1、 公司公司信信息安全意識培訓息安全意識培訓21234什么是信息安全？怎樣搞好信息安全？信息產業發展現狀主要內容信息安全基本概念3引言4什么是信息安全？ 不止有產品、技術才是信息安全不止有產品、技術才是信息安全5信息安全無處不在 一個軟件公司的老總，等他所有的員工下班之一個軟件公司的老總，等他所有的員工下班之后，他在那里想：我的企業到底值多少錢呢？后，他在那里想：我的企業到底值多少錢呢？假假如它的企業市值如它的企業市值1 1億，那么此時此刻，他的企業就億，那么此時此刻，他的企業就值值26002600萬。萬。 因為據因為據DelphiDelphi公司統計，公司價值的公司統計，公司價值的2626%體

2、現體現在固定資產和一些文檔上，而在固定資產和一些文檔上，而高達高達4242%的價值是存的價值是存儲在員工的腦子里，而這些信息的保護沒有任何儲在員工的腦子里，而這些信息的保護沒有任何一款產品可以做得到一款產品可以做得到，所以需要我們建立信息安，所以需要我們建立信息安全管理體系，也就是常說的全管理體系，也就是常說的ISMSISMS！6怎樣搞好信息安全？7信息在哪里？紙質文檔紙質文檔電子文檔電子文檔員工員工其他信息介質其他信息介質小問題：小問題：公司的信息都在哪里？8小測試： 9答案解釋： 10這就是意識缺乏的兩大這就是意識缺乏的兩大不看重大公司，更看重小家庭。不看重大公司，更看重小家庭。鈔票更順眼

3、，信息無所謂。鈔票更順眼，信息無所謂。11思想上的轉變（一） 老板那里12WHY?信息安全搞好了信息安全搞好了信息安全搞砸了信息安全搞砸了公司賺錢了公司賺錢了領導笑了領導笑了領導怒了領導怒了公司賠錢了公司賠錢了你就你就“跌跌” 了了你就你就“漲漲” 了了13思想上的轉變（二） 信息比鈔票更重要，信息比鈔票更重要，更脆弱，我們更應該保護更脆弱，我們更應該保護它。它。14WHY?裝有100萬的 保險箱需要 3個悍匪、公司損失： 100萬裝有客戶信息的 電腦只要 1個商業間諜、1個U盤，就能偷走。1輛車，才能偷走。15典型案例16安全名言 公司的利益就是自己的利益，不保護公司公司的利益就是自己的利益

4、，不保護公司，就是不保護自己。，就是不保護自己。 電腦不僅僅是工具，而是裝有十分重要信電腦不僅僅是工具，而是裝有十分重要信息的保險箱。息的保險箱。17絕對的安全是不存在的絕對的零風險是不存在的，要想實現零風險，也是不現實的；絕對的零風險是不存在的，要想實現零風險，也是不現實的；計算機系統的安全性越高，其可用性越低，需要付出的成本也就越大，計算機系統的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。種平衡。 在計算機安全領域有一句格言：“真正真正安全的計算機是拔下網線

5、，斷掉電源，放置安全的計算機是拔下網線，斷掉電源，放置在地下掩體的保險柜中，并在掩體內充滿毒在地下掩體的保險柜中，并在掩體內充滿毒氣，在掩體外安排士兵守衛。氣，在掩體外安排士兵守衛?！?顯然，這樣的計算機是無法使用的。18安全是一種平衡19安全是一種平衡安全控制的成本安全事件的損失最小化的總成本最小化的總成本低高高安全成本/損失所提供的安全水平關鍵是實現成本利益的平衡關鍵是實現成本利益的平衡信息的價值信息的價值 = 使用信息所獲得的收益使用信息所獲得的收益 獲取信息所用成獲取信息所用成本本信息具備了安全的保護特性信息具備了安全的保護特性20信息的價值廣義上講 領域領域 涉及到信息的保密性，完整

