目录
关于信息安全
保密性:确保信息没有非授权的泄漏,不被非授权的个人、组织和计算机程序使用 完整性:确保信息没有遭到篡改和破坏
可用性:确保拥有授权的用户或程序可以及时、正常使用信息 保障公司业务正常和安全运行,保证核心业务持续、稳定、健康发展
实施信息系统安全等级保护,建立健全、实用、可靠的信息安全管理体系
保护客户隐私,保证客户资料的机密性,维护客户的利益 机密性 信息安全 可用性 保护公司的商业机密和技术机密,维护公司的利益 完整性
2016年7月7日,南方持续高强度降雨,8
点开始,联想武汉工厂被大水包围,联想用大
巴紧急将2000多名员工运送出厂区,回到地势
较高的宿舍区
右图:业内疯传此乃联想备份 机房
911事件一年后,重返世贸大厦的企业由
原先的350家减少到150家,200家企业由于重
要信息系统破坏及关键数据丢失而永远倒闭消
失。
根据互联网数据中心(IDC 资讯)调查,
在20世纪最后10年中,美国发生过灾难的公司
中,55%的公司当即倒闭,剩下45%中由于信
息数据丢失,29%的公司在两年内倒闭,能生
存下来的仅16%。
人的因素:
人是复杂的,难于控制; 安全意识问题;
使用不当;
管理不当:
人员入职、离职管理; 权限管理; 系统设计缺陷;
最常见的安全问题 -- 信息泄露
根据调查统计,数据泄露是互联网金融公司最担心的安全风险,其它包括业务欺诈、APT 攻击、Ddos 攻击、WEB 攻击、恶意刷单。
目录
当前的安全形势
《关于促进互联网金融健康发展的指导意见》 《互联网金融风险专项整治工作实施方案》
《网络借贷信息中介机构业务活动管理暂行办法》 《中华人民共和国网络安全法》
《国家网络空间安全战略》
300G 以上攻击次数
单次DDoS 攻单次DDoS 攻
网络主控
击平均峰值 击最高峰值
端
Reflection 反射器数量增
加
的物联网设备数量
2016年Q3DDOS 态势
数据来源:绿盟科技2016Q3DDOS 态势报告
2016.09.18
OVH 公司遭受史上最大流量DDoS 攻击1Tb/s
2016.10.21
美国Dyn 的DNS 基础设施遭到DDoS 攻击,半个美国互联网瘫痪
宜信
信融财富 台无法访问
宜信
导致RTX 服务器被入侵
众易贷 台和门户网站无法访问
红岭创投 2015年4人信息泄露
芝麻金融 2015年7月信息被盗取
恒昌利通 2015年12台无法访问
致所有文档被加密
事件发酵
露曝光
2016
露,连续发生3起学生遭电信诈骗后猝死或自杀
目录
在全球范围内,网民最普遍使用的密码,排行榜前列的几项从2011年以来一直没改变,始终为123456。
网易企业邮箱,HTTPS 、口令复杂度要求、首次登陆强制修改密码,无法防暴力猜解
一月份的测试中发现31%的用户使用默认口令
离职人员邮箱账户没有及时注销
登录尝试脚本 + 用户密码字典
目录
应主动防止陌生人尾随进入办公区域,遇到陌生人,要上前主动询问;
禁止随意放置或丢弃含有敏感信息的纸质文件,需用碎纸机粉碎;
离开座位时,应将含有机密信息的资料锁入柜中,并对电脑进行锁屏;
应将复印或打印的资料及时取走;
不使用默认口令和弱口令;
认清域名,警惕钓鱼网站
定期系统补丁更新(每个月第二个周二)
安装防病毒软件
定期升级应用软件
下载文件,使用前先安全扫描
浏览网站需小心,不要随意安装控件
不随意点击链接网址
不随意打开聊天工具、邮件传来的附件
个人邮箱和企业邮箱严格分离
不轻易打开邮件附件,绝不打开.com 、.exe 、.bat 、.vb 等后缀的附件
不轻易点击邮箱中的网址链接
附件打开前先安全扫描
传输敏感信息时,压缩加密,并通过其他途径告知对方解压密码
定期修改邮箱密码
重要事项二次确认
切勿轻信陌生电话、短信中内容:
对于“开学通知”、“考试成绩单”、“户籍管理”、“手机实名制”、“交通违章”等病毒短信切忌点击其中链接。
不要轻信陌生电话、短信中所谓的“学校老师”、“公安机关”、“亲戚好友”“XX 公司工作人员”,必要时进行信息核实。
保护个人隐私信息,不轻易向他人透露个人信息:
不轻信任何400电话、170、171虚拟运营商电话、网购客服号码、955*银行客服号、10086运营商或陌生人打来的退款电话以及退款短信。
不要向任何陌生短信、电话透露个人账号、密码、身份证信息。
二维码目前已成为主要的染毒渠道之一:
由于二维码技术已经相对成熟,普通用户即可通过网上的二维码转换软件,任意合成二维码,并且从外观上并不能判断其安全性,这就更加方便了黑客针对二维码进行各种非法操作。
手机用户不要见码就扫
最好安装具备二维码恶意网址拦截的手机安全软件进行防护,以降低二维码染毒风险。
