信息安全意识

信息安全意识概述

信息安全意识：

指人们发现可能存在的威胁、判断其危害性并及时预防或化解威胁的一种能力

加强自身对威胁相关知识的掌握以及正确的使用习惯可以提升这种能力。也叫提高安全意识

安全意识培养目的：

安全是自身需求

增强自主安全意识，养成良好网络及系统使用习惯

安全意识的培养：

·构建完善的技术防御体系

·有效的安全管理体系、操作流程和操作手册

·多方面宣传（主题活动，手册，海报等）

·定期的信息安全意识培训讲座

安全意识的重要性：

安全威胁无处不在，绝大多数成功的攻击都源于企业内部，因为员工的疏忽和操作失误导致系统被他人利用发起的攻击

信息安全类型与防护

环境与设备安全

·办公场所的信息安全防护

不要关闭门禁系统，也不要出借门禁卡；

不相关人员不要随意放任他进入办公区域；

重要谈话不要在公开空间发表或谈论；

重要文件不要遗留在他人容易接触到的地方；

及时销毁含有重要信息的废弃文件；

离开电脑时要锁定计算机；

不要在移动场所发送敏感信息；

不要随意使用公共WIFI等。

网络上存在的安全威胁

·病毒、木马 （首要威胁）

病毒、木马感染途径

网络浏览

电子邮件

移动存储介质

病毒利用了系统自动运行的即插即用设备的原理来自动运行并传播。（autorun.inf)

介质包括——U盘、移动硬盘、mp3、数码相机、智能手机等所有能接到电脑上有存储功能的电子产品。

刻录光盘（未闭合）

危险的使用场合——局域网内的共享服务器、公共的打印店、会议交换ppt等

通过即时通讯软件发送病毒程序或是有挂马程序的网页，引诱用户点击。

即时聊天

网络下载

网络共享

信息泄露（有意无意的）

有意或无意中发生的，泄露的信息一般有：

用户账号和密码

个人信息（身份证、家庭住址、工作单位、电话号码、车牌号码、等）

用户的喜好及个人偏好

这些信息多数时候是用户出于自愿自动提交给某网站的，而这些网站则是在有意或无意的情况下将其泄露出去的。

信息泄露途径

住宅小区、商场、参加活动等免费领取礼品填写个人信息

随意在网站注册、微薄等社交软件上聊天等

朋友圈上晒照片、旅行记录等

医院检查、酒店住宿登记等

这里可以收集到用户的社会关系信息，为进一步的社会工程学攻击提供帮助

社会工程学与欺诈

社会工程学利用人的弱点，以顺从你的意愿、满足你的欲望的方式，让你上当的一些方法、一门艺术与学问。

如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段，获取自身利益的手法。

网页钓鱼、邮件欺诈、短信欺诈

网页钓鱼多数是伪造网上银行、在线交易系统以及证券交易系统网站引诱用户访问并盗取相关的账号及密码

邮件欺诈包括：虚假的中奖信息、虚假的销售信息、伪造管理员询问用户的账号密码

短信欺诈则多数是试图诱导用户进行银行转账操作

人为的特定攻击（APT）

有目的、有针对性全程人为参与的攻击

一般都有特殊目的（如窃取账号、骗去钱财、窃取保密文档等）

会使用各种攻击手段（漏洞攻击、社会工程学、暴力破解、木马病毒等）

一般是不达目的誓不罢休

水坑攻击

先收集被攻击者常去的网站

攻击并控制这些网站，放置挂马程序，或是利用跨站漏洞攻击

等待被攻击者访问

无线和移动终端的安全威胁

无线的风险：

无线设备滥用带来的风险

破坏内部网络的私密性；

无线设备被人控制导致数据被监听；

蹭网的风险

信息可能被非法收集，数据被监听；

有可能会被推送恶意的攻击程序；

智能移动终端的威胁

可能破坏内网的私密性

App的下载安装可能感染木马程序导致终端被人控制

可能带来经济损失（话费、银行帐号）

泄露大量个人隐私（联系人信息、地理位置、甚至是隐私照片等）

网页挂马：攻击者通过攻击web服务器篡改网页的源代码，在其中加入包含恶意攻击程序的网页链接。当用户访问这些被篡改的网页时就会在不知情的情况下被动访问包含攻击程序的网页。攻击程序利用一些能够通过浏览器利用的漏洞在用户的系统上下载木马程序运行的攻击过程就叫网页挂马攻击。

