网络与信息安全意识培训-202308-脱敏.pptx

网络与信息安全意识培训内部培训，请勿扩散引言篇安全事件介绍法规篇目录介绍工作生活息息相关的法律法规场景篇Contents常见的工作场景安全防范互动篇培训过程中的安全场景问答引言篇01什么是信息安全事件？安全事件有什么危害？什么是信息安全？信息安全是采取技术与管理措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。信息安全三要素(C.I.A)机密性(Confidentiality)：客体不会被泄露给未经授权的主体完整性(Integrity)：客体保持真实性且只被经过授权的主体进行有目的的修改可用性(Availability)：被授权的主体能实时和不间断地访问客体近年来随着信息安全技术的发展，不可否认性也被加入到了信息安全要素中，成为第四要素不可否认性(non-repudiation)：确保事件的主体或引发事件的人不能否认事件的发生。1、微盟删库事件微盟研发中心运维部核心运维人员贺某因“生活不如意、无力偿还网贷”等原因，于2020年2月23日晚19点通过个人VPN登入公司内网跳板机，对微盟线上生产环境进行了恶意的破坏（4分钟便将微盟服务器内数据全部删除）。当天微盟市值蒸发9亿元，筹集1.5亿元赔付商家。2、中国电信超2亿条用户信息被卖2020年1月3日中国裁判文书网公布了《陈德武、陈亚华、姜福乾等侵犯公民个人信息罪二审刑事裁定书》。经法院二审审理查明：2013年至2016年9月27日，被告人陈亚华从号百信息服务有限公司（为中国电信股份有限公司的全资子公司）数据库获取区分不同行业、地区的手机号码信息提供给陈德武，被告人陈德武以人民币0.01元/条至0.2元/条不等的价格在网络上出售，获利金额累计达人民币2000余万元，涉及公民个人信息2亿余条。3、教育行业已成为勒索病毒攻击的首要目标2023年2月，360数字安全集团联合光明网网络安全频道发布《2022勒索软件流行态势报告》，从勒索软件受害者所属行业来看，排名靠前的分别是教育、软件与互联网、制造和服务业。其中受网课课程量、平台和相关软件使用等因素影响，教育行业首次冲到榜首。4、电信诈骗2016年，山东徐玉玉因被电信诈骗骗走9900元学费，心脏骤停不幸离世。不法份子通过非法手段入侵山东省高考网报名系统并获取其中的考生个人资料，然后冒充教育局和有关部门，通过电话实施诈骗行为。威胁来自什么地方？木马后门内部人员威胁黑客渗透流氓软件病毒和蠕虫拒绝服务安冉云信息资产病毒、蠕虫木马后门黑客渗透信息泄露，网络攻击内部人员威胁社会工程逻辑炸弹系统漏洞监控系统门户网站Mail系统网络嗅探智能运营文件系统财务系统社会工程大学掌OA系统客服系统硬件故障地震网络通信故障雷电失火供电中断安全事件起因分析信息资产安全事件起因分析系统、程序、设备中存在的漏洞或缺陷?技术弱点配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份过程的不当等?操作弱点?管理弱点策略、程序、规章制度、人员意识、组织结构等方面的不足企业安全事件起因分析20-30%70-80%78%由黑客入侵或其他外部原因造成由于内部员工的疏忽或有意泄露造成的来自内部员工的不规范操作根据安全咨询机构波耐蒙研究所(PonemonInstitute)的调查表明：20-30%的企业安全事件是由于黑客入侵或者其他的外部原因造成的，70-80%的企业安全事件是由于内部员工疏忽或有意泄露造成的。78%的人来自于内部员工的不规范操作。法规篇02什么是敏感信息？1、各项法规网络安全法通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故。个人信息保护法采取措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。刑法刑法第二百五十三条之一规定的“公民个人信息”,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。数据安全法、民法典。。。2、网络安全法第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。第二十五条网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病