安全意识宣传.ppt

下载

下载

24积分

30积分

下载

30积分

VIP价：24积分

网管中心 2010 年 5 月 安全意识宣传 遵守 时间 请将移动 电话设置 为震动 有问题请 随时 提出 注意 事项 建立对信息安全的敏感意识和正确认识 掌握信息安全的基本概念、原则和惯例 清楚可能面临的威胁和风险 遵守各项安全策略和制度 在日常工作中养成良好的安全习惯 最终提升整体的信息安全水平 我们的 目标 信息安全意识 （ Information Security Awareness ），就是能够 认知 可能存在的信息安全问题， 预估 信息安全事故对组织的危害， 恪守 正确的行为方式，并且 执行 在信息安全事故发生时所应采取的措施。 什么是 信息安全意识 ？ 现实教训 追踪问题的根源 掌握基本概念 建立良好的安全习惯 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律 法规 目 录 严峻的现实！ 惨痛的教训！ 第 1 部分，教训，惨痛的教训！ 熊猫 烧香，事实上，熊猫烧香本身除了破坏信息系统外，其也具有木马程序的特性。湖北省仙桃市人民法院李俊被判处有期徒刑 4 年；王磊被判处有期徒刑 2 年 6 个月；张顺被判处有期徒刑 2 年；雷磊被判处有期徒刑一年。 床前明月光，熊猫在烧香。专杀杀不尽，两眼泪汪汪。 熊猫烧不尽，关机开又生。 相见时难杀亦难，熊猫烧香百机残。 烧香时难灭亦难，杀软无力电脑残。 烧香如此多娇，引无数网民竟折腰 久旱逢熊猫，他乡遇烧香。机房杀毒夜，明早装机时。 君不见熊猫之香网上来，系统崩溃不复回。君不见杀毒软件没办法，朝如青丝暮成靶。虽被感染须尽欢，莫使微机空对月。天生熊猫必烧香，硬盘格尽还复来。熊猫它爹且为乐，逮着必揍三百拳。卡巴兄、江民弟，将烧香，机莫关。与君香一柱，请君为我倾耳听。系统文件不足贵，但愿熊猫不更新。古来病毒皆寂寞，惟有熊猫留其名。威金昔时挂博客，染机十千恣欢谑。牛人何为言少钱，径须苟取熊猫主。冤有主，债有头，熊猫烧香算个球，有种你烧遍地球。 熊猫烧香何时了，中毒知多少？ ghost 昨夜又失踪，系统不堪回首缓慢中。文件程序应犹在，只是图标改。问君能有几多愁，恰似一江春水向东流。 君不见崭新电脑刚买来，奔腾双核不复回。君不见中毒重装悲白发，朝如青丝暮成雪。人生得意须尽欢，莫使论坛空灌水。天生熊猫必有用，千金烧尽还复来。死机兰屏且为乐，还原一键三百秒。橙八月，灰鸽子，将进酒，杯莫停。与君歌一曲，请君为我开视频。盗版 XP 不足贵，但愿长网不掉线。古来网虫皆寂寞，惟有制毒留其名。陈王昔时上通宵，光纤千兆恣欢谑。主人何为言少钱，径须沽取对君酌。微星板，华硕卡，呼儿将出换扣肉，与尔同销万古愁。 夹香独上西楼，月如钩，寂寞杀毒深房锁春秋。杀不断，带复活，别有一番滋味在心头。 爱机已死两忙忙，不思量，自难忘。熊猫烧香，无处话凄凉。纵使相逢应不识，恨满面，屏如霜。夜来恶梦忽还乡，小熊猫，正烧香。相顾无言，唯有泪千行。料得重装爱机日，熊猫来，还烧香。 　 Conficker ， 也被称作 Downup，Downadup 或 Kido， 他是一个 2008 年十月发现的以微软的 windows 操作系统为攻击目标的计算机蠕虫病毒。这个蠕虫利用的是一个已知的被用于 windows2000，windowsxp，windowsvista，windowsserver2003 和 windowsserver 2008 操作系统的服务器服务漏洞。 Linux 和 macintosh 操作系统不会受到这个病毒的影响。 “飞客”（ Conficker ）蠕虫出现新的变种 ，该变种比此前的两个版本（ 和 ）更具危害性。“飞客”蠕虫自出现以来，已经在全球范围内得到大范围传播。据 CNCERT 近期的监测，截至 3 月 24 日，共监测发现有 3253578 个 IP 主机感染“飞客”蠕虫。感染蠕虫 IP 主机数量按国家分布，前三名分别是中国（ % ）、美国（ % ）和巴西（ % ）；国内感染蠕虫 IP 主机数量按省份分布，前三名分别是广东（ % ）、河北（ % ）和浙江（ % ）。   　　“ conficker ” 这个名字是一个德语的双关语，意思是“操作计算机设置的程序”发音就像是英语中的“ configure”。“configuration” 通常被简称为“ config ”。 conficker 的命名来源于 configuration 的前五个字母，同时添加了以 ficker 为结尾， ficker 是一个粗俗的词，是德语 fichen 的名词形式，在德育中的意思就是英语中的“ f**k”。 Conficker 蠕虫在 08 年崭露头角，通过 Windows 系统的一个漏洞进行传播，微软也在去年的十月份发布了该漏洞的补丁。除此之外， Conficker 可通过移动存储进行传播，如 U 盘，移动硬盘等；在局域网中，该蠕虫还会通过猜测用户名和密码，以网络共享的方式进行传播。 　　不得不说的是，之前的 Conficker 变种确实是个大忙人， 型变种感染了超过 470 万个 IP 地址，它的后者， 则更甚，感染了超过 670 万个 IP 地址。二者加起来感染了将近 400 万台计算机终端。 　　制造者： 　　目前还没被发现，美国 ABC 新闻网近期在广泛征求赛门铁克、美国司法部、全美白领犯罪中心（ the National White Collar Crime Center ）以及其他几家著名的科技咨询机构意见的基础上，综合考虑影响范围、经济损失、影响力等因素， Conficker 蠕虫自 2008 年 11 月 20 日被发现以来，目前全球已有超过 1500 万台电脑受到感染。如果其制造者身份得以弄清楚，其制造者将跻身全球最著名 5 大黑客。 对于研究人员来说， Conficker 蠕虫病毒和他们玩起了猫捉老鼠的游戏。 “ Conficker ” 蠕虫是在去年 11 月首次发现的，很快就感染了大量的计算机，其数量超过了最近几年任何一个蠕虫感染的数量。据一些人的估计，这个蠕虫目前感染的计算机数量超过了 1000 万台。但是，从这种蠕虫出现以来，就一直很奇怪地保持“安分守己”。通常来说， Conficker 蠕虫病毒会感染计算机并且在网络上四处散播，但是，这种蠕虫没有做任何其它事情。也许，这个蠕虫是要用来实施一场大规模的网络攻击，瘫痪互联网上的任何服务器，或者发布给垃圾邮件制造者以便发送数十亿个垃圾邮件信息。然而，这个蠕虫就呆在那里不动，这个大规模破坏的引擎在等待着某个人转动钥匙。 之前，许多安全人员都不清楚这种蠕虫在等待着什么，直到上周四，一个国际联盟介绍说，他们已经采取了前所未有的措施，切断了这个蠕虫和控制它的指挥与控制服务器之间的联系。这个组织是由安全研究人员、技术公司、加入 ICANN 的域名注册公司而组成。 研究人员分解了 Conficker 蠕虫的代码，发现了这个蠕虫使用一种新技术申请指令。这个蠕虫每一天都会产生大约 250 个随机的域名，如 。然后，这个蠕虫查看这些域名寻求新的指令，验证自己的加密签名以保证这些指令是 Conficker 蠕虫作者创建的。 安全研究人员很快破解了 Conficker 蠕虫的联系方式，并且他们采用了一种名为域名预先注册和锁定的新技术锁定和跟踪这种 Conficker 蠕虫，以查看它们是如何工作的。但是，随着感染的不断增加，它们注册的域名也越来越多 —— 一个星期达到了 2000 个 —— 在犯罪分子遥控受感染电脑之前，就已经逃离了。如果黑客试图注册其中某个指挥与控制域名，他们就会发现，其实，一个名叫 “ Conficker Cabal” 的虚构团体早就帮他们实现了。 这是一种新型的猫捉老鼠游戏。在去年 11 月份的时候，某个团体就用技术控制了世界上最大的僵尸网络之一“ Srizbi ” ，切断了它同那些指挥与控制服务器的联系。然而，对于上千上万的域名来说，这种方法就显得苍白无力，代价高昂而且也很耗时。于是，他们又确定了使用一种新型技术“域名预注册和锁定”。 除了使用这种技术外，他们还对这种蠕虫进行实时监测。这对于 ICANN 来说，可是它们的一个未知领域。在过去， ICANN 在惩治犯罪、利用职权撤销那些用来犯罪的域名方面反应过于迟缓。但是在现在，却懂得召集四方共同对付这种新型蠕虫，从而获得人们的一致好评。 ICANN 对此没有发表评论，而那些参与合作的微软、 Verisign 和中国互联网络信息中心 (CNNIC) 也拒绝发表回应。 操作：   　　 conficker 蠕虫传播主要通过运行 windows 系统的服务器服务的缓冲区漏洞。它使用特定的 RPC 请求在目标电脑上执行代码。   　　当在一台电脑中成功执行，它会禁用一些系统服务，比如 windows 系统更新， windows 安全中心， windowsdefender 和 windows 错误报告。然后他会连接一个服务器，在那里他会接到进一步传播的命令，收集个人信息，和下载安装附加的恶意程序到受害人的计算机中。它还会把自己添加到必然会有的 windows 活动进程中，像是 ， 和 。   　　有效负载：   　　 conficker 变种将会创建一个 Http 服务器并打开一个 1024 到 10000 之间的随机端口。如果远程机被利用成功的情况下，受害者将会连接这个 http 服务器并下载一个病毒副本。它将会重置系统还原点并下载文件到目标计算机。   　　被感染症状：   　　帐户锁定政策被自动复位。   　　某些微软 Windows 服务会自动禁用，如自动更新，后台智能传输服务（ BITS ）， WindowsDefender 和错误报告服务。   　　