企業(yè)培訓(xùn)_員工安全意識(shí)培訓(xùn)教材1

全員安全意識(shí)培訓(xùn) 從 別忘了關(guān)門(mén) 的故事說(shuō)起 不妨換個(gè)思維 商學(xué)院 2005年第七期的一篇文章 別忘了關(guān)門(mén) 另眼看信息安全 信息安全除了是故事中的圍欄之外 還是那道千萬(wàn)別忘記關(guān)的門(mén) 還有那顆別忘了關(guān)門(mén)的心 安全意識(shí) 安全意識(shí) Securityawareness 就是能夠認(rèn)知可能存在的安全問(wèn)題 明白安全事故對(duì)組織的危害 恪守正確的行為方式 并且清楚在安全事故發(fā)生時(shí)所應(yīng)采取的措施 什么是信息安全意識(shí) 你意識(shí)到了嗎 社會(huì)工程和網(wǎng)絡(luò)釣魚(yú)等等攻擊手段是當(dāng)前普遍存在的攻擊方式 釣魚(yú) Phishing 社會(huì)工程的一種類(lèi)型利用電子郵件或惡意網(wǎng)站吸引受害者偽裝成有名的 可信的網(wǎng)站通常為了金錢(qián)或個(gè)人信息網(wǎng)站要求用戶(hù)填入賬戶(hù)或個(gè)人信息 社會(huì)工程利用人際交往偽裝為可信的人士新進(jìn)員工 維修工 研究員等持有個(gè)人身份證明通過(guò)詢(xún)問(wèn)獲得信息 可能從多個(gè)來(lái)源獲取足夠信息獲得公司或個(gè)人的計(jì)算機(jī)或私人信息 議題 需要了解基本概念公司的信息安全項(xiàng)目進(jìn)行得怎樣了 全員應(yīng)該具備安全知識(shí)和技能對(duì)信息安全的容易誤解的地方 6 理解和鋪墊 基本概念 8 2020 2 19 什么是信息 什么是信息 什么是信息安全 C 保密性 Confidentiality 確保信息在存儲(chǔ) 使用 傳輸過(guò)程中不會(huì)泄漏給非授權(quán)用戶(hù)或?qū)嶓w 完整性 Integrity 確保信息在存儲(chǔ) 使用 傳輸過(guò)程中不會(huì)被非授權(quán)篡改 防止授權(quán)用戶(hù)或?qū)嶓w不恰當(dāng)?shù)匦薷男畔?保持信息內(nèi)部和外部的一致性 可用性 Availability 確保授權(quán)用戶(hù)或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕 允許其可靠而及時(shí)地訪(fǎng)問(wèn)信息及資源 CIA三元組是信息安全的目標(biāo) 也是基本原則 與之相反的是DAD三元組 I A 信息安全的三要素CIA 什么是信息安全 信息安全的實(shí)質(zhì) 采取措施保護(hù)信息資產(chǎn) 使之不因偶然或者惡意侵犯而遭受破壞 更改及泄露 保證信息系統(tǒng)能夠連續(xù) 可靠 正常地運(yùn)行 使安全事件對(duì)業(yè)務(wù)造成的影響減到最小 確保組織業(yè)務(wù)運(yùn)行的連續(xù)性 11 嘿嘿 這頓美餐唾手可得 嗚嗚 可憐我手無(wú)縛雞之力 威脅就像這只貪婪的貓 如果盤(pán)中美食暴露在外 遭受損失也就難免了 什么是ISO27001 ISO27001目前世界上唯一的 信息安全管理標(biāo)準(zhǔn) 是建立信息安全管理體系 ISMS 的一套規(guī)范 其中詳細(xì)說(shuō)明了建立 實(shí)施和維護(hù)信息安全管理體系的要求 信息安全建設(shè)人員根據(jù)ISO17799 2005中的信息安全管理實(shí)施細(xì)則來(lái)建立ISMS ISO27001作用 缺少跨部門(mén)的信息安全協(xié)調(diào)機(jī)制 13 2020 2 19 公司信息安全管理體系將各部門(mén)聯(lián)系起來(lái) 保護(hù)特定資產(chǎn)以及完成特定安全過(guò)程的職責(zé)還不明確 對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù) 