信息安全基础培训课程.ppt

全员安全意识培训;从《别忘了关门》的故事说起…… ;另眼看信息安全; 安全意识（Security awareness） 就是能够认知可能存在的安全问题，明白安全事故对组织的危害，恪守正确的行为方式，并且清楚在安全事故发生时所应采取的措施。;;议题;理解和铺垫;什么是信息?;C;信息安全的实质;;以下安全事件是否曾经发生?;犯过以下的错误吗？;想想这些错误存在哪些潜在问题？您会如何应对?;从自身做起;趣味游戏----找错;Internet使用安全 警惕社会工程学 介质安全、笔记本电脑及个人数据安全 重要信息的保密 口令安全 信息交换与备份安全 计算机及网络访问安全 工作环境及物理安全要求;病毒与恶意代码防护;病毒 Virus;网络 系统缺陷 移动存储设备 软件被他人恶意捆绑 恶意欺骗 操作疏忽;网络;大多数病毒都是通过系统缺陷传播 冲击波 震荡波 尼姆达 魔鬼波 ;由于移动存储设备经常被多个电脑使用，所有病毒设计者就利用这点进行小范围传播。 移动硬盘 软盘 光盘 U盘 （最近正流行，双击无法打开硬盘、右键菜单多Auto…）;计算机病毒怎么来;如果你收到这样一封Email ;通过IM发送链接或附件，引诱用户打开链接或接收附件，从而感染病毒;恶意代码防范策略;电子邮件;Email安全策略;接收邮件注意……;如果同样的内容可以用普通文本正文，就不要用附件 尽量不要发送.doc, .xls等可能带有宏病毒的文件 不要回覆由匿名寄件者寄来的邮件 不要在公开网站例如搜寻引擎、聊天室等披露你的邮件地址 不要使用字典里简单的字和通用的姓名作为邮件地址 发送不安全的文件之前，先进行病毒扫描 不要参与所谓的邮件接龙 尽早安装系统补丁，防止自己的系统成为恶意者的跳板 可以使用口令或加密软件发送安全级别较高的的邮件 ;Internet使用安全 警惕社会工程学 介质安全、笔记本电脑及个人数据安全 重要信息的保密 口令安全 信息交换与备份安全 计算机及网络访问安全 工作环境及物理安全要求;网络钓鱼;通过邮件诱使收件人相信邮件是来自合法机构或合法个人， 通常会使用以下方法进行攻击 ： 在收件人???电脑安装暗藏于电邮附件的特洛伊程式或蠕虫，以寻找安全弱点及漏洞或拍下系统快照，藉以取得收件人的个人资料。 使用键盘测录程式之类的间谍软件，撷取收件人的电脑资料，然后发送给骗徒。 使诈搏取收件人信任，诱使收件人浏览看似合法网站的欺诈网站，并在站内的表格输入个人资料。 ;电子邮件欺骗的特点;网站欺骗的特点;仿冒诈骗网站;防范措施;其它欺骗方式; “人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话……” —— Kevin Mitnick;什么是社会工程学;常见方式;社会工程flash;Internet使用安全 警惕社会工程学 介质安全、笔记本电脑及个人数据安全 重要信息的保密 口令安全 信息交换与备份安全 计算机及网络访问安全 工作环境及物理安全要求;移动介质带来的风险;笔记本电脑与远程办公安全;介质安全管理;Internet使用安全 警惕社会工程学 介质安全、笔记本电脑及个人数据安全 重要信息的保密 口令安全 信息交换与备份安全 计算机及网络访问安全 工作环境及物理安全要求;Owner;;帐户与口令安全;为什么口令很重要;脆弱的口令……;建议……;信息交换备份安全;信息交换安全;信息备份安全;计算机与网络访问;计算机网络访问安全（举例）;工作环境与物理安全;工作环境安全;要点总结！;加强敏感信息的保密 留意物理安全 遵守法律法规和安全策略 公司资源只供公司所用 保守口令秘密 谨慎使用internet和Email 加强人员安全管理 识别并控制第三方风险 加强防病毒措施 有问题及时报告 ;人们经常会误认为;仅仅通过技术手段就可以解决安全问题 北京移动充值卡泄漏事件;信息安全就是网络安全 只要防止黑客入侵和病毒就可以了 信息安全只要保证公司的机密信息不被泄露，即保证信息的保密性;解决安全问题搞运动 问题严重了，搞个运动 运动过了，可以歇歇;信息安全与业务无关 信息安全事务上的投入是没有价值的，只会给工作带来麻烦 信息安全是业务之外多余的工作，日常的业务流程无须考虑信息安全 系统或者网络安全失效，不会造成业务上的财务损失 ;小结：正确的认识;本次培训小结; 确保敏感信息免遭窃取、丢失、非授权访问、非