內(nèi)容大綱什么是信息安全123信息安全意識(shí)如何做好信息安全第一頁，共47頁。什么是信息安全

采取措施保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。第二頁，共47頁。什么是信息信息是公司經(jīng)營重要的資產(chǎn)。對于現(xiàn)代企業(yè)來說，信息是一種資產(chǎn)，包括電子文件、紙質(zhì)文件、圖紙、標(biāo)準(zhǔn)、專利、報(bào)價(jià)短信消息、電話匯報(bào)等，信息資產(chǎn)是具有重要價(jià)值。第三頁，共47頁。以下哪些屬于信息?數(shù)據(jù)專利計(jì)算機(jī)文件聲音紙什么是信息第四頁，共47頁。信息安全意識(shí)

信息安全意識(shí)（InformationSecurityAwareness），就是能夠認(rèn)知可能存在的信息安全問題，預(yù)估信息安全事故對組織的危害，恪守正確的行為方式，并且執(zhí)行在信息安全事故發(fā)生時(shí)所應(yīng)采取的措施。第五頁，共47頁。信息安全的目標(biāo)保密性完整性可用性確保信息及資源在有需要的時(shí)候可以正常使用。確保信息在生成、傳輸、保存過程中不會(huì)被惡意修改。確保信息在生成、傳輸、保存過程中不會(huì)被泄漏。第六頁，共47頁。一般秘密機(jī)密絕密信息保密級別定義第七頁，共47頁。我們的目標(biāo)建立對信息安全的敏感意識(shí)和正確認(rèn)識(shí)掌握信息安全的基本概念、原則和慣例清楚可能面臨的威脅和風(fēng)險(xiǎn)遵守各項(xiàng)安全策略和制度在日常工作中養(yǎng)成良好的安全習(xí)慣最終提升整體的信息安全水平第八頁，共47頁。z信息安全1.物理安全2.密碼安全4.上網(wǎng)行為安全3.傳輸安全信息安全管理措施第九頁，共47頁。物理安全安全目標(biāo)防止物理設(shè)備在未授權(quán)的情況下被訪問、或損壞，確保硬件的絕對安全，盡量做到點(diǎn)對點(diǎn)，減少中間的流轉(zhuǎn)環(huán)節(jié)。盡量對移動(dòng)存儲(chǔ)器中的內(nèi)容進(jìn)行加密設(shè)置，防止未授權(quán)人員對其進(jìn)行訪問。第十頁，共47頁。物理安全案例說明1、全球每隔53秒鐘就會(huì)有一臺(tái)筆記本電腦失竊——SoftwareInsurance；

