員工信息安全意識與安全實踐培訓(xùn) 人力資源 職能

信息安全意識與安全實踐信息安全：人員是最大的風(fēng)險來源

“人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術(shù)、防火墻、入侵檢測系統(tǒng)、生物鑒別設(shè)備，可只要有人給毫無戒心的員工打個電話……”

——KevinMitnick

超過80%的信息安全威脅來自于組織內(nèi)部信息安全：信息資產(chǎn)與威脅固定資產(chǎn)和一些文檔中存儲在員工的腦子中根據(jù)Delphi公司統(tǒng)計，公司價值的26%體現(xiàn)在固定資產(chǎn)和一些文檔上，而高達42%的價值是存儲在員工的腦子里。78%的企業(yè)數(shù)據(jù)泄漏是來自內(nèi)部員工的不規(guī)范操作信息安全意識裝有100萬的保險箱裝有客戶信息的電腦需要3個悍匪1輛車，拉走公司損失100萬只需1個商業(yè)間諜公司損失：所有客戶

信息資產(chǎn)比鈔票更重要，但更脆弱，更應(yīng)得到保護！一個優(yōu)盤物理安全—“ATM取款機”物理安全—“電子門禁”物理安全—“電子門禁”（案例）時間：某天夜里地點：A公司的數(shù)據(jù)中心大樓人物：一個普通的系統(tǒng)管理員一個普通的系統(tǒng)管理員，利用看似簡單的方法，就進入了需要門卡認(rèn)證的數(shù)據(jù)中心……

————來自國外某論壇的激烈討論物理安全—“電子門禁”（案例）①張三找到一個氣球，放掉氣②張三面朝大門入口趴下來，把氣球塞進門里，只留下氣球的嘴在門的這邊③張三在門外吹氣球，氣球在門內(nèi)膨脹，然后，他釋放了氣球……④由于氣球在門內(nèi)彈跳，觸發(fā)動作探測器，門終于開了網(wǎng)絡(luò)釣魚—“釣魚網(wǎng)站”

網(wǎng)絡(luò)釣魚—“釣魚郵件”網(wǎng)絡(luò)釣魚—“偽基站釣魚”網(wǎng)絡(luò)釣魚—“偽基站釣魚”（案例）網(wǎng)絡(luò)釣魚—“偽基站釣魚”（案例）網(wǎng)絡(luò)釣魚—“偽基站釣魚”（案例）后臺數(shù)據(jù)：姓名身份證號銀行卡號銀行卡密碼開戶銀行手機號碼....社會工程學(xué)詐騙明天到我辦公室來一趟…“領(lǐng)導(dǎo)”的權(quán)威讓下屬服從利用親情關(guān)系詐騙你女兒生病住院了…手機安全—“二維碼”手機安全—“手機充電樁”用使用者的手機，向任意號碼發(fā)送短信！用使用者手機進行消費！手機安全—“手機充電樁”充電樁會提示用戶開啟USB調(diào)試或信任該設(shè)備，如果用戶點擊同意，就會使手機部分權(quán)限得到開放！提醒：手機接入手機充電樁時，如果充電樁需要權(quán)限請求，一律拒絕。（包括USB調(diào)試與設(shè)備信任）部分手機充電樁有提供插座，用隨身攜帶的設(shè)備進行充電。部分手機充電樁只提供USB孔，如果遇到這類的手機充電樁，切記使用只有充電功能（無數(shù)據(jù)傳輸功能）的充電線。使用手機充電樁時，將設(shè)備關(guān)機。手機安全—“惡意吸費APP”這個彈窗暗藏玄機！一款專門為搶購火車票而設(shè)計的應(yīng)用程序手機安全—“惡意吸費APP”點擊確定后，對話框消失。隨后，話費詳單顯示，這次操作實際上被定制了20元的增值業(yè)務(wù)費！提醒：通過可信渠道下載經(jīng)過專業(yè)檢測認(rèn)證簽名的APP版本；不要隨意下載帶有“黃賭毒”的惡意APP軟件，不慎下載應(yīng)及時徹底刪除；要定期查看自己的話費詳單，別不明不白做了冤大頭；類似智能火車票、游戲修改大師、瘋狂的小鳥、搶票快手等熱門App，如果發(fā)現(xiàn)手機惡意推送廣告，要謹(jǐn)慎。手機安全—“電信詐騙”手機安全—“木馬病毒”通過發(fā)送手機惡意鏈接、虛假短信等使用戶遭受手機木馬病毒，蒙受資金損失。手機安全注意事項員工安全實踐進門——物理安全1忘了帶卡？

——尾隨進入最佳實踐所有人員必須佩戴身份識別卡，才能在公司相應(yīng)區(qū)域活動不得將身份識別卡借與他人使用監(jiān)督未佩戴身份識別卡的外來人員的活動，制止其非授權(quán)的活動，并及時報告給安全保衛(wèi)部門接到恐怖威脅，及時向主管領(lǐng)導(dǎo)和安全保衛(wèi)部門報告員工安全實踐打開計算機——賬戶安全2最佳實踐誰未經(jīng)授權(quán)使用了我的電腦？

——數(shù)據(jù)被竊取——內(nèi)容被破壞未經(jīng)批準(zhǔn)，不得轉(zhuǎn)借或使用他人賬戶使用計算機及應(yīng)用系統(tǒng)應(yīng)設(shè)置登錄口令，且不得向他人泄露口令工作崗位調(diào)動或離職時，應(yīng)主動移交全部賬號和口令員工安全實踐登錄計算機/VPN——口令安全3最佳實踐不得將口令寫在紙上或記錄于電子文件中不要采用用戶名、姓名、生日、電話號碼、默認(rèn)口令等作為密碼口令長度應(yīng)至少10位，至少包含字母、數(shù)字、特殊符號的兩種或兩種以上定期更換口令VPN身份認(rèn)證口令不得轉(zhuǎn)借他人使用，如有遺失或被竊取應(yīng)第一時間通知安全管理員口令泄露？弱口令?