目录
关于信息安全
保密性:确保信息没有非授权的泄漏,不被非授权的个人、组织和计算机程序使用 完整性:确保信息没有遭到篡改和破坏
可用性:确保拥有授权的用户或程序可以及时、正常使用信息 保障公司业务正常和安全运行,保证核心业务持续、稳定、健康发展
实施信息系统安全等级保护,建立健全、实用、可靠的信息安全管理体系
保护客户隐私,保证客户资料的机密性,维护客户的利益 机密性 信息安全 可用性 保护公司的商业机密和技术机密,维护公司的利益 完整性
2016年7月7日,南方持续高强度降雨,8
点开始,联想武汉工厂被大水包围,联想用大
巴紧急将2000多名员工运送出厂区,回到地势
较高的宿舍区
右图:业内疯传此乃联想备份 机房
911事件一年后,重返世贸大厦的企业由
原先的350家减少到150家,200家企业由于重
要信息系统破坏及关键数据丢失而永远倒闭消
失。
根据互联网数据中心(IDC 资讯)调查,
在20世纪最后10年中,美国发生过灾难的公司
中,55%的公司当即倒闭,剩下45%中由于信
息数据丢失,29%的公司在两年内倒闭,能生
存下来的仅16%。
人的因素:
人是复杂的,难于控制; 安全意识问题;
使用不当;
管理不当:
人员入职、离职管理; 权限管理; 系统设计缺陷;
最常见的安全问题 -- 信息泄露
根据调查统计,数据泄露是互联网金融公司最担心的安全风险,其它包括业务欺诈、APT 攻击、Ddos 攻击、WEB 攻击、恶意刷单。
目录
当前的安全形势
《关于促进互联网金融健康发展的指导意见》 《互联网金融风险专项整治工作实施方案》
《网络借贷信息中介机构业务活动管理暂行办法》 《中华人民共和国网络安全法》
《国家网络空间安全战略》
300G 以上攻击次数
单次DDoS 攻单次DDoS 攻
网络主控
击平均峰值 击最高峰值
端
Reflection 反射器数量增
加
的物联网设备数量
2016年Q3DDOS 态势
数据来源:绿盟科技2016Q3DDOS 态势报告
2016.09.18
OVH 公司遭受史上最大流量DDoS 攻击1Tb/s
2016.10.21
美国Dyn 的DNS 基础设施遭到DDoS 攻击,半个美国互联网瘫痪
宜信
信融财富 台无法访问
宜信
导致RTX 服务器被入侵
众易贷 台和门户网站无法访问
红岭创投 2015年4人信息泄露
芝麻金融 2015年7月信息被盗取
恒昌利通 2015年12台无法访问
致所有文档被加密
事件发酵
露曝光
2016
露,连续发生3起学生遭电信诈骗后猝死或自杀
目录
在全球范围内,网民最普遍使用的密码,排行榜前列的几项从2011年以来一直没改变,始终为123456。
网易企业邮箱,HTTPS 、口令复杂度要求、首次登陆强制修改密码,无法防暴力猜解
一月份的测试中发现31%的用户使用默认口令
离职人员邮箱账户没有及时注销
登录尝试脚本 + 用户密码字典
目录
应主动防止陌生人尾随进入办公区域,遇到陌生人,要上前主动询问;
禁止随意放置或丢弃含有敏感信息的纸质文件,需用碎纸机粉碎;
离开座位时,应将含有机密信息的资料锁入柜中,并对电脑进行锁屏;
应将复印或打印的资料及时取走;
不使用默认口令和弱口令;
认清域名,警惕钓鱼网站
定期系统补丁更新(每个月第二个周二)
安装防病毒软件
定期升级应用软件
下载文件,使用前先安全扫描
浏览网站需小心,不要随意安装控件
不随意点击链接网址
不随意打开聊天工具、邮件传来的附件
个人邮箱和企业邮箱严格分离
不轻易打开邮件附件,绝不打开.com 、.exe 、.bat 、.vb 等后缀的附件
不轻易点击邮箱中的网址链接
附件打开前先安全扫描
传输敏感信息时,压缩加密,并通过其他途径告知对方解压密码
定期修改邮箱密码
重要事项二次确认
切勿轻信陌生电话、短信中内容:
对于“开学通知”、“考试成绩单”、“户籍管理”、“手机实名制”、“交通违章”等病毒短信切忌点击其中链接。
不要轻信陌生电话、短信中所谓的“学校老师”、“公安机关”、“亲戚好友”“XX 公司工作人员”,必要时进行信息核实。
保护个人隐私信息,不轻易向他人透露个人信息:
不轻信任何400电话、170、171虚拟运营商电话、网购客服号码、955*银行客服号、10086运营商或陌生人打来的退款电话以及退款短信。
不要向任何陌生短信、电话透露个人账号、密码、身份证信息。
二维码目前已成为主要的染毒渠道之一:
由于二维码技术已经相对成熟,普通用户即可通过网上的二维码转换软件,任意合成二维码,并且从外观上并不能判断其安全性,这就更加方便了黑客针对二维码进行各种非法操作。
手机用户不要见码就扫
最好安装具备二维码恶意网址拦截的手机安全软件进行防护,以降低二维码染毒风险。