企業(yè)信息安全培訓(xùn)課件(管理層)

企業(yè)信息安全企業(yè)信息安全1目錄頁安全信息概述一企業(yè)信息安全作用二企業(yè)信息安全威脅因素三信息安全工作職責(zé)四五如何保證企業(yè)信息安全目錄頁安全信息概述一企業(yè)信息安全作用二企業(yè)信息安全威脅因素三2信息安全：保障計(jì)算機(jī)及相關(guān)的和配套的設(shè)備、設(shè)施（網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)系統(tǒng)的安全。企業(yè)信息化：企業(yè)信息化是指企業(yè)廣泛利用現(xiàn)代信息技術(shù)，充分開發(fā)和利用企業(yè)內(nèi)部或外部的，企業(yè)可能得到和利用的，并與企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)有關(guān)的各種信息，以便及時(shí)把握機(jī)會(huì)，做出決策，增進(jìn)運(yùn)行效率，從而提高企業(yè)競(jìng)爭(zhēng)力水平和經(jīng)濟(jì)效益的過程。一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息化特征4企業(yè)信息化內(nèi)容一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息4企業(yè)信息3保密性：確保信息沒有非授權(quán)的泄漏，不被非授權(quán)的個(gè)人、組織和計(jì)算機(jī)程序使用完整性：確保信息沒有遭到篡改和破壞可用性：確保擁有授權(quán)的用戶或程序可以及時(shí)、正常使用信息一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息化特征4企業(yè)信息化內(nèi)容一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息4企業(yè)信息4一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息化特征4企業(yè)信息化內(nèi)容保密性！不該知道的人，不讓他知道！完整性！信息不能追求殘缺美！可用性！信息要方便、快捷！不能像某國(guó)首都二環(huán)早高峰，也不能像春運(yùn)的火車站一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息4企業(yè)信息保5實(shí)體安全：是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施和過程。實(shí)際上，實(shí)體安全是指環(huán)境安全、設(shè)備安全和媒體安全。運(yùn)行安全：是為了保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供的一套安全措施來保護(hù)信息處理過程的安全。為了保障系統(tǒng)功能的安全，可以采取風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急處理等措施。信息資產(chǎn)安全：是防止信息資產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨識(shí)、控制，即確保信息的完整性、可用性、保密性和可控性。信息資產(chǎn)包括文件、數(shù)據(jù)等。信息資產(chǎn)安全包括操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全、病毒防護(hù)、訪問控制、加密、鑒別等。人員安全：主要是指信息系統(tǒng)使用人員的安全意識(shí)、法律意識(shí)、安全技能等。人員的安全意識(shí)是與其所掌握的安全技能有關(guān)，而安全技能又與其所接受安全技能培訓(xùn)有關(guān)。因此，人員的安全意識(shí)是通過培訓(xùn)，以及安全技能的積累才能逐步提高，人員安全在特定環(huán)境下、特定時(shí)間內(nèi)是一定的。一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息化特征4企業(yè)信息化內(nèi)容實(shí)體安全：是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地6圍繞企業(yè)使命一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息化特征4企業(yè)信息化內(nèi)容企業(yè)利益企業(yè)公民責(zé)任客戶權(quán)益企業(yè)使命客戶權(quán)益企業(yè)利益企業(yè)公民責(zé)任

主要內(nèi)容正當(dāng)消費(fèi)、交易行為個(gè)人隱私信息個(gè)人資金、虛擬財(cái)產(chǎn)

