新信息安全意识培训ppt课件.ppt

,员工信息安全意识培训,时 间：2015年08月19日,20:03:48,1,今日议题,一、信息安全相关概念,二、信息安全问题产生的根源,三、如何保障信息系统安全,20:03:48,2,首先让我们先来了解三个概念,1）什么是信息？2）什么是安全？3）什么是信息安全？,一、信息安全相关概念,20:03:48,3,1、什么是信息？,信息是信息论中的一个术语，常常把消息中有意义的内容称为信息。1948年，美国数学家、信息论的创始人仙农在题为“通讯的数学理论”的论文中指出：“信息是用来消除随机不定性的东西”。信息一般有4种形态：,一、信息安全相关概念,20:03:48,4,文本,声音,图像,数据,信息的4种形态：,20:03:48,5,1、什么是信息？我们平常接触到的信息,一、信息安全相关概念,20:03:48,6,什么是信息？,信息是有价值的符号、数据、图片和语音，它能够被企业创建、使用、处理、存储及传输。信息是必须依赖介质存在。对企业具有价值的信息，称为信息资产。,20:03:48,7,电子信息,物理信息,人的记忆（经验）,纸张信息,信息存储在何处？,20:03:48,8,20:03:48,9,信息生命周期,创建,传递,销毁,存 储,使用,更改,一、信息安全相关概念,信息具有以下属性：基本元素是数据，每个数据代表某个意义；数据具有一定的逻辑关系；需要适当的保护；以各种形式存在：纸、电子形式、影片、交谈等；具有一定的时效性；对组织具有价值，是一种资产。,20:03:48,10,一、信息安全相关概念,信息和其它资产一样是具有价值的,20:03:48,11,2、什么是安全？,一、信息安全相关概念,安全就是没有危险；不受威胁；不出事故。安全与我们的工作生活，甚至于生命息息相关：安全驾驶、安全用电、交通安全、消防安全等。,20:03:48,12,水灾,交通事故,街头抢劫,火灾,我们身边有哪些安全问题？,20:03:48,13,2、什么是安全？,一、信息安全相关概念,20:03:48,14,思考题：在我们工作和的生活中，你遇到过哪些不安全的现象，有过哪些不安全的做法？,一、信息安全相关概念,20:03:48,15,一、信息安全相关概念,上网正在兴头上时，突然IE窗口不停地打开，最后直到资源耗尽死机；身边朋友的QQ号被盗，虽然最后费尽周折，利用密码保护找回了自己心爱的QQ号，但是里面的好友和群全部被删除；想通过U盘把连夜加班的资料拷贝到单位电脑上，可插入U盘后里面空空如也，一晚上的工作付之东流；某一天下着大雨，突然“霹雳”一声，电脑突然断线了，经查是上网用的adsl modem被击坏了。,20:03:48,16,信息安全，就是保证信息的保密性、完整性和可用性。保密性：确保信息不被非授权的个人、组织和计算机程序使用完整性：确保信息没有被篡改和破坏可用性：确保拥有授权的用户或程序 可以及时、正常使用信息,20:03:48,17,3 什么是信息安全？,一、信息安全相关概念,案例1 传统工艺品景泰蓝的生产技术一直是我国独有的，多少年来畅销世界各国为国家赚了很多外汇。有一家日本企业看着眼红，想着心动，摸着手痒，使了不少明招暗招阴招狠招，都没管用，于是找来素有爱国华侨称号的一个人，请他到中国以参观为名把景泰蓝生产技术偷出来，事前先给了他一大笔钱，事成之后再给一大笔钱。,20:03:48,18,一、信息安全相关概念,案例1这个华侨，面对大笔金钱的诱惑，经过一番思想斗争后，最终还是答应了。华侨到了景泰蓝厂，受到热情欢迎，厂长亲自陪同，破例让他参观了景泰蓝的全部生产过程。华侨又是记录又是拍照，把景泰蓝生产技术弄了个一清二楚。厂里的人看到华侨这样做也有些怀疑，向厂长提出来是不是注意一下。