信息安全培训教程

海航集团信息安全海南海航航空信息系统有限公司2020年1月2信息安全的重要性2集团信息安全防范3集团信息安全管理13信息安全的重要性信息是一种资产，就像其他商业资产一样，对组织是有价值的，因此需要妥善保护。信息安全是指保护信息免受多种威胁的攻击，保证业务连续性，将业务损失降至最少，同时最大限度的获得投资回报和利用商业机遇特性：保密性完整性可用性4信息安全的重要性为什么需要信息安全信息和支持进程、系统以及网络都是重要的业务资产。为保证组织富有竞争力，保持现金流顺畅和组织赢利，以及遵纪守法和维护组织的良好商业形象。信息的威胁是客观存在的，但其风险是可以控制乃至规避5信息安全的重要性技术管理意识信息安全6信息安全的重要性集团信息安全防范3集团信息安全管理127集团信息安全防范海航集团信息安全局势随着海航集团的不断发展，避免数据丢失或商业秘密遗失，已成为一项涉及海航集团内各单位及员工个人利益的重要管理内容。为加强海航集团计算机使用和信息安全管理，防止失密、泄密事件的发生，集团每个员工应该充分重视安全问题，树立起信息安全意识。8集团信息安全防范——IT基本原则统一规划（业务主导）统一实施（IT技术主导）统一设计（IT技术主导）统一管理（IT核心资源）IT规划管理层集团CIO信息管理部IT设计实施层信息公司9集团信息安全防范安全操作帐号管理密码管理病毒防范安全意识10集团信息安全防范——帐号管理什么是帐号–帐号是通往信息资源的一扇门–不同角色的帐号拥有不同级别的权限–集团内使用的帐号主要有操作系统帐号、E网帐号、业务系统帐号……海航集团E网办公平台的唯一标识为个人E网帐号11集团信息安全防范——帐号管理如何保护帐号–为帐号加设具备相当安全级别的密码–不要轻易透露帐号•帐号策略•帐号攻击•……12集团信息安全防范——帐号管理如果员工A的E网帐号被员工B盗用后在“董事长信箱”内发表违反企业文化的言论后，员工A又在“董事长信箱”发表声明或主动通知相关单位称帐号被盗用，那么_______。A：员工A没有责任B：员工A与员工B同样承担责任案例13集团信息安全防范安全操作帐号管理密码管理病毒防范安全意识14集团信息安全防范——密码管理密码=15集团信息安全防范——密码管理你在工作中哪里会用到密码–使用个人的办公电脑–使用邮件系统–使用公文流转系统–使用业务系统–访问重要的电子文档–访问共享文件夹–远程访问集团网络–……16集团信息安全防范——密码管理如何管理密码–个人E网帐号更改在E网首页热点栏目中“更改密码”进行。–帐号口令初始化，由帐号使用员工所在单位的“信息管理员”或帐号责任人（公用邮箱等）通过邮件系统通知信息公司处理。–信息公司完成帐号口令初始化后，通过邮件将新帐号口令回复“信息管理员”或“帐号责任人”，帐号使用人得到初始化口令后应立即更改。–遇节假日或紧急情况，“信息管理员”不能发邮件时，员工应持本人海航集团工作证亲自到信息公司办公地点办理个人E网帐号口令初始化业务。–帐号口令强制更新周期为三个月，最近三次帐号口令不应相同。17集团信息安全防范——密码管理安全的密码–集团规定密码长度设定不应小于6位–密码应由字母、数字、符号组合(包含大小写)而成脆弱的密码–信息泄漏–病毒入侵–抢占资源（网络运行缓慢）–……18集团信息安全防范——密码管理重要的密码充分认识密码的重要性，把集团内使用的密码当作银行卡密码一样重要，妥善保管，不要泄露！19集团信息安全防范安全操作帐号管理密码管理病毒防范安全意识20集团信息安全防范——病毒防范CPU计算机病毒是指那些含有“恶意代码”的程序和软件，它包括网络蠕虫、木马病毒、流氓软件（包括间谍软件、广告软件、浏览器劫持等）、垃圾邮件等。21集团信息安全防范——病毒防范计算机病毒有哪些危害–数据丢失或被非法获取–系统故障甚至崩溃–发送非法网络数据包，网络速度严重降低–影响正常的办公，生产效率降低–经济遭受损失–……22集团信息安全防范——病毒防范病毒通过哪些途径攻击–脆弱的密码–网络上没有安装防病毒软件的电脑–操作系统的安全漏洞–电子邮件–因特网的web页面–软盘、盗版光盘等存储介质–黑客软件或网络工具–完全共享文件夹–……23集团信息安全防范——病毒防范如何防止病毒入侵–谁对病毒的防护负责？–海航集团使用什么防病毒软件？–当你受到病毒威胁时应该怎么做？我趋势Officescan立即断开网络24集团信息安全防范——病毒防范当你收到一封来自朋友或同事的邮件，警告你的机器感染了新病毒，同时附带了一个压缩成ZIP的附件，并告诉你解压运行该附件去查杀你系统中的病毒，请问你这时你该怎么做？