1 / 50

資訊安全宣導

資訊安全宣導. 100 年 08 月 29 日. 學校的資安政策. 資訊安全政策訂定與評估. 存取控制安全. 資訊安全組織. 系統開發與維護之安全. 資訊資產分 類 與管制. 資訊安全事件之反應及處 理. 人員安全管 理 與教育訓 練. 業務永續運作管 理. 實體與環境安全. 法規與施 行 單位政策之符合性. 通訊與作業安全管 理. 目的: 為使所屬資訊資產的機密性、完整性及可用性運作管理符合相關法規,防範內、外部蓄意或意外威脅 的影響。 範圍:

jela
Download Presentation

資訊安全宣導

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 資訊安全宣導 100年08月29日

  2. 學校的資安政策 資訊安全政策訂定與評估 存取控制安全 資訊安全組織 系統開發與維護之安全 資訊資產分類與管制 資訊安全事件之反應及處理 人員安全管理與教育訓練 業務永續運作管理 實體與環境安全 法規與施行單位政策之符合性 通訊與作業安全管理 • 目的: • 為使所屬資訊資產的機密性、完整性及可用性運作管理符合相關法規,防範內、外部蓄意或意外威脅的影響。 • 範圍: • 資訊安全管理涵蓋11項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本校帶來各種可能之風險及危害。

  3. 學校的資安政策 • 學校的資訊安全組織: • 資訊安全委員會置「資訊安全長」一人,目前「資訊安全長」由行政副校長擔任之。

  4. 請尊重及保護智慧財產權 資訊安全的威脅來源

  5. 請尊重及保護智慧財產權 常發生的資訊安全事件 • 常見的惡意程式連結 • 透過即時通訊散播的惡意程式連結 • 釣魚網頁 • 網頁中的惡意程式執行檔連結怪、錯誤訊息 • 那我自己該怎麼處理? • 惡意程式陷阱利用使用者好奇心誘騙開啟,因此千萬不要因為好奇心肆意開啟連結 • 點選連結後出現「您將前往的網頁可能含有惡意程式」等類似訊息文字,代表該連結為網站外部連結,並可能為一惡意程式執行檔,應立即取消連結的執行 • 留意圖示連結、文字連結等實際的網址URL,實際連結的網址是否和畫面上顯示的網址不同。

  6. 請尊重及保護智慧財產權 常發生的資訊安全事件

  7. 請尊重及保護智慧財產權 常發生的資訊安全事件 • 常見的惡意程式附檔名 • .com 、.exe 、.bat 、.zip • .doc 、.ppt 、.pps 、.xls • 常見的惡意程式電子郵件型式 • 利用色情標題誘騙收件人開啟郵件 • 內容看似一般網路轉寄郵件 • 附檔名bat也是惡意程式執行檔 • 惡意程式郵件也會將檔案隱藏在zip檔 • 附檔名lnk這是惡意程式網頁連結

  8. 請尊重及保護智慧財產權 常發生的資訊安全事件 • 垃圾郵件 您常會收到以下幾種信件嗎? • 廣告信件 • 收到自己寄的信件 • 您認識的朋友所寄,卻是異常主旨的信件 以上都可以歸類為垃圾信件!! • 那我自己該怎麼處理? • 收到可疑郵件時,必須確認寄件來源及寄件者,是不是認識的人 • 仔細檢視郵件的主旨與郵件的內容,確定這是與自身相關的信件 • 不要好奇的去開啟信件中的附件

  9. 請尊重及保護智慧財產權 常發生的資訊安全事件 • 您的密碼是不是由以下方式組成: • 連續數字(0000、1234) • 生日組合(990823) • 簡單的英文單字(school) • 家人、情人或寵物的名字(lover) • 帳號反過來打(guest->tseug) • 出現頻率高或連續性的密碼(admin、1234、abcd) • 一“碼”在手、行遍天下

