信息安全风险意识培训

信息安全风险意识培训北京首都国际机场股份有限公司 信息技术部*2什么是信息？ 信息是一种资产，就像其它重要的业务资产一样 ，对于组织是有价值的，应当被适当的保护。 信息包括以下形式： 打印或写在纸上的内容 电子形式存储的内容 通过电子方式传递的内容 影像 谈话资料*3什么是信息安全？ 信息安全是对信息进行保护，以避免各种不同的威胁，从 而保证业务的连续性，降低对于业务的损害，使得对于业 务的投资可以获得最大的回报。 保护信息的： 保密性 确保信息只能够被经授权的人员访问。 完整性 保护信息和处理流程的准确性和一致性。 可用性 确保当授权的用户需要访问信息时，信息是可以被访问到的。*4利用管理上的漏洞 典型的社会工程攻击 过程：未被授权的访 问很大程度上由于口 令过于简单；密码被 攻破会引起用户身份 被冒充及严重的业务 信息的泄漏*5我们最常问的问题 目前的信息安全形势真的有那么严重吗？ 这些信息安全风险、漏洞有技术专家帮我 解决，和我有什么关系？ 我们使用的专用系统没有连接Internet，是 不是就没有风险了？*6了解我们的对手 职业黑客网上揽生意，揭秘黑色产业链*7新型攻击的特点 新型病毒的特点 破坏控制 可见隐蔽 陆续发作同时发作 单纯的破坏追逐利益 新型黑客的特点 爱出风头的年轻人严密的组织 技术研究、出风头经济利益，国家利益*8信息安全从来不是一个人的事 信息安全防范技术永远落后于攻击技术。 70的信息安全事件是由于内部员工的疏 忽或有意泄密造成的。*9国家对于信息安全的高度重视 中华人民共和国公安部、国家保密局、国 家密码管理局、国务院信息化工作办公室 联合下发： 关于开展全国重要信息系统安全等级保护定 级工作的通知 “谁管理，谁负责”；“谁使用，谁负责”*10在你最想不到的地方 不可思议的黑客攻击 信息系统从原来的严密看守，专家技术到 现在的黑客技术无处不在，黑客也无处不 在。 员工、伙伴、顾问。 不安全的操作、口令泄密、报复。*11常用的信息安全技术 密码技术 防火墙技术 入侵检测技术 虚拟专用网技术 信息伪装技术*12小游戏：“暗算” 密码本： a01、b02、c03、d04、e05、f06、g07 h08、i09、j10、k11、l12、m13、n14 o15、p16、q17 r18、s19、t20 u21、v22、w23 x24、y25、z26 请将“你好”加密 请将“02050910091407” 解密*13答案 你好nihao 1409080115 02050910091407 beijing 北京*14风险防范，从我做起 相信专家制定的信息安全相关管理规定并 认真执行，这是对国家负责，对公司负责 ，也是对自己负责。*15某公司 IT security 主页*16某公司内部安全管理实例*17某公司内部使用的安全标准Computer Security and Use Guidelines for XXX Employees (ITCS300) 公司员工个人计算机安全标准及使用规范Security Standards for Providers of Network and Computing Services (ITCS204) 公司内部网络和IT系统安全标准Security Guidelines for Inter-Enterprise Services (ITCS302) 与外部合作伙伴及Internet互连安全标准Classification & control of XXX information （ Legal 116 ） 公司信息资产分类和控制标准*18机场信息安全组织结构1. 机场信息安全委员会针对安全方案提出建议 定期评估成员单位安全绩效，并提出改进建议和奖惩措施 制订机场安全规划和核心安全的战略2. 信息技术管理部制定落实机场信息安全规范 部署信息安全防护体系 监管机场信息安全运行情况2.1. 信息安全室制定具体信息安全工作计划 组织开展信息安全培训 组织开展信息安全风险评估 进行信息安全内部审核3. 公司各部门执行机场信息安全规范和流程 管辖范围内信息安全并进行绩效落实 对存在的信息安全风险进行具体整改4. 机场各驻场单位执行机场信息安全规范和流程 管辖范围内信息安全并进行绩效落实 对存在的信息安全风险进行具体整改5. 信息安全检查工 作组定期开展机场信息安全自查 ·对信息安全检查中发现的问 题提出改进建议 对信息安全风险整改措施进 行跟踪审核*19机场信息安全制度体系IT基础设施安全终端使用安全访问控制变更控制l机房安全管理规范 l信息技术管理部实验机房使用 管理规定 l机房及弱电小间用电管理规定 ll机房计算机终端使用管理规定 l终端防病毒管理规定 l移动存储设备管理规定 ll信息系统帐号口令安全策略 lVPN用户申请及安全使用管理规 定 l信息系统远程拨号访问管理规 定 ll系统关键性维护作业审批、执 行、归档程序 l关键系统作业会商程序 l人员安全系统运行管理应急事件管理风险评估和审计l信息安全责任书 l第三方人员信息安全协议 ll机房日常值班管理规定 l总值班管理规定 l信息系统对重点保障航班保障 程序 ll信息部设备非正常状况损失处 理办法 l信息技术管理部信息系统应急 管理规范 l信息技术管理部值班信息通报 程序 ll信息技术管理部信息系统日志 管理规范 l信息安全检查表 l参照ISO 17799:2005信息安全管理实施指南并结合机场信息系统业务实际情况，从8个方面，制定各类安 全规范和流程，并定期或根据规范流程运行情况进行优化调整，以体现PDCA方法论*20信息安全风险评估 信息安全风险评估机制 自评估机制 每年元旦、春节、五一、暑运、十一及重大 保障时期组织安全自查，及时发现存在的风险 第三方评估机制 请第三方专业公司进行评估 目前专门针对奥运信息安全保障风险评估正在进行 遵循PDCA方法论 对存在的问题进行整改 跟踪检验整改效果*21安全教育架构图 *22信息安全技术部署 在强调信息安全管理重要性的同时也不能忽略信 息安全技术的作用。信息安全管理各项措施的执 行要以信息安全技术为基础。结合机场的实际情 况，技术部署一般可以从如下六个方面来展开： 物理安全控制 网络边界防护 终端安全控制 病毒防护 设备安全加固 冗余备份*23Q&A*24风险防范 从我做起谢谢！