企业信息安全培训课件(管理层)

企业信息安全企业信息安全1目录页安全信息概述一企业信息安全作用二企业信息安全威胁因素三信息安全工作职责四五如何保证企业信息安全目录页安全信息概述一企业信息安全作用二企业信息安全威胁因素三2信息安全：保障计算机及相关的和配套的设备、设施（网络）的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机系统的安全。企业信息化：企业信息化是指企业广泛利用现代信息技术，充分开发和利用企业内部或外部的，企业可能得到和利用的，并与企业生产经营活动有关的各种信息，以便及时把握机会，做出决策，增进运行效率，从而提高企业竞争力水平和经济效益的过程。一、信息安全概述1信息安全2企业信息化3企业信息化特征4企业信息化内容一、信息安全概述1信息安全2企业信息化3企业信息4企业信息3保密性：确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用完整性：确保信息没有遭到篡改和破坏可用性：确保拥有授权的用户或程序可以及时、正常使用信息一、信息安全概述1信息安全2企业信息化3企业信息化特征4企业信息化内容一、信息安全概述1信息安全2企业信息化3企业信息4企业信息4一、信息安全概述1信息安全2企业信息化3企业信息化特征4企业信息化内容保密性！不该知道的人，不让他知道！完整性！信息不能追求残缺美！可用性！信息要方便、快捷！不能像某国首都二环早高峰，也不能像春运的火车站一、信息安全概述1信息安全2企业信息化3企业信息4企业信息保5实体安全：是保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。实际上，实体安全是指环境安全、设备安全和媒体安全。运行安全：是为了保障系统功能的安全实现，提供的一套安全措施来保护信息处理过程的安全。为了保障系统功能的安全，可以采取风险分析、审计跟踪、备份与恢复、应急处理等措施。信息资产安全：是防止信息资产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即确保信息的完整性、可用性、保密性和可控性。信息资产包括文件、数据等。信息资产安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别等。人员安全：主要是指信息系统使用人员的安全意识、法律意识、安全技能等。人员的安全意识是与其所掌握的安全技能有关，而安全技能又与其所接受安全技能培训有关。因此，人员的安全意识是通过培训，以及安全技能的积累才能逐步提高，人员安全在特定环境下、特定时间内是一定的。一、信息安全概述1信息安全2企业信息化3企业信息化特征4企业信息化内容实体安全：是保护计算机设备、设施（含网络）以及其他媒体免遭地6围绕企业使命一、信息安全概述1信息安全2企业信息化3企业信息化特征4企业信息化内容企业利益企业公民责任客户权益企业使命客户权益企业利益企业公民责任

主要内容正当消费、交易行为个人隐私信息个人资金、虚拟财产

主要内容企业运营秩序企业竞争力企业资产保障

主要内容契约精神法律、法规符合监管要求围绕作用关系围绕企业使命一、信息安全概述1信息安全2企业信息化3企业信息71、提高企业经营管理信息的准确性和及时性，有助于企业决策的进一步科学化。2、促使企业业务办事程序和管理程序更加合理，从而有助于增强企业的快速反应能力。3、进一步促进企业资源的合理组合及利用，使其在现有资源条件下达到最佳利用效果，从而大大提高企业的生产经营效率和管理效率。4、给企业提供一个的强大、快捷的信息交流平台，有助于我们紧紧跟踪一些先进经验和成果，从而有助企业的发展，提高员工的创新能力。二、企业信息安全作用互联网时代1、提高企业经营管理信息的准确性和及时性，有助于企业决策的进82010年1-2月，基础电信企业互联网宽带接入用户净增359.3万户，达到10681.8万户1-4月，我国生产生产手机23290万部，增长34.5%;微型计算机7112万台，增长50.1%，其中笔记本电脑增长50.6%;集成电路190亿块，增长78.5%1-4月，我国累计实现软件业务收入3626亿元，同比增长28.7%。信息技术增值服务收入同比增长38.1%。集成电路设计开发收入228亿元，同比增长63%。软件产品、系统集成和支持服务、信息技术咨询和管理服务、嵌入式系统软件、分别实现1333、728、320和638亿元，分别增长27%、25.1%、26.3%、23%。我国信息化迅猛发展的数据体现？2010年1-2月，基础电信企业互联网宽带接入用户净增35991、安全保障体系建设的主要贡献者.

-安全保障体系的设计与构建；包含：技术体系和管理体系。-安全合规基线的解读及实现策略的设定。-安全培训、宣导系统的建设。2、安全保障体系运行状况的检查者.

-安全管理、技术举措的执行效果-安全管理、技术举措的适用度

-安全体系PDCA的状态-安全巡检工作开展

-安全事件的事后审势3、安全合规、事件处置的支持者.

