公司信息安全意识培训ppt课件
合集下载
信息安全意识培训信息安全常识PPT课件
信息安全意识 培训信息安全 常识
目录
一、信息安全常识
二、信息安全形势
三、信息安全防护
一、信息安全常识
我们身边有哪些安全问题?
火灾
水灾
交通事故
街头抢劫
我们需要保护人身安全与财产安全!
我国信息化迅猛发展
信息技术已经广泛渗透到各行各业
– 事业单位:政府、医疗卫生、教育、科研 – 金融:银行、证券、保险 – 能源:煤炭、石油、电力 – 电信运营商:移动、联通、电信
为什么需要保护信息?
“恶意软件”危害严重
序号
类别\特点
危害性
窃密性
1 2
3 4 5 6
计算机病毒 蠕虫
木马 间谍软件 网络钓鱼 僵尸网络
电脑崩溃、破坏文件 消耗CPU与网络资源
完全控制远程电脑 窃取密码、个人信息 窃取网银账户信息与密码 网络军队:完全控制远程电脑 窃取密码、垃圾邮件、DDoS攻击
数据 文档
为什么需要保护信息?
人是复杂的,“威胁”时刻存在
为什么需要保护信息?
人是复杂的,“威胁”到处存在
为什么需要保护信息?
信息与信息系统是“重要资产”,能够提高效率、 降低成本、增强核心竞争力,创造利润。
分类 硬件 软件 服务费 信息资产成本 500,000 200,000 300,000 1,000,000 金额 (单位:元)
为什么培训安全意识?
社会工程学攻击工作模式示例
只有“安全意识培训”能够防范社会工程学攻击!
为什么培训安全意识?
信息资产防护投入与组织盈利能力关系
为什么培训安全意识?
外因是条件,内因是关键; 外因是危险的网络环境,病毒、木马,钓鱼,欺诈等; 内因是自己对信息安全的意识和重视。
目录
一、信息安全常识
二、信息安全形势
三、信息安全防护
一、信息安全常识
我们身边有哪些安全问题?
火灾
水灾
交通事故
街头抢劫
我们需要保护人身安全与财产安全!
我国信息化迅猛发展
信息技术已经广泛渗透到各行各业
– 事业单位:政府、医疗卫生、教育、科研 – 金融:银行、证券、保险 – 能源:煤炭、石油、电力 – 电信运营商:移动、联通、电信
为什么需要保护信息?
“恶意软件”危害严重
序号
类别\特点
危害性
窃密性
1 2
3 4 5 6
计算机病毒 蠕虫
木马 间谍软件 网络钓鱼 僵尸网络
电脑崩溃、破坏文件 消耗CPU与网络资源
完全控制远程电脑 窃取密码、个人信息 窃取网银账户信息与密码 网络军队:完全控制远程电脑 窃取密码、垃圾邮件、DDoS攻击
数据 文档
为什么需要保护信息?
人是复杂的,“威胁”时刻存在
为什么需要保护信息?
人是复杂的,“威胁”到处存在
为什么需要保护信息?
信息与信息系统是“重要资产”,能够提高效率、 降低成本、增强核心竞争力,创造利润。
分类 硬件 软件 服务费 信息资产成本 500,000 200,000 300,000 1,000,000 金额 (单位:元)
为什么培训安全意识?
社会工程学攻击工作模式示例
只有“安全意识培训”能够防范社会工程学攻击!
为什么培训安全意识?
信息资产防护投入与组织盈利能力关系
为什么培训安全意识?
