信息安全意识
什么是安全意识
什么是安全意识
信息安全意识(InformationSecurityAwareness),就
是能够认知可能存在的信息安全问题,预估信息安全事故
对组织的危害,恪守正确的行为方式,并且执行在信息安
全事故发生时所应采取的措施。
信息安全的基本概念
什么是安全?
安全就是没有危险;不受威胁;不出事故。
举例说明安全的概念:
截至2009年12月31日,中国民航连续安全飞行61个
月、1825万小时,创造了我国民航史上最好的安全纪录。
安全与我们的工作生活,甚至于生命息息相关:安全
驾驶、安全用电、交通安全、消防安全等。
信息安全的基本概念
信息安全的三要素CIA
保密性(Confidentiality)——确保信息在存储、使用、传输过程中不会泄漏给非授权用
C
户或实体。
I完整性(Integrity)——确保信息在存储、使用、传输过程中不会被非授权篡改,防止授
权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。
A可用性(Availability)——确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,
允许其可靠而及时地访问信息及资源。
CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:
泄漏Disclosure篡改Alteration破坏Destruction
信息安全的实质
采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄
露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响
减到最小,确保组织业务连续运行。
ConfidentialityAvailability
Informati
on
Integrity
对信息安全的误解
信息安全就是防泄露信息安全就是网络安全
信息安全就是防黑客信息安全就是技术问题
信息安全就是一场运动信息安全就是麻烦
犯过以下的错误吗
?开着电脑离开,就像离开家却忘记关灯那样
?轻易相信来自陌生人的邮件,好奇打开邮件附件
?使用容易猜测的口令,或者根本不设口令
?不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息
?随意将无关设备连入公司网络
?事不关己,高高挂起,不报告安全事件
?在系统更新和安装补丁上总是行动迟缓
?只关注外来的威胁,忽视企业内部人员的问题
?在公共场合谈论公司信息
是否发生过以下安全事件
?办公环境中曾经发生过丢失笔记本电脑的情况。
?曾经有外来人员,直接进入办公环境,在无人随同的情况下,自己找到空位,将笔记本电脑随意
接入到公司网络,致使网络感染病毒。
?曾经有业务人员,不小心将客户机密信息通过电子邮件发送给不应接收的人员。
?一名开发人员,因为浏览不明网站,感染恶意代码病毒,导致病毒在公司网络传播
?某办公室所有人都去吃午饭,但门窗却大开。
信息安全事件
2014信息泄露事件
?12306爆用户账号串号漏洞,导致用户信息泄露
?支付宝前员工贩卖20G用户资料
?小米陷“泄密”门,部分2012年8月前注册的论坛账号
泄露
?软件开发商“入侵”车管所系统“删除违章”万余条
?国内130万考研用户信息遭
?2000万开房信息泄露案开庭
?韩国2000万信用卡信息泄露引发“销户潮”
?土耳其黑客入侵本国电力系统,怒