文档介绍：全员安全意识培训
从《别忘了关门》的故事说起……
不妨换个思维
《商学院》2005年第七期的一篇文章,《别忘了关门》
另眼看信息安全
信息安全除了是故事中的围栏之外,
还是那道千万别忘记关的门,还有
那颗别忘了关门的心———
安全意识
安全意识(Security awareness)
就是能够认知可能存在的安全问题,明白安全事故对组织的危害,恪守正确的行为方式,并且清楚在安全事故发生时所应采取的措施。
什么是信息安全意识
你意识到了吗?
社会工程和网络钓鱼等等攻击手段是当前普遍存在的攻击方式
钓鱼(Phishing)
社会工程的一种类型
利用电子邮件或恶意网站吸引受害者
伪装成有名的、可信的网站
通常为了金钱或个人信息
网站要求用户填入账户或个人信息
社会工程
利用人际交往
伪装为可信的人士
新进员工、维修工、研究员等
持有个人身份证明
通过询问获得信息。可能从多个来源获取足够信息
获得公司或个人的计算机或私人信息
议题
需要了解基本概念
公司的信息安全项目进行得怎样了?
全员应该具备安全知识和技能
对信息安全的容易误解的地方
6
理解和铺垫
基本概念
什么是信息?
8
什么是信息?
数据
011010010111101100101010100100110100101**********
符号
图片
语音
什么是信息安全?
C
保密性(Confidentiality)——确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。
完整性(Integrity)——确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。
可用性(Availability)——确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:
I
A
D
isclosure
A
lteration
D
estruction
泄漏
破坏
篡改
信息安全的三要素CIA
什么是信息安全?
信息安全的实质
采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。
Confidentiality
Integrity
Availability
Information