入职员工培训体系管理信息安全意识要点.ppt

总结教训 …… 最直接的教训：漠视口令安全带来恶果！ 归根到底，是管理上存在漏洞，人员安全意识淡薄 安全意识的提高刻不容缓！ 2、切不可忽视第三方安全 北京移动电话充值卡事件 31岁的软件工程师程稚瀚，在华为工作期间，曾为西藏移动做过技术工作，案发时，在UT斯达康深圳分公司工作。 2005年3月开始，其利用为西藏移动做技术时使用的密码（此密码自程稚瀚离开后一直没有更改），轻松进入了西藏移动的服务器。通过西藏移动的服务器，程稚瀚又跳转到了北京移动数据库，取得了数据从2005年3月至7月，程稚瀚先后4次侵入北京移动数据库，修改充值卡的时间和金额，将已充值的充值卡状态改为未充值，共修改复制出上万个充值卡密码。他还将盗出的充值卡密码通过淘宝网出售，共获利370余万元。 直到2005年7月，由于一次“疏忽”，程稚瀚将一批充值卡售出时，忘了修改使用期限，使用期限仍为90天。购买到这批充值卡的用户因无法使用便投诉到北京移动，北京移动才发现有6600张充值卡被非法复制，立即报警。 2005年8月24日，程稚瀚在深圳被抓获，所获赃款全部起获。  装修换钥匙 第三方安全管理的建议 识别所有相关第三方：服务提供商，设备提供商，咨询顾问，审计机构，物业，保洁等 识别所有与第三方相关的安全风险，无论是牵涉到物理访问还是逻辑访问 在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定 在与第三方签订协议时特别提出信息安全方面的要求，特别是访问控制要求 对第三方实施有效的监督，定期Review服务交付 3、物理环境中需要信息安全 时间：2002年某天夜里 地点：A公司的数据中心大楼 人物：一个普通的系统管理员 一个普通的系统管理员，利用看似简单的方法，就进入了需要门卡认证的数据中心…… ———— 来自国外某论坛的激烈讨论 情况是这样的 …… A公司的数据中心是重地，设立了严格的门禁制度，要求必须插入门卡才能进入。不过，出来时很简单，数据中心一旁的动作探测器会检测到有人朝出口走去，门会自动打开 数据中心有个系统管理员张三君，这天晚上加班到很晚，中间离开数据中心出去夜宵，可返回时发现自己被锁在了外面，门卡落在里面了，四周别无他人，一片静寂 张三急需今夜加班，可他又不想打扰他人，怎么办？ 一点线索： 昨天曾在接待区庆祝过某人生日，现场还未清理干净，遗留下很多杂物，哦，还有气球…… 聪明的张三想出了妙计 …… ① 张三找到一个气球，放掉气 ② 张三面朝大门入口趴下来，把气球塞进门里，只留下气球的嘴在门的这边 ③ 张三在门外吹气球，气球在门内膨胀，然后，他释放了气球…… ④ 由于气球在门内弹跳，触发动作探测器，门终于开了 问题出在哪里 …… 如果门和地板齐平且没有缝隙，就不会出这样的事 如果动作探测器的灵敏度调整到不对快速放气的气球作出反应，也不会出此事 当然，如果根本就不使用动作探测器来从里面开门，这种事情同样不会发生 总结教训 …… 虽然是偶然事件，也没有直接危害，但是潜在风险 既是物理安全的问题，更是管理问题 切记！有时候自以为是的安全，恰恰是最不安全！ 物理安全非常关键！ 物理安全的建议 将敏感设备和信息放置在受控的安全区域 所有到受控区域的入口都应该加锁、设置门卫，或者以某种方式进行监视，并做好进出登记 如果进出需要门禁卡，请随身带好，严禁无证进入 钥匙和门卡仅供本人使用，不要交给他人使用 严格控制带存储和摄像功能的手持设备的使用 使用公共区域的打印机、传真机、复印机时，一定不要遗留敏感文件 移动电脑是恶意者经常关注的目标，一定要注意保护 使用碎纸机，谨防敏感文件通过垃圾篓而泄漏 日常工作需特别留意信息安全 一个有趣的调查发现，如果你用一条巧克力来作为交换，有70％的人乐意告诉你他（她）的口令 有34％的人，甚至不需要贿赂，就可奉献自己的口令 另据调查，有79％的人，在被提问时，会无意间泄漏足以被用来窃取其身份的信息 姓名、宠物名、生日、球队名最常被用作口令 平均每人要记住四个口令，大多数人都习惯使用相同的口令（在很多需要口令的地方） 33％的人选择将口令写下来，然后放到抽屉或夹到文件里 关于口令的一些调查结果 应该设置强口令 口令应该经常更改，比如3个月 不同的系统或场所应使用不同的口令 一定要即刻更改系统的缺省或初始化口令 不要与任何人共享你的口令 不要把口令写在纸上 不要把口令存储在计算机文件中 输入口令时严防有人偷看 如果发觉有人获知你的口令，立即改变它 口令安全建议 少于8个字符 单一的字符类型，例