员工信息安全意识培训.pptx

员工信息安全意识培训 主要内容 1、什么是信息安全？ 2、信息安全与我的关系？ 3、如何实现信息安全？ 4、如何做到信息安全？ 5、信息安全管理制度和法律法规！ 什么是信息安全？ 什么是信息？ 有意义的内容 对企业具有价值的信息，称为信息资产； 对企业正常发展具有影响作用，敏感信息，不论 是否属于有用信息。 什么是信息安全？ 信息安全的3要素： 保密性、完整性、可用性 目标：采取合适的信息安全措施 ，使安全事件对业务造成的影响 降低最小，保障组织内业务运行 的连续性。 信息安全与我的关系？ 常见威胁： 窃取、截取、伪造、篡改、拒绝服务攻击、非授权访问、传播病毒等； 主要的信息安全威胁 窃取：非法用户通过数据窃听的手段获得敏感信息。 截取：非法用户首先获得信息，再将此信息发送给真实接收者。 伪造：将伪造的信息发送给接收者。 篡改：非法用户对合法用户之间的通讯信息进行修改，再发送给接收者。 拒绝服务攻击：攻击服务系统，造成系统瘫痪，阻止合法用户获得服务。 非授权访问：未经系统授权而使用网络或计算机资源。 传播病毒：通过网络传播计算机病毒，其破坏性非常高，而且用户很难防范。 威胁来源： 自然灾害、意外事故； 计算机犯罪； 人为错误，比如使用不当，安全意识差等； “黑客“ 行为； 内部泄密； 外部泄密； 信息丢失； 网络协议自身缺陷缺陷，例如TCP/IP协议的安全问题等等。 信息安全与我的关系？ 某防病毒厂商2014年第一季度信息安全威胁报告： 在全球不同国家，共计发生427,598,028次恶意程序试图感染用户计算机的行为，同上 一季度相比，总体增长36.8%； 网络罪犯所采取的攻击策略有所改变； 互联网上占统治的地位的恶意软件家族主要针对HTML代码或脚本，网络罪犯主要用此 类家族的恶意软件感染合法网站； 共发现519,674,973个包含恶意程序的主机服务器。 同上季度相比，新发现和确认的漏洞数量增长了6.9%； 漏洞利用程序增长了31.3%。 几乎任何能够同计算机进行同步的设备都会被网络罪犯用来充当恶意软件的载体。 以企业为目标的攻击威胁数字上升； 攻击工具的普及使网路罪行较以往变得更轻易； 基于网站的攻击有增无减； 针对个人身份资讯的安全威胁持续增长。 垃圾邮件持续泛滥； 信息安全就在我们身边！ 信息安全需要我们每个人的参与！ 你该怎么办？ 如何实现信息安全？ 如何实现信息安全？ 如何实现信息安全？ 物理安全 计算机使用的安全 网络访问的安全 社会工程学 病毒和恶意代码 账号安全 电子邮件安全 重要信息的保密 应急响应 文件分类分级 使用过的重要文件及时销毁，不要扔 在废纸篓里，也不要重复利用 不在电话中说工作敏感信息，电话回 叫要确认身份 不随意下载安装软件，防止恶意程 序、病毒及后门等黑客程序 前来拜访的外来人员不得进入机房、 不得私有设备接入网络 加强对移动计算机的安全保护，防止 丢失； 重要文件做好备份 如何实现信息安全？ 防范社会工程学攻击 社会工程学是一种通过对受害者心理弱点、本能反 应、好奇心、信任、贪婪等心理陷阱进行诸如欺 骗、伤害等危害手段,取得自身利益的手法. 步骤：信息收集信任建立反追查 典型攻击方式： 环境渗透、身份伪造、冒名电话、信件伪造等 如何防范？ 如何实现信息安全？ 如何防范？ 仔细身份审核；（多重身份认证、来电显示确认、电话回 拨、EMAIL签名、动态密码验证等） 严格执行操作流程审核； 完善日志审计记录； 完善应对措施，及时上报； 注重保护个人隐私； 不要把任何个人和公司内部信息或是识别标识告诉他人， 除非你听出她或他的声音是熟人，并确认对方有这些信息 的知情权。 无论什么时候在接受一个陌生人询问时，首先要礼貌的拒 绝，直到确认对方身份。 20112011年年1010月月5 5日，定西临洮县太石镇邮政储蓄所的营业电脑突然死机日，定西临洮县太石镇邮政储蓄所的营业电脑突然死机 l l 工作人员以为是一般的故障，对电脑进行了简单的修复和重装处理工作人员以为是一般的故障，对电脑进行了简单的修复和重装处理 l l 1717日，工作人员发现打印出的报表储蓄余额与实际不符，对账发现，日，工作人员发现打印出的报表储蓄余额与实际不符，对账发现， 1313日发生了日发生了1111笔交易，笔交易，83.583.5万异地帐户是虚存（有交易记录但无实际现万异地帐户是虚存（有交易记录但无实际现 金）金） l l 紧急与开户行联系，发现存款已从兰州、西安等地被取走大半紧急与开户行联系，发现存款已从兰州、西安等地被取走大半 