首页 银行新员工信息安全培训

银行新员工信息安全培训

举报
开通vip

银行新员工信息安全培训2课程简介本次培训的目的是使大家了解信息安全的重要性,并通过一些场景的介绍,让大家了解我行信息安全方面的要求通过本次培训,员工应了解:信息安全,人人有责在信息安全方面应该做到什么遇到信息安全相关问题,如何寻求帮助2013-2014近期信息安全事件-棱镜门2013年6月6日英国《卫报》、美国《华盛顿邮报》揭示棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年起开始实施的绝密电子监听计划。该计划的正式名号为“US-984XN”美国政府能看到什么?根据斯诺登披露的文件,美国国家安全...

银行新员工信息安全培训
2课程简介本次培训的目的是使大家了解信息安全的重要性,并通过一些场景的介绍,让大家了解我行信息安全方面的要求通过本次培训,员工应了解:信息安全,人人有责在信息安全方面应该做到什么遇到信息安全相关问题,如何寻求帮助2013-2014近期信息安全事件-棱镜门2013年6月6日英国《卫报》、美国《华盛顿邮报》揭示棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年起开始实施的绝密电子监听计划。该计划的正式名号为“US-984XN”美国政府能看到什么?根据斯诺登披露的文件,美国国家安全局可以接触到大量个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据。美国政府证实,它确实要求美国公司威瑞森(Verizon)提供数百万私人电话记录,其中包括个人电话的时长、通话地点、通话双方的电话号码。文件称,这个名为“棱镜”的项目还可以使情报人员通过“后门”进入9家主要科技公司的服务器,包括微软、雅虎、谷歌、Facebook、PalTalk、美国在线、Skype、YouTube、苹果。3超级网银曝授权漏洞42013年6月,“超级网银”授权漏洞风波爆发,安徽的陈女士在网购时被骗子诱导进行了“超级网银”授权支付操作,短短24秒内10万元被骗。业内评论指出,银行的风险提示和安全防护能力仍有待加强,用户的风险防范意识也亟须进一步提高。金山“蓝屏门”2013年6月,大量金山毒霸用户反馈在安装微软补丁后出现系统蓝屏、崩溃等故障。在金山WPS这样的软件中,也要hook内核驱动,远远超越了自己应有的权限。据技术高手透露,此次导致系统蓝屏的hook驱动,作用是修改用户的主页,绑架金山自己的导航52000万快捷酒店开房记录泄露2013年8月,国内一大批快捷酒店开房记录被泄露,起因在于如家等酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店WiFi管理、认证管理系统,该系统存在漏洞。对于中招者来说,姓名、身份证号、手机号都不是能随便换掉的。或许就开了一次房,留下的是长远的伤害6伪基站致各地垃圾短信肆虐2013年11月,全国多地公安部门迅速行动,接连破获多起非法基站案件,查获了一批伪基站伪基站已经成为垃圾短信的主要源头,而这些伪基站不仅对市民日常生活造成骚扰,甚至威胁了其财产安全,也对通信运营商的网络质量和安全,以及一些金融机构的形象造成了恶劣影响7安卓应用大面积挂马漏洞都知道安卓系统不安全,但真的中招,恐怕不是像电脑一样杀杀毒就OK的,手机话费、通讯录、短信等等全都暴露在黑客眼下。更可怕的是,因为安卓系统本身的特点,很多知名厂商的产品也经常会暴露出漏洞。以今年9月安卓系统WebView开发接口引发的挂马漏洞为例,看看一长串中招的应用名单:手机QQ、微信、百度、快播,以及QQ浏览器、360手机浏览器、UC浏览器、金山猎豹浏览器等绝大多数手机浏览器。血淋淋的事实也告诉我们,不靠谱的链接千万不要点。对手机来说:中招很危险,后果很严重。