信息平安(píngān)管理培訓第一頁，共六十二頁。主要(zhǔyào)內容信息安全管理介紹1信息系統等級保護工作2如何做好銀行信息安全3第二頁，共六十二頁。威脅(wēixié)無處不在信息(xìnxī)資產內部人員威脅黑客滲透木馬后門病毒和蠕蟲流氓軟件拒絕服務社會工程地震雷雨失火供電中斷網絡通信故障硬件故障系統漏洞第三頁，共六十二頁。采取措施保護信息資產(zīchǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統能夠連續、可靠、正常地運行，使平安事件對業務造成的影響減到最小，確保組織業務運行的連續性。什么(shénme)是信息平安第四頁，共六十二頁。信息(xìnxī)平安防護重點信息防泄露內容防篡改內部防越權網絡防攻擊系統防入侵信息平安(píngān)防護重點第五頁，共六十二頁。信息(xìnxī)平安根本目標CIAOnfidentiality（機密性）Ntegrity（完整性）Vailability（可用性）第六頁，共六十二頁。信息(xìnxī)平安最終目標ConfidentialityIntegrityAvailabilityInformation信息平安的最終目標是為了(wèile)保證業務的高效穩定運行第七頁，共六十二頁。因果關系第八頁，共六十二頁。信息平安開展(kāizhǎn)趨勢1可信化2網絡化3標準化4集成化第九頁，共六十二頁。因果關系計算機平安領域一句格言：“真正平安的計算機是拔下網線，斷掉電源，放在地下掩體的保險柜中，并在掩體內充滿毒氣，在掩體外安排(ānpái)士兵守衛。〞絕對的平安(píngān)是不存在的信息平安(píngān)開展趨勢第十頁，共六十二頁。平安(píngān).可用——平衡之道在可用性〔〕和平安性〔〕之間是一種相反的關系提高了平安性，相應地就降低了易用性而要提高平安性，又勢必增大(zēnɡdà)本錢管理者應在二者之間達成一種可接受的平衡第十一頁，共六十二頁。〔一〕計算機病毒肆虐，影響操作系統和網絡(wǎngluò)性能〔二〕內部違規操作難于(nányú)管理和控制〔三〕來自(láizì)外部環境的黑客攻擊和入侵〔四〕軟硬件故障造成效勞中斷、數據喪失〔五〕人員平安意識薄弱，缺乏必要技能常見信息平安問題第十二頁，共六十二頁。〔一〕、計算機病毒肆虐，影響操作系統和網絡性能系統病毒感染特定類型的文件，破壞(pòhuài)操作系統的完整性，破壞(pòhuài)硬盤數據，破壞(pòhuài)計算機硬件。病毒前綴為：32，，95等。例如病毒；蠕蟲病毒利用(lìyòng)操作系統漏洞進行感染和傳播，產生大量垃圾流量，嚴重影響網絡性能。病毒前綴：，例如沖擊波病毒；第十三頁，共六十二頁。〔一〕、計算機病毒肆虐，影響操作系統和網絡性能木馬病毒、黑客病毒實現(shíxiàn)對計算機系統的非法遠程控制、竊取包含敏感信息的重要數據，木馬病毒前綴：，黑客病毒前綴為.后門病毒前綴：，該類病毒的公有特性是通過網絡傳播，給系統開后門。〔360？〕其他：腳本病毒、宏病毒、玩笑病毒等。第十四頁，共六十二頁。〔二〕、內部違規操作難于管理和控制計算機使用權限劃分不明確，無法滿足最小授權的根本原那么；內部用戶使用或者等P2P軟件下載文件和影視數據，擠占因特網出口帶寬，威脅正常應用的效勞質量；內部用戶發起(fāqǐ)的攻擊行為和違規操作，難于被檢測和發現。案例12021年6月9日，深圳福彩雙色球開出5注一等獎，獎金3305萬元。調查發現該5注一等獎是深圳市某技術公司軟件開發工程師程某，利用在深圳福彩中心實施技術合作工程的時機，通過木馬程序，攻擊了存儲福彩信息的數據庫，并進一步進行了篡改彩票(cǎipiào)中獎數據的惡意行為，以期到達其牟取非法利益的目的。第十五頁，共六十二頁。〔三〕、來自外部環境的黑客攻擊和入侵非法獲取效勞器主機的控制權限，任意使用系統計算資源，例如開啟因特網效勞，免費使用硬盤空間，將效勞器作為入侵跳板或者傀儡主機；對效勞器主機發起滲透性攻擊和入侵，破壞原有數據，惡意篡改網頁，造成嚴重的聲譽損失，或者非法獲取控制權限，繼而盜竊敏感信息和數據。