信息安全培训讲师：陈岌 ISO 27001 主任审核员、 CISA 、 CISSP 、 CISP

信息安全培训 讲师：陈岌 ISO27001主任审核员、CISA、CISSP、CISP

课程安排 • 法律法规及政策要求 • 信息中心安全管理体系建设 • 信息安全工作要点 • -终端和个人信息安全 • -信息系统设计安全需求 • -信息系统安全检查要求 • 提问和讨论

法律法规及安全政策要求 • 《中华人民共和国保守国家秘密法》 • 《信息安全等级保护管理办法》 • 《政府信息系统安全检查办法》 • GBT 22080-2008（ISO/IEC.27001：2005） • 《信息技术安全技术信息安全管理体系要求》 • 《国家认监委保密工作规定》

管理层 推动结合实际明确职责信息中心安全管理体系建设管理落地 • 国家认监委信息中心按照信息安全管理体系认证（ISO27001）要求，结合信息系统等级保护标准及IT运维管理体系要求，开展 “信息安全管理、IT运维和等级保护”咨询与认证工作。 • 完成信息安全管理体系信息资产收集、评估工作；编制了标准差距分析报告、风险评估报告及等保差距分析报告，形成了信息安全管理体系方针和各类安全管理规定17个文件，新增33个记录表单，收集汇总已有信息安全管理相关发文、记录和表单共28份；完成重要IT基础设施和业务系统的应急预案与演练。 • 现阶段正与中心ISO9000质量管理体系相结合，修订ISO27001体系文件，按照信息安全认证要求准备相关认证申请。紧密结合业务目标需求完整性可用性可追溯性保密性合规性打造团队可控性真实性

什么是信息安全 采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。

创建使用存储传递更改销毁从信息的生命周期考虑安全

进不来 拿不走看不懂改不了跑不掉信息安全目标的通俗说法信息安全就是要防止非法入侵者打不垮

电子邮件 浏览器口令信息泄露即时通讯个人信息安全社交网站电脑移动介质网络钓鱼手机网络盗窃个人相关的信息安全

最常犯的一些错误 • 将口令写在便签上，贴在电脑监视器旁 • 开着电脑离开，就像离开家却忘记关灯那样 • 轻易相信来自陌生人的邮件，好奇打开邮件附件 • 使用容易猜测的口令，或者根本不设口令 • 丢失笔记本电脑或移动存储介质 • 不能保守秘密，口无遮拦，泄漏敏感信息 • 随便在服务器上接Modem，或者随意将服务器连入网络 • 事不关己，高高挂起，不报告安全事件 • 在系统更新和安装补丁上总是行动迟缓 • 只关注外来的威胁，忽视内部人员的意识

安全建议-物理安全 • 佩戴身份识别卡有助于识别陌生人 • 不应将身份识别卡借与他人使用 • 应主动防止陌生人尾随进入办公区域 • 遇到陌生人,要上前主动询问 • 不应随意放置或丢弃含有敏感信息的纸质文件 • 废弃文件需用碎纸机粉碎 • 废弃或待修磁介质转交他人时应经过信息处理 • 离开座位时，应将贵重物品、含有机密信息的资料锁入柜中，并对使用的电脑桌面进行锁屏 • 应将复印或打印的资料及时取走 • 不应在公共场合谈论组织信息

病毒 Virus 蠕虫 Worm 安全建议-病毒防范 • 不要随意下载或安装软件 • 不要接收与打开从E-mail或IM（QQ、MSN等）中传来的不明附件 • 不要点击他人发送的不明链接，也不登录不明网站 • 尽量不能过移动存储介质共享文件 • 自动或定期更新OS与应用软件的补丁 • 所有计算机必须部署指定的防病毒软件 • 防病毒软件与病毒库必须持续更新 • 感染病毒的计算机必须从网络中隔离(拨除连接的网线)直至清除病毒 • 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度 • 发生任何病毒传播事件，相关人员应及时向IT管理部门汇报 • ……

安全建议-移动存储介质的使用 • 尽量不要使用移动存储介质存放敏感数据，移动存储介质内临时存储的敏感数据应及时清除 • 对移动存储介质设置使用口令，对于敏感数据进行加密处理 • 移动存储介质废弃前，应清除数据或销毁介质 • 在安装有防病毒软件的机器上使用移动存储介质，并注意查杀病毒

安全建议-社会工程学 • 社会工程学：利用社会交往（通常是在伪装之下）从目标对象那里获取信息 • 不要轻易泄漏任何信息，社会工程师可以从信息中找到隐藏的有价值的信息，更不要说是口令和账号 • 在相信任何人之前，先校验其真实的身份 • 不要违背组织的安全策略，拒绝提供他人向你索取的敏感信息 • 所谓的黑客，更多时候并不是技术多么出众，而是社会工程的能力比较强

