信息安全意识手册一
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
需求;四是提升公共服务信息化水平;五是加强 营者、互联网信息服务提供者不得收集、使用
信息消费环境建设等。
用户个人信息。并且,在用户终止使用电信服
《意见》指出,提升信息安全保障能力。依
务或者互联网信息服务后,应当停止对用户个
法加强信息产品和服务的检测和认证,鼓励企业 人信息的收集和使用,并为用户提供注销号码
性(Integrity)和可用性(Availability)的 保持,即防止未经授权使用信息、防止对信息的 非法修改和破坏、确保及时可靠地使用信息。
每50份通过网络传输的文件中就有1份包含 机密数据;
保密性:确保信息没有非授权的泄漏,不被 50%的USB盘中包含机密信息 ;
非授权的个人、组织和计算机程序使用
非法控制计算机信息系统的违法犯罪行为而为
其提供程序、工具,情节严重的,依照前款的
信
规定处罚。”
息
安
• 中国:
• 2012年《个人信息保护指南》出台;2012年全 国人大常委会通过了《关于加强网络信息保护 的决定》
• 2013年9月1日实施《电信和互联网用户个人信 息保护规定》和《电话用户真实身份信息登记 规定》
《个人资料保护法》(日本);《信息公开法》
第285条中增加两款作为第二款、第三款:“违
(日本)
反国家规定,侵入前款规定以外的计算机信息 系统或者采用其他技术手段,获取该计算机信 息系统中存储、处理或者传输的数据,或者对 该计算机信息系统实施非法控制,情节严重的, 处三年以下有期徒刑或者拘役,并处或者单处 罚金;情节特别严重的,处三年以上七年以下 有期徒刑,并处罚金。”
80%的公司在丢失笔记本电脑后会发生泄
完整性:确保信息没有遭到篡改和破坏
密事件;
可用性:确保拥有授权的用户或程序可以及 时、正常使用信息
在美国平均每次数据泄密事件导致的财务 损失高达630万美金(Ponemon Institute,
2007) ;
秘密
保密性 (Confidentiality)
全
基
国务院加强网络信息安全推动个人信息保护立法 《电信和互联网用户个人信息保护》
础
北京8月14日,国务院办公厅公布了《国务
个人信息的泄露,给我们的生活带来了困扰,
院关于加快促进信息消费扩大内需的若干意见》。 甚至造成直接的经济损失。值得欣喜的是,工
《意见》指出,积极推动出台网络信息安全、个 人信息保护等方面的法律制度,明确互联网服务 提供者保护用户个人信息的义务。
信息安全意识手册
上海汇哲信息科技有限公司整理与制作
http://www.spisec.com/
©声明:本手册内容源于互联网收集梳理而成,仅供个人参考使用、切勿用于商业性质,仅供交流与学习使用! 同时,P上ag海e 汇1 哲信<息Ti科tle技> |有<限Da公te司> 将长期保持更新与互联网发布、供大家免费使用。021-33663299
大一次故障。由于故障发生在凌晨,因此对用户造成的实际影响相对较小。CNNIC官方尚未对此次故
障进行详细说明。注释:根域名服务器(root-servers.org)是互联网域名解析系统(DNS)中最高
信 息
级别的域名服务器,全球仅有13台根服务器。目前的分布是:主根服务器(A)美国1个,设置在弗吉 尼亚州的杜勒斯;辅根服务器(B至M)美国9个,瑞典、荷兰、日本各1个。另外借由任播(Anycast) 技术,部分根域名服务器在全球设有多个镜像服务器(mirror),因此可以抵抗针对其所进行的分布
• 硬件、软件、文档资料 • 关键人员 • 组织提供的服务
信息:是一种资产,就像其他的重要企业资产一样,对组织具 有价值,因此需要受到适当的保护。
——ISO27001:2005
全
基
什么是信息安全
您是否知道?
础
信息本身的机密性(Confidentiality)、完整
每400封邮件中就有1封包含机密信息;
Page 5 <Title> | <Date>
“信息安全需要每一个员工的维护——比如你!”
