课件：公司信息安全意识培训.ppt

* * - * k * * 信息在使用中的安全，物理环境安全 * 2003年4月，在伦敦的利物浦大街车站，对过往行人进行的一次关于口令的安全调查。 - * k * 另一个与物理安全相关的案例 时间：2002年某天夜里 地点：A公司的数据中心大楼 人物：一个普通的系统管理员 一个普通的系统管理员，利用看似简单的方法，就进入了需要门卡认证的数据中心…… ———— 来自国外某论坛的激烈讨论 * * 情况是这样的 …… A公司的数据中心是重地，设立了严格的门禁制度，要求必须插入门卡才能进入。不过，出来时很简单，数据中心一旁的动作探测器会检测到有人朝出口走去，门会自动打开 数据中心有个系统管理员张三君，这天晚上加班到很晚，中间离开数据中心出去夜宵，可返回时发现自己被锁在了外面，门卡落在里面了，四周别无他人，一片静寂 张三急需今夜加班，可他又不想打扰他人，怎么办？ * * 一点线索： 昨天曾在接待区庆祝过某人生日，现场还未清理干净，遗留下很多杂物，哦，还有气球…… * * 聪明的张三想出了妙计 …… ① 张三找到一个气球，放掉气 ② 张三面朝大门入口趴下来，把气球塞进门里，只留下气球的嘴在门的这边 ③ 张三在门外吹气球，气球在门内膨胀，然后，他释放了气球…… ④ 由于气球在门内弹跳，触发动作探测器，门终于开了 * * 问题出在哪里 …… 如果门和地板齐平且没有缝隙，就不会出这样的事 如果动作探测器的灵敏度调整到不对快速放气的气球作出反应，也不会出此事 当然，如果根本就不使用动作探测器来从里面开门，这种事情同样不会发生 * * 总结教训 …… 虽然是偶然事件，也没有直接危害，但是潜在风险 既是物理安全的问题，更是管理问题 切记！有时候自以为是的安全，恰恰是最不安全！ 物理安全非常关键！ * * 关于物理安全的建议 将敏感设备和信息放置在受控的安全区域 所有到受控区域的入口都应该加锁、设置门卫，或者以某种方式进行监视，并做好进出登记 如果进出需要ID徽章，请随身带好，严禁无证进入 钥匙和门卡仅供本人使用，不要交给他人使用 严格控制带存储和摄像功能的手持设备的使用 使用公共区域的打印机、传真机、复印机时，一定不要遗留敏感文件 移动电脑是恶意者经常关注的目标，一定要注意保护 使用碎纸机，谨防敏感文件通过垃圾篓而泄漏 如果发现可疑情况，请立即报告 * * 日常工作需特别留意信息安全 * * * 移动介质管控的要求与落实脱节 “摆渡攻击” 涉密网络中的泄密现象 * * 关于口令的一些调查结果 一个有趣的调查发现，如果你用一条巧克力来作为交换，有70％的人乐意告诉你他（她）的口令 有34％的人，甚至不需要贿赂，就可奉献自己的口令 另据调查，有79％的人，在被提问时，会无意间泄漏足以被用来窃取其身份的信息 姓名、宠物名、生日、球队名最常被用作口令 平均每人要记住四个口令，大多数人都习惯使用相同的口令（在很多需要口令的地方） 33％的人选择将口令写下来，然后放到抽屉或夹到文件里 * * 什么样的口令是比较脆弱的？ 少于8个字符 单一的字符类型，例如只用小写字母，或只用数字 用户名与口令相同 最常被人使用的弱口令： 自己、家人、朋友、亲戚、宠物的名字 生日、结婚纪念日、电话号码等个人信息 工作中用到的专业术语，职业特征 字典中包含的单词，或者只在单词后加简单的后缀 所有系统都使用相同的口令 口令一直不变 * * 口令安全建议 应该设置强口令 口令应该经常更改，比如3个月 不同的系统或场所应使用不同的口令 一定要即刻更改系统的缺省或初始化口令 不要与任何人共享你的口令 不要把口令写在纸上 不要把口令存储在计算机文件中 输入口令时严防有人偷看 如果有人在电话中向你索取口令，拒绝后立即报告 如果发觉有人获知你的口令，立即改变它 * * 从一点一滴做起！ 从自身做起！ * * * IT安全问题 01 1、一般情况下，个人计算机在（ ） 分钟的非活动状态里要求自动激活屏幕锁定 02 A、5分钟 B、10分钟 03 C、15分钟 D、30分钟 * * IT安全问题 01 2、下列说法错误的是( ) 02 A、个人计算机操作系统必须设置口令。 04 C、离开自己的计算机时，必须激活具有密码保护的屏幕保护程序。 05 D、为方便第二天工作，下班后可以不用关闭计算机。 03 B、在每天工作结束时，将便携电脑妥善保 管，如锁入文件柜。 * * IT安全问题 01 3、口令要求至少（ ）更换一次 02 A、