信息安全培训参考资料

2019,公司信息安全意识培训,引言授之以鱼（产品），不如授之以渔（技术），更不如激之以欲（意识）,目录,什么是信息安全,WHATISINFORMATIONSECURITY,一,怎样搞好信息安全,HOWTOIMPROVEINFORMATIONSECURITY,二,信息安全基本概念,BASICCONCEPTOFINFORMATIONSECURITY,三,信息产业现状,CURRENTSITUATIONOFINFORMATIONINDUSTRY,四,第一章,信息安全无处不在,什么是信息安全,Router,Server,Monitor,Folder,什么是信息安全,不只有产品技术才是信息安全,事件管理,开发安全,安全策略,安全组织,人员安全,资产管理,请信息安全无处不在,Informationsecurityiseverywhere,信息安全,物理安全,网络安全,法律合规,业务连续,访问控制,第二章,要建立信息安全体系,怎样搞好信息安全,怎样搞好信息安全,HOWTOIMPROVEINFORMATIONSECURITY,一个软件公司的老总，等他所有的员工下班之后，他在那里想：我的企业到底值多少钱呢？假如它的企业市值1亿，那么此时此刻，他的企业就值2600万。因为据Delphi公司统计，公司价值的26%体现在固定资产和一些文档上，而高达42%的价值是存储在员工的脑子里，而这些信息的保护没有任何一款产品可以做得到，所以需要我们建立信息安全管理体系，也就是常说的ISMS！,信息在哪里,Whereistheinformation?,纸质文档电子文档员工其他信息介质,第一个小测试,您离开家每次都关门吗？您离开公司每次都关门吗？您的保险箱设密码吗？您的电脑设密码吗？,如果您记得关家里的门，而不记得关公司的门，说明您可能对公司的安全认知度不够。如果您记得给保险箱设密码，而不记得给电脑设密码，说明您可能对信息资产安全认识不够。,答案解释,11,这就是意识缺乏的两大症结,不看重大公司，更看重小家庭。,钞票更顺眼，信息无所谓。,公司,信息安全搞好了,公司赚钱了,您就涨了,领导笑了,信息安全搞砸了,公司赔钱了,领导怒了,WHY？,您就跌了,思想上的转变,信息比钞票更重要，更脆弱，我们更应该保护它。,WHY？,装有100万的保险箱,需要3个悍匪、,公司损失：100万,1辆车，才能偷走。,装有客户信息的电脑,只要1个商业间谍、,1个U盘，就能偷走。,公司损失：所有客户！,典型案例,事件：据新华网3月19日援引英国观察家报、卫报及美国纽约时报消息报道，剑桥分析公司（CambridgeAnalytica）“窃取”5000万脸书用户的信息，是脸书自创建以来最大的用户数据泄露事件之一。数据泄露的源头，是英国剑桥大学心理学教授亚历山大科根（AleksandrKogan）2014年推出的一款应用软件(App)，名为“这是你的数字化生活”（thisisyourdigitallife），向脸书用户提供个性分析测试，推介语是“心理学家用于做研究的App”。当时，共27万名脸书用户下载这一应用。,公司的利益就是自己的利益，不保护公司，就是不保护自己。电脑不仅仅是工具，而是装有十分重要信息的保险箱。,安全名言,第三章,信息安全无处不在,信息安全的基本概念,在计算机安全领域有一句格言：“真正安全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”显然，这样的计算机是无法使用的。,绝对的零风险是不存在的，要想实现零风险，也是不现实的；计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。,绝对的安全是不存在的,关注刘匠公众号，免费获取1000元PPT素材模板大礼包,安全是一种平衡,安全控制的成本,安全事件的损失,最小化的总成本,低,高,高,安全成本/损失,所提供的安全水平,关键是实现成本利益的平衡,信息的价值,信息的价值=使用信息所获得的收益获取信息所用成本信息具备了安全的保护特性,广义上讲领域涉及到信息的保密性，完整性，可用性，真实性，可控性的相关技术和理论。