1、员工信息安全意识培训1主要内容1、什么是信息安全?2、信息安全与我的关系?3、如何实现信息安全?4、如何做到信息安全?5、信息安全管理制度和法律法规!什么是信息安全?什么是信息?什么是信息?有意义的内容对企业具有价值的信息,称为信息资产;对企业正常发展具有影响作用,敏感信息,不论是否属于有用信息。什么是信息安全?信息安全信息安全的的3要素:要素:保密性、完整性、可用性目标:采取合适的信息安全措施,使安全事件对业务造成的影响降低最小,保障组织内业务运行的连续性。信息安全与我的关系?常常见威威胁:窃取、截取、伪造、篡改、拒绝服务攻击、非授权访问、传播病毒等;主要的信息安全威胁 窃取:非法用户通过数
2、据窃听的手段获得敏感信息。截取:非法用户首先获得信息,再将此信息发送给真实接收者。伪造:将伪造的信息发送给接收者。篡改:非法用户对合法用户之间的通讯信息进行修改,再发送给接收者。拒绝服务攻击:攻击服务系统,造成系统瘫痪,阻止合法用户获得服务。非授权访问:未经系统授权而使用网络或计算机资源。传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。威威胁来源:来源:自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;黑客 行为;内部泄密;外部泄密;信息丢失;网络协议自身缺陷缺陷,例如TCP/IP协议的安全问题等等。信息安全与我的关系?某防病毒厂商某防病毒厂商2014年
3、年第一季度信息安全威第一季度信息安全威胁报告:告:在全球不同国家,共计发生427,598,028次恶意程序试图感染用户计算机的行为,同上一季度相比,总体增长36.8%;网络罪犯所采取的攻击策略有所改变;互联网上占统治的地位的恶意软件家族主要针对HTML代码或脚本,网络罪犯主要用此类家族的恶意软件感染合法网站;共发现519,674,973个包含恶意程序的主机服务器。同上季度相比,新发现和确认的漏洞数量增长了6.9%;漏洞利用程序增长了31.3%。几乎任何能够同计算机进行同步的设备都会被网络罪犯用来充当恶意软件的载体。以企业为目标的攻击威胁数字上升;攻击工具的普及使网路罪行较以往变得更轻易;基于网
4、站的攻击有增无减;针对个人身份资讯的安全威胁持续增长。垃圾邮件持续泛滥;信息信息安全就在我安全就在我们身身边!信息信息安全需要我安全需要我们每个人的每个人的参与!参与!你你该怎么怎么办?如何实现信息安全?如何实现信息安全?如何实现信息安全?物理安全计算机使用的安全网络访问的安全社会工程学病毒和恶意代码账号安全电子邮件安全重要信息的保密应急响应文件分类分级使用过的重要文件及时销毁,不要扔在废纸篓里,也不要重复利用不在电话中说工作敏感信息,电话回叫要确认身份不随意下载安装软件,防止恶意程序、病毒及后门等黑客程序前来拜访的外来人员不得进入机房、不得私有设备接入网络加强对移动计算机的安全保护,防止丢失
5、;重要文件做好备份如何实现信息安全?防范社会工程学防范社会工程学攻攻击社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法.步步骤:信息收集信任建立反追查典型攻典型攻击方式:方式:环境渗透、身份伪造、冒名电话、信件伪造等如何防范?如何防范?如何实现信息安全?如何防范?如何防范?仔细身份审核;(多重身份认证、来电显示确认、电话回拨、EMAIL签名、动态密码验证等)严格执行操作流程审核;完善日志审计记录;完善应对措施,及时上报;注重保护个人隐私;不要把任何个人和公司内部信息或是识别标识告诉他人,除非你听出她或他的声音是熟人,并
6、确认对方有这些信息的知情权。无论什么时候在接受一个陌生人询问时,首先要礼貌的拒绝,直到确认对方身份。20112011年年1010月月5 5日,定西日,定西临临洮洮县县太石太石镇邮镇邮政政储储蓄所的蓄所的营业电脑营业电脑突然死机突然死机l l 工作人工作人员员以以为为是一般的故障,是一般的故障,对电脑进对电脑进行了行了简单简单的修复和重装的修复和重装处处理理l l 1717日,工作人日,工作人员发现员发现打印出的打印出的报报表表储储蓄余蓄余额额与与实际实际不符,不符,对账发现对账发现,1313日日发发生了生了1111笔交易,笔交易,83.583.5万异地万异地帐户帐户是虚存(有交易是虚存(有交易
7、记录记录但无但无实际现实际现金)金)l l 紧紧急与开急与开户户行行联联系,系,发现发现存款已从存款已从兰兰州、西安等地被取走大半州、西安等地被取走大半l l 储储蓄所向蓄所向县县公安局公安局报报案案l l 公安局向定西公安公安局向定西公安处汇报处汇报l l 公安公安处处成立成立专专案案组组,同,同时时向省公安向省公安厅厅上上报报 临临洮洮县县太石太石镇镇的的邮邮政政储储蓄网点使用原始密蓄网点使用原始密码码,没有定期更改,而且被,没有定期更改,而且被员员工周知,致使工周知,致使张张某某轻轻松突破数道密松突破数道密码码关,直接关,直接进进入了操作系入了操作系统统 问题问题出出现时现时,工作人,工
