国有企业信息安全意识技能培训完整版(培训员工版)

什么是信息安全
信息本身的机密性（Confidentiality）、完整性（Integrity）和 可用性（Availability）的保持，即防止防止未经授权使用信息、 防止对信息的非法修改和破坏、确保及时可靠地使用信息。
保密性：确保信息没有非授权的泄漏，不被 非授权的个人、组织和计算机程序使用 完整性：确保信息没有遭到篡改和破坏
提高人员意识 和技能
奖惩措施
有效落实
科学的信息安全工程过程
发掘需
DISCOVER
求 NEEDS
定DE义FINE系 统要求 SYSTEM
REQUIREMENTS
定义系 统体系 DESIGN
SYSTEM
结构 ARCHITECTURE
用户/用户代表
D开EV发ELO详P 细设计 DETAILED
DESIGN
❖ 2010年1月2日，公安部物证鉴定中心被黑，登陆该网站，有 些嘲弄语言，还贴一张“我们睡，你们讲”的图片，图片是 公安某单位一次会议上，台下参会人员大睡的场面。
❖ 2010年1月11日，著名网络被黑(域名劫持)，黑客团体叫 “Iranian Cyber Army”。服务器中断5小时。
❖ 2008年1月，美国总统布什签发总统54号令，其中有《国家网 络安全综合纲领》（CNCI），包含12个行动纲领。
❖ 1-4月，我国生产生产手机23290万部，增长34.5%; 微型计算 机7112万台，增长50.1%，其中笔记本电脑增长50.6%; 集成 电路190亿块，增长78.5%
❖ 1-4月，我国累计实现软件业务收入3626亿元，同比增长 28.7%。信息技术增值服务收入同比增长38.1%。集成电路设 计开发收入228亿元，同比增长63%。软件产品、系统集成和 支持服务、信息技术咨询和管理服务、嵌入式系统软件、分 别实现1333、728、320和638亿元，分别增长27%、25.1%、 26.3%、23%。
掠夺竞争优势，恐吓
施行报复，实现经济目的， 破坏制度 攫取金钱，恐吓，挑战，获取 声望
以吓人为乐，喜欢挑战
安全问题根源—外因来自自然的破坏
信息技术的发展
电报电话通信
计算机加工存储 网络互联时代
信息安全问题的诞生
• 人类开始信息的通信，信息安全的历史就开始了
– 公元前500年，斯巴达人用于加解密的一种军事设备。 发送者把一条羊皮螺旋形地缠在一个圆柱形棒上。
▪ 2004年秋，党的十六届四中全会将信息安全与政治安全 、经济安全、文化安全并列为国家安全的重要组成要素 。非传统安全问题日益得到重视。
信息安全趋势
❖隐蔽性：信息安全的一个最大特点就是看不见摸不着
。在不知不觉中就已经中了招，在不知不觉中就已经 遭受了重大损失。
信息安全趋势
❖ 趋利性：为了炫耀能力的黑客少了，为了非法取得政 治、经济利益的人越来越多
可用性：确保拥有授权的用户或程序可以及 时、正常使用信息
完整性 （Integrity）
秘密 保密性
（Confidentiality）
可用性 （Availability）
什么是信息安全风险
什么是信息安全风险
什么是信息安全风险
什么是信息安全风险
❖ 外在威胁利用信息系 统存在的脆弱性，致 其损失或破坏对系统 价值造成损害的可能 性
✓数据具有一定的逻辑关系；
✓具有一定的时效性；
✓对组织具有价值 ，是一种资产；
✓需要适当的保护。
什么是安全？
安全 Security：事物保持不受损害
什么是信息安全？
不该知道的人，不让他知道！
什么是信息安全？
信息不能追求残缺美！
什么是信息安全？
信息要方便、快捷！ 不能像某国首都二环早高峰， 也不能像春运的火车站
如何保障信息安全？
信息是依赖与承载它的信息技术系统存在的 需要在技术层面部署完善的控制措施
信息系统是由人来建设使用和维护的 需要通过有效的管理手段约束人
今天系统安全了明天未必安全 需要贯穿系统生命周期的工程过程
信息安全的对抗，归根结底是人员知识、技能和素质 的对抗 需要建设高素质的人才队伍
一个单位如何考虑安全技术体系？
中继
路由
对外数服务据厅文件加密
病毒防护
Intranet
关闭安全维护
“I后nt门er”net
入侵检测 实时监控
技术部门
Modem 安企装业认网证 &络授权
内部/个体
授权复查
内部/组织 外部/个体 安全隐患
外部/组织
有效的信息安全管理体系
高层领导参与 有关部门协调配合
组织体系
规章制度 风险管理
覆盖范围全面 切实可行
• 追求高技术？ • 与我们的业务有关？ • 我们的目标方向有否偏差？ • 安全设施影响业务系统性能？ • 增加多少额外操作？ • 国家秘密吗？工作秘密吗？ • 代价多大？ • 风险可以忍受吗？
