2019-信息安全意识培训-文档资料
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
16
信息处理与保护
u 各类信息,无论电子还是纸质,在标注、授权、访问、 存储、拷贝、传真、内部和外部分发(包括第三方转 交)、传输、处理等各个环节,都应该遵守既定策略 u 信息分类管理程序只约定要求和原则,具体控制和实现 方式,由信息属主或相关部门确定,以遵守最佳实践和 法律法规为参照 u 凡违反程序规定的行为,酌情予以纪律处分
信息安全意识培训
1
主要内容
1 2 3
什么是信息安全? 信息安全基本概念 如何保护好信息安全
2
装有100万的 保险箱
需要 3个悍匪、
1辆车,才能偷走。
公司损失: 100万
装有客户信息的 电脑
只要 1个商业间谍、 1个U盘,就能偷走。 公司损失: 所有客户!
3
什么是信息安全?
• 不止有产品、技术才是信息安全
4
信息安全无处不在
法律 合规 业务 连续 安全 策略
安全 组织
资产 管理
事件 管理
信息安全
人员 安全
开发 安全
网络 安全 访问 控制
物理 安全
5
信息安全的定义
Hale Waihona Puke Baidu广义上讲
领域—— 涉及到信息的保密性,完整性,可用性,真 实性,可控性的相关技术和理论。
本质上
1. 保护—— 系统的硬件,软件,数据 2. 防止—— 系统和数据遭受破坏,更改,泄露 3. 保证—— 系统连续可靠正常地运行,服务不中断
8
绝对的安全是不存在的
• 绝对的零风险是不存在的,要想实现零风险,也是不现实的;
• 计算机系统的安全性越高,其可用性越低,需要付出的成本也就越大, 一般来说,需要在安全性和可用性,以及安全性和成本投入之间做一 种平衡。 在计算机安全领域有一句格言:“真正安 全的计算机是拔下网线,断掉电源,放置在 地下掩体的保险柜中,并在掩体内充满毒气, 在掩体外安排士兵守卫。” 显然,这样的计算机是无法使用的。
快递行业信息泄密愈演愈烈。 泄露用户行程,不少用户反映受诈骗和影响行程安排, 影响出行安全。
东航等航空公司疑泄露乘 10 客信息
支付宝转账信息被谷歌抓取,直接搜索“site:shenghuo.alipay”就能 搜到转账信息,数量超过2000条。
这样的事情还有很多……
信 息 安 全 迫 在 眉 睫!!!
在WiFi技术的发展过程中,除了传输速率不断提升之外,安全加 密技术的不断增强也是其技术标准频繁更新的重要原因。而最早进 入WiFi标准的加密技术名为WEP(Wired Equivalent Privacy,有 线等效保密),但由于该技术的加密功能过于脆弱,很快就被2019 年和2019年推出的WPA(WiFi Protected Access,WiFi网络安全 存取)和WPA2技术所取代。
13
良好的安全习惯
从身边做起
重要信息的保密 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理
软件应用安全
计算机及网络访问安全 移动计算与远程办公 警惕社会工程学
重 要 信 息 的 保 密
15
信息保密级别划分
Secret机密、绝密
Confidencial 秘密 Internal Use内 部公开 Public公 开
9
泄密事件 1 2 3 4 5 “棱镜门”事件
信息安全事件
英国离岸金融业200多万份 邮件等文件泄密 支付宝转账信息被谷歌抓 取 如家等快捷酒店开房记录 泄露 中国人寿80万份保单信息 泄密
点评 网友总结的2019年十大信息安全事件 斯诺登充分暴露NSA的信息窃密手段,对世界信息安全 及信息化格局产生深远影响。 范围涉及170个国家13万富豪,是具有重大影响的金融 安全事件。 作为国内使用最广泛的支付平台,影响面大,是互联网 金融安全的典型案例。 涉及个人深度隐私,影响部分人家庭团结和社会稳定。 保单信息包含详尽的个人隐私信息,对个人声誉及生活 影响大。
两个层面
1. 技术层面—— 防止外部用户的非法入侵 2. 管理层面—— 内部员工的教育和管理
6
信息安全基本目标
保密性, 完整性, 可用性
C onfidentiality I ntegrity A vailability
CIA
7
怎样搞好信息安全?
