息交换及备份软件应用安全软件应用安全软
50、件应用安全软件应用安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全计算机及网络访问安全人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理人员及第三方安全管理移动计算与远程办公移动计算与远程办公移动计算与远程办公移动计算与远程办公工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求工作环境及物理安全要求防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码防范病毒和恶意代码口令安全口令安全口令安全口令安全电子邮件安全电子邮件安全电子邮件安全电子邮件安全介质安全管理介质安全管理介质安全管理介质安全管理警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学应