厂长说人家是著名爱国华侨，要是有个三差两错，可是破坏统一战线的大事，别瞎怀疑了。,20:03:48,19,一、信息安全相关概念,案例1大家伙做梦也不会想到，这么个一本正经满脸堆笑的贵客，却是个地地道道的工业间谍，是外国第一个窃取景泰蓝生产技术的人。从此，景泰蓝的生产就在日本开始了。,这个案例给了我们怎样的启示？,20:03:48,20,一、信息安全相关概念,保密！,不该知道的人，不要让他知道！,保证信息的机密性是很重要的：确保重要信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用。,20:03:48,21,案例1 有十个人，两两传递一句话，“我告诉你一句话！”传到第十个人那里的时候，可能听到的是这样的，“火车什么时候出发？”这说明什么问题呢？耳提面命，两两传递，语言会失真！一句同样的话，经过十个人，九次传递，面目全非。为什么谣言是最不可信的？因为它经过了很多人的传递后，融入了很多个人的理解和感情因素，改变了事情的本来面目。,一、信息安全相关概念,20:03:48,22,一、信息安全相关概念,案例2 别人告诉你个事，说：1、“前面有个人！”非常含糊！2、“前面有个男人！”更具体！3、“前面有个老人，是个男的！”更具体！4、“前面有个老头，是个盲人！”更具体！5、“前面有个老头，是个盲人！迷路了！”更具体！6、“前面有个老头，是个盲人！迷路了！需要帮助！”更具体！7、“前面有个老头，是个盲人！迷路了！有个警察把他送回家了！”非常具体！在大多数情况下，我们听到的和事情的本质，是存在非常大的差异的！完整的表述，可以再现事物的原貌。,20:03:48,23,一、信息安全相关概念,以上两个案例给了我们怎样的启示？,20:03:48,24,一、信息安全相关概念,完整！,信息不能追求残缺美！,完整性：确保信息没有遭到篡改和破坏,20:03:48,25,案例1,一、信息安全相关概念,背景介绍：它是20世纪最大的登陆战役，也是战争史上最有影响的登陆战役之一。盟军先后调集了36个师，总兵力达288万人，其中陆军有153万人，相当于20世纪末美国的全部军队。从1944年6月6日至7月初，美国、英国、加拿大的百万军队，17万辆车辆，60万吨各类补给品，成功地渡过了英吉利海峡。到7月24日，战争双方约有24万人被歼灭，其中盟军伤亡12.2万人，德军伤亡和被俘11.4万人。至8月底，盟军一共消灭或重创德军40个师，德军的3名元帅和1名集团军司令先后被撤职或离职，击毙和俘虏德军集团军司令、军长、师长等高级将领20人，缴获和摧毁德军的各种火炮3000多门，摧毁战车1000多辆。德军损失飞机3500架，坦克1.3万辆，各种车辆2万辆，人员40万。这次登陆战役的成功，使美英军队得以重返欧洲大陆，第二次世界大战的战略态势发生了根本性变化。,20:03:48,26,案例1,一、信息安全相关概念,诺曼底登陆,20:03:48,27,案例1:诺曼底登陆为什么能够取得成功？它又带给我们怎样的思考？,一、信息安全相关概念,战略欺骗盟军用错误的信息，使得德军统帅部判断错误，不仅保障了登陆作战的突然性，还保证了战役顺利进行，对整个战役具有重大影响。盟军通过海空军的卓有成效的佯动，成功运用了双重特工、电子干扰，以及在英国东南部地区伪装部队及船只的集结等一系列措施，还让巴顿将军在英国进行战前演说，再加上严格的保密措施，使德军统帅部在很长时间里对盟军登陆地点、时间都作出了错误判断，以为盟军将在诺曼底东北方的加莱海滩登陆，甚至在盟军诺曼底登陆后仍认为是牵制性的佯攻，这就导致了德军在西线的大部分兵力、武器被浪费在加莱地区，而在诺曼底则因兵力单薄无法抵御盟军的登陆。同时，还找到一个和蒙哥马利长得极像的叫詹姆斯的人在北非冒充蒙哥马利，使得隆美尔以为蒙哥马利一直在北非。