6、性，可用性，真涉及到信息的保密性，完整性，可用性，真實性，可控性的相關技術和理論。實性，可控性的相關技術和理論。本質上 保護保護 系統的硬件，軟件，數據系統的硬件，軟件，數據 防止防止 系統和數據遭受破壞，更改，泄露系統和數據遭受破壞，更改，泄露 保證保證 系統連續可靠正常地運行，服務不中斷系統連續可靠正常地運行，服務不中斷兩個層面 技術層面技術層面 防止外部用戶的非法入侵防止外部用戶的非法入侵 管理層面管理層面 內部員工的教育和管理內部員工的教育和管理21信息安全的定義22信息安全基本目標23信息生命周期24信息產業發展迅猛截至截至2008年年7月，我國固定電話已達到月，我國固定電話已達到3

7、.55億戶，移動電話用戶數達到億戶，移動電話用戶數達到6.08億。億。截至截至2008年年6月，月，我國網民數量達到了我國網民數量達到了2.53億億，成為世界上網民最多的，成為世界上網民最多的國家，與去年同期相比，中國網民人數增加了國家，與去年同期相比，中國網民人數增加了9100萬人，同比增長達到萬人，同比增長達到56.2%。手機上網成為用戶上網的重要途徑，網民中的手機上網成為用戶上網的重要途徑，網民中的28.9%在過去半年曾經使在過去半年曾經使用過手機上網，用過手機上網，手機網民規模達到手機網民規模達到7305萬人萬人。 2007年電子商務交易總額已超過年電子商務交易總額已超過2萬億元。萬億

8、元。目前，目前，全國網站總數達全國網站總數達192萬萬，中文網頁已達，中文網頁已達84.7億頁，個人博客億頁，個人博客/個人個人空間的網民比例達到空間的網民比例達到42.3%。 目前，縣級以上目前，縣級以上96%的政府機構都建立了網站的政府機構都建立了網站，電子政務正以改善公共，電子政務正以改善公共服務為重點，在教育、醫療、住房等方面，提供便捷的基本公共服務。服務為重點，在教育、醫療、住房等方面，提供便捷的基本公共服務。 25信息安全令人擔憂內地企業內地企業4444%信息安全事件是數據失竊信息安全事件是數據失竊 普華永道最新發布的2008年度全球信息安全調查報告顯示，中國內地企業在信息安全管理

9、方面存在滯后，信息安全與隱私保障方面已被印度趕超。數據顯示，內地企業內地企業4444%的信息安全事件與的信息安全事件與數據失竊有關，而全球的平均水平只有數據失竊有關，而全球的平均水平只有1616%。普華永道的調查顯示，中國內地企業在改善信息安全機制上仍有待努力，從近年安全事件結果看，中國每年大約中國每年大約9898萬美元的萬美元的財務損失，而亞洲國家平均約為財務損失，而亞洲國家平均約為7575萬美元，印度大約為萬美元，印度大約為30.830.8萬美萬美元元。此外，42%的中國內地受訪企業經歷了應用軟件、系統和網絡的安全事件。26安全事件（1）27安全事件（2）28安全事件（3）29安全事件（4

10、）30安全事件（5）31安全事件（6）熊貓燒香病毒的制造者-李俊 32深度分析33這樣的事情還有很多關鍵是做好預防控制關鍵是做好預防控制 3538392005年年9月月7日，上海樂購超市金山店負責人到市公安局金山分局報案稱，該店在盤點貨物時發現日，上海樂購超市金山店負責人到市公安局金山分局報案稱，該店在盤點貨物時發現銷售的貨物和收到的貨款不符，有可能款物被非法侵吞。上海市公安局經偵總隊和金山分局立即成銷售的貨物和收到的貨款不符，有可能款物被非法侵吞。上海市公安局經偵總隊和金山分局立即成立了專案組展開調查。立了專案組展開調查。專案組調查發現，樂購超市幾家門店貨物缺損率大大超過了業內千分之五的物損

11、比例，缺損的貨物專案組調查發現，樂購超市幾家門店貨物缺損率大大超過了業內千分之五的物損比例，缺損的貨物五花八門，油鹽醬醋等日常用品的銷售與實際收到的貨款差別很大。根據以往的案例，超市內的盜五花八門，油鹽醬醋等日常用品的銷售與實際收到的貨款差別很大。根據以往的案例，超市內的盜竊行為往往是針對體積小價值高的化妝品等物，盜竊者很少光顧油鹽醬醋等生活用品。奇怪的是，竊行為往往是針對體積小價值高的化妝品等物，盜竊者很少光顧油鹽醬醋等生活用品。奇怪的是，在超市的各個經營環節并沒有發現明顯漏洞。在超市的各個經營環節并沒有發現明顯漏洞。考慮到錢和物最終的流向收銀員是出口，問題很可能出在收銀環節?？紤]到錢和物最

