《安全意识培训监控》PPT课件.ppt
《《安全意识培训监控》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《安全意识培训监控》PPT课件.ppt(69页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、安全培训意识培训安全培训意识培训安全组安全组2009.3前言 安全培训的必要性 信息安全是靠人、技术和管理共同来信息安全是靠人、技术和管理共同来实现的,人员的安全意识和安全技实现的,人员的安全意识和安全技术水平将直接影响到整个信息安全术水平将直接影响到整个信息安全体系建设的实施和有效利用。组织体系建设的实施和有效利用。组织内信息安全的保障工作不仅和系统内信息安全的保障工作不仅和系统管理员、网络管理员的安全知识有管理员、网络管理员的安全知识有关,而且和组织内全体员工,特别关,而且和组织内全体员工,特别是组织中的领导者都有很大关系。是组织中的领导者都有很大关系。因此,定期开展针对组织内不同对象因此
2、,定期开展针对组织内不同对象的各种层次的安全培训是十分必要的各种层次的安全培训是十分必要的。的。前言培训目的:安全培安全培训的是一个跨的是一个跨专业的培的培训,它的培,它的培训对象象应该面向企面向企业中中每一名每一名员工。工。提高整个提高整个组织普遍的安全意普遍的安全意识和人和人员安全防安全防护能力,使能力,使组织员工充分了解既定的安全策略。工充分了解既定的安全策略。通通过培培训可以改可以改变中心中心员工工对信息安全的信息安全的态度,使操作人度,使操作人员知知晓信息安全的重要性、企信息安全的重要性、企业安全安全规章制度的含章制度的含义及其及其职责范范围内需要注意的安全内需要注意的安全问题。议程
3、安全意安全意识的重要性的重要性网管中心安全策略网管中心安全策略简介介安全操作技巧与常安全操作技巧与常识议程一安全意安全意识的重要性的重要性网管中心安全策略网管中心安全策略简介介安全操作技巧与常安全操作技巧与常识信息安全基础 信息安全要解决的问题C.I.A.(Confidentiality、Integrity和Availability)保密性保密性:简单地说就是保密。间谍影片把它称作“Eyes Only”(最高机密)。实际上确实是如此。只有那些有权看这些信息的人才能接触到这些信息。因此,要在纸上写上这些内容,阻止其他人偷窥,对这些内容加密或者使用访问控制机制。完整性完整性:确保信息不被内部人员修
4、改或者篡改或者被意外地修改,不管这些信息是程序还是数据。银行对这个问题特别小心。可用性可用性:所有的系统和信息资源必须能够按照机构的需求启动和运行。拒绝服务攻击秘而不宣。信息安全基础信息面临的风险:1、病毒:信息的完整性与可用性2、黑客:信息的保密性3、系统BUG:信息的保密性与可用性4、人:安全操作流程 安全意识人是信息安全最薄弱的环节用户拥有接触数据的密码黑客可以通过工具取得你的密码,破解密码非常容易不安全的密码可使整个系统被攻破安全意识的重要性互连网安全现状病毒泛滥黑客攻击工具普及、技术水平要求降低IT投资逐年加大,但收效甚微急需立法、完善健全相关法律信息安全基础网管网安全现状1、用户数
5、目接近1k;2、各类生产终端、网元等近2k;3、每年发生的病毒事件100+台次;4、用户密码丢失或遗忘近1K人次;5、存在域外无法控制的终端;6、许多人使用默认口令;7、少数人安全意识薄弱;安全意识的重要性2006年十大病毒排行年十大病毒排行安全意识的重要性通讯网安全现状 通讯安全问题:大家都有手机,请问胡主席、温总理敢用手机打电话吗?无线通讯系统,GSM、CDMA都是不安全的。GSM国际标准中有3个加密算法:A3、A8、A5,但美国出口到中国的GSM系统中不含3个加密算法,其密码出口相当于军火出口,要国防部批准。手机通话等于向全世界广播“全球通”。现在有这样的设备,很小,几百元可以买到,只要
6、输入对方手机号,就可听到所有通话内容。所有的无线通讯都可以监听,所以千万不要通过手机做案、行贿授贿。关键是手机中没有安全模块。即使加上了也可以破译。CDMA称安全保密好,其实使用的技术是60年代的,叫扩频技术,海军、潜艇也使用,原理:把固定的通讯频率扩展到无限大,根据码子进行扩和还原,谁有了码就可以监听,而CDMA的码子在美国卡根公司,并没有出口给中国。GPS全球定位系统用的就是CDMA技术。卫星通讯也不安全,几个法论功分子就搞定了。安全意识的重要性人=意识 是最重要的一环 意识决定行为 行为决定结果10分安全3分技术+7分管理安全意识的重要性日本佐世保海军基地“朝雪”号驱逐舰信息泄露事件 事
7、件回放:该舰上负责对外联络和通信事务的电信官海曹长违反管理规定,把军舰上的机密数据拷贝到个人电脑上,当他在家中用电脑下载音乐时,遭到木马攻击,所有个人文件被电脑黑客获取,并发布到互联网上,至此日、美海岛作战计划浮出水面。国外有关专家指出,此次泄密事件影响很大,各国的情报机关均能够从这些文件中推测出该舰的真实战斗力。据称,这是日本防卫厅有史以来最大的泄密灾难,日本首相“小犬”称之为“这是一件失信于全体国民的大事”。安全意识的重要性事件反思:一向以纪律严明、管理规范的日本自卫队竟会发生如此重大的失泄密事件,人们在震惊之余,对其深层次原因产生了不少思考。究其根本问题,就是涉密人员的安全观念淡薄、保密
