员工信息安全意识与安全实践培训人力资源职能.ppt

信息安全意识与安全实践信息安全：人员是最大的风险来源￿ ￿￿ ￿￿ ￿￿ ￿￿ ￿￿ ￿￿ ￿““人人是是最最薄薄弱弱的的环环节节你你可可能能拥拥有有最最好好的的技技术术、、防防火火墙墙、、入入侵侵检检测测系系统统、、生生物物鉴鉴别别设设备备，，可可只只要要有有人人给给毫无戒心的员工打个毫无戒心的员工打个……”……”￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿——￿——￿Kevin￿Kevin￿MitnickMitnick￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿超过80%的信息安全威胁来自于组织内部信息安全：信息资产与威胁26%42%黑客入侵70%-80%员工疏忽和泄漏固定资产和一些文档中存储在员工的脑子中根据Delphi公司统计，公司价值的26%体现在固定资产和一些文档上，而高达42%的价值是存储在员工的脑子里78%的企业数据泄漏是来自内部员工的不规范操作信息安全意识装有100万的保险箱装有客户信息的电脑需要3个悍匪1辆车，拉走公司损失100万只需1个商业间谍公司损失：所有客户￿信息资产比钞票更重要，但更脆弱，更应得到保护！一个优盘物理安全—“ATM取款机”物理安全—“电子门禁”物理安全—“电子门禁”￿（案例）时间：某天夜里地点：A公司的数据中心大楼人物：一个普通的系统管理员一个普通的系统管理员，利用看似简单的方法，就进入了需要门卡认证的数据中心……￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿————￿来自国外某论坛的激烈讨论物理安全—“电子门禁”￿（案例）①￿￿张三找到一个气球，放掉气②￿￿张三面朝大门入口趴下来，把气球塞进门里，只留下气球的嘴在门的这边③￿￿张三在门外吹气球，气球在门内膨胀，然后，他释放了气球……④￿￿由于气球在门内弹跳，触发动作探测器，门终于开了网络钓鱼—“钓鱼网站”     http://taobao- 网络钓鱼—“钓鱼邮件”网络钓鱼—“伪基站钓鱼”网络钓鱼—“伪基站钓鱼”（案例）网络钓鱼—“伪基站钓鱼”（案例）网络钓鱼—“伪基站钓鱼”（案例）后台数据：姓名身份证号银行卡号银行卡密码开户银行号码....社会工程学诈骗•明天到我办公室来一趟…“领导”的权威让下属服从利用亲情关系诈骗•你女儿生病住院了…安全—“二维码”安全—“充电桩”用使用者的，向任意号码发送短信！用使用者进行消费！安全—“充电桩”充电桩会提示用户开启USB调试或信任该设备，如果用户点击同意，就会使部分权限得到开放！提醒：Ø接入充电桩时，如果充电桩需要权限请求，一律拒绝。