12、終的流向收銀員是出口，問題很可能出在收銀環節。警方在調查中發現，收銀系統警方在調查中發現，收銀系統軟件的設計相對嚴密，除非是負責維護收銀系統的資訊小組職員和收銀員合謀，才有可能對營業款軟件的設計相對嚴密，除非是負責維護收銀系統的資訊小組職員和收銀員合謀，才有可能對營業款項動手腳。項動手腳。經過深入調查，偵查人員發現超市原有的收銀系統被裝入了一個攻擊性的補丁程序，只要收銀員輸經過深入調查，偵查人員發現超市原有的收銀系統被裝入了一個攻擊性的補丁程序，只要收銀員輸入口令、密碼，這個程序會自動運行，刪除該營業員當日入口令、密碼，這個程序會自動運行，刪除該營業員當日20左右的銷售記錄后再將數據傳送至會左

13、右的銷售記錄后再將數據傳送至會計部門，造成會計部門只按實際營業額的計部門，造成會計部門只按實際營業額的80向收銀員收取營業額。另向收銀員收取營業額。另20營業額即可被侵吞。營業額即可被侵吞。能夠在收銀系統中裝入程序的，負責管理、更新、維修超市收銀系統的資訊組工作人員嫌疑最大。能夠在收銀系統中裝入程序的，負責管理、更新、維修超市收銀系統的資訊組工作人員嫌疑最大。 警方順藤摸瓜，挖出一個包括超市資訊員、收銀員在內的近警方順藤摸瓜，挖出一個包括超市資訊員、收銀員在內的近40人的犯罪團伙。據調查，原樂購超市人的犯罪團伙。據調查，原樂購超市真北店資訊組組長方元在工作中發現收銀系統漏洞，設計了攻擊性程序，

14、犯罪嫌疑人于琪、朱永春、真北店資訊組組長方元在工作中發現收銀系統漏洞，設計了攻擊性程序，犯罪嫌疑人于琪、朱永春、武侃佳等人利用擔任樂購超市多家門店資訊工作的便利，將這一程序植入各門店收銀系統；犯罪嫌武侃佳等人利用擔任樂購超市多家門店資訊工作的便利，將這一程序植入各門店收銀系統；犯罪嫌疑人陳煒嘉、陳琦、趙一青等人物色不法人員，經培訓后通過應聘安插到各家門店做收銀員，每日疑人陳煒嘉、陳琦、趙一青等人物色不法人員，經培訓后通過應聘安插到各家門店做收銀員，每日將侵吞贓款上繳到犯罪團伙主犯方元、陳煒嘉、陳琦等人手中，團伙成員按比例分贓。一年時間內，將侵吞贓款上繳到犯罪團伙主犯方元、陳煒嘉、陳琦等人手中，

15、團伙成員按比例分贓。一年時間內，先后侵吞樂購超市真北店、金山店、七寶店先后侵吞樂購超市真北店、金山店、七寶店374萬余元。犯罪團伙個人按比例分得贓款數千元至萬余元。犯罪團伙個人按比例分得贓款數千元至50萬萬元不等元不等關于員工安全管理的建議關于員工安全管理的建議 根據不同崗位的需求，在職位描述書中加入安全方面根據不同崗位的需求，在職位描述書中加入安全方面的責任要求，特別是敏感崗位的責任要求，特別是敏感崗位 在招聘環節做好人員篩選和背景調查工作，并且簽訂在招聘環節做好人員篩選和背景調查工作，并且簽訂適當的保密協議適當的保密協議 在新員工培訓中專門加入信息安全內容在新員工培訓中專門加入信息安全內容

