入职员工培训-体系管理-信息安全意识

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

内训之——1体系管理基础信息安全意识23信息安全理解安全与不安全概念什么是不安全?例1不知你遇到过这种事情没有?上网正在兴头上时,突然IE窗口不停地打开,最后直到资源耗尽死机?问题4信息安全理解安全与不安全概念什么是不安全?例2我的一位朋友的QQ被盗,黑客公开售卖200元,最后朋友费尽周折,利用密码保护才要回了自己心爱的QQ号,但是里面的好友和群全部被删除。问题5信息安全理解安全与不安全概念什么是不安全?例3想通过优盘把连夜加班的资料拷贝到单位电脑上,可插入u盘后里面空空如也,一晚上的工作付之东流。问题6信息安全理解安全与不安全概念什么是不安全?例4某一天下着大雨,突然“霹雳”一声,电脑突然断线了,经查是上网用的adslmodem被击坏了。问题7信息安全理解安全与不安全概念什么是不安全?例5目前,中国银行、工商银行、农业银行的网站已经在互联网上被克隆,这些似是而非的假银行网站极具欺骗性,呼和浩特市的一位市民,因登陆了假的中国银行网站,卡里的2.5万元不翼而飞。问题8授之以鱼不如授之以渔——产品——技术更不如激之其欲——意识9信息安全无处不在信息安全人员安全物理安全事件管理安全策略法律合规开发安全安全组织资产管理业务连续网络安全访问控制10怎样搞好信息安全?•一个软件公司的老总,等他所有的员工下班之后,他在那里想:我的企业到底值多少钱呢?•假如它的企业市值1亿,那么此时此刻,他的企业就值2600万。•因为据Delphi公司统计,公司价值的26%体现在固定资产和一些文档上,而高达42%的价值是存储在员工的脑子里,而这些信息的保护没有任何一款产品可以做得到,所以需要我们建立信息安全管理体系,也就是常说的ISMS!11小问题:公司的信息都在哪里?纸质文档电子文档员工其他信息介质12企业应保护什么信息?•知识产权;•技术秘密;•合同;•客户资料;•软件产品的源代码;•财务数据;•内部文件;•……13小测验•您离开家每次都关门吗?•您离开公司每次都关门吗?•您的保险箱设密码吗?•您的电脑设密码吗?意识如果您记得关家里的门,而不记得关公司的门,说明您可能对公司的安全认知度不够。如果您记得给保险箱设密码,而不记得给电脑设密码,说明您可能对信息资产安全认识不够。答案解释:这就是意识缺乏的症结不看重大公司,更看重小家庭。1家公司2钞票更顺眼,信息无所谓。〉意识思想上的转变信息比钞票更重要,更脆弱,我们更应该保护它。装有100万保险箱需要3个悍匪公司损失:100万1辆车,才能偷走装有客户信息电脑只要1个商业间谍1个U盘,就能偷走。公司损失:所有客户!WHY???信息安全的定义保护:系统的硬件,软件,数据防止:系统和数据遭受破坏,更改,泄露保证:系统连续正常地运行,服务不中断技术层面——防止外部用户的非法入侵管理层面——内部员工的教育和管理信息生命周期创建传递销毁存储使用更改20*信息安全令人担忧!内地企业44%信息安全事件是数据失窃普华永道最新发布的2008年度全球信息安全调查报告显示,中国内地企业在信息安全管理方面存在滞后,信息安全与隐私保障方面已被印度赶超。数据显示,内地企业44%的信息安全事件与数据失窃有关,而全球的平均水平只有16%。21*关键是做好预防控制隐患险于明火!预防重于救灾!221、要关注内部人员的安全管理23过渡页TRANSITIONPAGE过渡页TRANSITIONPAGE案例2007年11月,集安支行代办员,周末晚上通过运营电脑,将230万转移到事先办理的15张卡上,并一夜间在各ATM上取走38万。周一被发现。夜间银行监控设备未开放,下班后运营电脑未上锁。事实上,此前早有人提出过这个问题,只不过没有得到重视。