l l 储蓄所向县公安局报案储蓄所向县公安局报案 l l 公安局向定西公安处汇报公安局向定西公安处汇报 l l 公安处成立专案组，同时向省公安厅上报公安处成立专案组，同时向省公安厅上报 临洮县太石镇的邮政储蓄网点使用原始密码，没有定期更改，而且被临洮县太石镇的邮政储蓄网点使用原始密码，没有定期更改，而且被 员工周知，致使张某轻松突破数道密码关，直接进入了操作系统员工周知，致使张某轻松突破数道密码关，直接进入了操作系统 问题出现时，工作人员以为是网络系统故障，没有足够重视问题出现时，工作人员以为是网络系统故障，没有足够重视 看来，问题真的不少呀看来，问题真的不少呀 总结教训总结教训 最直接的教训：漠视口令安全带来恶果！最直接的教训：漠视口令安全带来恶果！ 归根到底，是管理上存在漏洞，人员安全意识淡薄归根到底，是管理上存在漏洞，人员安全意识淡薄 安全意识的提高刻不容缓！ l l 2003 2003年年3 3月，严父在家中安装开通月，严父在家中安装开通“ “股神通股神通” ”业务，进行即时股票交易。业务，进行即时股票交易。 l l 20032003年年6 6月的一天，严某偶得其父一张股票交易单，上有月的一天，严某偶得其父一张股票交易单，上有9 9位数字的账号位数字的账号 ，遂动了，遂动了“ “瞎猫碰死老鼠瞎猫碰死老鼠” ”的念头：该证券公司客户账号前的念头：该证券公司客户账号前6 6位数字是相同的位数字是相同的 ，只需猜后，只需猜后3 3位；而位；而6 6位密码，严某锁定为位密码，严某锁定为“ “123456123456” ”。 l l 严某严某” ”埋头苦干埋头苦干“ “，第一天连续输入了，第一天连续输入了30003000个数字组合，一无所获。个数字组合，一无所获。 l l 第二天继续，很快第二天继续，很快” ”奇迹奇迹“ “出现，严某顺利进入一个股票账户。利用相同出现，严某顺利进入一个股票账户。利用相同 的方法，严某又先后侵入了的方法，严某又先后侵入了1010余个股票账户。余个股票账户。 l l 严某利用别人的账户，十几天里共买进卖出严某利用别人的账户，十几天里共买进卖出10001000多万元股票，损失超过多万元股票，损失超过 1414万元，直到万元，直到6 6月月1010日案发。日案发。 l l 严某被以破坏计算机信息系统罪依法逮捕。严某被以破坏计算机信息系统罪依法逮捕。 事情是这样的事情是这样的 16 总结教训总结教训 又是口令安全的问题！又是口令安全的问题！ 又是人的安全意识问题！又是人的安全意识问题！ 再次强调安全意识的重要性！ 如何做到信息安全 原则上外来设备不允许接入公司内部网络，如有业务需要，需申请审批通过后方可使用 。外来设备包括外部人员带到公司的笔记本电脑、演示机、测试机等。 公司内计算机严格限制使用包括移动硬盘、U盘、MP3、带存储卡的设备等的移动存储 设备，除工作必须要长期使用移动存储的可申请开通外，公司内的计算机禁止使用移动 存储设备。 公司内严禁使用盗版软件和破解工具，如有工作需要，应通过公司采购正版软件或使用 免费软件 不经批准，严禁在公司内部架设FTP，DHCP，DNS等服务器 测试用机未经批准，严禁转移到公司办公网络、或将办公电脑转移到测试外网使用。 测试规定 任何部门和个人不得私自将包括HUB、交换机、路由器等的网络设备接入公司网络中。 原则上不得使用网络共享，如因工作原因需要使用的，必须遵循最小化授权原则，删除 给所有人(everyone)的共享权限，只共享给需要访问的人员，并且在使用后立即关闭。 发现中毒后要断开网络，并及时报告IT人员，等待IT人员来处理。 如何做到信息安全 严禁使用扫描工具对网络进行扫描和在网络使用黑客工具 不得以任何方式将公司信息（包括网络拓扑、IP地址、安全策略、帐号，口令等）告知 不相关的人员 内部计算机的操作系统、IIS,数据库、FTP以及所有企业应用（如电子邮件系统、即时通 讯工具等）中，必须设置用户口令，严禁使用空口令、弱口令或缺省口令。一经发现将 被行政处罚。 口令长度应在8个字符以上，还应包括大小写字母，特殊符号和数字。口令应该在一个 月内更换,重要的和使用频繁的口令视情况缩短更改周期。不允许使用前3次用过的口令 。 严禁卸载或关闭安全防护软件和防病毒软件，如有系统补丁必须及时安装。 离开电脑要锁屏。 信息安全管理制度和法律法规 n系统保护 中华人民共和国计算机信息系统安全保护条例 计算机信息网络国际联网安全保护管理办法 n安全产品 商用密码管理