《信息安全意识培训.ppt》由会员分享,可在线阅读,更多相关《信息安全意识培训.ppt(65页珍藏版)》请在三一办公上搜索。
1、1,信息安全意识培训,2,什么是信息安全?,信息安全基本概念,主要内容,如何保护好信息安全,3,装有100万的 保险箱,需要 3个悍匪、,公司损失:100万,装有客户信息的 电脑,只要 1个商业间谍、,1个U盘,就能偷走。,公司损失:所有客户!,4,什么是信息安全?,不止有产品、技术才是信息安全,5,信息安全无处不在,广义上讲 领域 涉及到信息的保密性,完整性,可用性,真实性,可控性的相关技术和理论。本质上保护 系统的硬件,软件,数据防止 系统和数据遭受破坏,更改,泄露保证 系统连续可靠正常地运行,服务不中断两个层面技术层面 防止外部用户的非法入侵管理层面 内部员工的教育和管理,6,信息安全的
2、定义,7,信息安全基本目标,保密性,完整性,可用性,CIA,一个软件公司的老总,等他所有的员工下班之后,他在那里想:我的企业到底值多少钱呢?假如它的企业市值1亿,那么此时此刻,他的企业就值2600万。因为据Delphi公司统计,公司价值的26%体现在固定资产和一些文档上,而高达42%的价值是存储在员工的脑子里,而这些信息的保护没有任何一款产品可以做得到,所以需要我们建立信息安全管理体系,也就是常说的ISMS(information security management system)!,8,怎样搞好信息安全?,9,绝对的安全是不存在的,绝对的零风险是不存在的,要想实现零风险,也是不现实的;计
3、算机系统的安全性越高,其可用性越低,需要付出的成本也就越大,一般来说,需要在安全性和可用性,以及安全性和成本投入之间做一种平衡。,在计算机安全领域有一句格言:“真正安全的计算机是拔下网线,断掉电源,放置在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。”显然,这样的计算机是无法使用的。,信息安全事件,网友总结的2013年十大信息安全事件,支付宝转账信息被谷歌抓取,直接搜索“site:”就能搜到转账信息,数量超过2000条。,13,这样的事情还有很多,信 息 安 全迫 在 眉 睫!,从身边做起,良好的安全习惯,15,重要信息的保密,重要信息的保密工作环境及物理安全要求防范病毒和恶意
4、代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学,16,Public公开,Internal Use内部公开,Confidencial秘密,Secret机密、绝密,信息保密级别划分,17,各类信息,无论电子还是纸质,在标注、授权、访问、存储、拷贝、传真、内部和外部分发(包括第三方转交)、传输、处理等各个环节,都应该遵守既定策略 信息分类管理程序只约定要求和原则,具体控制和实现方式,由信息属主或相关部门确定,以遵守最佳实践和法律法规为参照 凡违反程序规定的行为,酌情予以纪律处分案例视频,信息处理与保护,18,工作环境及物理安全,重要信息的保密工作
5、环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学,19,禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎纸机粉碎 废弃或待修磁介质转交他人时应经IT专业管理部门消磁处理在复印机复印完成后,带走全部的复印材料等等,工作环境安全,20,注意你的身边!注意最细微的地方!,21,您肯定用过银行的ATM机,您插入银行卡,然后输入密码,然后取钱,然后拔卡,然后离开,您也许注意到您的旁边没有别人,您很小心,可是,您真的足够小心吗?,我们来看一个案例,22,23,24,25,26,WIFI安全,WiFi是一种短程无线传
6、输技术,能够在数百英尺范围内支持互联网接入的无线电信号。随着技术的发展,以及IEEE802.11a、802.11b、802.11g以及802.11n等标准的出现,现在IEEE802.11这个标准已被统称作WiFi。第二次世界大战后,无线通讯因在军事上应用的成功而受到重视,但缺乏广泛的通讯标准。于是,IEEE(美国电气和电子工程师协会)在1997年为无线局域网制定了第一个标准IEEE802.11。IEEE 802.11标准最初主要用于解决办公室局域网和校园网中用户的无线接入,其业务主要限于数据存取,速率最高只能达到2Mbps。在WiFi技术的发展过程中,除了传输速率不断提升之外,安全加密技术的不
