信息安全风险提示

以案说险（第五期）|信息安全风险提示

一、【基本概念】

采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性

二、【案例简介】

案例：内部员工泄漏客户信息

2019年3月，某公司员工李某在2015年12月至2017年8月期间，利用公司管理漏洞，从公司复制客户信息约1000万条，其在互联 上寻求购买公民信息的买家，并将584.96万条客户信息出售给出价较高的罗某，先后使用自己从 上购买的三张非本人户名的银行卡，收取出售公民个人信息款共计467.97万元。

影响：

利用已获取信息对受害者进行恶意攻击，进一步的身份信息盗窃和欺诈事件，制造垃圾邮件和 络钓鱼攻击等。

【风险提示】

内部员工安全意识薄弱泄露公司机密信息或因个人原因蓄意舞弊、泄密或攻击公司 络

外部黑客攻击公司 络，窃密或利用系统漏洞牟利

商业间谍或竞争对手窃取公司机密信息

恶意病毒软件在公司内部 络传播，影响公司业务正常运行。

遭邮件钓鱼或木马病毒盗 而泄密

系统交易支付数据被篡改或破坏

【安全意识】

1.密码安全知识

账户设置8位以上长度的密码，使用大小写字母，数字，特殊符合组合，不要为了贪图好记而使用纯数字密码。

不要使用与自己相关的资料作为个人密码，如自己或家人的生日、电话 码、身份证 码、门牌 、姓名简写。

不用单词做密码，可以找到一个生僻但易记的短语或句子（可以摘自歌曲、书本或电影），然后创建它的缩写形式，其中包括大写字母和标点符 等。在后面加复数s或者符 ，这样可以减小被猜出的机会。

不要一码走天下，要定期（最长6个月）更换密码，特别是遇到可疑情况的时候。

2.办公区域安全

? 出入公司刷门禁，随意拍照不许可

? 访客不能随意带进办公区

? 携带公司电脑出去时，应遵守规定

? 开完会后请擦干净白板，资料应及时取走，对不再使用的纸质资料，应使用碎纸机将其清理

? 禁止随意放置或丢弃含有敏感信息的纸质文件，

? 离开座位时，应将贵重物品、含有机密信息的资料锁入柜中，并对使用的电脑桌面进行锁屏

3.防范病毒攻击

?安装公司统一安装的防病毒软件，根据公司安全策略，定期更新升级病毒库。

?公司统一推送各漏洞补丁，安装过程中按提示步骤进行操作

?公司内使用可移动介质（U盘、移动硬盘）时，需先进行信息注册，注册后的可移动介质（U盘、移动硬盘），使用前应进行初始密码重置。使用可移动介质前先对其进行病毒扫描，确认没有病毒后再进行使用并妥善保管，避免遗失

?公司统一安装必备的办公软件，不能私自安装未经领导许可的软件或来历不明的，非正版的软件

?终端设备分配完毕后，不得擅自更改设备使用性质和用途，软件的安装/卸载、硬件的变更应获得桌面维护人员授权或技术支持。

4.邮件安全

1.可疑邮件

小心可疑的电子邮件。

发件人:“地址可能被欺骗!”

要验证是否来自员工，可以通过IM或当面询问。如有疑问，请将原邮件转发给我们!

2.接收邮件需注意

?不安全的文件类型：绝对不要打开任何以下文件类型的邮件附件：.bat, .com, .exe, .vbs

?未知的文件类型：绝对不要打开任何未知文件类型的邮件附件，包括邮件内容中到未知文件类型的链接

?微软文件类型：如果要打开微软文件类型（例如 .doc, .xls, .ppt等）的邮件附件或者内部链接，务必先进行病毒扫描

?要求发送普通的文本：尽量要求对方发送普通的文本内容邮件，而不要发送HTML格式邮件，不要携带不安全类型的附件

?禁止邮件执行Html代码：禁止执行HTML内容中的代码

?防止垃圾邮件：通过设置邮件服务器的过滤，防止接受垃圾邮件

3.邮件安全要求：

?不得传输任何不符合当地法规、国家法律的资料。不得传输任何骚扰性的、中伤他人的、恐吓性的、庸俗和淫秽的信息资料。不得传输任何教唆他人构成犯罪行为的资料；不得利用公司电子邮件服务泄漏公司的商业秘密。

?不得利用公司电子邮件服务发送连环邮件、分发垃圾邮件。不得利用公司电子邮件和电子邮件系统进行干扰或混乱 络服务、影响其它用户正常使用内部 功能与服务的行为。提高对于病毒邮件的防范意识，避免传递病毒邮件。

?不得利用公司电子邮件服务发送违反公司各项管理制度的邮件。不得利用公司电子邮件服务群发超大容量邮件，扰乱公司正常办公秩序。