-生产运行活动-商业行为活动-安全事件的响应

-安全合规、整改活动三、企业信息安全工作人员职责1、安全保障体系建设的主要贡献者.三、企业信息安全工作人员职10四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素信息资产拒绝服务逻辑炸弹黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统Bug硬件故障网络通信故障供电中断失火雷雨地震四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素信11四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素1、系统的繁杂性。体现：工作站中存在信息数据、移动介质、网络中其他系统、网络中其他资源、访问Internet、访问其他局域网、到Internet的其他路由、电话和调制解调器、开放的网络端口、远程用户、厂商和合同方的访问、访问外部资源、公共信息服务、运行维护环境2、系统、程序、设备中存在的漏洞和缺陷体现：旧版本的浏览器和易受攻击的插件、包含不良内容的好网站、移动应用程序和不安全的Web、不安全的“物联网”四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素112四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素自然因素的破坏是一种不可抵抗的破坏力，只能做好预防方针，防患于未然。自然灾害火灾雷电洪水台风四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素自13四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素人是最关键的因素判断威胁来源，综合了人为因素和系统自身逻辑与物理上诸多因素在一起，归根结底，还是人起着决定性的作用正是因为人在有意（攻击破坏）或无意（误操作、误配置）间的活动，才给信息系统安全带来了隐患和威胁四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素人14四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素黑客等企业外部人员的威胁了解一些黑客攻击手段很有必要踩点：千方百计搜集信息，明确攻击目标扫描：通过网络，用工具来找到目标系统的漏洞DoS攻击：拒绝服务，是一种破坏性攻击，目的是使资源不可用DDoS攻击：是DoS的延伸，更大规模，多点对一点实施攻击渗透攻击：利用攻击软件，远程得到目标系统的访问权或控制权远程控制：利用安装的后门来实施隐蔽而方便的控制网络蠕虫：一种自动扩散的恶意代码，就像一个不受控的黑客踩点扫描破坏攻击渗透攻击获得访问权获得控制权清除痕迹安装后门远程控制转移目标窃密破坏四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素黑15出生于1964年

15岁入侵北美空军防务指挥系统，窃取核弹机密入侵太平洋电话公司的通信网络入侵联邦调查局电脑网络，戏弄调查人员

16岁被捕，但旋即获释入侵摩托罗拉、Novell、Sun、Nokia等大公司与联邦调查局玩猫捉老鼠的游戏

1995年被抓获，被判5年监禁获释后禁止接触电子物品，禁止从事计算机行业世界头号黑客——KevinMitnick出生于1964年世界头号黑客——KevinMitni16四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素威胁更多是来自公司内部黑客虽然可怕，可更多时候，内部人员威胁却更易被忽略，但却更容易造成危害。管理弱点：策略、程序、规章制度、人员意识、组织结构等的不足

据权威部门统计，内部人员犯罪（或与内部人员有关的犯罪）占到了计算机犯罪总量的70%以上。员工误操作蓄意破坏公司资源私用四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素威17将口令写在便签上，贴在电脑监视器旁开着电脑离开，就像离开家却忘记关灯那样轻易相信来自陌生人的邮件，好奇打开邮件附件使用容易猜测的口令，或者根本不设口令丢失笔记本电脑不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息随便拨号上网，或者随意将无关设备连入公司网络事不关己，高高挂起，不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁，忽视企业内部人员的问题人最常犯的一些信息安全错误将口令写在便签上，贴在电脑监视器旁人最常犯的一些信息安全错误18五、如何保证企业信息安全1培养员工安全意识2制定企业信息安全管理制度外因是条件内因才是根本！一个巴掌拍不响！提高人员安全意识和素质势在必行！五、如何保证企业信息安全1培养员工安全意识2制定企业信息安全19五、如何保证企业信息安全1培养员工安全意识2制定企业信息安全管理制度2慎重打开不明邮件。好奇心过强，对于系统提示为垃圾邮件、钓鱼邮件的内容充满好奇心，点开之后会导致一些病毒等侵入系统，导致信息泄露。垃圾邮件钓鱼邮件五、如何保证企业信息安全1培养员工安全意识2制定企业信息安全20五、如何保证企业信息安全1培养员工安全意识2制定企业信息安全管理制度

个人计算机信息安全防护口令防病毒软件补丁管理帐户管理移动存储设备管理共享、网络安全软件更新、配置日志、审核服务管理3、熟悉电脑保护知识。了解电脑密码、病毒处理等方法，减少信息泄露。五、如何保证企业信息安全1培养员工安全意识2制定企业信息安全21五、如何保证企业信息安全1培养员工安全意识2制定企业信息安全管理制度1、明确信息安全责任，健全信息安全事故调查机制。建立安全组织与落实责任是实施信息安全管理的第一步。