16、 工作期間，根據崗位需要，持續進行專項培訓工作期間，根據崗位需要，持續進行專項培訓 通過多種途徑，全面提升員工信息安全意識通過多種途徑，全面提升員工信息安全意識 落實檢查監督和獎懲機制落實檢查監督和獎懲機制 員工內部轉崗應做好訪問控制變更控制員工內部轉崗應做好訪問控制變更控制 員工離職，應做好交接和權限撤銷員工離職，應做好交接和權限撤銷42433131歲的軟件工程師歲的軟件工程師程稚瀚，在華為工作期間，曾為西藏移動做過技術程稚瀚，在華為工作期間，曾為西藏移動做過技術工作，案發時，在工作，案發時，在UT斯達康深圳分公司工作。斯達康深圳分公司工作。20052005年年3 3月開始，其月開始，其利用

17、為西藏移動做技術時使用的密碼（此密碼自程利用為西藏移動做技術時使用的密碼（此密碼自程稚瀚離開后一直沒有更改），輕松進入了西藏移動的服務器。通過西稚瀚離開后一直沒有更改），輕松進入了西藏移動的服務器。通過西藏移動的服務器，程稚瀚又跳轉到了北京移動數據庫，取得了數據從藏移動的服務器，程稚瀚又跳轉到了北京移動數據庫，取得了數據從2005年年3月至月至7月，程稚瀚先后月，程稚瀚先后4次侵入北京移動數據庫，修改充值卡次侵入北京移動數據庫，修改充值卡的時間和金額，將已充值的充值卡狀態改為未充值，共修改復制出上的時間和金額，將已充值的充值卡狀態改為未充值，共修改復制出上萬個充值卡密碼。他還將盜出的充值卡密碼

18、通過淘寶網出售，共獲利萬個充值卡密碼。他還將盜出的充值卡密碼通過淘寶網出售，共獲利370余萬元。余萬元。 直到直到2005年年7月，由于一次月，由于一次“疏忽疏忽”，程稚瀚將一批充值卡售出時，忘，程稚瀚將一批充值卡售出時，忘了修改使用期限，使用期限仍為了修改使用期限，使用期限仍為90天。購買到這批充值卡的用戶因無天。購買到這批充值卡的用戶因無法使用便投訴到北京移動，北京移動才發現有法使用便投訴到北京移動，北京移動才發現有6600張充值卡被非法復張充值卡被非法復制，立即報警。制，立即報警。 2005年年8月月24日，程稚瀚在深圳被抓獲，所獲贓款全部起獲。日，程稚瀚在深圳被抓獲，所獲贓款全部起獲。

19、 關于第三方安全管理的建議關于第三方安全管理的建議 識別所有相關第三方：服務提供商，設備提供商，咨識別所有相關第三方：服務提供商，設備提供商，咨詢顧問，審計機構，物業，保潔等詢顧問，審計機構，物業，保潔等 識別所有與第三方相關的安全風險，無論是牽涉到物識別所有與第三方相關的安全風險，無論是牽涉到物理訪問還是邏輯訪問理訪問還是邏輯訪問 在沒有采取必要控制措施，包括簽署相關協議之前，在沒有采取必要控制措施，包括簽署相關協議之前，不應該授權給外部伙伴訪問。應該讓外部伙伴意識到其不應該授權給外部伙伴訪問。應該讓外部伙伴意識到其責任和必須遵守的規定責任和必須遵守的規定 在與第三方簽訂協議時特別提出信息安

20、全方面的要求，在與第三方簽訂協議時特別提出信息安全方面的要求，特別是訪問控制要求特別是訪問控制要求 對第三方實施有效的監督，定期對第三方實施有效的監督，定期ReviewReview服務交付服務交付是一路電還是兩路電？是一路電還是兩路電？兩路電是否一定是兩個輸電站？兩路電是否一定是兩個輸電站？有沒有有沒有UPS？UPS能維持多久？能維持多久？有沒有備用發電機組？有沒有備用發電機組？備用發電機是否有充足的油料儲備？備用發電機是否有充足的油料儲備？另一個與物理安全相關的案例另一個與物理安全相關的案例情況是這樣的情況是這樣的 聰明的張三想出了妙計聰明的張三想出了妙計 問題出在哪里問題出在哪里 總結教訓

