信息安全培训教程.ppt

海航集团信息安全,海南海航航空信息系统有限公司 2019年7月,2,信息安全的重要性,2,集团信息安全防范,3,集团信息安全管理,1,3,信息安全的重要性,信 息 是一种资产，就像其他商业资产一样，对组织是有价值的，因此需要妥善保护。 信息安全 是指保护信息免受多种威胁的攻击，保证业务连续性，将业务损失降至最少，同时最大限度的获得投资回报和利用商业机遇 特性：保密性 完整性 可用性,4,信息安全的重要性,为什么需要信息安全 信息和支持进程、系统以及网络都是重要的业务资产。为保证组织富有竞争力，保持现金流顺畅和组织赢利，以及遵纪守法和维护组织的良好商业形象。 信息的威胁是客观存在的，但其风险是可以控制乃至规避,5,信息安全的重要性,技术,管理,意识,信息安全,6,信息安全的重要性,集团信息安全防范,3,集团信息安全管理,1,2,7,集团信息安全防范,海航集团信息安全局势 随着海航集团的不断发展，避免数据丢失或商业秘密遗失，已成为一项涉及海航集团内各单位及员工个人利益的重要管理内容。为加强海航集团计算机使用和信息安全管理，防止失密、泄密事件的发生，集团每个员工应该充分重视安全问题，树立起信息安全意识。,8,集团信息安全防范IT基本原则,IT规划管理层 集团CIO 信息管理部,IT设计实施层 信息公司,9,集团信息安全防范,安全操作,帐号管理,密码管理,病毒防范,安全意识,10,集团信息安全防范帐号管理,什么是帐号 帐号是通往信息资源的一扇门 不同角色的帐号拥有不同级别的权限 集团内使用的帐号主要有操作系统帐号、E网帐号、业务系统帐号 海航集团E网办公平台的唯一标识为个人E网帐号,11,集团信息安全防范帐号管理,如何保护帐号 为帐号加设具备相当安全级别的密码 不要轻易透露帐号 帐号策略 帐号攻击 ,12,集团信息安全防范帐号管理,如果员工A的E网帐号被员工B盗用后在“董事长信箱”内发表违反企业文化的言论后，员工A又在“董事长信箱”发表声明或主动通知相关单位称帐号被盗用，那么_。 A：员工A没有责任 B：员工A与员工B同样承担责任,案 例,13,集团信息安全防范,安全操作,帐号管理,密码管理,病毒防范,安全意识,14,集团信息安全防范密码管理,密码,=,15,集团信息安全防范密码管理,你在工作中哪里会用到密码 使用个人的办公电脑 使用邮件系统 使用公文流转系统 使用业务系统 访问重要的电子文档 访问共享文件夹 远程访问集团网络 ,16,集团信息安全防范密码管理,如何管理密码 个人E网帐号更改在E网首页热点栏目中 “更改密码”进行。 帐号口令初始化，由帐号使用员工所在单位的“信息管理员”或帐号责任人（公用邮箱等）通过邮件系统通知信息公司处理。 信息公司完成帐号口令初始化后，通过邮件将新帐号口令回复“信息管理员”或“帐号责任人”，帐号使用人得到初始化口令后应立即更改。 遇节假日或紧急情况，“信息管理员”不能发邮件时，员工应持本人海航集团工作证亲自到信息公司办公地点办理个人E网帐号口令初始化业务。 帐号口令强制更新周期为三个月，最近三次帐号口令不应相同。,17,集团信息安全防范密码管理,安全的密码 集团规定密码长度设定不应小于6位 密码应由字母、数字、符号组合(包含大小写)而成 脆弱的密码 信息泄漏 病毒入侵 抢占资源（网络运行缓慢） ,18,集团信息安全防范密码管理,重要的密码 充分认识密码的重要性，把集团内使用的密码当作银行卡密码一样重要，妥善保管，不要泄露！,19,集团信息安全防范,安全操作,帐号管理,密码管理,病毒防范,安全意识,20,集团信息安全防范病毒防范,计算机病毒 是指那些含有“恶意代码”的程序和软件，它包括网络蠕虫、木马病毒、流氓软件（包括间谍软件、广告软件、浏览器劫持等）、垃圾邮件等。,21,集团信息安全防范病毒防范,计算机病毒有哪些危害 数据丢失或被非法获取 系统故障甚至崩溃 发送非法网络数据包，网络速度严重降低 影响正常的办公，生产效率降低 经济遭受损失 ,22,集团信息安全防范病毒防范,病毒通过哪些途径攻击 脆弱的密码 网络上没有安装防病毒软件的电脑 操作系统的安全漏洞 电子邮件 因特网的web页面 软盘、盗版光盘等存储介质 黑客软件或网络工具 完全共享文件夹 ,23,集团信息安全防范病毒防范,如何防止病毒入侵 谁对病毒的防护负责？ 