8、意识差。因此,在信息化建设快速发展,信息系统应用日益广泛的大环境下,必须把做好人的工作,做好人员的安全意识工作,因为人是信息安全保密的第一道防线和最关键环节。安全意识的重要性3个U盘搞掉一个企业 事件回放:06年5月,有一些网络罪犯试图用恶意软件入侵某一企业,但他们发现,这个机构的物理安全架构非常健全,通过互联网链接入侵也不太可能。最终,他们想到了一个办法:买了3个64M的U盘,安装恶意软件,然后把U盘扔到这个企业办公大楼的停车场。结果,该企业有员工捡到了U盘,并好奇地把它插进了办公室里的电脑,于是这个恶意软件通过USB接口攻击了员工的电脑,进而影响了公司的整个网络。安全意识的重要性事件反思:
9、人的安全意识;终端安全的重要性;防范社会工程学攻击;安全意识案例三31岁工程师入侵北京移动盗窃380万 事件回放:31岁的程稚瀚利用他为西藏移动做技术时使用的密码(此密码自程稚瀚离开后一直没有更改),轻松进入了西藏移动的服务器。通过西藏移动的服务器,程稚瀚又跳转到了北京移动数据库,取得了数据库的最高权限,并通过读取数据库日志文件,反推破译出密码。从2005年3月至7月,程稚瀚先后4次侵入北京移动数据库,修改充值卡的时间和金额,将已充值的充值卡状态改为未充值,共修改复制出上万个充值卡密码。他还将盗出的充值卡密码通过淘宝网出售,共获利380余万元。直到2005年7月,由于一次“疏忽”,程稚瀚将一批
10、充值卡售出时,忘了修改使用期限,使用期限仍为90天。购买到这批充值卡的用户因无法使用便投诉到北京移动,北京移动才发现有6600张充值卡被非法复制,立即报警。2005年8月24日,程稚瀚在深圳被抓获,所获赃款全部起获。安全意识的重要性事件反思一:个人的安全意识 一念之差从一个月薪万元的白领沦为一文不名的阶下囚,而且还得熬过12年,进去时31岁,出来时已是43岁,一个男人事业的黄金期就这样错过了,旁人都感到惋惜,更何况自己的父母妻子,所以人在关键时刻是否能把握住自己不是一瞬间的事,而是一个长期积累的过程,行成于思毁于随,意识决定行为,行为决定结果,如果平时不注意提升自己的意识水平,到了关键时候将很
11、难把握住自己。安全意识的重要性反思二:企业的安全意识 这个案件之所以会发生,最重要的原因就在于西藏移动公司缺乏健全的安全管理制度,维护人员缺乏安全意识,这才给了案犯可乘之机。而案犯竟然可以从西藏的系统侵入北京的数据库,北京移动花重金安装的网络安全系统却没有发挥作用,凭的是什么呢?就凭一个密码,一个几年都没改过的密码。从这个案例我们可以看出,安全意识不但决定着个人的前途也影响着企业的命运,所以奉劝大家无论在什么事的时候都要三思而行,更不要小看你们手中的那一个小小的密码。在你的手中它可能不算什么,但到了黑客手里,却可以用它来翻天覆地。安全意识的重要性 小结:技术本身实际上是信息安全体系里最不重要的
12、部分了。不管一项技术有多先进,都只不过是辅助实现信息安全的手段而已。我们并不是认为技术不重要,但在信息安全的架构里,它一定要在好的信息安全治理的基础上,信息安全归根到底是管理和治理层面的问题。尤其是对人的管理是安全管理体系中最重要的,人的安全意识水平决定着企业的安全管理水平。议程二安全意安全意识的重要性的重要性网管中心安全策略网管中心安全策略简介介安全操作技巧与常安全操作技巧与常识网管中心安全理念安全理念安全是个过程 安全是有相对的安全策略反映着人权、文化安全是一种服务安全体系的建设实质是安全文化建设网管中心安全策略帐户安全策略终端安全策略 补丁、防毒、防火墙、外设管理、系统策略互连网访问策略
13、移动办公安全策略文档策略(1G、极重要文档存放)邮件策略安全管理制度帐户安全策略网管帐户号能做什么?-身份1、收发邮件;2、上博客、BBS;3、查看各种企业信息;4、打电话;5、发短信/彩信6、上互连网;7、其它各种授权访问的资源帐户安全策略使用网管帐户应注意的问题1、帐户唯一性,禁止共用;2、帐户重名的处理;3、帐户禁用/锁定/有效期;4、帐户审计;5、帐户绑定手机;6、相片、生日等个性信息;密码策略帐户策略:帐户锁定策略帐户问题申告申告 问题描述清晰:描述清晰:锁定?密定?密码错误?帐户与与终端无关性端无关性 帐户不能用不能用时如何如何发申告?申告?AD、SD、OA帐户的关系的关系帐户更改
14、更改帐户密密码的方法的方法解除解除帐户锁定的方法定的方法:编辑短信js发送到便可立即解锁设定密码的技巧不包含全部或部分的用不包含全部或部分的用户帐户名名 长度至少度至少为8个字符个字符 包含来自以下四个包含来自以下四个类别中的三个的字符:中的三个的字符:英文大写字母(从英文大写字母(从 A 到到 Z)英文小写字母(从英文小写字母(从 a 到到 z)10 个基本数字(从个基本数字(从 0 到到 9)非字母字符(例如,非字母字符(例如,!、$、#、%)更改或更改或创建密建密码时,会,会强制制执行复行复杂性要求。性要求。终端安全策略终端的重要性病从口入-终端是网络安全的第一道防线;终端安全影响着网络
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全意识培训监控 安全意识 培训 监控 PPT 课件
限制150内