新员工培训——信息安全意识安全中心Benjurryji2005年08月本课程目的•了解信息安全的重要性•提高信息安全意识•了解常用的安全防范方法后续课程安排•程序开发安全–CGI安全–程序安全•运维安全–《安全运维意识》–《网络基础》–《操作系统、应用配置》–《腾讯安全制度体系》–《高危端口基本屏蔽原则》–《CGI基本安全原则》–《架构安全设计》–……什么是信息•信息是一种资产,就如同其他的商业资产一样,对一个组织而言是具有价值的,因而需要妥善保护–包括商业秘密、文档、文件、图纸、数据专利、标准、管理制度等。•信息是有等级思考•公司有哪些重要的信息资产?–QQ号码–Q币–用户隐私–产品代码–产品开发计划–公司商业信息–财务数据保证信息只能够由得到授权的人访问。举例:公司产品代码不被恶意泄漏;商务合同、报价、客户信息不被披露保证信息的正确性及不被非授权篡改和删除。举例:计费纪录被恶意修改;交易信息被删除;公司主页被篡改;日志文件被删除保证经授权的用户当需要访问信息的时候就能够访问到。举例:如果公司的业务被拒绝服务造成网络中断,用户无法使用我们的业务。完整性保密性可用性信息安全什么是信息安全?为什么信息安全如此重要?•如果不进行信息安全保护,就会遭受商业上的损失!安全事件造成的损失哪些人会威胁到公司的信息安全?–外国政府和企业:国家在政治、经济方面的信息战!–竞争对手:法制环境不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)!–黑客:黑客攻击越来越频繁,直接影响企业正常的业务运作!–内部员工:1、信息安全意识薄弱的员工误用、滥用等;2、越权访问,如:系统管理员,应用管理员越权访问数据;3、内部员工利用工作便利,非法盗取QQ号码、Q币,非法查看用户隐私;4、内部不稳定、情绪不满的员工。如:员工离职带走企业秘密安全风险评估模型木桶理论•板不够长,可以通过培训提高•板腐烂了,只能去除该木板案例1•员工安全意识和技术不够,导致某运维机器被蠕虫感染,导致公司业务受到影响,受到公司的降薪处罚,同时对该员工强化了安全培训。案例2•公司通过安全系统发现某员工利用工作便利,盗取用户的QQ号码,破坏用户利益,影响公司形象。该员工被公司开除,并受到了法律的制裁。案例3•某员工窃取公司的开发的产品代码、资料并在外部开设公司进行运营。损坏了公司的利益,该员工被公司开除,并受到了法律的制裁。大山原理任凭风吹雨打,我自巍然不动提高自身安全意识•不通过email传输敏感信息,敏感信息加密以后再传输•不借用帐号、不随意说出密码•敏感信息不要随意地放置,打印或复印的敏感资料要及时取走•离开电脑时记得锁屏与清除桌面•不在公司外部讨论敏感信息•发现安全问题及时报告加强计算机安全•设置复杂密码•根据安全规范进行安全设置•及时安装补丁•安装防病毒软件并及时更新•不随意下载安装软件,防止恶意程序、病毒及后门等黑客程序•……《毛泽东选集》:革命战争是群众的战争,只有动员群众才能进行战争,只有依靠群众才能进行战争。全民皆兵我们的使命:为腾讯腾飞保驾护航对外:防范外部攻击,提高自身产品和服务的安全级别,降低天灾人祸风险,为用户提供稳定、可靠的服务对内:制定信息安全管理规定,规范信息安全行为,保护公司信息资产,保障公司的核心竞争力信息安全:建立相关关系,降低国家安全政策、事件对我们公司造成的影响,创造对公司发展有利的环境安全中心使命安全中心定位•消防局–提高员工的安全意识–制定安全措施,规范业务的设计、规划、开发、测试和运营,并定期检查,及时发现并消除安全隐患,快速解决安全事故。请与我们联系•如果你发现:–公司的安全漏洞–公司的信息资产遭受盗窃或者破坏–其他信息安全事件