2018員工信息安全意識(shí)培訓(xùn)v1.0

2018信息安全提升系列（一）信息技術(shù)部2018-02-12普通員工信息安全意識(shí)培訓(xùn)信息安全意識(shí)，就是能夠認(rèn)知可能存在的信息安全問題，預(yù)估信息安全事故對(duì)組織的危害，恪守正確的行為方式，并且執(zhí)行在信息安全事故發(fā)生時(shí)所應(yīng)采取的措施。什么是信息安全意識(shí)？信息安全基礎(chǔ)知識(shí)當(dāng)前的信息安全形勢(shì)個(gè)人應(yīng)具備的安全防護(hù)意識(shí)目錄什么是信息？知識(shí)信息數(shù)據(jù)信息的屬性：基本元素是數(shù)據(jù)，每個(gè)數(shù)據(jù)代表某個(gè)意義；以各種形式存在：紙、電子、影片、交談等；數(shù)據(jù)具有一定的邏輯關(guān)系；具有一定的時(shí)效性；對(duì)組織具有價(jià)值，是一種資產(chǎn)；需要適當(dāng)?shù)谋Ｗo(hù)。指導(dǎo)意義抽象程度什么是安全？安全Security：事物保持不受損害保證信息只能夠由得到授權(quán)的人訪問。舉例：公司產(chǎn)品代碼不被惡意泄漏；商務(wù)合同、報(bào)價(jià)、客戶信息不被披露保證信息的正確性及不被非授權(quán)篡改和刪除。舉例：計(jì)費(fèi)紀(jì)錄被惡意修改；交易信息被刪除；公司主頁(yè)被篡改；日志文件被刪除保證經(jīng)授權(quán)的用戶當(dāng)需要訪問信息的時(shí)候就能夠訪問到。舉例：如果公司的業(yè)務(wù)被拒絕服務(wù)造成網(wǎng)絡(luò)中斷，用戶無法使用我們的業(yè)務(wù)。完整性保密性可用性信息安全什么是信息安全？采取合適的信息安全措施，使安全事件對(duì)業(yè)務(wù)造成的影響降低最小，保障組織內(nèi)業(yè)務(wù)運(yùn)行的連續(xù)性。廣義上講涉及到信息的保密性，完整性，可用性，真實(shí)性，可控性的相關(guān)技術(shù)和理論。本質(zhì)上保護(hù)——系統(tǒng)的硬件，軟件，數(shù)據(jù)防止——系統(tǒng)和數(shù)據(jù)遭受破壞，更改，泄露保證——系統(tǒng)連續(xù)可靠正常地運(yùn)行，服務(wù)不中斷兩個(gè)層面技術(shù)層面——防止外部用戶的非法入侵管理層面——內(nèi)部員工的教育和管理9信息安全的定義為什么會(huì)有信息安全問題？因?yàn)橛胁《締?？因?yàn)橛泻诳蛦幔恳驗(yàn)橛新┒磫?？這些都是原因，但沒有說到根源安全問題的根源—外因2來自自然的破壞1 來自外部的威脅國(guó)家安全威脅信息戰(zhàn)士減小國(guó)家決策空間、戰(zhàn)略優(yōu)勢(shì)，制造混亂，進(jìn)行目標(biāo)破壞情報(bào)機(jī)構(gòu)搜集政治、軍事，經(jīng)濟(jì)信息共同威脅恐怖分子破壞公共秩序，制造混亂，發(fā)動(dòng)政變商業(yè)間諜掠奪競(jìng)爭(zhēng)優(yōu)勢(shì)，恐嚇犯罪團(tuán)伙施行報(bào)復(fù)，實(shí)現(xiàn)經(jīng)濟(jì)目的，破壞制度局部威脅社會(huì)型黑客攫取金錢，恐嚇，挑戰(zhàn)，獲取聲望娛樂型黑客以嚇人為樂，喜歡挑戰(zhàn)安全問題的根源—內(nèi)因系統(tǒng)越來越復(fù)雜12人也是復(fù)雜的需要加強(qiáng)信息安全保障組織機(jī)構(gòu)的使命/業(yè)務(wù)目標(biāo)實(shí)現(xiàn)越來越依賴于信息系統(tǒng)信息系統(tǒng)成為組織機(jī)構(gòu)生存和發(fā)展的關(guān)鍵因素信息系統(tǒng)的安全風(fēng)險(xiǎn)也成為組織風(fēng)險(xiǎn)的一部分為了保障組織機(jī)構(gòu)完成其使命，必須加強(qiáng)信息安全保障，抵抗這些風(fēng)險(xiǎn)。