外因是条件,内因是关键; 外因是危险的网络环境,病毒、木马,钓鱼,欺诈等; 内因是自己对信息安全的意识和重视。
公司安全课件-信息安全培训PPT
公司安全课件-信息安全 培训PPT
欢迎参加公司安全培训!在本课件中,我们将学习关于信息安全的重要性, 以及如何保护公司的信息安全。
信息安全的定义和重要性
信息安全是指保护信息免受未经授权的访问、使用、披露、干扰、修改、损 坏或破坏的状态。
它对于公司非常重要,因为信息安全的损失可能导致财务损失、声誉受损和 客户流失。
常见的信息安全威胁
1 网络攻击
黑客、病毒和木马程序会利 用系统漏洞来窃取、破坏或 篡改信息。
2 社会工程
通过欺骗和伪装获取信息, 如钓鱼邮件和诈骗电话。
3 数据泄露
意外或故意的数据泄露可能导致敏感信息落入不当人员的手中。
保护公司信息安全的原则
密码保护
使用强密码,并定期更改密码以确保信息安全。
访问控制
3
培训后
通过测试和调查问卷评估培训效果,并 根据反馈进行改进。
员工在保护信息安全中的角色
团队合作
员工应共同努力,遵守信息安全 政策并相互提醒。
安全意识
员工需要具备安全意识,举报可 疑活动和事件。
设备安全
员工应妥善使用和保护公司设备, 避免信息泄露。
信息安全培训的效果评估
1
培训前
评估员工对信息安全的知识水平。
培训过程
2
提供全面的培训内容和实践案例来加深
理解。
仅为授权人员提供访问敏感信息的权限。
信息备份
定期备份公司重要信息,防止数据丢失。
安全意识培养
提高员工对信息安全的认识和培养良好的安全 意识。
信息安全政策和措施
政策制定
制定明确的信息安全政策和准 则,使所有员工遵守。
பைடு நூலகம்
网络安全
欢迎参加公司安全培训!在本课件中,我们将学习关于信息安全的重要性, 以及如何保护公司的信息安全。
信息安全的定义和重要性
信息安全是指保护信息免受未经授权的访问、使用、披露、干扰、修改、损 坏或破坏的状态。
它对于公司非常重要,因为信息安全的损失可能导致财务损失、声誉受损和 客户流失。
常见的信息安全威胁
1 网络攻击
黑客、病毒和木马程序会利 用系统漏洞来窃取、破坏或 篡改信息。
2 社会工程
通过欺骗和伪装获取信息, 如钓鱼邮件和诈骗电话。
3 数据泄露
意外或故意的数据泄露可能导致敏感信息落入不当人员的手中。
保护公司信息安全的原则
密码保护
使用强密码,并定期更改密码以确保信息安全。
访问控制
3
培训后
通过测试和调查问卷评估培训效果,并 根据反馈进行改进。
员工在保护信息安全中的角色
团队合作
员工应共同努力,遵守信息安全 政策并相互提醒。
安全意识
员工需要具备安全意识,举报可 疑活动和事件。
设备安全
员工应妥善使用和保护公司设备, 避免信息泄露。
信息安全培训的效果评估
1
培训前
评估员工对信息安全的知识水平。
培训过程
2
提供全面的培训内容和实践案例来加深
理解。
仅为授权人员提供访问敏感信息的权限。
信息备份
定期备份公司重要信息,防止数据丢失。
安全意识培养
提高员工对信息安全的认识和培养良好的安全 意识。
信息安全政策和措施
政策制定
制定明确的信息安全政策和准 则,使所有员工遵守。
பைடு நூலகம்
网络安全
企业安全培训课件:信息安全意识学习PPT
重要文件的方法,防止数
企业帐户。
使用。
据丢失。
密码和身份验证
学习创建强密码、定期更改密码,以及使用双重身份验证保护个人和企业帐
户安全。
网络安全和防火墙
了解如何识别和防止网络攻击,使用防火墙和安全软件保护个人和企业计算机系统。
数据备份和恢复
掌握数据备份和恢复的重要性,学习如何定期备份数据以防止数据丢失。
以及其他网络钓鱼手段,保
感染。
护个人和企业敏感信息。
社交工程 ️♂️
了解如何识别潜在的社交工程攻击,并保护企业机密。
保护信息安全的措施
强密码和身份验证
网络安全和防火墙 ️
数据备份和恢复
学习创建强密码和使用双
认识常见的网络安全措施,
掌握定期备份数据和恢复
重身份验证来保护个人和
包括防火墙和安全软件的
信息安全培训计划
1
需求评估
了解员工的信息安全知识水平和培训
课程设计
2
需求。
制定具体的安全培训计划,并设计课
程内容。
3
培训实施
组织培训活动,提高员工的信息安全
意识和技能。
企业安全培训课件:信息安全
意识学习PPT
从保护数据到避免网络攻击,掌握信息安全的关键知识,提高企业安全意识。
信息安全意识的重要性
了解信息安全的重要性,保护企业重要资产,预防数据泄露和盗窃。
常见的信息安全威胁
1
3
恶意软件
2
网络钓鱼