安全建议-口令保护 • 选择易记强口令的几个窍门： • 口令短语 • 字符替换 • 单词误拼 • 键盘模式 • 口令应该经常更改，如3个月 • 不同的系统或场所应使用不同的口令 • 一定要即刻更改系统的缺省或初始化口令 • 不要与任何人共享你的口令 • 不要把口令写在纸上 • 不要把口令存储在计算机文件中 • 输入口令时严防有人偷看，离开座位时，要锁定或关闭计算机 • 如果发觉有人获知你的口令，立即改变它口令至少应该由8个字符组成口令应包含大小写字母口令应包含数字、特殊字符不要使用字典中的单词不要基于人的姓名、生日

安全建议-电子邮件 • 接收邮件时的注意事项: • 不安全的文件类型：绝对不要打开任何以下文件类型的邮件附件：.bat, .com, .exe, .vbs • 未知的文件类型：绝对不要打开任何未知文件类型的邮件附件，包括邮件内容中到未知文件类型的链接 • 微软文件类型：如果要打开微软文件类型（例如 .doc, .xls, .ppt等）的邮件附件或者内部链接，务必先进行病毒扫描 • 要求发送普通的文本：尽量要求对方发送普通的文本内容邮件，而不要发送HTML格式邮件，不要携带不安全类型的附件 • 禁止邮件执行：某些邮件软件可设置，禁止执行HTML内容中的代码 • 禁止垃圾邮件：通过设置邮件服务器的过滤，防止接受垃圾邮件 • 尽早安装系统补丁：杜绝恶意代码利用系统漏洞而实施攻击 • 发送邮件时的注意事项: • 如果同样的内容可以用普通文本正文，就不要用附件 • 尽量不要发送.doc, .xls等可能带有宏病毒的文件 • 发送不安全的文件之前，先进行病毒扫描 • 不要参与所谓的邮件接龙 • 尽早安装系统补丁，防止自己的系统成为恶意者的跳板

安全建议-互联网 • 不要登入可疑网站，不要打开或滥发邮件中不可信赖来源或电邮所载的URL链接，以免被看似合法的恶意链接转往恶意网站 • 不要从搜寻器的结果连接到银行或其他金融机构的网址 • 以手工方式输入URL位址或点击之前已加入书签的链接 • 避免在咖啡室、图书馆、网吧等场所的公用计算机进行网上银行或财务查询／交易。这些公用计算机可能装有入侵工具或特洛伊程式 • 在进行网上银行或财务查询／交易时，不要使用浏览器从事其他网上活动或连接其他网址。在完成交易后，切记要打印或备存交易记录或确认通知，以供日后查核。不要保存帐号和密码 • 不要给通过电子方式给任何机构和个人提供敏感的个人或账户资料 • 确保电脑采用最新的保安修补程式和病毒识别码，以减低欺诈电邮或网站利用软件漏洞的机会

安全建议-即时通讯工具 • 决不要通过IM通信发送敏感的个人信息,例如信用卡卡号、社会保险编号或密码。 • 建议只与您的联系人列表或好友列表中的人通信。 • 绝不要接受您不了解的人或陌生人发送的文件或下载项。 • 绝不要轻易打开任何人发给你的链接，即使是朋友也要确认后才打开。 • 与电子邮件地址一样,请不要联机张贴您的昵称。有些人会查找并利用您的昵称向您发送垃圾IM消息。 • 不要在工作时发送个人或保密即时消息。您的老板可能有权限查看这些消息。 • 多数即时消息程序允许您在启动计算机时自动登录,以方便您在使用该程序时不必每次都输入密码。如果您使用的是公共计算机,请确保您的IM程序未配置为自动登录。 • 警惕如何显示您何时联机何时脱机。IM程序允许您的联系人列表中的联系人可以查看您的联机状态。然而,此功能可使其他人获得更多您不愿意提供的信息。

安全建议-场外设备的使用 • 确保电脑采用最新的保安修补程式和病毒识别码，以减低欺诈电邮或网站利用软件漏洞的机会无论是谁，信息处理设施要带到组织边界外使用，必须得到相关授权 • 场外设备或介质不应该单独置于公共区域，笔记本电脑应该放在不显眼的包里 • 注意设备防暴、防磁、防热、防水、防震 • 可以考虑购买适当的保险

信息安全正确认识 • 信息安全不仅是组织的安全、也是个人的信息安全 • 三分技术、七分管理 • 信息安全是一项长期的工作 • 信息安全从自身做起，从一点一滴做起！！！

信息系统设计安全需求

信息系统安全检查要求 • 根据《政府信息系统安全检查办法》认监委开展2011年信息学系统安全检查工 • 作，重点包括： • 信息安全组织管理（信息安全管理机构和信息安全员工作开展情况） • 日常信息安全管理（人员、资产、信息技术外包服务、信息技术产品使用、信息安全经费保障） • 信息安全防护管理（网络边界防护、信息安全风险评估和等级保护等安全制度落实情况、门户网站、电子邮箱、终端计算机、移动存储设备） • 信息安全应急管理（应急预案、应急演练、应急技术支援） • 信息安全教育培训建立和管理实施和运作信息安全维护和改善监督和审查

Thanks!

信息安全培训讲师：陈岌 ISO 27001 主任审核员、 CISA 、 CISSP 、 CISP