《普通员工意识培训教材课件》由会员分享,可在线阅读,更多相关《普通员工意识培训教材课件(83页珍藏版)》请在金锄头文库上搜索。
1、全员安全意识培训全员安全意识培训从从别忘了关门别忘了关门的故事说起的故事说起 不妨换个思维不妨换个思维商学院2005年第七期的一篇文章,别忘了关门另眼看信息安全另眼看信息安全信息安全除了是故事中的围栏之外,信息安全除了是故事中的围栏之外,还是那道千万别忘记关的门,还有还是那道千万别忘记关的门,还有那颗别忘了关门的心那颗别忘了关门的心安全意识安全意识v 安全意识(安全意识(Security awareness) 就是能够认知可能存在的安全问题,明就是能够认知可能存在的安全问题,明白安全事故对组织的危害,恪守正确的行白安全事故对组织的危害,恪守正确的行为方式,并且清楚在安全事故发生时所应为方式,并
2、且清楚在安全事故发生时所应采取的措施。采取的措施。什么是信息安全意识什么是信息安全意识你意识到了吗?社会工程和网络钓鱼等等攻击手段是当前普遍存社会工程和网络钓鱼等等攻击手段是当前普遍存在的攻击方式在的攻击方式v钓鱼钓鱼(Phishing)社会工程的一种类型利用电子邮件或恶意网站吸引受害者伪装成有名的、可信的网站通常为了金钱或个人信息网站要求用户填入账户或个人信息v社会工程社会工程利用人际交往伪装为可信的人士新进员工、维修工、研究员等持有个人身份证明通过询问获得信息。可能从多个来源获取足够信息获得公司或个人的计算机或私人信息议题议题v需要了解基本概念需要了解基本概念v公司的信息安全项目进行得怎样
3、了?公司的信息安全项目进行得怎样了?v全员应该具备安全知识和技能全员应该具备安全知识和技能v对信息安全的容易误解的地方对信息安全的容易误解的地方6理解和铺垫理解和铺垫理解和铺垫理解和铺垫基本概念基本概念基本概念基本概念什么是信息什么是信息?什么是信息什么是信息?数据数据111101符号符号图片图片语音语音什么是信息安全什么是信息安全?2024/7/308C C保密性(保密性(Confidentiality) 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性(完整性(Integrity) 确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持
4、信息内部和外部的一致性。可用性(可用性(Availability) 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:I IA AD DisclosureA AlterationD Destruction泄泄泄泄漏漏漏漏破破破破坏坏坏坏篡篡篡篡改改改改信息安全的三要素信息安全的三要素CIA什么是信息安全什么是信息安全?信息安全的实质信息安全的实质 采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到
5、最小,确保组织业务运行的连续性确保组织业务运行的连续性。ConfidentialityConfidentialityConfidentialityConfidentialityIntegrityIntegrityIntegrityIntegrityAvailabilityAvailabilityAvailabilityAvailabilityInformationInformationInformationInformation嘿嘿,这顿美餐唾手可得呜呜,可怜我手无缚鸡之力威胁就像这只贪婪的猫威胁就像这只贪婪的猫威胁就像这只贪婪的猫威胁就像这只贪婪的猫如果盘中美食暴露在外如果盘中美食暴露在外如
6、果盘中美食暴露在外如果盘中美食暴露在外遭受损失也就难免了遭受损失也就难免了遭受损失也就难免了遭受损失也就难免了11什么是什么是ISO27001vISO 27001目前世界上唯一的“信息安全管理标准”。 是建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,信息安全建设人员根据ISO17799:2005中的信息安全管理实施细则来建立ISMS。ISO27001作用v缺少跨部门的信息安全协调机制;132024/7/30v公司信息安全管理体系将各部门联系起来v保护特定资产以及完成特定安全过程的职责还不明确;v对组织的关键信息资产进行全面系统的保护,维持竞争
