《信息安全意识培训v1.2》由会员分享,可在线阅读,更多相关《信息安全意识培训v1.2(44页珍藏版)》请在金锄头文库上搜索。
1、从密码说起 l我的密码? l是的,我知道你的密码。 一个小调查 假设我们现在三个网站上进行注册,分别是微博、论坛和邮箱,请问你们会用什么样的 用户名,什么样的密码进行设置? 我们被平均了吗? By:某权威机构统计 一个小问题 你是否有过丢手机或者丢身份证的经历? 你知道这些有什么后果吗? 看看我们的互联网 再看看我们身边的信息安全 p 曾经有外来人员,直接进入办公环境,在无人随同的情况下,自己找到空位,将笔记本电 脑随意接入到公司网络,致使网络感染病毒 p 办公室所有人都去吃午饭,但门窗却大开 p 开着电脑没有锁屏就离开,就像离开家却忘记关灯那样 p 轻易相信来自陌生人的邮件,好奇打开邮件附件
2、 p 使用容易猜测的口令,或者根本不设口令 p 随便利用3GWifi在办公环境上互联网,或者随意将无关设备连入公司网络 p 在系统更新和安装补丁上总是行动迟缓 p 办公电脑上没有安装任何的防病毒软件 从从身边身边做起做起 良好良好的的信息信息安全安全习惯习惯 目录 个人电脑安全防范 安全行为准则 移动介质安全 电子邮件安全 数据信息安全 工作环境安全 基础设施安全 开发运维安全 你的电脑安全吗 个人电脑安全防范如何应对 控制策略 p 系统补丁要及时安装 p 只安装规定的应用软件 p 从官方指定网站下载应用软件和补丁 p 不私自接入互联网,不随意修改网络配置 p 安装杀毒软件,定期进行病毒查杀,
3、至少每月一次全盘扫描 p 安装桌面终端管理软件,严禁卸载 p 严禁通过网络进行任何黑客活动和性质类似的破坏活动 p 遵守国家有关法律、法规,不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动 ,不得制作、浏览、复制、传播反动及黄色信息,不得在网络上发布反动、非法和虚假的消 息,不得在网络上漫骂攻击他人,不得在网上泄露他人隐私 打开360安全卫士点击立即体检一键修复有必要的时候需要重启 个人电脑安全安全防范360的使用 个人电脑安全安全防范安装应用程序 p 推荐每台工作用计算机的基本应用程序,利用如下方法进行源程序的下载 p 推荐每台工作用计算机需要下载的应用程序至官方网站下载 常用地址:
4、 个人电脑安全安全防范病毒查杀 推荐使用全盘扫描模式功能大全无经验慎用! 个人电脑安全防范一些细节问题 p 尽量不通过移动介质共享文件 p 防病毒软件与病毒库必须持续更新 p 不要接收与打开从E-mail或(QQ、MSN等)中传来的不明附件 p 不要点击他人发送的不明链接,也不登录不明网站 p 感染病毒的计算机必须从网络中隔离(拨除连接的网线)直至清除病毒 p 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度 p . p 仅此就够了么 信息安全和我们每个人都息息相关 提高自己的安全意识才能走在路上 目录 个人电脑安全防范 安全行为准则 移动介质安全 电子邮件安全 数据信息安全 工
5、作环境安全 基础设施安全 开发运维安全 安全行为准则密码安全 为什么它是第一个安全行为准则? p 帐户+口令是最简单也最常用的身份认证方式 p 口令是抵御攻击的第一道防线,防止冒名顶替 p 口令也是抵御网络攻击的最后一道防线 p 由于使用不当,往往使口令成为最薄弱的安全环节 p 口令与个人隐私息息相关,必须慎重保护 如果他们的莫 斯密码被敌人 破译,后果. 安全行为准则密码安全 控制策略 p 定期更改口令,至少每3个月改一次 p 防止忘记口令的有效方法密码便签 p 不要使用软件的“记住密码”功能 p 离开座位时,要锁定或关闭计算机win+L p 不要泄露口令,不能将口令、ID或其他账户信息以明