病毒感染带来的危害：

会自主扩散并控制主机，破坏单位的安全防护手段

窃取隐私信息（单位的、个人的）

影响系统及网络的正常运行

信息安全防护

通过安全技术防范

安装补丁程序

补丁更新的办法:

系统自动的update功能

Wsus（软件补丁，客户端微软操作系统自带）

第三方的更新服务（腾讯电脑管家、nod32等）

第三方软件的更新

一些第三方软件支持自动更新（如firefox、奥多比系统公司adobe的产品）

另一些第三方软件并不支持自动更新，需要用户手动下载更新

使用防火墙

防火墙是必须使用的,你可以根据你的喜好选择（当然在企业里应该遵循企业的安全制度）

系统自带的（配置简单，功能不错。推荐使用）

防病毒软件带的防火墙 （功能较强，与防病毒软件联动）

专用的防火软件 （功能全面，配置相对复杂）

系统上可以同时装多个防火墙，但一定要保证有一个及以上的处于工作状态！

安装防病毒软件

防病毒软件的选择：

根据自己的使用习惯和系统的性能选择合适的杀毒软件！（办公用机请遵循企业的安全策略选择）

不管是收费的还是免费的，请尽量使用正版。

杀毒软件一定要保持在工作状态，且及时更新最新的病毒库！

一台机器上原则上不要安装两种杀毒软件！

安全卫士等只是辅助安全软件，不能完全替代防毒软件的功能,可以多种产品一块安装！

不仅仅是windows需要防病毒软件

其他的安全软件

安全辅助软件

腾讯电脑管家

360安全卫士

金山卫士

网络巡警

系统辅助工具

超级兔子

冰刃 ICESWORD

完美卸载

软件系统本身的安全策略配置

通过管理防范

信息安全管理是组织整体管理的重要、固有组成部分，是组织实现其业务目标的重要保障

信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发挥作用

信息安全管理能预防、阻止或减少信息安全事件的发生

信息安全防范是一个整体的、体系化的工程，是技术与管理的有机结合体，其中管理尤其起了重要的作用。使“人”明确自己的责任，规范自己的行为，从而起到安全防范的作用。

提高安全意识

规范信息行为

访问信息控制

信息行为审计

违规行为处罚

对内

能够保护关键信息资产和知识产权，维持竞争优势;

在系统受侵袭时，确保业务持续开展并将损失降到最低程度;

建立起信息安全审计框架，实施监督检查;

建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查;

对外

能够使各利益相关方对组织充满信心;

能够帮助界定外包时双方的信息安全责任;

可以使组织更好地满足客户或其他组织的审计要求;

可以使组织更好地符合法律法规的要求;

若通过了ISO27001认证，能够提高组织的公信度;

可以明确要求供应商提高信息安全水平，保证数据交换中的信息安全。

个人良好使用习惯

良好的安全意识和使用习惯

不要轻易相信别人，尤其是在网络中；

不要随意点击别人发过来的网页链接，尤其是在邮件和即时通讯软件中；

能够自己输入的网址尽量自己输入，而不要直接点击发过来的链接；

在网络上涉及银行卡有关的操作一定要慎重，要仔细查看相关网站的信息（证书、域名等）；

邮件中涉及到修改密码的链接不要轻易点击；

管理员一般不会询问用户的密码，不管在何种场合下（邮件、论坛等）；

用加密保护文件

正确使用密码

第三方软件管理

邮件安全

无线安全

智能终端安全

其他

密码设置要求

密码应该不少于8个字符；

密码设置最好不要使用以下这些：

名字、生日、电话号码等

同时包含多种类型的字符，比如

大写字母(A,B,C,..Z)

小写字母(a,b,c..z)

数字(0,1,2,…9)

标点符号(@,#,!,$,%,& …)

设置的密码一定要让自己记住

床前明月光，疑似地上霜.(cqmyg,ysdss.)

justf0ry0u

密码（password）使用的注意事项：

记在脑海里

只能自己知道

设置强密码

为不同安全等级的帐号设置不同的密码，不要一个密码通用所有帐号。

更新: 2025-05-05 12:40:10
原文: https://www.yuque.com/yuhui.net/network/dw8tb656qfdbu6h3