網絡釣魚(diàoyú)，通過大量發送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息〔如用戶名、口令、帳號、碼或信用卡詳細信息〕的一種攻擊方式。案例22007年3月14日，灰鴿子木馬團伙調動上萬臺“肉雞〞組成的“僵尸網絡〞，對金山毒霸官方網站進行瘋狂的攻擊，造成(zàochénɡ)瀏覽金山毒霸網站的用戶被挾持到幕后黑手指定的網站。案例32021年7月14日，土耳其使館遭黑客攻擊變身一夜情網站(wǎnɡzhàn)。云平安中心最新的監測數據顯示，14日土耳其駐華大使館的官網受到兩個不同的黑客團伙同時攻擊，結果淪為兩個團伙的“聊天室〞。案例42004年7月19日，惡意網站偽裝成聯想的主頁

第十六頁，共六十二頁。〔四〕、軟硬件故障造成效勞(xiàoláo)中斷、數據喪失缺乏數據備份手段，一旦數據喪失，就不可恢復。骨干網絡設備以及效勞器主機出現單點故障，造成效勞中斷，業務停頓；硬盤損壞，造成業務數據喪失；第十七頁，共六十二頁。〔五〕、人員平安意識薄弱，缺乏必要技能管理層對信息平安建設重視程度不夠，不能推動自頂向下的平安管理；關鍵(guānjiàn)技術人員缺乏必要的知識儲藏和操作技能，難以勝任崗位要求；普通用戶沒有建立正確的平安意識和平安的操作習慣，非惡意的誤操作將大量本可防止的平安問題引入企業系統。第十八頁，共六十二頁。最常犯的一些(yīxiē)錯誤將口令寫在便簽上，貼在電腦監視器旁開著電腦離開，就像離開家卻忘記關燈那樣輕易相信來自陌生人的郵件，好奇翻開郵件附件使用容易猜測的口令，或者根本不設口令喪失筆記本電腦不能保守秘密，口無遮攔，上當受騙，泄漏敏感信息隨便撥號上網，或者隨意將無關設備連入公司網絡事不關己(shìbùguānjǐ)，高高掛起，不報告平安事件在系統更新和安裝補丁上總是行動緩慢只關注外來的威脅，無視企業內部人員的問題會后不擦黑板，會議資料隨意放置在會場第十九頁，共六十二頁。主要(zhǔyào)內容信息安全管理介紹1信息系統等級保護工作2如何做好信息安全工作3第二十頁，共六十二頁。2、信息等級(děngjí)保護工作信息系統平安等級(děngjí)劃分一級二級三級四級五級自主(zìzhǔ)保護級指導保護級監督保護級監控保護級強制保護級第二十一頁，共六十二頁。等保5級劃分(huàfēn)第一級信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生損害，但不損害國家平安、社會秩序和公共利益。信息系統運營、使用單位依照國家有關管理(guǎnlǐ)標準和技術標準進行保護。第二級信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害，但不損害國家平安。第三級信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害,或者對國家平安造成損害。信息系統運營、使用單位應當依據國家有關管理標準和技術標準進行保護。國家信息平安監管部門對該級信息系統信息平安等級保護工作進行監督、檢查。第二十二頁，共六十二頁。等保5級劃分(huàfēn)第四級信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害,或者對國家平安造成嚴重損害。信息系統運營、使用單位應當依據國家有關管理標準、技術標準和業務專門需求進行保護。國家信息平安監管部門對該級信息系統信息平安等級(děngjí)保護工作進行強制監督、檢查。第五級信息系統受到破壞后,會對國家平安造成特別嚴重損害；信息系統運營、使用單位應當依據國家管理標準、技術標準和業務特殊平安需求進行保護。國家指定專門部門對該級信息系統信息平安等級保護工作進行專門監督、檢查。第二十三頁，共六十二頁。等保測評過程(guòchéng)中突出的問題問題1個別網絡邏輯區域劃分不合理，生產網和辦公網混在一起問題2使用方式遠程管理網絡設備和安全設備，登錄設備的用戶名、口令在網絡中明文傳輸。問題3數據庫\操作系統密碼策略不符合要求，如弱口令，并且沒有設置登錄失敗的處理措施。