《普通员工意识培训教材资料讲解》由会员分享,可在线阅读,更多相关《普通员工意识培训教材资料讲解(83页珍藏版)》请在金锄头文库上搜索。
1、全员安全意识培训,从别忘了关门的故事说起,不妨换个思维,商学院2005年第七期的一篇文章,别忘了关门,另眼看信息安全,信息安全除了是故事中的围栏之外, 还是那道千万别忘记关的门,还有 那颗别忘了关门的心 安全意识,安全意识(Security awareness) 就是能够认知可能存在的安全问题,明白安全事故对组织的危害,恪守正确的行为方式,并且清楚在安全事故发生时所应采取的措施。,什么是信息安全意识,议题,需要了解基本概念 公司的信息安全项目进行得怎样了? 全员应该具备安全知识和技能 对信息安全的容易误解的地方,6,理解和铺垫,基本概念,什么是信息?,8,2020/7/5,什么是信息?,什么是
2、信息安全?,C,保密性(Confidentiality) 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。,完整性(Integrity) 确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。,可用性(Availability) 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。,CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:,I,A,信息安全的三要素CIA,什么是信息安全?,信息安全的实质,采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露
3、,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。,11,嘿嘿,这顿美餐唾手可得,呜呜,可怜我手无缚鸡之力,威胁就像这只贪婪的猫,如果盘中美食暴露在外,遭受损失也就难免了,什么是ISO27001,ISO 27001目前世界上唯一的“信息安全管理标准”。 是建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,信息安全建设人员根据ISO17799:2005中的信息安全管理实施细则来建立ISMS。,ISO27001作用,缺少跨部门的信息安全协调机制;,13,2020/7/5,公司信息安全管理体系将各部
4、门联系起来,保护特定资产以及完成特定安全过程的职责还不明确;,对组织的关键信息资产进行全面系统的保护,维持竞争优势;,雇员信息安全意识薄弱,缺少防范意识;,强化员工的信息安全意识,规范组织信息安全行为;,一旦发生意外,难以保证生产经营尽快恢复,在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;,使组织的生意伙伴和客户对组织充满信心;,实施前,实施后,实施与保持完整的信息安全管理体系,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,就可以从根本上保证业务的连续性,实施ISO27001有哪些关键活动?,我们有哪些重要的资产需要
5、保护以及怎样保护? 清点资产,并分级和分类,识别关键资产 好钢用在刀刃上 这些资产面临怎样的风险呢? 黑客、病毒 数据丢失、系统宕机、网络中断等等 有哪些手段可以降低这些风险呢? 风险消减、风险规避、风险转移 以上都做好了,还有别的活动吗? 审计 纠正提高,议题,需要了解基本概念 公司的信息安全项目进行得怎样了? 全员应该具备安全知识和技能 对信息安全的容易误解的地方,15,项目整体概述,本项目采用Program管理模式 以解决NTT当前信息安全问题为总体目标 分为3个子项目执行 项目一为根据ISO 27001帮助NTT建立ISMS,以满足ISO 27001标准要求为目标; 项目二为网络优化和