7、优势;v雇员信息安全意识薄弱,缺少防范意识;v强化员工的信息安全意识,规范组织信息安全行为;v一旦发生意外,难以保证生产经营尽快恢复v在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;v使组织的生意伙伴和客户对组织充满信心;实施前实施前实施后实施后实施与保持完整的信息安全管理体系,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,就可以从根本上保证业务的连续性实施实施ISO27001有哪些关键活动?有哪些关键活动?v我们有哪些重要的资产需要保护以及怎样保护?我们有哪些重要的资产需要保护以及怎样保护?清点资产,并分级和分类,识
8、别关键资产好钢用在刀刃上v这些资产面临怎样的风险呢?这些资产面临怎样的风险呢?黑客、病毒数据丢失、系统宕机、网络中断等等v有哪些手段可以降低这些风险呢?有哪些手段可以降低这些风险呢?风险消减、风险规避、风险转移v以上都做好了,还有别的活动吗?以上都做好了,还有别的活动吗?审计纠正提高议题议题v需要了解基本概念需要了解基本概念v公司的信息安全项目进行得怎样了?公司的信息安全项目进行得怎样了?v全员应该具备安全知识和技能全员应该具备安全知识和技能v对信息安全的容易误解的地方对信息安全的容易误解的地方15项目整体概述项目整体概述v本项目采用本项目采用ProgramProgram管理模式管理模式以解决
9、NTT当前信息安全问题为总体目标分为3个子项目执行项目一为根据ISO 27001帮助NTT建立ISMS,以满足ISO 27001标准要求为目标;项目二为网络优化和技术控制实施,以解决实际的安全技术风险为目标;项目三为配合项目二网络优化和技术控制实施的管理制度的制定、发布和执行,以满足已部署的技术控制措施的管理和运维要求为目标;子项目相互独立,但又彼此衔接,为总体目标服务16整体项目计划整体项目计划项目当前状态项目当前状态需要我们做什么?需要我们做什么?v遵守与执行发布的所有的ISMS的方针、过程、规定;v向安全推进室报告您发现的存在安全风险与问题;v大胆的提出你对信息安全建设的建议和目前已发布
10、的不合理的过程和规定;v温故信息安全知识,增强信息安全意识;v信息安全,从自己做起。议题议题v需要了解基本概念需要了解基本概念v公司的信息安全项目进行得怎样了?公司的信息安全项目进行得怎样了?v全员应该具备安全知识和技能全员应该具备安全知识和技能v对信息安全的容易误解的地方对信息安全的容易误解的地方同有赛博版权所有20以下安全事件是否曾经发生以下安全事件是否曾经发生以下安全事件是否曾经发生以下安全事件是否曾经发生? ?M 办公环境中曾经发生过丢失笔记本电脑的情况。M 曾经有外来人员,直接进入办公环境,在无人随同的情况下,自己找到空位,将笔记本电脑随意接入到公司网络,致使网络感染病毒。M 曾经有
11、业务人员,不小心将客户机密信息通过电子邮件发送给不应接收的人员。M 一名开发人员,因为浏览不明网站,恶意代码利用IE的漏洞而在网络发作,通过VPN进入客户网络,最终导致项目被中止。M 曾对客户做审核时发现,某项目室所有人都去吃午饭,但门窗却大开。犯过以下的错误吗?犯过以下的错误吗?v开着电脑离开,就像离开家却忘记关灯那样v轻易相信来自陌生人的邮件,好奇打开邮件附件v使用容易猜测的口令,或者根本不设口令v不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息v随便拨号上网,或者随意将无关设备连入公司网络v事不关己,高高挂起,不报告安全事件v在系统更新和安装补丁上总是行动迟缓v只关注外来的威胁,忽视企业内
