信息安全培训

2019公司信息安全意识培训引言——授之以鱼（产品），不如授之以渔（技术），更不如激之以欲（意识）什么是信息安全WHATISINFORMATIONSECURITY一怎样搞好信息安全HOWTOIMPROVEINFORMATIONSECURITY二信息安全基本概念BASICCONCEPTOFINFORMATIONSECURITY三信息产业现状CURRENTSITUATIONOFINFORMATIONINDUSTRY四第一章信息安全无处不在什么是信息安全RouterServerMonitorFolder什么是信息安全不只有产品技术才是信息安全Ý事件管理开发安全安全策略安全组织人员安全资产管理请信息安全无处不在Informationsecurityiseverywhere信息安全物理安全网络安全法律合规业务连续访问控制第二章要建立信息安全体系怎样搞好信息安全怎样搞好信息安全HOWTOIMPROVEINFORMATIONSECURITY一个软件公司的老总，等他所有的员工下班之后，他在那里想：我的企业到底值多少钱呢？假如它的企业市值1亿，那么此时此刻，他的企业就值2600万。因为据Delphi公司统计，公司价值的26%体现在固定资产和一些文档上，而高达42%的价值是存储在员工的脑子里，而这些信息的保护没有任何一款产品可以做得到，所以需要我们建立信息安全管理体系，也就是常说的ISMS！信息在哪里Whereistheinformation?EmployeesHeads42%ElectronicDocuments20%Other12%PaperDocuments26%公司信息资产分布EmployeesHeadsElectronicDocumentsOtherPaperDocuments纸质文档电子文档员工其他信息介质第一个小测试您离开家每次都关门吗？您离开公司每次都关门吗？您的保险箱设密码吗？您的电脑设密码吗？如果您记得关家里的门，而不记得关公司的门，说明您可能对公司的安全认知度不够。如果您记得给保险箱设密码，而不记得给电脑设密码，说明您可能对信息资产安全认识不够。答案解释11这就是意识缺乏的两大症结不看重大公司，更看重小家庭。钞票更顺眼，信息无所谓。〉公司家信息安全搞好了公司赚钱了您就涨了领导笑了信息安全搞砸了公司赔钱了领导怒了WHY？您就跌了思想上的转变信息比钞票更重要，更脆弱，我们更应该保护它。WHY？装有100万的保险箱需要3个悍匪、公司损失：100万1辆车，才能偷走。装有客户信息的电脑只要1个商业间谍、1个U盘，就能偷走。公司损失：所有客户！典型案例事件：据新华网3月19日援引英国《观察家报》、《卫报》及美国《纽约时报》消息报道，剑桥分析公司（CambridgeAnalytica）“窃取”5000万脸书用户的信息，是脸书自创建以来最大的用户数据泄露事件之一。数据泄露的源头，是英国剑桥大学心理学教授亚历山大·科根（AleksandrKogan）2014年推出的一款应用软件(App)，名为“这是你的数字化生活”（thisisyourdigitallife），向脸书用户提供个性分析测试，推介语是“心理学家用于做研究的App”。当时，共27万名脸书用户下载这一应用。公司的利益就是自己的利益，不保护公司，就是不保护自己。电脑不仅仅是工具，而是装有十分重要信息的保险箱。安全名言第三章信息安全无处不在信息安全的基本概念在计算机安全领域有一句格言：“真正安全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”显然，这样的计算机是无法使用的。绝对的零风险是不存在的，要想实现零风险，也是不现实的；计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。