电子商务信息安全意识培训资料PPT课件下载推荐.ppt

1、“地球村”，“云计算”一系列的概念都成为信息共享的最佳受益者。1.背 景1.2面临威胁商品发布两周前,布告牌上写入了新款产品的信息（规格价格）商品发布前,促销的员工在布告牌上写入了新产品的信息，造成信息提前泄露销售公司的产品信息检索网站,甚至可以看到发布前的产品信息产品的设计被写入布告牌经调查,判明是未被录用的人员所为,但问题依然存在u新产品信息在互联网上泄露1.背 景网线BD-PlayerBD Live Test DiscDHCP服务器公司局域网安装了WMware-Server在linux系统下开启了DHCP功能正常分正常分配配IP地地址址非正常非正常分配分配IP地地址址员工客员工客户机户机

2、u公司内员工私自安装软件，导致网络中断为了进行BD实验。私自安装WMware-Server虚拟软件，在未对该软件功能做详细了解时，将该软件连入公司内部网络。而该软件具备DHCP（自动分配IP地址）功能。而整个公司只能有唯一的一台DHCP服务器存在。此次事故导致公司约30多台客户端不能接入公司网络。u美国专利厅遭遇美国专利厅遭遇DDOSDDOS攻击攻击,访问被拒绝访问被拒绝黑客采用DDOS攻击商城的检索网页来自正常客户的访问被拒绝 客户服务无法进行其它案例香港医院“泄密门”4月底，香港卫生署下属的屯门儿童体重智力测验中心及联合医院发生两宗遗失病人资料事件，涉及到700多名病人。5月1日，威尔士亲

3、王医院的一名在病理化验室工作的女职员，乘坐的士时丢失了USB记忆棒，里面载有1.6万名来自不同医院的病人资料，包括病人名字、身份证号码以及病理检查项目。5月5日，香港医管局公布，过去的一年，共有5家医院发生9宗病人资料遗失事件，涉及到6000位病人。这9家医院遗失病人资料，有的是放置不当被人偷窃，有的则是不小心遗失。6月5日，将军澳医院一名清洁员工在医生办公室清洁时误把300份含有病人姓名、性别、年龄、出生日期、身份证号码及检验结果的报告当做一般废物抛弃。警方随后通知受内部文件外泄影响的当事人。eBay出售相机包含出售相机包含MI6文件文件 英国军英国军情六处严重泄密情六处严重泄密一位买家在e

4、Bay上花17个英镑购买了一个二手照相机,结果发现这只照相机曾经是英国军情六处（MI6）用过的。照相机里有许多机密数据,包括恐怖嫌疑人的名字和指纹,甚至是火箭发射器和导弹的图像,他立即报警,此后,英国的国家安全部门已经五次造访他们家,看来这照片内容真的很严重。英国外交部发言人证实,警方正在调查此事,但她表示证实是否有情报部门参与了调查。包括CIA2007年确定的基地组织干事阿卜杜勒哈迪伊拉基在内的各种反恐信息都在里面,此外,打击基地组织武装分子的有关文件均在此处。目前已知部分文件属于MI6“绝密”等级,这已经是非常严重的泄密行为。由非技术因素：意外事故案例1：美国NASDAQ事故1994年8月

5、1日，由于一只松鼠通过位于康涅狄格网络主计算机附近的一条电话线挖洞，造成电源紧急控制系统损坏，NASDAQ电子交易系统日均超过3亿股的股票市场暂停营业近34分钟。技术因素案例2、江苏扬州金融盗窃案1998年9月，郝景龙、郝景文两兄弟通过在工行储蓄所安装遥控发射装置，侵入银行电脑系统，非法存入72万元，取走26万。案例3：熊猫烧香熊猫烧香是一种经过多次变种的蠕虫病毒变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要通过下载的档案传染。对计算机程序、系统破坏严重。个人信息泄露央视东方时空今年4月的一份调查显示，74的人有过信息被泄露的遭遇，在被泄露

6、的信息当中，90是联系方式（电话、工作单位）被泄露。泄密渠道42是网上注册，25是找工作投简历，16是买车、房、保险等，10是医院看病 但个人信息如何管理，目前在法律法规上没有明确规定。这也是导致个人资料频繁被泄露的主要原因。此外，由于买卖个人信息的交易多是私下进行的，这也给有关部门的调查带来相当大的难度。为了避免个人隐私权被侵犯，除相关部门应加强监管外，个人也应增强自我保护意识。信息泄露带来的后果据美国独立研究机构波莱蒙研究所（Ponemon Institute）的最新报告显示，对那些不愿意对数据安全防护进行投资的公司来说，一旦系统被入侵，可能需要付出更大的成本。据波莱蒙研究所表示，企业去年

7、在数据入侵时的平均损失是，每条记录大约202美元。而2005年该公司同类性质调查的结果是每条记录损失138美元，相比之下上升了138美元，另外2006年的调查结果是182美元，2007则是197美元，呈逐年递增趋势。企业因数据入侵而遭受的最大损失是丢失业务。据其表示，在去年的每条记录平均损失202美元中，有139美元（占69%）是指丢失业务。波莱蒙表示，尽管企业一直在通过更好的防护措施来避免数据泄密，但客户对此类事件的容忍度也越来越低，一旦发生数据泄密情况，客户很可能转向其它厂商。垃圾短信，骚扰电话泛滥恶意注册信用卡南方电信网络中断电话门人肉搜索百度被黑可口可乐秘方被泄吉利汽车焊接技术被盗u如

