专题课程
项目介绍
随着运营商信息化程度的提高和业务量的进一步扩大,每一项业务的开展对网络信息系统的依赖性越来越强,网络瘫痪、信息系统故障成了运营商的头等大敌,将带来不可估量的经济损失和严重后果,因此,如何确保网络信息安全的业务应用系统正常运作,成为运营商保持业务持续性发展的重要课题。
如何从业务角度出发,如何切实做好信息安全管理,是信息安全管理工作的重要挑战,也是企业全员及各个业务部门必须要面对的问题。本培训项目从信息安全管理角度,重点加强全员安全认知,加深业务人员对信息安全的认识,实现运营商企业的战略目标,同时又能符合国家各管理机构的合规检查。
2、 培训目标
1)建立一套适合组织业务特点的信息安全管理制度,完善各项生成、管理等业务过程中信息安全措施,确保信息安全管理正规有序。
2)让学员了解如何建立信息安全管理团队,如何将业务、技术及相关支撑人员汇集一起打造出一支信息安全管理队伍。
3)让学员学会如何从业务战略出发,开展业务安全分析工作。
4) 让学员掌握如何开展关键业务系统排序,合理分配信息安全保障资源。
5)让学员掌握如何分析业务流程和关键业务安全路径,重点开展保障。
6)让学员学会建立切实有效的应急管理机制和相应机制,确保各种紧急情况下及时恢复业务等应用系统,把业务中断时间和损失降低到最小。
7) 增强企业全体员工的信息安全意识和参与度。
3、 培训收益
1)全面培养信息化人才队伍:信息安全培训是IT技术培训中较有系统、较有技术含量的培训,运营商及所属分公司系统管理人员经过系统化的培训后,将从根本上提高现有人才队伍中信息安全管理的能力。
2)为运营商信息化后续工作打下坚实基础,最近几年随着信息化发展,会进行发展很多重点项目,尽早实施信息安全和网络系统培训是未雨绸缪的优秀战略抉择。
3.)优化网络信息安全核心竞争力,经培训后的优秀员工将能够利用所学知识,进行做好日常的信息安全管理、落实好各项流程制度,更好的提高运营商网络信息安全工作核心竞争力。
4)极大降低系统总体成本,运营商业务分布广、业务节点多通过此次系统培训后一是可以充分利用系统功能,对投资有更好的保护,二是维护人员的能力全面系统提升,维护成本和技术风险大大降低,提高公司业务的稳定性。
4、 培训对象
通信企业CIO、CSO、CTO、项目经理及安全岗、技术骨干及业务一线人员,单期培训人员20-30人。
课程设计
针对电信公司网络信息安全现状,推荐以下几个课程进行培训:
课程一、红黑演义之全员信息安全意识与法律法规职业素养课
针对运营商信息安全管理工作,确保信息系统的安全可靠运行,明确安全审计人员职责,本课程在每一个层面选取一个典型的业务安全与保障场景,进行沙盘演练分析,快速提升全员信息安全意识与法律法规的职业素养。
课程二、红黑演义之信息安全形势与业务保障对策研讨课程
介绍运营商在开展业务过程中,面临的业务安全威胁和防范措施,使学员能够在开展工作中,预防相关问题的发生。随着信息系统数量和规模在不断扩展,由此产生的安全隐患也不断增多,如何高效、全面地开展信息系统安全监控与防范?本课程从企业信息安全监控与防范出发,通过在课程中穿插大量经典案例,讲解信息系统安全监控与防范中要考虑的实际业务问题,通过设置各种场景,让学员练习开展安全实践练习。课程将采用开放式模式对学员工作中遇到的各种问题进行收集与讨论,根据现网业务安全监控与防范实际问题提出有效办法。
课程三、红黑演义之用户个人信息安全保护沙盘演练课
目前客户信息安全已成为社会热点问题,不仅关乎企业发展及责任,更事关国家安全,影响政治稳定和经济发展。但安全形势不容乐观,问题复杂。党和国家高度重视,出台了网络与信息安全保护法律,以法律形式保护公民信息安全,对运营商提出更高要求。工信部、国资委从2013年起将信息安全责任制落实情况纳入到对运营商各省公司的绩效考核,要求逐步健全客户信息安全保障体系。但各公司目前安全工作仍处于起步阶段,存在较多薄弱环节,急需要进行全面分析、研究和梳理。本课程从用户个人信息安全保护角度出发,深度探讨如何加强用户个人信息安全保护工作。
课程四、 红黑演义之新技术新业务信息安全评估沙盘演练与合规自查实践课
为促进互联网业务健康有序发展,维护国家安全和社会稳定,保障用户合法权益,加强互联网新技术新业务安全管理,依据工信部《互联网新技术新业务信息安全评估管理办法(试行)》(工信部保[2012]117号),讲解新技术新业务信息安全评估标准和流程,采用沙盘演练方式开展实践工作环节练习,以迎接两部委考核,完善集团的标准化体系建设。