維持競(jìng)爭(zhēng)優(yōu)勢(shì) 雇員信息安全意識(shí)薄弱 缺少防范意識(shí) 強(qiáng)化員工的信息安全意識(shí) 規(guī)范組織信息安全行為 一旦發(fā)生意外 難以保證生產(chǎn)經(jīng)營(yíng)盡快恢復(fù) 在信息系統(tǒng)受到侵襲時(shí) 確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低程度 使組織的生意伙伴和客戶(hù)對(duì)組織充滿(mǎn)信心 實(shí)施前 實(shí)施后 實(shí)施與保持完整的信息安全管理體系 達(dá)到動(dòng)態(tài)的 系統(tǒng)的 全員參與 制度化的 以預(yù)防為主的信息安全管理方式 用最低的成本 達(dá)到可接受的信息安全水平 就可以從根本上保證業(yè)務(wù)的連續(xù)性 實(shí)施ISO27001有哪些關(guān)鍵活動(dòng) 我們有哪些重要的資產(chǎn)需要保護(hù)以及怎樣保護(hù) 清點(diǎn)資產(chǎn) 并分級(jí)和分類(lèi) 識(shí)別關(guān)鍵資產(chǎn)好鋼用在刀刃上這些資產(chǎn)面臨怎樣的風(fēng)險(xiǎn)呢 黑客 病毒數(shù)據(jù)丟失 系統(tǒng)宕機(jī) 網(wǎng)絡(luò)中斷等等有哪些手段可以降低這些風(fēng)險(xiǎn)呢 風(fēng)險(xiǎn)消減 風(fēng)險(xiǎn)規(guī)避 風(fēng)險(xiǎn)轉(zhuǎn)移以上都做好了 還有別的活動(dòng)嗎 審計(jì)糾正提高 議題 需要了解基本概念公司的信息安全項(xiàng)目進(jìn)行得怎樣了 全員應(yīng)該具備安全知識(shí)和技能對(duì)信息安全的容易誤解的地方 15 項(xiàng)目整體概述 本項(xiàng)目采用Program管理模式以解決NTT當(dāng)前信息安全問(wèn)題為總體目標(biāo)分為3個(gè)子項(xiàng)目執(zhí)行項(xiàng)目一為根據(jù)ISO27001幫助NTT建立ISMS 以滿(mǎn)足ISO27001標(biāo)準(zhǔn)要求為目標(biāo) 項(xiàng)目二為網(wǎng)絡(luò)優(yōu)化和技術(shù)控制實(shí)施 以解決實(shí)際的安全技術(shù)風(fēng)險(xiǎn)為目標(biāo) 項(xiàng)目三為配合項(xiàng)目二網(wǎng)絡(luò)優(yōu)化和技術(shù)控制實(shí)施的管理制度的制定 發(fā)布和執(zhí)行 以滿(mǎn)足已部署的技術(shù)控制措施的管理和運(yùn)維要求為目標(biāo) 子項(xiàng)目相互獨(dú)立 但又彼此銜接 為總體目標(biāo)服務(wù) 16 整體項(xiàng)目計(jì)劃 項(xiàng)目當(dāng)前狀態(tài) 需要我們做什么 遵守與執(zhí)行發(fā)布的所有的ISMS的方針 過(guò)程 規(guī)定 向安全推進(jìn)室報(bào)告您發(fā)現(xiàn)的存在安全風(fēng)險(xiǎn)與問(wèn)題 大膽的提出你對(duì)信息安全建設(shè)的建議和目前已發(fā)布的不合理的過(guò)程和規(guī)定 溫故信息安全知識(shí) 增強(qiáng)信息安全意識(shí) 信息安全 從自己做起 議題 需要了解基本概念公司的信息安全項(xiàng)目進(jìn)行得怎樣了 全員應(yīng)該具備安全知識(shí)和技能對(duì)信息安全的容易誤解的地方 同有賽博版權(quán)所有 20 以下安全事件是否曾經(jīng)發(fā)生 辦公環(huán)境中曾經(jīng)發(fā)生過(guò)丟失筆記本電腦的情況 曾經(jīng)有外來(lái)人員 直接進(jìn)入辦公環(huán)境 在無(wú)人隨同的情況下 自己找到空位 將筆記本電腦隨意接入到公司網(wǎng)絡(luò) 