1、,2018信息安全提升系列 (一),信息技术部 2018-02-12,普通员工信息安全意识培训,信息安全意识,就是能够认知可能存在的信息 安全问题,预估信息安全事故对组织的危害,恪守 正确的行为方式,并且执行在信息安全事故发生时 所应采取的措施。,什么是信息安全意识?,信息安全基础知识当前的信息安全形势个人应具备的安全防护意识,目录,什么是信息?,知识,信息,数据 信息的属性: 基本元素是数据,每个数据代表某个意义; 以各种形式存在:纸、电子、影片、交谈等; 数据具有一定的逻辑关系; 具有一定的时效性; 对组织具有价值,是一种资产; 需要适当的保护。,指导 意义,抽象 程度,什么是安全?,安全
2、 Security:事物保持不受损害,保证信息只能够由得到授 权的人访问。 举例:公司产品代码不 被恶意泄漏;商务合同 、报价、客户信息不被 披露,保证信息的正确性及不被非授权篡改和删除。 举例:计费纪录被恶意修改; 交易信息被删除;公司主页被 篡改;日志文件被删除,保证经授权的用户当需 要访问信息的时候就能 够访问到。 举例:如果公司的业务被 拒绝服务造成网络中断, 用户无法使用我们的业务 。,完整性,保密性,可用性,信息安全,什么是信息安全?,采取合适的信息安全措施,使安全事件对业务造成的影响降低最小, 保障组织内业务运行的连续性。,广义上讲 涉及到信息的保密性,完整性,可用性,真实性,可
3、控性的相 关技术和理论。 本质上 保护 系统的硬件,软件,数据 防止 系统和数据遭受破坏,更改,泄露 保证 系统连续可靠正常地运行,服务不中断 两个层面 技术层面 防止外部用户的非法入侵 管理层面 内部员工的教育和管理9,信息安全的定义,为什么会有信息安全问题?,因为有病毒吗?,因为有黑客吗?,因为有漏洞吗?,这些都是原因, 但没有说到根源,安全问题的根源外因,2,来自自然的破坏,安全问题的根源内因,系统越来越复杂,1,2,人也是复杂的,需要加强信息安全保障,组织机构的使命/业务目标实现 越来越依赖于信息系统 信息系统成为组织机构生存和 发展的关键因素 信息系统的安全风险也成为组 织风险的一部
4、分 为了保障组织机构完成其使命, 必须加强信息安全保障,抵抗 这些风险。,信息 系统,使命,风险,保障,安全保障的目标是支持业务,信息安全保障是为了 支撑业务高效稳定运行,信息安全保障需要持续进行,信息安全保障需要 时时刻刻不放松,如何保障信息安全?,信息是依赖与承载它的信息技术系统存在的 需要在技术层面部署完善的控制措施信息系统是由人来建设使用和维护的 需要通过有效的管理手段约束人今天系统安全了明天未必安全 需要贯穿系统生命周期的工程过程信息安全的对抗,归根结底是人员知识、技能和素质的 对抗 需要建设高素质的人才队伍,我国信息化迅猛发展,我国信息化建设起步于20世纪80年代 20世纪90年代
5、取得长足进步 现在信息技术已经广泛应用 于促进 国民经济发展 政府管理和服务水平提高 企业竞争力增强 人民生活水平该改善我国正在步入信息化时代,信息化建设的意义,信息化作为全球化的重要方面,直接推动了国际 关系的演变和全球经济体系的形成 电子政务、电子商务和整个社会的信息化发展, 标志着我国进入信息化社会 整个社会越来越依赖于网络和信息系统,网络和 信息系统正成为社会运行和发展的重要支撑要素然而,没有信息安全就没有真正有效的信息化,信息安全趋势,隐蔽性:信息安全的一个最大特点就是看不见摸 不着。在不知不觉中就已经中了招,在不知不觉 中就已经遭受了重大损失。,信息安全趋势,趋利性:为了炫耀能力的