12、部人员的问题v在公共场合谈论公司信息想想这些错误存在哪想想这些错误存在哪想想这些错误存在哪想想这些错误存在哪些潜在问题?您会如些潜在问题?您会如些潜在问题?您会如些潜在问题?您会如何应对何应对何应对何应对?从从从从自身自身自身自身做起做起做起做起良好良好良好良好的安全的安全的安全的安全习惯习惯习惯习惯趣味游戏趣味游戏-找错找错v在忙碌的办公室中,跟随着摄像机镜头,拍摄下办公室内所存在忙碌的办公室中,跟随着摄像机镜头,拍摄下办公室内所存在的安全隐患。其中包括:中午大家吃饭去了,在几张桌子上,在的安全隐患。其中包括:中午大家吃饭去了,在几张桌子上,手机与钱包放在上面;一个没有人的桌子上,一台电脑正
13、在从手机与钱包放在上面;一个没有人的桌子上,一台电脑正在从黑客网站上下载着一个被破解的金山词霸;旁边的打印机和复黑客网站上下载着一个被破解的金山词霸;旁边的打印机和复印机旁散落着不少带字的纸张;大开的项目经理办公室中,没印机旁散落着不少带字的纸张;大开的项目经理办公室中,没有其他人在,一名浇花工人正在里面浇花;会议室内的白板上有其他人在,一名浇花工人正在里面浇花;会议室内的白板上有上次会议留下的相关内容的记录;一些满是字迹的纸张在垃有上次会议留下的相关内容的记录;一些满是字迹的纸张在垃圾桶中冒出一个角;手提电脑放在桌子上;访问客户网络的圾桶中冒出一个角;手提电脑放在桌子上;访问客户网络的VPN
14、密码写在小纸条上贴在项目组的白板上;某职员在忙碌而密码写在小纸条上贴在项目组的白板上;某职员在忙碌而嘈杂的办公室一边准备赶去别的地方,一边通过手机高声与客嘈杂的办公室一边准备赶去别的地方,一边通过手机高声与客房谈论着属于公司机密的一些内容房谈论着属于公司机密的一些内容Internet使用安全使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求Internet使使用用安安全全内容内容病毒与恶意代码防护病毒与恶意代码防护病毒病毒 VirusVirusVirusVirus蠕虫蠕虫 WormWormWormWorm木
15、马木马 TrojanTrojanTrojanTrojan传统的计算机病毒,具有自我繁殖能力,寄生于其他可执行程序中的,通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染网络蠕虫不需借助其他可执行程序就能独立存在并运行,通常利用网络中某些主机存在的漏洞来感染和扩散特洛伊木马是一种传统的后门程序,它可以冒充正常程序,截取敏感信息,或进行其他非法的操作常见的计算机病毒v网络v系统缺陷v移动存储设备v软件被他人恶意捆绑v恶意欺骗v操作疏忽计算机病毒怎么来网络网络拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息丢失、篡改、销毁篡改、销毁
16、后门、隐蔽通道后门、隐蔽通道计算机病毒怎么来的?v大多数病毒都是通过系统缺陷传播大多数病毒都是通过系统缺陷传播冲击波震荡波尼姆达魔鬼波计算机病毒怎么来v由于移动存储设备经常被多个电脑使用,所有病由于移动存储设备经常被多个电脑使用,所有病毒设计者就利用这点进行小范围传播。毒设计者就利用这点进行小范围传播。移动硬盘软盘光盘U盘(最近正流行,双击无法打开硬盘、右键菜单多Auto)计算机病毒怎么来计算机病毒怎么来v安装的软件被他人捆绑了恶意代码安装的软件被他人捆绑了恶意代码木马病毒v安装了流氓软件安装了流氓软件CNNIC中文网址DuDu加速器网络猪STD广告发布系统千橡下属网站桌面传媒划词搜索v如果你
17、收到这样一封如果你收到这样一封Email计算机病毒怎么来自动弹出了一个黑客程序自动弹出了一个黑客程序如果这个程序是木马的话如果这个程序是木马的话v通过IM发送链接或附件,引诱用户打开链接或接收附件,从而感染病毒计算机病毒怎么来恶意代码防范策略v不要随意下载或安装软件v不要接收与打开从E-mail或IM(QQ、MSN等)中传来的不明附件v不要点击他人发送的不明链接,也不登录不明网站v尽量不能过移动介质共享文件v自动或定期更新OS与应用软件的补丁v所有计算机必须部署指定的防病毒软件v防病毒软件与病毒库必须持续更新v感染病毒的计算机必须从网络中隔离(拨除连接的网线)直至清除病毒v任何意图在内部网络创
