信息安全意识培训

密码安全
控制措施 口令设臵时应避免使用以下组合： 生日 电话号码 身份证号码 用户名 姓名的拼音 英文名 其它系统已使用的口令 其它容易被别人猜测的内容
密码安全
控制措施 不安全的口令举例： 短口令（少于8个字符）：okokok 简单数字口令：11235813 简单英文单词：desktop 简单英文词组：comeonbaby 姓名拼音+常见数字：PETER2008 帐户+电话：peter13510283329
就是能够认知可能存在的信息安全问题，预估信息安全事 故对组织的危害，恪守正确的行为方式，并且执行在信息 安全事故发生时所应采取的措施。
信息安全的目标
确保信息在生成、传输、 保存过程中不会被泄漏。
保密性
确保信息及资源在有 需要的时候可以正常 使用。
可用性
完整性
确保信息在生成、传 输、保存过程中不会 被恶意修改。
传输安全
1
2
3
PDF文件加密
信息安全管理措施
信息 安全
上网行为安全
安全目标 防止通过网络服务感染病毒。 防止通过网络泄露公司敏感信息。
上网行为安全
案例说明 使用IE浏览器浏览种有木马的网站网页； 计算机感染木马； 受到的影响有； 盗取文件； 监控屏幕； 修改系统； 操控机器； ……其它您想得到和想不到的操作
密码安全
案例说明 相册密码被破解，不雅照片流传； 电脑密码被破解，重要资料被泄露； QQ密码被破解，向QQ上的好友借钱。
密码安全
事件分析 简单口令是不安全的，很容易被破解； 口令被破解后的影响非常严重，会导致； 信息被泄露； 行为被监控； 机器被操制； 成为新的病毒传染源； 成为新的木马扩散点。
什么是信息
对于现代企业来说，信息是一种资产，包括电子文 件、纸质文件、图纸、标准、专利、报价短信消息、 电话汇报等，信息资产是具有重要价值。
信息是 公司经 营重要 的资产。
什么是信息
以下哪些属于信息?
数据
专利 纸
计算机
声音 文件
信息安全意识
信息安全意识（Information Security Awareness），
物理安全
移动介质是最经常丢失引起数据泄露最方便的方式。 移动介质包括：笔记本电脑、掌上型电脑、移动硬盘 、U盘、光盘、磁带、存储卡及带有数据存储功能的可 移动设备（如MP3播放器，智能手机）等。
物理安全
控制措施 个人移动存储设备严禁带入公司内部网络使用。
信息安全管理措施
信息 安全
物理安全
控制措施 物理区域设臵门卫或门禁，非工作人员出入需登记； 严禁所有人员携带个人电脑进入公司，客户及供应商电 脑如需要进入公司需进行登记，禁止接入公司网络； 所有人员不得将门禁卡借与他人使用； 人员下班或较长时间离开房间时，房间门上锁； 文件柜、保险柜、档案柜上锁； 打印/复印后要及时取走； 作废的机密文档要以碎纸机碎掉或撕成碎块，不要直接 作为垃圾丢弃； 个人宿舍员工个人电脑仅限于宿舍区内使用。
上网行为安全
案例说明
www.cmb95555.com 钓鱼网站
www.cmbchina.com 官方网站
上网行为安全
案例说明 06年10月份左右，许多用户都收到了一封冒充招商银 行名义的邮件，该邮件以对账、核实账户消费记录等名义要 求客户登录招行网站查询详情，并提供招行网站的超级链接， 如果点击链接就会打开一个冒充招商银行的页面。该网页不 仅从页面布局及内容方面仿冒得很像，足以以假乱真，而且 域名也很具有欺骗性。该网站的域名是 “www.cmb95555.com”，真招行网站的域名是 “www.cmbchina.com”，“cmb”是招行的英文缩写， 而“95555”是使用招行账户的用户都非常熟悉的招行电话 银行号码，不法分子将cmb与95555组合在一起，就会让 用户不会对它产生怀疑，具有较强的欺骗性。用户往往误认 为自己进入了招行的真正网站，其实用户所造访的不过是一 个经过精心设计的假冒网站而已。
上网行为安全
