企業(yè)信息安全培訓(xùn)

信息安全I(xiàn)NFORMATION

SAFETYLIAOMMUFENGWannaCry勒索病毒wmixml挖礦病毒信息安全與技術(shù)的關(guān)系可以追溯到遠(yuǎn)古。埃及人在石碑上鐫刻了令人費(fèi)解的象形文字；斯巴達(dá)人使用一種稱為密碼棒的工具傳達(dá)軍事計(jì)劃，羅馬時(shí)代的凱撒大帝是加密函的古代將領(lǐng)之一，“凱撒密碼”據(jù)傳是古羅馬凱撒大帝用來保護(hù)重要軍情的加密系統(tǒng)。英國(guó)計(jì)算機(jī)科學(xué)之父阿蘭·圖靈在英國(guó)布萊切利莊園幫助破解了德國(guó)海軍的Enigma密電碼，改變了二次世界大戰(zhàn)的進(jìn)程。隨著互聯(lián)網(wǎng)的快速發(fā)展和信息化程度的不斷提高，互聯(lián)網(wǎng)深刻影響著政治、經(jīng)濟(jì)、文化等各個(gè)方面，保障信息安全的重要性日益凸顯，加強(qiáng)對(duì)互聯(lián)網(wǎng)上各類信息的管理應(yīng)引起高度重視。信息安全1.信息安全是什么？2.信息安全現(xiàn)狀如何？3.企業(yè)信息安全管理4.如何保護(hù)個(gè)人信息安全？CONTENTSPART-01信息安全是什么？信息，指音訊、消息、通訊系統(tǒng)傳輸和處理的對(duì)象，泛指人類社會(huì)傳播的一切內(nèi)容。信息安全（INFORMATIONSAFETY）是指為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露。信息安全層面信息安全定義包含了層面的概念，計(jì)算機(jī)硬件可以看作是物理層面，軟件可以看做是運(yùn)行層面，再就是數(shù)據(jù)層面。物理層面運(yùn)行層面數(shù)據(jù)層面網(wǎng)絡(luò)信息安全的內(nèi)容硬件安全 即網(wǎng)絡(luò)硬件和存儲(chǔ)媒休的安全。要保護(hù)這些硬設(shè)施不受損害，能夠正常工作。軟件安全 即計(jì)算機(jī)及其網(wǎng)絡(luò)等各種軟件。不被篡改或破壞，不被非法操作或誤操作，功能不會(huì)失效，不被非法復(fù)制。服務(wù)安全即網(wǎng)絡(luò)中的各個(gè)信息系統(tǒng)能夠正常運(yùn)行并能正常地通過網(wǎng)絡(luò)交流信息。通過對(duì)網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備運(yùn)行狀況的監(jiān)測(cè)，發(fā)現(xiàn)不安全因素能及時(shí)報(bào)警并采取措施改變不安全狀態(tài)，保障網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。數(shù)據(jù)安全 即網(wǎng)絡(luò)中存在及流通數(shù)據(jù)的安全。要保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)不被篡改、非法增刪、復(fù)制、解密、顯示、使用等。它是保障網(wǎng)絡(luò)安全最根本的目的。信息安全三要素?cái)?shù)據(jù)完數(shù)據(jù)保 整性密性數(shù)據(jù)可用性包含屬性的概念，其中破壞涉及的是可用性，更改涉及的是完整性，顯露涉及的是保密性。外部威脅來源1 網(wǎng)絡(luò)攻擊2 計(jì)算機(jī)病毒3 信息戰(zhàn)4 網(wǎng)絡(luò)盜竊、詐騙5自然災(zāi)害導(dǎo)致信息基礎(chǔ)設(shè)施故障6 其他外部威脅內(nèi)部威脅來源1 信息安全意識(shí)薄弱2 組織內(nèi)部管理疏漏3 執(zhí)行人員操作不當(dāng)4 人為蓄意破壞5 軟硬件基礎(chǔ)設(shè)施缺陷6 內(nèi)部與外部勾結(jié)PART-02信息安全現(xiàn)狀如何？網(wǎng)絡(luò)威脅實(shí)時(shí)地圖我國(guó)是遭受網(wǎng)絡(luò)犯罪攻擊最嚴(yán)重的國(guó)家。經(jīng)濟(jì)損失位居全球第一$370 380113066319417200200400600800100012001400160018002000中國(guó) 美國(guó) 全球2013和2017年全球及中美網(wǎng)絡(luò)犯罪造成的經(jīng)濟(jì)損失（億美元）數(shù)據(jù)來源：公開資料整理2017年網(wǎng)絡(luò)犯罪對(duì)各國(guó)造成的經(jīng)濟(jì)損失19225156637126185412177601940100200300400500600700澳大利亞巴西加拿大中國(guó)法國(guó)德國(guó)印度意大利日本墨西哥英國(guó)美國(guó)經(jīng)濟(jì)損失（億美元）數(shù)據(jù)來源：公開資料整理我國(guó)企業(yè)信息安全投入不足。2014年我國(guó)信息安全投入占IT總比例和發(fā)達(dá)國(guó)家對(duì)比14%12%13%4%2%信息安全投入比例芬蘭日本美國(guó)印度中國(guó)數(shù)據(jù)來源：公開資料整理我國(guó)信息安全行業(yè)進(jìn)入壁壘資金壁壘 經(jīng)驗(yàn)壁壘行業(yè)人才壁壘信息安全行業(yè)發(fā)展趨勢(shì)早期階段發(fā)展階段未來5~10年P(guān)ART-03企業(yè)信息安全管理2017年典型的企業(yè)信息安全事件因安全缺失導(dǎo)致的企業(yè)受影響的案例2月Gitlab.com3月58同城息4月12306官方網(wǎng)站再現(xiàn)安全漏洞9月華為

