信息安全培訓(xùn)培訓(xùn)對(duì)象：全體生產(chǎn)崗培訓(xùn)課時(shí)：2課時(shí)培訓(xùn)目的：通過(guò)本次培訓(xùn)強(qiáng)化自控人員的技術(shù)能力。信息安全培訓(xùn)培訓(xùn)對(duì)象：全體生產(chǎn)崗1信息安全基礎(chǔ)

一、歐共體在既定密級(jí)條件下，網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力。這些事件和行為將危及所存儲(chǔ)或傳輸?shù)臄?shù)據(jù)以及經(jīng)由這些網(wǎng)絡(luò)和系統(tǒng)所提供的服務(wù)的可用性、真實(shí)性、完整性和秘密性。美國(guó)軍方美國(guó)軍方自20世紀(jì)90年代末便將“信息安全”的概念發(fā)展成“信息保障”，突出信息安全保障系統(tǒng)的多種安全能力及其對(duì)機(jī)構(gòu)業(yè)務(wù)職能的支撐作用。在信息保障的研究中，美國(guó)軍方走在世界前列，其代表性的文獻(xiàn)之一是NSA于2000年9月發(fā)布的《信息保障技術(shù)框架》3.0版（IATF），2002年9月更新為3.1版。美國(guó)軍方于2002年10月和2003年初先后頒布了其最新的信息保障指導(dǎo)方針：國(guó)防部第8500.1號(hào)令《信息保障》和第8500.2號(hào)令《信息保障的實(shí)施》，指導(dǎo)其全軍的信息保障工作。本質(zhì)而言，信息安全所針對(duì)的均是“信息”這種資源的“安全”，對(duì)信息安全的理解應(yīng)從信息化背景出發(fā)，最終落實(shí)在信息的安全屬性上。信息安全基礎(chǔ)

一、歐共體2信息安全基礎(chǔ)

二、信息安全發(fā)展的過(guò)程通信保密階段（COMSEC）（20世紀(jì)40年代～20世紀(jì)70年代）主要威脅:搭線竊聽(tīng),密碼分析。防護(hù)措施：數(shù)據(jù)加密。計(jì)算機(jī)安全（COMPUSEC）和信息安全階段（INFOSEC）（20世紀(jì)70年代～20世紀(jì)90年代）主要威脅：信息的非授權(quán)訪問(wèn)。保護(hù)措施：安全操作系統(tǒng)的可信計(jì)算基技術(shù)（TCB），其局限性在于仍沒(méi)有超出保密性的范疇。信息保障階段（IA）（20世紀(jì)90年代～至今）

安全不再局限于信息的保護(hù)，人們需要的是對(duì)整個(gè)信息和信息系統(tǒng)的保護(hù)和防御，包括了保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)能力（ProtectDetectReactRestore，PDRR）。安全與應(yīng)用的結(jié)合更加緊密，其相對(duì)性、動(dòng)態(tài)性等特性日趨引起注意，追求適度風(fēng)險(xiǎn)的信息安全成為共識(shí)，安全不再單純以功能或機(jī)制的強(qiáng)度作為評(píng)判指標(biāo)，而是結(jié)合了應(yīng)用環(huán)境和應(yīng)用需求，強(qiáng)調(diào)安全是一種信心的度量，使信息系統(tǒng)的使用者確信其預(yù)期的安全目標(biāo)已獲滿足。信息安全基礎(chǔ)

二、信息安全發(fā)展的過(guò)程3信息安全基礎(chǔ)

三、信息安全的6個(gè)特性：機(jī)密性（Confidentiality）機(jī)密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實(shí)體或過(guò)程，不被非法利用。即防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w，信息只為授權(quán)用戶使用的特性，如信息的加密傳輸、數(shù)據(jù)的保密存儲(chǔ)等。完整性（Integrality）完整性是信息在未經(jīng)合法授權(quán)不能被改變的特性，即網(wǎng)絡(luò)信息在存儲(chǔ)或傳輸過(guò)程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性?？捎眯裕ˋvailability）可用性是網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性?？捎眯跃褪侵妇W(wǎng)絡(luò)服務(wù)對(duì)用戶而言必須是可用的，也就是確保網(wǎng)絡(luò)節(jié)點(diǎn)在受到各種網(wǎng)絡(luò)攻擊時(shí)仍然能夠提供相應(yīng)的服務(wù)。信息安全基礎(chǔ)

三、信息安全的6個(gè)特性：4信息安全基礎(chǔ)

