《信息安全意识培训课件(PPT-48页).ppt》由会员分享,可在线阅读,更多相关《信息安全意识培训课件(PPT-48页).ppt(48页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,四川明星电缆股份有限公司,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,信息安全意识培训,27 九月 2024,内容大纲,什么是信息安全,1,2,3,信息安全意识,如何做好信息安全,什么是信息安全,采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。,什么是信息,信息是公司经营重要的资产。,对于现代企业来说,信息是一种资产,包括电子文件、纸质文件
2、、图纸、标准、专利、报价短信消息、,电话,汇报等,信息资产是具有重要价值。,以下哪些属于信息,?,数据,专利,计算机,文件,声音,纸,什么是信息,信息安全,意识,信息安全意识(,Information Security Awareness,),就是能够认知可能存在的信息安全问题,预估信息安全事故对组织的危害,恪守正确的行为方式,并且执行在信息安全事故发生时所应采取的措施。,信息安全的目标,确保信息及资源在有需要的时候可以正常使用。,确保信息在生成、传输、保存过程中不会被恶意修改。,确保信息在生成、传输、保存过程中不会被泄漏。,一般,秘密,机密,绝密,信息保密级别定义,我们的目标,建立对信息安全
3、的敏感意识和正确认识,掌握信息安全的基本概念、原则和惯例,清楚可能面临的威胁和风险,遵守各项安全策略和制度,在日常工作中养成良好的安全习惯,最终提升整体的信息安全水平,z,信息,安全,1,.,物理安全,2,.,密码安全,4,.,上网行为安全,3,.,传输安全,信息安全管理措施,物理安全,安全目标,防止物理设备在未授权的情况下被访问、或损坏,确保硬件的绝对安全,尽量做到点对点,减少中间的流转环节。尽量对移动存储器中的内容进行加密设置,防止未授权人员对其进行访问。,物理安全,案例说明,1,、全球每隔,53,秒钟就会有一台笔记本电脑失窃,Software Insurance,;,2,、,97%,的失
4、窃笔记本电脑都没有希望找回,FBI,3,、你的笔记本电脑失窃的几率为,10%,,这意味着每十个人中就有一个人会丢失笔记本电脑,Gartner Group,4,、,惠普公司提供服务的富达投资公司的几名员工在公司以外场所使用时被盗的。,这台笔记本电脑中储存了惠普公司的,19.6,万现有员工和以前员工的相关资料。具体资料包括员工姓名、地址、社会保险号、生日和其他一些与员工有关的资料。,物理安全,案例说明,2006,年,5,月,美国退伍军人事务部的一名员工家被盗,其中丢失的一台笔记本电脑中存有包括自,1975,年以来大约,2650,万名美国退伍军人及其部分家属的姓名、出生日期和社会安全号码等个人信息,
5、甚至还包括这些退伍军人的配偶、身体健康状况等。尽管有前车之鉴,但类似的事件仍然层出不穷。,据统计丢失一台未加密的商用电脑损失平均达,30,万人民币,物理安全,控制措施,物理区域设置门卫或门禁,非工作人员出入需登记;,严禁所有人员携带个人电脑进入公司,,客户及供应商电脑如需要进入公司需进行登记,禁止接入公司网络;,所有人员不得将门禁卡借与他人使用;,人员下班或较长时间离开房间时,房间门上锁;,文件柜、保险柜、档案柜上锁;,打印,/,复印后要及时取走,;,作废的机密文档要以碎纸机碎掉或撕成碎块,不要直接作为垃圾丢弃;,个人宿舍员工个人电脑仅限于宿舍区内使用。,物理安全,移动介质是最经常丢失引起数据
6、泄露最方便的方式。,移动介质包括:笔记本电脑、掌上型电脑、移动硬盘、,U,盘、光盘、磁带、存储卡及带有数据存储功能的可移动设备(如,MP3,播放器,智能手机)等。,物理安全,个人移动存储设备严禁带入公司内部网络使用。,控制措施,z,信息,安全,1,.,物理安全,2,.,密码安全,4,.,上网行为安全,3,.,传输安全,信息安全管理措施,密码安全,安全目标,防止口令被破解而导致感染病毒,或中木马,;,防止口令被破解而导致泄露,公司,敏感信息。,病毒,Virus,木马,Trojan,密码安全,案例说明,破解,Windows,操作系统口令,;,14,位数字口令:只需,3,秒即可破解,;,5,位字母口