8360卸载手机预装软件遭围攻2013年十一长假前,在测试版本中,360手机助手对预装软件做出了“建议卸载”、“建议保留”、“XX%用户选择卸载”的提示,被包括百度、小米、金山等互联网公司,以及联想、华为等硬件厂商的认为存在诱导卸载嫌疑,因此集体对360手机产品做出下架处理,网络甚至戏称这种紧张局势为“六大门派围攻光明顶”9QQ群数据公开泄露2013年11月20日,国内知名漏洞网站乌云曝光称,腾讯QQ群关系数据被泄露,在迅雷上很容易就能找到数据下载链接。据测试,该数据包括QQ号、用户备注的真实姓名、年龄、社交关系网甚至从业经历等大量个人隐私。数据库解压后超过90G,有7000多万个QQ群信息。10搜狗浏览器“泄密”2013年11月5日,先是论坛和微博上有人爆料“搜狗浏览器存重大漏洞泄露大量用户密码”,360安全卫士微博也转载证实此事,当天下午搜狗浏览器发表官方声明,否认存在所谓的“重大漏洞”。本来是360和搜狗双方各执一词,之后央视也“不甘寂寞”卷入其中,记者证实亲测搜狗漏洞存在,能够登录陌生人的淘宝、QQ邮箱、公积金、12306等重要账号。11安卓平台首次发现Bootkit技术的“不死”木马2014年1月25日,央视新闻频道曝光了全球首个安卓手机木马“不死木马”(oldboot)。它会偷偷下载大量色情软件,造成话费损失,国内感染超过50万部手机。与以往所有木马不同的是,该木马被写入手机磁盘引导区,全球任何杀毒软件均无法彻底将其清除,即使可以暂时查杀,但在手机重启后,木马又会“复活”。随着“不死”木马的发现,其背后专门制造木马、刷入木马的黑色产业链也浮出水面12中国互联网出现大面积DNS解析故障2014年1月21日,中国互联网出现大面积DNS解析故障。这一次事故影响到了国内绝大多数DNS服务器,近三分之二的DNS服务器瘫痪,时间持续数小时之久。事故发生期间,超过85%的用户遭遇了DNS故障,引发网速变慢和打不开网站的情况13携程“安全门”事件2014年3月26日,携程“安全门”事件敲响网络消费安全警钟携程网被指出安全支付日志存在漏洞,导致大量用户银行卡信息泄露。携程第一时间进行技术排查和修复。并表示,如用户因此产生损失,携程将赔偿。在获利的同时,电商如何对用户信息进行保护引发人们思考。14山寨网银及山寨微信大量窃取网银信息山寨网银和山寨微信客户端,伪装成正常网银客户端的图标、界面,在手机软件中内嵌钓鱼网站,欺骗网民提交银行卡号、身份证号、银行卡有效期等关键信息,同时,部分手机病毒可拦截用户短信,中毒用户面临网银资金被盗的风险。15免费WiFi存陷阱,窃取用户手机中的敏感信息2014年6月,央视《每周质量报告》,曝光了黑客通过公共场所免费WiFi诱导用户链接而获取手机中银行卡、支付宝等账户信息从而盗取资金的消息,引发了网民对于免费WiFi安全性的担忧。1617光大银行信息安全目标保障业务和办公系统稳定运行通过互联网传播的病毒、木马、恶意软件对我行内部系统稳定运行造成一定威胁我行员工必须遵守统一的信息安全策略办公电脑使用“内网准入”系统实现办公网络访问安全分行办公电脑采用“白名单”方式开通对少量外部网站的访问,如各家银行的网上银行网址(用于资金归集);搜狐、和讯、携程、发票查询等网站。不允许内网电脑私接互联网,尤其是3G无线网络保障我行内部信息不被恶意盗取或不经意泄露内部信息包含客户信息,我行信息等针对全体员工,重点是防止不经意的泄露我行信息增强我行员工的信息安全意识总体信息安全策略我行信息安全战略 从业务需求出发,遵从风险管理的理念,在科技战略的基础上,确保信息资产的机密性、完整性、可用性和真实性,保障银行业务持续、健康和稳健地发展为实现我行信息安全战略的信息安全体系信息安全策略和指导原则信息安全管理办法和信息安全规范信息安全执行规定和管理细则信息安全组织192007年总行规划成立了科技战略委员会,下设信息安全工作小组,在信息科技战略基础上进一步完成了信息安全体系规划,明确了各个部门的职责;信息安全建设与管理过程是一个完整的生命周期,主要管理部门在不同环节中各自发挥着主要作用;风险管理部P<<<<<<信息科技部>>P<<<<审计部>>>>P<<法律合规部>>>>>>P信息安全组织总行信息科技部风险管理处、运维中心分行信息科技部与全体员工相关的信息安全 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 