1、雅士公司员工信息安全意识培训,前言,由调查数据可知,70%的企业信息安全事故都是由个人引起的,要想做好对信息安全事故的防范,对员工的信息安全培训尤为重要。要对员工的信息使用行为进行全面的规范,就必须让员工在以下三方面具有充分的认识:,3,遵守安全使用信息设备的规则,树立维护企业信息安全的意识,主要内容,了解企业安全事故的后果和责任,遵守安全使用信息设备的规则,员工能够遵守安全使用信息设备的规则,是维护企业信息安全性的基石。在没有得到正式批准之前,不要直接或者间接的将个人拥有的设备接入到公司网络中,比如说,将个人的笔记本电脑直接接入公司的局域网,或者将您的PDA与公司的个人计算机进行同步等。信息
2、设备上应该安装公司认可的防病毒软件或者防火墙软件等,并且要定期对这些软件进行更新。此外,应该严格控制移动信息存储设备的出入,以防机密文件通过移动存储设备流出。,树立维护企业信息安全的意识,员工如果缺乏维护企业信息安全的意识,那每时每刻都可能做出损害企业信息安全的行为。一个好的密码是一个良好的开端,因为密码猜测和暴力破解等攻击方法很难攻击好的密码,所以一个好的密码避免使用字典中单一出现的单词、名字、生日。谨慎地使用电子邮件,对于那些有疑问或者不知道来源的邮件,第一步是不要查看或者回复消息,更不要打开可疑的附件。不要点击电子邮件中的连接,而是直接在浏览器中输入URL。,不要安装未授权的软件,也不要
3、在即时消息软件中阻止文件的传输,他们和电子邮件附件一样,可能被用来传播恶意软件。不接触那些名声不好的网站,因为他们可能会在您的机器上种植恶意代码。,了解企业安全事故的后果和责任,要想让员工自觉地做到上述两点,就必须让员工明白,维护企业的信息安全是自己的义务和责任。大量的案例证明,员工在泄漏企业安全信息的行为中,多数人并不知道自己个人的行为会对整个企业的信息安全带来损害,少数人觉得即使造成了损害也不会太大,而且公司也无法查到自己。,要让员工将维护企业信息安全作为己任,就要让员工知道损害企业信息安全后果的严重性,并且应该有明文规定对损害企业的行为进行追究。,9,信息在哪里?,纸质文档 电子文档 员
4、工 其他信息介质,小问题:公司的信息都在哪里?,10,思想上的转变,信息比钞票更重要,更脆弱,我们更应该保护它。,11,WHY?,装有100万的保险箱,需要 3个悍匪、,公司损失: 100万,装有客户信息的电脑,只要 1个商业间谍、,1个U盘,就能偷走。,公司损失: 所有客户!,12,典型案例,广义上讲领域 涉及到信息的保密性,完整性,可用性,真实性,可控性的相关技术和理论。本质上保护 系统的硬件,软件,数据 防止 系统和数据遭受破坏,更改,泄露 保证 系统连续可靠正常地运行,服务不中断两个层面 技术层面 防止外部用户的非法入侵 管理层面 内部员工的教育和管理,13,信息安全的定义,14,信息
5、安全令人担忧,内地企业44%信息安全事件是数据失窃,普华永道最新发布的2008年度全球信息安全调查报告显示,中国内地企业在信息安全管理方面存在滞后,信息安全与隐私保障方面已被印度赶超。数据显示,内地企业44%的信息安全事件与数据失窃有关,而全球的平均水平只有16%。普华永道的调查显示,中国内地企业在改善信息安全机制上仍有待努力,从近年安全事件结果看,中国每年大约98万美元的财务损失,而亚洲国家平均约为75万美元,印度大约为30.8万美元。此外,42%的中国内地受访企业经历了应用软件、系统和网络的安全事件。,15,安全事件(1),16,安全事件(2),17,安全事件(3),18,安全事件(4),
6、19,安全事件(5),20,安全事件(6),熊猫烧香病毒的制造者-李俊,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。,21,深度分析,22,这样的事情还有很多,信 息 安 全 迫 在 眉 睫