二、信息安全形势和任务
我国信息化迅猛发展
❖ 我国信息化建设起步于20世纪80年代 ❖ 20世纪90年代取得长足进步
• 现在信息技术已经广泛应 用于促进 – 国民经济发展 – 政府管理和服务水平提 高 – 企业竞争力增强 – 人民生活水平该改善
我国正在步入信息化时代
我国信息化迅猛发展的数据
数据来源：工业与信息化部网站
❖ 2010年1-2月，基础电信企业互联网宽带接入用户净增359.3 万户，达到10681.8万户
评估有效性 实现系
IMPLEMENT
统 SYSTEM
计划组 织
开发息系统生命周期
高素质的人员队伍
信息安全保障专家
信息安全专业人员
（信息安全相关的岗位和职责）
计划 组织
开发 采购
实施 交付
运行 维护
废 弃
信息安全从业人员 （信息系统相关的岗位和职责）
安全基础和安全文化
资产
作 用 于
风险
增 加
威胁
导
减
致
少
利用
对抗
脆弱性
防护措施
为什么需要信息安全保障
•组织机构的使命/业务目
使命
标实现越来越依赖于信息
系统
信息
•信息系统成为组织机构生
系统
存和发展的关键因素
•信息系统的安全风险也成 为组织风险的一部分
保障
风险
•为了保障组织机构完成其
使命，必须加强信息安全
保障，抵抗这些风险。
增强信息安全意识、提高个人防护能力
某国有大型企业信息安全培训
目录
一、信息安全基本常识 二、信息安全形势和任务
三、个人信息安全防护基本技能
一、信息安全基本常识
为什么会有信息安全问题？
❖ 因为有病毒吗？
• 因为有黑客吗？
• 因为有漏洞吗？
这些都是原因， 但没有说到根源
安全问题根源—内因系统越来越复杂
• 经调查发现，这是一起企图利用计算机网络信息系统技术诈骗 彩票奖金的案件，并于6月12日将犯罪嫌疑人程某抓获，程某 为深圳市某技术公司软件开发工程师，利用公司在深圳福彩中 心实施技术合作项目的机会，通过木马攻击程序，恶意篡改彩 票数据，伪造了5注一等奖欲牟取非法利益。
案例2
❖ 2001年初，北京市国家税务局、北京 市公安局联合查处了陈学军团伙虚开 增值税专用发票案件。主犯陈学军与 原北京市海淀区国家税务局干部吴芝 刚内外勾结，从海淀区国家税务局套 购增值税专用发票10900份，为数百家 企业虚开增值税专用发票2800余份， 虚开税款共计人民币3.93亿元。陈学 军以虚开增值税专用发票罪被判处并 已执行死刑；吴芝刚以虚开增值税专 用发票罪、巨额财产来源不明罪两罪 并罚，一审判处死刑，二审改判死刑 缓期执行。
信息化建设的意义
❖ 小平同志提出：
❖ 党的十六大报告也指出：
信息化建设的意义
❖ 信息化作为全球化的重要方面，直接推动了国际关系 的演变和全球经济体系的形成
❖ 电子政务、电子商务和整个社会的信息化发展，标志 着我国进入信息化社会
❖ 整个社会越来越依赖于网络和信息系统，网络和信息 系统正成为社会运行和发展的重要支撑要素
通信安全
以二战时 期真实历 史为背景 的，关于 电报密文 窃听和密 码破解的 故事
转轮密码机ENIGMA，1944年装备德国海 军
❖ 20世纪，40年代-70年代
▪ 通过密码技术解决通信保密，内容篡改
信息系统安全
❖ 20世纪，70-90年代后，计算机和网络改变了一切
▪ 确保信息在网络信息系统中的存储、处理和传输过程中 免受非授权的访问，防止授权用户的拒绝服务
然而，没有信息安全就没有真正有效的信息化
信息安全受到高度重视
❖ 党中央、国务院对信息安全提出明确要求
▪ 2003年9月，中央办公厅、国务院办公厅转发了《国家 信息化领导小组关于加强信息安全保障工作的意见》， 第一次把信息安全提到了促进经济发展、维护社会稳定 、保障国家安全、加强精神文明建设的高度。
新应用导致新的安全问题
❖ 数据大集中——风险也更集中了； ❖ 系统复杂了——安全问题解决难度加大； ❖ 云计算——安全已经不再是自己可以控制的 ❖3G 、物联网、三网合一——IP网络中安全问题引入
到了电话、手机、广播电视中 ❖web2.0 、微博、人肉搜索——网络安全与日常生活
越来越贴近
网络群体性事件影响政治、社会稳定
安全问题根源—内因我们使用的网络是开放的
安全问题根源—内因人是复杂的
安全问题根源—外因来自对手的威胁
国家 安全 威胁
共同 威胁
局部 威胁
信息战士 情报机构 恐怖分子 商业间谍 犯罪团伙
社会型黑客 娱乐型黑客
减小国家决策空间、战略优势， 制造混乱，进行目标破坏 搜集政治、军事，经济信息 破坏公共秩序，制造混乱，发 动政变