南亚技术学院行政人员资讯安全训练教材资讯安全基本认知.ppt
《南亚技术学院行政人员资讯安全训练教材资讯安全基本认知.ppt》由会员分享,可在线阅读,更多相关《南亚技术学院行政人员资讯安全训练教材资讯安全基本认知.ppt(82页珍藏版)》请在三一文库上搜索。
1、南亞技術學院行政人員資訊安全訓練教材 資訊安全基本認知,主講人 資訊管理系助理教授 侯望倫,目錄,何謂資訊安全 資訊安全知識 網路安全 人員與環境安全 資料與存取安全 系統安全 資訊安全相關法令 建立ISMS,2019/4/15,2,行政人員資安教育,學術單位的資訊安全,為麼學校單位需要資訊安全 學生學籍資 成績資訊 教師與員工相關個人資訊 學校單位所擁有的資訊特色 大多屬於非機密性 具敏感性且涉及隱私及個人資保護法相關規定,2019/4/15,3,行政人員資安教育,何謂資訊安全,有效的防止資訊遭到竊取、竄改、毀損、滅失或遺。簡言之,就是確保資訊的CIA: Confidentiality 機密
2、性:保護資訊被非法存取或揭。 Integrity 完整性:確保資訊在任何階段都沒有適當的修改或損毀。 Availability 可用性:經授權的使用者能適時的存取所需資訊。,2019/4/15,4,行政人員資安教育,資訊安全的範圍,保護及維護資的安全,包含: 資的使用 資的傳遞 資的處 資的儲存,2019/4/15,5,行政人員資安教育,資訊安全管重點,2019/4/15,6,行政人員資安教育,資訊安全案例與知識,網路安全 電子郵件 垃圾郵件 網路購物 公用電腦使用 人員與環境安全 資料與存取安全 系統安全,2019/4/15,7,行政人員資安教育,電子郵件:e-mail 附件不是執行檔也有危
3、險?,2019/4/15,8,行政人員資安教育,電子郵件防範措施,1.不任意開啟來路不明的電子郵件及其附加檔案,不論附檔名為何,最好直接這類郵件刪除。 2.設定作業系統的自動更新機制(如Windows Updates),進行系統漏洞修補,使電腦系統隨時保持最新的安全狀態。 3.安裝防毒軟體並定期更新病毒碼,以防阻e-mail可能夾帶的電腦病毒。 4.安裝個人防火牆,以防阻e-mail中可能夾帶的間諜程式竊取資訊。 5.即使郵件是來自於熟識者,在打開附件檔案前,仍應使用防毒軟體掃瞄後才可開啟,尤其是轉寄郵件。,2019/4/15,9,行政人員資安教育,電子郵件名詞解釋(1/3),back doo
4、r後門程式 後門指的是可以“繞過”、“規避”電腦內部安全系統的另一個管道。 可能是在軟體設計時,程式設計師方便未來進入系統維護所留下的程式,也可能是電腦遭受到入侵而被植下的程式。 許多駭客會經由後門繞過安全驗證,非法進入電腦進行破壞或竊取資料。 Hacker 駭客Hacker 電腦駭客原是指電腦很強的人;Cracker則表示有犯罪記錄或行為的電腦高手。 但是後來大家卻混淆了這兩個字的含意,而將凡是在網路上利用技術危害他人的人,統稱為駭客。,2019/4/15,10,行政人員資安教育,電子郵件名詞解釋(2/3),木馬程式 是一種後門程式,也是目前非常流行的病毒程式,與一般的病毒不同,它不會自我繁
5、殖,也不會刻意地去感染其他文件。 木馬程式具有隱蔽、自動啟動、欺騙、自我恢復、破壞、傳輸資料的行為特徵,並透過偽裝吸引用戶下載執行或安裝,提供種木馬者打開被種者的電腦門戶,使種木馬的人可以任意毀壞、竊取被種者的文件或操作畫面,甚至遠端操控被種者的電腦。 木馬程式最終的目的就是蒐集情資、等待時機執行破壞任務、當作跳板進行滲透。 手段包含匿蹤、佔領、遠端遙控、截聽封包、記錄鍵盤輸入資料、破壞、傳遞情資、提供封包轉送達到跳板功能等。 絕大部分的木馬程式所具備的功能與目的,不僅具備單一功能、單一目的,而是具備混合功能(hybrid) 與多目標導向。 netbus殭屍網路是一種木馬程式,可提供植入者能在
