信息安全意識培訓二〇二一年五月CONTENT目錄2信息安全典型案例第二部分信息安全概述第一部分提升日常安全意識第三部分3信息安全——采取技術(shù)與管理措施保護信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行，使安全事件對業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運行的連續(xù)性。什么是信息安全4信息安全的三要素完整性性可用性信息安全保證信息只能夠由得到授權(quán)的人訪問。舉例：公司產(chǎn)品代碼不被惡意泄漏；商務(wù)合同、報價、客戶信息不被披露保證經(jīng)授權(quán)的用戶，需要訪問信息的時候就能夠訪問到。舉例：如果公司的業(yè)務(wù)被拒絕服務(wù)造成網(wǎng)絡(luò)中斷，用戶無法使用我們的業(yè)務(wù)。保證信息的正確性及不被非授權(quán)篡改和刪除。舉例：計費紀錄被惡意修改；交被刪除；公司主頁被篡改；日志文件被刪除信息安全三原則：性（Confidentiality）、完整性（Integrity）、可用性（Availability）5信息安全面臨的主要威脅6人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術(shù)、防火墻、入侵檢測系統(tǒng)、生物鑒別設(shè)備，可只要有人給毫無戒心的員工打個電話、發(fā)一封郵件、一個U盤……提升安全意識的重要性裝有100萬的保險箱需要3個悍匪公司損失100萬1輛車，才能偷走。裝有客戶信息的電腦或服務(wù)器只要1個黑客公司損失大量客戶和業(yè)務(wù)！1個U盤、1封郵件，就能偷走。7信息安全意識培訓目的建立對信息安全的正確認識了解工作/生活中面臨的信息安全威脅和風險培養(yǎng)員工個人信息安全意識和良好的習慣CONTENT目錄8信息安全典型案例第二部分信息安全意識概述第一部分提升日常安全意識第三部分9案例1–拼多多優(yōu)惠券漏洞，遭盜取數(shù)千萬元2019年1月20日凌晨，拼多多被曝出現(xiàn)重大BUG，4毛就可以充值100塊話費，有網(wǎng)友甚至曬出截圖，表示自己賬戶內(nèi)有超過50萬Q幣余額，可利用無門檻券來充值話費、Q幣。網(wǎng)絡(luò)流傳的損失數(shù)字是超過200億元，甚至有網(wǎng)友擔心“拼多多會不會一夜倒閉”。在“薅羊毛”事件發(fā)生幾個小時后，1月20日中午12點，官方回應(yīng)《關(guān)于“黑灰產(chǎn)通過平臺優(yōu)惠券漏洞不正當牟利”的聲明》，聲明全文如下：1月20日晨，有黑灰產(chǎn)團伙通過一個過期的優(yōu)惠券漏洞盜取數(shù)千萬元平臺優(yōu)惠券，進行不正當牟利。針對此行為，平臺已第一時間修復漏洞，并正對涉事訂單進行溯源追蹤。同時我們已向公安機關(guān)報案，并將積極配合相關(guān)部門對涉事黑灰產(chǎn)團伙予以打擊。10覃某將其編寫的“計算機病毒程序”植入華夏銀行總行核心系統(tǒng)應(yīng)用服務(wù)器，并通過該計算機病毒程序使其跨行ATM機取款的交計入賬戶，自2016年11月至2018年1月間，覃某通過其掌控的華夏銀行卡多次在ATM機上跨行取款，將銀行資金717.9萬元轉(zhuǎn)入其使用控制的銀行賬戶，非法占為己有。案例2–監(jiān)守自盜，編程序取款700余萬11案例3–美國一公司遭遇“禮品U盤”惡意攻擊我們經(jīng)常會聽到一些關(guān)于U盤攻擊，比如去別人公司面試，往別人工位扔U盤類的社會工程類攻擊。那么，如果不是撿U盤，而是有一天收到禮品卡外加一個U盤，你會馬上插電腦試試么？近期，一家美國酒店供貨商成為BadUSB攻擊的目標，攻擊手法為真實郵件攻擊——一封通過某著名企業(yè)系統(tǒng)寄過去的信件。BadUSB簡單來說，就是把一個特殊構(gòu)造后的U盤插入你電腦，然后你的電腦就神不知鬼不覺的被植入了惡意軟件等操作。這封信偽裝成BestBuy向其忠實顧客贈送的一張50美元的禮品卡。信中包含一個U盤，信上聲稱U盤包含禮品卡可以使用的物品清單。