信息安全意识培训教学课件(65p)

1、*1信息安全意识培训第1页，共66页。2123什么是信息安全？信息安全基本概念主要内容如何保护好信息安全第2页，共66页。3装有100万的 保险箱需要 3个悍匪、公司损失： 100万装有客户信息的 电脑只要 1个商业间谍、1个U盘，就能偷走。公司损失：所有客户！1辆车，才能偷走。第3页，共66页。4什么是信息安全？不止有产品、技术才是信息安全第4页，共66页。5信息安全无处不在信息安全 人员安全物理安全事件管理安全策略法律合规开发安全安全组织资产管理业务连续网络安全访问控制第5页，共66页。广义上讲 领域 涉及到信息的保密性，完整性，可用性，真实性，可控性的相关技术和理论。本质上保护 系统的硬

2、件，软件，数据防止 系统和数据遭受破坏，更改，泄露保证 系统连续可靠正常地运行，服务不中断两个层面技术层面 防止外部用户的非法入侵管理层面 内部员工的教育和管理6信息安全的定义第6页，共66页。7信息安全基本目标保密性， 完整性， 可用性CIAonfidentiality ntegrityvailabilityCIA第7页，共66页。 一个软件公司的老总，等他所有的员工下班之后，他在那里想：我的企业到底值多少钱呢？假如它的企业市值1亿，那么此时此刻，他的企业就值2600万。 因为据Delphi公司统计，公司价值的26%体现在固定资产和一些文档上，而高达42%的价值是存储在员工的脑子里，而这些信

3、息的保护没有任何一款产品可以做得到，所以需要我们建立信息安全管理体系，也就是常说的ISMS（information security management system）！8怎样搞好信息安全？第8页，共66页。9绝对的安全是不存在的绝对的零风险是不存在的，要想实现零风险，也是不现实的；计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。 在计算机安全领域有一句格言：“真正安全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。” 显然，这样的计算机是无法使用的。第9页，共

4、66页。信息安全事件 泄密事件 点评 1 “棱镜门”事件 斯诺登充分暴露NSA的信息窃密手段，对世界信息安全及信息化格局产生深远影响。 2 英国离岸金融业200多万份邮件等文件泄密 范围涉及170个国家13万富豪，是具有重大影响的金融安全事件。 3 支付宝转账信息被谷歌抓取 作为国内使用最广泛的支付平台，影响面大，是互联网金融安全的典型案例。 4 如家等快捷酒店开房记录泄露 涉及个人深度隐私，影响部分人家庭团结和社会稳定。 5 中国人寿80万份保单信息泄密 保单信息包含详尽的个人隐私信息，对个人声誉及生活影响大。 6 搜狗手机输入法漏洞导致大量用户信息泄露 移动应用漏洞利用导致泄密情况值得警惕

5、，微信漏洞泄密个人关系图谱也证明该问题。 7 Adobe 300万账户隐私信息泄露 云计算方式会将软件单个漏洞影响扩大化。 8 雅虎日本再遭入侵 2200万用户信息被窃取 二次泄密，国际巨头对用户隐私也持漠视态度。 9 圆通百万客户信息遭泄露 快递行业信息泄密愈演愈烈。 10 东航等航空公司疑泄露乘客信息 泄露用户行程，不少用户反映受诈骗和影响行程安排，影响出行安全。网友总结的2013年十大信息安全事件第10页，共66页。第11页，共66页。支付宝转账信息被谷歌抓取，直接搜索“site:”就能搜到转账信息，数量超过2000条。第12页，共66页。13 这样的事情还有很多信 息 安 全迫 在 眉

6、 睫！第13页，共66页。从身边做起良好的安全习惯第14页，共66页。15重要信息的保密重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学第15页，共66页。16Public公开Internal Use内部公开Confidencial秘密Secret机密、绝密信息保密级别划分第16页，共66页。17 各类信息，无论电子还是纸质，在标注、授权、访问、存储、拷贝、传真、内部和外部分发（包括第三方转交）、传输、处理等各个环节，都应该遵守既定策略 信息分类管理程序只约定要求和原则，具体控制和实现方式，由

7、信息属主或相关部门确定，以遵守最佳实践和法律法规为参照 凡违反程序规定的行为，酌情予以纪律处分案例视频信息处理与保护第17页，共66页。18工作环境及物理安全重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学第18页，共66页。19 禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用碎纸机粉碎 废弃或待修磁介质转交他人时应经IT专业管理部门消磁处理在复印机复印完成后，带走全部的复印材料等等 工作环境安全第19页，共66页。20注意你的身边！注意最细微的地方！第20页，共66页。21 您肯定用