主要內(nèi)容企業(yè)運(yùn)營(yíng)秩序企業(yè)競(jìng)爭(zhēng)力企業(yè)資產(chǎn)保障

主要內(nèi)容契約精神法律、法規(guī)符合監(jiān)管要求圍繞作用關(guān)系圍繞企業(yè)使命一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息71、提高企業(yè)經(jīng)營(yíng)管理信息的準(zhǔn)確性和及時(shí)性，有助于企業(yè)決策的進(jìn)一步科學(xué)化。2、促使企業(yè)業(yè)務(wù)辦事程序和管理程序更加合理，從而有助于增強(qiáng)企業(yè)的快速反應(yīng)能力。3、進(jìn)一步促進(jìn)企業(yè)資源的合理組合及利用，使其在現(xiàn)有資源條件下達(dá)到最佳利用效果，從而大大提高企業(yè)的生產(chǎn)經(jīng)營(yíng)效率和管理效率。4、給企業(yè)提供一個(gè)的強(qiáng)大、快捷的信息交流平臺(tái)，有助于我們緊緊跟蹤一些先進(jìn)經(jīng)驗(yàn)和成果，從而有助企業(yè)的發(fā)展，提高員工的創(chuàng)新能力。二、企業(yè)信息安全作用互聯(lián)網(wǎng)時(shí)代1、提高企業(yè)經(jīng)營(yíng)管理信息的準(zhǔn)確性和及時(shí)性，有助于企業(yè)決策的進(jìn)82010年1-2月，基礎(chǔ)電信企業(yè)互聯(lián)網(wǎng)寬帶接入用戶凈增359.3萬戶，達(dá)到10681.8萬戶1-4月，我國(guó)生產(chǎn)生產(chǎn)手機(jī)23290萬部，增長(zhǎng)34.5%;微型計(jì)算機(jī)7112萬臺(tái)，增長(zhǎng)50.1%，其中筆記本電腦增長(zhǎng)50.6%;集成電路190億塊，增長(zhǎng)78.5%1-4月，我國(guó)累計(jì)實(shí)現(xiàn)軟件業(yè)務(wù)收入3626億元，同比增長(zhǎng)28.7%。信息技術(shù)增值服務(wù)收入同比增長(zhǎng)38.1%。集成電路設(shè)計(jì)開發(fā)收入228億元，同比增長(zhǎng)63%。軟件產(chǎn)品、系統(tǒng)集成和支持服務(wù)、信息技術(shù)咨詢和管理服務(wù)、嵌入式系統(tǒng)軟件、分別實(shí)現(xiàn)1333、728、320和638億元，分別增長(zhǎng)27%、25.1%、26.3%、23%。我國(guó)信息化迅猛發(fā)展的數(shù)據(jù)體現(xiàn)？2010年1-2月，基礎(chǔ)電信企業(yè)互聯(lián)網(wǎng)寬帶接入用戶凈增35991、安全保障體系建設(shè)的主要貢獻(xiàn)者.

-安全保障體系的設(shè)計(jì)與構(gòu)建；包含：技術(shù)體系和管理體系。-安全合規(guī)基線的解讀及實(shí)現(xiàn)策略的設(shè)定。-安全培訓(xùn)、宣導(dǎo)系統(tǒng)的建設(shè)。2、安全保障體系運(yùn)行狀況的檢查者.

-安全管理、技術(shù)舉措的執(zhí)行效果-安全管理、技術(shù)舉措的適用度

-安全體系PDCA的狀態(tài)-安全巡檢工作開展

-安全事件的事后審勢(shì)3、安全合規(guī)、事件處置的支持者.

-生產(chǎn)運(yùn)行活動(dòng)-商業(yè)行為活動(dòng)-安全事件的響應(yīng)

