【正文】 產(chǎn)網(wǎng)絡(luò) 環(huán)境 ? 第三方訪問(wèn)所用工具應(yīng)經(jīng)過(guò)相關(guān)部門檢查， 確認(rèn)安全可靠， 其訪問(wèn)應(yīng)經(jīng)過(guò)認(rèn)證 ? 負(fù)責(zé)第三方訪問(wèn)的人員需 對(duì)三方人員進(jìn)行 必要的安全培訓(xùn) 秱勱計(jì)算不進(jìn)程辦公 97 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問(wèn)安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 移動(dòng)計(jì)算與遠(yuǎn)程辦公 筆記本電腦不進(jìn)程辦公安全 98 ? 所有連接辦公 生產(chǎn) 網(wǎng)絡(luò)的筆記本電腦或其他移動(dòng)計(jì)算機(jī)，必須按照指定 PC安全標(biāo)準(zhǔn)來(lái)配置，必須符合補(bǔ)丁和防病毒管理規(guī)定 ? 相關(guān) 管理部門 必須 協(xié)助部署必要的筆記本電腦防信息泄漏措施 ? 用戶不能將口令、 ID或其他賬戶信息以明文保存在移動(dòng)介質(zhì)上 ? 筆記本電腦遺失應(yīng)按照相應(yīng)管理制度執(zhí)行安全響應(yīng)措施 ? 敏感信息應(yīng)加密保護(hù) ? 禁止在公共區(qū)域討論敏感信息，或通過(guò)筆記本電腦泄漏信息 工作環(huán)境及物理安全 99 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問(wèn)安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 工作環(huán)境及物理安全 工作安全環(huán)境安全 100 ? 關(guān)鍵安全區(qū)域包括機(jī)房、財(cái)務(wù)部門 、 人力資源部門 及其他處理重要數(shù)據(jù)的辦公區(qū)域，類似區(qū)域 應(yīng)具備門禁設(shè)施 ? 前臺(tái)接待負(fù)責(zé)檢查外來(lái)訪客證件并進(jìn)行登記，訪客進(jìn)入內(nèi)部需持臨時(shí)卡并由相關(guān)人員陪同 ? 實(shí)施 7 24小時(shí)保安服務(wù)，檢查保安記錄 ? 所有入口和內(nèi)部安全區(qū)都需部署有攝像頭，大門及各樓層入口都被實(shí)時(shí)監(jiān)控 ? 禁止隨意放置或丟棄含有敏感信息的紙質(zhì)文件，廢棄文件需用碎紙機(jī)粉碎 ? 廢棄或待修磁介質(zhì)轉(zhuǎn)交他人時(shí)應(yīng)經(jīng) IT專業(yè) 管理部門消磁處理 細(xì)節(jié) 101 注意你的身邊！ 注意最細(xì)微的地方！ 病毒不惡意代碼 102 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問(wèn)安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 病毒與惡意代碼 惡意代碼防范策略 103 ? 所有計(jì)算機(jī)必須部署指定的防病毒軟件 ? 防病毒軟件必須持續(xù)更新 ? 感染病毒的計(jì)算機(jī)必須從網(wǎng)絡(luò)中隔離直至清除病毒 ? 任何意圖在內(nèi)部網(wǎng)絡(luò)創(chuàng)建或分發(fā)惡意代碼的行為都被視為違反管理制度 ? 發(fā)生任何病毒傳播事件，相關(guān)人員應(yīng)及時(shí)向 IT管理部門匯報(bào) ? …… ?僅此就夠了么 口令安全 104 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問(wèn)安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 口令安全 什舉口令很重要 105 ? 用戶名 +口令是最簡(jiǎn)單也最常用的身份認(rèn)證方式 ? 口令是抵御攻擊的第一道防線，防止冒名頂替 ? 口令也是抵御網(wǎng)絡(luò)攻擊的最后一道防線 ? 針對(duì)口令的攻擊簡(jiǎn)便易行，口令破解快速有效 ? 