2018员工信息安全意识培训v1.0

减小国家决策空间、战略优势，制造混 乱，进行目标破坏 搜集政治、军事，经济信息
破坏公共秩序，制造混乱，发动政变
商业间谍 掠夺竞争优势，恐吓
犯罪团伙 社会型黑客
施行报复，实现经济目的，
破坏制度 攫取金钱，恐吓，挑战，获取声望
娱乐型黑客 以吓人为乐，喜欢挑战
2
来自自然的破坏
安全问题的根源—内因
1 系统越来越复杂
信息安全保障需要持续进行
信息安全保障需要 时时刻刻不放松
如何保障信息安全？
信息是依赖与承载它的信息技术系统存在的 需要在技术层面部署完善的控制措施
信息系统是由人来建设使用和维护的 需要通过有效的管理手段约束人
今天系统安全了明天未必安全 需要贯穿系统生命周期的工程过程
信息安全的对抗，归根结底是人员知识、技能和素质的 对抗 需要建设高素质的人才队伍
什么是信息安全？
保证信息只能够由得到授 权的人访问。
举例：公司产品代码不被 恶意泄漏；商务合同、报 价、客户信息不被披露
保密性
可用性
信息安全
完整性
保证经授权的用户当需要 访问信息的时候就能够访 问到。
举例：如果公司的业务被 拒绝服务造成网络中断， 用户无法使用我们的业务。
保证信息的正确性及不被非授权篡改和删除。
实时记录局域网内电脑所有对外收发的邮件、浏览的 网页以及上传下载的文件，监视和管理网内用户的聊 天行为，限制、阻断网内用户访问指定网络资源或网 络协议等
谢谢观赏！
Thanks!
两个层面
1. 技术层面—— 防止外部用户的非法入侵 2. 管理层面—— 内部员工的教育和管理
9
为什么会有信息安全问题？
• 因为有病毒吗？ • 因为有黑客吗？
• 因为有漏洞吗？
这些都是原因， 但没有说到根源
安全问题的根源—外因
1 来自外部的威胁
国家 安全 威胁
共同 威胁
局部 威胁
信息战士 情报机构 恐怖分子
2018信息安全提升系列 （一）
信息技术部 2018-02-12
普通员工信息安全意识培训
什么是信息安全意识？
信息安全意识，就是能够认知可能存在的信息 安全问题，预估信息安全事故对组织的危害，恪守 正确的行为方式，并且执行在信息安全事故发生时 所应采取的措施。
目录
信息安全基础知识 当前的信息安全形势 个人应具备的安全防护意识
的和通用的信息安全意识培训
安全防护之（八）员工岗位调整
当下级更换工作岗位或离职时，团队负责人必须立即 通知人力资源中心及信息中心，并按安全管控流程进 行账号权限等工作事项的变更调整
安全防护之
网络与邮件2条
安全防护之（九）网络与邮件系统的安全防护
邮件与网络系统都属于公司资产，公司有权监视公司 内部电子邮件与网络行为，使用网络管理系统或工具 进行管控，对各种网络应用进行管控和记录
如果进出需要门卡，请随身带好，严禁无证进入 钥匙和门卡仅供本人使用，不要交给他人使用 敏感物品应放置在受控的安全区域
安全防护之
员工管理2条
安全防护之（七）工作岗位安全要求
根据不同岗位的需求，尤其是敏感岗位，应在职位描 述中加入安全方面的责任要求
若岗位需要，应签订适当的保密协议 依岗位需要和公司要求，应不定期的对员工进行专项
信息安全事件在增多……
信息安全 迫 在 眉 睫！！！
28
威胁无处不在
黑客渗透 内部人员威胁
木马后门
病毒和蠕虫 流氓软件
系统漏洞
信息资产
拒绝服务 社会工程
硬件故障
网络通信故障 供电中断
失火
雷雨
地震
我们应该怎么做
• 培养意识
– 知道如何去识别一个潜在的问题 – 利用正确的判断力
• 掌握和实行良好的安全习惯
– 在日常工作中养成良好的习惯 – 鼓励其他人也这样做
• 报告任何异常事件
– 如果发现了某件安全事件，通知适当的联系人
• ……
我们最常犯的一些错误
将口令写在便签上，贴在电脑监视器旁 开着电脑离开，就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件，好奇打开邮件附件 使用容易猜测的口令，或者根本不设口令 丢失笔记本电脑 不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息 随便上网和下载软件，或随意将无关设备连入公司网络 事不关己，高高挂起，不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁，忽视企业内部人员的问题
越来越贴近
安全风险无处不在
2018/2/6
新闻
• 2010年初，美国硅谷的迈克菲公司发布最新报告，约109.5万台 中国计算机被病毒感染（美国105.7万），排第一位。
• 2010年1月2日，公安部物证鉴定中心被黑，登陆该网站，有些嘲 弄语言，还贴一张“我们睡，你们讲”的图片，图片是公安某单 位一次会议上，台下参会人员大睡的场面。
2
人也是复杂的
需要加强信息安全保障
•组织机构的使命/业务目标实现
