用戶信息安全培訓
內容 何謂信息安全? 我們所提供的信息安全 信息安全保密及防洩密工作 中遠香港系統與當前信息安全策略 問答環節
1. 何謂信息安全?
何謂信息安全? 信息安全的定義是指對數 據及信息在以下四大範疇 上的維護: 保密性 完整性 可用性 真實性
信息安全的定義 保密性 – 確保信息只能被已授權的人士存取,信息不會被 完整性 - 維護信息的精確度和完整性 , 及其處理的方 保密性 – 確保信息只能被已授權的人士存取,信息不會被 泄漏未經授權的人士。 完整性 - 維護信息的精確度和完整性 , 及其處理的方 法。信息不會被未經授權的人隨意修改。 可用性 - 確保已授權的人士能在有需要時可以存取相關 的信息。 真實性 – 保證對電腦信息及信息系統實施安全監控。
為什麼需要信息安全? 任何對信息安全損害的結果, 將會對您及公司導致: 法律上的起訴 財產上的損失 營運上的阻礙 失去他人的信任
哪裡? 在哪裡可找到信息? 紙張 : 文字記錄 、商業檔案 、文件 、垃圾桶、客戶 資料、統計數據、報價、規章制度、計劃書 紙張 : 文字記錄 、商業檔案 、文件 、垃圾桶、客戶 資料、統計數據、報價、規章制度、計劃書 數碼 : 磁碟 , 光碟, 電腦之間的傳遞 , 郵件 言談之間
誰的責任? 什麼人需要保護這些信息資產? 每一個人!! 是, 這包括您的參與!
為什麼? 為什麼一定要實行? 可不可以由他人負責… 這形同將一條環環相扣的鐵鍊切斷!!
“黑客能夠利用互聯網的瀏覽器盜取密碼及資料”
“…黑客可透過互聯網入侵美軍重地 , 盜取軍方用於戰艦、火箭及衛星導航的密碼”
關於計算機罪案的種類 非法入侵 (未授權的存取, 有犯罪目的之存取) 非法的破壞 網上的詐騙 濫用他人的帳號 線上偷竊 違法的資訊/網頁 非法使用關於即時網絡通信 的工具
香港的電腦機罪案統計數字 年 份 總 計 2008 791 2007 634 2006 741 2005 653 2004 560 2003 588 2002 272 來源:香港電腦保安事故協調中心
09年香港發生的主要信息安全事件 消防處超過60份政府限閱文件被透過檔案分享軟件“Foxy”在互聯網上洩漏 載有個人資料的警方機密文件在互聯網上洩漏 公開大學遺失了一個載有公大學生及導師個人資料的USB記憶體 聯合醫院遺失一具載有病人個人資料的電子儲存媒體 出現疑似匯豐、中銀等銀行之虛假網站 來源:香港電腦保安事故協調中心
2. 我們所提供的信息安全
中遠香港集團應採用什麼策略對付電腦罪行呢?
怎能夠達到對付電腦罪行目的? 安全控制 技術 管理 物理 職員
技術層面 保護的方式 備份及恢復 密碼控制 存取授權 大批控管 在系統安裝時 執行用戶控管 加密 管理報告書
管理 保護方式 系統文檔 信息分類 使用者程序 簽署權力 授予權限
職員 為工作崗位選用 適當的人擔任 適當隔離主要的功能 保護方式 避免職權的衝突 培訓 適當的授權及定期回顧 員工的安全許可限制 雙重控管
3. 信息安全保密及防洩密工作
09年9月份用戶保密及防洩密安全檢查結果
我們可以做些什麼?