包括USB调试与设备信任）Ø部分充电桩有提供插座，用随身携带的设备进行充电Ø部分充电桩只提供USB孔，如果遇到这类的充电桩，切记使用只有充电功能（无数据传输功能）的充电线Ø使用充电桩时，将设备关机安全—“恶意吸费APP”这个弹窗暗藏玄机！一款专门为抢购火车票而设计的应用程序安全—“恶意吸费APP”点击确定后，对话框消失随后，话费详单显示，这次操作实际上被定制了20元的增值业务费！提醒：Ø通过可信渠道下载经过专业检测认证签名的APP版本；Ø不要随意下载带有“黄赌毒”的恶意APP软件，不慎下载应及时彻底删除；Ø要定期查看自己的话费详单，别不明不白做了冤大头；Ø类似智能火车票、游戏修改大师、疯狂的小鸟、抢票快手等热门App，如果发现恶意推送广告，要谨慎安全—“电信诈骗”安全—“木马病毒”通过发送恶意链接、虚假短信等使用户遭受木马病毒，蒙受资金损失安全注意事项员工安全实践进门——物理安全1忘了带卡？￿——尾随进入最佳实践Ø所有人员必须佩戴身份识别卡，才能在公司相应区域活动Ø不得将身份识别卡借与他人使用Ø监督未佩戴身份识别卡的外来人员的活动，制止其非授权的活动，并及时报告给安全保卫部门Ø接到恐怖威胁，及时向主管领导和安全保卫部门报告员工安全实践打开计算机——账户安全2最佳实践谁未经授权使用了我的电脑？￿——数据被窃取￿——内容被破坏Ø未经批准，不得转借或使用他人账户Ø使用计算机及应用系统应设置登录口令，且不得向他人泄露口令Ø工作岗位调动或离职时，应主动移交全部账号和口令员工安全实践登录计算机/VPN——口令安全3最佳实践Ø不得将口令写在纸上或记录于电子文件中Ø不要采用用户名、姓名、生日、号码、默认口令等作为密码Ø口令长度应至少10位，至少包含字母、数字、特殊符号的两种或两种以上Ø定期更换口令ØVPN身份认证口令不得转借他人使用，如有遗失或被窃取应第一时间通知安全管理员口令泄露？弱口令?￿——鉴别信息被冒用!员工安全实践暂离工位——账户安全4最佳实践Ø使用”win+L”锁屏或关闭计算机Ø设置15min后自动启动屏幕保护程序，在恢复时使用密码保护员工安全实践使用个人计算机——个人计算机设备安全5最佳实践Ø未经批准任何计算机不得接入公司网络，经批准的使用指定端口和IP，接入网络前安装安全补丁、杀毒软件并查杀病毒Ø未经授权严禁打开办公电脑机箱、拆装电脑硬盘等配件，严禁使用办公电脑内置硬盘以外的设备启动电脑Ø发现计算机被入侵或感染病毒应立即断开网络连接，清除病毒；发现病毒无法被有效清除时，及时报告信息安全部门Ø不制造和传播计算机病毒Ø不在工作时间使用计算机进行与工作无关的活动Ø对敏感数据采取加密措施，妥善存放员工安全实践使用公用计算机——公用计算机设备安全6最佳实践Ø设置管理责任人，防止公用计算机被盗、被滥用或被入侵Ø未授权的外来人员不得使用公用计算机Ø使用完公用计算机后要退出登录员工安全实践使用公司网络办公——计算机网络安全7最佳实践Ø计算机接入公司网络时，计算机名称必须遵循命名规则Ø计算机只能使用管理员分配的IP地址，禁止随意修改Ø不得在公司私自拨号上网、私自创建和连接未经批准的无线网络Ø未经批准不得安装两块或多块网卡并连接到不同的网络设备Ø不得对公司网络内的设备进行扫描Ø不得滥用网络资源进行与工作无关的其他活动可用性效率员工安全实践上网查阅资料、休息——互联网安全8最佳实践Ø不得滥用公司网络访问与工作无关的网站和互联网服务、进行与工作无关的网上即时通讯Ø不得滥用公司网络下载图片、小说、音乐、录像、游戏等与工作无关的文件防不胜防!病毒木马泄密员工安全实践安装软件——计算机软件安全9最佳实践Ø计算机终端只能安装、运行公司批准的软件，并及时安装补丁Ø安装其他软件应向部门负责人提出申请，交由信息管理部门处理Ø必须安装、运行上网行为控制客户端，未经授权不得卸载Ø必须安装、运行公司规定的防病毒软件，并及时更新病毒库，未经授权不得卸载，及时执行公司的防病毒措施下载、安装软件￿——不小心中招！员工安全实践使用移动存储介质——移动存储介质安全10最佳实践Ø严格控制移动存储介质的使用，使用前登记Ø移动存储介质上的数据和文件在使用后立即删除Ø使用前进行病毒检测，确认无毒后方可使用Ø移动存储介质维修、废弃前应清除数据或销毁介质U盘病毒U盘泄密员工安全实践打印/复印文件——打印机安全11最佳实践Ø公用的打印、复印设备使用完成后，及时取走打印、复印的文件Ø一体机维修前消除打印记忆￿￿￿￿￿￿￿2011年6月，济南军区某装甲团出现机关干部考试试题泄露事件，而事件原因最终定位为打印机的记忆功能。

员工安全实践收发邮件——电子邮件安全12最佳实践Ø不要打开来历不明的邮件，不要随便点击邮件中的陌生链接Ø禁止发送与工作无关的邮件、含有违反政策和法律法规的内容的邮件、含有不利于公司的信息的邮件、连环邮件或附带大量非工作需要的图片文件的邮件、夹带计算机病毒的邮件、含有敏感信息和商业机密的邮件等员工安全实践处理办公数据——数据安全13最佳实践Ø个人计算机中的数据文件，应按照实际情况及时做好备份，避免可能的数据丢失Ø个人计算机中的重要办公数据应当根据部门要求适时备份到指定的文件服务器或者存储介质上数据丢失的七大原因员工安全实践处理敏感信息——敏感信息保密14最佳实践Ø存储一般商业秘密及以上信息的介质应进行敏感性标识Ø敏感非电子信息不得随意搁置在桌面或夹带在日常文件中，未经授权不得私自复制、影印、摘录与外传，复印、打印或后及时取走原件和复本Ø离开座位时将纸质敏感信息锁入抽屉或文件柜中Ø作废的记录敏感信息的纸质文件应用碎纸机销毁Ø发现敏感信息被非授权使用或滥用，应立即向安全管理员报告公开内部使用一般商密重要商密核心商密信息员工安全实践外来人员办公——外来人员计算机接入控制15最佳实践Ø外来人员计算机设备未经批准不得接入公司网络Ø经批准的计算机设备只可使用批准的网络端口接入专供外来人员使用的网络内Ø外来人员的计算机设备在接入公司网络前，须由对口部门负责人确保计算机安全后方可接入Ø外来人员计算机设备接入公司网络后不得从事与工作无关的操作外来人员随意接入内网￿——信息泄露￿——内部网络被攻击员工安全实践日常与下班——办公环境安全16Ø不得将易燃物品堆放在电源插座上，不违规使用大功率电器设备，不在UPS电源上使用电器，不私自接电线，不拖拉电源线，充完电后及时拔出Ø保持消防通道通畅，掌握安全撤离常识，正确使用消防设备，禁止使用水来扑救电气火灾Ø下班前检查并确保关闭所有应关闭的用电设备电源和门窗最佳实践单位应对方案-建立完善网络安全防护体系单位应对方案-加强数据保护单位应对方案-提升个人信息保护单位应对方案-实现安全等级保护单位应对方案-引入风险评估单位应对方案-落地监测预警与应急响应单位应对方案-积极响应安全监管谢谢。