普通员工意识培训教材.ppt

全员安全意识培训,从别忘了关门的故事说起,不妨换个思维,商学院2005年第七期的一篇文章，别忘了关门,另眼看信息安全,信息安全除了是故事中的围栏之外，还是那道千万别忘记关的门，还有那颗别忘了关门的心安全意识,安全意识（Securityawareness）就是能够认知可能存在的安全问题，明白安全事故对组织的危害，恪守正确的行为方式，并且清楚在安全事故发生时所应采取的措施。,什么是信息安全意识,你意识到了吗？,社会工程和网络钓鱼等等攻击手段是当前普遍存在的攻击方式,钓鱼(Phishing)社会工程的一种类型利用电子邮件或恶意网站吸引受害者伪装成有名的、可信的网站通常为了金钱或个人信息网站要求用户填入账户或个人信息,社会工程利用人际交往伪装为可信的人士新进员工、维修工、研究员等持有个人身份证明通过询问获得信息。可能从多个来源获取足够信息获得公司或个人的计算机或私人信息,议题,需要了解基本概念公司的信息安全项目进行得怎样了？全员应该具备安全知识和技能对信息安全的容易误解的地方,6,理解和铺垫,基本概念,什么是信息?,8,2019/12/28,什么是信息？,什么是信息安全？,C,保密性（Confidentiality）确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。,完整性（Integrity）确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。,可用性（Availability）确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。,CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：,I,A,信息安全的三要素CIA,什么是信息安全?,信息安全的实质,采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。,11,嘿嘿，这顿美餐唾手可得,呜呜，可怜我手无缚鸡之力,威胁就像这只贪婪的猫,如果盘中美食暴露在外,遭受损失也就难免了,什么是ISO27001,ISO27001目前世界上唯一的“信息安全管理标准”。是建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，信息安全建设人员根据ISO17799：2005中的信息安全管理实施细则来建立ISMS。,ISO27001作用,缺少跨部门的信息安全协调机制；,13,2019/12/28,公司信息安全管理体系将各部门联系起来,保护特定资产以及完成特定安全过程的职责还不明确；,对组织的关键信息资产进行全面系统的保护，维持竞争优势；,雇员信息安全意识薄弱，缺少防范意识；,强化员工的信息安全意识，规范组织信息安全行为；,一旦发生意外，难以保证生产经营尽快恢复,在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；,使组织的生意伙伴和客户对组织充满信心；,实施前,实施后,实施与保持完整的信息安全管理体系，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，就可以从根本上保证业务的连续性,实施ISO27001有哪些关键活动？,我们有哪些重要的资产需要保护以及怎样保护？清点资产，并分级和分类，识别关键资产好钢用在刀刃上这些资产面临怎样的风险呢？黑客、病毒数据丢失、系统宕机、网络中断等等有哪些手段可以降低这些风险呢？风险消减、风险规避、风险转移以上都做好了，还有别的活动吗？审计纠正提高,议题,需要了解基本概念公司的信息安全项目进行得怎样了？全员应该具备安全知识和技能对信息安全的容易误解的地方,15,项目整体概述,本项目采用Program管理模式以解决NTT当前信息安全问题为总体目标分为3个子项目执行项目一为根据ISO27001帮助NTT建立ISMS，以满足ISO27001标准要求为目标；项目二为网络优化和技术控制实施，以解决实际的安全技术风险为目标；项目三为配合项目二网络优化和技术控制实施的管理制度的制定、发布和执行，以满足已部署的技术控制措施的管理和运维要求为目标；子项目相互独立，但又彼此衔接，为总体目标服务,16,整体项目计划,项目当前状态,需要我们做什么？