7、断增强也是其技术标准频繁更新的重要原因。而最早进入WiFi标准的加密技术名为WEP(Wired Equivalent Privacy,有线等效保密),但由于该技术的加密功能过于脆弱,很快就被2003年和2004年推出的WPA(WiFi Protected Access,WiFi网络安全存取)和WPA2技术所取代。,WIFI安全,但即使是较新的WPA2加密技术,仍然在无线开放环境下存在安全性较弱、无法满足电信级高可靠性要求等问题,为此,我国依据“商用密码管理条例”制定了针对WiFi既有安全加密技术漏洞自主安全标准WAPI(Wireless LAN Authentication and Priva
8、cy Infrastructure,无线网络鉴别保密基础结构)。2009年6月,工信部发布新政,宣布加装WAPI功能的手机可入网检测并获进网许可。当月,包括美国代表在内的参会成员一致同意,将WAPI作为无线局域网络接入安全机制独立标准形式推进为国际标准。WIFI安全视频,29,病毒与恶意代码,重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学,30,中华人民共和国计算机信息系统安全保护条例,“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一
9、组计算机指令或者程序代码。”,什么是计算机病毒,31,病毒 Virus,蠕虫 Worm,木马 Trojan,传统的计算机病毒,具有自我繁殖能力,寄生于其他可执行程序中的,通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染,网络蠕虫不需借助其他可执行程序就能独立存在并运行,通常利用网络中某些主机存在的漏洞来感染和扩散,特洛伊木马是一种传统的后门程序,它可以冒充正常程序,截取敏感信息,或进行其他非法的操作,病毒 蠕虫 木马,32,所有计算机必须部署指定的防病毒软件 防病毒软件必须持续更新 感染病毒的计算机必须从网络中隔离直至清除病毒 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理
10、制度 发生任何病毒传播事件,相关人员应及时向IT管理部门汇报 仅此就够了么,恶意代码防范策略,33,除了蠕虫、病毒、木马等恶意代码,其他恶意代码还包括逻辑炸弹、远程控制后门等 现在,传统的计算机病毒日益与网络蠕虫结合,发展成威力更为强大的混合型蠕虫病毒,传播途径更加多样化(网络、邮件、网页、局域网等)通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木马程序,但并不能防止未知病毒,需要经常更新,让我们继续,下载文件注意防范“李鬼”,37,口令安全,重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学,3
11、8,用户名+口令是最简单也最常用的身份认证方式 口令是抵御攻击的第一道防线,防止冒名顶替 口令也是抵御网络攻击的最后一道防线 针对口令的攻击简便易行,口令破解快速有效 由于使用不当,往往使口令成为最薄弱的安全环节 口令与个人隐私息息相关,必须慎重保护,为什么口令很重要,39,如果你以请一顿工作餐来作为交换,有70的人乐意告诉你他(她)的机器口令 有34的人,甚至不需要贿赂,就可奉献自己的口令 另据调查,有79的人,在被提问时,会无意间泄漏足以被用来窃取其身份的信息 平均每人要记住四个口令,95都习惯使用相同的口令(在很多需要口令的地方)33的人选择将口令写下来,然后放到抽屉或夹到文件里,一些数