绝对的安全是不存在的关注刘匠公众号，免费获取1000元PPT素材模板大礼包安全是一种平衡安全控制的成本安全事件的损失最小化的总成本低高高安全成本/损失所提供的安全水平关键是实现成本利益的平衡信息的价值信息的价值=使用信息所获得的收益─获取信息所用成本信息具备了安全的保护特性广义上讲领域——涉及到信息的保密性，完整性，可用性，真实性，可控性的相关技术和理论。本质上1.保护——系统的硬件，软件，数据2.防止——系统和数据遭受破坏，更改，泄露3.保证——系统连续可靠正常地运行，服务不中断两个层面1.技术层面——防止外部用户的非法入侵2.管理层面——内部员工的教育和管理信息安全的定义信息安全的基本目标保密性，完整性，可用性CIACIAonfidentialityntegrityvailability信息生命周期创建使用销毁更改存储传递第四章信息安全无处不在信息产业现状信息产业发展迅猛截至2018年6月，我国网民规模为8.02亿，上半年新增网民2968万人，较2017年末增加3.8%，互联网普及率达57.7%。截至2018年6月，我国手机网民规模达7.88亿，上半年新增手机网民3509万人，较2017年末增加4.7%，网民中使用手机上网人群的占比达98.3%。截至2018年6月，我国农村网民占比为26.3%，规模为2.11亿，较2017年末增加1.0%；城镇网民占比73.7%，规模为5.91亿，较2017年末增加4.9%。截至2018年6月，我国网民使用手机上网的比例达98.3%，较2017年末提升了0.8个百分点；使用台式电脑、笔记本电脑上网的比例分别为48.9%、34.5%，较2017年分别下降4.1、1.3个百分点；网民使用电视上网的比例达29.7%，较2017年末提升了1.5个百分点。截至2018年5月，我国市场上监测到的移动应用程序（app）在架数量为415万款。排名前三的应用类别依次是游戏类应用、生活服务类应用和电子商务类应用，占比分别是36.6%、13.6%、10.0%。截至2018年6月，我国IPv6地址数量为23555块/32，半年增长0.53%。截至2018年6月，中国国际出口带宽为8,826,302Mbps，半年增长率为20.6%。信息安全令人担忧内地企业44%信息安全事件是数据失窃普华永道最新发布的2018年度全球信息安全调查报告显示，中国内地企业在信息安全管理方面存在滞后，信息安全与隐私保障方面已被印度赶超。数据显示，内地企业44%的信息安全事件与数据失窃有关，而全球的平均水平只有16%。普华永道的调查显示，中国内地企业在改善信息安全机制上仍有待努力，从近年安全事件结果看，中国每年大约98万美元的财务损失，而亚洲国家平均约为75万美元，印度大约为30.8万美元。此外，42%的中国内地受访企业经历了应用软件、系统和网络的安全事件。安全事件（1）AcFun：900万条用户数据泄露事件：2018年6月13日凌晨，AcFun弹幕视频网（以下简称“A站”）发布公告称，该网站受到黑客攻击，近千万条用户数据遭泄露。随后，有网友陆续晒出从今年3月到6月不同时期，暗网兜售A站用户数据的信息及价目表。对于此次泄露事件，A站已联合内部和外部的技术专家成立了安全专项组，排查问题并升级了系统安全等级，对AcFun服务器做全面系统加固，实现技术架构和安全体系的升级。安全事件（2）前程无忧：195万条个人求职简历泄露事件：2018年6月16日，网上有人开始叫卖招聘网站前程无忧用户信息，其中涉及195万用户求职简历，随后前程无忧方面确认部分用户账户密码被撞库。为了证实泄露数据的真实性，前程无忧方面还进行了一定的测试，结果发现信息是真实可靠的，不过官方强调，数据中绝大部分来自于一些邮箱泄露的账户密码，且都是在2013年之前注册。对此前程无忧强调，出现这样的情况并非拖库，而是恶意用户通过这些已泄露的邮箱账户及密码，对相应的站点进行登录匹配，然后蓄意倒卖。安全事件（3）圆通：10亿条用户信息数据被出售2018年6月19日，有人开始兜售圆通10亿条快递数据，按照卖家的说法，这些是2014年下旬的数据，数据信息包括寄(收)件人姓名，电话，地址等信息，都是圆通内部人士批量出售而来(只要快递单信息进入电脑他们就可以获取)。