8、果我们遭遇了，该怎么办？！2.概 念2.1 什么是信息？信息是一切可被存储和使用的物质。信息就是指以声音、语言、文字、图像、动画、气味等方式所表示的实际内容。信息的分类：电子化信息电子化信息载体信息载体信息人的记忆人的记忆（专有技术专有技术）纸面化信息纸面化信息信信息息是是公公司司经经营营重重要要的的资资产产。2.2什么是信息安全信息安全：保障保密信息不被泄露，在使用时可用，整个信息未被篡改。问卷调查/客户协商监控/保证书/修理信息人事信息等网络安全网络安全物理安全物理安全个人信息个人信息人的安全人的安全产品安全产品安全营业秘密营业秘密开发/生产/销售信息顾客/交易方信息系统/网络相关信息网络

9、服务IC卡解决方案系统解决方案2.概 念可以得出信息系统安全威胁包括以下两大部分：一、对系统实体的威胁：物理硬件设备（案例1）二、对系统信息的威胁1、计算机软件设计存在缺陷2、计算机网络犯罪。A、窃取银行资金（案例2）B、黑客非法破坏C、病毒（案例3）典型的信息安全泄露途径有：软硬件故障导致意外泄密、病毒与黑客入侵、企业防火墙失效，以致安全设置形同虚设，以及黑客利用企业安全漏洞访问企业内部网络或数据资源，进行删除、复制甚至毁坏数据的活动。更严重的是企业内部的敏感信息被内部人员泄露出去。比如通过USB存储，或者聊天工具、电子邮件等等，内部人员将机密的资料泄露出去，这些都是内部信息安全管理不善所导

10、致的。2.3基于ISO的信息安全信息安全：保持信息的保密性，完整性，可用性（ISO/IEC27001:2005）安全：主要是三性CIA，即保密性、完整性和可用性。安全的对象有狭义和广义之分：n狭义：信息本身n广义：信息本身，信息载体，信息的传输链路，信息处理人，信息所处的环境5个方面的安全。信息本身信息本身信息处理设施信息处理设施信息处理者信息处理者信息处理信息处理过程过程 保密性 可用性 完整性 环境u物理安全-环境安全u网络安全-链路安全u人的安全-使用者安全2.概 念3.信息安全管理3.1信息安全管理n ISO9000:2000 质量管理体系 基础和术语管理management：指挥和控

11、制组织的协调的活动n 管理学管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达成组织目标的过程。管理的概念：信息安全管理的基本观点人人的的管管理理和和教教育育信信息息系系统统的的管管理理物物 的的 管管 理理信息安全管理信息安全管理的构成信息系统的管理：信息系统的管理：网络基本规程、网络安全准则网络基本规程、网络安全准则网络规划接入基本管理制度；网络规划接入基本管理制度；服务器管理等服务器管理等服务器的访问权限、访问记录保存、口令管理、备份管理等服务器的访问权限、访问记录保存、口令管理、备份管理等人的管理和教育：人的管理和教育：制度化、教育、保密协议等制度化、教育

12、、保密协议等物的管理：物的管理：办公楼的管理办公楼的管理实行区域管理实行区域管理一般分来客区域和员工区域一般分来客区域和员工区域高度机密的房间高度机密的房间特定人员的区域特定人员的区域媒介、纸张的保存媒介、纸张的保存如：绝密资料要加锁管理如：绝密资料要加锁管理信息安全管理的优势就算混入也不知道！即使取出来也不知道！上层监督，若增加或减少了 能够马上知道！有毒信息安全管理PDCA循环是能使任何一项活动有效改进的工作程序信息安全管理体系：基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息（资 产）安全的管理方法。信息安全管理体系基于PDCA模型。p信息安全管理体系的要素 n管理机构n

13、文件n资源（包括必需的人员、资金、设备等）3.信息安全管理3.2基于ISO的信息安全管理体系信息安全管理措施的简单概述1.建立规范化信息安全制度。不止要保护企业内部的设备，看守好数据，而且要规范企业员工的行为，对员工进行管理，深化员工信息安全意识。利用法律法规保护企业机密。2.使用加密软件保护企业重要信息。完善各种保密制度的同时要寻找一种切实有效的技术手段从根本上杜绝泄密事件。例如电子文档安全系统加密软件，就可以对企业内部设计图纸、标书、合同等重要的电子文档进行安全防范。由于企业内部文件在脱离了企业环境的时候便无法阅读，而且软件安装后是全透明的，从而实现了在不影响员工工作的情况下，真正做到防止资料外泄，更好地保护企业客户信息。结束语信息安全是信息共享、全球商务展开的大前提；信息安全是信息共享、全球商务展开的大前提；保证信息安全的目的就是保护公司的财产、保证信息安全的目的就是保护公司的财产、提高企业价值、提高企业价值、实实现高信赖性企业。现高信赖性企业。“信息安全信息安全”工作不是一个部门的工作，而是全公司的工作，工作不是一个部门的工作，而是全公司的工作，它涉及到每个接触信息资产的人。它涉及到每个接触信息资产的人。以推进以推进“信息安全信息安全”工作为契机，改变工作作风，提高工作效工作为契机，改变工作作风，提高工作效率。率。