了解病毒、木马、间谍软件
警惕假冒网站、电子邮件,
等常见威胁,学习如何防止
信息安全意识培训ppt课件
04
信息安全风险
内部威胁
内部人员泄密
由于内部人员疏忽或故意 泄露敏感信息,导致企业 面临重大风险。
误操作
员工不慎操作失误可能导 致数据丢失或系统损坏。
滥用权限
员工滥用权限进行非法操 作,如未经授权访问敏感 数据或系统。
外部威胁
网络攻击
黑客利用漏洞或恶意软件对企业 网络进行攻击,窃取数据或破坏
系统。
此外,信息安全还面临着合规性要求、人员安全意识薄弱等 挑战。
02
信息安全意识
信息安全意识的概念
信息安全意识是指对信息安全的认识和理解,以及在日常生活和工作中对信息安 全的关注和重视。
信息安全意识包括对个人信息保护、网络威胁、数据安全等方面的了解,以及在 实际操作中采取安全措施来保护信息的机密性、完整性和可用性。
定期进行安全审计
安全审计
01
定期对计算机系统进行安全审计,检查潜在的安全隐患和漏洞
。
安全日志
02
收集和分析安全日志,了解系统遭受的攻击和异常行为。
安全漏洞修复
03
及时修复安全漏洞,提高系统的安全性。
安全培训与意识提升
安全培训
组织定期的安全培训,提高员工的安全意识和技能。
安全意识宣传
通过海报、宣传册等方式宣传信息安全知识,提高员工的安全意识 。
安装安全软件
安装防病毒软件、防火 墙等安全软件,及时更 新软件版本和病毒库。
THANKS
感谢您的观看
定期更新
及时更新防病毒软件的病毒库,以便快速识别和清除新出现的威胁 。
实时防护
启用实时防护功能,对计算机上的文件进行实时监控,防止病毒的 传播。
数据备份与恢复计划
公司信息安全意识培训ppt课件
• 直到2005年7月,由于一次“疏忽”,程稚瀚将一批充值卡售出时,忘 了修改使用期限,使用期限仍为90天。购买到这批充值卡的用户因无 法使用便投诉到北京移动,北京移动才发现有6600张充值卡被非法复 制,立即报警。
• 2005年8月24日,程稚瀚在深圳被抓获,所获赃款全部起获。
43
43
关于第三方安全管理的建议
夜间银行监控设备 未开放,下班后运营电 脑未上锁。
事实上,此前早有 人提出过这个问题,只 不过没有得到重视。
38
38
典型案例:乐购事件
• 2005年9月7日,上海乐购超市金山店负责人到市公安局金山分局报案称,该店在盘点货物时发现销 售的货物和收到的货款不符,有可能款物被非法侵吞。上海市公安局经侦总队和金山分局立即成立了 专案组展开调查。
39
39
关于员工安全管理的建议
根据不同岗位的需求,在职位描述书中加入安全方面 的责任要求,特别是敏感岗位
在招聘环节做好人员筛选和背景调查工作,并且签订 适当的保密协议
在新员工培训中专门加入信息安全内容 工作期间,根据岗位需要,持续进行专项培训 通过多种途径,全面提升员工信息安全意识 落实检查监督和奖惩机制 员工内部转岗应做好访问控制变更控制 员工离职,应做好交接和权限撤销
24
信息安全令人担忧
内地企业44%信息安全事件是数据失窃
普华永道最新发布的2008年度全球信息安全调查报告显示, 中国内地企业在信息安全管理方面存在滞后,信息安全与隐私保 障方面已被印度赶超。数据显示,内地企业44%的信息安全事件与 数据失窃有关,而全球的平均水平只有16%。
普华永道的调查显示,中国内地企业在改善信息安全机制上 仍有待努力,从近年安全事件结果看,中国每年大约98万美元的 财务损失,而亚洲国家平均约为75万美元,印度大约为30.8万美 元。此外,42%的中国内地受访企业经历了应用软件、系统和网 络的安全事件。
• 2005年8月24日,程稚瀚在深圳被抓获,所获赃款全部起获。
43
43
关于第三方安全管理的建议
夜间银行监控设备 未开放,下班后运营电 脑未上锁。
事实上,此前早有 人提出过这个问题,只 不过没有得到重视。
38
38
典型案例:乐购事件
• 2005年9月7日,上海乐购超市金山店负责人到市公安局金山分局报案称,该店在盘点货物时发现销 售的货物和收到的货款不符,有可能款物被非法侵吞。上海市公安局经侦总队和金山分局立即成立了 专案组展开调查。
39
39
关于员工安全管理的建议
根据不同岗位的需求,在职位描述书中加入安全方面 的责任要求,特别是敏感岗位
在招聘环节做好人员筛选和背景调查工作,并且签订 适当的保密协议
在新员工培训中专门加入信息安全内容 工作期间,根据岗位需要,持续进行专项培训 通过多种途径,全面提升员工信息安全意识 落实检查监督和奖惩机制 员工内部转岗应做好访问控制变更控制 员工离职,应做好交接和权限撤销