真實(shí)性真實(shí)性確保和一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)通信的對(duì)端就是正確的通信對(duì)端，也就是說(shuō)要鑒別通信對(duì)端的身份，確保網(wǎng)絡(luò)信息系統(tǒng)的訪問(wèn)者與其聲稱的身份是一致的，如果沒(méi)有真實(shí)性，那么網(wǎng)絡(luò)攻擊者就可以假冒網(wǎng)絡(luò)中的某個(gè)節(jié)點(diǎn)來(lái)和其它的節(jié)點(diǎn)進(jìn)行通信，那么他就可以獲得那些未被授權(quán)的資源和敏感信息?？煽啃钥煽啃允侵妇W(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性。不可否認(rèn)性不可否認(rèn)性保證一個(gè)節(jié)點(diǎn)不能否認(rèn)其發(fā)送出去的信息。這樣就能保證一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)不能抵賴它以前的行為。信息安全基礎(chǔ)

真實(shí)性5信息安全基礎(chǔ)

對(duì)個(gè)人或單機(jī)而言，信息安全問(wèn)題就是自身保護(hù)問(wèn)題，盡可能避免外來(lái)入侵，一旦不能避免，有入侵者侵入，如何通過(guò)有效的手段，查出何人、何時(shí)、從何地實(shí)施了入侵。對(duì)一個(gè)單位網(wǎng)絡(luò)系統(tǒng)而言，信息安全的任務(wù)要重大得多，不僅要保證本單位的網(wǎng)絡(luò)安全，防止外來(lái)入侵，還有義務(wù)防范本單位網(wǎng)絡(luò)用戶對(duì)接入的網(wǎng)絡(luò)用戶實(shí)施攻擊行為。換句話說(shuō)，網(wǎng)絡(luò)安全包括兩個(gè)方面內(nèi)容，一方面自已的信息系統(tǒng)不被攻擊，另一方面網(wǎng)絡(luò)用戶不攻擊別人。網(wǎng)絡(luò)安全工作就是通過(guò)技術(shù)手段在任何一種行為出現(xiàn)時(shí)能找到攻擊源和被攻擊對(duì)象。網(wǎng)絡(luò)環(huán)境下的信息安全依賴于網(wǎng)絡(luò)安全，但光有網(wǎng)絡(luò)安全技術(shù)手段是不夠的，還要有一系列的規(guī)章制度來(lái)保證。信息安全基礎(chǔ)

對(duì)個(gè)人或單機(jī)而言，信息安全問(wèn)題就是自身保護(hù)問(wèn)題6棱鏡門(mén)2013年6月，前中情局（CIA）職員愛(ài)德華·斯諾登將兩份絕密資料交給英國(guó)《衛(wèi)報(bào)》和美國(guó)《華盛頓郵報(bào)》，并告之媒體何時(shí)發(fā)表。按照設(shè)定的計(jì)劃，6月5日，英國(guó)《衛(wèi)報(bào)》先扔出了第一顆輿論炸彈：美國(guó)國(guó)家安全局有一項(xiàng)代號(hào)為"棱鏡"的秘密項(xiàng)目，要求電信巨頭威瑞森公司必須每天上交數(shù)百萬(wàn)用戶的通話記錄。6月6日，美國(guó)《華盛頓郵報(bào)》披露稱，過(guò)去6年間，美國(guó)國(guó)家安全局和聯(lián)邦調(diào)查局通過(guò)進(jìn)入微軟、谷歌、蘋(píng)果、雅虎等九大網(wǎng)絡(luò)巨頭的服務(wù)器，監(jiān)控美國(guó)公民的電子郵件、聊天記錄、視頻及照片等秘密資料。美國(guó)輿論隨之嘩然。“棱鏡門(mén)”事件提醒我們，目前的網(wǎng)絡(luò)安全必須上升到日常生活的基本安全范疇。外媒稱中國(guó)網(wǎng)軍上?；仄毓?/p>

疑似，已屏蔽四、安全事件紀(jì)實(shí)棱鏡門(mén)四、安全事件紀(jì)實(shí)72014年，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)總書(shū)記任組長(zhǎng)；李克強(qiáng)、劉云山任副組長(zhǎng)。

主要職責(zé)：著眼國(guó)家安全和長(zhǎng)遠(yuǎn)發(fā)展，統(tǒng)籌協(xié)調(diào)涉及經(jīng)濟(jì)、政治、文化、社會(huì)及軍事等各個(gè)領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問(wèn)題，研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和整大政策，推動(dòng)國(guó)家網(wǎng)絡(luò)安全和信息化法治建設(shè)，不斷增強(qiáng)安全保障能力。2017年6月1日實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。五、國(guó)家層面2014年，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)總書(shū)記任組長(zhǎng)8信息系統(tǒng)的安全運(yùn)行包括五個(gè)方面：

（1）信息系統(tǒng)數(shù)據(jù)安全防護(hù)管理

（2）硬件設(shè)備及機(jī)房的安全運(yùn)行管理

（3）計(jì)算機(jī)終端安全管理

（4）信息運(yùn)維管理

（5）保密及涉密信息管理六、《公司網(wǎng)絡(luò)安全管理制度》信息系統(tǒng)的安全運(yùn)行包括五個(gè)方面：六、《公司網(wǎng)絡(luò)安全管理制度》9七、信息系統(tǒng)數(shù)據(jù)安全保護(hù)管理