12、字,40,少于8个字符 单一的字符类型,例如只用小写字母,或只用数字 用户名与口令相同 最常被人使用的弱口令:自己、家人、朋友、亲戚、宠物的名字 生日、结婚纪念日、电话号码等个人信息 工作中用到的专业术语,职业特征 字典中包含的单词,或者只在单词后加简单的后缀 所有系统都使用相同的口令 案例视频 口令一直不变,脆弱的口令,41,口令是越长越好 但“选用20个随机字符作为口令”的建议也不可取 人们总习惯选择容易记忆的口令 如果口令难记,可能会被写下来,这样反倒更不安全,值得注意的,42,口令至少应该由8个字符组成 口令应该是大小写字母、数字、特殊字符的混合体 不要使用名字、生日等个人信息和字典单
13、词 选择易记强口令的几个窍门:口令短语 字符替换 单词误拼 键盘模式,建议,43,找到一个生僻但易记的短语或句子(可以摘自歌曲、书本或电影),然后创建它的缩写形式,其中包括大写字母和标点符号等。,口令设置,44,试着使用数字和特殊字符的组合 避免“qwerty”这样的直线,而使用Z字型或者多条短线 这种方法很容易被人看出来 键盘输入时不要让人看见,口令设置键盘模式,45,员工有责任记住自己的口令 账号在独立审计的前提下进行口令锁定、解锁和重置操作 初始口令设置不得为空 口令设置不得少于8个字符 口令应该包含特殊字符、数字和大小写字母 口令应该经常更改,设定口令最长有效期为不超出3个月 口令输入
14、错误限定5次,口令管理,46,电子邮件安全,重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学,47,据统计,有超过87的病毒是借助Email进入企业的对于下列标题的邮件,选择打开阅览的人数百分比:I LOVE YOU:37的人会打开邮件Great joke:54的人会打开邮件Message:46的人会打开邮件Special offer:39的人会打开邮件,Email数字,48,不当使用Email可能导致法律风险禁止发送或转发反动或非法的邮件内容未经发送人许可,不得转发接收到的邮件不得伪造虚假邮
15、件,不得使用他人账号发送邮件未经许可,不得将属于他人邮件的消息内容拷贝转发与业务相关的Email应在文件服务器上做妥善备份,专人负责检查包含客户信息的Email应转发主管做备份个人用途的Email不应干扰工作,并且遵守本策略避免通过Email发送机密信息,如果需要,应采取必要的加密保护措施,Email安全,49,如果同样的内容可以用普通文本正文,就不要用附件尽量不要发送.doc,.xls等可能带有宏病毒的文件发送不安全的文件之前,先进行病毒扫描不要参与所谓的邮件接龙尽早安装系统补丁,防止自己的系统成为恶意者的跳板,发送邮件注意,50,不安全的文件类型:绝对不要打开任何以下文件类型的邮件附件:.
16、bat,.com,.exe,.vbs未知的文件类型:绝对不要打开任何未知文件类型的邮件附件,包括邮件内容中到未知文件类型的链接微软文件类型:如果要打开微软文件类型(例如.doc,.xls,.ppt等)的邮件附件或者内部链接,务必先进行病毒扫描要求发送普通的文本:尽量要求对方发送普通的文本内容邮件,而不要发送HTML格式邮件,不要携带不安全类型的附件禁止邮件执行Html代码:禁止执行HTML内容中的代码防止垃圾邮件:通过设置邮件服务器的过滤,防止接受垃圾邮件尽早安装系统补丁:杜绝恶意代码利用系统漏洞而实施攻击,接收邮件注意,51,介质安全管理,重要信息的保密工作环境及物理安全要求防范病毒和恶意代
17、码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学,52,介质安全管理,创建,传递,销毁,存 储,使用,更改,介质销毁视频,信息科技相关文件,第一百五条涉密移动存储介质保密管理(一)涉密移动存储介质,是指用于存放秘密级、工作秘密级信息的U盘、移动硬盘、软盘、光盘、磁带、存储卡及其它具有存储功能的各类介质。(二)复制秘密或工作秘密级移动存储介质,要经本单位主管领导批准。对复制介质的密级、编号和复制的内容要履行严格的登记手续。(三)因工作需要,涉密移动存储介质带离办公场所需经使用部门负责人批准后方可带离第一百二十二条计算机病毒防范应采取以下措施:(三