域控制器对客户机请求回应变得缓慢。   　　系统网络变得异常缓慢。这可以从检测的网络流量图和 windows 任务管理器中看出。   　　跟杀毒软件， windows 系统更新有关的网站无法访问。   　　另外它发射暴力密码破解攻击管理员密码以帮助它穿越并扩散到管理员共享。最好是把密码更换成更好的。   　　影响：   　　纽约时报报道，直到二零零九年一月二十二日 conficker 感染了九百万台计算机   　　而卫报估计三百五十万计算机被感染。而杀毒软件厂商 F － Secure 报告说被 conficker 感染的计算机达到九百万到二零零九年一月二十六日，它感染了超过一千五百万计算机使它成为最近感染最广泛的病毒。   　　另一家杀毒软件厂商 Panda 报告两百万台计算机通过 Activescan , 大约十一点五万人（百分之六）被感染了这个恶意软件。   　　 Conficker 被报告创造了最大的僵尸网络，因为百分之三十的 windows 计算机没有更新微软二零零八年十月释放的补丁。国防部报告说很多主要的系统和左面计算机被感染。谢菲尔德报告说这个蠕虫已经感染了超过八百万台计算机，已经遍布行政办公室、海军的桌面系统、潜艇、医院和整个城市。   　　专家说这是 SQL Slammer 之后最严重的病毒感染。   　　修复和清除：   　　在两千零八年十月十五日微软释放了一个补丁（ MS08-067 ）用于修复这个漏洞。清除工具可以从微软，赛门铁克，卡巴斯基获得，同时麦咖啡可以清楚他通过特殊扫描。病毒可以通过 USB 自动播放传播，通过注册表关闭 USB 的自动播放功能是推荐的选择。微软释放了 windowsXPsp2 和 sp3 、 windows2000sp4 、 vista 的补丁，没有释放 windowsXPsp1 和更早版本系统的补丁，这些系统的服务包支持已经过期。 工业和信息部发布了 《 关于做好应对部分 IC 卡出现严重安全漏洞工作的通知 》 ，要求各地各机关和部门开展对 IC 卡使用情况的调查及应对工作。 5 月 18 日开始 , 著名免费 dns 服务提供商的 6 台服务器开始受到攻击 . dnspod 为诸多网站提供域名解析服务 , 其中包含暴风影音 . 18 日晚上 20 点 33 分 59 秒 . 在史无前例的大流量攻击下 dnspod 的 6 台解析服务器开始失效 , 大量网站开始间歇性无法访问 , 其中包括国内诸多知名网站 , 当然 , 其中也包含我的不知名网站 . 第一波攻击的流量在 21 点 30 分左右达到高峰 , 流量超过了 10Gbps/S, 如下图  , 要知道 , 一个电信核心机房的带宽也仅仅最多只有几十 日当晚 , 由于 dnspod 耗尽了整个机房近乎 3 分之 1 的带宽资源 , 为了不影响机房其他用户 , dnspod 的电信主力 dns 服务器被迫离线 . 经了解 , 此次事故的罪魁祸首竟然仅仅是同样在使用 dnspod 服务的一个私服网站 , 这个网站的”同行”在对其 web 服务器攻击不成的情况下动用大量肉鸡对其 dns 服务商 dnspod 进行了丧心病狂的攻击 , 其规模之大真的让人胆战心惊 . 由于 网站的域名解析系统受到网络攻击出现故障 , 导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞 , 造成用户不能正常上网 . 现在还不能正常进行解析的朋友可以尝试 opendns , 将网络设置中的 dns 地址修改为   和  即可 5 月 20 日晚间 , 工业和信息化部发布“关于 5 月 19 日部分地区互联网网络故障情况通报” , 通报称 5 月 19 日多省出现互联网网络故障主要原因是暴风网站遭到了攻击 , 导致电信运营商的递归域名解析服务器收到大量异常请求而引发拥塞 , 造成不能正常上网 . 工信部通报说 ,5 月 19 日 22 时 , 工业和信息化部接到电信运营企业报告 , 自 21 时起 , 江苏、河北、山西、广西、浙江等省陆续出现互联网网络故障 , 部分互联网用户的服务受到影响 . 工信部的这则通知的背景是什么呢？惊人的消息：主要应用于 IC 卡系统的 MI 芯片的安全算法已遭到破解！目前全国 170 个城市的约 亿张应用此技术的 IC 卡也都将面临巨大的安全隐患。 在 2008 年，德国和美国的两名研究员宣布，他们已利用电脑成功破解了荷兰芯片制造商恩智浦（ NXP ）的 Mifare 经典芯片（简称 MI 芯片）的安全算法，但出于公共利益考虑没有对外公开技术细节。此后，欧洲和美国又数次传出个人成功破解 MI 芯片的消息，互联网上甚至已有人出售 MI 芯片的破解软硬件。 波兰知名美女黑客 Joanna Rutkowska ( 乔安娜鲁特克丝卡 ) 成为安全业内焦点人物，她在博客上发表一篇论文，曝光了一个英特尔 CPU 的缓存漏洞。 这一漏洞被证实存在，黑客就可利用该漏洞获得对电脑近乎至高无上的控制权，并且不受任何操作系统控制、关闭或禁用。毋容置疑，此时杀毒软件将毫无用武之地。黑客的攻击范围，可能覆盖 Vista 、 XP 、 Windows Server 、 Linux 或 BSD 等任何一个装有英特尔 CPU 的操作系统，这无疑会给所有安装英特尔计 CPU 的用户带来极大恐慌。据悉，目前全球计算机系统中，英特尔 CPU 的市场份额占到 85% 以上。 SMM 是在当前 x86/x86 64 架构中最为普及的底层特性。在执行代码时 SMM 有许多特权，它的全力要大于 VT 硬件管理程序。同时 SMM 的代码通常会放在系统内存中的一块非常特别的保护区域内。内存控制器会提供专门的存取访问限制。通过这个漏洞，我们可以在基于 Intel 的系统中，未经授权的情况下访问 SMRAM 。利用它来运行被 SMM 所信任的任意代码。由此就可以使用许多 SMM 下的超级特权，例如，通过 SMM ，注入 rootkits 系统后门。 可信执行技术 (TXT) Joanna Rutkowska 是在 06 年年初时召开的「黑帽骇客」大會上，展示了透过 rootkit 感染 Windows Vista 的过程，因而声名大噪。 2007 年 4 月，波兰女伙同上述两位大黑客成立了一个名叫“隐匿之物实验室”专门研究计算机安全和计算机领域的各种研究工作 而另一位安全研究人员 Loic Duflot 将在加拿大温哥华举行的 CanSecWest 安全大会上介绍该漏洞和攻击代码。 在 2008 年的黑帽大会上， Joanna Rutkowska 与 Alexander Tereshkin 和 Rafal Wojtczuk 三人联合推出了如何使用 DMA 代码在 Xen 管理程序下拿到系统的最高权限。 考虑到事态的严重性，波兰女并未公布攻击的细节，但是可以说 SMM 漏洞仍然存在。波兰女表示，会在 2009 年 7 月的黑帽大会上展示更多技术细节。 也起码要先能物理侵入你的电脑硬件，拆开你的电脑 机箱 ，所以目前黑客利用 SMM 漏洞的目标就成了一个“先有蛋还是先有鸡”的问题，成了空中楼阁似的命题。 顺便提一下， CPU 作为一个高度复杂的软件系统的 BUG 其实非常之多，几乎每款 CPU 都有数百个 BUG， 有的高发严重影响系统稳定性的可能得到修复，有的只有在罕见情况下才会发生的很可能就被置之不理了。 “BUG 是自有永有的 生产网 办公网 保护网络 保护应用 保护主机 移动办公接入安全规范落实与执行情况？ IDC 托管机房的安全服务水平约束有无？ VPN 有无？身份验证机制？ 控制权限？ 防火墙的配置适用性？ 日志的统计分析？ 端口配置？服务配置？ 研发网络、测试网络是否有明确访问控制措施？ 源代码在测试网络中是否边界访问控制措施有无？ （无线）非法外联接入检测、阻断与控制？ 终端访问控制措施有无？ 管理网段的边界控制措施？ FTP 文件交换服务器、 Web 服务器、 OA 、邮件服务器等帐号管理、日志监控？ 管理网段对全网公开可访问？全部服务？ IT 基础 管理架构 我们来总结一下 员工 的 个人 安全 意识 各类 应用 （ B/S 、 C/S ）自身 绝对安全 安全监管 法律法规 完善 安全技能 熟练程度 …… 信息安全意识 的提高 刻不容缓 ！ Windows Vista… 如果我是黑客 …… 1 、绝大多数笔记本电脑都 内置麦克风 且处于 开启 状态； 2 、 Windows Vista 开启 Speech Recognition 功能； 3 、 录制 以下内容并将其放置于 某 Web 页面 之上，并利用 ActiveX 在客户机上调用 Windows Media Player 最小化后台 播放 ： Open Explorer Highlight documents Delete documents and confirm yes Go to recycle bin on desktop Tell it to empty the trash and confirm yes. VISTA 是微软 Windows 五大难题的英文首字母缩写： virses （病毒）、 infections （感染）、 spyware （间谍软件）、 trojans （木马）和 adware （广告软件）。 摄像头，这个网聊时代的产物，几乎已成为家用 电脑 的标准配置。透过摄像头传来的影像，我们和亲友、爱人的交流仿佛“天涯成咫尺”。但当你在镜头前嬉笑怒骂时，可会想到，摄像头或许正连接着你所不知道的另一方。