-安全合規(guī)、整改活動(dòng)三、企業(yè)信息安全工作人員職責(zé)1、安全保障體系建設(shè)的主要貢獻(xiàn)者.三、企業(yè)信息安全工作人員職10四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素信息資產(chǎn)拒絕服務(wù)邏輯炸彈黑客滲透內(nèi)部人員威脅木馬后門病毒和蠕蟲社會(huì)工程系統(tǒng)Bug硬件故障網(wǎng)絡(luò)通信故障供電中斷失火雷雨地震四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素信11四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素1、系統(tǒng)的繁雜性。體現(xiàn)：工作站中存在信息數(shù)據(jù)、移動(dòng)介質(zhì)、網(wǎng)絡(luò)中其他系統(tǒng)、網(wǎng)絡(luò)中其他資源、訪問Internet、訪問其他局域網(wǎng)、到Internet的其他路由、電話和調(diào)制解調(diào)器、開放的網(wǎng)絡(luò)端口、遠(yuǎn)程用戶、廠商和合同方的訪問、訪問外部資源、公共信息服務(wù)、運(yùn)行維護(hù)環(huán)境2、系統(tǒng)、程序、設(shè)備中存在的漏洞和缺陷體現(xiàn)：舊版本的瀏覽器和易受攻擊的插件、包含不良內(nèi)容的好網(wǎng)站、移動(dòng)應(yīng)用程序和不安全的Web、不安全的“物聯(lián)網(wǎng)”四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素112四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素自然因素的破壞是一種不可抵抗的破壞力，只能做好預(yù)防方針，防患于未然。自然災(zāi)害火災(zāi)雷電洪水臺(tái)風(fēng)四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素自13四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素人是最關(guān)鍵的因素判斷威脅來源，綜合了人為因素和系統(tǒng)自身邏輯與物理上諸多因素在一起，歸根結(jié)底，還是人起著決定性的作用正是因?yàn)槿嗽谟幸猓ü羝茐模┗驘o意（誤操作、誤配置）間的活動(dòng)，才給信息系統(tǒng)安全帶來了隱患和威脅四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素人14四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素黑客等企業(yè)外部人員的威脅了解一些黑客攻擊手段很有必要踩點(diǎn)：千方百計(jì)搜集信息，明確攻擊目標(biāo)掃描：通過網(wǎng)絡(luò)，用工具來找到目標(biāo)系統(tǒng)的漏洞DoS攻擊：拒絕服務(wù)，是一種破壞性攻擊，目的是使資源不可用DDoS攻擊：是DoS的延伸，更大規(guī)模，多點(diǎn)對(duì)一點(diǎn)實(shí)施攻擊滲透攻擊：利用攻擊軟件，遠(yuǎn)程得到目標(biāo)系統(tǒng)的訪問權(quán)或控制權(quán)遠(yuǎn)程控制：利用安裝的后門來實(shí)施隱蔽而方便的控制網(wǎng)絡(luò)蠕蟲：一種自動(dòng)擴(kuò)散的惡意代碼，就像一個(gè)不受控的黑客踩點(diǎn)掃描破壞攻擊滲透攻擊獲得訪問權(quán)獲得控制權(quán)清除痕跡安裝后門遠(yuǎn)程控制轉(zhuǎn)移目標(biāo)竊密破壞四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素黑15出生于1964年

15歲入侵北美空軍防務(wù)指揮系統(tǒng)，竊取核彈機(jī)密入侵太平洋電話公司的通信網(wǎng)絡(luò)入侵聯(lián)邦調(diào)查局電腦網(wǎng)絡(luò)，戲弄調(diào)查人員

16歲被捕，但旋即獲釋入侵摩托羅拉、Novell、Sun、Nokia等大公司與聯(lián)邦調(diào)查局玩貓捉老鼠的游戲

1995年被抓獲，被判5年監(jiān)禁獲釋后禁止接觸電子物品，禁止從事計(jì)算機(jī)行業(yè)世界頭號(hào)黑客——KevinMitnick出生于1964年世界頭號(hào)黑客——KevinMitni16四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素威脅更多是來自公司內(nèi)部黑客雖然可怕，可更多時(shí)候，內(nèi)部人員威脅卻更易被忽略，但卻更容易造成危害。管理弱點(diǎn)：策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等的不足

