信息安全意识ppt课件.pptx

1、信息安全意识培训信息安全意识培训20222022年年7 7月月3131日星期日日星期日主讲人主讲人：张工张工内容大纲n什么是信息安全什么是信息安全123n信息安全意识信息安全意识n如何做好信息安全如何做好信息安全什么是信息安全 采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。什么是信息信息是信息是公司经公司经营重要营重要的资产。的资产。对于现代企业来说，信息是一种资产，包括电子文件、纸质文件、图纸、标准、专利、报价短信消息、电话汇报等，信息资产是具有重要价值。以下哪些属于

2、信息?数据专利计算机文件声音纸什么是信息信息安全意识 信息安全意识（Information Security Awareness），就是能够认知可能存在的信息安全问题，预估信息安全事故对组织的危害，恪守正确的行为方式，并且执行在信息安全事故发生时所应采取的措施。信息安全的目标保密性完整性可用性确保信息及资源在有需要的时候可以正常使用。确保信息在生成、传输、保存过程中不会被恶意修改。确保信息在生成、传输、保存过程中不会被泄漏。一般秘密机密绝密信息保密级别定义我们的目标 建立对信息安全的敏感意识和正确认识 掌握信息安全的基本概念、原则和惯例 清楚可能面临的威胁和风险 遵守各项安全策略和制度 在日常

3、工作中养成良好的安全习惯 最终提升整体的信息安全水平z信息安全信息安全管理措施物理安全n 安全目标n防止物理设备在未授权的情况下被访问、或损坏，确保硬件的绝对安全，尽量做到点对点，减少中间的流转环节。尽量对移动存储器中的内容进行加密设置，防止未授权人员对其进行访问。物理安全n 案例说明1、全球每隔53秒钟就会有一台笔记本电脑失窃Software Insurance；2、97%的失窃笔记本电脑都没有希望找回FBI3、你的笔记本电脑失窃的几率为10%，这意味着每十个人中就有一个人会丢失笔记本电脑Gartner Group4、惠普公司提供服务的富达投资公司的几名员工在公司以外场所使用时被盗的。这台笔

4、记本电脑中储存了惠普公司的19.6 万现有员工和以前员工的相关资料。具体资料包括员工姓名、地址、社会保险号、生日和其他一些与员工有关的资料。物理安全n 案例说明2006年5月，美国退伍军人事务部的一名员工家被盗，其中丢失的一台笔记本电脑中存有包括自1975年以来大约2650万名美国退伍军人及其部分家属的姓名、出生日期和社会安全号码等个人信息，甚至还包括这些退伍军人的配偶、身体健康状况等。尽管有前车之鉴，但类似的事件仍然层出不穷。据统计丢失一台未加密的商用电脑损失平均达30万人民币物理安全n 控制措施n物理区域设置门卫或门禁，非工作人员出入需登记；n严禁所有人员携带个人电脑进入公司，客户及供应商

5、电脑如需要进入公司需进行登记，禁止接入公司网络；n所有人员不得将门禁卡借与他人使用；n人员下班或较长时间离开房间时，房间门上锁；n文件柜、保险柜、档案柜上锁；n打印/复印后要及时取走；n作废的机密文档要以碎纸机碎掉或撕成碎块，不要直接作为垃圾丢弃；n个人宿舍员工个人电脑仅限于宿舍区内使用。物理安全n移动介质是最经常丢失引起数据泄露最方便的方式。n移动介质包括：笔记本电脑、掌上型电脑、移动硬盘、U盘、光盘、磁带、存储卡及带有数据存储功能的可移动设备（如MP3播放器，智能手机）等。物理安全n个人移动存储设备严禁带入公司内部网络使用。n 控制措施z信息安全信息安全管理措施密码安全n 安全目标n防止口