信息系統(tǒng)使命風(fēng)險(xiǎn)保障安全保障的目標(biāo)是支持業(yè)務(wù)信息安全保障是為了支撐業(yè)務(wù)高效穩(wěn)定運(yùn)行信息安全保障需要持續(xù)進(jìn)行信息安全保障需要時(shí)時(shí)刻刻不放松如何保障信息安全？信息是依賴與承載它的信息技術(shù)系統(tǒng)存在的需要在技術(shù)層面部署完善的控制措施信息系統(tǒng)是由人來建設(shè)使用和維護(hù)的需要通過有效的管理手段約束人今天系統(tǒng)安全了明天未必安全需要貫穿系統(tǒng)生命周期的工程過程信息安全的對(duì)抗，歸根結(jié)底是人員知識(shí)、技能和素質(zhì)的對(duì)抗需要建設(shè)高素質(zhì)的人才隊(duì)伍我國(guó)信息化迅猛發(fā)展我國(guó)信息化建設(shè)起步于20世紀(jì)80年代20世紀(jì)90年代取得長(zhǎng)足進(jìn)步現(xiàn)在信息技術(shù)已經(jīng)廣泛應(yīng)用于促進(jìn)國(guó)民經(jīng)濟(jì)發(fā)展政府管理和服務(wù)水平提高企業(yè)競(jìng)爭(zhēng)力增強(qiáng)人民生活水平該改善我國(guó)正在步入信息化時(shí)代信息化建設(shè)的意義信息化作為全球化的重要方面，直接推動(dòng)了國(guó)際關(guān)系的演變和全球經(jīng)濟(jì)體系的形成電子政務(wù)、電子商務(wù)和整個(gè)社會(huì)的信息化發(fā)展，標(biāo)志著我國(guó)進(jìn)入信息化社會(huì)整個(gè)社會(huì)越來越依賴于網(wǎng)絡(luò)和信息系統(tǒng)，網(wǎng)絡(luò)和信息系統(tǒng)正成為社會(huì)運(yùn)行和發(fā)展的重要支撐要素然而，沒有信息安全就沒有真正有效的信息化信息安全趨勢(shì)隱蔽性：信息安全的一個(gè)最大特點(diǎn)就是看不見摸不著。在不知不覺中就已經(jīng)中了招，在不知不覺中就已經(jīng)遭受了重大損失。信息安全趨勢(shì)趨利性：為了炫耀能力的黑客少了，為了非法取得政治、經(jīng)濟(jì)利益的人越來越多新應(yīng)用導(dǎo)致新的安全問題數(shù)據(jù)大集中——風(fēng)險(xiǎn)也更集中了；系統(tǒng)復(fù)雜了——安全問題解決難度加大；云計(jì)算——安全已經(jīng)不再是自己可以控制的4G、物聯(lián)網(wǎng)、三網(wǎng)合一——IP網(wǎng)絡(luò)中安全問題引入到了電話、手機(jī)、廣播電視中web2.0、微博、微信等——網(wǎng)絡(luò)安全與日常生活越來越貼近2018/2/6安全風(fēng)險(xiǎn)無處不在新聞2010年初，美國(guó)硅谷的邁克菲公司發(fā)布最新報(bào)告，約109.5萬臺(tái)中國(guó)計(jì)算機(jī)被病毒感染（美國(guó)105.7萬），排第一位。2010年1月2日，公安部物證鑒定中心被黑，登陸該網(wǎng)站，有些嘲弄語(yǔ)言，還貼一張“我們睡，你們講”的圖片，圖片是公安某單位一次會(huì)議上，臺(tái)下參會(huì)人員大睡的場(chǎng)面。2010年1月11日，著名網(wǎng)絡(luò)百度被黑(域名劫持)，黑客團(tuán)體叫“IranianCyberArmy”。服務(wù)器中斷5小時(shí)。2008年1月，美國(guó)總統(tǒng)布什簽發(fā)總統(tǒng)54號(hào)令，其中有《國(guó)家網(wǎng)絡(luò)安全綜合綱領(lǐng)》（CNCI），包含12個(gè)行動(dòng)綱領(lǐng)。2009年6月，美國(guó)國(guó)防部長(zhǎng)羅伯特·蓋茨下令組建網(wǎng)絡(luò)司令部，統(tǒng)一協(xié)調(diào)美軍網(wǎng)絡(luò)安全，開展網(wǎng)絡(luò)戰(zhàn)爭(zhēng)等與計(jì)算機(jī)相關(guān)的軍事行動(dòng)。