安全意识（网管中心final）.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 不要轻易泄漏敏感信息，例如口令和账号 在相信任何人之前，先校验其真实的身份 不要违背公司的安全策略，哪怕是你的上司向你索取个人敏感信息（Kevin Mitnick最擅长的就是冒充一个很焦急的老板，利用一般人好心以及害怕上司的心理，向系统管理员索取口令） 不要忘了，所谓的黑客，更多时候并不是技术多么出众，而是社会工程的能力比较强 社会工程学 * 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 应急响应和BCP * 事先制定可行的安全事件响应计划 建立事件响应小组，以管理不同风险级别的安全事件 员工有责任向其上级报告任何已知或可疑的安全问题或违规行为 必要时，管理层可决定引入法律程序 做好证据采集和保留工作 应提交安全事件和相关问题的定期管理报告，以备管理层检查 应该定期检查应急计划的有效性 安全事件管理要点 * 断电 断水 恐怖袭击 人员伤亡 设施毁坏 火灾 水灾 第一时间可以找谁？ 具体联络方式？ 灾难发生时合理的应对 关键是确保人员安全 重大灾害发生时的应急考虑 * 网络通信中断 服务器崩溃 严重的数据 泄漏或丢失 计算机网络安全事件 断电 断水 恐怖袭击 人员伤亡 设施毁坏 火灾 水灾 人员与环境灾难事故 事先做好备份等准备工作 灾难发生后妥善处理以降 低损失 在确定时限内恢复 分析原因，做好记录 BCP应定期测试和维护 应该明确责任人 重大灾害发生后应启用BCP进行恢复 * 数据备份是制定BCP时必须考虑的一种恢复准备措施 现在，数据备份的途径有多种： 软盘，CD和DVD，Zip盘，磁带，移动硬盘，优盘 养成对您的数据进行备份的好习惯 备份磁盘不要放在工作场所 对重要的硬盘做好镜像 定期检查业务备份系统运行 对重要的软件进行更新，例如微软的产品 数据备份要点 * 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 法律法规 * 中国的信息立法 刑法 计算机信息系统安全保护条例 计算机病毒防治管理办法 计算机信息网络国际联网安全保护管理办法 中国陆续制定了多部与信息活动密切相关的法律，虽然大多不专门针对网络环境，甚至有些也不针对电子信息，但它们的基本精神对网络的建设、管理以及网络中的信息活动都有不同程度的指导作用。 保守国家秘密法 著作权法 国家安全法 反不正当竞争法 * 刑法第２８５条规定 重要的法律法规 “违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。” ??? “提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。” * 严禁泄露或交易客户信息 严禁发送违法信息，或未经客户同意发送商业广告信息 严禁未经客户确认擅自为客户开通或变更业务 严禁串通、包庇、纵容增值服务提供商泄漏客户信息、擅自为客户开通数据及信息化业务或实施其他侵害客户权益的行为 严禁串通、包庇、纵容渠道或系统合作商泄漏客户信息、侵吞客户话费、擅自过户或销号、倒卖卡号资源或实施其他侵害客户权益的行为 中国对信息系统的立法工作很重视，关于计算机信息系统安全方面的法规较多，涉及信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治、标准化、场地设施安全和安全产品检测与销售等方面。 集团公司的五条禁令 * 要点总结！ * 加强敏感信息的保密 留意物理安全 遵守法律法规和安全策略 公司资源只供公司所用 保守口令秘密 谨慎使用Internet、EMAIL、QQ 加强人员安全管理 识别并控制第三方风险 加强防病毒