,遵守与执行发布的所有的ISMS的方针、过程、规定；向安全推进室报告您发现的存在安全风险与问题；大胆的提出你对信息安全建设的建议和目前已发布的不合理的过程和规定；温故信息安全知识，增强信息安全意识；信息安全，从自己做起。,议题,需要了解基本概念公司的信息安全项目进行得怎样了？全员应该具备安全知识和技能对信息安全的容易误解的地方,同有赛博版权所有,20,以下安全事件是否曾经发生?,办公环境中曾经发生过丢失笔记本电脑的情况。曾经有外来人员，直接进入办公环境，在无人随同的情况下，自己找到空位，将笔记本电脑随意接入到公司网络，致使网络感染病毒。曾经有业务人员，不小心将客户机密信息通过电子邮件发送给不应接收的人员。一名开发人员，因为浏览不明网站，恶意代码利用IE的漏洞而在网络发作，通过VPN进入客户网络，最终导致项目被中止。曾对客户做审核时发现，某项目室所有人都去吃午饭，但门窗却大开。,犯过以下的错误吗？,开着电脑离开，就像离开家却忘记关灯那样轻易相信来自陌生人的邮件，好奇打开邮件附件使用容易猜测的口令，或者根本不设口令不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息随便拨号上网，或者随意将无关设备连入公司网络事不关己，高高挂起，不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁，忽视企业内部人员的问题在公共场合谈论公司信息,想想这些错误存在哪些潜在问题？您会如何应对?,从自身做起,良好的安全习惯,趣味游戏-找错,在忙碌的办公室中，跟随着摄像机镜头，拍摄下办公室内所存在的安全隐患。其中包括：中午大家吃饭去了，在几张桌子上，手机与钱包放在上面；一个没有人的桌子上，一台电脑正在从黑客网站上下载着一个被破解的金山词霸；旁边的打印机和复印机旁散落着不少带字的纸张；大开的项目经理办公室中，没有其他人在，一名浇花工人正在里面浇花；会议室内的白板上有上次会议留下的相关内容的记录；一些满是字迹的纸张在垃圾桶中冒出一个角；手提电脑放在桌子上；访问客户网络的VPN密码写在小纸条上贴在项目组的白板上；某职员在忙碌而嘈杂的办公室一边准备赶去别的地方，一边通过手机高声与客房谈论着属于公司机密的一些内容,Internet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求,Internet使用安全,内容,病毒与恶意代码防护,病毒Virus,蠕虫Worm,木马Trojan,传统的计算机病毒，具有自我繁殖能力，寄生于其他可执行程序中的，通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染,网络蠕虫不需借助其他可执行程序就能独立存在并运行，通常利用网络中某些主机存在的漏洞来感染和扩散,特洛伊木马是一种传统的后门程序，它可以冒充正常程序，截取敏感信息，或进行其他非法的操作,常见的计算机病毒,网络系统缺陷移动存储设备软件被他人恶意捆绑恶意欺骗操作疏忽,计算机病毒怎么来,网络,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,计算机病毒怎么来的?,大多数病毒都是通过系统缺陷传播冲击波震荡波尼姆达魔鬼波,计算机病毒怎么来,由于移动存储设备经常被多个电脑使用，所有病毒设计者就利用这点进行小范围传播。移动硬盘软盘光盘U盘（最近正流行，双击无法打开硬盘、右键菜单多Auto）,计算机病毒怎么来,计算机病毒怎么来,安装的软件被他人捆绑了恶意代码木马病毒安装了流氓软件CNNIC中文网址DuDu加速器网络猪STD广告发布系统千橡下属网站桌面传媒划词搜索,如果你收到这样一封Email,计算机病毒怎么来,自动弹出了一个黑客程序如果这个程序是木马的话,通过IM发送链接或附件，引诱用户打开链接或接收附件，从而感染病毒,计算机病毒怎么来,恶意代码防范策略,不要随意下载或安装软件不要接收与打开从E-mail或IM（QQ、MSN等）中传来的不明附件不要点击他人发送的不明链接，也