企业信息安全培训课件PPT(管理层)

LOGO
1 系统因素 2 自然因素破坏 3 人为因素
踩点 扫描
四、企业信息安全威胁因素
黑客等企业外部人员的威胁
了解一些黑客攻击手段很有必要
踩点：千方百计搜集信息，明确攻击目标 扫描：通过网络，用工具来找到目标系统的漏洞 DoS攻击：拒绝服务，是一种破坏性攻击，目的是使资源不可用 DDoS攻击：是DoS的延伸，更大规模，多点对一点实施攻击 渗透攻击：利用攻击软件，远程得到目标系统的访问权或控制权 远程控制：利用安装的后门来实施隐蔽而方便的控制 网络蠕虫：一种自动扩散的恶意代码，就像一个不受控的黑客
2023最新整理收集 do something
企业信息安全
LOGO
目录页
一 二 三 四 五
安全信息概述 企业信息安全作用 企业信息安全威胁因素 信息安全工作职责 如何保证企业信息安全
LOGO
1 信息安全 2 企业信息化
3
企业信息 化特征
4
企业信息 化内容
一、信息安全概述
信息安全：保障计算机及相关的和配套的设备、设施（网络）
的安全，运行环境的安全，保障信息安全，保障计算机功能的 正常发挥，以维护计算机系统的安全。
企业信息化：企业信息化是指企业广泛利用现代信息技术，
充分开发和利用企业内部或外部的，企业可能得到和利用的， 并与企业生产经营活动有关的各种信息，以便及时把握机会， 做出决策，增进运行效率，从而提高企业竞争力水平和经济效 益的过程。
坏或使信息被非法的系统辨识、控制，即确保信息的完整性、可用性、保密性 和可控性。信息资产包括文件、数据等。信息资产安全包括操作系统安全、数 据库安全、网络安全、病毒防护、访问控制、加密、鉴别等。
人员安全：主要是指信息系统使用人员的安全意识、法律意识、安全技能
等。人员的安全意识是与其所掌握的安全技能有关，而安全技能又与其所接受 安全技能培训有关。因此，人员的安全意识是通过培训，以及安全技能的积累 才能逐步提高，人员安全在特定环境下、特定时间内是一定的。
LOGO
五、如何保证企业信息安全
1
培养员工安全 意识
2
制定企业信息 安全管理制度
一个巴掌拍不响！
外因是条件
内因才是根本！
提高人员安全意识和素质势在必行！
LOGO
五、如何保证企业信息安全
1
培养员工安全 意识
2
制定企业信息 安全管理制度
2慎重打开不明邮件。 好奇心过强，对于系统提示为垃圾邮件、 钓鱼邮件的内容充满好奇心，点开之后 会导致一些病毒等侵入系统，导致信息 泄露。
LOGO
三、企业信息安全工作人员职责
1、安全保障体系建设的主要贡献者.
- 安全保障体系的设计与构建；包含：技术体系和管理体系。
- 安全合规基线的解读及实现策略的设定。 - 安全培训、宣导系统的建设。
2、安全保障体系运行状况的检查者.
- 安全管理、技术举措的执行效果 - 安全管理、技术举措的适用度
LOGO
1
培养员工安全 意识
2
制定企业信息 安全管理制度
五、如何保证企业信息安全
口令
全
日志、审核
3、熟悉电脑保 护知识。了解电 脑密码、病毒处 理等方法，减少 信息泄露。
移动存储设备管
理
LOGO
1
培养员工安全 意识
五、如何保证企业信息安全
1、明确信息安全责任，健全信息安全事故调查机制。 建立安全组织与落实责任是实施信息安全管理的第一 步。
LOGO
1 系统因素 2 自然因素破坏 3 人为因素
四、企业信息安全威胁因素
人是最关键的因素
判断威胁来源，综合了人为因素和系统自身逻辑与物 理上诸多因素在一起，归根结底，还是人起着决定性 的作用
正是因为人在有意（攻击破坏）或无意（误操作、误 配置）间的活动，才给信息系统安全带来了隐患和威 胁
LOGO
1 信息安全 2 企业信息化
3
企业信息 化特征
4
企业信息 化内容
一、信息安全概述
保密性：确保信息没有非
授权的泄漏，不被非授权 的个人、组织和计算机程 序使用
完整性：确保信息没有遭
到篡改和破坏
可用性：确保拥有授权的
用户或程序可以及时、正 常使用信息
完整性 （Integrity）
秘密 保密性
破坏攻击 获得控制权 清除痕迹 安装后门
渗透攻击 获得访问权
远程控制 转移目标 窃密破坏
LOGO
世界头号黑客 —— Kevin Mitnick
出生于1964年 15岁入侵北美空军防务指挥系统，窃取核弹机密 入侵太平洋电话公司的通信网络 入侵联邦调查局电脑网络，戏弄调查人员 16岁被捕，但旋即获释 入侵摩托罗拉、Novell、Sun、Nokia等大公司 与联邦调查局玩猫捉老鼠的游戏 1995年被抓获，被判5年监禁 获释后禁止接触电子物品，禁止从事计算机行业
2、系统、程序、设备中存在的漏洞和缺陷
体现：旧版本的浏览器和易受攻击的插件、包含不良内容的好网站、移动应用程 序和不安全的Web、不安全的“物联网”
LOGO 1 系统因素 2 自然因素破坏
四、企业信息安全威胁因素
自然因素的破坏是一种不可抵抗的破坏力，只能做好预防方 针，防患于未然。
3 人为因素
LOGO
人最常犯的一些信息安全错误