18、建或分发恶意代码的行为都被视为违反管理制度v发生任何病毒传播事件,相关人员应及时向IT管理部门汇报vv仅此就够了么仅此就够了么2024/7/3036电子邮件电子邮件Email安全策略安全策略v不当使用Email可能导致法律风险v禁止发送或转发反动或非法的邮件内容v未经发送人许可,不得转发接收到的邮件v不得伪造虚假邮件,不得使用他人账号发送邮件v未经许可,不得将属于他人邮件的消息内容拷贝转发v与业务相关的Email应在文件服务器上做妥善备份v包含客户信息的Email应转发主管做备份v个人用途的Email不应干扰工作,并且遵守本策略v避免通过Email发送机密信息,如果需要,应采取必要的加密保护措
19、施2024/7/3038接收邮件注意v不安全的文件类型不安全的文件类型:绝对不要打开任何以下文件类型的邮件附件:.bat, .com, .exe, .vbsv未知的文件类型未知的文件类型:绝对不要打开任何未知文件类型的邮件附件,包括邮件内容中到未知文件类型的链接v不要打开未知的链接不要打开未知的链接:未知的链接可能是含有病毒的网站和一次含有欺骗信息的钓鱼网站v微软文件类型微软文件类型:如果要打开微软文件类型(例如 .doc, .xls, .ppt等)的邮件附件或者内部链接,务必先进行病毒扫描v要求发送普通的文本要求发送普通的文本:尽量要求对方发送普通的文本内容邮件,而不要发送HTML格式邮件,
20、不要携带不安全类型的附件v禁止邮件执行禁止邮件执行HtmlHtml代码代码:禁止执行HTML内容中的代码v防止垃圾邮件防止垃圾邮件:通过设置邮件服务器的过滤,防止接受垃圾邮件v尽早安装系统补丁尽早安装系统补丁:杜绝恶意代码利用系统漏洞而实施攻击v如果同样的内容可以用普通文本正文,就不要用附件v尽量不要发送.doc, .xls等可能带有宏病毒的文件v不要回覆由匿名寄件者寄来的邮件v不要在公开网站例如搜寻引擎、聊天室等披露你的邮件地址v不要使用字典里简单的字和通用的姓名作为邮件地址v发送不安全的文件之前,先进行病毒扫描v不要参与所谓的邮件接龙v尽早安装系统补丁,防止自己的系统成为恶意者的跳板v可以
21、使用口令或加密软件发送安全级别较高的的邮件发送发送邮件注意邮件注意Internet使用安全警惕社会工程学警惕社会工程学警惕社会工程学警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求警警惕惕社社会会工工程程学学内容内容网络钓鱼网络钓鱼v通过邮件诱使收件人相信邮件是来自合法机构或合法个人, 通常会使用以下方法进行攻击 : v在收件人的电脑安装暗藏于电邮附件的特洛伊程式或蠕虫,以寻找安全弱点及漏洞或拍下系统快照,藉以取得收件人的个人资料。 v使用键盘测录程式之类的间谍软件,撷取收件人的电脑资料,然后发送给骗徒。 v使诈
22、搏取收件人信任,诱使收件人浏览看似合法网站的欺诈网站,并在站内的表格输入个人资料。网络钓鱼的常用手法网络钓鱼的常用手法电子邮件欺骗的特点v这类邮件一般以重要告示、紧急更新或警报的形式示人,其虚假的标题旨在令收件人相信发件来源可靠而把电邮打开。邮件的标题可能包含数字或其他字母,以逃避被过滤。v邮件内文有时并无威吓性,反而含有令人欣喜的信息,例如告知收件人中奖。v这类邮件通常使用假冒的发件人地址或伪冒的机构名称,令邮件看似确是发自其伪冒的机构。 v这类邮件通常会复制合法网站的网页内容,包括文字、公司标记、图像及样式等,而为求以假乱真。v这类邮件所设的超连结,通常会诱导收件人连接到一个欺诈网站,而非