24
信息安全令人担忧
内地企业44%信息安全事件是数据失窃
普华永道最新发布的2008年度全球信息安全调查报告显示, 中国内地企业在信息安全管理方面存在滞后,信息安全与隐私保 障方面已被印度赶超。数据显示,内地企业44%的信息安全事件与 数据失窃有关,而全球的平均水平只有16%。
普华永道的调查显示,中国内地企业在改善信息安全机制上 仍有待努力,从近年安全事件结果看,中国每年大约98万美元的 财务损失,而亚洲国家平均约为75万美元,印度大约为30.8万美 元。此外,42%的中国内地受访企业经历了应用软件、系统和网 络的安全事件。
信息安全意识培训课件(PPT 65张)
4
信息安全无处不在
法律 合规 业务 连续 安全
信息安全
人员 安全
开发 安全
网络 安全 访问 控制
物理 安全
5
信息安全的定义
广义上讲
领域—— 涉及到信息的保密性,完整性,可用性,真 实性,可控性的相关技术和理论。
本质上
1. 保护—— 系统的硬件,软件,数据 2. 防止—— 系统和数据遭受破坏,更改,泄露 3. 保证—— 系统连续可靠正常地运行,服务不中断
9
泄密事件 1 2 3 4 5 “棱镜门”事件
信息安全事件
英国离岸金融业200多万份 邮件等文件泄密 支付宝转账信息被谷歌抓 取 如家等快捷酒店开房记录 泄露 中国人寿80万份保单信息 泄密
点评 网友总结的2013年十大信息安全事件 斯诺登充分暴露NSA的信息窃密手段,对世界信息安全 及信息化格局产生深远影响。 范围涉及170个国家13万富豪,是具有重大影响的金融 安全事件。 作为国内使用最广泛的支付平台,影响面大,是互联网 金融安全的典型案例。 涉及个人深度隐私,影响部分人家庭团结和社会稳定。 保单信息包含详尽的个人隐私信息,对个人声誉及生活 影响大。
6
7
搜狗手机输入法漏洞导致 大量用户信息泄露
Adobe 300万账户隐私信息 泄露
移动应用漏洞利用导致泄密情况值得警惕,微信漏洞泄 密个人关系图谱也证明该问题。
云计算方式会将软件单个漏洞影响扩大化。
8
9
雅虎日本再遭入侵 2200万 用户信息被窃取
圆通百万客户信息遭泄露
二次泄密,国际巨头对用户隐私也持漠视态度。
快递行业信息泄密愈演愈烈。 泄露用户行程,不少用户反映受诈骗和影响行程安排, 影响出行安全。
东航等航空公司疑泄露乘 10 客信息
信息安全无处不在
法律 合规 业务 连续 安全
信息安全
人员 安全
开发 安全
网络 安全 访问 控制
物理 安全
5
信息安全的定义
广义上讲
领域—— 涉及到信息的保密性,完整性,可用性,真 实性,可控性的相关技术和理论。
本质上
1. 保护—— 系统的硬件,软件,数据 2. 防止—— 系统和数据遭受破坏,更改,泄露 3. 保证—— 系统连续可靠正常地运行,服务不中断
9
泄密事件 1 2 3 4 5 “棱镜门”事件
信息安全事件
英国离岸金融业200多万份 邮件等文件泄密 支付宝转账信息被谷歌抓 取 如家等快捷酒店开房记录 泄露 中国人寿80万份保单信息 泄密
点评 网友总结的2013年十大信息安全事件 斯诺登充分暴露NSA的信息窃密手段,对世界信息安全 及信息化格局产生深远影响。 范围涉及170个国家13万富豪,是具有重大影响的金融 安全事件。 作为国内使用最广泛的支付平台,影响面大,是互联网 金融安全的典型案例。 涉及个人深度隐私,影响部分人家庭团结和社会稳定。 保单信息包含详尽的个人隐私信息,对个人声誉及生活 影响大。
6
7
搜狗手机输入法漏洞导致 大量用户信息泄露
Adobe 300万账户隐私信息 泄露
移动应用漏洞利用导致泄密情况值得警惕,微信漏洞泄 密个人关系图谱也证明该问题。
云计算方式会将软件单个漏洞影响扩大化。
8
9
雅虎日本再遭入侵 2200万 用户信息被窃取
圆通百万客户信息遭泄露
二次泄密,国际巨头对用户隐私也持漠视态度。
快递行业信息泄密愈演愈烈。 泄露用户行程,不少用户反映受诈骗和影响行程安排, 影响出行安全。
东航等航空公司疑泄露乘 10 客信息
企业安全培训课件-信息安全PPT
企业安全培训课件-信息 安全PPT
欢迎来到企业安全培训课件!在这次培训中,我们将深入探讨信息安全的重 要性,了解常见的威胁和风险,以及提供实用的培训方法和工具。
企业安全意识的重要性
保护企业资产
培养员工对敏感数据和信息的保护意识,防止信 息泄露和数据丢失。
维护企业声誉
加强员工对行为准则和道德标准的理解,降低企 业违规行为和舆论危机的风险。
黑客攻击、社会工程学和网络犯罪活动,
