资讯安全基本认知培训课件(ppt 82页).pptVIP

* 優質密碼防範措施(1/2) 1.密碼長度建議至少六碼以上，且最好可參雜數字、英文字母、特殊符號、大小寫。 2.應儘量避免使用易猜測或公開資訊為設定，例如 個人姓名、出生年月日、身分證字號 機關、單位名稱或其他相關事項 使用者ID、其他系統ID 電腦主機名稱、作業系統名稱 電話號碼 英文或是其他外文字典的字彙 專有名詞 空白 優質密碼防範措施(2/2) 3.應保護密碼，維持密碼的機密性，勿使用同一套密碼行遍天下，以避免所有關的登入資料同時都被破解。 4.需定期更新密碼，建議更新頻率至少為三個月一次。 5.不使用過於複雜而不易記憶的密碼，以免擔心遺忘，而必須將密碼寫下，卻可能提高了密碼外洩的風險。  * * 行政人員資安教育 * * 10大企業資訊安全內賊現象 員工 主管 給予帳號密碼 收取客人資料並盜用 * 10大企業資訊安全內賊現象 惡意竊取或損壞資料類型： 1.竊取身份資料：員工存取或偷竊公司客戶的身份證號碼等隱私資料。 2.竊取機密資料：員工閱覽公司機密資料，並將資料複製至其隨身碟或透過電子郵件送出公司。 3.毀損資料：員工進入公司的研發或業務重要資料夾，刻意毀損企業具有價值的智慧財產。 4.財務欺騙行為：員工直接在公司資訊系統中竄改自己的薪資紀錄、或假冒發出採購單等行為。 * 10大企業資訊安全內賊現象 違背政策的不當使用類型： 5.不當的資料存取：員工將不可攜出公司的工作相關資料帶回家處理。 6.濫用特殊權限：員工利用其特殊的系統存取權限執行非業務相關工作，如本案例中所提到銀行技工濫用權限從事舞弊之行為。 7.非法將資料庫備份至光碟或隨身碟中。 未授權存取系統駭客類型： 8.SQL攻擊：員工利用 Web 程式的表格檔案竄改程式以取得不該取得的資料。 9.軟體攻擊：員工利用公司使用的應用程式或軟體弱點進行攻擊。 無意的資料錯誤處理類型： 10.因人為操作錯誤而將敏感資料刪除或而無法復原。 * 名詞解釋 access control 存取控管 存取控管是一種對於資料或資訊系統使用的安全控制措施，類似守門人的功能。 電腦系統管理者可利用密碼或其他身分驗證的方式，來對於電腦系統的使用者進行授權/拒絕的存取與控管。 換言之，存取控制在指派與控制使用者之權限(如使用者的身份、使用系統之時間等條件）。存取控管可提供資源系統使用安全功能，降低駭客入侵或資料不當外洩的風險。 * 筆記型電腦資料安全管理 遭偷竊筆記型電腦 居民個人資料外洩 個資未加密該如何保障? * 防範措施： 1.使用防護鎖或移動感應器來降低筆記型電腦失竊機率。 2.電腦開機設定保護密碼 3.重要資料使用加密措施，防止未經授權存取。 4.定時備份重要資料於其它儲存媒體中，並予以妥善保存 。 * 儲存媒體的保存 阿嘉 規劃公司整個網路儲存架構 * 防範措施： 1、使用磁碟陣列等可靠度較高的設備。 2、建立巢狀架構，避免單點損壞之風險。 3、建構異地備援。 4、建立備援儲存計畫，採用正常、複製、差異、”增量與每天等正規方式儲存資料，並標示好時間與日期。 5、過期資料應使用強力消磁設備消磁，嚴禁隨意丟棄。 6、建立好銷毀流程規範，嚴格要求。 7、作好機房人員進出控管，建立授權名單，可以考慮進一步使用指紋辨識系統。 8、資料內容加密。 * 名詞解釋 disaster recovery plan 災難復原計畫 災難復原，是指當任何緊急事件(如地震、颱風、人為疏失等)發生時，包含人員與資訊系統都應於第一時間立即因應處理～ * 資訊安全案例與知識 網路安全 人員與環境安全 資料與存取安全 系統安全 防範電腦駭客的入侵 遭遇電腦駭客入侵的因應對策 * 防範電腦駭客的入侵 設計電腦鍵盤側錄程式 側錄線上遊戲者帳號 * 防範措施 1.系統作業更新：時常進行系統程式修正或更新，防範程式漏洞導致入侵事件。 2.權限設定檢視：權限設定宜審慎，避免不合適或錯誤的設定，給予駭客入侵機會。 3.日常作業備份：完善的備份，是降低入侵破壞傷害的基本防線，方式包含備份於USB儲存設備，及硬碟等外接裝置，或將檔案壓縮後置於檔案伺服器。 4.稽核軌跡管理：啟動各種系統、應用程式、網路設備的事件稽核功能，使所有存取紀錄皆有跡可查。 5.時間校正：所有電腦與網路設備應設定自動校正時間，避免因時間紀錄不一致，影響入侵事件的分析。  * 垃圾郵件：垃圾郵件防範DIY 溫馨的5月母親節 主題垃圾郵件 夾帶電腦病毒、 或以偽裝成大型購物網站的 連結騙取使用者密碼、 銀行帳號等隱私資訊… * 垃圾郵件防範措施(1/2) 1.絕不回信 2.在搜尋引擎中鍵入你的e-mail，檢查看看是否你的e-mail是否很容易讓垃圾郵件佈者取得；若可能，盡可能地移除掉email曝光的機會。 3.將你的郵件