与分行全体员工相关的信息安全制度中国光大银行问责管理暂行办法中国光大银行员工访问互联网管理规定中国光大银行计算机病毒防治管理规定中国光大银行用户标识和密码(口令字)管理规定中国光大银行桌面PC使用管理规范中国光大银行移动存储管理制度与分行科技部员工相关的制度中国光大银行分支行计算机机房建设及管理规范中国光大银行计算机系统安全运行管理办法中国光大银行网络安全管理规定中国光大银行生产网络安装配置规范中国光大银行信息技术合作安全保密 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 范本中国光大银行信息科技 档案管理 财务及档案管理制度档案管理制度培训安全生产档案管理制度人事档案管理制度人事档案管理制度范本 办法中国光大银行问责管理暂行办法第二章第十七节信息科技管理违规行为及处理擅自在局域网中增加网络设备,改变网络结构或连接方式,影响网络正常运行,造成信息安全风险的;计算机应用、维护及操作人员违反规定或未经授权,擅自对业务数据进行处理,或修改、增加、删除应用程序数据和业务数据;擅自修改信息系统数据和配置信息,越权操作、非法进入系统;擅自在业务和办公计算机上安装、使用盗版或与业务无关的软件,造成版权纠纷或者病毒传播的;违反员工办公上网管理规定,造成内网病毒传播、网络中断、信息失窃的,或私设代理服务器,或通过互联网进行非法信息传递,使我行面临法律或监管问责风险的;盗取、泄露计算机中客户信息或保密信息的。。。。对以上等等行为,情节较轻的,扣减绩效工资;情节或后果严重的,给予警告至记大过处分;情节或后果特别严重的,给予降级至开除处分。2223信息安全意识计算机使用硬件使用软件使用防病毒日常操作习惯网络使用访问互联网使用邮件信息资产安全管理故障事件上报总分行管理措施硬件使用2425硬件使用——场景一A和B是同事,下面是他们在办公室的对话:A:小B,我工作用的电脑发出嘟嘟声的报警……B:是吗?估计是硬件出问题了吧?A:应该是,我想自己拆开机箱看看能不能解决问题,你有工具吗?A.有啊,借给你用用吧。B.我建议你应该先咨询信息科技部,然后再进行处理。C.我要举报你的行为。风险提示:私自拆开机箱修改硬件配置可能会造成:硬件损坏保修失效数据泄密(如果外修而服务提供商缺乏职业道德,例如各种“门”事件)信息泄漏(以外修更换硬件为名义安装窃听器到硬件设备)小贴士:如果桌面计算机出现问题,可以拨打桌面PC维护热线025-84738266寻求帮助。《中国光大银行桌面PC使用管理规范》中有详细规定。26硬件使用——场景二A是厂商员工和B是光大银行员工,下面是他们在办公室的对话:A:B先生,麻烦借用你的U盘,我把产品资料拷贝给您。A.好的,直接拷过来吧。B.请稍等,我先检查一下U盘(在确认U盘上没有敏感信息后交给A)C.不可以。风险提示:在使用移动存储介质时应当留意介质上保存的信息,使用不当可能会造成:信息泄漏病毒传播移动介质是造成目前行内病毒传播的途径之一小贴士:《光大银行移动存储管理制度》中有使用移动存储介质的详细规定文件防泄密系统:加密U-Key2728信息安全意识计算机使用硬件使用软件使用防病毒日常操作习惯网络使用访问互联网使用邮件信息资产安全管理故障事件上报总行管理措施软件使用2930软件使用——场景一A和B是同事,下面是他们在办公室的对话:A:小B,我的电脑系统崩溃了……B:真惨,那你的 财务报表 财务报表免费下载29财务报表附注模板下载小企业财务报表下载关于企业财务报表分析excel财务报表下载 还能在周末前做完吗?A:如果系统尽快恢复,应该没问题。我想先自己安装一下系统看能不能解决问题,如果拿到科技部去修太浪费时间了。你那里有没有Windows的系统安装盘啊?A.有啊,借给你用用吧。B.我建议你最好还是去科技部确认一下到底是硬件还是软件问题,让科技部来维修。C.我要举报你的行为。风险提示:私自安装操作系统或应用软件可能会造成:本机的安全策略和安全防护软件未能得到有效安装,造成病毒的传播,本机信息的泄露总行和分行的PC机维护人员在安装系统后会配置计算机的安全策略及安装统一要求的软件小贴士:如果桌面计算机出现问题,可以拨打桌面PC维护热线025-84738266寻求帮助。