不登录不明网站尽量不能过移动介质共享文件自动或定期更新OS与应用软件的补丁所有计算机必须部署指定的防病毒软件防病毒软件与病毒库必须持续更新感染病毒的计算机必须从网络中隔离(拨除连接的网线)直至清除病毒任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制度发生任何病毒传播事件，相关人员应及时向IT管理部门汇报仅此就够了么,36,2019/12/28,电子邮件,Email安全策略,不当使用Email可能导致法律风险禁止发送或转发反动或非法的邮件内容未经发送人许可，不得转发接收到的邮件不得伪造虚假邮件，不得使用他人账号发送邮件未经许可，不得将属于他人邮件的消息内容拷贝转发与业务相关的Email应在文件服务器上做妥善备份包含客户信息的Email应转发主管做备份个人用途的Email不应干扰工作，并且遵守本策略避免通过Email发送机密信息，如果需要，应采取必要的加密保护措施,38,2019/12/28,接收邮件注意,不安全的文件类型：绝对不要打开任何以下文件类型的邮件附件：.bat,.com,.exe,.vbs未知的文件类型：绝对不要打开任何未知文件类型的邮件附件，包括邮件内容中到未知文件类型的链接不要打开未知的链接:未知的链接可能是含有病毒的网站和一次含有欺骗信息的钓鱼网站微软文件类型：如果要打开微软文件类型（例如.doc,.xls,.ppt等）的邮件附件或者内部链接，务必先进行病毒扫描要求发送普通的文本：尽量要求对方发送普通的文本内容邮件，而不要发送HTML格式邮件，不要携带不安全类型的附件禁止邮件执行Html代码：禁止执行HTML内容中的代码防止垃圾邮件：通过设置邮件服务器的过滤，防止接受垃圾邮件尽早安装系统补丁：杜绝恶意代码利用系统漏洞而实施攻击,如果同样的内容可以用普通文本正文，就不要用附件尽量不要发送.doc,.xls等可能带有宏病毒的文件不要回覆由匿名寄件者寄来的邮件不要在公开网站例如搜寻引擎、聊天室等披露你的邮件地址不要使用字典里简单的字和通用的姓名作为邮件地址发送不安全的文件之前，先进行病毒扫描不要参与所谓的邮件接龙尽早安装系统补丁，防止自己的系统成为恶意者的跳板可以使用口令或加密软件发送安全级别较高的的邮件,发送邮件注意,Internet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求,警惕社会工程学,内容,网络钓鱼,通过邮件诱使收件人相信邮件是来自合法机构或合法个人，通常会使用以下方法进行攻击：在收件人的电脑安装暗藏于电邮附件的特洛伊程式或蠕虫，以寻找安全弱点及漏洞或拍下系统快照，藉以取得收件人的个人资料。使用键盘测录程式之类的间谍软件，撷取收件人的电脑资料，然后发送给骗徒。使诈搏取收件人信任，诱使收件人浏览看似合法网站的欺诈网站，并在站内的表格输入个人资料。,网络钓鱼的常用手法,电子邮件欺骗的特点,这类邮件一般以重要告示、紧急更新或警报的形式示人，其虚假的标题旨在令收件人相信发件来源可靠而把电邮打开。邮件的标题可能包含数字或其他字母，以逃避被过滤。邮件内文有时并无威吓性，反而含有令人欣喜的信息，例如告知收件人中奖。这类邮件通常使用假冒的发件人地址或伪冒的机构名称，令邮件看似确是发自其伪冒的机构。这类邮件通常会复制合法网站的网页内容，包括文字、公司标记、图像及样式等，而为求以假乱真。这类邮件所设的超连结，通常会诱导收件人连接到一个欺诈网站，而非链路表上面所显示的合法网站。,网站欺骗的特点,这类网站使用外表真实网站一样的内容，如图像、文字或公司标记，甚至会复制合法网站，以诱骗访客输入帐户或财务资料这类网站设有真正链接，连接合法网站中如联络我们或私隐及免责声明等网页内容，藉以蒙骗访问者这类网站可能使用与合法网站相似的域名或子域名这类网站可能使用与合法网站相似的表格来收集访客的资料这类网站可能以真正网页为背景，而本身则采用弹出的视窗形式，藉以误导和混淆访问者，令他们以为自已身处合法网站,仿冒诈骗网站,该仿冒网站与中国银行(香港)有限公司(中银香港)的官方网站相似。