23、链路表上面所显示的合法网站。 网站欺骗的特点网站欺骗的特点v这类网站使用外表真实网站一样的内容,如图像、文字或公司标记,甚至会复制合法网站,以诱骗访客输入帐户或财务资料v这类网站设有真正链接,连接合法网站中如联络我们或私隐及免责声明等网页内容,藉以蒙骗访问者v这类网站可能使用与合法网站相似的域名或子域名v这类网站可能使用与合法网站相似的表格来收集访客的资料 v这类网站可能以真正网页为背景,而本身则采用弹出的视窗形式,藉以误导和混淆访问者,令他们以为自已身处合法网站 仿冒诈骗网站仿冒诈骗网站v该仿冒网站与中国银行(香港)有限公司(中银香港)的官方网站相似。域名为: 防范措施防范措施v不要登入可疑
24、网站,不要打开或滥发邮件中不可信赖来源或电邮所载的URL链接,以免被看似合法的恶意链接转往恶意网站v不要从搜寻器的结果连接到银行或其他金融机构的网址v打开邮件附件时要提高警惕,不要打开扩展名为“pif”, “exe”, “bat”, .vbs的附件v以手工方式输入URL位址或点击之前已加入书签的链接v避免在咖啡室、图书馆、网吧等场所的公用计算机进行网上银行或财务查询交易。这些公用计算机可能装有入侵工具或特洛伊程式 v在进行网上银行或财务查询交易时,不要使用浏览器从事其他网上活动或连接其他网址。在完成交易后,切记要打印或备存交易记录或确认通知,以供日后查核。不要保存帐号和密码 v不要给通过电子方
25、式给任何机构和个人提供敏感的个人或账户资料v确保电脑采用最新的保安修补程式和病毒识别码,以减低欺诈电邮或网站利用软件漏洞的机会其它欺骗方式其它欺骗方式 “人是最薄弱的环人是最薄弱的环节。你可能拥有最好节。你可能拥有最好的技术、防火墙、入的技术、防火墙、入侵检测系统、生物鉴侵检测系统、生物鉴别设备,可只要有人别设备,可只要有人给毫无戒心的员工打给毫无戒心的员工打个电话个电话” Kevin Mitnick Kevin Mitnick什么是什么是社会工程学社会工程学vvSocial EngneeringSocial Engneeringv利用社会交往(通常是在伪装之下)从目标对象那里获取信息v例如:
26、u电话呼叫服务中心u 在走廊里的聊天u 冒充服务技术人员v著名黑客Kevin Mitnick更多是通过社会工程来渗透网络的,而不是高超的黑客技术常见方式常见方式v多次搜集你认为无用的的信息v正面攻击直接索取(直接了当的开口要求所需的信息 )v通过建立信任来获取信息v博取同情,希望得到帮助来获取信息v假冒网站和邮件v逆向骗局v进入内部v攻击新进员工社会工程flash警惕警惕社会工程学社会工程学v不要轻易泄漏任何信息,社会工程师可以从信息中找到隐藏的有价值的信息,更不要说是口令和账号v在相信任何人之前,先校验其真实的身份v不要违背公司的安全策略,哪怕是你的上司向你索取个人敏感信息(Kevin Mi
27、tnick最擅长的就是冒充一个很焦急的老板,利用一般人好心以及害怕上司的心理,向系统管理员索取口令)v所谓的黑客,更多时候并不是技术多么出众,而是社会工程的能力比较强Internet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求介介质质安安全全及及数数据据安安全全内容内容移动介质带来的风险移动介质带来的风险v移动介质在数据交换与携带的便捷性,使得各式各样的U盘、移动硬盘、MP3等可能未经允许地接入计算机与网络,进行数据的拷贝和传递,一方面这些介质的移动性和便捷性容易被盗或丢失,而往往存储在移动介质的数据
28、是未经加密的,很容易导致机密信息无意泄密v另一方面,现在的移动介质的存储容量也越来越大,小则上几个G byte的容量,大则上几百个G byte,对于有意泄密的员工,瞬间就可以把公司所有机密信息拷走;还有一方面,移动介质是病毒传播的重要途径,两个不同安全等级的网络或计算机通过移动介质传递信息时,低安全等级网络或电脑很容易感染病毒笔记本电脑与远程办公安全笔记本电脑与远程办公安全vIT管理部门可以协助用户部署必要的笔记本电脑防信息泄漏措施v用户不能将口令、ID或其他账户信息以明文保存在移动介质上v笔记本电脑遗失应按照相应管理制度执行安全响应措施v敏感信息应加密保护v携出后的电脑在接入公司网络之间应进