谁主管谁负责，谁运营谁负责！五、如何保证企业信息安全1培养员工安全意识2制定企业信息安全22五、如何保证企业信息安全1培养员工安全意识2制定企业信息安全管理制度2、宣传公司信息安全奖惩制度，鼓动员工维护信息安全的积极性。根据《（集团）信息安全奖惩管理规定》第23条规定：安全奖励事件对应三类奖惩级别，从贡献程度由高到低分为：一级奖励、二级奖励、三级奖励。分别对应奖励金额：3000元、2000员、1000元。根据《（集团）信息安全奖惩管理规定》第27条规定：根据违规事实的性质和情节，分别予以口头警告、书面警告、通报批评及解除劳动合同的处分，同时本集团有权作出罚款、降薪、降职、调岗等处罚规定。五、如何保证企业信息安全1培养员工安全意识2制定企业信息安全23案例1

案例124案例2

案例225谢谢企业信息安全谢谢企业信息安全26企业信息安全企业信息安全27目录页安全信息概述一企业信息安全作用二企业信息安全威胁因素三信息安全工作职责四五如何保证企业信息安全目录页安全信息概述一企业信息安全作用二企业信息安全威胁因素三28信息安全：保障计算机及相关的和配套的设备、设施（网络）的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机系统的安全。企业信息化：企业信息化是指企业广泛利用现代信息技术，充分开发和利用企业内部或外部的，企业可能得到和利用的，并与企业生产经营活动有关的各种信息，以便及时把握机会，做出决策，增进运行效率，从而提高企业竞争力水平和经济效益的过程。一、信息安全概述1信息安全2企业信息化3企业信息化特征4企业信息化内容一、信息安全概述1信息安全2企业信息化3企业信息4企业信息29保密性：确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用完整性：确保信息没有遭到篡改和破坏可用性：确保拥有授权的用户或程序可以及时、正常使用信息一、信息安全概述1信息安全2企业信息化3企业信息化特征4企业信息化内容一、信息安全概述1信息安全2企业信息化3企业信息4企业信息30一、信息安全概述1信息安全2企业信息化3企业信息化特征4企业信息化内容保密性！不该知道的人，不让他知道！完整性！信息不能追求残缺美！可用性！信息要方便、快捷！不能像某国首都二环早高峰，也不能像春运的火车站一、信息安全概述1信息安全2企业信息化3企业信息4企业信息保31实体安全：是保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。实际上，实体安全是指环境安全、设备安全和媒体安全。运行安全：是为了保障系统功能的安全实现，提供的一套安全措施来保护信息处理过程的安全。为了保障系统功能的安全，可以采取风险分析、审计跟踪、备份与恢复、应急处理等措施。信息资产安全：是防止信息资产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即确保信息的完整性、可用性、保密性和可控性。信息资产包括文件、数据等。信息资产安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别等。人员安全：主要是指信息系统使用人员的安全意识、法律意识、安全技能等。人员的安全意识是与其所掌握的安全技能有关，而安全技能又与其所接受安全技能培训有关。因此，人员的安全意识是通过培训，以及安全技能的积累才能逐步提高，人员安全在特定环境下、特定时间内是一定的。一、信息安全概述1信息安全2企业信息化3企业信息化特征4企业信息化内容实体安全：是保护计算机设备、设施（含网络）以及其他媒体免遭地32围绕企业使命一、信息安全概述1信息安全2企业信息化3企业信息化特征4企业信息化内容企业利益企业公民责任客户权益企业使命客户权益企业利益企业公民责任

主要内容正当消费、交易行为个人隐私信息个人资金、虚拟财产

主要内容企业运营秩序企业竞争力企业资产保障

主要内容契约精神法律、法规符合监管要求围绕作用关系围绕企业使命一、信息安全概述1信息安全2企业信息化3企业信息331、提高企业经营管理信息的准确性和及时性，有助于企业决策的进一步科学化。2、促使企业业务办事程序和管理程序更加合理，从而有助于增强企业的快速反应能力。3、进一步促进企业资源的合理组合及利用，使其在现有资源条件下达到最佳利用效果，从而大大提高企业的生产经营效率和管理效率。4、给企业提供一个的强大、快捷的信息交流平台，有助于我们紧紧跟踪一些先进经验和成果，从而有助企业的发展，提高员工的创新能力。二、企业信息安全作用互联网时代1、提高企业经营管理信息的准确性和及时性，有助于企业决策的进342010年1-2月，基础电信企业互联网宽带接入用户净增359.3万户，达到10681.8万户1-4月，我国生产生产手机23290万部，增长34.5%;微型计算机7112万台，增长50.1%，其中笔记本电脑增长50.6%;集成电路190亿块，增长78.5%1-4月，我国累计实现软件业务收入3626亿元，同比增长28.7%。信息技术增值服务收入同比增长38.1%。集成电路设计开发收入228亿元，同比增长63%。软件产品、系统集成和支持服务、信息技术咨询和管理服务、嵌入式系统软件、分别实现1333、728、320和638亿元，分别增长27%、25.1%、26.3%、23%。我国信息化迅猛发展的数据体现？2010年1-2月，基础电信企业互联网宽带接入用户净增359351、安全保障体系建设的主要贡献者.

