以案说险（第五期）|信息安全风险提示

一、【基本概念】

采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性

二、【案例简介】

案例:内部员工泄漏客户信息

2019年3月,某公司员工李某在2015年12月至2017年8月期间,利用公司管理漏洞,从公司复制客户信息约1000万条,其在互联网上寻求购买公民信息的买家,并将584.96万条客户信息出售给出价较高的罗某,先后使用自己从网上购买的三张非本人户名的银行卡,收取出售公民个人信息款共计467.97万元。

影响:

利用已获取信息对受害者进行恶意攻击,进一步的身份信息盗窃和欺诈事件,制造垃圾邮件和网络钓鱼攻击等。

三、【风险提示】

内部员工安全意识薄弱泄露公司机密信息或因个人原因蓄意舞弊、泄密或攻击公司网络

外部黑客攻击公司网络,窃密或利用系统漏洞牟利

商业间谍或竞争对手窃取公司机密信息

恶意病毒软件在公司内部网络传播,影响公司业务正常运行。

遭邮件钓鱼或木马病毒盗号而泄密

系统交易支付数据被篡改或破坏

四、【安全意识】

1.密码安全知识

账户设置8位以上长度的密码,使用大小写字母,数字,特殊符合组合,不要为了贪图好记而使用纯数字密码。

不要使用与自己相关的资料作为个人密码,如自己或家人的生日、电话号码、身份证号码、门牌号、姓名简写。

不用单词做密码,可以找到一个生僻但易记的短语或句子(可以摘自歌曲、书本或电影),然后创建它的缩写形式,其中包括大写字母和标点符号等。在后面加复数s或者符号,这样可以减小被猜出的机会。

不要一码走天下,要定期(最长6个月)更换密码,特别是遇到可疑情况的时候。

2.办公区域安全

•出入公司刷门禁,随意拍照不许可

•访客不能随意带进办公区

•携带公司电脑出去时,应遵守规定

•开完会后请擦干净白板,资料应及时取走,对不再使用的纸质资料,应使用碎纸机将其清理

• 禁止随意放置或丢弃含有敏感信息的纸质文件,

• 离开座位时,应将贵重物品、含有机密信息的资料锁入柜中,并对使用的电脑桌面进行锁屏

3.防范病毒攻击

•安装公司统一安装的防病毒软件,根据公司安全策略,定期更新升级病毒库。

•公司统一推送各漏洞补丁,安装过程中按提示步骤进行操作

•公司内使用可移动介质(U盘、移动硬盘)时,需先进行信息注册,注册后的可移动介质(U盘、移动硬盘),使用前应进行初始密码重置。使用可移动介质前先对其进行病毒扫描,确认没有病毒后再进行使用并妥善保管,避免遗失

•公司统一安装必备的办公软件,不能私自安装未经领导许可的软件或来历不明的,非正版的软件

•终端设备分配完毕后,不得擅自更改设备使用性质和用途,软件的安装/卸载、硬件的变更应获得桌面维护人员授权或技术支持。

4.邮件安全

1.可疑邮件

小心可疑的电子邮件。

发件人:“地址可能被欺骗!”

要验证是否来自员工,可以通过IM或当面询问。如有疑问,请将原邮件转发给我们!

2.接收邮件需注意

•不安全的文件类型:绝对不要打开任何以下文件类型的邮件附件:.bat, .com, .exe, .vbs

•未知的文件类型:绝对不要打开任何未知文件类型的邮件附件,包括邮件内容中到未知文件类型的链接

•微软文件类型:如果要打开微软文件类型(例如 .doc, .xls, .ppt等)的邮件附件或者内部链接,务必先进行病毒扫描

•要求发送普通的文本:尽量要求对方发送普通的文本内容邮件,而不要发送HTML格式邮件,不要携带不安全类型的附件

•禁止邮件执行Html代码:禁止执行HTML内容中的代码

•防止垃圾邮件:通过设置邮件服务器的过滤,防止接受垃圾邮件

3.邮件安全要求:

•不得传输任何不符合当地法规、国家法律的资料。不得传输任何骚扰性的、中伤他人的、恐吓性的、庸俗和淫秽的信息资料。不得传输任何教唆他人构成犯罪行为的资料;不得利用公司电子邮件服务泄漏公司的商业秘密。

•不得利用公司电子邮件服务发送连环邮件、分发垃圾邮件。不得利用公司电子邮件和电子邮件系统进行干扰或混乱网络服务、影响其它用户正常使用内部网功能与服务的行为。提高对于病毒邮件的防范意识,避免传递病毒邮件。

•不得利用公司电子邮件服务发送违反公司各项管理制度的邮件。不得利用公司电子邮件服务群发超大容量邮件,扰乱公司正常办公秩序。