本质上保护系统的硬件，软件，数据防止系统和数据遭受破坏，更改，泄露保证系统连续可靠正常地运行，服务不中断两个层面技术层面防止外部用户的非法入侵管理层面内部员工的教育和管理,信息安全的定义,信息安全的基本目标,保密性，完整性，可用性,CIA,C,I,A,onfidentiality,ntegrity,vailability,信息生命周期,创建,使用,销毁,更改,存储,传递,第四章,信息安全无处不在,信息产业现状,信息产业发展迅猛,截至2018年6月，我国网民规模为8.02亿，上半年新增网民2968万人，较2017年末增加3.8%，互联网普及率达57.7%。截至2018年6月，我国手机网民规模达7.88亿，上半年新增手机网民3509万人，较2017年末增加4.7%，网民中使用手机上网人群的占比达98.3%。截至2018年6月，我国农村网民占比为26.3%，规模为2.11亿，较2017年末增加1.0%；城镇网民占比73.7%，规模为5.91亿，较2017年末增加4.9%。截至2018年6月，我国网民使用手机上网的比例达98.3%，较2017年末提升了0.8个百分点；使用台式电脑、笔记本电脑上网的比例分别为48.9%、34.5%，较2017年分别下降4.1、1.3个百分点；网民使用电视上网的比例达29.7%，较2017年末提升了1.5个百分点。截至2018年5月，我国市场上监测到的移动应用程序（app）在架数量为415万款。排名前三的应用类别依次是游戏类应用、生活服务类应用和电子商务类应用，占比分别是36.6%、13.6%、10.0%。截至2018年6月，我国IPv6地址数量为23555块/32，半年增长0.53%。截至2018年6月，中国国际出口带宽为8,826,302Mbps，半年增长率为20.6%。,信息安全令人担忧,内地企业44%信息安全事件是数据失窃,普华永道最新发布的2018年度全球信息安全调查报告显示，中国内地企业在信息安全管理方面存在滞后，信息安全与隐私保障方面已被印度赶超。数据显示，内地企业44%的信息安全事件与数据失窃有关，而全球的平均水平只有16%。普华永道的调查显示，中国内地企业在改善信息安全机制上仍有待努力，从近年安全事件结果看，中国每年大约98万美元的财务损失，而亚洲国家平均约为75万美元，印度大约为30.8万美元。此外，42%的中国内地受访企业经历了应用软件、系统和网络的安全事件。,安全事件（1）,AcFun：900万条用户数据泄露事件：2018年6月13日凌晨，AcFun弹幕视频网（以下简称“A站”）发布公告称，该网站受到黑客攻击，近千万条用户数据遭泄露。随后，有网友陆续晒出从今年3月到6月不同时期，暗网兜售A站用户数据的信息及价目表。对于此次泄露事件，A站已联合内部和外部的技术专家成立了安全专项组，排查问题并升级了系统安全等级，对AcFun服务器做全面系统加固，实现技术架构和安全体系的升级。,安全事件（2）,前程无忧：195万条个人求职简历泄露事件：2018年6月16日，网上有人开始叫卖招聘网站前程无忧用户信息，其中涉及195万用户求职简历，随后前程无忧方面确认部分用户账户密码被撞库。为了证实泄露数据的真实性，前程无忧方面还进行了一定的测试，结果发现信息是真实可靠的，不过官方强调，数据中绝大部分来自于一些邮箱泄露的账户密码，且都是在2013年之前注册。对此前程无忧强调，出现这样的情况并非拖库，而是恶意用户通过这些已泄露的邮箱账户及密码，对相应的站点进行登录匹配，然后蓄意倒卖。,安全事件（3）,圆通：10亿条用户信息数据被出售2018年6月19日，有人开始兜售圆通10亿条快递数据，按照卖家的说法，这些是2014年下旬的数据，数据信息包括寄(收)件人姓名，电话，地址等信息，都是圆通内部人士批量出售而来(只要快递单信息进入电脑他们就可以获取)。