6、遠端遙控被植入者電腦,作為攻擊者的傀儡電腦,隱藏其攻擊軌跡。,2019/4/15,11,行政人員資安教育,電子郵件名詞解釋(3/3),anti-virus電腦防毒軟體 防毒軟體是一種程式,安裝於電腦內能夠檢測入侵電腦的電腦病毒、木馬程式與電腦蠕蟲,當檢測到病毒時,程式會將病毒進行隔離或刪除,以避免病毒程式對電腦系統進行破壞。 firewall防火牆 網路防火牆用以管制外部使用者對內部網路及網站的連結和存取,並執行稽核作業。裝設防火牆就如同住戶為了住家安全性,特意加上一層的門禁系統。 防火牆會控制和監控所有外部和內部網路的交通;包括讓內部使用者可以對外取得整體的服務,而對於外來使用者則以選擇性的
7、條件加以檢驗,只允許經授權的使用者連線使用,阻擋可能進入企業內部網路的駭客、病毒和電腦蟲。,2019/4/15,12,行政人員資安教育,垃圾郵件:垃圾郵件防範DIY,2019/4/15,13,行政人員資安教育,垃圾郵件防範措施(1/2),1.絕不回信 2.在搜尋引擎中鍵入你的e-mail,檢查看看是否你的e-mail是否很容易讓垃圾郵件佈者取得;若可能,盡可能地移除掉email曝光的機會。 3.將你的郵件軟體設定為不顯示圖片,某些廠商會在發送html格式含圖片的電子郵件時,加上網站信(Webbeacons),用來計算開啟電子郵件的數目、或者統計哪個電子郵件地址開啟了哪些郵,關閉垃圾郵件的圖片顯
8、示可以阻斷Web beacons功能。,2019/4/15,14,行政人員資安教育,垃圾郵件防範措施(2/2),4.絕不按下垃圾郵件提供的超連結。 5. 絕不使用其取消訂閱的功能,因為當你按下取消訂閱時也同時讓垃圾郵件散佈者確認你的e-mail是有效的。 6.在任何網站上留下你的電子郵件資料時,先閱讀該網站的隱私權政策,確保你的電子郵件資料不會用作其他用途。 7.設定2個email帳號,其中一個為日常通訊用途,另一個則用來訂閱電子報、或用來參加網路活動填問卷。,2019/4/15,15,行政人員資安教育,網路購物:糾紛與詐騙,網路購物,購買一個皮包,匯錢後卻遲遲沒收到商品, 李小姐遇到詐騙,個
9、人資料 通通被網路釣魚網騙取!,2019/4/15,16,行政人員資安教育,網路購物防範措施,1.向個人賣家購物,一定要保留雙方關於買賣的對話紀錄或通聯紀錄。 2.保留匯款單據。 3.向商家索取發票,通常合法商家會開立發票,選擇有發票的商家較有保障。 4.如使用線上刷卡,在刷卡後立即與銀行確認消費紀錄。 5.瞭解自己的權益,依消保法規定,消費者可於收受商品七日內退回,無須說明理由及負擔任何費用。 6.如果發現受騙或被盜刷等情況,應通知刷卡銀行並報警處理。,2019/4/15,17,行政人員資安教育,網路購物:網拍詐騙增多,買賣兩頭空,2019/4/15,18,行政人員資安教育,網路購物防範措施
10、,1.選擇有信譽之交易對象,仔細瞭解對方的信用風評等,並注意網址的正確性,避免落入仿冒網站。 2.利用問與答的機制,於詢問時留意賣家專業度,可瞭解賣家是否夠真心投入、認真經營。賣家若將網路開店視為長期經營,勢必會重視客戶反應及商品品質。 3.從賣家出貨速度、反應問題速度,決定未來是否再向這個賣家購買商品。 4.當拍賣商品具有預訂性質時,為求謹慎,建議向有口碑店面或信用優良的商家訂購,以防預訂詐騙。 5.不論是賣家還是買家,堅持面交,一手交錢一手交貨,當場確認物品及金額無誤後才能銀貨兩訖。,2019/4/15,19,行政人員資安教育,公用電腦: 使用他人電腦沒清除記錄,帳號密碼遭竄改,2019/