問題4部分應用系統業務用戶口令的長度、復雜度、更換周期、管理賬戶登錄失敗次數等限制功能較弱，無法對身份鑒別策略進行配置。第二十四頁，共六十二頁。等保測評過程中突出(tūchū)的問題問題5機房內沒有部署防盜報警裝置。問題7沒有對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核或考核結果沒有歸檔保存。問題8重要員工之間沒有形成相互制約關系。問題6視頻監控記錄保存時間較短。第二十五頁，共六十二頁。主要(zhǔyào)內容信息安全管理介紹1信息系統等級保護工作2如何做好信息安全工作3第二十六頁，共六十二頁。技術手段物理(wùlǐ)平安：環境平安、設備平安、媒體平安系統平安：操作系統及數據庫系統的平安性網絡平安：網絡隔離、訪問控制、、入侵檢測、掃描評估應用平安：平安、訪問平安、內容過濾、應用系統平安數據加密：硬件和軟件加密，實現身份認證和數據信息的特性認證授權：口令認證、認證、證書認證等訪問控制：防火墻、訪問控制列表等審計跟蹤：入侵檢測、日志審計、辨析取證防殺病毒：單機防病毒技術逐漸開展成整體防病毒體系災備恢復：業務連續性，前提就是對數據的備份第二十七頁，共六十二頁。信息平安(píngān)管理關鍵點技術是信息平安的構筑材料，管理是真正的粘合劑和催化劑信息平安管理構成了信息平安具有能動性的局部，是指導和控制組織的關于信息平安風險的相互協調的活動現實世界里大多數平安事件的發生和平安隱患的存在，與其說是技術上的原因，不如說是管理不善造成的理解并重視(zhòngshì)管理對于信息平安的關鍵作用，對于真正實現信息平安目標尤其重要唯有信息平安管理工作活動持續而周期性的推動作用方能真正將信息平安意識貫徹落實七分管理(guǎnlǐ)三分技術第二十八頁，共六十二頁。信息平安(píngān)管理的幾個關注點物理平安第三方平安內部人員平安重要信息的保密介質平安口令平安信息交換及備份漏洞管理(guǎnlǐ)與惡意代碼應急與業務連續性法律和政策第二十九頁，共六十二頁。工作(gōngzuò)環境平安應建立機房平安管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環境平安等方面的管理作出規定；應指定(zhǐdìng)部門負責機房平安，指派專人擔任機房管理員，對機房的出入進行管理，每天巡查機房運行狀況，對機房供配電、空調、溫濕度控制等設施進行維護管理，填寫機房值班記錄、巡視記錄；關鍵平安區域包括效勞器機房、財務部門和人力資源部門、法務部、平安監控室應具備門禁設施前臺接待負責檢查外來訪客證件并進行登記，訪客進入內部需持臨時卡并由相關人員陪同實施7×24小時保安效勞，檢查保安記錄第三十頁，共六十二頁。物理平安(píngān)建議所有入口和內部平安區都需部署有攝像頭，大門及各樓層入口都被實時監控禁止隨意放置或丟棄含有敏感信息的紙質文件，廢棄文件需用碎紙機粉碎應加強對辦公環境的保密性管理，標準辦公環境人員行為，包括工作人員調離辦公室應立即交還該辦公室鑰匙、不在辦公區接待來訪人員、工作人員離開座位應確保終端計算機退出登錄狀態和桌面上沒有包含敏感信息的紙檔文件等；應對機房和辦公環境實行統一策略的平安管理，對出入人員進行相應級別的授權，對進入重要(zhòngyào)平安區域的活動行為實時監視和記錄。第三十一頁，共六十二頁。信息平安(píngān)管理的幾個關注點物理平安第三方平安內部人員平安重要(zhòngyào)信息的保密介質平安口令平安信息交換及備份漏洞管理與惡意代碼應急與業務連續性法律和政策第三十二頁，共六十二頁。案例(ànlì)案例一：2003年，上海某家為銀行提供效勞的公司，軟件工程師蘇強。利用自助網點安裝調試的時機，繞過加密程序，編寫并植入一個監視軟件，記錄用戶卡號、磁條信息和密碼，一個月內，記錄下7000條。然后拷貝到自己電腦上，刪掉植入的程序。后來蘇強去讀研究生，買了白卡和讀卡器，偽造銀行卡，兩年內共提取6萬元。只是因為偶然原因被發現，公安機關通過檢查網上查詢客戶信息的地址追查到蘇強，破壞案件(ànjiàn)。案例二：北京移動充值卡事件第三十三頁，共六十二頁。