信息安全意識(shí)培訓(xùn)

1、信息安全意識(shí)培訓(xùn)信息安全離我們有多遠(yuǎn)信息安全意識(shí)調(diào)查分析日常信息安全注意事項(xiàng)目錄這些已經(jīng)發(fā)生在某某省的部分機(jī)關(guān)某某省旅游客運(yùn)管理服務(wù)有限公司主站SQL漏洞某某海事局SQL注入漏洞某某晚報(bào)分站JAVA反序列漏洞，影響內(nèi)網(wǎng)安全某某省電子招投標(biāo)系統(tǒng)命令執(zhí)行（administrator權(quán)限）這些已經(jīng)發(fā)生在你我個(gè)人身邊個(gè)人網(wǎng)銀失竊12306釣魚網(wǎng)站，搶票難，還被騙信息安全離我們有多遠(yuǎn)信息安全意識(shí)調(diào)查分析日常信息安全注意事項(xiàng)目錄口令/密碼意識(shí) 員工應(yīng)清晰地明白“數(shù)字+字母+符號(hào)+大小寫”這種相對(duì)最為安全的口令/密碼設(shè)置規(guī)則,并且養(yǎng)成定期更換口令/密碼的工作習(xí)慣。 深刻認(rèn)識(shí)口令/密碼安全的重要性并付諸于行動(dòng)

2、。 調(diào)查結(jié)果顯示,所有受訪者中,45.9%的受訪者口令/密碼安全意識(shí)較好;11.1%的受訪者的口令/密碼安全意識(shí)較差。 弱口令導(dǎo)致被入侵案例終端安全意識(shí) 員工應(yīng)掌握基本的計(jì)算機(jī)防護(hù)操作,懂得鎖屏是計(jì)算機(jī)防護(hù)操作不可或缺的一部分,并熟悉鎖屏操作技巧。同時(shí),也應(yīng)對(duì)基本的計(jì)算機(jī)防護(hù)知識(shí)有所了解,能夠處理一般的終端安全問題。 調(diào)查結(jié)果顯示,所有受訪者中,29.9%的受訪者計(jì)算機(jī)終端安全意識(shí)較好;17.0%的受訪者的計(jì)算機(jī)終端安全意識(shí)較差。 終端安全意識(shí)導(dǎo)致不和諧一幕數(shù)據(jù)備份安全意識(shí) 電腦中的數(shù)據(jù)承載巨大的價(jià)值,如果丟失或被竊取、篡改,將承受巨大的時(shí)間、金錢和精神上的損失,因此電腦數(shù)據(jù)定期備份至關(guān)重要。

3、定期數(shù)據(jù)備份是日常工作必不可少的操作,也是保證業(yè)務(wù)連續(xù)性 的重要一環(huán)。 調(diào)查結(jié)果顯示,所有受訪者中,67.2%的受訪者數(shù)據(jù)備份意識(shí)較好;8.2%的受訪者的數(shù)據(jù)備份意識(shí)較差。 數(shù)據(jù)備份安全意識(shí)社會(huì)工程學(xué)安全意識(shí) 黑客們經(jīng)常會(huì)假扮管理員的身份向員工索要相關(guān)賬戶密碼,從而侵入系統(tǒng)進(jìn)行非法操作。企業(yè)員工需要擁有良好的信息安全意識(shí)習(xí)慣, 遇到敏感問題,不輕易相信他人的身份,不泄露自己機(jī)密的信息。 調(diào)查結(jié)果顯示,所有受訪者中,49.6%的受訪者社會(huì)工程學(xué)安全意識(shí)較好;50.4%的受訪者的社會(huì)工程學(xué)安全意識(shí)較差。 社會(huì)工程學(xué)攻擊手段 冒名電話 冒名電話是一種簡單有效的攻擊手段，攻擊者也不必?fù)?dān)當(dāng)很大的風(fēng)險(xiǎn)。一