6、令被破解而导致感染病毒，或中木马；n防止口令被破解而导致泄露公司敏感信息。密码安全n 案例说明n破解Windows操作系统口令；n14位数字口令：只需3秒即可破解；n5位字母口令：只需60秒即可破解；n破解电子邮箱口令；n破解时间与口令复杂度有关；n简单口令：只需30秒即可破解。密码安全n 案例说明n相册密码被破解，不雅照片流传；n电脑密码被破解，重要资料被泄露；nQQ密码被破解，向QQ上的好友借钱。密码安全n 事件分析n简单口令是不安全的，很容易被破解；n口令被破解后的影响非常严重，会导致；n信息被泄露；n行为被监控；n机器被操制；n成为新的病毒传染源；n成为新的木马扩散点。密码安全n 控制

7、措施n口令设置时应避免使用以下组合：n生日n电话号码n身份证号码n用户名n姓名的拼音n英文名n其它系统已使用的口令n其它容易被别人猜测的内容密码安全n 控制措施n不安全的口令举例：n短口令（少于8个字符）：okokokn简单数字口令：11235813n简单英文单词：desktopn简单英文词组：comeonbabyn姓名拼音+常见数字：PETER2008n帐户+电话：peter13510283329密码安全n 控制措施n安全的口令应当同时包含以下内容：n大写字母n小写字母n数字n特殊符号n安全的口令长度不能小于8个字符、应定期修改、应避免使用历史口令密码安全n 控制措施n较安全的口令举例：n一

8、句话口令：n9月前，一定要把认证通过：9YQ,ydybxrztg!n我的口袋有33块：WoDeKouDaiY33K！n神龟虽寿，犹有尽时：sgss,yyjs密码安全n 控制措施n定期更改口令，至少每2个月改一次；n防止忘记口令的有效方法是：经常输入口令；n离开座位时，要锁定或关闭计算机；n不要把密码告诉别人。z信息安全信息安全管理措施传输安全n 案例说明n利用QQ传送文件；n利用163，sina，yahoo邮箱发送邮件；n利用网络U盘传送文件；n利用网络FTP传送文件；n重要机密文件未加密传输。传输安全n 控制措施n使用公司邮箱、OA系统进行信息交流或文件传送；n重要机密文件进行加密处理；n重

9、要机密文件做好定期备份工作。传输安全WordExceln Word,excel加密码方法传输安全RAR文件加密n RAR加密码方法传输安全n 控制措施n如果不希望别人编辑您的文件，可以把文件转换成pdf文件。而且可以根据需求可对PDF文件进行访问、复制、打印等权限进行加密处理。传输安全123PDF文件加密z信息安全信息安全管理措施上网行为安全n 安全目标n防止通过网络服务感染病毒。n防止通过网络泄露公司敏感信息。上网行为安全n 案例说明n使用IE浏览器浏览种有木马的网站网页；n计算机感染木马；n受到的影响有；n盗取文件；n监控屏幕；n修改系统；n操控机器；n其它您想得到和想不到的操作钓鱼网站

10、官方网站上网行为安全n 案例说明上网行为安全 06年10月份左右，许多用户都收到了一封冒充招商银行名义的邮件，该邮件以对账、核实账户消费记录等名义要求客户登录招行网站查询详情，并提供招行网站的超级链接，如果点击链接就会打开一个冒充招商银行的页面。该网页不仅从页面布局及内容方面仿冒得很像，足以以假乱真，而且域名也很具有欺骗性。该网站的域名是“”，真招行网站的域名是“”，“cmb”是招行的英文缩写，而“95555”是使用招行账户的用户都非常熟悉的招行电话银行号码，不法分子将cmb与95555组合在一起，就会让用户不会对它产生怀疑，具有较强的欺骗性。用户往往误认为自己进入了招行的真正网站，其实用户所