6、黑客少了,为了非法取 得政治、经济利益的人越来越多,新应用导致新的安全问题,数据大集中风险也更集中了; 系统复杂了安全问题解决难度加大; 云计算安全已经不再是自己可以控制的 4G 、物联网、三网合一IP网络中安全问题引 入到了电话、手机、广播电视中 web2.0 、微博、微信等网络安全与日常生活 越来越贴近,2018/2/6,安全风险无处不在,新闻,2010年初,美国硅谷的迈克菲公司发布最新报告,约109.5万台 中国计算机被病毒感染(美国105.7万),排第一位。 2010年1月2日,公安部物证鉴定中心被黑,登陆该网站,有些嘲 弄语言,还贴一张“我们睡,你们讲”的图片,图片是公安某单 位一次
7、会议上,台下参会人员大睡的场面。 2010年1月11日,著名网络百度被黑(域名劫持),黑客团体叫 “Iranian Cyber Army”。服务器中断5小时。 2008年1月,美国总统布什签发总统54号令,其中有国家网络 安全综合纲领(CNCI),包含12个行动纲领。 2009年6月,美国国防部长罗伯特盖茨下令组建网络司令部,统 一协调美军网络安全,开展网络战争等与计算机相关的军事行动 。,案例1,2009年6月9日,双色球2009066期开奖,全国共 中出一等奖4注,但是,开奖系统却显示一等奖 中奖数为9注,其中深圳地区中奖为5注。深圳市 福彩中心在开奖程序结束后发现系统出现异常, 经多次数
8、据检验,工作人员判断,福彩中心销售 系统疑被非法入侵,中奖彩票数据记录疑被人为 篡改。 经调查发现,这是一起企图利用计算机网络信息系统技术诈骗彩 票奖金的案件,并于6月12日将犯罪嫌疑人程某抓获,程某为深圳 市某技术公司软件开发工程师,利用公司在深圳福彩中心实施技 术合作项目的机会,通过木马攻击程序,恶意篡改彩票数据,伪 造了5注一等奖欲牟取非法利益。,UNIVERSITY,违规操作泄密,敌对势力窃密,互联网,部队失密案:20XX年初,军队某参谋违反规定,使用涉密 计算机上因特网,被台湾情报机关跟踪锁定,一次窃走1000多份 文档资料,影响和损失极为严重。,案例2,扫描网络,发现漏洞,控制系统
9、,窃取文件,案例3:网络故障造成航班延误和旅客滞留,2006年10月10日13时32分,中航信运营的离港系统发生主机系统 文件损坏,导致使用离港系统的航空公司和机场的正常运行产生不 同程度影响。经过排查后故障系统于14时16分恢复正常。此次故障 造成首都机场、广州机场、深圳机场等机场部分航班延误。,28,信息安全事件在增多,信 息 安 全 迫 在 眉 睫!,信息资产,拒绝服务,流氓软件,黑客渗透,内部人员威胁,木马后门,病毒和蠕虫,社会工程,系统漏洞,硬件故障,网络通信故障,供电中断,失火,雷雨,地震,威胁无处不在,我们应该怎么做,培养意识 知道如何去识别一个潜在的问题 利用正确的判断力 掌握
10、和实行良好的安全习惯 在日常工作中养成良好的习惯 鼓励其他人也这样做 报告任何异常事件 如果发现了某件安全事件,通知适当的联系人 ,将口令写在便签上,贴在电脑监视器旁 开着电脑离开,就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件,好奇打开邮件附件 使用容易猜测的口令,或者根本不设口令 丢失笔记本电脑 不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息 随便上网和下载软件,或随意将无关设备连入公司网络 事不关己,高高挂起,不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁,忽视企业内部人员的问题,我们最常犯的一些错误,一个巴掌拍不响!,外因是条件 内因才是根本!,人之初性本非善