网络服务包括以下等内容： 网站浏览； 即时通信（如QQ、MSN、ICQ等）； 文件下载； 视频点播； 如果电脑没有及时打补丁，没有安装防病毒软件，或 没有及时更新病毒库，则很容易在上网时感染病毒或 木马。
上网行为安全
控制措施 最简单但有效的措施： 不去访问不可靠的、可疑的网站； 不随意下载安装来历不明的软件； 禁止在网吧访问公司系统； 禁止使用QQ等即时通讯软件传输 文件 。
密码安全
控制措施 定期更改口令，至少每2个月改一次； 防止忘记口令的有效方法是：经常输入口令； 离开座位时，要锁定或关闭计算机； 不要把密码告诉别人。
信息安全管理措施
信息 安全
传输安全
案例说明 利用QQ传送文件； 利用163，sina，yahoo邮箱发送邮件； 利用网络U盘传送文件； 利用网络FTP传送文件； 重要机密文件未加密传输。
密码安全
安全目标 防止口令被破解而导致感染病毒 ，或中木马； 防止口令被破解而导致泄露公司 敏感信息。
病毒 Virus
木马 Trojan
密码安全
案例说明 破解Windows操作系统口令； 14位数字口令：只需3秒即可破解； 5位字母口令：只需60秒即可破解； 破解电子邮箱口令； 破解时间与口令复杂度有关； 简单口令：只需30秒即可破解。
物理安全
案例说明 1、全球每隔53秒钟就会有一台笔记本电脑失窃—— Software Insurance； 2、97%的失窃笔记本电脑都没有希望找回——FBI 3、你的笔记本电脑失窃的几率为10%，这意味着每十个人 中就有一个人会丢失笔记本电脑——Gartner Group 4、…… 惠普公司提供服务的富达投资公司的几名员工在公司以外 场所使用时被盗的。 这台笔记本电脑中储存了惠普公司的 19.6 万现有员工和以前员工的相关资料。具体资料包括员 工姓名、地址、社会保险号、生日和其他一些与员工有关 的资料。
法规要求
严禁私自占用、破坏公司电子设备 严禁未经授权发布公司经营情况 严禁利用任何网络、系统漏洞进行破坏行为 严禁泄露或交易客户信息 严禁发送违法信息 …其它相关信息安全管理要求 违反上述禁令的员工予以辞退；违反禁令造成严重后果的员工予以开 除；违反禁令涉嫌犯罪的员工依法移送司法机关；指使他人违反禁令的领 导人员、管理者将视同直接违反禁令予以处理；对违禁行为隐瞒不报、压 案不查、包庇袒护的，从严追究有关领导责任，予以纪律处分，直至撤职。 目前公司已对上网行为记录、文件传送记录、邮件收发记录监控管理。
方便性VS安全性
老板的声音 我需要网络系统全部都监管起来，做到绝对的安全，资料绝对不 能泄露到外面去。 信息安全做不到绝对的安全，最安全的主机和系统是把服务 器关机，放在一个10米深的地下室里，放上毒气，并上锁。 即便这样，也不绝对的安全。而且工作根本无法开展。 员工的声音 现在公司网络系统处处受限制，这样不是严重的影响我们的工作 效率吗？ 信息安全的确对工作的效率造成一定的影响，但是工作效率 再高，没有信息安全可言，有可能也等于零。比如：做了三 天的标书，投标前报价信息泄露被竞争对手获取，就算一天 把标书制作出来也是徒劳。
40
上网行为安全
控制措施 不随便使用光盘、移动硬盘等； 不打开可疑文件 – 尤其是可疑 的.EXE； 不打开可疑邮件； 及时更新操作系统补丁、应用程 序、浏览器…… 电脑要安装防病毒软件，并及时 更新病毒库。
符合性要求
中国陆续制定了多部与信息活动密切相关的法律，虽然大多不 专门针对网络环境，甚至有些也不针对电子信息，但它们的基本精 神对网络的建设、管理以及网络中的信息活动都有不同程度的指导 作用。 刑法 计算机信息系统安全保护条例
密码安全
控制措施 安全的口令应当同时包含以下内容： 大写字母 小写字母 数字 特殊符号 安全的口令长度不能小于8个字符、应定期修 改、应避免使用历史口令
密码安全