8、过银行的ATM机，您插入银行卡，然后输入密码，然后取钱，然后拔卡，然后离开，您也许注意到您的旁边没有别人，您很小心，可是，您真的足够小心吗？我们来看一个案例第21页，共66页。22第22页，共66页。23第23页，共66页。24第24页，共66页。25第25页，共66页。26第26页，共66页。WIFI安全 WiFi是一种短程无线传输技术，能够在数百英尺范围内支持互联网接入的无线电信号。随着技术的发展，以及IEEE802.11a、802.11b、802.11g以及802.11n等标准的出现，现在IEEE802.11这个标准已被统称作WiFi。 第二次世界大战后，无线通讯因在军事上应用的成功而受

9、到重视，但缺乏广泛的通讯标准。于是，IEEE（美国电气和电子工程师协会）在1997年为无线局域网制定了第一个标准IEEE802.11。IEEE 802.11标准最初主要用于解决办公室局域网和校园网中用户的无线接入，其业务主要限于数据存取，速率最高只能达到2Mbps。 在WiFi技术的发展过程中，除了传输速率不断提升之外，安全加密技术的不断增强也是其技术标准频繁更新的重要原因。而最早进入WiFi标准的加密技术名为WEP（Wired Equivalent Privacy，有线等效保密），但由于该技术的加密功能过于脆弱，很快就被2003年和2004年推出的WPA（WiFi Protected Acc

10、ess，WiFi网络安全存取）和WPA2技术所取代。 第27页，共66页。WIFI安全 但即使是较新的WPA2加密技术，仍然在无线开放环境下存在安全性较弱、无法满足电信级高可靠性要求等问题，为此，我国依据“商用密码管理条例”制定了针对WiFi既有安全加密技术漏洞自主安全标准WAPI（Wireless LAN Authentication and Privacy Infrastructure，无线网络鉴别保密基础结构）。 2009年6月，工信部发布新政，宣布加装WAPI功能的手机可入网检测并获进网许可。当月，包括美国代表在内的参会成员一致同意，将WAPI作为无线局域网络接入安全机制独立标准形式推

11、进为国际标准。WIFI安全视频第28页，共66页。29病毒与恶意代码重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学第29页，共66页。30中华人民共和国计算机信息系统安全保护条例 “计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”什么是计算机病毒第30页，共66页。31病毒 Virus蠕虫 Worm木马 Trojan传统的计算机病毒，具有自我繁殖能力，寄生于其他可执行程序中的，通过磁盘拷贝、文件共享、电子邮件

12、等多种途径进行扩散和感染网络蠕虫不需借助其他可执行程序就能独立存在并运行，通常利用网络中某些主机存在的漏洞来感染和扩散特洛伊木马是一种传统的后门程序，它可以冒充正常程序，截取敏感信息，或进行其他非法的操作病毒 蠕虫 木马第31页，共66页。32 所有计算机必须部署指定的防病毒软件 防病毒软件必须持续更新 感染病毒的计算机必须从网络中隔离直至清除病毒 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度 发生任何病毒传播事件，相关人员应及时向IT管理部门汇报 仅此就够了么恶意代码防范策略第32页，共66页。33 除了蠕虫、病毒、木马等恶意代码，其他恶意代码还包括逻辑炸弹、远程控制后门等

13、 现在，传统的计算机病毒日益与网络蠕虫结合，发展成威力更为强大的混合型蠕虫病毒，传播途径更加多样化（网络、邮件、网页、局域网等） 通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木马程序，但并不能防止未知病毒，需要经常更新让我们继续第33页，共66页。下载文件注意防范“李鬼”第34页，共66页。第35页，共66页。第36页，共66页。37口令安全重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学第37页，共66页。38 用户名+口令是最简单也最常用的身份认证方式 口令是抵御攻击的第一道防线，防止冒名

14、顶替 口令也是抵御网络攻击的最后一道防线 针对口令的攻击简便易行，口令破解快速有效 由于使用不当，往往使口令成为最薄弱的安全环节 口令与个人隐私息息相关，必须慎重保护为什么口令很重要第38页，共66页。39 如果你以请一顿工作餐来作为交换，有70的人乐意告诉你他（她）的机器口令 有34的人，甚至不需要贿赂，就可奉献自己的口令 另据调查，有79的人，在被提问时，会无意间泄漏足以被用来窃取其身份的信息 平均每人要记住四个口令，95都习惯使用相同的口令（在很多需要口令的地方） 33的人选择将口令写下来，然后放到抽屉或夹到文件里一些数字第39页，共66页。40 少于8个字符 单一的字符类型，例如只用小