有些部分需要您的參與 技術 - 密碼控管 - 存取授權 - 病毒控管 - 無線網絡加密 - 安裝補丁及定期更新 管理 - 安全權責 - 系統文檔管理 職員 - 適當隔離主要的功能 - 突發安全事件報告
密碼控管 所以, 不用與別人共用您的密碼 您 有責任保管所有屬於您的用戶帳號及密碼. 這包括: 不在所有帳號使用單一密碼 不能用同事的帳戶登入 不能用筆寫在任何地方 不能將密碼告訴別人 當不用/離開系統時立即登出 時常更換密碼及 選用較安全的密碼…
良好的密碼規則 密碼應 : 不少於六至八個字母的長度 不能在詞典內找到 不能和您的帳戶號碼相同 與您的一些公開資料無關 必需由一些字母、數字、 標點符號或特別符號組成 應該包含大寫及小寫的字母(若系統是可辨認的)
存取及授權的管制 存取權分配是根據實際需要及盡量收緊至可行權限 存取權不可與利益有衝突
病毒控管 病毒的入侵可造成下列的影響 : 影響用戶的日常操作 不能夠登入電腦或存取數據 損失或破壞數據 不可靠的應用程式 屏幕出現不正常的訊息 系統衝突 花費除毒的時間及人力
防衛病毒指引 促將有效的防病毒消病毒軟件安裝於本單位所有信息系統中,確保更新該軟件及每天更新防範資料 不得在單位信息系統中安裝、運行非法軟件或未經本單位信息安全負責人認可的軟件 收到來歷不明的電郵,特別是含有可執行的附件(.exe、.vbs等)時,不可隨意打開 嚴禁訪問不良網站或利用網絡進行電子遊戲,以免傳播病毒 嚴禁從可疑網站或通過eDonkey、BT等軟件進行下載 在中遠網絡技術人員的指導下做好電腦病毒的日常防範工作和有關數據的定期備份工作。
無線加密 沒有加密的網絡的危機 並非法進入者了解你的一舉一動 偷取你上網過程中使用的用戶名及密碼 偷取你在閱讀的電郵信息 攻擊網絡中的計算機,盜取數據或使其無法運作 如無線網絡連接公司主網絡,黑客更可進入公司網絡進行攻擊或盜取數據 在家中、辦公室使用無線路由器,必須設置WPA級別之加密措施,有關技術協助請向中遠網絡查詢
安裝補丁及定期更新 中遠香港集團辦公室電腦已設置集中補丁及更新 請為您的筆記本電腦及家中電腦定期進行安裝安全補丁及軟件更新 使用正版操作系統及防毒軟件可確保你得到補丁及軟件更新支持
信息分類 委任信息安全責任人 員工必須遵守信息安全責任書所列的規定 個別員工須對各單位內的信息安全作進行管理並承擔責任 加入用戶帳號領用規定 加強管理工作 委任信息安全責任人 員工必須遵守信息安全責任書所列的規定 個別員工須對各單位內的信息安全作進行管理並承擔責任 加入用戶帳號領用規定 為各種信息安全責任,以嚴重性、危害性作分類,明確信息安全賞罰制度 中遠網絡交付各單位的系統文檔,應由各單位之行政部門保管,系統使用者不得管有系統文檔 要求集團各部及各下屬公司委任信息安全責任人,根據網絡公司訂立的工作說明,負責單位內的信息安全事務,並代表單位與中遠網絡及信息安全委員會溝通協調 由網絡公司制定員工信息安全責任書,集團所有員工必須遵守責任書所列的規定。個別員工須對各單位內的信息安全作進行管理並承擔責任 應進一步加入用戶帳號領用規定,要求員工細閱帳號管理規定後才給予使用 集團規章制度內沒有明確信息安全賞罰制度,可由網絡公司為各種信息安全責任,以嚴重性、危害性作分類,再由集團相關部門決定懲處事宜,並加入集團規章制度內以便執行
信息分類 限制機密資料 養成離開座位時手動鎖定屏幕的習慣,以防資料被盜取 禁止在聯網的電腦上處理和存儲涉密文件 提高保密意識,在使用單位信息系統傳輸信息時,應防止泄漏單位的密級資料。 密級(含密級)以上的文件資料在信息系統中使用時應採取一定的保護措施,存儲時不得存儲在電腦硬盤上,而應與信息系統隔離單獨保存,也不得利用電腦網絡進行傳輸。 所有單位購置信息設備時,如非經中遠網絡購買,則必須向中遠網絡申報,否則不允許連接香港集團信息網絡。 統一集團信息系統及客戶端設備的棄置及處理辦法,所有儲存各單位信息的硬盤、移動載體,應交中遠網絡處理後方可棄置。光盤、軟盤等載體,由各單位行政部門經銷毀後妥善棄置。