29、行病毒扫描v禁止在公共区域讨论敏感信息,或通过笔记本电脑泄漏信息v不要将笔记本同时接入两个网络v注意笔记本电脑远程办公的安全,采用加密防止信息泄露介质安全管理介质安全管理创建创建创建创建传递传递传递传递销毁销毁销毁销毁存存存存 储储储储使用使用使用使用更改更改更改更改介质包括:硬盘、U盘、移动硬盘、光盘、软盘、纸等具有存储信息功能的所有介质LifeCycleInternet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求重重要要信信息息的的保保密密内容内容OwnerOwner数据的属主(数据的属主(OM/
30、PM)决定所属数据的敏感级别决定所属数据的敏感级别确定必要的保护措施确定必要的保护措施最终批准并最终批准并Review用户访问权限用户访问权限CustodianCustodian受受Owner委托管理数据委托管理数据通常是通常是IT人员或部门系统人员或部门系统(数据)管理员(数据)管理员向向Owner提交访问申请并按提交访问申请并按Owner授意为用户授权授意为用户授权执行数据保护措施,实施日执行数据保护措施,实施日常维护和管理常维护和管理UserUser公司或第三方职员公司或第三方职员因工作需要而请求访问数据因工作需要而请求访问数据遵守安全规定和控制遵守安全规定和控制报告安全事件和隐患报告安
31、全事件和隐患资产责任划分资产责任划分依据公司资产管理策略依据公司资产管理策略v信息保密级别分类v根据保密级别进行标识v对不同级别的信息进行不同的处理与保护v根据不同级别的信息设定访问控制策略帐帐户户与与口口令令安安全全内容Internet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求为什么口令很重要为什么口令很重要v帐户+口令是最简单也最常用的身份认证方式v口令是抵御攻击的第一道防线,防止冒名顶替v口令也是抵御网络攻击的最后一道防线v针对口令的攻击简便易行,口令破解快速有效v由于使用不当,往往使口令成为
32、最薄弱的安全环节v口令与个人隐私息息相关,必须慎重保护脆弱的口令脆弱的口令v少于8个字符v单一的字符类型,例如只用小写字母,或只用数字v用户名与口令相同v最常被人使用的弱口令:u 自己、家人、朋友、亲戚、宠物的名字u 生日、结婚纪念日、电话号码等个人信息u 工作中用到的专业术语,职业特征u 字典中包含的单词,或者只在单词后加简单的后缀v所有系统都使用相同的口令v口令一直不变建议建议v选择易记强口令的几个窍门:选择易记强口令的几个窍门: 口令短语 字符替换 单词误拼 键盘模式口令至少应该由8个字符组成口令应包含大小写字母口令应包含数字、特殊字符不要使用字典中的单词不要基于人的姓名、生日2024/
33、7/3063信信息息交交换换备备份份安安全全内容内容Internet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求信息交换安全信息交换安全v通过传真发送机密信息时,应提前通知接收者并确保号码正确v不允许在公共区域用移动电话谈论机密信息v不允许在公共区域与人谈论机密信息v不允许通过电子邮件或IM工具交换账号和口令信息v不允许借助公司资源做非工作相关的信息交换v不允许通过IM工具传输附件v禁止通过WINDOWS的SHARE方式共享信息v应该使用专用打印机或复印机处理绝密资料v打印或复印的资料应立即取走v信息
34、备份安全信息备份安全v个人应养成定期备份工作信息的习惯v保密性要求较高的数据在备份时应考虑保密问题v对备份资料的访问要设定完善的访问控制机制计计算算机机与与网网络络访访问问内容Internet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求计算机网络访问安全(举例)计算机网络访问安全(举例)v访问控制基本原则:未经明确允许即为禁止访问v必须通过唯一注册的用户ID来控制用户对网络的访问v系统管理员必须确保用户访问基于最小特权原则而授权v用户必须根据要求使用口令并保守秘密v系统管理员必须对用户访问权限进行检查