隨著社會(huì)、科技等的快速發(fā)展，信息、數(shù)據(jù)逐漸凸顯重要位置，并且一躍成為企業(yè)重要的核心資產(chǎn)。

信息化、數(shù)據(jù)化不斷推動(dòng)企業(yè)提高生產(chǎn)和運(yùn)行效率、降低成本、增強(qiáng)決策效率和提高決策準(zhǔn)確率。

企業(yè)的發(fā)展越來越離不開信息化和數(shù)據(jù)化的支持，脫離了信息和數(shù)據(jù)支撐的企業(yè)極有可能快速地被整個(gè)社會(huì)所淘汰。信息和數(shù)據(jù)的關(guān)鍵重要性，決定了信息安全在企業(yè)中的重要性。最常見的安全模型0203態(tài)，或者比原來更安全的狀態(tài)。分為系統(tǒng)恢復(fù)和信息恢復(fù)在檢測(cè)到安全漏洞和安全事件之后必須及時(shí)做出正確的響應(yīng)，從而把系統(tǒng)調(diào)整到安全狀態(tài)。為此需要相應(yīng)的報(bào)警、跟蹤、處理系統(tǒng)，其中處理包括封堵、隔離、報(bào)告等子系統(tǒng)通過檢測(cè)和監(jiān)控網(wǎng)絡(luò)以及系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點(diǎn)，強(qiáng)制執(zhí)行安全策略。在這個(gè)過程中采用入侵檢測(cè)、惡意代碼過濾等等這樣一些技術(shù)，形成動(dòng)態(tài)檢測(cè)的制度，建立報(bào)告協(xié)調(diào)機(jī)制，提高檢測(cè)的實(shí)時(shí)性保護(hù)通常是通過采用成熟的信息安全技術(shù)及方法來實(shí)現(xiàn)網(wǎng)絡(luò)與信息的安全，主要有防火墻、授權(quán)、加密、認(rèn)證等01人管理技術(shù)在所有的信息安全事故中，人是最 的一個(gè)環(huán)節(jié)，也是最容易被攻克的環(huán)節(jié)如何為企業(yè)員工做信息安全培訓(xùn)？培養(yǎng)意識(shí)

企業(yè)在培訓(xùn)中應(yīng)注意讓員工意識(shí)到其重要性，改變“維護(hù)公司信息安全是技術(shù)人員的事”的錯(cuò)誤看法。

提高員工自身信息保護(hù)的意識(shí)，例如不在微信、微博等社交媒體發(fā)布個(gè)人資料、非授權(quán)的公司商業(yè)資料等

在為員工做安全培訓(xùn)時(shí)，可采用動(dòng)畫短片，案例分享，游戲互動(dòng)等形式進(jìn)行，有趣的互動(dòng)能更好的加強(qiáng)員工對(duì)于信息安全的理解，在體驗(yàn)中加強(qiáng)信息安全意識(shí)。

個(gè)人工作相關(guān)賬號(hào)，設(shè)置一個(gè)區(qū)別于私人賬號(hào)的密碼，密碼形式最好為數(shù)字+字母+符號(hào)的復(fù)雜密碼

離開辦公座位，養(yǎng)成鎖定電腦屏幕的習(xí)慣

重要文件，加密存儲(chǔ)