信息分類 嚴禁製作、傳播、複製、接收、瀏覽有礙社會治安的不良信息和垃圾信息。 各員工在使用電子郵件發送信息時,應防止泄漏單位機密資料 員工的限制 嚴禁製作、傳播、複製、接收、瀏覽有礙社會治安的不良信息和垃圾信息。 各員工在使用電子郵件發送信息時,應防止泄漏單位機密資料 其他重要資料,例如人事檔案、財務檔案、企業規劃等信息及其載體,如必須連接在信息系統中使用,則應採用特殊的保護密碼軟件進行保護,或只在指定的信息設備上單獨使用(即與信息系統物理隔離),且該信息設備以加鎖等方法實施保護。
信息分類 集團對外的信息發佈必須上報集團審批通過後才可發佈。 公開的信息 集團對外的信息發佈必須上報集團審批通過後才可發佈。 當突發事件發生後,對傳媒的講話口徑必須經集團領導審定,只有得到批准後,才能對外發佈。
什麼是安全突發事件? 病毒/蠕蟲/木馬程式感染 來歷不明的郵件, 垃圾郵件 未授權使用別人的帳戶 遺失或被偷竊手提電腦 未授權的物品存取 發現可疑人物在進行竊聽、嘗試非法進入網絡 立即向當值上級或中遠網絡技術人員報告
4.中遠香港系統與當前信息安全策略
2009年中遠香港集團信息安全工作思路 中遠香港集團王富田總裁年度總體工作思路“控風險、精管理、保安全、穩發展、多創效” 中遠香港集團陳景德副總裁年初在信息安全分委上提出“通過 “三防”,即“防丟失、防洩密、防病毒”來實現“三保”,即“保暢通、保安全、保穩定”的工作目標
中遠香港集團安全突發事件處理程序
中遠香港集團信息安全政策 參考標準 採用安全標準 (如ISO 17799/ ISO 27001) 作為安全管理的基礎 , 同時參照其他相關國際、國內的標準、法律執行, 進一步提高安全水平。相關標準如下: 以下是一些可參考的國際標準: ISO/IES 17799 信息技術—信息安全管理實用規則 ISO/IES 13335 信息技術—IT安全管理指南 ISO/IEC 15408 信息技術—安全技術—IT安全評估標準 ISO/IEC 21827 信息技術—系統安全工程—能力成熟度模型 以下是一些可參考的國內標準: GB 17859- 1999 計算機信息安全保護等級劃分准則 GB/T 18336- 2001 信息技術安全性評估準則 GB/T 19716- 2005 信息技術 信息安全管理實用規則
中遠香港集團信息安全政策 集團下設信息安全分委會,由集團領導為主任 ,各歸口公司為委員,中遠網絡為技術顧問及執行單為 信息安全分委會具體負責中遠香港的信息事務和發展工作 跟據《中遠集團計算機系統信息安全管理指南》,每年對香港集團的信息安全情況作自評 執行《中遠集團2008年信息安全保密檢查工作》 設立《信息安全應急預案》,所有系統發生難以修復之問題,都通過應急預案流程處理
中遠網絡信息安全工作 (技術) 於06至07年全面升級網絡及服務器系統 已於重要系統 (如郵件、上網服務) 建立冗餘設施,容許服務器發生故障或進行定期維護時能維持服務。 防病毒系統中央及實時監控 完善的數據備份和重要服務備份方案 使用了SSL作網站登入,出差需使用SSL-VPN連接公司網 實時監控網絡設備及機房狀況,發現問題時可即時通知網絡技術人員 編制「服務器回復手冊」,確保所有恢復工具(如光盤、磁帶機等)準備就緒,減少服務器停機時間 對Token認證方式進行調研,但由於利用Token認證需要硬件投資、軟件改動等,費用高昂,建議選擇一些需要高度保密的應用系統(如人事系統、財務系統、薪金管理系統等),研究加入Token認證系統的可能性。 對筆記本電腦、手機等移動設備的訪問控制方案進行調研,並制定解決方案。