信息安全意识
2019年9月 IT部
信息安全
主要内容
1
什么是信息安全？
2
怎样搞好信息安全？
3
信息安全基本概念
4
信息产业发展现状
2 豪爵铃木 IT部
引言
授之以鱼
——产品
不如授之以渔 ——技术
更不如激之其欲 ——意识
谈笑间，风险灰飞烟灭。
3
什么是信息安全在
21
信息安全基本目标 保密性， 完整性， 可用性
C onfidentiality
I ntegrity
CIA
A vailability
22
信息生命周期
创建
使用
存储
传递
更改
销毁
23
信息产业发展迅猛
截至２０１５年６月，互联网普及率为４８．８％，我国网民总数已 达６．６８亿人。
手机上网成为用户上网的重要途径，截至２０１５年６月，中国手机网 民规模达５．９４亿。
信息比钞票更重要， 更脆弱，我们更应该保护
它。
13
WHY???
装有100万的 保险箱
需要 3个悍匪、
1辆车，才能偷走。 公司损失： 100万
装有客户信息的 只要 1个商业间谍、 1个U盘，就能偷走。 公司损失：
电脑
所有客户！
14
典型案例
15
安全名言
☞ 公司的利益就是自己的利益，不保护公司 ，就是不保护自己。
得到重视。
34
典型案例：乐购事件
普华永道曾发布的2019年度全球信息安全调查报告显示，中 国内地企业在信息安全管理方面存在滞后，信息安全与隐私保障 方面已被印度赶超。数据显示，内地企业44%的信息安全事件与数
据失窃有关，而全球的平均水平只有16%。
普华永道的调查显示，中国内地企业在改善信息安全机制上 仍有待努力，从近年安全事件结果看，中国每年大约98万美元的 财务损失，而亚洲国家平均约为75万美元，印度大约为30.8万美 元。此外，42%的中国内地受访企业经历了应用软件、系统和网
9
这就是意识缺乏的两大 结症！
1
不看重大公司，更看重小家庭。
公司
家
2
钞票更顺眼，信息无所谓。
〉
10
思想上的转变（一）
公司的钱，就是我的钱， 只是先放在, 老板那里~~~
11
信息安全搞好了 信息安全搞砸了
WHY???
公司赚钱了
你就“涨” 了
公司赔钱了
你就“跌” 了
领导笑了
领导怒了
12
思想上的转变（二）
广义上讲
领域—— 涉及到信息的保密性，完整性，可用性，真 实性，可控性的相关技术和理论。
本质上
1. 保护—— 系统的硬件，软件，数据 2. 防止—— 系统和数据遭受破坏，更改，泄露 3. 保证—— 系统连续可靠正常地运行，服务不中断
两个层面
1. 技术层面—— 防止外部用户的非法入侵 2. 管理层面—— 内部员工的教育和管理
名为gho的文件，该文件是一系统备份工具 GHOST的备份文件，使用户的系统备份文件 丢失。被感染的用户系统中所有.exe可执行文
件全部被改成熊猫举着三根香的模样。
熊猫烧香病毒的制造者-李俊
27
深度分析
28
这样的事情还有很多……
信息安全 迫 在 眉 睫！！！
29
关键是做好预防控制
隐患险于明火！ 预防重于救灾！
法律 合规
安全 策略
业务 连续
信息安全
事件 管理
开发 安全
访问 控制
安全 组织
资产 管理
人员 安全
网络 安全
物理 安全
5
怎样搞好信息安全？
一个软件公司的老总，等他所有的员工下班之 后，他在那里想：我的企业到底值多少钱呢？假 如它的企业市值1亿，那么此时此刻，他的企业就 值2600万。
因为据Delphi公司统计，公司价值的26%体现 在固定资产和一些文档上，而高达42%的价值是存 储在员工的脑子里，而这些信息的保护没有任何 一款产品可以做得到，所以需要我们建立信息安 全管理体系，也就是常说的ISMS！
排士兵守卫。” 显然，这样的计算机是无法使用的。
17
安全是一种平衡
18
安全是一种平衡
高
安全事件的损失
/
安
全 成
安全控制的成本
本
损
失
最小化的总成本
低
所提供的安全水平
高
关键是实现成本利益的平衡
19
信息的价值
信息的价值 = 使用信息所获得的收益 ─ 获 取信息所用成本
信息具备了安全的保护特性
20
信息安全的定义
☞ 电脑不仅仅是工具，而是装有十分重要信 息的保险箱。
16
绝对的安全是不存在的
• 绝对的零风险是不存在的，要想实现零风险，也是不现实的； • 计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，
一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一 种平衡。
在计算机安全领域有一句格言：“真正安全的 计算机是拔下网线，断掉电源，放置在地下掩体 的保险柜中，并在掩体内充满毒气，在掩体外安
中国网民通过台式电脑和笔记本电脑接入互联网比例分别为６８．４ ％和４２．５％ 。
截至2019年12月底,中国网站总量达到364.7万余个。 目前，政府机构都建立了85890个网站，电子政务正以改善公共服务为
重点，在教育、医疗、住房等方面，提供便捷的基本公共服务。
24
信息安全令人担忧
内地企业44%信息安全事件是数据失窃
小故事，大启发 —— 信息安全点滴
31
首先要关注内部人 员的安全管理
2019年11月，集安支 行代办员，周末晚上通过运 营电脑，将230万转移到事 先办理的15张卡上，并一 夜间在各ATM上取走38万。
周一被发现。
夜间银行监控设备未开 放，下班后运营电脑未上锁。
事实上，此前早有人提 出过这个问题，只不过没有
6
信息在哪里？
小问题：公司的信息都在哪里？
纸质文档 电子文档
员工 其他信息介质
7
小测试：
您离开家每次都关门吗？ 您离开公司每次都关门吗？
您的保险箱设密码吗？ 您的电脑设密码吗？
8
答案解释：
如果您记得关家里的门，而不记得关公司的门， 说明您可能对公司的安全认知度不够。
如果您记得给保险箱设密码，而不记得给电脑设密码， 说明您可能对信息资产安全认识不够。
络的安全事件。
25
安全事件（1）
26
安全事件（2）
用户电脑中毒后可能会出现蓝屏、频繁重
启以及系统硬盘中数据文件被破坏等现象。同 时，该病毒可以通过局域网进行传播，进而感 染局域网内所有计算机系统，最终导致企业局
域网瘫痪，无法正常使用，它能感染系统中 exe，com，pif，src，html，asp等文件，它还 能中止大量的反病毒软件进程并且会删除扩展