11、4/15,20,行政人員資安教育,防範措施:,1.使用電腦後隨手清除網頁瀏覽記錄及cookie資料,並清除在網站上所留下的個人資料。 2.養成不使用自動記憶帳號密碼的功能。 3.避免使用他人或公共電腦,上網處理重要或私密事務。 4.使用他人或公共電腦時,特別注意坐在或站在你旁邊的人,因為他們可以輕易地從電腦螢幕上看到你所輸入的帳號、密碼或其他個人資料。 5.若經常使用公共電腦,更換密碼的要更高。,2019/4/15,21,行政人員資安教育,名詞解釋,cookies網路紀錄 cookies是存在瀏覽器中的小型文字檔,記錄使用者瀏覽網頁的資訊,例如:瀏覽的網站位址、使用者曾經輸入的資訊等,當使用者
12、下次再度使用瀏覽器時,電腦能自動顯示最近使用過的網頁。 cookies 也會紀錄使用者的帳號與密碼,因此在使用者再次進入相同頁面時,不需要重新輸入名稱與密碼。 由於cookies 的功能會記錄重要的個人資料與網路使用習慣,通常網站都會在其隱私權政策中詳述其透過cookies蒐集使用者資訊的用途。,2019/4/15,22,行政人員資安教育,資訊安全案例與知識,網路安全 人員與環境安全 防範員工外洩客戶資料 防範社交工程的攻擊 公司機密外洩的處理 報廢電腦的資料安全 資料與存取安全 系統安全,2019/4/15,23,行政人員資安教育,人員與環境安全,案例一、員工偷偷外洩客戶資料 案例二、防範社
13、交工程的攻擊 案例三、公司機密外洩的處理 案例四、報廢電腦的資料安全,2019/4/15,24,行政人員資安教育,員工偷偷外洩客戶資料,2019/4/15,25,行政人員資安教育,防範措施:,1.針對資料保密、客戶隱私權等相關法令對所有員工進行教育宣導,尤其是電腦處理個人資料保護法的瞭解,說明若將客戶資料外洩或私自盜賣,最重可處三年以下有期徒刑。 2.依職務需求授予資料或檔案的存取權限,避免非相關職務人員皆能存取隱私資料。 3.針對員工使用私人儲存媒體進行規範,例如禁止員工使用USB隨身碟或磁片,如此可避免員工因職務上的便利,將機密帶離公司。 4.限制員工電子郵件可夾帶檔案的大小,以避免員工透
14、過電子郵件外洩大量公司料。,2019/4/15,26,行政人員資安教育,防範社交工程的攻擊,2019/4/15,27,行政人員資安教育,防範措施:,1.儘量避免加入不明來源的MSN 使用者,不接受不明聯絡人的檔案。 2.使用掃毒程式在點閱信件之前確認件的安全性。 3.限制如果系統主動對外發信必須通過系統管理員同意。 4.對權限加以分級控管,非屬於個人份事宜不應掌握帳號密碼等特殊權限,以免因為不了解安全等級而不慎外流重要資訊。 5.安裝個人防火牆,阻擋不明程式嘗試對外連線。,2019/4/15,28,行政人員資安教育,名詞解釋,social engineering 社交工程 社交工程主要是利用人
