网络安全
2020年9月5日-11日
9月5日至11日是2022年国家网络安全宣传周,网络安全知识你知多少呢?
01
信息安全意识是什么?
信息安全意识就是能够认知可能存在的信息安全问题,预估信息安全事故对组织的危害,恪守正确的行为方式,并且在信息安全事故发生时采取的正确的应对措施。
02
为什么有信息安全意识?
清楚可能面临的威胁和风险
建立信息安全的敏感意识和正确认识
遇到信息安全事件时采取正确的方式与方法
在日常工作中养成良好的安全习惯
遵守各项安全策略和制度
►►►
工作篇
1.走进公司
非自动闭合的大门应注意随手关门。
外部人员进入工作区需登记并全称陪同。
2.坐到工位
使用过的U盘应妥善存放,避免资料的泄露和病毒木马的植入。
禁止随意放置或丢弃含有敏感信息的纸质文件。
复印或打印的文件及时取走,避免信息泄露。
离开工位时,含有机密信息的资料锁入柜中,并对计算机进行锁屏。
3.工作环境与物理安全
应安装杀毒软件,随时打开防火墙。
尽量使用官方渠道下载的正版软件或系统。
及时检查系统更新。
不私自安装不明程序,不随意打开莫名软件、文件或链接。
4.Wi-Fi连接
公共场合连接Wi-Fi,要注意周边提示,接入官方网络。
处理敏感信息或进行移动支付时,尽量不连接公共网络,而使用4G/5G。
在办公区域,不自行搭建Wi-Fi热点,不使用密码共享类APP。
转账支付等敏感操作时切换4G/5G。
不要为了省流量使用万能钥匙。
官方下载正规版本APP。
如手机要开启热点,使用强口令。
家庭无线网络使用WPA2加密方式。
5.数据删除与恢复
养成定期备份数据的习惯删除单个敏感文件时,使用杀毒软件自带的“文件粉碎”功能。
保密性要求较高的数据在备份时设定完善的访问控制机制并存放在安全的地方。
谨慎使用各大云平台自动备份功能,不要上传敏感数据。
6.云储存安全使用
云储存应用过程中设定时间维度,并及时清理文件。
不与他人共享使用,不存储机密、敏感文件。
移动端使用时关闭自动备份功能。
7.邮件安全
收发邮件过程中,应确保传输通道加密。
收到邮件时,核对发件人信息是否正确,并通过其他渠道再和发件人本人确认。
收到可疑邮件时,绝对不要打开任何未知文件类型的邮件附件。
手机丢失时,谨防邮箱内收到的“查找手机位置”的邮件。
8.会议安全
会议组织者现场确认参会人员身份。
召开重要会议时,选择隔音封闭的会议室,并检查是否存在窃听、摄像头等设备。
会后及时整理会场,确保不遗留资料。
9.移动通讯安全
工作沟通的工具和日常社交的工具区分开。
手机中安装移动安全软件,进行骚扰拦截,防范短信电话的诈骗风险。
针对重要的平台,开启双因素认证,可绑定常用的手机邮箱。
APP的权限根据需要进行开通。
►►►
生活篇
1.个人隐私
培养安全意识,做到不主动透露个人信息,不被利益诱惑泄露个人信息;
养成安全习惯,如密码设置、软件及时更新、数据备份、不随意连接wifi、不随意扫描二维码;
善用法律维权,当发现个人信息泄露的确凿证据时,积极向监管单位进行举报。
2.密码安全
不使用名字、生日等个人信息和字典单词
不直接把密码记录在纸质文件上
在输入账号、密码时,留意不被身边其他人看到
定期修改密码,不勾选网站或其他平台的保存密码和一键登录
3.二维码扫描
不随意扫描陌生二维码
扫码前确认二维码的来源正规,渠道官方
在移动终端安装杀毒软件等相应的防护程序,及时提醒有害信息并删除。
4.APP权限
应用程序安装或首次打开时,认真阅读APP要求的权限,仅授予必要的权限
慎用换脸软件、或其他上传个人隐私信息的APP软件
后续使用过程中,如果发现有未打开的权限,可通过设置中权限管理手动授权
APP或小程序的详情页面,通常可以看到当前被授予的权限,其中敏感权限可进行手动关闭
5.物联网设备
在智能设备的选择上,优先选择优质高端品牌;
在应用中,关注补丁与升级公告,及时修改密码;
定期测试在无操作的情况下,设备是否运转;
6.地理位置信息
手机应用过程中,注意关闭位置定位服务,需要时再打开
在未完成的行程时,不发布含有明显地理标识的照片或视频
社交软件中,对好友认证提高防范意识,定期整理通讯录
7.手机丢失
设置开机密码
指纹识别
面部识别
远程锁定和擦除等功能
第一时间补办电话卡
解绑原手机中社交账号、支付账号等核心应用
告知家人朋友,避免上当受骗
收到手机找回的邮件要谨慎,预防钓鱼邮件
8.电信诈骗
不要点击短信中的可疑链接
及时升级手机系统与应用软件
对疑似套取信息或金钱往来者进行身份核验
►►►
电力工控网络安全篇
风电场光伏电站电力监控系统安全防护方案
典型风电场的电力监控系统体系结构图
典型光伏电站的电力监控系统体系结构图
风电场光伏电站电力监控系统安全核查内容
基础设施物理安全:
1.重点核查配套机房环境、供电、消防、门禁是否满足相关要求;
2.核查通信设备及其线缆沟道是否满足安全可靠运行要求。
体系结构安全:
1.核查生产控制大区是否存在网络非法外联情况;
2.核查电力调度数据网中是否存在非专用通道;
3.核查不同安全区之间是否采用相应的横向安全隔离措施;
4.核查生产控制大区是否已全部部署纵向加密认证装置;
5.核查安全防护装置的策略设置管理、调度证书系统的安全管理是否规范。
系统本体安全:
1.重点核查实时监控系统、安全自动装置、控制保护类设备是否采用非安全操作系统;
2.核查服务器、交换机、路由器等设备是否关闭空闲网络端口;
3.核查非安全操作系统是否已采取有效防护手段;
4.核查系统内部是否存在弱口令和供应商缺省账号;
5.核查系统用户权限管理是否合理。
全方位安全管理:
1.重点核查针对现场运维人员和厂家技术支持人员安全管理及防护措施是否到位;
2.核查外部计算机、移动介质的接入是否具有相应的安全管理制度和记录;
3.核查控制系统和主要设备的开发、检测、招标、安装、验收、运维、升级、消缺、退役等环节安全管理制度及相应记录是否完善。
安全应急措施:
1.核查核心服务器是否满足冗余要求;
核查安防设备是否接入相应调度机构内网安全监视平台;
2.查网络与信息安全的应急预案是否编制并演练;
3.核查应急制度是否健全。
素材:刘志远
编辑:郭静雯
审核:梁 杰