據(jù)權(quán)威部門統(tǒng)計(jì)，內(nèi)部人員犯罪（或與內(nèi)部人員有關(guān)的犯罪）占到了計(jì)算機(jī)犯罪總量的70%以上。員工誤操作蓄意破壞公司資源私用四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素威17將口令寫在便簽上，貼在電腦監(jiān)視器旁開著電腦離開，就像離開家卻忘記關(guān)燈那樣輕易相信來自陌生人的郵件，好奇打開郵件附件使用容易猜測(cè)的口令，或者根本不設(shè)口令丟失筆記本電腦不能保守秘密，口無遮攔，上當(dāng)受騙，泄漏敏感信息隨便撥號(hào)上網(wǎng)，或者隨意將無關(guān)設(shè)備連入公司網(wǎng)絡(luò)事不關(guān)己，高高掛起，不報(bào)告安全事件在系統(tǒng)更新和安裝補(bǔ)丁上總是行動(dòng)遲緩只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題人最常犯的一些信息安全錯(cuò)誤將口令寫在便簽上，貼在電腦監(jiān)視器旁人最常犯的一些信息安全錯(cuò)誤18五、如何保證企業(yè)信息安全1培養(yǎng)員工安全意識(shí)2制定企業(yè)信息安全管理制度外因是條件內(nèi)因才是根本！一個(gè)巴掌拍不響！提高人員安全意識(shí)和素質(zhì)勢(shì)在必行！五、如何保證企業(yè)信息安全1培養(yǎng)員工安全意識(shí)2制定企業(yè)信息安全19五、如何保證企業(yè)信息安全1培養(yǎng)員工安全意識(shí)2制定企業(yè)信息安全管理制度2慎重打開不明郵件。好奇心過強(qiáng)，對(duì)于系統(tǒng)提示為垃圾郵件、釣魚郵件的內(nèi)容充滿好奇心，點(diǎn)開之后會(huì)導(dǎo)致一些病毒等侵入系統(tǒng)，導(dǎo)致信息泄露。垃圾郵件釣魚郵件五、如何保證企業(yè)信息安全1培養(yǎng)員工安全意識(shí)2制定企業(yè)信息安全20五、如何保證企業(yè)信息安全1培養(yǎng)員工安全意識(shí)2制定企業(yè)信息安全管理制度

個(gè)人計(jì)算機(jī)信息安全防護(hù)口令防病毒軟件補(bǔ)丁管理帳戶管理移動(dòng)存儲(chǔ)設(shè)備管理共享、網(wǎng)絡(luò)安全軟件更新、配置日志、審核服務(wù)管理3、熟悉電腦保護(hù)知識(shí)。了解電腦密碼、病毒處理等方法，減少信息泄露。五、如何保證企業(yè)信息安全1培養(yǎng)員工安全意識(shí)2制定企業(yè)信息安全21五、如何保證企業(yè)信息安全1培養(yǎng)員工安全意識(shí)2制定企業(yè)信息安全管理制度1、明確信息安全責(zé)任，健全信息安全事故調(diào)查機(jī)制。建立安全組織與落實(shí)責(zé)任是實(shí)施信息安全管理的第一步。

誰主管誰負(fù)責(zé)，誰運(yùn)營(yíng)誰負(fù)責(zé)！五、如何保證企業(yè)信息安全1培養(yǎng)員工安全意識(shí)2制定企業(yè)信息安全22五、如何保證企業(yè)信息安全1培養(yǎng)員工安全意識(shí)2制定企業(yè)信息安全管理制度2、宣傳公司信息安全獎(jiǎng)懲制度，鼓動(dòng)員工維護(hù)信息安全的積極性。根據(jù)《（集團(tuán)）信息安全獎(jiǎng)懲管理規(guī)定》第23條規(guī)定：安全獎(jiǎng)勵(lì)事件對(duì)應(yīng)三類獎(jiǎng)懲級(jí)別，從貢獻(xiàn)程度由高到低分為：一級(jí)獎(jiǎng)勵(lì)、二級(jí)獎(jiǎng)勵(lì)、三級(jí)獎(jiǎng)勵(lì)。分別對(duì)應(yīng)獎(jiǎng)勵(lì)金額：3000元、2000員、1000元。根據(jù)《（集團(tuán)）信息安全獎(jiǎng)懲管理規(guī)定》第27條規(guī)定：根據(jù)違規(guī)事實(shí)的性質(zhì)和情節(jié)，分別予以口頭警告、書面警告、通報(bào)批評(píng)及解除勞動(dòng)合同的處分，同時(shí)本集團(tuán)有權(quán)作出罰款、降薪、降職、調(diào)崗等處罰規(guī)定。五、如何保證企業(yè)信息安全1培養(yǎng)員工安全意識(shí)2制定企業(yè)信息安全23案例1