4、般情況下，攻擊者冒名親戚、朋友、同學(xué)、同事、上司、下屬、高級(jí)官員、知名人士等通過電話從目標(biāo)處獲取信息 信件偽造 隨著計(jì)算機(jī)應(yīng)用的普及，在很多場(chǎng)合動(dòng)筆寫信被計(jì)算機(jī)所取代，于是信件偽造變得容易起來。例如偽造“中獎(jiǎng)”信件，“被授予某某榮譽(yù)”信件，偽造“邀請(qǐng)參加大型活動(dòng)”信件。 地址欺騙 域名欺騙、IP地址欺騙 郵件欺騙 郵件欺騙是指攻擊者通過發(fā)送垃圾郵件說服目標(biāo)相信某一事件或引誘目標(biāo)訪問某一鏈接等，或者在替換郵件中的附件為木馬程序社會(huì)工程學(xué)攻擊手段 消息欺騙 消息欺騙是指攻擊者利用網(wǎng)絡(luò)消息發(fā)送工具，向目標(biāo)發(fā)送欺騙信息。最典型的就是利用一些IM（Instance Messaging）聊天工具例如QQ、

5、泡泡、MSN等。用戶接受到陌生人的消息可能會(huì)不予理睬，但如果接收到好友發(fā)來的，其信服度就大幅提升了。 軟件欺騙 軟件欺騙是指攻擊者將附有惡意代碼或病毒的軟件發(fā)布到網(wǎng)上，一旦用戶下載并安裝了該軟件，隱藏在其中的惡意軟件就會(huì)發(fā)揮作用，由于用戶是主動(dòng)去執(zhí)行，因此安全危害極高。 窗口欺騙 窗口欺騙，主要是指網(wǎng)頁彈出窗口欺騙。攻擊者往往利用用戶貪婪的心理，給出一個(gè)天上掉下來的“餡餅”，誘使用戶按照攻擊者預(yù)先指定的方式訪問網(wǎng)頁或者進(jìn)行相關(guān)操作，達(dá)到入侵者預(yù)定的攻擊目的。社會(huì)工程學(xué)攻擊案例 社會(huì)工程學(xué)是利用人性對(duì)新奇東西產(chǎn)生好奇，愛貪小便宜等弱點(diǎn)進(jìn)行誘騙，或者針對(duì)特定生活圈子進(jìn)行定向搜集的攻擊方式。http

6、://bugs/wooyun-2010-065887系統(tǒng)安全意識(shí) 企業(yè)員工應(yīng)能夠識(shí)別一些類型文件的潛在病毒危險(xiǎn),能夠及時(shí)升級(jí)計(jì)算機(jī)病毒數(shù)據(jù)庫,更好的防護(hù)計(jì)算機(jī)系統(tǒng),并且認(rèn)識(shí)到這些安全漏洞會(huì)對(duì)計(jì)算機(jī)帶來的巨大威脅。 調(diào)查結(jié)果顯示,所有受訪者中,52.6%的受訪者系統(tǒng)安全意識(shí)較 好;8.6%的受訪者的系統(tǒng)安全意識(shí)較差。 系統(tǒng)安全意識(shí)移動(dòng)介質(zhì)安全意識(shí) U 盤、移動(dòng)硬盤、光盤這些移動(dòng)介質(zhì)方便小巧,為我們存儲(chǔ)、移動(dòng)數(shù)據(jù)帶來了諸多便利,但是企業(yè)員工也應(yīng)知道移動(dòng)介質(zhì)也很容易造 成病毒的感染與泛濫、泄密等惡果。為了進(jìn)一步確保信息安全,企業(yè) 應(yīng)當(dāng)為員工配備專用的工作 U 盤/移動(dòng)介質(zhì)

