2019-信息安全意识培训-文档资料

19
注意你的身边！ 注意最细微的地方！
20
我们来看一个案例
您肯定用过银行的ATM机，您 插入银行卡，然后输入密码， 然后取钱，然后拔卡，然后离 开，您也许注意到您的旁边没 有别人，您很小心，可是，您 真的足够小心吗？……
21
22
23
24
25
26
WIFI安全
WiFi是一种短程无线传输技术，能够在数百英尺范围内支持互联网 接入的无线电信号。随着技术的发展，以及IEEE802.11a、802.11b 、802.11g以及802.11n等标准的出现，现在IEEE802.11这个标准已 被统称作WiFi。 第二次世界大战后，无线通讯因在军事上应用的成功而受到重视 ，但缺乏广泛的通讯标准。于是，IEEE（美国电气和电子工程师协会 ）在2019年为无线局域网制定了第一个标准IEEE802.11。IEEE 802.11标准最初主要用于解决办公室局域网和校园网中用户的无线 接入，其业务主要限于数据存取，速率最高只能达到2Mbps。
u 口令短语
u 字符替换 u 单词误拼
u 键盘模式
42
口令设置
找到一个生僻但易记的短语或句子（可以摘自歌曲、 书本或电影），然后创建它的缩写形式，其中包括大写字 母和标点符号等。
I like this PiaoLiangMeiMei ! My son Tom was born at 8:05 iLtPPMM!
案例视频
17
重要信息的保密 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理
软件应用安全
计算机及网络访问安全 移动计算与远程办公 警惕社会工程学
工 作 环 境 及 物 理 安 全
18
工作环境安全
u 禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用碎纸 机粉碎 u 废弃或待修磁介质转交他人时应经IT专业管理部门消磁处理 u在复印机复印完成后，带走全部的复印材料 u等等
6
7
搜狗手机输入法漏洞导致 大量用户信息泄露
Adobe 300万账户隐私信息 泄露
移动应用漏洞利用导致泄密情况值得警惕，微信漏洞泄 密个人关系图谱也证明该问题。
云计算方式会将软件单个漏洞影响扩大化。
8
9
雅虎日本再遭入侵 2200万 用户信息被窃取
圆通百万客户信息遭泄露
二次泄密，国际巨头对用户隐私也持漠视态度。
计算机及网络访问安全
移动计算与远程办公 警惕社会工程学
病 毒 与 恶 意 代 码
29
什么是计算机病毒
“计算机病毒，是指编制或者在计算机 程序中插入的破坏计算机功能或者毁坏数 据，影响计算机使用，并能自我复制的一 组计算机指令或者程序代码。”
——《中华人民共和国计算机信息系统安全保护条例》
30
病毒 蠕虫 木马
9
泄密事件 1 2 3 4 5 “棱镜门”事件
信息安全事件
英国离岸金融业200多万份 邮件等文件泄密 支付宝转账信息被谷歌抓 取 如家等快捷酒店开房记录 泄露 中国人寿80万份保单信息 泄密
点评 网友总结的2019年十大信息安全事件 斯诺登充分暴露NSA的信息窃密手段，对世界信息安全 及信息化格局产生深远影响。 范围涉及170个国家13万富豪，是具有重大影响的金融 安全事件。 作为国内使用最广泛的支付平台，影响面大，是互联网 金融安全的典型案例。 涉及个人深度隐私，影响部分人家庭团结和社会稳定。 保单信息包含详尽的个人隐私信息，对个人声誉及生活 影响大。
2009年6月，工信部发布新政，宣布加装WAPI功能的手机可 入网检测并获进网许可。当月，包括美国代表在内的参会成员一 致同意，将WAPI作为无线局域网络接入安全机制独立标准形式 推进为国际标准。
WIFI安全视频
重要信息的保密 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 软件应用安全
31
恶意代码防范策略
u 所有计算机必须部署指定的防病毒软件 u 防病毒软件必须持续更新 u 感染病毒的计算机必须从网络中隔离直至清除病毒 u 任何意图在内部网络创建或分发恶意代码的行为都被视为违反管理制 度 u 发生任何病毒传播事件，相关人员应及时向IT管理部门汇报 u ……