案例124案例2

案例225謝謝企業(yè)信息安全謝謝企業(yè)信息安全26企業(yè)信息安全企業(yè)信息安全27目錄頁安全信息概述一企業(yè)信息安全作用二企業(yè)信息安全威脅因素三信息安全工作職責(zé)四五如何保證企業(yè)信息安全目錄頁安全信息概述一企業(yè)信息安全作用二企業(yè)信息安全威脅因素三28信息安全：保障計(jì)算機(jī)及相關(guān)的和配套的設(shè)備、設(shè)施（網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)系統(tǒng)的安全。企業(yè)信息化：企業(yè)信息化是指企業(yè)廣泛利用現(xiàn)代信息技術(shù)，充分開發(fā)和利用企業(yè)內(nèi)部或外部的，企業(yè)可能得到和利用的，并與企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)有關(guān)的各種信息，以便及時(shí)把握機(jī)會(huì)，做出決策，增進(jìn)運(yùn)行效率，從而提高企業(yè)競(jìng)爭(zhēng)力水平和經(jīng)濟(jì)效益的過程。一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息化特征4企業(yè)信息化內(nèi)容一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息4企業(yè)信息29保密性：確保信息沒有非授權(quán)的泄漏，不被非授權(quán)的個(gè)人、組織和計(jì)算機(jī)程序使用完整性：確保信息沒有遭到篡改和破壞可用性：確保擁有授權(quán)的用戶或程序可以及時(shí)、正常使用信息一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息化特征4企業(yè)信息化內(nèi)容一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息4企業(yè)信息30一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息化特征4企業(yè)信息化內(nèi)容保密性！不該知道的人，不讓他知道！完整性！信息不能追求殘缺美！可用性！信息要方便、快捷！不能像某國(guó)首都二環(huán)早高峰，也不能像春運(yùn)的火車站一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息4企業(yè)信息保31實(shí)體安全：是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施和過程。實(shí)際上，實(shí)體安全是指環(huán)境安全、設(shè)備安全和媒體安全。運(yùn)行安全：是為了保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供的一套安全措施來保護(hù)信息處理過程的安全。為了保障系統(tǒng)功能的安全，可以采取風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急處理等措施。信息資產(chǎn)安全：是防止信息資產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨識(shí)、控制，即確保信息的完整性、可用性、保密性和可控性。信息資產(chǎn)包括文件、數(shù)據(jù)等。信息資產(chǎn)安全包括操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全、病毒防護(hù)、訪問控制、加密、鑒別等。人員安全：主要是指信息系統(tǒng)使用人員的安全意識(shí)、法律意識(shí)、安全技能等。人員的安全意識(shí)是與其所掌握的安全技能有關(guān)，而安全技能又與其所接受安全技能培訓(xùn)有關(guān)。因此，人員的安全意識(shí)是通過培訓(xùn)，以及安全技能的積累才能逐步提高，人員安全在特定環(huán)境下、特定時(shí)間內(nèi)是一定的。一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息化特征4企業(yè)信息化內(nèi)容實(shí)體安全：是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地32圍繞企業(yè)使命一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息化特征4企業(yè)信息化內(nèi)容企業(yè)利益企業(yè)公民責(zé)任客戶權(quán)益企業(yè)使命客戶權(quán)益企業(yè)利益企業(yè)公民責(zé)任

主要內(nèi)容正當(dāng)消費(fèi)、交易行為個(gè)人隱私信息個(gè)人資金、虛擬財(cái)產(chǎn)