致使網(wǎng)絡(luò)感染病毒 曾經(jīng)有業(yè)務(wù)人員 不小心將客戶(hù)機(jī)密信息通過(guò)電子郵件發(fā)送給不應(yīng)接收的人員 一名開(kāi)發(fā)人員 因?yàn)闉g覽不明網(wǎng)站 惡意代碼利用IE的漏洞而在網(wǎng)絡(luò)發(fā)作 通過(guò)VPN進(jìn)入客戶(hù)網(wǎng)絡(luò) 最終導(dǎo)致項(xiàng)目被中止 曾對(duì)客戶(hù)做審核時(shí)發(fā)現(xiàn) 某項(xiàng)目室所有人都去吃午飯 但門(mén)窗卻大開(kāi) 犯過(guò)以下的錯(cuò)誤嗎 開(kāi)著電腦離開(kāi) 就像離開(kāi)家卻忘記關(guān)燈那樣輕易相信來(lái)自陌生人的郵件 好奇打開(kāi)郵件附件使用容易猜測(cè)的口令 或者根本不設(shè)口令不能保守秘密 口無(wú)遮攔 上當(dāng)受騙 泄漏敏感信息隨便撥號(hào)上網(wǎng) 或者隨意將無(wú)關(guān)設(shè)備連入公司網(wǎng)絡(luò)事不關(guān)己 高高掛起 不報(bào)告安全事件在系統(tǒng)更新和安裝補(bǔ)丁上總是行動(dòng)遲緩只關(guān)注外來(lái)的威脅 忽視企業(yè)內(nèi)部人員的問(wèn)題在公共場(chǎng)合談?wù)摴拘畔?想想這些錯(cuò)誤存在哪些潛在問(wèn)題 您會(huì)如何應(yīng)對(duì) 從自身做起 良好的安全習(xí)慣 趣味游戲 找錯(cuò) 在忙碌的辦公室中 跟隨著攝像機(jī)鏡頭 拍攝下辦公室內(nèi)所存在的安全隱患 其中包括 中午大家吃飯去了 在幾張桌子上 手機(jī)與錢(qián)包放在上面 一個(gè)沒(méi)有人的桌子上 一臺(tái)電腦正在從黑客網(wǎng)站上下載著一個(gè)被破解的金山詞霸 旁邊的打印機(jī)和復(fù)印機(jī)旁散落著不少帶字的紙張 大開(kāi)的項(xiàng)目經(jīng)理辦公室中 沒(méi)有其他人在 一名澆花工人正在里面澆花 會(huì)議室內(nèi)的白板上有上次會(huì)議留下的相關(guān)內(nèi)容的記錄 一些滿(mǎn)是字跡的紙張?jiān)诶爸忻俺鲆粋€(gè)角 手提電腦放在桌子上 訪(fǎng)問(wèn)客戶(hù)網(wǎng)絡(luò)的VPN密碼寫(xiě)在小紙條上貼在項(xiàng)目組的白板上 某職員在忙碌而嘈雜的辦公室一邊準(zhǔn)備趕去別的地方 一邊通過(guò)手機(jī)高聲與客房談?wù)撝鴮儆诠緳C(jī)密的一些內(nèi)容 Internet使用安全警惕社會(huì)工程學(xué)介質(zhì)安全 筆記本電腦及個(gè)人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計(jì)算機(jī)及網(wǎng)絡(luò)訪(fǎng)問(wèn)安全工作環(huán)境及物理安全要求 Internet使用安全 內(nèi)容 病毒與惡意代碼防護(hù) 病毒Virus 蠕蟲(chóng)Worm 木馬Trojan 傳統(tǒng)的計(jì)算機(jī)病毒 具有自我繁殖能力 寄生于其他可執(zhí)行程序中的 通過(guò)磁盤(pán)拷貝 文件共享 電子郵件等多種途徑進(jìn)行擴(kuò)散和感染 網(wǎng)絡(luò)蠕蟲(chóng)不需借助其他可執(zhí)行程序就能獨(dú)立存在并運(yùn)行 通常利用網(wǎng)絡(luò)中某些主機(jī)存在的漏洞來(lái)感染和擴(kuò)散 特洛伊木馬是一種傳統(tǒng)的后門(mén)程序 它可以冒充正常程序 截取敏感信息 或進(jìn)行其他非法的操作 常見(jiàn)的計(jì)算機(jī)病毒 網(wǎng)絡(luò)系統(tǒng)缺陷移動(dòng)存儲(chǔ)設(shè)備軟件被他人惡意捆綁惡意欺騙操作疏忽 計(jì)算機(jī)病毒怎么來(lái) 網(wǎng)絡(luò) 