1、网络安全培训ENTERPRISE NETWORK SECURITY TRAINING绝大多数成功的攻击都源自于企业的内部,而这些内部的攻击又绝大多数并非员工自己发起的,而是因为员工的疏忽导致系统被他人利用发起的攻击。ENTERPRISE NETWORK SECURITY TRAINING绝大多数成功的攻击都源自于企业的内部,而这些内部的攻击又绝大多数并非员工自己发起的,而是因为员工的疏忽导致系统被他人利用发起的攻击。网络安全威胁无处不在。绝大多数成功的攻击都源自于企业的内部,而这些内部的攻击又绝大多数并非员工自己发起的,而是因为员工的疏忽导致系统被他人利用发起的攻击。员工的网络安全与企业的网络
2、安全息息相关。培 养 网 络 安 全 意 识N O.1网络上存在的安全风险N O.2如何防范风险降低威胁N O.3常 用 的 安 全 小 技 巧N O.4有关网络安全的注意事项N O.50 1L O G O ENTERPRISE NETWORK SECURITY TRAINING培养网络安全意识绝大多数成功的攻击都源自于企业的内部,而这些内部的攻击又绝大多数并非员工自己发起的,而是因为员工的疏忽导致系统被他人利用发起的攻击。培养网络安全意识对于企业来说网络安全主要是管理和制度的问题为什么要培养网络安全意识?对于个人来说网络安全主要是意识和使用习惯的问题,技术仅仅是辅助手段。培养网络安全意识网络
3、安全意识培养的目的从根本上认识到安全是自身的需求,而不仅仅是工作上面的要求;增强自主安全意识,让养成良好的网络及系统使用习惯。培养网络安全意识遵守企业网络安全制度及操作守则;1企 业 如 何 进 行 安 全 意 识 的 培 养进行多方面的宣传(安全主题网站、安全主题活动、安全宣传手册等);2定期开展安全培训讲座。30 2L O G O ENTERPRISE NETWORK SECURITY TRAINING网络上存在的安全风险网络上存在的安全风险系统及网络的可用性及安全性(办公的PC,家用的PC等)帐号信息及密码研究成果、项目文档等私密的信息(身份证号、电话号码、车牌号码)虚拟财产(游戏帐号、
4、微信帐号)真实的钱财(网络银行账号、股票基金帐户)首先要清楚哪些东西是需要保护的?网络上存在的安全风险面 临 的 主 要 威 胁 有 哪 些?01病毒、木马(首要威胁)02信息泄露(有意无意的)03社会工程学与欺诈04人为的特定攻击(APT)05无线和移动终端的安全威胁网络上存在的安全风险网 络 浏 览面 临 的 主 要 威 胁 有 哪 些?电 子 邮 件网 络 下 载网 络 共 享即时聊天通 过 即 时 通 讯 软 件 发 送 病 毒 程 序 或 是 有 挂 马 程 序 的 网 页,引诱 用 户 点 击。如:这 是 我 最 近 的 照 片,快 接 收移动存储介质病 毒 利 用 了 系 统 自
5、 动 运 行 的 即 插 即 用 设 备 的 原 理 来 自 动 运 行并 传 播。介 质 包 括 U 盘、移 动 硬 盘、智 能 手 机 等 所 有 能 接 到 电 脑上 有 存 储 功 能 的 电 子 产 品。危 险 的 使 用 场 合 局 域 网 内 的 共 享 服 务 器、公 共 的 打 印 店、会 议 交 换 p p t 等网络上存在的安全风险病 毒 感 染 带 来 的 危 害 会自主扩散并控制主机,破坏单位的安全防护手段 窃取隐私信息(单位的、个人的)影响系统及网络的正常运行网络上存在的安全风险信息泄露用户账号和密码有意或无意中发生的,泄露的信息一般有:个人信息(身份证、家庭住址、
6、工作单位、电话号码、车牌号码、等)用户的喜好及个人偏好这些信息多数时候是用户出于自愿自动提交给某网站的,而这些网站则是在有意或无意的情况下将其泄露出去的。现在社交网络已经成为用户信息收集的首要来源这里可以收集到用户的社会关系信息,为进一步的社会工程学攻击提供帮助网络上存在的安全风险社会工程学与欺诈网页钓鱼多数是伪造网上银行、在线交易系统以及证券交易系统网站引诱用户访问并盗取相关的账号及密码网页钓鱼、邮件欺诈、短信欺诈邮件欺诈包括:虚假的中奖信息、虚假的销售信息、伪造管理员询问用户的账号密码短信欺诈则多数是试图诱导用户进行银行转账操作网络上存在的安全风险社会工程学与欺诈随着应用和技术的发展,新兴
