員工信息安全意識及安全實踐培訓 人力資源 職能

信息安全意識與安全實踐信息安全：人員是最大的風險來源

“人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術、防火墻、入侵檢測系統(tǒng)、生物鑒別設備，可只要有人給毫無戒心的員工打個電話……”

——KevinMitnick

超過80%的信息安全威脅來自于組織內部信息安全：信息資產與威脅黑客入侵20%-30%70%-80%員工疏忽和泄漏固定資產和一些文檔中存儲在員工的腦子中根據(jù)Delphi公司統(tǒng)計，公司價值的26%體現(xiàn)在固定資產和一些文檔上，而高達42%的價值是存儲在員工的腦子里。78%的企業(yè)數(shù)據(jù)泄漏是來自內部員工的不規(guī)范操作信息安全意識裝有100萬的保險箱裝有客戶信息的電腦需要3個悍匪1輛車，拉走公司損失100萬只需1個商業(yè)間諜公司損失：所有客戶

信息資產比鈔票更重要，但更脆弱，更應得到保護！一個優(yōu)盤物理安全—“ATM取款機”物理安全—“電子門禁”物理安全—“電子門禁”（案例）時間：某天夜里地點：A公司的數(shù)據(jù)中心大樓人物：一個普通的系統(tǒng)管理員一個普通的系統(tǒng)管理員，利用看似簡單的方法，就進入了需要門卡認證的數(shù)據(jù)中心……

————來自國外某論壇的激烈討論物理安全—“電子門禁”（案例）①張三找到一個氣球，放掉氣②張三面朝大門入口趴下來，把氣球塞進門里，只留下氣球的嘴在門的這邊③張三在門外吹氣球，氣球在門內膨脹，然后，他釋放了氣球……④由于氣球在門內彈跳，觸發(fā)動作探測器，門終于開了網(wǎng)絡釣魚—“釣魚網(wǎng)站”http://

http://

http://

http://

http://

http://http://

網(wǎng)絡釣魚—“釣魚郵件”網(wǎng)絡釣魚—“偽基站釣魚”網(wǎng)絡釣魚—“偽基站釣魚”（案例）網(wǎng)絡釣魚—“偽基站釣魚”（案例）網(wǎng)絡釣魚—“偽基站釣魚”（案例）后臺數(shù)據(jù)：姓名身份證號銀行卡號銀行卡密碼開戶銀行手機號碼....社會工程學詐騙明天到我辦公室來一趟…“領導”的權威讓下屬服從利用親情關系詐騙你女兒生病住院了…手機安全—“二維碼”手機安全—“手機充電樁”用使用者的手機，向任意號碼發(fā)送短信！用使用者手機進行消費！手機安全—“手機充電樁”充電樁會提示用戶開啟USB調試或信任該設備，如果用戶點擊同意，就會使手機部分權限得到開放！提醒：手機接入手機充電樁時，如果充電樁需要權限請求，一律拒絕。（包括USB調試與設備信任）部分手機充電樁有提供插座，用隨身攜帶的設備進行充電。部分手機充電樁只提供USB孔，如果遇到這類的手機充電樁，切記使用只有充電功能（無數(shù)據(jù)傳輸功能）的充電線。使用手機充電樁時，將設備關機。手機安全—“惡意吸費APP”這個彈窗暗藏玄機！一款專門為搶購火車票而設計的應用程序手機安全—“惡意吸費APP”點擊確定后，對話框消失。隨后，話費詳單顯示，這次操作實際上被定制了20元的增值業(yè)務費！提醒：通過可信渠道下載經過專業(yè)檢測認證簽名的APP版本；不要隨意下載帶有“黃賭毒”的惡意APP軟件，不慎下載應及時徹底刪除；要定期查看自己的話費詳單，別不明不白做了冤大頭；類似智能火車票、游戲修改大師、瘋狂的小鳥、搶票快手等熱門App，如果發(fā)現(xiàn)手機惡意推送廣告，要謹慎。手機安全—“電信詐騙”手機安全—“木馬病毒”通過發(fā)送手機惡意鏈接、虛假短信等使用戶遭受手機木馬病毒，蒙受資金損失。手機安全注意事項員工安全實踐進門——物理安全1忘了帶卡？

——尾隨進入最佳實踐所有人員必須佩戴身份識別卡，才能在公司相應區(qū)域活動不得將身份識別卡借與他人使用監(jiān)督未佩戴身份識別卡的外來人員的活動，制止其非授權的活動，并及時報告給安全保衛(wèi)部門接到恐怖威脅，及時向主管領導和安全保衛(wèi)部門報告員工安全實踐打開計算機——賬戶安全2最佳實踐誰未經授權使用了我的電腦？

——數(shù)據(jù)被竊取——內容被破壞未經批準，不得轉借或使用他人賬戶使用計算機及應用系統(tǒng)應設置登錄口令，且不得向他人泄露口令工作崗位調動或離職時，應主動移交全部賬號和口令員工安全實踐登錄計算機/VPN——口令安全3最佳實踐不得將口令寫在紙上或記錄于電子文件中不要采用用戶名、姓名、生日、電話號碼、默認口令等作為密碼口令長度應至少10位，至少包含字母、數(shù)字、特殊符號的兩種或兩種以上定期更換口令VPN身份認證口令不得轉借他人使用，如有遺失或被竊取應第一時間通知安全管理員口令泄露？弱口令?