案例12009年6月9日，雙色球2009066期開獎(jiǎng)，全國(guó)共中出一等獎(jiǎng)4注，但是，開獎(jiǎng)系統(tǒng)卻顯示一等獎(jiǎng)中獎(jiǎng)數(shù)為9注，其中深圳地區(qū)中獎(jiǎng)為5注。深圳市福彩中心在開獎(jiǎng)程序結(jié)束后發(fā)現(xiàn)系統(tǒng)出現(xiàn)異常，經(jīng)多次數(shù)據(jù)檢驗(yàn)，工作人員判斷，福彩中心銷售系統(tǒng)疑被非法入侵，中獎(jiǎng)彩票數(shù)據(jù)記錄疑被人為篡改。經(jīng)調(diào)查發(fā)現(xiàn)，這是一起企圖利用計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)技術(shù)詐騙彩票獎(jiǎng)金的案件，并于6月12日將犯罪嫌疑人程某抓獲，程某為深圳市某技術(shù)公司軟件開發(fā)工程師，利用公司在深圳福彩中心實(shí)施技術(shù)合作項(xiàng)目的機(jī)會(huì)，通過木馬攻擊程序，惡意篡改彩票數(shù)據(jù)，偽造了5注一等獎(jiǎng)欲牟取非法利益。UNIVERSITY違規(guī)操作泄密敵對(duì)勢(shì)力竊密互聯(lián)網(wǎng)部隊(duì)失密案：20XX年初，軍隊(duì)某參謀違反規(guī)定，使用涉密計(jì)算機(jī)上因特網(wǎng)，被臺(tái)灣情報(bào)機(jī)關(guān)跟蹤鎖定，一次竊走1000多份文檔資料，影響和損失極為嚴(yán)重。案例2掃描網(wǎng)絡(luò)發(fā)現(xiàn)漏洞控制系統(tǒng)竊取文件案例3：網(wǎng)絡(luò)故障造成航班延誤和旅客滯留2006年10月10日13時(shí)32分，中航信運(yùn)營(yíng)的離港系統(tǒng)發(fā)生主機(jī)系統(tǒng)文件損壞，導(dǎo)致使用離港系統(tǒng)的航空公司和機(jī)場(chǎng)的正常運(yùn)行產(chǎn)生不同程度影響。經(jīng)過排查后故障系統(tǒng)于14時(shí)16分恢復(fù)正常。此次故障造成首都機(jī)場(chǎng)、廣州機(jī)場(chǎng)、深圳機(jī)場(chǎng)等機(jī)場(chǎng)部分航班延誤。28信息安全事件在增多……信息安全迫在眉睫！??！信息資產(chǎn)拒絕服務(wù)流氓軟件黑客滲透內(nèi)部人員威脅木馬后門病毒和蠕蟲社會(huì)工程系統(tǒng)漏洞硬件故障網(wǎng)絡(luò)通信故障供電中斷失火雷雨地震威脅無處不在我們應(yīng)該怎么做培養(yǎng)意識(shí)知道如何去識(shí)別一個(gè)潛在的問題利用正確的判斷力掌握和實(shí)行良好的安全習(xí)慣在日常工作中養(yǎng)成良好的習(xí)慣鼓勵(lì)其他人也這樣做報(bào)告任何異常事件如果發(fā)現(xiàn)了某件安全事件，通知適當(dāng)?shù)穆?lián)系人……將口令寫在便簽上，貼在電腦監(jiān)視器旁開著電腦離開，就像離開家卻忘記關(guān)燈那樣輕易相信來自陌生人的郵件，好奇打開郵件附件使用容易猜測(cè)的口令，或者根本不設(shè)口令丟失筆記本電腦不能保守秘密，口無遮攔，上當(dāng)受騙，泄漏敏感信息隨便上網(wǎng)和下載軟件，或隨意將無關(guān)設(shè)備連入公司網(wǎng)絡(luò)事不關(guān)己，高高掛起，不報(bào)告安全事件在系統(tǒng)更新和安裝補(bǔ)丁上總是行動(dòng)遲緩只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題我們最常犯的一些錯(cuò)誤一個(gè)巴掌拍不響！外因是條件內(nèi)因才是根本！人之初性本非善惡吾自三省吾身提高人員信息安全意識(shí)和素質(zhì)勢(shì)在必行！人是最關(guān)鍵的因素信息安全防護(hù)10條信息安全防護(hù)10條工作常識(shí)賬號(hào)口令安全個(gè)人電腦安全良好工作習(xí)慣軟件使用規(guī)范物理安全文件資料安全物理環(huán)境安全員工管理工作崗位安全規(guī)范員工崗位調(diào)整管理網(wǎng)絡(luò)與郵件系統(tǒng)安全員工郵件使用安全網(wǎng)絡(luò)與郵件信息安全防護(hù)安全防護(hù)之

