公司信息安全意识培训[宣讲].ppt

关于第三方安全管理的建议 识别所有相关第三方：服务提供商，设备提供商，咨询顾问，审计机构，物业，保洁等 识别所有与第三方相关的安全风险，无论是牵涉到物理访问还是逻辑访问 在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定 在与第三方签订协议时特别提出信息安全方面的要求，特别是访问控制要求 对第三方实施有效的监督，定期Review服务交付 * 精品PPT | 借鉴参考 物理环境中需要信息安全 * 精品PPT | 借鉴参考 在自助银行入口刷卡器下方粘上一个黑色小方块，叫“读卡器”，罩上一个加长的“壳”，把银行的刷卡器和读卡器一起藏在里面，一般人很难发现。取款人在刷卡进门时，银行卡上的全部信息就一下被刷进了犯罪分子的读卡器上。 在取款机窗口内侧顶部，粘上一个贴着“ATM”字样的“发光灯”。这个“发光灯”是经过特殊改造的，里面用一块手机电池做电源，连接两个灯泡，核心部分则是一个MP4。取款人取款时的全过程被犯罪分子装的“针孔摄像机”进行了“实况录像”。 ATM诈骗三部曲 取款人一走，犯罪分子立即收“家伙”进车，先把MP4连上笔记本电脑，回放录像记下取钱人按下的密码，接着再连上读卡器，同时再在电脑上连上一个叫“写卡器”的长条形东西。这时，他们随便拿出一张卡，不管是澡堂充值卡，还是超市礼品卡，只要是带磁条的，只要在写卡器里过一下，此卡就被成功“克隆”成一张“有实无名”的银行卡了。 * 精品PPT | 借鉴参考 您的供电系统真的万无一失？ 是一路电还是两路电？ 两路电是否一定是两个输电站？ 有没有UPS？ UPS能维持多久？ 有没有备用发电机组？ 备用发电机是否有充足的油料储备？ * 精品PPT | 借鉴参考 另一个与物理安全相关的案例 时间：2002年某天夜里 地点：A公司的数据中心大楼 人物：一个普通的系统管理员 一个普通的系统管理员，利用看似简单的方法，就进入了需要门卡认证的数据中心…… ———— 来自国外某论坛的激烈讨论 * 精品PPT | 借鉴参考 情况是这样的 …… A公司的数据中心是重地，设立了严格的门禁制度，要求必须插入门卡才能进入。不过，出来时很简单，数据中心一旁的动作探测器会检测到有人朝出口走去，门会自动打开 数据中心有个系统管理员张三君，这天晚上加班到很晚，中间离开数据中心出去夜宵，可返回时发现自己被锁在了外面，门卡落在里面了，四周别无他人，一片静寂 张三急需今夜加班，可他又不想打扰他人，怎么办？ * 精品PPT | 借鉴参考 一点线索： 昨天曾在接待区庆祝过某人生日，现场还未清理干净，遗留下很多杂物，哦，还有气球…… * 精品PPT | 借鉴参考 聪明的张三想出了妙计 …… ① 张三找到一个气球，放掉气 ② 张三面朝大门入口趴下来，把气球塞进门里，只留下气球的嘴在门的这边 ③ 张三在门外吹气球，气球在门内膨胀，然后，他释放了气球…… ④ 由于气球在门内弹跳，触发动作探测器，门终于开了 * 精品PPT | 借鉴参考 问题出在哪里 …… 如果门和地板齐平且没有缝隙，就不会出这样的事 如果动作探测器的灵敏度调整到不对快速放气的气球作出反应，也不会出此事 当然，如果根本就不使用动作探测器来从里面开门，这种事情同样不会发生 * 精品PPT | 借鉴参考 总结教训 …… 虽然是偶然事件，也没有直接危害，但是潜在风险 既是物理安全的问题，更是管理问题 切记！有时候自以为是的安全，恰恰是最不安全！ 物理安全非常关键！ * 精品PPT | 借鉴参考 关于物理安全的建议 将敏感设备和信息放置在受控的安全区域 所有到受控区域的入口都应该加锁、设置门卫，或者以某种方式进行监视，并做好进出登记 如果进出需要ID徽章，请随身带好，严禁无证进入 钥匙和门卡仅供本人使用，不要交给他人使用 严格控制带存储和摄像功能的手持设备的使用 使用公共区域的打印机、传真机、复印机时，一定不要遗留敏感文件 移动电脑是恶意者经常关注的目标，一定要注意保护 使用碎纸机，谨防敏感文件通过垃圾篓而泄漏 如果发现可疑情况，请立即报告 * 精品PPT | 借鉴参考 日常工作需特别留意信息安全 * 精品PPT | 借鉴参考 * 移动介质管控的要求与落实脱节 “摆渡攻击” 涉密网络中的泄密现象 * 精品PPT | 借鉴参考 WHY??? 信息安全搞好了 信息安全搞砸了 公司赚钱了 领导笑了 领导怒了 公司赔钱了 你就“跌” 了 你就“涨” 了 * 精品PPT | 借鉴参考 思想上的转变（二） 信息比钞票更重要，更脆弱，我们更应该保护它。