保护自己的信息安全课件

保护自己的信息安全全面防护指南第一章信息安全基础认知什么是信息安全信息安全是指通过采取必要的技术手段和管理措施保护Information Security,InfoSec,核心保护目标信息系统及其数据免遭未经授权的访问、使用、泄露、中断、修改和破坏确保信息的安,全性和可靠性防止未授权访问在现代社会中无论是个人的社交账号、银行账户还是企业的商业机密、客户数据都需,,,确保数据完整性要信息安全的保护信息安全不仅是技术问题更是涉及法律、管理和人员意识的综合性,课题信息安全三要素详解信息安全领域有一个经典的三元组模型它定义了信息安全的三个核心目标理解并实现这三个要素是构建安全体系的基础CIA,,机密性完整性可用性Confidentiality IntegrityAvailability确保信息只能被授权的人员、实体或进程访保证信息在存储、传输和处理过程中保持准问和使用防止敏感信息泄露给未授权者确、完整和一致未被非法篡改或破坏例,,例如通过加密技术保护传输中的数据使用如使用数字签名验证文件真实性通过校验:,:,访问控制限制数据访问权限和检测数据是否被修改信息安全的重要性个人层面的重要性社会层面的重要性保护个人隐私不被泄露和滥用维护网络空间的信任体系••防止身份信息被盗用进行诈骗保障数字经济健康发展••避免财产损失如银行账户被盗刷防止大规模数据泄露事件•,•保护个人名誉和社交关系确保关键基础设施安全运行••维护数字生活的正常秩序促进社会整体网络安全意识提升••信息安全三要素守护你的数字世界第二章常见信息安全威胁恶意软件Malware病毒蠕虫Virus Worm附着在正常程序上通过复制自身传播破坏系统文件和数据就像生能够自我复制并独立传播的恶意程序不需要依附其他程序通过网络,,,,物病毒一样需要宿主才能传播快速扩散消耗系统资源,,木马勒索软件Trojan Ransomware伪装成正常软件诱骗用户安装后在后台执行恶意操作如窃取密码、加密用户文件并勒索赎金是近年来增长最快、危害最大的恶意软件,,,远程控制电脑等类型之一网络钓鱼攻击Phishing网络钓鱼是一种社会工程学攻击手段攻击者伪装成银行、电商平台、政府机构等可信实体通过,,发送欺骗性的电子邮件、短信或建立假冒网站诱骗受害者主动泄露账号密码、信用卡信息等敏,感数据90%钓鱼邮件常见钓鱼场景是网络攻击的主要入口点假冒银行发送账户异常通知邮件•伪造电商平台的订单确认短信•冒充社交平台要求重新验证账号•仿冒官方网站进行安全升级76%•企业受害曾遭遇钓鱼攻击勒索软件Ransomware勒索软件是当前最具威胁性的网络安全问题之一它通过加密用户的文件、数据库或整个系统使受害者无法访问自己的数据然后要求支付赎金通常是,,加密货币才提供解密密钥即使支付赎金也不能保证一定能恢复数据,75%$10B43%组织受影响赎金总额支付率年全球有四分之三的组织遭遇过勒索软件攻年全球支付的勒索软件赎金达到亿美元受害者选择支付赎金的比例在上升2023202310击高级持续性威胁APT持续的数据窃取隐蔽的渗透和潜伏在潜伏期间攻击者会持续窃取敏感数据、商精心策划的目标选择,攻击者使用先进的技术手段悄悄渗透进入目业机密或进行间谍活动造成长期的、难以估,攻击通常针对特定的高价值目标如政府标网络并在系统中长期潜伏避免被安全系量的损失APT,,,机构、大型企业、关键基础设施等攻击者会统发现,对目标进行长期深入的情报收集中间人攻击MITM中间人攻击是指攻击者秘密地在通信双方之间进行拦截和转发使通信双方误,以为他们在直接通信实际上整个会话都被攻击者控制,攻击方式在公共网络上监听未加密的流量•Wi-Fi通过欺骗劫持局域网通信•ARP利用虚假的证书进行劫持•SSL HTTPS劫持将用户引导到恶意网站•DNS内部威胁内部威胁来自组织内部的员工、合作伙伴或承包商他们拥有合法的访问权限但出于恶意、疏忽或被胁迫等原因导致数据泄露或系统破坏,,,恶意内部人员疏忽大意被利用的员工故意窃取、泄露或破坏组织数据可能是为因为缺乏安全意识或培训不足无意中造成成为社会工程学攻击或钓鱼攻击的受害者,,,了经济利益、报复或为竞争对手服务数据泄露如误发邮件、丢失设备等在不知情的情况下帮助外部攻击者,内部威胁往往最难防范因为这些人拥有合法的访问权限和系统知识建立完善的权限管理、监控审计和安全文化至关重要,网络威胁无处不在防护刻不容缓第三章个人信息安全防护实用技巧强密码与多重身份验证密码是保护账户安全的第一道防线而多重身份验证则是第二道关键防线掌握正确的密码管理方法能够大幅提升账户安全性,,0102创建强密码不同账号使用不同密码密码长度至少位建议位以上包含大写字母、小写字母、数字和特殊符绝不在多个网站使用相同密码防止撞库攻击一旦一个网站数据泄露其812,,,号的组合避免使用生日、姓名、常见单词等容易猜测的内容他使用相同密码的账号都会面临风险0304使用密码管理器启用多因素认证MFA使用可信的密码管理工具生成和存储复杂密码只需记住一个主密码即可管除了密码外增加手机验证码、生物识别或硬件密钥等额外验证步骤研究,,理所有账号密码表明多因素认证能降低以上的账号被盗风险,99%谨慎点击与识别钓鱼识别钓鱼邮件和短信的技巧真实案例检查发件人地址是否与官方域名一致留意拼写错误