一个软件公司的老总,等他所有的员工下班之 后,他在那里想:我的企业到底值多少钱呢?假 如它的企业市值1亿,那么此时此刻,他的企业就 值2600万。 因为据Delphi公司统计,公司价值的26%体现 在固定资产和一些文档上,而高达42%的价值是存 储在员工的脑子里,而这些信息的保护没有任何 一款产品可以做得到,所以需要我们建立信息安 全管理体系,也就是常说的ISMS(information security management system)!
6
7
搜狗手机输入法漏洞导致 大量用户信息泄露
Adobe 300万账户隐私信息 泄露
移动应用漏洞利用导致泄密情况值得警惕,微信漏洞泄 密个人关系图谱也证明该问题。
云计算方式会将软件单个漏洞影响扩大化。
8
9
雅虎日本再遭入侵 2200万 用户信息被窃取
圆通百万客户信息遭泄露
二次泄密,国际巨头对用户隐私也持漠视态度。
案例视频
17
重要信息的保密 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理
软件应用安全
计算机及网络访问安全 移动计算与远程办公 警惕社会工程学
工 作 环 境 及 物 理 安 全
18
工作环境安全
u 禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎纸 机粉碎 u 废弃或待修磁介质转交他人时应经IT专业管理部门消磁处理 u在复印机复印完成后,带走全部的复印材料 u等等
19
注意你的身边! 注意最细微的地方!
20
我们来看一个案例
您肯定用过银行的ATM机,您 插入银行卡,然后输入密码, 然后取钱,然后拔卡,然后离 开,您也许注意到您的旁边没 有别人,您很小心,可是,您 真的足够小心吗?……
21
22
23
24
25
26
WIFI安全
WiFi是一种短程无线传输技术,能够在数百英尺范围内支持互联网 接入的无线电信号。随着技术的发展,以及IEEE802.11a、802.11b 、802.11g以及802.11n等标准的出现,现在IEEE802.11这个标准已 被统称作WiFi。 第二次世界大战后,无线通讯因在军事上应用的成功而受到重视 ,但缺乏广泛的通讯标准。于是,IEEE(美国电气和电子工程师协会 )在2019年为无线局域网制定了第一个标准IEEE802.11。IEEE 802.11标准最初主要用于解决办公室局域网和校园网中用户的无线 接入,其业务主要限于数据存取,速率最高只能达到2Mbps。
信息处理与保护
u 各类信息,无论电子还是纸质,在标注、授权、访问、 存储、拷贝、传真、内部和外部分发(包括第三方转 交)、传输、处理等各个环节,都应该遵守既定策略 u 信息分类管理程序只约定要求和原则,具体控制和实现 方式,由信息属主或相关部门确定,以遵守最佳实践和 法律法规为参照 u 凡违反程序规定的行为,酌情予以纪律处分
信息安全意识培训
1
主要内容
1 2 3
什么是信息安全? 信息安全基本概念 如何保护好信息安全
2
装有100万的 保险箱
需要 3个悍匪、
1辆车,才能偷走。
公司损失: 100万
装有客户信息的 电脑
只要 1个商业间谍、 1个U盘,就能偷走。 公司损失: 所有客户!
3
什么是信息安全?
• 不止有产品、技术才是信息安全
4
信息安全无处不在
法律 合规 业务 连续 安全 策略
安全 组织
资产 管理
事件 管理
信息安全
人员 安全
开发 安全
网络 安全 访问 控制
物理 安全
5
信息安全的定义
Hale Waihona Puke Baidu广义上讲
领域—— 涉及到信息的保密性,完整性,可用性,真 实性,可控性的相关技术和理论。
本质上
1. 保护—— 系统的硬件,软件,数据 2. 防止—— 系统和数据遭受破坏,更改,泄露 3. 保证—— 系统连续可靠正常地运行,服务不中断
8
绝对的安全是不存在的
• 绝对的零风险是不存在的,要想实现零风险,也是不现实的;
• 计算机系统的安全性越高,其可用性越低,需要付出的成本也就越大, 一般来说,需要在安全性和可用性,以及安全性和成本投入之间做一 种平衡。 在计算机安全领域有一句格言:“真正安 全的计算机是拔下网线,断掉电源,放置在 地下掩体的保险柜中,并在掩体内充满毒气, 在掩体外安排士兵守卫。” 显然,这样的计算机是无法使用的。
快递行业信息泄密愈演愈烈。 泄露用户行程,不少用户反映受诈骗和影响行程安排, 影响出行安全。
东航等航空公司疑泄露乘 10 客信息
支付宝转账信息被谷歌抓取,直接搜索“site:shenghuo.alipay”就能 搜到转账信息,数量超过2000条。
这样的事情还有很多……
信 息 安 全 迫 在 眉 睫!!!
