1、信息安全意识培训信息安全意识培训一、信息安全介绍二、公共信息安全三、个人信息安全信息安全介绍1.1信息安全理论1.2案例介绍1.3法律法规1.4信息安全的未来威胁1.1信息安全理论什么是信息:信息,指音讯、消息、通讯系统传输和处理的对象,泛指人类社会传播的一切内容。人通过获得、识别自然界和社会的不同信息来区别不同事物,得以认识和改造世界。在一切通讯和控制系统中,信息是一种普遍联系的形式。1.1信息安全理论信息本身是无形的,借助于信息媒体以多种形式存在或传播:
2、存储在计算机、磁带、纸张等介质中记忆在人的大脑里通过网络、打印机、传真机等方式进行传播信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产:计算机和网络中的数据硬件、软件、文档资料关键人员组织提供的服务1.1信息安全理论什么是信息安全采取技术与管理措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。C保密性(Confidentiality
4、知道:每400封邮件中就有1封包含机密信息;每50份通过网络传输的文件中就有1份包含机密数据;50的USB盘中包含机密信息;80的公司在丢失笔记本电脑后会发生泄密事件;在美国平均每次数据泄密事件导致的财务损失高达630万美金;数据泄漏导致客户流失的比例正在以每年11%的速率上升;SOX,HIPPA,PCI以及中国的企业内控基本规范都要求企业保护机密信息;信息保护正日益成为安全管理和风险控制的核心内容;1.2案例介绍棱镜门事件:2013年6月,一位名为爱德华斯诺登的前美国中央情报局(CI
7、绍客户信息安全:从2013年9月开始,陆续有消费者通过微博等网络信息平台发布投诉,称自己在订购了机票之后,收到了一条短信称其航班被取消,要求联系短信中所提供400开头的“客服号码”,结果在通话过程中提供了个人银行账户,蒙受了几百至数千元不等的损失。尽管并非所有乘客都与诈骗方联系从而被套走钱款,但他们在意识到遭遇诈骗短信后提出了共同的疑问:诈骗方是如何知道乘客姓名、航班班次、订单号甚至身份证号、护照号等详细信息的。此案涉及南航、东航、山东航空、深圳航空等多家国内知名航空公司。1.2案例介绍机场被黑客攻陷20
8、16年7月29日下午16时许,河内和胡志明这2家越南最主要机场的航班资讯、柜台报到系统显示屏突然改变,屏幕上显示“南海是中国的”等信息。同时,两个机场广播系统也失去控制,自动播放类似内容。机场人员随后关闭遭入侵的电脑和广播系统,使用扩音器通知乘客以及以“手工”方式办理登机等手续,部分航班被迫延迟起飞。信息安全威胁无处不在信息资产流氓软件黑客渗透内部人员威胁病毒和蠕虫硬件故障网络通信故障供电中断雷雨地震拒绝服务社会工程系统漏洞木马后门木马后门失火1.3法律法规刑法修正案加重对黑客量刑近年来,
9、一些不法分子利用技术手段非法侵入法律规定以外的计算机信息系统,窃取他人账号密码等信息或者对大范围的他人计算机实施非法控制,严重危及网络安全。刑法原有的规定使司法机关在打击“黑客”犯罪时面临法律困扰。鉴于上述情况,刑法修正案(七)在刑法第285条中增加两款作为第二款、第三款:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”“提供专门用于
10、侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”1.3法律法规国务院加强网络信息安全推动个人信息保护立法2013年8月14日,国务院办公厅公布了国务院关于加快促进信息消费扩大内需的若干意见。意见指出,积极推动出台网络信息安全、个人信息保护等方面的法律制度,明确互联网服务提供者保护用户个人信息的义务。意见从以下几个方面提出了促进信息消费的主要任务:一是加快信息基础设施演进升级;二是增强信息产品供给能力;三是培育信息消费需求;
