2024年-員工信息安全意識培訓幻燈片

2018信息安全提升系列（一）信息技術部2018-02-1215/10/2024普通員工信息安全意識培訓25/10/2024信息安全意識，就是能夠認知可能存在的信息安全問題，預估信息安全事故對組織的危害，恪守正確的行為方式，并且執(zhí)行在信息安全事故發(fā)生時所應采取的措施。什么是信息安全意識？35/10/2024信息安全基礎知識當前的信息安全形勢個人應具備的安全防護意識目錄45/10/202455/10/2024什么是信息？知識信息數(shù)據信息的屬性：基本元素是數(shù)據，每個數(shù)據代表某個意義；以各種形式存在：紙、電子、影片、交談等；數(shù)據具有一定的邏輯關系；具有一定的時效性；對組織具有價值，是一種資產；需要適當?shù)谋Ｗo。指導意義抽象程度65/10/2024什么是安全？安全

Security：事物保持不受損害75/10/2024保證信息只能夠由得到授權的人訪問。舉例：公司產品代碼不被惡意泄漏；商務合同、報價、客戶信息不被披露保證信息的正確性及不被非授權篡改和刪除。舉例：計費紀錄被惡意修改；

交易信息被刪除；公司主頁被篡改；日志文件被刪除保證經授權的用戶當需要訪問信息的時候就能夠訪問到。舉例：如果公司的業(yè)務被拒絕服務造成網絡中斷，用戶無法使用我們的業(yè)務。完整性保密性可用性信息安全什么是信息安全？采取合適的信息安全措施，使安全事件對業(yè)務造成的影響降低最小，保障組織內業(yè)務運行的連續(xù)性。85/10/2024廣義上講涉及到信息的保密性，完整性，可用性，真實性，可控性的相關技術和理論。本質上保護——

系統(tǒng)的硬件，軟件，數(shù)據防止——系統(tǒng)和數(shù)據遭受破壞，更改，泄露保證——系統(tǒng)連續(xù)可靠正常地運行，服務不中斷兩個層面技術層面——防止外部用戶的非法入侵管理層面——內部員工的教育和管理9信息安全的定義95/10/2024為什么會有信息安全問題？因為有病毒嗎？因為有黑客嗎？因為有漏洞嗎？這些都是原因，但沒有說到根源105/10/2024安全問題的根源—外因2來自自然的破壞1 來自外部的威脅國家安全威脅信息戰(zhàn)士減小國家決策空間、戰(zhàn)略優(yōu)勢，制造混亂，進行目標破壞情報機構搜集政治、軍事，經濟信息共同威脅恐怖分子破壞公共秩序，制造混亂，發(fā)動政變商業(yè)間諜掠奪競爭優(yōu)勢，恐嚇犯罪團伙施行報復，實現(xiàn)經濟目的，破壞制度局部威脅社會型黑客攫取金錢，恐嚇，挑戰(zhàn)，獲取聲望娛樂型黑客以嚇人為樂，喜歡挑戰(zhàn)115/10/2024安全問題的根源—內因系統(tǒng)越來越復雜12人也是復雜的125/10/2024需要加強信息安全保障組織機構的使命/業(yè)務目標實現(xiàn)越來越依賴于信息系統(tǒng)信息系統(tǒng)成為組織機構生存和發(fā)展的關鍵因素信息系統(tǒng)的安全風險也成為組織風險的一部分為了保障組織機構完成其使命，必須加強信息安全保障，抵抗這些風險。信息系統(tǒng)使命風險保障135/10/2024安全保障的目標是支持業(yè)務信息安全保障是為了支撐業(yè)務高效穩(wěn)定運行145/10/2024信息安全保障需要持續(xù)進行信息安全保障需要時時刻刻不放松155/10/2024如何保障信息安全？信息是依賴與承載它的信息技術系統(tǒng)存在的需要在技術層面部署完善的控制措施信息系統(tǒng)是由人來建設使用和維護的需要通過有效的管理手段約束人今天系統(tǒng)安全了明天未必安全需要貫穿系統(tǒng)生命周期的工程過程信息安全的對抗，歸根結底是人員知識、技能和素質的對抗需要建設高素質的人才隊伍165/10/2024175/10/2024我國信息化迅猛發(fā)展我國信息化建設起步于20世紀80年代20世紀90年代取得長足進步現(xiàn)在信息技術已經廣泛應用于促進國民經濟發(fā)展政府管理和服務水平提高企業(yè)競爭力增強人民生活水平該改善我國正在步入信息化時代185/10/2024信息化建設的意義信息化作為全球化的重要方面，直接推動了國際關系的演變和全球經濟體系的形成電子政務、電子商務和整個社會的信息化發(fā)展，標志著我國進入信息化社會整個社會越來越依賴于網絡和信息系統(tǒng)，網絡和信息系統(tǒng)正成為社會運行和發(fā)展的重要支撐要素然而，沒有信息安全就沒有真正有效的信息化195/10/2024信息安全趨勢隱蔽性：信息安全的一個最大特點就是看不見摸不著。在不知不覺中就已經中了招，在不知不覺中就已經遭受了重大損失。205/10/2024信息安全趨勢趨利性：為了炫耀能力的黑客少了，為了非法取得政治、經濟利益的人越來越多215/10/2024新應用導致新的安全問題數(shù)據大集中——風險也更集中了；系統(tǒng)復雜了——安全問題解決難度加大；云計算——安全已經不再是自己可以控制的4G

