信息安全意识培训课件-银行
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
将口令写在便签上,贴在电脑监视器旁 开着电脑离开,就像离开家却忘记关灯那样
轻易相信来自陌生人的邮件,好奇打开邮件附件
使用容易猜测的口令,或者根本不设口令 丢失笔记本电脑
不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息
随便拨号上网,或者随意将无关设备连入公司网络 事不关己,高高挂起,不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁,忽视企业内部人员的问题 会后不擦黑板,会议资料随意放置在会场
打印件应设置标识,及时取回,并妥善保存或处理。
30
数据恢复技术:
数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予 以还原的过程。U盘或计算机硬盘存储的数据即使已被删除或进行格式 化处理,使用专用软件仍能将其恢复,这种方法也因此成为窃密的手 段之一。 例如,窃密者使用从互联网下载的恢复软件对目标计算机的已被格式 化的U盘进行格式化恢复操作后,即可成功的恢复原有文件。
38
重要信息的保密 信息交换及备份
软件应用安全
计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规
计 算 机 网 络 访 问
39
计算机网络访问安全(举例)
信息备份安全(举例)
重要信息系统应支持全备份、差量备份和增量备份 IT部门提供备份所需的技术支持和必要的培训 属主应该确保备份成功并定期检查日志,根据需要, 实施测试以验证备份效率和效力
35
重要信息的保密 信息交换及备份
软件应用安全
计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规
理解并重视管理对于信息安全的关键作用,对于真正实现信息安 全目标尤其重要 唯有信息安全管理工作活动持续而周期性的推动作用方能真正将 信息安全意识贯彻落实
三分技术,七分管理!
24
管理层:信息安全意识要点
务必重视信息安全管理 加强信息安全建设工作
25
如何正确认识信息安全 安全不是产品的简单堆积, 也不是一次性的静态过程, 它是人员、技术、操作三者 紧密结合的系统工程,是不 断演进、循环发展的动态过 程
评估结果提交专家委员会审核,确定是否采购、外包或自行开发
IT资产管理部门负责对新软件登记注册并标注 软件安装之前应确保其处于安全状态(如:无流氓插件、病毒、 License合法等) 软件License管理应由专人负责 软件若需更新,应提出申请,经评估确认后才能实施,并进行记录 软件使用到期,应卸载软件
访问控制基本原则:未经明确允许即为禁止访问 必须通过唯一注册的用户ID来控制用户对网络的访问
系统管理员必须确保用户访问基于最小特权原则授权
信 息 交 换 与 备 份
32
信息交换安全(举例)
信息交换原则:
明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施 信息发送者和接收者有责任遵守信息交换要求
物理介质传输:
与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施
电子邮件和互联网信息交换
软 件 应 用 安 全
36
软件应用安全(方法论)
安全培训
安全计划启动 并 统一注册
安全设计 最佳做法
安全体系结构 和攻击面审核
威胁建模
使用安全开发 创建产品 工具以及 安全文档 安全开发和 和工具 测试最佳做法
准备安全 响应计划
安全推动 最终 活动 渗透 测试
安全 审核
安全维护 和 响应执行
传统软件开发生命周期的任务和流程
决定所属数据的敏感级别 确定必要的保护措施 最终批准并Review用户访问权 限
Owner
Custodian
受Owner委托管理数据 通常是IT人员或部门系统(数据)管理员 向Owner提交访问申请并按Owner授意为用户授权 执行数据保护措施,实施日常维护和管理 公司或第三方职员 因工作需要而请求访问数据
CIA
18
管理者的最终目标
Confidentiality
Information
Availability
Integrity
19
因果关系
20
技术手段
物理安全:环境安全、设备安全、媒体安全 系统安全:操作系统及数据库系统的安全性 网络安全:网络隔离、访问控制、VPN、入侵检测、扫描评估
应用安全:Email安全、Web访问安全、内容过滤、应用系统安全
银行信息安全意识交流