15、写字母，或只用数字 用户名与口令相同 最常被人使用的弱口令： 自己、家人、朋友、亲戚、宠物的名字 生日、结婚纪念日、电话号码等个人信息 工作中用到的专业术语，职业特征 字典中包含的单词，或者只在单词后加简单的后缀 所有系统都使用相同的口令 案例视频 口令一直不变脆弱的口令第40页，共66页。41 口令是越长越好 但“选用20个随机字符作为口令”的建议也不可取 人们总习惯选择容易记忆的口令 如果口令难记，可能会被写下来，这样反倒更不安全值得注意的第41页，共66页。42 口令至少应该由8个字符组成 口令应该是大小写字母、数字、特殊字符的混合体 不要使用名字、生日等个人信息和字典单词 选择易记强口

16、令的几个窍门： 口令短语 字符替换 单词误拼 键盘模式建议第42页，共66页。43 找到一个生僻但易记的短语或句子（可以摘自歌曲、书本或电影），然后创建它的缩写形式，其中包括大写字母和标点符号等。I like this PiaoLiangMeiMei !iLtPPMM!My son Tom was born at 8:05MsTwb8:05口令设置第43页，共66页。44 试着使用数字和特殊字符的组合 避免“qwerty”这样的直线，而使用Z字型或者多条短线 这种方法很容易被人看出来 键盘输入时不要让人看见口令设置键盘模式第44页，共66页。45 员工有责任记住自己的口令 账号在独立审计的前提

17、下进行口令锁定、解锁和重置操作 初始口令设置不得为空 口令设置不得少于8个字符 口令应该包含特殊字符、数字和大小写字母 口令应该经常更改，设定口令最长有效期为不超出3个月 口令输入错误限定5次口令管理第45页，共66页。46电子邮件安全重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学第46页，共66页。47据统计，有超过87的病毒是借助Email进入企业的对于下列标题的邮件，选择打开阅览的人数百分比：I LOVE YOU：37的人会打开邮件Great joke：54的人会打开邮件Message

18、：46的人会打开邮件Special offer：39的人会打开邮件Email数字第47页，共66页。48不当使用Email可能导致法律风险禁止发送或转发反动或非法的邮件内容未经发送人许可，不得转发接收到的邮件不得伪造虚假邮件，不得使用他人账号发送邮件未经许可，不得将属于他人邮件的消息内容拷贝转发与业务相关的Email应在文件服务器上做妥善备份，专人负责检查包含客户信息的Email应转发主管做备份个人用途的Email不应干扰工作，并且遵守本策略避免通过Email发送机密信息，如果需要，应采取必要的加密保护措施Email安全第48页，共66页。49如果同样的内容可以用普通文本正文，就不要用附件尽量

19、不要发送.doc, .xls等可能带有宏病毒的文件发送不安全的文件之前，先进行病毒扫描不要参与所谓的邮件接龙尽早安装系统补丁，防止自己的系统成为恶意者的跳板发送邮件注意第49页，共66页。50不安全的文件类型：绝对不要打开任何以下文件类型的邮件附件：.bat, .com, .exe, .vbs未知的文件类型：绝对不要打开任何未知文件类型的邮件附件，包括邮件内容中到未知文件类型的链接微软文件类型：如果要打开微软文件类型（例如 .doc, .xls, .ppt等）的邮件附件或者内部链接，务必先进行病毒扫描要求发送普通的文本：尽量要求对方发送普通的文本内容邮件，而不要发送HTML格式邮件，不要携带不

20、安全类型的附件禁止邮件执行Html代码：禁止执行HTML内容中的代码防止垃圾邮件：通过设置邮件服务器的过滤，防止接受垃圾邮件尽早安装系统补丁：杜绝恶意代码利用系统漏洞而实施攻击接收邮件注意第50页，共66页。51介质安全管理重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学第51页，共66页。52介质安全管理创建传递销毁存 储使用更改介质销毁视频第52页，共66页。信息科技相关文件第一百五条涉密移动存储介质保密管理（一）涉密移动存储介质，是指用于存放秘密级、工作秘密级信息的U盘、移动硬盘、软盘、

21、光盘、磁带、存储卡及其它具有存储功能的各类介质。（二）复制秘密或工作秘密级移动存储介质，要经本单位主管领导批准。对复制介质的密级、编号和复制的内容要履行严格的登记手续。（三）因工作需要，涉密移动存储介质带离办公场所需经使用部门负责人批准后方可带离第一百二十二条计算机病毒防范应采取以下措施：（三）使用移动介质前应先进行杀毒处理，不复制、运行来历不明的文件或程序。第53页，共66页。54软件应用安全重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学第54页，共66页。55尽量不要同时打开多个链接窗口

