網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民——網(wǎng)絡(luò)安全意識培訓(xùn)目錄安全態(tài)勢與法律法規(guī)信息安全基礎(chǔ)知識信息安全意識和防范總結(jié)安全態(tài)勢與法律法規(guī)01我國互聯(lián)網(wǎng)現(xiàn)狀9.04億中國網(wǎng)民規(guī)模64.5%互聯(lián)網(wǎng)普及率31.3萬億元數(shù)字經(jīng)濟(jì)總量，占GDP總量34.8%我國正由網(wǎng)絡(luò)大國向網(wǎng)絡(luò)強(qiáng)國不斷邁進(jìn)層出不窮的網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全拒絕服務(wù)流氓軟件黑客滲透人員威脅木馬后門病毒和蠕蟲社會工程系統(tǒng)漏洞硬件故障網(wǎng)絡(luò)通信故障供電中斷失火雷雨地震提示：員工操作不合規(guī)、內(nèi)鬼網(wǎng)絡(luò)上的攻擊服務(wù)器挖礦DDOS物理安全、自然災(zāi)害系統(tǒng)安全補(bǔ)丁2019年數(shù)據(jù)調(diào)查報(bào)告52%81%43%10%數(shù)據(jù)原因受害者分布黑客攻擊52%的數(shù)據(jù)與黑客攻擊有關(guān)。弱口令81%的數(shù)據(jù)涉及到撞庫或弱口令。小型企業(yè)43%的數(shù)據(jù)影響的是小企業(yè)；其他行業(yè)分布公共部門16%；醫(yī)療保健行業(yè)15%；金融行業(yè)10%。Elasticsearch數(shù)據(jù)庫遭時(shí)間：2019年12月事件：Elasticsearch數(shù)據(jù)庫遭，包括有27億個(gè)電子郵件地址，10億個(gè)電子郵件賬戶密碼以及一個(gè)裝載了近80萬份出生證明副本的應(yīng)用程序。其中，被盜的27億個(gè)電子郵箱地址中，有10億個(gè)密碼都是簡單明文進(jìn)行存儲。影響：ElasticSearch服務(wù)器的安全性存在嚴(yán)重問題。用戶賬號被黑客利用進(jìn)行非法牟利。萬豪客戶信息時(shí)間：2020年3月事件：萬豪國際集團(tuán)官方網(wǎng)站發(fā)布公告稱，約520萬名客戶的資料可能被，的資料包括客戶的姓名、地址、電子郵箱地址、電話號碼、賬戶和積分余額、生日、偏好等。影響：萬豪國際（MAR.O）股價(jià)大跌，跌幅7.57%，市值蒸發(fā)約18.34億美元沒有網(wǎng)絡(luò)安全就沒有國家安全出臺網(wǎng)絡(luò)安全法、國家網(wǎng)絡(luò)空間安全戰(zhàn)略、“十三五”國家信息化規(guī)劃等網(wǎng)絡(luò)安全法律法規(guī)和戰(zhàn)略規(guī)劃，制定發(fā)布網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)289項(xiàng)，網(wǎng)絡(luò)安全各項(xiàng)工作納入法治化軌道我國《刑法修正案（九）》中加入了侵犯公民個(gè)人信息罪這個(gè)新罪名。《網(wǎng)絡(luò)安全法》自6月1日正式實(shí)施《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》《網(wǎng)絡(luò)安全法》發(fā)布《個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》已列入了立法規(guī)劃20152016201720182019網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)正式發(fā)布，自12月1日實(shí)行《網(wǎng)絡(luò)安全法》種三種四第一，網(wǎng)絡(luò)空間主權(quán)原則；第二，網(wǎng)絡(luò)安全與信息化發(fā)展并重原則；第三，共同治理原則。《網(wǎng)絡(luò)安全法》進(jìn)一步明確了政府各部門的職責(zé)權(quán)限，完善了網(wǎng)絡(luò)安全監(jiān)管體制。《網(wǎng)絡(luò)安全法》提出制定網(wǎng)絡(luò)安全戰(zhàn)略，明確網(wǎng)絡(luò)空間治理目標(biāo)，提高了我國網(wǎng)絡(luò)安全政策的透明度?！毒W(wǎng)絡(luò)安全法》強(qiáng)化了網(wǎng)絡(luò)運(yùn)行安全，這是網(wǎng)絡(luò)安全的重心，重點(diǎn)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施?；驹瓌t安全戰(zhàn)略職責(zé)權(quán)限運(yùn)行安全義務(wù)責(zé)任監(jiān)測應(yīng)急安全法完善了網(wǎng)絡(luò)安全義務(wù)和責(zé)任，加大了違法懲處力度，有利于保障安全法的實(shí)施。安全法將監(jiān)測預(yù)警與應(yīng)急處置工作制度化、法制化，建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)制度?！毒W(wǎng)絡(luò)安全法》個(gè)人網(wǎng)絡(luò)行為企業(yè)網(wǎng)絡(luò)行為1.使用網(wǎng)絡(luò)服務(wù)需要實(shí)名認(rèn)證1.設(shè)立網(wǎng)絡(luò)安全負(fù)責(zé)人2.對他人網(wǎng)絡(luò)侵入、干擾和竊取網(wǎng)絡(luò)數(shù)據(jù)都是違法的3.個(gè)人信息安全得到2.數(shù)據(jù)本地化網(wǎng)絡(luò)安全法法律追責(zé)與處罰12345未及時(shí)上報(bào)，未按要求采取措施，未配合國家機(jī)關(guān)5-50萬1-10萬未及時(shí)阻止違規(guī)信息發(fā)布，消除及記錄保存10-50萬嚴(yán)重吊銷執(zhí)照1-10萬未及時(shí)修補(bǔ)產(chǎn)品缺陷5-50萬1-10萬違法開展認(rèn)證、檢測、評估活動(dòng)，違法風(fēng)險(xiǎn)信息1-10萬嚴(yán)重吊銷執(zhí)照0.5-5萬協(xié)助實(shí)施犯罪未構(gòu)成犯罪的，發(fā)布與實(shí)施犯罪相關(guān)信息的1-50萬1-15日拘留10-50萬違規(guī)行為單位負(fù)責(zé)人信息安全基礎(chǔ)知識02什么是信息？電腦中存放的一份文件網(wǎng)站上的一條新聞電視中的天氣預(yù)報(bào)手機(jī)上的一段聊天記錄什么是信息資產(chǎn)？由企業(yè)擁有或者控制的能夠?yàn)槠髽I(yè)帶來未來經(jīng)濟(jì)利益的信息資源其他信息介質(zhì)員工紙質(zhì)文檔電子文檔信息安全目標(biāo)Confidentiality（性）Integrity（完整性）Availability（可用性）CIA確保信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)用戶或?qū)嶓w。

