m o .c 5 b u h t i g 信息安全意识漫谈 SECURITY COMIC TALK 3.0 版权声明 m o .c 1.《信息安全意识漫谈 3.0》作品的著作权人是绿盟科技集团股份有限公司（中 文简称：绿盟科技；英文简称 NSFOCUS）。 2. 著作权人将本作品电子版发送于贵公司，只代表授权您本作品的使用权。 5 b u 3. 被授权使用权的您无论采用什么形式使用本作品的部分或全部内容，都必 须充分体现本作品的著作权人。 h t i g 4. 未经绿盟科技许可，贵公司不得将本作品部分或全部公布于公开媒体或互 联网，不得发送给第三方，贵公司的子公司、分公司或下属单位除外。 5. 包括贵公司在内的任何单位或个人不得侵犯本作品著作权，否则绿盟科技 保留追究侵权人法律责任的权利。 安全部分 Ⅰ 01 物理入侵 BadUSB 桌面便签 躲猫猫 b5 u h it 安全意识薄弱的特定人群 02 g Wi-Fi 突破 小测试 m o .c 01 尾随进入 02 03 04 05 06 公用 Wi-Fi 风险 09 Wi-Fi 共享软件 11 私搭 Wi-Fi 热点 访客网络与公司网络 Wi-Fi 加固建议 小测试 10 12 13 14 03 个人隐私保护 不关联就浑身难受 16 物联网设备弱密码 & 漏洞 18 不良软件后门 17 社交软件送货上门 19 人脸信息被滥用 20 填信息抽奖 21 小测试 04 办公安全 公用密码 u h t 安全不都是骗人的 固定会议密码 gi 小测试 各种钓鱼 m o .c b5 盗版软件 远程控制软件 05 22 25 26 27 28 29 30 简历不一定是简历 34 U 盘不只是 U 盘 36 好奇心害死的不只是猫 测试下你的密码弱不弱 不要乱扫二维码 公网和内网 钓鱼漏斗 小测试 35 37 38 39 40 41 保密部分 Ⅱ 06 保密义务 国家秘密范围 45 国家秘密载体 47 国家秘密标识 46 泄密行为举报 07 泄密防范 微信办公泄密 保密审查 48 u h t b5 兼职泄密 拍照泄密 gi 废品回收 境外人员主动接触 单位内鬼 打印泄密 m o .c 49 50 51 52 53 54 55 56 01 物理入侵 BadUSB 1 3 2 m o .c 5 b u 4 h t i g BadUSB 是一种通过重写 U 盘固件伪装成 USB 输入设备（如鼠标、键盘、网卡）用 于恶意用途的 USB 设备，杀毒软件对此类硬件攻击防御效果较差。随意在办公机器 上插来源不明的 USB 设备，就会有主机失陷的可能。 对研发、财务等敏感区域，通过管理和技术性控制措施限制的移动存储设备使用， 并定期检查； 使用终端安全软件的 U 盘管控和封堵功能，对类似行为进行告警和封堵； 加强个人安全意识，不在电脑上使用来源不明的 USB 设备，包括小台灯、数据线等等。 1 01 物理入侵 尾随进入 1 2 3 4 m o .c 5 b u h t i g 大门是保护办公区域安全的第一道屏障，可以防范黑客或商业间谍进入工作区后产 生的物理风险。当攻击者进入办公区后，物理安防措施也有一定的缓解效果。 管理措施要求进入工作区域佩戴工卡，进出大门时应观察是否有人尾随，不能自 动闭合的大门随手关门，离开工位锁屏； 对内部区域保持监控和巡检，及时发现和处置可疑人员可疑设备； 快递外卖等行为应在门外进行，外部人员进入办公区需登记并全程陪同。 2 01 物理入侵 桌面便签 1 3 2 m o .c 5 b u 4 h t i g 桌面或便签本记录待办和密码很方便，但很容易被无关人员看到，或在无意间流出， 导致信息泄露的风险。 管理措施要求桌面不得有记录敏感内容的介质； 加强个人安全意识，如果日常工作涉及敏感文件，应及时将敏感文件放入带锁的 抽屉或柜子，避免在桌面上放置敏感文件、存储敏感文件的设备、门禁卡、钥匙、 写有密码的便签等物品； 使用 keepass 等密码管理工具管理密码，使用办公软件或手机的备忘录功能记录 敏感事项。 3 01 物理入侵 躲猫猫 1 2 3 4 m o .c 5 b u h t i g 绕过保安和隐藏自身的方法有很多，因此要加强门禁管理，让攻击者面对门禁“进不 来”，进而加强安全建设，进来之后“带不走”。 通过对办公楼和物业人员访谈和了解，发现潜藏的可能进入的方式，采取合适的措 施予以防御； 加强办公区域门禁安全建设和管理，让攻击者“进不来”； 加强 Wi-Fi 安全、物理安全教育和建设，让攻击者物理进入后也无法进入内部网络； 对内部区域保持监控和巡检，及时发现和处置可疑人员。 4 01 物理入侵 安全意识薄弱的特定人群 1 3 2 m o .c 5 b u 4 h t i g 除了员工，能够出入办公区域、或对公司有足够了解的第三方人员（如物业保安）往 往也容易被利用进行信息获取或攻击。 需要对所有有权限进入办公区的人进行安全意识教育； 从管理措施上避免 Wi-Fi 密码分享、纸质敏感文件未处理直接丢弃。 