新信息安全意識培訓

1、*1 今日議題今日議題一、一、 信息安全相關概念信息安全相關概念二、信息安全問題產生的根源二、信息安全問題產生的根源三、如何保障信息系統(tǒng)安全三、如何保障信息系統(tǒng)安全*2首先讓我們先來了解三個概念1）什么是信息？2）什么是安全？3）什么是信息安全？一、信息安全相關概念一、信息安全相關概念 *31、什么是信息？ 信息是信息論中的一個術語，常常把消息中有意義的內容稱為信息。 1948年，美國數學家、信息論的創(chuàng)始人仙農在題為“通訊的數學理論”的論文中指出：“信息是用來消除隨機不定性的東西”。 信息一般有4種形態(tài)： 一、信息安全相關概念一、信息安全相關概念*4文本文本聲音聲音圖像圖像數據數據信息的4種形

2、態(tài)：*51、什么是信息？我們平常接觸到的信息我們平常接觸到的信息一、信息安全相關概念一、信息安全相關概念*6什么是信息？信息是有價值的符號、數據、圖片和語音，它能夠被企業(yè)創(chuàng)建、使用、處理、存儲及傳輸。信息是必須依賴介質存在。對企業(yè)具有價值的信息，稱為信息資產。*7電子信息電子信息物理信息物理信息人的記憶人的記憶（經驗經驗）紙張信息紙張信息信息存儲在何處？信息存儲在何處？*8*9信息生命周期一、信息安全相關概念一、信息安全相關概念 信息具有以下屬性：基本元素是數據，每個數據代表某個意義；數據具有一定的邏輯關系；需要適當的保護；以各種形式存在：紙、電子形式、影片、交談等；具有一定的時效性；對組織具

3、有價值 ，是一種資產。知識知識信息信息數據數據指導意義抽象程度*10一、信息安全相關概念一、信息安全相關概念*112、什么是安全？一、信息安全相關概念一、信息安全相關概念安全就是沒有危險；不受威脅；不出事故。安全與我們的工作生活，甚至于生命息息相關：安全駕駛 、安全用電 、交通安全 、消防安全等。*12水災水災交通事故交通事故街頭搶劫街頭搶劫火災火災我們身邊有哪些安全問題？*132、什么是安全？一、信息安全相關概念一、信息安全相關概念*14在我們工作和的生活中，你遇到過哪些不安全的現(xiàn)象，有過哪些不安全的做法？一、信息安全相關概念一、信息安全相關概念*15一、信息安全相關概念一、信息安全相關概念

4、 上網正在興頭上時，突然IE窗口不停地打開，最后直到資源耗盡死機； 身邊朋友的QQ號被盜，雖然最后費盡周折，利用密碼保護找回了自己心愛的QQ號，但是里面的好友和群全部被刪除； 想通過U盤把連夜加班的資料拷貝到單位電腦上，可插入U盤后里面空空如也，一晚上的工作付之東流； 某一天下著大雨，突然“霹靂”一聲，電腦突然斷線了，經查是上網用的adsl modem被擊壞了。 *16信息安全，就是保證信息的保密性、完整性和可用性。信息安全，就是保證信息的保密性、完整性和可用性。保密性：保密性：確保信息不被非授權的個人、組織和計算機程序使用完整性：完整性：確保信息沒有被篡改和破壞可用性：可用性：確保擁有授權的

5、用戶或程序 可以及時、正常使用信息*173 3 什么是信息安全？什么是信息安全？一、信息安全相關概念一、信息安全相關概念案例案例1 傳統(tǒng)工藝品景泰藍的生產技術一直是我國獨有的，多少年來暢銷世界各國為國家賺了很多外匯。 有一家日本企業(yè)看著眼紅，想著心動，摸著手癢，使了不少明招暗招陰招狠招，都沒管用，于是找來素有愛國華僑稱號的一個人，請他到中國以參觀為名把景泰藍生產技術偷出來，事前先給了他一大筆錢，事成之后再給一大筆錢。 *18一、信息安全相關概念一、信息安全相關概念案例案例1這個華僑，面對大筆金錢的誘惑，經過一番思想斗爭后，最終還是答應了。 華僑到了景泰藍廠，受到熱情歡迎，廠長親自陪同，破例讓他

