1、信息安全意识培训 信息安全意识培训一、信息安全介绍二、公共信息安全三、个人信息安全信息安全介绍信息安全介绍1.1 信息安全理论1.2 案例介绍1.3 法律法规1.4 信息安全的未来威胁1.1 1.1 信息安全理论信息安全理论什么是信息安全 采取技术与管理措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。1.1 1.1 信息安全理论信息安全理论您是否知道:您是否知道:每400封邮件中就有1封包含机密信息;每50份通过网络传输的文件中就有1份包含机密数据;50的USB盘中包含机密信
2、息;80的公司在丢失笔记本电脑后会发生泄密事件;在美国平均每次数据泄密事件导致的财务损失高达630万美金;数据泄漏导致客户流失的比例正在以每年11%的速率上升;SOX,HIPPA,PCI以及中国的企业内控基本规范都要求企业保护机密信息;信息保护正日益成为安全管理和风险控制的核心内容;1.2 1.2 案例介绍案例介绍机场被黑客攻陷 2016年7月29日下午16时许,河内和胡志明这2家越南最主要机场的航班资讯、柜台报到系统显示屏突然改变,屏幕上显示“南海是中国的”等信息。同时,两个机场广播系统也失去控制,自动播放类似内容。机场人员随后关闭遭入侵的电脑和广播系统,使用扩音器通知乘客以及以“手工”方式
3、办理登机等手续,部分航班被迫延迟起飞。信息安全威胁无处不在 信息信息信息信息资产资产资产资产流氓软件流氓软件流氓软件流氓软件黑客渗透黑客渗透黑客渗透黑客渗透内部人员威胁内部人员威胁内部人员威胁内部人员威胁病毒和蠕虫病毒和蠕虫病毒和蠕虫病毒和蠕虫硬件故障硬件故障硬件故障硬件故障网络通信故障网络通信故障网络通信故障网络通信故障供电中断供电中断供电中断供电中断雷雨雷雨地震地震地震地震拒绝服务拒绝服务拒绝服务拒绝服务社会工程社会工程社会工程社会工程系统漏洞系统漏洞木马后门木马后门木马后门木马后门木马后门木马后门木马后门木马后门失火失火失火失火1.3 1.3 法律法规法律法规国务院加强网络信息安全推动个
4、人信息保护立法国务院加强网络信息安全推动个人信息保护立法 20132013年年8 8月月1414日,国务院办公厅公布了日,国务院办公厅公布了国务院关于加快促进信息消费扩大内需的若干意见国务院关于加快促进信息消费扩大内需的若干意见。意见指出,积极推动出台网络信息安全、个人信息保护等方面的法律制度,明确互联网服务提意见指出,积极推动出台网络信息安全、个人信息保护等方面的法律制度,明确互联网服务提供者保护用户个人信息的义务。供者保护用户个人信息的义务。意见从以下几个方面提出了促进信息消费的主要任务:意见从以下几个方面提出了促进信息消费的主要任务:一是加快信息基础设施演进升级;一是加快信息基础设施演进
5、升级;二是增强信息产品供给能力;三是培育信息消费需求;四是提升公共服务信息化水平;五是加强信二是增强信息产品供给能力;三是培育信息消费需求;四是提升公共服务信息化水平;五是加强信息消费环境建设等。息消费环境建设等。意见指出,提升信息安全保障能力。意见指出,提升信息安全保障能力。依法加强信息产品和服务的检测和认证,鼓励企业开依法加强信息产品和服务的检测和认证,鼓励企业开发技术先进、性能可靠的信息技术产品,支持建立第三方安全评估与监测机制。加强与终端产品相发技术先进、性能可靠的信息技术产品,支持建立第三方安全评估与监测机制。加强与终端产品相连接的集成平台的建设和管理引导信息产品和服务发展。加强应用
6、商店监管。加强政府和涉密信息连接的集成平台的建设和管理引导信息产品和服务发展。加强应用商店监管。加强政府和涉密信息系统安全管理,保障重要信息系统互联互通和部门间信息资源共享安全。落实信息安全等级保护制系统安全管理,保障重要信息系统互联互通和部门间信息资源共享安全。落实信息安全等级保护制度,加强网络与信息安全监管,提升网络与信息安全监管能力和系统安全防护水平。度,加强网络与信息安全监管,提升网络与信息安全监管能力和系统安全防护水平。意见还指出,加强个人信息保护。意见还指出,加强个人信息保护。落实全国人大常委会关于加强网络信息保护的决定,积落实全国人大常委会关于加强网络信息保护的决定,积极推动出台
