信息安全意识手册一.pdf-得力文库

资源描述

《信息安全意识手册一.pdf》由会员分享，可在线阅读，更多相关《信息安全意识手册一.pdf（29页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、信息安全意识手册上海汇哲信息科技有限公司整理与制作 http:/ 1 | 声明：本手册内容源于互联网收集梳理而成，仅供个人参考使用、切勿用于商业性质，仅供交流与学习使用！同时，上海汇哲信息科技有限公司将长期保持更新与互联网发布、供大家免费使用。021-33663299“信息安全需要每一个员工的维护比如你!”信息安全基础第1页最新网络安全及趋势密码安全第6页第9页上网安全防护正确地使用软件和系统第11页第15页目录邮件安全正确处理计算机病毒第16页第17页手机安全数据安全保护与备份第19页第22页个人隐私保护工作环境及物理安全第24页第29页Page 2 | “信息安全需要每一个员工的维护比

2、如你!”什么是信息 ?在 2001年的互联网寒冬期， 10月，中国最大的网络文学网站“榕树下”以很低廉的价格出售给德国传媒巨头贝塔斯曼公司。一开始，贝塔斯曼的开价是 1000万元人民币。谈判中场休息时，贝塔斯曼的代表偶然碰到“榕树下”所租办公楼的物管人员，得悉这家公司已拖欠好几个月的水电费未交。回到谈判桌上开价下子降到了 100万元人民币创办人朱威廉被迫接受回到谈判桌上，开价一下子降到了万元人民币，创办人朱威廉被迫接受。激荡三十年_ 消息、信号、数据、情报和知识；_ 信息本身是无形的，借助于信息媒体以多种形式存在或传播：存储在计算机、磁带、纸张等介质中记忆在人的大脑里

3、通过网络、打印机、传真机等方式进行传播信息安全通过网络、打印机、传真机等方式进行传播_ 信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产：计算机和网络中的数据硬件、软件、文档资料关键人员组织提供的服务什么是信息安全您是否知道 ?信息：是一种资产，就像其他的重要企业资产一样，对组织具有价值，因此需要受到适当的保护。ISO27001:2005全基础信息本身的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持，即防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。_ 保密性：确保

4、信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用_ 完整性确保信息没有遭到篡改和破坏_ 每400封邮件中就有1封包含机密信息;_ 每50份通过网络传输的文件中就有1份包含机密数据;_ 50的USB盘中包含机密信息 ;_ 80的公司在丢失笔记本电脑后会发生泄密事件 ;完整性：确保信息没有遭到篡改和破坏_ 可用性：确保拥有授权的用户或程序可以及时、正常使用信息密事件_ 在美国平均每次数据泄密事件导致的财务损失高达630万美金(Ponemon Institute, 2007) ;_ 数据泄漏导致客户流失的比例正在以每年11%的速率上升;_ SOX,HIPPA,PCI以及中国的企业内

5、控基本规范都要求企业保护机密信息秘密保密性（ Confidentiality）采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能范都要求企业保护机密信息 ;_ 信息保护正日益成为安全管理和风险控制的核心内容;完整性（ Integrity）可用性（ Availability）Page 3 | 够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。信息安全定义“信息安全需要每一个员工的维护比如你!”CN域名遭攻击原因：僵尸网络攻击游戏私服2013年8月25日上午消息，部分.CN域名在今日凌晨出现无法解析的问题。域名解析服务商DN

6、SPod创始人吴洪声在微博称，故障发生是由于当时.CN域名的根服务器（释义见文末注释）受到攻击，授权 DNS（域名系统）亦陷入全线故障。凌晨 4点左右， CN域名的解析恢复正常。 CN域名是中国国家注册权（域名系统）亦陷入全线故障。凌晨点左右，域名的解析恢复正常。域名是中国国家注册的顶级域名，在国内的注册管理归属于中国互联网络信息中心（ CNNIC），面向普通个人开放申请。昨日凌晨1点不到，以.CN为根域名的部分网站显示无法打开。另一域名解析服务商DNSPod的创始人吴洪声在微博称，此次故障的根源在于.CN域名的根服务器受到攻击，导致授权DNS（域名系

