1、员工信息安全第一课计算机信息安全培训培训目的培训目的 1.建立对信息安全的正确认识信息安全的正确认识 2.了解工作中面临的信息安全威胁和了解工作中面临的信息安全威胁和风险风险 3.培养信息安全意识和良好的习惯培养信息安全意识和良好的习惯 计算机信息安全培训主要内容主要内容 1.信息安全信息安全 2.信息安全管理和信息安全管理体系信息安全管理和信息安全管理体系 3.信息安全与工作信息安全与工作计算机信息安全培训前言前言 20062006年年4 4月月8 8日,中国工程师,著名的传染病日,中国工程师,著名的传染病学家专家钟南山在上班的路上被劫匪抢走了笔记学家专家钟南山在上班的路上被劫匪抢走了笔记本
2、电脑。事后中院士说本电脑。事后中院士说“一个科技工作者的作品、一个科技工作者的作品、心血都在电脑里面,电脑里还存着正在限制的新心血都在电脑里面,电脑里还存着正在限制的新药方案,要是这个研究方案变成一种新药,那是药方案,要是这个研究方案变成一种新药,那是几个亿的价值啊几个亿的价值啊”。这个案例仅仅是冰山一角,类似这样的事件这个案例仅仅是冰山一角,类似这样的事件几乎每天都在发生。从这些案例可以看出,信息几乎每天都在发生。从这些案例可以看出,信息资产一旦遭到破坏,将给组织带来直接的损失,资产一旦遭到破坏,将给组织带来直接的损失,严重威胁到组织的生存。严重威胁到组织的生存。因此,保护信息资产,解决信息
3、安全问题,因此,保护信息资产,解决信息安全问题,已成为组织必须考虑的问题。已成为组织必须考虑的问题。计算机信息安全培训 1.信息安全信息安全 1.1 信息信息 1.2 信息安全信息安全 计算机信息安全培训 1.1 信息信息什么是信息?什么是信息?在信息研究领域中对其没有确切的定义,但概括出来信息有两在信息研究领域中对其没有确切的定义,但概括出来信息有两个性质:个性质:一、和公司其它资源一样,是维持公司持续运作和管理的必要一、和公司其它资源一样,是维持公司持续运作和管理的必要资产,例如政策方针、市场报告、科研数据、计划方案、资产,例如政策方针、市场报告、科研数据、计划方案、竞争情报等等,这些信息
4、可能从多个方面对公司运营产生竞争情报等等,这些信息可能从多个方面对公司运营产生影响。影响。二、二、可以是无形的,可借助于媒体以多种形式存在或传播;信可以是无形的,可借助于媒体以多种形式存在或传播;信息可以存储在计算机、磁带、纸张等介质中;信息可以记息可以存储在计算机、磁带、纸张等介质中;信息可以记忆在人的大脑里;信息可以通过网络、打印机、传真机等忆在人的大脑里;信息可以通过网络、打印机、传真机等方式进行传播方式进行传播计算机信息安全培训 1.1 信息信息信息资产信息资产对现代企业来说,具有价值的信息就是信息资产。一般主要有:实物资产(电脑、打印机等硬件)软件资产(操作系统、应用软件等)数据资产
5、(文件、凭据、源代码等)人员资产(各级各类管理人员和技术人员)服务资产(第三方提供的支持性服务)计算机信息安全培训 1.信息安全信息安全 1.1 信息信息 1.2 信息安全信息安全 计算机信息安全培训 1.2 信息安全信息安全 保持和维护信息的 保密性、完整性、可用性网络安全网络安全知识安全知识安全数据安全数据安全文件信息安全文件信息安全内容安全内容安全计算机安全计算机安全 信息安全定义 计算机信息安全培训 1.2 信息安全信息安全 1.公司持续发展的需要:任何公司正常运作离不开信息资源支持,这包括公司的知识产权、各种重要数据、信息处理设施、关键人员等,公司的商业机密泄露会丧失竞争优势,失去市