公司生產(chǎn)經(jīng)營(yíng)和日常管理產(chǎn)生大量的數(shù)據(jù)信息，這些數(shù)據(jù)大部分存儲(chǔ)在信息系統(tǒng)的數(shù)據(jù)庫(kù)中。數(shù)據(jù)庫(kù)中的用戶信息數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、生產(chǎn)安全數(shù)據(jù)、自動(dòng)化運(yùn)行控制數(shù)據(jù)等核心數(shù)據(jù)的損毀將影響公司的正常運(yùn)營(yíng)，甚至直接導(dǎo)致經(jīng)濟(jì)損失。這些數(shù)據(jù)是信息系統(tǒng)數(shù)據(jù)安全管理的重點(diǎn)保護(hù)對(duì)象。數(shù)據(jù)安全保護(hù)的主要工作如下：（1）建立有效的數(shù)據(jù)備份策略：制定備份周期、劃分存儲(chǔ)空間、建立備份日志記錄、備份恢復(fù)測(cè)試、數(shù)據(jù)備份系統(tǒng)建立及管理。（2）備份介質(zhì)管理策略：介質(zhì)存放環(huán)境及安全保障、介質(zhì)日常管理及日志記錄。七、信息系統(tǒng)數(shù)據(jù)安全保護(hù)管理公司生產(chǎn)經(jīng)營(yíng)和日常管理產(chǎn)生大量10（3）磁盤(pán)、光盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)管理策略：介質(zhì)存儲(chǔ)部署、注冊(cè)、登記、領(lǐng)用、存放、銷(xiāo)毀、日志記錄管理。（4）服務(wù)器、用戶終端、數(shù)據(jù)庫(kù)、數(shù)據(jù)存儲(chǔ)及傳輸加密保護(hù)措施策略：數(shù)據(jù)傳輸線路可靠性和保密性、關(guān)鍵數(shù)據(jù)加密保護(hù)。（5）數(shù)據(jù)使用范圍、訪問(wèn)控制、訪問(wèn)權(quán)限管理策略：不同數(shù)據(jù)及應(yīng)用系統(tǒng)對(duì)應(yīng)訪問(wèn)控制劃分及使用范圍界定、不同權(quán)限訪問(wèn)數(shù)據(jù)庫(kù)限制。（3）磁盤(pán)、光盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)管理策略：介質(zhì)11八、硬件設(shè)備及機(jī)房的安全運(yùn)行管理機(jī)房及硬件設(shè)備安全防護(hù)屬于物理安全范疇，機(jī)房場(chǎng)地選址、內(nèi)部設(shè)計(jì)要符合規(guī)范。機(jī)房及硬件設(shè)備安全工作如下：（1）機(jī)房場(chǎng)地、機(jī)房設(shè)計(jì)建設(shè)策略。機(jī)房不宜選擇頂層、底層建設(shè)；機(jī)房配備控溫控濕設(shè)備；建筑材料選擇抗震、隔熱、阻燃、降噪、隔音、環(huán)保材料；機(jī)房主要通道走廊樓梯間應(yīng)暢通、具有指示標(biāo)志。機(jī)房布線避免電力線與信號(hào)線互相干擾，地板下及上方走線需要鋪設(shè)管槽及線架。

（2）機(jī)房防水防潮、溫濕度控制策略：機(jī)房采取可靠地防水防潮防結(jié)霧措施；機(jī)房應(yīng)設(shè)置溫濕度計(jì)量設(shè)施，夏季，機(jī)房溫度應(yīng)控制在23℃±2℃，冬季應(yīng)控制在20℃±2℃，機(jī)房濕度應(yīng)控制在45%～65%。八、硬件設(shè)備及機(jī)房的安全運(yùn)行管理機(jī)房及硬件設(shè)備安全防護(hù)屬于物12（3）電源系統(tǒng)策略：設(shè)備負(fù)荷應(yīng)均勻分配在三相線路上；具有不少于兩路UPS供電，供電負(fù)荷小于50%；UPS電池定期維護(hù)及巡檢；機(jī)房所在建筑應(yīng)具有雙外部電源；機(jī)房做好接地措施，并每年由專(zhuān)業(yè)檢測(cè)資質(zhì)單位檢查測(cè)試并出具檢測(cè)報(bào)告及存檔。（4）機(jī)房消防安全策略：機(jī)房消防設(shè)施應(yīng)按國(guó)家現(xiàn)行有關(guān)消防標(biāo)準(zhǔn)規(guī)范的要求執(zhí)行，設(shè)有七氟丙烷等機(jī)房專(zhuān)用的無(wú)腐蝕作用的氣體自動(dòng)滅火裝置，氣體滅火裝置的滅火性能可靠,不損壞電子設(shè)備。具有火災(zāi)自動(dòng)報(bào)警系統(tǒng)；信息機(jī)房?jī)?nèi)必須安裝溫度、煙霧自動(dòng)告警裝置，并有專(zhuān)人負(fù)責(zé)定期檢查。（5）機(jī)房日常管理策略：出入管理、值班管理、資料管理、設(shè)備專(zhuān)責(zé)管理、衛(wèi)生管理、監(jiān)控管理、溫濕度記錄管理、應(yīng)急處置管理。（3）電源系統(tǒng)策略：設(shè)備負(fù)荷應(yīng)均勻分配在三相線路上；具有不少13計(jì)算機(jī)終端安全管理