主要內(nèi)容企業(yè)運(yùn)營(yíng)秩序企業(yè)競(jìng)爭(zhēng)力企業(yè)資產(chǎn)保障

主要內(nèi)容契約精神法律、法規(guī)符合監(jiān)管要求圍繞作用關(guān)系圍繞企業(yè)使命一、信息安全概述1信息安全2企業(yè)信息化3企業(yè)信息331、提高企業(yè)經(jīng)營(yíng)管理信息的準(zhǔn)確性和及時(shí)性，有助于企業(yè)決策的進(jìn)一步科學(xué)化。2、促使企業(yè)業(yè)務(wù)辦事程序和管理程序更加合理，從而有助于增強(qiáng)企業(yè)的快速反應(yīng)能力。3、進(jìn)一步促進(jìn)企業(yè)資源的合理組合及利用，使其在現(xiàn)有資源條件下達(dá)到最佳利用效果，從而大大提高企業(yè)的生產(chǎn)經(jīng)營(yíng)效率和管理效率。4、給企業(yè)提供一個(gè)的強(qiáng)大、快捷的信息交流平臺(tái)，有助于我們緊緊跟蹤一些先進(jìn)經(jīng)驗(yàn)和成果，從而有助企業(yè)的發(fā)展，提高員工的創(chuàng)新能力。二、企業(yè)信息安全作用互聯(lián)網(wǎng)時(shí)代1、提高企業(yè)經(jīng)營(yíng)管理信息的準(zhǔn)確性和及時(shí)性，有助于企業(yè)決策的進(jìn)342010年1-2月，基礎(chǔ)電信企業(yè)互聯(lián)網(wǎng)寬帶接入用戶凈增359.3萬戶，達(dá)到10681.8萬戶1-4月，我國(guó)生產(chǎn)生產(chǎn)手機(jī)23290萬部，增長(zhǎng)34.5%;微型計(jì)算機(jī)7112萬臺(tái)，增長(zhǎng)50.1%，其中筆記本電腦增長(zhǎng)50.6%;集成電路190億塊，增長(zhǎng)78.5%1-4月，我國(guó)累計(jì)實(shí)現(xiàn)軟件業(yè)務(wù)收入3626億元，同比增長(zhǎng)28.7%。信息技術(shù)增值服務(wù)收入同比增長(zhǎng)38.1%。集成電路設(shè)計(jì)開發(fā)收入228億元，同比增長(zhǎng)63%。軟件產(chǎn)品、系統(tǒng)集成和支持服務(wù)、信息技術(shù)咨詢和管理服務(wù)、嵌入式系統(tǒng)軟件、分別實(shí)現(xiàn)1333、728、320和638億元，分別增長(zhǎng)27%、25.1%、26.3%、23%。我國(guó)信息化迅猛發(fā)展的數(shù)據(jù)體現(xiàn)？2010年1-2月，基礎(chǔ)電信企業(yè)互聯(lián)網(wǎng)寬帶接入用戶凈增359351、安全保障體系建設(shè)的主要貢獻(xiàn)者.

-安全保障體系的設(shè)計(jì)與構(gòu)建；包含：技術(shù)體系和管理體系。-安全合規(guī)基線的解讀及實(shí)現(xiàn)策略的設(shè)定。-安全培訓(xùn)、宣導(dǎo)系統(tǒng)的建設(shè)。2、安全保障體系運(yùn)行狀況的檢查者.

-安全管理、技術(shù)舉措的執(zhí)行效果-安全管理、技術(shù)舉措的適用度

-安全體系PDCA的狀態(tài)-安全巡檢工作開展

-安全事件的事后審勢(shì)3、安全合規(guī)、事件處置的支持者.

-生產(chǎn)運(yùn)行活動(dòng)-商業(yè)行為活動(dòng)-安全事件的響應(yīng)

-安全合規(guī)、整改活動(dòng)三、企業(yè)信息安全工作人員職責(zé)1、安全保障體系建設(shè)的主要貢獻(xiàn)者.三、企業(yè)信息安全工作人員職36四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素信息資產(chǎn)拒絕服務(wù)邏輯炸彈黑客滲透內(nèi)部人員威脅木馬后門病毒和蠕蟲社會(huì)工程系統(tǒng)Bug硬件故障網(wǎng)絡(luò)通信故障供電中斷失火雷雨地震四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素信37四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素1、系統(tǒng)的繁雜性。體現(xiàn)：工作站中存在信息數(shù)據(jù)、移動(dòng)介質(zhì)、網(wǎng)絡(luò)中其他系統(tǒng)、網(wǎng)絡(luò)中其他資源、訪問Internet、訪問其他局域網(wǎng)、到Internet的其他路由、電話和調(diào)制解調(diào)器、開放的網(wǎng)絡(luò)端口、遠(yuǎn)程用戶、廠商和合同方的訪問、訪問外部資源、公共信息服務(wù)、運(yùn)行維護(hù)環(huán)境2、系統(tǒng)、程序、設(shè)備中存在的漏洞和缺陷體現(xiàn)：舊版本的瀏覽器和易受攻擊的插件、包含不良內(nèi)容的好網(wǎng)站、移動(dòng)應(yīng)用程序和不安全的Web、不安全的“物聯(lián)網(wǎng)”四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素138四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素自然因素的破壞是一種不可抵抗的破壞力，只能做好預(yù)防方針，防患于未然。自然災(zāi)害火災(zāi)雷電洪水臺(tái)風(fēng)四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素自39四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素人是最關(guān)鍵的因素判斷威脅來源，綜合了人為因素和系統(tǒng)自身邏輯與物理上諸多因素在一起，歸根結(jié)底，還是人起著決定性的作用正是因?yàn)槿嗽谟幸猓ü羝茐模┗驘o意（誤操作、誤配置）間的活動(dòng)，才給信息系統(tǒng)安全帶來了隱患和威脅四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素人40四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素黑客等企業(yè)外部人員的威脅了解一些黑客攻擊手段很有必要踩點(diǎn)：千方百計(jì)搜集信息，明確攻擊目標(biāo)掃描：通過網(wǎng)絡(luò)，用工具來找到目標(biāo)系統(tǒng)的漏洞DoS攻擊：拒絕服務(wù)，是一種破壞性攻擊，目的是使資源不可用DDoS攻擊：是DoS的延伸，更大規(guī)模，多點(diǎn)對(duì)一點(diǎn)實(shí)施攻擊滲透攻擊：利用攻擊軟件，遠(yuǎn)程得到目標(biāo)系統(tǒng)的訪問權(quán)或控制權(quán)遠(yuǎn)程控制：利用安裝的后門來實(shí)施隱蔽而方便的控制網(wǎng)絡(luò)蠕蟲：一種自動(dòng)擴(kuò)散的惡意代碼，就像一個(gè)不受控的黑客踩點(diǎn)掃描破壞攻擊滲透攻擊獲得訪問權(quán)獲得控制權(quán)清除痕跡安裝后門遠(yuǎn)程控制轉(zhuǎn)移目標(biāo)竊密破壞四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素黑41出生于1964年

