信息安全意识培训课件(PPT-65页)

1信息安全意识培训2123什么是信息安全？信息安全基本概念主要内容如何保护好信息安全3装有100万的保险箱需要3个悍匪、公司损失：100万装有客户信息的电脑只要1个商业间谍、1个U盘，就能偷走。公司损失：所有客户！1辆车，才能偷走。4什么是信息安全？•不止有产品、技术才是信息安全5信息安全无处不在信息安全人员安全物理安全事件管理安全策略法律合规开发安全安全组织资产管理业务连续网络安全访问控制广义上讲领域——涉及到信息的保密性，完整性，可用性，真实性，可控性的相关技术和理论。本质上1.保护——系统的硬件，软件，数据2.防止——系统和数据遭受破坏，更改，泄露3.保证——系统连续可靠正常地运行，服务不中断两个层面1.技术层面——防止外部用户的非法入侵2.管理层面——内部员工的教育和管理6信息安全的定义7信息安全基本目标保密性，完整性，可用性CIAonfidentialityntegrityvailabilityCIA一个软件公司的老总，等他所有的员工下班之后，他在那里想：我的企业到底值多少钱呢？假如它的企业市值1亿，那么此时此刻，他的企业就值2600万。因为据Delphi公司统计，公司价值的26%体现在固定资产和一些文档上，而高达42%的价值是存储在员工的脑子里，而这些信息的保护没有任何一款产品可以做得到，所以需要我们建立信息安全管理体系，也就是常说的ISMS（informationsecuritymanagementsystem）！8怎样搞好信息安全？9绝对的安全是不存在的•绝对的零风险是不存在的，要想实现零风险，也是不现实的；•计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。在计算机安全领域有一句格言：“真正安全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”显然，这样的计算机是无法使用的。信息安全事件泄密事件点评1“棱镜门”事件斯诺登充分暴露NSA的信息窃密手段，对世界信息安全及信息化格局产生深远影响。2英国离岸金融业200多万份邮件等文件泄密范围涉及170个国家13万富豪，是具有重大影响的金融安全事件。3支付宝转账信息被谷歌抓取作为国内使用最广泛的支付平台，影响面大，是互联网金融安全的典型案例。4如家等快捷酒店开房记录泄露涉及个人深度隐私，影响部分人家庭团结和社会稳定。5中国人寿80万份保单信息泄密保单信息包含详尽的个人隐私信息，对个人声誉及生活影响大。6搜狗手机输入法漏洞导致大量用户信息泄露移动应用漏洞利用导致泄密情况值得警惕，微信漏洞泄密个人关系图谱也证明该问题。7Adobe300万账户隐私信息泄露云计算方式会将软件单个漏洞影响扩大化。8雅虎日本再遭入侵2200万用户信息被窃取二次泄密，国际巨头对用户隐私也持漠视态度。9圆通百万客户信息遭泄露快递行业信息泄密愈演愈烈。10东航等航空公司疑泄露乘客信息泄露用户行程，不少用户反映受诈骗和影响行程安排，影响出行安全。网友总结的2013年十大信息安全事件支付宝转账信息被谷歌抓取，直接搜索“site:shenghuo.alipay.com”就能搜到转账信息，数量超过2000条。13这样的事情还有很多……信息安全迫在眉睫！！！从身边做起良好的安全习惯15重要信息的保密重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学16Public公开InternalUse内部公开Confidencial秘密Secret机密、绝密信息保密级别划分17u各类信息，无论电子还是纸质，在标注、授权、访问、存储、拷贝、传真、内部和外部分发（包括第三方转交）、传输、处理等各个环节，都应该遵守既定策略u信息分类管理程序只约定要求和原则，具体控制和实现方式，由信息属主或相关部门确定，以遵守最佳实践和法律法规为参照u凡违反程序规定的行为，酌情予以纪律处分案例视频信息处理与保护18工作环境及物理安全重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学19u禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用碎纸机粉碎u废弃或待修磁介质转交他人时应经IT专业管理部门消磁处理u在复印机复印完成后，带走全部的复印材料u等等工作环境安全20注意你的身边！注意最细微的地方！21您肯定用过银行的ATM机，您插入银行卡，然后输入密码，然后取钱，然后拔卡，然后离开，您也许注意到您的旁边没有别人，您很小心，可是，您真的足够小心吗？……我们来看一个案例2223242526WIFI安全WiFi是一种短程无线传输技术，能够在数百英尺范围内支持互联网接入的无线电信号。随着技术的发展，以及IEEE802.11a、802.11b、802.11g以及802.11n等标准的出现，现在IEEE802.11这个标准已被统称作WiFi。第二次世界大战后，无线通讯因在军事上应用的成功而受到重视，但缺乏广泛的通讯标准。于是，IEEE（美国电气和电子工程师协会）在1997年为无线局域网制定了第一个标准IEEE802.11。IEEE802.11标准最初主要用于解决办公室局域网和校园网中用户的无线接入，其业务主要限于数据存取，速率最高只能达到2Mbps。在WiFi技术的发展过程中，除了传输速率不断提升之外，安全加密技术的不断增强也是其技术标准频繁更新的重要原因。而最早进入WiFi标准的加密技术名为WEP（WiredEquivalentPrivacy，有线等效保密），但由于该技术的加密功能过于脆弱，很快就被2003年和2004年推出的WPA（WiFiProtectedAccess，WiFi网络安全存取）和WPA2技术所取代。