（2）終端準(zhǔn)入管理策略：終端未進(jìn)行安全防護(hù)配置不得入網(wǎng)；終端安裝位置及安全配置不得隨意更改，如需更改必須經(jīng)過(guò)信息管理人員授權(quán)或操作才可進(jìn)行。（1）計(jì)算機(jī)終端安全防護(hù)策略：必須統(tǒng)一安裝安全防護(hù)軟件，定制病毒防護(hù)策略；IP地址固定及備案，便于事故排查及日常管理；計(jì)算機(jī)開(kāi)機(jī)密碼、用戶登錄口令密碼復(fù)雜度要求，避免弱口令出現(xiàn)；終端負(fù)責(zé)制必須落實(shí)到人，做到“誰(shuí)使用，誰(shuí)負(fù)責(zé)”。

計(jì)算機(jī)終端是信息安全的前沿陣地，也是信息安全事故高發(fā)地帶，終端管理工作是信息安全運(yùn)維中占比較大。終端安全包括：計(jì)算機(jī)及其外設(shè)、應(yīng)用軟件、安全設(shè)置等相關(guān)安全管理主體。主要工作如下：九、計(jì)算機(jī)終端安全管理

計(jì)算機(jī)終端安全管理

（2）終端準(zhǔn)入管理策略：終端未進(jìn)行安全防14（3）終端運(yùn)行管理策略：加強(qiáng)上網(wǎng)人員的職業(yè)道德教育、安全防護(hù)教育，規(guī)范上網(wǎng)行為，要個(gè)勞動(dòng)紀(jì)律,嚴(yán)禁在網(wǎng)上玩游戲，禁止瀏覽于工作無(wú)關(guān)的網(wǎng)站，下載歌曲圖片游戲等軟件。計(jì)算機(jī)終端用戶定期對(duì)計(jì)算機(jī)系統(tǒng)、殺毒軟件等進(jìn)行升級(jí)和更新，并定期進(jìn)行病毒查殺，不要下載和使用未經(jīng)測(cè)試和來(lái)歷不明的軟件、不要打開(kāi)來(lái)歷不明的電子郵件、以及不要隨意使用帶毒U盤(pán)等介質(zhì)，不使用不安全的通訊軟硬件進(jìn)行數(shù)據(jù)交互。（4）終端不可隨意借給他人使用，需臨時(shí)使用必須通過(guò)設(shè)備負(fù)責(zé)人和所屬領(lǐng)導(dǎo)授權(quán)方可使用。臨時(shí)使用人員不得更改設(shè)備軟硬件配置。（5）公司內(nèi)部所有計(jì)算機(jī)網(wǎng)絡(luò)部分的擴(kuò)展必須經(jīng)過(guò)網(wǎng)絡(luò)管理員實(shí)施，未經(jīng)許可任何部門(mén)不得私自連接交換機(jī)、無(wú)線路由器、移動(dòng)、WIFI等網(wǎng)絡(luò)設(shè)備，不得私自接入網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員有權(quán)拆除用戶私自接入的網(wǎng)絡(luò)線路和設(shè)備并報(bào)告上級(jí)領(lǐng)導(dǎo)。（3）終端運(yùn)行管理策略：加強(qiáng)上網(wǎng)人員的職業(yè)道德教育、安全防護(hù)15十、用戶安全意識(shí)安全意識(shí)的定義什么是安全意識(shí)所謂的安全意識(shí)是指人們發(fā)現(xiàn)可能存在的威脅、判斷其危害性并及時(shí)預(yù)防或化解威脅的一種能力。加強(qiáng)自身對(duì)威脅相關(guān)知識(shí)的掌握以及正確的使用習(xí)慣可以提升這種能力。這也就是我們常說(shuō)的提高安全意識(shí)。十、用戶安全意識(shí)安全意識(shí)的定義什么是安全意識(shí)所謂的安全意識(shí)是16安全意識(shí)的培養(yǎng)為什么要培養(yǎng)運(yùn)營(yíng)分公司員工信息安全意識(shí)？網(wǎng)絡(luò)的基礎(chǔ)元素是用戶。網(wǎng)絡(luò)應(yīng)用的多樣化、用戶個(gè)體習(xí)慣的多樣化。對(duì)于企業(yè)來(lái)說(shuō)員工信息安全主要是管理和制度的問(wèn)題，對(duì)于個(gè)人來(lái)說(shuō)員工信息安全主要是意識(shí)和使用習(xí)慣的問(wèn)題。技術(shù)僅僅是輔助手段。安全意識(shí)的培養(yǎng)為什么要培養(yǎng)運(yùn)營(yíng)分公司員工信息安全意識(shí)？網(wǎng)絡(luò)的17安全意識(shí)的培養(yǎng)員工信息安全意識(shí)培養(yǎng)的目的從根本上認(rèn)識(shí)到安全是自身的需求，而不僅僅是工作上面的要求；增強(qiáng)自主安全意識(shí)，讓養(yǎng)成良好的網(wǎng)絡(luò)及系統(tǒng)使用習(xí)慣。安全意識(shí)的培養(yǎng)員工信息安全意識(shí)培養(yǎng)的目的從根本上認(rèn)識(shí)到安全是18安全意識(shí)的培養(yǎng)如何進(jìn)行安全意識(shí)的培養(yǎng)詳盡并可行的安全制度及操作守則；