案例专家建议：这类邮件很可能是经过伪造的邮件，附件可能隐藏有病毒，建议直接删除或转发给IT部门处理。25集团信息安全防范安全操作帐号管理密码管理病毒防范安全意识26集团信息安全防范——安全意识网络钓鱼–攻击者利用欺骗性的电子邮件和伪造的Web站点来进行的诈骗活动。–受骗者往往会泄露自己的财务信息，如信用卡号、账户用和口令、社保编号等内容。–诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。27集团信息安全防范——安全意识网络钓鱼常用的攻击方法–发送电子邮件，以虚假信息引诱用户中圈套–复制图片和网页设计、相似的域名建立假冒网上银行、网上证券网站等，骗取用户信息–利用虚假的电子商务进行诈骗–利用木马和黑客技术等手段窃取用户信息–利用用户弱口令等漏洞破解、猜测用户帐号和密码–URL地址隐藏黑客工具–通过弹出窗口和隐藏提示–利用社会工程学–……28集团信息安全防范——安全意识如何防范网络钓鱼–针对电子邮件欺诈，在收到可疑邮件就要提高警惕，不要轻易打开和听信–针对假冒网上银行、网上证券网站的情况，网络用户要注意辨认网站真伪–针对来电询问用户名密码的情况要提高警觉，不要轻易透露–……29集团信息安全防范——安全意识网吧机器中存在大量为窃取QQ等帐号密码而隐藏的恶意软件，避免在网吧使用集团帐号，如不得已，应在使用后及时修改密码。案例盗窃信息telnetfoo.bar.orgusername:danpassword:m-y-p-a-s-s-w-o-r-dd-a-n30集团信息安全防范——安全意识哪些安全事件应及时报告–E网帐号被盗用–帐号共用–集团资源被人非法获取–发现一位已经离职的员工还能访问集团网络资源–把自己的帐号密码提供给外单位甚至是竞争对手使用–……31集团信息安全防范安全操作帐号管理密码管理病毒防范安全意识32集团信息安全防范——安全操作安全操作–操作系统（账户管理、离开锁定）–应用系统（生产业务系统）–网页浏览（插件、登记信息）–数据传输（即时通软件、内外邮箱、移动存储介质）33集团信息安全防范——安全操作请判断：访问互联网时，只浏览网页信息，不下载程序就不会中病毒？A：对B：错案例34集团信息安全防范——安全操作假如你正在访问某个网站时，屏幕上弹出如下提示，这时你该怎么做？案例专家建议：不要轻易以真实信息在因特网上注册登记，特别是那些要求你填写邮件地址的注册请求，否则有可能会造成垃圾邮件侵扰或个人真实信息被盗取。35集团信息安全防范——安全操作当你访问到某个网页时弹出一个对话框，内容是：“这是一个网速提升工具，它会提高你浏览因特网的速度，请点击这里安装”，这时你是否应该安装？案例专家建议：请不要安装。它有可能是一个“间谍软件”，这类软件程序里包含的代码会可能产生信息安全隐患。36集团信息安全防范——安全操作当你的工作邮箱中收到一封“为了你身边的朋友，请将这封邮件转发给你X位朋友”，或者其他与工作无关的带有大容量附件的邮件，你该怎么做？案例专家建议：请不要广泛转发。它带有的大容量附件在群发过程中会造成邮件系统负荷过重，导致系统运行缓慢或系统故障，为他人工作带来影响。37信息安全的重要性集团信息安全防范集团信息安全管理12338集团信息安全管理•2004年4月13日，集团某单位发出的“关于VIP宾客汇总单”的邮件被上海市保密局截获，对于此国家机密泄露隐患，局方责令我司立即整改。•2004年5月31日，集团系统管理员例行检查时发现一网络用户在5月29日19:30~21:20间试图非法尝试登陆我集团财务结算系统，后查证为某成员公司X职员将本人E网帐号共享给Y职员使用，Y职员利用该帐号通过黑客软件攻击集团内部机器。•2005年1月4日~7日，集团爆发一起大规模针对系统安全漏洞的网络病毒，众多防护不力的客户端机器迅速成为新的病毒源不断掀起病毒冲击，整个网络充斥着大量的病毒和非法数据包，直接导致众多用户无法正常访问集团E网等系统。•2006年9月21日，一集团员工发现外单位人员访问我集团内部系统。经技术调查发现，该人员系非法使用我集团某员工个人E网帐号远程访问集团重要业务员系统，并已多次使用访问。集团重大安全事件39集团信息安全管理信息安全管理规范–《海航集团信息安全管理规定》–《海航集团信息系统安全体系》–《海航集团信息系统等级评定办法》–有关应用系统安全使用规范–各公司自行规范的相关管理制度40感谢您的参与谢谢！