华为信息安全宣传PPT课件
合集下载
信息技术信息安全课件(多场合应用)
信息技术信息安全课件一、引言随着信息技术的飞速发展,信息安全已经成为我国信息化建设的重要组成部分。
保障信息安全,对于维护国家安全、促进经济发展、保障人民群众利益具有重要意义。
本课件旨在介绍信息安全的基本概念、常见威胁及防范措施,提高大家对信息安全的认识和能力。
二、信息安全基本概念1.信息安全定义信息安全是指保护信息系统及其所处理的信息,防止因偶然或恶意的原因而遭受破坏、篡改、泄露,确保信息的真实性、完整性、可用性和保密性。
2.信息安全属性(1)真实性:确保信息来源真实,不被篡改。
(2)完整性:确保信息在传输、存储过程中不被破坏、篡改。
(3)可用性:确保信息在需要时能够正常使用。
(4)保密性:确保信息不被未经授权的人员获取。
(5)不可抵赖性:确保信息行为者不能否认其行为。
三、信息安全威胁1.黑客攻击:通过网络手段,非法入侵他人计算机系统,窃取、篡改、破坏信息。
2.计算机病毒:编制或修改计算机程序,使其具有破坏、传播、繁殖等功能,对计算机系统造成危害。
3.木马程序:隐藏在正常软件中,用于窃取用户信息、远程控制计算机等恶意目的。
4.社会工程学:利用人类心理弱点,诱使用户泄露敏感信息。
5.信息泄露:由于管理不善、技术漏洞等原因,导致敏感信息泄露。
6.拒绝服务攻击:通过发送大量请求,使目标系统瘫痪,无法正常提供服务。
四、信息安全防范措施1.法律法规:建立健全信息安全法律法规体系,为信息安全提供法律保障。
2.技术手段:采用加密、防火墙、入侵检测、病毒防护等技术手段,提高信息系统安全性。
3.安全意识:加强信息安全宣传教育,提高用户安全意识,防范社会工程学攻击。
4.安全管理:建立完善的信息安全管理制度,加强对信息系统的监控和管理。
5.数据备份:定期对重要数据进行备份,防止数据丢失或损坏。
6.安全审计:对信息系统进行安全审计,发现安全隐患,及时整改。
五、结论信息安全是信息化建设的重要保障。
面对日益严峻的信息安全形势,我们应充分认识信息安全的重要性,加强信息安全意识,采取有效措施,防范信息安全威胁,确保我国信息化建设的顺利进行。
《华为安全课件》PPT
《华为安全课件》PPT
欢迎来到《华为安全课件》PPT!在这份课件中,我们将带您深入了解华为 安全的重要性以及如何应对各种网络安全威胁。
华为安全课件的目的
本节将介绍华为安全课件开发的目的,帮助用户了解并提高网络安全意识,以保护个人和组织的信息安 全。
华为安全威胁概述
通过分析当前广泛存在的网络安全威胁,我们将帮助您了解各种类型的攻击, 并了解恶意软件、黑客攻击和社交工程等威胁的风险与影响。
华为的安全保护体系
华为拥有完善的安全保护体系,包括多层次的安全策略、严格的访问控制、 可信赖的安全设备等,以确保用户的信息安全和业务连续性。
常见的网络攻击类型
在本节中,我们将介绍常见的网络攻击类型,如DDoS攻击、钓鱼攻击、恶意 软件和勒索软件等,以及如何应对和防范这些威胁。
华为安全解决方案
作为全球领先的信息与通信解决方案供应商,华为提供一系列安全解决方案,包括网络安全、云安全、 终端安全等,以帮助用户应对不断变化的安全挑战。
华为安全培训计划
为了提高用户的课程、实践训练和认证考试,以帮助用户掌握最新的安全知识和技术。
总结和建议
通过本课件的学习,您应该对华为安全的重要性有所了解,并学到一些防范 网络安全威胁的基本知识和技巧。建议您继续关注最新的安全动态,并采取 适当的措施保护个人和组织的信息安全。
欢迎来到《华为安全课件》PPT!在这份课件中,我们将带您深入了解华为 安全的重要性以及如何应对各种网络安全威胁。
华为安全课件的目的
本节将介绍华为安全课件开发的目的,帮助用户了解并提高网络安全意识,以保护个人和组织的信息安 全。
华为安全威胁概述
