员工信息安全意识及安全实践培训 人力资源 职能

信息安全意识与安全实践信息安全：人员是最大的风险来源

“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话……”

——KevinMitnick

超过80%的信息安全威胁来自于组织内部信息安全：信息资产与威胁黑客入侵20%-30%70%-80%员工疏忽和泄漏固定资产和一些文档中存储在员工的脑子中根据Delphi公司统计，公司价值的26%体现在固定资产和一些文档上，而高达42%的价值是存储在员工的脑子里。78%的企业数据泄漏是来自内部员工的不规范操作信息安全意识装有100万的保险箱装有客户信息的电脑需要3个悍匪1辆车，拉走公司损失100万只需1个商业间谍公司损失：所有客户

信息资产比钞票更重要，但更脆弱，更应得到保护！一个优盘物理安全—“ATM取款机”物理安全—“电子门禁”物理安全—“电子门禁”（案例）时间：某天夜里地点：A公司的数据中心大楼人物：一个普通的系统管理员一个普通的系统管理员，利用看似简单的方法，就进入了需要门卡认证的数据中心……

————来自国外某论坛的激烈讨论物理安全—“电子门禁”（案例）①张三找到一个气球，放掉气②张三面朝大门入口趴下来，把气球塞进门里，只留下气球的嘴在门的这边③张三在门外吹气球，气球在门内膨胀，然后，他释放了气球……④由于气球在门内弹跳，触发动作探测器，门终于开了网络钓鱼—“钓鱼网站”http://

http://

http://

http://

http://

http://http://

网络钓鱼—“钓鱼邮件”网络钓鱼—“伪基站钓鱼”网络钓鱼—“伪基站钓鱼”（案例）网络钓鱼—“伪基站钓鱼”（案例）网络钓鱼—“伪基站钓鱼”（案例）后台数据：姓名身份证号银行卡号银行卡密码开户银行手机号码....社会工程学诈骗明天到我办公室来一趟…“领导”的权威让下属服从利用亲情关系诈骗你女儿生病住院了…手机安全—“二维码”手机安全—“手机充电桩”用使用者的手机，向任意号码发送短信！用使用者手机进行消费！手机安全—“手机充电桩”充电桩会提示用户开启USB调试或信任该设备，如果用户点击同意，就会使手机部分权限得到开放！提醒：手机接入手机充电桩时，如果充电桩需要权限请求，一律拒绝。（包括USB调试与设备信任）部分手机充电桩有提供插座，用随身携带的设备进行充电。部分手机充电桩只提供USB孔，如果遇到这类的手机充电桩，切记使用只有充电功能（无数据传输功能）的充电线。使用手机充电桩时，将设备关机。手机安全—“恶意吸费APP”这个弹窗暗藏玄机！一款专门为抢购火车票而设计的应用程序手机安全—“恶意吸费APP”点击确定后，对话框消失。随后，话费详单显示，这次操作实际上被定制了20元的增值业务费！提醒：通过可信渠道下载经过专业检测认证签名的APP版本；不要随意下载带有“黄赌毒”的恶意APP软件，不慎下载应及时彻底删除；要定期查看自己的话费详单，别不明不白做了冤大头；类似智能火车票、游戏修改大师、疯狂的小鸟、抢票快手等热门App，如果发现手机恶意推送广告，要谨慎。手机安全—“电信诈骗”手机安全—“木马病毒”通过发送手机恶意链接、虚假短信等使用户遭受手机木马病毒，蒙受资金损失。手机安全注意事项员工安全实践进门——物理安全1忘了带卡？

——尾随进入最佳实践所有人员必须佩戴身份识别卡，才能在公司相应区域活动不得将身份识别卡借与他人使用监督未佩戴身份识别卡的外来人员的活动，制止其非授权的活动，并及时报告给安全保卫部门接到恐怖威胁，及时向主管领导和安全保卫部门报告员工安全实践打开计算机——账户安全2最佳实践谁未经授权使用了我的电脑？

——数据被窃取——内容被破坏未经批准，不得转借或使用他人账户使用计算机及应用系统应设置登录口令，且不得向他人泄露口令工作岗位调动或离职时，应主动移交全部账号和口令员工安全实践登录计算机/VPN——口令安全3最佳实践不得将口令写在纸上或记录于电子文件中不要采用用户名、姓名、生日、电话号码、默认口令等作为密码口令长度应至少10位，至少包含字母、数字、特殊符号的两种或两种以上定期更换口令VPN身份认证口令不得转借他人使用，如有遗失或被窃取应第一时间通知安全管理员口令泄露？弱口令?