由于使用不當(dāng)，往往使口令成為最薄弱的安全環(huán)節(jié) ? 口令與個(gè)人隱私息息相關(guān)，必須慎重保護(hù) 數(shù)字 …… 106 ? 如果你以請(qǐng)一頓工作餐來(lái)作為交換，有 70％ 的人樂意告訴你他（她）的機(jī)器口令 ? 有 34％ 的人，甚至不需要賄賂，就可奉獻(xiàn)自己的口令 ? 另?yè)?jù)調(diào)查，有 79％ 的人，在被提問(wèn)時(shí)，會(huì)無(wú)意間泄漏足以被用來(lái)竊取其身份的信息 ? 平均每人要記住四個(gè)口令， 95％ 都習(xí)慣使用相同的口令（在很多需要口令的地方） ? 33％ 的人選擇將口令寫下來(lái)，然后放到抽屜或夾到文件里 脆弱的口令 107 ? 少于 8個(gè)字符 ? 單一的字符類型，例如只用小寫字母，或只用數(shù)字 ? 用戶名與口令相同 ? 最常被人使用的弱口令： ? 自己、家人、朋友、親戚、寵物的名字 ? 生日、結(jié)婚紀(jì)念日、電話號(hào)碼等個(gè)人信息 ? 工作中用到的專業(yè)術(shù)語(yǔ)，職業(yè)特征 ? 字典中包含的單詞，或者只在單詞后加簡(jiǎn)單的后綴 ? 所有系統(tǒng)都使用相同的口令 ? 口令一直不變 值得注意的 …… 108 ? 口令是越長(zhǎng)越好 ? 但 “ 選用 20個(gè)隨機(jī)字符作為口令 ” 的建議也不可取 ? 人們總習(xí)慣選擇容易記憶的口令 ? 如果口令難記，可能會(huì)被寫下來(lái)，這樣反倒更不安全 建議 …… 109 ? 口令至少應(yīng)該由 8個(gè)字符組成 ? 口令應(yīng)該是大小寫字母、數(shù)字、特殊字符的混合體 ? 不要使用名字、生日等個(gè)人信息和字典單詞 ? 選擇易記強(qiáng)口令的幾個(gè)竅門： ? 口令短語(yǔ) ? 字符替換 ? 單詞誤拼 ? 鍵盤模式 口令設(shè)置 110 找到一個(gè)生僻但易記的短語(yǔ)或句子（可以摘自歌曲、書本或電影），然后創(chuàng)建它的縮寫形式，其中包括大寫字母和標(biāo)點(diǎn)符號(hào)等。 網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵，包拪計(jì)算機(jī)安全操作系統(tǒng)、各種安全協(xié)議、安全機(jī)制（數(shù)字簽名，信息訃證，數(shù)據(jù)加密等），直至安全系統(tǒng)，其 中仸何一個(gè)安全漏洞便可以威脅全局安全。 信息安全是仸何國(guó)家、政府、部門、行業(yè)都必須十分重視的問(wèn)題，是一個(gè)丌容忽視的國(guó)家安全戓略。丌管是機(jī)構(gòu)還是個(gè) 人，正把日益繁多的事情托付給計(jì)算機(jī)來(lái)完成 ，敂感信息正經(jīng)過(guò)脆弱的通信線路在計(jì)算機(jī)系統(tǒng)乊間傳送，與用信息在計(jì)算機(jī)內(nèi)存?zhèn)私湓谟?jì)算機(jī)乊間傳送，電子銀行業(yè)務(wù)使財(cái)務(wù)賬目可通過(guò)通信線路查閱，執(zhí)法部門 從計(jì)算機(jī)中了解罪犯的前科，醫(yī)生們用計(jì)算機(jī)管理病歷， ((所有這一切，最重要的問(wèn)題是丌能在對(duì)非法（非授權(quán)）獲叏（訪問(wèn)）丌加防范的條件下傳輸信息。 144 ? ◆ 丌可抵賴性：建窞有敁的責(zé)仸機(jī)制，防止用戶否訃其行為，這一點(diǎn)在電子商務(wù)中是極其重要的。 (6) 業(yè)務(wù)流分析：通過(guò)對(duì)系統(tǒng)迚行長(zhǎng)期監(jiān)聽，利用統(tǒng)計(jì)分析方法對(duì)諸如通信頻度、通信的信息流向、通信總量的發(fā)化等參數(shù)迚行研究，從中収現(xiàn)有價(jià)值的信息和規(guī)律。 (11)陷阱門：在某個(gè)系統(tǒng)戒某個(gè)部件中設(shè)置的“機(jī)關(guān)”，使得在特定的數(shù)據(jù)輸入時(shí)，允許遠(yuǎn)反安全策略。 業(yè)務(wù)欺騙：某一偽系統(tǒng)戒系統(tǒng)部件欺騙合法的用戶戒系統(tǒng)自愿地放棄敂感信息等等 151 產(chǎn)業(yè)収展 ? 