随后，有网友验证了其中一部分数据，发现所购“单号”中，姓名、电话、住址等信息均属实。按照当时售价来说，用户只要花430元人民币即可购买到100万条圆通快递的个人用户信息(10亿条数据1比特币)，而10亿条数据则需要约43000元人民币。安全事件（4）勒索病毒GlobeImposter事件：2018年2月，勒索病毒GlobeImposter家族最新变种在国内爆发，大批企业用户纷纷中招，其中不乏政府、高校、医院等公共基础设施。勒索病毒文件一旦被用户点击打开，会利用连接至黑客的CC服务器，进而上传本机信息并下载加密公钥和私钥。然后，将加密公钥私钥写入到注册表中，遍历本地所有磁盘中的Office文档、图片等文件，对这些文件进行格式篡改和加密;加密完成后，还会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。该类型病毒可以导致重要文件无法读取，关键数据被损坏，给用户的正常工作带来了极为严重的影响。安全事件（5）苹果iOSiBoot源码泄露事件：2018年2月，开源代码分享网站GitHub（软件项目托管平台）上有人共享了iPhone操作系统的核心组件源码，泄露的代码属于iOS安全系统的重要组成部分——iBoot。iBoot相当于是Windows电脑的BIOS系统。此次iBoot源码泄露可能让数以亿计的iOS设备面临安全威胁。iOS与MacOS系统开发者JonathanLevin表示，这是iOS历史上最严重的一次泄漏事件。深度分析这样的例子还有很多信息安全迫在眉睫！关键是做好预防控制！隐患险于明火！预防重于救灾！首先要关注内部人员的安全管理！关于员工安全管理的建议根据不同岗位的需求，在职位描述书中加入安全方面的责任要求，特别是敏感岗位在招聘环节做好人员筛选和背景调查工作，并且签订适当的保密协议在新员工培训中专门加入信息安全内容工作期间，根据岗位需要，持续进行专项培训通过多种途径，全面提升员工信息安全意识落实检查监督和奖惩机制员工内部转岗应做好访问控制变更控制员工离职，应做好交接和权限撤销切不可忽视第三方安全！关于第三方安全管理的建议识别所有相关第三方：服务提供商，设备提供商，咨询顾问，审计机构，物业，保洁等识别所有与第三方相关的安全风险，无论是牵涉到物理访问还是逻辑访问在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定在与第三方签订协议时特别提出信息安全方面的要求，特别是访问控制要求对第三方实施有效的监督，定期Review服务交付物理环境中需要信息安全！关于物理安全的建议将敏感设备和信息放置在受控的安全区域所有到受控区域的入口都应该加锁、设置门卫，或者以某种方式进行监视，并做好进出登记如果进出需要ID徽章，请随身带好，严禁无证进入钥匙和门卡仅供本人使用，不要交给他人使用严格控制带存储和摄像功能的手持设备的使用使用公共区域的打印机、传真机、复印机时，一定不要遗留敏感文件移动电脑是恶意者经常关注的目标，一定要注意保护使用碎纸机，谨防敏感文件通过垃圾篓而泄漏如果发现可疑情况，请立即报告日常工作需特别留意信息安全！关于口令的一些调查结果一个有趣的调查发现，如果你用一条巧克力来作为交换，有70％的人乐意告诉你他（她）的口令有34％的人，甚至不需要贿赂，就可奉献自己的口令另据调查，有79％的人，在被提问时，会无意间泄漏足以被用来窃取其身份的信息姓名、宠物名、生日、球队名最常被用作口令平均每人要记住四个口令，大多数人都习惯使用相同的口令（在很多需要口令的地方）33％的人选择将口令写下来，然后放到抽屉或夹到文件里日常工作需特别留意信息安全！什么样的口令是比较脆弱的？少于8个字符单一的字符类型，例如只用小写字母，或只用数字用户名与口令相同最常被人使用的弱口令：自