复习课件2014.11信息安全培训.ppt

网站欺骗的特点 这类网站使用外表真实网站一样的内容，如图像、文字或公司标记，甚至会复制合法网站，以诱骗访客输入帐户或财务资料 这类网站设有真正链接，连接合法网站中如「联络我们」或「私隐及免责声明」等网页内容，藉以蒙骗访问者 这类网站可能使用与合法网站相似的域名或子域名 这类网站可能使用与合法网站相似的表格来收集访客的资料 这类网站可能以真正网页为背景，而本身则采用弹出的视窗形式，藉以误导和混淆访问者，令他们以为自已身处合法网站 * 钓鱼网站案例 该仿冒网站与中国工商银行的官方网站相似。真实域名应该为：/icbc/ * 钓鱼网站案例 该仿冒网站与淘宝的官方网站相似。真实域名应该为：/ * 防范措施 不要登入可疑网站，不要打开或滥发邮件中不可信赖来源或电邮所载的URL链接，以免被看似合法的恶意链接转往恶意网站 不要从搜寻器的结果连接到银行或其他金融机构的网址 打开邮件附件时要提高警惕，不要打开扩展名为“pif”, “exe”, “bat”, .vbs的附件 以手工方式输入URL位址或点击之前已加入书签的链接 避免在咖啡室、图书馆、网吧等场所的公用计算机进行网上银行或财务查询／交易。这些公用计算机可能装有入侵工具或特洛伊程式 在进行网上银行或财务查询／交易时，不要使用浏览器从事其他网上活动或连接其他网址。在完成交易后，切记要打印或备存交易记录或确认通知，以供日后查核。不要保存帐号和密码 不要给通过电子方式给任何机构和个人提供敏感的个人或账户资料 确保电脑采用最新的保安修补程式和病毒识别码，以减低欺诈电邮或网站利用软件漏洞的机会 * 其它欺骗方式 * “人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话……” —— Kevin Mitnick * 什么是社会工程学 Social Engneering 利用社会交往（通常是在伪装之下）从目标对象那里获取信息 例如： 电话呼叫服务中心 在走廊里的聊天 冒充服务技术人员 著名黑客Kevin Mitnick更多是通过社会工程来渗透网络的，而不是高超的黑客技术 * 常见方式 多次搜集你认为无用的的信息 正面攻击—直接索取（直接了当的开口要求所需的信息 ） 通过建立信任来获取信息 博取同情，希望得到帮助来获取信息 假冒网站和邮件 逆向骗局 进入内部 攻击新进员工 * 常见案例 通直接找“内鬼”侵入公司内部，从而达到盗取游戏币获利的目的。 * 警惕社会工程学 不要轻易泄漏任何信息，社会工程师可以从信息中找到隐藏的有价值的信息，更不要说是口令和账号 在相信任何人之前，先校验其真实的身份 不要违背公司的安全策略，哪怕是你的上司向你索取个人敏感信息（Kevin Mitnick最擅长的就是冒充一个很焦急的老板，利用一般人好心以及害怕上司的心理，向系统管理员索取口令） 所谓的黑客，更多时候并不是技术多么出众，而是社会工程的能力比较强 * Internet使用安全 警惕社会工程学 介质安全、笔记本电脑及个人数据安全 重要信息的保密 口令安全 信息交换与备份安全 计算机及网络访问安全 工作环境及物理安全要求 介质安全及数据安全 内容 * 移动介质带来的风险 移动介质在数据交换与携带的便捷性，使得各式各样的U盘、移动硬盘、MP3等可能未经允许地接入计算机与网络，进行数据的拷贝和传递，一方面这些介质的移动性和便捷性容易被盗或丢失，而往往存储在移动介质的数据是未经加密的，很容易导致机密信息无意泄密 另一方面，现在的移动介质的存储容量也越来越大，小则上几个G byte的容量，大则上几百个G byte，对于有意泄密的员工，瞬间就可以把公司所有机密信息拷走；还有一方面，移动介质是病毒传播的重要途径，两个不同安全等级的网络或计算机通过移动介质传递信息时，低安全等级网络或电脑很容易感染病毒 * 笔记本电脑与远程办公安全 IT管理部门可以协助用户部署必要的笔记本电脑防信息泄漏措施 用户不能将口令、ID或其他账户信息以明文保存在移动介质上 笔记本电脑遗失应按照相应管理制度执行安全响应措施 敏感信息应加密保护 携出后的电脑在接入公司网络之间应进行病毒扫描 禁止在公共区域讨论敏感信息，或通过笔记本电脑泄漏信息 不要将笔记本同时接入两个网络 注意笔记本电脑远程办公的安全，采用加密防止信息泄露 * 介质安全管理 创建 传递 销毁 存 储 使用 更改 介质包括：硬盘、U盘、移动硬盘、光盘、软盘、纸等具有存储信息功能的所有介质 LifeCycle * Internet使用安全 警惕社会工程学 介质安全、笔记本电脑及个人数