APT(Advanced Persistent Threat)
Google极光攻击
APT(Advanced Persistent Threat)高级持续 性威胁顾名思义,这种攻击行为首先具有极强的 隐蔽能力,通常是利用企业或机构网络中受信的 应用程序漏洞来形成攻击者所需C&C网络;其次 APT攻击具有很强的针对性,攻击触发之前通常 需要收集大量关于用户业务流程和目标系统使用 情况的精确信息,情报收集的过程更是社工艺术 的完美展现;当然针对被攻击环境的各类0day收 集更是必不可少的环节。
人账号、密码等信息,或者对大范围的他人计
访问、使用和销毁进行了规定。
算机实施非法控制,严重危及网络安全。刑法 原有的规定使司法机关在打击“黑客”犯罪时 面临法律困扰。
其中,比较知名的如:
• 亚洲:《个人资料(私隐)条例》- 第486章(香 港);《电脑处理个人资料保护法》(台湾);
鉴于上述情况,刑法修正案(七)在刑法
信息安全基础
最新网络安全及趋势
密码安全
上网安全防护
正确地使用软件和系统
邮件安全
目
录
正确处理计算机病毒
手机安全
数据安全保护与备份
个人隐私保护
工作环境及物理安全
“信息安全需要每一个员工的维护——比如你!” 第1页 第6页 第9页 第11页 第15页 第16页 第17页 第19页 第22页 第24页 第29页
安
式拒绝服务攻击(DDoS)。
全
基
卡特尔天然气企业遭电脑病毒攻击
程序员入侵证券公司后台40万条股民信息网上贩卖
础
2012年8月15日,全球最大天然气生产商之
一卡塔尔拉斯天然气公司(RasGas)成为最近几
周遭受严重电脑病毒攻击的第二家中东大型能源
公司。
此前,全球最大原油生产商、政府支持的沙 特阿美石油公司(Saudi Aramco)也遭到了电脑 病毒攻击。沙特阿美8月26日表示,在8月15日遭 到攻击以后,该公司的服务已恢复。但休斯顿、 日内瓦和伦敦的石油交易员昨日表示,他们在通 过传真和电传与沙特阿美沟通,该公司的对外电 邮服务仍然瘫痪。一名交易员表示:“这就好像 是回到了20年前。”沙特阿美昨日表示,为以防 万一,该公司“限制”了一些外部系统的访问。
Page 4 <Title> | <Date>
刑法修正案加重对黑客量刑
“信息安全需要每一个员工的维护——比如你!” 其他国家或地区个人信息保护环境
近年来,一些不法分子利用技术手段非法
全球约有50个国家已建立了个人数据和隐
侵入法律规定以外的计算机信息系统,窃取他
私保护的相关法案,对个人信息收集、存储、
——《激荡三十年》
消息、信号、数据、情报和知识;
信息本身是无形的,借助于信息媒体以多种形式存在或传播:
• 存储在计算机、磁带、纸张等介质中
• 记忆在人的大脑里
• 通过网络、打印机、传真机等方式进行传播
信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产:
• 计算机和网络中的数据
信 息 安
广州的小伙晓鹏,大学毕业后一直没有找 工作,闲时在家中炒股。2010年,他发现一条 内容为“如需购买股民资料,请QQ联系我”的 帖子。看到帖子后,晓鹏忽然想到这可能是条 发财门路,想借股民信息向炒股的市民推荐股 票从而取利。很快,他通过网络结识了一个名 叫“证券先锋”的网友。
联系到“证券先锋”后,其便成了晓鹏购 买股民信息的固定卖家。晓鹏先后从其那里购 买了8000多条济南某证券公司的股民信息,后 通过打长途向山东股民推荐股票,从而借机收 取服务费。
• 欧洲:《欧盟数据保护指令》
• 美国:《医疗保险责任法案》(HIPAA);《公 平信用报告法》(FCRA);《儿童网络隐私保 护法》(COPPA);《金融服务现代化法案》 (GLBA)
• 信用卡持卡人数据保护:《支付卡行业数据安 全标准》(PCI DSS)
“提供专门用于侵入、非法控制计算机信息
系统的程序、工具,或者明知他人实施侵入、
Page 2 <Title> | <Date>
“信息安全需要每一个员工的维护——比如你!”
什么是信息?
