《中移动安全意识培训课件》由会员分享,可在线阅读,更多相关《中移动安全意识培训课件(110页珍藏版)》请在金锄头文库上搜索。
1、网管中心,2009年6月,安全意识宣传,2,建立对信息安全的敏感意识和正确认识 掌握信息安全的基本概念、原则和惯例 清楚可能面临的威胁和风险 遵守各项安全策略和制度 在日常工作中养成良好的安全习惯 最终提升整体的信息安全水平,我们的目标,3,信息安全意识(Information Security Awareness),就是能够认知可能存在的信息安全问题,预估信息安全事故对组织的危害,恪守正确的行为方式,并且执行在信息安全事故发生时所应采取的措施。,什么是信息安全意识?,4,现实教训 追踪问题的根源 掌握基本概念 建立良好的安全习惯 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问
2、安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规,目 录,5,严峻的现实!,惨痛的教训!,6,工业和信息部发布了关于做好应对部分IC卡出现严重安全漏洞工作的通知,要求各地各机关和部门开展对IC卡使用情况的调查及应对工作。,10,我们来总结一下,员工的个人安全意识 各类应用(B/S、C/S)自身绝对安全 安全监管法律法规完善 安全技能熟练程度 ,11,信息安全意识的提高刻不容缓!,12,Windows Vista,如果我是黑客 1、绝大多数笔记本电脑都内置麦克风且处
3、于开启状态; 2、Windows Vista开启Speech Recognition功能; 3、录制以下内容并将其放置于某Web页面之上,并利用ActiveX在客户机上调用Windows Media Player最小化后台播放: Open Explorer Highlight documents Delete documents and confirm yes Go to recycle bin on desktop Tell it to empty the trash and confirm yes.,13,你碰到过类似的事吗?,14,威胁和弱点,问题的根源,15,信息资产,拒绝服务,流氓软
4、件,黑客渗透,内部人员威胁,木马后门,病毒和蠕虫,社会工程,系统漏洞,硬件故障,网络通信故障,供电中断,失火,雷雨,地震,威胁无处不在,16,人之初性本非善恶 吾自三省吾身,提高人员信息安全意识和素质势在必行!,人是最关键的因素,17,外部威胁,18,黑客攻击基本手法,19,病从口入 天时 地利 人和,员工误操作,蓄意破坏,职责权限混淆,内部威胁,20, 技术弱点, 操作弱点, 管理弱点,系统、 程序、设备中存在的漏洞或缺陷,配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份过程的不当等,策略、程序、规章制度、人员意识、组织结构等方面的不足,自身弱点,21,一个巴掌拍不响!,外因是条件
5、内因才是根本!,22,将口令写在便签上,贴在电脑监视器旁 开着电脑离开,就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件,好奇打开邮件附件 使用容易猜测的口令,或者根本不设口令 丢失笔记本电脑 不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息 随便拨号上网,或者随意将无关设备连入公司网络 事不关己,高高挂起,不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁,忽视企业内部人员的问题,最常犯的一些错误,23,想想你是否也犯过这些错误?,24,信息资产对我们很重要,是要保护的对象 威胁就像苍蝇一样,挥之不去,无所不在 资产自身又有各种弱点,给威胁带来可乘之机 面临各种风险,一旦发
6、生就成为安全事件、事故,保持清醒认识,25,熟悉潜在的安全问题 知道怎样防止其发生 明确发生后如何应对,我们应该,26,安全贵在未雨绸缪!,信息安全意识方针,27,理解和铺垫,基本概念,28,消息、信号、数据、情报和知识 信息本身是无形的,借助于信息媒体以多种形式存在或传播: 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产: 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服务 具有价值的信息资产面临诸多威胁,需要妥善保护,Information,什么是信息,29,采取措施保
7、护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。,什么是信息安全,30,CIA,信息安全基本目标,31,管理者的最终目标,32,因果关系,33,因果关系(立体),34,技术手段,35,在可用性(Usability)和安全性(Security)之间是一种相反的关系 提高了安全性,相应地就降低了易用性 而要提高安全性,又势必增大成本 管理者应在二者之间达成一种可接受的平衡,安全 vs. 可用平衡之道,36,计算机安全领域一句格言: “真正安全的计算机是拔下网线,断掉电源,放在地下掩体的
8、保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。”,绝对的安全是不存在的!,37,技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂 信息安全管理构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的 理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标尤其重要 唯有信息安全管理工作活动持续而周期性的推动作用方能真正将信息安全意识贯彻落实,三分技术,七分管理!,关键点:信息安全管理,38,务必重视信息安全管理 加强信息安全建设工作,管理层:信息安全意识要点,