拒絕服務(wù)攻擊 邏輯炸彈 特洛伊木馬 黑客攻擊 計(jì)算機(jī)病毒 信息丟失 篡改 銷(xiāo)毀 后門(mén) 隱蔽通道 計(jì)算機(jī)病毒怎么來(lái)的 大多數(shù)病毒都是通過(guò)系統(tǒng)缺陷傳播沖擊波震蕩波尼姆達(dá)魔鬼波 計(jì)算機(jī)病毒怎么來(lái) 由于移動(dòng)存儲(chǔ)設(shè)備經(jīng)常被多個(gè)電腦使用 所有病毒設(shè)計(jì)者就利用這點(diǎn)進(jìn)行小范圍傳播 移動(dòng)硬盤(pán)軟盤(pán)光盤(pán)U盤(pán) 最近正流行 雙擊無(wú)法打開(kāi)硬盤(pán) 右鍵菜單多Auto 計(jì)算機(jī)病毒怎么來(lái) 計(jì)算機(jī)病毒怎么來(lái) 安裝的軟件被他人捆綁了惡意代碼木馬病毒安裝了流氓軟件CNNIC中文網(wǎng)址DuDu加速器網(wǎng)絡(luò)豬STD廣告發(fā)布系統(tǒng)千橡下屬網(wǎng)站桌面?zhèn)髅絼澰~搜索 如果你收到這樣一封Email 計(jì)算機(jī)病毒怎么來(lái) 自動(dòng)彈出了一個(gè)黑客程序如果這個(gè)程序是木馬的話(huà) 通過(guò)IM發(fā)送鏈接或附件 引誘用戶(hù)打開(kāi)鏈接或接收附件 從而感染病毒 計(jì)算機(jī)病毒怎么來(lái) 36 2020 2 19 惡意代碼防范策略 不要隨意下載或安裝軟件不要接收與打開(kāi)從E mail或IM QQ MSN等 中傳來(lái)的不明附件不要點(diǎn)擊他人發(fā)送的不明鏈接 也不登錄不明網(wǎng)站盡量不能過(guò)移動(dòng)介質(zhì)共享文件自動(dòng)或定期更新OS與應(yīng)用軟件的補(bǔ)丁所有計(jì)算機(jī)必須部署指定的防病毒軟件防病毒軟件與病毒庫(kù)必須持續(xù)更新感染病毒的計(jì)算機(jī)必須從網(wǎng)絡(luò)中隔離 撥除連接的網(wǎng)線(xiàn) 直至清除病毒任何意圖在內(nèi)部網(wǎng)絡(luò)創(chuàng)建或分發(fā)惡意代碼的行為都被視為違反管理制度發(fā)生任何病毒傳播事件 相關(guān)人員應(yīng)及時(shí)向IT管理部門(mén)匯報(bào) 僅此就夠了么 電子郵件 38 2020 2 19 Email安全策略 不當(dāng)使用Email可能導(dǎo)致法律風(fēng)險(xiǎn)禁止發(fā)送或轉(zhuǎn)發(fā)反動(dòng)或非法的郵件內(nèi)容未經(jīng)發(fā)送人許可 不得轉(zhuǎn)發(fā)接收到的郵件不得偽造虛假郵件 不得使用他人賬號(hào)發(fā)送郵件未經(jīng)許可 不得將屬于他人郵件的消息內(nèi)容拷貝轉(zhuǎn)發(fā)與業(yè)務(wù)相關(guān)的Email應(yīng)在文件服務(wù)器上做妥善備份包含客戶(hù)信息的Email應(yīng)轉(zhuǎn)發(fā)主管做備份個(gè)人用途的Email不應(yīng)干擾工作 并且遵守本策略避免通過(guò)Email發(fā)送機(jī)密信息 如果需要 應(yīng)采取必要的加密保護(hù)措施 接收郵件注意 不安全的文件類(lèi)型 絕對(duì)不要打開(kāi)任何以下文件類(lèi)型的郵件附件 bat com exe vbs未知的文件類(lèi)型 絕對(duì)不要打開(kāi)任何未知文件類(lèi)型的郵件附件 包括郵件內(nèi)容中到未知文件類(lèi)型的鏈接不要打開(kāi)未知的鏈接 未知的鏈接可能是含有病毒的網(wǎng)站和一次含有欺騙信息的釣魚(yú)網(wǎng)站微軟文件類(lèi)型 如果要打開(kāi)微軟文件類(lèi)型 例如 doc xls ppt等 的郵件附件或者內(nèi)部鏈接 務(wù)必先進(jìn)行病毒掃描要求發(fā)送普通的文本 盡量要求對(duì)方發(fā)送普通的文本內(nèi)容郵件 而不要發(fā)送HTML格式郵件 