网络安全培训ppt课件.pptx

《网络安全培训ppt课件.pptx》由会员分享，可在线阅读，更多相关《网络安全培训ppt课件.pptx（89页珍藏版）》请在三一办公上搜索。

1、网络安全培训,信息安全热点与防范 网络安全法解读,02 网络安全法基本情况,03 网络安全法解读,04 企业如何应对,01 信息热点与防范,信息安全热点与防范,安全漫谈,信息安全介绍,信息安全信息：指音讯、消息、通讯系统传输和处理的对象，泛指人类社会传播的一切内容。安全：安全是指没有受到威胁、没有危险、危害、损失。信息安全主要包括以下五方面的内容保密性（Confidentiality）完整性（Integrity）可用性（Availability）可控性（Controllability）不可否认性（Non-Repudiation）,信息化发展前后对我们生活的影响（以前）,信息化发展前后对我们生活

2、的影响（现在）,来自网络的威胁,信息化的发展，带来便利的同时，也带来了其他东西,棱镜门,案例,网络攻击 网络勒索,永恒之蓝,导致信息泄露的可能方式,信息数据,7.网络泄密,8.内部人员威胁,木马后门,病毒和蠕虫,社会工程,3.电磁波泄漏,9.电子邮件泄密,6.手机泄密,4.无线泄密,1.移动存储泄密,2.笔记本电脑,5.蓝牙泄密,为什么会有如此多的信息安全事件 ？,因为,信息=财富,黑客（间谍）,价值利益,信息数据,黑客？,攻击门槛越来越低,高,低,1990,1995,2000,2005,2015,猜口令,自我复制程序,口令破解,攻击已知漏洞,破坏审计,后门程序,干扰通信,手动探测,窃听,数据

3、包欺骗,图形化界面,自动扫描,拒绝服务,www攻击,工具,攻击者,攻击者的知识水平,隐秘且高级的扫描工具,偷窃信息,网管探测,新型的跨主机工具,攻击的复杂度,漏洞,其实你们都见过,漏洞分类,漏洞不仅限于操作系统漏洞、中间件漏洞，还包括：,以及逻辑漏洞、视觉漏洞,视觉漏洞,相似域名,手机木马,钓鱼电话,伪造链接,漏洞的轮回,漏洞发布,逆向工程分析,进攻样板程序出现,进攻程序开始传播,周二,周三,周四,周五,通知漏洞漏洞被发现微软启动最高级别快速反应程序,地下组织黑客开始研究、分析,进攻样板程序黑客组织研究出利用工具微软警告用户尽快安装补丁,互联网传播黑客论坛QQ群培训班,大范围攻击,上班时间发现

4、网络瘫痪,周六、周日,周一,自动化工具扩散捕获大量肉鸡,黑产,黑产,明码标价，童叟无欺,地下产业链,漏洞研究、目标破解,漏洞研究,我们在同一个地下产业体系对抗,地下黑客攻击网络,案例1,案例1,案例1,增强安全意识,学习安全知识,熟悉安全威胁,了解安全现状,使用安全技术,掌握安全工具,如何提高安全防范能力,个人信息安全-防病毒,常见病毒攻击：木马病毒“代理木马”u盘寄生虫开机型病毒文件型病毒等。,个人信息安全-病毒攻击,绿盟科技小贴士,防病毒安装杀毒软件开启防火墙、及时更新补丁不明文件（邮件、程序、文档、链接）不要轻易打开保持安全意识,个人信息安全防护无线安全,5.谨慎使用无线网络,谨慎使用不

5、加密的wifi和众人皆知密码的加密wifi。尽量不在无线网络中进行账户登录等操作。警惕非正常掉线等无线网络异常。,WIFI年度报告,攻击原理,恶意程序来源案例1,常用移动安全操作正版应用及补丁,-42-,正版应用：尽量通过官方移动市场下载手机应用补丁：更新最新升级补丁操作系统不root,常用移动安全操作权限管理,-43-,电话、短信、联系人、录音、拍照等权限最小化,常用移动安全操作支付安全窍门,-44-,支付宝支付安全设置（免密支付、设备管理、账户授权、复杂密码）微信支付安全设置（多重密码，自动扣费、绑卡管理、95017）使用信任wifi和4G网络登录资金安全银行卡,安全用手机,正规渠道下载应