7、统）亦陷入全线故障无法正常解析。DNS是域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网.DNS就像一个自动的电话号码簿，用户可以直接输入网站名字来代替输入复杂的IP地址，而网站名字和IP之间的映射解析就靠DNS服务来完成。据了解，此次受影响的网站不仅包括.CN域名，也包括。COM.CN域名。凌晨 4点左右 CNNIC官方微博表示 CN根域名服务器解析服务正常这也是 CN域名近几年来发生的最信息安全晨点左右，官方微博表示，. 根域名服务器解析服务正常。这也是 . 域名近几年来发生的最大一次故障。由于故障发生在凌晨，因此对用户造成的实际影响相对较小。CNN

8、IC官方尚未对此次故障进行详细说明。注释：根域名服务器（ root-servers.org）是互联网域名解析系统（DNS）中最高级别的域名服务器，全球仅有13台根服务器。目前的分布是：主根服务器（A）美国1个，设置在弗吉尼亚州的杜勒斯；辅根服务器（B至M）美国9个，瑞典、荷兰、日本各1个。另外借由任播（Anycast）技术，部分根域名服务器在全球设有多个镜像服务器（mirror ），因此可以抵抗针对其所进行的分布式拒绝服务攻击（DDoS）。卡特尔天然气企业遭电脑病毒攻击程序员入侵证券公司后台 40万条股民信息网上贩卖全基础2012年8月15日，全球最大天然气生产商之一卡塔尔拉斯天然气公司（R

9、asGas）成为最近几周遭受严重电脑病毒攻击的第二家中东大型能源公司。此前，全球最大原油生产商、政府支持的沙特阿美石油公司（Saudi Aramco ）也遭到了电脑程序员入侵证券公司后台万条股民信息网上贩卖特阿美石油公司）也遭到了电脑病毒攻击。沙特阿美8月26日表示，在8月15日遭到攻击以后，该公司的服务已恢复。但休斯顿、日内瓦和伦敦的石油交易员昨日表示，他们在通过传真和电传与沙特阿美沟通，该公司的对外电邮服务仍然瘫痪。一名交易员表示：“这就好像是回到了20年前。”沙特阿美昨日表示，为以防万一，该公司“限制”了一些外部系统的访问。福建一电脑公司程序员，趁为济南某证券公司做技术支持之机

10、，潜入证券公司操作后台，窃取了40余万条股民信息，并将其贩卖给网友。4月20日，涉及该案的3名被告人均获刑。广州的小伙晓鹏，大学毕业后一直没有找工作，闲时在家中炒股。2010年，他发现一条国有企业拉斯天然气公司和沙特阿美表示，病毒仅影响到办公室电脑，未影响到运行油气生产的孤立系统。两家公司都表示，生产和出口未受影响。内容为“如需购买股民资料，请QQ联系我”的帖子。看到帖子后，晓鹏忽然想到这可能是条发财门路，想借股民信息向炒股的市民推荐股票从而取利。很快，他通过网络结识了一个名叫“证券先锋”的网友。联系到“证券先锋”后，其便成了晓鹏购买股民信息的固定卖家。晓鹏先后从其那里购买了多条济南某证券公

11、司的股民信息后Page 4 | 买了 8000多条济南某证券公司的股民信息，后通过打长途向山东股民推荐股票，从而借机收取服务费。“信息安全需要每一个员工的维护比如你!”刑法修正案加重对黑客量刑近年来，一些不法分子利用技术手段非法侵入法律规定以外的计算机信息系统，窃取他人账号密码等信息或者对大范围的他人计其他国家或地区个人信息保护环境全球约有50个国家已建立了个人数据和隐私保护的相关法案，对个人信息收集、存储、访问使用和销毁进行了规定人账号、密码等信息，或者对大范围的他人计算机实施非法控制，严重危及网络安全。刑法原有的规定使司法机关在打击“黑客”犯罪时面临法律困扰。鉴于上述情

12、况，刑法修正案（七）在刑法第285条中增加两款作为第二款、第三款：“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信访问、使用和销毁进行了规定。其中，比较知名的如：亚洲：个人资料(私隐)条例- 第486章（香港）；电脑处理个人资料保护法（台湾）；个人资料保护法（日本）；信息公开法（日本）欧洲：欧盟数据保护指令美国医疗保险责任法案（ HIPAA）公系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上

13、七年以下有期徒刑，并处罚金。”“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、美国：医疗保险责任法案（）；公平信用报告法（FCRA）；儿童网络隐私保护法（COPPA）；金融服务现代化法案（GLBA）信用卡持卡人数据保护：支付卡行业数据安全标准（PCI DSS）中国： 2012年个人信息保护指南出台 2012年全信息安全系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”国务院加强网络信息安全推动个人信息保护立法电信和互联网用户个人信息保护年