那一边，是一双不怀好意的眼睛 …… 越来越多“清凉”、“火辣”的偷拍照片堂而皇之地出现在各个网站上，有人开始奇怪，到底偷窥狂们是怎么搞到这些照片的？就在人们揣度间，有人在网上发布了名为 《 女孩，请小心你的摄像头 》 的帖子，直指罪魁祸首就是你自己家中的摄像头。帖子作者“愿为夏日”以黑客组织技术讨论群成员的身份，述说了一名黑客如何轻松地远程控制一个女生的电脑的过程。当该黑客开始“接管”该女生的摄像头时，该女生还懵然不觉，甚至一度在镜头前宽衣解带。帖子末段，作者不无善意地提醒：“夏天到了，衣着清凉或是经常穿着睡衣就坐在电脑前上网的女生要多注意了。因为，也许有一双眼睛正在看着你。”该帖发布后得到网友的热烈回应。长长的回帖中，有“热心人士”询问怎样获得该“远程控制技术”，也有网友质疑其真实性，但更多的是“哀鸿遍野”的绝望之声。还有网友提出，本领高强者可以控制机器开关，甚至“在电脑关闭电源后，仍能开启摄像头偷拍”。 　　控制摄像头“很容易”对此，网易一名技术人员指出，“愿为夏日”发表的原帖中，大部分技术是可行的，甚至“入门的门槛都很低”。“控制主机后，我想在你的机子上干什么都行，更不用说控制一个小小的摄像头了。”他表示，现时大部分黑客网站都有介绍入侵别人主机的办法，“种木马”是其中最常用的办法，而且难度很低。他举了前一段时间比较流行的“灰鸽子”和“蜜蜂大盗”做例子：“事实上，只要稍微懂一点电脑的人，上网下载这两个木马的程序，按照 网络 上写着的步骤施行，就可以轻松地控制我们俗称‘肉机’的傀儡机。自然同时就把摄像头控制住了。”他还表示，“木马”渗透的办法多样，现在比较流行的就是通过聊天 软件 的聊天表情来“种木马”。这类表情图片几乎是强制传输过来的，而且有着很强的欺骗性。 你碰到过类似的事吗？ 威胁 和 弱点 问题的 根源 第 2 部分 信息资产 威胁 无处不在 人员威胁 ：故意破坏和无意失误，内部人员和外部人员 系统威胁 ：系统、网络或服务出现的故障 环境威胁 ：电源故障、污染、液体泄漏、火灾等 自然威胁 ：洪水、地震、台风、雷电等 人之初性本非善恶 吾自三省吾身 提高 人员信息安全 意识 和 素质 势在必行！ 人 是最关键的因素 外部 威胁 黑客攻击 基本手法 病从口入 天时 地利 人和 员工误操作 蓄意破坏 职责权限混淆 内部 威胁  技术 弱点  操作 弱点  管理 弱点 系统、 程序、设备中存在的漏洞或缺陷 配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份过程的不当等 策略、程序、规章制度、人员意识、组织结构等方面的不足 自身 弱点 一个巴掌拍不响！ 外因 是 条件 内因 才是 根本 ！ 将口令写在便签上，贴在电脑监视器旁 开着电脑离开，就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件，好奇打开邮件附件 使用容易猜测的口令，或者根本不设口令 丢失笔记本电脑 不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息 随便拨号上网，或者随意将无关设备连入公司网络 事不关己，高高挂起，不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁，忽视企业内部人员的问题 最常犯的一些 错误 想想你是否也犯过这些错误？ 嘿嘿，这顿美餐唾手可得 …… 呜呜，可怜我手无缚鸡之力 …… Tom Fish 弱点 威胁 信息资产 对我们很重要，是要保护的 对象 威胁 就像苍蝇一样，挥之不去， 无所不在 资产自身又有各种 弱点 ，给 威胁 带来 可乘之机 面临各种 风险 ，一旦发生就成为 安全事件、事故 保持清醒 认识 熟悉 潜在的 安全问题 知道 怎样 防止 其发生 明确 发生后如何 应对 我们 应该 …… 消防救火 方针 信息安全意识 方针 安全贵在未雨绸缪 理解 和 铺垫 基本概念 第 3 部分 消息、信号、数据、情报和知识 信息本身是无形的，借助于信息媒体以多种形式存在或传播： 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在，对现代企业来说具有价值，就成为 信息资产 ： 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服务 具有价值的信息资产面临诸多威胁，需要妥善保护 什么是 信息 采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。 什么是 信息安全 CIA 信息安全 基本目标 信息安全通常强调所谓 CIA 三元组的目标，即保密性、完整性和可用性（如图所示）。 CIA 概念的阐述源自信息技术安全评估标准（ Information Technology Security Evaluation Criteria ， ITSEC ），它也是信息安全的基本要素和安全建设所应遵循的基本原则。 1). 保密性（ Confidentiality ）：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 2). 完整性（ Integrity ）：确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。 3). 可用性（ Availability ）：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。 当然，不同机构和组织，因为需求不同，对 CIA 原则的侧重也会不同，如果组织最关心的是对私秘信息的保护，就会特别强调保密性原则，如果组织最关心的是随时随地向客户提供正确的信息，那就会突出完整性和可用性的要求。 除了 CIA ，信息安全还有一些其他原则，包括可追溯性（ Accountability ）、抗抵赖性（ Non-repudiation ）、真实性（ Authenticity ）、可控性（ Controllable ）等，这些都是对 CIA 原则的细化、补充或加强。 与 CIA 三元组相反的有一个 DAD 三元组的概念，即泄漏（ Disclosure ）、篡改（ Alteration ） 和破坏（ Destruction ），实际上 DAD 就是信息安全面临的最普遍的三类风险，是信息安全实践活动最终应该解决的问题。 管理者的 最终目标 安全管理是一门科学，是一项专业性、政策性、群众性、综合性非常强的工作。 管理者的最终目标是帮助维持和提高公司业务的安全水平！ 实施安全文化管理，就是将企业安全文化的核心理念内化为职工安全行为的自觉，引导职工把企业的安全形象、安全目标、安全效益同个人前途、 家庭利益紧密结合起来，使之对安全的理解、追求和把握同企业要达到的最终目标趋向一致，实现管理者和被管理者之间的“和谐管理”。 事实证明，传统管理模式已经不适应时代要求，现在需要应用科学的现代企业安全管理方式，不断提高安全管理水平，真正把安全管理工作做好。 因果 关系 因果 关系（立体） 物理安全 ：环境安全、设备安全、媒体安全 系统安全 ：操作系统及数据库系统的安全性 网络安全 ：网络隔离、访问控制、 VPN 、入侵检测、扫描评估 应用安全 ： Email 安全、 Web 访问安全、内容过滤、应用系统安全 数据加密 ：硬件和软件加密，实现身份认证和数据信息的 CIA 特性 认证授权 ：口令认证、 SSO 认证（例如 Kerberos ）、证书认证等 访问控制 ：防火墙、访问控制列表等 审计跟踪 ：入侵检测、日志审计、辨析取证 防杀病毒 ：单机防病毒技术逐渐发展成整体防病毒体系 灾备恢复 ：业务连续性，前提就是对数据的备份 技术 手段 技术 手段（立体） 在可用性（ Usability ）和安全性（ Security ）之间是一种相反的关系 提高了安全性，相应地就降低了易用性 而要提高安全性，又势必增大成本 管理者应在二者之间达成一种可接受的平衡 安全 vs. 可用 —— 平衡之道 计算机安全领域一句格言： “ 真正安全的计算机是拔下网线，断掉电源，放在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。 ” 绝对 的 安全 是 不存在 的！ 技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂 信息安全管理构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动 现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的 理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标尤其重要 唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实 三分技术，七分管理！ 