11、四是提升公共服务信息化水平;五是加强信息消费环境建设等。意见指出,提升信息安全保障能力。依法加强信息产品和服务的检测和认证,鼓励企业开发技术先进、性能可靠的信息技术产品,支持建立第三方安全评估与监测机制。加强与终端产品相连接的集成平台的建设和管理引导信息产品和服务发展。加强应用商店监管。加强政府和涉密信息系统安全管理,保障重要信息系统互联互通和部门间信息资源共享安全。落实信息安全等级保护制度,加强网络与信息安全监管,提升网络与信息安全监管能力和系统安全防护水平。意见还指出,加强个人信息保护。落实全国人大常委会关于加强网络信息保护的决定,积极推动出台网
12、络信息安全个人信息保护等方面的法律制度,明确互联网服务提供者保护用户个人信息的义务,制定用户个人信息保护标准,规范服务商对个人信息收集、储存及使用。1.3法律法规电信和互联网用户个人信息保护个人信息的泄露,给我们的生活带来了困扰,甚至造成直接的经济损失。值得欣喜的是,工业和信息化部近日公布的电信和互联网用户个人信息保护规定(以下简称规定)将于9月1日起施行,为个人信息安全编织了一张法律保护网。规定指出,未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。并且,在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个
14、收集、存储、访问、使用和销毁进行了规定。其中,比较知名的如:亚洲:个人资料(私隐)条例-第486章(香港);电脑处理个人资料保护法(台湾);个人资料保护法(日本);信息公开法(日本)欧洲:欧盟数据保护指令美国:医疗保险责任法案(HIPAA)公平信用报告法(FCRA);儿童网络隐私保护法(COPPA);金融服务现代化法案(GLBA)信用卡持卡人数据保护:支付卡行业数据安全标准(PCIDSS)1.4信息安全的未来威胁1.云服务(CloudService)由于我们使用的IT服务越来越多地驻留在云服务系统中,IT部门随时
15、会失去监督和控制。这是一个巨大的危险:在这个过程中,企业员工可能会绕过IT部门,寻找他们觉得需要的云服务,他们会逃避IT部门监控的安全协议和安全系统。企业管理层应采取必要的步骤以确保IT部门对企业全部的IT服务有全面透彻的了解和监督。即便是被批准的云服务供应商也必须在现有基础上进行审议。你知道你的数据驻留在哪里你的云服务提供商是否满足您所有的安全标准如果他们不遵守,未能满足监管要求,带来的将是你的责任和损失。不要轻易信任你的第三方供应商,要对他们进行考察,并且自己亲自去验证。1.4信息安全的未来威胁2.勒索软件(Ransomware
16、)勒索软件所造成的影响越来越大。网络威胁联盟(CyberThreatAlliance)指出,近期CyrptoWallv3的威胁已经花费掉全球数十万用户超过3.25亿美元。这种攻击通过加密重要文件,使得数据无法被访问,直到你支付赎金。它往往依赖于社会工程的技术来建立攻击的立足点。网络威胁联盟预计在未来的12个月内会看到更多的此类攻击。这种攻击之所以有效,是因为对于许多个人和企业来说,要回他们的数据的最简单的方式就是支付赎金。只要您提前筹划,更好地培训企业员工,提供实时的安全防护,并且做到有规律地,完整地备份数据,就可以有效地消减勒索软件带来的威
18、够进行实时监控和扫描系统,并且带有保护阻止功能。1.4信息安全的未来威胁4.物联网(TheInternetofThings)我们已经注意到移动设备和可穿戴设备大量的进入工作场所。每个设备都已为网络犯罪分子提供了一个新的潜在的侵入方式。但物联网代表了另一种潜在的威胁。当连接性扩展到我们的生活和企业中的每一个角落,企业确保数据入口和数据流的安全这项任务将变得越来越具有挑战性。物联网可能预示着一些令人兴奋的商业机会,但我们必须确保:访问是受限的,安全的。敏感数据应该被加密,访问必须受到限制,并且受到监督。能够做到管理并且在必要时阻止访问企业的设
19、备和网络是非常重要的。信息安全意识培训一、信息安全介绍二、公共信息安全三、个人信息安全公共信息安全2.1密码安全2.2上网安全2.3邮件安全2.4软件安全2.1密码安全春运第一天12306爆用户信息泄露漏洞2014年铁路春运售票第一天,在经历了早上宕机1小时之后,12306铁路客户服务中心网站再次爆发用户账号串号的问题,大量用户身份证等信息遭泄露。下午15时左右,开始有网友在微博上反映,登陆自己帐号后可以看到他人的姓名、身份证号码、手机号码等信息。下午17时34分,新版12306网站出现
