信息安全意识培训PPT课件下载推荐.pptx

信息安全意识培训PPT课件下载推荐.pptx

《信息安全意识培训PPT课件下载推荐.pptx》由会员分享，可在线阅读，更多相关《信息安全意识培训PPT课件下载推荐.pptx（65页珍藏版）》请在冰豆网上搜索。

,I,A,信息安全的三要素CIA,1.1信息安全理论,您是否知道：

每400封邮件中就有1封包含机密信息；

每50份通过网络传输的文件中就有1份包含机密数据；

50的USB盘中包含机密信息；

80的公司在丢失笔记本电脑后会发生泄密事件；

在美国平均每次数据泄密事件导致的财务损失高达630万美金；

数据泄漏导致客户流失的比例正在以每年11%的速率上升；

SOX,HIPPA,PCI以及中国的企业内控基本规范都要求企业保护机密信息；

信息保护正日益成为安全管理和风险控制的核心内容；

1.2案例介绍,棱镜门事件：

2013年6月，一位名为爱德华斯诺登的前美国中央情报局（CIA）雇员在香港露面，并向媒体披露了一些机密文件，致使包括“棱镜”项目在内的美国政府多个秘密情报监视项目遭到披露。

“棱镜”项目涉及美国情报机构在互联网上对包括中国在内的多个国家10类主要信息进行监听，其包括电邮信息、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料等细节。

涉及“棱镜门”的思科产品，在国内主干通讯网络中占据了70%以上份额，把持了所有超级核心节点，这无异于在国内的主要通讯网络中埋下了高危的定时炸弹，各类敏感信息随时都面临被第三方监听、备份的风险。

1.2案例介绍,个人信息安全：

2016年5月，湖北襄阳公安机关网安部门接群众举报称，本地网民李某某涉嫌通过网络大量贩卖公民个人信息。

接报后，襄阳公安机关成立专案组立案侦查。

经缜密侦查，专案组抓获郑某某、黄某某、郭某等7人。

经查，2009年10月，郑某某等人在襄阳、宜昌两地成立襄阳某信息科技有限公司及宜昌分公司，从事短信营销和微信公众平台制作业务。

在公司运营的7年间，该团伙利用其短信营销平台，不断获取客户上传信息，形成了一个多达200余万条的公民个人信息资料库，并将该库中的手机号码信息作为增值业务，提供给向其购买营销服务的客户，非法获利100余万元。

1.2案例介绍,客户信息安全：

从2013年9月开始，陆续有消费者通过微博等网络信息平台发布投诉，称自己在订购了机票之后，收到了一条短信称其航班被取消，要求联系短信中所提供400开头的“客服号码”，结果在通话过程中提供了个人银行账户，蒙受了几百至数千元不等的损失。

尽管并非所有乘客都与诈骗方联系从而被套走钱款，但他们在意识到遭遇诈骗短信后提出了共同的疑问：

诈骗方是如何知道乘客姓名、航班班次、订单号甚至身份证号、护照号等详细信息的。

此案涉及南航、东航、山东航空、深圳航空等多家国内知名航空公司。

1.2案例介绍,机场被黑客攻陷2016年7月29日下午16时许，河内和胡志明这2家越南最主要机场的航班资讯、柜台报到系统显示屏突然改变，屏幕上显示“南海是中国的”等信息。

同时，两个机场广播系统也失去控制，自动播放类似内容。

机场人员随后关闭遭入侵的电脑和广播系统，使用扩音器通知乘客以及以“手工”方式办理登机等手续，部分航班被迫延迟起飞。

信息安全威胁无处不在,信息资产,流氓软件,黑客渗透,内部人员威胁,病毒和蠕虫,硬件故障,网络通信故障,供电中断,雷雨,地震,拒绝服务,社会工程,系统漏洞,木马后门,木马后门,失火,1.3法律法规,刑法修正案加重对黑客量刑近年来，一些不法分子利用技术手段非法侵入法律规定以外的计算机信息系统，窃取他人账号密码等信息或者对大范围的他人计算机实施非法控制，严重危及网络安全。

刑法原有的规定使司法机关在打击“黑客”犯罪时面临法律困扰。

鉴于上述情况，刑法修正案（七）在刑法第285条中增加两款作为第二款、第三款：

“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；

情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

”“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

”,1.3法律法规,国务院加强网络信息安全推动个人信息保护立法2013年8月14日，国务院办公厅公布了国务院关于加快促进信息消费扩大内需的若干意见。

意见指出，积极推动出台网络信息安全、个人信息保护等方面的法律制度，明确互联网服务提供者保护用户个人信息的义务。

意见从以下几个方面提出了促进信息消费的主要任务：

一是加快信息基础设施演进升级；

二是增强信息产品供给能力；

三是培育信息消费需求；

四是提升公共服务信息化水平；

五是加强信息消费环境建设等。

意见指出，提升信息安全保障能力。

依法加强信息产品和服务的检测和认证，鼓励企业开发技术先进、性能可靠的信息技术产品，支持建立第三方安全评估与监测机制。

加强与终端产品相连接的集成平台的建设和管理引导信息产品和服务发展。

加强应用商店监管。

加强政府和涉密信息系统安全管理，保障重要信息系统互联互通和部门间信息资源共享安全。

落实信息安全等级保护制度，加强网络与信息安全监管，提升网络与信息安全监管能力和系统安全防护水平。

意见还指出，加强个人信息保护。

落实全国人大常委会关于加强网络信息保护的决定，积极推动出台网络信息安全个人信息保护等方面的法律制度，明确互联网服务提供者保护用户个人信息的义务，制定用户个人信息保护标准，规范服务商对个人信息收集、储存及使用。