確保信息在存儲、使用、傳輸過程中不會被非授權(quán)用戶篡改，同時(shí)還要防止授權(quán)用戶對系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇鄹?，保持信息?nèi)、外部表示的一致性。

確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允靠而及時(shí)地訪問信息及資源。如何保障信息安全？技術(shù)管理人物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)加密、認(rèn)證授權(quán)、訪問控制、審計(jì)跟蹤、防殺病毒、災(zāi)備恢復(fù)保障手段業(yè)界最佳實(shí)踐——ISO/IEC27001/27002安全不是產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、管理三者緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程人員意識、人員技能信息安全意識及防范03信息安全意識及防范1工作區(qū)域安全2電子郵件安全3口令密碼安全4某著名企業(yè)安全5社會工程學(xué)6遠(yuǎn)程辦公安全125432問題出在哪里？工作中錯(cuò)誤工作中錯(cuò)誤工作區(qū)域安全鑰匙和門卡本人使用，注意隨手關(guān)門外來人員需登記，勿隨意出入個(gè)人工位不應(yīng)隨意擺放敏感資料復(fù)印/打印時(shí)，禁止將敏感資料遺留在復(fù)印機(jī)/打印機(jī)旁邊對不再使用的資料，應(yīng)使用碎紙機(jī)將其清理信息安全意識及防范1工作區(qū)域安全2電子郵件安全3口令密碼安全4某著名企業(yè)安全5社會工程學(xué)6遠(yuǎn)程辦公安全電子郵件安全釣魚郵件指利用偽裝的電子郵件，欺騙收件人將帳號密碼、口令等信息回復(fù)給指定的接收者；或引導(dǎo)收件人連接到特制的網(wǎng)頁（這些網(wǎng)頁通常會偽裝成和真實(shí)網(wǎng)站一樣，令登錄者信以為真），輸入帳號密碼等信息從而盜取接收者信息。釣魚郵件特點(diǎn)1、郵件標(biāo)題多以“xx會議通知”、“xx辦重要通知”、“xx工資表”之類，對收件人具有很強(qiáng)的吸引、迷惑性甚至帶有一定的恐嚇性。2、查殺逃逸3、誘導(dǎo)性提示，引導(dǎo)下一步動(dòng)作電子郵件安全工作郵件均通過公司郵箱發(fā)送和接收發(fā)郵件前應(yīng)檢查確認(rèn)收件人，文件切勿群發(fā)文件應(yīng)加密后發(fā)送，密鑰不得隨郵件發(fā)送重要郵件建議加密存儲切勿點(diǎn)擊陌生郵件的附件或鏈接，刪除與業(yè)務(wù)無關(guān)的郵件絕對不要打開任何以下文件類型的郵件附件：.bat,,.exe,.vbs絕對不要打開任何未知文件類型的郵件附件，包括郵件內(nèi)容中到未知文件類型的鏈接如果要打開某著名企業(yè)文件類型（例如.doc,.xls,.ppt等）的郵件附件或者鏈接，務(wù)必先進(jìn)行病毒掃描信息安全意識及防范1工作區(qū)域安全2電子郵件安全3口令密碼安全4某著名企業(yè)安全5社會工程學(xué)6遠(yuǎn)程辦公安全使用大寫字母、小寫字母、數(shù)字、特殊符號組成的密碼妥善保管長度不少于10位定期更換，如三個(gè)月或半年不同的賬號使用不同的密碼，分級管理不使用敏感字符串，如生日、姓名關(guān)聯(lián)離開時(shí)需要鎖定計(jì)算機(jī)口令密碼安全信息安全意識及防范1工作區(qū)域安全2電子郵件安全3口令密碼安全4某著名企業(yè)安全5社會工程學(xué)6遠(yuǎn)程辦公安全某著名企業(yè)安全一般就是在公開場合無需提供密碼的AP熱點(diǎn)，這個(gè)AP一般與正常的AP沒有區(qū)別，連接上以后也能看似正常的進(jìn)行網(wǎng)絡(luò)鏈接。然而攻擊者卻可以輕松的得到用戶的網(wǎng)絡(luò)報(bào)文，更嚴(yán)重的是在釣魚Wi-Fi的基礎(chǔ)上設(shè)置釣魚網(wǎng)站。普通用戶一般缺乏安全意識，加上又有“蹭網(wǎng)”的心理，于是釣魚Wi-Fi才有了其發(fā)揮作用的社工基礎(chǔ)。上網(wǎng)習(xí)慣–“免費(fèi)”WiFi不免費(fèi)釣魚WiFi：

