員工信息安全意識培訓課件

1、2018信息安全提升系列（一）信息技術(shù)部 2018-02-122018信息安全提升系列信息技術(shù)部 2018-02-12普通員工信息安全意識培訓普通員工信息安全意識培訓信息安全意識，就是能夠認知可能存在的信息 安全問題，預估信息安全事故對組織的危害，恪守 正確的行為方式，并且執(zhí)行在信息安全事故發(fā)生時 所應采取的措施。什么是信息安全意識？信息安全意識，就是能夠認知可能存在的信息 安全問題，預估信息信息安全基礎(chǔ)知識當前的信息安全形勢個人應具備的安全防護意識目錄信息安全基礎(chǔ)知識目錄員工信息安全意識培訓什么是信息？知識信息數(shù)據(jù)信息的屬性：基本元素是數(shù)據(jù)，每個數(shù)據(jù)代表某個意義；以各種形式存在：紙、電子、影

2、片、交談等；數(shù)據(jù)具有一定的邏輯關(guān)系；具有一定的時效性；對組織具有價值，是一種資產(chǎn)；需要適當?shù)谋Ｗo。指導 意義抽象程度什么是信息？知識信息數(shù)據(jù)指導 意義抽象什么是安全？安全 Security：事物保持不受損害什么是安全？安全 Security：事物保持不受損害保證信息只能夠由得到授權(quán)的人訪問。舉例：公司產(chǎn)品代碼不 被惡意泄漏；商務合同 、報價、客戶信息不被 披露保證信息的正確性及不被非授權(quán)篡改和刪除。舉例：計費紀錄被惡意修改； 交易信息被刪除；公司主頁被 篡改；日志文件被刪除保證經(jīng)授權(quán)的用戶當需 要訪問信息的時候就能 夠訪問到。舉例：如果公司的業(yè)務被 拒絕服務造成網(wǎng)絡中斷， 用戶無法使用我們的業(yè)

3、務 。完整性保密性可用性信息安全什么是信息安全？采取合適的信息安全措施，使安全事件對業(yè)務造成的影響降低最小， 保障組織內(nèi)業(yè)務運行的連續(xù)性。保證信息只能夠由得到授保證信息的正確性及不被非授權(quán)篡改和刪除廣義上講涉及到信息的保密性，完整性，可用性，真實性，可控性的相關(guān)技術(shù)和理論。本質(zhì)上保護 系統(tǒng)的硬件，軟件，數(shù)據(jù)防止 系統(tǒng)和數(shù)據(jù)遭受破壞，更改，泄露保證 系統(tǒng)連續(xù)可靠正常地運行，服務不中斷兩個層面技術(shù)層面 防止外部用戶的非法入侵管理層面 內(nèi)部員工的教育和管理9信息安全的定義廣義上講信息安全的定義為什么會有信息安全問題？因為有病毒嗎？因為有黑客嗎？因為有漏洞嗎？這些都是原因，但沒有說到根源為什么會有信息

4、安全問題？因為有病毒嗎？因為有黑客嗎？因為有漏安全問題的根源外因2來自自然的破壞安全問題的根源外因2來自自然的破壞安全問題的根源內(nèi)因系統(tǒng)越來越復雜12人也是復雜的安全問題的根源內(nèi)因系統(tǒng)越來越復雜12人也是復雜的需要加強信息安全保障組織機構(gòu)的使命/業(yè)務目標實現(xiàn)越來越依賴于信息系統(tǒng)信息系統(tǒng)成為組織機構(gòu)生存和發(fā)展的關(guān)鍵因素信息系統(tǒng)的安全風險也成為組 織風險的一部分為了保障組織機構(gòu)完成其使命， 必須加強信息安全保障，抵抗 這些風險。信息 系統(tǒng)使命風險保障需要加強信息安全保障組織機構(gòu)的使命/業(yè)務目標實現(xiàn)信息 系統(tǒng)使安全保障的目標是支持業(yè)務信息安全保障是為了 支撐業(yè)務高效穩(wěn)定運行安全保障的目標是支持業(yè)務信

