《企业信息安全培训课件(管理层).ppt》由会员分享,可在线阅读,更多相关《企业信息安全培训课件(管理层).ppt(26页珍藏版)》请在三一办公上搜索。
1、企业信息安全,目录页,安全信息概述,一,企业信息安全作用,二,企业信息安全威胁因素,三,信息安全工作职责,四,五,如何保证企业信息安全,信息安全:保障计算机及相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机系统的安全。企业信息化:企业信息化是指企业广泛利用现代信息技术,充分开发和利用企业内部或外部的,企业可能得到和利用的,并与企业生产经营活动有关的各种信息,以便及时把握机会,做出决策,增进运行效率,从而提高企业竞争力水平和经济效益的过程。,一、信息安全概述,1,信息安全,2,企业信息化,3,企业信息化特征,4,企业信息化内容,保密性:
2、确保信息没有非授权的泄漏,不被非授权的个人、组织和计算机程序使用完整性:确保信息没有遭到篡改和破坏可用性:确保拥有授权的用户或程序可以及时、正常使用信息,一、信息安全概述,1,信息安全,2,企业信息化,3,企业信息化特征,4,企业信息化内容,一、信息安全概述,1,信息安全,2,企业信息化,3,企业信息化特征,4,企业信息化内容,保密性!,不该知道的人,不让他知道!,完整性!,信息不能追求残缺美!,可用性!,信息要方便、快捷!不能像某国首都二环早高峰,也不能像春运的火车站,实体安全:是保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。实际上,
3、实体安全是指环境安全、设备安全和媒体安全。运行安全:是为了保障系统功能的安全实现,提供的一套安全措施来保护信息处理过程的安全。为了保障系统功能的安全,可以采取风险分析、审计跟踪、备份与恢复、应急处理等措施。信息资产安全:是防止信息资产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制,即确保信息的完整性、可用性、保密性和可控性。信息资产包括文件、数据等。信息资产安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别等。人员安全:主要是指信息系统使用人员的安全意识、法律意识、安全技能等。人员的安全意识是与其所掌握的安全技能有关,而安全技能又与其所接受安全技能
4、培训有关。因此,人员的安全意识是通过培训,以及安全技能的积累才能逐步提高,人员安全在特定环境下、特定时间内是一定的。,一、信息安全概述,1,信息安全,2,企业信息化,3,企业信息化特征,4,企业信息化内容,围绕企业使命,一、信息安全概述,1,信息安全,2,企业信息化,3,企业信息化特征,4,企业信息化内容,围绕作用关系,1、提高企业经营管理信息的准确性和及时性,有助于企业决策的进一步科学化。2、促使企业业务办事程序和管理程序更加合理,从而有助于增强企业的快速反应能力。3、进一步促进企业资源的合理组合及利用,使其在现有资源条件下达到最佳利用效果,从而大大提高企业的生产经营效率和管理效率。4、给企
5、业提供一个的强大、快捷的信息交流平台,有助于我们紧紧跟踪一些先进经验和成果,从而有助企业的发展,提高员工的创新能力。,二、企业信息安全作用,互联网时代,2010年1-2月,基础电信企业互联网宽带接入用户净增359.3万户,达到10681.8万户 1-4月,我国生产生产手机23290万部,增长34.5%;微型计算机7112万台,增长50.1%,其中笔记本电脑增长50.6%;集成电路190亿块,增长78.5%1-4月,我国累计实现软件业务收入3626亿元,同比增长28.7%。信息技术增值服务收入同比增长38.1%。集成电路设计开发收入228亿元,同比增长63%。软件产品、系统集成和支持服务、信息技
6、术咨询和管理服务、嵌入式系统软件、分别实现1333、728、320和638亿元,分别增长27%、25.1%、26.3%、23%。,我国信息化迅猛发展的数据,体现?,1、安全保障体系建设的主要贡献者.-安全保障体系的设计与构建;包含:技术体系和管理体系。-安全合规基线的解读及实现策略的设定。-安全培训、宣导系统的建设。2、安全保障体系运行状况的检查者.-安全管理、技术举措的执行效果-安全管理、技术举措的适用度-安全体系PDCA的状态-安全巡检工作开展-安全事件的事后审势3、安全合规、事件处置的支持者.-生产运行活动-商业行为活动-安全事件的响应-安全合规、整改活动,三、企业信息安全工作人员职责,