《中国光大银行桌面PC使用管理规范》中有详细规定。31软件使用——场景二A和B是同事,下面是他们在办公室的对话:A:小B,我发现把计算机上的防病毒软件、桌面管理软件 等卸载掉以后计算机速度变快了,你要不也试一试A.好啊,我也试一试。B.我们不能随便删除防病毒软件、桌面管理软件、电子邮件客户端程序、OA系统相关软件,赶紧找PC维护人员安装回去吧。C.我要举报你的行为。风险提示:私自卸载防病毒软件、桌面管理软件、电子邮件客户端程序、OA系统相关软件可能造成:系统失去安全防护能力,造成病毒感染系统无法自动升级必要软件工作无法开展(如果电子邮件、OA相关软件被卸载)小贴士:《中国光大银行桌面PC使用管理规范》中有详细规定。软件使用软件正版化要求办公计算机严禁安装未授权的软件,若需安装软件可联系信息科技部确认是否有授权。办公必需软件趋势防病毒软件天珣桌面管理系统安元文件防泄密系统内网准入系统微软Office软件: Word,Excel,Powerpoint,Visio,Project书生浏览器邮件客户端软件文件压缩软件7zip/Winrar输入法软件紫光等33禁止安装软件非授权商业软件游戏软件股票软件P2P下载软件恶意软件 34必须卸载的软件P2P下载软件:BitCometFlashGet迅雷电驴BT。。。防病毒软件:江民杀毒软件卡巴斯基反病毒瑞星杀毒软件诺顿赛门铁克金山打字通/毒霸/快译/影霸ACDSee看图软件WinRAR文件压缩软件非正版Adobe公司软件:AdobeIllustrator,Photoshop,PageMaker,Dreamweaver,AdobeDirector非正版制图软件AutoCAD非正版微软公司开发软件:VisualBasic,VisualC++,VisualJ++非正版JAVA开发软件:MyEclipse,IBMWSAD,BEAWorkshop,Jbuilder非正版数据库及开发软件:SQLServer,PowerBuider游戏软件股票软件其他非授权商业软件 3536信息安全意识计算机使用硬件使用软件使用防病毒日常操作习惯网络使用访问互联网使用邮件信息资产安全管理故障事件上报总行管理措施防病毒37病毒传播途径变化趋势38网络流量对比图391小时正常局域网流量VS.1小时WORM_DOWNAD.KK流量防病毒我行内网病毒传播的八个主要途径1脱离我行环境使用行内计算机,由于工作需要,部分员工的办公计算机(笔记本)需要脱离我行相对控制和防护较好的环境使用,在不安全的环境下,木马病毒更容易感染计算机,所以要对此时计算机的上网行为控制更严格,被感染的计算机在接入我行环境后,可能对行内办公环境产生影响;2网页病毒传播,一旦浏览含有该病毒的网页,在用户不知不觉的情况下,给用户的系统带来不同程度的破坏,一般非法的站点病毒携带率非常高,请在上网时注意访问主流的网站,避免访问非法的站点;防病毒目前互联网上的网站非常多,很多网页本身都带有病毒,打开网页后,很多病毒和木马程序便会直接传播到使用者的计算机上需要注意:使用安全的非IE内核的浏览器,如Firefox(火狐)只访问知名的网站GOOGLE等搜索软件提示的可能存在恶意代码的网页不要访问某些制度中严禁访问的站点:如色情、P2P下载的网站大多带有病毒41防病毒我行内网病毒传播的八个主要途径(续)3互联网文件下载,当前互联网上的共享软件的病毒携带率居高不下,已经成为网络病毒传播的主要途径,请避免在互联网上下载共享软件,如需要软件,请从内部网中获取或购买正版防病毒互联网上的软件恶意代码携带率非常高防病毒软件不能保证对下载软件中的恶意代码完全清除控制个人的互联网行为能有效减少病毒和恶意代码的感染43防病毒我行内网病毒传播的八个主要途径(续)4即时通讯工具,现在很多木马病毒通过MSN、QQ等即时通信软件传播。有时候打开即时通讯工具传来的网址、来历不明的文件、就会导致网络病毒进入计算机。