7、网络信息安全个人信息保护等方面的法律制度,明确互联网服务提供者保护用户个人信极推动出台网络信息安全个人信息保护等方面的法律制度,明确互联网服务提供者保护用户个人信息的义务,制定用户个人信息保护标准,规范服务商对个人信息收集、储存及使用。息的义务,制定用户个人信息保护标准,规范服务商对个人信息收集、储存及使用。1.3 1.3 法律法规法律法规电信和互联网用户个人信息保护 个人信息的泄露,给我们的生活带来了困扰,甚至造成直接的经济损失。值得欣喜的是,工业和信息化部近日公布的电信和互联网用户个人信息保护规定(以下简称规定)将于9月1日起施行,为个人信息安全编织了一张法律保护网。规定指出,未经用户同意
8、,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。并且,在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务,不得泄露、篡改、毁损、出售或者非法向他人提供用户个人信息。针对代理商泄漏个人信息的问题规定明确按照“谁经营、谁负责”、“谁委托、谁负责”的原则,由电信业务经营者、互联网信息服务提供者负责对其代理商的个人信息保护工作实施管理。对侵害电信和互联网用户个人信息的违法行为,规定设定警告和3万元以下的罚款处罚同时设立了制止违法行为危害扩大的“叫停”制度、“向社会公告”行政处罚制度和将违法行为“记入社会信用档案”制度。其
9、他国家或地区个人信息保护环境其他国家或地区个人信息保护环境 全球约有50个国家已建立了个人数据和隐私保护的相关法案,对个人信息收集、存储、访问、使用和销毁进行了规定。其中,比较知名的如:亚洲:个人资料(私隐)条例-第486章(香港);电脑处理个人资料保护法(台湾);个人资料保护法(日本);信息公开法(日本)欧洲:欧盟数据保护指令美国:医疗保险责任法案(HIPAA)公平信用报告法(FCRA);儿童网络隐私保护法(COPPA);金融服务现代化法案(GLBA)信用卡持卡人数据保护:支付卡行业数据安全标准(PCI DSS)信息安全意识培训一、信息安全介绍二、公共信息安全三、个人信息安全公共信息安全公共
10、信息安全2.1 密码安全2.2 上网安全2.3 邮件安全2.4 软件安全2.2 2.2 上网安全上网安全手机WiFi网络的安全措施 使用运营商提供的网络运营商网络的安全性相对高一些,可以通过电话或短信,获取免费的WiFi账号和密码。最后就是要设置你的移动设备,不要设为自动连接,要设置为手动连接,只在自己需要的时候,才手动连接到安全的WiFi环境中。警惕假冒WiFi热点对于个人接入WiFi网络,要随时察觉恶意接入点。有些接入点有可能是潜在的攻击者制造的。不良黑客自建的名称总是和这些公共场合的免费名称高度相似,诱使警惕心不高的人连接。用户通过此网络发送和接收的所有数据,会全部被不法分子截获,最终造
11、成网银被盗。所以,普通手机用户在接入WiFi网络连接前,一定要确认好是否是正规的渠道,避免落入黑客设置的圈套造成损失。建议使用密码保护的公共网络密码保护是网络安全的重要手段,可以让上网更安全,个人资料不易被黑客所获得。为了防范泄密风险,建议使用有密码保护的公共网络。尽量不要使用网上银行等服务在连接公共WiFi连接时,一定要加强安全警惕性,尽量不要在公共WiFi网络中使用网络银行、信用卡服务登录网络游戏电子邮箱访问企业VPN等服务,因为一旦这些数据被截获,很可能给受害人带来巨大的损失。2.3 2.3 邮件安全邮件安全 2015年,瓯海刑侦大队收到了一份可能是来自最远距离的受害人的谢意德国商人穆萨
12、,他被非洲某国嫌疑人实施邮件诈骗,将1.96万欧元汇入诈骗分子提供的账户,报案后才得知,这是中国温州瓯海的某私人账户。穆萨抱着试试看的心态,坐飞机来到温州,向瓯海警方报警求助,瓯海刑侦大队全力追查赃款下落,并成功找到知情人,将赃款追回完璧归赵。这起跨国邮件诈骗案件的头绪基本理清。远在非洲的嫌疑人欧勒勒,在网上利用黑客手段,攻入深圳某电子产品公司员工周小姐的邮箱,获得了她的客户信息。发现她与客户之间存在未结货款时,就伺机行骗。嫌疑人并没有使用自己的银行账户,而是不远万里,找到了位于中国温州的老乡奥顿拉美,让他帮忙找个中国人的银行账户。2.3 2.3 邮件安全邮件安全邮件安全策略 不当使用Emai