通过分析当前广泛存在的网络安全威胁,我们将帮助您了解各种类型的攻击, 并了解恶意软件、黑客攻击和社交工程等威胁的风险与影响。
华为的安全保护体系
华为拥有完善的安全保护体系,包括多层次的安全策略、严格的访问控制、 可信赖的安全设备等,以确保用户的信息安全和业务连续性。
常见的网络攻击类型
在本节中,我们将介绍常见的网络攻击类型,如DDoS攻击、钓鱼攻击、恶意 软件和勒索软件等,以及如何应对和防范这些威胁。
华为安全解决方案
作为全球领先的信息与通信解决方案供应商,华为提供一系列安全解决方案,包括网络安全、云安全、 终端安全等,以帮助用户应对不断变化的安全挑战。
华为安全培训计划
为了提高用户的课程、实践训练和认证考试,以帮助用户掌握最新的安全知识和技术。
总结和建议
通过本课件的学习,您应该对华为安全的重要性有所了解,并学到一些防范 网络安全威胁的基本知识和技巧。建议您继续关注最新的安全动态,并采取 适当的措施保护个人和组织的信息安全。
信息安全意识培训信息安全常识PPT课件
信息安全意识 培训信息安全 常识
目录
一、信息安全常识
二、信息安全形势
三、信息安全防护
一、信息安全常识
我们身边有哪些安全问题?
火灾
水灾
交通事故
街头抢劫
我们需要保护人身安全与财产安全!
我国信息化迅猛发展
信息技术已经广泛渗透到各行各业
– 事业单位:政府、医疗卫生、教育、科研 – 金融:银行、证券、保险 – 能源:煤炭、石油、电力 – 电信运营商:移动、联通、电信
为什么需要保护信息?
“恶意软件”危害严重
序号
类别\特点
危害性
窃密性
1 2
3 4 5 6
计算机病毒 蠕虫
木马 间谍软件 网络钓鱼 僵尸网络
电脑崩溃、破坏文件 消耗CPU与网络资源
完全控制远程电脑 窃取密码、个人信息 窃取网银账户信息与密码 网络军队:完全控制远程电脑 窃取密码、垃圾邮件、DDoS攻击
数据 文档
为什么需要保护信息?
人是复杂的,“威胁”时刻存在
为什么需要保护信息?
人是复杂的,“威胁”到处存在
为什么需要保护信息?
信息与信息系统是“重要资产”,能够提高效率、 降低成本、增强核心竞争力,创造利润。
分类 硬件 软件 服务费 信息资产成本 500,000 200,000 300,000 1,000,000 金额 (单位:元)
为什么培训安全意识?
社会工程学攻击工作模式示例
只有“安全意识培训”能够防范社会工程学攻击!
为什么培训安全意识?
信息资产防护投入与组织盈利能力关系
为什么培训安全意识?
外因是条件,内因是关键; 外因是危险的网络环境,病毒、木马,钓鱼,欺诈等; 内因是自己对信息安全的意识和重视。
目录
一、信息安全常识
二、信息安全形势
三、信息安全防护
一、信息安全常识
我们身边有哪些安全问题?
火灾
水灾
交通事故
街头抢劫
我们需要保护人身安全与财产安全!
我国信息化迅猛发展
信息技术已经广泛渗透到各行各业
– 事业单位:政府、医疗卫生、教育、科研 – 金融:银行、证券、保险 – 能源:煤炭、石油、电力 – 电信运营商:移动、联通、电信
为什么需要保护信息?
“恶意软件”危害严重
序号
类别\特点
危害性
窃密性
1 2
3 4 5 6
计算机病毒 蠕虫
木马 间谍软件 网络钓鱼 僵尸网络
电脑崩溃、破坏文件 消耗CPU与网络资源
完全控制远程电脑 窃取密码、个人信息 窃取网银账户信息与密码 网络军队:完全控制远程电脑 窃取密码、垃圾邮件、DDoS攻击
数据 文档
为什么需要保护信息?
人是复杂的,“威胁”时刻存在
为什么需要保护信息?
人是复杂的,“威胁”到处存在
为什么需要保护信息?
信息与信息系统是“重要资产”,能够提高效率、 降低成本、增强核心竞争力,创造利润。
分类 硬件 软件 服务费 信息资产成本 500,000 200,000 300,000 1,000,000 金额 (单位:元)
为什么培训安全意识?
