信息安全意识培训全体员工详解.ppt

* IT安全问题 13、使用者必须向分公司信息技术部提出书面申 请并得到书面确认后方可安装的软件属于以下哪 一类（） A：I 类 B：II类 C：III类 D：IV类 * IT安全问题 14、下列关于笔记本使用规范描述错误的是（） A、笔记本应该设置硬盘保护密码以加强安全保护； B、在旅行中或在办公室之外的地方工作时 要尽可能将便携电脑置于个人的控制之下。 C、如果便携电脑或公司的机密信息被偷，丢失，必须及时报告给公司的安全部门和你的上级主管。 D、单位笔记本可以带回家供娱乐使用，例如玩游戏等。 问题一 15、在旅行中或出差时等办公室之外的地方使用便携电脑，以下哪一种使用方式不符合公司的安全规定： A、乘飞机旅行时，将便携电脑放在托运的行李中； B、外出时将便携电脑锁在酒店保险柜里； C、如果便携电脑被偷或丢失，报告给公司当地的安全部门和你的上级主管； D、在候机室或者飞机上看影片。 * 问题二 16、以下哪一种是正确的使用公司电脑的方式： A、公司上网需要申请，自己买张移动上网卡接入电脑上Internet； B、要给客户发保险产品信息，使用Hotmail发送过去； C、习惯使用Adobe Photoshop编辑软件，但公司的电脑没有安装，自己买张盗版光盘自行安装； D、定期把自己电脑的文档备份在移动硬盘上； * 问题三 17、以下哪一项不是太保信息安全等级的分类： A、公共信息； B、内部信息； C、敏感信息； D、秘密信息； * 谢谢 * * * 信息在使用中的安全，物理环境安全 * 2003年4月，在伦敦的利物浦大街车站，对过往行人进行的一次关于口令的安全调查。 切不可忽视第三方安全 * 2003年，上海某家为银行提供ATM服务的公司，软件工程师苏强。利用自助网点安装调试的机会，绕过加密程序Bug，编写并植入一个监视软件，记录用户卡号、磁条信息和密码，一个月内，记录下7000条。然后拷贝到自己电脑上，删掉植入的程序。 后来苏强去读研究生，买了白卡和读卡器，伪造银行卡，两年内共提取6万元。只是因为偶然原因被发现，公安机关通过检查网上查询客户信息的IP地址追查到苏强，破坏案件。 * 北京移动电话充值卡事件 31岁的软件工程师程稚瀚，在华为工作期间，曾为西藏移动做过技术工作，案发时，在UT斯达康深圳分公司工作。 2005年3月开始，其利用为西藏移动做技术时使用的密码（此密码自程稚瀚离开后一直没有更改），轻松进入了西藏移动的服务器。通过西藏移动的服务器，程稚瀚又跳转到了北京移动数据库，取得了数据从2005年3月至7月，程稚瀚先后4次侵入北京移动数据库，修改充值卡的时间和金额，将已充值的充值卡状态改为未充值，共修改复制出上万个充值卡密码。他还将盗出的充值卡密码通过淘宝网出售，共获利370余万元。 直到2005年7月，由于一次“疏忽”，程稚瀚将一批充值卡售出时，忘了修改使用期限，使用期限仍为90天。购买到这批充值卡的用户因无法使用便投诉到北京移动，北京移动才发现有6600张充值卡被非法复制，立即报警。 2005年8月24日，程稚瀚在深圳被抓获，所获赃款全部起获。  关于第三方安全管理的建议 识别所有相关第三方：服务提供商，设备提供商，咨询顾问，审计机构，物业，保洁等 识别所有与第三方相关的安全风险，无论是牵涉到物理访问还是逻辑访问 在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定 在与第三方签订协议时特别提出信息安全方面的要求，特别是访问控制要求 对第三方实施有效的监督，定期Review服务交付 物理环境中需要信息安全 在自助银行入口刷卡器下方粘上一个黑色小方块，叫“读卡器”，罩上一个加长的“壳”，把银行的刷卡器和读卡器一起藏在里面，一般人很难发现。取款人在刷卡进门时，银行卡上的全部信息就一下被刷进了犯罪分子的读卡器上。 在取款机窗口内侧顶部，粘上一个贴着“ATM”字样的“发光灯”。这个“发光灯”是经过特殊改造的，里面用一块手机电池做电源，连接两个灯泡，核心部分则是一个MP4。取款人取款时的全过程被犯罪分子装的“针孔摄像机”进行了“实况录像”。 ATM诈骗三部曲 取款人一走，犯罪分子立即收“家伙”进车，先把MP4连上笔记本电脑，回放录像记下取钱人按下的密码，接着再连上读卡器，同时再在电脑上连上一个叫“写卡器”的长条形东西。这时，他们随便拿出一张卡，不管是澡堂充值卡，还是超市礼品卡，只要是带磁条的，只要在写卡器里过一下，此卡就被成功“克隆”成一张“有实无名”的银行卡了。 您的供电系统真的万无一失？ 是一路电还是两路电？ 两路电是否一定是两个输电站？ 有没有U