危害企业信息安全。
3
技术威胁
软件漏洞、弱口令和数据传输等技术安 全问题的存在。
信息安全意识培训的关键内容
安全政策和准则
了解和遵守公司的信息安全政 策和准则,保护企业资产。
密码和账户安全
创建和管理强密码,保护账户 免受未授权访问。
不寻常行为检测
识别异常的电子邮件、链接和 附件,避免成为钓鱼攻击的受 害者。
防止网络攻击
提高员工对网络威胁的辨识能力,减少恶意软件 和网络攻击的风险。
法律合规性
确保员工遵守信息安全相关法律法规,减少企业 面临的法律诉讼的风险。
信息安全的基本概念
1 机密性
确保只有授权人员可以访问 和处理敏感信息。
2 完整性
保证信息在传输和存储过程 中不被篡改或损坏。
3 可用性
确保信息在需要时平台
利用互动课程和模拟演练, 提高员工对信息安全的认识。
社交工程学训练
通过模拟攻击和钓鱼邮件, 测试员工的警觉性和反应。
信息安全意识月
组织一系列活动和宣传,提 高员工的信息安全意识。
策略和措施
1. 建立安全文化 2. 持续监测与改进 3. 定期演练和测试
通过积极的宣传和培训,树立全员参与信息安全 的文化。
欢迎来到企业安全培训课件!在这次培训中,我们将深入探讨信息安全的重 要性,了解常见的威胁和风险,以及提供实用的培训方法和工具。
企业安全意识的重要性
保护企业资产
培养员工对敏感数据和信息的保护意识,防止信 息泄露和数据丢失。
维护企业声誉
加强员工对行为准则和道德标准的理解,降低企 业违规行为和舆论危机的风险。
黑客攻击、社会工程学和网络犯罪活动,
危害企业信息安全。
3
技术威胁
软件漏洞、弱口令和数据传输等技术安 全问题的存在。
信息安全意识培训的关键内容
安全政策和准则
了解和遵守公司的信息安全政 策和准则,保护企业资产。
密码和账户安全
创建和管理强密码,保护账户 免受未授权访问。
不寻常行为检测
识别异常的电子邮件、链接和 附件,避免成为钓鱼攻击的受 害者。
防止网络攻击
提高员工对网络威胁的辨识能力,减少恶意软件 和网络攻击的风险。
法律合规性
确保员工遵守信息安全相关法律法规,减少企业 面临的法律诉讼的风险。
信息安全的基本概念
1 机密性
确保只有授权人员可以访问 和处理敏感信息。
2 完整性
保证信息在传输和存储过程 中不被篡改或损坏。
3 可用性
确保信息在需要时平台
利用互动课程和模拟演练, 提高员工对信息安全的认识。
社交工程学训练
通过模拟攻击和钓鱼邮件, 测试员工的警觉性和反应。
信息安全意识月
组织一系列活动和宣传,提 高员工的信息安全意识。
策略和措施
1. 建立安全文化 2. 持续监测与改进 3. 定期演练和测试
通过积极的宣传和培训,树立全员参与信息安全 的文化。
公司信息安全教育课件PPT
预防信息泄露和数据损失
2
全事故的发生率。
制定信息安全政策和规范,防止信息泄
露和数据损失。
3
建立公司的安全文化
信息安全教育是建立安全文化不可或缺 的一步。
信息安全教育的内容和方法
信息安全政策和规范
明确员工的职责,保证信息的保密性、完整性 和可用性。
网络和电子邮件安全
建议使用安全免费的官方软件,避免点击可疑 邮件。
常见的信息安全威胁
1 社交工程攻击
攻击者以社交技巧骗取公司信息。
2 网络钓鱼攻击
攻击者伪造合法的通信,骗取公司的敏感数据。
3 恶意软件
包括病毒、木马、间谍软件和广告软件,破坏系统和获取公司数据。
4 弱密码
容易被攻击者猜测,导致信息泄露和数据损失。
信息安全教育的目的和意义
1
提高员工的信息安全意识
加强员工的信息安全培训,降低信息安
密码管理和身份验证
加强密码的复杂性和更换周期,控制访问权限 和追踪登陆记录。
网络安全漏洞的识别和修补
实时识别升级让自己的系统和网络更加安全和 健康。
信息安全意识培训的实施策略
1
员工培训计划
向新员工提供信息安全课程和培训,定
定期维护和更新教育内容
2
期组织员工解决信息安全问题。
随着威胁形式的变化,需要随时更新信 息安全教育的内容。
公司信息安全教育课件 PPT
在今天的数字时代,保护公司的信息和数据对于业务的成功至关重要。
信息安全的重要性
保护公司信誉
抵御黑客攻击
符合行业规定
保障客户和公司敏感数据的安全, 避免数据泄露和损失。
加强ቤተ መጻሕፍቲ ባይዱ息安全可以预防黑客攻击、 病毒入侵,从而避免影响公司的 业务和运营。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
公司信息安全意识培训
1
主要内容
1
什么是信息安全?