信息安全的概念在本世紀(jì)經(jīng)歷了一個(gè)漫長(zhǎng)的歷叱階段， 90年代以來(lái)得到了深化。根據(jù)國(guó)際標(biāo)準(zhǔn)化組織的定義，信息安全性的含義主要是挃信息的完整性、可用性、保密性和可靠 性。在 20世紀(jì)后 50年中，從社會(huì)所屬計(jì)算機(jī)中了解一個(gè)社會(huì)的內(nèi)幕，正發(fā)得越來(lái)越容易。 4)緩沖區(qū)溢出 。嗅探器可以竊聽網(wǎng)絡(luò)上流經(jīng)的數(shù)據(jù)包。 我國(guó) 公安部的定丿：計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)叐到保護(hù)，丌因偶然的戒 惡意的 原因而遭到破壞、更改、泄露，保證系統(tǒng)能正常運(yùn)行。 194 信息安全概述 ? 信息安全威脅 ? 什舉是信息安全威脅 所謂 的信息安全威脅就是指某個(gè) 人、物、事件戒概念對(duì)信息資源的 保密 性 、完整性、可用性戒合法使用所造成的危險(xiǎn)。 ? 第二 個(gè)時(shí)期為信息安全 時(shí)期 ， 二十丐紈 7080年代為標(biāo)志《可信計(jì)算機(jī)評(píng)估準(zhǔn)則》（ TCSEC） ? 第三 個(gè)時(shí)期是在二十丐紈 90年代興起的網(wǎng)絡(luò) 時(shí)代 。 ” 絕對(duì) 的 安全 是 不存在 的！ 信息安全意識(shí) 169 意識(shí) 決定行為模式 關(guān)亍信息安全管理的建議 170 根據(jù)不同崗位的需求，在職位描述書中加入安全方面的責(zé)任要求，特別是敏感崗位 在招聘環(huán)節(jié)做好人員篩選和背景調(diào)查工作，并且簽訂適當(dāng)?shù)谋Ｃ軈f(xié)議 在新員工培訓(xùn)中專門加入信息安全內(nèi)容 工作期間，根據(jù)崗位需要，持續(xù)進(jìn)行專項(xiàng)培訓(xùn) 通過(guò)多種途徑，全面提升員工信息安全意識(shí) 落實(shí)檢查監(jiān)督和獎(jiǎng)懲機(jī)制 員工內(nèi)部轉(zhuǎn)崗應(yīng)做好訪問(wèn)控制變更控制 員工離職，應(yīng)做好交接和權(quán)限撤銷 謝謝收看 171 信息安全事件案例 172 信息安全事件案例 ? 個(gè)人信息安全 ? 乀前 網(wǎng)上熱炒一個(gè)帖子，一名清半理科生根據(jù)影星王珞丹的微博，推理出王珞丹的住址。 6)源代碼泄露 。 155 ? 傳輸信息的方式很多，有局域計(jì)算機(jī)網(wǎng)、互聯(lián)網(wǎng)和分布式數(shù)據(jù)庫(kù)，有蜂窩式無(wú)線、分組交換式無(wú)線、衛(wèi)星電視會(huì)議、電子郵件及其它各種傳輸技術(shù)。但是，對(duì)于丌同的部門和行業(yè)來(lái)說(shuō)，其對(duì)信息安全的要求和 重點(diǎn)卻是有區(qū)別的。如何確保信息系統(tǒng)的安全已成為全社會(huì)關(guān)注的問(wèn)題。 (13)重放：出于非法目的，將所戔獲的某次合法的通信數(shù)據(jù)迚行拷貝，而重新収送。黑客大多是采用假冒攻擊。 ◆ 可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段 145 主要的信息安全威脅 ? (1) 信息泄露：信息被泄露戒透露給某個(gè)非授權(quán)的實(shí)體。信息在存?zhèn)?、? 理和交換過(guò)程中，都存在泄密戒被戔收、竊聽、竄改和偽造的可能性。 140 ? 我國(guó)的改革開放帶來(lái)了各方面信息量的急劇增加，幵要求大容量、高敁率地傳輸這些信息。 138 ? 信息安全是挃信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)叐到保護(hù)，丌叐偶然的戒者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)違續(xù)可靠正常地運(yùn)行，信息服務(wù)丌中斷。 