,20:03:48,28,一、信息安全相关概念,可用！,可用性：确保拥有授权的用户或程序可以及时、正常使用信息。,20:03:48,29,信息安全的实质,20:03:48,30,采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。能保证企业的业务活动稳定有效的运作（对内）提高客户信心及满意度（对外）,业务运作,今日议题,一、信息安全相关概念,二、信息安全问题产生的根源,三、如何保障信息系统安全,20:03:48,31,二、信息安全问题产生的根源,为什么需要保护信息？信息安全面临着哪些威胁？,20:03:48,32,人是复杂的，“威胁”时刻存在,为什么需要保护信息？,20:03:48,33,“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话”凯文米特尼克,20:03:48,34,为什么需要保护信息？,“病毒与恶意代码”危害严重,20:03:48,35,信息是“重要资产”，能够提高效率、降低成本、增强核心竞争力，创造利润。,为什么需要保护信息？,20:03:48,36,装有100万的 保险箱,需要 3个悍匪、,公司损失：100万,装有客户信息的 电脑,只要 1个商业间谍、,1个U盘，就能偷走。,公司损失：所有客户！,信息安全的主要威胁1：（病毒、木马）,20:03:48,37,信息安全的主要威胁2：（黑客行为）,当前黑客的特点：目前黑客袭击不再是一种个人兴趣，而是越来越多的变成一种有组织的、利益驱使的职业犯罪；主要针对的是高价值的目标；黑客控制病毒不再安于破坏系统，销毁数据，而是更关注财产和隐私。,20:03:48,38,信息安全的主要威胁3：（恶意软件、垃圾邮件）,强制安装难以卸载浏览器劫持广告弹出恶意收集用户信息恶意卸载恶意捆绑其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。,20:03:48,39,恶意软件8大特征,信息安全的主要威胁4：（人为因素）,20:03:48,40,人为错误，比如使用不当，安全意识差等，操作不当或安全意识差将引起如下一些错误：,安装或使用不明来源的软件；随意开启来历不明的电子邮件；向他人披露个人密码；不注意保密单位或者个人文件；计算机旁边放置危险物品；,信息安全的主要威胁5：（自然因素）,20:03:48,41,火山爆发、地震,洪水,雷击,二、信息安全问题产生的根源,另外，信息系统本身存在着脆弱性，也是导致信息安全问题的主要原因,思考：信息系统安全问题能否避免？,20:03:48,42,今日议题,一、信息安全相关概念,二、信息安全问题产生的根源,三、如何保障信息系统安全,20:03:48,43,不妨换个思维,从动物园的袋鼠的故事说起,20:03:48,44,一天，动物园的管理员突然发现袋鼠从围栏里跑了出来了，经过分析，大家一致认为：袋鼠之所以能跑出来完全是因为围栏太低了。所以决定将围栏加高。没想到，第二天袋鼠还能跑出来，于是，围栏被继续加高。但是，令这些管理员们惊恐万分的是，无论围栏加高多少，袋鼠们都会在第二天跑出来，领导们一不做二不休，安装了最先进的监控设备，轮流值班，24小时守着这些白天看起来特别听话的袋鼠。终于，他们发现了问题所在，真正的“罪魁祸首”是管理员忘记锁上的门。,另眼看信息安全,信息安全除了是故事中的围栏之外，还是那道千万别忘记关的门，还有那颗别忘了关门的心 安全意识,20:03:48,45,安全意识 就是能够认知可能存在的安全问题，明白安全事故对组织的危害，恪守正确的行为方式，并且清楚在安全事故发生时所应采取的措施。