如果沒有良好的安全意識，這時候你就很可能直接把U盤插電腦了。12案例4–萬豪酒店5億客戶數(shù)據(jù)泄漏2018年11月30日，萬豪國際集團官方發(fā)布聲明稱，喜達屋旗下酒店的客房預(yù)訂數(shù)據(jù)庫被黑客入侵。在2018年9月10日或之前曾在該酒店預(yù)定的最多約5億名客人的信息或被。這5億人次中，有大約3.27億人次的包括姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、賬戶信息、出生日期、性別以及到達和離開酒店的信息已被。萬豪方面還補充，可能的還包括加密的信用卡信息，且不能排除加密密匙同時被盜的可能性。132019年2月，深圳某人臉識別公司發(fā)生了大規(guī)模的數(shù)據(jù)，預(yù)估人臉數(shù)據(jù)達250萬，近700萬條包含個人姓名、身份證號碼、性別、家庭住址和照片等重要個人信息遭。據(jù)悉，此公司利用深度學習和人工智能等技術(shù)在監(jiān)控視頻中分析，用于人臉識別和人物畫像分析。由于生物特征的唯一性，如人臉、虹膜、指紋等特征信息一旦，后果非常嚴重。人臉、指紋、虹膜等用戶生物信息是個人信息安全“一定不能出問題的最后一道防線”。面對安全防護水平較低、隱私保護力量薄弱的現(xiàn)實，用戶應(yīng)小心使用這些生物信息，“在網(wǎng)上，這些信息能不提交就不提交”，以免過多的隱私信息進入缺乏安全保障的數(shù)據(jù)庫后臺。案例5–人臉識別公司發(fā)生了大規(guī)模的數(shù)據(jù)14案例6–超七千武漢返鄉(xiāng)人員信息被今年春節(jié)前后，新型肺炎疫情引發(fā)全民關(guān)注，有一個群體成了輿論的中心——武漢返鄉(xiāng)人員。1月26日晚，據(jù)武漢市市長周先旺介紹，因為春節(jié)和疫情的影響，目前有500多萬人離開武漢。嚴峻疫情形勢下，針對返鄉(xiāng)人員的信息登記、活動監(jiān)控在全國各地展開，但與此同時，返鄉(xiāng)人員名單在各種親友、同事群中肆意流傳，大量敏感信息事件頻發(fā)。有知情者透露，信息的源頭和地方登記返鄉(xiāng)人員的途徑直接相關(guān)。專家表示者應(yīng)承擔由此產(chǎn)生的威脅公共安全的責任，轉(zhuǎn)發(fā)者也應(yīng)承擔侵權(quán)責任。1515案例7–往年信息數(shù)據(jù)事件16案例8–往年信息數(shù)據(jù)事件17安全測試案例–郵箱密碼、弱口令18安全測試案例–企業(yè)郵箱泄漏APP源碼翻找郵箱找到某APP源碼（IOS+Android），下載：19安全測試案例–郵件釣魚制定釣魚方案：標題：關(guān)于近期漏洞通報及自查工作的通知各位信息技術(shù)部同事： 近期頻繁出現(xiàn)Apache、WebLogic中間件以及重要設(shè)備廠商的安全漏洞，考慮到本周一信息技術(shù)部員工遭遇釣魚郵件攻擊的情況，部分終端可能已感染惡意程序。

研究所聯(lián)合信息技術(shù)部制作了Windows系統(tǒng)木馬/后門制作惡意程序檢測工具，供大家自行下載檢測。詳情見附件壓縮包：亞信安全-近期漏洞同步及自查工具。自檢完成，請回復郵件反饋。20安全測試案例–郵件釣魚免殺木馬制作：CONTENT目錄21信息安全典型案例第二部分信息安全意識概述第一部分提升日常安全意識第三部分22將口令寫在便簽上，貼在電腦顯視器旁開著電腦離開，就像離開家卻忘記關(guān)門那樣輕來自陌生人的郵件，好奇打開郵件附件

使用容的口令，或者根本不設(shè)口令不安裝或退出防病毒軟件，或者病毒庫更新不及時撿到U盤，好奇地插入個人或辦公電腦