7、。 調(diào)查結(jié)果顯示,所有受訪者中,94.5%的受訪者移動(dòng)介質(zhì)安全意 識(shí)較好;2.8%的受訪者的移動(dòng)介質(zhì)安全意識(shí)較差。 郵件安全意識(shí) 郵件是員工日常辦公的主要工具,但郵件所帶的不明鏈接、有毒附件讓信息安全意識(shí)薄弱的員工懊惱不已。 調(diào)查結(jié)果顯示,所有受訪者中,76.9%的受訪者郵件安全意識(shí)較好;3.0%的受訪者的郵件安全意識(shí)較差。 無線安全意識(shí) 隨著現(xiàn)在免費(fèi) wifi 網(wǎng)點(diǎn)的增多,無線網(wǎng)絡(luò)安全已經(jīng)越來越受到 關(guān)注,企業(yè)員工應(yīng)做到不輕易接入未知的無線網(wǎng)絡(luò),并且認(rèn)識(shí)到無線 網(wǎng)絡(luò)潛在的危險(xiǎn)性。 調(diào)查結(jié)果顯示,所有受訪者中,53.2%的受訪者無線網(wǎng)絡(luò)安全意 識(shí)較好;14.5%的受訪者的無線網(wǎng)絡(luò)安全意識(shí)較差。

8、 信息防泄漏安全意識(shí) 微博為現(xiàn)代人提供了發(fā)泄情緒,表達(dá)觀點(diǎn),暢所欲言的平臺(tái),而 很多人并沒有意識(shí)到,自己非常平常的一句話,就很可能被他人所利 用。微博泄密案件屢屢發(fā)生。企業(yè)應(yīng)對(duì)員工做一定的約束和信息安全宣貫工作,從而影響員工個(gè)人行為,有效降低信息安全事件發(fā)生的概率。 調(diào)查結(jié)果顯示,所有受訪者中,62.1%的受訪者信息防泄漏意識(shí)較好;11.9%的受訪者的信息防泄漏意識(shí)較差。 信息安全離我們有多遠(yuǎn)信息安全意識(shí)調(diào)查分析日常信息安全注意事項(xiàng)目錄口令/密碼安全設(shè)置注意三原則：1、避免出現(xiàn)弱密碼 口令密碼應(yīng)該在8-12位以上如果使用暴力猜解，8位以下的密碼都很不安全，猜解的時(shí)間很短，幾天甚至幾分鐘就能破解

9、 應(yīng)使用數(shù)字、字母相結(jié)合方式密碼口令所使用的字符組合為大寫字母數(shù)字或小寫字母數(shù)字，如idjo2006或者waxd201309，這樣能加大暴力猜解的難度 避免使用有規(guī)律的字母或數(shù)字組合類似ming1993、abcd2006、qwerty、1qaz2wsx、admin1234等使用常用單詞或日期都很危險(xiǎn)，容易被黑客字典收錄，增大被破解的幾率?？诹?密碼安全防范注意三原則：2、密碼易于自己記憶 設(shè)計(jì)密碼的時(shí)候既要安全，又要方便，需要結(jié)合個(gè)人使用習(xí)慣，一般大寫或小寫字母數(shù)字的組合足夠了，同時(shí)，拼音也能幫上忙。找一句自己印象深刻的格言座右銘或俗語.3、不要鎖了門忘了關(guān)窗戶 網(wǎng)絡(luò)中業(yè)務(wù)系統(tǒng)繁多，有服務(wù)器、

10、個(gè)人辦公終端，不同業(yè)務(wù)系統(tǒng)應(yīng)該有意識(shí)的使用不同賬戶口令，避免別有用心者通過輕易得到的弱口令環(huán)境下的密碼而猜出或推導(dǎo)出其他強(qiáng)口令環(huán)境下的密碼，從而致整個(gè)系統(tǒng)和軟件應(yīng)用環(huán)境完全不設(shè)防。 除此之外，應(yīng)避免將密碼保存在緩沖區(qū)隨時(shí)調(diào)用，盡量做到隨用隨輸入；登陸郵箱、網(wǎng)銀后要執(zhí)行退出操作；不要把密碼保存起來，不要把雞蛋放一個(gè)籃子里；根據(jù)不同安全需求，定期的修改更換密碼口令。終端安全防范數(shù)據(jù)備份注意事項(xiàng) 擁有重要系統(tǒng)或重要數(shù)據(jù)的單位應(yīng)該及時(shí)對(duì)數(shù)據(jù)進(jìn)行備份，防止系統(tǒng)、數(shù)據(jù)的丟失；涉及數(shù)據(jù)備份和恢復(fù)的單位要由專人負(fù)責(zé)數(shù)據(jù)備份工作，并認(rèn)真填寫備份日志。 備份數(shù)據(jù)應(yīng)該嚴(yán)格管理，妥善保存；備份數(shù)據(jù)資料保管地點(diǎn)應(yīng)有防火