6、文保存在移动介质上 口令至少应该由 8个字符组成 口令应包含大小 写字母 口令应包含数 字、特殊字符 不要使用字典 中的单词 不要基于人的 姓名、生日 安全行为准则浏览行为安全 真 假 安全行为准则浏览行为安全 防范策略 p看域名 p只有一个词慎重 安全防不胜防 p不要登入可疑网站,不要打开或滥发邮件中不可信赖来源或电邮所载的URL链接,以免被 看似合法的恶意链接转往恶意网站 p不建议从搜索引擎的结果连接到银行或其他金融机构的网址 p打开邮件附件时要提高警惕,不要打开扩展名为“pif”,“exe”, “bat”, .vbs的附件 p避免在咖啡室、图书馆、网吧等场所的公用计算机进行网上银行或财务
7、查询交易。这些 公用计算机可能装有入侵工具或特洛伊程序 p在进行网上银行或财务查询交易时,不要使用浏览器从事其他网上活动或连接其他网址 。在完成交易后,切记要打印或备存交易记录或确认通知,以供日后查核。不要保存帐号 和密码 p不要通过电子方式给任何机构和个人提供敏感的个人或账户资料 p确保电脑采用最新的补丁和病毒库,以减低欺诈电邮或网站利用软件漏洞的机会 安全行为准则浏览行为安全 p 上网浏览时尽量访问熟悉的或者信誉知名度等较高的网站 p 小心识别虚假网站-钓鱼 p 不要随意公开您的个人资料 p IE浏览器中安全等级设置至少为中级 p 推荐使用google浏览器 安全行为准则浏览配置安全 安全
8、行为准则浏览配置安全 打开IE浏览器点击工具Internet explore选项安全受信任的站点站 点,将对该区域中所有站点要求服务器验证(https:)前的勾去掉,点击确定。 点击自定义级别,除使用弹出窗口组织程序为禁用,将内部所有选项全都改为启用,点击确定。 点击上方的隐私按钮,将下方的组织弹出窗口前的勾去掉,点击确定。 安全行为准则浏览配置安全 每天下班前或者关机前可以清除一次,最好全部选择 安全行为准则浏览配置安全 目录 个人电脑安全防范 安全行为准则 移动介质安全 电子邮件安全 数据信息安全 工作环境安全 基础设施安全 开发运维安全 移动介质安全 手机 光盘 移动硬盘 U盘 IPAD
9、 工作使用个人使用MATCH 不安全的因素 移动介质包含U盘、移动硬盘、手机、ipad等存储或者移动设备 由于这些设备经常被多个电脑使用,所有病毒设计者就利用这点进行小范围传播。 移动介质安全 流氓练武术 谁能挡得住 移动介质安全 控制策略 p 移动介质内临时存储的敏感数据应及时清除。 p 只能在安装有防病毒软件的机器上,使用移动介质,并注意查杀病毒。 p 不要在移动终端上访问未经确认的网站。 p 不要在移动终端上下载评论不高的APP p 不要在移动终端上接收任何文件 p 不要将移动终端随意接入不可以的无线网络 我们需要达到的安全目标 p 防止通过移动介质泄露、篡改或损毁电子信息。 p 防止通
10、过移动介质传播病毒,泄露信息。 目录 个人电脑安全防范 安全行为准则 移动介质安全 电子邮件安全 数据信息安全 工作环境安全 基础设施安全 开发运维安全 电子邮件安全 控制策略 p 电子邮件在下载完附件后,切莫急于打开,必须查杀病毒。 p 不要轻易相信电子邮件里有关中奖信息及URL链接。 p 如同物理邮件可以被假冒,电子邮件也可以被假冒。如果收到可疑的电子邮件,不要 打开,以免感染病毒。 p 电子邮件帐户的口令不要过于简单。 电子邮件安全 目录 个人电脑安全防范 安全行为准则 移动介质安全 电子邮件安全 数据信息安全 工作环境安全 基础设施安全 开发运维安全 数据信息泄露 p 敏感文件泄漏事件
