当前位置:文档之家 › 【最新】银行信息安全意识培训课件20110730

【最新】银行信息安全意识培训课件20110730

  • 格式:ppt
  • 大小:3.24 MB
  • 文档页数:91

下载文档原格式

  / 91
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3来自百度文库 2021/2/2
信息备份安全(举例)
重要信息系统应支持全备份、差量备份和增量备份 IT部门提供备份所需的技术支持和必要的培训 属主应该确保备份成功并定期检查日志,根据需要,实
施测试以验证备份效率和效力
35 2021/2/2
重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规
33 2021/2/2
信息交换安全(举例:续)
通过传真发送机密信息时,应提前通知接收者并确保号 码正确
不允许在公共区域用移动电话谈论机密信息 不允许在公共区域与人谈论机密信息 不允许通过电子邮件或IM工具交换账号和口令信息 不允许借助公司资源做非工作相关的信息交换 不允许通过IM工具传输文件
信 息 交 换 与 备 份
32 2021/2/2
信息交换安全(举例)
信息交换原则:
明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施 信息发送者和接收者有责任遵守信息交换要求
物理介质传输:
与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施
电子邮件和互联网信息交换
绝对的安全是不存在的!
23 2021/2/2
关键点:信息安全管理
技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂 信息安全管理构成了信息安全具有能动性的部分,是指导和控制 组织的关于信息安全风险的相互协调的活动 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是 技术上的原因,不如说是管理不善造成的 理解并重视管理对于信息安全的关键作用,对于真正实现信息安 全目标尤其重要 唯有信息安全管理工作活动持续而周期性的推动作用方能真正将 信息安全意识贯彻落实
14 2021/2/2
基本概念
理解和铺垫
15 2021/2/2
什么是信息
消息、信号、数据、情报和知识 信息本身是无形的,借助于信息媒体以多种形式存在或传播:
• 存储在计算机、磁带、纸张等介质中 • 记忆在人的大脑里 • 通过网络、打印机、传真机等方式进行传播
信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产:
银行信息安全意识交流
信息技术部 2011年7月
2021/2/2
1
我们的目标
建立对信息安全的敏感意识和正确认识 掌握信息安全的基本概念、原则和惯例 清楚可能面临的威胁和风险 遵守各项安全策略和制度 在日常工作中养成良好的安全习惯 最终提升整体的信息安全水平
2 2021/2/2
1、国内多家银行网银用户遭到大规模钓鱼攻击,损失巨大; 2、RSA遭黑客攻击,主流身份认证产品SecureID的重要信息泄
17 2021/2/2
信息安全基本目标
C Onfidentiality(机密性) I Ntegrity(完整性)
CIA
A Vailability(可用 性)
18 2021/2/2
管理者的最终目标
Confidentiality
Availability
Information
Integrity
19 2021/2/2
30 2021/2/2
数据恢复技术:
数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以 还原的过程。U盘或计算机硬盘存储的数据即使已被删除或进行格式 化处理,使用专用软件仍能将其恢复,这种方法也因此成为窃密的手 段之一。
例如,窃密者使用从互联网下载的恢复软件对目标计算机的已被格式化 的U盘进行格式化恢复操作后,即可成功的恢复原有文件。
三分技术,七分管理!
24 2021/2/2
管理层:信息安全意识要点
务必重视信息安全管理 加强信息安全建设工作
25 2021/2/2
如何正确认识信息安全
安全不是产品的简单堆积, 也不是一次性的静态过程, 它是人员、技术、操作三者 紧密结合的系统工程,是不 断演进、循环发展的动态过 程
26 2021/2/2
28 2021/2/2
信息保密级别划分
Secret机密、绝密
2021/2/2
Confidencial 秘密
缺省
Internal Use内 部公开
Public公 开
29
数据保护安全(举例)
根据需要,在合同或个人协议中明确安全方面的承诺和要求; 明确与客户进行数据交接的人员责任,控制客户数据使用及分 发; 明确非业务部门在授权使用客户数据时的保护责任; 基于业务需要,主管决定是否对重要数据进行加密保护; 禁止将客户数据或客户标识用于非项目相关的场合如培训材料; 客户现场的工作人员,严格遵守客户Policy,妥善保护客户数 据; 打印件应设置标识,及时取回,并妥善保存或处理。
功能规范
设计规范 测试和验证 编写新代码
准备安全 响应计划
安全推动
活动
最终
安全
渗透
审核
测试
安全维护 和 响应执行
故障修复
代码签发 + Checkpoint Press 签发
产品支持 RTM 服务包/
QFE 安全更新
需求
设计
实施
验证
发行
支持和维护
37 2021/2/2
软件应用安全(举例)
开发相关软件,业务和技术部门做需求评估,IT相关软件由IT部门 负责 评估结果提交专家委员会审核,确定是否采购、外包或自行开发 IT资产管理部门负责对新软件登记注册并标注 软件安装之前应确保其处于安全状态(如:无流氓插件、病毒、 License合法等) 软件License管理应由专人负责 软件若需更新,应提出申请,经评估确认后才能实施,并进行记录 软件使用到期,应卸载软件
安全事件
香港某明星曾托助手将其手提电脑,送到一间计算机公司维修,其后 有人把计算机中已经删除的照片恢复后制作成光盘,发放予朋友及其 它人士观赏。
2021/2/2
31
重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规
数据加密
隐私防范
拒绝服务攻击
集中管理