15歲入侵北美空軍防務(wù)指揮系統(tǒng)，竊取核彈機(jī)密入侵太平洋電話公司的通信網(wǎng)絡(luò)入侵聯(lián)邦調(diào)查局電腦網(wǎng)絡(luò)，戲弄調(diào)查人員

16歲被捕，但旋即獲釋入侵摩托羅拉、Novell、Sun、Nokia等大公司與聯(lián)邦調(diào)查局玩貓捉老鼠的游戲

1995年被抓獲，被判5年監(jiān)禁獲釋后禁止接觸電子物品，禁止從事計(jì)算機(jī)行業(yè)世界頭號(hào)黑客——KevinMitnick出生于1964年世界頭號(hào)黑客——KevinMitni42四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素威脅更多是來自公司內(nèi)部黑客雖然可怕，可更多時(shí)候，內(nèi)部人員威脅卻更易被忽略，但卻更容易造成危害。管理弱點(diǎn)：策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等的不足

據(jù)權(quán)威部門統(tǒng)計(jì)，內(nèi)部人員犯罪（或與內(nèi)部人員有關(guān)的犯罪）占到了計(jì)算機(jī)犯罪總量的70%以上。員工誤操作蓄意破壞公司資源私用四、企業(yè)信息安全威脅因素1系統(tǒng)因素2自然因素破壞3人為因素威43將口令寫在便簽上，貼在電腦監(jiān)視器旁開著電腦離開，就像離開家卻忘記關(guān)燈那樣輕易相信來自陌生人的郵件，好奇打開郵件附件使用容易猜測(cè)的口令，或者根本不設(shè)口令丟失筆記本電腦不能保守秘密，口無遮攔，上當(dāng)受騙，泄漏敏感信息隨便撥號(hào)上網(wǎng)，或者隨意將無關(guān)設(shè)備連入公司網(wǎng)絡(luò)事不關(guān)己，高高掛起，不報(bào)告安全事件在系統(tǒng)更新和安裝補(bǔ)丁上總是行動(dòng)遲緩只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題人最常犯的一些信息安全錯(cuò)誤將口令寫在便簽上，貼在電腦監(jiān)視器旁人最常犯的一些信息安全錯(cuò)誤44五、如何保證企業(yè)信息安全1培養(yǎng)員工安全意識(shí)2制定企業(yè)信息安全管理制度外因是條件內(nèi)因才是根本！一個(gè)巴掌拍不響！提高人員安全意識(shí)和素質(zhì)勢(shì)在必行！五、如何保證企業(yè)信息安全1培養(yǎng)