社会工程学攻击工作模式示例
只有“安全意识培训”能够防范社会工程学攻击!
为什么培训安全意识?
信息资产防护投入与组织盈利能力关系
为什么培训安全意识?
外因是条件,内因是关键; 外因是危险的网络环境,病毒、木马,钓鱼,欺诈等; 内因是自己对信息安全的意识和重视。
《信息安全》PPT课件
VPN(虚拟专用网络)技术通 过在公共网络上建立加密通道 ,确保远程用户安全地访问企 业内部网络资源。VPN技术提 供了数据加密、身份认证和访 问控制等安全功能。
远程访问安全最佳 实践
采用强密码认证、定期更换密 码、限制远程访问权限等安全 措施,确保远程访问的安全。 同时,结合VPN技术,进一步 提高远程访问的安全性。
信息安全风险是指由于威胁的存在而 导致的信息系统或其所在组织的潜在 损失,包括数据泄露、系统瘫痪、财 务损失、声誉损害等。
信息安全法律法规及合规性
信息安全法律法规
各国政府都制定了相应的信息安全法律法规,以确保信息安 全的合法性和规范性。例如,中国的《网络安全法》、欧洲 的《通用数据保护条例》(GDPR)等。
持续改进策略及最佳实践
持续改进策略
定期对信息安全管理体系进行审 查和评估,发现问题及时改进,
确保体系的持续有效运行。
最佳实践分享
借鉴国内外先进的信息安全管理经 验和最佳实践,不断提升组织的信 息安全管理水平。
创新技术应用
积极探索和应用新的信息安全技术 和管理手段,提高信息安全的防护 能力和效率。
THANK YOU
100%
数据备份策略
阐述定期备份数据的重要性,以 及不同备份策略(如完全备份、 增量备份、差异备份等)的优缺 点。
80%
数据恢复技术
探讨数据恢复的概念、方法及最 佳实践,包括文件恢复、数据库 恢复等。
数据泄露防护技术
数据泄露途径
分析数据泄露的常见途径,如 内部泄露、供应链泄露、网络 攻击等。
数据泄露防护策略
风险评估方法与流程
风险评估方法
采用定性与定量相结合的方法,对潜在的信息安全风险进行评估, 包括威胁识别、脆弱性分析、风险值计算等。
远程访问安全最佳 实践
采用强密码认证、定期更换密 码、限制远程访问权限等安全 措施,确保远程访问的安全。 同时,结合VPN技术,进一步 提高远程访问的安全性。
信息安全风险是指由于威胁的存在而 导致的信息系统或其所在组织的潜在 损失,包括数据泄露、系统瘫痪、财 务损失、声誉损害等。
信息安全法律法规及合规性
信息安全法律法规
各国政府都制定了相应的信息安全法律法规,以确保信息安 全的合法性和规范性。例如,中国的《网络安全法》、欧洲 的《通用数据保护条例》(GDPR)等。
持续改进策略及最佳实践
持续改进策略
定期对信息安全管理体系进行审 查和评估,发现问题及时改进,
确保体系的持续有效运行。
最佳实践分享
借鉴国内外先进的信息安全管理经 验和最佳实践,不断提升组织的信 息安全管理水平。
创新技术应用
积极探索和应用新的信息安全技术 和管理手段,提高信息安全的防护 能力和效率。
THANK YOU
100%
数据备份策略
阐述定期备份数据的重要性,以 及不同备份策略(如完全备份、 增量备份、差异备份等)的优缺 点。
80%
数据恢复技术
探讨数据恢复的概念、方法及最 佳实践,包括文件恢复、数据库 恢复等。
数据泄露防护技术
数据泄露途径
分析数据泄露的常见途径,如 内部泄露、供应链泄露、网络 攻击等。
数据泄露防护策略
风险评估方法与流程
风险评估方法
采用定性与定量相结合的方法,对潜在的信息安全风险进行评估, 包括威胁识别、脆弱性分析、风险值计算等。
[实用参考]华为信息安全宣传.pptx
![[实用参考]华为信息安全宣传.pptx](https://img.taocdn.com/s3/m/c46bcaaaaeaad1f346933ff9.png)
一般的产品、技术、平台的 预研、规划、设计、开发、 测试环境
绿区(低)
针对以共享为主、效率优 先,不涉及关键信息资产 的部门
