信息安全意识手册一

信息安全意识手册信息安全意识手册上海汇哲信息科技有限公司整理与制作|Date©声明：本手册内容源于互联网收集梳理而成，仅供个人参考使用、切勿用于商业性质，仅供交流与学习使用！同时，上海汇哲信息科技有限公司将长期保持更新与互联网发布、供大家免费使用。021-33663299“信息安全需要每一个员工的维护——比如你!”信息安全基础第1页最新网络安全及趋势密码安全第6页第9页上网安全防护正确地使用软件和系统第11页第15页目录邮件安全正确处理计算机病毒第16页第17页手机安全数据安全保护与备份第19页第22页个人隐私保护工作环境及物理安全第24页第29页Page2Title|Date“信息安全需要每一个员工的维护——比如你!”什么是信息?在2001年的互联网寒冬期，10月，中国昀大的网络文学网站“榕树下”以很低廉的价格出售给德国传媒巨头贝塔斯曼公司。一开始，贝塔斯曼的开价是1000万元人民币。谈判中场休息时，贝塔斯曼的代表偶然碰到“榕树下”所租办公楼的物管人员，得悉这家公司已拖欠好几个月的水电费未交。回到谈判桌上开价下子降到了100万元人民币创办人朱威廉被迫接受回到谈判桌上，开价一下子降到了100万元人民币，创办人朱威廉被迫接受。——《激荡三十年》„消息、信号、数据、情报和知识；„信息本身是无形的，借助于信息媒体以多种形式存在或传播：•存储在计算机、磁带、纸张等介质中•记忆在人的大脑里•通过网络、打印机、传真机等方式进行传播信息安全通过网络、打印机、传真机等方式进行传播„信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产：•计算机和网络中的数据•硬件、软件、文档资料•关键人员•组织提供的服务什么是信息安全您是否知道?信息：是一种资产，就像其他的重要企业资产一样，对组织具有价值，因此需要受到适当的保护。——ISO27001:2005全基础什么是信息安全信息本身的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持，即防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。„保密性：确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用„完整性确保信息没有遭到篡改和破坏您是否知道?„每400封邮件中就有1封包含机密信息;„每50份通过网络传输的文件中就有1份包含机密数据;„50％的USB盘中包含机密信息;„80％的公司在丢失笔记本电脑后会发生泄密事件;„完整性：确保信息没有遭到篡改和破坏„可用性：确保拥有授权的用户或程序可以及时、正常使用信息密事件;„在美国平均每次数据泄密事件导致的财务损失高达630万美金(PonemonInstitute,2007);„数据泄漏导致客户流失的比例正在以每年11%的速率上升;„SOX,HIPPA,PCI以及中国的企业内控基本规范都要求企业保护机密信息秘密保密性（Confidentiality）采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能范都要求企业保护机密信息;„信息保护正日益成为安全管理和风险控制的核心内容;完整性（Integrity）可用性（Availability）Page3Title|Date够连续、可靠、正常地运行，使安全事件对业务造成的影响减到昀小，确保组织业务运行的连续性。——信息安全定义“信息安全需要每一个员工的维护——比如你!”CN域名遭攻击原因：僵尸网络攻击游戏私服2013年8月25日上午消息，部分.CN域名在今日凌晨出现无法解析的问题。域名解析服务商DNSPod创始人吴洪声在微博称，故障发生是由于当时.CN域名的根服务器（释义见文末注释）受到攻击，授权DNS（域名系统）亦陷入全线故障。凌晨4点左右，CN域名的解析恢复正常。CN域名是中国国家注册权DNS（域名系统）亦陷入全线故障。凌晨4点左右，CN域名的解析恢复正常。CN域名是中国国家注册的顶级域名，在国内的注册管理归属于中国互联网络信息中心（CNNIC），面向普通个人开放申请。昨日凌晨1点不到，以.CN为根域名的部分网站显示无法打开。另一域名解析服务商DNSPod的创始人吴洪声在微博称，此次故障的根源在于.CN域名的根服务器受到攻击，导致授权DNS（域名系统）亦陷入全线故障无法正常解析。DNS是域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网.DNS就像一个自动的电话号码簿，用户可以直接输入网站名字来代替输入复杂的IP地址，而网站名字和IP之间的映射解析就靠DNS服务来完成。据了解，此次受影响的网站不仅包括.CN域名，也包括。COM.CN域名。凌晨4点左右CNNIC官方微博表示CN根域名服务器解析服务正常这也是CN域名近几年来发生的昀信息安全晨4点左右，CNNIC官方微博表示，.CN根域名服务器解析服务正常。这也是.CN域名近几年来发生的昀大一次故障。由于故障发生在凌晨，因此对用户造成的实际影响相对较小。CNNIC官方尚未对此次故障进行详细说明。注释：根域名服务器（root-servers.org）是互联网域名解析系统（DNS）中昀高级别的域名服务器，全球仅有13台根服务器。目前的分布是：主根服务器（A）美国1个，设置在弗吉尼亚州的杜勒斯；辅根服务器（B至M）美国9个，瑞典、荷兰、日本各1个。另外借由任播（Anycast）技术，部分根域名服务器在全球设有多个镜像服务器（mirror），因此可以抵抗针对其所进行的分布式拒绝服务攻击（DDoS）。卡特尔天然气企业遭电脑病毒攻击程序员入侵证券公司后台40万条股民信息网上贩卖全基础卡特尔天然气企业遭电脑病毒攻击2012年8月15日，全球昀大天然气生产商之一卡塔尔拉斯天然气公司（RasGas）成为昀近几周遭受严重电脑病毒攻击的第二家中东大型能源公司。