15、性的弱點而進行詐騙。社交工程是一種非技術性的入侵,是藉由與人透過社交手段進行犯罪行為。現代病毒已開始結合社交工程概念,例如“ILOVEYOU“病毒就是透過在電子郵件中以“我愛你“為附加檔案的檔名,誘導使用者打開附件,然而在使用者打開附件的同時,即被植入病毒,這就是利用社交工程入侵電腦的一個範例。,2019/4/15,29,行政人員資安教育,公司機密外洩的處理,2019/4/15,30,行政人員資安教育,防範措施,1.資訊分級授權:將企業內部資產與資訊列冊並評鑑機密等級,依等級訂定授權。 2.權限控管:授權不能氾濫,應依職務分級授予存取、傳遞、交換等權限,並期審查權限適當性,以及保留存取權限稽核
16、資料。 3.簽訂安全保密合約:與員工簽訂合約,除了可供違約時的責任追溯與求償外,具有一定的預防遏阻作用。 4.隨身碟禁用規定:為防止員工私自複製司機密資料,可限制員工使用行動碟、MP3隨身碟等儲存裝置。 5.安全通報與處理機制:若員工發現同仁有異常行為,應透過安全通報機制立即反應,預防危安事件發生。,2019/4/15,行政人員資安教育,31,名詞解釋,authorization 授權 授權,指的是將資源系統的使用權限授與特定人員的過程。獲得授權的人員具有使用特定資源系統的權限。通常系統管理員會按企業相關規定或政策,來給予使用者不同的授權,以及使用者能使用資源系統的的權限與層級有多大。,201
17、9/4/15,32,行政人員資安教育,報廢電腦的資料安全,2019/4/15,33,行政人員資安教育,防範措施:,1.電腦報廢前,針對整個電腦系統或內含資訊的進行備份。 2.將上述的備份移轉至新的機器或其他備份裝置中。 3.執行完整的資訊設備報廢處理程序,包括針對電腦硬碟執行重新格式化、相關作業軟體、資料及具有版權之系統軟體;針對磁碟或光碟片等儲存媒體進行實體銷毀,如切碎、折損等。,2019/4/15,34,行政人員資安教育,名詞解釋,Malicious URL injection 網頁隱藏式惡意連結 又稱為網頁惡意掛馬或網頁掛馬。指駭客竄改所攻擊的網頁,植入惡意連結,或者是設立惡意網站,透過
18、宣傳手法,利用一般人的好奇心吸引觀眾到站瀏覽,使用者只要連上網站,就會轉落入駭客預先設計好的陷阱,被植入木馬程式。進而被竊取電腦中的資料或機密造成損失。,2019/4/15,35,行政人員資安教育,資訊安全案例與知識,網路安全 人員與環境安全 資料與存取安全 定期檢查存取權限 帳號借他人使用出包 使用者密碼管理 設定優質密碼保障資料安全 10大企業資訊安全內賊現象 筆記型電腦資料安全管理 儲存媒體的保存 系統安全,2019/4/15,36,行政人員資安教育,定期檢查存取權限,2019/4/15,37,行政人員資安教育,防範措施:,員工離職前應提醒其保密義務及法律責任。 員工離職後應立即取消其網
19、路存取權限。 員工離職,應酌量風險決定凍結或移除其帳號並變更密碼。 針對公司重要系統主機應定期檢查帳號及密碼之設定。 針對公司重要系統主機應定期檢查存取權限及存取紀錄。,2019/4/15,38,行政人員資安教育,帳號借他人使用出包,2019/4/15,39,行政人員資安教育,防範措施,(1)個人帳號不可借任何人使用,包括像公務資料系統、網站、e-mail、網路金融、ISP帳號等。 (2)不要將帳號密碼隨手記錄於紙本隨意置;更不要將密碼寫在便利貼貼在電腦螢幕邊。 (3)不要告訴任何人您的帳號密碼,包括像對方來電表示自己是資訊部門人員、銀行客服人員等。 (4)重要系統、網站在登入時,應留意一下系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 南亚 技术学院 行政人员 资讯 安全 训练 教材 基本 认知
链接地址:https://www.31doc.com/p-2599093.html