11、、防熱、防潮、防塵、防磁、防盜設(shè)施。同時(shí)做到：1) 根據(jù)業(yè)務(wù)實(shí)際需要定期進(jìn)行數(shù)據(jù)備份2) 數(shù)據(jù)備份的介質(zhì)要求有規(guī)范、清晰的標(biāo)簽標(biāo)識(shí)；備份數(shù)據(jù)應(yīng)定期測(cè)試，以確保備份數(shù)據(jù)的可恢復(fù)性。 3) 重要的數(shù)據(jù)載體應(yīng)異地存放。 數(shù)據(jù)的備份、恢復(fù)、轉(zhuǎn)出、轉(zhuǎn)入的權(quán)限都應(yīng)嚴(yán)格控制；指定專人進(jìn)行備份操作及存放這些載體并指定工作替代人以確保備份工作不中斷；嚴(yán)禁未經(jīng)授權(quán)將數(shù)據(jù)備份出系統(tǒng)，轉(zhuǎn)給無關(guān)的人員或單位；嚴(yán)禁未經(jīng)授權(quán)進(jìn)行數(shù)據(jù)恢復(fù)或轉(zhuǎn)入操作。社會(huì)工程學(xué)安全防護(hù) 社會(huì)工程學(xué)攻擊中核心的東西就是信息，尤其是個(gè)人信息。在網(wǎng)絡(luò)普通的今天，很多論壇、博客、電子信箱等都包含了個(gè)人大量私人信息，這些信息對(duì)社會(huì)工程學(xué)攻 擊有用的信息

12、主要有生日、年齡、email郵件地址、手機(jī)號(hào)碼、家庭電話號(hào)碼等，入侵者根據(jù)這些信息再次進(jìn)行信息挖掘，將提高入侵成功的幾率。1、良好的上網(wǎng)習(xí)慣，不健康的網(wǎng)站堅(jiān)決杜絕；2、陌生發(fā)來的聊天信息，要提高警惕，熟知朋友發(fā)來的信息包含金錢，要慎重；3、對(duì)收到的不明郵件垃圾郵件等不輕易打開，下載附件前做好殺毒檢查；4、下載一些應(yīng)用軟件，需要到大型正規(guī)網(wǎng)站（太平洋下載、華軍等，或者通過360軟件管家）；5、對(duì)一些可疑的連接，不要輕易打開；6、需要注冊(cè)的網(wǎng)站論壇，盡量不要使用個(gè)人真實(shí)信息，不同論壇注冊(cè)，盡量用不同賬戶類型。系統(tǒng)安全防范修改及重新命名默認(rèn)賬戶使用較長的口令卸載所有未使用的應(yīng)用程序關(guān)閉所有不需要的服

13、務(wù)設(shè)置對(duì)諸如cmd.exe、sethc.exe的程序的訪問權(quán)限使用擁有最低必須權(quán)限的用戶啟動(dòng)Web服務(wù)器使用擁有最低權(quán)限的用戶連接數(shù)據(jù)庫配置允許端口，如80和443安裝防病毒程序（根據(jù)需要選擇）安裝基于主機(jī)的IDS監(jiān)控日志文件創(chuàng)建一種將日志文件歸檔到其他位置（不在Web服務(wù)器上）的機(jī)制應(yīng)用所有最新的服務(wù)包和更新移動(dòng)介質(zhì)安全安全防范 移動(dòng)介質(zhì)作為存儲(chǔ)介質(zhì)，具有體較小，重量輕，易丟失等特點(diǎn)，在使用過程中容易成為病毒傳播的載體，同時(shí)由于U盤等移動(dòng)存儲(chǔ)設(shè)備體積較小， 海量存儲(chǔ)，便于攜帶，使用方便，因此存在著不少人將U盤等隨時(shí)攜帶和在不同的環(huán)境下使用的現(xiàn)象，造成單位的資料和個(gè)人的資料混雜在一起，即使網(wǎng)絡(luò)

