信息安全技术系列培训信息安全意识PPT课件.ppt

信息安全技术系列培训信息安全意识 信息安全技术系列培训信息安全意识 信息安全技术系列培训信息安全意识 新员工培训 ——信息安全意识 安全中心 Benjurryji 2005年08月 本课程目的 了解信息安全的重要性 提高信息安全意识 了解常用的安全防范方法 后续课程安排 程序开发安全 CGI 安全 程序安全 运维安全 《安全运维意识》　 《网络基础》　 《操作系统、应用配置》　 《腾讯安全制度体系》 《 高危端口基本屏蔽原则》 《CGI基本安全原则》 《架构安全设计》 …… 什么是信息 信息是一种资产，就如同其他的商业资产一样，对一个组织而言是具有价值的，因而需要妥善保护 包括商业秘密、文档、文件、图纸、数据专利、标准、管理制度等。 信息是有等级 思考 公司有哪些重要的信息资产？ QQ号码 Q币 用户隐私 产品代码 产品开发计划 公司商业信息 财务数据 保证信息只能够由得到授权的人访问。 举例：公司产品代码不被恶意泄漏；商务合同、报价、客户信息不被披露 保证信息的正确性及不被非授权篡改和删除。 举例：计费纪录被恶意修改； 交易信息被删除；公司主页被篡改；日志文件被删除 保证经授权的用户当需要访问信息的时候就能够访问到。 举例：如果公司的业务被拒绝服务造成网络中断，用户无法使用我们的业务。 完整性 保密性 可用性 信息安全 什么是信息安全？ 为什么信息安全如此重要？ 如果不进行信息安全保护，就会遭受商业上的损失！ 安全事件造成的损失 哪些人会威胁到公司的信息安全？ 外国政府和企业：国家在政治、经济方面的信息战！ 竞争对手：法制环境不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）！ 黑客：黑客攻击越来越频繁，直接影响企业正常的业务运作！ 内部员工：1、信息安全意识薄弱的员工误用、滥用等；2、越权访问，如：系统管理员，应用管理员越权访问数据；3、内部员工利用工作便利，非法盗取QQ号码、Q币，非法查看用户隐私；4、内部不稳定、情绪不满的员工。如：员工离职带走企业秘密 安全风险评估模型 木桶理论 板不够长，可以通过培训提高 板腐烂了，只能去除该木板 案例1 员工安全意识和技术不够，导致某运维机器被蠕虫感染，导致公司业务受到影响，受到公司的降薪处罚，同时对该员工强化了安全培训。 案例2 公司通过安全系统发现某员工利用工作便利，盗取用户的QQ号码，破坏用户利益，影响公司形象。该员工被公司开除，并受到了法律的制裁。 案例3 某员工窃取公司的开发的产品代码、资料并在外部开设公司进行运营。损坏了公司的利益，该员工被公司开除，并受到了法律的制裁。 大山原理 任凭风吹雨打，我自巍然不动 提高自身安全意识 不通过email传输敏感信息，敏感信息加密以后再传输 不借用帐号、不随意说出密码 敏感信息不要随意地放置,打印或复印的敏感资料要及时取走 离开电脑时记得锁屏与清除桌面 不在公司外部讨论敏感信息 发现安全问题及时报告 加强计算机安全 设置复杂密码 根据安全规范进行安全设置 及时安装补丁 安装防病毒软件并及时更新 不随意下载安装软件，防止恶意程序、病毒及后门等黑客程序 …… 《毛泽东选集》：革命战争是群众的战争，只有动员群众才能进行战争，只有依靠群众才能进行战争。 全民皆兵 * * 信息安全技术系列培训信息安全意识