不要攜帶不安全類(lèi)型的附件禁止郵件執(zhí)行Html代碼 禁止執(zhí)行HTML內(nèi)容中的代碼防止垃圾郵件 通過(guò)設(shè)置郵件服務(wù)器的過(guò)濾 防止接受垃圾郵件盡早安裝系統(tǒng)補(bǔ)丁 杜絕惡意代碼利用系統(tǒng)漏洞而實(shí)施攻擊 如果同樣的內(nèi)容可以用普通文本正文 就不要用附件盡量不要發(fā)送 doc xls等可能帶有宏病毒的文件不要回覆由匿名寄件者寄來(lái)的郵件不要在公開(kāi)網(wǎng)站例如搜尋引擎 聊天室等披露你的郵件地址不要使用字典里簡(jiǎn)單的字和通用的姓名作為郵件地址發(fā)送不安全的文件之前 先進(jìn)行病毒掃描不要參與所謂的郵件接龍盡早安裝系統(tǒng)補(bǔ)丁 防止自己的系統(tǒng)成為惡意者的跳板可以使用口令或加密軟件發(fā)送安全級(jí)別較高的的郵件 發(fā)送郵件注意 Internet使用安全警惕社會(huì)工程學(xué)介質(zhì)安全 筆記本電腦及個(gè)人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計(jì)算機(jī)及網(wǎng)絡(luò)訪(fǎng)問(wèn)安全工作環(huán)境及物理安全要求 警惕社會(huì)工程學(xué) 內(nèi)容 網(wǎng)絡(luò)釣魚(yú) 通過(guò)郵件誘使收件人相信郵件是來(lái)自合法機(jī)構(gòu)或合法個(gè)人 通常會(huì)使用以下方法進(jìn)行攻擊 在收件人的電腦安裝暗藏于電郵附件的特洛伊程式或蠕蟲(chóng) 以尋找安全弱點(diǎn)及漏洞或拍下系統(tǒng) 快照 藉以取得收件人的個(gè)人資料 使用鍵盤(pán)測(cè)錄程式之類(lèi)的間諜軟件 擷取收件人的電腦資料 然后發(fā)送給騙徒 使詐搏取收件人信任 誘使收件人瀏覽看似合法網(wǎng)站的欺詐網(wǎng)站 并在站內(nèi)的表格輸入個(gè)人資料 網(wǎng)絡(luò)釣魚(yú)的常用手法 電子郵件欺騙的特點(diǎn) 這類(lèi)郵件一般以重要告示 緊急更新或警報(bào)的形式示人 其虛假的標(biāo)題旨在令收件人相信發(fā)件來(lái)源可靠而把電郵打開(kāi) 郵件的標(biāo)題可能包含數(shù)字或其他字母 以逃避被過(guò)濾 郵件內(nèi)文有時(shí)并無(wú)威嚇性 反而含有令人欣喜的信息 例如告知收件人中獎(jiǎng) 這類(lèi)郵件通常使用假冒的發(fā)件人地址或偽冒的機(jī)構(gòu)名稱(chēng) 令郵件看似確是發(fā)自其偽冒的機(jī)構(gòu) 這類(lèi)郵件通常會(huì)復(fù)制合法網(wǎng)站的網(wǎng)頁(yè)內(nèi)容 包括文字 公司標(biāo)記 圖像及樣式等 而為求以假亂真 這類(lèi)郵件所設(shè)的超連結(jié) 通常會(huì)誘導(dǎo)收件人連接到一個(gè)欺詐網(wǎng)站 而非鏈路表上面所顯示的合法網(wǎng)站 網(wǎng)站欺騙的特點(diǎn) 這類(lèi)網(wǎng)站使用外表真實(shí)網(wǎng)站一樣的內(nèi)容 如圖像 文字或公司標(biāo)記 甚至?xí)?fù)制合法網(wǎng)站 以誘騙訪(fǎng)客輸入帳戶(hù)或財(cái)務(wù)資料這類(lèi)網(wǎng)站設(shè)有真正鏈接 連接合法網(wǎng)站中如 聯(lián)絡(luò)我們 或 私隱及免責(zé)聲明 等網(wǎng)頁(yè)內(nèi)容 藉以蒙騙訪(fǎng)問(wèn)者這類(lèi)網(wǎng)站可能使用與合法網(wǎng)站相似的域名或子域名這類(lèi)網(wǎng)站可能使用與合法網(wǎng)站相似的表格來(lái)收集訪(fǎng)客的資料這類(lèi)網(wǎng)站可能以真正網(wǎng)頁(yè)為背景 而本身則采用彈出的視窗形式 藉以誤導(dǎo)和混淆訪(fǎng)問(wèn)者 