1.3法律法规,电信和互联网用户个人信息保护个人信息的泄露，给我们的生活带来了困扰，甚至造成直接的经济损失。

值得欣喜的是，工业和信息化部近日公布的电信和互联网用户个人信息保护规定（以下简称规定）将于9月1日起施行，为个人信息安全编织了一张法律保护网。

规定指出，未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。

并且，在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务，不得泄露、篡改、毁损、出售或者非法向他人提供用户个人信息。

针对代理商泄漏个人信息的问题规定明确按照“谁经营、谁负责”、“谁委托、谁负责”的原则，由电信业务经营者、互联网信息服务提供者负责对其代理商的个人信息保护工作实施管理。

对侵害电信和互联网用户个人信息的违法行为，规定设定警告和3万元以下的罚款处罚同时设立了制止违法行为危害扩大的“叫停”制度、“向社会公告”行政处罚制度和将违法行为“记入社会信用档案”制度。

其他国家或地区个人信息保护环境,全球约有50个国家已建立了个人数据和隐私保护的相关法案，对个人信息收集、存储、访问、使用和销毁进行了规定。

其中，比较知名的如：

亚洲：

个人资料（私隐）条例-第486章（香港）；

电脑处理个人资料保护法（台湾）；

个人资料保护法（日本）；

信息公开法（日本）欧洲：

欧盟数据保护指令美国：

医疗保险责任法案（HIPAA）公平信用报告法（FCRA）；

儿童网络隐私保护法（COPPA）；

金融服务现代化法案（GLBA）信用卡持卡人数据保护：

支付卡行业数据安全标准（PCIDSS）,1.4信息安全的未来威胁,1.云服务（CloudService）由于我们使用的IT服务越来越多地驻留在云服务系统中，IT部门随时会失去监督和控制。

这是一个巨大的危险：

在这个过程中，企业员工可能会绕过IT部门，寻找他们觉得需要的云服务，他们会逃避IT部门监控的安全协议和安全系统。

企业管理层应采取必要的步骤以确保IT部门对企业全部的IT服务有全面透彻的了解和监督。

即便是被批准的云服务供应商也必须在现有基础上进行审议。

你知道你的数据驻留在哪里?

你的云服务提供商是否满足您所有的安全标准?

如果他们不遵守，未能满足监管要求，带来的将是你的责任和损失。

不要轻易信任你的第三方供应商，要对他们进行考察，并且自己亲自去验证。

1.4信息安全的未来威胁,2.勒索软件（Ransomware）勒索软件所造成的影响越来越大。

网络威胁联盟（CyberThreatAlliance）指出，近期CyrptoWallv3的威胁已经花费掉全球数十万用户超过3.25亿美元。

这种攻击通过加密重要文件，使得数据无法被访问，直到你支付赎金。

它往往依赖于社会工程的技术来建立攻击的立足点。

网络威胁联盟预计在未来的12个月内会看到更多的此类攻击。

这种攻击之所以有效，是因为对于许多个人和企业来说，要回他们的数据的最简单的方式就是支付赎金。

只要您提前筹划，更好地培训企业员工，提供实时的安全防护，并且做到有规律地，完整地备份数据，就可以有效地消减勒索软件带来的威胁。

1.4信息安全的未来威胁,3.钓鱼式攻击（Phishing）网络犯罪分子通常会寻找阻力最小的路径和最简单的方法来获取您的宝贵数据。

通常他们是通过欺骗获取你的密匙，而不是去编写一段聪明的代码。

钓鱼攻击现在变得越来越复杂，他们建立足以以假乱真的信息和网站，或者，装做是看上去来自可信来源的通信，继而通过这些手段来获取访问你的系统的权限。

网络罪犯正在增加针对企业高管或拥有高级安全许可的人员特定的攻击。

例如，如果网络罪犯可以入侵一个CEO的帐户，他们可以用它来篡改和泄露大量的敏感数据。

企业只培训潜在的被攻击目标是不够的。

您需要拥有这样强大的工具：

能够进行实时监控和扫描系统，并且带有保护阻止功能。

1.4信息安全的未来威胁,4.物联网（TheInternetofThings）我们已经注意到移动设备和可穿戴设备大量的进入工作场所。

每个设备都已为网络犯罪分子提供了一个新的潜在的侵入方式。

但物联网代表了另一种潜在的威胁。

当连接性扩展到我们的生活和企业中的每一个角落，企业确保数据入口和数据流的安全这项任务将变得越来越具有挑战性。

物联网可能预示着一些令人兴奋的商业机会，但我们必须确保：

访问是受限的，安全的。

敏感数据应该被加密，访问必须受到限制，并且受到监督。

能够做到管理并且在必要时阻止访问企业的设备和网络是非常重要的。

信息安全意识培训,一、信息安全介绍二、公共信息安全三、个人信息安全,公共信息安全,2.1密码安全2.2上网安全2.3邮件安全2.4软件安全,2.1密码安全,春运第一天12306爆用户信息泄露漏洞2014年铁路春运售票第一天，在经历了早上宕机1小时之后，12306铁路客户服务中心网站再次爆发用户账号串号的问题，大量用户身份证等信息遭泄露。

下午15时左右，开始有网友在微博上反映，登陆