14、个人信息保护指南出台；年全国人大常委会通过了关于加强网络信息保护的决定 2013年9月1日实施电信和互联网用户个人信息保护规定和电话用户真实身份信息登记规定全基础北京8月14日，国务院办公厅公布了国务院关于加快促进信息消费扩大内需的若干意见。意见指出，积极推动出台网络信息安全、个人信息保护等方面的法律制度，明确互联网服务提供者保护用户个人信息的义务。意见从以下几个方面提出了促进信息消费的主要任务：一是加快信息基础设施演进升级；个人信息的泄露，给我们的生活带来了困扰，甚至造成直接的经济损失。值得欣喜的是，工业和信息化部近日公布的电信和互联网用户个人信息保护规定(以下简称规定)将

15、于9月1日起施行，为个人信息安全编织了一张法律保护网。费的主要任务：；二是增强信息产品供给能力；三是培育信息消费需求；四是提升公共服务信息化水平；五是加强信息消费环境建设等。意见指出，提升信息安全保障能力。依法加强信息产品和服务的检测和认证，鼓励企业开发技术先进、性能可靠的信息技术产品，支持建立第三方安全评估与监测机制。加强与终端产品相连接的集成平台的建设和管理引导信息产规定指出，未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。并且，在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务，不得泄露、

16、篡改、毁损、出售或者非法向他人提供用户个人信息。针对代理商泄漏个人信息的问题规定明确按品相连接的集成平台的建设和管理，引导信息产品和服务发展。加强应用商店监管。加强政府和涉密信息系统安全管理，保障重要信息系统互联互通和部门间信息资源共享安全。落实信息安全等级保护制度，加强网络与信息安全监管，提升网络与信息安全监管能力和系统安全防护水平。意见还指出，加强个人信息保护。落实全国人大常委会关于加强网络信息保护的决定，积极推动出台网络信息安全个人信息保护等方，，按照“谁经营、谁负责”、“谁委托、谁负责”的原则，由电信业务经营者、互联网信息服务提供者负责对其代理商的个人信息保护工作实

17、施管理。对侵害电信和互联网用户个人信息的违法行为，规定设定警告和3万元以下的罚款处罚同时设立了制止违法行为危害扩大的 “ 叫Page 5 | 积极推动出台网络信息安全、个人信息保护等方面的法律制度，明确互联网服务提供者保护用户个人信息的义务，制定用户个人信息保护标准，规范服务商对个人信息收集、储存及使用。罚， “ 叫停”制度、“向社会公告”行政处罚制度和将违法行为“记入社会信用档案”制度。“信息安全需要每一个员工的维护比如你!”APT（ Advanced Persistent Threat）APT（Advanced Persistent Threat）高级持续性威胁顾名思义，这种攻击行

18、为首先具有极强的隐蔽能力通常是利用企业或机构网络中受信的Google极光攻击2010年的Google Aurora（极光）攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接，引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月隐蔽能力，通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需C2 被黑的 Wb服务器被作为跳板对内网的其他界攻击。坚固的堡垒只有从内部才能被攻破，超级工厂病毒也正充分的利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒，而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击，以此

19、为第一道攻击跳板，进一步感染相关人员的移动设备，病毒以移动设备为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，一点点的行破坏这次十分功的攻击. 被黑的 Web服务器被作为跳板，对内网的其他服务器或PC进行扫描;3. 内网机器如AD服务器或开发人员电脑遭攻击成功，多半是被密码暴力破解;4. 被黑机器被植入恶意代码，多半被安装远端控制工具(RAT)，传回大量机敏文件(WORD、PPT、PDF等等)，包括所有会议记录与组织人事架构图一点的进行破坏。这是一次十分成功的 APT攻击，而其最为恐怖的地方就在于极为巧妙的控制了攻击范围，攻击十分精准。在2011

20、年，一种基于Stuxnet代码的新型的蠕虫Duqu又出现在欧洲，号称“震网二代”。Duqu主要收集工业控制系统的情报数据和资产信息，为攻击者提供下一步攻击的必要信息。攻击者通过僵尸网络对其内置的 RAT进行远程控制事架构图 ;5. 更多内网机器遭入侵成功，多半为高阶主管点击了看似正常的邮件附件，却不知其中含有恶意代码。Page 6 | 者通过僵尸网络对其内置的进行远程控制，并且采用私有协议与CC端进行通讯，传出的数据被包装成jpg文件和加密文件。“信息安全需要每一个员工的维护比如你!”RSA SecurID窃取攻击2011年3月，EMC公司下属的RSA公司遭受入侵，部分SecurID技术及