-安全保障体系的设计与构建；包含：技术体系和管理体系。-安全合规基线的解读及实现策略的设定。-安全培训、宣导系统的建设。2、安全保障体系运行状况的检查者.

-安全管理、技术举措的执行效果-安全管理、技术举措的适用度

-安全体系PDCA的状态-安全巡检工作开展

-安全事件的事后审势3、安全合规、事件处置的支持者.

-生产运行活动-商业行为活动-安全事件的响应

-安全合规、整改活动三、企业信息安全工作人员职责1、安全保障体系建设的主要贡献者.三、企业信息安全工作人员职36四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素信息资产拒绝服务逻辑炸弹黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统Bug硬件故障网络通信故障供电中断失火雷雨地震四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素信37四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素1、系统的繁杂性。体现：工作站中存在信息数据、移动介质、网络中其他系统、网络中其他资源、访问Internet、访问其他局域网、到Internet的其他路由、电话和调制解调器、开放的网络端口、远程用户、厂商和合同方的访问、访问外部资源、公共信息服务、运行维护环境2、系统、程序、设备中存在的漏洞和缺陷体现：旧版本的浏览器和易受攻击的插件、包含不良内容的好网站、移动应用程序和不安全的Web、不安全的“物联网”四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素138四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素自然因素的破坏是一种不可抵抗的破坏力，只能做好预防方针，防患于未然。自然灾害火灾雷电洪水台风四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素自39四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素人是最关键的因素判断威胁来源，综合了人为因素和系统自身逻辑与物理上诸多因素在一起，归根结底，还是人起着决定性的作用正是因为人在有意（攻击破坏）或无意（误操作、误配置）间的活动，才给信息系统安全带来了隐患和威胁四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素人40四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素黑客等企业外部人员的威胁了解一些黑客攻击手段很有必要踩点：千方百计搜集信息，明确攻击目标扫描：通过网络，用工具来找到目标系统的漏洞DoS攻击：拒绝服务，是一种破坏性攻击，目的是使资源不可用DDoS攻击：是DoS的延伸，更大规模，多点对一点实施攻击渗透攻击：利用攻击软件，远程得到目标系统的访问权或控制权远程控制：利用安装的后门来实施隐蔽而方便的控制网络蠕虫：一种自动扩散的恶意代码，就像一个不受控的黑客踩点扫描破坏攻击渗透攻击获得访问权获得控制权清除痕迹安装后门远程控制转移目标窃密破坏四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素黑41出生于1964年

15岁入侵北美空军防务指挥系统，窃取核弹机密入侵太平洋电话公司的通信网络入侵联邦调查局电脑网络，戏弄调查人员

16岁被捕，但旋即获释入侵摩托罗拉、Novell、Sun、Nokia等大公司与联邦调查局玩猫捉老鼠的游戏

1995年被抓获，被判5年监禁获释后禁止接触电子物品，禁止从事计算机行业世界头号黑客——KevinMitnick出生于1964年世界头号黑客——KevinMitni42四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素威胁更多是来自公司内部黑客虽然可怕，可更多时候，内部人员威胁却更易被忽略，但却更容易造成危害。管理弱点：策略、程序、规章制度、人员意识、组织结构等的不足

据权威部门统计，内部人员犯罪（或与内部人员有关的犯罪）占到了计算机犯罪总量的70%以上。员工误操作蓄意破坏公司资源私用四、企业信息安全威胁因素1系统因素2自然因素破坏3人为因素威43将口令写在便签上，贴在电脑监视器旁开着电脑离开，就像离开家却忘记关灯那样轻易相信来自陌生人的邮件，好奇打开邮件附件使用容易猜测的口令，或者根本不设口令丢失笔记本电脑不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息随便拨号上网，或者随意将无关设备连入公司网络事不关己，高高挂起，不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁，忽视企业内部人员的问题人最常犯的一些信息安全错误将口令写在便签上，贴在电脑监视器旁人最常犯的一些信息安全错误44五、如何保证企业信息安全1培养员工安全意识2制定企业信息安全管理制度外因是条件内因才是根本！一个巴掌拍不响！提高人员安全意识和素质势在必行！五、如何保证企业信息安全1培养