6、技术控制实施,以解决实际的安全技术风险为目标; 项目三为配合项目二网络优化和技术控制实施的管理制度的制定、发布和执行,以满足已部署的技术控制措施的管理和运维要求为目标; 子项目相互独立,但又彼此衔接,为总体目标服务,16,整体项目计划,项目当前状态,需要我们做什么?,遵守与执行发布的所有的ISMS的方针、过程、规定; 向安全推进室报告您发现的存在安全风险与问题; 大胆的提出你对信息安全建设的建议和目前已发布的不合理的过程和规定; 温故信息安全知识,增强信息安全意识; 信息安全,从自己做起。,议题,需要了解基本概念 公司的信息安全项目进行得怎样了? 全员应该具备安全知识和技能 对信息安全的容易误
7、解的地方,同有赛博 版权所有,20,以下安全事件是否曾经发生?,办公环境中曾经发生过丢失笔记本电脑的情况。 曾经有外来人员,直接进入办公环境,在无人随同的情况下,自己找到空位,将笔记本电脑随意接入到公司网络,致使网络感染病毒。 曾经有业务人员,不小心将客户机密信息通过电子邮件发送给不应接收的人员。 一名开发人员,因为浏览不明网站,恶意代码利用IE的漏洞而在网络发作,通过VPN进入客户网络,最终导致项目被中止。 曾对客户做审核时发现,某项目室所有人都去吃午饭,但门窗却大开。,犯过以下的错误吗?,开着电脑离开,就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件,好奇打开邮件附件 使用容易猜测的口令
8、,或者根本不设口令 不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息 随便拨号上网,或者随意将无关设备连入公司网络 事不关己,高高挂起,不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁,忽视企业内部人员的问题 在公共场合谈论公司信息,想想这些错误存在哪些潜在问题?您会如何应对?,从自身做起,良好的安全习惯,趣味游戏-找错,在忙碌的办公室中,跟随着摄像机镜头,拍摄下办公室内所存在的安全隐患。其中包括:中午大家吃饭去了,在几张桌子上,手机与钱包放在上面;一个没有人的桌子上,一台电脑正在从黑客网站上下载着一个被破解的金山词霸;旁边的打印机和复印机旁散落着不少带字的纸张;大开的项目经
9、理办公室中,没有其他人在,一名浇花工人正在里面浇花;会议室内的白板上有上次会议留下的相关内容的记录;一些满是字迹的纸张在垃圾桶中冒出一个角;手提电脑放在桌子上;访问客户网络的VPN密码写在小纸条上贴在项目组的白板上;某职员在忙碌而嘈杂的办公室一边准备赶去别的地方,一边通过手机高声与客房谈论着属于公司机密的一些内容,Internet使用安全 警惕社会工程学 介质安全、笔记本电脑及个人数据安全 重要信息的保密 口令安全 信息交换与备份安全 计算机及网络访问安全 工作环境及物理安全要求,Internet使用安全,内容,病毒与恶意代码防护,病毒 Virus,蠕虫 Worm,木马 Trojan,传统的计
10、算机病毒,具有自我繁殖能力,寄生于其他可执行程序中的,通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染,网络蠕虫不需借助其他可执行程序就能独立存在并运行,通常利用网络中某些主机存在的漏洞来感染和扩散,特洛伊木马是一种传统的后门程序,它可以冒充正常程序,截取敏感信息,或进行其他非法的操作,常见的计算机病毒,网络 系统缺陷 移动存储设备 软件被他人恶意捆绑 恶意欺骗 操作疏忽,计算机病毒怎么来,网络,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,计算机病毒怎么来的?,大多数病毒都是通过系统缺陷传播 冲击波 震荡波 尼姆达 魔鬼波,计算机病毒
11、怎么来,由于移动存储设备经常被多个电脑使用,所有病毒设计者就利用这点进行小范围传播。 移动硬盘 软盘 光盘 U盘 (最近正流行,双击无法打开硬盘、右键菜单多Auto),计算机病毒怎么来,计算机病毒怎么来,安装的软件被他人捆绑了恶意代码 木马 病毒 安装了流氓软件 CNNIC中文网址 DuDu加速器 网络猪 STD广告发布系统 千橡下属网站 桌面传媒 划词搜索,如果你收到这样一封Email,计算机病毒怎么来,自动弹出了一个黑客程序 如果这个程序是木马的话,通过IM发送链接或附件,引诱用户打开链接或接收附件,从而感染病毒,计算机病毒怎么来,恶意代码防范策略,不要随意下载或安装软件 不要接收与打开从