请注意不要打开陌生人通过即时通讯工具(QQ,MSN)传送的文件;防病毒----场景一A和B是同事,下面是他们在办公室的对话:A:小B,你有没有发现最近总有一些人从QQ上发一些莫名 其妙的文件?你是怎么处理的?A.是啊,我都接收了不过还没打开看过B.我都是拒绝接收的,建议你也不要接收。C.我接收了,结果系统好像染毒,现在已经报修了风险提示:MSN、QQ、YAHOOMESSENGER等即时通讯软件存在一定缺陷,为计算机病毒、蠕虫的传播提供了基础小贴士:有些蠕虫病毒会通过MSN、QQ、YAHOOMESSENGER等即时通讯软件传播,其形式就是文件传送。45防病毒我行内网病毒传播的八个主要途径(续)5电子邮件。假如邮件接收者打开了带有病毒的邮件附件,病毒就会被激活。目前我行的邮件系统安装有病毒邮件过滤工具,可靠性较高。从外部邮箱取文件时,请小心陌生人的邮件和垃圾邮件,此类邮件携带病毒的可能性较大;防病毒—场景二A和B是同事,下面是他们在办公室的对话:A:小B,你最近有没有收到不认识的人发来的邮件?A.是啊,你也收到了?B.不要打开陌生人的邮件或附件。风险提示:蠕虫病毒会发送一些奇怪的邮件,收件人随意打开这些陌生邮件或者邮件附件都可能会导致计算机感染病毒。小贴士:员工不得打开陌生邮件或陌生邮件所带附件。一些蠕虫可能会利用被感染计算机上的邮件系统,发送给所有联系人一些随机生成的邮件,其附件就是蠕虫病毒本身。47防病毒我行内网病毒传播的八个主要途径(续)6U盘拷贝文件,通过拷贝携带病毒的U盘文件,可以感染个人计算机,因此,在使用U盘拷贝文件时,首先要对需要拷贝的文件进行病毒查杀;7利用系统漏洞的病毒攻击,许多网络攻击就是通过空密码或者弱密码来攻击用户机器的,一旦局域网中有感染病毒的计算机,可以通过攻击感染防护较弱的其它计算机。因此使用较为复杂的密码,能有效降低计算机的病毒感染率8内部文件共享,一旦用户设置的共享文件夹,局域网内的病毒将非常容易的通过共享方式感染您的计算机,请不要设置共享文件夹。49防病毒——场景四A和B是同事,下面是他们在办公室的对话:A:小B,我的电脑运行很慢,估计是中病毒了……B:那你用防病毒软件扫描一下,看是否能发现病毒?A:…果然有病毒,防病毒软件杀不了,我是否应该上报啊?A.不用吧,自己杀掉病毒就可以啦。B.我建议你立刻拨打帮助热线寻求进一步帮助。C.无所谓,你自己决定吧。风险提示:发现计算机病毒发作或个人计算机异常时,应该及时拔开网线,然后及时联系相关技术人员解决小贴士:可以拨打帮助热线025-84738266寻求技术指导,并按照其指示采取控制措施。《中国光大银行计算机病毒防治管理规定》中有详细规定。50防病毒——场景五A和B是同事,下面是他们在办公室的对话:A:小B,我最近研发了一个计算机病毒的变种,目前还没 有防病毒软件可以查杀,厉害吧!A.酷,教教我怎么做到的。B.银行要求员工严禁制作、故意复制或传播计算机病毒,赶紧销毁吧。C.真的无法查杀吗,在我的系统上试一下吧。风险提示:制作、故意复制或传播计算机病毒违是反国家有关法律法规的,后果严重的可能承担刑事责任,相关法律法规包括:《计算机病毒防治管理办法》《中华人民共和国计算机信息系统安全保护 条例 事业单位人事管理条例.pdf信访条例下载信访条例下载问刑条例下载新准则、条例下载 》小贴士:公安部《计算机病毒防治管理办法》中有详细规定。51防病毒——场景六A和B是同事,下面是他们在办公室的对话:A:小B,我刚刚下载了一个扫描器,可以知道咱们内网 中计算机的漏洞,甚至可以知道有些系统的访问口令。A.酷,教教我怎么用吧。B.银行规定未经信息科技部授权,员工严禁使用漏洞扫描、端口侦听等黑客软件扫描网络资源或获取系统访问权限。C.真的吗,看看我的系统上有什么漏洞吧。风险提示:对办公网络、生产网络进行扫描,可能造成:被扫描系统崩溃严重浪费网络资源,影响正常业务总行科技部对所有扫描、攻击行为都有都会记录并追查,一旦确认,会严格处理小贴士:公安部《计算机病毒防治管理办法》中有详细规定。