信息安全意識培訓(xùn)講座

信息安全意識培訓(xùn)講座

什么是信息安全意識？信息安全的內(nèi)涵除了那道千萬別忘記關(guān)的門，以及那顆永遠(yuǎn)別忘記關(guān)門的心——信息安全意識

培訓(xùn)目標(biāo)?

生活：如何保護個人生命財產(chǎn)安全、減少隱私泄漏；?

工作：如何避免發(fā)生安全事故，保障公司、組織和個人利益。?

了解當(dāng)前關(guān)于網(wǎng)絡(luò)安全的法律法規(guī)提高信息安全意識！目

錄CONTENTS一生活中的信息安全二三工作中的信息安全信息安全形勢與政策法規(guī)目

錄CONTENTS一二三工作中的信息安全信息安全形勢與政策法規(guī)

你在生活中是否犯過這些錯誤？

網(wǎng)銀、電商網(wǎng)站、聊天軟件、視頻網(wǎng)站等統(tǒng)統(tǒng)使用相同的密碼，且有規(guī)律可循

隨意登錄公共WIFI

隨意關(guān)聯(lián)銀行卡輸入密碼

輕信釣魚網(wǎng)站發(fā)的短信

隨意注冊各種網(wǎng)站

辦會員、填調(diào)查問卷時，留自己的手機號、住址等信息

Root、越獄手機安裝不安全的APP

允許APP獲取個人敏感信息

隨意掃描二維碼

中國人愿意用隱私換取便利---李彥宏

2017年5月31日，《南方都市報》與中國政法大學(xué)傳播法研究中心聯(lián)合發(fā)布《互聯(lián)網(wǎng)企業(yè)隱私政策透明報告》。對1000家常用網(wǎng)站、APP的用戶信息保護政策透明度進(jìn)行排名，結(jié)果顯示，測評的生活服務(wù)、休閑娛樂、醫(yī)療健康等各個領(lǐng)域1000家平臺中，超過50%的網(wǎng)站與APP評分為“低”級別，令人擔(dān)憂。你愿意提供個人信息以獲得更便利的服務(wù)嗎？47%53%愿意不愿意

2018年數(shù)據(jù)泄露調(diào)查報告黑客攻擊62%的數(shù)據(jù)泄露與黑客攻擊有關(guān)。數(shù)據(jù)泄露原因62%弱口令81%81%的的數(shù)據(jù)泄露涉及到撞庫或弱口令。也就是說，直到2018年，人們使用密碼的習(xí)慣依然不太好，絕大部分人并沒有養(yǎng)成定期修改密碼的習(xí)慣。行業(yè)分布金融行業(yè)金融行業(yè)依然首當(dāng)其沖，24%的數(shù)據(jù)泄露事件和金融機構(gòu)有關(guān)；24%76%其他行業(yè)其次是醫(yī)療保健行業(yè)15%；再往后是銷售行業(yè)15%以及公共部門12%。其中醫(yī)療行業(yè)是勒索的重災(zāi)區(qū)，真可謂“不給錢就撕票”

公司某系統(tǒng)用戶弱口令調(diào)查

公司某業(yè)務(wù)系統(tǒng)存在弱口令

防范措施

使用多個帳號密碼體系：

一般網(wǎng)站群：視頻網(wǎng)站、游戲網(wǎng)站、各類論壇

等等…

重要帳號：微信、支付寶、網(wǎng)銀

防范措施-弱口令

盡量不使用自動登錄

盡量不使用記住密碼功能

關(guān)閉瀏覽器時可以先清空本地緩存

移動應(yīng)用

移動應(yīng)用行為統(tǒng)計2018年互聯(lián)網(wǎng)惡意程序數(shù)量按行為屬性統(tǒng)計40.00%35.00%30.00%25.00%20.00%15.00%10.00%5.00%35.90%34.30%10.40%7.90%7.40%2.10%1%0.90%0.00%流氓行為

惡意扣費

資費消耗

隱私竊取

遠(yuǎn)程控制

誘騙欺詐

系統(tǒng)破壞

惡意傳播

手機APP侵犯消費者信息情況調(diào)查APP信息泄露檢測2017年8月，江蘇省消協(xié)工作人員通過現(xiàn)場檢測，在手機下載的100多個手機APP中，79個APP可獲取定位權(quán)限，23個APP可直接向聯(lián)系人發(fā)送短信。點開“電話與聯(lián)系人”一項，有14個APP可以監(jiān)聽電話和掛斷電話，結(jié)果非常驚人。在所獲取的個人信息中，“位置信息”和“讀取通訊錄和短信”是最容易被讀取。

惡意軟件-監(jiān)視用戶

2016年8月，研究人員透露了Pegasus（飛馬）的存在Android?