  10. 請尊重及保護智慧財產權 常發生的資訊安全事件 • 密碼設置原則,應儘量避免使用易猜測或公開資訊為設定: • 個人姓名、出生年月日、身分證字號。 • 機關或單位名稱識別代碼或是其他相關事項。 • 使用者識別碼、使用者姓名、群體使用者之識別碼或是其他系統識別碼。 • 電腦主機名稱、作業系統名稱、或電腦上使用者的名稱。 • 電話號碼。 • 英文或是其他外文字典的字彙。 • 專有名詞。 • 空白。

  11. 請尊重及保護智慧財產權 常發生的資訊安全事件 • 您的密碼應該要設定: • 大小寫、符號、數字混合(I’mWork@62870875) • 長度足夠(至少八碼) • 定期變更密碼(建議至少一年要變更一次) • 不在不安全的電腦(網咖、共用電腦)輸入密碼 • 密碼經由暴力破解法破解的時間表: 資料來源:http://www.lockdown.co.uk

  12. 請尊重及保護智慧財產權 常發生的資訊安全事件 • 重要文件遺失或受損: 什麼是重要文件 • 個人資料。 • 工作上使用的資料。 要如何妥善保存(以下方式建議使用) • 重要檔案要做加密,並定時做資料備份。 • 實體的機密文件應放至於櫃子中並上鎖。 • 下班時,辦公桌面應保持淨空,不將文件放置桌上。 • 個人電腦應設定螢幕保護程式,並設定密碼。 • 離開座位時,電腦應登出並有密碼保護,防範他人任意使用。

  13. 請尊重及保護智慧財產權 常發生的資訊安全事件 • 使用P2P軟體下載有版權的軟體或檔案: 什麼是P2P軟體 • 透過點對點方式傳輸檔案,例如BitTorrent 、Foxy 、迅雷、PPStream等。 • 有版權的檔案或軟體未經授權而下載使用,即會侵犯到智慧財產權。 • 檔案來路不明,可能包含木馬或病毒程式,容易使您的個人資料曝露在網路當中。

  14. 請尊重及保護智慧財產權 常發生的資訊安全事件 • 社交工程: 什麼是社交工程 • 是一種以人際關係的互動進行犯罪行為的攻擊方式。 • 常用電話、Email或假扮身分的方式騙取信任 • 電子郵件隱藏電腦病毒 • 網路釣魚 • MSN、即時通也是社交工程新途徑 • 社交工程攻擊步驟 • 首先取得一個攻擊目標的背景資訊 • 向目標騙取資訊 • 再利用這些資訊向其他人欺騙 • 重覆這些步驟致達到最後

  15. 請尊重及保護智慧財產權 常發生的資訊安全事件 • 防範社交工程的正確觀念 • 認識常見社交工程攻擊的可疑徵兆 • 遵守組織安全政策與程序 • 確認對方的身分 • 通報作業

  16. 請尊重及保護智慧財產權 常發生的資訊安全事件 毛:You received a nudge Dxjd4:HI 毛哥怎麼了嗎 毛:下班了嗎 Dxjd4:Mm 毛:在忙嗎 Dxjd4:沒有嘍 毛:喔喔 方便幫個忙嗎 Dxjd4:什麼事呢 毛:麻煩你幫我買幾張Mycard點數卡方便嗎 Dxjd4:是喔 Dxjd4:一點都不方便 老套了 毛!:離線 (之前是 在線)

  17. 請尊重及保護智慧財產權 常發生的資訊安全事件 • 網路釣魚 Phishing • 利用偽造的網頁作為誘餌,詐騙使用者洩漏如帳戶密碼等個人機密資料 • 釣魚網頁畫面與官方網站相同,但其實這個網址並非官方網站 • 以相似的字元來偽裝網址, 例如:以數字的0來替換英文的O ,以數字的1來替換英文的l