使命
越来越依赖于信息系统
•信息系统成为组织机构生存和
发展的关键因素
信息
系统
•信息系统的安全风险也成为组
织风险的一部分
•为了保障组织机构完成其使命，
保障
风险 必须加强信息安全保障，抵抗
这些风险。
安全保障的目标是支持业务
信息安全保障是为了 支撑业务高效稳定运行
举例：计费纪录被恶意修改； 交易信息被删除；公司主页被篡 改；日志文件被删除
采取合适的信息安全措施，使安全事件对业务造成的影响降低最小， 保障组织内业务运行的连续性。
信息安全的定义
广义上讲
涉及到信息的保密性，完整性，可用性，真实性，可控性的相 关技术和理论。
本质上
1. 保护—— 系统的硬件，软件，数据 2. 防止—— 系统和数据遭受破坏，更改，泄露 3. 保证—— 系统连续可靠正常地运行，服务不中断
信息安全趋势
• 趋利性：为了炫耀能力的黑客少了，为了非法取 得政治、经济利益的人越来越多
新应用导致新的安全问题
• 数据大集中——风险也更集中了； • 系统复杂了——安全问题解决难度加大； • 云计算——安全已经不再是自己可以控制的 • 4G 、物联网、三网合一——IP网络中安全问题引
入到了电话、手机、广播电视中 • web2.0 、微博、微信等——网络安全与日常生活
网络与邮件系统安全 员工邮件使用安全
员工管理
网络与邮件
安全防护之
工作常识4条
安全防护之（一）账户与口令的安全使用
设置复杂口令，至少8位，包含字母数字 定期更改口令，最长3个月更改一次 即刻更改缺省的或初始化口令 输入时严防偷看，若发觉有人获知，应立即改变口令 有人在电话中向你索取口令，应拒绝后立即报告 不与任何人共享，临时共享，事后第一时间更改口令 不要把口令写在纸上 不要把口令存储在计算机文件中
安全防护之（三）工作习惯提醒
文件存放位置不要放在默认的“我的文档”或桌面 不随意安装软件，尤其是网络浏览时要求安装的控件 员工要有安全保管工作相关资料的意识 使用公司提供的文件服务器等储存资源备份重要资料 存储设备损坏后应慎重选择第三方修复商，勿随意丢
弃、应先进行安全处理 离开电脑时记得锁屏
• 2010年1月11日，著名网络被黑(域名劫持)，黑客团体叫 “Iranian Cyber Army”。服务器中断5小时。
• 2008年1月，美国总统布什签发总统54号令，其中有《国家网络 安全综合纲领》（CNCI），包含12个行动纲领。
• 2009年6月，美国国防部长罗伯特·盖茨下令组建网络司令部，统 一协调美军网络安全，开展网络战争等与计算机相关的军事行动 。
案例1
• 2009年6月9日，双色球2009066期开奖，全国共 中出一等奖4注，但是，开奖系统却显示一等奖 中奖数为9注，其中深圳地区中奖为5注。深圳市 福彩中心在开奖程序结束后发现系统出现异常， 经多次数据检验，工作人员判断，福彩中心销售 系统疑被非法入侵，中奖彩票数据记录疑被人为 篡改。
• 经调查发现，这是一起企图利用计算机网络信息系统技术诈骗彩 票奖金的案件，并于6月12日将犯罪嫌疑人程某抓获，程某为深圳 市某技术公司软件开发工程师，利用公司在深圳福彩中心实施技 术合作项目的机会，通过木马攻击程序，恶意篡改彩票数据，伪 造了5注一等奖欲牟取非法利益。
• 电子政务、电子商务和整个社会的信息化发展， 标志着我国进入信息化社会
• 整个社会越来越依赖于网络和信息系统，网络和 信息系统正成为社会运行和发展的重要支撑要素
然而，没有信息安全就没有真正有效的信息化
信息安全趋势
• 隐蔽性：信息安全的一个最大特点就是看不见摸 不着。在不知不觉中就已经中了招，在不知不觉 中就已经遭受了重大损失。
敏感信息不随意地放置,打印或复印的敏感资料要及时 取走
凡被定为机密或绝密的信息，如需发送到公司外部或 带出公司，须经过审批，并采取适当的安全措施
因工作需要临时使用敏感资料后，应执行安全删除、 彻底粉碎等措施
不在公司外部讨论敏感信息
安全防护之（六）物理环境安全防护
受控区域应设置一定的安全措施，比如视频监控等， 并做好进出登记
安全防护之（四）软件使用
用户们不可安装属于个人的软件在任何公司设备上 不违反版权或其它知识产权使用软件或其它类型产品 免费与开源软件须经过管理和法务部门批准，并符合
公司信息安全标准和其它规范要求才可使用
安全防护之
物理环境2条
安全防护之（五）文件资料的安全防护
公司的信息资料，不可转移或存储在任何非公司核准 或认证的设备或个人设备上
安全防护之（二）个人电脑安全防护
个人电脑须安装防病毒软件，并及时升级软件 开启防病毒软件所有功能，定期进行全盘扫描 防病毒管控产生的记录必须被至少保留90天 若使用下载工具，需进行防病毒设置与流量控制 浏览网站需小心，不要随意安装控件 IE浏览器需进行相应的安全设置、配置 邮件安全需对垃圾邮件进行防护设置 系统补丁需进行更新策略的设置