21、客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司包括洛克希德马丁公司诺斯罗普暗鼠攻击2011年8月份，McAfee/Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中，渗透并攻击了全球多达70个公司和组织的网络包括美国政府联合国红十字会络的公司包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商受到攻击，重要资料被窃取。在RSA SecurID攻击事件中，攻击方没有使用大规模SQL注入，也没有使用网站挂马或钓鱼网站，而是以最原始的网路通讯方式，直接寄送电子邮件给特定人士，并附带防毒软体无法识别的恶意文件附件。其攻击过程大体如下：1

22、. RSA有两组同仁们在两天之中分别收到标题为“ 2011 R i Pl ” 的恶意邮件附件是的网络，包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司，等等。其攻击过程如下：1. 攻击者通过社会工程学的方法收集被攻击目标的信息。2. 攻击者给目标公司的某个特定人发送一些极具诱惑性的、带有附件的邮件例如邀请他参见某个他所在行业的会议，以他同事或者HR部门的名义告知他更新通讯录，请他审阅某个真实存在的项目的预算等等“ ecru tment an” 的恶意邮件，附件是名为“2011 Recruitment plan.xls”的电子表格;2. 很不幸，其中一位同仁对

23、此邮件感到兴趣，并将其从垃圾邮件中取出来阅读，殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞(CVE-2011-0609);3. 该主机被植入臭名昭著的Poison Ivy远端控制工具，并开始自C4. 首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括 IT与非 IT等服务器管理员相继被的预算，等等。3. 当受害人打开这些邮件，查看附件(大部分形如：Participant_Contacts.xls、2011 project budget.xls、Contact List Update.xls、The budget justification.xls) ，

24、受害人的EXCEL程序的FEATHEADER远程代码执行漏洞(BloodhoundExploit306)被利用，从而被植入木马。实际上，该漏洞不是0day漏洞，但是受害人没有及时打补丁，并且，该漏洞只针对某些版本的EXCEL有效，可见被害人所使用的EXCEL版本信息也已经为攻击者所悉知最新网络安全相关联的人士包括与非等服务器管理员相继被黑;5. RSA发现开发用服务器(Staging server)遭入侵，攻击方随即进行撤离，加密并压缩所有资料(都是rar格式)，并以FTP传送至远端主机，又迅速再次搬离该主机，清除任何踪迹。Lurid攻击息也已经为攻击者所悉知。4. 木马开始跟远程的服务

25、器进行连接，并下载恶意代码。而这些恶意代码被精心伪装(例如被伪装为图片，或者HTML文件)，不为安全设备所识别。5. 借助恶意代码，受害人机器与远程计算机建立了远程Shell连接，从而导致攻击者可以任意控制受害人的机器。Nitro攻击全及趋势2011年9月22日，TrendMicro的研究人员公布了一起针对前独联体国家、印度、越南和中国等国家的政府部门、外交部门、航天部门，还有科研机构APT攻击Lurid攻击。1. 攻击者的主要是利用了CVE-2009-4324和 CVE-2010-2883这两个已知的 Adobe Reader漏洞，2011年10月底，Symantec发布的一份报告公开了主

26、要针对全球化工企业的进行信息窃取的Nitro攻击。该攻击的过程也十分典型：1. 受害企业的部分雇员收到带有欺骗性的邮件;2. 当受害人阅读邮件的时候，往往会看到一个这两个已知的漏洞，以及被压缩成RAR文件的带有恶意代码的屏幕保护程序。2. 用户一旦阅读了恶意PDF文件或者打开了恶意屏幕保护程序，就会被植入木马。木马程序会变换多种花样驻留在受害人电脑中，并与C或者看到一个有密码保护的压缩文件附件，密码在邮件中注明，并且如果解压会产生一个可执行程序。3. 只要受害人执行了附件中的可执行程序，就会被植入Poison Ivy后门程序。4. Poison Ivy会通过 TCP 80端口与 C&C服务