,20:03:48,46,什么是安全意识,三、如何保证信息系统安全,20:03:48,47,信息安全的实现,物理安全,48,三、如何保证信息系统安全,建立物理安全区域概念；主动学习了解限制区域和普通区域，熟悉在不同区域自己的权限；在公司里佩戴员工卡做身份标识；前来拜访的外来人员应做身份验证（登记），见到未佩戴身份识别卡的人应主动询问；离开座位要清空屏幕与桌面。,20:03:48,48,与物理安全相关的案例 情况是这样的,A公司的数据中心是重地，设立了严格的门禁制度，要求必须插入门卡才能进入。不过，出来时很简单，数据中心一旁的动作探测器会检测到有人朝出口走去，门会自动打开 数据中心有个系统管理员张三君，这天晚上加班到很晚，中间离开数据中心出去夜宵，可返回时发现自己被锁在了外面，门卡落在里面了，四周别无他人，一片静寂 张三急需今夜加班，可他又不想打扰他人，怎么办？,20:03:48,49,一点线索：昨天曾在接待区庆祝过某人生日，现场还未清理干净，遗留下很多杂物，哦，还有气球,20:03:48,50,聪明的张三想出了妙计,张三找到一个气球，放掉气,张三面朝大门入口趴下来，把气球塞进门里，只留下气球的嘴在门的这边,张三在门外吹气球，气球在门内膨胀，然后，他释放了气球,由于气球在门内弹跳，触发动作探测器，门终于开了,20:03:48,51,问题出在哪里,如果门和地板齐平且没有缝隙，就不会出这样的事,如果动作探测器的灵敏度调整到不对快速放气的气球作出反应，也不会出此事,当然，如果根本就不使用动作探测器来从里面开门，这种事情同样不会发生,20:03:48,52,总结教训,虽然是偶然事件，也没有直接危害，但是潜在风险 既是物理安全的问题，更是管理问题 切记！有时候自以为是的安全，恰恰是最不安全！,物理安全非常关键！,20:03:48,53,计算机与网络使用安全,54,三、如何保证信息系统安全,信息安全的实现,物理安全,对个人用计算机要设置帐户密码；妥善保护自己的密码，不要将自己的密码告诉别人；加强对计算机信息保护，离开机器时要及时对机器锁屏；计算机防病毒软件，经常升级病毒库；加强对移动计算机的安全保护，防止丢失；重要文件做好备份。,20:03:48,54,什么样的口令是比较脆弱的？,少于8个字符 单一的字符类型，例如只用小写字母，或只用数字 用户名与口令相同 最常被人使用的弱口令：自己、家人、朋友、亲戚、宠物的名字 生日、结婚纪念日、电话号码等个人信息 工作中用到的专业术语，职业特征 字典中包含的单词，或者只在单词后加简单的后缀 所有系统都使用相同的口令 口令一直不变,20:03:48,55,20:03:48,56,“弱口令”很容易被破解,口令安全建议,应该设置强口令 口令应该经常更改，比如30天 不同的系统或场所应使用不同的口令 一定要即刻更改系统的缺省或初始化口令 不要与任何人共享你的口令 不要把口令写在纸上 不要把口令存储在计算机文件中 输入口令时严防有人偷看 如果有人在电话中向你索取口令，拒绝后立即报告 如果发觉有人获知你的口令，立即改变它,20:03:48,57,文件信息安全,58,三、如何保证信息系统安全,计算机与网络使用安全,信息安全的实现,物理安全,文件分类分级；重要文件妥善保存；未经授权不得将文件传递给他人尤其是公司外的人；打印好的文件及时收走；使用过的重要文件及时销毁，不要扔在废纸篓里，也不要重复利用。,20:03:48,58,文件信息安全,59,三、如何保证信息系统安全,计算机与网络使用安全,信息安全的实现,物理安全,沟通交流安全,不在电话中说工作敏感信息，电话回叫要确认身份；不通过Email传输敏感信息，如要通过EMAIL最好加密以后再传输；不在安全得不到保障的公共场合谈论敏感信息；防止信息窃取；不随意下载安装软件，防止恶意程序、病毒及后门等黑客程序；不随意打开可执行的邮件附件，如.EXE,.BAT,.VBS,.COM,.PIF,.CMD,打开附件时最好进行病毒检查。