信息安全意识手册一

需求；四是提升公共服务信息化水平；五是加强 营者、互联网信息服务提供者不得收集、使用
信息消费环境建设等。
用户个人信息。并且，在用户终止使用电信服
《意见》指出，提升信息安全保障能力。依
务或者互联网信息服务后，应当停止对用户个
法加强信息产品和服务的检测和认证，鼓励企业 人信息的收集和使用，并为用户提供注销号码
性（Integrity）和可用性（Availability）的 保持，即防止未经授权使用信息、防止对信息的 非法修改和破坏、确保及时可靠地使用信息。
每50份通过网络传输的文件中就有1份包含 机密数据;
保密性：确保信息没有非授权的泄漏，不被 50％的USB盘中包含机密信息 ;
非授权的个人、组织和计算机程序使用
非法控制计算机信息系统的违法犯罪行为而为
其提供程序、工具，情节严重的，依照前款的
信
规定处罚。”
息
安
• 中国：
• 2012年《个人信息保护指南》出台；2012年全 国人大常委会通过了《关于加强网络信息保护 的决定》
• 2013年9月1日实施《电信和互联网用户个人信 息保护规定》和《电话用户真实身份信息登记 规定》
《个人资料保护法》（日本）；《信息公开法》
第285条中增加两款作为第二款、第三款：“违
（日本）
反国家规定，侵入前款规定以外的计算机信息 系统或者采用其他技术手段，获取该计算机信 息系统中存储、处理或者传输的数据，或者对 该计算机信息系统实施非法控制，情节严重的， 处三年以下有期徒刑或者拘役，并处或者单处 罚金；情节特别严重的，处三年以上七年以下 有期徒刑，并处罚金。”
80％的公司在丢失笔记本电脑后会发生泄
完整性：确保信息没有遭到篡改和破坏
密事件;
可用性：确保拥有授权的用户或程序可以及 时、正常使用信息
在美国平均每次数据泄密事件导致的财务 损失高达630万美金(Ponemon Institute,
2007) ;
秘密
保密性 （Confidentiality）
全
基
国务院加强网络信息安全推动个人信息保护立法 《电信和互联网用户个人信息保护》
础
北京8月14日，国务院办公厅公布了《国务
个人信息的泄露，给我们的生活带来了困扰，
院关于加快促进信息消费扩大内需的若干意见》。 甚至造成直接的经济损失。值得欣喜的是，工
《意见》指出，积极推动出台网络信息安全、个 人信息保护等方面的法律制度，明确互联网服务 提供者保护用户个人信息的义务。
信息安全意识手册
上海汇哲信息科技有限公司整理与制作
http://www.spisec.com/
©声明：本手册内容源于互联网收集梳理而成，仅供个人参考使用、切勿用于商业性质，仅供交流与学习使用！ 同时，P上ag海e 汇1 哲信<息Ti科tle技> |有<限Da公te司> 将长期保持更新与互联网发布、供大家免费使用。021-33663299
大一次故障。由于故障发生在凌晨，因此对用户造成的实际影响相对较小。CNNIC官方尚未对此次故
障进行详细说明。注释：根域名服务器（root-servers.org）是互联网域名解析系统（DNS）中最高
信 息
级别的域名服务器，全球仅有13台根服务器。目前的分布是：主根服务器（A）美国1个，设置在弗吉 尼亚州的杜勒斯；辅根服务器（B至M）美国9个，瑞典、荷兰、日本各1个。另外借由任播（Anycast） 技术，部分根域名服务器在全球设有多个镜像服务器（mirror），因此可以抵抗针对其所进行的分布
• 硬件、软件、文档资料 • 关键人员 • 组织提供的服务
信息：是一种资产，就像其他的重要企业资产一样，对组织具 有价值，因此需要受到适当的保护。
——ISO27001:2005
全
基
什么是信息安全
您是否知道?
础
信息本身的机密性（Confidentiality）、完整
每400封邮件中就有1封包含机密信息;
Page 5 <Title> | <Date>
“信息安全需要每一个员工的维护——比如你!”
