信息安全培训-基础概念培训v1.7

员工信息安全培训主要内容：21、什么是信息安全？2、信息安全与我的关系？3、如何实现信息安全？4、信息安全管理制度和法律法规5、公司信息安全管理体系和现行制度6、信息安全案例回顾

7、工作和生活中的信息安全

1、什么是信息安全？3什么是信息？有意义的内容；对企业具有价值的信息，包括电子文件、纸质文件、图纸、标准、专利、报价短信消息、电话汇报等，称为信息资产；企业所称的信息是指一切与公司经营有关情况的反映（或者虽然与公司经营无关，但其产生或存储是发生在公司控制的介质中），它们所反映的情况包括公司的经营状况、财务状况、组织状况等一切内容，其存储的介质包括纸质文件、电子文件等。

1、什么是信息安全？4信息安全：采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。信息安全意识：就是能够认知可能存在的信息安全问题，预估信息安全事故对组织的危害，恪守正确的行为方式，并且执行在信息安全事故发生时所应采取的措施。1、什么是信息安全？5信息安全的3要素：CIAConfidentiality,Integrity,Availability保密性、完整性、可用性采取合适的信息安全措施，使安全事件对业务造成的影响降低最小，保障组织内业务运行的连续性。2、信息安全与我的关系？6

常见威胁：窃取、截取、伪造、篡改、拒绝服务攻击、行为否认、非授权访问、传播病毒等；威胁来源：◆自然灾害、意外事故；◆计算机犯罪；◆人为错误，比如使用不当，安全意识差等；◆"黑客"行为；◆泄密；◆外部泄密；◆信息丢失；◆网络协议自身缺陷，例如TCP/IP协议的安全问题等等。2、信息安全与我的关系？7

主要的信息安全威胁：◆窃取：非法用户通过数据窃听的手段获得敏感信息。◆截取：非法用户首先获得信息，再将此信息发送给真实接收者。◆伪造：将伪造的信息发送给接收者。◆篡改：非法用户对合法用户之间的通讯信息进行修改，再发送给接收者。◆拒绝服务攻击：攻击服务系统，造成系统瘫痪，阻止合法用户获得服务。◆行为否认：合法用户否认已经发生的行为。◆非授权访问：未经系统授权而使用网络或计算机资源。◆传播病毒：通过网络传播计算机病毒，其破坏性非常高，而且用户很难防范。2、信息安全与我的关系？8

2、信息安全与我的关系？9

以企业为目标的攻击威胁数字上升；

攻击工具的普及，使网络犯罪较以往变得更轻易；基于网站的攻击有增无减；针对个人身份资讯的安全威胁持续增长；垃圾邮件持续泛滥。信息安全就在我们身边！信息安全需要我们每个人的参与！3、如何实现信息安全？10

3、如何实现信息安全？11

物理安全计算机使用的安全网络访问的安全社会工程学病毒和恶意代码账号安全电子邮件安全重要信息的保密应急响应3、如何实现信息安全？12

物理安全：建立物理安全区域概念；主动学习了解限制区域和普通区域，熟悉在不同区域自己的权限。在公司里佩戴员工卡做身份标识前来拜访的外来人员应做身份验证（登记），见到未佩戴身份识别卡的人应主动询问离开座位要清空屏幕与桌面3、如何实现信息安全？13

物理安全区域说明：3、如何实现信息安全？14

物理安全区域说明：3、如何实现信息安全？15

计算机与网络使用对个人用计算机要设置帐户密码，信息安全规定口令长度应该不低于6位，且最好要为大写字母、小写字母、数字、特殊字符的组合，防止非法用户猜出你的密码，定期更换妥善保护自己的密码，不要将自己的密码告诉别人加强对计算机信息保护，离开机器时要及时对机器锁屏（Win+L）；计算机防病毒软件，经常升级病毒库；加强对移动计算机的安全保护，防止丢失；重要文件做好备份3、如何实现信息安全？16

文件分类分级管理：分为绝密信息（A级）、信息（B级）、秘密信息（C级）、公开信息（D级）使用过的重要文件及时销毁，不要扔在废纸篓里，也不要重复利用不在公共场所、电话中说工作敏感信息，电话回叫要确认身份不随意下载安装软件，防止恶意程序、病毒及后门等黑客程序前来拜访的外来人员应做身份验证（登记），见到未佩戴身份识别卡的人应主动询问加强对智能移动设备信息安全管理重要文件做好备份3、如何实现信息安全？17

3、如何实现信息安全？18

3、如何实现信息安全？19

3、如何实现信息安全？20

3、如何实现信息安全？21

3、如何实现信息安全？22

沟通交流不在电话中说工作敏感信息，电话回叫要确认身份不通过email传输敏感信息，如要通过EMAIL最好加密以后再传输不在安全得不到保障的公共场合谈论敏感信息防止信息窃取不随意下载安装软件，防止恶意程序、病毒及后门等黑客程序不随意打开可执行的邮件附件，如.EXE,.BAT,.VBS,,.PIF,.CMD,打开附件时最好进行病毒检查3、如何实现信息安全？23

3、如何实现信息安全？24

防范社会工程学攻击社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法.步骤：信息收集——信任建立——反追查典型攻击方式：环境渗透、身份伪造、冒名电话、信件伪造等如何防范？3、如何实现信息安全？25