35、,防止滥用v系统管理员必须确保网络服务可用v系统管理员必须根据安全制度要求定义访问控制规则,用户必须遵守规则v各部门应自行制定并实施对业务应用系统、开发和测试系统的访问规则v计算机网络用户必须加入网域,统一接受公司安全策略管理v网络内禁止使用任何扫描或侦测工具v禁止同时访问两个网络工工作作环环境境与与物物理理安安全全Internet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求工作环境安全工作环境安全v应主动防止陌生人尾随进入办公区域v遇到陌生人,要上前主动询问v禁止随意放置或丢弃含有敏感信息的纸质文件
36、,废弃文件需用碎纸机粉碎v废弃或待修磁介质转交他人时应经IT管理部门消磁处理v离开座位时,应将贵重物品、含有机密信息的资料锁入柜中,并对使用的电脑桌面进行锁屏v应将复印或打印的资料及时取走v禁止在公共场合谈论公司信息要点总结!要点总结!加强敏感信息的保密留意物理安全遵守法律法规和安全策略公司资源只供公司所用保守口令秘密谨慎使用internet和Email加强人员安全管理识别并控制第三方风险加强防病毒措施有问题及时报告议题议题v需要了解基本概念需要了解基本概念v公司的信息安全项目进行得怎样了?公司的信息安全项目进行得怎样了?v全员应该具备安全知识和技能全员应该具备安全知识和技能v对信息安全的容易
37、误解的地方对信息安全的容易误解的地方73人们经常会误认为742024/7/30信息安全就是防泄露信息安全就是防泄露信息安全就是网络安全信息安全就是网络安全信息安全就是防黑客信息安全就是防黑客信息安全就是技术问题信息安全就是技术问题信息安全就是一场运动信息安全就是一场运动信息安全就是麻烦信息安全就是麻烦v仅仅通过技术手段就可以解决安全问题仅仅通过技术手段就可以解决安全问题北京移动充值卡泄漏事件信息安全理念上的误区信息安全理念上的误区 北京移动冲值卡泄漏事件之前北京移动冲值卡泄漏事件之前北京移动冲值卡泄漏事件之前北京移动冲值卡泄漏事件之前在信息安全技术设备上的投入达到在信息安全技术设备上的投入达到
38、在信息安全技术设备上的投入达到在信息安全技术设备上的投入达到了了了了1.21.2亿亿亿亿v信息安全就是网络安全信息安全就是网络安全只要防止黑客入侵和病毒就可以了信息安全只要保证公司的机密信息不被泄露,即保证信息的保密性信息安全理念上的误区信息安全理念上的误区ConfidentialityConfidentiality 机机密性密性AvailabilityAvailability 可用性可用性IntegrityIntegrity 完整性完整性v解决安全问题搞运动解决安全问题搞运动问题严重了,搞个运动运动过了,可以歇歇信息安全理念上的误区信息安全理念上的误区v信息安全与业务无关信息安全与业务无关信
39、息安全事务上的投入是没有价值的,只会给工作带来麻烦信息安全是业务之外多余的工作,日常的业务流程无须考虑信息安全系统或者网络安全失效,不会造成业务上的财务损失信息安全理念上的误区信息安全理念上的误区小结:正确的认识小结:正确的认识v七分管理、三分技术,技术是基础,管理才是关七分管理、三分技术,技术是基础,管理才是关键键v网络安全是信息安全的一部分网络安全是信息安全的一部分v信息安全是一项长期的工作,贯穿在日常的工作信息安全是一项长期的工作,贯穿在日常的工作中中v信息安全的任务就是保障业务的持续性,信息安信息安全的任务就是保障业务的持续性,信息安全是业务持续的必要条件全是业务持续的必要条件本次培训小结本次培训小结 确保敏感信息免遭窃取、丢失、非确保敏感信息免遭窃取、丢失、非授权访问、非授权泄漏、非授权拷贝,授权访问、非授权泄漏、非授权拷贝,这些信息既包括纸质文件,又包括计算这些信息既包括纸质文件,又包括计算机和存储设备中的信息。机和存储设备中的信息。谨记您的安全责任谨记您的安全责任从从一点一滴一点一滴做起!做起!从从从从自身自身自身自身做起!做起!做起!做起!用心做事用心做事 诚信为人诚信为人