1.,某用户收到银行发来的邮件称账户异常点击链接后输入了账号密警惕制造紧迫感的内容如账户将被冻结,码导致银行卡被盗刷万元事后发现邮件地址是

2.,,5bank-鼠标悬停在链接上查看真实网址不要直接点击而非官方的

3.,security.com bank.com留意语法错误和不专业的排版

4.谨慎对待要求提供密码、验证码的请求

5.安全的做法遇到可疑邮件或短信直接通过官方网站或登录验证•,APP不要通过邮件或短信中的链接进行敏感操作•对陌生邮件的附件保持高度警惕不轻易打开•,安全使用公共Wi-Fi公共虽然方便但安全风险极高在咖啡厅、机场、酒店等公共场所使用时必须采取额外的防护措施Wi-Fi,Wi-Fi,认识风险公共通常没有加密或使用弱加密攻击者可以轻易监听网络流量窃取传输的账号密码、信用卡信息等敏感数据Wi-Fi,,使用VPN虚拟私人网络能加密你的网络流量即使在不安全的公共上也能保护数据安全选择信誉良好的服务商VPN,Wi-Fi VPN避免敏感操作在公共上尽量不要进行网上银行、支付、登录重要账户等敏感操作如果必须使用务必通过连接Wi-Fi,VPN确认加密连接访问网站时确保地址栏显示和锁形图标表示连接是加密的避免在网站输入任何个人信息HTTPS,HTTP定期更新软件和系统软件漏洞是攻击者入侵系统的常见途径软件开发商会定期发布安全补丁来修复已知漏洞及时更新是一项简单但极其重要的安全措施,为什么要及时更新修复已发现的安全漏洞防止被攻击者利用•,提升系统稳定性和性能•获得最新的安全防护功能•保持与新技术和服务的兼容性•应该更新什么操作系统、、、•Windows macOSiOS Android浏览器和浏览器插件•办公软件、通讯软件等常用应用•防病毒软件和安全工具•建议开启系统和软件的自动更新功能确保及时获得最新的安全补丁同时只从官方渠道下载和更新软件避免安装来源不明的破解版或绿色版这些,,,,往往携带恶意代码保护移动设备安全智能手机和平板电脑已成为我们生活的中心其中存储了大量个人信息和隐私数据移动设备的安全防护同样不可忽视,精细化权限管理谨慎安装应用启用设备锁定定期检查权限关闭不必要的权限访问如位只从官方应用商店下载避免安装来源不明的设置强密码、指纹或面部识别并开启自动锁定APP,,APP,,置、相机、麦克风、通讯录等许多请求的应用安装前查看评价、权限要求和开发者信息功能丢失设备时远程定位和擦除数据功能能APP,,权限远超其功能需要警惕假冒减少损失APP旧设备处理提醒出售或丢弃旧手机前务必恢复出厂设置并进行多次数据覆写简单的删除或格式化无法完全清除数据专业工具仍可能恢复:,,,备份重要数据数据备份是应对勒索软件、硬件故障、误删除等各种风险的最后一道防线建立良好的备份习惯能在关键时刻挽救你的重要文件,云端备份本地备份使用可信的云存储服务如、定期备份到外置硬盘、盘等离线存储设备iCloud GoogleU、自动备份重要文件方便随时备份完成后断开连接防止勒索软件感染备份Drive