移动存储
钓鱼劫持
恶意代码
无线攻击
5
2021/2/2
Windows XP/7…
如果我是黑客…… 1、绝大多数笔记本电脑都内置麦克风且处 于开启状态; 2、开启录音功能; 3、录制所需内容并将其放置于某Web页面 之上: 4.开启所有笔记本的摄像头,并把录像放 置于某Web页面之上:
因果关系
20 2021/2/2
技术手段
物理安全:环境安全、设备安全、媒体安全 系统安全:操作系统及数据库系统的安全性 网络安全:网络隔离、访问控制、VPN、入侵检测、扫描评估 应用安全:Email安全、Web访问安全、内容过滤、应用系统安全 数据加密:硬件和软件加密,实现身份认证和数据信息的CIA特性 认证授权:口令认证、SSO认证(例如Kerberos)、证书认证等 访问控制:防火墙、访问控制列表等 审计跟踪:入侵检测、日志审计、辨析取证 防杀病毒:单机防病毒技术逐渐发展成整体防病毒体系 灾备恢复:业务连续性,前提就是对数据的备份
• 计算机和网络中的数据 • 硬件、软件、文档资料 • 关键人员 • 组织提供的服务
具有价值的信息资产面临诸多威胁,需要妥善保护
16 2021/2/2
什么是信息安全
采取措施保护信息资产,使 之不因偶然或者恶意侵犯而遭受 破坏、更改及泄露,保证信息系 统能够连续、可靠、正常地运行, 使安全事件对业务造成的影响减 到最小,确保组织业务运行的连 续性。
12 2021/2/2
保持清醒认识
信息资产对我们很重要,是要保护的对象 威胁就像苍蝇一样,挥之不去,无所不在 资产自身又有各种弱点,给威胁带来可乘之机 面临各种风险,一旦发生就成为安全事件、事故
13 2021/2/2
我们应该……
严防威胁 消减弱点 应急响应 保护资产
熟悉潜在的安全问题 知道怎样防止其发生 明确发生后如何应对
21 2021/2/2
安全 vs. 可用——平衡之道
在可用性(Usability)和安全性(Security)之间是一种
相反的关系 提高了安全性,相应地就降低了易用性 而要提高安全性,又势必增大成本 管理者应在二者之间达成一种可接受的平衡
22 2021/2/2
计算机安全领域一句格言: “真正安全的计算机是拔下网 线,断掉电源,放在地下掩体的 保险柜中,并在掩体内充满毒气, 在掩体外安排士兵守卫。”
漏,导致美国多家军工企业信息系统受到严重威胁;
3、LulzSec成功袭击了中央情报局,美国参议院,任天堂,索 尼等多家机构,引起国际社会广泛关注;
4、花旗银行网站遭遇黑客 20万信用卡用户信息被盗; 5、由于南海领土纠纷引起中越黑客相互攻击对方重要网站; 6、韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数
明确不可涉及敏感数据,如客户信息、订单合同等信息 如必须交换此类信息,需申请主管批准并采取加密传输措施或其它保护机制
文件共享:
包括Confidential(机密性)在内的高级别的信息不能被发布于公共区域 所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中
开设共享。 共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限 临时共享的文件事后应予以删除
重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规
重 要 信 息 的 保 密
27 2021/2/2
资产责任划分
6 2021/2/2
威胁无处不在
黑客渗透 内部人员威胁
木马后门
病毒和蠕虫 流氓软件
系统漏洞
信息资产
拒绝服务 社会工程
硬件故障
网络通信故障 供电中断
失火
雷雨
地震
7 2021/2/2
外部威胁
8 2021/2/2
黑客攻击基本手法
踩点
扫描
破坏攻击 渗透攻击
获得控制权 清除痕迹 获得访问权
安装后门
远程控制 转移目标 窃密破坏
9 2021/2/2
内部威胁
病从口入 天时 地利 人和
员工误操作
蓄意破坏
职责权限混淆
10 2021/2/2
自身弱点
技术弱点 系统、 程序、设备中存在的漏洞或缺陷
操作弱点
配置、操作和使用中的缺陷,包括人员的不良习 惯、审计或备份过程的不当等
管理弱点
策略、程序、规章制度、人员意识、组织结构等 方面的不足
软 件 应 用 安 全
36 2021/2/2
软件应用安全(方法论)
安全培训
安全计划启动 并 统一注册
安全设计 最佳做法
安全体系结构 和攻击面审核
威胁建模
使用安全开发 工具以及 安全开发和 测试最佳做法
创建产品 安全文档 和工具
传统软件开发生命周期的任务和流程
功能列表 质量指导原则 体系结构文档 日程表
数据的属主(OM/PM) 决定所属数据的敏感级别 确定必要的保护措施 最终批准并Review用户访问权 限
Custodian
Owner
受Owner委托管理数据 通常是IT人员或部门系统(数据)管理员 向Owner提交访问申请并按Owner授意为用户授权 执行数据保护措施,实施日常维护和管理
User
公司或第三方职员 因工作需要而请求访问数据 遵守安全规定和控制 报告安全事件和隐患
据丢失;
7、美联合航空电脑故障,全国服务大乱; 8、腾讯网大面积访问异常; 9、新浪微博病毒大范围传播; 10、Comodo等多家证书机构遭到攻击,攻击者得以伪造
google等多家知名网站证书,使互联网安全遭遇严重威胁;
2021/2/2
3
4 2021/2/2
高枕无忧
惨痛教训
补丁管理
应用安全
11 2021/2/2
最常犯的一些错误
将口令写在便签上,贴在电脑监视器旁 开着电脑离开,就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件,好奇打开邮件附件 使用容易猜测的口令,或者根本不设口令 丢失笔记本电脑 不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息 随便拨号上网,或者随意将无关设备连入公司网络 事不关己,高高挂起,不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁,忽视企业内部人员的问题 会后不擦黑板,会议资料随意放置在会场

合集下载

相关主题