安全意识培养一分析报告.pptVIP

从前面这个故事引出“企业的信息安全”特别需要员工的安全意识的提升，从而导出企业的信息安全活动需要全体员工的积极参与和配合。 演示（Video） 两个银行卡，登录密码，取款密码，msn密码，qq密码。论坛密码，邮箱密码。。。。淘宝、支付宝登录密码，支付密码 电子邮件欺骗的特点 这类邮件一般以重要告示、紧急更新或警报的形式示人，其虚假的标题旨在令收件人相信发件来源可靠而把电邮打开。邮件的标题可能包含数字或其他字母，以逃避被过滤。 邮件内文有时并无威吓性，反而含有令人欣喜的信息，例如告知收件人中奖。 这类邮件通常使用假冒的发件人地址或伪冒的机构名称，令邮件看似确是发自其伪冒的机构。 这类邮件通常会复制合法网站的网页内容，包括文字、公司标记、图像及样式等，而为求以假乱真。 这类邮件所设的超连结，通常会诱导收件人连接到一个欺诈网站，而非链路表上面所显示的合法网站。 网站欺骗的特点 这类网站使用外表真实网站一样的内容，如图像、文字或公司标记，甚至会复制合法网站，以诱骗访客输入帐户或财务资料 这类网站设有真正链接，连接合法网站中如「联络我们」或「私隐及免责声明」等网页内容，藉以蒙骗访问者 这类网站可能使用与合法网站相似的域名或子域名 这类网站可能使用与合法网站相似的表格来收集访客的资料 这类网站可能以真正网页为背景，而本身则采用弹出的视窗形式，藉以误导和混淆访问者，令他们以为自已身处合法网站 仿冒诈骗网站 该仿冒网站与中国银行(香港)有限公司(中银香港 )的官方网站相似。域名为： 防范措施 不要登入可疑网站，不要打开或滥发邮件中不可信赖来源或电邮所载的URL链接，以免被看似合法的恶意链接转往恶意网站 不要从搜寻器的结果连接到银行或其他金融机构的网址 打开邮件附件时要提高警惕，不要打开扩展名为“pif”, “exe”, “bat”, .vbs的附件 以手工方式输入URL位址或点击之前已加入书签的链接 避免在咖啡室、图书馆、网吧等场所的公用计算机进行网上银行或财务查询／交易。这些公用计算机可能装有入侵工具或特洛伊程式 在进行网上银行或财务查询／交易时，不要使用浏览器从事其他网上活动或连接其他网址。在完成交易后，切记要打印或备存交易记录或确认通知，以供日后查核。不要保存帐号和密码 不要给通过电子方式给任何机构和个人提供敏感的个人或账户资料 确保电脑采用最新的保安修补程式和病毒识别码，以减低欺诈电邮或网站利用软件漏洞的机会 其它欺骗方式 “人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话……” —— Kevin Mitnick 什么是社会工程学 Social Engneering 利用社会交往（通常是在伪装之下）从目标对象那里获取信息 例如： 电话呼叫服务中心 在走廊里的聊天 冒充服务技术人员 著名黑客Kevin Mitnick更多是通过社会工程来渗透网络的，而不是高超的黑客技术 常见方式 多次搜集你认为无用的的信息 正面攻击—直接索取（直接了当的开口要求所需的信息 ） 通过建立信任来获取信息 博取同情，希望得到帮助来获取信息 假冒网站和邮件 逆向骗局 进入内部 攻击新进员工 社会工程flash 警惕社会工程学 不要轻易泄漏任何信息，社会工程师可以从信息中找到隐藏的有价值的信息，更不要说是口令和账号 在相信任何人之前，先校验其真实的身份 不要违背公司的安全策略，哪怕是你的上司向你索取个人敏感信息（Kevin Mitnick最擅长的就是冒充一个很焦急的老板，利用一般人好心以及害怕上司的心理，向系统管理员索取口令） 所谓的黑客，更多时候并不是技术多么出众，而是社会工程的能力比较强 Internet使用安全 警惕社会工程学 介质安全、笔记本电脑及个人数据安全 重要信息的保密 口令安全 信息交换与备份安全 计算机及网络访问安全 工作环境及物理安全要求 介质安全及数据安全 内容 移动介质带来的风险 移动介质在数据交换与携带的便捷性，使得各式各样的U盘、移动硬盘、MP3等可能未经允许地接入计算机与网络，进行数据的拷贝和传递，一方面这些介质的移动性和便捷性容易被盗或丢失，而往往存储在移动介质的数据是未经加密的，很容易导致机密信息无意泄密 另一方面，现在的移动介质的存储容量也越来越大，小则上几个G byte的容量，大则上几百个G byte，对于有意泄密的员工，瞬间就可以把公司所有机密信息拷走；还有一方面，移动介质是病毒传播的重要途径，两个不同安全等级的网络或计算机通过移动介质传递信息时，低安全等级网络或电脑很容易感染病毒 笔记本电脑与远