2、97%的失竊筆記本電腦都沒有希望找回——FBI

3、你的筆記本電腦失竊的幾率為10%，這意味著每十個(gè)人中就有一個(gè)人會(huì)丟失筆記本電腦——GartnerGroup

4、……

惠普公司提供服務(wù)的富達(dá)投資公司的幾名員工在公司以外場所使用時(shí)被盜的。

這臺(tái)筆記本電腦中儲(chǔ)存了惠普公司的19.6萬現(xiàn)有員工和以前員工的相關(guān)資料。具體資料包括員工姓名、地址、社會(huì)保險(xiǎn)號、生日和其他一些與員工有關(guān)的資料。第十一頁，共47頁。物理安全案例說明2006年5月，美國退伍軍人事務(wù)部的一名員工家被盜，其中丟失的一臺(tái)筆記本電腦中存有包括自1975年以來大約2650萬名美國退伍軍人及其部分家屬的姓名、出生日期和社會(huì)安全號碼等個(gè)人信息，甚至還包括這些退伍軍人的配偶、身體健康狀況等。盡管有前車之鑒，但類似的事件仍然層出不窮。據(jù)統(tǒng)計(jì)丟失一臺(tái)未加密的商用電腦損失平均達(dá)30萬人民幣第十二頁，共47頁。物理安全控制措施物理區(qū)域設(shè)置門衛(wèi)或門禁，非工作人員出入需登記；嚴(yán)禁所有人員攜帶個(gè)人電腦進(jìn)入公司，客戶及供應(yīng)商電腦如需要進(jìn)入公司需進(jìn)行登記，禁止接入公司網(wǎng)絡(luò)；所有人員不得將門禁卡借與他人使用；人員下班或較長時(shí)間離開房間時(shí)，房間門上鎖；文件柜、保險(xiǎn)柜、檔案柜上鎖；打印/復(fù)印后要及時(shí)取走；作廢的機(jī)密文檔要以碎紙機(jī)碎掉或撕成碎塊，不要直接作為垃圾丟棄；個(gè)人宿舍員工個(gè)人電腦僅限于宿舍區(qū)內(nèi)使用。第十三頁，共47頁。物理安全移動(dòng)介質(zhì)是最經(jīng)常丟失引起數(shù)據(jù)泄露最方便的方式。移動(dòng)介質(zhì)包括：筆記本電腦、掌上型電腦、移動(dòng)硬盤、U盤、光盤、磁帶、存儲(chǔ)卡及帶有數(shù)據(jù)存儲(chǔ)功能的可移動(dòng)設(shè)備（如MP3播放器，智能手機(jī)）等。第十四頁，共47頁。物理安全個(gè)人移動(dòng)存儲(chǔ)設(shè)備嚴(yán)禁帶入公司內(nèi)部網(wǎng)絡(luò)使用?？刂拼胧┑谑屙摚?7頁。z信息安全1.物理安全2.密碼安全4.上網(wǎng)行為安全3.傳輸安全信息安全管理措施第十六頁，共47頁。密碼安全安全目標(biāo)防止口令被破解而導(dǎo)致感染病毒，或中木馬；防止口令被破解而導(dǎo)致泄露公司敏感信息。病毒Virus木馬Trojan第十七頁，共47頁。密碼安全案例說明破解Windows操作系統(tǒng)口令；14位數(shù)字口令：只需3秒即可破解；5位字母口令：只需60秒即可破解；破解電子郵箱口令；破解時(shí)間與口令復(fù)雜度有關(guān)；簡單口令：只需30秒即可破解。第十八頁，共47頁。密碼安全案例說明相冊密碼被破解，不雅照片流傳；電腦密碼被破解，重要資料被泄露；QQ密碼被破解，向QQ上的好友借錢。第十九頁，共47頁。密碼安全事件分析簡單口令是不安全的，很容易被破解；口令被破解后的影響非常嚴(yán)重，會(huì)導(dǎo)致；信息被泄露；行為被監(jiān)控；機(jī)器被操制；成為新的病毒傳染源；成為新的木馬擴(kuò)散點(diǎn)。第二十頁，共47頁。密碼安全控制措施口令設(shè)置時(shí)應(yīng)避免使用以下組合：生日電話號碼身份證號碼用戶名姓名的拼音英文名其它系統(tǒng)已使用的口令其它容易被別人猜測的內(nèi)容第二十一頁，共47頁。密碼安全控制措施不安全的口令舉例：短口令（少于8個(gè)字符）：okokok簡單數(shù)字口令：11235813簡單英文單詞：desktop簡單英文詞組：comeonbaby姓名拼音+常見數(shù)字：PETER2008帳戶+電話：第二十二頁，共47頁。密碼安全控制措施安全的口令應(yīng)當(dāng)同時(shí)包含以下內(nèi)容：大寫字母小寫字母數(shù)字特殊符號安全的口令長度不能小于8個(gè)字符、應(yīng)定期修改、應(yīng)避免使用歷史口令第二十三頁，共47頁。密碼安全控制措施較安全的口令舉例：一句話口令：9月前，一定要把認(rèn)證通過：9YQ,ydybxrztg!我的口袋有33塊：WoDeKouDaiY33K！神龜雖壽，猶有盡時(shí)：sgss,yyjs第二十四頁，共47頁。密碼安全控制措施定期更改口令，至少每2個(gè)月改一次；防止忘記口令的有效方法是：經(jīng)常輸入口令；離開座位時(shí)，要鎖定或關(guān)閉計(jì)算機(jī)；不要把密碼告訴別人。第二十五頁，共47頁。z信息安全1.物理安全2.密碼安全4.上網(wǎng)行為安全3.傳輸安全信息安全管理措施第二十六頁，共47頁。傳輸安全案例說明利用QQ傳送文件；利用163，sina，yahoo郵箱發(fā)送郵件；利用網(wǎng)絡(luò)U盤傳送文件；利用網(wǎng)絡(luò)FTP傳送文件；重要機(jī)密文件未加密傳輸。第二十七頁，共47頁。傳輸安全控制措施使用公司郵箱、OA系統(tǒng)進(jìn)行信息交流或文件傳送；重要機(jī)密文件進(jìn)行加密處理；重要機(jī)密文件做好定期備份工作。第二十八頁，共47頁。傳輸安全WordExcelWord,excel加密碼方法第二十九頁，共47頁。傳輸安全RAR文件加密RAR加密碼方法第三十頁，共47頁。傳輸安全控制措施如果不希望別人編輯您的文件，可以把文件轉(zhuǎn)換成pdf文件。而且可以根據(jù)需求可對PDF文件進(jìn)行訪問、復(fù)制、打印等權(quán)限進(jìn)行加密處理。第三十一頁，共47頁。傳輸安全123PDF文件加密第三十二頁，共47頁。z信息安全1.物理安全2.密碼安全4.上網(wǎng)行為安全3.傳輸安全信息安全管理措施第三十三頁，共47頁。上網(wǎng)行為安全安全目標(biāo)防止通過網(wǎng)絡(luò)服務(wù)感染病毒。防止通過網(wǎng)絡(luò)泄露公司敏感信息。第三十四頁，共47頁。上網(wǎng)行為安全案例說明使用IE瀏覽器瀏覽種有木馬的網(wǎng)站網(wǎng)頁；計(jì)算機(jī)感染木馬；受到的影響有；盜取文件；監(jiān)控屏幕；修改系統(tǒng)；操控機(jī)器；……其它您想得到和想不到的操作第三十五頁，共47頁。釣魚網(wǎng)站