在繁華的街道設(shè)立名字叫做“CMCC”、“某著名企業(yè)”的WiFi熱點(diǎn)。域名劫持：

輸入正確的網(wǎng)站

預(yù)設(shè)的、相似度極高的山寨釣魚網(wǎng)站流量劫持：

可以監(jiān)聽受害終端發(fā)出的數(shù)據(jù)

可以篡改服務(wù)器返回的數(shù)據(jù)

這是最好的時(shí)代手機(jī)上網(wǎng)手機(jī)支付用戶規(guī)模達(dá)到7.65億手機(jī)網(wǎng)民規(guī)模達(dá)到8.97億這也是最壞的時(shí)代盜刷案例受害者發(fā)現(xiàn)銀行卡莫名被盜刷8萬1千元：通過檢查問題手機(jī)，發(fā)現(xiàn)如下短信：盜刷案例通過分析目標(biāo)安卓程序安裝包，發(fā)現(xiàn)了用于收集受害者信息的郵箱：收集到的受害者短信信息收集受害者通訊錄以開展下一輪攻擊嘗試某著名企業(yè)安全連接WIFI時(shí)，仔細(xì)確認(rèn)WIFI名稱免費(fèi)WIFI請慎用在傳送公司文件、某著名企業(yè)支付時(shí)請使用運(yùn)營商4G網(wǎng)絡(luò)掃描前先判斷二維碼發(fā)布來源是否權(quán)威可信通過二維碼安裝軟件時(shí)，先殺毒再安裝蘋果系統(tǒng)不越獄，安卓系統(tǒng)不root（不打開調(diào)試模式）信息安全意識及防范1工作區(qū)域安全2電子郵件安全3口令密碼安全4某著名企業(yè)安全5社會工程學(xué)6遠(yuǎn)程辦公安全社會工程學(xué)特點(diǎn)通過對受害者本能反應(yīng)、好奇心、信任、貪婪等心理弱點(diǎn)進(jìn)行如欺騙和傷害等攻擊手段社會工程學(xué)的攻擊，成功于人們普遍的對信息安全實(shí)踐上的無知！一般黑客攻擊社會工程攻擊攻擊對象攻擊方法網(wǎng)絡(luò)設(shè)備主機(jī)服務(wù)器應(yīng)用程序網(wǎng)絡(luò)服務(wù)人對人只對人欺騙誘導(dǎo)社會工程學(xué)事例一前幾天看到新聞推送中國賽區(qū)北林大學(xué)杜暘冠軍谷歌site:杜暘；得到北京林業(yè)大學(xué)學(xué)生評價(jià)狀態(tài)表--自然保護(hù)區(qū)學(xué)院隨手找到了北林大學(xué)，取得域名為

