《信息安全意识培训PPT.pptx》由会员分享,可在线阅读,更多相关《信息安全意识培训PPT.pptx(50页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全意识培训XX XX年 年XX XX月 月XX XX日 日主讲人:主讲人:XX XX重大信息安全事件解读1信息安全解读2身边的信息安全3网络安全法解读4Introduction信息安全是企业发展的重中之重 信息技术在突飞猛进的发展,随之而来的信息安全威胁也层出不穷近两年世界范围勒索病毒的爆发更是为我们敲响了警钟。新技术应用的水平不断提高,信息泄露、内外部破坏等安全风险也紧随其后。网络安全法的正式实施,更是明确了监管范围和红线尺度,良好的信息安全意识应该成为每名企业员工应该具有的基本素质。前言Part第1章01重大信息安全事件解读数据泄漏事件用脚“画”出来的军事机密事件发生了,才知道哪里暗
2、藏信息安全危机事件发生了,才知道哪里没有做好、哪里暗藏信息安全危机,但这需要付出惨痛的代价系统漏洞易补,认知漏洞难防退潮之后,才知道谁在裸泳Part第二章02信息安全解读信息安全:应用安全技术保护数据处理系统不因偶然的或恶意的原因而遭到破坏、更改、泄露。管理 技术 法规 教育保持确保信息没有遭到篡改和破坏信息安全的核心保密性完整性可用性保持确保拥有授权的用户或程序可以及时、正常使用信息确保信息没有非授权的泄漏子曰:“君不密则失臣,臣不密则失身,机事不密则害成。”老祖宗的保密意识希腊神话里的信息安全特洛伊木马:计算机木马程序Troj控制服务器端毁坏、窃取文件远程操控Part第三章03身边的信息安
3、全身边的信息安全智能手机指纹锁智能手机指纹锁身份证办理时录入的指纹智能手机指纹锁某宝交易时的验证码智能手机指纹锁电脑安装的杀毒软件Information Security Awareness信息安全意识就是能够认知可能存在的信息安全问题,预估信息安全事故对组织的危害,恪守正确的行为方式,并且执行在信息安全事故发生时所应采取的措施。信息安全意识你知道吗?你知道手机扫描二维码可能中毒吗?你知道手机连接公众场所的免费wifi可能信息泄露吗?你知道随意点击未知来源的邮件附件可能导致电脑中毒吗?你知道网页无法正常显示或文件无法正常打开是黑客攻击吗?你知道手机随时随地记录你的位置信息吗?日常安全意识办公场
4、所信息泄露 废纸回收弱口令陌生人员识别 邮件钓鱼某证券公司被钓鱼攻击 背景介绍 某证券被钓鱼邮件攻击。员工贾某在收到一封来自陌生地址的邮件后,在未详查的情况下,贸然点开了邮件中的附件,随即电脑被勒索病毒加密。加之内网开放445端口,且内网防护较弱,导致多台计算机被感染。附件压缩包中包含两个文件,看起来像是跟案件有关的文档文件,后缀为“.docx”。看到这两个文档。当设置取消“隐藏已知文件类型的扩展名”后,两个伪装成文档的文件露出了它的真面目,它们其实是两个exe文件。钓鱼攻击电子邮件虚假短信站点仿冒社会 社会工程 工程学 学自身脆弱点骗取被攻击者的信任电子邮件安全设置专用的邮箱名,避免泄漏邮箱
5、地址工作邮件均通过公司邮箱发送和接收发邮件前应检查确认收件人,机密文件切勿群发切勿点击陌生邮件的附件或连接,删除与业务无关的邮件机密文件应加密后发送,密钥不得随邮件发送重要邮件建议加密存储弱口令现状根据V eriz on的数据违规调查报告,有81与黑客相关的违规行为都利用了被盗密码或弱密码,只需一名员工的弱密码就可以撬开重兵把守、重金打造的企业网络安全防御体系。密码管理作为安全链中的一个至关重要的环节,不能因缺乏采用而导致效能大打折扣,在评估密码管理工具时,只有17的IT主管将用户体验列入考核指标。65的人会重复使用部分或全部账户的密码。通常,这是因为他们没有正确的工具来轻松创建和使用强密码。