24员工安全管理的要求•根据不同岗位的需求,在职位描述书中加入安全方面的责任要求,特别是敏感岗位•在招聘环节做好人员筛选和背景调查工作,并且签订适当的保密协议•在新员工培训中专门加入信息安全内容•工作期间,根据岗位需要,持续进行专项培训•通过多种途径,全面提升员工信息安全意识•员工内部转岗应做好访问控制变更控制•员工离职,应做好交接和权限撤销25国内金融计算机犯罪的典型案例一名普通的系统维护人员,轻松破解数道密码,进入邮政储蓄网络,盗走83.5万元。这起利用网络进行金融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破获……————人民日报,2003年12月时间:2003年11月地点:甘肃省定西地区临洮县太石镇邮政储蓄所人物:一个普通的系统管理员26怪事是这么发生的……2003年10月5日,定西临洮县太石镇邮政储蓄所的营业电脑突然死机工作人员以为是一般的故障,对电脑进行了简单的修复和重装处理17日,工作人员发现打印出的报表储蓄余额与实际不符,对账发现,13日发生了11笔交易,83.5万异地帐户是虚存(有交易记录但无实际现金)紧急与开户行联系,发现存款已从兰州、西安等地被取走大半储蓄所向县公安局报案公安局向定西公安处汇报公安处成立专案组,同时向省公安厅上报……2727当然,最终结果不错……经过缜密的调查取证,我英勇机智的公安干警终于一举抓获这起案件的罪魁祸首——会宁邮政局一个普通的系统维护人员张某28事情的经过原来是这样的……③登录到永登邮政局永登临洮④破解口令,登录到临洮一个邮政储蓄所①会宁的张某用假身份证在兰州开了8个活期帐户②张某借工作之便,利用笔记本电脑连接电缆到邮政储蓄专网会宁⑤向这些帐户虚存83.5万,退出系统前删掉了打印操作系统⑥最后,张某在兰州和西安等地提取现金2929到底哪里出了纰漏……张某29岁,毕业于邮电学院,资质平平,谈不上精通计算机和网络技术邮政储蓄网络的防范可谓严密:与Internet物理隔离的专网;配备了防火墙;从前台分机到主机经过数重密码认证30可还是出事了,郁闷呀问题究竟出在哪里?思考中……哦,原来如此——31看来,问题真的不少呀……张某私搭电缆,没人过问和阻止,使其轻易进入邮政储蓄专网临洮县太石镇的邮政储蓄网点使用原始密码,没有定期更改,而且被员工周知,致使张某轻松突破数道密码关,直接进入了操作系统问题出现时,工作人员以为是网络系统故障,没有足够重视……32总结教训……最直接的教训:漠视口令安全带来恶果!归根到底,是管理上存在漏洞,人员安全意识淡薄安全意识的提高刻不容缓!332、切不可忽视第三方安全34北京移动电话充值卡事件•31岁的软件工程师程稚瀚,在华为工作期间,曾为西藏移动做过技术工作,案发时,在UT斯达康深圳分公司工作。•2005年3月开始,其利用为西藏移动做技术时使用的密码(此密码自程稚瀚离开后一直没有更改),轻松进入了西藏移动的服务器。通过西藏移动的服务器,程稚瀚又跳转到了北京移动数据库,取得了数据从2005年3月至7月,程稚瀚先后4次侵入北京移动数据库,修改充值卡的时间和金额,将已充值的充值卡状态改为未充值,共修改复制出上万个充值卡密码。他还将盗出的充值卡密码通过淘宝网出售,共获利370余万元。•直到2005年7月,由于一次“疏忽”,程稚瀚将一批充值卡售出时,忘了修改使用期限,使用期限仍为90天。购买到这批充值卡的用户因无法使用便投诉到北京移动,北京移动才发现有6600张充值卡被非法复制,立即报警。•2005年8月24日,程稚瀚在深圳被抓获,所获赃款全部起获。装修换钥匙35第三方安全管理的建议•识别所有相关第三方:服务提供商,设备提供商,咨询顾问,审计机构,物业,保洁等•识别所有与第三方相关的安全风险,无论是牵涉到物理访问还是逻辑访问•在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定•在与第三方签订协议时特别提出信息安全方面的要求,特别是访问控制要求•对第三方实施有效的监督,定期Review服务交付363、物理环境中需要信息安全37时间:2002年某天夜里地点:A公司的数据中心大楼人物:一个普通的系统管理员一个普通的系统管理员,利用看似简单的方法,就进入了需要门卡认证的数据中心……————来自国外某论坛的激烈讨论38情况是这样的……A公司的数据中心是重地,设立了严格的门禁制度,要求必须插入门卡才能进入。