u仅此就够了么
32
让我们继续……
u 平均每人要记住四个口令，95％都习惯使用相同的口令（在很多 需要口令的地方）
u 33％的人选择将口令写下来，然后放到抽屉或夹到文件里
39
脆弱的口令……
u 少于8个字符 u 单一的字符类型，例如只用小写字母，或只用数字 u 用户名与口令相同 u 最常被人使用的弱口令：
u u u u 自己、家人、朋友、亲戚、宠物的名字 生日、结婚纪念日、电话号码等个人信息 工作中用到的专业术语，职业特征 字典中包含的单词，或者只在单词后加简单的后缀
16
信息处理与保护
u 各类信息，无论电子还是纸质，在标注、授权、访问、 存储、拷贝、传真、内部和外部分发（包括第三方转 交）、传输、处理等各个环节，都应该遵守既定策略 u 信息分类管理程序只约定要求和原则，具体控制和实现 方式，由信息属主或相关部门确定，以遵守最佳实践和 法律法规为参照 u 凡违反程序规定的行为，酌情予以纪律处分
45
重要信息的保密 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理
软件应用安全
计算机及网络访问安全 移动计算与远程办公 警惕社会工程学
电 子 邮 件 安 全
46
Email数字
u 据统计，有超过87％的病毒是借助Email进入企业的 u 对于下列标题的邮件，选择打开阅览的人数百分比：
信息安全意识培训
1
主要内容
1 2 3
什么是信息安全？ 信息安全基本概念 如何保护好信息安全
2
装有100万的 保险箱
需要 3个悍匪、
1辆车，才能偷走。
公司损失： 100万
装有客户信息的 电脑
只要 1个商业间谍、 1个U盘，就能偷走。 公司损失： 所有客户！
3
什么是信息安全？
• 不止有产品、技术才是信息安全
13
良好的安全习惯
从身边做起
重要信息的保密 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理
软件应用安全
计算机及网络访问安全 移动计算与远程办公 警惕社会工程学
重 要 信 息 的 保 密
15
信息保密级别划分
Secret机密、绝密
Confidencial 秘密 Internal Use内 部公开 Public公 开
两个层面
1. 技术层面—— 防止外部用户的非法入侵 2. 管理层面—— 内部员工的教育和管理
6
信息安全基本目标
保密性， 完整性， 可用性
C onfidentiality I ntegrity A vailability
CIA
7
怎样搞好信息安全？
一个软件公司的老总，等他所有的员工下班之 后，他在那里想：我的企业到底值多少钱呢？假 如它的企业市值1亿，那么此时此刻，他的企业就 值2600万。 因为据Delphi公司统计，公司价值的26%体现 在固定资产和一些文档上，而高达42%的价值是存 储在员工的脑子里，而这些信息的保护没有任何 一款产品可以做得到，所以需要我们建立信息安 全管理体系，也就是常说的ISMS（information security management system）！
传统的计算机病毒，具有自我繁殖能力， 寄生于其他可执行程序中的，通过磁盘拷 Virus 贝、文件共享、电子邮件等多种途径进行 扩散和感染 网络蠕虫不需借助其他可执行程序就能独立 存在并运行，通常利用网络中某些主机存在 Worm 的漏洞来感染和扩散
病毒
蠕虫
木马
Trojan
特洛伊木马是一种传统的后门程序，它可 以冒充正常程序，截取敏感信息，或进行 其他非法的操作
WIFI安全
但即使是较新的WPA2加密技术，仍然在无线开放环境下存 在安全性较弱、无法满足电信级高可靠性要求等问题，为此，我 国依据“商用密码管理条例”制定了针对WiFi既有安全加密技术 漏洞自主安全标准WAPI（Wireless LAN Authentication and Privacy Infrastructure，无线网络鉴别保密基础结构）。
u 所有系统都使用相同的口令 案例视频 u 口令一直不变
40
值得注意的……
u 口令是越长越好 u 但“选用20个随机字符作为口令”的建议也不可取 u 人们总习惯选择容易记忆的口令 u 如果口令难记，可能会被写下来，这样反倒更不安全