7、的应用成为社会工程学欺诈的主要手段即 时 聊 天 工 具微 信、微 博社 交 网 站网络上存在的安全风险人为的特定攻击(APT)01有目的、有针对性全程人为参与的攻击02一般都有特殊目的(如窃取账号、骗去钱财、窃取保密文档等)03会使用各种攻击手段(漏洞攻击、社会工程学、暴力破解、木马病毒等)04一般是不达目的誓不罢休网络上存在的安全风险1、无线设备滥用带来的风险破坏内部网络的私密性;无线设备被人控制导致数据被监听;无线的安全威胁2、蹭网的风险信息可能被非法收集,数据被监听;有可能会被推送恶意的攻击程序网络上存在的安全风险移动终端的安全威胁1、可能破坏内网的私密性2、App的下载安装可能感染木
8、马程序导致终端被人控制 可能带来经济损失(话费、银行帐号)泄露大量个人隐私(联系人信息、地理位置、甚至是隐私照片等)0 3L O G O ENTERPRISE NETWORK SECURITY TRAINING如何防范风险降低威胁如何防范风险降低威胁通过安全技术防范移 动 终 端 的 安 全 威 胁安装补丁程序使用防火墙安装防病毒软件其他的安全软件良好的安全意识和使用习惯如何防范风险降低威胁微软的系统和软件支持多种自动更新p 系统自动的update功能p Wsusp 第三方的更新服务(腾讯电脑管家、nod32等)通过安全技术防范补丁更新的办法:第 三 方 软 件 的 更 新p 一些第三方软件支
9、持自动更新(如firefxo、adobe的产品)p 另一些第三方软件并不支持自动更新,需要用户手动下载更新如何防范风险降低威胁通过安全技术防范防火墙与防病毒软件防火墙是必须使用的,系统上可以同时装多个防火墙,但一定要保证有一个及以上的处于工作状态!系统自带的(配置简单,功能不错。推荐使用)防病毒软件带的防火墙(功能较强,与防病毒软件联动)专用的防火软件(功能全面,配置相对复杂)如何防范风险降低威胁通过安全技术防范防病毒软件的选择:根据自己的使用习惯和系统的性能选择合适的杀毒软件!(办公用机请遵循企业的安全策略选择)不管是收费的还是免费的,请尽量使用正版。杀毒软件一定要保持在工作状态,且及时更新
10、最新的病毒库!一台机器上原则上不要安装两种杀毒软件!安全卫士等只是辅助安全软件,不能完全替代防毒软件的功能,可以多种产品一块安装!不仅仅是windows需要防病毒软件,其他操作系统同如何防范风险降低威胁了解基本的安全常识,可以让安全软件的功效发挥到最高,良好的使用习惯可以让风险大大降低:良好的安全意识和使用习惯设 密 码、打 补 丁安装杀毒软并及时升级病毒库不随便下载程序运行不访问一些来历不明的网页链接不使用的情况下尽量关闭机器经常备份重要数据(加密存储后备份)0 4L O G O ENTERPRISE NETWORK SECURITY TRAINING常用的安全小技巧绝大多数成功的攻击都源自
11、于企业的内部,而这些内部的攻击又绝大多数并非员工自己发起的,而是因为员工的疏忽导致系统被他人利用发起的攻击。常用的安全小技巧安全技巧系统安装p 1、事先准备好:操作系统、驱动程序、杀毒软件p 2、选择机器性能支持范围内的最新版正版注意事项:安装过程拔掉网线一定要设密码(用户名/密码)立即安装防病毒软件插上网线之前,启用系统防火墙安装系统补丁,升级病毒库用杀毒软件做全盘扫描(再次完成全盘扫描前除了系统盘不要访问其他分区)常用的安全小技巧安全技巧用加密保护文件使用office的加密功能保护文档u 可 对 单 个 和 多 个 文 件 及 文 件 夹 加 密u 选 择 要 加 密 的 文 件 或 文件
