220 likes | 478 Views
資訊安全宣導. 103 年 06 月 25 日. 學校的資安政策. 目的: 為使所屬資訊資產的機密性、完整性及可用性運作管理符合相關法規,防範內、外部蓄意或意外威脅 的影響。 範圍: 資訊安全 管 理 -- 避免 因人為疏失、蓄意或天然災害等因素,導致資 料不 當使用、洩 漏 、竄改、破壞等情事發生,對本校帶 來 各種可能之風險及危害。. 資訊安全的威脅來源. 常發生的資訊安全事件. 常見的惡意程式連結 透過即時通訊散播的惡意程式連結 釣魚網頁 網頁中的惡意程式執行檔連結怪、錯誤訊息 那我自己該怎麼處理 ?
E N D
資訊安全宣導 103年06月25日
學校的資安政策 • 目的: • 為使所屬資訊資產的機密性、完整性及可用性運作管理符合相關法規,防範內、外部蓄意或意外威脅的影響。 • 範圍: • 資訊安全管理--避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本校帶來各種可能之風險及危害。
常發生的資訊安全事件 • 常見的惡意程式連結 • 透過即時通訊散播的惡意程式連結 • 釣魚網頁 • 網頁中的惡意程式執行檔連結怪、錯誤訊息 • 那我自己該怎麼處理? • 惡意程式陷阱利用使用者好奇心誘騙開啟,因此千萬不要因為好奇心肆意開啟連結 • 點選連結後出現「您將前往的網頁可能含有惡意程式」等類似訊息文字,代表該連結為網站外部連結,並可能為一惡意程式執行檔,應立即取消連結的執行 • 留意圖示連結、文字連結等實際的網址URL,實際連結的網址是否和畫面上顯示的網址不同。
常發生的資訊安全事件 • 常見的惡意程式附檔名 • .com 、.exe 、.bat 、.zip • 常見的惡意程式電子郵件型式 • 利用色情標題誘騙收件人開啟郵件 • 內容看似一般網路轉寄郵件 • 附檔名bat也是惡意程式執行檔 • 惡意程式郵件也會將檔案隱藏在zip檔 • 附檔名lnk這是惡意程式網頁連結
常發生的資訊安全事件 • 垃圾郵件 您常會收到以下幾種信件嗎? • 廣告信件 • 收到自己寄的信件 • 您認識的朋友所寄,卻是異常主旨的信件 以上都可以歸類為垃圾信件!! • 那我自己該怎麼處理? • 收到可疑郵件時,必須確認寄件來源及寄件者,是不是認識的人 • 仔細檢視郵件的主旨與郵件的內容,確定這是與自身相關的信件 • 不要好奇的去開啟信件中的附件
常發生的資訊安全事件 • 您的密碼是不是由以下方式組成: • 連續數字(0000、1234) • 生日組合(990823) • 簡單的英文單字(school) • 家人、情人或寵物的名字(lover) • 帳號反過來打(guest->tseug) • 出現頻率高或連續性的密碼(admin、1234、abcd) • 一“碼”在手、行遍天下
常發生的資訊安全事件 • 密碼設置原則,應儘量避免使用易猜測或公開資訊為設定: • 個人姓名、出生年月日、身分證字號。 • 機關或單位名稱識別代碼或是其他相關事項。 • 使用者識別碼、使用者姓名、群體使用者之識別碼或是其他系統識別碼。 • 電腦主機名稱、作業系統名稱、或電腦上使用者的名稱。 • 電話號碼。 • 英文或是其他外文字典的字彙。 • 專有名詞。 • 空白。
常發生的資訊安全事件 • 您的密碼應該要設定: • 大小寫、符號、數字混合(I’mWork@62870875) • 長度足夠(至少八碼) • 定期變更密碼(建議至少一年要變更一次) • 不在不安全的電腦(網咖、共用電腦)輸入密碼 • 密碼經由暴力破解法破解的時間表: 資料來源:http://www.lockdown.co.uk
常發生的資訊安全事件 • 重要文件遺失或受損: 什麼是重要文件 • 個人資料。 • 工作上使用的資料。 要如何妥善保存(以下方式建議使用) • 重要檔案要做加密,並定時做資料備份。 • 實體的機密文件應放至於櫃子中並上鎖。 • 下班時,辦公桌面應保持淨空,不將文件放置桌上。 • 個人電腦應設定螢幕保護程式,並設定密碼。 • 離開座位時,電腦應登出並有密碼保護,防範他人任意使用。
常發生的資訊安全事件 • 使用P2P軟體下載有版權的軟體或檔案: 什麼是P2P軟體 • 透過點對點方式傳輸檔案,例如BitTorrent、Foxy 、迅雷、PPStream等。 • 有版權的檔案或軟體未經授權而下載使用,即會侵犯到智慧財產權。 • 檔案來路不明,可能包含木馬或病毒程式,容易使您的個人資料曝露在網路當中。
常發生的資訊安全事件 • 社交工程: 什麼是社交工程 • 是一種以人際關係的互動進行犯罪行為的攻擊方式。 • 常用電話、Email或假扮身分的方式騙取信任 • 電子郵件隱藏電腦病毒 • 網路釣魚 • MSN、即時通也是社交工程新途徑 • 社交工程攻擊步驟 • 首先取得一個攻擊目標的背景資訊 • 向目標騙取資訊 • 再利用這些資訊向其他人欺騙 • 重覆這些步驟致達到最後
常發生的資訊安全事件 • 防範社交工程的正確觀念 • 認識常見社交工程攻擊的可疑徵兆 • 遵守組織安全政策與程序 • 確認對方的身分 • 通報作業
常發生的資訊安全事件 • 網路釣魚 Phishing • 利用偽造的網頁作為誘餌,詐騙使用者洩漏如帳戶密碼等個人機密資料 • 釣魚網頁畫面與官方網站相同,但其實這個網址並非官方網站 • 以相似的字元來偽裝網址, 例如:以數字的0來替換英文的O ,以數字的1來替換英文的l
資訊安全的好習慣 • 密碼設定要穩固 • 應用系統要更新 • 防毒軟體要更新 • 網路使用要小心 • 電子郵件要過濾 • 不明人士要盤查 • 社交工程要小心 • 電腦不用要登出 • 機密資料要保護 • 重要資料要備份
結 論 重要的是要先做好 個人的資訊安全 能養成良好的使用習慣 進而提升整體校園資訊安全環境