41
建议……
u 口令至少应该由8个字符组成 u 口令应该是大小写字母、数字、特殊字符的混合体 u 不要使用名字、生日等个人信息和字典单词 u 选择易记强口令的几个窍门：
4
信息安全无处不在
法律 合规 业务 连续 安全 策略
安全 组织
资产 管理
事件 管理
信息安全
人员 安全
开发 安全
网络 安全 访问 控制
物理 安全
5
信息安全的定义
广义上讲
领域—— 涉及到信息的保密性，完整性，可用性，真 实性，可控性的相关技术和理论。
本质上
1. 保护—— 系统的硬件，软件，数据 2. 防止—— 系统和数据遭受破坏，更改，泄露 3. 保证—— 系统连续可靠正常地运行，服务不中断
快递行业信息泄密愈演愈烈。 泄露用户行程，不少用户反映受诈骗和影响行程安排， 影响出行安全。
东航等航空公司疑泄露乘 10 客信息
支付宝转账信息被谷歌抓取，直接搜索“site:shenghuo.alipay”就能 搜到转账信息，数量超过2000条。
这样的事情还有很多……
信 息 安 全 迫 在 眉 睫！！！
u I LOVE YOU：37％的人会打开邮件 u Great joke：54％的人会打开邮件
在WiFi技术的发展过程中，除了传输速率不断提升之外，安全加 密技术的不断增强也是其技术标准频繁更新的重要原因。而最早进 入WiFi标准的加密技术名为WEP（Wired Equivalent Privacy，有 线等效保密），但由于该技术的加密功能过于脆弱，很快就被2019 年和2019年推出的WPA（WiFi Protected Access，WiFi网络安全 存取）和WPA2技术所取代。
8
绝对的安全是不存在的
• 绝的零风险是不存在的，要想实现零风险，也是不现实的；
• 计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大， 一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一 种平衡。 在计算机安全领域有一句格言：“真正安 全的计算机是拔下网线，断掉电源，放置在 地下掩体的保险柜中，并在掩体内充满毒气， 在掩体外安排士兵守卫。” 显然，这样的计算机是无法使用的。
u 除了蠕虫、病毒、木马等恶意代码，其他恶意代码还 包括逻辑炸弹、远程控制后门等 u 现在，传统的计算机病毒日益与网络蠕虫结合，发展 成威力更为强大的混合型蠕虫病毒，传播途径更加多样 化（网络、邮件、网页、局域网等） u 通常的商业杀毒软件都能查杀基本的病毒、蠕虫和木 马程序，但并不能防止未知病毒，需要经常更新
u 由于使用不当，往往使口令成为最薄弱的安全环节
u 口令与个人隐私息息相关，必须慎重保护
38
一些数字……
u 如果你以请一顿工作餐来作为交换，有70％的人乐意告诉你他 （她）的机器口令
u 有34％的人，甚至不需要贿赂，就可奉献自己的口令
u 另据调查，有79％的人，在被提问时，会无意间泄漏足以被用来 窃取其身份的信息
33
下载文件注意防范“李鬼”
重要信息的保密 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理
口 令 安 全
软件应用安全
计算机及网络访问安全 移动计算与远程办公 警惕社会工程学
37
为什么口令很重要
u 用户名+口令是最简单也最常用的身份认证方式 u 口令是抵御攻击的第一道防线，防止冒名顶替 u 口令也是抵御网络攻击的最后一道防线 u 针对口令的攻击简便易行，口令破解快速有效
MsTwb8:05
43
口令设置——键盘模式
u 试着使用数字和特殊字符的组合 u 避免“qwerty”这样的直线，而使用Z字型或者多条短线 u 这种方法很容易被人看出来 u 键盘输入时不要让人看见
44
口令管理
u 员工有责任记住自己的口令 u 账号在独立审计的前提下进行口令锁定、解锁和重置操 作 u 初始口令设置不得为空 u 口令设置不得少于8个字符 u 口令应该包含特殊字符、数字和大小写字母 u 口令应该经常更改，设定口令最长有效期为不超出3个 月 u 口令输入错误限定5次