12、E-mail或IM(QQ、MSN等)中传来的不明附件 不要点击他人发送的不明链接,也不登录不明网站 尽量不能过移动介质共享文件 自动或定期更新OS与应用软件的补丁 所有计算机必须部署指定的防病毒软件 防病毒软件与病毒库必须持续更新 感染病毒的计算机必须从网络中隔离(拨除连接的网线)直至清除病毒 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度 发生任何病毒传播事件,相关人员应及时向IT管理部门汇报 仅此就够了么,36,2020/7/5,电子邮件,Email安全策略,不当使用Email可能导致法律风险 禁止发送或转发反动或非法的邮件内容 未经发送人许可,不得转发接收到的邮件 不得伪
13、造虚假邮件,不得使用他人账号发送邮件 未经许可,不得将属于他人邮件的消息内容拷贝转发 与业务相关的Email应在文件服务器上做妥善备份 包含客户信息的Email应转发主管做备份 个人用途的Email不应干扰工作,并且遵守本策略 避免通过Email发送机密信息,如果需要,应采取必要的加密保护措施,38,2020/7/5,接收邮件注意,不安全的文件类型:绝对不要打开任何以下文件类型的邮件附件:.bat, .com, .exe, .vbs 未知的文件类型:绝对不要打开任何未知文件类型的邮件附件,包括邮件内容中到未知文件类型的链接 不要打开未知的链接:未知的链接可能是含有病毒的网站和一次含有欺骗信息的
14、钓鱼网站 微软文件类型:如果要打开微软文件类型(例如 .doc, .xls, .ppt等)的邮件附件或者内部链接,务必先进行病毒扫描 要求发送普通的文本:尽量要求对方发送普通的文本内容邮件,而不要发送HTML格式邮件,不要携带不安全类型的附件 禁止邮件执行Html代码:禁止执行HTML内容中的代码 防止垃圾邮件:通过设置邮件服务器的过滤,防止接受垃圾邮件 尽早安装系统补丁:杜绝恶意代码利用系统漏洞而实施攻击,如果同样的内容可以用普通文本正文,就不要用附件 尽量不要发送.doc, .xls等可能带有宏病毒的文件 不要回覆由匿名寄件者寄来的邮件 不要在公开网站例如搜寻引擎、聊天室等披露你的邮件地址
15、 不要使用字典里简单的字和通用的姓名作为邮件地址 发送不安全的文件之前,先进行病毒扫描 不要参与所谓的邮件接龙 尽早安装系统补丁,防止自己的系统成为恶意者的跳板 可以使用口令或加密软件发送安全级别较高的的邮件,发送邮件注意,Internet使用安全 警惕社会工程学 介质安全、笔记本电脑及个人数据安全 重要信息的保密 口令安全 信息交换与备份安全 计算机及网络访问安全 工作环境及物理安全要求,警惕社会工程学,内容,网络钓鱼,通过邮件诱使收件人相信邮件是来自合法机构或合法个人, 通常会使用以下方法进行攻击 : 在收件人的电脑安装暗藏于电邮附件的特洛伊程式或蠕虫,以寻找安全弱点及漏洞或拍下系统快照,
16、藉以取得收件人的个人资料。 使用键盘测录程式之类的间谍软件,撷取收件人的电脑资料,然后发送给骗徒。 使诈搏取收件人信任,诱使收件人浏览看似合法网站的欺诈网站,并在站内的表格输入个人资料。,网络钓鱼的常用手法,电子邮件欺骗的特点,这类邮件一般以重要告示、紧急更新或警报的形式示人,其虚假的标题旨在令收件人相信发件来源可靠而把电邮打开。邮件的标题可能包含数字或其他字母,以逃避被过滤。 邮件内文有时并无威吓性,反而含有令人欣喜的信息,例如告知收件人中奖。 这类邮件通常使用假冒的发件人地址或伪冒的机构名称,令邮件看似确是发自其伪冒的机构。 这类邮件通常会复制合法网站的网页内容,包括文字、公司标记、图像及样式等,而为求以假乱真。 这类邮件所设的超连结,通常会诱导收件人连接到一个欺诈网站,而非链路表上面所显示的合法网站。,网站欺骗的特点,这类网站使用外表真实网站一样的内容,如图像、文字或公司标记,甚至会复制合法网站,以诱骗访客输入帐户或财务资料 这类网站设有真正链接,连接合法网站中如联络我们或私隐及免责声明等网页内容,藉以蒙骗访问者 这类网站可能使
