普通员工意识培训教材

全员安全意识培训信息生命，安全保航从《别忘了关门》的故事说起……不妨换个思维《商学院》2005年第七期的一篇文章，《别忘了关门》信息生命，安全保航另眼看信息安全信息安全除了是故事中的围栏之外，还是那道千万别忘记关的门，还有那颗别忘了关门的心———安全意识信息生命，安全保航安全意识（Securityawareness）就是能够认知可能存在的安全问题，明白安全事故对组织的危害，恪守正确的行为方式，并且清楚在安全事故发生时所应采取的措施。什么是信息安全意识信息生命，安全保航你意识到了吗？社会工程和网络钓鱼等等攻击手段是当前普遍存在的攻击方式钓鱼(Phishing)社会工程的一种类型利用电子邮件或恶意网站吸引受害者•伪装成有名的、可信的网站通常为了金钱或个人信息•网站要求用户填入账户或个人信息社会工程利用人际交往伪装为可信的人士•新进员工、维修工、研究员等•持有个人身份证明•通过询问获得信息。可能从多个来源获取足够信息获得公司或个人的计算机或私人信息信息生命，安全保航议题需要了解基本概念公司的信息安全项目进行得怎样了？全员应该具备安全知识和技能对信息安全的容易误解的地方6信息生命，安全保航理解和铺垫基本概念信息生命，安全保航什么是信息?82019/9/16什么是信息？数据01101001011110110010101010010011010010111110100101符号图片语音什么是信息安全？信息生命，安全保航C保密性（Confidentiality）——确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性（Integrity）——确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。可用性（Availability）——确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：IADisclosureAlterationDestruction泄漏破坏篡改信息安全的三要素CIA什么是信息安全?信息生命，安全保航信息安全的实质采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。ConfidentialityIntegrityAvailabilityInformation单击此处编辑母版标题样式信息生命，安全保航11嘿嘿，这顿美餐唾手可得……呜呜，可怜我手无缚鸡之力……威胁就像这只贪婪的猫如果盘中美食暴露在外遭受损失也就难免了信息生命，安全保航什么是ISO27001ISO27001目前世界上唯一的“信息安全管理标准”。是建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，信息安全建设人员根据ISO17799：2005中的信息安全管理实施细则来建立ISMS。信息生命，安全保航ISO27001作用缺少跨部门的信息安全协调机制；132019/9/16公司信息安全管理体系将各部门联系起来保护特定资产以及完成特定安全过程的职责还不明确；对组织的关键信息资产进行全面系统的保护，维持竞争优势；雇员信息安全意识薄弱，缺少防范意识；强化员工的信息安全意识，规范组织信息安全行为；一旦发生意外，难以保证生产经营尽快恢复在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；使组织的生意伙伴和客户对组织充满信心；实施前实施后实施与保持完整的信息安全管理体系，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，就可以从根本上保证业务的连续性信息生命，安全保航实施ISO27001有哪些关键活动？我们有哪些重要的资产需要保护以及怎样保护？清点资产，并分级和分类，识别关键资产好钢用在刀刃上这些资产面临怎样的风险呢？黑客、病毒数据丢失、系统宕机、网络中断等等有哪些手段可以降低这些风险呢？风险消减、风险规避、风险转移以上都做好了，还有别的活动吗？审计纠正提高信息生命，安全保航议题需要了解基本概念公司的信息安全项目进行得怎样了？全员应该具备安全知识和技能对信息安全的容易误解的地方15信息生命，安全保航项目整体概述本项目采用Program管理模式以解决NTT当前信息安全问题为总体目标分为3个子项目执行•项目一为根据ISO27001帮助NTT建立ISMS，以满足ISO27001标准要求为目标；•项目二为网络优化和技术控制实施，以解决实际的安全技术风险为目标；•项目三为配合项目二网络优化和技术控制实施的管理制度的制定、发布和执行，以满足已部署的技术控制措施的管理和运维要求为目标；子项目相互独立，但又彼此衔接，为总体目标服务16信息生命，安全保航整体项目计划信息生命，安全保航项目当前状态信息生命，安全保航需要我们做什么？遵守与执行发布的所有的ISMS的方针、过程、规定；向安全推进室报告您发现的存在安全风险与问题；大胆的提出你对信息安全建设的建议和目前已发布的不合理的过程和规定；温故信息安全知识，增强信息安全意识；信息安全，从自己做起。信息生命，安全保航议题需要了解基本概念公司的信息安全项目进行得怎样了？全员应该具备安全知识和技能对信息安全的容易误解的地方同有赛博版权所有20信息生命，安全保航以下安全事件是否曾经发生?办公环境中曾经发生过丢失笔记本电脑的情况。曾经有外来人员，直接进入办公环境，在无人随同的情况下，自己找到空位，将笔记本电脑随意接入到公司网络，致使网络感染病毒。曾经有业务人员，不小心将客户机密信息通过电子邮件发送给不应接收的人员。一名开发人员，因为浏览不明网站，恶意代码利用IE的漏洞而在网络发作，通过VPN进入客户网络，最终导致项目被中止。曾对客户做审核时发现，某项目室所有人都去吃午饭，但门窗却大开。