5、息安全保障是為了 支撐業(yè)務高效穩(wěn)定信息安全保障需要持續(xù)進行信息安全保障需要 時時刻刻不放松信息安全保障需要持續(xù)進行信息安全保障需要 時時刻刻不放松如何保障信息安全？信息是依賴與承載它的信息技術(shù)系統(tǒng)存在的 需要在技術(shù)層面部署完善的控制措施信息系統(tǒng)是由人來建設使用和維護的需要通過有效的管理手段約束人今天系統(tǒng)安全了明天未必安全需要貫穿系統(tǒng)生命周期的工程過程信息安全的對抗，歸根結(jié)底是人員知識、技能和素質(zhì)的對抗需要建設高素質(zhì)的人才隊伍如何保障信息安全？信息是依賴與承載它的信息技術(shù)系統(tǒng)存在的 需員工信息安全意識培訓我國信息化迅猛發(fā)展我國信息化建設起步于20世紀80年代20世紀90年代取得長足進步現(xiàn)在信息技

6、術(shù)已經(jīng)廣泛應用于促進國民經(jīng)濟發(fā)展政府管理和服務水平提高企業(yè)競爭力增強人民生活水平該改善我國正在步入信息化時代我國信息化迅猛發(fā)展我國信息化建設起步于20世紀80年代信息化建設的意義信息化作為全球化的重要方面，直接推動了國際 關(guān)系的演變和全球經(jīng)濟體系的形成電子政務、電子商務和整個社會的信息化發(fā)展， 標志著我國進入信息化社會整個社會越來越依賴于網(wǎng)絡和信息系統(tǒng)，網(wǎng)絡和 信息系統(tǒng)正成為社會運行和發(fā)展的重要支撐要素然而，沒有信息安全就沒有真正有效的信息化信息化建設的意義信息化作為全球化的重要方面，直接推動了國際 信息安全趨勢隱蔽性：信息安全的一個最大特點就是看不見摸 不著。在不知不覺中就已經(jīng)中了招，在不知

7、不覺 中就已經(jīng)遭受了重大損失。信息安全趨勢隱蔽性：信息安全的一個最大特點就是看不見摸 不著信息安全趨勢趨利性：為了炫耀能力的黑客少了，為了非法取 得政治、經(jīng)濟利益的人越來越多信息安全趨勢趨利性：為了炫耀能力的黑客少了，為了非法取 得政新應用導致新的安全問題數(shù)據(jù)大集中風險也更集中了；系統(tǒng)復雜了安全問題解決難度加大；云計算安全已經(jīng)不再是自己可以控制的4G 、物聯(lián)網(wǎng)、三網(wǎng)合一IP網(wǎng)絡中安全問題引 入到了電話、手機、廣播電視中web2.0 、微博、微信等網(wǎng)絡安全與日常生活 越來越貼近新應用導致新的安全問題數(shù)據(jù)大集中風險也更集中了；2018/2/6安全風險無處不在2018/2/6安全風險無處不在新聞20

8、10年初，美國硅谷的邁克菲公司發(fā)布最新報告，約109.5萬臺 中國計算機被病毒感染（美國105.7萬），排第一位。2010年1月2日，公安部物證鑒定中心被黑，登陸該網(wǎng)站，有些嘲 弄語言，還貼一張“我們睡，你們講”的圖片，圖片是公安某單 位一次會議上，臺下參會人員大睡的場面。2010年1月11日，著名網(wǎng)絡百度被黑(域名劫持)，黑客團體叫“Iranian Cyber Army”。服務器中斷5小時。2008年1月，美國總統(tǒng)布什簽發(fā)總統(tǒng)54號令，其中有國家網(wǎng)絡 安全綜合綱領(lǐng)（CNCI），包含12個行動綱領(lǐng)。2009年6月，美國國防部長羅伯特蓋茨下令組建網(wǎng)絡司令部，統(tǒng) 一協(xié)調(diào)美軍網(wǎng)絡安全，開展網(wǎng)絡戰(zhàn)爭等