令他們以為自已身處合法網(wǎng)站 仿冒詐騙網(wǎng)站 該仿冒網(wǎng)站與中國(guó)銀行 香港 有限公司 中銀香港 的官方網(wǎng)站相似 域名為 防范措施 不要登入可疑網(wǎng)站 不要打開(kāi)或?yàn)E發(fā)郵件中不可信賴(lài)來(lái)源或電郵所載的URL鏈接 以免被看似合法的惡意鏈接轉(zhuǎn)往惡意網(wǎng)站不要從搜尋器的結(jié)果連接到銀行或其他金融機(jī)構(gòu)的網(wǎng)址打開(kāi)郵件附件時(shí)要提高警惕 不要打開(kāi)擴(kuò)展名為 pif exe bat vbs 的附件以手工方式輸入U(xiǎn)RL位址或點(diǎn)擊之前已加入書(shū)簽的鏈接避免在咖啡室 圖書(shū)館 網(wǎng)吧等場(chǎng)所的公用計(jì)算機(jī)進(jìn)行網(wǎng)上銀行或財(cái)務(wù)查詢(xún) 交易 這些公用計(jì)算機(jī)可能裝有入侵工具或特洛伊程式在進(jìn)行網(wǎng)上銀行或財(cái)務(wù)查詢(xún) 交易時(shí) 不要使用瀏覽器從事其他網(wǎng)上活動(dòng)或連接其他網(wǎng)址 在完成交易后 切記要打印或備存交易記錄或確認(rèn)通知 以供日后查核 不要保存帳號(hào)和密碼不要給通過(guò)電子方式給任何機(jī)構(gòu)和個(gè)人提供敏感的個(gè)人或賬戶(hù)資料確保電腦采用最新的保安修補(bǔ)程式和病毒識(shí)別碼 以減低欺詐電郵或網(wǎng)站利用軟件漏洞的機(jī)會(huì) 其它欺騙方式 人是最薄弱的環(huán)節(jié) 你可能擁有最好的技術(shù) 防火墻 入侵檢測(cè)系統(tǒng) 生物鑒別設(shè)備 可只要有人給毫無(wú)戒心的員工打個(gè)電話(huà) KevinMitnick 什么是社會(huì)工程學(xué) SocialEngneering利用社會(huì)交往 通常是在偽裝之下 從目標(biāo)對(duì)象那里獲取信息例如 電話(huà)呼叫服務(wù)中心在走廊里的聊天冒充服務(wù)技術(shù)人員著名黑客KevinMitnick更多是通過(guò)社會(huì)工程來(lái)滲透網(wǎng)絡(luò)的 而不是高超的黑客技術(shù) 常見(jiàn)方式 多次搜集你認(rèn)為無(wú)用的的信息正面攻擊 直接索取 直接了當(dāng)?shù)拈_(kāi)口要求所需的信息 通過(guò)建立信任來(lái)獲取信息博取同情 希望得到幫助來(lái)獲取信息假冒網(wǎng)站和郵件逆向騙局進(jìn)入內(nèi)部攻擊新進(jìn)員工 社會(huì)工程flash 警惕社會(huì)工程學(xué) 不要輕易泄漏任何信息 社會(huì)工程師可以從信息中找到隱藏的有價(jià)值的信息 更不要說(shuō)是口令和賬號(hào)在相信任何人之前 先校驗(yàn)其真實(shí)的身份不要違背公司的安全策略 哪怕是你的上司向你索取個(gè)人敏感信息 KevinMitnick最擅長(zhǎng)的就是冒充一個(gè)很焦急的老板 利用一般人好心以及害怕上司的心理 向系統(tǒng)管理員索取口令 所謂的黑客 更多時(shí)候并不是技術(shù)多么出眾 而是社會(huì)工程的能力比較強(qiáng) Internet使用安全警惕社會(huì)工程學(xué)介質(zhì)安全 筆記本電腦及個(gè)人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計(jì)算機(jī)及網(wǎng)絡(luò)訪(fǎng)問(wèn)安全工作環(huán)境及物理安全要求 介質(zhì)安全及數(shù)據(jù)安全 內(nèi)容 移動(dòng)介質(zhì)帶來(lái)的風(fēng)險(xiǎn) 移動(dòng)介質(zhì)在數(shù)據(jù)交換與攜帶的便捷性 使得各式各樣的U盤(pán) 移動(dòng)硬盤(pán) MP3等可能未經(jīng)允許地接入計(jì)算機(jī)與網(wǎng)絡(luò) 