培训形式
本课程体系通过“应急响应信息安全保障场景”云平台,让每位学员在环境中实践,通过“从工作中来,到工作去”的课程设计理念,从正反两方面再现信息安全实战技术,正方即红方学员开展正面的应急响应准备工作,开展安全巡检,重点讲解如何进行脆弱性识别,如何运用安全配置最佳实践对信息系统进行安全加固;反面的是,黑方学员现场模拟黑客精密的犯罪过程,深入了解黑客入侵的思路和方法,提高在应急工作中深入开展安全检测工作的能力。红方学员分别在检测阶段、抑制阶段、根除阶段、恢复阶段充当应急响应技术人员,强化练习在信息系统遭受到黑客入侵后,如何从主机、设备、应用的日志记录来发现黑客的行踪、入侵方式和攻击手
课程内容
课程1:红黑演义之全员信息安全意识与法律法规职业素养课
课程模块 |
模块介绍 |
上午 信息安全形势和要求 |
|
信息安全认知交流 |
1 大中型企业、民众关注信息安全 2 信息安全认知交流 |
国家安全形势和要求 |
导入:国家曾经发生的惨痛大事件 1 一把手工程:网络安全和信息化领导小组 2 两部委的6分考核 |
国家法律法规与安全责任 |
1国家有哪些相关法律 2企业有哪些安全责任 3员工肩负哪些安全责任 4 工作岗位的重要地位交流 |
信息安全工作开展 |
1 信息安全工作定位 2 信息安全工作思路与原则 3 日常工作信息安全问题交流 |
下午 安全意识和技能落地 |
|
信息安全意识 |
1 激情互联网背后如何保护自己 2 工作中需要哪些安全意识 3 常见问题交流 |
信息安全技能 |
1 操作系统安全防护 2 互联网安全使用 3 病毒木马查杀与预防 4 常见问题交流 |
课程2、红黑演义之信息安全形势与业务保障对策研讨课程
培 训 议 程 (上午9:00~12:00;下午13:30~16:30) |
|
> 第一篇 信息安全的紧迫形势和国家政策及检查 (第一天上午) |
|
►突破难点: 信息安全对于我们来说真的重要吗?信息安全以往的惨痛案例有哪些,对我们有什么启迪? 我们同行业会有哪些经典案例,为什么说信息安全形势在我们业务支撑部门很紧迫?主要表现在哪些方面?
►突破难点: 国家各级管理机构不断来开展安全检查,对安全提出了众多要求,检查力度和形式越来越深入,违规和不足地方处罚力度急剧加强,我们省业务支撑部门如何应对?如何梳理整合各项政策和检查要求?
|
理念:分析惨痛案例,解读安全要求,认清安全形势
◆第一步:回顾惨痛案例,解读安全要求。 深入探究安全案例背后的本质问题,解读安全要求,分析我们所处的安全形势。 我们业务支撑部门形势紧迫表现在哪些方面,我们应该如何入手来进行防范安全事件的发生。
◆第二步:探讨国家各级管理机构都有什么检查,我们如何应对? 面对各项安全检查工作,我们如何应对?这些检查内容都有什么,如何进行梳理归类?我们如何针对这些检查条目开展以一挡百的工作。 沙盘演练:相邻小组模拟开展检查和被检查活动,总结分析我们有哪些工作需要深化开展?
|
> 第二篇 就红头文件与现网安全隐患研究探讨安全保障对策 (第一天下午) |
|
►突破难点: 各级红头文件要求汇总分析 现网安全隐患研究探讨 安全保障和谁有关系,如何团队协作?
►突破难点:我们已经在现有的信息系统中部署了大量的安全产品,应用了大量的安全技术手段,为什么还存在着这样那样的安全问题?为什么制定的安全制度、规范无法有效的执行?
|
理念:梳理红头文件需求,研讨现网安全隐患,深入研究安全保障对策
◆第一步:汇总分析红头文件各项要求,这样要求都是如何开展的检查,检查的结果如何? ◆第二步,安全工作做了,但为什么仍有很多问题爆出?安全制度和规范如何落地? ◆第三步:现网安全隐患分析汇总。
沙盘演练:根据业务和工作流程,梳理分析现网中各种隐患,总结分析这些隐患深层次解决的办法。 |
> 第三篇 就岗位和业务流程梳理安全保障链 (第二天上午) |
|
►突破难点:业务系统中的隐患有哪些,如何梳理业务系统中的隐患点,采用什么措施建立起来业务保障链。
►突破难点:信息安全已经融入岗位职责中。 我们的岗位职责有哪些,这些职责中都有哪些安全责任? 软件开发项目中,我们需要做些什么安全工作? 业务系统运维中,我们需要做些什么安全工作? 系统规划设计阶段,我们如何考虑安全需求,做出安全的业务系统。 业务管理中,我们如何考虑安全工作? 第三方公司和人员如何管理和水平考核?