18、)使用移动介质前应先进行杀毒处理,不复制、运行来历不明的文件或程序。,54,软件应用安全,重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学,55,尽量不要同时打开多个链接窗口当某个网站提出要将本网站设置为主页时,要取消操作当网页中弹出安装某个插件的对话框时,要取消安装,的确需要安装的,请与管理人员联系。定期清楚历史访问信息、cookies以及Internet临时文件禁止利用单位信息系统从事与工作无关的活动,如网上聊天、打游戏等禁止下载、上传、传播与工作无关的文件禁止在网络上运行任何黑客软件,应
19、用安全,56,计算机网络访问,重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学,57,访问控制基本原则:未经明确允许即为禁止访问 必须通过唯一注册的用户ID来控制用户对网络的访问 系统管理员必须确保用户访问基于最小特权原则而授权 用户必须根据要求使用口令并保守秘密 系统管理员必须对用户访问权限进行检查,防止滥用 系统管理员必须根据安全制度要求定义访问控制规则,用户必须遵守规则 各部门应按照管理规定制定并实施对业务应用系统、开发和测试系统的访问规则,计算机网络访问安全,58,移动计算与远程办公,
20、重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学,59,所有连接办公生产网络的笔记本电脑或其他移动计算机,必须按照指定PC安全标准来配置,必须符合补丁和防病毒管理规定 相关管理部门必须协助部署必要的笔记本电脑防信息泄漏措施 用户不能将口令、ID或其他账户信息以明文保存在移动介质上 笔记本电脑遗失应按照相应管理制度执行安全响应措施 敏感信息应加密保护 禁止在公共区域讨论敏感信息,或通过笔记本电脑泄漏信息,笔记本电脑与远程办公安全,智能手机安全,对移动设备的安全威胁,大致可以分为三大类物理威胁、操
21、作系统威胁和网络威胁。偷盗行为和看管疏忽是针对移动设备物理安全的最大威胁。容易发生设备遗失的场所主要包括:高等院校、汽车、图书馆、机场、宾馆和会议中心、办公室、医院。恶意代码是移动设备的最大威胁,这些恶意代码主要表现为病毒、僵尸程序和间谍软件或三者的混合体。病毒的主要作用是在用户不知道的情况下滥用网络,如拨打高收费电话或发送多媒体短信,以消耗用户的费用,套取非法收益。僵尸程序主要是作为黑客控制被攻陷系统的代理,攻击者可以用来发动拒绝服务攻击。间谍软件可以用获取系统上的机密信息。例如2006年9月,有人发现塞班操作系统上运行着一种称为A callano的间谍软件。这种问谍软件把所有收发的短信息导
22、向一个外部的号码。这样就会允许别人安装间谍软件监视受害人的短信流量。2006年4月,一款叫做Flexispy的商业软件上市。这款软件可以远程激活设备的麦克风监控电话内容。尽管这款软件的初衷是用来监控配偶或是不听话的孩子,但也可以作为公司的监听工具。它会在用户不知情的情况下,发送日志信息到中央服务器。黑客也可以藉此访问实体设备安装软件,读取机密的信息,从服务器上检查日志信息,并实施窃听。,智能手机安全,主要威胁传播途径(1)通过文本短信和多媒体短信传播(2)蓝牙(3)播放被精心修改过的多媒体文件(4)通过与PC机互联(5)安装未经安全检验的第三方应用程序,移动设备安全使用视频,62,警惕社会工程
23、学,重要信息的保密工作环境及物理安全要求防范病毒和恶意代码口令安全电子邮件安全介质安全管理软件应用安全计算机及网络访问安全移动计算与远程办公警惕社会工程学,63,Social Engneering 利用社会交往(通常是在伪装之下)从目标对象那里获取信息 例如:电话呼叫服务中心 在走廊里的聊天 冒充服务技术人员 著名黑客Kevin Mitnick更多是通过社会工程来渗透网络的,而不是高超的黑客技术,什么是社会工程学,人是最薄弱的环节!,64,不要轻易泄漏敏感信息,例如口令和账号 在相信任何人之前,先校验其真实的身份 不要违背公司的安全策略,哪怕是你的上司向你索取个人敏感信息(Kevin Mitnick最擅长的就是冒充一个很焦急的老板,利用一般人好心以及害怕上司的心理,向系统管理员索取口令)不要忘了,所谓的黑客,更多时候并不是技术多么出众,而是社会工程的能力比较强,社会工程学,社交网站个人泄密社交网站企业泄密,从一点一滴做起!,从自身做起!,