6、场,公司要持续发展,信息安全是基本保障之一;2.客户的需要:我们在给客户提供服务的同时,也必将接触到客户的一些机密信息,例如:客户的技术数据、客户信息、内部运营信息等,而这些信息客户是不想人外人知晓的,保守客户的信息安全是客户的正常需要;3.其它方面的需要:个人信息保密、国家信息安全等等 信息安全目的 计算机信息安全培训 1.2 信息安全信息安全 信息安全关注的信息类型 企业信息安全关注的信息类型企业信息安全关注的信息类型内部信息内部信息组织不想让其竞争对手知道的信息组织不想让其竞争对手知道的信息客户信息客户信息顾客顾客/客户不想让组织泄漏的信息客户不想让组织泄漏的信息共享信息共享信息需要与其
7、他业务伙伴分享的信息需要与其他业务伙伴分享的信息计算机信息安全培训2022-12-1212主要内容主要内容 1.信息安全信息安全 2.信息安全管理和信息安全管理体系信息安全管理和信息安全管理体系 3.信息安全与工作信息安全与工作计算机信息安全培训2022-12-1213 2 信息安全管理与信息安全管理体系信息安全管理与信息安全管理体系 2.1 信息安全管理信息安全管理 2.2 信息安全管理体系信息安全管理体系 计算机信息安全培训2022-12-1214 什么信息安全管理?通过计划、组织、领导、控制等环节来协调人通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织信息安
8、力、物力、财力等资源,以期有效达到组织信息安全目标的活动。全目标的活动。2 2.1 信息安全信息安全管理管理计算机信息安全培训2022-12-1215 我们接触到的信息安全管理的主要活动的主要活动 1.制定信息安全相关的管理制度制定信息安全相关的管理制度2.信息安全的相关的培训信息安全的相关的培训3.信息安全日常的监督检查信息安全日常的监督检查4.信息安全事件的处理信息安全事件的处理5.信息安全管理体系的内部审核信息安全管理体系的内部审核 2.1 信息安全信息安全管理管理公司都有信息安全管理,那么怎么样才能很规范,有效的进行信息安全公司都有信息安全管理,那么怎么样才能很规范,有效的进行信息安全
9、管理呢管理呢?公司引入了信息安全管理体系(?公司引入了信息安全管理体系(ISO 27001ISO 27001:20052005)计算机信息安全培训 2 信息安全管理与信息安全管理体系信息安全管理与信息安全管理体系 2.1 信息安全管理信息安全管理 2.2 信息安全管理体系信息安全管理体系 计算机信息安全培训2022-12-1217 2.2 信息安全管理体系信息安全管理体系 2.2.1 什么是管理体系什么是管理体系 2.2.2 信息安全管理体系信息安全管理体系 2.2.3 信息安全管理体系认证信息安全管理体系认证 计算机信息安全培训2022-12-1218目前流行的管理体系标准目前流行的管理体系
10、标准 环境环境管理体系管理体系 EMS ISO/IEC14000 质量管理体系质量管理体系 QMS ISO/IEC 9001:2000等等 2.2.1 什么是什么是管理体系管理体系 职业安全卫生管理体系职业安全卫生管理体系 OHSAS18000 信息安全管理体系信息安全管理体系 ISMS ISO/IEC 27001:2005 IT服务管理体系服务管理体系 ITMS ISO/IEC 20000-1:2005管理体系标准:国际化标准组织(ISO)参考西方各国管理标准特别是国际知名公司管理流程制定管理规范管理体系:公司依据国际化标准组织(ISO)制定管理标准,建立的以实现某种目标的管理系统。计算机信
11、息安全培训 2.2 信息安全管理体系信息安全管理体系 2.2.1 什么是管理体系什么是管理体系 2.2.2 信息安全管理体系信息安全管理体系 2.2.3 信息安全管理体系认证信息安全管理体系认证 计算机信息安全培训公司依据信息安全管理标准建立的在信息安全方面指挥和控制的管理系统,目标是实现公司信息安全目标。信息安全管理体系(英文缩写ISMS)-信息安全组织结构信息安全组织结构-信息安全方针、策略信息安全方针、策略-信息安全控制措施信息安全控制措施-网络安全网络安全-各种活动、过程各种活动、过程 信息安全目标应是可度量的信息安全目标应是可度量的 要素包括要素包括-2.2.2 信息安全信息安全管理