工作網(wǎng)絡(luò)使用無線共享或者隨意將無關(guān)設(shè)備連入工作網(wǎng)絡(luò)在系統(tǒng)更新和安裝補丁上總是行動遲緩通過QQ、微信發(fā)送公司敏感文件且未做加密犯過以下的錯誤嗎?23不鎖屏的危害24瀏覽器保存密碼功能25弱口令的危害2613524在信息系統(tǒng)可支持情況下，一般用戶口令長度8位以上，并由字母、數(shù)字混合構(gòu)成，重要系統(tǒng)管理員口令長度12位以上，并由字母、數(shù)字、特殊字符混合構(gòu)成。便于自己記憶。避免使用連續(xù)的相同數(shù)字，或者全是數(shù)字或全是字母的字符組。不使用別人容個人相關(guān)信息猜測的信息。6不同安全等級、不同應(yīng)用用途的用戶應(yīng)設(shè)置不同口令。不使用字典中完整單詞，避免字典攻擊。任何個人使用電腦應(yīng)設(shè)置好開機、屏幕保護，為各類帳戶設(shè)置好登錄口令，口令設(shè)置遵循以下基本原則：辦公安全–帳號口令安全27注意口令不得將個人用戶口令給他人，也不得打聽或猜測他人用戶口令。避免將口令記錄在他人可能容的地方，例如筆記本、紙條、電子文件等；避免在自動登錄過程中以不安全的方式保存口令。定期修改口令應(yīng)用系統(tǒng)普通用戶每季度至少修改一次，重要用戶根據(jù)其他制度要求增加修改頻率。修改時避免重復使用舊口令。修改缺省口令新用戶生效后應(yīng)及時登錄并修改缺省口令。

辦公安全–帳號口令安全28辦公安全–互聯(lián)網(wǎng)上網(wǎng)安全互聯(lián)網(wǎng)是一個開放的網(wǎng)絡(luò)環(huán)境，上網(wǎng)時可能受到惡意網(wǎng)站或者黑客的攻擊，導致系統(tǒng)感染病毒、系統(tǒng)被破壞、數(shù)據(jù)等安全事件發(fā)生。上網(wǎng)過程中應(yīng)遵守國家法律法規(guī)，不得利用公司網(wǎng)絡(luò)制作、復制、查閱、傳播違反國家法律法規(guī)的有害信息。上網(wǎng)守法29不得利用公司上網(wǎng)資源下載與工作無關(guān)的文件。要養(yǎng)成良好的上網(wǎng)安全操作習慣：（1）上網(wǎng)前確認已開啟防病毒軟件和安全防護軟件的實時監(jiān)控功能。（2）不訪問與工作無關(guān)的網(wǎng)站，特別是游戲、淫穢、反動等類型的網(wǎng)站。（3）安全軟件提示發(fā)現(xiàn)病毒或惡意程序停止訪問該網(wǎng)站。（4）不要輕陌生人通過QQ、微信、郵件等傳過來的網(wǎng)址。（5）上網(wǎng)過程中被自動提示安裝軟件或修改配置時，除非能確認為實際需要外，一般都選擇“否”。工作相關(guān)辦公安全–互聯(lián)網(wǎng)上網(wǎng)安全30上網(wǎng)注冊帳戶時，用戶名密碼不要與公司用戶名密碼相同或有關(guān)聯(lián)。除非必要，一般不提供真實姓名和聯(lián)系方式，不將公司郵箱提供作為聯(lián)系郵箱。密碼不關(guān)聯(lián)辦公安全–互聯(lián)網(wǎng)上網(wǎng)安全31避免在打印店、網(wǎng)吧等公用上網(wǎng)電腦登錄公司系統(tǒng)或打印敏感文件，如不可避免時，則注意不使用“記住密碼”功能，使用完后正常退出用戶、徹底刪除敏感文件，并及時在公司電腦上修改用戶口令。安全登錄辦公安全–互聯(lián)網(wǎng)上網(wǎng)安全32辦公安全–網(wǎng)絡(luò)使用安全不得私自更改個人所用電腦的IP地址、系統(tǒng)服務(wù)、網(wǎng)絡(luò)協(xié)議、通信端口限制等網(wǎng)絡(luò)參數(shù)0102不得在公司系統(tǒng)上私自建立遠程控制服務(wù)（如Teamviewer、向日葵）不得私自更改到網(wǎng)絡(luò)設(shè)備的連接，需要變動時應(yīng)提出申請，由網(wǎng)絡(luò)管理員負責更改0304私自讓外來人員電腦接入公司網(wǎng)絡(luò)。