【正文】 75 重要信息的保密 信息交換及備份 軟件應用安全 計算機及網(wǎng)絡訪問安全 人員及第三方安全管理 移動計算與遠程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會工程學 應急響應和業(yè)務連續(xù)性計劃 法律法規(guī) 警惕社會工程學 76 “人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術(shù)、防火墻、入侵檢測系統(tǒng)、生物鑒別設備，可只要有人給毫無戒心的員工打個電話 ……” —— Kevin Mitnick 77 ? Social Engneering ? 利用社會交往（通常是在偽裝之下）從目標對象那里獲取信息 ? 例如： ? 電話呼叫服務中心 ? 在走廊里的聊天 ? 冒充服務技術(shù)人員 ? 著名黑客 Kevin Mitnick更多是通過社會工程來滲透網(wǎng)絡的，而不是高超的黑客技術(shù) 什么是 社會工程學 78 ? 不要輕易泄漏敏感信息，例如口令和賬號 ? 在相信任何人之前，先校驗其真實的身份 ? 不要違背公司的安全策略，哪怕是你的上司向你索取個人敏感信息（ Kevin Mitnick最擅長的就是冒充一個很焦急的老板，利用一般人好心以及害怕上司的心理，向系統(tǒng)管理員索取口令） ? 不要忘了，所謂的黑客，更多時候并不是技術(shù)多么出眾，而是社會工程的能力比較強 社會工程學（舉例） 79 重要信息的保密 信息交換及備份 軟件應用安全 計算機及網(wǎng)絡訪問安全 人員及第三方安全管理 移動計算與遠程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會工程學 應急響應和業(yè)務連續(xù)性計劃 法律法規(guī) 應急響應和BCP 80 業(yè)務持續(xù)性管理程序 風險評估管理 風險控制措施 應急計劃框架 預防為主 事后緊急響應及恢復 一般安全事件觸發(fā) Helpdesk及IRT正常處理 執(zhí)行具體的BCP/DRP 安全事件 管理程序 部門級的 BCP/DRP（基于 BIA） 緊急響應和危機處理－ ERT 人員環(huán)境災難觸發(fā) 緊急響應 處理程序 安全事件管理（ 框架 ） 81 ? 事先制定可行的安全事件響應計劃 ? 建立事件響應小組，以管理不同風險級別的安全事件 ? 員工有責任向其上級報告任何已知或可疑的安全問題或違規(guī)行為 ? 必要時，管理層可決定引入法律程序 ? 做好證據(jù)采集和保留工作 ? 應提交安全事件和相關(guān)問題的定期管理報告，以備管理層檢查 ? 應該定期檢查應急計劃的有效性 安全事件管理 要點 （舉例） 82 網(wǎng)絡通信中斷 服務器崩潰 嚴重的數(shù)據(jù) 泄漏或丟失 計算機網(wǎng)絡安全事件 斷電 斷水 恐怖襲擊 人員傷亡 設施毀壞 火災 水災 人員與環(huán)境災難事故 ? 事先做好備份等準備工作 ? 災難發(fā)生后妥善處理以降 低損失 ? 在確定時限內(nèi)恢復 ? 分析原因，做好記錄 ? BCP應定期測試和維護 ? 應該明確責任人 重大災害發(fā)生后應啟用 BCP進行恢復 83 ? 數(shù)據(jù)備份是制定 BCP時必須考慮的一種恢復準備措施 ? 現(xiàn)在，數(shù)據(jù)備份的途徑有多種： ? 軟盤， CD和 DVD， Zip盤，磁帶，移動硬盤，優(yōu)盤 ? 養(yǎng)成對您的數(shù)據(jù)進行備份的好習慣 ? 備份磁盤不要放在工作場所 ? 對重要的硬盤做好鏡像 ? 對重要的軟件進行更新，例如微軟的產(chǎn)品 ? 數(shù)據(jù)備份要點 84 重要信息的保密 信息交換及備份 軟件應用安全 計算機及網(wǎng)絡訪問安全 人員及第三方安全管理 移動計算與遠程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會工程學 應急響應和業(yè)務連續(xù)性計劃 法律法規(guī) 法律法規(guī) 85 中國的信息立法 刑法 計算機信息系統(tǒng)安全保護條例 計算機病毒防治管理辦法 計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法 中國陸續(xù)制定了多部與信息活動密切相關(guān)的法律，雖然大多不專門針對網(wǎng)絡環(huán)境，甚至有些也不針對電子信息，但它們的基本精神對網(wǎng)絡的建設、管理以及網(wǎng)絡中的信息活動都有不同程度的指導作用。 保守國家秘密法 著作權(quán)法 國家安全法 反不正當競爭法 86 ? 刑法第２８５條規(guī)定 重要的法律法規(guī) “違反國家規(guī)定，侵入前款規(guī)定以外的計算機信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機信息系統(tǒng)實施非法控制，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。” “提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴重的，依照前款的規(guī)定處罰?！? 87 ?《 計算機軟件保護條例 》 ?《 信息網(wǎng)絡傳播權(quán)保護條例 》 ?《 互聯(lián)網(wǎng)著作權(quán)行政保護辦法 》 ?《 關(guān)于開展對 “ 私服 ” 、 “ 外掛 ” 專項治理的通知 》 ?《 國家版權(quán)局關(guān)于網(wǎng)吧下載提供 “ 外掛 ” 是否承擔法律責任的意見 》 ?《 互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定 》 ?《 電子出版物管理規(guī)定 》 ?《 互聯(lián)網(wǎng)電子公告服務管理規(guī)定 》 ?《 互聯(lián)網(wǎng)文化管理暫行規(guī)定 》 ?《 防乘冪系統(tǒng)開發(fā)標準（試行） 》 ?《 關(guān)于網(wǎng)絡游戲發(fā)展和管理的若干意見 》 ?《 國家工商行政管理局關(guān)于商業(yè)秘密構(gòu)成要件問題的答復 》 ?《 軟件產(chǎn)品管理辦法 》 ? …… 通信行業(yè) 法律法規(guī)（舉例） 88 要點總結(jié)！ 89 ? 加強敏感信息的保密 ? 留意物理安全 ? 遵守法律法規(guī)和安全策略 ? 公司資源只供公司所用 ? 保守口令秘密 ? 謹慎使用 Inter、 EMAIL、 ? 加強人員安全管理 ? 識別并控制第三方風險 ? 加強防病毒措施 ? 有問題及時報告 90 但是 …… 我們確實存在問題， 只要我們不斷改進！ Thank you!