12、体系管理体系计算机信息安全培训信息安全管理体系(英文缩写ISMS)2.2.2 信息安全信息安全管理体系管理体系安全管理模型PDCA计算机信息安全培训 2.2 信息安全管理体系信息安全管理体系 2.2.1 什么是管理体系什么是管理体系 2.2.2 信息安全管理体系概述信息安全管理体系概述 2.2.3 信息安全管理体系信息安全管理体系 计算机信息安全培训l 公司信息安全管理方针 2.2.3 信息安全信息安全管理体系管理体系计算机信息安全培训2022-12-1224l 公司信息安全管理体系目标 2.2.3 信息安全信息安全管理体系管理体系大面积内网中断时间每年累计不超过大面积内网中断时间每年累计不超
13、过100100分钟分钟大规模病毒爆发每年不超过大规模病毒爆发每年不超过4 4次次重要信息设备丢失每年不超过重要信息设备丢失每年不超过1 1起起机密和绝密信息泄漏事件每年不超过机密和绝密信息泄漏事件每年不超过2 2次次客户针对信息安全事件的投诉每年不超过客户针对信息安全事件的投诉每年不超过2 2次次全员参与信息安全意识活动的比例每年不低于全员参与信息安全意识活动的比例每年不低于80%80%计算机信息安全培训主要内容主要内容 1.信息安全信息安全 2.信息安全管理和信息安全管理体系信息安全管理和信息安全管理体系 3.信息安全与工作信息安全与工作计算机信息安全培训 3.信息安全与工作信息安全与工作
14、3.1 工作中要接触的信息安全工作中要接触的信息安全 3.2 计算机网络安全计算机网络安全 3.3 计算机病毒防治计算机病毒防治 3.4 建立良好的安全习惯建立良好的安全习惯 计算机信息安全培训 3.1 工作中可能接触的信息安全工作中可能接触的信息安全1.1.后台业务处理工作:对能够接触到的客户信息资产进行分类后台业务处理工作:对能够接触到的客户信息资产进行分类登记,评估其资产价值,确保所有客户信息资产在工作中登记,评估其资产价值,确保所有客户信息资产在工作中安全可靠。安全可靠。2.2.信用卡录入:防止客户资料外泄;杜绝员工录入资料错误。信用卡录入:防止客户资料外泄;杜绝员工录入资料错误。3.
15、3.信用卡营销:防止客户资料外泄。信用卡营销:防止客户资料外泄。4.4.银行卡外呼工作银行卡外呼工作:防止客户资料外泄。防止客户资料外泄。5.5.业务档案数字加工:会计档案的保密,信息泄露。业务档案数字加工:会计档案的保密,信息泄露。计算机信息安全培训 3.信息安全与工作信息安全与工作 3.1 工作中要接触的信息安全工作中要接触的信息安全 3.2 计算机网络安全计算机网络安全 3.3 计算机病毒防治计算机病毒防治 3.4 培养良好的安全习惯培养良好的安全习惯 计算机信息安全培训 3.2计算机网络安全计算机网络安全 网络安全网络安全 网络安全主要指网络上的信息安全网络安全主要指网络上的信息安全,
16、包括物理安全,逻辑安全、包括物理安全,逻辑安全、操作系统安全、网络传输安全。操作系统安全、网络传输安全。计算机信息安全培训 3.2培养良好的信息安全习惯培养良好的信息安全习惯 网络安全网络安全 这里以这里以3.13.1加以说明加以说明 图图3.13.1计算机信息安全培训 3.2计算机网络安全计算机网络安全 网络安全网络安全1.1.窃听窃听 最简易的窃听方式是将计算机连入网络,利用专门的工最简易的窃听方式是将计算机连入网络,利用专门的工具软件对在网络上传输的数据包进行分析。进行窃听的最佳具软件对在网络上传输的数据包进行分析。进行窃听的最佳位置是网络中的路由器,特别是位于关卡处的路由器位置是网络中