進(jìn)行數(shù)據(jù)的拷貝和傳遞 一方面這些介質(zhì)的移動(dòng)性和便捷性容易被盜或丟失 而往往存儲(chǔ)在移動(dòng)介質(zhì)的數(shù)據(jù)是未經(jīng)加密的 很容易導(dǎo)致機(jī)密信息無(wú)意泄密另一方面 現(xiàn)在的移動(dòng)介質(zhì)的存儲(chǔ)容量也越來(lái)越大 小則上幾個(gè)Gbyte的容量 大則上幾百個(gè)Gbyte 對(duì)于有意泄密的員工 瞬間就可以把公司所有機(jī)密信息拷走 還有一方面 移動(dòng)介質(zhì)是病毒傳播的重要途徑 兩個(gè)不同安全等級(jí)的網(wǎng)絡(luò)或計(jì)算機(jī)通過(guò)移動(dòng)介質(zhì)傳遞信息時(shí) 低安全等級(jí)網(wǎng)絡(luò)或電腦很容易感染病毒 筆記本電腦與遠(yuǎn)程辦公安全 IT管理部門(mén)可以協(xié)助用戶(hù)部署必要的筆記本電腦防信息泄漏措施用戶(hù)不能將口令 ID或其他賬戶(hù)信息以明文保存在移動(dòng)介質(zhì)上筆記本電腦遺失應(yīng)按照相應(yīng)管理制度執(zhí)行安全響應(yīng)措施敏感信息應(yīng)加密保護(hù)攜出后的電腦在接入公司網(wǎng)絡(luò)之間應(yīng)進(jìn)行病毒掃描禁止在公共區(qū)域討論敏感信息 或通過(guò)筆記本電腦泄漏信息不要將筆記本同時(shí)接入兩個(gè)網(wǎng)絡(luò)注意筆記本電腦遠(yuǎn)程辦公的安全 采用加密防止信息泄露 介質(zhì)安全管理 創(chuàng)建 傳遞 銷(xiāo)毀 存儲(chǔ) 使用 更改 介質(zhì)包括 硬盤(pán) U盤(pán) 移動(dòng)硬盤(pán) 光盤(pán) 軟盤(pán) 紙等具有存儲(chǔ)信息功能的所有介質(zhì) LifeCycle Internet使用安全警惕社會(huì)工程學(xué)介質(zhì)安全 筆記本電腦及個(gè)人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計(jì)算機(jī)及網(wǎng)絡(luò)訪(fǎng)問(wèn)安全工作環(huán)境及物理安全要求 重要信息的保密 內(nèi)容 資產(chǎn)責(zé)任劃分 依據(jù)公司資產(chǎn)管理策略 信息保密級(jí)別分類(lèi)根據(jù)保密級(jí)別進(jìn)行標(biāo)識(shí)對(duì)不同級(jí)別的信息進(jìn)行不同的處理與保護(hù)根據(jù)不同級(jí)別的信息設(shè)定訪(fǎng)問(wèn)控制策略 帳戶(hù)與口令安全 內(nèi)容 Internet使用安全警惕社會(huì)工程學(xué)介質(zhì)安全 筆記本電腦及個(gè)人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計(jì)算機(jī)及網(wǎng)絡(luò)訪(fǎng)問(wèn)安全工作環(huán)境及物理安全要求 為什么口令很重要 帳戶(hù) 口令是最簡(jiǎn)單也最常用的身份認(rèn)證方式口令是抵御攻擊的第一道防線(xiàn) 防止冒名頂替口令也是抵御網(wǎng)絡(luò)攻擊的最后一道防線(xiàn) 針對(duì)口令的攻擊簡(jiǎn)便易行 口令破解快速有效由于使用不當(dāng) 往往使口令成為最薄弱的安全環(huán)節(jié)口令與個(gè)人隱私息息相關(guān) 必須慎重保護(hù) 脆弱的口令 少于8個(gè)字符單一的字符類(lèi)型 例如只用小寫(xiě)字母 或只用數(shù)字用戶(hù)名與口令相同最常被人使用的弱口令 自己 家人 朋友 親戚 寵物的名字生日 結(jié)婚紀(jì)念日 電話(huà)號(hào)碼等個(gè)人信息工作中用到的專(zhuān)業(yè)術(shù)語(yǔ) 職業(yè)特征字典中包含的單詞 