第三方平安(píngān)建議識別所有相關第三方：效勞提供商，設備提供商，咨詢參謀，審計機構，物業，保潔等。識別所有與第三方相關的平安風險，無論是牽涉到物理訪問還是邏輯訪問。在沒有采取必要控制措施，包括簽署相關協議之前，不應該授權給外部伙伴訪問。應該讓外部伙伴意識到其責任和必須遵守的規定。在與第三方簽訂協議時特別提出信息平安方面(fāngmiàn)的要求，特別是訪問控制要求。對第三方實施有效的監督，定期效勞交付。第三十四頁，共六十二頁。信息平安(píngān)管理的幾個關注點物理平安第三方平安內部人員平安重要信息的保密介質平安口令平安信息交換及備份(bèifèn)漏洞管理與惡意代碼應急與業務連續性法律和政策第三十五頁，共六十二頁。內部人員平安(píngān)背景檢查簽署保密協議安全職責說明技能意識培訓績效考核和獎懲內部職位調整及離職檢查流程第三十六頁，共六十二頁。內部人員平安(píngān)建議所有員工必須根據需要接受恰當的平安培訓和指導根據工作所需，各部門應該識別并評估員工的培訓需求業務部門應該建立并維持員工平安意識程序，確保員工通過培訓而精于工作技能，并將信息平安意識深入其工作之中管理層有責任引領(yǐnlǐng)信息平安意識促進活動信息平安意識培訓應該持續進行，員工有責任對培訓效果提出反響人力資源部門負責跟蹤培訓策略的符合性，保存員工接受培訓的相關記錄信息平安經理應該接受專門的信息平安技能培訓技術部門等特定職能和人員應該接受相應的技能培訓第三十七頁，共六十二頁。信息(xìnxī)平安管理的幾個關注點物理平安第三方平安內部人員平安重要信息的保密介質平安口令平安信息交換及備份漏洞管理(guǎnlǐ)與惡意代碼應急與業務連續性法律和政策第三十八頁，共六十二頁。重要(zhòngyào)信息的保密Secret機密、絕密Confidencial秘密InternalUse內部公開Public公開第三十九頁，共六十二頁。數據保護平安(píngān)建議根據需要，在合同或個人協議中明確平安方面的承諾和要求；明確與客戶進行數據交接的人員責任，控制客戶數據使用及分發；明確非業務部門在授權使用客戶數據時的保護責任；基于業務需要，主管決定是否對重要數據進行加密保護；禁止將客戶數據或客戶標識(biāozhì)用于非工程相關的場合如培訓材料；客戶現場的工作人員，嚴格遵守客戶，妥善保護客戶數據；打印件應設置標識，及時取回，并妥善保存或處理。第四十頁，共六十二頁。數據保護平安(píngān)建議通過發送機密信息時，應提前通知接收者并確保號碼正確不允許在公共區域用移動談論機密信息不允許在公共區域與人談論機密信息不允許通過電子郵件或工具交換賬號和口令信息不允許借助公司資源做非工作相關的信息交換不允許通過工具傳輸(chuánshū)文件第四十一頁，共六十二頁。信息(xìnxī)平安管理的幾個關注點物理平安第三方平安內部人員平安重要信息的保密介質平安口令(kǒulìng)平安信息交換及備份漏洞管理與惡意代碼應急與業務連續性法律和政策第四十二頁，共六十二頁。介質(jièzhì)平安d)應對介質在物理傳輸過程中的人員選擇、打包、交付等情況進行平安控制，應選擇平安可靠的傳遞、交接方式，做好防信息泄露控制措施；e)應對介質歸檔和查詢等進行登記記錄，管理員應根據存檔介質的目錄清單定期盤點；f)對于重要文檔，如是紙質文檔那么應實行借閱登記制度，未經相關部門領導批準，任何人不得將文檔轉借、復制(fùzhì)或對外公開，如是電子文檔那么應采用等電子化辦公審批平臺進行管理；g)應對帶出工作環境的存儲介質進行內容加密和監控管理；h)應對送出維修的介質應首先去除介質中的敏感數據，對保密性較高的存儲介質未經批準不得自行銷毀；

第四十三頁，共六十二頁。介質(jièzhì)平安竊密者使用從互聯網下載的恢復軟件對目標計算機的已被格式化的U盤進行格式化恢復操作后，即可成功的恢復原有文件〔平安事件〕保證介質平安的建議：a)應建立介質平安管理制度，對介質的存放環境、使用、維護和銷毀等方面作出規定；b)應確保介質存放在平安的環境中，并有明確標識，對各類介質進行控制和保護，并實行存儲環境專人管理；c)所有數據備份介質應防磁(fánɡcí)、防潮、防塵、防高溫、防擠壓存放；