如因工作需要，須經(jīng)審批后在網(wǎng)絡(luò)管理人員指導下接入可供外來人員使用的網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)參數(shù)遠程服務(wù)連接安全區(qū)域安全WIFI安全05私自對網(wǎng)絡(luò)開放wifi熱點將內(nèi)外網(wǎng)打通33應(yīng)警惕的郵件內(nèi)容：偽造發(fā)件人信息模仿單位領(lǐng)導索取個人信息存在訪問鏈接或附件辦公安全–郵件安全網(wǎng)絡(luò)釣魚（Phishing）攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行網(wǎng)絡(luò)詐騙活動，受騙者往往會自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內(nèi)容。詐騙者通常會將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息34辦公安全–郵件安全注意事項一注意事項二注意事項三注意事項四為經(jīng)常使用的郵箱和重要郵箱設(shè)置強度高的密碼，并定期修改。不同用途的郵箱設(shè)置不同的密碼在收發(fā)電子郵件前，應(yīng)確認防病毒軟件實時監(jiān)控功能已開啟；在收到來自公司同事發(fā)來的含有病毒的郵件，；除自己進行殺毒外，還應(yīng)及時通知對方殺毒不打開可疑郵件、垃圾郵件、不明來源郵件等提供的附件或經(jīng)常使用的郵箱，尤其是公司郵箱，應(yīng)盡量避免在互聯(lián)網(wǎng)上公開。例如：網(wǎng)上調(diào)查表填寫、網(wǎng)站用戶注冊、網(wǎng)絡(luò)論壇中。不要回復可疑郵件、垃圾郵件、不明來源郵件收發(fā)公司業(yè)務(wù)相關(guān)的郵件時，必須使用公司郵箱，并盡量要求對方使用對方公司郵箱；發(fā)送敏感數(shù)據(jù)時，應(yīng)采用加密郵件方式發(fā)送；不要在郵箱和網(wǎng)盤內(nèi)保存敏感數(shù)據(jù)注意事項五定期清理工作和個人郵箱中保存的所有有關(guān)公司系統(tǒng)操作手冊、部署方案、IP地址、系統(tǒng)源代碼、安全漏洞、賬號密碼等與網(wǎng)絡(luò)和系統(tǒng)相關(guān)的敏感文件35辦公安全–日常交流建立工作聊天群及時清理項目組人員聊天中盡量定向發(fā)送相關(guān)信息敏感資料發(fā)放客戶要求文檔各種方案、合同、報告等代碼安全核心代碼統(tǒng)一管理不可利用網(wǎng)盤、第三方網(wǎng)站進行共享打印安全盡量在公司打印材料外部打印，不要隨意拷貝資料文件共享敏感文件共享時，可壓縮文件并設(shè)置密碼36“測測你的前世是誰”、“測測你的最佳伴侶”、“測測你的合理薪資”。“活動推廣，掃一下送一瓶花露水”“大量積分未使用，并且馬上要清零”個人安全–信息上傳需注意37個人安全–信息上傳需注意（疫情數(shù)據(jù)為例）一、線上工具選擇要當心下載、掃碼需注意：關(guān)注其是否存在個人信息收集行為，如填報手機號、要求打開權(quán)限等。個人信息收集需識別：關(guān)注其開發(fā)商、發(fā)布者是否清晰明確。是否為具備疫情防控相關(guān)授權(quán)的機構(gòu)。二、個人信息謹慎填盡可能填寫與疫情防控相關(guān)的必填項信息。對于存在疑問的填寫項，可與相關(guān)工作人員進行溝通，了解原因和目的。注冊、登錄App時應(yīng)謹慎提交個人信息。對于需要注冊使用的線上工具，如密切接觸者查詢等，可以了解其查詢條件及需要提供的個人信息后，對比多款類似工具，選擇收集個人信息最少的工具進行查詢。注冊環(huán)節(jié)如非必要，謹慎提交個人敏感信息，如身份證照片、銀行卡號等。38個人安全–信息上傳需注意（疫情數(shù)據(jù)為例）三、個人信息保護機制要了解注冊使用收集個人信息的線上工具前建議查看其隱私政策中關(guān)于收集使用個人信息的規(guī)則，如收集目的、保存時間、刪除機制、注銷功能、投訴渠道等。如果線上工具提供了完善的個人信息保護機制使用過程中發(fā)現(xiàn)個人信息安全問題時，可通過投訴舉報、注銷賬號、刪除信息等機制來維護個人權(quán)益。四、棄用注銷要及時部分App在用戶注銷賬號后，還繼續(xù)以短信、電話等方式騷擾用戶。個人應(yīng)將長時間不使用的App賬號解綁、注銷，再刪除客戶端。換手機號時，