2018员工信息安全意识培训v1.0

2018信息安全提升系列（一）信息技术部2018-02-12普通员工信息安全意识培训信息安全意识，就是能够认知可能存在的信息安全问题，预估信息安全事故对组织的危害，恪守正确的行为方式，并且执行在信息安全事故发生时所应采取的措施。什么是信息安全意识？信息安全基础知识当前的信息安全形势个人应具备的安全防护意识目录什么是信息？•信息的属性：基本元素是数据，每个数据代表某个意义；以各种形式存在：纸、电子、影片、交谈等；数据具有一定的逻辑关系；具有一定的时效性；对组织具有价值，是一种资产；需要适当的保护。知识信息数据指导意义抽象程度什么是安全？安全Security：事物保持不受损害保证信息只能够由得到授权的人访问。举例：公司产品代码不被恶意泄漏；商务合同、报价、客户信息不被披露保证信息的正确性及不被非授权篡改和删除。举例：计费纪录被恶意修改；交易信息被删除；公司主页被篡改；日志文件被删除保证经授权的用户当需要访问信息的时候就能够访问到。举例：如果公司的业务被拒绝服务造成网络中断，用户无法使用我们的业务。完整性保密性可用性信息安全什么是信息安全？采取合适的信息安全措施，使安全事件对业务造成的影响降低最小，保障组织内业务运行的连续性。广义上讲涉及到信息的保密性，完整性，可用性，真实性，可控性的相关技术和理论。本质上1.保护——系统的硬件，软件，数据2.防止——系统和数据遭受破坏，更改，泄露3.保证——系统连续可靠正常地运行，服务不中断两个层面1.技术层面——防止外部用户的非法入侵2.管理层面——内部员工的教育和管理9信息安全的定义为什么会有信息安全问题？•因为有病毒吗？•因为有黑客吗？•因为有漏洞吗？这些都是原因，但没有说到根源安全问题的根源—外因来自外部的威胁12来自自然的破坏国家安全威胁信息战士减小国家决策空间、战略优势，制造混乱，进行目标破坏情报机构搜集政治、军事，经济信息共同威胁恐怖分子破坏公共秩序，制造混乱，发动政变商业间谍掠夺竞争优势，恐吓犯罪团伙施行报复，实现经济目的，破坏制度局部威胁社会型黑客攫取金钱，恐吓，挑战，获取声望娱乐型黑客以吓人为乐，喜欢挑战安全问题的根源—内因系统越来越复杂12人也是复杂的需要加强信息安全保障•组织机构的使命/业务目标实现越来越依赖于信息系统•信息系统成为组织机构生存和发展的关键因素•信息系统的安全风险也成为组织风险的一部分•为了保障组织机构完成其使命，必须加强信息安全保障，抵抗这些风险。信息系统使命风险保障安全保障的目标是支持业务信息安全保障是为了支撑业务高效稳定运行信息安全保障需要持续进行信息安全保障需要时时刻刻不放松如何保障信息安全？信息是依赖与承载它的信息技术系统存在的需要在技术层面部署完善的控制措施信息系统是由人来建设使用和维护的需要通过有效的管理手段约束人今天系统安全了明天未必安全需要贯穿系统生命周期的工程过程信息安全的对抗，归根结底是人员知识、技能和素质的对抗需要建设高素质的人才队伍我国信息化迅猛发展•我国信息化建设起步于20世纪80年代•20世纪90年代取得长足进步•现在信息技术已经广泛应用于促进–国民经济发展–政府管理和服务水平提高–企业竞争力增强–人民生活水平该改善我国正在步入信息化时代信息化建设的意义•信息化作为全球化的重要方面，直接推动了国际关系的演变和全球经济体系的形成•电子政务、电子商务和整个社会的信息化发展，标志着我国进入信息化社会•整个社会越来越依赖于网络和信息系统，网络和信息系统正成为社会运行和发展的重要支撑要素然而，没有信息安全就没有真正有效的信息化信息安全趋势•隐蔽性：信息安全的一个最大特点就是看不见摸不着。在不知不觉中就已经中了招，在不知不觉中就已经遭受了重大损失。信息安全趋势•趋利性：为了炫耀能力的黑客少了，为了非法取得政治、经济利益的人越来越多新应用导致新的安全问题•数据大集中——风险也更集中了；•系统复杂了——安全问题解决难度加大；•云计算——安全已经不再是自己可以控制的•4G、物联网、三网合一——IP网络中安全问题引入到了电话、手机、广播电视中•web2.0、微博、微信等——网络安全与日常生活越来越贴近2018/2/6安全风险无处不在新闻•2010年初，美国硅谷的迈克菲公司发布最新报告，约109.5万台中国计算机被病毒感染（美国105.7万），排第一位。•2010年1月2日，公安部物证鉴定中心被黑，登陆该网站，有些嘲弄语言，还贴一张“我们睡，你们讲”的图片，图片是公安某单位一次会议上，台下参会人员大睡的场面。•2010年1月11日，著名网络百度被黑(域名劫持)，黑客团体叫“IranianCyberArmy”。服务器中断5小时。•2008年1月，美国总统布什签发总统54号令，其中有《国家网络安全综合纲领》（CNCI），包含12个行动纲领。•2009年6月，美国国防部长罗伯特·盖茨下令组建网络司令部，统一协调美军网络安全，开展网络战争等与计算机相关的军事行动。案例1•2009年6月9日，双色球2009066期开奖，全国共中出一等奖4注，但是，开奖系统却显示一等奖中奖数为9注，其中深圳地区中奖为5注。深圳市福彩中心在开奖程序结束后发现系统出现异常，经多次数据检验，工作人员判断，福彩中心销售系统疑被非法入侵，中奖彩票数据记录疑被人为篡改。