信息安全意识培训课件(经典版).ppt

IDC信息安全意识培训;什么是安全意识？;我们的目标;制作说明;现实教训

追踪问题的根源

掌握基本概念

了解信息安全管理体系

建立良好的安全习惯

重要信息的保密

信息交换及备份

软件使用安全

计算机及网络访问安全

人员及第三方安全管理

移动计算与远程办公

工作环境及物理安全要求

防范病毒和恶意代码

口令安全

电子邮件安全

介质安全管理

警惕社会工程学

应急响应和业务连续性计划

法律法规

寻求帮助;严峻的现实！;在线银行——一颗定时炸弹。

最近，南非的Absa银行遇到了麻烦，它的互联网银行服务发生一系列安全事件，导致其客户成百万美元的损失。Absa银行声称自己的系统是绝对安全的，而把责任归结为客户所犯的安全错误上。Absa银行的这种处理方式遭致广泛批评。那么，究竟是怎么回事呢？

;前因后果是这样的……;间谍软件——eBlaster;我们来总结一下教训;国内金融计算机犯罪的典型案例;怪事是这么发生的……;当然，最终结果不错……;事情的经过原来是这样的……;到底哪里出了纰漏……;;看来，问题真的不少呀……;总结教训……;一起证券行业计算机犯罪案例;事情是这样的……;问题出在哪里……;总结教训……;一个与物理安全相关的典型案例;情况是这样的……;;聪明的张三想出了妙计……;问题出在哪里……;总结教训……;类似的事件不胜枚举;你碰到过类似的事吗？;IDC曾经发生的安全事件;CERT关于安全事件的统计;过去6个月的统计。Source:RiptechInternetSecurityThreatReport.January2002;CSI/FBI对安全事件损失的统计;威胁和弱点;我们时刻都面临来自外部的威胁;人是最关键的因素;黑客攻击，是我们听说最多的威胁！;;世界头号黑客——KevinMitnick;黑客不请自来，乘虚而入;踩点：千方百计搜集信息，明确攻击目标

扫描：通过网络，用工具来找到目标系统的漏洞

DoS攻击：拒绝服务，是一种破坏性攻击，目的是使资源不可用

DDoS攻击：是DoS的延伸，更大规模，多点对一点实施攻击

渗透攻击：利用攻击软件，远程得到目标系统的访问权或控制权

远程控制：利用安装的后门来实施隐蔽而方便的控制

网络蠕虫：一种自动扩散的恶意代码，就像一个不受控的黑客;DoS攻击示例——Smurf;DDoS攻击模型;;威胁更多是来自公司内部;一个巴掌拍不响！;我们自身的弱点不容小视;人最常犯的一些错误;想想你是否也犯过这些错误？;;信息资产对我们很重要，是要保护的对象

外在的威胁就像苍蝇一样，挥之不去，无孔不入

资产本身又有各种弱点，给威胁带来可乘之机

于是，我们面临各种风险，一旦发生就成为安全事件;我们需要去做的就是……;还记得消防战略吗？;理解和铺垫;消息、信号、数据、情报和知识

信息本身是无形的，借助于信息媒体以多种形式存在或传播：

存储在计算机、磁带、纸张等介质中

记忆在人的大脑里

通过网络、打印机、传真机等方式进行传播

信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产：

计算机和网络中的数据

硬件、软件、文档资料

关键人员

组织提供的服务

具有价值的信息资产面临诸多威胁，需要妥善保护;什么是信息安全？;C;企业管理者关注的是最终目标;风险;实现信息安全可以采取一些技术手段;防火墙;但关键还要看整体的信息安全管理;务必重视信息安全管理

加强信息安全建设工作;PDCA信息安全管理模型;可以参考的标准规范和最佳惯例;安全性与方便性的平衡问题;计算机安全领域一句格言：

“真正安全的计算机是拔下网线，断掉电源，放在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”

这样的计算机是没法用了。;正确认识信息安全;整体管理思路;英国标准协会（BritishStandardsInstitute，BSI）制定的信息安全标准。

由信息安全方面的最佳惯例组成的一套全面的控制集。

信息安全管理方面最受推崇的国际标准。;ISO27001标准包含两个部分;什么是信息安全管理体系？;IDC建立信息安全管理体系的目的;信息安全方针——IDC的“宪法”;控制对内外部网络服务的访问，保护网络化服务的安全性与可靠性，防止重要信息泄漏。;IDC的信息安全组织架构;1、字体安装与设置