——鑒別信息被冒用!員工安全實踐暫離工位——賬戶安全4最佳實踐使用”win+L”鎖屏或關閉計算機設置15min后自動啟動屏幕保護程序，在恢復時使用密碼保護員工安全實踐使用個人計算機——個人計算機設備安全5最佳實踐未經批準任何計算機不得接入公司網(wǎng)絡，經批準的使用指定端口和IP，接入網(wǎng)絡前安裝安全補丁、殺毒軟件并查殺病毒未經授權嚴禁打開辦公電腦機箱、拆裝電腦硬盤等配件，嚴禁使用辦公電腦內置硬盤以外的設備啟動電腦發(fā)現(xiàn)計算機被入侵或感染病毒應立即斷開網(wǎng)絡連接，清除病毒；發(fā)現(xiàn)病毒無法被有效清除時，及時報告信息安全部門不制造和傳播計算機病毒不在工作時間使用計算機進行與工作無關的活動對敏感數(shù)據(jù)采取加密措施，妥善存放員工安全實踐使用公用計算機——公用計算機設備安全6最佳實踐設置管理責任人，防止公用計算機被盜、被濫用或被入侵未授權的外來人員不得使用公用計算機使用完公用計算機后要退出登錄員工安全實踐使用公司網(wǎng)絡辦公——計算機網(wǎng)絡安全7最佳實踐計算機接入公司網(wǎng)絡時，計算機名稱必須遵循命名規(guī)則計算機只能使用管理員分配的IP地址，禁止隨意修改不得在公司私自撥號上網(wǎng)、私自創(chuàng)建和連接未經批準的無線網(wǎng)絡未經批準不得安裝兩塊或多塊網(wǎng)卡并連接到不同的網(wǎng)絡設備不得對公司網(wǎng)絡內的設備進行掃描不得濫用網(wǎng)絡資源進行與工作無關的其他活動可用性效率員工安全實踐上網(wǎng)查閱資料、休息——互聯(lián)網(wǎng)安全8最佳實踐不得濫用公司網(wǎng)絡訪問與工作無關的網(wǎng)站和互聯(lián)網(wǎng)服務、進行與工作無關的網(wǎng)上即時通訊不得濫用公司網(wǎng)絡下載圖片、小說、音樂、錄像、游戲等與工作無關的文件防不勝防!病毒木馬泄密員工安全實踐安裝軟件——計算機軟件安全9最佳實踐計算機終端只能安裝、運行公司批準的軟件，并及時安裝補丁安裝其他軟件應向部門負責人提出申請，交由信息管理部門處理必須安裝、運行上網(wǎng)行為控制客戶端，未經授權不得卸載必須安裝、運行公司規(guī)定的防病毒軟件，并及時更新病毒庫，未經授權不得卸載，及時執(zhí)行公司的防病毒措施下載、安裝軟件

——不小心中招！員工安全實踐使用移動存儲介質——移動存儲介質安全10最佳實踐嚴格控制移動存儲介質的使用，使用前登記移動存儲介質上的數(shù)據(jù)和文件在使用后立即刪除使用前進行病毒檢測，確認無毒后方可使用移動存儲介質維修、廢棄前應清除數(shù)據(jù)或銷毀介質U盤病毒U盤泄密員工安全實踐打印/復印文件——打印機安全11最佳實踐公用的打印、復印設備使用完成后，及時取走打印、復印的文件一體機維修前消除打印記憶2011年6月，濟南軍區(qū)某裝甲團出現(xiàn)機關干部考試試題泄露事件，而事件原因最終定位為打印機的記憶功能。員工安全實踐收發(fā)郵件——電子郵件安全12最佳實踐不要打開來歷不明的郵件，不要隨便點擊郵件中的陌生鏈接禁止發(fā)送與工作無關的郵件、含有違反政策和法律法規(guī)的內容的郵件、含有不利于公司的信息的郵件、連環(huán)郵件或附帶大量非工作需要的圖片文件的郵件、夾帶計算機病毒的郵件、含有敏感信息和商業(yè)機密的郵件等員工安全實踐處理辦公數(shù)據(jù)——數(shù)據(jù)安全13最佳實踐個人計算機中的數(shù)據(jù)文件，應按照實際情況及時做好備份，避免可能的數(shù)據(jù)丟失個人計算機中的重要辦公數(shù)據(jù)應當根據(jù)部門要求適時備份到指定的文件服務器或者存儲介質上數(shù)據(jù)丟失的七大原因員工安全實踐處理敏感信息——敏感信息保密14最佳實踐存儲一般商業(yè)秘密及以上信息的介質應進行敏感性標識敏感非電子信息不得隨意擱置在桌面或夾帶在日常文件中，未經授權不得私自復制、影印、摘錄與外傳，復印、打印或傳真后及時取走原件和復本離開座位時將紙質敏感信息鎖入抽屜或文件柜中作廢的記錄敏感信息的紙質文件應用碎紙機銷毀發(fā)現(xiàn)敏感信息被非授權使用或濫用，應立即向安全管理員報告公開內部使用一般商密重要商密核心商密信息員工安全實踐外來人員辦公——外來人員計算機接入控制15最佳實踐外來人員計算機設備未經批準不得接入公司網(wǎng)絡經批準的計算機設備只可使用批準的網(wǎng)絡端口接入專供外來人員使用的網(wǎng)絡內外來人員的計算機設備在接入公司網(wǎng)絡前，須由對口部門負責人確保計算機安全后方可接入外來人員計算機設備接入公司網(wǎng)絡后不得從事與工作無關的操作外來人員隨意接入內網(wǎng)

——信息泄露

——內部網(wǎng)絡被攻擊員工安全實踐日常與下班——辦公環(huán)境安全16不得將易燃物品堆放在電源插座上，不違規(guī)使用大功率電器設備，不在UPS電源上使用電器，不私自接電線，不拖拉電源線，