文档介绍：信息安全意识培训课件
信息安全意识培训课件信息安全意识培训课件
什么是安全意识？
安全意识（Security awareness），就是能够认知可能存在的安全问题，明白安全事故对组织的危害，恪守正确的行为方式，并且清楚在安全事故发生时所应采取的措施。
2
我们的目标
建立对信息安全的敏感意识和正确认识
掌握信息安全的基本概念、原则和惯例
了解信息安全管理体系（ISMS）概况
清楚可能面临的威胁和风险
遵守IDC各项安全策略和制度
在日常工作中养成良好的安全习惯
最终提升IDC整体的信息安全水平
3
制作说明
本培训材料由IDC信息安全管理体系实施组织安全执行委员会编写，并经安全管理委员会批准，供IDC内部学习使用，旨在贯彻IDC信息安全策略和各项管理制度，全面提升员工信息安全意识。
4
现实教训
追踪问题的根源
掌握基本概念
了解信息安全管理体系
建立良好的安全习惯
重要信息的保密
信息交换及备份
软件使用安全
计算机及网络访问安全
人员及第三方安全管理
移动计算及远程办公
工作环境及物理安全要求
防范病毒和恶意代码
口令安全
电子邮件安全
介质安全管理
警惕社会工程学
应急响应和业务连续性计划
法律法规
寻求帮助
目录
5
严峻的现实！
惨痛的教训！
第1部分
6
在线银行——一颗定时炸弹。
最近，南非的Absa银行遇到了麻烦，它的互联网银行服务发生一系列安全事件，导致其客户成百万美元的损失。Absa银行声称自己的系统是绝对安全的，而把责任归结为客户所犯的安全错误上。Absa银行的这种处理方式遭致广泛批评。那么，究竟是怎么回事呢？
一起国外的金融计算机犯罪案例
7
前因后果是这样的 ……
Absa是南非最大的一家银行，占有35%的市场份额，其Internet银行业务拥有40多万客户。
2003年6、7月间，一个30岁男子，盯上了Absa的在线客户，向这些客户发送携带有间谍软件（spyware）的邮件，并成功获得众多客户的账号信息，从而通过Internet进行非法转帐，先后致使10个Absa的在线客户损失达数万法郎。
该男子后来被南非警方逮捕。
8
间谍软件 —— eBlaster
这是一个商业软件（/），该软件本意是帮助父母或老板监视孩子或雇员的上网活动
该软件可记录包括电子邮件、网上聊天、即使消息、Web访问、键盘操作等活动，并将记录信息悄悄发到指定邮箱
商业杀毒软件一般都忽略了这个商业软件
本案犯罪人就是用邮件附件方式，欺骗受害者执行该软件，然后窃取其网上银行账号和PIN码信息的
9
我们来总结一下教训
Absa声称不是自己的责任，而是客户的问题
安全专家和权威评论员则认为：Absa应负必要责任，其电子银行的安全性值得怀疑
Deloitte安全专家Rogan Dawes认为：Absa应向其客户灌输更多安全意识，并在易用性和安全性方面达成平衡
IT技术专家则认为：电子银行应采用更强健的双因素认证机制（口令或PIN＋智能卡），而不是简单的口令
我们认为：Absa银行和客户都有责任
10