27、器进对木马下达各种指令，不断收集受害企业的敏感信息。会通过端口与服务器进行加密通讯，将受害人的电脑上的信息上传，主要是帐号相关的文件信息。5. 攻击者在获取了加密的帐号信息后通过解密工具找到帐号的密码，然后借助事先植入的木马在受害企业的网络寻找目标、伺机行动、不断收集企业的敏感信息。6. 所有的敏感信息会加密存储在网络中的一台临时服务器上并最终上传到公司外部的某Page 7 | 临时服务器上，并最终上传到公司外部的某个服务器上，从而完成攻击。“信息安全需要每一个员工的维护比如你!”Luckycat攻击2012年3月份，TrendMicro 发布的报告中披露了一个针对印度和日本的航空航

28、天、军队、能源等单位进行长时间的渗透和刺探的攻击行动，并命名为Luckycat。根据报告显示这次攻击行动依然是通过钓鱼邮件开始的例如针对日本目标的钓鱼邮件的内容根据报告显示，这次攻击行动依然是通过钓鱼邮件开始的，例如针对日本目标的钓鱼邮件的内容大都跟福岛核电站的核辐射问题有关。然后就是利用了很多针对 pdf/rtf的漏洞，包括CVE-2010-3333，CVE-2010-2883，CVE-2010-3654，CVE- 2011-0611，CVE-2011-2462等。渗透进去之后就是用C&C进行远程控制。而C&C服务器是通过VPS申请到的DNS域名。最新网络安全“火焰”病毒入

29、侵多个中东国家2012年5月28日发布报告，确认新型电脑病毒“火焰”入侵伊朗等多个中东国家。病毒用于窃取“震网病毒”工控安全事件“震动”中国如今，黑客攻击正在从开放的互联网向封闭的工控网蔓延，黑客动机从技术展示到利益全及趋势信息，部分特征与先前攻击伊朗核设施电脑系统的“震网”（Stuxnet）蠕虫病毒相似，但结构更复杂、损害更大。“火焰”之所以拥有如此强大的间谍功能，是因为它的程序构造十分复杂，“火焰”所包含的代码数量相当于之前发现的“震网”病毒或“毒区”病毒（Duqu）的20倍，此前从未有病毒能达到这种水平它可以通过 USB存储器以及互联网进行复制获取再到如今的深度攻击。工控系统在互联网

30、时代不断遭遇信息安全的挑战，数据安全面临极大考验。工业控制系统信息安全，这个不为常人所知的领域一旦遭遇黑客攻击或者自身出现故障，将对整个城市造成灾难性的后果。这是黑客从对计算机网络虚拟空间的攻击破坏向公共设施物理空间的延伸。水平。它可以通过存储器以及互联网进行复制和传播，并能接受来自世界各地多个服务器的指令。一旦完成搜集数据任务，这些病毒还可自行毁灭，不留踪迹。虽然这种病毒是在最近才被发现的，但很多专家认为它可能已经存在了5年之久，包括伊朗、以色列、黎巴嫩、沙特和埃及在内的成千上万台电脑都已感染了这种病毒。而且这种病毒的攻击活动不工控安全涉及国家基本安全，国家相关部门对此非常重视，并多次

31、做出批示，但在管理上仍然存在着多头领导、各自为政的现象。同时，我国主要工业设施、城市基础设施的工业控制系统产品大部分由西屋电气、西门子、阿尔斯通、ABB等国外公司提供，安全具有不可控制性。工控安全问题对中国的震动其实始于伊朗具规律性，个人电脑、教育机构、各类民间组织和国家机关都曾被其光顾过。电子邮件、文件、消息、内部讨论等等都是其搜集的对象。工控安全问题对中国的震动其实始于伊朗“震网”事件。2010年一种名为“震网”的蠕虫病毒入侵了伊朗布什尔核电站，20%的离心机报废，伊朗大约3万个网络终端感染。“震网”蠕虫病毒侵入西门子为核电站设计的工业控制软件，意在夺取核电设备的控制权。“震网”事件震动了

32、中国。伊朗“震网”事件发生后，工业和信息化部出台了关于加强工业控制系统信息安全管理的通知 (亦称 451Page 8 | 工业控制系统信息安全管理的通知号文件。“信息安全需要每一个员工的维护比如你!”CSDN用户数据库泄露事件2011年12月22日有网友爆料称，黑客在网上公开了CSDN的用户数据库，共涉及600万个账户信息； CSDN网站现有 2000万注册用户其官方网支付宝恶意捐款事件2011年8月以来，国内最大第三方支付公司“支付宝”用户莫名其妙发生“被捐款”事件，再次触发了互联网用户账户密码安全性话题信息；网站现有万注册用户。其官方网站介绍，是中国最大的中文IT知识服务集