12、 夹,点 击 鼠 标 右 键常用的安全小技巧安全技巧正确使用密码密码设置要求:密码应该不少于8个字符;密码设置最好不要使用名字、生日、电话号码等密码设置同时包含多种类型的字符设置的密码一定要让自己记住密码使用的注意事项:记在脑海里只能自己知道设置强密码为不同安全等级的帐号设置不同的密码,不要一个密码通用所有帐号。常用的安全小技巧安全技巧第三方软件管理种功能的软件尽量选择自己熟悉的一种安装,不要重复安装尽量选择规模较大的软件公司出品的第三方软件尽量使用正版的第三方软件随时关注相关软件的官方网站,发现最新版本及时安装,安装新版本前有可能需要卸载旧版本发现第三方软件提示要更新时,请尽快安装确认长时间
13、不需要使用的软件请尽快卸载常用的安全小技巧安 全 技 巧 邮 件 安 全发邮件时切记:1、邮件在网络上是明文传输的。因此,如果通过邮件发送公司机密/敏感信息、个人隐私信息、或信用卡数据等,此类数据需要保护,即加密后才能发送。2、如果你不能确认你的邮件是合法并安全的,不要发送。接邮件时切记:1、不要打开陌生人发来的邮件附件,也不要点击邮件中的链接。2、不要随意在各种网站上留个人信息3、不要轻易在网站上留你的公司邮箱或重要私人邮箱。4、在留取个人信息前仔细阅读网站的隐私保护声明。5、如果留取你的邮件地址不是获取服务所必需的,不要留取自己的邮件地址。6、创建不重要的邮件帐号,用于一些网站注册和邮件列
14、表常用的安全小技巧安 全 技 巧 邮 件 安 全加密1、邮件在互联网上传输时,需要从一个服务器,传到另一个服务器,从一个网络传到另一个网络,如果传输内容没有加密,任何可以访问相关网络并可以使用相关服务的人都可能会截获并打开邮件2、邮件加密可以使截获邮件,但是没有解密密钥的人,无法阅读邮件。3、公司要求在通过邮件发送机密/敏感信息时,要根据IT部门的要求进行加密。4、邮件加密密钥不能通过邮件发送给收件人常用的安全小技巧安 全 技 巧 无 线 安 全011、如果不使用无线,带无线功能的笔记本和手机设备在工作区域应该关闭无线功能,避免攻击者通过设备的无线接入内网。022、不要在公司内部使用你自己的无
15、线设备。如果需要,可以使用被公司IT部门批准并安全配置的无线设备。.033、不要使用不受信的无线网络,使用公有的无线网络传输隐私信息时一定要加密传输常用的安全小技巧杀毒软件的功能在防不在杀,主要是保障用户不受病毒感染,所以尽量不要感染病毒最好;感染病毒后最快的恢复方法可能是重装系统;安 全 技 巧 病 毒 清 理感染病毒后如果不想重装系统,某些时候单凭杀毒软件本身是无法彻底清除病毒的,可能需要使用到专杀工具或者是安全辅助软件;病毒查杀完成后可能会导致系统或是软件无法正常使用,或是文件丢失。这种情况下可以上网查找解决办法或者是寻求专业人士的帮助;0 5L O G O ENTERPRISE NET
16、WORK SECURITY TRAINING有关网络安全的注意事项有关网络安全的注意事项智 能 移 动 终 端 使 用 的 注 意 事 项 不要随意将移动终端连接到内部网络的设备上,哪怕仅仅是充电 不要随便安装不受信的app 移动终端上存储的隐私信息尽可能的加密存储有关网络安全的注意事项移动存储介质的注意事项p 请谨慎使用移动存储介质,请尽量避免工作移动存储介质和私人的移动存储介质交叉使用,对于安全要求较高的设备,应该仅允许使用特定的移动存储介质。p 敏感信息如果要存储在移动介质上,请加密后再存储,并妥善保管该介质。有关网络安全的注意事项防范钓鱼p 不要轻易相信别人,尤其是在网络中;p 不要随意点击别人发过来的网页链接,尤其是在邮件和即时通讯软件中;p 能够自己输入的网址尽量自己输入,而不要直接点击发过来的链接;p 在网络上涉及银行卡有关的操作一定要慎重,要仔细查看相关网站的信息(证书、域名等);p 邮件中涉及到修改密码的链接不要轻易点击;p 管理员一般不会询问用户的密码,不管在何种场合下(邮件、论坛等);ENTERPRISE NETWORK SECURITY TRAINING绝大多数成功的攻击都源自于企业的内部,而这些内部的攻击又绝大多数并非员工自己发起的,而是因为员工的疏忽导致系统被他人利用发起的攻击。感谢您的欣赏