如何防范？仔细身份审核（多重身份认证、来电显示确认、电话回拨、EMAIL签名、动态密码验证、身份ID卡、上级领导担保等）；严格执行操作流程审核；完善日志审计记录；完善应对措施，及时上报；注重保护个人隐私；不要把任何个人和公司信息或是识别标识告诉他人，除非你听出她或他的声音是熟人，并确认对方有这些信息的知情权。无论什么时候在接受一个陌生人询问时，首先要礼貌的拒绝，直到确认对方身份。3、如何实现信息安全？26

如何防范？保护好随身携带电脑及资料.（案例-中兴高层赴美考察，本来是正常出差，结果董秘被美国海关拦下来了，要求检查电脑，这家伙电脑里有关于向伊朗出口设备会议的会议记录，中兴高层做的决策等等都写在里面，这也是中兴被美国处罚的直接依据之一。）不在公共区域谈论可能涉及公司技术秘密、商业秘密等相关事务，防止无意中泄密（案例-浙江一上市公司几个高管在洗浴时，谈论公司资金等情况，导致无意中泄露公司，被证监会追责。）3、如何实现信息安全？27

4、信息安全管理制度和法律法规28

原则上外来设备不允许接入公司网络，如有业务需要，需申请审批通过后方可使用。外来设备包括外部人员带到公司的笔记本电脑、演示机、测试机、智能移动设备等。公司内计算机严格限制使用包括移动硬盘、U盘、带存储卡的设备等的移动存储设备，除工作必须要长期使用移动存储的可申请开通外，公司内的计算机禁止使用移动存储设备。公司内严禁使用盗版软件和破解工具，如有工作需要，应通过公司采购正版软件或使用免费软件。不经批准，严禁在公司架设FTP，DHCP，DNS等服务器。4、信息安全管理制度和法律法规29

研发用机未经批准，严禁转移到公司办公网络、或将办公电脑转移到研发内网使用。任何部门和个人不得私自将包括HUB（集线器）、交换机、路由器等的网络设备接入公司网络中。原则上不得使用网络共享，如因工作原因需要使用的，必须遵循最小化授权原则，删除给所有人(everyone)的共享权限，只共享给需要访问的人员，并且在使用后立即关闭。发现中毒后要断开网络，并及时报告信息中心，等待网管来处理。4、信息安全管理制度和法律法规30

严禁使用扫描工具对网络进行扫描和在网络使用黑客工具不得以任何方式将公司信息（包括网络拓扑、IP地址、安全策略、帐号，口令等）告知不相关的人员计算机的操作系统、IIS、数据库、FTP以及所有企业应用（如电子邮件系统、即时通讯工具等）中，必须设置用户口令，严禁使用空口令、弱口令或缺省口令。一经发现将被行政处罚。口令长度应在8个字符以上，还应包括大小写字母，特殊符号和数字。口令应该在三个月内更换,重要的和使用频繁的口令视情况缩短更改周期。不允许使用前3次用过的口令。严禁卸载或关闭安全防护软件和防病毒软件，如有系统补丁必须及时安装。离开电脑要锁屏。4、信息安全管理制度和法律法规31

系统保护中华人民共和国网络安全法中华人民共和国计算机信息系统安全保护条例计算机信息网络国际联网安全保护管理办法安全产品商用密码管理条例国家秘密中华人民共和国保守国家秘密法计算机信息系统国际联网保密管理规定知识产权中华人民共和国著作权法最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释计算机软件保护条例中华人民共和国专利法4、信息安全管理制度和法律法规32

计算机犯罪

中华人民共和国刑法（摘录）网络犯罪的法律问题研究电子证据中华人民共和国电子签名法电子认证服务管理办法上市公司信息安全要求上市公司信息披露管理办法5、公司信息安全管理体系及相关制度33

信息安全管理体系

ISO27001信息安全体系两化融合体系的信息安全部分TISAX汽车行业信息安全体系相关制度上市公司相关部分对外信息报送制度年报信息披露重大差错责任追究制度内幕信息知情人管理制度信息披露制度电子认证服务管理办法统计信息管理制度日常信息安全管理方面信息应用系统管理制度企业网站、微信管理制度；机房管理制度6、公司信息安全案例分析主要原因：资料来源： Forrester-TheStateOfBusinessTechnologyResiliency断电43%IT硬件故障31%人为错误13%飓风12%

6、公司信息安全案例分析1、2017年，OA服务器无法正常提供服务，导致应用访问异常，影响办公2、2017年更换数据中心UPS主机时候，由于电路异常导致服务器直接断电，导致所有业务中断3、2018年3月，中午时分突然发现无法正常访问公司应用，服务器系统工作异常4、2020年7月，晚上20点左右三厂机房汇聚交换机故障，导致三厂区所有网络无法正常访问生产系统7、工作及生活中的信息安全36

信息设备的日常信息安全管理1.不可以自己安装软件,特别来源不明的程序,会带来极大的信息风险;2.不可以随便安装非授权软件,可能会带来未知的版权纠纷,给公司带来未知的商业风险;3.不可以更改系统的默认设置和默认安装程序;7、工作及生活中的信息安全37

对外工作沟通交流中的信息安全风险管理1.不可以随意向外部人员透露自己工作中所使用的软件;2.对客户信息、工艺数据、材料数据、公司的财务信息、公司未来重大计划等重要数据，要注意保密；3.对自己的信息相关设备，如PC计算机、移动智能终端、IC卡等，注意密码设置，不让他人使用；7、工作及生活中的信息安全38

生活中的信息安全1.自己的信息设备不能随意安装不明来源的APP应用,可能带来个人信息及资金的安全风险;2.个人社交、购物软