【正文】 75 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問(wèn)安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 警惕社會(huì)工程學(xué) 76 “人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術(shù)、防火墻、入侵檢測(cè)系統(tǒng)、生物鑒別設(shè)備，可只要有人給毫無(wú)戒心的員工打個(gè)電話 ……” —— Kevin Mitnick 77 ? Social Engneering ? 利用社會(huì)交往（通常是在偽裝之下）從目標(biāo)對(duì)象那里獲取信息 ? 例如： ? 電話呼叫服務(wù)中心 ? 在走廊里的聊天 ? 冒充服務(wù)技術(shù)人員 ? 著名黑客 Kevin Mitnick更多是通過(guò)社會(huì)工程來(lái)滲透網(wǎng)絡(luò)的，而不是高超的黑客技術(shù) 什么是 社會(huì)工程學(xué) 78 ? 不要輕易泄漏敏感信息，例如口令和賬號(hào) ? 在相信任何人之前，先校驗(yàn)其真實(shí)的身份 ? 不要違背公司的安全策略，哪怕是你的上司向你索取個(gè)人敏感信息（ Kevin Mitnick最擅長(zhǎng)的就是冒充一個(gè)很焦急的老板，利用一般人好心以及害怕上司的心理，向系統(tǒng)管理員索取口令） ? 不要忘了，所謂的黑客，更多時(shí)候并不是技術(shù)多么出眾，而是社會(huì)工程的能力比較強(qiáng) 社會(huì)工程學(xué)（舉例） 79 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問(wèn)安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 應(yīng)急響應(yīng)和BCP 80 業(yè)務(wù)持續(xù)性管理程序 風(fēng)險(xiǎn)評(píng)估管理 風(fēng)險(xiǎn)控制措施 應(yīng)急計(jì)劃框架 預(yù)防為主 事后緊急響應(yīng)及恢復(fù) 一般安全事件觸發(fā) Helpdesk及IRT正常處理 執(zhí)行具體的BCP/DRP 安全事件 管理程序 部門(mén)級(jí)的 BCP/DRP（基于 BIA） 緊急響應(yīng)和危機(jī)處理－ ERT 人員環(huán)境災(zāi)難觸發(fā) 緊急響應(yīng) 處理程序 安全事件管理（ 框架 ） 81 ? 事先制定可行的安全事件響應(yīng)計(jì)劃 ? 建立事件響應(yīng)小組，以管理不同風(fēng)險(xiǎn)級(jí)別的安全事件 ? 員工有責(zé)任向其上級(jí)報(bào)告任何已知或可疑的安全問(wèn)題或違規(guī)行為 ? 必要時(shí)，管理層可決定引入法律程序 ? 做好證據(jù)采集和保留工作 ? 應(yīng)提交安全事件和相關(guān)問(wèn)題的定期管理報(bào)告，以備管理層檢查 ? 應(yīng)該定期檢查應(yīng)急計(jì)劃的有效性 安全事件管理 要點(diǎn) （舉例） 82 網(wǎng)絡(luò)通信中斷 服務(wù)器崩潰 嚴(yán)重的數(shù)據(jù) 泄漏或丟失 計(jì)算機(jī)網(wǎng)絡(luò)安全事件 斷電 斷水 恐怖襲擊 人員傷亡 設(shè)施毀壞 火災(zāi) 水災(zāi) 人員與環(huán)境災(zāi)難事故 ? 事先做好備份等準(zhǔn)備工作 ? 災(zāi)難發(fā)生后妥善處理以降 低損失 ? 在確定時(shí)限內(nèi)恢復(fù) ? 分析原因，做好記錄 ? BCP應(yīng)定期測(cè)試和維護(hù) ? 應(yīng)該明確責(zé)任人 重大災(zāi)害發(fā)生后應(yīng)啟用 BCP進(jìn)行恢復(fù) 83 ? 數(shù)據(jù)備份是制定 BCP時(shí)必須考慮的一種恢復(fù)準(zhǔn)備措施 ? 現(xiàn)在，數(shù)據(jù)備份的途徑有多種： ? 軟盤(pán)， CD和 DVD， Zip盤(pán)，磁帶，移動(dòng)硬盤(pán)，優(yōu)盤(pán) ? 