电力企业培训课件：网络安全与计算机保密培训.pptVIP

个人信息泄露 个人信息遭泄露后十大危害; 垃圾短信源源不断;骚扰电话接二连三；垃圾邮件铺天盖地；冒名办卡透支欠款；案件事故从天而降；不法公司前来诈骗；冒充公安要求转帐；坑蒙拐骗乘虚而入；帐户钱款不翼而飞；个人名誉无端受毁： 个人信息泄露方式：　 1、利用互联网搜索引擎搜索个人信； 2、旅馆住宿、保险公司投保、租赁公司、银行办证、电信、移动、联通、房地产、邮政部门等需要身份证件实名登记的部门、场所，个别人员利用登记的便利条件，泄露客户个人信息；、　　3、个别违规打字店、复印店利用复印、打字之便，将个人信息资料存档留底，装订成册，进行对外出售；　 　4、借各种“问卷调查”之名，窃取群众个人信息。警方介绍，他们宣称只要在“调查问卷表”上填写详细联系方式、收入情况、信用卡情况等内容，以及简单的“勾挑式”调查，就能获得不等奖次的奖品，以此诱使群众填写个人信息； 　5、通过在抽奖券的正副页上填写姓名、家庭住址、联系方式等方式，泄露个人信息； 　6、在购买电子产品、车辆等物品时，在一些非正规的商家填写非正规的“售后服务单”，从而被人利用了个人信息； 　7、超市、商场通过向群众邮寄免费资料、申办会员卡时掌握到的群众信息，通过个别人向外泄露。 8、互联网网站注册信息外泄（服务器被攻击泄露、网站管理员外泄） 9、物流信息中个人信息外泄 * “人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话……” —— Kevin Mitnick 社会工程学 * Social Engneering 利用社会交往（通常是在伪装之下）从目标对象那里获取信息 例如： 电话呼叫服务中心 在走廊里的聊天 冒充服务技术人员 著名黑客Kevin Mitnick更多是通过社会工程来渗透网络的，而不是高超的黑客技术 什么是社会工程学 * 不要轻易泄漏敏感信息，例如口令和账号 在相信任何人之前，先校验其真实的身份 不要违背公司的安全策略，哪怕是你的上司向你索取个人敏感信息（Kevin Mitnick最擅长的就是冒充一个很焦急的老板，利用一般人好心以及害怕上司的心理，向系统管理员索取口令） 不要忘了，所谓的黑客，更多时候并不是技术多么出众，而是社会工程的能力比较强 社会工程学（举例） * 谢 谢 * * * * * 应用系统安全要求 1、应用系统口令管理： （1）员工应尽快对各所有应用系统（如网站后台、综合办公、系统办公等）进行口令修改，要求长度不得少于8位，由字符和数字或特殊字符组成。 （2）对口令应及时进行更新，系统员口令修改间隔不得超过3个月并且不能使用前三次以内使用过的口令。 （3）用户丢失或遗忘口令，必须向相关口令管理或运维部门重新申请。 自《国家电网公司信息系统口令管理暂行规定》 六、应用系统安全要求 2、废旧帐号管理： 要高度重视废旧账号清理工作，要建立废旧账号清理制度，及时删除由于人员离职、调动等原因造成的长期废弃未用的旧账号，避免非公司人员利用废旧帐号权限而产生的安全威胁。 自《国家电网公司信息系统口令管理暂行规定》 LL分公司95598网站挂马、弱口令事件 事件： 11月24日接到中国电科院信息安全高级督查整改通知单，通报了LL分公司95598应急抢修系统弱口令，服务器曾被黑客入侵，服务器被上传木马 分析： 该系统正处于调试试运行阶段，开发人员为个人方便把服务器、数据库sa用户、系统后台口令均为弱口令“123”，而且在试运行前已感染木马，疑为U盘感染或访问挂马网页所致。 因信息系统原因导致涉及国家秘密信息外泄 因信息系统原因导致公司秘密信息外泄，对公司生产经营产生较大影响 利用公司信息系统造成公司敏感信息外泄 信息系统数据遭恶意篡改 信息系统数据遭恶意篡改，对公司生产经营产生重大影响 信息系统数据遭恶意篡改，对公司生产经营产生较大影响 信息系统数据遭恶意篡改 涉秘密信息外泄 六级事件 七级事件 信息安全事件有五至八级，四个级别。 五级事件 信息系统事件分级标准 重要业务应用3天以上数据完全丢失，且不可恢复 重要业务应用1天以上数据完全丢失，且不可恢复 重要业务应用数据丢失，且不可恢复 其他业务应用数据完全丢失，对业务应用造成一定影响 本地信息网络完全瘫痪且影响时间超过8小时（一个工作日） 本地信息网络完全瘫痪且影响时间超过4小时 本地信息网络完全瘫痪 无 注：1.表中提及的重要业务应用系统为营销、财务、电力市场交易、生产管理等