•经调查发现，这是一起企图利用计算机网络信息系统技术诈骗彩票奖金的案件，并于6月12日将犯罪嫌疑人程某抓获，程某为深圳市某技术公司软件开发工程师，利用公司在深圳福彩中心实施技术合作项目的机会，通过木马攻击程序，恶意篡改彩票数据，伪造了5注一等奖欲牟取非法利益。UNIVERSITY违规操作泄密敌对势力窃密互联网部队失密案：20XX年初，军队某参谋违反规定，使用涉密计算机上因特网，被台湾情报机关跟踪锁定，一次窃走1000多份文档资料，影响和损失极为严重。案例2扫描网络发现漏洞控制系统窃取文件案例3：网络故障造成航班延误和旅客滞留2006年10月10日13时32分，中航信运营的离港系统发生主机系统文件损坏，导致使用离港系统的航空公司和机场的正常运行产生不同程度影响。经过排查后故障系统于14时16分恢复正常。此次故障造成首都机场、广州机场、深圳机场等机场部分航班延误。28信息安全事件在增多……信息安全迫在眉睫！！！信息资产拒绝服务流氓软件黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统漏洞硬件故障网络通信故障供电中断失火雷雨地震威胁无处不在我们应该怎么做•培养意识–知道如何去识别一个潜在的问题–利用正确的判断力•掌握和实行良好的安全习惯–在日常工作中养成良好的习惯–鼓励其他人也这样做•报告任何异常事件–如果发现了某件安全事件，通知适当的联系人•……将口令写在便签上，贴在电脑监视器旁开着电脑离开，就像离开家却忘记关灯那样轻易相信来自陌生人的邮件，好奇打开邮件附件使用容易猜测的口令，或者根本不设口令丢失笔记本电脑不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息随便上网和下载软件，或随意将无关设备连入公司网络事不关己，高高挂起，不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁，忽视企业内部人员的问题我们最常犯的一些错误一个巴掌拍不响！外因是条件内因才是根本！人之初性本非善恶吾自三省吾身提高人员信息安全意识和素质势在必行！人是最关键的因素信息安全防护10条信息安全防护10条工作常识账号口令安全个人电脑安全良好工作习惯软件使用规范物理安全文件资料安全物理环境安全员工管理工作岗位安全规范员工岗位调整管理网络与邮件系统安全员工邮件使用安全网络与邮件信息安全防护工作常识4条安全防护之设置复杂口令，至少8位，包含字母数字定期更改口令，最长3个月更改一次即刻更改缺省的或初始化口令输入时严防偷看，若发觉有人获知，应立即改变口令有人在电话中向你索取口令，应拒绝后立即报告不与任何人共享，临时共享，事后第一时间更改口令不要把口令写在纸上不要把口令存储在计算机文件中安全防护之（一）账户与口令的安全使用个人电脑须安装防病毒软件，并及时升级软件开启防病毒软件所有功能，定期进行全盘扫描防病毒管控产生的记录必须被至少保留90天若使用下载工具，需进行防病毒设置与流量控制浏览网站需小心，不要随意安装控件IE浏览器需进行相应的安全设置、配置邮件安全需对垃圾邮件进行防护设置系统补丁需进行更新策略的设置安全防护之（二）个人电脑安全防护文件存放位置不要放在默认的“我的文档”或桌面不随意安装软件，尤其是网络浏览时要求安装的控件员工要有安全保管工作相关资料的意识使用公司提供的文件服务器等储存资源备份重要资料存储设备损坏后应慎重选择第三方修复商，勿随意丢弃、应先进行安全处理离开电脑时记得锁屏安全防护之（三）工作习惯提醒用户们不可安装属于个人的软件在任何公司设备上不违反版权或其它知识产权使用软件或其它类型产品免费与开源软件须经过管理和法务部门批准，并符合公司信息安全标准和其它规范要求才可使用安全防护之（四）软件使用物理环境2条安全防护之公司的信息资料，不可转移或存储在任何非公司核准或认证的设备或个人设备上敏感信息不随意地放置,打印或复印的敏感资料要及时取走凡被定为机密或绝密的信息，如需发送到公司外部或带出公司，须经过审批，并采取适当的安全措施因工作需要临时使用敏感资料后，应执行安全删除、彻底粉碎等措施不在公司外部讨论敏感信息安全防护之（五）文件资料的安全防护受控区域应设置一定的安全措施，比如视频监控等，并做好进出登记如果进出需要门卡，请随身带好，严禁无证进入钥匙和门卡仅供本人使用，不要交给他人使用敏感物品应放置在受控的安全区域安全防护之（六）物理环境安全防护员工管理2条安全防护之根据不同岗位的需求，尤其是敏感岗位，应在职位描述中加入安全方面的责任要求若岗位需要，应签订适当的保密协议依岗位需要和公司要求，应不定期的对员工进行专项的和通用的信息安全意识培训安全防护之（七）工作岗位安全要求当下级更换工作岗位或离职时，团队负责人必须立即通知人力资源中心及信息中心，并按安全管控流程进行账号权限等工作事项的变更调整安全防护之（八）员工岗位调整网络与邮件2条安全防护之邮件与网络系统都属于公司资产，公司有权监视公司内部电子邮件与网络行为，使用网络管理系统或工具进行管控，对各种网络应用进行管控和记录实时记录局域网内电脑所有对外收发的邮件、浏览的网页以及上传下载的文件，监视和管理网内用户的聊天行为，限制、阻断网内用户访问指定网络资源或网络协议等安全防护之（九）网络与邮件系统的安全防护谢谢观赏！Thanks!