或者只在單詞后加簡(jiǎn)單的后綴所有系統(tǒng)都使用相同的口令口令一直不變 63 2020 2 19 建議 選擇易記強(qiáng)口令的幾個(gè)竅門(mén) 口令短語(yǔ)字符替換單詞誤拼鍵盤(pán)模式 信息交換備份安全 內(nèi)容 Internet使用安全警惕社會(huì)工程學(xué)介質(zhì)安全 筆記本電腦及個(gè)人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計(jì)算機(jī)及網(wǎng)絡(luò)訪(fǎng)問(wèn)安全工作環(huán)境及物理安全要求 信息交換安全 通過(guò)傳真發(fā)送機(jī)密信息時(shí) 應(yīng)提前通知接收者并確保號(hào)碼正確不允許在公共區(qū)域用移動(dòng)電話(huà)談?wù)摍C(jī)密信息不允許在公共區(qū)域與人談?wù)摍C(jī)密信息不允許通過(guò)電子郵件或IM工具交換賬號(hào)和口令信息不允許借助公司資源做非工作相關(guān)的信息交換不允許通過(guò)IM工具傳輸附件禁止通過(guò)WINDOWS的SHARE方式共享信息應(yīng)該使用專(zhuān)用打印機(jī)或復(fù)印機(jī)處理絕密資料打印或復(fù)印的資料應(yīng)立即取走 信息備份安全 個(gè)人應(yīng)養(yǎng)成定期備份工作信息的習(xí)慣保密性要求較高的數(shù)據(jù)在備份時(shí)應(yīng)考慮保密問(wèn)題對(duì)備份資料的訪(fǎng)問(wèn)要設(shè)定完善的訪(fǎng)問(wèn)控制機(jī)制 計(jì)算機(jī)與網(wǎng)絡(luò)訪(fǎng)問(wèn) 內(nèi)容 Internet使用安全警惕社會(huì)工程學(xué)介質(zhì)安全 筆記本電腦及個(gè)人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計(jì)算機(jī)及網(wǎng)絡(luò)訪(fǎng)問(wèn)安全工作環(huán)境及物理安全要求 計(jì)算機(jī)網(wǎng)絡(luò)訪(fǎng)問(wèn)安全 舉例 訪(fǎng)問(wèn)控制基本原則 未經(jīng)明確允許即為禁止訪(fǎng)問(wèn)必須通過(guò)唯一注冊(cè)的用戶(hù)ID來(lái)控制用戶(hù)對(duì)網(wǎng)絡(luò)的訪(fǎng)問(wèn)系統(tǒng)管理員必須確保用戶(hù)訪(fǎng)問(wèn)基于最小特權(quán)原則而授權(quán)用戶(hù)必須根據(jù)要求使用口令并保守秘密系統(tǒng)管理員必須對(duì)用戶(hù)訪(fǎng)問(wèn)權(quán)限進(jìn)行檢查 防止濫用系統(tǒng)管理員必須確保網(wǎng)絡(luò)服務(wù)可用系統(tǒng)管理員必須根據(jù)安全制度要求定義訪(fǎng)問(wèn)控制規(guī)則 用戶(hù)必須遵守規(guī)則各部門(mén)應(yīng)自行制定并實(shí)施對(duì)業(yè)務(wù)應(yīng)用系統(tǒng) 開(kāi)發(fā)和測(cè)試系統(tǒng)的訪(fǎng)問(wèn)規(guī)則計(jì)算機(jī)網(wǎng)絡(luò)用戶(hù)必須加入網(wǎng)域 統(tǒng)一接受公司安全策略管理網(wǎng)絡(luò)內(nèi)禁止使用任何掃描或偵測(cè)工具禁止同時(shí)訪(fǎng)問(wèn)兩個(gè)網(wǎng)絡(luò) 工作環(huán)境與物理安全 Internet使用安全警惕社會(huì)工程學(xué)介質(zhì)安全 筆記本電腦及個(gè)人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計(jì)算機(jī)及網(wǎng)絡(luò)訪(fǎng)問(wèn)安全工作環(huán)境及物理安全