计算机信息安全培训课件

资源描述

员工信息安全第一课计算机信息安全培训培训目的 1. 建立对信息安全的正确认识 2. 了解工作中面临的信息安全威胁和风险 3. 培养信息安全意识和良好的习惯计算机信息安全培训主要内容 1. 信息安全 2. 信息安全管理和信息安全管理体系 3. 信息安全与工作计算机信息安全培训前言 2006年 4月 8日，中国工程师，著名的传染病学家专家钟南山在上班的路上被劫匪抢走了笔记本电脑。事后中院士说 “ 一个科技工作者的作品、心血都在电脑里面，电脑里还存着正在限制的新药方案，要是这个研究方案变成一种新药，那是几个亿的价值啊 ” 。这个案例仅仅是冰山一角，类似这样的事件几乎每天都在发生。从这些案例可以看出，信息资产一旦遭到破坏，将给组织带来直接的损失，严重威胁到组织的生存。因此，保护信息资产，解决信息安全问题，已成为组织必须考虑的问题。计算机信息安全培训 1. 信息安全 1.1 信息 1.2 信息安全计算机信息安全培训 1.1 信息什么是信息？在信息研究领域中对其没有确切的定义，但概括出来信息有两个性质：一、和公司其它资源一样，是维持公司持续运作和管理的必要资产，例如政策方针、市场报告、科研数据、计划方案、竞争情报等等，这些信息可能从多个方面对公司运营产生影响。二、可以是无形的，可借助于媒体以多种形式存在或传播；信息可以存储在计算机、磁带、纸张等介质中；信息可以记忆在人的大脑里；信息可以通过网络、打印机、传真机等方式进行传播计算机信息安全培训 1.1 信息信息资产对现代企业来说，具有价值的信息就是信息资产。一般主要有：实物资产（电脑、打印机等硬件）软件资产（操作系统、应用软件等）数据资产（文件、凭据、源代码等）人员资产（各级各类管理人员和技术人员）服务资产（第三方提供的支持性服务）计算机信息安全培训 1. 信息安全 1.1 信息 1.2 信息安全计算机信息安全培训 1.2 信息安全保持和维护信息的保密性、完整性、可用性网络安全知识安全数据安全文件信息安全内容安全计算机安全信息安全定义计算机信息安全培训 1.2 信息安全 1.公司持续发展的需要：任何公司正常运作离不开信息资源支持，这包括公司的知识产权、各种重要数据、信息处理设施、关键人员等，公司的商业机密泄露会丧失竞争优势，失去市场，公司要持续发展，信息安全是基本保障之一； 2.客户的需要：我们在给客户提供服务的同时，也必将接触到客户的一些机密信息，例如 :客户的技术数据、客户信息、内部运营信息等，而这些信息客户是不想人外人知晓的，保守客户的信息安全是客户的正常需要； 3.其它方面的需要：个人信息保密、国家信息安全等等信息安全目的计算机信息安全培训 1.2 信息安全信息安全关注的信息类型企业信息安全关注的信息类型内部信息组织不想让其竞争对手知道的信息客户信息顾客 /客户不想让组织泄漏的信息共享信息需要与其他业务伙伴分享的信息计算机信息安全培训 2021-8-9 12 主要内容 1. 信息安全 2. 信息安全管理和信息安全管理体系 3. 信息安全与工作计算机信息安全培训 2021-8-9 13 2 信息安全管理与信息安全管理体系 2.1 信息安全管理 2.2 信息安全管理体系计算机信息安全培训 2021-8-9 14 什么信息安全管理？通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织信息安全目标的活动。 2.1 信息安全管理计算机信息安全培训 2021-8-9 15 我们接触到的信息安全管理的主要活动 1. 制定信息安全相关的管理制度2. 信息安全的相关的培训3. 信息安全日常的监督检查4. 信息安全事件的处理5. 信息安全管理体系的内部审核 2.1 信息安全管理公司都有信息安全管理，那么怎么样才能很规范，有效的进行信息安全管理呢？