13、l可能导致法律风险 禁止发送或转发反动或非法的邮件内容 未经发送人许可,不得转发接收到的邮件 不得伪造虚假邮件,不得使用他人账号发送邮件未经许可,不得将属于他人邮件的消息内容拷贝转发 与业务相关的Email应在文件服务器上做妥善备份 包含客户信息的Email应转发主管做备份 个人用途的Email不应干扰工作,并且遵守本策略 避免通过Email发送机密信息,如果需要,应采取必要的加密保护措施2.3 2.3 邮件安全邮件安全接收邮件注意 不安全的文件类型:绝对不要打开任何以下文件类型的邮件附件:.bat,.com,.exe,.vbs 未知的文件类型绝对不要打开任何未知文件类型的邮件附件包括邮件内容
14、中到未知文件类型的链接 不要打开未知的链接:未知的链接可能是含有病毒的网站和一次含有欺骗信息的钓鱼网站 微软文件类型:如果要打开微软文件类型(例如.doc,.xls,.ppt等)的邮件附件或者内部链接,务必先进行病毒扫描 要求发送普通的文本:尽量要求对方发送普通的文本内容邮件,而不要发送HTML格式邮件,不要携带不安全类型的附件 禁止邮件执行Html代码禁止执行HTML内容中的代码 防止垃圾邮件:通过设置邮件服务器的过滤,防止接受垃圾邮件 尽早安装系统补丁:杜绝恶意代码利用系统漏洞而实施攻击信息安全意识培训一、信息安全介绍二、公共信息安全三、个人信息安全个人信息安全个人信息安全3.1 计算机病
15、毒3.2 手机安全3.3 个人隐私安全3.4 工作环境和物理安全3.1 3.1 计算机病毒计算机病毒感染病毒的一些不良习惯随意开放共享并且设置为最大权限系统补丁不及时更新使用盗版软件随意安装系统和软件浏览一些不良的恶意网站网络聊天信息安全意识薄弱恶意代码防范策略 不要随意下载或安装软件 不要接收与打开从E-mail或聊天工具中传来的不明附件 不要点击他人发送的不明链接,也不登录不明网站 尽量不通过过移动介质共享文件 开启系统的防火墙功能或给系统安装软件防火墙 自动或定期更新OS与应用软件的补丁 所有计算机必须部署指定的防病毒软件 防病毒软件与病毒库必须持续更新 感染病毒的计算机必须从网络中隔离
16、直至清除病毒 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度 发生任何病毒传播事件,相关人员应及时向IT管理部门汇报3.2 3.2 手机安全手机安全3.3 3.3 个人隐私安全个人隐私安全1.某保健品公司主要是通过电话营销出售一些假冒伪劣的药品、保健品,刚开始业绩很差,工作人员都是盲目拨电话号码,打几百个电话也许 能碰上一个买家。去年月,偶然发现在网上能买到一些患者电话。花钱买了上万条个人信息后,电话营销精确度大大提高,生意好得出奇。块钱一盒的药卖到块钱。2.据在深圳被抓获的一名中间商、犯罪嫌疑人周强(化名)介绍,他最初在一家保险公司上班,由于老完不成业务量,就花元在网上买了几
17、万条与保险业相关的个人信息,结果工作业绩直线上升。后来跳槽到一家证券公司后,觉得自己以前掌握的个人信息没用了,就想卖掉。过去花元买来的信息,卖了十多次后,净赚八万多元。3.3 3.3 个人隐私安全个人隐私安全社交网络中的个人信息面临的威胁:1.社交网络常常需要提供大量的个人信息2.大量极具商业价值的用户资料非常有吸引力3.常见的个人隐私带来的危害网络钓鱼诈骗 人身攻击 广告骚扰 身份盗用电子商务中个人信息面临的威胁:1.收集和利用个人信息造成的威胁2.经营者大量收集用户个人信息对消费者的人身权益构成威胁3.超范围收集个人信息4.非法收集和使用个人信息5.个人信息的二次开发和交易的威胁6.个人信息的二次开发利用,可能造成客户个人信息或商业机密的泄露。7.个人信息交易是目前最为严重的一种侵权行为3.4 3.4 工作环境和物理安全工作环境和物理安全绝对的安全是不存在的!绝对的安全是不存在的!计算机安全领域一句格言:“真正安全的计算机是拔下网线,断掉电源,放在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。”三分技术,七分管理!谢谢!谢谢!
浙ICP备2021020529号-1 | 浙B2-20240490 