9、與計算機相關(guān)的軍事行動。新聞2010年初，美國硅谷的邁克菲公司發(fā)布最新報告，約109案例12009年6月9日，雙色球2009066期開獎，全國共 中出一等獎4注，但是，開獎系統(tǒng)卻顯示一等獎 中獎數(shù)為9注，其中深圳地區(qū)中獎為5注。深圳市 福彩中心在開獎程序結(jié)束后發(fā)現(xiàn)系統(tǒng)出現(xiàn)異常， 經(jīng)多次數(shù)據(jù)檢驗，工作人員判斷，福彩中心銷售 系統(tǒng)疑被非法入侵，中獎彩票數(shù)據(jù)記錄疑被人為 篡改。經(jīng)調(diào)查發(fā)現(xiàn)，這是一起企圖利用計算機網(wǎng)絡信息系統(tǒng)技術(shù)詐騙彩 票獎金的案件，并于6月12日將犯罪嫌疑人程某抓獲，程某為深圳 市某技術(shù)公司軟件開發(fā)工程師，利用公司在深圳福彩中心實施技 術(shù)合作項目的機會，通過木馬攻擊程序，惡意篡改彩票

10、數(shù)據(jù)，偽 造了5注一等獎欲牟取非法利益。案例12009年6月9日，雙色球2009066期開獎，全國共UNIVERSITY違規(guī)操作泄密敵對勢力竊密互聯(lián)網(wǎng)部隊失密案：20XX年初，軍隊某參謀違反規(guī)定，使用涉密 計算機上因特網(wǎng)，被臺灣情報機關(guān)跟蹤鎖定，一次竊走1000多份 文檔資料，影響和損失極為嚴重。案例2掃描網(wǎng)絡發(fā)現(xiàn)漏洞控制系統(tǒng)竊取文件UNIVERSITY違規(guī)操作泄密敵對勢力竊密互聯(lián)網(wǎng)部隊失密案案例3：網(wǎng)絡故障造成航班延誤和旅客滯留2006年10月10日13時32分，中航信運營的離港系統(tǒng)發(fā)生主機系統(tǒng) 文件損壞，導致使用離港系統(tǒng)的航空公司和機場的正常運行產(chǎn)生不 同程度影響。經(jīng)過排查后故障系統(tǒng)于14

11、時16分恢復正常。此次故障 造成首都機場、廣州機場、深圳機場等機場部分航班延誤。案例3：網(wǎng)絡故障造成航班延誤和旅客滯留2006年10月10日28信息安全事件在增多信 息 安 全 迫 在 眉 睫！28信息安全事件在增多信 息 安 全 迫 在 眉 睫！員工信息安全意識培訓信息資產(chǎn)拒絕服務流氓軟件黑客滲透內(nèi)部人員威脅木馬后門病毒和蠕蟲社會工程系統(tǒng)漏洞硬件故障網(wǎng)絡通信故障供電中斷失火雷雨地震威脅無處不在信息資產(chǎn)拒絕服務流氓軟件黑客滲透內(nèi)部人員威脅木馬后門病毒和蠕我們應該怎么做培養(yǎng)意識知道如何去識別一個潛在的問題利用正確的判斷力掌握和實行良好的安全習慣在日常工作中養(yǎng)成良好的習慣鼓勵其他人也這樣做報告任何

12、異常事件如果發(fā)現(xiàn)了某件安全事件，通知適當?shù)穆?lián)系人我們應該怎么做培養(yǎng)意識員工信息安全意識培訓將口令寫在便簽上，貼在電腦監(jiān)視器旁開著電腦離開，就像離開家卻忘記關(guān)燈那樣輕易相信來自陌生人的郵件，好奇打開郵件附件使用容易猜測的口令，或者根本不設口令丟失筆記本電腦不能保守秘密，口無遮攔，上當受騙，泄漏敏感信息隨便上網(wǎng)和下載軟件，或隨意將無關(guān)設備連入公司網(wǎng)絡事不關(guān)己，高高掛起，不報告安全事件在系統(tǒng)更新和安裝補丁上總是行動遲緩只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題我們最常犯的一些錯誤將口令寫在便簽上，貼在電腦監(jiān)視器旁我們最常犯的一些錯誤一個巴掌拍不響！外因是條件內(nèi)因才是根本！一個巴掌拍不響！外因是條件人之