U盘使用安全技巧5253信息安全意识计算机使用硬件使用软件使用防病毒日常操作习惯网络使用访问互联网使用邮件信息资产安全管理故障事件上报总行管理措施日常操作5455日常操作习惯——场景一A和B是同事,下面是他们在办公室的对话:A:小B,你计算机的口令怎么那么长啊,太麻烦了, 你看看我都把口令取消了,开机直接进入系统。A.那真是太方便了吗,教教我吧。B.银行规定操作系统口令长度大于8位、要包括大小写字母、数字和特殊字符并且每三个月定期更换口令。C.我要举报你的行为。风险提示:操作系统、应用系统的帐号口令是访问的最关键环节,错误设置可能导致系统被非授权访问,应避免以下常见情况的出现:弱口令(口令过短、易于猜测)不更换口令(有充分的时间就可以穷举猜中)重用旧口令小贴士:《中国光大银行用户标识和密码(口令字)管理规定》中有详细规定。56日常操作习惯——场景二A和B是同事,下面是他们在办公室的对话:A:小B,我刚刚到人力资源部办事情,发现负责工资的同事小C去开会了,但是没有锁定电脑屏幕,她电脑上打开了一个Excel表格,好像是员工的工资单,你要不要看看……A.那我要看看XX的工资。B.建议设置超时锁屏,并养成离开计算机就锁定屏幕的习惯。C.我要举报你的行为。风险提示:日常工作中养成离开计算机就锁屏的习惯可以有效防止:信息泄漏非授权使用系统小贴士:同时按Ctrl+Alt+Del再回车可以锁屏按住Window+L键可以直接锁屏57日常操作习惯——场景三A和B是同事,下面是他们在办公室的对话:A:小B,我将计算机登录口令写在报事贴上粘在我的键盘 下面了,这样就可以不怕忘记我设置的口令了。A.聪明,我以后也要这么做。B.建议如果将登录口令写在纸上,应该妥善保存之,放在只有自己能够访问的地方(保险柜、带锁抽屉等)C.太好了,以后我就可以随时访问你的计算机系统了。风险提示:员工应妥善保管计算机用户名和密码,严防他人盗用,登录口令一旦写在纸上就应该妥善保管,实施一定保护措施防止别人看到。小贴士:如果管理的系统很多需要同时记住许多不同的登录口令,可以使用口令管理工具,并使用强认证方式访问该工具。58日常操作习惯——场景四A和B是同事,下面是他们在电梯里的对话(电梯里有其他工作人员):A:小B,刚才会议上说咱们要收购XX公司51%的股份,具体 是什么时候实施啊?A.刚才你没听到?说是10月上旬。B.这里不是说话的地方,等到合适的时候再谈这个敏感话题吧。风险提示:在公共场合讨论涉及商业秘密的内容会造成信息泄漏,可能造成银行声誉、利益遭受损失等严重后果。小贴士:在开会时如果涉及到敏感话题需要考虑会议室的隔音效果、在场人员是否都合适等,判断一下环境是否安全59信息安全意识培训领域计算机使用硬件使用软件使用防病毒日常操作习惯网络使用访问互联网使用邮件信息资产安全管理故障事件上报总行管理措施互联网管理6061访问互联网——场景一A和B是同事,下面是他们在办公室的对话:A:小B,你好啊,能不能麻烦借一下你的上网帐号用用啊?……B:小A,你为什么不用你自己的帐号呢?A:我的帐号不知道由于什么原因被临时禁掉了!!!.........A.好吧,借给你用用吧。B.我建议你最好咨询一下信息科技部为什么停用你的帐号。C.你到我电脑上上网吧。风险提示:我行员工互联网访问采用“实名制”,互联网访问行为将被详细记录,使用互联网访问帐号必须使用自己的账户,如果允许别人使用自己的账户,则可能别人的违规行为(浏览不健康网站、玩网络游戏等)会被记录在自己的账户上,为自己带来不必要的麻烦。小贴士:由于员工访问互联网的行为会被详细记录,所有工作时间内的上网行为均有详细日志保存在上网审计系统中,在需要查询时(国家相关部门的查询或内部的查询)经过总行相关领导的审批,便可以查询。62访问互联网——场景二A和B是同事,下面是他们在办公室的对话:A:小B,我最近使用一个P2P下载音乐,可以找到几乎所有 歌曲呢,需要的话我拷贝给你。A.好吧,我试一试。B.咱们是银行严禁使用BT、电驴、电骡等P2P软件的,赶紧删掉吧。C.我有一个更好的,你要不要试一试。