关键 点： 信息安全管理 务必 重视 信息安全管理 加强 信息安全建设工作 管理层 ：信息安全意识 要点 安全不是产品的简单堆积，也不是一次性的静态过程，它是 人员 、 技术 、 操作 三者紧密结合的系统工程，是不断 演进 、 循环 发展的 动态过程 如何 正确认识 信息安全 从 身边 做起 良好 的安全 习惯 第 4 部分 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 重要信息的保密 资产责任划分 缺省 信息 保密级别 划分 信息属主或创建者可确定恰当的信息标注方式 电子邮件或纸质信函的标题栏应该注明敏感级别 光盘、磁带等存储介质上应该妥善标注 如果内部包含多个级别的数据，以最高级为准 “ Public ” 信息不需标注： 市场宣传册 / 媒体发布 / 网站公开信息 “ Internal Use ” 可以根据需要标注（缺省） “ Confidencial ” 必须标注 “ Secret ” 必须标注 信息 标注 规定 各类信息，无论电子还是纸质，在标注、授权、访问、存储、拷贝、传真、内部和外部分发（包括第三方转交）、传输、处理等各个环节，都应该遵守既定策略 信息分类管理程序只约定要求和原则，具体控制和实现方式，由信息属主或相关部门确定，以遵守最佳实践和法律法规为参照 凡违反程序规定的行为，酌情予以纪律处分 信息 处理 与 保护 根据需要，在 SOW 或个人协议中明确安全方面的承诺和要求； 明确与客户进行数据交接的人员责任，控制客户数据使用及分发； 明确非业务部门在授权使用客户数据时的保护责任； 基于业务需要，主管决定是否对重要数据进行加密保护； 禁止将客户数据或客户标识用于非项目相关的场合如培训材料； 客户现场的工作人员，严格遵守客户 Policy ，妥善保护客户数据； 打印件应设置标识，及时取回，并妥善保存或处理。 数据保护 安全（举例） 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 信息交换与备份 信息交换原则： 明确要交换信息的敏感级别，除了显著标注外，根据其敏感级别采取合适的保护措施 信息发送者和接收者有责任遵守信息交换要求 物理介质传输： 与快递公司签署不扩散协议，识别丢失风险，采取必要的控制措施 电子邮件和互联网信息交换 明确不可涉及敏感数据，如客户信息、订单合同等信息 如必须交换此类信息，需申请主管批准并采取加密传输措施或 DRM 保护机制 文件共享： 包括 Confidential 在内的高级别的信息不能被发布于公共区域 所有共享文件应按照规则放置在相应的文件服务器目录中，任何人不得在其个人电脑中开设共享。 共享文件夹应该设置恰当的访问控制，禁止向所有用户赋予完全访问权限 临时共享的文件事后应予以删除 信息交换 安全（举例） 通过传真发送机密信息时，应提前通知接收者并确保号码正确 不允许在公共区域用移动电话谈论机密信息 不允许在公共区域与人谈论机密信息 不允许通过电子邮件或 IM 工具交换账号和口令信息 不允许借助公司资源做非工作相关的信息交换 不允许通过 IM 工具传输文件 信息交换 安全（举例：续） 重要信息系统应支持全备份、差量备份和增量备份 任何部门如果需要备份服务，应该经主管批准，并向 IT 部门提出申请 IT 部门提供备份所需的技术支持和必要的培训 申请者应该填写申请表，其中包含对介质、数据容量、属主和操作者的需求 属主应该确保备份成功并定期检查日志，根据需要，实施测试以验证备份效率和效力 信息备份 安全（举例） 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 软件应用安全 安全培训 安全计划启动 并 统一注册 安全设计 最佳做法 安全体系结构 和攻击面审核 使用安全开发 工具以及 安全开发和 测试最佳做法 创建产品 安全文档 和工具 准备安全 响应计划 安全推动 活动 渗透 测试 最终 安全 审核 安全维护 和 响应执行 功能列表 质量指导原则 体系结构文档 日程表 设计规范 测试和验证 编写新代码 故障修复 代码签发 + Checkpoint Press 签发 RTM 产品支持 服务包 / QFE 安全更新 需求 设计 实施 验证 发行 支持和维护 威胁建模 功能规范 传统软件开发生命周期的任务和流程 软件应用 安全（方法论） 软件应用 安全（举例） 开发相关软件，技术委员会做需求评估， IT 相关软件由 IT 部门负责 评估结果提交专家委员会审核，确定是否采购、外包或自行开发 IT 资产管理部门负责对新软件登记注册并标注，业务等相关部门存储物理介质，软拷贝置于文件服务器上供使用 软件安装之前应确保其处于安全状态（如：无流氓插件、病毒、 License 合法等） 软件 License 管理应由专人负责 软件若需更新，应提出申请，经评估确认后才能实施，并进行记录 软件使用到期，应卸载软件 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 计算机网络访问 访问控制基本原则：未经明确允许即为禁止访问 必须通过唯一注册的用户 ID 来控制用户对网络的访问 系统管理员必须确保用户访问基于 最小特权 原则而授权 用户必须根据要求使用口令并保守秘密 系统管理员必须对用户访问权限进行检查，防止滥用 系统管理员必须确保网络服务可用 系统管理员必须根据安全制度要求定义访问控制规则，用户必须遵守规则 各部门应按照管理规定制定并实施对业务应用系统、开发和测试系统的访问规则 计算机网络访问 安全（举例） 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 人员安全管理 人员 安全（举例） 所有员工必须根据需要接受恰当的安全培训和指导 根据工作所需，各部门应该识别并评估员工的培训需求 业务部门应该建立并维持员工安全意识程序，确保员工通过培训而精于工作技能，并将信息安全意识深入其工作之中 管理层有责任引领信息安全意识促进活动 信息安全意识培训应该持续进行，员工有责任对培训效果提出反馈 人力资源部门负责跟踪培训策略的符合性， 保留员工接受培训的相关记录 信息安全经理应该接受专门的信息安全技能培训 技术部门等特定职能和人员应该接受相应的技能培训 人员 安全（举例） 应该识别来自第三方的风险：保安、清洁、基础设施维护、供应商或外包人员，低质量的外包服务也被视作一种安全风险 签署第三方协议时应包含安全要求，必要时需签署不扩散协议 第三方若需访问敏感信息，需经检查和批准，其访问将受限制 任何第三方禁止访问生产网络 第三方访问所用工具应经过相关部门检查，其访问应经过认证 负责第三方访问的人员需接受必要的安全意识培训 第三方管理 安全（举例） 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 移动计算与远程办公 所有连接办公网络的笔记本电脑或其他移动计算机，必须按照指定 PC 安全标准来配置，必须符合补丁和防病毒管理规定 IT 管理部门可以协助用户部署必要的笔记本电脑防信息泄漏措施 用户不能将口令、 ID 或其他账户信息以明文保存在移动介质上 笔记本电脑遗失应按照相应管理制度执行安全响应措施 敏感信息应加密保护 禁止在公共区域讨论敏感信息，或通过笔记本电脑泄漏信息 笔记本电脑与远程办公 安全（举例） 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 工作环境及物理安全 关键安全区域包括服务器机房、财务部门和人力资源部门、法务部、安全监控室应具备门禁设施 前台接待负责检查外来访客证件并进行登记，访客进入内部需持临时卡并由相关人员陪同 实施 7×24 小时保安服务，检查保安记录 所有入口和内部安全区都需部署有摄像头，大门及各楼层入口都被实时监控 禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用碎纸机粉碎 废弃或待修磁介质转交他人时应经 IT 管理部门消磁处理 工作环境 安全（举例） 注意你的身边！ 注意最细微的地方！ 您肯定用过银行的 ATM 机，您插入银行卡，然后输入密码，然后取钱，然后拔卡，然后离开，您也许注意到您的旁边没有别人，您很小心，可是，您真的足够小心吗？ …… 我们来看一个 案例 因此，请留意您的身边！ 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 病毒与恶意代码 —— 《 中华人民共和国计算机信息系统安全保护条例 》 “ 计算机病毒 ，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 ” 什么是 计算机病毒 传统的计算机病毒，具有 自我繁殖能力，寄生于其他可执行程序中的，通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染 网络蠕虫不需借助其他可执行程序就能独立存在并运行，通常利用网络中某些主机存在的漏洞来感染和扩散 特洛伊木马是一种传统的后门程序，它可以冒充正常程序，截取敏感信息，或进行其他非法的操作 病毒 蠕虫 木马 演示（ Video ） 除了蠕虫、病毒、木马等恶意代码 ，其他恶意代码还包括逻辑炸弹、远程控制后门等 现在，传统的计算机病毒日益与网络蠕虫结合，发展成威力更为强大的混合型蠕虫病毒，传播途径更加多样化（网络、邮件、网页、局域网等） 通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木马程序，但并不能防止未知病毒，需要经常更新 让我们继续 …… 所有计算机必须部署指定的防病毒软件 防病毒软件必须持续更新 感染病毒的计算机必须从网络中隔离直至清除病毒 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度 发生任何病毒传播事件，相关人员应及时向 IT 管理部门汇报 …… 仅此就够了么 恶意代码防范策略 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 口令安全 用户名 + 口令是最简单也最常用的身份认证方式 口令是抵御攻击的第一道防线，防止冒名顶替 口令也是抵御网络攻击的最后一道防线 针对口令的攻击简便易行，口令破解快速有效 由于使用不当，往往使口令成为最薄弱的安全环节 口令与个人隐私息息相关，必须慎重保护 为什么 口令 很重要 第一道防线：防止有人坐在你的电脑前面，冒充你的身份进行计算机操作 最后一道防线：一旦网络边界设备（防火墙）等被突破，黑客直接面对主机系统时，口令就是最后一道防线了 SQL Slammer 蠕虫就利用的是 MS SQL Server 缺省 SA 口令来实施攻击的 如果你以请一顿工作餐来作为交换，有 70 ％ 的人乐意告诉你他（她）的机器口令 有 34 ％ 的人，甚至不需要贿赂，就可奉献自己的口令 另据调查，有 79 ％ 的人，在被提问时，会无意间泄漏足以被用来窃取其身份的信息 平均每人要记住四个口令， 95 ％ 都习惯使用相同的口令（在很多需要口令的地方） 33 ％ 的人选择将口令写下来，然后放到抽屉或夹到文件里 一些 数字 …… 2003 年 4 月，在伦敦的利物浦大街车站，对过往行人进行的一次关于口令的安全调查。 