6、最常见的20种密码组合密码的重要性用户名+密码是最简单也是最常用的身份认证方式针对密码的攻击简便易行密码破解快速有效由于使用不当密码成为最薄弱的安全环节防止冒名顶攻击替密码是抵御入侵的第一道防线,防止冒名顶攻击替密码也是抵御网络攻击的最后一道防线密码与个人隐私息息相关必须慎重保护密码安全建议用户密码安全建议尽量使用“字母(大小写)+数字+特殊符号”形式的高强度密码,长度不少于15个字符不要使用默认密码,一定要自己修改密码,且不使用记住密码功能不同账号使用不同密码,网银、网上支付、常用邮箱、聊天账号单独设置密码,切忌“一套密码到处用”个人用户定期更换登录密码(至少3个月改一次),不同业务系统使用
7、不同密码避免以生日、姓名拼音、手机号码等与身份隐私相关的信息作为密码,因为黑客针对特定目标破解密码时,往往首先试探此类信息按照账号重要程度对密码进行分级管理,重要账号定期更换密码如何设置密码 创建属于自己的密码设置规则:规则1:密码=2*(用户名标识符(小写/大写)+用户名长度+.+网站标识符(大写/小写)密码为:yLiu4.HTYlIU4.ht 如何设置密码 规则2 Bruce Schineier方法:找一个句子(可以是任何一句话),将句子中的每一个单词找出来,缩略为一个字母,然后通过独特的方式组合成为一段密码,最后一句话生成一个密码。Cptbtptp,bcptdtptp.Wannacry勒
8、索病毒勒索软件现状随着数字世界灰色领域的持续扩张,包括大量的网络安全攻击、勒索软件等各种威胁不断出现,严重威胁到全球金融秩序,据估计到2021年底造成的影响甚至会高达200亿美元。勒索软件现状 2019年8月发布的报告显示,2018年第四季度开始,企业端的勒索软件攻击暴增,而面向个人的攻击则呈下降趋势。勒索事件频发2019.32019.62019.12201 9.5201 9.10世界最大飞机零件供应商之一ASCO 遭遇勒索病毒攻击,导致生产环境系统瘫痪,该公司1400 名工人大约1000 回家带薪休假,同时停止了四个国家的工厂生产Maze(迷宫)勒索团伙向北美领先的电线电缆制造商之一Sout
9、hwire 集团勒索600W 美元,勒索团伙声称,若不交赎金,则会在网络上公布该公司的120G 重要数据全球最大助听器制造商之一Demant 遭到勒索病毒入侵,该公司是全球听力监测设备领域的领先者,攻击造成的损失高达9500 万美元易到用车发布公告称其服务器遭受连续攻击,服务器核心数据被加密,攻击者索要比特币,易到表示严厉谴责其不法行为,并已报警;美国佛罗里达州里维埃拉海滩警察局因员工运行了恶意电子邮件,导致该城市基础服务设施遭受勒索软件加密,市政官员召开会议后批准通过大约60 万美元资金用于支付勒索赎金国内发现大量境外黑客组织借助恶意邮件传播GandCrab 勒索病毒,黑客假冒司法机构发件人
10、,成功攻击感染了我国多个政企机构内网,随后我国多地区机构发起安全预警To be Continued给普通员工的安全建议p 如何防范勒索软件?定期异地备份重要文件;针对来历不明邮件中的附件,切勿随意打开;在windows中设置显示文件扩展名,对于不熟悉的的文件扩展名,切勿双击打开;针对office中的宏提示,不要进行点击运行。给普通员工的安全建议 培养安全办公习惯 不准将终端同时跨接内外网,严禁私自在办公网络及其他内网中搭建无线热点;不准将系统设计文档、网络拓扑等敏感信息存放于服务器,纸质版敏感文件安全保存,严禁长时间放置于办公桌面等易于获取的位置;不准将网站或系统源代码、系统拓扑图、IP 地址