8、作人员员以以为为是网是网络络系系统统故障,没有足故障,没有足够够重重视视 看来,看来,看来,看来,问题问题真的不少呀真的不少呀真的不少呀真的不少呀 总结总结教教教教训训 最直接的教最直接的教训训:漠:漠视视口令安全口令安全带带来来恶恶果!果!归归根到底,是管理上存在漏洞,人根到底,是管理上存在漏洞,人员员安全意安全意识识淡薄淡薄安全意安全意安全意安全意识识的提高刻不容的提高刻不容的提高刻不容的提高刻不容缓缓!l l 2003 2003年年3 3月,月,严严父在家中安装开通父在家中安装开通“股神通股神通”业务业务,进进行即行即时时股票交易。股票交易。l l 20032003年年6 6月的一天,月
9、的一天,严严某偶得其父一某偶得其父一张张股票交易股票交易单单,上有,上有9 9位数字的位数字的账账号,号,遂遂动动了了“瞎猫碰死老鼠瞎猫碰死老鼠”的念的念头头:该证该证券公司客券公司客户账户账号前号前6 6位数字是相同的,位数字是相同的,只需猜后只需猜后3 3位;而位;而6 6位密位密码码,严严某某锁锁定定为为“123456123456”。l l 严严某某”埋埋头头苦干苦干“,第一天,第一天连续输连续输入了入了30003000个数字个数字组组合,一无所合,一无所获获。l l 第二天第二天继续继续,很快,很快”奇迹奇迹“出出现现,严严某某顺顺利利进进入一个股票入一个股票账户账户。利用相。利用相同
10、的方法,同的方法,严严某又先后侵入了某又先后侵入了1010余个股票余个股票账户账户。l l 严严某利用某利用别别人的人的账户账户,十几天里共,十几天里共买进卖买进卖出出10001000多万元股票,多万元股票,损损失超失超过过1414万元,直到万元,直到6 6月月1010日案日案发发。l l 严严某被以破坏某被以破坏计计算机信息系算机信息系统统罪依法逮捕。罪依法逮捕。事情是事情是事情是事情是这样这样的的的的 16总结总结教教教教训训 又是口令安全的又是口令安全的问题问题!又是人的安全意又是人的安全意识问题识问题!再次再次再次再次强调强调安全意安全意安全意安全意识识的重要性!的重要性!的重要性!的
11、重要性!如何做到信息安全原则上外来设备不允许接入公司内部网络,如有业务需要,需申请审批通过后方可使用。外来设备包括外部人员带到公司的笔记本电脑、演示机、测试机等。公司内计算机严格限制使用包括移动硬盘、U盘、MP3、带存储卡的设备等的移动存储设备,除工作必须要长期使用移动存储的可申请开通外,公司内的计算机禁止使用移动存储设备。公司内严禁使用盗版软件和破解工具,如有工作需要,应通过公司采购正版软件或使用免费软件不经批准,严禁在公司内部架设FTP,DHCP,DNS等服务器测试用机未经批准,严禁转移到公司办公网络、或将办公电脑转移到测试外网使用。测试规定任何部门和个人不得私自将包括HUB、交换机、路由
12、器等的网络设备接入公司网络中。原则上不得使用网络共享,如因工作原因需要使用的,必须遵循最小化授权原则,删除给所有人(everyone)的共享权限,只共享给需要访问的人员,并且在使用后立即关闭。发现中毒后要断开网络,并及时报告IT人员,等待IT人员来处理。如何做到信息安全严禁使用扫描工具对网络进行扫描和在网络使用黑客工具不得以任何方式将公司信息(包括网络拓扑、IP地址、安全策略、帐号,口令等)告知不相关的人员内部计算机的操作系统、IIS,数据库、FTP以及所有企业应用(如电子邮件系统、即时通讯工具等)中,必须设置用户口令,严禁使用空口令、弱口令或缺省口令。一经发现将被行政处罚。口令长度应在8个字
13、符以上,还应包括大小写字母,特殊符号和数字。口令应该在一个月内更换,重要的和使用频繁的口令视情况缩短更改周期。不允许使用前3次用过的口令。严禁卸载或关闭安全防护软件和防病毒软件,如有系统补丁必须及时安装。离开电脑要锁屏。信息安全管理制度和法律法规n系系统保保护中华人民共和国计算机信息系统安全保护条例计算机信息网络国际联网安全保护管理办法n安全安全产品品商用密码管理条例n国家秘密国家秘密中华人民共和国保守国家秘密法计算机信息系统国际联网保密管理规定n知知识产权中华人民共和国著作权法最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释计算机软件保护条例中华人民共和国专利法n计算机犯罪算机犯罪中华人民共和国刑法(摘录)网络犯罪的法律问题研究n电子子证据据中华人民共和国电子签名法电子认证服务管理办法请大家共同提高信息安全意识,从我做起!20