《员工信息安全意识培训课件.pptx》由会员分享,可在线阅读,更多相关《员工信息安全意识培训课件.pptx(20页珍藏版)》请在三一办公上搜索。
1、员工信息安全意识培训,主要内容,1、什么是信息安全?2、信息安全与我的关系?3、如何实现信息安全?4、如何做到信息安全?5、信息安全管理制度和法律法规!,什么是信息安全?,什么是信息?有意义的内容对企业具有价值的信息,称为信息资产;对企业正常发展具有影响作用,敏感信息,不论是否属于有用信息。,什么是信息安全?,信息安全的3要素:保密性、完整性、可用性,目标:采取合适的信息安全措施,使安全事件对业务造成的影响降低最小,保障组织内业务运行的连续性。,信息安全与我的关系?,常见威胁:窃取、截取、伪造、篡改、拒绝服务攻击、非授权访问、传播病毒等;主要的信息安全威胁 窃取:非法用户通过数据窃听的手段获得
2、敏感信息。截取:非法用户首先获得信息,再将此信息发送给真实接收者。伪造:将伪造的信息发送给接收者。篡改:非法用户对合法用户之间的通讯信息进行修改,再发送给接收者。拒绝服务攻击:攻击服务系统,造成系统瘫痪,阻止合法用户获得服务。非授权访问:未经系统授权而使用网络或计算机资源。传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。威胁来源:自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;黑客 行为;内部泄密;外部泄密;信息丢失;网络协议自身缺陷缺陷,例如TCP/IP协议的安全问题等等。,信息安全与我的关系?,某防病毒厂商2014年第一季度信息安全威胁报告:在全球
3、不同国家,共计发生427,598,028次恶意程序试图感染用户计算机的行为,同上一季度相比,总体增长36.8%;网络罪犯所采取的攻击策略有所改变;互联网上占统治的地位的恶意软件家族主要针对HTML代码或脚本,网络罪犯主要用此类家族的恶意软件感染合法网站;共发现519,674,973个包含恶意程序的主机服务器。同上季度相比,新发现和确认的漏洞数量增长了6.9%;漏洞利用程序增长了31.3%。几乎任何能够同计算机进行同步的设备都会被网络罪犯用来充当恶意软件的载体。,以企业为目标的攻击威胁数字上升;攻击工具的普及使网路罪行较以往变得更轻易;基于网站的攻击有增无减;针对个人身份资讯的安全威胁持续增长。
4、垃圾邮件持续泛滥;信息安全就在我们身边!信息安全需要我们每个人的参与!你该怎么办?,如何实现信息安全?,如何实现信息安全?,如何实现信息安全?,物理安全计算机使用的安全网络访问的安全社会工程学病毒和恶意代码账号安全电子邮件安全重要信息的保密应急响应,文件分类分级使用过的重要文件及时销毁,不要扔在废纸篓里,也不要重复利用不在电话中说工作敏感信息,电话回叫要确认身份不随意下载安装软件,防止恶意程序、病毒及后门等黑客程序前来拜访的外来人员不得进入机房、不得私有设备接入网络加强对移动计算机的安全保护,防止丢失;重要文件做好备份,如何实现信息安全?,防范社会工程学攻击社会工程学是一种通过对受害者心理弱点
5、、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法.步骤:信息收集信任建立反追查典型攻击方式:环境渗透、身份伪造、冒名电话、信件伪造等如何防范?,如何实现信息安全?,如何防范?仔细身份审核;(多重身份认证、来电显示确认、电话回拨、EMAIL签名、动态密码验证等)严格执行操作流程审核;完善日志审计记录;完善应对措施,及时上报;注重保护个人隐私;不要把任何个人和公司内部信息或是识别标识告诉他人,除非你听出她或他的声音是熟人,并确认对方有这些信息的知情权。无论什么时候在接受一个陌生人询问时,首先要礼貌的拒绝,直到确认对方身份。,2011年10月5日,定西临洮县太