7、!,关键是做好预防控制,首先要关注内部人员的安全管理,26,2007年11月,集安支行代办员,周末晚上通过运营电脑,将230万转移到事先办理的15张卡上,并一夜间在各ATM上取走38万。周一被发现。夜间银行监控设备未开放,下班后运营电脑未上锁。事实上,此前早有人提出过这个问题,只不过没有得到重视。,27,典型案例:乐购事件,2005年9月7日,上海乐购超市金山店负责人到市公安局金山分局报案称,该店在盘点货物时发现销售的货物和收到的货款不符,有可能款物被非法侵吞。上海市公安局经侦总队和金山分局立即成立了专案组展开调查。 专案组调查发现,乐购超市几家门店货物缺损率大大超过了业内千分之五的物损比例,
8、缺损的货物五花八门,油盐酱醋等日常用品的销售与实际收到的货款差别很大。根据以往的案例,超市内的盗窃行为往往是针对体积小价值高的化妆品等物,盗窃者很少光顾油盐酱醋等生活用品。奇怪的是,在超市的各个经营环节并没有发现明显漏洞。 考虑到钱和物最终的流向收银员是出口,问题很可能出在收银环节。警方在调查中发现,收银系统软件的设计相对严密,除非是负责维护收银系统的资讯小组职员和收银员合谋,才有可能对营业款项动手脚。 经过深入调查,侦查人员发现超市原有的收银系统被装入了一个攻击性的补丁程序,只要收银员输入口令、密码,这个程序会自动运行,删除该营业员当日20左右的销售记录后再将数据传送至会计部门,造成会计部门
9、只按实际营业额的80向收银员收取营业额。另20营业额即可被侵吞。 能够在收银系统中装入程序的,负责管理、更新、维修超市收银系统的资讯组工作人员嫌疑最大。 警方顺藤摸瓜,挖出一个包括超市资讯员、收银员在内的近40人的犯罪团伙。据调查,原乐购超市真北店资讯组组长方元在工作中发现收银系统漏洞,设计了攻击性程序,犯罪嫌疑人于琪、朱永春、武侃佳等人利用担任乐购超市多家门店资讯工作的便利,将这一程序植入各门店收银系统;犯罪嫌疑人陈炜嘉、陈琦、赵一青等人物色不法人员,经培训后通过应聘安插到各家门店做收银员,每日将侵吞赃款上缴到犯罪团伙主犯方元、陈炜嘉、陈琦等人手中,团伙成员按比例分赃。一年时间内,先后侵吞乐
10、购超市真北店、金山店、七宝店374万余元。犯罪团伙个人按比例分得赃款数千元至50万元不等,关于员工安全管理的建议,根据不同岗位的需求,在职位描述书中加入安全方面的责任要求,特别是敏感岗位在招聘环节做好人员筛选和背景调查工作,并且签订适当的保密协议在新员工培训中专门加入信息安全内容工作期间,根据岗位需要,持续进行专项培训通过多种途径,全面提升员工信息安全意识落实检查监督和奖惩机制员工内部转岗应做好访问控制变更控制员工离职,应做好交接和权限撤销,日常工作需特别留意信息安全,30,移动介质管控的要求与落实脱节 “摆渡攻击”涉密网络中的泄密现象,关于口令的一些调查结果,一个有趣的调查发现,如果你用一条
11、巧克力来作为交换,有70的人乐意告诉你他(她)的口令有34的人,甚至不需要贿赂,就可奉献自己的口令另据调查,有79的人,在被提问时,会无意间泄漏足以被用来窃取其身份的信息姓名、宠物名、生日、球队名最常被用作口令平均每人要记住四个口令,大多数人都习惯使用相同的口令(在很多需要口令的地方)33的人选择将口令写下来,然后放到抽屉或夹到文件里,什么样的口令是比较脆弱的?,少于8个字符单一的字符类型,例如只用小写字母,或只用数字用户名与口令相同最常被人使用的弱口令:自己、家人、朋友、亲戚、宠物的名字生日、结婚纪念日、电话号码等个人信息工作中用到的专业术语,职业特征字典中包含的单词,或者只在单词后加简单的
12、后缀所有系统都使用相同的口令口令一直不变,口令安全建议,应该设置强口令口令应该经常更改,比如3个月不同的系统或场所应使用不同的口令一定要即刻更改系统的缺省或初始化口令不要与任何人共享你的口令不要把口令写在纸上不要把口令存储在计算机文件中输入口令时严防有人偷看如果有人在电话中向你索取口令,拒绝后立即报告如果发觉有人获知你的口令,立即改变它,从一点一滴做起!,从自身做起!,35,IT安全问题,1、一般情况下,个人计算机在( ) 分钟的非活动状态里要求自动激活屏幕锁定 A、5分钟 B、10分钟C、15分钟 D、30分钟,36,IT安全问题,2、下列说法错误的是( ) A、个人计算机操作系统必须设置口