少于 8 个字符 单一的字符类型，例如只用小写字母，或只用数字 用户名与口令相同 最常被人使用的弱口令： 自己、家人、朋友、亲戚、宠物的名字 生日、结婚纪念日、电话号码等个人信息 工作中用到的专业术语，职业特征 字典中包含的单词，或者只在单词后加简单的后缀 所有系统都使用相同的口令 口令一直不变 脆弱 的口令 …… 简单的猜测 使用专门的口令破解工具 字典攻击（ Dictionary Attack ） 暴力攻击（ Brute Force Attack ） 混合攻击（ Hibrid Attack ） 在网络中嗅探明文传送的口令 利用后门工具来截获口令 通过社会工程获取口令 如何破解口令 口令是越长越好 但 “ 选用 20 个随机字符作为口令 ” 的建议也不可取 人们总习惯选择容易记忆的口令 如果口令难记，可能会被写下来，这样反倒更不安全 值得注意的 …… 口令至少应该由 8 个字符组成 口令应该是大小写字母、数字、特殊字符的混合体 不要使用名字、生日等个人信息和字典单词 选择易记强口令的几个窍门： 口令短语 字符替换 单词误拼 键盘模式 建议 …… 找到一个生僻但易记的短语或句子（可以摘自歌曲、书本或电影），然后创建它的缩写形式，其中包括大写字母和标点符号等。 口令设置（举例） 这种方法本身并不足够强壮，但用数字或符号来替换选定的字母，可提高口令的复杂性。 例如 $LEEP, PA$$WORD 例如 H00K, B0AT 例如 S1EEP, E1EPHANT 例如 PAT1ENT, HOSP1TAL 例如 SL33p, 3L3PHANT 口令强度 单词误拼本身并不足够强壮，但可以和其他方法一起使用，以提高口令的安全性。 Dawg (Dog) Toona (Tuna) Howz (House) Luv (Love) Supe (Soup) Muther (Mother) Shevrolet (Chevrolet) Jeneric (Generic) Halliday (Holiday) Kar (Car) 口令设置（举例：续） 试着使用数字和特殊字符的组合 避免 “ qwerty ” 这样的直线，而使用 Z 字型或者多条短线 这种方法很容易被人看出来 键盘输入时不要让人看见 口令设置 —— 键盘模式 用户有责任记住自己的口令 IT 管理部门在独立审计的前提下进行口令锁定、解锁和重置操作 初始口令设置不得为空 口令设置不得少于 8 个字符 口令应该包含特殊字符、数字和大小写字母 口令应该经常更改，设定口令有效期为 3 个月 口令输入错误限定 3 次，随后会被锁定，解锁需通报 IT 管理部门 口令管理（举例） 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 电子邮件安全 据统计，有超过 87 ％ 的病毒是借助 Email 进入企业的 对于下列标题的邮件，选择打开阅览的人数百分比： I LOVE YOU ： 37 ％ 的人会打开邮件 Great joke ： 54 ％ 的人会打开邮件 Message ： 46 ％ 的人会打开邮件 Special offer ： 39 ％ 的人会打开邮件 …… 小组讨论 Email 数字 不当使用 Email 可能导致法律风险 禁止发送或转发反动或非法的邮件内容 未经发送人许可，不得转发接收到的邮件 不得伪造虚假邮件，不得使用他人账号发送邮件 未经许可，不得将属于他人邮件的消息内容拷贝转发 与业务相关的 Email 应在文件服务器上做妥善备份，专人负责检查 包含客户信息的 Email 应转发主管做备份 个人用途的 Email 不应干扰工作，并且遵守本策略 避免通过 Email 发送机密信息，如果需要，应采取必要的加密保护措施 Email 安全（举例） 不安全的文件类型 ： 绝对不要打开任何以下文件类型的邮件附件： .bat, .com, .exe, .vbs 未知的文件类型 ： 绝对不要打开任何未知文件类型的邮件附件，包括邮件内容中到未知文件类型的链接 微软文件类型 ： 如果要打开微软文件类型（例如 .doc, .xls, .ppt 等）的邮件附件或者内部链接，务必先进行病毒扫描 要求发送普通的文本 ： 尽量要求对方发送普通的文本内容邮件，而不要发送 HTML 格式邮件，不要携带不安全类型的附件 禁止邮件执行 Html 代码 ： 禁止执行 HTML 内容中的代码 防止垃圾邮件： 通过设置邮件服务器的过滤，防止接受垃圾邮件 尽早安装系统补丁 ： 杜绝恶意代码利用系统漏洞而实施攻击 接收 邮件注意 …… 如果同样的内容可以用普通文本正文，就不要用附件 尽量不要发送 .doc, .xls 等可能带有宏病毒的文件 发送不安全的文件之前，先进行病毒扫描 不要参与所谓的邮件接龙 尽早安装系统补丁，防止自己的系统成为恶意者的跳板 可以使用 PGP 等安全的邮件机制 发送 邮件注意 …… 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 介质安全管理 介质安全 管理（举例） 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 警惕社会工程学 “ 人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话 ……” —— Kevin Mitnick Social Engneering 利用社会交往（通常是在伪装之下）从目标对象那里获取信息 例如： 电话呼叫服务中心 在走廊里的聊天 冒充服务技术人员 著名黑客 Kevin Mitnick 更多是通过社会工程来渗透网络的，而不是高超的黑客技术 什么是 社会工程学 不要轻易泄漏敏感信息，例如口令和账号 在相信任何人之前，先校验其真实的身份 不要违背公司的安全策略，哪怕是你的上司向你索取个人敏感信息（ Kevin Mitnick 最擅长的就是冒充一个很焦急的老板，利用一般人好心以及害怕上司的心理，向系统管理员索取口令） 不要忘了，所谓的黑客，更多时候并不是技术多么出众，而是社会工程的能力比较强 社会工程学（举例） 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 应急响应和 BCP 业务持续性管理程序 风险评估管理 风险控制措施 应急计划框架 预防为主 事后紧急响应及恢复 一般安全事件触发 Helpdesk 及 IRT 正常处理 执行具体的 BCP/DRP 安全事件 管理程序 部门级的 BCP/DRP （基于 BIA ） 紧急响应和危机处理－ ERT 人员环境灾难触发 紧急响应 处理程序 安全事件管理（ 框架 ） 事先制定可行的安全事件响应计划 建立事件响应小组，以管理不同风险级别的安全事件 员工有责任向其上级报告任何已知或可疑的安全问题或违规行为 必要时，管理层可决定引入法律程序 做好证据采集和保留工作 应提交安全事件和相关问题的定期管理报告，以备管理层检查 应该定期检查应急计划的有效性 安全事件管理 要点 （举例） 第一时间可以找谁？ 具体联络方式？ 灾难发生时合理的应对 关键是确保人员安全 重大灾害发生时的应急考虑 事先做好备份等准备工作 灾难发生后妥善处理以降 低损失 在确定时限内恢复 分析原因，做好记录 BCP 应定期测试和维护 应该明确责任人 重大灾害发生后应启用 BCP 进行恢复 数据备份是制定 BCP 时必须考虑的一种恢复准备措施 现在，数据备份的途径有多种： 软盘， CD 和 DVD ， Zip 盘，磁带，移动硬盘，优盘 养成对您的数据进行备份的好习惯 备份磁盘不要放在工作场所 对重要的硬盘做好镜像 对重要的软件进行更新，例如微软的产品 数据备份要点 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 法律法规 中国的信息立法 刑法 计算机信息系统安全保护条例 计算机病毒防治管理办法 计算机信息网络国际联网安全保护管理办法 中国 陆续制定了多部与信息活动密切相关的法律，虽然大多不专门针对网络环境，甚至有些也不针对电子信息，但它们的基本精神对网络的建设、管理以及网络中的信息活动都有不同程度的指导作用。 保守国家秘密法 著作权法 国家安全法 反不正当竞争法 针对信息系统网络环境立法的研究和实践，近几年刚刚受到重视，还很不成熟。 中华人民共和国计算机信息系统安全保护条例： 是中国第一个关于信息系统安全方面的法规，是中华人民共和国国务院令第 147 号于 1994 年 2 月发布的。