13、初性本非善惡吾自三省吾身提高人員信息安全意識和素質(zhì)勢在必行！人是最關(guān)鍵的因素人之初性本非善惡提高人員信息安全意識和素質(zhì)勢在必行！人是最關(guān)信息安全防護10條信息安全防護10條信息安全防護10條工作常識賬號口令安全 個人電腦安全 良好工作習慣 軟件使用規(guī)范物理安全文件資料安全 物理環(huán)境安全員工管理工作崗位安全規(guī)范 員工崗位調(diào)整管理網(wǎng)絡與郵件系統(tǒng)安全員工郵件使用安全網(wǎng)絡與郵件信息安全防護信息安全防護10條工作常識賬號口令安全 個人電腦安全 良好工安全防護之工作常識4條安全防護之設置復雜口令，至少8位，包含字母數(shù)字定期更改口令，最長3個月更改一次即刻更改缺省的或初始化口令輸入時嚴防偷看，若發(fā)覺有人獲知

14、，應立即改變口令有人在電話中向你索取口令，應拒絕后立即報告不與任何人共享，臨時共享，事后第一時間更改口令不要把口令寫在紙上不要把口令存儲在計算機文件中安全防護之（一）賬戶與口令的安全使用設置復雜口令，至少8位，包含字母數(shù)字安全防護之（一）賬戶與口個人電腦須安裝防病毒軟件，并及時升級軟件開啟防病毒軟件所有功能，定期進行全盤掃描防病毒管控產(chǎn)生的記錄必須被至少保留90天若使用下載工具，需進行防病毒設置與流量控制瀏覽網(wǎng)站需小心，不要隨意安裝控件IE瀏覽器需進行相應的安全設置、配置郵件安全需對垃圾郵件進行防護設置系統(tǒng)補丁需進行更新策略的設置安全防護之（二）個人電腦安全防護個人電腦須安裝防病毒軟件，并及時

15、升級軟件安全防護之（二）個人文件存放位置不要放在默認的“我的文檔”或桌面不隨意安裝軟件，尤其是網(wǎng)絡瀏覽時要求安裝的控件員工要有安全保管工作相關(guān)資料的意識使用公司提供的文件服務器等儲存資源備份重要資料存儲設備損壞后應慎重選擇第三方修復商，勿隨意丟 棄、應先進行安全處理離開電腦時記得鎖屏安全防護之（三）工作習慣提醒文件存放位置不要放在默認的“我的文檔”或桌面安全防護之（三）用戶們不可安裝屬于個人的軟件在任何公司設備上不違反版權(quán)或其它知識產(chǎn)權(quán)使用軟件或其它類型產(chǎn)品免費與開源軟件須經(jīng)過管理和法務部門批準，并符合 公司信息安全標準和其它規(guī)范要求才可使用安全防護之（四）軟件使用用戶們不可安裝屬于個人的軟件

16、在任何公司設備上安全防護之（四）安全防護之物理環(huán)境2條安全防護之公司的信息資料，不可轉(zhuǎn)移或存儲在任何非公司核準 或認證的設備或個人設備上敏感信息不隨意地放置,打印或復印的敏感資料要及時 取走凡被定為機密或絕密的信息，如需發(fā)送到公司外部或帶出公司，須經(jīng)過審批，并采取適當?shù)陌踩胧┮蚬ぷ餍枰R時使用敏感資料后，應執(zhí)行安全刪除、 徹底粉碎等措施不在公司外部討論敏感信息安全防護之（五）文件資料的安全防護公司的信息資料，不可轉(zhuǎn)移或存儲在任何非公司核準 或認證的設備受控區(qū)域應設置一定的安全措施，比如視頻監(jiān)控等， 并做好進出登記如果進出需要門卡，請隨身帶好，嚴禁無證進入鑰匙和門卡僅供本人使用，不要交給他人使用敏感物品應放置在受控的安全區(qū)域安全防護之（六）物理環(huán)境安全防護受控區(qū)域應設置一定的安全措施，比如視頻監(jiān)控等， 并做好進出登安全防護之員工管理2條安全防護之根據(jù)不同崗位的需求，尤其是敏感崗位，應在職位描 述中加入安全方面的責任要求若崗位需要，應簽訂適當?shù)谋Ｃ軈f(xié)議依崗位需要和公司要求，應不定期的對員工進行專項 的和通用的信息安全意識培訓安全防護之（七）工作崗位安全要求根據(jù)不同崗位的需求，尤其是敏感崗位，應在職位描 述中加入安全當下級更換工作崗位或離職時，團隊負責人必須立即 通知人力資源中心及信息中心，并按安全管控流程進 行賬號權(quán)限等工作事項的變更調(diào)整安全防護之（八）員工崗位調(diào)整