多方面的宣傳（安全主題網(wǎng)站、安全主題活動(dòng)、安全宣傳手冊(cè)等）；

定期的安全培訓(xùn)講座。安全意識(shí)的培養(yǎng)如何進(jìn)行安全意識(shí)的培養(yǎng)詳盡并可行的安全制度及操19事件一：facebook內(nèi)網(wǎng)受攻擊facebook內(nèi)網(wǎng)遭受攻擊Facebook的安全人員發(fā)現(xiàn)了內(nèi)網(wǎng)的DNS服務(wù)器上有一條奇怪的解析請(qǐng)求。追尋記錄來(lái)源是來(lái)自于內(nèi)網(wǎng)一個(gè)員工的筆記本電腦。檢查電腦發(fā)現(xiàn)上面存在木馬程序，木馬程序利用了java的1個(gè)0day漏洞（漏洞的公布時(shí)間為2月1日）。繼續(xù)檢查發(fā)現(xiàn)該木馬已經(jīng)在內(nèi)網(wǎng)擴(kuò)散了。事件一：facebook內(nèi)網(wǎng)受攻擊facebook內(nèi)網(wǎng)遭受攻20事件二：斯諾登曝光美國(guó)棱鏡門(mén)項(xiàng)目斯諾登曝光美國(guó)棱鏡門(mén)項(xiàng)目美國(guó)政府從各類(lèi)大型網(wǎng)站獲取用戶資料信息。美國(guó)政府監(jiān)聽(tīng)用戶的網(wǎng)絡(luò)訪問(wèn)、搜索內(nèi)容、電子郵件、即時(shí)通訊等。曾一度入侵中國(guó)的移動(dòng)運(yùn)營(yíng)商獲取用戶的短信信息，入侵國(guó)內(nèi)部分運(yùn)營(yíng)商的主干網(wǎng)絡(luò)獲取用戶信息。事件二：斯諾登曝光美國(guó)棱鏡門(mén)項(xiàng)目斯諾登曝光美國(guó)棱鏡門(mén)項(xiàng)目美國(guó)21安全意識(shí)的培養(yǎng)安全意識(shí)的重要性安全威脅無(wú)處不在。絕大多數(shù)成功的攻擊都源自于企業(yè)的內(nèi)部，而這些內(nèi)部的攻擊又絕大多數(shù)并非員工自己發(fā)起的，而是因?yàn)閱T工的疏忽導(dǎo)致系統(tǒng)被他人利用發(fā)起的攻擊。結(jié)論：?jiǎn)T工自己的信息安全與單位的信息安全息息相關(guān)。安全意識(shí)的培養(yǎng)安全意識(shí)的重要性安全威脅無(wú)處不在。絕大多數(shù)成功22十一、員工信息安全意識(shí)相關(guān)知識(shí)安全意識(shí)培訓(xùn)首先要讓用戶清楚哪些東西是需要保護(hù)的?系統(tǒng)及網(wǎng)絡(luò)的可用性及安全性（辦公的PC，家用的PC等）帳號(hào)信息及密碼研究成果、項(xiàng)目文檔等私密的信息（身份證號(hào)、電話號(hào)碼、車(chē)牌號(hào)碼）虛擬財(cái)產(chǎn)(游戲帳號(hào)、qq帳號(hào)）真實(shí)的錢(qián)財(cái)（網(wǎng)絡(luò)銀行賬號(hào)、股票基金帳戶）十一、員工信息安全意識(shí)相關(guān)知識(shí)安全意識(shí)培訓(xùn)首先要讓用戶清楚哪23十一、員工信息安全意識(shí)相關(guān)知識(shí)安全意識(shí)培訓(xùn)面臨的主要威脅有哪些?病毒、木馬（首要威脅）信息泄露（有意無(wú)意的）社會(huì)工程學(xué)與欺詐人為的特定攻擊（APT）無(wú)線和移動(dòng)終端的安全威脅十一、員工信息安全意識(shí)相關(guān)知識(shí)安全意識(shí)培訓(xùn)面臨的主要威脅有哪24安全意識(shí)培訓(xùn)面臨的主要威脅有哪些?病毒、木馬（首要威脅）信息泄露（有意無(wú)意的）社會(huì)工程學(xué)與欺詐人為的特定攻擊（APT）無(wú)線和移動(dòng)終端的安全威脅安全意識(shí)培訓(xùn)面臨的主要威脅有哪些?病毒、木馬（首要威脅）25哪些操作可能導(dǎo)致我們感染病毒呢？哪些操作可能導(dǎo)致我們感染病毒呢？26病毒、木馬病毒、木馬感染途徑網(wǎng)絡(luò)瀏覽電子郵件移動(dòng)存儲(chǔ)介質(zhì)即時(shí)聊天網(wǎng)絡(luò)下載網(wǎng)絡(luò)共享病毒、木馬病毒、木馬感染途徑網(wǎng)絡(luò)瀏覽27病毒、木馬的傳播途徑什么是網(wǎng)頁(yè)掛馬攻擊？攻擊者通過(guò)攻擊web服務(wù)器篡改網(wǎng)頁(yè)的源代碼，在其中加入包含惡意攻擊程序的網(wǎng)頁(yè)鏈接。當(dāng)用戶訪問(wèn)這些被篡改的網(wǎng)頁(yè)時(shí)就會(huì)在不知情的情況下被動(dòng)訪問(wèn)包含攻擊程序的網(wǎng)頁(yè)。攻擊程序利用一些能夠通過(guò)瀏覽器利用的漏洞在用戶的系統(tǒng)上下載木馬程序運(yùn)行的攻擊過(guò)程就叫網(wǎng)頁(yè)掛馬攻擊。病毒、木馬的傳播途徑什么是網(wǎng)頁(yè)掛馬攻擊？攻擊28病毒、木馬的傳播途徑網(wǎng)頁(yè)掛馬攻擊成功的幾個(gè)要素用戶訪問(wèn)了存在掛馬鏈接的網(wǎng)頁(yè)（主動(dòng)或被動(dòng)）用戶系統(tǒng)上存在漏洞、并且被攻擊程序攻擊成功用戶系統(tǒng)上的安全軟件沒(méi)有起作用病毒、木馬的傳播途徑網(wǎng)頁(yè)掛馬攻擊成功的幾個(gè)要素用戶訪問(wèn)了存在29病毒、木馬的傳播途徑通過(guò)電子郵件傳播郵件主題及內(nèi)容偽造成各式各樣（好友的回復(fù)郵件、管理員的提醒、熱點(diǎn)事件等）病毒副本存在郵件附件中，附件會(huì)偽裝成各種格式的文件引誘用戶點(diǎn)擊執(zhí)行，如jpg、doc、zip、rar等，但有些時(shí)候這些文件實(shí)際上是EXE文件：如sex.jpg.exe很少一部分郵件病毒會(huì)利用系統(tǒng)的漏洞直接運(yùn)行病毒附件，而大部分的郵件病毒需要用戶點(diǎn)擊附件運(yùn)行才能執(zhí)行病毒附件！