21、人信息为他人提供婚恋、追债、手机定位等服务项目从中获利;通过网上购买信息推销产品;利用自身特殊身份盗窃、骗取公民、企业信息转卖获利。2.1密码安全密码的重要性有34的人,甚至不需要贿赂,就可奉献自己的密码;另据调查,有79的人,在被提问时,会无意间泄漏足以被用来窃取其身份的信息;平均每人要记住四个密码,95都习惯使用相同的密码(在很多需要密码的地方)33的人选择将密码写下来,然后放到抽屉或夹到文件里;用户名+密码是最简单也最常用的身份认证方式;密码是抵御攻击的第一道防线,防止冒名顶替;由于使用不当,往往使密码成为最薄
23、BruteForceAttack)混合攻击(HibridAttack)在网络中嗅探明文传送的密码键盘记录利用后门工具来截获密码通过社会工程获取密码网络钓鱼2.1密码安全使用密码的安全习惯妥善保管自己的所有帐号不得随意泄露任何账号不得将自己所拥有系统账号转借给他人使用员工之间不得私下互相转让、借用系统账号在工作岗位调动或离职时,应主动提出注销账号的申请操作员应记住自己的密码,不应把它记载在不保密的媒介物上,严禁将密码贴在终端上输入的密码不应明文显示在显示终端上
25、2013年2月20日凌晨1点,消费者王先生在睡前使用免费WIFI通过手机银行查看账户,结果睡下后没多久,凌晨2点多短信声响起,银行发来的取款提醒,称他的银行卡刚从ATM取款机上取出人民币2000元。而此时,银行卡就在他身上。正当王先生诧异的时候,第二条、第三条内容相似的短信进来了,有现金取款的,有银行转账的。1小时不到,17条提醒短信,王先生共被转走3.4万元(现金取款7次共1.4万元,银行转账共2万元)。因卡是在长沙办的,第二天王先生立马赶回长沙报了警。那原因是什么呢?王先生自己说,他有蹭网的喜好,只要有免费Wi-Fi他
27、在毫不知情的情况下,就可能面临个人敏感信息遭盗取,访问钓鱼网站,甚至造成直接的经济损失。2.2上网安全21014年12月27日,从事国际采购贸易的董女士,接到一条“95588”发来的短信,大致内容是:“尊敬的工商用户:由于系统升级您的网银将失效,请及时登陆我行网站更新维护,如有不便敬请谅解。”当天,董女士并没有在意。12月29日上午,董女士周末在家休息。由于第二天要出差,想起前几天收到的短信,于是董女士拿出手机,点击了短信中的链接,随即出现中国工商银行的网页界面,她按照提示输了手机号码,马上跳出提示框让她输入动态密码。随后,她
28、的手机收到了2条银行短信,提示董女士通过网上银行转账了2笔汇款,每笔10万元,总共汇出20万元。董女士知道自己被骗了,赶紧致电工行客服,但客服表示转出去的钱已没有办法了,让她赶紧报警。民警了解大致情况后,由于离董女士进入链接网站不到30分钟,警方立即与她赶赴中国工商银行。在银行的配合下,查询到15万元在福建泉州已经被案犯取走,还剩5万元未被取走,于是派出所与中国工商银行合力协作,迅速将还未被案犯取走5万元的账号冻结。工商银行的工作人员表示,任何网上银行或电子密码软件需要升级的,都是银行统一升级,从来不会让客户个人进行操作,所
30、费的WiFi账号和密码。最后就是要设置你的移动设备,不要设为自动连接,要设置为手动连接,只在自己需要的时候,才手动连接到安全的WiFi环境中。警惕假冒WiFi热点对于个人接入WiFi网络,要随时察觉恶意接入点。有些接入点有可能是潜在的攻击者制造的。不良黑客自建的名称总是和这些公共场合的免费名称高度相似,诱使警惕心不高的人连接。用户通过此网络发送和接收的所有数据,会全部被不法分子截获,最终造成网银被盗。所以,普通手机用户在接入WiFi网络连接前,一定要确认好是否是正规的渠道,避免落入黑客设置的圈套造成损失。建议使用密码保护的公共网络密码保护是网络安全的
32、警惕,不要打开扩展名为“pif”,“exe”,“bat”,.vbs的附件以手工方式输入URL位址或点击之前已加入书签的链接避免在咖啡室、图书馆、网吧等场所的公用计算机进行网上银行或财务查询交易在进行网上银行或财务查询交易时,不要使用浏览器从事其他网上活动或连接其他网址。在完成交易后,切记要打印或备存交易记录或确认通知,以供日后查核。不要保存帐号和密码不要给通过电子方式给任何机构和个人提供敏感的个人或账户资料确保电脑安装了最新的补丁和病毒库,以减低欺诈电邮或网站利用软件漏洞的机会2.3邮件安全201