不过,出来时很简单,数据中心一旁的动作探测器会检测到有人朝出口走去,门会自动打开数据中心有个系统管理员张三君,这天晚上加班到很晚,中间离开数据中心出去夜宵,可返回时发现自己被锁在了外面,门卡落在里面了,四周别无他人,一片静寂张三急需今夜加班,可他又不想打扰他人,怎么办?39一点线索:昨天曾在接待区庆祝过某人生日,现场还未清理干净,遗留下很多杂物,哦,还有气球……40聪明的张三想出了妙计……①张三找到一个气球,放掉气②张三面朝大门入口趴下来,把气球塞进门里,只留下气球的嘴在门的这边③张三在门外吹气球,气球在门内膨胀,然后,他释放了气球……④由于气球在门内弹跳,触发动作探测器,门终于开了41问题出在哪里……如果门和地板齐平且没有缝隙,就不会出这样的事如果动作探测器的灵敏度调整到不对快速放气的气球作出反应,也不会出此事当然,如果根本就不使用动作探测器来从里面开门,这种事情同样不会发生42总结教训……虽然是偶然事件,也没有直接危害,但是潜在风险既是物理安全的问题,更是管理问题切记!有时候自以为是的安全,恰恰是最不安全!物理安全非常关键!43物理安全的建议•将敏感设备和信息放置在受控的安全区域•所有到受控区域的入口都应该加锁、设置门卫,或者以某种方式进行监视,并做好进出登记•如果进出需要门禁卡,请随身带好,严禁无证进入•钥匙和门卡仅供本人使用,不要交给他人使用•严格控制带存储和摄像功能的手持设备的使用•使用公共区域的打印机、传真机、复印机时,一定不要遗留敏感文件•移动电脑是恶意者经常关注的目标,一定要注意保护•使用碎纸机,谨防敏感文件通过垃圾篓而泄漏44日常工作需特别留意信息安全45•一个有趣的调查发现,如果你用一条巧克力来作为交换,有70%的人乐意告诉你他(她)的口令•有34%的人,甚至不需要贿赂,就可奉献自己的口令•另据调查,有79%的人,在被提问时,会无意间泄漏足以被用来窃取其身份的信息•姓名、宠物名、生日、球队名最常被用作口令•平均每人要记住四个口令,大多数人都习惯使用相同的口令(在很多需要口令的地方)•33%的人选择将口令写下来,然后放到抽屉或夹到文件里关于口令的一些调查结果46•应该设置强口令•口令应该经常更改,比如3个月•不同的系统或场所应使用不同的口令•一定要即刻更改系统的缺省或初始化口令•不要与任何人共享你的口令•不要把口令写在纸上•不要把口令存储在计算机文件中•输入口令时严防有人偷看•如果发觉有人获知你的口令,立即改变它口令安全建议47•少于8个字符•单一的字符类型,例如只用小写字母,只用数字•用户名与口令相同•最常被人使用的弱口令:•自己、家人、朋友、亲戚、宠物的名字•生日、结婚纪念日、电话号码等个人信息•工作中用到的专业术语,职业特征•字典中单词,或者只在单词后加简单的后缀•所有系统都使用相同的口令•口令一直不变什么样的口令是比较脆弱的?48Chp3服务内容日常工作中常见的信息安全事件1、打印机——打印件滞留带来信息漏洞2、打印纸背面——好习惯换取大损失3、共享文件——局域网中获得公司内部机密的通道4、公用设备——等于公用信息5、产品痕迹——靠“痕迹”了解你的未来6、光盘刻录——资料在备份过程中流失7、邮箱——信息窃取的中转站8、私人电脑——大量窃取资料常用手段9、会议记录——被忽视的公司机密10、客户——你的机密只是盟友的谈资问题一49如何保障信息系统安全1.杀(防)毒软件不可少首先要做的就是安装一套正版的杀毒软件。对待电脑病毒的关键应当以“防”为主。开启杀毒软件的实时监控程序,并定期升级杀毒软件50如何保障信息系统安全2.分类设置密码并使密码尽可能复杂计算机帐号、办公应用账户、网上银行、E-Mail等,应尽可能使用不同的密码,以免因一个密码泄露导致所有资料外泄。对于重要的密码(如网上银行的密码)一定要单独设置,并且不要与其他密码相同。定期地修改自己的

1 / 54
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功