将口令写在便签上，贴在电脑监视器旁 开着电脑离开，就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件，好奇打开邮件附件 使用容易猜测的口令，或者根本不设口令 丢失笔记本电脑 不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息 随便拨号上网，或者随意将无关设备连入公司网络 事不关己，高高挂起，不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁，忽视企业内部人员的问题
LOGO
1 信息安全 2 企业信息化
3
企业信息 化特征
4
企业信息 化内容
一、信息安全概述
围绕企业使命
围绕作用关系
LOGO
二、企业信息安全作用
互 联 网 时 代
1、提高企业经营管理信息的准确性和及时 性，有助于企业决策的进一步科学化。
2、促使企业业务办事程序和管理程序更加 合理，从而有助于增强企业的快速反应能力。
3、进一步促进企业资源的合理组合及利用， 使其在现有资源条件下达到最佳利用效果， 从而大大提高企业的生产经营效率和管理效 率。
4、给企业提供一个的强大、快捷的信息交 流平台，有助于我们紧紧跟踪一些先进经验 和成果，从而有助企业的发展，提高员工的 创新能力。
LOGO
我国信息化迅猛发展的数据
2010年1-2月，基础电信企业互联网宽带接入用户净增359.3万户， 达到10681.8万户
拒绝服
务
系统 Bug
信息资产
社会工 程
硬件故 障
网络通信故
障
供电中
断
失火
雷雨
地震
LOGO
1 系统因素 2 自然因素破坏 3 人为因素
四、企业信息安全威胁因素
1、系统的繁杂性。
体现：工作站中存在信息数据、移动介质、网络中其他系统、网络中其他资源、 访问Internet、访问其他局域网、到Internet的其他路由、电话和调制解调器、开 放的网络端口、远程用户、厂商和合同方的访问、访问外部资源、公共信息服务、 运行维护环境
根据《（集团）信息安全奖惩管理规定》第27条规定：根据违规事 实的性质和情节，分别予以口头警告、书面警告、通报批评及解除 劳动合同的处分，同时本集团有权作出罚款、降薪、降职、调岗等 处罚规定。
LOGO
案例1
LOGO
案例2
谢谢
企业信息安全
•
感 谢 阅 读
感 谢 阅 读
（Confidentiality）
可用性 （Availability）
LOGO
一、信息安全概述
1 信息安全 2 企业信息化
3
企业信息 化特征
4
企业信息 化内容
信息不能追求残缺美！
LOGO
1 信息安全 2 企业信息化
3
企业信息 化特征
4
企业信息 化内容
一、信息安全概述
实体安全：是保护计算机设备、设施（含网络）以及其他媒体免遭地震、水
2
制定企业信息 安全管理制度
LOGO
五、如何保证企业信息安全
1
培养员工安全 意识
2
制定企业信息 安全管理制度
2、宣传公司信息安全奖惩制度，鼓动员工维护信息安 全的积极性。
根据《（集团）信息安全奖惩管理规定》第23条规定：安全奖励事 件对应三类奖惩级别，从贡献程度由高到低分为：一级奖励、二级 奖励、三级奖励。分别对应奖励金额：3000元、2000员、1000元。
- 安全体系PDCA的状态
- 安全巡检工作开展
- 安全事件的事后审势
3、安全合规、事件处置的支持者.
- 生产运行活动 - 商业行为活动
- 安全事件的响应 - 安全合规、整改活动
LOGO
1 系统因素 2 自然因素破坏 3 人为因素
四、企业信息安全威胁因素
内部人员威 胁
黑客渗透
木马后门
病毒和蠕 虫
逻辑炸 弹
灾、火灾、有害气体和其他环境事故破坏的措施和过程。实际上，实体安全是 指环境安全、设备安全和媒体安全。
运行安全：是为了保障系统功能的安全实现，提供的一套安全措施来保护信
息处理过程的安全。为了保障系统功能的安全，可以采取风险分析、审计跟踪、 备份与恢复、应急处理等措施。
信息资产安全：是防止信息资产被故意的或偶然的非授权泄露、更改、破
1-4月，我国生产生产手机23290万部，增长34.5%; 微型计算机 7112万台，增长50.1%，其中笔记本电脑增长50.6%; 集成电路 190亿块，增长78.5%
1-4月，我国累计实现软件业务收入3626亿元，同比增长28.7%。 信息技术增值服务收入同比增长38.1%。集成电路设计开发收入 228亿元，同比增长63%。软件产品、系统集成和支持服务、信 息技术咨询和管理服务、嵌入式系统软件、分别实现1333、728、 320和638亿元，分别增长27%、25.1%、26.3%、23%。
LOGO
1 系统因素 2 自然因素破坏 3 人为因素
四、企业信息安全威胁因素
威胁更多是来自公司内部
黑客虽然可怕，可更多时候，内部人员威胁却更易被忽略，但却更容 易造成危害。 管理弱点：策略、程序、规章制度、人员意识、组织结构等的不足
据权威部门统计，内部人员犯罪（或与内部人员有关的犯罪）占到了 计算机犯罪总量的70%以上。