2
怎样搞好信息安全?
3
信息安全基本概念
4
信息产业发展现状
2
引言
授之以鱼 ——产品 不如授之以渔 ——技术 更不如激之其欲 ——意识
谈笑间,风险灰飞烟灭。
3
什么是信息安全?
• 不止有产品、技术才是信息安全
4
信息安全无处不在
法律 合规
安全 策略
业务 连续
24
信息安全令人担忧
内地企业44%信息安全事件是数据失窃
普华永道最新发布的2008年度全球信息安全调查报告显示, 中国内地企业在信息安全管理方面存在滞后,信息安全与隐私保 障方面已被印度赶超。数据显示,内地企业44%的信息安全事件与 数据失窃有关,而全球的平均水平只有16%。
普华永道的调查显示,中国内地企业在改善信息安全机制上 仍有待努力,从近年安全事件结果看,中国每年大约98万美元的 财务损失,而亚洲国家平均约为75万美元,印度大约为30.8万美 元。此外,42%的中国内地受访企业经历了应用软件、系统和网 络的安全事件。
本质上
1. 保护—— 系统的硬件,软件,数据 2. 防止—— 系统和数据遭受破坏,更改,泄露 3. 保证—— 系统连续可靠正常地运行,服务不中断
两个层面
1. 技术层面—— 防止外部用户的非法入侵
2. 管理层面—— 内部员工的教育和管理
21
信息安全基本目标 保密性, 完整性, 可用性
C onfidentiality
25
安全事件(1)
26
安全事件(2)
27
安全事件(3)
28
安全事件(4)
29
安全事件(5)
30
安全事件(6)
用户电脑中毒后可能会出现蓝屏、频繁重
启以及系统硬盘中数据文件被破坏等现象。同 时,该病毒可以通过局域网进行传播,进而感 染局域网内所有计算机系统,最终导致企业局 域网瘫痪,无法正常使用,它能感染系统中 exe,com,pif,src,html,asp等文件,它还 能中止大量的反病毒软件进程并且会删除扩展 名为gho的文件,该文件是一系统备份工具 GHOST的备份文件,使用户的系统备份文件 丢失。被感染的用户系统中所有.exe可执行文
信息比钞票更重要, 更脆弱,我们更应该保护 它。
13
WHY???
装有100万的 保险箱
需要 3个悍匪、
1辆车,才能偷走。 公司损失: 100万
装有客户信息的 只要 1个商业间谍、 1个U盘,就能偷走。 公司损失:
电脑
所有客户!
14
典型案例
15
安全名言
☞ 公司的利益就是自己的利益,不保护公司 ,就是不保护自己。 ☞ 电脑不仅仅是工具,而是装有十分重要信 息的保险箱。
显然,这样的计算机是无法使用的。
17
安全是一种平衡
18
安全是一种平衡
高
安全事件的损失
/
安
全
成
安全控制的成本
本
损
失
最小化的总成本
低
所提供的安全水平
高
关键是实现成本利益的平衡
19
信息的价值
信息的价值 = 使用信息所获得的收益 ─ 获取信息所用成 本
信息具备了安全的保护特性
20
信息安全的定义
广义上讲 领域—— 涉及到信息的保密性,完整性,可用性,真 实性,可控性的相关技术和理论。
件全部被改成熊猫举着三根香的模样。
熊猫烧香病毒的制造者-李俊
31
深度分析
32
这样的事情还有很多……
信息安全 迫 在 眉 睫!!!
33
关键是做好预防控制
隐患险于明火! 预防重于救灾!
34
小故事,大启发 —— 信息安全点滴
35
35
首先要关注内部人 员的安全管理
36
信息安全
事件 管理
开发 安全
访问 控制
安全 组织
资产 管理
人员 安全
网络 安全
物理 安全
5
怎样搞好信息安全?
一个软件公司的老总,等他所有的员工下班之 后,他在那里想:我的企业到底值多少钱呢?假 如它的企业市值1亿,那么此时此刻,他的企业就 值2600万。
因为据Delphi公司统计,公司价值的26%体现 在固定资产和一些文档上,而高达42%的价值是存 储在员工的脑子里,而这些信息的保护没有任何 一款产品可以做得到,所以需要我们建立信息安 全管理体系,也就是常说的ISMS!