APT（Advanced Persistent Threat）
Google极光攻击
APT（Advanced Persistent Threat）高级持续 性威胁顾名思义，这种攻击行为首先具有极强的 隐蔽能力，通常是利用企业或机构网络中受信的 应用程序漏洞来形成攻击者所需C&C网络；其次 APT攻击具有很强的针对性，攻击触发之前通常 需要收集大量关于用户业务流程和目标系统使用 情况的精确信息，情报收集的过程更是社工艺术 的完美展现；当然针对被攻击环境的各类0day收 集更是必不可少的环节。
人账号、密码等信息，或者对大范围的他人计
访问、使用和销毁进行了规定。
算机实施非法控制，严重危及网络安全。刑法 原有的规定使司法机关在打击“黑客”犯罪时 面临法律困扰。
其中，比较知名的如：
• 亚洲：《个人资料(私隐)条例》- 第486章（香 港）；《电脑处理个人资料保护法》（台湾）；
鉴于上述情况，刑法修正案（七）在刑法
信息安全基础
最新网络安全及趋势
密码安全
上网安全防护
正确地使用软件和系统
邮件安全
目
录
正确处理计算机病毒
手机安全
数据安全保护与备份
个人隐私保护
工作环境及物理安全
“信息安全需要每一个员工的维护——比如你!” 第1页 第6页 第9页 第11页 第15页 第16页 第17页 第19页 第22页 第24页 第29页
安
式拒绝服务攻击（DDoS）。
全
基
卡特尔天然气企业遭电脑病毒攻击
程序员入侵证券公司后台40万条股民信息网上贩卖
础
2012年8月15日，全球最大天然气生产商之
一卡塔尔拉斯天然气公司（RasGas）成为最近几
周遭受严重电脑病毒攻击的第二家中东大型能源
公司。
此前，全球最大原油生产商、政府支持的沙 特阿美石油公司（Saudi Aramco）也遭到了电脑 病毒攻击。沙特阿美8月26日表示，在8月15日遭 到攻击以后，该公司的服务已恢复。但休斯顿、 日内瓦和伦敦的石油交易员昨日表示，他们在通 过传真和电传与沙特阿美沟通，该公司的对外电 邮服务仍然瘫痪。一名交易员表示：“这就好像 是回到了20年前。”沙特阿美昨日表示，为以防 万一，该公司“限制”了一些外部系统的访问。
Page 4 <Title> | <Date>
刑法修正案加重对黑客量刑
“信息安全需要每一个员工的维护——比如你!” 其他国家或地区个人信息保护环境
近年来，一些不法分子利用技术手段非法
全球约有50个国家已建立了个人数据和隐
侵入法律规定以外的计算机信息系统，窃取他
私保护的相关法案，对个人信息收集、存储、
——《激荡三十年》
消息、信号、数据、情报和知识；
信息本身是无形的，借助于信息媒体以多种形式存在或传播：
• 存储在计算机、磁带、纸张等介质中
• 记忆在人的大脑里
• 通过网络、打印机、传真机等方式进行传播
信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产：
• 计算机和网络中的数据
信 息 安
广州的小伙晓鹏，大学毕业后一直没有找 工作，闲时在家中炒股。2010年，他发现一条 内容为“如需购买股民资料，请QQ联系我”的 帖子。看到帖子后，晓鹏忽然想到这可能是条 发财门路，想借股民信息向炒股的市民推荐股 票从而取利。很快，他通过网络结识了一个名 叫“证券先锋”的网友。
联系到“证券先锋”后，其便成了晓鹏购 买股民信息的固定卖家。晓鹏先后从其那里购 买了8000多条济南某证券公司的股民信息，后 通过打长途向山东股民推荐股票，从而借机收 取服务费。
• 欧洲：《欧盟数据保护指令》
• 美国：《医疗保险责任法案》（HIPAA）；《公 平信用报告法》（FCRA）；《儿童网络隐私保 护法》（COPPA）；《金融服务现代化法案》 （GLBA）
• 信用卡持卡人数据保护：《支付卡行业数据安 全标准》（PCI DSS）
“提供专门用于侵入、非法控制计算机信息
系统的程序、工具，或者明知他人实施侵入、
Page 2 <Title> | <Date>
“信息安全需要每一个员工的维护——比如你!”
什么是信息?