工作常識(shí)4條設(shè)置復(fù)雜口令，至少8位，包含字母數(shù)字定期更改口令，最長(zhǎng)3個(gè)月更改一次即刻更改缺省的或初始化口令輸入時(shí)嚴(yán)防偷看，若發(fā)覺有人獲知，應(yīng)立即改變口令有人在電話中向你索取口令，應(yīng)拒絕后立即報(bào)告不與任何人共享，臨時(shí)共享，事后第一時(shí)間更改口令不要把口令寫在紙上不要把口令存儲(chǔ)在計(jì)算機(jī)文件中安全防護(hù)之（一）賬戶與口令的安全使用個(gè)人電腦須安裝防病毒軟件，并及時(shí)升級(jí)軟件開啟防病毒軟件所有功能，定期進(jìn)行全盤掃描防病毒管控產(chǎn)生的記錄必須被至少保留90天若使用下載工具，需進(jìn)行防病毒設(shè)置與流量控制瀏覽網(wǎng)站需小心，不要隨意安裝控件IE瀏覽器需進(jìn)行相應(yīng)的安全設(shè)置、配置郵件安全需對(duì)垃圾郵件進(jìn)行防護(hù)設(shè)置系統(tǒng)補(bǔ)丁需進(jìn)行更新策略的設(shè)置安全防護(hù)之（二）個(gè)人電腦安全防護(hù)文件存放位置不要放在默認(rèn)的“我的文檔”或桌面不隨意安裝軟件，尤其是網(wǎng)絡(luò)瀏覽時(shí)要求安裝的控件員工要有安全保管工作相關(guān)資料的意識(shí)使用公司提供的文件服務(wù)器等儲(chǔ)存資源備份重要資料存儲(chǔ)設(shè)備損壞后應(yīng)慎重選擇第三方修復(fù)商，勿隨意丟棄、應(yīng)先進(jìn)行安全處理離開電腦時(shí)記得鎖屏安全防護(hù)之（三）工作習(xí)慣提醒用戶們不可安裝屬于個(gè)人的軟件在任何公司設(shè)備上不違反版權(quán)或其它知識(shí)產(chǎn)權(quán)使用軟件或其它類型產(chǎn)品免費(fèi)與開源軟件須經(jīng)過管理和法務(wù)部門批準(zhǔn)，并符合公司信息安全標(biāo)準(zhǔn)和其它規(guī)范要求才可使用安全防護(hù)之（四）軟件使用安全防護(hù)之

物理環(huán)境2條公司的信息資料，不可轉(zhuǎn)移或存儲(chǔ)在任何非公司核準(zhǔn)或認(rèn)證的設(shè)備或個(gè)人設(shè)備上敏感信息不隨意地放置,打印或復(fù)印的敏感資料要及時(shí)取走凡被定為機(jī)密或絕密的信息，如需發(fā)送到公司外部或帶出公司，須經(jīng)過審批，并采取適當(dāng)?shù)陌踩胧┮蚬ぷ餍枰R時(shí)使用敏感資料后，應(yīng)執(zhí)行安全刪除、徹底粉碎等措施不在公司外部討論敏感信息安全防護(hù)之（五）文件資料的安全防護(hù)受控區(qū)域應(yīng)設(shè)置一定的安全措施，比如視頻監(jiān)控等，并做好進(jìn)出登記如果進(jìn)出需要門卡，請(qǐng)隨身帶好，嚴(yán)禁無證進(jìn)入鑰匙和門卡僅供本人使用，不要交給他人使用敏感物品應(yīng)放置在受控的安全區(qū)域安全防護(hù)之（六）物理環(huán)境安全防護(hù)安全防護(hù)之

員工管理2條根據(jù)不同崗位的需求，尤其是敏感崗位，應(yīng)在職位描述中加入安全方面的責(zé)任要求若崗位需要，應(yīng)簽訂適當(dāng)?shù)谋Ｃ軈f(xié)議依崗位需要和公司要求，應(yīng)不定期的對(duì)員工進(jìn)行專項(xiàng)的和通用的信息安全意識(shí)培訓(xùn)安全防護(hù)之（七）工作崗位安全要求當(dāng)下級(jí)更換工作崗位或離職時(shí)，團(tuán)隊(duì)負(fù)責(zé)人必須立即通知人力資源中心及信息中心，并按安全管控流程進(jìn)行賬號(hào)權(quán)限等工作事項(xiàng)的變更調(diào)整安全防護(hù)之（八）員工崗位調(diào)整安全防護(hù)之

網(wǎng)絡(luò)與