9
这就是意识缺乏的两大 结症!
1 不看重大公司,更看重小家庭。
ห้องสมุดไป่ตู้
公司
家
2 钞票更顺眼,信息无所谓。
〉
10
思想上的转变(一)
公司的钱,就是我的钱, 只是先放在, 老板那里~~~
11
信息安全搞好了 信息安全搞砸了
WHY???
公司赚钱了
你就“涨” 了
公司赔钱了
你就“跌” 了
领导笑了
领导怒了
12
思想上的转变(二)
I ntegrity
CIA
A vailability
22
信息生命周期
创建
使用
存储
传递
更改
销毁 23
信息产业发展迅猛
截至2008年7月,我国固定电话已达到3.55亿户,移动电话用户数达到 6.08亿。
截至2008年6月,我国网民数量达到了2.53亿,成为世界上网民最多的 国家,与去年同期相比,中国网民人数增加了9100万人,同比增长达到 56.2%。
手机上网成为用户上网的重要途径,网民中的28.9%在过去半年曾经使 用过手机上网,手机网民规模达到7305万人。
2007年电子商务交易总额已超过2万亿元。
目前,全国网站总数达192万,中文网页已达84.7亿页,个人博客/个人 空间的网民比例达到42.3%。
目前,县级以上96%的政府机构都建立了网站,电子政务正以改善公共 服务为重点,在教育、医疗、住房等方面,提供便捷的基本公共服务。
6
信息在哪里?
小问题:公司的信息都在哪里?
纸质文档 电子文档 员工 其他信息介质
7
小测试:
您离开家每次都关门吗? 您离开公司每次都关门吗? 您的保险箱设密码吗? 您的电脑设密码吗?
8
答案解释:
如果您记得关家里的门,而不记得关公司的门, 说明您可能对公司的安全认知度不够。
如果您记得给保险箱设密码,而不记得给电脑设密码, 说明您可能对信息资产安全认识不够。
16
绝对的安全是不存在的
• 绝对的零风险是不存在的,要想实现零风险,也是不现实的; • 计算机系统的安全性越高,其可用性越低,需要付出的成本也就越大,
一般来说,需要在安全性和可用性,以及安全性和成本投入之间做一 种平衡。
在计算机安全领域有一句格言:“真正 安全的计算机是拔下网线,断掉电源,放置 在地下掩体的保险柜中,并在掩体内充满毒 气,在掩体外安排士兵守卫。”
1
主要内容
1
什么是信息安全?
2
怎样搞好信息安全?
3
信息安全基本概念
4
信息产业发展现状
2
引言
授之以鱼 ——产品 不如授之以渔 ——技术 更不如激之其欲 ——意识
谈笑间,风险灰飞烟灭。
3
什么是信息安全?
• 不止有产品、技术才是信息安全
4
信息安全无处不在
法律 合规
安全 策略
业务 连续
24
信息安全令人担忧
内地企业44%信息安全事件是数据失窃
普华永道最新发布的2008年度全球信息安全调查报告显示, 中国内地企业在信息安全管理方面存在滞后,信息安全与隐私保 障方面已被印度赶超。数据显示,内地企业44%的信息安全事件与 数据失窃有关,而全球的平均水平只有16%。
普华永道的调查显示,中国内地企业在改善信息安全机制上 仍有待努力,从近年安全事件结果看,中国每年大约98万美元的 财务损失,而亚洲国家平均约为75万美元,印度大约为30.8万美 元。此外,42%的中国内地受访企业经历了应用软件、系统和网 络的安全事件。
本质上
1. 保护—— 系统的硬件,软件,数据 2. 防止—— 系统和数据遭受破坏,更改,泄露 3. 保证—— 系统连续可靠正常地运行,服务不中断
两个层面
1. 技术层面—— 防止外部用户的非法入侵
2. 管理层面—— 内部员工的教育和管理
21
信息安全基本目标 保密性, 完整性, 可用性
C onfidentiality
25
安全事件(1)
26
安全事件(2)
27
安全事件(3)
28
安全事件(4)
29
安全事件(5)
30
安全事件(6)
用户电脑中毒后可能会出现蓝屏、频繁重
启以及系统硬盘中数据文件被破坏等现象。同 时,该病毒可以通过局域网进行传播,进而感 染局域网内所有计算机系统,最终导致企业局 域网瘫痪,无法正常使用,它能感染系统中 exe,com,pif,src,html,asp等文件,它还 能中止大量的反病毒软件进程并且会删除扩展 名为gho的文件,该文件是一系统备份工具 GHOST的备份文件,使用户的系统备份文件 丢失。被感染的用户系统中所有.exe可执行文
信息比钞票更重要, 更脆弱,我们更应该保护 它。
13
WHY???