6、參觀了景泰藍的全部生產過程。 華僑又是記錄又是拍照，把景泰藍生產技術弄了個一清二楚。 廠里的人看到華僑這樣做也有些懷疑，向廠長提出來是不是注意一下。 廠長說人家是著名愛國華僑，要是有個三差兩錯，可是破壞統(tǒng)一戰(zhàn)線的大事，別瞎懷疑了。 *19一、信息安全相關概念一、信息安全相關概念案例案例1大家伙做夢也不會想到，這么個一本正經滿臉堆笑的貴客，卻是個地地道道的工業(yè)間諜，是外國第一個竊取景泰藍生產技術的人。 從此，景泰藍的生產就在日本開始了。 *20一、信息安全相關概念一、信息安全相關概念不該知道的人，不該知道的人，不要讓他知道！不要讓他知道！保證信息的機密性是保證信息的機密性是很重要的：很重要的：確

7、保重要確保重要信息沒有非授權的泄信息沒有非授權的泄漏，不被非授權的個漏，不被非授權的個人、組織和計算機程人、組織和計算機程序使用。序使用。*21案例案例1 1 有十個人，兩兩傳遞一句話，“我告訴你一句話！”傳到第十個人那里的時候，可能聽到的是這樣的，“火車什么時候出發(fā)？”這說明什么問題呢？耳提面命，兩兩傳遞，語言會失真！一句同樣的話，經過十個人，九次傳遞，面目全非。為什么謠言是最不可信的？因為它經過了很多人的傳遞后，融入了很多個人的理解和感情因素，改變了事情的本來面目。一、信息安全相關概念一、信息安全相關概念*22一、信息安全相關概念一、信息安全相關概念案例案例2 2 別人告訴你個事，說：1、

8、“前面有個人！”非常含糊！ 2、“前面有個男人！”更具體！ 3、“前面有個老人，是個男的！”更具體！ 4、“前面有個老頭，是個盲人！”更具體！ 5、“前面有個老頭，是個盲人！迷路了！”更具體！ 6、“前面有個老頭，是個盲人！迷路了！需要幫助！”更具體！ 7、“前面有個老頭，是個盲人！迷路了！有個警察把他送回家了！”非常具體！ 在大多數情況下，我們聽到的和事情的本質，是存在非常大的差異的！完整的表述，可以再現(xiàn)事物的原貌。*23一、信息安全相關概念一、信息安全相關概念*24一、信息安全相關概念一、信息安全相關概念信息不能追求殘缺美！信息不能追求殘缺美！完整性：完整性：確保信息沒有遭確保信息沒有遭到

9、篡改和破壞到篡改和破壞*25案例1一、信息安全相關概念一、信息安全相關概念 背景介紹：背景介紹：它是20世紀最大的登陸戰(zhàn)役，也是戰(zhàn)爭史上最有影響的登陸戰(zhàn)役之一。盟軍先后調集了36個師，總兵力達288萬人，其中陸軍有153萬人，相當于20世紀末美國的全部軍隊。從1944年6月6日至7月初，美國、英國、加拿大的百萬軍隊，17萬輛車輛，60萬噸各類補給品，成功地渡過了英吉利海峽。到7月24日，戰(zhàn)爭雙方約有24萬人被殲滅，其中盟軍傷亡12.2萬人，德軍傷亡和被俘11.4萬人。至8月底，盟軍一共消滅或重創(chuàng)德軍40個師，德軍的3名元帥和1名集團軍司令先后被撤職或離職，擊斃和俘虜德軍集團軍司令、軍長、師長等