22、当某个网站提出要将本网站设置为主页时，要取消操作当网页中弹出安装某个插件的对话框时，要取消安装，的确需要安装的，请与管理人员联系。定期清楚历史访问信息、cookies以及Internet临时文件禁止利用单位信息系统从事与工作无关的活动，如网上聊天、打游戏等禁止下载、上传、传播与工作无关的文件禁止在网络上运行任何黑客软件应用安全第55页，共66页。56计算机网络访问重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学第56页，共66页。57 访问控制基本原则：未经明确允许即为禁止访问 必须通过唯一注

23、册的用户ID来控制用户对网络的访问 系统管理员必须确保用户访问基于最小特权原则而授权 用户必须根据要求使用口令并保守秘密 系统管理员必须对用户访问权限进行检查，防止滥用 系统管理员必须根据安全制度要求定义访问控制规则，用户必须遵守规则 各部门应按照管理规定制定并实施对业务应用系统、开发和测试系统的访问规则计算机网络访问安全第57页，共66页。58移动计算与远程办公重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学第58页，共66页。59 所有连接办公生产网络的笔记本电脑或其他移动计算机，必须按照

24、指定PC安全标准来配置，必须符合补丁和防病毒管理规定 相关管理部门必须协助部署必要的笔记本电脑防信息泄漏措施 用户不能将口令、ID或其他账户信息以明文保存在移动介质上 笔记本电脑遗失应按照相应管理制度执行安全响应措施 敏感信息应加密保护 禁止在公共区域讨论敏感信息，或通过笔记本电脑泄漏信息笔记本电脑与远程办公安全第59页，共66页。智能手机安全 对移动设备的安全威胁，大致可以分为三大类物理威胁、操作系统威胁和网络威胁。偷盗行为和看管疏忽是针对移动设备物理安全的最大威胁。容易发生设备遗失的场所主要包括：高等院校、汽车、图书馆、机场、宾馆和会议中心、办公室、医院。 恶意代码是移动设备的最大威胁，这

25、些恶意代码主要表现为病毒、僵尸程序和间谍软件或三者的混合体。病毒的主要作用是在用户不知道的情况下滥用网络，如拨打高收费电话或发送多媒体短信，以消耗用户的费用，套取非法收益。僵尸程序主要是作为黑客控制被攻陷系统的代理，攻击者可以用来发动拒绝服务攻击。 间谍软件可以用获取系统上的机密信息。例如2006年9月，有人发现塞班操作系统上运行着一种称为A callano的间谍软件。这种问谍软件把所有收发的短信息导向一个外部的号码。这样就会允许别人安装间谍软件监视受害人的短信流量。2006年4月，一款叫做Flexispy的商业软件上市。这款软件可以远程激活设备的麦克风监控电话内容。尽管这款软件的初衷是用来监

26、控配偶或是不听话的孩子，但也可以作为公司的监听工具。它会在用户不知情的情况下，发送日志信息到中央服务器。黑客也可以藉此访问实体设备安装软件，读取机密的信息，从服务器上检查日志信息，并实施窃听。第60页，共66页。智能手机安全 主要威胁传播途径 (1)通过文本短信和多媒体短信传播(2)蓝牙(3)播放被精心修改过的多媒体文件(4)通过与PC机互联(5)安装未经安全检验的第三方应用程序移动设备安全使用视频第61页，共66页。62警惕社会工程学重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学第62页，

27、共66页。63 Social Engneering 利用社会交往（通常是在伪装之下）从目标对象那里获取信息 例如： 电话呼叫服务中心 在走廊里的聊天 冒充服务技术人员 著名黑客Kevin Mitnick更多是通过社会工程来渗透网络的，而不是高超的黑客技术什么是社会工程学人是最薄弱的环节！第63页，共66页。64 不要轻易泄漏敏感信息，例如口令和账号 在相信任何人之前，先校验其真实的身份 不要违背公司的安全策略，哪怕是你的上司向你索取个人敏感信息（Kevin Mitnick最擅长的就是冒充一个很焦急的老板，利用一般人好心以及害怕上司的心理，向系统管理员索取口令） 不要忘了，所谓的黑客，更多时候并不是技术多么出众，而是社会工程的能力比较强社会工程学社交网站个人泄密社交网站企业泄密第64页，共66页。从一点一滴做起！从自身做起！第65页，共66页。1、聪明的人有长的耳朵