信息技术部 2011年7月
我们的目标
建立对信息安全的敏感意识和正确认识 掌握信息安全的基本概念、原则和惯例 清楚可能面临的威胁和风险 遵守各项安全策略和制度 在日常工作中养成良好的安全习惯
最终提升整体的信息安全水平
2
1、国内多家银行网银用户遭到大规模钓鱼攻击,损失巨大;
User
遵守安全规定和控制
报告安全事件和隐患
28
信息保密级别划分
Secret机密、绝密
Confidencial 秘密 Internal Use内 部公开
缺省
Public公 开
29
数据保护安全(举例)
根据需要,在合同或个人协议中明确安全方面的承诺和要求; 明确与客户进行数据交接的人员责任,控制客户数据使用及分 发; 明确非业务部门在授权使用客户数据时的保护责任; 基于业务需要,主管决定是否对重要数据进行加密保护; 禁止将客户数据或客户标识用于非项目相关的场合如培训材料; 客户现场的工作人员,严格遵守客户Policy,妥善保护客户数 据;
14
基本概念
理解和铺垫
15
什么是信息
消息、信号、数据、情报和知识 信息本身是无形的,借助于信息媒体以多种形式存在或传播:
• 存储在计算机、磁带、纸张等介质中 • 记忆在人的大脑里 • 通过网络、打印机、传真机等方式进行传播
信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产:
• 计算机和网络中的数据 • 硬件、软件、文档资料 • 关键人员 • 组织提供的服务
数据加密:硬件和软件加密,实现身份认证和数据信息的CIA特性 认证授权:口令认证、SSO认证(例如Kerberos)、证书认证等 访问控制:防火墙、访问控制列表等 审计跟踪:入侵检测、日志审计、辨析取证 防杀病毒:单机防病毒技术逐渐发展成整体防病毒体系 灾备恢复:业务连续性,前提就是对数据的备份
明确不可涉及敏感数据,如客户信息、订单合同等信息
如必须交换此类信息,需申请主管批准并采取加密传输措施或其它保护机制
文件共享:
包括Confidential(机密性)在内的高级别的信息不能被发布于公共区域 所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中 开设共享。 共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限 临时共享的文件事后应予以删除
12
保持清醒认识
信息资产对我们很重要,是要保护的对象 威胁就像苍蝇一样,挥之不去,无所不在 资产自身又有各种弱点,给威胁带来可乘之机 面临各种风险,一旦发生就成为安全事件、事故
13
我们应该……
严防威胁 消减弱点
熟悉潜在的安全问题 知道怎样防止其发生
应急响应
保护资产
明确发生后如何应对
病从口入 天时 地利 人和
员工误操作
蓄意破坏
职责权限混淆
10
自身弱点 技术弱点 操作弱点 管理弱点
系统、 程序、设备中存在的漏洞或缺陷 配置、操作和使用中的缺陷,包括人员的不良习 惯、审计或备份过程的不当等 策略、程序、规章制度、人员意识、组织结构等 方面的不足
பைடு நூலகம்
11
最常犯的一些错误
功能列表 质量指导原则 体系结构文档 日程表
设计规范
测试和验证 编写新代码
功能规范
故障修复
代码签发 + 产品支持 Checkpoint RTM 服务包/ Press QFE 安全更新 签发
需求
设计
实施
验证
发行
支持和维护
37
软件应用安全(举例)
开发相关软件,业务和技术部门做需求评估,IT相关软件由IT部门 负责
绝对的安全是不存在的!
23
关键点:信息安全管理
技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂 信息安全管理构成了信息安全具有能动性的部分,是指导和控制 组织的关于信息安全风险的相互协调的活动
现实世界里大多数安全事件的发生和安全隐患的存在,与其说是 技术上的原因,不如说是管理不善造成的
具有价值的信息资产面临诸多威胁,需要妥善保护
16
什么是信息安全
采取措施保护信息资产,使 之不因偶然或者恶意侵犯而遭受 破坏、更改及泄露,保证信息系 统能够连续、可靠、正常地运行, 使安全事件对业务造成的影响减 到最小,确保组织业务运行的连 续性。
17
信息安全基本目标
C I A
Onfidentiality(机密性) Ntegrity(完整性) Vailability(可用 性)
21
安全 vs. 可用——平衡之道
在可用性(Usability)和安全性(Security)之间是一种 相反的关系
提高了安全性,相应地就降低了易用性
而要提高安全性,又势必增大成本 管理者应在二者之间达成一种可接受的平衡