10、高級將領20人，繳獲和摧毀德軍的各種火炮3000多門，摧毀戰(zhàn)車1000多輛。德軍損失飛機3500架，坦克1.3萬輛，各種車輛2萬輛，人員40萬。這次登陸戰(zhàn)役的成功，使美英軍隊得以重返歐洲大陸，第二次世界大戰(zhàn)的戰(zhàn)略態(tài)勢發(fā)生了根本性變化 。*26案例1一、信息安全相關概念一、信息安全相關概念*27案例1:諾曼底登陸為什么能夠取得成功？它又帶給我們怎樣的思考？一、信息安全相關概念一、信息安全相關概念戰(zhàn)略欺騙戰(zhàn)略欺騙盟軍用錯誤的信息，使得德軍統(tǒng)帥部判斷錯誤，不僅保障了登陸作戰(zhàn)的突然性，還保證了戰(zhàn)役順利進行，對整個戰(zhàn)役具有重大影響。盟軍通過?？哲姷淖坑谐尚У难饎?，成功運用了雙重特工、電子干擾，以及在英國

11、東南部地區(qū)偽裝部隊及船只的集結等一系列措施，還讓巴頓將軍在英國進行戰(zhàn)前演說，再加上嚴格的保密措施，使德軍統(tǒng)帥部在很長時間里對盟軍登陸地點、時間都作出了錯誤判斷，以為盟軍將在諾曼底東北方的加萊海灘登陸，甚至在盟軍諾曼底登陸后仍認為是牽制性的佯攻，這就導致了德軍在西線的大部分兵力、武器被浪費在加萊地區(qū)，而在諾曼底則因兵力單薄無法抵御盟軍的登陸。同時，還找到一個和蒙哥馬利長得極像的叫詹姆斯的人在北非冒充蒙哥馬利，使得隆美爾以為蒙哥馬利一直在北非。 *28一、信息安全相關概念一、信息安全相關概念可用性：可用性：確保擁有授權的用確保擁有授權的用戶或程序可以及時、正常使戶或程序可以及時、正常使用信息。用信

12、息。*29信息安全的實質*30 采取措施保護信息資產，使之不因偶然或者惡意侵犯而采取措施保護信息資產，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行，使安全事件對業(yè)務造成的影響減到最小，確保組常地運行，使安全事件對業(yè)務造成的影響減到最小，確保組織業(yè)務運行的連續(xù)性?？棙I(yè)務運行的連續(xù)性。能保證企業(yè)的業(yè)務活動穩(wěn)定有效的運作（對內）能保證企業(yè)的業(yè)務活動穩(wěn)定有效的運作（對內）提高客戶信心及滿意度（對外）提高客戶信心及滿意度（對外）滿意度滿意度業(yè)務運作業(yè)務運作 今日議題今日議題一、一、 信息安全相關概念信息安全相關

13、概念二、信息安全問題產生的根源二、信息安全問題產生的根源三、如何保障信息系統(tǒng)安全三、如何保障信息系統(tǒng)安全*31二、信息安全問題產生的根源二、信息安全問題產生的根源*32人是復雜的，人是復雜的，“威脅威脅”時刻存在時刻存在為什么需要保護信息？為什么需要保護信息？*33*34為什么需要保護信息？為什么需要保護信息？序號序號類別類別特點特點危害性危害性竊密性竊密性1 1計算機病毒計算機病毒電腦崩潰、破壞文件電腦崩潰、破壞文件不竊密不竊密2 2蠕蟲蠕蟲消耗消耗CPUCPU與網絡資源與網絡資源不竊密不竊密3 3木馬木馬完全控制遠程電腦完全控制遠程電腦竊密竊密4 4間諜軟件間諜軟件竊取密碼、個人信息竊取密

14、碼、個人信息竊密竊密5 5網絡釣魚網絡釣魚竊取網銀賬戶信息與密碼竊取網銀賬戶信息與密碼竊密竊密6 6僵尸網絡僵尸網絡網絡軍隊：網絡軍隊：完全控制遠程電腦完全控制遠程電腦竊取密碼、垃圾郵件、竊取密碼、垃圾郵件、DDoSDDoS攻擊攻擊竊密竊密“病毒與惡意代碼病毒與惡意代碼”危害嚴重危害嚴重*35信息是信息是“重要資產重要資產”，能夠提高效率、降低成本、，能夠提高效率、降低成本、增強核心競爭力，創(chuàng)造利潤。增強核心競爭力，創(chuàng)造利潤。為什么需要保護信息？為什么需要保護信息？*36裝有100萬的 保險箱需要 3個悍匪、公司損失： 100萬裝有客戶信息的 電腦只要 1個商業(yè)間諜、1個U盤，就能偷走。1輛車