11、造访的不过是一个经过精心设计的假冒网站而已。n 案例说明上网行为安全n 网络服务包括以下等内容：n网站浏览；n即时通信（如QQ、MSN、ICQ等）；n文件下载；n视频点播；n如果电脑没有及时打补丁，没有安装防病毒软件，或没有及时更新病毒库，则很容易在上网时感染病毒或木马。上网行为安全40n 控制措施n最简单但有效的措施：n不去访问不可靠的、可疑的网站；n不随意下载安装来历不明的软件；n禁止在网吧访问公司系统；n禁止使用QQ等即时通讯软件传输文件。上网行为安全n 控制措施n不随便使用光盘、移动硬盘等；n不打开可疑文件 尤其是可疑的.EXE；n不打开可疑邮件；n及时更新操作系统补丁、应用程序、浏览

12、器n电脑要安装防病毒软件，并及时更新病毒库。符合性要求 刑法 计算机信息系统安全保护条例 计算机病毒防治管理办法 计算机信息网络国际联网安全保护管理办法 中国陆续制定了多部与信息活动密切相关的法律，虽然大多不专门针对网络环境，甚至有些也不针对电子信息，但它们的基本精神对网络的建设、管理以及网络中的信息活动都有不同程度的指导作用。保守国家秘密法 著作权法 国家安全法 反不正当竞争法法规要求n 案例说明：27岁的德化人阿德应聘到晋江人鞋厂当业务员，主要负责发展公司客户和拉订单。应聘时，双方还特别约定，阿德在工作期间将公司客户资料和订单外泄，窃取和外泄公司商业秘密；事发后，阿德赔偿鞋厂经济损失并支付

13、违约金30万元。苹果iPad 2的3D设计图档为商业秘密，被害公司因商业秘密泄露造成的直接经济损失达人民币206万元。2011年3月23日，深圳市宝安区检察院以涉嫌侵犯商业秘密罪对犯罪嫌疑人肖某、林某、侯某提起公诉。法规要求u 刑法第条规定“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机

14、信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”熊猫烧香病毒事件，李俊被判处有期徒刑4年；王磊被判处有期徒刑2年6个月；张顺被判处有期徒刑2年；雷磊被判处有期徒刑一年。法规要求u严禁私自占用、破坏公司电子设备u严禁未经授权发布公司经营情况u严禁利用任何网络、系统漏洞进行破坏行为u严禁泄露或交易客户信息u严禁发送违法信息其它相关信息安全管理要求 违反上述禁令的员工予以辞退；违反禁令造成严重后果的员工予以开除；违反禁令涉嫌犯罪的员工依法移送司法机关；指使他人违反禁令的领导人员、管理者将视同直接违反禁令予以处理；对违禁行为隐瞒不报、压案不查、包庇袒护的，从严追究有关领导

15、责任，予以纪律处分，直至撤职。目前公司已对上网行为记录、文件传送记录、邮件收发记录监控管理。方便性VS安全性n 老板的声音n 我需要网络系统全部都监管起来，做到绝对的安全，资料绝对不能泄露到外面去。n 信息安全做不到绝对的安全，最安全的主机和系统是把服务器关机，放在一个10米深的地下室里，放上毒气，并上锁。即便这样，也不绝对的安全。而且工作根本无法开展。n 员工的声音n 现在公司网络系统处处受限制，这样不是严重的影响我们的工作效率吗？n 信息安全的确对工作的效率造成一定的影响，但是工作效率再高，没有信息安全可言，有可能也等于零。比如：做了三天的标书，投标前报价信息泄露被竞争对手获取，就算一天把标书制作出来也是徒劳。方便性VS安全性 方便性与安全性，相互影响相互牵制，一味的强调方便性，不考虑安全性，造成的影响可能是致命的，回过头来，如果一味的强调安全性，处处进行最严格的管制，公司经营可能就无法开展，而无法使企业得到成长，所有方便性与安全性需要做到一个合理的平衡点，导入信息安全是公司安全、稳定发展的基石与保障。信息安全是全体成员的义务与责任，只有大家具备良好的信息安全意识，深入的了解与配合。才能真正的帮助到公司的健康安全的发展。