风险提示:P2P软件的使用会给银行带来很大风险:使用P2P下载会占用大量的网络资源,对正常办公造成很大损害有些P2P软件自身就存在安全问题通过P2P软件很可能下载了木马软件而不知道小贴士:P2P软件的使用同样会被上网审计系统详细记录,曾经有同事因为使用P2P软件而受到处罚,下载量最大的前几名,总行会进行通报63访问互联网——场景三A和B是同事,下面是他们在办公室的对话:A:小B,我最近开始在网上写博客了,把我们项目中的一些 有趣的事情都贴了上去,非常有趣,你有空去看看吧。A.好吧,告诉我网址。B.是吗,我看看吧,注意不要泄漏敏感信息啊。C.我早就开博了,你也可以看看我的。风险提示:在专题论坛上发表文章、在博客上发表文章都可能有信息泄漏的风险:一些表面看上去无关痛痒的信息可能会被别有用心者加以利用由于自己疏忽,可能导致发布一些敏感信息到公开网络小贴士:在公共网络上发表文章必须考虑信息的敏感性,如果必须发布则至少应该将重要信息进行替换或裁剪。64信息安全意识计算机使用硬件使用软件使用防病毒日常操作习惯网络使用访问互联网使用邮件信息资产安全管理故障事件上报总行管理措施65使用邮件——场景一A和B是同事,下面是他们在办公室的对话:A:小B,你最近有没有收到一封邮件说我们网银账户口令 需要重置,下面还有一个银行的链接?A.是啊,我刚修改了,你也收到了?B.不要点击那个链接,这像是钓鱼攻击常用的手法。风险提示:这是典型的钓鱼攻击,通过发送邮件将受害人引导至钓鱼网站,诱使其输入用户名口令以获得受害人银行账户的访问权限。小贴士:不要通过点击邮件中网银链接的形式访问网上银行,应该先访问银行官方网站,通过官方网站访问其网银地址。66信息安全意识培训内容信息安全组织计算机使用硬件使用软件使用防病毒日常操作习惯网络使用访问互联网使用邮件信息资产安全管理故障事件上报总行管理措施67什么是信息资产?信息资产是指所有对企业有价值的事物,包括狭义的信息资产(数据、文档)、软件资产(软件)、有形资产、相关资产和服务(硬件)等通俗的说,信息资产是指存有信息的资产,如硬盘,U盘,纸制的文件,当存有敏感信息时,就是信息资产国家政策中华人民共和国刑法修正案(七)已由中华人民共和国第十一届全国人民代表大会常务委员会第七次会议于2009年2月28日通过,现予公布,自公布之日起施行                       中华人民共和国主席 胡锦涛2009年2月28日在刑法第二百五十三条后增加一条,作为第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”在刑法第二百八十五条中增加两款作为第二款、第三款:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。   “提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚69信息资产安全行内的信息在传播时需要注意:内部信息不能随意传播给外部人员客户信息的查询严格遵守行内的相关制度内部的敏感信息:如有保密要求,应通过正规渠道传播并经领导审批在银行中工作和在其他行业工作最基本的差别是什么?审慎细致合规手册信息资产安全我行内部员工应关注的主要风险病毒传播的防护目前我行员工接触计算机病毒的八类主要途径计算机做好前述的防护(桌面管理,密码策略,关闭共享,U盘使用……)后,如不访问互联网,基本不会感染病毒目前U盘传播病毒占到行内病毒日志的90%以上员工意识到上述问题,就可以避免绝大多数的病毒感染信息泄露什么是信息泄露?行内员工应关注什么才能防止信息泄露?信息资产安全信息泄露的渠道办公费纸(碎纸机)桌面放置的敏感文件被人无意看到计算机中的敏感信息被恶意窃取计算机中的敏感信息被木马病毒盗取公共场合谈论被听到本人将工作信息记日志形式登记的网络BLOG中……信息泄露的风险一般以产生的影响来衡量,信息泄露了没被利用也几乎没影响一旦被传播到网络中或被人利用影响难以估计特别是某些敏感信息一旦在网络中传播,是难以预料结果和控制的信息资产安全我行有什么信息泄露的风险办公网由于业务需要可以访问一些生产的分析系统,所以办公网用户可能会保存敏感生产信息(报表统计,CECM,个贷管理系统,反洗钱系统,批量发卡,批量待发代扣……)另外,办公网中OA,SAP等系统本身就有很多敏感信息木马或病毒可直接将个人计算机内信息盗走而不被发觉信息资产安全当前我行针对信息泄露采取的主要措施两网隔离我行目前生产网(营业网点的柜员PC、前置等交易服务器)和办公网采取隔离的措施,分行生产网和办公网之间禁止随意访问生产网络的严格控制生产网的终端禁止访问互联网,禁止使用U盘拷贝数据服务器的严格控制办公网服务器禁止随意访问互联网,如需要访问,技术控制到访问的协议和对端的网站信息资产安全内部员工在信息泄露方面应关注什么个人计算机不得保存生产或办公网内敏感的信息(什么是敏感信息?