15、，才能偷走。信息安全的主要威脅1：（病毒、木馬）*37信息安全的主要威脅2：（黑客行為）目前黑客襲擊不再是一種個人興趣，而是越來越多的變成一種有組織的、利益驅使的職業(yè)犯罪；主要針對的是高價值的目標；黑客控制病毒不再安于破壞系統(tǒng)， 銷毀數據，而是更關注財產和隱私。*38信息安全的主要威脅3：（惡意軟件、垃圾郵件）強制安裝強制安裝難以卸載難以卸載瀏覽器劫持瀏覽器劫持廣告彈出廣告彈出惡意收集用戶信息惡意收集用戶信息惡意卸載惡意卸載惡意捆綁惡意捆綁其他侵害用戶軟件安裝、使用和卸載知情權、選擇權其他侵害用戶軟件安裝、使用和卸載知情權、選擇權的惡意行為。的惡意行為。*39信息安全的主要威脅4：（人為因素）

16、*40 安裝或使用不明來源的軟件； 隨意開啟來歷不明的電子郵件； 向他人披露個人密碼； 不注意保密單位或者個人文件； 計算機旁邊放置危險物品；信息安全的主要威脅5：（自然因素）*41火山爆發(fā)、地震火山爆發(fā)、地震洪水洪水雷擊雷擊二、信息安全問題產生的根源二、信息安全問題產生的根源*42 今日議題今日議題一、一、 信息安全相關概念信息安全相關概念二、信息安全問題產生的根源二、信息安全問題產生的根源三、如何保障信息系統(tǒng)安全三、如何保障信息系統(tǒng)安全*43不妨換個思維從動物園的袋鼠的故事說起 *44一天，動物園的管理員突然發(fā)現(xiàn)袋鼠從圍欄里跑了出來了，經過分析，大家一致一天，動物園的管理員突然發(fā)現(xiàn)袋鼠從圍

17、欄里跑了出來了，經過分析，大家一致認為：袋鼠之所以能跑出來完全是因為圍欄太低了。所以決定將圍欄加高。沒想認為：袋鼠之所以能跑出來完全是因為圍欄太低了。所以決定將圍欄加高。沒想到，第二天袋鼠還能跑出來，于是，圍欄被繼續(xù)加高。到，第二天袋鼠還能跑出來，于是，圍欄被繼續(xù)加高。但是，令這些管理員們驚恐萬分的是，無論圍欄加高多少，袋鼠們都會在第二天但是，令這些管理員們驚恐萬分的是，無論圍欄加高多少，袋鼠們都會在第二天跑出來，領導們一不做二不休，安裝了最先進的監(jiān)控設備，輪流值班，跑出來，領導們一不做二不休，安裝了最先進的監(jiān)控設備，輪流值班，24小時守小時守著這些白天看起來特別聽話的袋鼠。終于，他們發(fā)現(xiàn)了問

18、題所在，真正的著這些白天看起來特別聽話的袋鼠。終于，他們發(fā)現(xiàn)了問題所在，真正的“罪魁罪魁禍首禍首”是管理員忘記鎖上的門。是管理員忘記鎖上的門。另眼看信息安全信息安全除了是故事中的圍欄之外，還是那道千萬別忘記關的門，還有那顆別忘了關門的心 安全意識*45*46什么是安全意識什么是安全意識 三、如何保證信息系統(tǒng)安全*47信息安全的實現(xiàn)物理安全48 三、如何保證信息系統(tǒng)安全三、如何保證信息系統(tǒng)安全建立物理安全區(qū)域概念；主動學習了解限制區(qū)域和普通區(qū)域，熟悉在不同區(qū)域自己的權限；在公司里佩戴員工卡做身份標識；前來拜訪的外來人員應做身份驗證（登記），見到未佩戴身份識別卡的人應主動詢問；離開座位要清空屏幕與