官方網(wǎng)站上網(wǎng)行為安全案例說明第三十六頁，共47頁。上網(wǎng)行為安全06年10月份左右，許多用戶都收到了一封冒充招商銀行名義的郵件，該郵件以對賬、核實(shí)賬戶消費(fèi)記錄等名義要求客戶登錄招行網(wǎng)站查詢詳情，并提供招行網(wǎng)站的超級鏈接，如果點(diǎn)擊鏈接就會(huì)打開一個(gè)冒充招商銀行的頁面。該網(wǎng)頁不僅從頁面布局及內(nèi)容方面仿冒得很像，足以以假亂真，而且域名也很具有欺騙性。該網(wǎng)站的域名是“”，真招行網(wǎng)站的域名是“”，“cmb”是招行的英文縮寫，而“95555”是使用招行賬戶的用戶都非常熟悉的招行電話銀行號碼，不法分子將cmb與95555組合在一起，就會(huì)讓用戶不會(huì)對它產(chǎn)生懷疑，具有較強(qiáng)的欺騙性。用戶往往誤認(rèn)為自己進(jìn)入了招行的真正網(wǎng)站，其實(shí)用戶所造訪的不過是一個(gè)經(jīng)過精心設(shè)計(jì)的假冒網(wǎng)站而已。案例說明第三十七頁，共47頁。上網(wǎng)行為安全網(wǎng)絡(luò)服務(wù)包括以下等內(nèi)容：網(wǎng)站瀏覽；即時(shí)通信（如QQ、MSN、ICQ等）；文件下載；視頻點(diǎn)播；如果電腦沒有及時(shí)打補(bǔ)丁，沒有安裝防病毒軟件，或沒有及時(shí)更新病毒庫，則很容易在上網(wǎng)時(shí)感染病毒或木馬。第三十八頁，共47頁。上網(wǎng)行為安全39控制措施最簡單但有效的措施：不去訪問不可靠的、可疑的網(wǎng)站；不隨意下載安裝來歷不明的軟件；禁止在網(wǎng)吧訪問公司系統(tǒng)；禁止使用QQ等即時(shí)通訊軟件傳輸文件。第三十九頁，共47頁。上網(wǎng)行為安全控制措施不隨便使用光盤、移動(dòng)硬盤等；不打開可疑文件–尤其是可疑的.EXE；不打開可疑郵件；及時(shí)更新操作系統(tǒng)補(bǔ)丁、應(yīng)用程序、瀏覽器……電腦要安裝防病毒軟件，并及時(shí)更新病毒庫。第四十頁，共47頁。符合性要求