|
理念:从岗位描述入手,分析岗位职责。 第一步:从业务流程入手,分析业务安全关键环节,探讨其中的安全隐患。
沙盘演练: 分组研讨业务流程,分析安全相关内容,探讨业务流程中的安全工作如何开展。
第二步:分析岗位职责,探讨安全相关工作。
沙盘演练: 分组研讨岗位职责,分析安全相关内容,探讨安全工作如何开展。
|
> 第四篇 汇集掌握安全保障日常知识和技能 (第二天下午) |
|
►突破难点: 安全保障中的安全知识需要掌握哪些?如何普及和加强安全知识,如何做好安全意识教育?
►突破难点: 我们业务支撑部门技术人员日常应该掌握哪些信息安全技术技能?
►管理升华: 开展信息安全知识和实践技能的考核,加强内部人员和第三方人员知识考核。
|
理念:通过日常安全知识和技能提高加强安全保障效果
第一步:我们业务支撑不同部门应该掌握哪些知识?
知识讲解:安全意识 物理安全 网络安全 主机安全 数据库安全 应用系统安全 安全管理体系 安全开发规范与要求
第二步:信息安全技术实践技能 IT安全运维实践技能 风险评估与加固实践技能 模拟黑客渗透测试技能 紧急事件应急响应技能 第三步:做好知识与实践技能考核工作。 开展知识和实践技能考核工作将极大促进人员能力提升,是信息安全保障的重中之重! |
课程3、红黑演义之用户个人信息安全保护沙盘演练课
培 训 议 程 (共计1天) |
|
> 第一篇 江湖险恶陷阱丛生谁主沉浮—信息安全形势与应对措施 上午 |
|
►突破难点: 信息安全对于我们来说真的重要吗?信息安全以往的惨痛案例有哪些,对我们有什么启迪? 我们同行业会有哪些经典案例,为什么说信息安全形势对我们单位很紧迫?主要表现在哪些方面?
►突破难点: 我们需要具备什么认知和技能才能防范丛生的陷阱?
|
理念:分析惨痛案例,解读安全要求,认清安全形势
◆第一节:回顾惨痛案例,解读安全形势。 深入探究安全案例背后的本质问题,解读安全要求,分析我们所处的安全形势。 形势紧迫表现在哪些方面,我们应该如何入手来进行防范安全事件的发生。
◆第三节:日常生活和工作中我们可能遭遇的陷阱案例,我们需要关注哪些安全认知和基本技能?
|
> 第二篇 江湖大侠如何修炼火眼金睛—安全场景案例强化认知 上午 |
|
►突破难点:激情互联网背后的故事与启迪
互联网给我们带来方便的同时,会隐藏着哪些阴暗的故事,我们应该如何积极应对? ►突破难点:单位内部自我保护 单位设立了安全制度、规范、流程以及指南,我们该如何掌握,如何建立保护自我的“安全茧”。
|
◆第一节:激情的互联网背后有哪些惨痛的故事在不断发生?包含网上支付安全、Web钓鱼欺骗、邮件威胁、恶意代码、云应用安全、网站访问安全等,场景真实再现,专家解析。
◆第二节:如何理解掌握各项安全要求,建立自我防护的“安全茧”?
◆第三节:社会工程学攻击如何发生的,该如何防范?
总结经验,吸取别人的教训,练就大侠的“火眼金睛”。 |
> 第三篇 行走江湖必备信息安全防身术—讲述治敌绝招 下午 |
|
►突破难点:行走江湖防身术有哪些? 日常生活和工作安全防护需要考虑哪些方面?该如何防护?
►突破难点:防身术运用的精髓之处? 防身术运用的关键要领是什么,如何灵活运用?
|
◆第一节:个人隐私文件安全保护 Ø 隐私文件的加解密 Ø 误删除文件的恢复 Ø 重要文件的彻底删除 Ø U盘、移动硬盘的安全使用
◆第二节:移动终端安全隐患防护 Ø 手机病毒木马 Ø 手机维修时的安全防护 Ø 手机吸费陷阱 Ø 常见手机诈骗识别 Ø 手机引发的隐私信息泄露
◆第三节:Windows系统安全安装与配置 Ø 计算机BIOS与安全 Ø 计算机硬盘与系统分区安全 Ø GHOST系统安装与备份安全 Ø 系统安装后的安全配置 Ø 系统账号安全及其使用
◆第四节:计算机病毒木马查杀与预防措施 Ø 计算机病毒的危害与防治 Ø 计算机木马的危害与防治
◆第五节: |