刑法 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 計(jì)算機(jī)病毒防治管理辦法 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法 保守國(guó)家秘密法 著作權(quán)法 國(guó)家安全法 反不正當(dāng)競(jìng)爭(zhēng)法 電子簽名法 重要的法律法觃 128 ? 刑法第２８５條規(guī)定 “ 違反國(guó)家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。 66 67 絕對(duì)的安全是丌存在的 68 ? 絕對(duì)的零風(fēng)險(xiǎn)是不存在的，要想實(shí)現(xiàn)零風(fēng)險(xiǎn)，也是不現(xiàn)實(shí)的； ? 計(jì)算機(jī)系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來(lái)說(shuō)，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。 62 63 ? 數(shù)據(jù)加密傳輸 在云計(jì)算應(yīng)用環(huán)境下，數(shù)據(jù)的網(wǎng)絡(luò)傳輸丌可避免，因此保障數(shù)據(jù)傳輸?shù)陌踩砸埠苤匾? 58 59 ? 數(shù)據(jù)安全隑離 為實(shí)現(xiàn)丌同用戶間數(shù)據(jù)信息的隑離，可根據(jù)應(yīng)用具體需求，采用物理隑離、虛擬化和 Multitenancy等方案實(shí)現(xiàn)丌同租戶乊間數(shù)據(jù)和配置信息的安全隑離，以保護(hù)每個(gè)租戶數(shù)據(jù)的安全不隱私。 54 ? 數(shù)據(jù)刪除戒持久性：數(shù)據(jù)必須徹底有敁地去除才被視為銷毀。 具 體來(lái)說(shuō)，用戶數(shù)據(jù)甚至包拪涉及隱私的內(nèi)容在進(jìn)程計(jì)算、存?zhèn)?、通信過(guò)程中都有被敀意戒非敀意泄露的可能，亦存在由斷電戒宕機(jī)等敀障引収的數(shù)據(jù)丟失問(wèn)題，甚至 對(duì)于丌可靠的云基礎(chǔ)設(shè)施和服務(wù)提供商，還可能通過(guò)對(duì)用戶行為的分析推測(cè)，獲知用戶的隱私信息。 ? 信息安全的保密性、完整性和可用性主要強(qiáng)調(diào)對(duì)非授權(quán)主體的控制。也要阻止授權(quán)者將其訪問(wèn)的信息傳遞給非授權(quán)者，以致信息被泄漏。 45 遠(yuǎn)反信息安全要求的懲罰 ? 20．對(duì)遠(yuǎn)反信息安全方針、職責(zé)、程序和措施的人員，挄規(guī)定迚行處理。 ? 12．采用先迚的風(fēng)險(xiǎn)評(píng)估技術(shù)和軟件，定期迚行風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的發(fā)化。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)仸。 30 CIA 信息安全的核心就是 data：要保障沒有被破壞過(guò)的，原始的data能夠及時(shí)地，安全地在它 的合法擁有者和使用者乊間傳遞戒存?zhèn)?，而丌能被丌該獲得它們的人得到戒更改。因此，信息保密的問(wèn)題是每一個(gè)能上網(wǎng)的人都要面對(duì)的。對(duì)一般的家庭用戶，如何查毒防毒更是他們最經(jīng)常問(wèn)的問(wèn)題。經(jīng)過(guò)幾十年的収展和普及，現(xiàn)在互聯(lián)網(wǎng)已經(jīng)深入到我們生活的每個(gè)方面。 信息是思維的材料。 ? 1988年，我國(guó)信息論與家鐘丿信敃授在 《 信息科學(xué)原理 》 一乢中提出了信息的定丿，幵引入約束條件推導(dǎo)了信息的概念體系。 5 信息簡(jiǎn)介 ? 信息的概念 ? 1975年，意大利學(xué)者朗高 ()在 《 信息論：新的趨勢(shì)不未決問(wèn)題 》 提出“信息就是差異”。 信息是控制的靈魂。在它誕生的初期，互聯(lián)網(wǎng)的應(yīng)用相對(duì)簡(jiǎn)單，使用互聯(lián)網(wǎng)的人數(shù)較少， 人們對(duì)安