课件：信息安全意识培训.ppt

* * * * * * * * * * * * * * * * * * * - * k * * * * * * * * * * * * * * * * * * * * * * * * * * 保护自己的身体，那是革命的本钱！为什么也要保护员工，员工掌握大量的重要信息，曾有CISSP的考题问我们，机房火灾首先保护什么：人身安全。 * * * 比较复杂的利益链，绝大部分动机出于获取利益的考虑。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 电子邮件安全 带上一把猎枪 * * 不当使用Email可能导致法律风险 禁止发送或转发反动或非法的邮件内容 不得伪造虚假邮件，不得使用他人账号发送邮件 未经许可，不得将属于他人邮件的消息内容拷贝转发 与业务相关的Email应在文件服务器上做妥善备份，专人负责检查 包含客户信息的Email应转发主管做备份 个人用途的Email不应干扰工作，并且遵守本策略 避免通过Email发送机密信息，如果需要，应采取必要的加密保护措施 Email安全 带上一把猎枪 * * 不安全的文件类型：绝对不要打开任何以下文件类型的邮件附件：.bat, .com, .exe, .vbs 未知的文件类型：绝对不要打开任何未知文件类型的邮件附件，包括邮件内容中到未知文件类型的链接 微软文件类型：如果要打开微软文件类型（例如 .doc, .xls, .ppt等）的邮件附件或者内部链接，务必先进行病毒扫描 要求发送普通的文本：尽量要求对方发送普通的文本内容邮件，而不要发送HTML格式邮件，不要携带不安全类型的附件 禁止邮件执行Html代码：禁止执行HTML内容中的代码 防止垃圾邮件：通过设置邮件服务器的过滤，防止接受垃圾邮件 尽早安装系统补丁：杜绝恶意代码利用系统漏洞而实施攻击 接收邮件注意…… 带上一把猎枪 * * 如果同样的内容可以用普通文本正文，就不要用附件 尽量不要发送.doc, .xls等可能带有宏病毒的文件 发送不安全的文件之前，先进行病毒扫描 不要参与所谓的邮件接龙 尽早安装系统补丁，防止自己的系统成为恶意者的跳板 可以使用PGP等安全的邮件机制 发送邮件注意…… 带上一把猎枪 * * 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 介质安全管理 带上一把猎枪 * * 介质安全管理 创建 传递 销毁 存 储 使用 更改 带上一把猎枪 * * 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 警惕社会工程学 带上一把猎枪 * * Social Engneering 利用社会交往（通常是在伪装之下）从目标对象那里获取信息 例如： 电话呼叫服务中心 在走廊里的聊天 冒充服务技术人员 著名黑客Kevin Mitnick更多是通过社会工程来渗透网络的，而不是高超的黑客技术 什么是社会工程学 人是最薄弱的环节！ 带上一把猎枪 * * 不要轻易泄漏敏感信息，例如口令和账号 在相信任何人之前，先校验其真实的身份 不要违背公司的安全策略，哪怕是你的上司向你索取个人敏感信息（Kevin Mitnick最擅长的就是冒充一个很焦急的老板，利用一般人好心以及害怕上司的心理，向系统管理员索取口令） 不要忘了，所谓的黑客，更多时候并不是技术多么出众，而是社会工程的能力比较强 社会工程学 带上一把猎枪 * * 重要信息的保密 信息交换及备份 软件应用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 应急响应和BCP 带上一把猎枪 * * 断电 断水 恐怖袭击 人员伤亡 设施毁坏 火灾 水灾 第一时间可以找谁？ 具体联络方式？ 灾难发生时合理的应对 关键是确保人员安全 重大灾害发生时的应急考虑 带上一把猎枪 * * 网络通信中断 服务器崩溃 严重的数据 泄漏或丢失 计算机网络