信息安全培訓-基礎概念培訓v1.7

員工信息安全培訓主要內容：21、什么是信息安全？2、信息安全與我的關系？3、如何實現(xiàn)信息安全？4、信息安全管理制度和法律法規(guī)5、公司信息安全管理體系和現(xiàn)行制度6、信息安全案例回顧

7、工作和生活中的信息安全

1、什么是信息安全？3什么是信息？有意義的內容；對企業(yè)具有價值的信息，包括電子文件、紙質文件、圖紙、標準、專利、報價短信消息、電話匯報等，稱為信息資產；企業(yè)所稱的信息是指一切與公司經營有關情況的反映（或者雖然與公司經營無關，但其產生或存儲是發(fā)生在公司控制的介質中），它們所反映的情況包括公司的經營狀況、財務狀況、組織狀況等一切內容，其存儲的介質包括紙質文件、電子文件等。

1、什么是信息安全？4信息安全：采取措施保護信息資產，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行，使安全事件對業(yè)務造成的影響減到最小，確保組織業(yè)務運行的連續(xù)性。信息安全意識：就是能夠認知可能存在的信息安全問題，預估信息安全事故對組織的危害，恪守正確的行為方式，并且執(zhí)行在信息安全事故發(fā)生時所應采取的措施。1、什么是信息安全？5信息安全的3要素：CIAConfidentiality,Integrity,Availability保密性、完整性、可用性采取合適的信息安全措施，使安全事件對業(yè)務造成的影響降低最小，保障組織內業(yè)務運行的連續(xù)性。2、信息安全與我的關系？6

常見威脅：竊取、截取、偽造、篡改、拒絕服務攻擊、行為否認、非授權訪問、傳播病毒等；威脅來源：◆自然災害、意外事故；◆計算機犯罪；◆人為錯誤，比如使用不當，安全意識差等；◆"黑客"行為；◆泄密；◆外部泄密；◆信息丟失；◆網絡協(xié)議自身缺陷，例如TCP/IP協(xié)議的安全問題等等。2、信息安全與我的關系？7

主要的信息安全威脅：◆竊?。悍欠ㄓ脩敉ㄟ^數(shù)據(jù)竊聽的手段獲得敏感信息?！艚厝。悍欠ㄓ脩羰紫全@得信息，再將此信息發(fā)送給真實接收者。◆偽造：將偽造的信息發(fā)送給接收者?！舸鄹模悍欠ㄓ脩魧戏ㄓ脩糁g的通訊信息進行修改，再發(fā)送給接收者?！艟芙^服務攻擊：攻擊服務系統(tǒng)，造成系統(tǒng)癱瘓，阻止合法用戶獲得服務?！粜袨榉裾J：合法用戶否認已經發(fā)生的行為?！舴鞘跈嘣L問：未經系統(tǒng)授權而使用網絡或計算機資源。◆傳播病毒：通過網絡傳播計算機病毒，其破壞性非常高，而且用戶很難防范。2、信息安全與我的關系？8

2、信息安全與我的關系？9

以企業(yè)為目標的攻擊威脅數(shù)字上升；

攻擊工具的普及，使網絡犯罪較以往變得更輕易；基于網站的攻擊有增無減；針對個人身份資訊的安全威脅持續(xù)增長；垃圾郵件持續(xù)泛濫。信息安全就在我們身邊！信息安全需要我們每個人的參與！3、如何實現(xiàn)信息安全？10

3、如何實現(xiàn)信息安全？11

物理安全計算機使用的安全網絡訪問的安全社會工程學病毒和惡意代碼賬號安全電子郵件安全重要信息的保密應急響應3、如何實現(xiàn)信息安全？12

物理安全：建立物理安全區(qū)域概念；主動學習了解限制區(qū)域和普通區(qū)域，熟悉在不同區(qū)域自己的權限。在公司里佩戴員工卡做身份標識前來拜訪的外來人員應做身份驗證（登記），見到未佩戴身份識別卡的人應主動詢問離開座位要清空屏幕與桌面3、如何實現(xiàn)信息安全？13