在2001年的互联网寒冬期,10月,中国最大的网络文学网站“榕树下”以很低廉的价格出售给 德国传媒巨头贝塔斯曼公司。一开始,贝塔斯曼的开价是1000万元人民币。谈判中场休息时,贝塔 斯曼的代表偶然碰到“榕树下”所租办公楼的物管人员,得悉这家公司已拖欠好几个月的水电费未交。 回到谈判桌上,开价一下子降到了100万元人民币,创办人朱威廉被迫接受。
国有企业拉斯天然气公司和沙特阿美表示, 病毒仅影响到办公室电脑,未影响到运行油气生 产的孤立系统。两家公司都表示,生产和出口未 受影响。
福建一电脑公司程序员,趁为济南某证券 公司做技术支持之机,潜入证券公司操作后台, 窃取了40余万条股民信息,并将其贩卖给网友。 4月20日,涉及该案的3名被告人均获刑。
或者账号的服务,不得泄露、篡改、毁损、出 售或者非法向他人提供用户个人信息。针对代 理商 泄漏个人信息的问题,《规定》明确,按 照“谁经营、谁负责”、“谁委托、谁负责” 的原则,由电信业务经营者、互联网信息服务 提供者负责对其代理商的个人信 息保护工作实 施管理。
《意见》还指出,加强个人信息保护。落实
《意见》从以下几个方面提出了促进信息消 费的主要任务:一是加快信息基础设施演进升级;
业和信息化部近日公布的《电信和互联网用户 个人信息保护规定》(以下简称《规定》)将于9 月1日起施行,为个人信息安全编织了一张法律 保护网。
二是增强信息产品供给能力;三是培育信息消费
《规定》指出,未经用户同意,电信业务经
DNS是域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网.DNS就像一个
wenku.baidu.com
自动的电话号码簿,用户可以直接输入网站名字来代替输入复杂的IP地址,而网站名字和IP之间的映
射解析就靠DNS服务来完成。据了解,此次受影响的网站不仅包括.CN域名,也包括。COM.CN域名。凌
晨4点左右,CNNIC官方微博表示,.CN根域名服务器解析服务正常。这也是.CN域名近几年来发生的最
数据泄漏导致客户流失的比例正在以每年 11%的速率上升;
SOX,HIPPA,PCI以及中国的企业内控基本规 范都要求企业保护机密信息;
信息保护正日益成为安全管理和风险控制 的核心内容;
完整性 (Integrity)
可用性 (Availability)
采取措施保护信息资产,使之不因偶然或者恶意
开发技术先进、性能可靠的信息技术产品,支持 建立第三方安全评估与监测机制。加强与终端产 品相连接的集成平台的建设和管理,引导信息产 品和服务发展。加强应用商店监管。加强政府和 涉密信息系统安全管理,保障重要信息系统互联 互通和部门间信息资源共享安全。落实信息安全 等级保护制度,加强网络与信息安全监管,提升 网络与信息安全监管能力和系统安全防护水平。
对侵害电信和互联网用户个人信息的违法
全国人大常委会关于加强网络信息保护的决定, 行为,《规定》设定警告和3万元以下的罚款处
积极推动出台网络信息安全、个人信息保护等方 面的法律制度,明确互联网服务提供者保护用户 个人信息的义务,制定用户个人信息保护标准, 规范服务商对个人信息收集、储存及使用。
罚,同时设立了制止违法行为危害扩大的“叫 停”制度、“向社会公告”行政处罚制度和将 违法行为“记入社会信用档案”制度。
侵犯而遭受破坏、更改及泄露,保证信息系统能
够连续、可靠、正常地运行,使安全事件对业务
造成的影响减到最小,确保组织业务运行的连续
性。
——信息安全定义
Page 3 <Title> | <Date>
CN域名遭攻击原因:僵尸网络攻击游戏私服
“信息安全需要每一个员工的维护——比如你!”
2013年8月25日上午消息,部分.CN域名在今日凌晨出现无法解析的问题。域名解析服务商DNSPod 创始人吴洪声在微博称,故障发生是由于当时.CN域名的根服务器(释义见文末注释)受到攻击,授 权DNS(域名系统)亦陷入全线故障。凌晨4点左右,CN域名的解析恢复正常。CN域名是中国国家注册 的顶级域名,在国内的注册管理归属于中国互联网络信息中心(CNNIC),面向普通个人开放申请。 昨日凌晨1点不到,以.CN为根域名的部分网站显示无法打开。另一域名解析服务商DNSPod的创始人吴 洪声在微博称,此次故障的根源在于.CN域名的根服务器受到攻击,导致授权DNS(域名系统)亦陷入 全线故障无法正常解析。