6、石镇邮政储蓄所的营业电脑突然死机 工作人员以为是一般的故障,对电脑进行了简单的修复和重装处理 17日,工作人员发现打印出的报表储蓄余额与实际不符,对账发现,13日发生了11笔交易,83.5万异地帐户是虚存(有交易记录但无实际现金)紧急与开户行联系,发现存款已从兰州、西安等地被取走大半 储蓄所向县公安局报案 公安局向定西公安处汇报 公安处成立专案组,同时向省公安厅上报 临洮县太石镇的邮政储蓄网点使用原始密码,没有定期更改,而且被员工周知,致使张某轻松突破数道密码关,直接进入了操作系统 问题出现时,工作人员以为是网络系统故障,没有足够重视,看来,问题真的不少呀,总结教训,最直接的教训:漠视口令安全
7、带来恶果!归根到底,是管理上存在漏洞,人员安全意识淡薄,安全意识的提高刻不容缓!,2003年3月,严父在家中安装开通“股神通”业务,进行即时股票交易。2003年6月的一天,严某偶得其父一张股票交易单,上有9位数字的账号,遂动了“瞎猫碰死老鼠”的念头:该证券公司客户账号前6位数字是相同的,只需猜后3位;而6位密码,严某锁定为“123456”。严某”埋头苦干“,第一天连续输入了3000个数字组合,一无所获。第二天继续,很快”奇迹“出现,严某顺利进入一个股票账户。利用相同的方法,严某又先后侵入了10余个股票账户。严某利用别人的账户,十几天里共买进卖出1000多万元股票,损失超过14万元,直到6月10
8、日案发。严某被以破坏计算机信息系统罪依法逮捕。,事情是这样的,16,总结教训,又是口令安全的问题!又是人的安全意识问题!,再次强调安全意识的重要性!,如何做到信息安全,原则上外来设备不允许接入公司内部网络,如有业务需要,需申请审批通过后方可使用。外来设备包括外部人员带到公司的笔记本电脑、演示机、测试机等。公司内计算机严格限制使用包括移动硬盘、U盘、MP3、带存储卡的设备等的移动存储设备,除工作必须要长期使用移动存储的可申请开通外,公司内的计算机禁止使用移动存储设备。公司内严禁使用盗版软件和破解工具,如有工作需要,应通过公司采购正版软件或使用免费软件不经批准,严禁在公司内部架设FTP,DHCP,
9、DNS等服务器测试用机未经批准,严禁转移到公司办公网络、或将办公电脑转移到测试外网使用。测试规定任何部门和个人不得私自将包括HUB、交换机、路由器等的网络设备接入公司网络中。原则上不得使用网络共享,如因工作原因需要使用的,必须遵循最小化授权原则,删除给所有人(everyone)的共享权限,只共享给需要访问的人员,并且在使用后立即关闭。发现中毒后要断开网络,并及时报告IT人员,等待IT人员来处理。,如何做到信息安全,严禁使用扫描工具对网络进行扫描和在网络使用黑客工具不得以任何方式将公司信息(包括网络拓扑、IP地址、安全策略、帐号,口令等)告知不相关的人员内部计算机的操作系统、IIS,数据库、FT
10、P以及所有企业应用(如电子邮件系统、即时通讯工具等)中,必须设置用户口令,严禁使用空口令、弱口令或缺省口令。一经发现将被行政处罚。口令长度应在8个字符以上,还应包括大小写字母,特殊符号和数字。口令应该在一个月内更换,重要的和使用频繁的口令视情况缩短更改周期。不允许使用前3次用过的口令。严禁卸载或关闭安全防护软件和防病毒软件,如有系统补丁必须及时安装。离开电脑要锁屏。,信息安全管理制度和法律法规,系统保护中华人民共和国计算机信息系统安全保护条例计算机信息网络国际联网安全保护管理办法安全产品商用密码管理条例国家秘密中华人民共和国保守国家秘密法计算机信息系统国际联网保密管理规定知识产权中华人民共和国著作权法最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释计算机软件保护条例中华人民共和国专利法计算机犯罪中华人民共和国刑法(摘录)网络犯罪的法律问题研究电子证据中华人民共和国电子签名法电子认证服务管理办法,请大家共同提高信息安全意识,从我做起!,