數(shù)據(jù)多處備份培訓(xùn)形式日常習(xí)慣 04企業(yè)信息安全保障體系建設(shè)04風(fēng)險(xiǎn)管理安全管理安全運(yùn)營(yíng)安全保障包括對(duì)風(fēng)險(xiǎn)進(jìn)行分類，采集公司和系統(tǒng)可能存在的風(fēng)險(xiǎn)，對(duì)采集的風(fēng)險(xiǎn)識(shí)別以及對(duì)風(fēng)險(xiǎn)進(jìn)行跟蹤，管控和處理風(fēng)險(xiǎn)主要以建立企業(yè)或是互聯(lián)網(wǎng)網(wǎng)站安全體系為主，包括安全技術(shù)架構(gòu)、安全策略、技術(shù)管理和人員管理四個(gè)方面包括安全運(yùn)維操作、安全體系落地、安全審計(jì)工作、安全數(shù)據(jù)分析以及安全績(jī)效考核等通過體系化管理企業(yè)信息安全，做好全面防護(hù)和備份工作，在防護(hù)絕大多數(shù)安全威脅的同時(shí)，科學(xué)備份，保障數(shù)據(jù)準(zhǔn)確無誤，以此達(dá)到企業(yè)信息安全的目的。信息安全經(jīng)典案例紐約大停電時(shí)的親身經(jīng)歷。“當(dāng)時(shí)情況非常緊急，許多人不斷詢問公司的業(yè)務(wù)情況，而且第二天《商業(yè)周刊》能否正常出版更是得到人們的普遍關(guān)注。而實(shí)際上，在停電瞬間，我們已經(jīng)把出版業(yè)務(wù)全部轉(zhuǎn)移到新澤西州，因?yàn)樵谀俏覀冇幸惶讉溆迷O(shè)備。“我們的電力系統(tǒng)很穩(wěn)定，備用發(fā)電機(jī)可以在沒有電的情況下持續(xù)工作好幾天，所以我們的出版工作沒有受到任何影響。第二天，《商業(yè)周刊》如期出版?！庇谥行∑髽I(yè)來說，出于成本考慮建立一個(gè)數(shù)據(jù)備份中心并不是最恰當(dāng)?shù)慕鉀Q方案，但在離自己電腦一段距離的地方做一個(gè)數(shù)據(jù)備份，花費(fèi)的成本幾乎為零，而許多企業(yè)尚沒有這種意識(shí)。麥格勞?希爾企業(yè)信息安全技術(shù)管理硬件安全建設(shè)軟件安全建設(shè)硬件安全建設(shè)數(shù)據(jù)中心“兩地三中心”，異地容災(zāi)、備份網(wǎng)絡(luò)設(shè)備、服務(wù)器、辦公設(shè)備等，定期維護(hù)檢查正規(guī)渠道采購(gòu)信息化硬件設(shè)備軟件安全建設(shè)使用正版收費(fèi)、權(quán)威開源軟件，拒絕盜版用戶訪問控制策略（防火墻、VPN、強(qiáng)口令、上網(wǎng)行為管控等）應(yīng)用程序防攻擊、防篡改；數(shù)據(jù)多重備份系統(tǒng)實(shí)現(xiàn)異常監(jiān)控、預(yù)警；及早發(fā)現(xiàn)，降低損失PART-04如何保護(hù)個(gè)人信息安全？大數(shù)據(jù)時(shí)代你的個(gè)人信息安全嗎？?大數(shù)據(jù)被稱為是社會(huì)發(fā)展的新“石油”，然而運(yùn)用不當(dāng)同樣會(huì)產(chǎn)生“污染”。數(shù)據(jù)信息在給我們生活帶來便利的同時(shí)，個(gè)人信息泄露的問題也日漸凸顯，近日媒體曝光的信息泄露背后的黑色產(chǎn)業(yè)鏈也引發(fā)公眾的關(guān)注——只要有人付錢，開房記錄、名下資產(chǎn)、乘坐航班，甚至網(wǎng)吧上網(wǎng)記錄都能被輕易查到?！靶畔⒙惚肌绷钊瞬缓酰凶咴诖髷?shù)據(jù)的社會(huì)，個(gè)人信息安全值得我們每個(gè)人關(guān)注。特大流量劫持案告破業(yè)。據(jù)警方透露，瑞智華勝非法獲取的數(shù)據(jù)涉及騰訊、百度、阿里、新浪和今日辦案民警稱，在與正規(guī)運(yùn)營(yíng)商合作中，涉案企業(yè)會(huì)加入一些非法軟件用于清手段可以從中提取