OneDrive,,随地访问和恢复设备验证备份定期自动定期测试备份文件的完整性和可恢复性确保设置自动备份计划如每周或每月自动备份,,关键时刻能真正恢复数据不要依赖记忆手动备份很容易遗忘,遵循备份原则至少保留份数据副本使用种不同的存储介质其中份存放在异地3-2-1:3,2,1数据备份安全最后一道防线未雨绸缪让你的重要数据永不丢失,第四章社交媒体与隐私保护社交媒体让我们保持联系但也可能成为隐私泄露的源头学会在享受社交乐趣的同时保护个人隐私是现代人的必备技能,,控制个人信息公开范围社交媒体平台默认设置往往倾向于公开更多信息以增加互动但这可能让你的个人信息暴露给陌生人甚至被不法分子利用,,审查和调整隐私设置谨慎分享敏感信息12定期检查每个社交平台的隐私设置限制谁能看到你的帖子、个人避免公开发布家庭住址、电话号码、身份证号、完整生日、工作单,信息和好友列表将默认设置从公开改为仅好友或更严格的选位详细信息等这些信息可能被用于身份盗用或针对性攻击项注意实时位置分享管理照片和标签34关闭自动地理标记功能不要实时分享你的位置特别是在远离家时启用标签审核功能控制他人标注你的照片仔细查看照片背景避,,,,等返回家后再发布旅行照片避免让人知道你家里无人免意外泄露敏感信息如家庭住址、车牌号等,,警惕社交工程攻击社交工程攻击利用人性的弱点如信任、好奇、恐惧等诱骗受害者主动泄露信息或执行危险操,,防护原则作社交媒体为攻击者提供了丰富的情报来源和接触目标的渠道常见的社交工程手段不轻信陌生好友请求和私信核实身份再行动冒充好友或亲属发送求助信息•通过公开信息猜测密码或安全问题答案不透露敏感信息•假冒客服、技术支持或权威机构•保持怀疑态度利用热点事件和虚假优惠诱导点击•通过建立信任关系逐步套取信息•永远记住正规机构不会通过社交媒体私信要求你提供密码、验证码或转账遇到此类请求立即警惕并通过官方渠道核实:,账号安全管理社交媒体账号一旦被盗不仅会泄露你的私人对话和个人信息还可能被用来诈骗你的朋友和家人加强账号安全管理至关重要,,强密码策略监控账号活动为每个社交平台设置独特的强密码长度至少位包含定期检查登录历史和授权应用列表及时发现异常活动,12,,大小写字母、数字和符号避免使用生日、昵称等易撤销不再使用的第三方应用授权猜信息1234启用双重认证定期更换密码在所有支持的平台上开启双因素认证即使密码泄每个月更换一次社交媒体账号密码特别是在听说2FA,3-6,露攻击者也无法轻易登录你的账号平台发生数据泄露后要立即更改,使用密码管理器可以帮助你生成和管理复杂的密码避免使用相同密码或容易记忆但不安全的密码模式,注销不使用的账户我们在网络上注册了大量账户但很多已经不再使用这些休眠账户不仅占用你的数字空间更重要的是它们可能成为安全隐患,,,休眠账户的风险长期不登录的账户更容易被黑客攻击而不被发现•旧平台可能已停止安全维护更容易发生数据泄露•,账户中的个人信息可能被用于身份盗用•密码如果与当前使用的账户相同会形成安全威胁•,如何清理账户列出所有注册过的网站和应用