别人非法获得可利用的行内的信息,散布后会产生社会影响的信息,顾客的个人信息,未对外公布的行内的决策,……)此类信息如需保存,可保存到移动介质?可加密存储到个人计算机?总行会根据风险的变化,逐步跟进技术支持手段信息资产安全个人密码案例1:你在网上注册了一个论坛,在注册是填写了你的电子邮件地址,并且论坛密码和邮箱密码是一样的。不料,这个论坛的所有者不是什么正经人,或者经营这个网站的公司里有无聊的员工,他们翻出你的资料,进入了你的邮箱,看看里面有没有什么有价值的东西或者好玩的东西。除了邮箱之外,填写qq号码一样面临这样的风险。可能你的qq号码因为这样的原因被盗了,而你还在一边杀着毒,一边想着为什么会丢呢。信息资产安全行内个人密码行内每个人使用的系统都很多,每个系统都设置一个密码确实存在密码容易忘记的情形如何处理建议将密码分级,OA,上网登陆,内部论坛等使用统一密码,HR,业务系统等使用多个密码,或根据其重要性分组使用不同的密码77信息安全意识培训信息安全组织计算机使用硬件使用软件使用防病毒日常操作习惯网络使用访问互联网使用邮件信息资产安全管理故障事件上报总行管理措施78故障事件上报——场景一A和B是同事,下面是他们在办公室的对话:A:小B,类型X的交易怎么总是报超时错误?你那边是不是也报类似错误?A.没关系的,不用管它,别人会处理的。B.是的,我这里也发现类似情况,我们赶紧汇报给科技部帮助台吧。C.我不知道啊,你重启机器试一下风险提示:发现系统进行交易时处理速度明显下降或者交易超时等问题,应当及时通知有关部门(例如总行或分行的科技部帮助台)汇报故障,现象及影响等,以利于系统运行部门及时掌握故障性质并及时作出正确判断。小贴士:员工发现可疑信息安全事件,应及时通报帮助台,并根据指导采取控制措施。定期参与应急预案的演练可以帮助员工在出现真正紧急情况时作出正确的操作。79信息安全意识信息安全组织计算机使用硬件使用软件使用防病毒日常操作习惯网络使用访问互联网使用邮件信息资产安全管理故障事件上报总/分行管理措施总分行管理措施对违反规定的员工,总、分行基本上都能监控、定位;目前总、分行通过部分技术手段控制某些危害严重的行为;总行每月全行通报,对于病毒传播面广、上网流量排名靠前的分行也会定期进行通报;分行每周进行全行通报(自动关机通报)。80小贴士:总、分行科技部通过技术手段可以发现员工的内网非法行为和互联网非法行为对于影响严重的违反安全管理规定的行为会进行通报和处理81如果您需要进一步帮助ITSM:光大银行IT服务管理平台桌面PC软硬件维护问题拨打科技服务热线84738266或寻求分行科技部门的帮助计算机病毒问题可以拨打帮助热线84738266,84787776(分行)010-68098527,010-82987593(总行)寻求技术指导,并按照其指示采取控制措施。业务和网络通信故障及时联系分行信息科技部如果您需要进一步帮助分行门户网站: http://10.31.88.222其他生产、办公网址可通过分行门户网站的热站链接进行点击访问。欢迎大家加入光大大家庭一起携手,共创安全信息安全需要每一位员工的努力83
本文档为【银行新员工信息安全培训】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
下载需要: 免费 已有0 人下载
最新资料
资料动态
专题动态
个人认证用户
人力资源法规
暂无简介~
格式:ppt
大小:5MB
软件:PowerPoint
页数:0
分类:企业经营
上传时间:2018-02-24
浏览量:97