如設備沒有安裝或配置操作系統以外的訪問控制措施,將不能訪問香港集團網絡 對現在集團各網絡區間的訪問需求作調研,訂立訪問權限表。 完成上述網絡分區訪問權限表後,如日後需修改,則必須通過流程作申請,並知會各區間的所屬單位 在所有系統進行交付時,必需執行「系統交付信息安全檢查」,由供應商提供合理的測試,並由網絡公司確認 制定及統一所有系統的變更流程,必須讓用戶參與。如變更對系統安全做成影響,開發或管理人員必須讓用戶清楚了解當中風險。用戶經過功能和成本考慮系決定是否執行變更 建立弱點報告匯報流程,當信息系統於日常工作時被發現含弱點,則須馬上向上級匯報, 並以流程統一處理方法及紀錄在案,避免弱點因延誤處理而演變成重大問題 為主要應用系統訂立連續性方案,但由於系統眾多,操作非常複雜,建議先對電子郵件、Internet瀏覽及綜合信息管理平台制定方案 須配置微軟Configuration Manager 2007應用服務,實時檢測服務器是否符合安全策略要求
中遠網絡信息安全工作 (管理) 已通過SMS報告系統、 中遠網絡工作台及工貿安全網,為安全事件進行實時收集和關連 所有安全事故和信息安全工作會作詳細記錄 帳號建立及注銷流程 已經建立了有效的安全事件匯報流程 已制定處理事故之應急預案 不斷檢討並進一步加強各應用系統的安全性 加強門卡管理, 重新登記及整理集團內所有員工的門卡,確保員工只能進入被允許的範圍,並進行詳細記錄。日後改動門卡時必須通過流程,以免日後紀錄出現混亂情況。 為集團員工進行信息安全培訓 要求集團各部及各下屬公司委任信息安全責任人,根據網絡公司訂立的工作說明,負責單位內的信息安全事務,並代表單位與中遠網絡及信息安全委員會溝通協調 由網絡公司制定員工信息安全責任書,集團所有員工必須遵守責任書所列的規定。個別員工須對各單位內的信息安全作進行管理並承擔責任 編制「服務器回復手冊」,確保所有恢復工具(如光盤、磁帶機等)準備就緒,減少服務器停機時間 ,應進一步加入用戶帳號領用規定,要求員工細閱帳號管理規定後才給予使用 對Token認證方式進行調研,但由於利用Token認證需要硬件投資、軟件改動等,費用高昂,建議選擇一些需要高度保密的應用系統(如人事系統、財務系統、薪金管理系統等),研究加入Token認證系統的可能性。 將進一步加入用戶帳號領用規定, 要求員工細閱帳號管理規定後才給予使用 對筆記本電腦、手機等移動設備的訪問控制方案進行調研,並制定解決方案。如設備沒有安裝或配置操作系統以外的訪問控制措施,將不能訪問香港集團網絡 對現在集團各網絡區間的訪問需求作調研,訂立訪問權限表。 完成上述網絡分區訪問權限表後,如日後需修改,則必須通過流程作申請,並知會各區間的所屬單位 在所有系統進行交付時,必需執行「系統交付信息安全檢查」,由供應商提供合理的測試,並由網絡公司確認 制定及統一所有系統的變更流程,必須讓用戶參與。如變更對系統安全做成影響,開發或管理人員必須讓用戶清楚了解當中風險。用戶經過功能和成本考慮系決定是否執行變更 建立弱點報告匯報流程,當信息系統於日常工作時被發現含弱點,則須馬上向上級匯報, 並以流程統一處理方法及紀錄在案,避免弱點因延誤處理而演變成重大問題 為主要應用系統訂立連續性方案,但由於系統眾多,操作非常複雜,建議先對電子郵件、Internet瀏覽及綜合信息管理平台制定方案 須配置微軟Configuration Manager 2007應用服務,實時檢測服務器是否符合安全策略要求 集團規章制度內沒有明確信息安全賞罰制度,可由網絡公司為各種信息安全責任,以嚴重性、危害性作分類,再由集團相關部門決定懲處事宜,並加入集團規章制度內以便執行 中遠網絡交付各單位的系統文檔,應由各單位之行政部門保管,系統使用者不得管有系統文檔
最後總結 。 技術, 員工, 程序制管是互相交纏 中遠香港集團的信息安全需要我們每個人的參與
謝 謝 (問答環節)