目的是保护信息系统的安全，促进计算机的应用和发展。 主要内容有：公安部主管全国的计算机信息系统安全保护工作；计算机信息系统实行安全等级保护；健全安全管理制度；国家对计算机信息系统安全专用产品的销售实行许可证制度；公安机关行使监督职权，包括监督、检查、指导和查处危害信息系统安全的违法犯罪案件等。 该条例是中国计算机信息系统安全保护的基本法。 全国人民代表大会常务委员会关于维护互联网安全的决定： 2000 年 12 月通过的。该决定从保障互联网运行安全、维护国家安全和社会稳定、维护社会主义市场经济秩序和社会管理秩序，以及保护个人、法人和其他组织的人身、财产等合法权利等方面，对有关行为做了明确界定： × 保障因特网的运行安全方面：侵入国防、国家事务、高科技领域计算机系统；故意制作传播病毒等；擅自中断网络通信服务 × 维护国家安全和社会稳定方面：利用互联网造谣、诽谤或发布有害信息；利用互联网窃密 × 维护社会主义市场经济秩序和社会管理秩序方面：利用互联网销售伪劣产品；侵害他人声誉；侵犯知识产权 × 保护个人、法人和其他组织的人身、财产等合法权利方面：利用互联网诽谤他人；非法电子邮件侵害；侵犯个人通信自由和秘密；网络诈骗盗窃               中华人民共和国刑法    （ 1979 年 7 月 1 日第五届全国人民代表大会第二次会议通过　 1997 年 3 月 14 日第八届全国人民代表大会第五次会议修订 自 1997 年 10 月 1 日起施行）    第二百八十五条 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。    第二百八十六条   违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。 违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。    第二百八十七条  利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。           中华人民共和国治安管理处罚法    （ 2005 年 8 月 28 日第十届全国人民代表大会常务委员会第十七次会议通过）    第二十九条   有下列行为之一的，处五日以下拘留；情节较重的，处五日以上十日以下拘留：      ( 一 ) 违反国家规定，侵入计算机信息系统，造成危害的；    ( 二 ) 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；    ( 三 ) 违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；    ( 四 ) 故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。              < 公安部第 51 号令 >             计算机病毒防治管理办法    （ 2000 年 3 月 30 日公安部部长办公会议通过 2000 年 4 月 26 日发布施行）    第一条   为了加强对计算机病毒的预防和治理，保护计算机信息系统安全，保障计算机的应用与发展，根据 《 中华人民共和国计算机信息系统安全保护条例 》 的规定，制定本办法。    第二条   本办法所称的计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。    第三条   中华人民共和国境内的计算机信息系统以及未联网计算机的计算机病毒防治管理工作，适用本办法。    第四条   公安部公共信息网络安全监察部门主管全国的计算机病毒防治管理工作。 地方各级公安机关具体负责本行政区域内的计算机病毒防治管理工作。    第五条   任何单位和个人不得制作计算机病毒。    第六条   任何单位和个人不得有下列传播计算机病毒的行为：    （一）故意输入计算机病毒，危害计算机信息系统安全；    （二）向他人提供含有计算机病毒的文件、软件、媒体；    （三）销售、出租、附赠含有计算机病毒的媒体；    （四）其他传播计算机病毒的行为。    第七条   任何单位和个人不得向社会发布虚假的计算机病毒疫情。    第八条   从事计算机病毒防治产品生产的单位，应当及时向公安部公共信息网络安全监察部门批准的计算机病毒防治产品检测机构提交病毒样本。      第九条   计算机病毒防治产品检测机构应当对提交的病毒样本及时进行分析、确认，并将确认结果上报公安部公共信息网络安全监察部门。    第十条   对计算机病毒的认定工作，由公安部公共信息网络安全监察部门批准的机构承担。    第十一条 计算机信息系统的使用单位在计算机病毒防治工作中应当履行下列职责：   （一）建立本单位的计算机病毒防治管理制度；   （二）采取计算机病毒安全技术防治措施；   （三）对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训；   （四）及时检测、清除计算机信息系统中的计算机病毒，并备有检测、清除的记录；   （五）使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品；   （六）对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告，并保护现场。    第十二条 任何单位和个人在从计算机信息网络上下载程序、数据或者购置、维修、借入计算机设备时，应当进行计算机病毒检测。    第十三条 任何单位和个人销售、附赠的计算机病毒防治产品，应当具有计算机信息系统安全专用产品销售许可证，并贴有“销售许可”标记。    第十四条 从事计算机设备或者媒体生产、销售、出租、维修行业的单位和个人，应当对计算机设备或者媒体进行计算机病毒检测、清除工作，并备有检测、清除的记录。    第十五条 任何单位和个人应当接受公安机关对计算机病毒防治工作的监督、检查和指导。    第十六条 在非经营活动中有违反本办法第五条、第六条第二、三、四项规定行为之一的，由公安机关处以一千元以下罚款。 在经营活动中有违反本办法第五条、第六条第二、三、四项规定行为之一，没有违法所得的，由公安机关对单位处以一万元以下罚款，对个人处以五千元以下罚款；有违法所得的，处以违法所得三倍以下罚款，但是最高不得超过三万元。 违反本办法第六条第一项规定的，依照 《 中华人民共和国计算机信息系统安全保护条例 》 第二十三条的规定处罚。    第十七条 违反本办法第七条、第八条规定行为之一的，由公安机关对单位处以一千元以下罚款，对单位直接负责的主管人员和直接责任人员处以五百元以下罚款；对个人处以五百元以下罚款。    第十八条 违反本办法第九条规定的，由公安机关处以警告，并责令其限期改正；逾期不改正的，取消其计算机病毒防治产品检测机构的检测资格。    第十九条 计算机信息系统的使用单位有下列行为之一的，由公安机关处以警告，并根据情况责令其限期改正；逾期不改正的，对单位处以一千元以下罚款，对单位直接负责的主管人员和直接责任人员处以五百元以下罚款：   （一）未建立本单位计算机病毒防治管理制度的；   （二）未采取计算机病毒安全技术防治措施的；   （三）未对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训的；   （四）未及时检测、清除计算机信息系统中的计算机病毒，对计算机信息系统造成危害的；   （五）未使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品，对计算机信息系统造成危害的。    第二十条 违反本办法第十四条规定，没有违法所得的，由公安机关对单位处以一万元以下罚款，对个人处以五千元以下罚款；有违法所得的，处以违法所得三倍以下罚款，但是最高不得超过三万元。    第二十一条 本办法所称计算机病毒疫情，是指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报。 本办法所称媒体，是指计算机软盘、硬盘、磁带、光盘等。    第二十二条 本办法自发布之日起施行。         全国人民代表大会常务委员会关于维护互联网安全的决定   (2000 年 12 月 28 日第九届全国人民代表大会常务委员会第十九次会议通过 )    我国的互联网，在国家大力倡导和积极推动下，在经济建设和各项事业中得到日益广泛的应用，使人们的生产、工作、学习和生活方式已经开始并将继续发生深刻的变化，对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。同时，如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。为了兴利除弊，促进我国互联网的健康发展，维护国家安全和社会公共利益，保护个人、法人和其他组织的合法权益，特作如下决定：   一、为了保障互联网的运行安全，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：   （一）侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统；   （二）故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害；   （三）违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行。     