病毒、木馬的傳播途徑通過(guò)電子郵件傳播郵件主題及內(nèi)容偽造成各式30員工信息安全意識(shí)相關(guān)知識(shí)病毒、木馬的傳播途徑通過(guò)存儲(chǔ)介質(zhì)傳播病毒利用了系統(tǒng)自動(dòng)運(yùn)行的即插即用設(shè)備的原理來(lái)自動(dòng)運(yùn)行并傳播。（autorun.inf)介質(zhì)包括——U盤(pán)、移動(dòng)硬盤(pán)、mp3、數(shù)碼相機(jī)、智能手機(jī)等所有能接到電腦上有存儲(chǔ)功能的電子產(chǎn)品。Ipod、iphone刻錄光盤(pán)（未閉合）。。。。危險(xiǎn)的使用場(chǎng)合——局域網(wǎng)內(nèi)的共享服務(wù)器、公共的打印店、會(huì)議交換ppt等員工信息安全意識(shí)相關(guān)知識(shí)病毒、木馬的傳播途徑通過(guò)存儲(chǔ)介質(zhì)傳播31員工信息安全意識(shí)相關(guān)知識(shí)病毒、木馬的傳播途徑通過(guò)即時(shí)通訊軟件傳播通過(guò)即時(shí)通訊軟件發(fā)送病毒程序或是有掛馬程序的網(wǎng)頁(yè)，引誘用戶點(diǎn)擊。 如：這是我最近的照片，快接收員工信息安全意識(shí)相關(guān)知識(shí)病毒、木馬的傳播途徑通過(guò)即時(shí)通訊軟件32員工信息安全意識(shí)相關(guān)知識(shí)病毒感染帶來(lái)的危害－會(huì)自主擴(kuò)散并控制主機(jī)，破壞單位的安全防護(hù)手段－竊取隱私信息（單位的、個(gè)人的）－影響系統(tǒng)及網(wǎng)絡(luò)的正常運(yùn)行員工信息安全意識(shí)相關(guān)知識(shí)病毒感染帶來(lái)的危害－會(huì)自主擴(kuò)散并控制33員工信息安全意識(shí)相關(guān)知識(shí)安全意識(shí)培訓(xùn)面臨的主要威脅有哪些?病毒、木馬（首要威脅）信息泄露（有意無(wú)意的）社會(huì)工程學(xué)與欺詐人為的特定攻擊（APT）無(wú)線和移動(dòng)終端的安全威脅員工信息安全意識(shí)相關(guān)知識(shí)安全意識(shí)培訓(xùn)面臨的主要威脅有哪些?病34員工信息安全意識(shí)相關(guān)知識(shí)威脅與風(fēng)險(xiǎn)信息泄露有意或無(wú)意中發(fā)生的，泄露的信息一般有：用戶賬號(hào)和密碼個(gè)人信息（身份證、家庭住址、工作單位、電話號(hào)碼、車(chē)牌號(hào)碼、等）用戶的喜好及個(gè)人偏好這些信息多數(shù)時(shí)候是用戶出于自愿自動(dòng)提交給某網(wǎng)站的，而這些網(wǎng)站則是在有意或無(wú)意的情況下將其泄露出去的。員工信息安全意識(shí)相關(guān)知識(shí)威脅與風(fēng)險(xiǎn)信息泄露有意或無(wú)意中發(fā)生的35員工信息安全意識(shí)相關(guān)知識(shí)威脅與風(fēng)險(xiǎn)典型案例：?jiǎn)T工信息安全意識(shí)相關(guān)知識(shí)威脅與風(fēng)險(xiǎn)典型案例：36員工信息安全意識(shí)相關(guān)知識(shí)信息泄露社交網(wǎng)絡(luò)已經(jīng)成為用戶信息收集的首要來(lái)源這里可以收集到用戶的社會(huì)關(guān)系信息，為進(jìn)一步的社會(huì)工程學(xué)攻擊提供幫助員工信息安全意識(shí)相關(guān)知識(shí)信息泄露社交網(wǎng)絡(luò)已經(jīng)成為用戶信息收集37員工信息安全意識(shí)相關(guān)知識(shí)安全意識(shí)培訓(xùn)面臨的主要威脅有哪些?病毒、木馬（首要威脅）信息泄露（有意無(wú)意的）社會(huì)工程學(xué)與欺詐人為的特定攻擊（APT）無(wú)線和移動(dòng)終端的安全威脅員工信息安全意識(shí)相關(guān)知識(shí)安全意識(shí)培訓(xùn)面臨的主要威脅有哪些?病38員工信息安全意識(shí)相關(guān)知識(shí)威脅與風(fēng)險(xiǎn)社會(huì)工程學(xué)與欺詐網(wǎng)頁(yè)釣魚(yú)、郵件欺詐、短信欺詐網(wǎng)頁(yè)釣魚(yú)多數(shù)是偽造網(wǎng)上銀行、在線交易系統(tǒng)以及證券交易系統(tǒng)網(wǎng)站引誘用戶訪問(wèn)并盜取相關(guān)的賬號(hào)及密碼郵件欺詐包括：虛假的中獎(jiǎng)信息、虛假的銷(xiāo)售信息、偽造管理員詢問(wèn)用戶的賬號(hào)密碼短信欺詐則多數(shù)是試圖誘導(dǎo)用戶進(jìn)行銀行轉(zhuǎn)賬操作員工信息安全意識(shí)相關(guān)知識(shí)威脅與風(fēng)險(xiǎn)社會(huì)工程學(xué)與欺詐網(wǎng)頁(yè)釣魚(yú)、39員工信息安全意識(shí)相關(guān)知識(shí)釣魚(yú)網(wǎng)站類(lèi)型分布員工信息安全意識(shí)相關(guān)知識(shí)釣魚(yú)網(wǎng)站類(lèi)型分布40員工信息安全意識(shí)相關(guān)知識(shí)社會(huì)工程學(xué)欺詐