在2001年的互联网寒冬期，10月，中国最大的网络文学网站“榕树下”以很低廉的价格出售给 德国传媒巨头贝塔斯曼公司。一开始，贝塔斯曼的开价是1000万元人民币。谈判中场休息时，贝塔 斯曼的代表偶然碰到“榕树下”所租办公楼的物管人员，得悉这家公司已拖欠好几个月的水电费未交。 回到谈判桌上，开价一下子降到了100万元人民币，创办人朱威廉被迫接受。
国有企业拉斯天然气公司和沙特阿美表示， 病毒仅影响到办公室电脑，未影响到运行油气生 产的孤立系统。两家公司都表示，生产和出口未 受影响。
福建一电脑公司程序员，趁为济南某证券 公司做技术支持之机，潜入证券公司操作后台， 窃取了40余万条股民信息，并将其贩卖给网友。 4月20日，涉及该案的3名被告人均获刑。
或者账号的服务，不得泄露、篡改、毁损、出 售或者非法向他人提供用户个人信息。针对代 理商 泄漏个人信息的问题，《规定》明确，按 照“谁经营、谁负责”、“谁委托、谁负责” 的原则，由电信业务经营者、互联网信息服务 提供者负责对其代理商的个人信 息保护工作实 施管理。
《意见》还指出，加强个人信息保护。落实
《意见》从以下几个方面提出了促进信息消 费的主要任务：一是加快信息基础设施演进升级；
业和信息化部近日公布的《电信和互联网用户 个人信息保护规定》(以下简称《规定》)将于9 月1日起施行，为个人信息安全编织了一张法律 保护网。
二是增强信息产品供给能力；三是培育信息消费
《规定》指出，未经用户同意，电信业务经
DNS是域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网.DNS就像一个
wenku.baidu.com
自动的电话号码簿，用户可以直接输入网站名字来代替输入复杂的IP地址，而网站名字和IP之间的映
射解析就靠DNS服务来完成。据了解，此次受影响的网站不仅包括.CN域名，也包括。COM.CN域名。凌
晨4点左右，CNNIC官方微博表示，.CN根域名服务器解析服务正常。这也是.CN域名近几年来发生的最
数据泄漏导致客户流失的比例正在以每年 11%的速率上升;
SOX,HIPPA,PCI以及中国的企业内控基本规 范都要求企业保护机密信息;
信息保护正日益成为安全管理和风险控制 的核心内容;
完整性 （Integrity）
可用性 （Availability）
采取措施保护信息资产，使之不因偶然或者恶意
开发技术先进、性能可靠的信息技术产品，支持 建立第三方安全评估与监测机制。加强与终端产 品相连接的集成平台的建设和管理，引导信息产 品和服务发展。加强应用商店监管。加强政府和 涉密信息系统安全管理，保障重要信息系统互联 互通和部门间信息资源共享安全。落实信息安全 等级保护制度，加强网络与信息安全监管，提升 网络与信息安全监管能力和系统安全防护水平。
对侵害电信和互联网用户个人信息的违法
全国人大常委会关于加强网络信息保护的决定， 行为，《规定》设定警告和3万元以下的罚款处
积极推动出台网络信息安全、个人信息保护等方 面的法律制度，明确互联网服务提供者保护用户 个人信息的义务，制定用户个人信息保护标准， 规范服务商对个人信息收集、储存及使用。
罚，同时设立了制止违法行为危害扩大的“叫 停”制度、“向社会公告”行政处罚制度和将 违法行为“记入社会信用档案”制度。
侵犯而遭受破坏、更改及泄露，保证信息系统能
够连续、可靠、正常地运行，使安全事件对业务
造成的影响减到最小，确保组织业务运行的连续
性。
——信息安全定义
Page 3 <Title> | <Date>
CN域名遭攻击原因：僵尸网络攻击游戏私服
“信息安全需要每一个员工的维护——比如你!”
2013年8月25日上午消息，部分.CN域名在今日凌晨出现无法解析的问题。域名解析服务商DNSPod 创始人吴洪声在微博称，故障发生是由于当时.CN域名的根服务器（释义见文末注释）受到攻击，授 权DNS（域名系统）亦陷入全线故障。凌晨4点左右，CN域名的解析恢复正常。CN域名是中国国家注册 的顶级域名，在国内的注册管理归属于中国互联网络信息中心（CNNIC），面向普通个人开放申请。 昨日凌晨1点不到，以.CN为根域名的部分网站显示无法打开。另一域名解析服务商DNSPod的创始人吴 洪声在微博称，此次故障的根源在于.CN域名的根服务器受到攻击，导致授权DNS（域名系统）亦陷入 全线故障无法正常解析。