Pegasus利用iOS中的三個零日漏洞，可以劫持任?

2017年4月,

惡意軟件作者再次襲擊,

這一次的飛

馬

間

諜

軟

件

版

本

的android

偽裝成一個正常的應(yīng)用程序下載,

從而秘密獲取設(shè)備root權(quán)限,

來監(jiān)視用戶。何iPad或iPhone，能以靜默方式對設(shè)備越獄，并收集被攻擊用戶的相關(guān)數(shù)據(jù)，并對這些用戶進(jìn)行監(jiān)視惡意軟件IOS

惡意軟件-銀行卡盜刷

受害者發(fā)現(xiàn)銀行卡莫名被盜刷8萬1千元：

通過檢查問題手機，發(fā)現(xiàn)如下短信：

二維碼用途網(wǎng)站跳轉(zhuǎn)（跳轉(zhuǎn)到微博、銀行網(wǎng)站、手機網(wǎng)站）信息獲取廣告推送（名片、地圖、WiFi密碼、資料）（用戶掃碼，直接瀏覽商家推送的視頻、音頻廣告）防偽溯源優(yōu)惠促銷（用戶掃碼，下載電子優(yōu)惠券，抽獎）（用戶掃碼、即可查看生產(chǎn)地；同時后臺可以獲取最終消費地)會員管理手機支付（用戶手機上獲取電子會員信息、VIP服務(wù)）（掃描商品二維碼，通過銀行或第三方支付提供的手機端通道完成支付）

偽造二維碼虛假“優(yōu)惠促銷”偽造付款二維碼

公眾號測試

防范措施-移動安全010204手機不要root、越獄！安裝軟件少點“允許”?

不要安裝來路不明的應(yīng)用，只安裝手機品牌商店中的應(yīng)用。手機安裝軟件時，常被要求“使用你的位置”、“獲取短信權(quán)限”、“獲取照片權(quán)限”、“獲取通話記錄”等。?03

不要隨意掃描二維碼網(wǎng)上測試小心有詐?

不要見“碼”就掃，對于街頭及網(wǎng)上發(fā)布的不明來歷的二維碼需要提高警惕?！皽y測你的心理年齡”、“測測你前世是誰”……測試時

輸入的姓名、生日、手機號碼等，會存入后臺，對其梳理，有可能拼湊出完整個人信息。?掃描二維碼后，應(yīng)仔細(xì)檢查頁面上的所有文字，如需安裝新的應(yīng)用程序時，則不要輕易安裝。

WIFI安全我國WIFI使用現(xiàn)狀2017年公共

WiFi

總數(shù)超過

3.36

億，，手機網(wǎng)民已超過7.88億。值得注意的是，其中92%的手機網(wǎng)民使用WiFi接入互聯(lián)網(wǎng)，平均每天每人連接WiFi時長1.1小時。由此可見，WiFi已經(jīng)成為民眾日常生活中不可或缺的一部分?！豆娋W(wǎng)絡(luò)安全意識調(diào)查報告》顯示，有高達(dá)80.21％的網(wǎng)友會尋找公共免費WiFi，在連接之后瀏覽網(wǎng)頁和使用即時通信工具的用戶高達(dá)45.29％，還有38.96％的用戶會進(jìn)行網(wǎng)上支付等金融操作

利用WIFI可以做什么？

釣魚WiFi：在繁華的街道設(shè)立名字叫做“CMCC”、“KFC”的WiFi熱點

Karma：偽裝成受害設(shè)備以前連接過的公開WiFi熱點。

域名劫持：劫持、篡改DNS查詢結(jié)果，即使輸入正確的網(wǎng)站網(wǎng)址也會訪問攻擊者預(yù)設(shè)的、相似度極高的山寨釣魚網(wǎng)站

流量劫持：可以監(jiān)聽受害終端發(fā)出的數(shù)據(jù)可以篡改服務(wù)器返回的數(shù)據(jù)