  18. 教育部惡意電子郵件社交工程演練計畫 • 統計各單位惡意郵件「開啟率」及「點閱率」 • 郵件主題分為政治、公務、健康養生、旅遊等類型,郵件內容包含連結網址或word附檔 • 偽冒公務、個人或公司行號等名義發送惡意郵件給演練對象 當收件人開啟郵件或點閱郵件所附連結或檔案時即觸發紀錄! • 所以除了不要點擊連結與隨意開啟附檔外,您應該曉得的安全防護還包括︰ • 關閉自動下載圖片 • 關閉預覽視窗 • 不要自動回覆讀信回條 • 考慮設定以純文字格式讀取郵件

  19. sysinternals

  20. Process Explorer

  21. TCP View

  22. Autoruns

  23. 請尊重及保護智慧財產權 資訊安全的好習慣 • 密碼設定要穩固 • 應用系統要更新 • 防毒軟體要更新 • 網路使用要小心 • 電子郵件要過濾 • 不明人士要盤查 • 社交工程要小心 • 電腦不用要登出 • 機密資料要保護 • 重要資料要備份

  24. 請尊重及保護智慧財產權 結 論 重要的是要先做好 個人的資訊安全 能養成良好的使用習慣 進而提升整體校園資訊安全環境

  25. 請尊重及保護智慧財產權 SSL-VPN設定 建議連線時先停用防毒軟體 25

  26. 請尊重及保護智慧財產權 TaNet及 教育部網路電話平台 校園電話新增功能 教育局網路電話 撥打分機7021先撥Nortel 網路電話代表號,聽到總機語音,再撥7021 撥打分機2101先撥FX-500 網路電話代表號,聽到總機語音,再撥2101 分機7021 分機2101 Nortel PBX FX-500 E1 PRI to 行動 E1 PRI 外線 to 市話 修平校園網路 1Gbps FTTS IP Phone CS 210 SIP Server 教育部網路電話

  27. 請尊重及保護智慧財產權 校園電話新增功能 分機7021 分機2101 Nortel PBX FX-500 E1 PRI to 行動 E1 PRI 外線 to 市話 行政單位(系辦公室) 系教師研究室  按8再撥 2101  按8再撥 7021

  28. 請尊重及保護智慧財產權 TANet學術網路電話宣導 網路電話查號台:http://163.28.2.12/sq_in.asp

  29. 請尊重及保護智慧財產權 TANet學術網路電話宣導 • 怎麼查詢對方的網路電話 • 網路電話查號台 http://163.28.2.12/sq_in.asp • 如何撥打「台灣學術網路校園網路語音交換平台」上的電話 • 方法一:在校內使用桌上的分機 按0再撥“TANET門號”(視同撥外線方式) 例如:撥打教育部總機,則為 按0再撥 90006666 • 方法二:安裝網路電話軟體-3CXPhone • 下載網址: PIS 教學互動  軟體下載 • 安裝設定方式

  30. 請尊重及保護智慧財產權 TANet學術網路電話宣導 點選此處設定帳號 新增帳號

  31. 請尊重及保護智慧財產權 TANet學術網路電話宣導 可自行設定 輸入您配發的網路電話號碼 9901XXXX 學校網路電話伺服器網址 163.17.65.180 按確定即可

  32. 以Microsoft Outlook 2007為例, 操作說明如下︰

  33. 關閉自動下載圖片

  34. 關閉自動下載圖片

  35. 關閉預覽視窗(讀取窗格)

  36. Outlook還有一種自動預覽功能

  37. 將自動預覽關閉

  38. 設定不要自動回覆讀信回條

  39. 設定不要自動回覆讀信回條 1. 2. 3.

  40. 設定以純文字格式讀取郵件

  41. 以Outlook Express為例, 操作說明如下︰

  42. 關閉自動下載圖片

  43. 關閉預覽視窗

  44. 設定不要自動回覆讀信回條

  45. 設定以純文字格式讀取郵件

  46. 以Live Mail為例, 操作說明如下︰

  47. 關閉自動下載圖片

  48. 關閉預覽視窗

  49. 設定不要自動回覆讀信回條

  50. 設定以純文字格式讀取郵件

More Related