、物聯(lián)網、三網合一——IP網絡中安全問題引入到了電話、手機、廣播電視中web2.0

、微博、微信等——網絡安全與日常生活越來越貼近225/10/20242018/2/6安全風險無處不在235/10/2024新聞2010年初，美國硅谷的邁克菲公司發(fā)布最新報告，約109.5萬臺中國計算機被病毒感染（美國105.7萬），排第一位。2010年1月2日，公安部物證鑒定中心被黑，登陸該網站，有些嘲弄語言，還貼一張“我們睡，你們講”的圖片，圖片是公安某單位一次會議上，臺下參會人員大睡的場面。2010年1月11日，著名網絡百度被黑(域名劫持)，黑客團體叫“Iranian

CyberArmy”。服務器中斷5小時。2008年1月，美國總統(tǒng)布什簽發(fā)總統(tǒng)54號令，其中有《國家網絡安全綜合綱領》（CNCI），包含12個行動綱領。2009年6月，美國國防部長羅伯特·蓋茨下令組建網絡司令部，統(tǒng)一協(xié)調美軍網絡安全，開展網絡戰(zhàn)爭等與計算機相關的軍事行動。245/10/2024案例12009年6月9日，雙色球2009066期開獎，全國共中出一等獎4注，但是，開獎系統(tǒng)卻顯示一等獎中獎數(shù)為9注，其中深圳地區(qū)中獎為5注。深圳市福彩中心在開獎程序結束后發(fā)現(xiàn)系統(tǒng)出現(xiàn)異常，經多次數(shù)據檢驗，工作人員判斷，福彩中心銷售系統(tǒng)疑被非法入侵，中獎彩票數(shù)據記錄疑被人為篡改。經調查發(fā)現(xiàn)，這是一起企圖利用計算機網絡信息系統(tǒng)技術詐騙彩票獎金的案件，并于6月12日將犯罪嫌疑人程某抓獲，程某為深圳市某技術公司軟件開發(fā)工程師，利用公司在深圳福彩中心實施技術合作項目的機會，通過木馬攻擊程序，惡意篡改彩票數(shù)據，偽造了5注一等獎欲牟取非法利益。255/10/2024UNIVERSITY違規(guī)操作泄密敵對勢力竊密互聯(lián)網部隊失密案：20XX年初，軍隊某參謀違反規(guī)定，使用涉密計算機上因特網，被臺灣情報機關跟蹤鎖定，一次竊走1000多份文檔資料，影響和損失極為嚴重。案例2掃描網絡發(fā)現(xiàn)漏洞控制系統(tǒng)竊取文件265/10/2024案例3：網絡故障造成航班延誤和旅客滯留2006年10月10日13時32分，中航信運營的離港系統(tǒng)發(fā)生主機系統(tǒng)文件損壞，導致使用離港系統(tǒng)的航空公司和機場的正常運行產生不同程度影響。經過排查后故障系統(tǒng)于14時16分恢復正常。此次故障造成首都機場、廣州機場、深圳機場等機場部分航班延誤。275/10/202428信息安全事件在增多……信