信息生命，安全保航犯过以下的错误吗？开着电脑离开，就像离开家却忘记关灯那样轻易相信来自陌生人的邮件，好奇打开邮件附件使用容易猜测的口令，或者根本不设口令不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息随便拨号上网，或者随意将无关设备连入公司网络事不关己，高高挂起，不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁，忽视企业内部人员的问题在公共场合谈论公司信息信息生命，安全保航想想这些错误存在哪些潜在问题？您会如何应对?信息生命，安全保航从自身做起良好的安全习惯信息生命，安全保航趣味游戏----找错在忙碌的办公室中，跟随着摄像机镜头，拍摄下办公室内所存在的安全隐患。其中包括：中午大家吃饭去了，在几张桌子上，手机与钱包放在上面；一个没有人的桌子上，一台电脑正在从黑客网站上下载着一个被破解的金山词霸；旁边的打印机和复印机旁散落着不少带字的纸张；大开的项目经理办公室中，没有其他人在，一名浇花工人正在里面浇花；会议室内的白板上有上次会议留下的相关内容的记录；一些满是字迹的纸张在垃圾桶中冒出一个角；手提电脑放在桌子上；访问客户网络的VPN密码写在小纸条上贴在项目组的白板上；某职员在忙碌而嘈杂的办公室一边准备赶去别的地方，一边通过手机高声与客房谈论着属于公司机密的一些内容信息生命，安全保航Internet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求Internet使用安全内容信息生命，安全保航病毒与恶意代码防护信息生命，安全保航病毒Virus蠕虫Worm木马Trojan传统的计算机病毒，具有自我繁殖能力，寄生于其他可执行程序中的，通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染网络蠕虫不需借助其他可执行程序就能独立存在并运行，通常利用网络中某些主机存在的漏洞来感染和扩散特洛伊木马是一种传统的后门程序，它可以冒充正常程序，截取敏感信息，或进行其他非法的操作常见的计算机病毒信息生命，安全保航网络系统缺陷移动存储设备软件被他人恶意捆绑恶意欺骗操作疏忽计算机病毒怎么来信息生命，安全保航网络拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道计算机病毒怎么来的?信息生命，安全保航大多数病毒都是通过系统缺陷传播冲击波震荡波尼姆达魔鬼波计算机病毒怎么来信息生命，安全保航由于移动存储设备经常被多个电脑使用，所有病毒设计者就利用这点进行小范围传播。移动硬盘软盘光盘U盘（最近正流行，双击无法打开硬盘、右键菜单多Auto…）计算机病毒怎么来信息生命，安全保航计算机病毒怎么来安装的软件被他人捆绑了恶意代码木马病毒安装了流氓软件CNNIC中文网址DuDu加速器网络猪STD广告发布系统千橡下属网站桌面传媒划词搜索信息生命，安全保航如果你收到这样一封Email计算机病毒怎么来自动弹出了一个黑客程序如果这个程序是木马的话信息生命，安全保航通过IM发送链接或附件，引诱用户打开链接或接收附件，从而感染病毒计算机病毒怎么来信息生命，安全保航恶意代码防范策略不要随意下载或安装软件不要接收与打开从E-mail或IM（QQ、MSN等）中传来的不明附件不要点击他人发送的不明链接，也不登录不明网站尽量不能过移动介质共享文件自动或定期更新OS与应用软件的补丁所有计算机必须部署指定的防病毒软件防病毒软件与病毒库必须持续更新感染病毒的计算机必须从网络中隔离(拨除连接的网线)直至清除病毒任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度发生任何病毒传播事件，相关人员应及时向IT管理部门汇报……仅此就够了么362019/9/16信息生命，安全保航电子邮件信息生命，安全保航Email安全策略不当使用Email可能导致法律风险禁止发送或转发反动或非法的邮件内容未经发送人许可，不得转发接收到的邮件不得伪造虚假邮件，不得使用他人账号发送邮件未经许可，不得将属于他人邮件的消息内容拷贝转发与业务相关的Email应在文件服务器上做妥善备份包含客户信息的Email应转发主管做备份个人用途的Email不应干扰工作，并且遵守本策略避免通过Email发送机密信息，如果需要，应采取必要的加密保护措施382019/9/16信息生命，安全保航接收邮件注意……不安全的文件类型：绝对不要打开任何以下文件类型的邮件附件：.bat,.com,.exe,.vbs未知的文件类型：绝对不要打开任何未知文件类型的邮件附件，包括邮件内容中到未知文件类型的链接不要打开未知的链接:未知的链接可能是含有病毒的网站和一次含有欺骗信息的钓鱼网站微软文件类型：如果要打开微软文件类型（例如.doc,.xls,.ppt等）的邮件附件或者内部链接，务必先进行病毒扫描要求发送普通的文本：尽量要求对方发送普通的文本内容邮件，而不要发送HTML格式邮件，不要携带不安全类型的附件禁止邮件执行Html代码：禁止执行HTML内容中的代码防止垃圾邮件：通过设置邮件服务器的过滤，防止接受垃圾邮件尽早安装系统补丁：杜绝恶意代码利用系统漏洞而实施攻击信息生命，安全保航如果同样的内容可以用普通文本正文，就不要用附件尽量不要发送.doc,.xls等可能带有宏病毒的文件不要回覆由匿名寄件者寄来的邮件不要在公开网站例如搜寻引擎、聊天室等披露你的邮件地址不要使用字典里简单的字和通用的姓名作为邮件地址发送不安全的文件之前，先进行病毒扫描不要参与所谓的邮件接龙尽早安装系统补丁，防止自己的系统成为恶意者的跳板可以使用口令或加密软件发送安全级别较高的的邮件发送邮件注意……信息生命，安全保航Internet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问