合作、外包、对外演示、 对外测试、移动办公环境
网络环境安全分区隔离与管控
红区完全独立 黄区业务上云 用户和实验室迁入绿区,仅少量继续保留在黄区 用户跨区访问必须经数传跳转
纸件销毁
包含保密信息的纸件在废弃时(如:复印效果差、打印未完成),可使用碎 纸机销毁,不应随意丢弃
委托外部公司对包含保密信息的存储截止进行数据恢复时,应经过主管批准,并选择公司指定的 供应商。当涉及绝密/机密信息的数据恢复时,必须经过信息生成方责任人批准。
权限管理:权限分类与定义
定义
基本权限—能够满足本岗位工作所需的必要权限,该权限在员工到岗后自动授权 例外权限—基本权限不能满足工作需要,须经流程申请获得的权限 系统权限—信息资产存储系统的系统管理、应用平台管理、应用管理(数据管理)等 权限,须经流程申请并经审批后授权并纳入机要管理 机要权限—机要岗位所特有的权限,包括信息资产及重要数据系统的权限设、数据管 理、数据出口管理、数据传递等权限
华为研发安全环境分区:红区、黄区、绿区
信息资产
环境
部门
业务
关键信
红区(高)
息资产 大量集中
针对以安全保护为主的、 涉及大量/集中关键信息 资产的关键项目或产品 的部门
竞争激烈领域的主力产品, 关键技术、主力平台,识 别为关键项目的预研、规 划、审计、开发、ห้องสมุดไป่ตู้试等 业务
非关键
信息资 产
黄区(中)
针对以安全与效率平衡、 涉及分散关键信息资产的 项目或产品的部门
级(含以上)主管
《信息安全》PPT课件 (2)
硬件等。 • (3)隐蔽性:主要表现在传染的隐蔽性和自身存在的隐蔽性。 • (4)寄生性:病毒程序寄生到宿主程序中,宿主程序一旦执行,病毒程序就被激
活,从而可以进行自我复制和繁衍。
10
10.2 计算机病毒
• (5)潜伏性:计算机病毒都有一定的潜伏期。当满 足病毒触发条件时便会发作。
• (6)触发性:计算机病毒一般都设定了一些触发条 件,如系统时钟的某个时间或日期,系统运行了某 些程序,某些文件使用了一定的次数等。
• 计算机病毒就是一个特殊的计算机程序。 10.2.2 计算机病毒的分类及特征 • 1.计算机病毒的分类: • (1)引导扇区病毒:能够替换计算机启动时要使用的
引导扇区程序;运行受感染的引导程序,实际上使用 的是改变之后的、受感染的引导程序,这样计算机便 把病毒加载到了内存及CPU之中。计算机病毒一旦进 入内存,便会传染到该计算机中的任何磁盘上。
第10章 信息安全
1
本章目录
• 10.1 信息安全概述 • 10.2 计算机病毒 • 10.3 黑客 • 10.4 信息安全技术简介
2
10.1信息安全概述
10.1.1 信息安全基本概念 • 信息安全:安全保护措施,以保护计算机系统中的硬
件、软件及数据,防止因偶然或恶意的原因而使系 统或信息遭到破坏、更改或泄漏 • 信息安全的目标就是要保证信息系统保密性、完整 性、可用性、可控性等特征不被威胁和破坏。 • 保密性是指信息不泄露给非授权的用户;完整性是 指数据不得非法篡改;可用性是指被授权的实体(用 户)需要存取信息时可以存取信息;可控性是指对 信息的传播及内容具有控制能力。
16
10.4 信息安全技术简介
• 防火墙的介绍
• 防火墙是一个位于内部网络与Internet之间的计算 机或网络设备中的一个功能模块,是按照一定的安 全策略建立起来的硬件和软件的有机组成体,其目 的是为内部网络或主机提供安全保护。
活,从而可以进行自我复制和繁衍。
10
10.2 计算机病毒
• (5)潜伏性:计算机病毒都有一定的潜伏期。当满 足病毒触发条件时便会发作。
• (6)触发性:计算机病毒一般都设定了一些触发条 件,如系统时钟的某个时间或日期,系统运行了某 些程序,某些文件使用了一定的次数等。
• 计算机病毒就是一个特殊的计算机程序。 10.2.2 计算机病毒的分类及特征 • 1.计算机病毒的分类: • (1)引导扇区病毒:能够替换计算机启动时要使用的