7、令:只需,60,秒即可破解,;,破解电子邮箱口令,;,破解时间与口令复杂度有关,;,简单口令:只需,30,秒即可破解。,密码安全,案例说明,相册密码被破解,不雅照片流传;,电脑密码被破解,重要资料被泄露;,QQ,密码被破解,向,QQ,上的好友借钱。,密码安全,事件分析,简单口令是不安全的,很容易被破解,;,口令被破解后的影响非常严重,会导致,;,信息被泄露,;,行为被监控,;,机器被操制,;,成为新的病毒传染源,;,成为新的木马扩散点,。,密码安全,控制措施,口令设置时应避免使用以下组合:,生日,电话号码,身份证号码,用户名,姓名的拼音,英文名,其它系统已使用的口令,其它容易被别人猜测的内容,
8、密码安全,控制措施,不安全的口令举例:,短口令(少于,8,个字符):,okokok,简单数字口令:,11235813,简单英文单词:,desktop,简单英文词组:,comeonbaby,姓名拼音,+,常见数字:,PETER2008,帐户,+,电话:,peter13510283329,密码安全,控制措施,安全的口令应当同时包含以下内容:,大写字母,小写字母,数字,特殊符号,安全的口令长度不能小于,8,个字符、应定期修改、应避免使用历史口令,密码安全,控制措施,较安全的口令举例:,一句话口令:,9,月前,一定要把认证通过:,9YQ,ydybxrztg!,我的口袋有,33,块:,WoDeKouDa
9、iY33K,!,神龟虽寿,犹有尽时:,sgss,yyjs,密码安全,控制措施,定期更改口令,至少每,2,个月改一次,;,防止忘记口令的有效方法是:经常输入口令,;,离开座位时,要锁定或关闭计算机,;,不要,把密码告诉别人,。,z,信息,安全,1,.,物理安全,2,.,密码安全,4,.,上网行为安全,3,.,传输安全,信息安全管理措施,传输安全,案例说明,利用,QQ,传送文件;,利用,163,sina,yahoo,邮箱发送邮件;,利用网络,U,盘传送文件;,利用网络,FTP,传送文件;,重要机密文件未加密传输。,传输安全,控制措施,使用公司邮箱、,OA,系统进行信息交流或文件传送;,重要机密文件
10、进行加密处理;,重要机密文件做好定期备份工作。,传输安全,Word,Excel,Word,excel,加密码方法,传输安全,RAR,文件加密,RAR,加,密码方法,传输安全,控制措施,如果不希望别人编辑您的文件,可以把文件转换成,pdf,文件。而且可以根据需求可对,PDF,文件进行访问、复制、打印等权限进行加密处理。,传输安全,1,2,3,PDF,文件加密,z,信息,安全,1,.,物理安全,2,.,密码安全,4,.,上网行为安全,3,.,传输安全,信息安全管理措施,上网行为安全,安全目标,防止通过网络服务感染病毒。,防止通过网络泄露,公司,敏感信息。,上网行为安全,案例说明,使用,IE,浏览器
11、浏览种有木马的网站网页,;,计算机感染木马,;,受到的影响有;,盗取文件,;,监控屏幕,;,修改系统,;,操控机器,;,其它您想得到和想不到的操作,钓鱼网站,官方网站,上网行为安全,案例说明,上网行为安全,06,年,10,月份左右,许多用户都收到了一封冒充招商银行名义的邮件,该邮件以对账、核实账户消费记录等名义要求客户登录招行网站查询详情,并提供招行网站的超级链接,如果点击链接就会打开一个冒充招商银行的页面。该网页不仅从页面布局及内容方面仿冒得很像,足以以假乱真,而且域名也很具有欺骗性。该网站的域名是,“,”,,真招行网站的域名是,“,”,,,“,cmb,”,是招行的英文缩写,而,“,9555