11、包括账号密码、源代码、客户信息、个人隐私等 p 泄露风险主要与个人日常生活、工作中的不良行为直接相关 数据信息安全 控制策略 p 使用白板后应立即擦除上面的机密信息 p 严禁共享自己的账号或使用别人的账号访问非授权的信息资产 p 敏感的数据一定要脱密使用 p 打印含敏感信息的文档,打印人必须立即取走打印件 p 必须使用碎纸机销毁纸质的严密和机密信息 p 机密的电子信息应使用加密存储 p 重要信息系统应支持全备份、差量备份和增量备份,备份介质 应专门存放 p 备份信息应实施测试以验证备份效率和效力 p 数据的销毁: p 数据信息安全的保密承诺! 目录 个人电脑安全防范 安全行为准则 移动介质安全
12、 电子邮件安全 数据信息安全 工作环境安全 基础设施安全 开发运维安全 基础设施安全 基础设施安全 控制策略 p 第一策略:定期巡检,重点查看机房温度、湿度、通信链路和 设备的运行状态 p 设置合理的安全区域,加强机房准入、监控及消防管理 p 明确定义资产属性,保持机房干净整齐 p UPS定期进行放电、充电测试;发电机定期进行发电测试 p 编写操作规范,保留过程记录 我 是 害 虫 目录 个人电脑安全防范 安全行为准则 移动介质安全 电子邮件安全 数据信息安全 工作环境安全 基础设施安全 开发运维安全 开发运维安全 By:商业银行系想你科技风险管理指引要求 开发运维安全 开发控制策略 p 安全
13、是设计出来的,尽早设计合理的控制措施,安全成本就越低 p 文档的规范性 p 代码编写的规范性,如代码缩进、命名、文件结构、注释风格等,提高代码编写质量和可读性 p 功能测试和非功能性测试并重 p 加强版本控制与管理(开发库、受控库、产品库) p 开发权限控制 运维控制策略 p 巡检和持续监控,对系统线上运行状况了如指掌 p 遵守流程,线上操作无小事 p 风险意识,一切操作均可能失败,尽可能准备应急预案 p 注意日常操作材料的整理与收集,变更方案和变更申请单应集中管理,确保变更有迹可循 p 定期更改密码 p 长假期间(非常时期),你的运维控制措施有效吗? p 注重总结:你会在同一个水沟前跌倒两次
14、吗? 目录 个人电脑安全防范 安全行为准则 移动介质安全 电子邮件安全 数据信息安全 工作环境安全 基础设施安全 开发运维安全 工作环境安全 p 应主动防止陌生人尾随进入办公区域 p 遇到陌生人,要上前主动询问 p 禁止随意放置或丢弃含有敏感信息的纸质文件 p 离开座位时,应将贵重物品、含有机密信息的资料锁入柜中,并对使用的电脑桌面进行锁屏 p 应将复印或打印的资料及时取走 p 禁止在公共场合谈论公司信息 工作环境安全 p 与公司以外的人面谈时,请到指定的安全区域内进行,禁止随意带入办公区域 p 快递人员的接待必须在前台接待区内进行 p 访客须经过登记,并由公司内部联系人陪同方可进入工作区,并全程陪同直至送出工作 区域 p 访客携带的电子设备及记忆体未经许可,禁止在工作区域使用 工作环境安全 p 禁止将公司电脑借给公司以外的人使用 p 在家或异地办公时应注意笔记本电脑的安全,请注意笔记本电脑的物理安全,防止偷 盗,并注意周围否有可疑人员窃取信息 提问阶段 Q&A 谢谢!