物理安全區(qū)域說明：3、如何實現(xiàn)信息安全？14

物理安全區(qū)域說明：3、如何實現(xiàn)信息安全？15

計算機與網絡使用對個人用計算機要設置帳戶密碼，信息安全規(guī)定口令長度應該不低于6位，且最好要為大寫字母、小寫字母、數(shù)字、特殊字符的組合，防止非法用戶猜出你的密碼，定期更換妥善保護自己的密碼，不要將自己的密碼告訴別人加強對計算機信息保護，離開機器時要及時對機器鎖屏（Win+L）；計算機防病毒軟件，經常升級病毒庫；加強對移動計算機的安全保護，防止丟失；重要文件做好備份3、如何實現(xiàn)信息安全？16

文件分類分級管理：分為絕密信息（A級）、信息（B級）、秘密信息（C級）、公開信息（D級）使用過的重要文件及時銷毀，不要扔在廢紙簍里，也不要重復利用不在公共場所、電話中說工作敏感信息，電話回叫要確認身份不隨意下載安裝軟件，防止惡意程序、病毒及后門等黑客程序前來拜訪的外來人員應做身份驗證（登記），見到未佩戴身份識別卡的人應主動詢問加強對智能移動設備信息安全管理重要文件做好備份3、如何實現(xiàn)信息安全？17

3、如何實現(xiàn)信息安全？18

3、如何實現(xiàn)信息安全？19

3、如何實現(xiàn)信息安全？20

3、如何實現(xiàn)信息安全？21

3、如何實現(xiàn)信息安全？22

溝通交流不在電話中說工作敏感信息，電話回叫要確認身份不通過email傳輸敏感信息，如要通過EMAIL最好加密以后再傳輸不在安全得不到保障的公共場合談論敏感信息防止信息竊取不隨意下載安裝軟件，防止惡意程序、病毒及后門等黑客程序不隨意打開可執(zhí)行的郵件附件，如.EXE,.BAT,.VBS,,.PIF,.CMD,打開附件時最好進行病毒檢查3、如何實現(xiàn)信息安全？23

3、如何實現(xiàn)信息安全？24

防范社會工程學攻擊社會工程學是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段,取得自身利益的手法.步驟：信息收集——信任建立——反追查典型攻擊方式：環(huán)境滲透、身份偽造、冒名電話、信件偽造等如何防范？3、如何實現(xiàn)信息安全？25

如何防范？仔細身份審核（多重身份認證、來電顯示確認、電話回撥、EMAIL簽名、動態(tài)密碼驗證、身份ID卡、上級領導擔保等）；嚴格執(zhí)行操作流程審核；完善日志審計記錄；完善應對措施，及時上報；注重保護個人隱私；不要把任何個人和公司信息或是識別標識告訴他人，除非你聽出她或他的聲音是熟人，并確認對方有這些信息的知情權。無論什么時候在接受一個陌生人詢問時，首先要禮貌的拒絕，直到確認對方身份。3、如何實現(xiàn)信息安全？26

如何防范？保護好隨身攜帶電腦及資料.（案例-中興高層赴美考察，本來是正常出差，結果董秘被美國海關攔下來了，要求檢查電腦，這家伙電腦里有關于向伊朗出口設備會議的會議記錄，中興高層做的決策等等都寫在里面，這也是中興被美國處罰的直接依據(jù)之一。）不在公共區(qū)域談論可能涉及公司技術秘密、商業(yè)秘密等相關事務，防止無意中泄密（案例-浙江一上市公司幾個高管在洗浴時，談論公司資金等情況，導致無意中泄露公司，被證監(jiān)會追責。）3、如何實現(xiàn)信息安全？27

4、信息安全管理制度和法律法規(guī)28

原則上外來設備不允許接入公司網絡，如有業(yè)務需要，需申請審批通過后方可使用。外來設備包括外部人員帶到公司的筆記本電腦、演示機、測試機、智能移動設備等。公司內計算機嚴格限制使用包括移動硬盤、U盤、帶存儲卡的設備等的移動存儲設備，除工作必須要長期使用移動存儲的可申請開通外，公司內的計算機禁止使用移動存儲設備。公司內嚴禁使用盜版軟件和破解工具，如有工作需要，應通過公司采購正版軟件或使用免費軟件。不經批準，嚴禁在公司架設FTP，DHCP，DNS等服務器。4、信息安全管理制度和法律法規(guī)29