刑法計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例計(jì)算機(jī)病毒防治管理辦法計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法

中國陸續(xù)制定了多部與信息活動(dòng)密切相關(guān)的法律，雖然大多不專門針對網(wǎng)絡(luò)環(huán)境，甚至有些也不針對電子信息，但它們的基本精神對網(wǎng)絡(luò)的建設(shè)、管理以及網(wǎng)絡(luò)中的信息活動(dòng)都有不同程度的指導(dǎo)作用。

保守國家秘密法著作權(quán)法國家安全法反不正當(dāng)競爭法第四十一頁，共47頁。法規(guī)要求案例說明：

27歲的德化人阿德應(yīng)聘到晉江人鞋廠當(dāng)業(yè)務(wù)員，主要負(fù)責(zé)發(fā)展公司客戶和拉訂單。應(yīng)聘時(shí)，雙方還特別約定，阿德在工作期間將公司客戶資料和訂單外泄，竊取和外泄公司商業(yè)秘密；事發(fā)后，阿德賠償鞋廠經(jīng)濟(jì)損失并支付違約金30萬元。

蘋果iPad2的3D設(shè)計(jì)圖檔為商業(yè)秘密，被害公司因商業(yè)秘密泄露造成的直接經(jīng)濟(jì)損失達(dá)人民幣206萬元。2011年3月23日，深圳市寶安區(qū)檢察院以涉嫌侵犯商業(yè)秘密罪對犯罪嫌疑人肖某、林某、侯某提起公訴。第四十二頁，共47頁。法規(guī)要求刑法第２８５條規(guī)定

“違反國家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金?！?/p>

“提供專門用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具，或者明知他人實(shí)施侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰?！毙茇垷悴《臼录?，李俊被判處有期徒刑4年；王磊被判處有期徒刑2年6個(gè)月；張順被判處有期徒刑2年；雷磊被判處有期徒刑一年。第四十三頁，共47頁。法規(guī)要求嚴(yán)禁私自占用、破壞公司電子設(shè)備嚴(yán)禁未經(jīng)授權(quán)發(fā)布公司經(jīng)營情況嚴(yán)禁利用任何網(wǎng)絡(luò)、系統(tǒng)漏洞進(jìn)行破壞行為嚴(yán)禁泄露或交易客戶信息嚴(yán)禁發(fā)送違法信息…其它相關(guān)信息安全管理要求違反上述禁令的員工予以辭退；違反禁令造成嚴(yán)重后果的員工予以開除；違反禁令涉嫌犯罪的員工依法移送司法機(jī)關(guān)；指使他人違反禁令的領(lǐng)導(dǎo)人員、管理者將視同直接違反禁令予以處理；對違禁行為隱瞞不報(bào)、壓案不查、包庇袒護(hù)的，從嚴(yán)追究有關(guān)領(lǐng)導(dǎo)責(zé)任，予以紀(jì)律處分，直至撤職。目前公司已對上網(wǎng)行為記錄、文件傳送記錄、郵件收發(fā)記錄監(jiān)控管理。第四十四頁，共47頁。方便性VS安全性老板的聲音我需要網(wǎng)絡(luò)系統(tǒng)全部都監(jiān)管起來，做到絕對的安全，資料絕對不能泄露到外面去。信息安全做不到絕對的安全，最安全的主機(jī)和系統(tǒng)是把服務(wù)器關(guān)機(jī)，放在一個(gè)10米深的地下室里，放上毒氣，并上鎖。即便這樣，也不絕對的安全。而且工作根本無法開展。員工的聲音現(xiàn)在公司網(wǎng)絡(luò)系統(tǒng)處處受限制，這樣不是嚴(yán)重的影響我們的工作效率嗎？信息安全的確對工作的效率造成一定的影響，但是工作效率再高，沒有信息安全可言，有可能也等于零。比如：做了三天的標(biāo)書，投標(biāo)前報(bào)價(jià)信息泄露被競爭對手獲取