17、的路由器,特别是位于关卡处的路由器,它们是它们是数据包的集散地,在该处安装一个窃听程序,可以轻易获取数据包的集散地,在该处安装一个窃听程序,可以轻易获取很多秘密。很多秘密。计算机信息安全培训 3.2计算机网络安全计算机网络安全 网络安全网络安全计算机信息安全培训 3.2计算机网络安全计算机网络安全 网络安全网络安全3.3.会话窃取会话窃取会话劫夺指入侵者首先在网络上窥探现有的会话,发现会话劫夺指入侵者首先在网络上窥探现有的会话,发现有攻击价值的会话后,便将参与会话的一方截断,并顶替被有攻击价值的会话后,便将参与会话的一方截断,并顶替被截断方继续与另一方进行连接,以窃取信息。截断方继续与另一方进
18、行连接,以窃取信息。计算机信息安全培训 3.2计算机网络安全计算机网络安全 网络安全网络安全4.4.利用操作系统漏洞利用操作系统漏洞 任何操作系统都难免存在漏洞,包括新一代操作系统。任何操作系统都难免存在漏洞,包括新一代操作系统。操作系统的漏洞大致可分为两部分:操作系统的漏洞大致可分为两部分:一部分是由设计缺陷造成的。包括协议方面的、网络服一部分是由设计缺陷造成的。包括协议方面的、网络服务方面的、共用程序库方面的等等。务方面的、共用程序库方面的等等。另一部分则是由于使用不得法所致。这种由于系统管理不善另一部分则是由于使用不得法所致。这种由于系统管理不善所引发的漏洞主要是系统资源或帐户权限设置不
19、当。所引发的漏洞主要是系统资源或帐户权限设置不当。计算机信息安全培训 3.2计算机网络安全计算机网络安全 网络安全网络安全5.5.盗用密码盗用密码盗用密码是最简单和狠毒的技巧。通常有两种方式:盗用密码是最简单和狠毒的技巧。通常有两种方式:计算机信息安全培训 3.2计算机网络安全计算机网络安全 网络安全网络安全5.5.盗用密码盗用密码盗用密码是最简单和狠毒的技巧。通常有两种方式:盗用密码是最简单和狠毒的技巧。通常有两种方式:另一种比较常见的方法是先从服务器中获得被加密的另一种比较常见的方法是先从服务器中获得被加密的密码表,再利用公开的算法进行计算,直到求出密码为止,密码表,再利用公开的算法进行计
20、算,直到求出密码为止,这种技巧最常用于这种技巧最常用于UnixUnix系统。系统。密码被盗用,通常是因为用户不小心被他人密码被盗用,通常是因为用户不小心被他人“发现发现”了。了。而而“发现发现”的方法一般是的方法一般是“猜测猜测”。猜密码的方式有多种,。猜密码的方式有多种,最常见的是在登录系统时尝试不同的密码,系统允许用户最常见的是在登录系统时尝试不同的密码,系统允许用户登录就意味着密码被猜中了。登录就意味着密码被猜中了。计算机信息安全培训 3.2计算机网络安全计算机网络安全 网络安全网络安全6.6.木马、病毒、暗门木马、病毒、暗门 暗门(暗门(trapdoortrapdoor)又称后门()又
21、称后门(backdoorbackdoor),指隐藏在),指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。进入系统而设置的。计算机技术中的计算机技术中的木马木马,是一种与计算机病毒类似的指,是一种与计算机病毒类似的指令集合,它寄生在普通程序中,并在暗中进行某些破坏性令集合,它寄生在普通程序中,并在暗中进行某些破坏性操作或进行盗窃数据。木马与计算机病毒的区别是,前者操作或进行盗窃数据。木马与计算机病毒的区别是,前者不进行自我复制,即不感染其他程序。不进行自我复制,即不感染其他程序。计算机信息安全培训 3.2计算机网络安全
22、计算机网络安全 网络安全网络安全防火墙技术概述防火墙技术概述 计算机信息安全培训 3.3计算机病毒及防治计算机病毒及防治 计算机病毒的特点计算机病毒的特点 Internet/Intranet Internet/Intranet的迅速发展和广泛应用给病毒增加的迅速发展和广泛应用给病毒增加了新的传播途径,网络将正逐渐成为病毒的第一传播途径。了新的传播途径,网络将正逐渐成为病毒的第一传播途径。Internet/IntranetInternet/Intranet带来了两种不同的安全威胁:带来了两种不同的安全威胁:一种威胁来自文件下载,这些被浏览的或是通过一种威胁来自文件下载,这些被浏览的或是通过FTP