22
计算机安全领域一句格言:
“真正安全的计算机是拔下 网线,断掉电源,放在地下掩体 的保险柜中,并在掩体内充满毒 气,在掩体外安排士兵守卫。”
26
重要信息的保密 信息交换及备份
软件应用安全
计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规
重 要 信 息 的 保 密
27
资产责任划分
数据的属主(OM/PM)
33
信息交换安全(举例:续)
通过传真发送机密信息时,应提前通知接收者并确保 号码正确 不允许在公共区域用移动电话谈论机密信息
不允许在公共区域与人谈论机密信息
不允许通过电子邮件或IM工具交换账号和口令信息 不允许借助公司资源做非工作相关的信息交换 不允许通过IM工具传输文件
34
4
高枕无忧
惨痛教训
补丁管理
应用安全
数据加密
隐私防范
拒绝服务攻击
集中管理
…
移动存储
钓鱼劫持
恶意代码
无线攻击
5
Windows XP/7…
如果我是黑客……
1、绝大多数笔记本电脑都内置麦克风且处 于开启状态; 2、开启录音功能;
3、录制所需内容并将其放置于某Web页面 之上:
4.开启所有笔记本的摄像头,并把录像放 置于某Web页面之上:
6
威胁无处不在
木马后门 黑客渗透 内部人员威胁 病毒和蠕虫 流氓软件
拒绝服务 系统漏洞
信息资产
社会工程
硬件故障 地震 网络通信故障 供电中断 雷雨 失火
7
外部威胁
8
黑客攻击基本手法
远程控制 破坏攻击 踩点 扫描 渗透攻击 获得访问权 窃密破坏 获得控制权 清除痕迹 安装后门 转移目标
9
内部威胁
2、RSA遭黑客攻击,主流身份认证产品SecureID的重要信息泄
漏,导致美国多家军工企业信息系统受到严重威胁; 3、LulzSec成功袭击了中央情报局,美国参议院,任天堂,索 尼等多家机构,引起国际社会广泛关注; 4、花旗银行网站遭遇黑客 20万信用卡用户信息被盗; 5、由于南海领土纠纷引起中越黑客相互攻击对方重要网站; 6、韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数 据丢失; 7、美联合航空电脑故障,全国服务大乱; 8、腾讯网大面积访问异常; 9、新浪微博病毒大范围传播; 10、Comodo等多家证书机构遭到攻击,攻击者得以伪造 google等多家知名网站证书,使互联网安全遭遇严重威胁;
安全事件
香港某明星曾托助手将其手提电脑,送到一间计算机公司维修,其后 有人把计算机中已经删除的照片恢复后制作成光盘,发放予朋友及其 它人士观赏。
重要信息的保密 信息交换及备份
软件应用安全
计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规
轻易相信来自陌生人的邮件,好奇打开邮件附件
使用容易猜测的口令,或者根本不设口令 丢失笔记本电脑
不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息
随便拨号上网,或者随意将无关设备连入公司网络 事不关己,高高挂起,不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁,忽视企业内部人员的问题 会后不擦黑板,会议资料随意放置在会场
打印件应设置标识,及时取回,并妥善保存或处理。
30
数据恢复技术:
数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予 以还原的过程。U盘或计算机硬盘存储的数据即使已被删除或进行格式 化处理,使用专用软件仍能将其恢复,这种方法也因此成为窃密的手 段之一。 例如,窃密者使用从互联网下载的恢复软件对目标计算机的已被格式 化的U盘进行格式化恢复操作后,即可成功的恢复原有文件。
38
重要信息的保密 信息交换及备份
软件应用安全
计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规
计 算 机 网 络 访 问
39
计算机网络访问安全(举例)
信息备份安全(举例)
重要信息系统应支持全备份、差量备份和增量备份 IT部门提供备份所需的技术支持和必要的培训 属主应该确保备份成功并定期检查日志,根据需要, 实施测试以验证备份效率和效力
35
重要信息的保密 信息交换及备份
软件应用安全
计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规
理解并重视管理对于信息安全的关键作用,对于真正实现信息安 全目标尤其重要 唯有信息安全管理工作活动持续而周期性的推动作用方能真正将 信息安全意识贯彻落实
三分技术,七分管理!