1.评估哪些账户不再需要

2.按照各平台的流程正式注销账户

3.确认账户已被删除包括个人数据

4.,第五章法律法规与应急响应了解相关法律法规知道自己的权利和义务掌握安全事件的应急处理方法在遭遇攻击时,;,能够及时止损相关法律法规我国高度重视网络安全和个人信息保护制定了一系列法律法规来保障公民的合法权益规范网络行为,,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》年月日起施行是我国第一部全面规年月日起施行建立了数据分类分级201761,202191,范网络空间安全管理的基础性法律明确保护制度明确了数据安全保护义务加强了年月日起施行全面系统规定了个,,2021111,了网络运营者的安全保护义务规定了关键对重要数据和核心数据的管理和保护人信息处理规则赋予个人充分的信息权利,,,信息基础设施的保护制度加强了个人信息明确了个人信息处理者的义务和责任,保护这些法律法规不仅约束网络服务提供者也为个人信息保护提供了法律依据当你的个人信息权益受到侵害时可以依法维权,,遭遇安全事件怎么办即使采取了所有防护措施仍然可能遭遇安全事件关键是要有正确的应急响应流程及时止损尽快恢复正常,,,立即隔离和断网发现异常后立即断开受影响设备的网络连接防止威胁进一步扩散或数据继续外泄对于勒索软件要尽快隔离被感染设备,,,评估影响范围确定哪些系统、数据或账户受到影响是否有敏感信息泄露损失程度如何记录所有相关信息可能用于后续调查,,,更改所有密码立即更改所有重要账户的密码特别是金融账户、电子邮件和社交媒体如果使用了相同密码所有账户都要更改,,通知相关方通知可能受影响的人员如家人、同事、客户等如果涉及金融账户立即联系银行冻结或监控账户向执法机关报案,,寻求专业帮助对于严重的安全事件联系专业的网络安全公司或安全专家进行调查和处理确定攻击来源和方式清除威胁,,,恢复和加固从干净的备份恢复数据和系统安装所有安全补丁加强安全措施防止类似事件再次发生总结经验教训,,重要提醒如果遭遇勒索软件不建议支付赎金支付赎金不仅不能保证数据恢复还会助长犯罪行为应立即报警并寻求专业帮助:,,结语人人都是信息安全的守护者:信息安全不是某个人或某个部门的责任而是我们每个人都需要承担的义,务每一次点击、每一个密码、每一条分享都关系到我们自己和他人的,安全网络威胁不断演变但只要我们保持警惕养成良好的安全习惯掌握必要,,,的防护技能就能大大降低风险保护好自己和家人的信息安全,,从今天开始让我们行动起来检查你的密码强度开启多因素认证审查隐,:,,私设置备份重要数据这些看似简单的小事构成了我们安全的数字生活,,的基础信息安全无小事防护意识要常在让我们共同努力构建一个更加安全、可信的数字世界,,!安全网络幸福生活,保护信息安全从你我做起,让我们携手共建安全、健康、文明的网络环境。