養(yǎng)成對(duì)您的數(shù)據(jù)進(jìn)行備份的好習(xí)慣 ? 備份磁盤(pán)不要放在工作場(chǎng)所 ? 對(duì)重要的硬盤(pán)做好鏡像 ? 對(duì)重要的軟件進(jìn)行更新，例如微軟的產(chǎn)品 ? 數(shù)據(jù)備份要點(diǎn) 84 重要信息的保密 信息交換及備份 軟件應(yīng)用安全 計(jì)算機(jī)及網(wǎng)絡(luò)訪問(wèn)安全 人員及第三方安全管理 移動(dòng)計(jì)算與遠(yuǎn)程辦公 工作環(huán)境及物理安全要求 防范病毒和惡意代碼 口令安全 電子郵件安全 介質(zhì)安全管理 警惕社會(huì)工程學(xué) 應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計(jì)劃 法律法規(guī) 法律法規(guī) 85 中國(guó)的信息立法 刑法 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 計(jì)算機(jī)病毒防治管理辦法 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法 中國(guó)陸續(xù)制定了多部與信息活動(dòng)密切相關(guān)的法律，雖然大多不專(zhuān)門(mén)針對(duì)網(wǎng)絡(luò)環(huán)境，甚至有些也不針對(duì)電子信息，但它們的基本精神對(duì)網(wǎng)絡(luò)的建設(shè)、管理以及網(wǎng)絡(luò)中的信息活動(dòng)都有不同程度的指導(dǎo)作用。 保守國(guó)家秘密法 著作權(quán)法 國(guó)家安全法 反不正當(dāng)競(jìng)爭(zhēng)法 86 ? 刑法第２８５條規(guī)定 重要的法律法規(guī) “違反國(guó)家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金?！? “提供專(zhuān)門(mén)用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具，或者明知他人實(shí)施侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。” 87 ?《 計(jì)算機(jī)軟件保護(hù)條例 》 ?《 信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例 》 ?《 互聯(lián)網(wǎng)著作權(quán)行政保護(hù)辦法 》 ?《 關(guān)于開(kāi)展對(duì) “ 私服 ” 、 “ 外掛 ” 專(zhuān)項(xiàng)治理的通知 》 ?《 國(guó)家版權(quán)局關(guān)于網(wǎng)吧下載提供 “ 外掛 ” 是否承擔(dān)法律責(zé)任的意見(jiàn) 》 ?《 互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定 》 ?《 電子出版物管理規(guī)定 》 ?《 互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定 》 ?《 互聯(lián)網(wǎng)文化管理暫行規(guī)定 》 ?《 防乘冪系統(tǒng)開(kāi)發(fā)標(biāo)準(zhǔn)（試行） 》 ?《 關(guān)于網(wǎng)絡(luò)游戲發(fā)展和管理的若干意見(jiàn) 》 ?《 國(guó)家工商行政管理局關(guān)于商業(yè)秘密構(gòu)成要件問(wèn)題的答復(fù) 》 ?《 軟件產(chǎn)品管理辦法 》 ? …… 通信行業(yè) 法律法規(guī)（舉例） 88 要點(diǎn)總結(jié)！ 89 ? 加強(qiáng)敏感信息的保密 ? 留意物理安全 ? 遵守法律法規(guī)和安全策略 ? 公司資源只供公司所用 ? 保守口令秘密 ? 謹(jǐn)慎使用 Inter、 EMAIL、 ? 加強(qiáng)人員安全管理 ? 識(shí)別并控制第三方風(fēng)險(xiǎn) ? 加強(qiáng)防病毒措施 ? 有問(wèn)題及時(shí)報(bào)告 90 但是 …… 我們確實(shí)存在問(wèn)題， 只要我們不斷改進(jìn)！ Thank you!