此前，全球昀大原油生产商、政府支持的沙特阿美石油公司（SaudiAramco）也遭到了电脑程序员入侵证券公司后台40万条股民信息网上贩卖特阿美石油公司）也遭到了电脑病毒攻击。沙特阿美8月26日表示，在8月15日遭到攻击以后，该公司的服务已恢复。但休斯顿、日内瓦和伦敦的石油交易员昨日表示，他们在通过传真和电传与沙特阿美沟通，该公司的对外电邮服务仍然瘫痪。一名交易员表示：“这就好像是回到了20年前。”沙特阿美昨日表示，为以防万一，该公司“限制”了一些外部系统的访问。福建一电脑公司程序员，趁为济南某证券公司做技术支持之机，潜入证券公司操作后台，窃取了40余万条股民信息，并将其贩卖给网友。4月20日，涉及该案的3名被告人均获刑。广州的小伙晓鹏，大学毕业后一直没有找工作，闲时在家中炒股。2010年，他发现一条国有企业拉斯天然气公司和沙特阿美表示，病毒仅影响到办公室电脑，未影响到运行油气生产的孤立系统。两家公司都表示，生产和出口未受影响。内容为“如需购买股民资料，请QQ联系我”的帖子。看到帖子后，晓鹏忽然想到这可能是条发财门路，想借股民信息向炒股的市民推荐股票从而取利。很快，他通过网络结识了一个名叫“证券先锋”的网友。联系到“证券先锋”后，其便成了晓鹏购买股民信息的固定卖家。晓鹏先后从其那里购买了多条济南某证券公司的股民信息后Page4Title|Date买了8000多条济南某证券公司的股民信息，后通过打长途向山东股民推荐股票，从而借机收取服务费。“信息安全需要每一个员工的维护——比如你!”刑法修正案加重对黑客量刑近年来，一些不法分子利用技术手段非法侵入法律规定以外的计算机信息系统，窃取他人账号密码等信息或者对大范围的他人计其他国家或地区个人信息保护环境全球约有50个国家已建立了个人数据和隐私保护的相关法案，对个人信息收集、存储、访问使用和销毁进行了规定人账号、密码等信息，或者对大范围的他人计算机实施非法控制，严重危及网络安全。刑法原有的规定使司法机关在打击“黑客”犯罪时面临法律困扰。鉴于上述情况，刑法修正案（七）在刑法第285条中增加两款作为第二款、第三款：“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信访问、使用和销毁进行了规定。其中，比较知名的如：•亚洲：《个人资料(私隐)条例》-第486章（香港）；《电脑处理个人资料保护法》（台湾）；《个人资料保护法》（日本）；《信息公开法》（日本）•欧洲：《欧盟数据保护指令》美国《医疗保险责任法案》（HIPAA）《公系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、•美国：《医疗保险责任法案》（HIPAA）；《公平信用报告法》（FCRA）；《儿童网络隐私保护法》（COPPA）；《金融服务现代化法案》（GLBA）•信用卡持卡人数据保护：《支付卡行业数据安全标准》（PCIDSS）•中国：•2012年《个人信息保护指南》出台2012年全信息安全系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”国务院加强网络信息安全推动个人信息保护立法《电信和互联网用户个人信息保护》•2012年《个人信息保护指南》出台；2012年全国人大常委会通过了《关于加强网络信息保护的决定》•2013年9月1日实施《电信和互联网用户个人信息保护规定》和《电话用户真实身份信息登记规定》全基础国务院加强网络信息安全推动个人信息保护立法北京8月14日，国务院办公厅公布了《国务院关于加快促进信息消费扩大内需的若干意见》。《意见》指出，积极推动出台网络信息安全、个人信息保护等方面的法律制度，明确互联网服务提供者保护用户个人信息的义务。《意见》从以下几个方面提出了促进信息消费的主要任务：一是加快信息基础设施演进升级；《电信和互联网用户个人信息保护》个人信息的泄露，给我们的生活带来了困扰，甚至造成直接的经济损失。值得欣喜的是，工业和信息化部近日公布的《电信和互联网用户个人信息保护规定》(以下简称《规定》)将于9月1日起施行，为个人信息安全编织了一张法律保护网。费的主要任务：是加快信息基础设施演进升级；二是增强信息产品供给能力；三是培育信息消费需求；四是提升公共服务信息化水平；五是加强信息消费环境建设等。《意见》指出，提升信息安全保障能力。依法加强信息产品和服务的检测和认证，鼓励企业开发技术先进、性能可靠的信息技术产品，支持建立第三方安全评估与监测机制。加强与终端产品相连接的集成平台的建设和管理引导信息产《规定》指出，未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。并且，在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务，不得泄露、篡改、毁损、出售或者非法向他人提供用户个人信息。针对代理商泄漏个人信息的问题《规定》明确按品相连接的集成平台的建设和管理，引导信息产品和服务发展。加强应用商店监管。加强政府和涉密信息系统安全管理，保障重要信息系统互联互通和部门间信息资源共享安全。落实信息安全等级保护制度，加强网络与信息安全监管，提升网络与信息安全监管能力和系统安全防护水平。《意见》还指出，加强个人信息保护。落实全国人大常委会关于加强网络信息保护的决定，积极推动出台网络信息安全个人信息保护等方理商泄漏个人信息的问题，《规定》明确，按照“谁经营、谁负责”、“谁委托、谁负责”的原则，由电信业务经营者、互联网信息服务提供者负责对其代理商的个人信息保护工作实施管理。对侵害电信和互联网用户个人信息的违法行为，《规定》设定警告和3万元以下的罚款处罚同时设立了制止违法行为危害扩大的“叫Page5Title|Date积极推动出台网络信息安全、个人信息保护等方面的