在WiFi技术的发展过程中,除了传输速率不断提升之外,安全加 密技术的不断增强也是其技术标准频繁更新的重要原因。而最早进 入WiFi标准的加密技术名为WEP(Wired Equivalent Privacy,有 线等效保密),但由于该技术的加密功能过于脆弱,很快就被2019 年和2019年推出的WPA(WiFi Protected Access,WiFi网络安全 存取)和WPA2技术所取代。
13
良好的安全习惯
从身边做起
重要信息的保密 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理
软件应用安全
计算机及网络访问安全 移动计算与远程办公 警惕社会工程学
重 要 信 息 的 保 密
15
信息保密级别划分
Secret机密、绝密
Confidencial 秘密 Internal Use内 部公开 Public公 开
9
泄密事件 1 2 3 4 5 “棱镜门”事件
信息安全事件
英国离岸金融业200多万份 邮件等文件泄密 支付宝转账信息被谷歌抓 取 如家等快捷酒店开房记录 泄露 中国人寿80万份保单信息 泄密
点评 网友总结的2019年十大信息安全事件 斯诺登充分暴露NSA的信息窃密手段,对世界信息安全 及信息化格局产生深远影响。 范围涉及170个国家13万富豪,是具有重大影响的金融 安全事件。 作为国内使用最广泛的支付平台,影响面大,是互联网 金融安全的典型案例。 涉及个人深度隐私,影响部分人家庭团结和社会稳定。 保单信息包含详尽的个人隐私信息,对个人声誉及生活 影响大。
两个层面
1. 技术层面—— 防止外部用户的非法入侵 2. 管理层面—— 内部员工的教育和管理
6
信息安全基本目标
保密性, 完整性, 可用性
C onfidentiality I ntegrity A vailability
CIA
7
怎样搞好信息安全?
一个软件公司的老总,等他所有的员工下班之 后,他在那里想:我的企业到底值多少钱呢?假 如它的企业市值1亿,那么此时此刻,他的企业就 值2600万。 因为据Delphi公司统计,公司价值的26%体现 在固定资产和一些文档上,而高达42%的价值是存 储在员工的脑子里,而这些信息的保护没有任何 一款产品可以做得到,所以需要我们建立信息安 全管理体系,也就是常说的ISMS(information security management system)!
6
7
搜狗手机输入法漏洞导致 大量用户信息泄露
Adobe 300万账户隐私信息 泄露
移动应用漏洞利用导致泄密情况值得警惕,微信漏洞泄 密个人关系图谱也证明该问题。
云计算方式会将软件单个漏洞影响扩大化。
8
9
雅虎日本再遭入侵 2200万 用户信息被窃取
圆通百万客户信息遭泄露
二次泄密,国际巨头对用户隐私也持漠视态度。
案例视频
17
重要信息的保密 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理
软件应用安全
计算机及网络访问安全 移动计算与远程办公 警惕社会工程学
工 作 环 境 及 物 理 安 全
18
工作环境安全
u 禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎纸 机粉碎 u 废弃或待修磁介质转交他人时应经IT专业管理部门消磁处理 u在复印机复印完成后,带走全部的复印材料 u等等
19
注意你的身边! 注意最细微的地方!
20
我们来看一个案例
您肯定用过银行的ATM机,您 插入银行卡,然后输入密码, 然后取钱,然后拔卡,然后离 开,您也许注意到您的旁边没 有别人,您很小心,可是,您 真的足够小心吗?……
21
22
23
24
25
26
WIFI安全
WiFi是一种短程无线传输技术,能够在数百英尺范围内支持互联网 接入的无线电信号。随着技术的发展,以及IEEE802.11a、802.11b 、802.11g以及802.11n等标准的出现,现在IEEE802.11这个标准已 被统称作WiFi。 第二次世界大战后,无线通讯因在军事上应用的成功而受到重视 ,但缺乏广泛的通讯标准。于是,IEEE(美国电气和电子工程师协会 )在2019年为无线局域网制定了第一个标准IEEE802.11。IEEE 802.11标准最初主要用于解决办公室局域网和校园网中用户的无线 接入,其业务主要限于数据存取,速率最高只能达到2Mbps。