,20:03:48,59,三、如何保证信息系统安全,防范社会工程学攻击社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法.步骤：信息收集信任建立反追查典型攻击方式：环境渗透、身份伪造、冒名电话、信件伪造等如何防范？,20:03:48,60,三、如何保证信息系统安全,如何防范？仔细身份审核；（多重身份认证、来电显示确认、电话回拨、EMAIL签名、动态密码验证、身份ID卡、上级领导担保等）严格执行操作流程审核；完善日志审计记录；完善应对措施，及时上报；注重保护个人隐私；不要把任何个人和公司内部信息或是识别标识告诉他人，除非你听出她或他的声音是熟人，并确认对方有这些信息的知情权。无论什么时候在接受一个陌生人询问时，首先要礼貌的拒绝，直到确认对方身份。,20:03:48,61,趣味游戏-找错,在忙碌的办公室中，跟随着摄像机镜头，拍摄下办公室内所存在的安全隐患。其中包括：,20:03:48,62,趣味游戏-找错,中午大家吃饭去了，在桌子上，手机与钱包放在上面；一个没有人的桌子上，一台电脑正在从黑客网站上下载着一个被破解的软件；旁边的打印机和复印机旁散落着不少带字的纸张；大开的项目经理办公室中，没有其他人在，一名浇花工人正在里面浇花；会议室内的白板上有上次会议留下的相关内容的记录；一些满是字迹的纸张在垃圾桶中冒出一个角；手提电脑放在桌子上；访问客户网络的VPN密码写在小纸条上贴在项目组的白板上；某职员在忙碌而嘈杂的办公室一边准备赶去别的地方，一边通过手机高声与客房谈论着属于公司机密的一些内容；等等。,20:03:48,63,20:03:48,64,企业重要信息保密办法及注意事项,原则上外来设备不允许接入公司内部网络，如有业务需要，需申请审批通过后方可使用。外来设备包括外部人员带到公司的笔记本电脑、演示机、测试机等。公司内计算机严格限制使用包括移动硬盘、U盘、MP3、带存储卡的设备等的移动存储设备，除工作必须要长期使用移动存储的可申请开通外，公司内的计算机禁止使用移动存储设备。公司内严禁使用盗版软件和破解工具，如有工作需要，应通过公司采购正版软件或使用免费软件不经批准，严禁在公司内部架设FTP，DHCP，DNS等服务器研发用机未经批准，严禁转移到公司办公网络、或将办公电脑转移到研发内网使用。任何部门和个人不得私自将包括HUB、交换机、路由器等的网络设备接入公司网络中。原则上不得使用网络共享，如因工作原因需要使用的，必须遵循最小化授权原则，删除给所有人(everyone)的共享权限，只共享给需要访问的人员，并且在使用后立即关闭。发现中毒后要断开网络，并及时报告IT服务热线，等待IT工程师来处理。,20:03:48,65,企业重要信息保密办法及注意事项,严禁使用扫描工具对网络进行扫描和在网络使用黑客工具。不得以任何方式将公司信息（包括网络拓扑、IP地址、安全策略、帐号，口令等）告知不相关的人员。内部计算机的操作系统、IIS,数据库、FTP以及所有企业应用（如电子邮件系统、即时通讯工具等）中，必须设置用户口令，严禁使用空口令、弱口令或缺省口令。一经发现将被行政处罚。口令长度应在8个字符以上，还应包括大小写字母，特殊符号和数字。口令应该在30天内更换,重要的和使用频繁的口令视情况缩短更改周期。不允许使用前3次用过的口令。严禁卸载或关闭安全防护软件和防病毒软件，如有系统补丁必须及时安装。离开电脑要锁屏。,20:03:48,66,小结,20:03:48,67,20:03:48,68,请大家共同提高信息安全意识，从我做起!,20:03:48,69,