2018信息安全提升系列 （一） 信息技术部 2018-02-12 普通员工信息安全意识培训 什么是信息安全意识？ 信息安全意识，就是能够认知可能存在的信息 安全问题，预估信息安全事故对组织的危害，恪守 正确的行为方式，并且执行在信息安全事故发生时 所应采取的措施。 目录 信息安全基础知识 当前的信息安全形势 个人应具备的安全防护意识 什么是信息？ 知识 抽象 指导 信息 程度 数据 • 信息的属性：  基本元素是数据，每个数据代表某个意义；  以各种形式存在：纸、电子、影片、交谈等；  数据具有一定的逻辑关系；  具有一定的时效性；  对组织具有价值 ，是一种资产；  需要适当的保护。 意义 什么是安全？ 安全 Security：事物保持不受损害 什么是信息安全？ 保证信息只能够由得到授 权的人访问。 举例：公司产品代码不被 恶意泄漏；商务合同、报 价、客户信息不被披露 保密性 可用性 信息安全 保证经授权的用户当需要 访问信息的时候就能够访 问到。 举例：如果公司的业务被 拒绝服务造成网络中断， 用户无法使用我们的业务。 完整性 保证信息的正确性及不被非授权篡改和删除。 举例：计费纪录被恶意修改； 交易信息被删除；公司主页被篡 改；日志文件被删除 采取合适的信息安全措施，使安全事件对业务造成的影响降低最小， 保障组织内业务运行的连续性。 信息安全的定义 广义上讲 涉及到信息的保密性，完整性，可用性，真实性，可控性的相 关技术和理论。 本质上 1. 保护—— 系统的硬件，软件，数据 2. 防止—— 系统和数据遭受破坏，更改，泄露 3. 保证—— 系统连续可靠正常地运行，服务不中断 两个层面 1. 技术层面—— 防止外部用户的非法入侵 2. 管理层面—— 内部员工的教育和管理 9 为什么会有信息安全问题？ • 因为有病毒吗？ • 因为有漏洞吗？ 这些都是原因， 但没有说到根源 • 因为有黑客吗？ 安全问题的根源—外因 1 来自外部的威胁 国家 安全 威胁 信息战士 减小国家决策空间、战略优势，制造混 乱，进行目标破坏 情报机构 搜集政治、军事，经济信息 恐怖分子 破坏公共秩序，制造混乱，发动政变 商业间谍 掠夺竞争优势，恐吓 共同 威胁 施行报复，实现经济目的， 犯罪团伙 局部 威胁 社会型黑客 娱乐型黑客 2 破坏制度 攫取金钱，恐吓，挑战，获取声望 以吓人为乐，喜欢挑战 来自自然的破坏 安全问题的根源—内因 1 系统越来越复杂 2 人也是复杂的 需要加强信息安全保障 •组织机构的使命/业务目标实现 越来越依赖于信息系统 使命 •信息系统成为组织机构生存和 发展的关键因素 信息 系统 保障 •信息系统的安全风险也成为组 织风险的一部分 风险 •为了保障组织机构完成其使命， 必须加强信息安全保障，抵抗 这些风险。 安全保障的目标是支持业务 信息安全保障是为了 支撑业务高效稳定运行 信息安全保障需要持续进行 信息安全保障需要 时时刻刻不放松 如何保障信息安全？ 信息是依赖与承载它的信息技术系统存在的 需要在技术层面部署完善的控制措施 信息系统是由人来建设使用和维护的 需要通过有效的管理手段约束人 今天系统安全了明天未必安全 需要贯穿系统生命周期的工程过程 信息安全的对抗，归根结底是人员知识、技能和素质的 对抗 需要建设高素质的人才队伍 我国信息化迅猛发展 • 我国信息化建设起步于20世纪80年代 • 20世纪90年代取得长足进步 • 现在信息技术已经广泛应用 于促进 – 国民经济发展 – 政府管理和服务水平提高 – 企业竞争力增强 – 人民生活水平该改善 我国正在步入信息化时代 信息化建设的意义 • 信息化作为全球化的重要方面，直接推动了国际 关系的演变和全球经济体系的形成 • 电子政务、电子商务和整个社会的信息化发展， 标志着我国进入信息化社会 • 整个社会越来越依赖于网络和信息系统，网络和 信息系统正成为社会运行和发展的重要支撑要素 然而，没有信息安全就没有真正有效的信息化 信息安全趋势 • 隐蔽性：信息安全的一个最大特点就是看不见摸 不着。在不知不觉中就已经中了招，在不知不觉 中就已经遭受了重大损失。