獲取學(xué)號為1003***1找到目標(biāo)取得域名獲取信息個(gè)人信息社會工程學(xué)事例一信息一信息二信息三信息四社會工程學(xué)的一般攻擊過程搜集足夠多的信息，以便于偽裝成一個(gè)合法的雇員、合作伙伴、執(zhí)法官員，或者攻擊者期望的任意角色。尋找組織、員工的明顯弱點(diǎn)，尋求突破。采集信息選擇目標(biāo)建立信任實(shí)施攻擊我就是我所聲稱的那個(gè)人！釣魚攻擊—虛假網(wǎng)頁社會工程學(xué)常用手段及防范釣魚網(wǎng)站社會工程學(xué)常用手段及防范域名唯一，仔細(xì)辨別制作粗糙，觀察細(xì)節(jié)社會工程學(xué)常用手段及防范釣魚網(wǎng)站

防范提高安全意識辨別真假網(wǎng)站收藏夾打開網(wǎng)站安裝安全軟件屏蔽釣魚網(wǎng)站連接地址和彈出圖片謹(jǐn)慎點(diǎn)擊社會工程學(xué)常用手段及防范只要你一打開QQ，可能就會收到某個(gè)好友的留言，例如：1：介紹你訪問一個(gè)很好的xxx網(wǎng)址。2：在XXXX看看。3：說有急事，先幫忙往他的朋友銀行帳戶匯款，晚上再轉(zhuǎn)帳還給你。4：讓你撥打一個(gè)電話號碼，聽他給你的留言和給你點(diǎn)的歌曲。等等。請大家不要相信，這些都是你的好友中了QQ病毒自動(dòng)發(fā)送的，如果你訪問了提示的網(wǎng)站可能就會中同樣的病毒。匯款和打電話聽留言是騙聊天欺詐社會工程學(xué)常用手段及防范聊天欺詐

防范不輕陌生人發(fā)來的消息通過其他方式（如電話）確認(rèn)對方身份對接收的文件進(jìn)行病毒查殺信息和文件不要通過聊天工具發(fā)送不要談?wù)搨€(gè)人或公司信息信息安全意識及防范1工作區(qū)域安全2電子郵件安全3口令密碼安全4某著名企業(yè)安全5社會工程學(xué)6遠(yuǎn)程辦公安全遠(yuǎn)程辦公安全?思考遠(yuǎn)程辦公的條件WIFI弱密碼APP未更新手機(jī)root/越獄路由器漏洞手機(jī)安全補(bǔ)丁未安裝軟件第三方下載公用電腦私用遠(yuǎn)程辦公安全辦公終端安全防護(hù)建議1.盡量使用公司配備的電腦辦公；2.安裝防病毒等安全終端防護(hù)軟件，并定期進(jìn)行殺毒；3.及時(shí)更新家用電腦的操作系統(tǒng)和補(bǔ)丁程序，確保使用的是最新版本；4.將家中的Wi-Fi密碼設(shè)置為強(qiáng)口令；5.不使用外部的公共Wi-Fi上網(wǎng)辦公；6.對設(shè)備設(shè)置開碼，防止丟失或者被竊而導(dǎo)致的企業(yè)數(shù)據(jù)問題；7.安裝某著名企業(yè)APP時(shí)，請通過官方渠道下載?？偨Y(jié)04進(jìn)入大門、閘機(jī)時(shí)主動(dòng)阻止陌生人尾隨進(jìn)入；廢棄的紙質(zhì)資料應(yīng)該進(jìn)行充分粉碎（碎紙機(jī)）；敏感資料應(yīng)妥善保管，在離開工位時(shí)鎖入柜中；電腦及時(shí)更新打補(bǔ)丁，使用防病毒軟件；避免弱口令，離開工位時(shí)對辦公電腦進(jìn)行鎖屏；不應(yīng)使用來歷不明的某著名企業(yè)存儲設(shè)備；不應(yīng)隨意查看不明郵件中的附件；信息和文件不要通過聊天工具發(fā)送。提升個(gè)人安全意識，培養(yǎng)安全辦公習(xí)慣別讓網(wǎng)絡(luò)你的隱私結(jié)束語模擬題在本地服務(wù)器上不啟動(dòng)動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP)，可以降低未授權(quán)訪問網(wǎng)絡(luò)資源的風(fēng)險(xiǎn)是如何設(shè)置較安全的密碼_____________使用大小寫字母、數(shù)字、特殊符號組合的長度不小于8位的密碼收到未知發(fā)件人的郵件時(shí)，可以預(yù)覽一下郵件內(nèi)容。錯(cuò)會議過后，白板上書寫內(nèi)容可以由保潔人員清除錯(cuò)當(dāng)外包服務(wù)人員需要操作服務(wù)器等設(shè)備時(shí)，可以將設(shè)備密碼告訴他們，有他們直接登錄操作錯(cuò)以下哪些方法可以保