随后，有网友验证了其中一部分数据，发现所购“单号”中，姓名、电话、住址等信息均属实。按照当时售价来说，用户只要花430元人民币即可购买到100万条圆通快递的个人用户信息(10亿条数据1比特币)，而10亿条数据则需要约43000元人民币。,安全事件（4）,勒索病毒GlobeImposter事件：2018年2月，勒索病毒GlobeImposter家族最新变种在国内爆发，大批企业用户纷纷中招，其中不乏政府、高校、医院等公共基础设施。勒索病毒文件一旦被用户点击打开，会利用连接至黑客的CC服务器，进而上传本机信息并下载加密公钥和私钥。然后，将加密公钥私钥写入到注册表中，遍历本地所有磁盘中的Office文档、图片等文件，对这些文件进行格式篡改和加密;加密完成后，还会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。该类型病毒可以导致重要文件无法读取，关键数据被损坏，给用户的正常工作带来了极为严重的影响。,安全事件（5）,苹果iOSiBoot源码泄露事件：2018年2月，开源代码分享网站GitHub（软件项目托管平台）上有人共享了iPhone操作系统的核心组件源码，泄露的代码属于iOS安全系统的重要组成部分iBoot。iBoot相当于是Windows电脑的BIOS系统。此次iBoot源码泄露可能让数以亿计的iOS设备面临安全威胁。iOS与MacOS系统开发者JonathanLevin表示，这是iOS历史上最严重的一次泄漏事件。,深度分析,这样的例子还有很多,信息安全迫在眉睫！,关键是做好预防控制！,隐患险于明火！预防重于救灾！,首先要关注内部人员的安全管理！,关于员工安全管理的建议,根据不同岗位的需求，在职位描述书中加入安全方面的责任要求，特别是敏感岗位在招聘环节做好人员筛选和背景调查工作，并且签订适当的保密协议在新员工培训中专门加入信息安全内容工作期间，根据岗位需要，持续进行专项培训通过多种途径，全面提升员工信息安全意识落实检查监督和奖惩机制员工内部转岗应做好访问控制变更控制员工离职，应做好交接和权限撤销,切不可忽视第三方安全！,关于第三方安全管理的建议,识别所有相关第三方：服务提供商，设备提供商，咨询顾问，审计机构，物业，保洁等识别所有与第三方相关的安全风险，无论是牵涉到物理访问还是逻辑访问在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定在与第三方签订协议时特别提出信息安全方面的要求，特别是访问控制要求对第三方实施有效的监督，定期Review服务交付,物理环境中需要信息安全！,关于物理安全的建议,将敏感设备和信息放置在受控的安全区域所有到受控区域的入口都应该加锁、设置门卫，或者以某种方式进行监视，并做好进出登记如果进出需要ID徽章，请随身带好，严禁无证进入钥匙和门卡仅供本人使用，不要交给他人使用严格控制带存储和摄像功能的手持设备的使用使用公共区域的打印机、传真机、复印机时，一定不要遗留敏感文件移动电脑是恶意者经常关注的目标，一定要注意保护使用碎纸机，谨防敏感文件通过垃圾篓而泄漏如果发现可疑情况，请立即报告,日常工作需特别留意信息安全！,关于口令的一些调查结果,一个有趣的调查发现，如果你用一条巧克力来作为交换，有70的人乐意告诉你他（她）的口令有34的人，甚至不需要贿赂，就可奉献自己的口令另据调查，有79的人，在被提问时，会无意间泄漏足以被用来窃取其身份的信息姓名、宠物名、生日、球队名最常被用作口令平均每人要记住四个口令，大多数人都习惯使用相同的口令（在很多需要口令的地方）33的人选择将口令写下来，然后放到抽屉或夹到文件里,日常工作需特别留意信息安全！,什么样的口令是比较脆弱的？,少于8个字符单一的字符类型，例如只用小写字母，或只用数字用户名与口令相同最常被人使用的弱口令：自己、家人、朋友、亲戚、宠物的名字生日、结婚纪念日