防范措施-WIFI安全接入公共場所WiFi網(wǎng)絡(luò)時，應(yīng)向店家確認(rèn)WiFi名稱和密碼，避免接入未知來源的公共WiFi網(wǎng)絡(luò)不要將手機設(shè)置為自動連接WiFi網(wǎng)絡(luò)。01

02

03

04盡量避免通過公共WiFi操作敏感業(yè)務(wù)，比如網(wǎng)銀、購物或收發(fā)涉密郵件文件等。不要隨意點擊WiFi下推送的廣告、下載鏈接等

識別釣魚網(wǎng)站和短信：a)

查看通訊協(xié)議：查看域名前的協(xié)議是

http://還是

https://涉及金錢交易的網(wǎng)站均使用https，并且瀏覽器會在https前顯示綠色安全標(biāo)志b)

正確識別主域名：c)

不泄漏賬戶、密碼、驗證碼：不以任何方式泄漏各類驗證碼、身份認(rèn)證信息目

錄CONTENTS一生活中的信息安全二三工作中的信息安全信息安全形勢與政策法規(guī)

工作中常犯的一些錯誤?

開著電腦離開，就像離開家卻忘記關(guān)燈那樣?

輕易相信來自陌生人的郵件，好奇打開郵件附件?

使用容易猜測的口令，或者根本不設(shè)口令?

隨便撥號上網(wǎng)，或者隨意將無關(guān)設(shè)備連入公司網(wǎng)絡(luò)?

事不關(guān)己，高高掛起，不報告安全事件?

在系統(tǒng)更新和安裝補丁上總是行動遲緩?

只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題?

在公共場合談?wù)摴拘畔?

會后不擦黑板，會議資料隨意放置在會場

社會工程學(xué)攻擊通過對受害者本能反應(yīng)、好奇心、信任、貪婪等心理弱點進(jìn)行如欺騙和傷害等攻擊手段社會工程學(xué)的攻擊，成功于人們普遍的對網(wǎng)絡(luò)安全意識的薄弱！

社會工程學(xué)搜集足夠多的信息，以便于偽裝我就是我所聲稱的那個人！成一個合法的雇員、合作伙伴、執(zhí)法官員，或者任意角色。采集信息選擇目標(biāo)建立信任實施攻擊尋找組織、員工的明顯弱點，尋求突破。

社會工程學(xué)

–

典型案例美國一家印刷公司，其工藝專利和供應(yīng)商名單是公司的核心資產(chǎn)，也是競爭對手夢料。為了保證安全，公司雇傭克里斯，一名資深的社會工程師，進(jìn)行社會工程學(xué)攻探該公司的服務(wù)器是否能夠被入侵。進(jìn)入我們公司的服務(wù)器是幾乎不可能的，因為我在用性命看管這些材料！接近收集服務(wù)器相關(guān)信息：偽裝成癌癥慈善機構(gòu)的工作人員，電話給服務(wù)器IP地址、物理地址、操作系統(tǒng)、應(yīng)用1245CEO說明最近機構(gòu)會有一次抽獎活動，來程序及相關(guān)版本感謝好心人的捐贈收集個人相關(guān)信息打動愛好：常去的餐廳，喜歡的比賽和球隊家庭狀況：家庭成員及相關(guān)經(jīng)歷線索：家人與癌癥奮斗并存活下來獎品除了幾家餐廳（包括他最喜歡的那家餐廳）的禮券外，還有他最喜歡的球隊參加的比賽的門票收集癌癥相關(guān)的信息癌癥醫(yī)療機構(gòu)及相關(guān)信息知名的癌癥慈善機構(gòu)中招：同意讓克里斯給他發(fā)來一份關(guān)于募捐活動更多信息的PDF文檔.當(dāng)他打開PDF文檔時電腦上已經(jīng)被安裝外殼程序36印刷公司CEO規(guī)律性的募捐活動和規(guī)則