21、總結教訓 物理安全非常關鍵！物理安全非常關鍵！關于物理安全的建議關于物理安全的建議56關于口令的一些調查結果關于口令的一些調查結果什么樣的口令是比較脆弱的？什么樣的口令是比較脆弱的？口令安全建議口令安全建議從一點一滴做起！從一點一滴做起！從自身做起！從自身做起！61IT安全問題安全問題011、一般情、一般情況下，個況下，個人計算機人計算機在（在（ ） 分鐘的非分鐘的非活動狀態活動狀態里要求自里要求自動激活屏動激活屏幕鎖定幕鎖定 02A、5分鐘分鐘 B、10分分鐘鐘03C、15分分鐘鐘 D、30分鐘分鐘62IT安全問題安全問題012、下列說、下列說法錯誤的法錯誤的是是( )02A、個人計、個人計

22、算機操作算機操作系統必須系統必須設置口令。設置口令。 04C、離開自、離開自己的計算己的計算機時，必機時，必須激活具須激活具有密碼保有密碼保護的屏幕護的屏幕保護程序。保護程序。 05D、為方便、為方便第二天工第二天工作，下班作，下班后可以不后可以不用關閉計用關閉計算機。算機。03B、在每天、在每天工作結束工作結束時，將便時，將便攜電腦妥攜電腦妥善保善保 管，管，如鎖入文如鎖入文件柜。件柜。 63IT安全問題安全問題013、口令要、口令要求至少求至少（ ）更）更換一次換一次 02A、3個月個月 04C、1年年 05D、可以一、可以一直使用一直使用一個口令個口令 ，不用修改。不用修改。03B、6個

23、月個月 64IT安全問題安全問題014、下列關、下列關于個人計于個人計算機的訪算機的訪問密碼設問密碼設置要求，置要求，描述錯誤描述錯誤的是（的是（ ）：）：02A、密碼要、密碼要求至少設求至少設置置8位字符位字符長。長。04C、禁止使、禁止使用前兩次用前兩次的密碼的密碼 05D、如果需、如果需要訪問不要訪問不在公司控在公司控制下的計制下的計算機系統，算機系統，禁止選擇禁止選擇在公司內在公司內部系統使部系統使用的密碼用的密碼作為外部作為外部系統的密系統的密碼。碼。 03B、為便于、為便于記憶，可記憶，可將自己生將自己生日作為密日作為密碼。碼。65IT安全問題安全問題015、下列關、下列關于外網使

24、于外網使用說法錯用說法錯誤的是誤的是（ ）：）：02A、外網只、外網只能從分公能從分公司一點接司一點接入。入。04C、外網接、外網接入須經過入須經過防火墻以防火墻以加強安全加強安全防護。防護。05D、只使用、只使用有授權訪有授權訪問的服務。問的服務。不要嘗試不要嘗試訪問未經訪問未經授權的互授權的互聯網系統聯網系統或服務器或服務器端口端口 。03B、地市公、地市公司或管理司或管理部門為方部門為方便外網使便外網使用，可自用，可自己向電信己向電信申請開通申請開通ADSL外網外網接入。接入。66IT安全問題安全問題016、用、用upload賬賬戶通過分戶通過分公司公司85服服務器上傳務器上傳文件文件，

25、文件文件，描述錯誤描述錯誤的是（的是（ ） 02A、需保密、需保密的文件上的文件上傳前應該傳前應該做加密處做加密處理。理。04C、不可將、不可將分公司分公司FTP服務服務器當作自器當作自己重要數己重要數據文件的據文件的備份服務備份服務器。器。05D、上傳后、上傳后的文件可的文件可以不用處以不用處理，一直理，一直放到分公放到分公司司FTP服服務器上。務器上。03B、在對方、在對方下載后立下載后立即從即從FTP服務器上服務器上刪除自己刪除自己所傳文件。所傳文件。67IT安全問題安全問題017、關于個、關于個人計算機人計算機數據備份數據備份描述錯誤描述錯誤的是（）的是（）02A、備份的、備份的目的是