7、四、企业信息安全威胁因素,1,系统因素,2,自然因素破坏,3,人为因素,四、企业信息安全威胁因素,1,系统因素,2,自然因素破坏,3,人为因素,1、系统的繁杂性。体现:工作站中存在信息数据、移动介质、网络中其他系统、网络中其他资源、访问Internet、访问其他局域网、到Internet的其他路由、电话和调制解调器、开放的网络端口、远程用户、厂商和合同方的访问、访问外部资源、公共信息服务、运行维护环境2、系统、程序、设备中存在的漏洞和缺陷体现:旧版本的浏览器和易受攻击的插件、包含不良内容的好网站、移动应用程序和不安全的Web、不安全的“物联网”,四、企业信息安全威胁因素,1,系统因素,2,自然
8、因素破坏,3,人为因素,自然因素的破坏是一种不可抵抗的破坏力,只能做好预防方针,防患于未然。,自然灾害,火灾,雷电,洪水,台风,四、企业信息安全威胁因素,1,系统因素,2,自然因素破坏,3,人为因素,人是最关键的因素判断威胁来源,综合了人为因素和系统自身逻辑与物理上诸多因素在一起,归根结底,还是人起着决定性的作用 正是因为人在有意(攻击破坏)或无意(误操作、误配置)间的活动,才给信息系统安全带来了隐患和威胁,四、企业信息安全威胁因素,1,系统因素,2,自然因素破坏,3,人为因素,黑客等企业外部人员的威胁了解一些黑客攻击手段很有必要踩点:千方百计搜集信息,明确攻击目标扫描:通过网络,用工具来找到
9、目标系统的漏洞DoS攻击:拒绝服务,是一种破坏性攻击,目的是使资源不可用DDoS攻击:是DoS的延伸,更大规模,多点对一点实施攻击渗透攻击:利用攻击软件,远程得到目标系统的访问权或控制权远程控制:利用安装的后门来实施隐蔽而方便的控制网络蠕虫:一种自动扩散的恶意代码,就像一个不受控的黑客,出生于1964年 15岁入侵北美空军防务指挥系统,窃取核弹机密 入侵太平洋电话公司的通信网络 入侵联邦调查局电脑网络,戏弄调查人员 16岁被捕,但旋即获释 入侵摩托罗拉、Novell、Sun、Nokia等大公司 与联邦调查局玩猫捉老鼠的游戏 1995年被抓获,被判5年监禁 获释后禁止接触电子物品,禁止从事计算机
10、行业,世界头号黑客 Kevin Mitnick,四、企业信息安全威胁因素,1,系统因素,2,自然因素破坏,3,人为因素,威胁更多是来自公司内部黑客虽然可怕,可更多时候,内部人员威胁却更易被忽略,但却更容易造成危害。管理弱点:策略、程序、规章制度、人员意识、组织结构等的不足 据权威部门统计,内部人员犯罪(或与内部人员有关的犯罪)占到了计算机犯罪总量的70%以上。,员工误操作,蓄意破坏,公司资源私用,将口令写在便签上,贴在电脑监视器旁开着电脑离开,就像离开家却忘记关灯那样轻易相信来自陌生人的邮件,好奇打开邮件附件使用容易猜测的口令,或者根本不设口令丢失笔记本电脑不能保守秘密,口无遮拦,上当受骗,泄
11、漏敏感信息随便拨号上网,或者随意将无关设备连入公司网络事不关己,高高挂起,不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁,忽视企业内部人员的问题,人最常犯的一些信息安全错误,五、如何保证企业信息安全,1,培养员工安全意识,2,制定企业信息安全管理制度,外因是条件 内因才是根本!,一个巴掌拍不响!,提高人员安全意识和素质势在必行!,五、如何保证企业信息安全,1,培养员工安全意识,2,制定企业信息安全管理制度,2慎重打开不明邮件。好奇心过强,对于系统提示为垃圾邮件、钓鱼邮件的内容充满好奇心,点开之后会导致一些病毒等侵入系统,导致信息泄露。,垃圾邮件,钓鱼邮件,五、如何保证企业信息
12、安全,1,培养员工安全意识,2,制定企业信息安全管理制度,个人计算机信息安全防护,口令,防病毒软件,补丁管理,帐户管理,移动存储设备管理,共享、网络安全,软件更新、配置,日志、审核,服务管理,3、熟悉电脑保护知识。了解电脑密码、病毒处理等方法,减少信息泄露。,五、如何保证企业信息安全,1,培养员工安全意识,2,制定企业信息安全管理制度,1、明确信息安全责任,健全信息安全事故调查机制。建立安全组织与落实责任是实施信息安全管理的第一步。,谁主管谁负责,谁运营谁负责!,五、如何保证企业信息安全,1,培养员工安全意识,2,制定企业信息安全管理制度,2、宣传公司信息安全奖惩制度,鼓动员工维护信息安全的积极性。根据(集团)信息安全奖惩管理规定第23条规定:安全奖励事件对应三类奖惩级别,从贡献程度由高到低分为:一级奖励、二级奖励、三级奖励。分别对应奖励金额:3000元、2000员、1000元。根据(集团)信息安全奖惩管理规定第27条规定:根据违规事实的性质和情节,分别予以口头警告、书面警告、通报批评及解除劳动合同的处分,同时本集团有权作出罚款、降薪、降职、调岗等处罚规定。,案例1,案例2,谢 谢,企业信息安全,