海航集团使用什么防病毒软件？ 当你受到病毒威胁时应该怎么做？,我,趋势Officescan,立即断开网络,24,集团信息安全防范病毒防范,当你收到一封来自朋友或同事的邮件，警告你的机器感染了新病毒，同时附带了一个压缩成ZIP的附件，并告诉你解压运行该附件去查杀你系统中的病毒，请问你这时你该怎么做？,案 例,专家建议：这类邮件很可能是经过伪造的邮件，附件可能隐藏有病毒，建议直接删除或转发给IT部门处理。,25,集团信息安全防范,安全操作,帐号管理,密码管理,病毒防范,安全意识,26,集团信息安全防范安全意识,网络钓鱼 攻击者利用欺骗性的电子邮件和伪造的Web站点来进行的诈骗活动。 受骗者往往会泄露自己的财务信息，如信用卡号、账户用和口令、社保编号等内容。 诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。,27,集团信息安全防范安全意识,网络钓鱼常用的攻击方法 发送电子邮件，以虚假信息引诱用户中圈套 复制图片和网页设计、相似的域名建立假冒网上银行、网上证券网站等，骗取用户信息 利用虚假的电子商务进行诈骗 利用木马和黑客技术等手段窃取用户信息 利用用户弱口令等漏洞破解、猜测用户帐号和密码 URL地址隐藏黑客工具 通过弹出窗口和隐藏提示 利用社会工程学 ,28,集团信息安全防范安全意识,如何防范网络钓鱼 针对电子邮件欺诈，在收到可疑邮件就要提高警惕，不要轻易打开和听信 针对假冒网上银行、网上证券网站的情况，网络用户要注意辨认网站真伪 针对来电询问用户名密码的情况要提高警觉，不要轻易透露 ,29,集团信息安全防范安全意识,网吧机器中存在大量为窃取QQ等帐号密码而隐藏的恶意软件，避免在网吧使用集团帐号，如不得已，应在使用后及时修改密码。,案 例,30,集团信息安全防范安全意识,哪些安全事件应及时报告 E网帐号被盗用 帐号共用 集团资源被人非法获取 发现一位已经离职的员工还能访问集团网络资源 把自己的帐号密码提供给外单位甚至是竞争对手使用 ,31,集团信息安全防范,安全操作,帐号管理,密码管理,病毒防范,安全意识,32,集团信息安全防范安全操作,安全操作 操作系统（账户管理、离开锁定） 应用系统（生产业务系统） 网页浏览（插件、登记信息） 数据传输（即时通软件、内外邮箱、移动存储介质）,33,集团信息安全防范安全操作,请判断：访问互联网时，只浏览网页信息，不下载程序就不会中病毒？ A：对 B：错,案 例,34,集团信息安全防范安全操作,假如你正在访问某个网站时，屏幕上弹出如下提示，这时你该怎么做？,案 例,专家建议：不要轻易以真实信息在因特网上注册登记，特别是那些要求你填写邮件地址的注册请求，否则有可能会造成垃圾邮件侵扰或个人真实信息被盗取。,35,集团信息安全防范安全操作,当你访问到某个网页时弹出一个对话框，内容是：“这是一个网速提升工具，它会提高你浏览因特网的速度，请点击这里安装”，这时你是否应该安装？,案 例,专家建议：请不要安装。它有可能是一个“间谍软件”，这类软件程序里包含的代码会可能产生信息安全隐患。,36,集团信息安全防范安全操作,当你的工作邮箱中收到一封“为了你身边的朋友，请将这封邮件转发给你X位朋友”，或者其他与工作无关的带有大容量附件的邮件，你该怎么做？,案 例,专家建议：请不要广泛转发。它带有的大容量附件在群发过程中会造成邮件系统负荷过重，导致系统运行缓慢或系统故障，为他人工作带来影响。,37,信息安全的重要性,集团信息安全防范,集团信息安全管理,1,2,3,38,集团信息安全管理,2004年4月13日，集团某单位发出的“关于VIP宾客汇总单”的邮件被上海市保密局截获，对于此国家机密泄露隐患，局方责令我司立即整改。 2004年5月31日，集团系统管理员例行检查时发现一网络用户在5月29日19:3021:20间试图非法尝试登陆我集团财务结算系统，后查证为某成员公司X职员将本人E网帐号共享给Y职员使用，Y职员利用该帐号通过黑客软件攻击集团内部机器。 2005年1月4日7日，集团爆发一起大规模针对系统安全漏洞的网络病毒，众多防护不力的客户端机器迅速成为新的病毒源不断掀起病毒冲击，整个网络充斥着大量的病毒和非法数据包，直接导致众多用户无法正常访问集团E网等系统。 2006年9月21日