24
管理层:信息安全意识要点
务必重视信息安全管理 加强信息安全建设工作
25
如何正确认识信息安全 安全不是产品的简单堆积, 也不是一次性的静态过程, 它是人员、技术、操作三者 紧密结合的系统工程,是不 断演进、循环发展的动态过 程
评估结果提交专家委员会审核,确定是否采购、外包或自行开发
IT资产管理部门负责对新软件登记注册并标注 软件安装之前应确保其处于安全状态(如:无流氓插件、病毒、 License合法等) 软件License管理应由专人负责 软件若需更新,应提出申请,经评估确认后才能实施,并进行记录 软件使用到期,应卸载软件
访问控制基本原则:未经明确允许即为禁止访问 必须通过唯一注册的用户ID来控制用户对网络的访问
系统管理员必须确保用户访问基于最小特权原则授权
信 息 交 换 与 备 份
32
信息交换安全(举例)
信息交换原则:
明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施 信息发送者和接收者有责任遵守信息交换要求
物理介质传输:
与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施
电子邮件和互联网信息交换
软 件 应 用 安 全
36
软件应用安全(方法论)
安全培训
安全计划启动 并 统一注册
安全设计 最佳做法
安全体系结构 和攻击面审核
威胁建模
使用安全开发 创建产品 工具以及 安全文档 安全开发和 和工具 测试最佳做法
准备安全 响应计划
安全推动 最终 活动 渗透 测试
安全 审核
安全维护 和 响应执行
传统软件开发生命周期的任务和流程
决定所属数据的敏感级别 确定必要的保护措施 最终批准并Review用户访问权 限
Owner
Custodian
受Owner委托管理数据 通常是IT人员或部门系统(数据)管理员 向Owner提交访问申请并按Owner授意为用户授权 执行数据保护措施,实施日常维护和管理 公司或第三方职员 因工作需要而请求访问数据
CIA
18
管理者的最终目标
Confidentiality
Information
Availability
Integrity
19
因果关系
20
技术手段
物理安全:环境安全、设备安全、媒体安全 系统安全:操作系统及数据库系统的安全性 网络安全:网络隔离、访问控制、VPN、入侵检测、扫描评估
应用安全:Email安全、Web访问安全、内容过滤、应用系统安全
银行信息安全意识交流
信息技术部 2011年7月
我们的目标
建立对信息安全的敏感意识和正确认识 掌握信息安全的基本概念、原则和惯例 清楚可能面临的威胁和风险 遵守各项安全策略和制度 在日常工作中养成良好的安全习惯
最终提升整体的信息安全水平
2
1、国内多家银行网银用户遭到大规模钓鱼攻击,损失巨大;
User
遵守安全规定和控制
报告安全事件和隐患
28
信息保密级别划分
Secret机密、绝密
Confidencial 秘密 Internal Use内 部公开
缺省
Public公 开
29
数据保护安全(举例)
根据需要,在合同或个人协议中明确安全方面的承诺和要求; 明确与客户进行数据交接的人员责任,控制客户数据使用及分 发; 明确非业务部门在授权使用客户数据时的保护责任; 基于业务需要,主管决定是否对重要数据进行加密保护; 禁止将客户数据或客户标识用于非项目相关的场合如培训材料; 客户现场的工作人员,严格遵守客户Policy,妥善保护客户数 据;
14
基本概念
理解和铺垫
15
什么是信息
消息、信号、数据、情报和知识 信息本身是无形的,借助于信息媒体以多种形式存在或传播:
• 存储在计算机、磁带、纸张等介质中 • 记忆在人的大脑里 • 通过网络、打印机、传真机等方式进行传播
信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产:
• 计算机和网络中的数据 • 硬件、软件、文档资料 • 关键人员 • 组织提供的服务
数据加密:硬件和软件加密,实现身份认证和数据信息的CIA特性 认证授权:口令认证、SSO认证(例如Kerberos)、证书认证等 访问控制:防火墙、访问控制列表等 审计跟踪:入侵检测、日志审计、辨析取证 防杀病毒:单机防病毒技术逐渐发展成整体防病毒体系 灾备恢复:业务连续性,前提就是对数据的备份
明确不可涉及敏感数据,如客户信息、订单合同等信息
如必须交换此类信息,需申请主管批准并采取加密传输措施或其它保护机制
文件共享:
包括Confidential(机密性)在内的高级别的信息不能被发布于公共区域 所有共享文件应按照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中 开设共享。 共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限 临时共享的文件事后应予以删除
12
保持清醒认识
信息资产对我们很重要,是要保护的对象 威胁就像苍蝇一样,挥之不去,无所不在 资产自身又有各种弱点,给威胁带来可乘之机 面临各种风险,一旦发生就成为安全事件、事故
13
我们应该……
严防威胁 消减弱点
熟悉潜在的安全问题 知道怎样防止其发生
应急响应
保护资产
明确发生后如何应对
病从口入 天时 地利 人和
员工误操作
蓄意破坏
职责权限混淆
10
自身弱点 技术弱点 操作弱点 管理弱点
系统、 程序、设备中存在的漏洞或缺陷 配置、操作和使用中的缺陷,包括人员的不良习 惯、审计或备份过程的不当等 策略、程序、规章制度、人员意识、组织结构等 方面的不足
பைடு நூலகம்
11
最常犯的一些错误
功能列表 质量指导原则 体系结构文档 日程表
设计规范
测试和验证 编写新代码
功能规范
故障修复
代码签发 + 产品支持 Checkpoint RTM 服务包/ Press QFE 安全更新 签发
需求
设计
实施
验证
发行
支持和维护
37
软件应用安全(举例)
开发相关软件,业务和技术部门做需求评估,IT相关软件由IT部门 负责
绝对的安全是不存在的!