——鉴别信息被冒用!员工安全实践暂离工位——账户安全4最佳实践使用”win+L”锁屏或关闭计算机设置15min后自动启动屏幕保护程序，在恢复时使用密码保护员工安全实践使用个人计算机——个人计算机设备安全5最佳实践未经批准任何计算机不得接入公司网络，经批准的使用指定端口和IP，接入网络前安装安全补丁、杀毒软件并查杀病毒未经授权严禁打开办公电脑机箱、拆装电脑硬盘等配件，严禁使用办公电脑内置硬盘以外的设备启动电脑发现计算机被入侵或感染病毒应立即断开网络连接，清除病毒；发现病毒无法被有效清除时，及时报告信息安全部门不制造和传播计算机病毒不在工作时间使用计算机进行与工作无关的活动对敏感数据采取加密措施，妥善存放员工安全实践使用公用计算机——公用计算机设备安全6最佳实践设置管理责任人，防止公用计算机被盗、被滥用或被入侵未授权的外来人员不得使用公用计算机使用完公用计算机后要退出登录员工安全实践使用公司网络办公——计算机网络安全7最佳实践计算机接入公司网络时，计算机名称必须遵循命名规则计算机只能使用管理员分配的IP地址，禁止随意修改不得在公司私自拨号上网、私自创建和连接未经批准的无线网络未经批准不得安装两块或多块网卡并连接到不同的网络设备不得对公司网络内的设备进行扫描不得滥用网络资源进行与工作无关的其他活动可用性效率员工安全实践上网查阅资料、休息——互联网安全8最佳实践不得滥用公司网络访问与工作无关的网站和互联网服务、进行与工作无关的网上即时通讯不得滥用公司网络下载图片、小说、音乐、录像、游戏等与工作无关的文件防不胜防!病毒木马泄密员工安全实践安装软件——计算机软件安全9最佳实践计算机终端只能安装、运行公司批准的软件，并及时安装补丁安装其他软件应向部门负责人提出申请，交由信息管理部门处理必须安装、运行上网行为控制客户端，未经授权不得卸载必须安装、运行公司规定的防病毒软件，并及时更新病毒库，未经授权不得卸载，及时执行公司的防病毒措施下载、安装软件

——不小心中招！员工安全实践使用移动存储介质——移动存储介质安全10最佳实践严格控制移动存储介质的使用，使用前登记移动存储介质上的数据和文件在使用后立即删除使用前进行病毒检测，确认无毒后方可使用移动存储介质维修、废弃前应清除数据或销毁介质U盘病毒U盘泄密员工安全实践打印/复印文件——打印机安全11最佳实践公用的打印、复印设备使用完成后，及时取走打印、复印的文件一体机维修前消除打印记忆2011年6月，济南军区某装甲团出现机关干部考试试题泄露事件，而事件原因最终定位为打印机的记忆功能。员工安全实践收发邮件——电子邮件安全12最佳实践不要打开来历不明的邮件，不要随便点击邮件中的陌生链接禁止发送与工作无关的邮件、含有违反政策和法律法规的内容的邮件、含有不利于公司的信息的邮件、连环邮件或附带大量非工作需要的图片文件的邮件、夹带计算机病毒的邮件、含有敏感信息和商业机密的邮件等员工安全实践处理办公数据——数据安全13最佳实践个人计算机中的数据文件，应按照实际情况及时做好备份，避免可能的数据丢失个人计算机中的重要办公数据应当根据部门要求适时备份到指定的文件服务器或者存储介质上数据丢失的七大原因员工安全实践处理敏感信息——敏感信息保密14最佳实践存储一般商业秘密及以上信息的介质应进行敏感性标识敏感非电子信息不得随意搁置在桌面或夹带在日常文件中，未经授权不得私自复制、影印、摘录与外传，复印、打印或传真后及时取走原件和复本离开座位时将纸质敏感信息锁入抽屉或文件柜中作废的记录敏感信息的纸质文件应用碎纸机销毁发现敏感信息被非授权使用或滥用，应立即向安全管理员报告公开内部使用一般商密重要商密核心商密信息员工安全实践外来人员办公——外来人员计算机接入控制15最佳实践外来人员计算机设备未经批准不得接入公司网络经批准的计算机设备只可使用批准的网络端口接入专供外来人员使用的网络内外来人员的计算机设备在接入公司网络前，须由对口部门负责人确保计算机安全后方可接入外来人员计算机设备接入公司网络后不得从事与工作无关的操作外来人员随意接入内网

——信息泄露

——内部网络被攻击员工安全实践日常与下班——办公环境安全16不得将易燃物品堆放在电源插座上，不违规使用大功率电器设备，不在UPS电源上使用电器，不私自接电线，不拖拉电源线，