引导扇区程序;运行受感染的引导程序,实际上使用 的是改变之后的、受感染的引导程序,这样计算机便 把病毒加载到了内存及CPU之中。计算机病毒一旦进 入内存,便会传染到该计算机中的任何磁盘上。
第10章 信息安全
1
本章目录
• 10.1 信息安全概述 • 10.2 计算机病毒 • 10.3 黑客 • 10.4 信息安全技术简介
2
10.1信息安全概述
10.1.1 信息安全基本概念 • 信息安全:安全保护措施,以保护计算机系统中的硬
件、软件及数据,防止因偶然或恶意的原因而使系 统或信息遭到破坏、更改或泄漏 • 信息安全的目标就是要保证信息系统保密性、完整 性、可用性、可控性等特征不被威胁和破坏。 • 保密性是指信息不泄露给非授权的用户;完整性是 指数据不得非法篡改;可用性是指被授权的实体(用 户)需要存取信息时可以存取信息;可控性是指对 信息的传播及内容具有控制能力。
16
10.4 信息安全技术简介
• 防火墙的介绍
• 防火墙是一个位于内部网络与Internet之间的计算 机或网络设备中的一个功能模块,是按照一定的安 全策略建立起来的硬件和软件的有机组成体,其目 的是为内部网络或主机提供安全保护。
信息安全培训ppt模板课件
位同事相互监督,避免给公司造成不必要的损失
SECURITY 制作病毒用来做什么?
SECURITY
计算机病毒
熊猫烧香
编制或者在计算机中插入的破坏计 算机功能或者破坏数据,影响计算 机使用并且能够自我复制的一组计 算机指令或者程序代码。
蠕虫
蠕虫也是病毒,不同的是通过复制自身在 互联网环境下进行传播,与病毒的传染能 力主要针对计算机内文件系统不同,蠕虫 传染目标是互联网内的所有计算机。
给自己和公司带来损失,请大家及时的把重要文件放到公司服 务器中,或者备份到安全的存储设备中
SECURITY 电脑设备使用注意事项
请勿私自联系第三方维修服务对电脑和外部设备进行维修 请勿随意抛弃不使用的设备 不要随意进行消磁,甚至拆解处理
在您使用电脑的过程中如出现您无法控制的情况, 请您及时与网络管理员联系。
1.公司电脑为什么必须输入口令
向系统表明自己的身份,登录系统,获取权限 阻止其他人以自己的身份登录系统 阻止未授权用户登录系统
良好的习惯:请各位同事在离开计算机
时随手按下CTRL+ALT+DELETE三个按键 ,锁定计算机。
2.公司电脑设置口令要注意什么?
不能设置过于简单的弱口令 公司电脑的密码规则要求是设置不能小于8位的
并列为国家安全的重要组成要素。非传统安全问题日益得到重视。
信息安全趋势 SECURITY
趋利性
为了炫耀能力的黑客少了,为了非法取 得政治、经济利益的人越来越多
隐蔽性
信息安全的一个最大特点就是看不见摸 不着。在不知不觉中就已经中了招,在 不知不觉中就已经遭受了重大损失。
SECURITY 新应用导致新的安全问题
息,这样可以起到一个追朔性。
SECURITY 制作病毒用来做什么?
SECURITY
计算机病毒
熊猫烧香
编制或者在计算机中插入的破坏计 算机功能或者破坏数据,影响计算 机使用并且能够自我复制的一组计 算机指令或者程序代码。
蠕虫
蠕虫也是病毒,不同的是通过复制自身在 互联网环境下进行传播,与病毒的传染能 力主要针对计算机内文件系统不同,蠕虫 传染目标是互联网内的所有计算机。
给自己和公司带来损失,请大家及时的把重要文件放到公司服 务器中,或者备份到安全的存储设备中
SECURITY 电脑设备使用注意事项
请勿私自联系第三方维修服务对电脑和外部设备进行维修 请勿随意抛弃不使用的设备 不要随意进行消磁,甚至拆解处理
在您使用电脑的过程中如出现您无法控制的情况, 请您及时与网络管理员联系。
1.公司电脑为什么必须输入口令
向系统表明自己的身份,登录系统,获取权限 阻止其他人以自己的身份登录系统 阻止未授权用户登录系统
良好的习惯:请各位同事在离开计算机
时随手按下CTRL+ALT+DELETE三个按键 ,锁定计算机。
2.公司电脑设置口令要注意什么?