第四十四頁，共六十二頁。平安(píngān)使用移動存儲設備1.請勿(qǐnɡwù)隨意使用U盤等移動存儲設備2.使用完后進行擦除或粉碎操作3.不要長期、大量存放涉密文件4.請勿隨意使用第三方維修效勞5.請勿隨意拋棄6.進行消磁，甚至拆解處理第四十五頁，共六十二頁。信息平安管理(guǎnlǐ)的幾個關注點物理平安第三方平安內部人員平安重要信息的保密介質平安口令平安信息交換(jiāohuàn)及備份漏洞管理與惡意代碼應急與業務連續性法律和政策第四十六頁，共六十二頁。口令(kǒulìng)的重要性用戶名+口令是最簡單也最常用的身份認證方式口令是抵御攻擊的第一道防線，防止冒名頂替口令也是抵御網絡攻擊的最后(zuìhòu)一道防線針對口令的攻擊簡便易行，口令破解快速有效由于使用不當，往往使口令成為最薄弱的平安環節口令與個人隱私息息相關，必須慎重保護第四十七頁，共六十二頁。如何設置(shèzhì)符合要求的口令?使用大寫字母、小寫字母、數字、特殊符號組成的密碼?妥善保管〔增加(zēngjiā)暴力破解難度〕?長度不少于8位〔增加暴力破解難度〕?定期更換〔防止暴力破解〕?不同的賬號使用不同的密碼〔防止連鎖反響〕?不使用敏感字符串，如生日、姓名關聯〔防止密碼猜測〕?離開時需要鎖定計算機〔防止未授權訪問計算機〕第四十八頁，共六十二頁。信息平安管理(guǎnlǐ)的幾個關注點物理平安第三方平安內部人員平安重要信息的保密介質平安口令平安信息交換及備份漏洞(lòudòng)管理與惡意代碼應急與業務連續性法律和政策第四十九頁，共六十二頁。信息交換(jiāohuàn)管理應采用加密或其他(qítā)有效措施實現系統管理數據、鑒別信息和重要業務數據采集、傳輸、使用和存儲過程的保密性。信息交換原那么物理介質傳輸

電子郵件和互聯網信息交換文件共享第五十頁，共六十二頁。數據備份與恢復(huīfù)a)許多操作系統和應用程序在默認狀態下都將存放應用數據的位置定義到系統文件目錄下〔如C盤下〕。由于操作系統非常容易受到計算機病毒等破壞，所以，在安裝完系統和應用程序后，最好通過(tōngguò)手工將用戶數據存放到指定的數據分區上。b)應提供本地數據備份與恢復功能，采取實時備份與異步備份或增量備份與完全備份的方式，增量數據備份每天一次，完全數據備份每周一次，備份介質場外存放，數據保存期限依照國家相關規定；c)恢復及使用備份數據時需要提供相關口令密碼的，應把口令密碼密封后與數據備份介質一并妥善保管；

第五十一頁，共六十二頁。信息平安管理(guǎnlǐ)的幾個關注點物理平安第三方平安內部人員平安重要信息的保密介質平安口令平安信息交換及備份漏洞(lòudòng)管理與惡意代碼應急與業務連續性法律和政策第五十二頁，共六十二頁。漏洞(lòudòng)管理通過漏洞檢測(jiǎncè)工具，每半年一次為信息系統進行平安漏洞檢測(jiǎncè)，以查找漏洞，分析系統的平安性，并采取補救措施。對于總行統一布置的漏洞整改工作，省分行應按照統一要求排查系統漏洞及報告整改情況。〔明年總行將購置專門的漏洞掃描設備進行這項工作〕發現高危漏洞應進行登記、上報。隱蔽漏洞發作導致系統出現問題，應按照事件管理要求及時上報。對于配置不當、管理薄弱造成的漏洞，發現方及時進行補救；第五十三頁，共六十二頁。惡意代碼防范(fángfàn)策略1.所有計算機必須部署指定的防病毒軟件2、防病毒軟件必須持續更新3、感染病毒的計算機必須從網絡中隔離直至去除(qùchú)病毒4、任何意圖在內部網絡創立或分發惡意代碼的行為都被視為違反管理制度5、發生任何病毒傳播事件，相關人員應及時向管理部門匯報……第五十四頁，共六十二頁。信息平安管理(guǎnlǐ)的幾個關注點物理平安第三方平安內部人員平安重要信息的保密介質平安口令平安信息交換及備份漏洞管理與惡意代碼應急與業務連續性法律(fǎlǜ)和政策第五十五頁，共六十二頁。平安(píngān)事件管理要點2.建立事件響應小組，以管理不同風險級別(jíbié)的平安事件為，必要時，管理層可決定引入法律程序5.應提交平安事件和相