19、桌面。*48與物理安全相關的案例與物理安全相關的案例 情況是這樣的情況是這樣的 *49*50聰明的張三想出了妙計聰明的張三想出了妙計 *51問題出在哪里問題出在哪里 *52總結教訓總結教訓 物理安全非常關鍵！物理安全非常關鍵！*53計算機與網絡使用安全54 三、如何保證信息系統(tǒng)安全三、如何保證信息系統(tǒng)安全信息安全的實現(xiàn)物理安全對個人用計算機要設置帳戶密碼；妥善保護自己的密碼，不要將自己的密碼告訴別人；加強對計算機信息保護，離開機器時要及時對機器鎖屏；計算機防病毒軟件，經常升級病毒庫；加強對移動計算機的安全保護，防止丟失；重要文件做好備份。*54什么樣的口令是比較脆弱的？什么樣的口令是比較脆弱的

20、？*55*56“弱口令弱口令”很容易被破解很容易被破解口令安全建議口令安全建議*57文件信息安全58 三、如何保證信息系統(tǒng)安全三、如何保證信息系統(tǒng)安全計算機與網絡使用安全信息安全的實現(xiàn)物理安全文件分類分級；重要文件妥善保存；未經授權不得將文件傳遞給他人尤其是公司外的人；打印好的文件及時收走；使用過的重要文件及時銷毀，不要扔在廢紙簍里，也不要重復利用。*58文件信息安全59 三、如何保證信息系統(tǒng)安全三、如何保證信息系統(tǒng)安全計算機與網絡使用安全信息安全的實現(xiàn)物理安全溝通交流安全不在電話中說工作敏感信息，電話回叫要確認身份；不通過Email傳輸敏感信息，如要通過EMAIL最好加密以后再傳輸；不在安全

21、得不到保障的公共場合談論敏感信息；防止信息竊取；不隨意下載安裝軟件，防止惡意程序、病毒及后門等黑客程序；不隨意打開可執(zhí)行的郵件附件，如.EXE, .BAT, .VBS, .COM, .PIF, .CMD,打開附件時最好進行病毒檢查。*59三、如何保證信息系統(tǒng)安全防范社會工程學攻擊防范社會工程學攻擊社會工程學是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段,取得自身利益的手法.步驟：步驟：信息收集信任建立反追查典型攻擊方式：典型攻擊方式：環(huán)境滲透、身份偽造、冒名電話、信件偽造等如何防范？如何防范？*60三、如何保證信息系統(tǒng)安全如何防范？如何防范？仔細

22、身份審核；（多重身份認證、來電顯示確認、電話回撥、EMAIL簽名、動態(tài)密碼驗證、身份ID卡、上級領導擔保等）嚴格執(zhí)行操作流程審核；完善日志審計記錄；完善應對措施，及時上報；注重保護個人隱私；不要把任何個人和公司內部信息或是識別標識告訴他人，除非你聽出她或他的聲音是熟人，并確認對方有這些信息的知情權。無論什么時候在接受一個陌生人詢問時，首先要禮貌的拒絕，直到確認對方身份。*61趣味游戲-找錯在忙碌的辦公室中，跟隨著攝像機鏡頭，拍攝下辦公室內所存在的安全隱患。其中包括：*62趣味游戲-找錯中午大家吃飯去了，在桌子上，手機與錢包放在上面；一個沒有人的桌子上，一臺電腦正在從黑客網站上下載著一個被破解的軟件；旁邊的打印機和復印機旁散落著不少帶字的紙張；大開的項目經理辦公室中，沒有其他人在，一名澆花工人正在里面澆花；會議室內的白板上有上次會議留下的相關內容的記錄；一些滿是字跡的紙張在垃圾桶中冒出一個角；手提電腦放在桌子上；訪問客戶網絡的VPN密碼寫在小紙條上貼在項目組的白板上；某職員在忙碌而嘈雜的辦公室一邊準備趕去別的地方，一邊通過手機高聲與客房談論著屬于公司機密的一些內容；等等。*63*64企業(yè)重要