计算机信息安全培训课件

1、计算机信息安全管理培训,员工信息安全第一课,计算机信息安全培训,培训目的,1. 建立对信息安全的正确认识 2. 了解工作中面临的信息安全威胁和风险 3. 培养信息安全意识和良好的习惯,计算机信息安全培训,主要内容,1. 信息安全 2. 信息安全管理和信息安全管理体系 3. 信息安全与工作,计算机信息安全培训,前言,2006年4月8日，中国工程师，著名的传染病学家专家钟南山在上班的路上被劫匪抢走了笔记本电脑。事后中院士说“一个科技工作者的作品、心血都在电脑里面，电脑里还存着正在限制的新药方案，要是这个研究方案变成一种新药，那是几个亿的价值啊,这个案例仅仅是冰山一角，类似这样的事件几乎每天都在发生

2、。从这些案例可以看出，信息资产一旦遭到破坏，将给组织带来直接的损失，严重威胁到组织的生存。 因此，保护信息资产，解决信息安全问题，已成为组织必须考虑的问题,计算机信息安全培训,1. 信息安全,1.1 信息 1.2 信息安全,计算机信息安全培训,1.1 信息,什么是信息？ 在信息研究领域中对其没有确切的定义，但概括出来信息有两个性质： 一、和公司其它资源一样，是维持公司持续运作和管理的必要资产，例如政策方针、市场报告、科研数据、计划方案、竞争情报等等，这些信息可能从多个方面对公司运营产生影响。 二、可以是无形的，可借助于媒体以多种形式存在或传播；信息可以存储在计算机、磁带、纸张等介质中；信息可以

3、记忆在人的大脑里；信息可以通过网络、打印机、传真机等方式进行传播,计算机信息安全培训,1.1 信息,信息资产 对现代企业来说，具有价值的信息就是信息资产。一般主要有： 实物资产（电脑、打印机等硬件） 软件资产（操作系统、应用软件等） 数据资产（文件、凭据、源代码等） 人员资产（各级各类管理人员和技术人员） 服务资产（第三方提供的支持性服务）,计算机信息安全培训,1. 信息安全,1.1 信息 1.2 信息安全,计算机信息安全培训,1.2 信息安全,保持和维护信息的 保密性、完整性、可用性,网络安全,知识安全,数据安全,文件信息安全,内容安全,计算机安全,信息安全定义,计算机信息安全培训,1.2

4、信息安全,1.公司持续发展的需要： 任何公司正常运作离不开信息资源支持，这包括公司的知识产权、各种重要数据、信息处理设施、关键人员等，公司的商业机密泄露会丧失竞争优势，失去市场，公司要持续发展，信息安全是基本保障之一； 2.客户的需要： 我们在给客户提供服务的同时，也必将接触到客户的一些机密信息，例如:客户的技术数据、客户信息、内部运营信息等，而这些信息客户是不想人外人知晓的，保守客户的信息安全是客户的正常需要； 3.其它方面的需要：个人信息保密、国家信息安全等等,信息安全目的,计算机信息安全培训,1.2 信息安全,信息安全关注的信息类型,企业信息安全关注的信息类型,计算机信息安全培训,202

5、1/2/19,12,主要内容,1. 信息安全 2. 信息安全管理和信息安全管理体系 3. 信息安全与工作,计算机信息安全培训,2021/2/19,13,2 信息安全管理与信息安全管理体系,2.1 信息安全管理 2.2 信息安全管理体系,计算机信息安全培训,2021/2/19,14,什么信息安全管理,通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织信息安全目标的活动,2.1 信息安全管理,计算机信息安全培训,2021/2/19,15,我们接触到的信息安全管理的主要活动,制定信息安全相关的管理制度 信息安全的相关的培训 信息安全日常的监督检查 信息安全事件的处理 信息

6、安全管理体系的内部审核,2.1 信息安全管理,公司都有信息安全管理，那么怎么样才能很规范，有效的进行信息安全管理呢 ？公司引入了信息安全管理体系（ ISO 27001：2005,计算机信息安全培训,2 信息安全管理与信息安全管理体系,2.1 信息安全管理 2.2 信息安全管理体系,计算机信息安全培训,2021/2/19,17,2.2 信息安全管理体系,2.2.1 什么是管理体系 2.2.2 信息安全管理体系 2.2.3 信息安全管理体系认证,计算机信息安全培训,2021/2/19,18,目前流行的管理体系标准,环境管理体系 EMS ISO/IEC14000,质量管理体系 QMS ISO/IEC