隨著應(yīng)用和技術(shù)的發(fā)展，新興的應(yīng)用成為社會(huì)工程學(xué)欺詐的主要手段即時(shí)聊天工具微信、微博社交網(wǎng)站員工信息安全意識(shí)相關(guān)知識(shí)社會(huì)工程學(xué)欺詐隨著應(yīng)41員工信息安全意識(shí)相關(guān)知識(shí)無(wú)線的威脅無(wú)線的風(fēng)險(xiǎn)：無(wú)線設(shè)備濫用帶來(lái)的風(fēng)險(xiǎn)破壞內(nèi)部網(wǎng)絡(luò)的私密性；無(wú)線設(shè)備被人控制導(dǎo)致數(shù)據(jù)被監(jiān)聽(tīng)；蹭網(wǎng)的風(fēng)險(xiǎn)信息可能被非法收集，數(shù)據(jù)被監(jiān)聽(tīng)；有可能會(huì)被推送惡意的攻擊程序員工信息安全意識(shí)相關(guān)知識(shí)無(wú)線的威脅無(wú)線的風(fēng)險(xiǎn)：無(wú)線設(shè)備濫用帶42員工信息安全意識(shí)相關(guān)知識(shí)移動(dòng)終端的威脅智能移動(dòng)終端的威脅：可能破壞內(nèi)網(wǎng)的私密性App的下載安裝可能感染木馬程序?qū)е陆K端被人控制可能帶來(lái)經(jīng)濟(jì)損失（話費(fèi)、銀行帳號(hào)）泄露大量個(gè)人隱私（聯(lián)系人信息、地理位置、甚至是隱私照片等）員工信息安全意識(shí)相關(guān)知識(shí)移動(dòng)終端的威脅智能移動(dòng)終端的威脅：可43員工信息安全意識(shí)相關(guān)知識(shí)防火墻是必須使用的,你可以根據(jù)你的喜好選擇（當(dāng)然在企業(yè)里應(yīng)該遵循企業(yè)的安全制度）系統(tǒng)自帶的（配置簡(jiǎn)單，功能不錯(cuò)。推薦使用）防病毒軟件帶的防火墻（功能較強(qiáng)，與防病毒軟件聯(lián)動(dòng)）專(zhuān)用的防火軟件（功能全面，配置相對(duì)復(fù)雜）系統(tǒng)上可以同時(shí)裝多個(gè)防火墻，但一定要保證有一個(gè)及以上的處于工作狀態(tài)！防火墻與防病毒軟件員工信息安全意識(shí)相關(guān)知識(shí)防火墻是必須使用的,你可以根據(jù)你的喜44員工信息安全意識(shí)相關(guān)知識(shí)防病毒軟件