二、为了保护个人、法人和其他组织的人身、财产等合法权利，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：   （一）利用互联网侮辱他人或者捏造事实诽谤他人；   （二）非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密；   （三）利用互联网进行盗窃、诈骗、敲诈勒索。 　　                       < 国务院第 147 号令 >        中华人民共和国计算机信息系统安全保护条例               (1994 年 2 月 18 日发布并施行 )    第二十三条 故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以 5000 元以下的罚款、对单位处以 15000 元以下的罚款；有违法所得的，除予以没收外，可以处以违法所得 1 至 3 倍的罚款。    第二十八条 本条例下列用语的含义： 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。    第三十条 公安部可以根据本条例制定实施办法。    第三十一条 本条例自发布之日起施行。       中华人民共和国计算机信息网络国际联网管理暂行规定实施办法         （ 1998 年 2 月 13 日国务院信息化工作领导小组发布并施行）    第十八条 用户应当服从接入单位的管理，遵守用户守则；不得擅自进入未经许可的计算机系统，篡改他人信息；不得在网络上散发恶意信息，冒用他人名义发出信息，侵犯他人隐私；不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。    第二十条 互联单位、接入单位和用户应当遵守国家有关法律、行政法规，严格执行国家安全保密制度；不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、查阅、复制和传播妨碍社会治安和淫秽色情等有害信息；发现有害信息应当及时向有关主管部门报告，并采取有效措施，不得使其扩散。    第二十三条 违反 《 暂行规定 》 及本办法，同时触犯其他有关法律、行政法规的，依照有关法律、政法规的规定予以处罚；构成犯罪的，依法追究刑事责任。    第二十四条 与香港特别行政区和台湾、澳门地区的计算机信息网络的联网，参照本办法执行。    第二十五条 本办法自颁布之日起施行。                公安部第 33 号令         计算机信息网络国际联网安全保护管理办法      （ 1997 年 12 月 11 日国务院批准 1997 年 12 月 30 日公安部发布）    第四条 任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。       第六条 任何单位和个人不得从事下列危害计算机信息网络安全的活动：      ( 一 ) 未经允许，进入计算机信息网络或者使用计算机信息网络资源的；    ( 二 ) 未经允许，对计算机信息网络功能进行删除、修改或者增加的；    ( 三 ) 未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加 的；    ( 四 ) 故意制作、传播计算机病毒等破坏性程序的；    ( 五 ) 其他危害计算机信息网络安全的。    第七条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。    第十九条 公安机关计算机管理监察机构应当负责追踪和查处通过计算机信息网络的违法行为和针对计算机信息网络的犯罪案件，对违反本办法第四条、第七条规定的违法犯罪行为，应当按照国家有关规定移送有关部门或者司法机关处理。    第二十二条 违反本办法第四条、第七条规定的，依照有关法律、法规予以处罚。              国务院第 363 号令          互联网上网服务营业场所管理条例   （ 2002 年 8 月 14 日国务院第 62 次常务会议通过， 2002 年 11 月 15 日施行）    第十五条 互联网上网服务营业场所经营单位和上网消费者不得进行下列危害信息网络安全的活动：   ( 一 ) 故意制作或者传播计算机病毒以及其他破坏性程序的；     ( 二 ) 非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序的；   ( 三 ) 进行法律、行政法规禁止的其他活动的。    第三十七条 本条例自 2002 年 11 月 15 日起施行。 2001 年 4 月 3 日信息产业部、公安部、文化部、国家工商行政管理局发布的 《 互联网上网服务营业场所管理办法 》 同时废止。 刑法第２８５条规定 重要的法律 法规 “违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”     “提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。” 如果你是一名计算机安全研究人员并且有写代码的爱好，那么德国不适合你去。早前，德国通过了“反黑客”法律，现在这部法律已经生效了。为了避免被起诉，有些安全网站已经重新安置或者关闭了。 从这次湖北省仙桃市人民法院的判定来看，判刑并没有吧熊猫烧香的木马特性考虑进去。而根据刑法第二百八十七条，“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚”。据了解，李俊被判处有期徒刑 4 年；王磊被判处有期徒刑 2 年 6 个月；张顺被判处有期徒刑 2 年；雷磊被判处有期徒刑一年。 新华网北京 2009 年２月２８日，十一届全国人大常委会第七次会议表决通过刑法修正案（七）。令人关注的是，对于惩治网络“黑客”的违法犯罪行为，刑法增加了相关条款。这意味着，今后惩处网络“黑客”有法可依。     此前，刑法第２８５条规定，违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。     近年来，一些不法分子利用技术手段非法侵入法律规定以外的计算机信息系统，窃取他人账号、密码等信息，或者对大范围的他人计算机实施非法控制，严重危及网络安全。刑法原有的规定使司法机关在打击“黑客”犯罪时面临法律困扰。     鉴于上述情况，刑法修正案（七）在刑法第２８５条中增加两款作为第二款、第三款：“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”     “提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。” 严禁泄露或交易客户信息 严禁发送违法信息，或未经客户同意发送商业广告信息 严禁未经客户确认擅自为客户开通或变更业务 严禁串通、包庇、纵容增值服务提供商泄漏客户信息、擅自为客户开通数据及信息化业务或实施其他侵害客户权益的行为 严禁串通、包庇、纵容渠道或系统合作商泄漏客户信息、侵吞客户话费、擅自过户或销号、倒卖卡号资源或实施其他侵害客户权益的行为 中国对信息系统的立法工作很重视，关于计算机信息系统安全方面的法规较多，涉及信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治、标准化、场地设施安全和安全产品检测与销售等方面。 集团公司的五条禁令 违反上述禁令的员工予以辞退；违反禁令造成严重后果的员工予以开除；违反禁令涉嫌犯罪的员工依法移送司法机关；指使他人违反禁令的领导人员、管理者将视同直接违反禁令予以处理；对违禁行为隐瞒不报、压案不查、包庇袒护的，从严追究有关领导责任，予以纪律处分，直至撤职。 附件： “五条禁令”的违规判定基本规则   （一）严禁泄露或交易客户信息。 1 、客户信息的界定 （ 1 ）个人客户信息包括： 非通信内容信息：个人基本信息（姓名、身份证件号码、手机号码、职业、所属单位名称、联系方式、单位或居住地址、家庭成员信息等），位置信息，服务密码，账单和清单，等等； 通信内容信息：客户通过语音网络、短信、彩信、飞信、电子邮箱、数据线路及我公司提供的其他个人通信手段所传递的信息内容。 （ 2 ）集团客户信息包括： 非通信内容信息：单位负责人和联系人基本信息，单位成员个人基本信息，业务合同，账单和清单，等等； 通信内容信息：客户通过语音网络、短信、彩信、飞信、电子邮箱、数据线路及我公司提供的各类信息化应用手段传递的信息内容。 2 、泄露或交易行为的界定 依据 2009 年 2 月通过的 《 中华人民共和国刑法修正案（七） 》 ，任何将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人，窃取或者以其他方法非法获取个人信息，违反国家规定侵入计算机信息系统获取信息或实施非法控制的行为，均属违法行为。包括如下情况： （ 1 ）任何利用职务之便擅自查询、获取上述客户通信内容信息以及客户通话清单、位置信息、服务密码等隐私信息的行为； （ 2 ）除如下四种客户信息正常使用或对外提供的情况外，擅自向他人或外方提供客户信息的行为： 一是客户凭借有效证件或服务密码等方式通过身份鉴权验证、或委托他人依照公司有关业务规程办理的情况下，根据客户需要协助其查询、获取客户信息。 