35、接收邮件注意不安全的文件类型:绝对不要打开任何以下文件类型的邮件附件:.bat,.com,.exe,.vbs未知的文件类型绝对不要打开任何未知文件类型的邮件附件包括邮件内容中到未知文件类型的链接不要打开未知的链接:未知的链接可能是含有病毒的网站和一次含有欺骗信息的钓鱼网站微软文件类型:如果要打开微软文件类型(例如.doc,.xls,.ppt等)的邮件附件或者内部链接,务必先进行病毒扫描要求发送普通的文本:尽量要求对方发送普通的文本内容邮件,而不要发送HTML格式邮件,不要携带不安全类型的附件禁止邮件执行Html代
39、料在公司内使用一些开源或免费的软件信息安全意识培训一、信息安全介绍二、公共信息安全三、个人信息安全个人信息安全3.1计算机病毒3.2手机安全3.3个人隐私安全3.4工作环境和物理安全3.1计算机病毒传统的计算机病毒,具有自我繁殖能力,寄生于其他可执行程序中的,通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染。网络蠕虫不需借助其他可执行程序就能独立存在并运行,通常利用网络中某些主机存在的漏洞来感染和扩散。特洛伊木马是一种传统的后门程序,它可以冒充正常程序,截取敏
41、网用户带来无法估量的损失,被2006年度中国大陆地区电脑病毒疫情和互联网安全报告评为“毒王”。2007年9月24日,“熊猫烧香”计算机病毒制造者及主要传播者李俊等4人,被湖北省仙桃市人民法院以破坏计算机信息系统罪判处李俊有期徒刑四年,被告人李俊有立功表现,依法可以从轻处罚。2009年12月24日下午,李俊由于狱中表现良好,提前出狱。3.1计算机病毒感染病毒的一些不良习惯随意开放共享并且设置为最大权限系统补丁不及时更新使用盗版软件随意安装系统和软件浏览一些不良的恶意网站网络聊天信息安全意识薄弱
43、的分类标准,360互联网安全中心在2015全年监测的Android平台恶意程序的分类统计如图。从图中可见,2015年Android平台新增恶意程序主要是资费消耗,占比高达73.6%;其次为恶意扣费(21.5%)和隐私窃取(4.1%)。可以看到,已经有90%以上的移动恶意程序是直接冲着用户“钱包”来的,关切到用户直接的经济损失。其中,恶意扣费、流氓行为这两类恶意程序都在第三季度达到最高峰。3.2手机安全2015年,从地域分布来看,感染手机恶意程序最多的地区为广东省,感染数量占全国感染数量的14.83%;其次为北京(8.57%),
44、河南(6.31%)、江苏(5.86%)、山东(5.32%)。此外,浙江、四川、河北、广西、湖南的恶意感染数量也排在前列。湖北排行11位。3.2手机安全3.2手机安全1.安装手机安全软件。及时安装和升级正规手机安全软件,及时检测和防御手机病毒木马、恶意程序。2.注意保护密码。密码要有一定的复杂度,在用户完成社交网站、购物网站、网上银行交易等服务之后务必正常退出程序。3.不要随意破解手机。破解手机后会清除或破坏手机的安全功能,因为恶意软件可能会因此获得控制权限。4.从可信网络站点下载手机软件。在选择应用软件下载网站时,应
45、该尽量选择可信网络站点,并且不随意安装来历不明的软件程序,以防止恶意软件程序有机可乘。5.养成良好的使用习惯。不随意打开陌生短信、彩信链接,及时关闭蓝牙、Wi-Fi等功能,不接受陌生的蓝牙设备请求。6.从正规渠道购买、维修手机。建议选择正规卖场和正规通信运营商处购买、维修手机,以防止手机事先被植入病毒木马程序。7.注意公共Wi-Fi网络的安全问题。公共场所提供的免费无线接入存在着很大的风险,能被很轻易的盗取账号、密码信息。3.2手机安全第三方数据中心最新监测数据显示,2016年5月手机安全类APP月活跃人数方面,360手机卫