防病毒軟件的選擇：根據(jù)自己的使用習(xí)慣和系統(tǒng)的性能選擇合適的殺毒軟件！（辦公用機(jī)請(qǐng)遵循企業(yè)的安全策略選擇）不管是收費(fèi)的還是免費(fèi)的，請(qǐng)盡量使用正版。殺毒軟件一定要保持在工作狀態(tài)，且及時(shí)更新最新的病毒庫(kù)！一臺(tái)機(jī)器上原則上不要安裝兩種殺毒軟件！安全衛(wèi)士等只是輔助安全軟件，不能完全替代防毒軟件的功能,可以多種產(chǎn)品一塊安裝！不僅僅是windows需要防病毒軟件，其他操作系統(tǒng)同員工信息安全意識(shí)相關(guān)知識(shí)防病毒軟件防病毒軟件的選45員工信息安全意識(shí)相關(guān)知識(shí)其他安全軟件安全輔助軟件騰訊電腦管家360安全衛(wèi)士金山衛(wèi)士網(wǎng)絡(luò)巡警系統(tǒng)輔助工具超級(jí)兔子冰刃ICESWORD完美卸載員工信息安全意識(shí)相關(guān)知識(shí)其他安全軟件安全輔助軟件46員工信息安全意識(shí)相關(guān)知識(shí)良好的安全意識(shí)和使用習(xí)慣了解基本的安全常識(shí)，可以讓安全軟件的功效發(fā)揮到最高，良好的使用習(xí)慣可以讓風(fēng)險(xiǎn)大大降低：設(shè)密碼、打補(bǔ)丁安裝殺毒軟并及時(shí)升級(jí)病毒庫(kù)不隨便下載程序運(yùn)行不訪問(wèn)一些來(lái)歷不明的網(wǎng)頁(yè)鏈接不使用的情況下盡量關(guān)閉機(jī)器經(jīng)常備份重要數(shù)據(jù)（加密存儲(chǔ)后備份）員工信息安全意識(shí)相關(guān)知識(shí)良好的安全意識(shí)和使用習(xí)慣了解基本的安47員工信息安全意識(shí)相關(guān)知識(shí)安全技巧——正確使用密碼密碼設(shè)置要求密碼應(yīng)該不少于8個(gè)字符；密碼設(shè)置最好不要使用以下這些：名字、生日、電話號(hào)碼等同時(shí)包含多種類(lèi)型的字符，比如大寫(xiě)字母(A,B,C,..Z)小寫(xiě)字母(a,b,c..z)數(shù)字(0,1,2,…9)標(biāo)點(diǎn)符號(hào)(@,#,!,$,%,&…)設(shè)置的密碼一定要讓自己記住床前明月光，疑似地上霜.(cqmyg,ysdss.)justf0ry0u員工信息安全意識(shí)相關(guān)知識(shí)安全技巧——正確使用密碼48員工信息安全意識(shí)相關(guān)知識(shí)安全技巧——正確使