12、5,”,是使用招行账户的用户都非常熟悉的招行电话银行号码,不法分子将,cmb,与,95555,组合在一起,就会让用户不会对它产生怀疑,具有较强的欺骗性。用户往往误认为自己进入了招行的真正网站,其实用户所造访的不过是一个经过精心设计的假冒网站而已。,案例说明,上网行为安全,网络服务包括以下等内容:,网站浏览,;,即时通信(如,QQ,、,MSN,、,ICQ,等),;,文件下载,;,视频点播,;,如果电脑没有及时打补丁,没有安装防病毒软件,或没有及时更新病毒库,则很容易在上网时感染病毒或木马。,40,上网行为安全,控制措施,最简单但有效的措施:,不去访问不可靠的、可疑的网站;,不随意下载安装来历不明
13、的软件,;,禁止在网吧访问公司系统;,禁止使用,QQ,等即时通讯软件传输文件。,上网行为安全,控制措施,不随便使用光盘、移动硬盘等;,不打开可疑文件,尤其是可疑的,.EXE;,不打开可疑邮件;,及时更新操作系统补丁、应用程序、浏览器,电脑要安装防病毒软件,并及时更新病毒库。,符合性要求,刑法,计算机信息系统安全保护条例,计算机病毒防治管理办法,计算机信息网络国际联网安全保护管理办法,中国陆续制定了多部与信息活动密切相关的法律,虽然大多不专门针对网络环境,甚至有些也不针对电子信息,但它们的基本精神对网络的建设、管理以及网络中的信息活动都有不同程度的指导作用。,保守国家秘密法,著作权法,国家安全法
14、,反不正当竞争法,法规要求,案例说明:,27,岁的德化人阿德应聘到晋江人鞋厂当业务员,主要负责发展公司客户和拉订单。应聘时,双方还特别约定,阿德在工作期间将公司客户资料和订单外泄,窃取和外泄公司商业秘密;事发后,阿德赔偿鞋厂经济损失并支付违约金,30,万元。,苹果,iPad 2,的,3D,设计图档为商业秘密,被害公司因商业秘密泄露造成的直接经济损失达人民币,206,万元。,2011,年,3,月,23,日,深圳市宝安区检察院以涉嫌侵犯商业秘密罪对犯罪嫌疑人肖某、林某、侯某提起公诉。,法规要求,刑法第条规定,“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统
15、中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”,熊猫烧香病毒事件,李俊被判处有期徒刑,4,年;王磊被判处有期徒刑,2,年,6,个月;张顺被判处有期徒刑,2,年;雷磊被判处有期徒刑一年。,法规要求,严禁私自占用、破坏公司电子设备,严禁未经授权发布公司经营情况,严禁利用任何网络、,系统,漏洞进行破坏行
16、为,严禁泄露或交易客户信息,严禁发送违法信息,其它相关信息安全管理要求,违反上述禁令的员工予以辞退;违反禁令造成严重后果的员工予以开除;违反禁令涉嫌犯罪的员工依法移送司法机关;指使他人违反禁令的领导人员、管理者将视同直接违反禁令予以处理;对违禁行为隐瞒不报、压案不查、包庇袒护的,从严追究有关领导责任,予以纪律处分,直至撤职。,目前公司已对上网行为记录、文件传送记录、邮件收发记录监控管理。,方便性,VS,安全性,老板的声音,我需要网络系统全部都监管起来,做到绝对的安全,资料绝对不能泄露到外面去。,信息安全做不到绝对的安全,最安全的主机和系统是把服务器关机,放在一个,10,米深的地下室里,放上毒气
17、,并上锁。即便这样,也不绝对的安全。而且工作根本无法开展。,员工的声音,现在公司网络系统处处受限制,这样不是严重的影响我们的工作效率吗?,信息安全的确对工作的效率造成一定的影响,但是工作效率再高,没有信息安全可言,有可能也等于零。比如:做了三天的标书,投标前报价信息泄露被竞争对手获取,就算一天把标书制作出来也是徒劳。,方便性,VS,安全性,方便性与安全性,相互影响相互牵制,一味的强调方便性,不考虑安全性,造成的影响可能是致命的,回过头来,如果一味的强调安全性,处处进行最严格的管制,公司经营可能就无法开展,而无法使企业得到成长,所有方便性与安全性需要做到一个合理的平衡点,导入信息安全是公司安全、稳定发展的基石与保障。信息安全是全体成员的义务与责任,只有大家具备良好的信息安全意识,深入的了解与配合。才能真正的帮助到公司的健康安全的发展。,Thank You!,