7、 9001：2000等,2.2.1 什么是管理体系,职业安全卫生管理体系 OHSAS18000,信息安全管理体系 ISMS ISO/IEC 27001：2005,IT服务管理体系 ITMS ISO/IEC 20000-1：2005,管理体系标准 ： 国际化标准组织（ISO）参考西方各国管理标准特别是国际知名公司管理流程制定管理规范,管理体系 ： 公司依据国际化标准组织（ISO）制定管理标准，建立的以实现某种目标的管理系统,计算机信息安全培训,2.2 信息安全管理体系,2.2.1 什么是管理体系 2.2.2 信息安全管理体系 2.2.3 信息安全管理体系认证,计算机信息安全培训,公司依据信息安全

8、管理标准建立的在信息安全方面指挥和控制的管理系统，目标是实现公司信息安全目标,信息安全管理体系 (英文缩写ISMS,信息安全组织结构,信息安全方针、策略,信息安全控制措施,网络安全,各种活动、过程,信息安全目标应是可度量的 要素包括,2.2.2 信息安全管理体系,计算机信息安全培训,信息安全管理体系 (英文缩写ISMS,2.2.2 信息安全管理体系,安全管理模型PDCA,计算机信息安全培训,2.2 信息安全管理体系,2.2.1 什么是管理体系 2.2.2 信息安全管理体系概述 2.2.3 信息安全管理体系,计算机信息安全培训,公司信息安全管理方针,2.2.3 信息安全管理体系,优质、高效、安全

9、、规范,优质：为客户提供高品质的产品和服务,高效：以最高效率服务客户和发展企业,安全：保障企业和客户的各项资产安全,规范：建立规范的管理体系并严格执行,计算机信息安全培训,2021/2/19,24,公司信息安全管理体系目标,2.2.3 信息安全管理体系,大面积内网中断时间每年累计不超过100分钟,大规模病毒爆发每年不超过4次,重要信息设备丢失每年不超过1起,机密和绝密信息泄漏事件每年不超过2次,客户针对信息安全事件的投诉每年不超过2次,全员参与信息安全意识活动的比例每年不低于80,计算机信息安全培训,主要内容,1. 信息安全 2. 信息安全管理和信息安全管理体系 3. 信息安全与工作,计算机信

10、息安全培训,3. 信息安全与工作,3.1 工作中要接触的信息安全 3.2 计算机网络安全 3.3 计算机病毒防治 3.4 建立良好的安全习惯,计算机信息安全培训,3.1 工作中可能接触的信息安全,1.后台业务处理工作：对能够接触到的客户信息资产进行分类登记，评估其资产价值，确保所有客户信息资产在工作中安全可靠。 2.信用卡录入：防止客户资料外泄；杜绝员工录入资料错误。 3.信用卡营销：防止客户资料外泄。 4.银行卡外呼工作:防止客户资料外泄。 5.业务档案数字加工：会计档案的保密，信息泄露,计算机信息安全培训,3. 信息安全与工作,3.1 工作中要接触的信息安全 3.2 计算机网络安全 3.3

11、 计算机病毒防治 3.4 培养良好的安全习惯,计算机信息安全培训,3.2计算机网络安全,网络安全,网络安全主要指网络上的信息安全,包括物理安全，逻辑安全、操作系统安全、网络传输安全,计算机信息安全培训,3.2培养良好的信息安全习惯,网络安全,这里以3.1加以说明,图3.1,计算机信息安全培训,3.2计算机网络安全,网络安全,1.窃听,最简易的窃听方式是将计算机连入网络，利用专门的工具软件对在网络上传输的数据包进行分析。进行窃听的最佳位置是网络中的路由器，特别是位于关卡处的路由器,它们是数据包的集散地，在该处安装一个窃听程序，可以轻易获取很多秘密,计算机信息安全培训,3.2计算机网络安全,网络安

12、全,2.窃取,这种入侵方式一般出现在使用支持信任机制网络中。在这种机制下，通常，用户只需拥有合法帐号即可通过认证，因此入侵者可以利用信任关系，冒充一方与另一方连网，以窃取信息,计算机信息安全培训,3.2计算机网络安全,网络安全,3.会话窃取,会话劫夺指入侵者首先在网络上窥探现有的会话，发现有攻击价值的会话后，便将参与会话的一方截断，并顶替被截断方继续与另一方进行连接，以窃取信息,计算机信息安全培训,3.2计算机网络安全,网络安全,4.利用操作系统漏洞,任何操作系统都难免存在漏洞，包括新一代操作系统。操作系统的漏洞大致可分为两部分： 一部分是由设计缺陷造成的。包括协议方面的、网络服务方面的、共用