域名为：,防范措施,不要登入可疑网站，不要打开或滥发邮件中不可信赖来源或电邮所载的URL链接，以免被看似合法的恶意链接转往恶意网站不要从搜寻器的结果连接到银行或其他金融机构的网址打开邮件附件时要提高警惕，不要打开扩展名为“pif”,“exe”,“bat”,.vbs的附件以手工方式输入URL位址或点击之前已加入书签的链接避免在咖啡室、图书馆、网吧等场所的公用计算机进行网上银行或财务查询交易。这些公用计算机可能装有入侵工具或特洛伊程式在进行网上银行或财务查询交易时，不要使用浏览器从事其他网上活动或连接其他网址。在完成交易后，切记要打印或备存交易记录或确认通知，以供日后查核。不要保存帐号和密码不要给通过电子方式给任何机构和个人提供敏感的个人或账户资料确保电脑采用最新的保安修补程式和病毒识别码，以减低欺诈电邮或网站利用软件漏洞的机会,其它欺骗方式,“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话”KevinMitnick,什么是社会工程学,SocialEngneering利用社会交往（通常是在伪装之下）从目标对象那里获取信息例如：电话呼叫服务中心在走廊里的聊天冒充服务技术人员著名黑客KevinMitnick更多是通过社会工程来渗透网络的，而不是高超的黑客技术,常见方式,多次搜集你认为无用的的信息正面攻击直接索取（直接了当的开口要求所需的信息）通过建立信任来获取信息博取同情，希望得到帮助来获取信息假冒网站和邮件逆向骗局进入内部攻击新进员工,社会工程flash,警惕社会工程学,不要轻易泄漏任何信息，社会工程师可以从信息中找到隐藏的有价值的信息，更不要说是口令和账号在相信任何人之前，先校验其真实的身份不要违背公司的安全策略，哪怕是你的上司向你索取个人敏感信息（KevinMitnick最擅长的就是冒充一个很焦急的老板，利用一般人好心以及害怕上司的心理，向系统管理员索取口令）所谓的黑客，更多时候并不是技术多么出众，而是社会工程的能力比较强,Internet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求,介质安全及数据安全,内容,移动介质带来的风险,移动介质在数据交换与携带的便捷性，使得各式各样的U盘、移动硬盘、MP3等可能未经允许地接入计算机与网络，进行数据的拷贝和传递，一方面这些介质的移动性和便捷性容易被盗或丢失，而往往存储在移动介质的数据是未经加密的，很容易导致机密信息无意泄密另一方面，现在的移动介质的存储容量也越来越大，小则上几个Gbyte的容量，大则上几百个Gbyte，对于有意泄密的员工，瞬间就可以把公司所有机密信息拷走；还有一方面，移动介质是病毒传播的重要途径，两个不同安全等级的网络或计算机通过移动介质传递信息时，低安全等级网络或电脑很容易感染病毒,笔记本电脑与远程办公安全,IT管理部门可以协助用户部署必要的笔记本电脑防信息泄漏措施用户不能将口令、ID或其他账户信息以明文保存在移动介质上笔记本电脑遗失应按照相应管理制度执行安全响应措施敏感信息应加密保护携出后的电脑在接入公司网络之间应进行病毒扫描禁止在公共区域讨论敏感信息，或通过笔记本电脑泄漏信息不要将笔记本同时接入两个网络注意笔记本电脑远程办公的安全，采用加密防止信息泄露,介质安全管理,创建,传递,销毁,存储,使用,更改,介质包括：硬盘、U盘、移动硬盘、光盘、软盘、纸等具有存储信息功能的所有介质,LifeCycle,Internet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求,重要信息的保密,内容,资产责任划分,依据公司资产管理策略,信息保密级别分类根据保密级别进行标识对不同级别的信息进行不同的处理与保护根据不同级别的信息设定访问控制策略,帐户与口令安全,内容,Internet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求,为什么口令很重要,帐户+口令是最简单也最常用的身份认证方式口令是抵御攻击的第一道防线，防止冒名顶替口令也是抵御网络攻击的最后一道防线,针对口令的攻击简便易行，口令破解快速有效由于使用不当，往往使口令成为最薄弱的安全环节口令与个人隐私息息相关，必须慎重保护,脆弱的口令,少于8个字符单一的字符类型，例如只用小写字母，或只用数字用户名与口令相同最常被人使