5 物理入侵 01 1 安全小测试 办公室突然来了不认识的人， 应该怎么做 A．不询问，让他自己找要找的人 B．不询问，但注意着 C．看情况，不忙的时候询问 D．主动询问 2 多人一起进入公司大门时，以下说法正确的是 m o .c 5 b u A．我不是队伍中最后一个人，门禁安全和我无关 B．遇到外卖、快递人员，可以帮其打开公司大门 h t i g C．人员全部进入后，应核实大门是否关闭 D．无需注意一同进入的人员是否是公司同事 3 如何对计算机进行锁屏 A．同时按住 Windows logo 键和 S 键 B．同时按住 Windows logo 键和 L 键 C．单击 Windows 左下角的【开始】按钮 -> 单击【注销】按钮 -> 单击【切换用户】或【锁定】按钮 D.．同时按住 Ctrl 键、Alt 键和 Del 键，再点击【锁定计算机】按钮 6 物理入侵 01 4 安全小测试 APT 攻击目的是为了获取某个组织的重要信息，有 针对性的进行的一系列攻击行为。一般来说 APT 侵 入企业的途径有 A．基于互联网恶意软件的感染，如网络钓鱼 B．物理恶意软件的感染，如 U 盘 m o .c C．外部威胁 , 如漏洞应用 D．内部威胁，如恶意的员工等 5 以下不正确的操作是 5 b u h t i g A．当公司出现陌生人时应主动询问，确认身份 B．进出门禁控制场所时应随手关门，防止他人尾随 C．不需要的敏感文件应进行粉碎，不能随意抛弃 D．会议过后，白板上书写内容可以由保洁人员清除钮 7 物理入侵 01 6 安全小测试 信息安全最大的威胁是 A．木马病毒、蠕虫病毒等恶意代码 B．信息安全部门不作为 C．人员普遍缺乏安全意识 m o .c D．信息安全产品和设备不够先进 7 5 b u 当您准备登录电脑系统时，有人在您的旁边看着您， 您将如何 h t i g A．在键盘上故意假输入一些字符，以防止被偷看 B． 友好的提示对方避让一下，不要看您的机密 C．不理会对方，相信对方是友善和正直的 D． 凶狠地示意对方走开，并报告这人可疑 关注绿盟科技官方微信公众号回复“物理入侵”获取答案 8 02 Wi-Fi 突破 公用 Wi-Fi 风险 1 3 2 m o .c 5 b u 4 h t i g 在公众场所，通常都部署了免费的 Wi-Fi。然而，攻击者可能会创建一个有迷惑性 的 Wi-Fi 热点，一旦不注意连接到这些恶意热点，可能会导致信息泄露、流量劫持 等一系列风险。 在公众场所连接 Wi-Fi 前，应留意周围的提示，接入官方提供的网络；在处理敏 感信息或进行移动支付时，尽量不要使用公用网络，最好使用 4G/5G； 在不需要使用 Wi-Fi 和蓝牙时，将手机的 Wi-Fi、蓝牙功能关闭。 9 02 Wi-Fi 突破 私搭 Wi-Fi 热点 1 2 3 4 m o .c 5 b u h t i g Wi-Fi 信号具有一定的覆盖范围，不仅在工作区域内可以连接，甚至在办公楼附近也 可以接入。员工私自搭建的 Wi-Fi 加密方式通常较弱，一旦被攻击者成功破解，可能 会导致攻击者直接访问内网的风险。 在办公区域，使用公司提供的网络接入方式，不要自行搭建个人热点，不要使用 “Wi-Fi 分享器”等设备； 如确有需要，在架设无线路由器前必须经过公司批准，并进行安全检查。Wi-Fi 应 使用安全算法、设置复杂密码、保证密码定期更改。 10 02 Wi-Fi 突破 Wi-Fi 共享软件 1 3 2 m o .c 5 b u 4 h t i g 一些 Wi-Fi 密码共享类 APP 会在安装后自动上传所有已经连接过的 Wi-Fi 密码，其中 很可能也包含家庭、工作单位的密码。一旦攻击者使用这类工具，也可以轻而易举 地连接到家庭或工作单位的内部网络。 尽量避免使用 Wi-Fi 密码共享类 APP； 如果需要使用，建议首先关闭自动上传密码功能。 11 02 Wi-Fi 突破 访客网络与公司网络 1 2 3 4 m o .c 5 b u h t i g 通过访客网络功能，可以为访客建立一个独立的上网环境，使用单独的上网密钥， 防止私有网络数据信息的泄露，从而进一步保证内网安全。 建议实现办公网和访客网的隔离，并对办公网做 SSID 隐藏； 尽量为办公网进入添加二次认证逻辑，防止仅通过密码就能进入内部网络。 12 Wi-Fi 突破 02 Wi-Fi 加固建议 1 Wi-Fi 密码使用 8 位以上大小写 + 特殊字符，提高字典破解难度； 2 定期修改无线 AP 的 SSID 标识（即 Wi-Fi 名）或密码； 3 不要使用 Wi-Fi 共享软件； 4 5 6 m o .c 5 b u 使用选择规模较大、具有良好声誉的品牌的 Wi-Fi 设备，并关注厂商升 级公告更新设备； h t i g 可以使用关闭 SSID 广播（如此设置后需要输入 Wi-Fi 名才能连接）， MAC 地址白名单（如此设置后需要在管理页面绑定允许连接的设备） 等方式，防止外部连接； 敏感网络如内网