息

安

全迫

在

眉

睫?。?！285/10/2024295/10/2024信息資產拒絕服務流氓軟件黑客滲透內部人員威脅木馬后門病毒和蠕蟲社會工程系統(tǒng)漏洞硬件故障網絡通信故障供電中斷失火雷雨地震威脅無處不在305/10/2024我們應該怎么做培養(yǎng)意識知道如何去識別一個潛在的問題利用正確的判斷力掌握和實行良好的安全習慣在日常工作中養(yǎng)成良好的習慣鼓勵其他人也這樣做報告任何異常事件如果發(fā)現(xiàn)了某件安全事件，通知適當?shù)穆?lián)系人……315/10/2024325/10/2024將口令寫在便簽上，貼在電腦監(jiān)視器旁開著電腦離開，就像離開家卻忘記關燈那樣輕易相信來自陌生人的郵件，好奇打開郵件附件使用容易猜測的口令，或者根本不設口令丟失筆記本電腦不能保守秘密，口無遮攔，上當受騙，泄漏敏感信息隨便上網和下載軟件，或隨意將無關設備連入公司網絡事不關己，高高掛起，不報告安全事件在系統(tǒng)更新和安裝補丁上總是行動遲緩只關注外來的威脅，忽視企業(yè)內部人員的問題我們最常犯的一些錯誤335/10/2024一個巴掌拍不響！外因是條件內因才是根本！345/10/2024人之初性本非善惡吾自三省吾身提高人員信息安全意識和素質勢在必行！人是最關鍵的因素355/10/2024信息安全防護10條365/10/2024信息安全防護10條工作常識賬號口令安全個人電腦安全良好工作習慣軟件使用規(guī)范物理安全文件資料安全物理環(huán)境安全員工管理工作崗位安全規(guī)范員工崗位調整管理網絡與郵件系統(tǒng)安全員工郵件使用安全網絡與郵件信息安全防護375/10/2024安全防護之工作常識4條385/10/2024設置復雜口令，至少8位，包含字母數(shù)字定期更改口令，最長3個月更改一次即刻更改缺省的或初始化口令輸入時嚴防偷看，若發(fā)覺有人獲知，應立即改變口令有人在電話中向你索取口令，應拒絕后立即報告不與任何人共享，臨時共享，事后第一時間更改口令不要把口令寫在紙上不要把口令存儲在計算機文件中安全防護之（一）賬戶與口令的安全使用395/10/2024個人電腦須安裝防病毒軟件，并及時升級軟件開啟防病毒軟件所有功能，定期進行全盤掃描防病毒管控產生的記錄必須被至少保留90天若使用下載工具，需進行防病毒設置與流量控制瀏覽網站需小心，不要隨意安裝控件IE瀏覽器需進行相應的安全設置、配置郵件安全需對垃圾郵件進行防護設置系統(tǒng)補丁需進行更新策略的設置安全防護之（二）個人電腦安全防護405/10/2024文件存放位置不要放在默認的“我的文檔”或桌面不隨意安裝軟件，尤其是網絡瀏覽時要求安裝的控件員工要有安全保管工作相關資料的意識使用公司提供的文件服務器等儲存資源備份重要資料存儲設備損壞后應慎重選擇第三方修復商，勿隨意丟棄、應先進行安全處理離開電腦時記得鎖屏安全防護之（三）工作習慣提醒415/10/2024用戶們不可安裝屬于個人的軟件在任何公司設備上不違反版權或其它知識產權使用軟件或其它類型產品免費與開源軟件須經過管理和法務部門批準，并符合公司信息安全標準和其它規(guī)范要求才可使用安全防護之（四）軟件使用425/10/2024安全防護之物理環(huán)境2條435/10/2024公司的信息資料，不可轉移或存儲在任何非公司核準或認證的設備或個人設備上敏感信息不隨意地放置,打印或復印的敏感資料要及時取走凡被定為機密或絕密的信息，如需發(fā)送到公司外部或帶出公司，須經過審批，并采取適當?shù)陌踩胧┮蚬ぷ餍枰R時使用敏感資料后，應執(zhí)行安全刪除、徹底粉碎等措施不在公司外部討論敏感信息安全防護之（五）文件資料的安全防護445/10/2024受控區(qū)域應設置一定的安全措施，比如視頻監(jiān)控等，并做好進出登記如果進出需要門卡，請隨身帶好，嚴禁無證進入鑰匙和門卡僅供本人使用，不要交給他人使用敏感物品應放置在受控的安全區(qū)域安全防護之（六）物理環(huán)境安全防護455/10/2024安全防護之員工管理2條465/10/2024根據不同崗位的需求，尤其是敏感崗位，應在職位描述中加入安全方面的責任要求若崗位需要，應簽訂適當?shù)谋Ｃ軈f(xié)議依崗位需要和公司要求，應不定期的對員工進行專項的和通用的信息安全意識培訓安全防護之（七）工作崗位安全要求475/10/2024當下級更換工作崗位或離職時，團隊負責人必須立即通知人力資源中心及信息中心，并按安全管控流程進行賬號權限等工