您的位置:360文档中心› “企业安全培训课件:防范网络钓鱼攻击”

“企业安全培训课件:防范网络钓鱼攻击”

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

3 生动形象
内容通过丰富的载体和形式,让员工们自然而然产生安全意识和情感共鸣。
网络钓鱼攻击防范策略
建立反网络钓鱼组织
针对网络钓鱼攻击制定防范策 略,并成立反网络钓鱼工作小 组对防范顶层设计、防范措施 建议、风险预警、应急响应等 方面进行梳理。
加强人员培训和宣传
经常对员工进行网络安全培训 和宣传,教育员工提高安全防 范意识,增强反欺诈态度。
企业网络安全意识教育的必要性
“人”是企业安全的最大漏洞
网络攻击往往通过对员工的社交工程等 技术手段进行突破。针对员工缺少安全 意识,不自觉地泄露内部重要信息,进 行企业网络安全意识教育具有重要的意 义。
提高员工素质
通过网络安全教育,提高员工们的安全 意识,规范个人行为,将安全知识转化 为具体的实践方法,不断加强他们的安 全防范能力过欺骗手段,引诱用户主动输入个人敏感信息, 如账号、密码、信用卡信息等,从而达到非法盈利或者其他目的的一种网络 安全威胁行为。本课程旨在通过详细介绍网络钓鱼攻击的分类、手段、防范 策略等方面,提高企业员工的网络安全意识,规避安全风险。
什么是网络钓鱼攻击?
发放安全意识问卷,通过员工的回答情况,对 安全意识深度进行测评。
安全演练模拟法
通过安全演练对安全意识进行测试和评估,验 证培训的实际效果。
企业安全培训的推广与实施
广告宣传
借助多种渠道开展网络安全宣传、营销 活动和推广。
组织推广
组织各类相关人员,全员推广企业网络 安全知识、安全防范教育。
合理分配资源
捕鲸式攻击
攻击者骗取公司高层人员,窃 取公司重要信息,造成严重影 响。
网络缓存欺诈
网络攻击者通过对DNS服务器 或电脑本地hosts文件的修改, 让受害者访问到一个虚假的网 站,达到窃取用户信息的目的。
常见网络钓鱼攻击手段及案例分析
1
假冒网站
假冒网站指仿冒正规网站的页面,通过虚假形式窃取用户信息。2019年1月16日, NordVPN遭遇仿冒网站攻击。攻击者伪造了一份假的付款需要验证的电子邮件,并 插入了一个虚假网站,窃取了用户数据。
加固安全基础设施
通过网络防火墙、网络鉴别设 备、访问控制设备、数据加密 等设备组合应对网络钓鱼攻击。
网络安全工具及技术介绍
安全防护软件
生物识别技术 访问控制技术
360、奇虎 360、赛门铁克、卡巴斯基、正点 防务等
指纹识别、虹膜识别、面部识别
基于MAC地址的访问控制、基于IP地址的访 问控制、基于端口的访问控制等
根据企业现有资源,合理确定宣传、推广等方面所需要的经费和物资。
2
伪造邮件与短信
攻击者利用伪造的发件人身份和信息导致用户误以为该邮件来自信任的来源。2018 年5月,全球半导体企业ADI被遭到钓鱼攻击,造成1亿美元损失的伪装邮件,由于标 题相似度高、正文间接性等原因,使至少数人被骗。
3
社交网络攻击
攻击者可以在社交网站上制造假的广告、链接或者评论以获取额外的流量从而达到欺 瞒受害者的目的。2019年8月,Twitter上曾发生大规模的网络钓鱼事件,攻击者伪造 了Elon Musk的名字,发送虚假消息骗取了用户的比特币转账。
影响
网络钓鱼攻击可能会导致公司的品牌形象受到破坏、企业财务受损或者是用户数据泄露, 对公司造成巨大不良后果。
网络钓鱼攻击的分类
普通钓鱼
通过电子邮件、短信、社交媒 体等手段发送伪造链接或附件 欺骗用户输入敏感信息。
针对性钓鱼
通过伪造邮件或网站的方式揭 示更多关于特定用户或公司的 信息,以执行更高度定制的攻 击。
降低安全事故发生率
企业开展网络安全意识教育可以有效地降低企业网络安全风险,避免安全事故的发生,降 低安全事故的损失。
如何提高员工的网络安全意识?
1
定期开展安全意识培训
企业应定期开展网络安全培训,包括防范网络钓鱼、病毒防范等主题,提升员工安全 意识和防范能力。
2
建立安全文化体系
企业安全文化风气浓厚、安全责任到人,将助于形成整体防范体系,构建多维度、全 周期、覆盖全员的安全防护体系,确保人人都是安全防范者。
定义
网络钓鱼攻击是一种通过仿冒合法机构 或利用社交工程等手段,欺骗用户输入 个人隐私信息的网络攻击行为。
原理
攻击者通过仿冒互联网公司、银行的网 站或发送伪造邮件等方法,经常以紧急 或警告信息的形式警告用户,骗取用户 点击伪造的链接或附件,导致个人账号 被窃取、财务信息被盗刷、恶意软件入 侵等事故发生。
3
提高员工风险意识
员工应该对网络钓鱼攻击等安全风险信息有敏感的意识,能够抵御各类网络攻击行为, 不轻信陌生人和邮件,不公开个人的相关信息。
企业安全培训课程的设计原则
1 安全性
2 个性化
针对企业的实际合规标准和风险状况, 量身制定相应的培训课程。
因材施教,针对不同职能部门、不同 岗位,制定不同的安全防范培训方案。
应急响应与安全演练
1
应急计划制定
根据企业实际情况,制定应急响应计划,明确应急响应流程和步骤。
2
安全演练
不定期组织企业安全演练,提高安全响应能力和数据恢复能力,确保数据完整性和安 全性。
3
漏洞评估
定期对公司的软硬件、网络等进行漏洞评估,以便及时针对漏洞采取安全措施。
安全意识培训效果的评估方法
问卷调查法
企业网络安全风险评估与管理
风险评估
1. 确认风险存在的可能性和影响范围 2. 制定风险评估的测量标准 3. 确定评估步骤和问卷调查表 4. 根据实际情况调整风险评估程序
风险管理
1. 采用基于等级分类的风险管理原则 2. 制定应急预案和预算 3. 制定风险管理计划和调整计划 4. 组织建立风险管理机构,开展员工培训
相关文档
最新文档