二是公司配合公安机关、国家安全机关或者人民检察院，依照法律程序对相关信息进行查询或提取。 三是在有保密协议或条款约定的前提下，并在取得用户同意的情况下，依照合作协议给业务合作伙伴提供必要的客户信息，仅用于用户定制的电信服务。 四是按照政府、消协等有关部门处理客户投诉、申诉的要求，向政府、消协等提供仅限于投诉处理相关的必要客户信息。 在违规行为中，泄漏客户通信内容信息、客户通话清单、位置信息、服务密码等隐私信息的，以及以牟利为目的倒卖客户信息的交易行为违规情节更严重。 （二）严禁发送违法信息，或未经客户同意发送商业广告信息。 1 、违法信息的界定 依据 《 关于依法开展治理手机违法短消息有关工作的通知 》 （公通字 【 2005 】 77 号），违法信息包括如下五类： 一是假冒银行或银联名义发送手机违法短消息息诈骗或者敲诈勒索公私财物的； 二是散布淫秽、色情、赌博、暴力、凶杀、恐怖内容或者教唆犯罪、传授犯罪方法的； 三是非法销售枪支、弹药、爆炸物、走私车、毒品、迷魂药、淫秽物品、假钞假发票或者明知是犯罪所得赃物的； 四是发布假中奖、假婚介、假招聘，或者引诱、介绍他人卖淫嫖娼的； 五是多次发送干扰他人正常生活的，以及含有其他违反宪法、法律、行政法规禁止性规定的内容的。 2 、商业广告信息的界定 商业广告信息指商品经营者或者服务提供者介绍自己所推销的商品或者所提供服务的信息，不包括严格按照公司有关信息发送流程和规范发送的如下三类信息： （ 1 ）公益信息：指由政府相关部门及社会公益团体发起的，用于政策法规宣传、倡导参与社会公益活动以及遵守社会公德等的，非商业盈利性质的宣传信息。 （ 2 ）应急信息：指政府有关部门在处置突发公共事件（包括自然灾害、社会紧急事件等）时，为及时提醒人民群众防灾、避灾、减灾，提供的有限长度的信息内容。 （ 3 ）公司自身的客户关怀类信息：指通过公司“ 10086 ”端口统一发送的，以服务客户为目的信息，包括客户问候信息、必要的业务服务告知信息、意见征集或调查信息等。此类信息的发送应避开客户休息时间，原则上每日 22 时至次日 7 时之间不发送，对同一客户发送的频率原则上不高于每月 1 次。 3 、违规行为的界定 （ 1 ）通过短信、彩信、飞信、 IVR 、 WAP-PUSH 、手机邮箱等 公司自身 的信息端口或技术设备平台违规发送的，包括如下四种情况： 一是发送任何违法信息。 二是未经客户同意发送商业广告信息。客户同意指客户通过书面协议、短信上行、网站、 WAP 等进行确认，均需留有纸质或电子凭证，客户口头同意不算在内。 三是违背各业务和各端口有关公益信息或应急信息的发送审批、报备流程，假借发送公益信息名义发送商业广告信息。 四是明显违背公司自身客户关怀类信息发送时间和频次规范发送信息，并给客户造成严重干扰的。 （ 2 ）明显违背公司集团客户信息群发业务受理流程和规范，为集团客户受理违法信息群发或商业广告信息擅自群发业务，致使集团客户通过行业端口发送违规信息或在未取得客户同意的前提下发送商业广告信息的。 （三）严禁未经客户确认擅自为客户开通或变更业务。 1 、未经客户确认的界定 除了客户通过书面协议、短信上行、网站、 WAP 等进行确认并留有纸质或电子凭证外，其他均属未经客户确认，客户口头同意也属未经客户确认。 2 、开通或变更业务的范围界定 开通的业务包括：各类移动通信基础业务、资费套餐、数据及信息业务、集团客户信息化产品，包括免费赠送、免费试用的业务。 变更的业务包括：除了上述业务开通明确的范围外，还包括客户协议、客户品牌。 3 、违规行为的界定 凡未经客户确认开通或变更上述业务的均属违规。 确因技术业务升级、政府统一要求等特殊原因被迫变更业务的，在无法取得客户确认的情况下，应通过发布公告、一对一通知等多种方式告知客户并留有记录，同时向政府主管部门报备。 （四）严禁串通、包庇、纵容增值服务提供商泄漏客户信息、擅自为客户开通数据及信息化业务或实施其它侵害客户权益的行为。 1 、增值服务提供商的界定 包括业务提供商（ SP ）、内容提供商（ CP ）、业务集成商（ SI ）等。 2 、违规行为的界定 一是通过向增值服务提供商提供业务或技术手段便利帮助其泄漏客户信息、擅自开通业务或实施其它侵害客户权益的行为。 二是在对增值服务提供商侵害客户权益行为知情的情况下，对其违规行为包庇、纵容的。 （五）严禁串通、包庇、纵容渠道或系统合作商泄漏客户信息、侵吞客户话费、擅自过户或销号、倒卖卡号资源或实施其它侵害客户权益的行为。 1 、渠道或系统合作商的界定 包括渠道合作商，渠道代理商，积分礼品供货商和物流商，网络系统、业务支撑系统、信息管理系统等设备提供商、系统集成商、系统维护商等。 2 、违规行为的界定 一是通过向渠道或系统合作商提供业务或技术手段等便利帮助其泄漏客户信息、侵吞客户话费、擅自过户或销号、倒卖卡号资源或实施其它侵害客户权益的行为。 二是在对渠道或系统合作商侵害客户权益行为知情的情况下，对其违规行为包庇、纵容的。 《 计算机软件保护条例 》 《 信息网络传播权保护条例 》 《 互联网著作权行政保护办法 》 《 关于开展对 “ 私服 ” 、 “ 外挂 ” 专项治理的通知 》 《 国家版权局关于网吧下载提供 “ 外挂 ” 是否承担法律责任的意见 》 《 互联网安全保护技术措施规定 》 《 电子出版物管理规定 》 《 互联网电子公告服务管理规定 》 《 互联网文化管理暂行规定 》 《 防乘幂系统开发标准（试行） 》 《 关于网络游戏发展和管理的若干意见 》 《 国家工商行政管理局关于商业秘密构成要件问题的答复 》 《 软件产品管理办法 》 …… 通信行业 法律法规（举例） 要点总结！ 加强敏感信息的保密 留意物理安全 遵守法律法规和安全策略 公司资源只供公司所用 保守口令秘密 谨慎使用 Internet 、 EMAIL 、 QQ 加强人员安全管理 识别并控制第三方风险 加强防病毒措施 有问题及时报告 确保敏感信息免遭窃取、丢失、非授权访问、非授权泄漏、非授权拷贝，这些信息既包括纸质文件，又包括计算机和存储设备中的信息。 谨记 您的 安全责任 从 一点一滴 做起！ 从 自身 做起！ :Nmap 端口扫描器 :Nessus 网络漏洞扫描器 Nessus 是最好的免费网络漏洞扫描器，它可以运行于几乎所有的 UNIX 平台之上。它不止永久升级，还免费 提供多达 11000 种插件（但需要注册并接受 EULA-acceptance-- 终端用户授权协议）。它的主要功能是远程或本地（已授权的）安全检查，客 户端 / 服务器架构， GTK （ Linux 下的一种图形界面）图形界面，内置脚本语言编译器，可以用其编写自定义插件，或用来阅读别人写的插件。 Nessus 3 已经开发完成（ now closed source ），其现阶段仍然免费，除非您想获得最新的插件。 :Wireshark 包嗅探器 Wireshark （ 2006 年夏天之前叫做 Ethereal ） 是一款非常棒的 Unix 和 Windows 上的开源网络协议分析器。它可以实时检测网络通讯数据，也可以检测其抓取的网络通讯数据快照文件。可以通过图形界 面浏览这些数据，可以查看网络通讯数据包中每一层的详细内容。 Wireshark 拥有许多强大的特性：包含有强显示过滤器语言（ rich display filter language ）和查看 TCP 会话重构流的能力；它更支持上百种协议和媒体类型；拥有一个类似 tcpdump （一个 Linux 下的网络协议分析工具）的 名为 tethereal 的的命令行版本。不得不说一句， Ethereal 已经饱受许多可远程利用的漏洞折磨，所以请经常对其进行升级，并在不安全网络或敌 方网络（例如安全会议的网络）中谨慎使用之。 :Snort 入侵检测系统 这款小型的入侵检测和预防系统擅长于通讯分析和 IP 数据包登录（ packet logging ）。 Snort 除了能够进行协议分析、内容搜索和包含其它许多预处理程序，还可以检测上千种蠕虫病毒、漏洞、端口扫描以及其它可疑行为检 测。 Snort 使用一种简单的基于规则的语言来描述网络通讯，以及判断对于网络数据是放行还是拦截，其检测引擎是模块化的。用于分析 Snort 警报的网页 形式的引擎 Basic Analysis and Security Engine (BASE) 可免费获得。     开源的 Snort 为个人、小企业、集团用户提供良好的服务。其母公司 SourceFire 提供丰富的企业级特性和定期升级以丰富其产品线。提供（必须注册） 5 天免费的规则试用，您也可以在 Bleeding Edge Snort 找到很多免费规则。 读写网络连接数据 端口绑定 SSL 加密 &SOCKS 代理 衍生很多种类 瑞士军刀 :Netcat 网络调试工具 625+ 种服务器版本 230+ 种特定服务器问题 3200+ 种潜在危险文件 /CGIs 自动更新 :Nikto Web 漏洞扫描器 进程浏览器 进程管理器 自启动检查器 Rootkit 监测器 TCP/UDP 监视器 3000 万美金＝ Sysinternals :Sysinternals Rootkit 检测套件 已经被微软收购 Google Hacking Google Code Google everything … :Google 搜索引擎 基本操作命令 :ping/ifconfig… 基本操作命令 :Phlak Live-CD 操作系统 你尽力了么？ 你做好了么？ … 管理员 人 但是 …… 我们确实存在问题， 只要我们不断改进！ Thank you!