装有100万的 保险箱
需要 3个悍匪、
1辆车,才能偷走。 公司损失: 100万
装有客户信息的 只要 1个商业间谍、 1个U盘,就能偷走。 公司损失:
电脑
所有客户!
14
典型案例
15
安全名言
☞ 公司的利益就是自己的利益,不保护公司 ,就是不保护自己。 ☞ 电脑不仅仅是工具,而是装有十分重要信 息的保险箱。
显然,这样的计算机是无法使用的。
17
安全是一种平衡
18
安全是一种平衡
高
安全事件的损失
/
安
全
成
安全控制的成本
本
损
失
最小化的总成本
低
所提供的安全水平
高
关键是实现成本利益的平衡
19
信息的价值
信息的价值 = 使用信息所获得的收益 ─ 获取信息所用成 本
信息具备了安全的保护特性
20
信息安全的定义
广义上讲 领域—— 涉及到信息的保密性,完整性,可用性,真 实性,可控性的相关技术和理论。
件全部被改成熊猫举着三根香的模样。
熊猫烧香病毒的制造者-李俊
31
深度分析
32
这样的事情还有很多……
信息安全 迫 在 眉 睫!!!
33
关键是做好预防控制
隐患险于明火! 预防重于救灾!
34
小故事,大启发 —— 信息安全点滴
35
35
首先要关注内部人 员的安全管理
36
信息安全
事件 管理
开发 安全
访问 控制
安全 组织
资产 管理
人员 安全
网络 安全
物理 安全
5
怎样搞好信息安全?
一个软件公司的老总,等他所有的员工下班之 后,他在那里想:我的企业到底值多少钱呢?假 如它的企业市值1亿,那么此时此刻,他的企业就 值2600万。
因为据Delphi公司统计,公司价值的26%体现 在固定资产和一些文档上,而高达42%的价值是存 储在员工的脑子里,而这些信息的保护没有任何 一款产品可以做得到,所以需要我们建立信息安 全管理体系,也就是常说的ISMS!
9
这就是意识缺乏的两大 结症!
1 不看重大公司,更看重小家庭。
ห้องสมุดไป่ตู้
公司
家
2 钞票更顺眼,信息无所谓。
〉
10
思想上的转变(一)
公司的钱,就是我的钱, 只是先放在, 老板那里~~~
11
信息安全搞好了 信息安全搞砸了
WHY???
公司赚钱了
你就“涨” 了
公司赔钱了
你就“跌” 了
领导笑了
领导怒了
12
思想上的转变(二)
I ntegrity
CIA
A vailability
22
信息生命周期
创建
使用
存储
传递
更改
销毁 23
信息产业发展迅猛
截至2008年7月,我国固定电话已达到3.55亿户,移动电话用户数达到 6.08亿。
截至2008年6月,我国网民数量达到了2.53亿,成为世界上网民最多的 国家,与去年同期相比,中国网民人数增加了9100万人,同比增长达到 56.2%。
手机上网成为用户上网的重要途径,网民中的28.9%在过去半年曾经使 用过手机上网,手机网民规模达到7305万人。
2007年电子商务交易总额已超过2万亿元。
目前,全国网站总数达192万,中文网页已达84.7亿页,个人博客/个人 空间的网民比例达到42.3%。
目前,县级以上96%的政府机构都建立了网站,电子政务正以改善公共 服务为重点,在教育、医疗、住房等方面,提供便捷的基本公共服务。
6
信息在哪里?
小问题:公司的信息都在哪里?
纸质文档 电子文档 员工 其他信息介质
7
小测试:
您离开家每次都关门吗? 您离开公司每次都关门吗? 您的保险箱设密码吗? 您的电脑设密码吗?
8
答案解释:
如果您记得关家里的门,而不记得关公司的门, 说明您可能对公司的安全认知度不够。
如果您记得给保险箱设密码,而不记得给电脑设密码, 说明您可能对信息资产安全认识不够。
16
绝对的安全是不存在的
• 绝对的零风险是不存在的,要想实现零风险,也是不现实的; • 计算机系统的安全性越高,其可用性越低,需要付出的成本也就越大,
一般来说,需要在安全性和可用性,以及安全性和成本投入之间做一 种平衡。
在计算机安全领域有一句格言:“真正 安全的计算机是拔下网线,断掉电源,放置 在地下掩体的保险柜中,并在掩体内充满毒 气,在掩体外安排士兵守卫。”