研發(fā)用機未經批準，嚴禁轉移到公司辦公網絡、或將辦公電腦轉移到研發(fā)內網使用。任何部門和個人不得私自將包括HUB（集線器）、交換機、路由器等的網絡設備接入公司網絡中。原則上不得使用網絡共享，如因工作原因需要使用的，必須遵循最小化授權原則，刪除給所有人(everyone)的共享權限，只共享給需要訪問的人員，并且在使用后立即關閉。發(fā)現(xiàn)中毒后要斷開網絡，并及時報告信息中心，等待網管來處理。4、信息安全管理制度和法律法規(guī)30

嚴禁使用掃描工具對網絡進行掃描和在網絡使用黑客工具不得以任何方式將公司信息（包括網絡拓撲、IP地址、安全策略、帳號，口令等）告知不相關的人員計算機的操作系統(tǒng)、IIS、數(shù)據(jù)庫、FTP以及所有企業(yè)應用（如電子郵件系統(tǒng)、即時通訊工具等）中，必須設置用戶口令，嚴禁使用空口令、弱口令或缺省口令。一經發(fā)現(xiàn)將被行政處罰。口令長度應在8個字符以上，還應包括大小寫字母，特殊符號和數(shù)字。口令應該在三個月內更換,重要的和使用頻繁的口令視情況縮短更改周期。不允許使用前3次用過的口令。嚴禁卸載或關閉安全防護軟件和防病毒軟件，如有系統(tǒng)補丁必須及時安裝。離開電腦要鎖屏。4、信息安全管理制度和法律法規(guī)31

系統(tǒng)保護中華人民共和國網絡安全法中華人民共和國計算機信息系統(tǒng)安全保護條例計算機信息網絡國際聯(lián)網安全保護管理辦法安全產品商用密碼管理條例國家秘密中華人民共和國保守國家秘密法計算機信息系統(tǒng)國際聯(lián)網保密管理規(guī)定知識產權中華人民共和國著作權法最高人民法院關于審理涉及計算機網絡著作權糾紛案件適用法律若干問題的解釋計算機軟件保護條例中華人民共和國專利法4、信息安全管理制度和法律法規(guī)32

計算機犯罪

中華人民共和國刑法（摘錄）網絡犯罪的法律問題研究電子證據(jù)中華人民共和國電子簽名法電子認證服務管理辦法上市公司信息安全要求上市公司信息披露管理辦法5、公司信息安全管理體系及相關制度33

信息安全管理體系

ISO27001信息安全體系兩化融合體系的信息安全部分TISAX汽車行業(yè)信息安全體系相關制度上市公司相關部分對外信息報送制度年報信息披露重大差錯責任追究制度內幕信息知情人管理制度信息披露制度電子認證服務管理辦法統(tǒng)計信息管理制度日常信息安全管理方面信息應用系統(tǒng)管理制度企業(yè)網站、微信管理制度；機房管理制度6、公司信息安全案例分析主要原因：資料來源： Forrester-TheStateOfBusinessTechnologyResiliency斷電43%IT硬件故障31%人為錯誤13%颶風12%

6、公司信息安全案例分析1、2017年，OA服務器無法正常提供服務，導致應用訪問異常，影響辦公2、2017年更換數(shù)據(jù)中心UPS主機時候，由于電路異常導致服務器直接斷電，導致所有業(yè)務中斷3、2018年3月，中午時分突然發(fā)現(xiàn)無法正常訪問公司應用，服務器系統(tǒng)工作異常4、2020年7月，晚上20點左右三廠機房匯聚交換機故障，導致三廠區(qū)所有網絡無法正常訪問生產系統(tǒng)7、工作及生活中的信息安全36

信息設備的日常信息安全管理1.不可以自己安裝軟件,特別來源不明的程序,會帶來極大的信息風險;2.不可以隨便安裝非授權軟件,可能會帶來未知的版權糾紛,給公司帶來未知的商業(yè)風險;3.不可以更改系統(tǒng)的默認設置和默認安裝程序;7、工作及生活中的信息安全37

對外工作溝通交流中的信息安全風險管理1.不可以隨意向外部人員透露自己工作中所使用的軟件;2.對客戶信息、工藝數(shù)據(jù)、材料數(shù)據(jù)、公司的財務信息、公司未來重大計劃等重要數(shù)據(jù)，要注意保密；3.對自己的信息相關設備，如PC計算機、移動智能終端、IC卡等，注意密碼設置，不讓他人使用；7、工作及生活中的信息安全38

生活中的信息安全1.自己的信息設備不能隨意安裝不明來源的APP應用,可能帶來個人信息及資金的安全風險;2.個人社交、購物軟