银行信息安全意识培训PPT课件.ppt

信息科技部;建立对信息安全的敏感意识和正确认识 掌握信息安全的基本概念、原则和惯例 清楚可能面临的威胁和风险 遵守各项安全策略和制度 在日常工作中养成良好的安全习惯 最终提升整体的信息安全水平; 1、国内多家银行网银用户遭到大规模钓鱼攻击，损失巨大； 2、RSA遭黑客攻击，主流身份认证产品SecureID的重要信息泄漏，导致美国多家军工企业信息系统受到严重威胁； 3、LulzSec成功袭击了中央情报局，美国参议院，任天堂，索尼等多家机构，引起国际社会广泛关注； 4、花旗银行网站遭遇黑客 20万信用卡用户信息被盗； 5、由于南海领土纠纷引起中越黑客相互攻击对方重要网站； 6、韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数据丢失； 7、美联合航空电脑故障，全国服务大乱； 8、腾讯网大面积访问异常； 9、新浪微博病毒大范围传播； 10、Comodo等多家证书机构遭到攻击，攻击者得以伪造google等多家知名网站证书，使互联网安全遭遇严重威胁；;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;对于敏感类的电子信息，要建立严格的逻辑访问控制措施，例如数字证书、 动态口令、一次性口令卡等强认证措施来保证电子数据的安全使用；同时也须建立留痕机制，以确定敏感信息使用情况的可审计性。限制敏感类信息在网上，特别是在外网上进行传输。 对敏感类的文件、资料、音像制品等，要存放在文件柜内，并加锁保护；不得随意搁置在桌面或夹带在日常的文件中，不得私自翻印、复制、摘录与外传。符合保密办要求的机密类文件，按保密办的有关要求处理。 用于登录和访问计算机系统的终端设备，要专机专用，不可以访问外部网络，并及时更新的杀毒软件，做好病毒防范工作。;*;数据恢复技术： 数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以还原的过程。U盘或计算机硬盘存储的数据即使已被删除或进行格式化处理，使用专用软件仍能将其恢复，这种方法也因此成为窃密的手段之一。 例如，窃密者使用从互联网下载的恢复软件对目标计算机的已被格式化的U盘进行格式化恢复操作后，即可成功的恢复原有文件。 安全事件 香港某明星曾托助手将其手提电脑，送到一间计算机公司维修，其后有人把计算机中已经删除的照片恢复后制作成光盘，发放予朋友及其它人士观赏。 ;*;*;*;*;*;*;*;*; 我行应保障应用系统、操作系统、网络系统访问控制的安全，并满足以下基本原则： （一）必需知道和最小授权原则。在业务需求或工作需要的范围内，授予用户最小的访问权限。 （二）职责分离原则。应分离工作职责，以降低未授权访问、无意识修改或滥用信息系统和数据的可能性。 （三）默认拒绝原则。当用户没有明确标明权限配置，则默认用户不能访问未经授权的信息系统和数据。 （四）可审计原则。通过安全管理平台访问流程中保留相关记录，可审计跟踪其工作过程和结果。;*;*;*;应对我行所有员工及外包人员进行安全管理，明确人员任用各环节中的安全控制措施，确保其理解应承担的安全责任，减少因人员故意或过失导致的安全风险 我行应加强对外包人员的安全管理，按照“必需知道”和“最小授权”原则进行授权。应避免外包人员进入我行安全区域，如需进入，应得到适当的批准，相关人员的活动也应受到严格监控。 定期对我行所有员工及外包人员进行信息安全意识教育和岗位相关安全技能培训，使其了解常见的安全威胁及相应的防护措施。; 我行在人员任用前应实施有效的安全控制，包括但不限于： （一）所有员工及可能接触我行信息资产的外包人员在任用前，均应进行背景考察，并签署保密协议。 （二）确保所有员工及外包人员开展工作前，了解我行的安全管理规定，并通过适当的岗位说明书及相关协议加以明确。 我行在人员任用中应实施适当的安全控制，包括但不限于： （一）明确各级人员信息安全职责，使所有员工和外包人员了解工作中面临的信息安全风险、信息安全相关责任和义务。 （二）所有员工及外包人员应遵守我行信息安全管理办法及相关规定。 （三）制定明确的罚则，对违反我行信息安全管理办法及相关规定的员工及外包人员进行相应的处罚。;在人员任用中止与任用变更时实施的安全控制包括但不限于： （一）终止离职或变更的我行所有员工和外包人员的工作职责。 （二）收回离职的我行所有员工和外包人员所使用的相关物品与信息资产。 （三）删除或变更他们对我行信息及信息系统的所有使用权和访问权。;*;*;*;*;设备使用人员及其部门负责设备的保养维护，主要包括对设备的防尘、防垢、防潮等处理；信息科技工作主管部门负责设备的软硬件系统优化、故障隐患处理、使用状况巡检等。设备使用人员不得擅自拆装设备、更改系统配置、