——鑒別信息被冒用!員工安全實踐暫離工位——賬戶安全4最佳實踐使用”win+L”鎖屏或關(guān)閉計算機設(shè)置15min后自動啟動屏幕保護程序，在恢復(fù)時使用密碼保護員工安全實踐使用個人計算機——個人計算機設(shè)備安全5最佳實踐未經(jīng)批準(zhǔn)任何計算機不得接入公司網(wǎng)絡(luò)，經(jīng)批準(zhǔn)的使用指定端口和IP，接入網(wǎng)絡(luò)前安裝安全補丁、殺毒軟件并查殺病毒未經(jīng)授權(quán)嚴(yán)禁打開辦公電腦機箱、拆裝電腦硬盤等配件，嚴(yán)禁使用辦公電腦內(nèi)置硬盤以外的設(shè)備啟動電腦發(fā)現(xiàn)計算機被入侵或感染病毒應(yīng)立即斷開網(wǎng)絡(luò)連接，清除病毒；發(fā)現(xiàn)病毒無法被有效清除時，及時報告信息安全部門不制造和傳播計算機病毒不在工作時間使用計算機進行與工作無關(guān)的活動對敏感數(shù)據(jù)采取加密措施，妥善存放員工安全實踐使用公用計算機——公用計算機設(shè)備安全6最佳實踐設(shè)置管理責(zé)任人，防止公用計算機被盜、被濫用或被入侵未授權(quán)的外來人員不得使用公用計算機使用完公用計算機后要退出登錄員工安全實踐使用公司網(wǎng)絡(luò)辦公——計算機網(wǎng)絡(luò)安全7最佳實踐計算機接入公司網(wǎng)絡(luò)時，計算機名稱必須遵循命名規(guī)則計算機只能使用管理員分配的IP地址，禁止隨意修改不得在公司私自撥號上網(wǎng)、私自創(chuàng)建和連接未經(jīng)批準(zhǔn)的無線網(wǎng)絡(luò)未經(jīng)批準(zhǔn)不得安裝兩塊或多塊網(wǎng)卡并連接到不同的網(wǎng)絡(luò)設(shè)備不得對公司網(wǎng)絡(luò)內(nèi)的設(shè)備進行掃描不得濫用網(wǎng)絡(luò)資源進行與工作無關(guān)的其他活動可用性效率員工安全實踐上網(wǎng)查閱資料、休息——互聯(lián)網(wǎng)安全8最佳實踐不得濫用公司網(wǎng)絡(luò)訪問與工作無關(guān)的網(wǎng)站和互聯(lián)網(wǎng)服務(wù)、進行與工作無關(guān)的網(wǎng)上即時通訊不得濫用公司網(wǎng)絡(luò)下載圖片、小說、音樂、錄像、游戲等與工作無關(guān)的文件防不勝防!病毒木馬泄密員工安全實踐安裝軟件——計算機軟件安全9最佳實踐計算機終端只能安裝、運行公司批準(zhǔn)的軟件，并及時安裝補丁安裝其他軟件應(yīng)向部門負(fù)責(zé)人提出申請，交由信息管理部門處理必須安裝、運行上網(wǎng)行為控制客戶端，未經(jīng)授權(quán)不得卸載必須安裝、運行公司規(guī)定的防病毒軟件，并及時更新病毒庫，未經(jīng)授權(quán)不得卸載，及時執(zhí)行公司的防病毒措施下載、安裝軟件

——不小心中招！員工安全實踐使用移動存儲介質(zhì)——移動存儲介質(zhì)安全10最佳實踐嚴(yán)格控制移動存儲介質(zhì)的使用，使用前登記移動存儲介質(zhì)上的數(shù)據(jù)和文件在使用后立即刪除使用前進行病毒檢測，確認(rèn)無毒后方可使用移動存儲介質(zhì)維修、廢棄前應(yīng)清除數(shù)據(jù)或銷毀介質(zhì)U盤病毒U盤泄密員工安全實踐打印/復(fù)印文件——打印機安全11最佳實踐公用的打印、復(fù)印設(shè)備使用完成后，及時取走打印、復(fù)印的文件一體機維修前消除打印記憶2011年6月，濟南軍區(qū)某裝甲團出現(xiàn)機關(guān)干部考試試題泄露事件，而事件原因最終定位為打印機的記憶功能。員工安全實踐收發(fā)郵件——電子郵件安全12最佳實踐不要打開來歷不明的郵件，不要隨便點擊郵件中的陌生鏈接禁止發(fā)送與工作無關(guān)的郵件、含有違反政策和法律法規(guī)的內(nèi)容的郵件、含有不利于公司的信息的郵件、連環(huán)郵件或附帶大量非工作需要的圖片文件的郵件、夾帶計算機病毒的郵件、含有敏感信息和商業(yè)機密的郵件等員工安全實踐處理辦公數(shù)據(jù)——數(shù)據(jù)安全13最佳實踐個人計算機中的數(shù)據(jù)文件，應(yīng)按照實際情況及時做好備份，避免可能的數(shù)據(jù)丟失個人計算機中的重要辦公數(shù)據(jù)應(yīng)當(dāng)根據(jù)部門要求適時備份到指定的文件服務(wù)器或者存儲介質(zhì)上數(shù)據(jù)丟失的七大原因員工安全實踐處理敏感信息——敏感信息保密14最佳實踐存儲一般