14、存在物理隔離，仍然對(duì)內(nèi)網(wǎng)造成安全隱患。移動(dòng)介質(zhì)安全防范1）加密 在移動(dòng)介質(zhì)上的信息都是加密處理的，必須通過的解密程序或密碼才能打開這樣解決了數(shù)據(jù)的存儲(chǔ)問題，實(shí)現(xiàn)了信息的保密； 2）授權(quán)， 即只允許授權(quán)過的移動(dòng)介質(zhì)在內(nèi)部計(jì)算機(jī)上使用，未授權(quán)的移動(dòng)介質(zhì)在內(nèi)部計(jì)算機(jī)上不可以使用，這樣解決了載體的身份問題，實(shí)現(xiàn)了訪問控制； 3）監(jiān)控， 即對(duì)企圖使用未授權(quán)移動(dòng)介質(zhì)的行為進(jìn)行監(jiān)控，對(duì)使用過程中的讀、寫、復(fù)制等進(jìn)行監(jiān)控，這樣解決了介質(zhì)的使用問題，實(shí)現(xiàn)了安全審計(jì)。 郵件安全防范(1)一“查”主要是在收看郵件時(shí)，如果存在附件，先將附件保存到本地，然后使用殺毒軟件進(jìn)行查殺。如果是可執(zhí)行文件，一定要通過物理通訊方式

15、，詢 問發(fā)件人，確保郵件的來源可靠。建議修改文件夾選項(xiàng)，取消“隱藏文件已經(jīng)文件后綴”選項(xiàng)，使其能夠查看文件的實(shí)際后綴名稱，防止入侵者修改文件后綴，以假 亂真，誘使收件人執(zhí)行木馬程序。(2)二“看”主要是指像看郵件標(biāo)題，以及寄件人地址，如果郵件有附件，需要先查看附件屬性，附件文件是否隱藏了文件后綴。如果郵件客戶端程序提供文本查看方式，建議先采用文本查看方式進(jìn)行查看。(3)三“堵”就是在發(fā)現(xiàn)已經(jīng)感染病毒的情況下，要及時(shí)堵漏，采取相應(yīng)的補(bǔ)救措施，如果發(fā)現(xiàn)系統(tǒng)感染了木馬程序，建議恢復(fù)系統(tǒng)或者重裝操作系統(tǒng)。無線安全防范1、加強(qiáng)無線AP登記、備案管理，禁止內(nèi)部員工私搭無線AP行為；2、無線AP連接網(wǎng)絡(luò)，需要與內(nèi)網(wǎng)嚴(yán)格隔離；3、避免使用WEP加密算法，需用WPA算法；4、密碼wifi密碼不要設(shè)置過于簡單；4、建議采用Portal+802.1x這兩種認(rèn)證方式。信息防泄露安全防范 1、不要隨意填寫問卷調(diào)查 目前填寫問卷似乎是一件很時(shí)髦的事情。在網(wǎng)上、街頭，甚至是學(xué)校的自習(xí)教室，都可能遇到有人以各種接口請(qǐng)你填寫問卷。此時(shí)不要隨意的填寫問卷，更不能在問卷上填寫個(gè)人重要的信息。不然在不經(jīng)意間你的電話號(hào)碼、郵箱等重要的聯(lián)系方式就可能泄露，甚至?xí)晦D(zhuǎn)賣。 2、不貪占小便宜 在網(wǎng)上或者是街頭，會(huì)遇到這樣一種情況：留下聯(lián)系方式等先