13、令。 B、在每天工作结束时,将便携电脑妥善保 管,如锁入文件柜。 C、离开自己的计算机时,必须激活具有密码保护的屏幕保护程序。 D、为方便第二天工作,下班后可以不用关闭计算机。,37,IT安全问题,3、口令要求至少( )更换一次 A、3个月 B、6个月 C、1年 D、可以一直使用一个口令 ,不用修改。,38,IT安全问题,4、下列关于个人计算机的访问密码设置要求,描述错误的是( ):A、密码要求至少设置8位字符长。 B、为便于记忆,可将自己生日作为密码。 C、禁止使用前两次的密码 D、如果需要访问不在公司控制下的计算机系统,禁止选择在公司内部系统使用的密码作为外部系统的密码。,39,IT安全问
14、题,5、关于个人计算机数据备份描述错误的是() A、备份的目的是有效保证个人计算机内的重要信息在遭到损坏时能够及时恢复。 B、个人计算机数据备份是信息技术部的事情,应由信息技术部负责完成。 C、员工应根据个人计算机上信息的重要程度和修改频率定期对信息进行备份。 D、备份介质必须要注意防范偷窃或未经授权的访问。,40,IT安全问题,6、关于电子邮件的使用,描述错误的是( ) A、不得散发可能被认为不适当的,对他人不尊重或提倡违法行为的内容; B 、可以自动转发公司内部邮件到互联网上; C 、禁止使用非CPIC 的电子邮箱,如YAHOO,AOL,HOTMAIL 等交换CPIC公司信息; D、非CP
15、IC 授权人员禁止使用即时通讯软件,如MSN 交换CPIC 公司信息。,41,IT安全问题,7、下列关于病毒防护描述错误的是( ) A、个人工作站必须安装统一部署的防病毒软件,未经信息技术部批准不得擅自安装非本公司指定的防病毒软件。 B、如果从公共资源得到程序(比如,网站,公告版),那么在使用之前需使用防病毒程序扫描。 C、在处理外部介质之前应用防病毒软件扫描。 D、个人计算机上安装了防病毒软件即可,不用定期进行病毒扫描。,42,IT安全问题,8、位于高风险区域的移动计算机,例如,在没有物理访问控制的区域等应设屏幕锁定为( )分钟,以防止非授权人员的访问; A、5分钟 B、10分钟 C、15分
16、钟 D、30分钟,43,IT安全问题,9、关于数据保存,说法错误的是( ) A、将重要数据文件保存到C盘或者桌面。 B、定期对重要数据文件用移动硬盘或光盘进行备份。 C、将重要数据文件保存到C盘外的其它硬盘分区。,44,IT安全问题,10、下列关于笔记本使用规范描述错误的是() A、笔记本应该设置硬盘保护密码以加强安全保护; B、在旅行中或在办公室之外的地方工作时 要尽可能将便携电脑置于个人的控制之下。 C、如果便携电脑或公司的机密信息被偷,丢失,必须及时报告给公司的安全部门和你的上级主管。 D、单位笔记本可以带回家供娱乐使用,例如玩游戏等。,问题一,11、在旅行中或出差时等办公室之外的地方使
17、用便携电脑,以下哪一种使用方式不符合公司的安全规定:A、乘飞机旅行时,将便携电脑放在托运的行李中; B、外出时将便携电脑锁在酒店保险柜里; C、如果便携电脑被偷或丢失,报告给公司当地的安全部门和你的上级主管; D、在候机室或者飞机上看影片。,45,问题二,12、以下哪一种是正确的使用公司电脑的方式: A、公司上网需要申请,自己买张移动上网卡接入电脑上Internet; B、要给客户发保险产品信息,使用Hotmail发送过去; C、习惯使用Adobe Photoshop编辑软件,但公司的电脑没有安装,自己买张盗版光盘自行安装; D、定期把自己电脑的文档备份在移动硬盘上;,46,谢谢大家! 网络信息安全请从身边做起!,
