信息安全风险意识培训.ppt

信息安全风险意识培训 北京首都国际机场股份有限公司 信息技术部 * * 什么是信息？ 信息是一种资产，就像其它重要的业务资产一样，对于组织是有价值的，应当被适当的保护。 信息包括以下形式： 打印或写在纸上的内容 电子形式存储的内容 通过电子方式传递的内容 影像 谈话资料 * * 什么是信息安全？ 信息安全是对信息进行保护，以避免各种不同的威胁，从而保证业务的连续性，降低对于业务的损害，使得对于业务的投资可以获得最大的回报。 保护信息的： 保密性 确保信息只能够被经授权的人员访问。 完整性 保护信息和处理流程的准确性和一致性。 可用性 确保当授权的用户需要访问信息时，信息是可以被访问到的。 * * 利用管理上的漏洞 典型的社会工程攻击过程：未被授权的访问很大程度上由于口令过于简单；密码被攻破会引起用户身份被冒充及严重的业务信息的泄漏 * * 我们最常问的问题 目前的信息安全形势真的有那么严重吗？ 这些信息安全风险、漏洞有技术专家帮我解决，和我有什么关系？ 我们使用的专用系统没有连接Internet，是不是就没有风险了？ * * 了解我们的对手 职业黑客网上揽生意，揭秘黑色产业链 * * 新型攻击的特点 新型病毒的特点 破坏→控制 可见→隐蔽 陆续发作→同时发作 单纯的破坏→追逐利益 新型黑客的特点 爱出风头的年轻人→严密的组织 技术研究、出风头→经济利益，国家利益 * * 信息安全从来不是一个人的事 信息安全防范技术永远落后于攻击技术。 70％的信息安全事件是由于内部员工的疏忽或有意泄密造成的。 * * 国家对于信息安全的高度重视 中华人民共和国公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发： 《关于开展全国重要信息系统安全等级保护定级工作的通知 》 “谁管理，谁负责”；“谁使用，谁负责” * * 在你最想不到的地方 不可思议的黑客攻击 信息系统从原来的严密看守，专家技术到现在的黑客技术无处不在，黑客也无处不在。 员工、伙伴、顾问。 不安全的操作、口令泄密、报复。 * * 常用的信息安全技术 密码技术 防火墙技术 入侵检测技术 虚拟专用网技术 信息伪装技术 * * 小游戏：“暗算” 密码本： a01、b02、c03、d04、e05、f06、g07 h08、i09、j10、k11、l12、m13、n14 o15、p16、q17 r18、s19、t20 u21、v22、w23 x24、y25、z26 请将“你好”加密 请将“02050910091407”解密 * * 答案 你好→nihao → 1409080115 02050910091407 → beijing →北京 * * 风险防范，从我做起 相信专家制定的信息安全相关管理规定并认真执行，这是对国家负责，对公司负责，也是对自己负责。 * * 某公司 IT security 主页 * * 某公司内部安全管理实例 * * 某公司内部使用的安全标准 Computer Security and Use Guidelines for XXX Employees (ITCS300) 公司员工个人计算机安全标准及使用规范 Security Standards for Providers of Network and Computing Services (ITCS204) 公司内部网络和IT系统安全标准 Security Guidelines for Inter-Enterprise Services (ITCS302) 与外部合作伙伴及Internet互连安全标准 Classification control of XXX information （ Legal 116 ）公司信息资产分类和控制标准 * * 机场信息安全组织结构 1. 机场信息安全委员会 针对安全方案提出建议 定期评估成员单位安全绩效，并提出改进建议和奖惩措施 制订机场安全规划和核心安全的战略 2. 信息技术管理部 制定落实机场信息安全规范 部署信息安全防护体系 监管机场信息安全运行情况 2.1. 信息安全室 制定具体信息安全工作计划 组织开展信息安全培训 组织开展信息安全风险评估 进行信息安全内部审核 3. 公司各部门 执行机场信息安全规范和流程 管辖范围内信息安全并进行绩效落实 对存在的信息安全风险进行具体整改 4. 机场各驻场单位 执行机场信息安全规范和流程 管辖范围内信息安全并进行绩效落实 对存在的信息安全风险进行具体整改 5. 信息安全检