公司引入了信息安全管理体系（ ISO 27001： 2005）计算机信息安全培训 2 信息安全管理与信息安全管理体系 2.1 信息安全管理 2.2 信息安全管理体系计算机信息安全培训 2021-8-9 17 2.2 信息安全管理体系 2.2.1 什么是管理体系 2.2.2 信息安全管理体系 2.2.3 信息安全管理体系认证计算机信息安全培训 2021-8-9 18 目前流行的管理体系标准环境管理体系 EMS ISO /IEC14000 质量管理体系 Q MS ISO /IEC 9001： 2000等 2.2.1 什么是管理体系职业安全卫生管理体系 O HSAS18000 信息安全管理体系 ISMS ISO /IEC 27001： 2005 IT服务管理体系 ITMS ISO /IEC 20000-1： 2005管理体系标准：国际化标准组织（ ISO）参考西方各国管理标准特别是国际知名公司管理流程制定管理规范管理体系：公司依据国际化标准组织（ ISO）制定管理标准，建立的以实现某种目标的管理系统。计算机信息安全培训 2.2 信息安全管理体系 2.2.1 什么是管理体系 2.2.2 信息安全管理体系 2.2.3 信息安全管理体系认证计算机信息安全培训公司依据信息安全管理标准建立的在信息安全方面指挥和控制的管理系统，目标是实现公司信息安全目标。信息安全管理体系 (英文缩写 ISMS）- 信息安全组织结构- 信息安全方针、策略- 信息安全控制措施- 网络安全- 各种活动、过程信息安全目标应是可度量的要素包括- 2.2.2 信息安全管理体系计算机信息安全培训信息安全管理体系 (英文缩写 ISMS） 2.2.2 信息安全管理体系安全管理模型 PDCA 计算机信息安全培训 2.2 信息安全管理体系 2.2.1 什么是管理体系 2.2.2 信息安全管理体系概述 2.2.3 信息安全管理体系计算机信息安全培训 l 公司信息安全管理方针 2.2.3 信息安全管理体系计算机信息安全培训 2021-8-9 24 l 公司信息安全管理体系目标 2.2.3 信息安全管理体系大面积内网中断时间每年累计不超过 100分钟大规模病毒爆发每年不超过 4次重要信息设备丢失每年不超过 1起机密和绝密信息泄漏事件每年不超过 2次客户针对信息安全事件的投诉每年不超过 2次全员参与信息安全意识活动的比例每年不低于 80% 计算机信息安全培训主要内容 1. 信息安全 2. 信息安全管理和信息安全管理体系 3. 信息安全与工作计算机信息安全培训 3. 信息安全与工作 3.1 工作中要接触的信息安全 3.2 计算机网络安全 3.3 计算机病毒防治 3.4 建立良好的安全习惯计算机信息安全培训 3.1 工作中可能接触的信息安全1.后台业务处理工作：对能够接触到的客户信息资产进行分类登记，评估其资产价值，确保所有客户信息资产在工作中安全可靠。2.信用卡录入：防止客户资料外泄；杜绝员工录入资料错误。3.信用卡营销：防止客户资料外泄。4.银行卡外呼工作 :防止客户资料外泄。5.业务档案数字加工：会计档案的保密，信息泄露。计算机信息安全培训 3. 信息安全与工作 3.1 工作中要接触的信息安全 3.2 计算机网络安全 3.3 计算机病毒防治 3.4 培养良好的安全习惯计算机信息安全培训 3.2计算机网络安全网络安全网络安全主要指网络上的信息安全 ,包括物理安全，逻辑安全、操作系统安全、网络传输安全。计算机信息安全培训 3.2培养良好的信息安全习惯网络安全这里以 3.1加以说明图 3.1 计算机信息安全培训 3.2计算机网络安全网络安全1.窃听最简易的窃听方式是将计算机连入网络，利用专门的工具软件对在网络上传输的数据包进行分析。进行窃听的最佳位置是网络中的路由器，特别是位于关卡处的路由器 ,它们是数据包的集散地，在该处安装一个窃听程序，可以轻易获取很多秘密。计算机信息安全培训 3.2计算机网络安全网络安全计算机信息安全培训 3.2计算机网络安全网络安全3.会话窃取会话劫夺指入侵者首先在网络上窥探现有的会话，发现有攻击价值的会话后，便将参与会话的一方截断，并顶替被截断方继续与另一方进行连接，以窃取信息。计算机信息安全培训 3.2计算机网络安全网络安全4.