控制措施 较安全的口令举例： 一句话口令： 9月前，一定要把认证通过：9YQ,ydybxrztg! 我的口袋有33块：WoDeKouDaiY33K！ 神龟虽寿，犹有尽时：sgss,yyjs
物理安全
案例说明 2006年5月，美国退伍军人事务部的一名员工家被盗， 其中丢失的一台笔记本电脑中存有包括自1975年以来 大约2650万名美国退伍军人及其部分家属的Βιβλιοθήκη Baidu名、出 生日期和社会安全号码等个人信息，甚至还包括这些退 伍军人的配偶、身体健康状况等。尽管有前车之鉴，但 类似的事件仍然层出不穷。 据统计丢失一台未加密的商用电脑损失平均达30万人民 币
法规要求
刑法第２８５条规定
“违反国家规定，侵入前款规定以外的计算机信息系统 或者采用其他技术手段，获取该计算机信息系统中存储、 处理或者传输的数据，或者对该计算机信息系统实施非 法控制，情节严重的，处三年以下有期徒刑或者拘役， 并处或者单处罚金；情节特别严重的，处三年以上七年 以下有期徒刑，并处罚金。” “提供专门用于侵入、非法控制计算机信息系统的 程序、工具，或者明知他人实施侵入、非法控制计算机 信息系统的违法犯罪行为而为其提供程序、工具，情节 严重的，依照前款的规定处罚。” 熊猫烧香病毒事件，李俊被判处有期徒刑4年；王磊被判处有期徒刑2 年6个月；张顺被判处有期徒刑2年；雷磊被判处有期徒刑一年。
保守国家秘密法
著作权法 国家安全法
计算机病毒防治管理办法
计算机信息网络国际联网安全 保护管理办法
反不正当竞争法
法规要求
案例说明：
27岁的德化人阿德应聘到晋江人鞋厂当业务员，主要负责发 展公司客户和拉订单。应聘时，双方还特别约定，阿德在工作期间 将公司客户资料和订单外泄，窃取和外泄公司商业秘密；事发后， 阿德赔偿鞋厂经济损失并支付违约金30万元。 苹果iPad 2的3D设计图档为商业秘密，被害公司因商业秘密泄 露造成的直接经济损失达人民币206万元。2011年3月23日，深圳 市宝安区检察院以涉嫌侵犯商业秘密罪对犯罪嫌疑人肖某、林某、 侯某提起公诉。
传输安全
控制措施 使用公司邮箱、OA系统进行信息交流或文件传送； 重要机密文件进行加密处理； 重要机密文件做好定期备份工作。
传输安全
Word,excel加密码方法
Word
Excel
传输安全
RAR加密码方法
RAR文件加密
传输安全
控制措施 如果不希望别人编辑您的文件，可以把文件转换成 pdf文件。而且可以根据需求可对PDF文件进行访 问、复制、打印等权限进行加密处理。
信息保密级别定义
绝密 机密
秘密
一般
我们的目标
– 建立对信息安全的敏感意识和正确认识
– 掌握信息安全的基本概念、原则和惯例
– 清楚可能面临的威胁和风险 – 遵守各项安全策略和制度 – 在日常工作中养成良好的安全习惯 – 最终提升整体的信息安全水平
信息安全管理措施
信息 安全
物理安全
安全目标 防止物理设备在未授权的情况下被访问、或损坏 ，确保硬件的绝对安全，尽量做到点对点，减少 中间的流转环节。尽量对移动存储器中的内容进 行加密设臵，防止未授权人员对其进行访问。
方便性VS安全性
方便性与安全性，相互影响相互牵制，一味的强调方便性，不 考虑安全性，造成的影响可能是致命的，回过头来，如果一味的强 调安全性，处处进行最严格的管制，公司经营可能就无法开展，而 无法使企业得到成长，所有方便性与安全性需要做到一个合理的平 衡点，导入信息安全是公司安全、稳定发展的基石与保障。信息安 全是全体成员的义务与责任，只有大家具备良好的信息安全意识， 深入的了解与配合。才能真正的帮助到公司的健康安全的发展。
信息安全意识培训
主讲人：张工
2017年8月7日星期一
内容大纲
1 2 3
什么是信息安全 信息安全意识 如何做好信息安全
什么是信息安全
采取措施保护信息资产，使 之不因偶然或者恶意侵犯而遭受 破坏、更改及泄露，保证信息系 统能够连续、可靠、正常地运行， 使安全事件对业务造成的影响减 到最小，确保组织业务运行的连 续性。