用的弱口令：自己、家人、朋友、亲戚、宠物的名字生日、结婚纪念日、电话号码等个人信息工作中用到的专业术语，职业特征字典中包含的单词，或者只在单词后加简单的后缀所有系统都使用相同的口令口令一直不变,建议,选择易记强口令的几个窍门：口令短语字符替换单词误拼键盘模式,63,2019/12/28,信息交换备份安全,内容,Internet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求,信息交换安全,通过传真发送机密信息时，应提前通知接收者并确保号码正确不允许在公共区域用移动电话谈论机密信息不允许在公共区域与人谈论机密信息不允许通过电子邮件或IM工具交换账号和口令信息不允许借助公司资源做非工作相关的信息交换不允许通过IM工具传输附件禁止通过WINDOWS的SHARE方式共享信息应该使用专用打印机或复印机处理绝密资料打印或复印的资料应立即取走,信息备份安全,个人应养成定期备份工作信息的习惯保密性要求较高的数据在备份时应考虑保密问题对备份资料的访问要设定完善的访问控制机制,计算机与网络访问,内容,Internet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求,计算机网络访问安全（举例）,访问控制基本原则：未经明确允许即为禁止访问必须通过唯一注册的用户ID来控制用户对网络的访问系统管理员必须确保用户访问基于最小特权原则而授权用户必须根据要求使用口令并保守秘密系统管理员必须对用户访问权限进行检查，防止滥用系统管理员必须确保网络服务可用系统管理员必须根据安全制度要求定义访问控制规则，用户必须遵守规则各部门应自行制定并实施对业务应用系统、开发和测试系统的访问规则计算机网络用户必须加入网域，统一接受公司安全策略管理网络内禁止使用任何扫描或侦测工具禁止同时访问两个网络,工作环境与物理安全,Internet使用安全警惕社会工程学介质安全、笔记本电脑及个人数据安全重要信息的保密口令安全信息交换与备份安全计算机及网络访问安全工作环境及物理安全要求,工作环境安全,应主动防止陌生人尾随进入办公区域遇到陌生人,要上前主动询问禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用碎纸机粉碎废弃或待修磁介质转交他人时应经IT管理部门消磁处理离开座位时，应将贵重物品、含有机密信息的资料锁入柜中，并对使用的电脑桌面进行锁屏应将复印或打印的资料及时取走禁止在公共场合谈论公司信息,要点总结！,加强敏感信息的保密留意物理安全遵守法律法规和安全策略公司资源只供公司所用保守口令秘密谨慎使用internet和Email加强人员安全管理识别并控制第三方风险加强防病毒措施有问题及时报告,议题,需要了解基本概念公司的信息安全项目进行得怎样了？全员应该具备安全知识和技能对信息安全的容易误解的地方,73,人们经常会误认为,74,2019/12/28,信息安全就是防泄露,信息安全就是网络安全,信息安全就是防黑客,信息安全就是技术问题,信息安全就是一场运动,信息安全就是麻烦,仅仅通过技术手段就可以解决安全问题北京移动充值卡泄漏事件,信息安全理念上的误区,北京移动冲值卡泄漏事件之前在信息安全技术设备上的投入达到了1.2亿,信息安全就是网络安全只要防止黑客入侵和病毒就可以了信息安全只要保证公司的机密信息不被泄露，即保证信息的保密性,信息安全理念上的误区,解决安全问题搞运动问题严重了，搞个运动运动过了，可以歇歇,信息安全理念上的误区,信息安全与业务无关信息安全事务上的投入是没有价值的，只会给工作带来麻烦信息安全是业务之外多余的工作，日常的业务流程无须考虑信息安全系统或者网络安全失效，不会造成业务上的财务损失,信息安全理念上的误区,小结：正确的认识,七分管理、三分技术，技术是基础，管理才是关键网络安全是信息安全的一部分信息安全是一项长期的工作，贯穿在日常的工作中信息安全的任务就是保障业务的持续性，信息安全是业务持续的必要条件,本次培训小结,确保敏感信息免遭窃取、丢失、非授权访问、非授权泄漏、非授权拷贝，这些信息既包括纸质文件，又包括计算机和存储设备中的信息。,谨记您的安全责任,从一点一滴做起！,从自身做起！,用心做事诚信为人,