9、39,安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程,如何正确认识信息安全,40,从身边做起,良好的安全习惯,41,重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规,重要信息的保密,42,资产责任划分,43,Public,Internal Use,Confidencial,Secret,缺省,信息保密级别划分,44,信息属主或创
10、建者可确定恰当的信息标注方式 电子邮件或纸质信函的标题栏应该注明敏感级别 光盘、磁带等存储介质上应该妥善标注 如果内部包含多个级别的数据,以最高级为准 “Public”信息不需标注:市场宣传册/媒体发布/网站公开信息 “Internal Use”可以根据需要标注(缺省) “Confidencial”必须标注 “Secret”必须标注,信息标注规定,45,各类信息,无论电子还是纸质,在标注、授权、访问、存储、拷贝、传真、内部和外部分发(包括第三方转交)、传输、处理等各个环节,都应该遵守既定策略 信息分类管理程序只约定要求和原则,具体控制和实现方式,由信息属主或相关部门确定,以遵守最佳实践和法律法
11、规为参照 凡违反程序规定的行为,酌情予以纪律处分,信息处理与保护,46,根据需要,在SOW或个人协议中明确安全方面的承诺和要求; 明确与客户进行数据交接的人员责任,控制客户数据使用及分发; 明确非业务部门在授权使用客户数据时的保护责任; 基于业务需要,主管决定是否对重要数据进行加密保护; 禁止将客户数据或客户标识用于非项目相关的场合如培训材料; 客户现场的工作人员,严格遵守客户Policy,妥善保护客户数据; 打印件应设置标识,及时取回,并妥善保存或处理。,数据保护安全,47,重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境
12、及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规,信息交换与备份,48,信息交换原则: 明确要交换信息的敏感级别,除了显著标注外,根据其敏感级别采取合适的保护措施 信息发送者和接收者有责任遵守信息交换要求 物理介质传输: 与快递公司签署不扩散协议,识别丢失风险,采取必要的控制措施 电子邮件和互联网信息交换 明确不可涉及敏感数据,如客户信息、订单合同等信息 如必须交换此类信息,需申请主管批准并采取加密传输措施或DRM保护机制 文件共享: 包括Confidential在内的高级别的信息不能被发布于公共区域 所有共享文件应按
13、照规则放置在相应的文件服务器目录中,任何人不得在其个人电脑中开设共享。 共享文件夹应该设置恰当的访问控制,禁止向所有用户赋予完全访问权限 临时共享的文件事后应予以删除,信息交换安全,49,重要信息系统应支持全备份、差量备份和增量备份 备份介质的存储异地存放 属主应该确保备份成功并定期检查日志,根据需要,定期检查和实施测试以验证备份效率和效力,信息备份安全,50,重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法
14、律法规,软件应用安全,51,安全培训,安全计划启动并统一注册,安全设计 最佳做法,安全体系结构 和攻击面审核,使用安全开发 工具以及 安全开发和 测试最佳做法,创建产品 安全文档 和工具,准备安全 响应计划,安全推动 活动,渗透 测试,最终 安全 审核,安全维护 和 响应执行,功能列表质量指导原则体系结构文档日程表,设计规范,测试和验证,编写新代码,故障修复,代码签发 + Checkpoint Press 签发,RTM,产品支持服务包/QFE 安全更新,需求,设计,实施,验证,发行,支持和维护,威胁建模,功能规范,传统软件开发生命周期的任务和流程,软件应用安全,52,重要信息的保密 信息交换及
15、备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规,计算机网络访问,53,访问控制基本原则:未经明确允许即为禁止访问 必须通过唯一注册的用户ID来控制用户对网络的访问 系统管理员必须确保用户访问基于最小特权原则而授权 用户必须根据要求使用口令并保守秘密 系统管理员必须对用户访问权限进行检查,防止滥用 系统管理员必须根据安全制度要求定义访问控制规则,用户必须遵守规则 各部门应按照管理规定制定并实施对业务应用系统、开发和测试系统的访问
16、规则,计算机网络访问安全,54,重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规,人员安全管理,55,背景检查,签署保密协议,安全职责说明,技能意识培训,内部职位调整及离职检查流程,绩效考核和奖惩,人员安全,56,应该识别来自第三方的风险:保安、清洁、基础设施维护、供应商或外包人员,低质量的外包服务也被视作一种安全风险 签署第三方协议时应包含安全要求,必要时需签署不扩散协议 第三方若需访问敏感信息,需经检查和批准,其访问将受限制 任何第三方禁止无人陪同访问生产网络环境 第三方访问所用工具应经过相关部门检查,确认安全可靠,其访问应经过认证 负责第三方访问的人员需对三方人员进行必要的安全培训,第三方人员管理安全,57,重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理