不能设置过于简单的弱口令 公司电脑的密码规则要求是设置不能小于8位的
并列为国家安全的重要组成要素。非传统安全问题日益得到重视。
信息安全趋势 SECURITY
趋利性
为了炫耀能力的黑客少了,为了非法取 得政治、经济利益的人越来越多
隐蔽性
信息安全的一个最大特点就是看不见摸 不着。在不知不觉中就已经中了招,在 不知不觉中就已经遭受了重大损失。
SECURITY 新应用导致新的安全问题
息,这样可以起到一个追朔性。
《信息安全》课件
黑客入侵了微软的网络,窃取了大量用户 的敏感信息。
3 法国电视台网站遭黑客攻击案
4 湖北省公安厅网络系统遭攻击案
黑客攻击导致法国电视台的网站被篡改, 发布了不实信息。
湖北省公安厅的网络系统遭遇黑客攻击, 重要数据遭到窃取。
总结与展望
信息安全的挑战
随着信息技术的发展,信 息安全面临着新的挑战, 需要不断完善保障措施。
信息安全管理
安全方案设计
根据实际情况制定 信息安全策略和措 施,保障信息资产 的安全。
风险评估
识别和评估各种潜 在威胁和风险,制 定相应的应对措施。
安全培训
提供员工和用户的 信息安全培训,增 强他们的安全意识 和能力。
应急响应
建立应对安全事件 的响应机制,及时 处置安全漏洞和威 胁。
信息安全实践
安全策略制定
根据企业需求和风 险评估结果,制定 全面的信息安全策 略。
安全风险管理
通过安全评估、漏 洞管理等手段,降 低信息安全风险。
安全控制实施
应用各项信息安全 措施,加强对系统 和数据的保护。
安全事件处理
对发生的安全事件 进行调查、分析和 处理,防止二次损 失。
信息安全法律法规
信息安全法
确保网络安全和信 息安全的法律法 体系。
【涵盖内容】信息安全包括网络安全、系统安全、应用安全、物理安全和管 理安全等方面。
主要威胁
病毒和恶意软件
这些恶意程序会感染计算机系统,窃取信息 或破坏系统。
数据泄露
未经授权的数据访问、传输错误或故意泄露 等都可能导致重大损失。
网络攻击
黑客、网络钓鱼等针对网络系统的攻击,可 能导致信息泄露或系统瘫痪。
《信息安全》PPT课件
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
针对以安全与效率平衡、 涉及分散关键信息资产的 项目或产品的部门
一般的产品、技术、平台的 预研、规划、设计、开发、 测试环境
绿区(低)
针对以共享为主、效率优 先,不涉及关键信息资产 的部门
.
合作、外包、对外演示、 对外测试、移动办公环境
2
网络环境安全分区隔离与管控
红区完全独立 黄区业务上云 用户和实验室迁入绿区,仅少量继续保留在黄区 用户跨区访问必须经数传跳转
级(含以上)主管
(含以上)主管
信息生成方二级 (含以上)主管
秘密
信息生成方三级 (含以上)主管
信息需求方部门直接 (含以上)主管
信息需求方或员 工本部门直接 (含以上)主管
信息生成方或员 工本部门三级 (含以上)主管
内部公开 同上
不需要审批
不需要审批
同上
备注:
1、信息责任人可以授权相关组织或人员履行具体职责,但管理责任不因委托关系而转移。
.
1
华为研发安全环境分区:红区、黄区、绿区
信息资产
环境
部门
业务
关键信
红区(高)
息资产 大量集中
针对以安全保护为主的、 涉及大量/集中关键信息 资产的关键项目或产品 的部门
竞争激烈领域的主力产品, 关键技术、主力平台,识 别为关键项目的预研、规 划、审计、开发、测试等 业务
非关键 信息资
产
黄区(中)
信息资产识别与定级
资产密级
绝密
机密
秘密
内部 公开
关键资产
非关键资产
基于与战略竞争对手拉开并保持差距的
市场竞争策略,在市场竞争态势中使我
司处于优势地位,且对未来业务和产品 关键资产以外的信息资产,包括秘密和
发展有重大影响的,或战略竞争对手特
内部公开两个密级。
别关注,获取后将严重影响我司产品核 跨产品/跨部门的非关键信息资产申请
2、经信息安全部同意,各部门可以制定和发布审批细则,进一步明确信息密级所对应的审批级别。
.