11、分配表、账号密码文件上传至互联网;不准未按审批程序开通内部系统的互联网出口;不准未经申请、审批、登记的外部人员进入办公楼宇、营业厅的专用区域等非开放办公区域及机房等重要场所;不准无关人员接触并改动相关监控摄像头和营业办公场所公用信息和网络设备;不准使用来路不明存储设备、鼠标、充电宝、数据线等 USB 工具,工作使用存储设备应及时删除存储文件,严禁个人存和工作储设备混用;不准使用公共场所的网络设备处理工作事宜、登录工作邮箱,慎用公共场合WIFI以及无密码的WIFI,严禁在连接办公WIFI时使用 WIFI 万能钥匙;安装安全软件OA办公电脑目前统一安装的安全软件为金山杀毒软件办公电脑生产电脑目前统
12、一安装的安全软件为卡巴斯基杀毒软件生产电脑定期查杀病毒一键云查杀扫描完成后是否发现病毒定期体检打补丁一键云查杀 2007年1月,熊猫烧香病毒利用Windows漏洞肆虐全国,这是最为臭名昭著的一款“国产”病毒。打补丁是为了修漏洞。打补丁是为了修漏洞。使用U盘先杀毒U盘又称病毒“摆渡”,常用来攻击隔离网中的电脑。著名的“震网病毒”就是通过U盘入侵伊朗核电站并实施破坏。U盘、移动硬盘一定要先杀毒,后使用不明链接不要点短信陌生链接注意网址是否正确陌生链接下载APPPart第四章04网络安全法解读2015年 2016年6月十二届全国人大常委会审议了网络安全法(草案)7月网络安全法(草案二次审议稿)正式形
13、成6月十二届全国人大常委会对网络安全法(草案)进行二次审议7月网络安全法(草案)二次审议稿正式公开征求意见37%的网民因受到各类网站诈骗而遭受经济损失;84%的网民曾受到个人信息泄漏带来的不良影响11月表决通过中华人民共和国网络安全法2017年6月1日2016年中国网民权益保护调查报告显示,我国网民因垃圾信息、诈骗信息、个人信息泄漏等总体经济损失约915亿元网络安全法背景网络安全法正式生效网络安全法概览目标国家层面:维护网络空间主权和国家安全、社会公共利益企业层面:规范相关行业公民层面:保护公民、法人和其他组织合法权益范畴在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,
14、适用本法。总览法律条文:共7章,79条,对企事业单位来说,有38条明确规范义务量刑:对单位及责任人处以罚金,按严重程度可进行刑事处罚2016年11月7日发布,2017年6月1日起施行v安全是发展的前提发展是安全的保障网络安全法原则与我们息息相关的四大要点1.不得出售个人信息网络产品或服务具有收集用户信息功能的 服务提供者应向用户明示并取得同意 网络运营者不得泄漏、篡改、损毁其收集的个人信息任何个人和组织不得窃取不得以其他方式非法出售非法向他人提供获取不得个人信息与我们息息相关的四大要点2.以法律形式明确“网络实名制”网络接入 要求用户提供真实身份信息 用户不提供真实身份信息的,网络运营者不得为
15、其提供相关服务网络运营者域名注册服务办理固定电话办理移动电话办理入网手续信息发布即时通讯提供服务与我们息息相关的四大要点3.重点保护关键信息基础设施关键信息基础设施实行重点保护公共通信信息服务能源交通水利公共服务金融电子政务与我们息息相关的四大要点4.惩治攻击破坏我国关键信息基础设施的境外组织和个人境外的个人或组织关键信息基础设施攻击、侵入、干扰、破坏等从事危害“01 02 03罚款治安管理处罚民事责任刑事责任法律责任人:网络运营者、关键基础设施运营者、网络产品服务提供者、信息软件发布服务提供者、网信部门和有关部门法律责任“01 02 03个人和组织有权对危害网络安全的行为进行举报明确对公民个人信息安全进行保护网络运营者加强对其用户发布的信息管理国家网信办要求8家网站限期整改由于侵犯用户个人隐私,三家网络科技公司被工信部约谈9款App涉黄被国家网信办清理关停!网络安全法落地两周年绝对的安全是不存在的!只有不断提高信息安全意识才能离安全越来越近!非常感谢您的观看