WIFI安全但即使是较新的WPA2加密技术，仍然在无线开放环境下存在安全性较弱、无法满足电信级高可靠性要求等问题，为此，我国依据“商用密码管理条例”制定了针对WiFi既有安全加密技术漏洞自主安全标准WAPI（WirelessLANAuthenticationandPrivacyInfrastructure，无线网络鉴别保密基础结构）。2009年6月，工信部发布新政，宣布加装WAPI功能的手机可入网检测并获进网许可。当月，包括美国代表在内的参会成员一致同意，将WAPI作为无线局域网络接入安全机制独立标准形式推进为国际标准。WIFI安全视频29病毒与恶意代码重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学30——《中华人民共和国计算机信息系统安全保护条例》“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”什么是计算机病毒31病毒Virus蠕虫Worm木马Trojan传统的计算机病毒，具有自我繁殖能力，寄生于其他可执行程序中的，通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染网络蠕虫不需借助其他可执行程序就能独立存在并运行，通常利用网络中某些主机存在的漏洞来感染和扩散特洛伊木马是一种传统的后门程序，它可以冒充正常程序，截取敏感信息，或进行其他非法的操作病毒蠕虫木马32u所有计算机必须部署指定的防病毒软件u防病毒软件必须持续更新u感染病毒的计算机必须从网络中隔离直至清除病毒u任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度u发生任何病毒传播事件，相关人员应及时向IT管理部门汇报u……u仅此就够了么恶意代码防范策略33u除了蠕虫、病毒、木马等恶意代码，其他恶意代码还包括逻辑炸弹、远程控制后门等u现在，传统的计算机病毒日益与网络蠕虫结合，发展成威力更为强大的混合型蠕虫病毒，传播途径更加多样化（网络、邮件、网页、局域网等）u通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木马程序，但并不能防止未知病毒，需要经常更新让我们继续……下载文件注意防范“李鬼”37口令安全重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学38u用户名+口令是最简单也最常用的身份认证方式u口令是抵御攻击的第一道防线，防止冒名顶替u口令也是抵御网络攻击的最后一道防线u针对口令的攻击简便易行，口令破解快速有效u由于使用不当，往往使口令成为最薄弱的安全环节u口令与个人隐私息息相关，必须慎重保护为什么口令很重要39u如果你以请一顿工作餐来作为交换，有70％的人乐意告诉你他（她）的机器口令u有34％的人，甚至不需要贿赂，就可奉献自己的口令u另据调查，有79％的人，在被提问时，会无意间泄漏足以被用来窃取其身份的信息u平均每人要记住四个口令，95％都习惯使用相同的口令（在很多需要口令的地方）u33％的人选择将口令写下来，然后放到抽屉或夹到文件里一些数字……40u少于8个字符u单一的字符类型，例如只用小写字母，或只用数字u用户名与口令相同u最常被人使用的弱口令：u自己、家人、朋友、亲戚、宠物的名字u生日、结婚纪念日、电话号码等个人信息u工作中用到的专业术语，职业特征u字典中包含的单词，或者只在单词后加简单的后缀u所有系统都使用相同的口令案例视频u口令一直不变脆弱的口令……41u口令是越长越好u但“选用20个随机字符作为口令”的建议也不可取u人们总习惯选择容易记忆的口令u如果口令难记，可能会被写下来，这样反倒更不安全值得注意的……42u口令至少应该由8个字符组成u口令应该是大小写字母、数字、特殊字符的混合体u不要使用名字、生日等个人信息和字典单词u选择易记强口令的几个窍门：u口令短语u字符替换u单词误拼u键盘模式建议……43找到一个生僻但易记的短语或句子（可以摘自歌曲、书本或电影），然后创建它的缩写形式，其中包括大写字母和标点符号等。IlikethisPiaoLiangMeiMei!iLtPPMM!MysonTomwasbornat8:05MsTwb@8:05口令设置44u试着使用数字和特殊字符的组合u避免“qwerty”这样的直线，而使用Z字型或者多条短线u这种方法很容易被人看出来u键盘输入时不要让人看见口令设置——键盘模式45u员工有责任记住自己的口令u账号在独立审计的前提下进行口令锁定、解锁和重置操作u初始口令设置不得为空u口令设置不得少于8个字符u口令应该包含特殊字符、数字和大小写字母u口令应该经常更改，设定口令最长有效期为不超出3个月u口令输入错误限定5次口令管理46电子邮件安全重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学47u据统计，有超过87％的病毒是借助Email进入企业的u对于下列标题的邮件，选择打开阅览的人数百分比：uILOVEYOU：37％的人会打开邮件uGreatjoke：54％的人会打开邮件uMessage：46％的人会打开邮件uSpecialoffer：39％的人会打开邮件u……Email数字48u不当使用Email可能导致法律风险u禁止发送或转发反动或非法的邮件内容u未经发送人许可，不得转发接收到的邮件u不得伪造虚假邮件，不得使用他人账号发送邮件u未经许可，不得将属于他人邮件的消息内容拷贝转发u与业务相关的Email应在文件服务器上做妥善备份，专人负责检查u包含客户信息的Email应转发主管做备份u个人用途的Email不应干扰工作，并且遵守本策略u避免通过Email发送机密信息，如果需要，应采取必要的加密保护措施Email安全49u如果同样的内容可以用普通文本正文，就不要用附件u尽量不要发送.doc,.xls等可能带有宏病毒的文件u发送不安全的文件之前，先进行病毒扫描u不要参与所谓的邮件接龙u尽早安装系统补丁，防止自己的系统成为恶