26、有目的是有效保證個效保證個人計算機人計算機內的重要內的重要信息在遭信息在遭到損壞時到損壞時能夠及時能夠及時恢復。恢復。04C、員工應、員工應根據個人根據個人計算機上計算機上信息的重信息的重要程度和要程度和修改頻率修改頻率定期對信定期對信息進行備息進行備份。份。05D、備份介、備份介質必須要質必須要注意防范注意防范偷竊或未偷竊或未經授權的經授權的訪問。訪問。 03B、個人計、個人計算機數據算機數據備份是信備份是信息技術部息技術部的事情，的事情，應由信息應由信息技術部負技術部負責完成。責完成。68IT安全問題安全問題018、關于電、關于電子郵件的子郵件的使用，描使用，描述錯誤的述錯誤的是（是（ ）

27、02A、不得散、不得散發可能被發可能被認為不適認為不適當的，對當的，對他人不尊他人不尊重或提倡重或提倡違法行為違法行為的內容；的內容；04C 、禁止、禁止使用非使用非CPIC 的電的電子郵箱，子郵箱，如如YAHOO，AOL，HOTMAIL 等交換等交換CPIC公司公司信息；信息；05D、非、非CPIC 授權授權人員禁止人員禁止使用即時使用即時通訊軟件，通訊軟件，如如MSN 交交換換CPIC 公公司信息。司信息。 03B 、可以、可以自動轉發自動轉發公司內部公司內部郵件到互郵件到互聯網上；聯網上；69IT安全問題安全問題019、下列關、下列關于病毒防于病毒防護描述錯護描述錯誤的是（誤的是（ ）0

28、2A、個人工、個人工作站必須作站必須安裝統一安裝統一部署的防部署的防病毒軟件，病毒軟件，未經信息未經信息技術部批技術部批準不得擅準不得擅自安裝非自安裝非本公司指本公司指定的防病定的防病毒軟件。毒軟件。 04C、在處理、在處理外部介質外部介質之前應用之前應用防病毒軟防病毒軟件掃描。件掃描。05D、個人計、個人計算機上安算機上安裝了防病裝了防病毒軟件即毒軟件即可，不用可，不用定期進行定期進行病毒掃描。病毒掃描。03B、如果從、如果從公共資源公共資源得到程序得到程序（比如，（比如，網站，公網站，公告版），告版），那么在使那么在使用之前需用之前需使用防病使用防病毒程序掃毒程序掃描。描。70IT安全問題

29、安全問題0110、位于、位于高風險區高風險區域的移動域的移動計算機，計算機，例如，在例如，在沒有物理沒有物理訪問控制訪問控制的區域等的區域等應設屏幕應設屏幕鎖定為（鎖定為（ ）分鐘，以分鐘，以防止非授防止非授權人員的權人員的訪問；訪問；02A、5分鐘分鐘 B、10分分鐘鐘03C、15分分鐘鐘 D、30分鐘分鐘71IT安全問題安全問題0111、關于、關于數據保存，數據保存，說法錯誤說法錯誤的是（的是（ ）02A、將重要、將重要數據文件數據文件保存到保存到C盤盤或者桌面?；蛘咦烂妗?4C、將重要、將重要數據文件數據文件保存到保存到C盤盤外的其它外的其它硬盤分區。硬盤分區。03B、定期對、定期對重要

30、數據重要數據文件用移文件用移動硬盤或動硬盤或光盤進行光盤進行備份。備份。72IT安全問題安全問題0112、關于、關于代碼權限代碼權限管理規定管理規定說法錯誤說法錯誤的是（）的是（）02A、非在編、非在編人員不能人員不能加代碼，加代碼，試用期員試用期員工可加代工可加代碼。碼。 04C、出單和、出單和理賠操作理賠操作員經培訓、員經培訓、考試合格考試合格才能申請才能申請權限權限 。05D、人員離、人員離職后，人職后，人員代碼及員代碼及相應權限相應權限應立即予應立即予以清理。以清理。03B、為方便、為方便工作，同工作，同事之間的事之間的代碼可以代碼可以相互借用。相互借用。73IT安全問題安全問題 13、使用者必須向分公司信息技術部提出書面申、使用者必須向分公司信息技術部提出書面申 請并得到書面確認后方可安裝的軟件屬于以下哪請并得到書面確認后方可安裝的軟件屬于以下哪 一類（）一類（） A：I 類類 B：II類類 C：III類類 D：IV類類74I