23、FTP下载的下载的文件中可能存在病毒;另一种威胁来自电子邮件。文件中可能存在病毒;另一种威胁来自电子邮件。1.1.传染方式多,速度快,清理难度大传染方式多,速度快,清理难度大2.2.破坏性强破坏性强3.3.激发形式多样激发形式多样4.4.潜在性潜在性 计算机病毒的传播途径计算机病毒的传播途径计算机信息安全培训 3.3计算机病毒及防治计算机病毒及防治 常见的网络病毒常见的网络病毒5.5.蠕虫病毒蠕虫病毒6.6.网络服务器上的文件病毒网络服务器上的文件病毒7.Internet7.Internet上的文件病毒上的文件病毒 计算机信息安全培训 3.3计算机病毒及防治计算机病毒及防治 网络病毒防治及查杀
24、网络病毒防治及查杀引起网络病毒感染的主要原因在于网络用户自身。因此,引起网络病毒感染的主要原因在于网络用户自身。因此,防范网络病毒应从两方面着手。防范网络病毒应从两方面着手。加强网络管理人员的网络安全意识,对内部网与外界加强网络管理人员的网络安全意识,对内部网与外界进行的数据交换进行有效的控制和管理,同时坚决抵制盗进行的数据交换进行有效的控制和管理,同时坚决抵制盗版软件;版软件;以网为本,多层防御,有选择地加载保护计算机网络以网为本,多层防御,有选择地加载保护计算机网络安全的网络防病毒产品。安全的网络防病毒产品。计算机信息安全培训 3.4培养良好的信息安全习惯培养良好的信息安全习惯 计算机使用
25、安全计算机使用安全1.1.对个人用计算机要设置帐户密码,对个人用计算机要设置帐户密码,2.2.信息安全规定信息安全规定个人电脑口令长度应该不低于个人电脑口令长度应该不低于6 6位,服务器位,服务器口令长度应该不低于口令长度应该不低于8 8位位且最好要为大写字母、小写字母、且最好要为大写字母、小写字母、数字、特殊字符的组合,防止非法用户猜出你的密码;数字、特殊字符的组合,防止非法用户猜出你的密码;3.3.加强对计算机信息保护,离开机器时要及时对机器锁屏加强对计算机信息保护,离开机器时要及时对机器锁屏(Win+LWin+L););4.4.安装计算机防病毒软件,经常升级病毒库;安装计算机防病毒软件,
26、经常升级病毒库;5.5.加强对移动计算机的安全保护,防止丢失;加强对移动计算机的安全保护,防止丢失;计算机信息安全培训 3.4培养良好的信息安全习惯培养良好的信息安全习惯 社交信息安全社交信息安全1.1.不在电话中说工作敏感信息不在电话中说工作敏感信息2.2.不通过不通过emailemail传输敏感信息,如要通过传输敏感信息,如要通过EMAILEMAIL最好加密以最好加密以后再传输后再传输3.3.电话回叫首先要确认身份电话回叫首先要确认身份4.4.防止信息窃取防止信息窃取5.5.不随意下载安装软件,防止恶意程序、病毒及后门等黑不随意下载安装软件,防止恶意程序、病毒及后门等黑客程序客程序6.6.
27、不随意打开可执行的邮件附件,不随意打开可执行的邮件附件,如如.EXE,.BAT,.VBS,.COM,.PIF,.CMD,.EXE,.BAT,.VBS,.COM,.PIF,.CMD,打开附件时最好进打开附件时最好进行病毒检查行病毒检查计算机信息安全培训 3.4培养良好的信息安全习惯培养良好的信息安全习惯 重要的信息保密重要的信息保密1.1.每次接触的客户信息资料要及时回放,不要随手乱丢每次接触的客户信息资料要及时回放,不要随手乱丢2.2.学习信息安全的相关规定,熟悉重要信息的处理方法;学习信息安全的相关规定,熟悉重要信息的处理方法;3.3.对于自己接触到的相关信息,在工作外不能随便使用计对于自己接触到的相关信息,在工作外不能随便使用计算机处理工作事务;算机处理工作事务;4.4.不随意在网上发表关于工作重要的信息内容;不随意在网上发表关于工作重要的信息内容;计算机信息安全培训 谢谢谢谢!计算机信息安全培训