4
信息资产跨区域传输的安全通道
.
5
信息资产的清除
包含保密信息的存储介质/设备,在进行数据清除时,要求如下:
删除数据
属于存储介质/设备使用人或用途发生改变时。
低级格式化
属于资产归属转出或外借设备归还时。 如:便携机资产转个人、归还借用供应商的存储设备
心竞争优势的信息资产。
由需求方主管说了算。
包括但不限于:算法、架构、方案、特 秘密级不应加密。内部公开级不允许
性、需求、规划等。其载体包含但不限
RMS加密。
于:源代码、原理图、文档、会议纪要 在Hi3MS发布或存放的文档不允许加
等。
密。
关键信息资产占信息资产总量的5%左右。
关键资产需要加密,例外情况需备案。
.
12
研发关键信息资产的识别流程(非IPD类)
.
13
技术断裂点的设计
概念
➢ “技术断裂点”可以形象的理解为“技术屏障”,是防止竞争对手追赶的“护城 河”,是与竞争对手“形成差距、拉开差距、保持差距”的技术措施,技术断裂 点可以避免竞争对手快速跟进,做出同样的产品。
目的
➢ 防止战略竞争对手获取(如排他协议、自研与合作结合、多供应商合作等); ➢ 防止战略竞争对手Copy(如带自有专利、自研ASIC等); ➢ 防止战略竞争对手绕行(如有基本专利、技术买断等)
物理销毁或消磁 属于资产报废或涉及绝密/机密信息的数据清除。
纸件销毁
包含保密信息的纸件在废弃时(如:复印效果差、打印未完成),可使用碎 纸机销毁,不应随意丢弃
委托外部公司对包含保密信息的存储截止进行数据恢复时,应经过主管批准,并选择公司指定的 供应商。当涉及绝密/机密信息的数据恢复时,必须经过信息生成方责任人批准。
.
3
信息资产的获取与共享
只要业务需求是合理的,任何人无权拒绝提供信息或擅自提高主管审批级别;对于阻碍信息共享 的行为,可以进行投诉。内部信息交流或对公司外提供信息时,应遵循以下审批原则:
密级
确定密级
获取信息
内部信息交流 共享信息
对外提供信息
信息生成方二级 绝密/机密
(含以上)主管
信息生成方和需求方二 信息生成方二级
权限分 离
监督/问责 信管办
冒泡 检测
行权(数传)
提取关键资产 数据管理员
传递关键资产 数传员
“虎符”制
8
例外权限:信息资产查阅与获取流程冒泡问责机制
.
9
信息资产管理平台-iRight
.
10
信息资产管理平台-iRight(续)
.
11
研发关键信息资产的识别流程(IPD类)
1、流程支撑 关键信息资产的识别、评审、加密活动均有IT流程支撑(iRight权限平台) 2、例行识别 在TR2前识别关键信息资产并完成定密,制定信息安全策略 3、例行刷新 在TR5对关键信息资产清单重新审视 4、例行解密 在进入后生命周期阶段对关键资产降密进行评审
.
6
权限管理:权限分类与定义
定义
基本权限—能够满足本岗位工作所需的必要权限,该权限在员工到岗后自动授权 例外权限—基本权限不能满足工作需要,须经流程申请获得的权限 系统权限—信息资产存储系统的系统管理、应用平台管理、应用管理(数据管理)等 权限,须经流程申请并经审批后授权并纳入机要管理 机要权限—机要岗位所特有的权限,包括信息资产及重要数据系统的权限设、数据管 理、数据出口管理、数据传递等权限
.
7
权限管理:授权与行权
授权
基本使用/审批权 数据库导入
例外使用/审批权 例外权限申请 数据管理权 例外权限申请 数据传递权 例外权限申请
监督权/问责权 例外权限申请
行权(审批)
申请 使用人
需求使用确认
需求方二级 审批人
需求合理性 确认
生成方二级 审批人
审批 生成方研发部
长
确认 首席机要员
权限监 督
.
14