13、程序库方面的等等,另一部分则是由于使用不得法所致。这种由于系统管理不善所引发的漏洞主要是系统资源或帐户权限设置不当,计算机信息安全培训,3.2计算机网络安全,网络安全,5.盗用密码,盗用密码是最简单和狠毒的技巧。通常有两种方式,另一种比较常见的方法是先从服务器中获得被加密的密码表，再利用公开的算法进行计算，直到求出密码为止，这种技巧最常用于Unix系统,密码被盗用，通常是因为用户不小心被他人“发现”了。而“发现”的方法一般是“猜测”。猜密码的方式有多种，最常见的是在登录系统时尝试不同的密码，系统允许用户登录就意味着密码被猜中了,计算机信息安全培训,3.2计算机网络安全,网络安全,5.盗用密码,

14、盗用密码是最简单和狠毒的技巧。通常有两种方式,另一种比较常见的方法是先从服务器中获得被加密的密码表，再利用公开的算法进行计算，直到求出密码为止，这种技巧最常用于Unix系统,密码被盗用，通常是因为用户不小心被他人“发现”了。而“发现”的方法一般是“猜测”。猜密码的方式有多种，最常见的是在登录系统时尝试不同的密码，系统允许用户登录就意味着密码被猜中了,计算机信息安全培训,3.2计算机网络安全,网络安全,6.木马、病毒、暗门,暗门（trapdoor）又称后门（backdoor），指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的,计算机技术中的木马，是一种与计算机病毒类似的

15、指令集合，它寄生在普通程序中，并在暗中进行某些破坏性操作或进行盗窃数据。木马与计算机病毒的区别是，前者不进行自我复制，即不感染其他程序,计算机信息安全培训,3.2计算机网络安全,网络安全,防火墙技术概述,防火墙是一类防范措施的总称。这类防范措施简单的可以只用路由器实现，复杂的可以用主机甚至一个子网来实现。它可以在IP层设置屏障，也可以用应用层软件来阻止外来攻击,防火墙是用来连接两个网络并控制两个网络之间相互访问的系统。它包括用于网络连接的软件和硬件以及控制访问的方案。用于对进出的所有数据进行分析，并对用户进行认证，从而防止有害信息进入受保护网，为网络提供安全保障,计算机信息安全培训,3.3计算

16、机病毒及防治,计算机病毒的特点,Internet/Intranet的迅速发展和广泛应用给病毒增加了新的传播途径，网络将正逐渐成为病毒的第一传播途径。 Internet/Intranet带来了两种不同的安全威胁： 一种威胁来自文件下载，这些被浏览的或是通过FTP下载的文件中可能存在病毒；另一种威胁来自电子邮件,1.传染方式多，速度快，清理难度大 2.破坏性强 3.激发形式多样 4.潜在性,计算机病毒的传播途径,计算机信息安全培训,3.3计算机病毒及防治,常见的网络病毒,1.java程序病毒 2.ActiveX病毒 3.网页病毒 4.木马病毒 5.蠕虫病毒 6.网络服务器上的文件病毒 7.Inte

17、rnet上的文件病毒,计算机信息安全培训,3.3计算机病毒及防治,网络病毒防治及查杀,引起网络病毒感染的主要原因在于网络用户自身。因此，防范网络病毒应从两方面着手,加强网络管理人员的网络安全意识，对内部网与外界进行的数据交换进行有效的控制和管理，同时坚决抵制盗版软件； 以网为本，多层防御，有选择地加载保护计算机网络安全的网络防病毒产品,计算机信息安全培训,3.4培养良好的信息安全习惯,计算机使用安全,对个人用计算机要设置帐户密码， 信息安全规定个人电脑口令长度应该不低于6位，服务器口令长度应该不低于8位且最好要为大写字母、小写字母、数字、特殊字符的组合，防止非法用户猜出你的密码； 加强对计算机信息保护，离开机器时要及时对机器锁屏（Win+L）； 安装计算机防病毒软件，经常升级病毒库； 加强对移动计算机的安全保护，防止丢失,计算机信息安全培训,3.4培养良好的信息安全习惯,社交信息安全,不在电话中说工作敏感信息 不通过email传输敏感信息，如要通过EMAI