23
关键点:信息安全管理
技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂 信息安全管理构成了信息安全具有能动性的部分,是指导和控制 组织的关于信息安全风险的相互协调的活动
现实世界里大多数安全事件的发生和安全隐患的存在,与其说是 技术上的原因,不如说是管理不善造成的
具有价值的信息资产面临诸多威胁,需要妥善保护
16
什么是信息安全
采取措施保护信息资产,使 之不因偶然或者恶意侵犯而遭受 破坏、更改及泄露,保证信息系 统能够连续、可靠、正常地运行, 使安全事件对业务造成的影响减 到最小,确保组织业务运行的连 续性。
17
信息安全基本目标
C I A
Onfidentiality(机密性) Ntegrity(完整性) Vailability(可用 性)
21
安全 vs. 可用——平衡之道
在可用性(Usability)和安全性(Security)之间是一种 相反的关系
提高了安全性,相应地就降低了易用性
而要提高安全性,又势必增大成本 管理者应在二者之间达成一种可接受的平衡
22
计算机安全领域一句格言:
“真正安全的计算机是拔下 网线,断掉电源,放在地下掩体 的保险柜中,并在掩体内充满毒 气,在掩体外安排士兵守卫。”
26
重要信息的保密 信息交换及备份
软件应用安全
计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规
重 要 信 息 的 保 密
27
资产责任划分
数据的属主(OM/PM)
33
信息交换安全(举例:续)
通过传真发送机密信息时,应提前通知接收者并确保 号码正确 不允许在公共区域用移动电话谈论机密信息
不允许在公共区域与人谈论机密信息
不允许通过电子邮件或IM工具交换账号和口令信息 不允许借助公司资源做非工作相关的信息交换 不允许通过IM工具传输文件
34
4
高枕无忧
惨痛教训
补丁管理
应用安全
数据加密
隐私防范
拒绝服务攻击
集中管理
…
移动存储
钓鱼劫持
恶意代码
无线攻击
5
Windows XP/7…
如果我是黑客……
1、绝大多数笔记本电脑都内置麦克风且处 于开启状态; 2、开启录音功能;
3、录制所需内容并将其放置于某Web页面 之上:
4.开启所有笔记本的摄像头,并把录像放 置于某Web页面之上:
6
威胁无处不在
木马后门 黑客渗透 内部人员威胁 病毒和蠕虫 流氓软件
拒绝服务 系统漏洞
信息资产
社会工程
硬件故障 地震 网络通信故障 供电中断 雷雨 失火
7
外部威胁
8
黑客攻击基本手法
远程控制 破坏攻击 踩点 扫描 渗透攻击 获得访问权 窃密破坏 获得控制权 清除痕迹 安装后门 转移目标
9
内部威胁
2、RSA遭黑客攻击,主流身份认证产品SecureID的重要信息泄
漏,导致美国多家军工企业信息系统受到严重威胁; 3、LulzSec成功袭击了中央情报局,美国参议院,任天堂,索 尼等多家机构,引起国际社会广泛关注; 4、花旗银行网站遭遇黑客 20万信用卡用户信息被盗; 5、由于南海领土纠纷引起中越黑客相互攻击对方重要网站; 6、韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数 据丢失; 7、美联合航空电脑故障,全国服务大乱; 8、腾讯网大面积访问异常; 9、新浪微博病毒大范围传播; 10、Comodo等多家证书机构遭到攻击,攻击者得以伪造 google等多家知名网站证书,使互联网安全遭遇严重威胁;
安全事件
香港某明星曾托助手将其手提电脑,送到一间计算机公司维修,其后 有人把计算机中已经删除的照片恢复后制作成光盘,发放予朋友及其 它人士观赏。
重要信息的保密 信息交换及备份
软件应用安全
计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规