47、信息,结果工作业绩直线上升。后来跳槽到一家证券公司后,觉得自己以前掌握的个人信息没用了,就想卖掉。过去花元买来的信息,卖了十多次后,净赚八万多元。3.3个人隐私安全3.某快递公司的一名行政内勤宋某利用自己的工作便利,在短短2个月内获取了公司内部10个内部账号和密码,并提供给了曹某。曹某通过这是个内部账号和密码获得了20万个客户信息,然后给了宋某宇2万多元的好处费,曹某获得20万个个人信息后立即转手以数万元的价格卖给了另一个信息贩子李某。而犯罪嫌疑人李某则再转手把这些信息卖给了下家,或者是一些信息诈骗团伙以及营销团伙。3.3个人隐私安
48、全个人隐私隐私权:现代的隐私观,包含三种形态:个人数据资料个人生活个人生活领域隐私权的基本权利:隐私知情权,隐私控制权,隐私选择权,隐私维护权隐私权侵权行为:盗用(盗用原告姓名、肖像等);侵入(不法侵入原告的私人生活);私事的公开(不合理公开涉及原告私生活的事情);公共误认(公开原告不实的形象)。网络隐私权:个人在网络虚拟空间中生活安宁的权利和个人信息不被非法利用、收集、公开的权利网络隐私权具有传统隐私基本权利的特征网络隐私权是传统隐私权在网络空间中的延伸3.3个人隐私安全社交网络中的个人信息面临
50、发布的信息,个人信息被泄露已呈现出泄密渠道多、范围广、程度深的特点,并形成了一条黑色产业链。因此,上网时要具有安全意识,尽量不要在互联网上发布可能泄露个人信息的照片、文字;妥善处理好含有个人信息的单据、票据,如实名制火车票、快递单据等。如果自己的信息被泄露,且对自己的财产或人身安全构成了威胁,应及时报警。3.4工作环境和物理安全3.4工作环境和物理安全工作环境安全:应主动防止陌生人尾随进入办公区域遇到陌生人,要上前主动询问禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎纸机粉碎废弃或待修磁介质转交他人时
51、应经IT管理部门消磁处理离开座位时,应将贵重物品、含有机密信息的资料锁入柜中,并对使用的电脑桌面进行锁屏应将复印或打印的资料及时取走禁止在公共场合谈论公司信息3.4工作环境和物理安全访客禁止随意带进办公区与公司以外的人面谈时,请到指定的安全区域内进行,禁止随意带入办公区域快递人员的接待必须在前台接待区内进行访客须经过登记,并由公司内部联系人陪同方可进入工作区,并全程陪同直至送出工作区域访客携带的电子设备及记忆体未经许可,禁止在工作区域使用3.4工作环境和物理安全携带公司电脑出去时,是否遵守规定
52、?禁止将公司电脑借给公司以外的人使用在家或异地办公时应注意笔记本电脑的安全,请注意笔记本电脑的物理安全,防止偷盗,并注意周围否有可疑人员窃取信息3.4工作环境和物理安全日常操作物理安全计算机在UPS保护下保证稳定的电源保护网络电缆不要暴露不要将食品和水带入机房不要将机房门卡给别人借用保证人员出门记录不要在机房随意放置杂物不要在机房随意放置杂物服务器设置BIOS引导口令数据备份放在专用的恢复数据的地方把敏感的信息锁在抽屉里销毁敏感的打印输出和磁带当离开时请
53、锁住屏幕或注销登陆机器不要把密码或者密码提示书写在桌子上不要与别人共享密码绝对的安全是不存在的!计算机安全领域一句格言:“真正安全的计算机是拔下网线,断掉电源,放在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。”三分技术,七分管理!谢谢!激励学生学习的名言格言220、每一个成功者都有一个开始。勇于开始,才能找到成功的路。221、世界会向那些有目标和远见的人让路(冯两努香港著名推销商)222、绊脚石乃是进身之阶。223、销售世界上第一号的产品不是汽车,而是自己。在你成功地把自己推销给别人之前,你必
54、须百分之百的把自己推销给自己。224、即使爬到最高的山上,一次也只能脚踏实地地迈一步。225、积极思考造成积极人生,消极思考造成消极人生。226、人之所以有一张嘴,而有两只耳朵,原因是听的要比说的多一倍。227、别想一下造出大海,必须先由小河川开始。228、有事者,事竟成;破釜沉舟,百二秦关终归楚;苦心人,天不负;卧薪尝胆,三千越甲可吞吴。229、以诚感人者,人亦诚而应。230、积极的人在每一次忧患中都看到一个机会,而消极的人则在每个机会都看到某种忧患。231、出门走好路,出口说好话,出手做好事。232、旁观者的姓名永远爬不到比赛的计分