33、团，旗下有程序员杂志、CSDN网站、iteye社区等；继CSDN泄露数据库后，又有多家网站被爆数据库泄露。再次触发了互联网用户账户密码安全性话题。记者从第三方支付公司了解到，国内如支付宝等支付账户使用邮箱注册，但其属性却等于银行账户，可以进行涉及资金的操作。而且，部分用户对待这些支付账户，并没有提升到银行账户高度，而是与一般SNS、微博邮箱等同看待。这样会留下较大隐患据网安公司研究表这样会留下较大隐患。据网安公司研究表明，黑客团伙会攻击并盗取一些安全防范较弱的小型网站用户资料，如SNS网站，然后使用账号与密码逐一尝试登录网络支付平台，如用户采用了相同的账号设置，账户资金容易损失。出于省

34、事的考虑，不少用户除了使用同样的账户名外，还将微博、邮箱和网络支付账号都使用相同的密码，为账户资料甚至是账户资金埋密码安为什么密码很重要下极大安全隐患。对此，支付宝已向用户发出警示，由于涉及资金安全，请用户务必为支付宝账户设置单独的高强度密码，并使用数字证书、支付盾或宝令等安全产品。网上购物过程中，不要轻易点击不明链接或安装不明文件。一些数字安全用户名+密码是最简单也最常用的身份认证方式密码是抵御攻击的第一道防线，防止冒名顶替由于使用不当，往往使密码成为最薄弱的安全环节密码与个人隐私息息相关必须慎重保护有34的人，甚至不需要贿赂，就可奉献自己的密码另据调查，有79的人，在被提问

35、时，会无意间泄漏足以被用来窃取其身份的信息平均每人要记住四个密码，95都习惯使用相同的密码（在很多需要密码的地方）密码与个人隐私息息相关，必须慎重保护你是怎么丢掉自己的访问权的！相同的密码（在很多需要密码的地方） 33的人选择将密码写下来，然后放到抽屉或夹到文件里Page 9 | “信息安全需要每一个员工的维护比如你!”脆弱的密码少于8个字符单一的字符类型，例如只用小写字母，或只值得注意的密码是越长越好但 “ 选用 20个随机字符作为密码 ” 的建议也不单的字符类型，例如只用小写字母，或只用数字用户名与密码相同最常被人使用的弱密码：自己、家

36、人、朋友、亲戚、宠物的名字；生日、结婚纪念日、电话号码等个人信息；工作中用到的专业术语，职业特征；字典中包含的单词，或者只在单词后加简单的后缀但选用个随机字符作为密码的建议也不可取人们总习惯选择容易记忆的密码如果密码难记，可能会被写下来，这样反倒更不安全词后加简单的后缀所有系统都使用相同的密码密码一直不变如何破解密码使用密码的安全习惯妥善保管自己的所有帐号不得随意泄露任何密码安简单的猜测使用专门的密码破解工具字典攻击（Dictionary Attack）暴力攻击（Brute Force Attack）混合攻击（Hibrid Attack）在网络中嗅探明文传送的密码

37、键盘记录妥善保管自己的所有帐号，不得随意泄露任何帐号不得将自己所拥有系统账号转借给他人使用员工之间不得私下互相转让、借用系统账号在工作岗位调动或离职时，应主动提出注销账号的申请操作员应记住自己的密码，不应把它记载在不保密的媒介物上，严禁将密码贴在终端上输入的密码不应明文显示在显示终端上安全键盘记录利用后门工具来截获密码通过社会工程获取密码网络钓鱼谁泄露了密码输入的密码不应明文显示在显示终端上确保自己在各应用系统的帐户有足够强度的密码确保自己的账号及密码不泄漏给别人密码中不得使用容易被猜解出来的常用信息的组合，例如：身份证号码、电话号码、生日以及其它系统已使用的密码等密码至少每三个月更改一次，密码修改后必须保证与修改前不同密码嗅探：在同一个局域网中的其他机器通过软件可以获取到未经加密的邮件收发时所使用的密码。保证与修改前不同如何设置安全的密码密码至少应该由8个字符组成密码应该是大小写字母、数字、特殊字符的混密码应该是大小写字母、数字、特殊字符的混合体不要使用名字、生日等个人信息和字典单词选择易记强密码的几个窍门：密码短语字符替换单词误拼Page 10 | 键盘模式

展开阅读全文