如何防范社會工程學(xué)攻擊？安全策略是指導(dǎo)員工行為，保護企業(yè)信息系統(tǒng)與敏感數(shù)據(jù)所必須遵循的規(guī)則。策略必要的安全控制措施在一定程度上，能夠緩解攻擊所帶來的損害。從企業(yè)信息資產(chǎn)調(diào)查開始，分離地看待每一個敏感的，關(guān)鍵的資產(chǎn)，尋找攻擊者使用社會工程學(xué)策略可能危及這些資料安全的方法，實施相應(yīng)的控制措施。技術(shù)安全培訓(xùn)能夠讓企業(yè)的所有員工了解公司的安全策略與控制程序。培訓(xùn)改變組織的思維方式，持續(xù)地對員工進(jìn)行培訓(xùn)，協(xié)助其識別安全威脅，及潛在的攻擊方式；并提升個人成就感，每個人正在為公司的安全做出貢獻(xiàn)。

社交網(wǎng)絡(luò)一家負(fù)責(zé)維護世界杯安全工作的公司出現(xiàn)了一件令人啼笑皆非的低級失誤：該公司一名工作人員在twitter上發(fā)布了一張安全監(jiān)控中心的照片，而照片上直接出現(xiàn)了世界杯安全團隊的WiFi密碼……“神”一樣的隊友。

數(shù)據(jù)泄露

GitHub是全球最大的社交編程及代碼托管網(wǎng)站。在GitHub，用戶可以十分輕易地管理、存儲、和搜索程序代碼，其因此受到了廣大程序員們的熱愛，而近兩年有大量的攻擊事件由GitHub泄露敏感信息引起。

防范措施

避免將公司敏感資料上傳至互聯(lián)網(wǎng)第三方平臺；

在公司內(nèi)網(wǎng)搭建服務(wù)器進(jìn)行資料保存；

對敏感資料進(jìn)行加密保存；

對資料訪問權(quán)限進(jìn)行設(shè)置。

其他建議-加密傳輸

其他建議-安裝殺軟

可根據(jù)個人使用習(xí)慣來選擇且及時升級病毒庫

其他建議-謹(jǐn)慎使用移動存儲設(shè)備

請勿隨意使用U盤等移動存儲設(shè)備

使用完后進(jìn)行擦除或粉碎操作

不要長期、大量存放涉密文件

其他建議-打印復(fù)印

復(fù)印/打印時，禁止將敏感資料遺留在復(fù)印機/打印機旁邊

對不再使用的資料，應(yīng)使用碎紙機將其清理

其他建議-培養(yǎng)安全辦公習(xí)慣?

進(jìn)入大門、閘機時主動阻止陌生人尾隨進(jìn)入；?

陌生人員未經(jīng)陪同出現(xiàn)在辦公區(qū)域，應(yīng)主動上前詢問；?

廢棄的紙質(zhì)資料應(yīng)該進(jìn)行充分粉碎（碎紙機）；?

廢棄的移動存儲設(shè)備應(yīng)交由IT部門消磁處理；?

離開工位時對辦公電腦進(jìn)行鎖屏；?

敏感資料應(yīng)妥善保管，在離開工位時鎖入柜中；?

不應(yīng)使用來歷不明的移動存儲設(shè)備；?

不應(yīng)接入來歷不明的WiFi熱點；?

……目

錄CONTENTS一生活中的信息安全二工作中的信息安全三信息安全形勢與政策法規(guī)

中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組中央網(wǎng)絡(luò)安全和信息化委員會2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)近平親任組長。和以往國家層面信息安全領(lǐng)導(dǎo)機構(gòu)相比，規(guī)格置頂。沒有網(wǎng)絡(luò)安全，就沒有國家安全；沒有信息化，就沒有現(xiàn)代化的指導(dǎo)精神。2017年6月1日起施行

網(wǎng)絡(luò)安全法

-

國內(nèi)背景法律法規(guī)條文的分散和監(jiān)管的滯后地下黑產(chǎn)不斷擴大，網(wǎng)絡(luò)攻擊越來越多我國信息化建設(shè)的突飛猛進(jìn)新技術(shù)的持續(xù)發(fā)展與應(yīng)用大量的網(wǎng)絡(luò)安全事件和經(jīng)濟損失網(wǎng)絡(luò)安全人才建設(shè)滯后

網(wǎng)絡(luò)安全法

–

制定歷程形成初稿?

2014年二月中央網(wǎng)絡(luò)安全和信2014息化領(lǐng)導(dǎo)小組成立，習(xí)近平任組長。兩會上，“維護網(wǎng)絡(luò)安全”首次被寫入政府工作報告。審議通過?

6月：十二屆全國人大常委會對《網(wǎng)絡(luò)安全法（草案）》進(jìn)行了二次審議201