利用操作系统漏洞任何操作系统都难免存在漏洞，包括新一代操作系统。操作系统的漏洞大致可分为两部分：一部分是由设计缺陷造成的。包括协议方面的、网络服务方面的、共用程序库方面的等等。另一部分则是由于使用不得法所致。这种由于系统管理不善所引发的漏洞主要是系统资源或帐户权限设置不当。计算机信息安全培训 3.2计算机网络安全网络安全5.盗用密码盗用密码是最简单和狠毒的技巧。通常有两种方式：计算机信息安全培训 3.2计算机网络安全网络安全5.盗用密码盗用密码是最简单和狠毒的技巧。通常有两种方式：另一种比较常见的方法是先从服务器中获得被加密的密码表，再利用公开的算法进行计算，直到求出密码为止，这种技巧最常用于 Unix系统。密码被盗用，通常是因为用户不小心被他人 “ 发现 ” 了。而 “ 发现 ” 的方法一般是 “ 猜测 ” 。猜密码的方式有多种，最常见的是在登录系统时尝试不同的密码，系统允许用户登录就意味着密码被猜中了。计算机信息安全培训 3.2计算机网络安全网络安全6.木马、病毒、暗门暗门（ trapdoor）又称后门（ backdoor），指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。计算机技术中的木马，是一种与计算机病毒类似的指令集合，它寄生在普通程序中，并在暗中进行某些破坏性操作或进行盗窃数据。木马与计算机病毒的区别是，前者不进行自我复制，即不感染其他程序。计算机信息安全培训 3.2计算机网络安全网络安全防火墙技术概述计算机信息安全培训 3.3计算机病毒及防治计算机病毒的特点 Internet/Intranet的迅速发展和广泛应用给病毒增加了新的传播途径，网络将正逐渐成为病毒的第一传播途径。Internet/Intranet带来了两种不同的安全威胁：一种威胁来自文件下载，这些被浏览的或是通过 FTP下载的文件中可能存在病毒；另一种威胁来自电子邮件。1.传染方式多，速度快，清理难度大2.破坏性强3.激发形式多样4.潜在性计算机病毒的传播途径计算机信息安全培训 3.3计算机病毒及防治常见的网络病毒5.蠕虫病毒6.网络服务器上的文件病毒7.Internet上的文件病毒计算机信息安全培训 3.3计算机病毒及防治网络病毒防治及查杀引起网络病毒感染的主要原因在于网络用户自身。因此，防范网络病毒应从两方面着手。加强网络管理人员的网络安全意识，对内部网与外界进行的数据交换进行有效的控制和管理，同时坚决抵制盗版软件；以网为本，多层防御，有选择地加载保护计算机网络安全的网络防病毒产品。计算机信息安全培训 3.4培养良好的信息安全习惯计算机使用安全1. 对个人用计算机要设置帐户密码，2. 信息安全规定个人电脑口令长度应该不低于 6位，服务器口令长度应该不低于 8位且最好要为大写字母、小写字母、数字、特殊字符的组合，防止非法用户猜出你的密码；3. 加强对计算机信息保护，离开机器时要及时对机器锁屏（ Win+L）；4. 安装计算机防病毒软件，经常升级病毒库；5. 加强对移动计算机的安全保护，防止丢失；计算机信息安全培训 3.4培养良好的信息安全习惯社交信息安全1. 不在电话中说工作敏感信息2. 不通过 email传输敏感信息，如要通过 EMAIL最好加密以后再传输3. 电话回叫首先要确认身份4. 防止信息窃取5. 不随意下载安装软件，防止恶意程序、病毒及后门等黑客程序6. 不随意打开可执行的邮件附件，如 .EXE,.BAT,.VBS,.COM,.PIF,.CMD,打开附件时最好进行病毒检查计算机信息安全培训 3.4培养良好的信息安全习惯重要的信息保密1. 每次接触的客户信息资料要及时回放，不要随手乱丢2. 学习信息安全的相关规定，熟悉重要信息的处理方法；3. 对于自己接触到的相关信息，在工作外不能随便使用计算机处理工作事务；4. 不随意在网上发表关于工作重要的信息内容；计算机信息安全培训谢谢！计算机信息安全培训

展开阅读全文

计算机信息安全培训课件

最新文档