11、恶 吾自三省吾身,提高人员信息安全意识和素质势在必行!,人是最关键的因素,信息安全防护10条,信息安全防护10条,工作常识,账号口令安全 个人电脑安全 良好工作习惯 软件使用规范,物理安全,文件资料安全 物理环境安全,员工管理,工作岗位安全规范 员工岗位调整管理,网络与邮件系统安全 员工邮件使用安全,网络与邮件,信息安全防护,安全防护之 工作常识4条,设置复杂口令,至少8位,包含字母数字 定期更改口令,最长3个月更改一次 即刻更改缺省的或初始化口令 输入时严防偷看,若发觉有人获知,应立即改变口令 有人在电话中向你索取口令,应拒绝后立即报告 不与任何人共享,临时共享,事后第一时间更改口令 不要把
12、口令写在纸上 不要把口令存储在计算机文件中,安全防护之(一)账户与口令的安全使用,个人电脑须安装防病毒软件,并及时升级软件 开启防病毒软件所有功能,定期进行全盘扫描 防病毒管控产生的记录必须被至少保留90天 若使用下载工具,需进行防病毒设置与流量控制 浏览网站需小心,不要随意安装控件 IE浏览器需进行相应的安全设置、配置 邮件安全需对垃圾邮件进行防护设置 系统补丁需进行更新策略的设置,安全防护之(二)个人电脑安全防护,文件存放位置不要放在默认的“我的文档”或桌面 不随意安装软件,尤其是网络浏览时要求安装的控件 员工要有安全保管工作相关资料的意识 使用公司提供的文件服务器等储存资源备份重要资料
13、存储设备损坏后应慎重选择第三方修复商,勿随意丢 弃、应先进行安全处理 离开电脑时记得锁屏,安全防护之(三)工作习惯提醒,用户们不可安装属于个人的软件在任何公司设备上 不违反版权或其它知识产权使用软件或其它类型产品 免费与开源软件须经过管理和法务部门批准,并符合 公司信息安全标准和其它规范要求才可使用,安全防护之(四)软件使用,安全防护之 物理环境2条,公司的信息资料,不可转移或存储在任何非公司核准 或认证的设备或个人设备上 敏感信息不随意地放置,打印或复印的敏感资料要及时 取走 凡被定为机密或绝密的信息,如需发送到公司外部或 带出公司,须经过审批,并采取适当的安全措施 因工作需要临时使用敏感资
14、料后,应执行安全删除、 彻底粉碎等措施 不在公司外部讨论敏感信息,安全防护之(五)文件资料的安全防护,受控区域应设置一定的安全措施,比如视频监控等, 并做好进出登记 如果进出需要门卡,请随身带好,严禁无证进入 钥匙和门卡仅供本人使用,不要交给他人使用 敏感物品应放置在受控的安全区域,安全防护之(六)物理环境安全防护,安全防护之 员工管理2条,根据不同岗位的需求,尤其是敏感岗位,应在职位描 述中加入安全方面的责任要求 若岗位需要,应签订适当的保密协议 依岗位需要和公司要求,应不定期的对员工进行专项 的和通用的信息安全意识培训,安全防护之(七)工作岗位安全要求,当下级更换工作岗位或离职时,团队负责人必须立即 通知人力资源中心及信息中心,并按安全管控流程进 行账号权限等工作事项的变更调整,安全防护之(八)员工岗位调整,安全防护之 网络与邮件2条,邮件与网络系统都属于公司资产,公司有权监视公司 内部电子邮件与网络行为,使用网络管理系统或工具 进行管控,对各种网络应用进行管控和记录 实时记录局域网内电脑所有对外收发的邮件、浏览的 网页以及上传下载的文件,监视和管理网内用户的聊 天行为,限制、阻断网内用户访问指定网络资源或网 络协议等,安全防护之(九)网络与邮件系统的安全防护,谢谢观赏! Thanks!,