6、用,不轻易激活设备管理器,个人信息安全防护,7.包含敏感信息的纸张妥善处理,快递底单、银行小票、签购单、各种证件的复印件、火车票、机票等。包含有敏感信息的打印废纸与工作有关的过期文件,个人信息安全-弱口令,在经典故事“阿里巴巴和四十大盗“中，念出咒语“芝麻开门”，盛满金银珠宝的秘密山洞之门就会开启。你的电脑就如这个山洞充满了被攻击者视为黄金般的珍贵信息。,个人信息安全-弱口令,绿盟科技小贴士,强口令口令长度至少八位字符长口令应混合字母、数字和符号口令不要使用你的姓名、用户名、 手机号码、生日、配偶孩子姓名和生日等密码要进行分类设置，不同应用使用不同密码定期修改密码,个人信息安全-钓鱼网站,“钓

7、鱼”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或利用真实服务器应用程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。,个人信息安全-钓鱼网站,绿盟科技小贴士,防钓鱼攻击低价骗局勿轻开陌生链接莫打开上网防护要开启付款信息要核对 .,个人信息安全-安全意识,绿盟科技小贴士,安全是未雨绸缪安全是防微杜渐安全是木桶原理 安全是循序渐进安全是防患于未然不要等到亡羊补牢.,适度质疑，合理挑战保守信任严格执行安全规程和制度重要数据进行备份个人、工作均应有应急预案,网络安全法基本情况,02,立法背景-国外背景,安全事件

8、频出,安全技术更新,安全战略立法,斯诺登事件,乌克兰停电事件,震网病毒,云计算,大数据,工业4.0,制定安全战略,各国安全立法,深化国际合作,国内背景网络安全立法刻不容缓,辅色RGB：248，195，0点缀内容,2016年是我国网络安全立法与网络空间安全顶层战略规划的元年,2012：CSDN、天涯网信息泄露,网络空间主权-棱镜门事件(2007年起开始实施的绝密电子监听计划)网络规模-截至2016年6月，我国网民规模达到7.10亿网站漏洞等安全事件呈上升趋势公民隐私-各类泄露事件、徐玉玉事件,历程,早期更注重于系统、基础设施等层面的安全立法： -信息安全等级保护管理办法-保守国家秘密法-计算机病

9、毒防治管理办法,中央网络安全与信息化领导小组成立，两会上，“维护网络安全”首次写入政府工作报告。,6月，审议了网络安全法（草案）。7月，向社会公开征求意见，根据各方反馈意见，对草案作了修改，形成了网络安全法（草案第二次审议稿）,6月：对草案作二次审议7月：二次审议稿公开征求意见11月：近乎全票通过中华人民共和国网络安全法法,2017,网络安全法于6月1号正式生效。5.2日网信办发布网络产品和服务安全审查办法,中华人民共和国网络安全法,简介网络安全法是我国第一部网络安全领域的法律，是保障网络安全的基本法。网络安全法不是网络安全立法的终点，相反，是网络安全立法的起点。与网络安全法相关的法律有国家安

10、全法，保密法，反恐怖主义法，反间谍法，刑法修正案（九），治安管理处罚法，电子签名法等。这些法律与网络安全法不是上位法和下位法的关系，同属同一法律位阶。网络安全法是我国网络安全管理的基础法律，与其它相关法律在相关条款和规定上互相衔接，互为呼应，共同构成了我国网络安全管理的综合法律体系。一共7章79条,网络安全法解读,03,网络安全法总体概述,14条规定 简述法律目的、范围、总则，部门职责，总体要求等,6条规定 定义国家直属部门、政府在推动网络安全工作上的职责,19条规定 定义网络运营者与关键信息基础设施的运行安全规定,10条规定 针对网络运营者的网络运行安全要求与职责规定,9条规定 针对关键信息

11、基础设施的安全规定与保护措施要求,11条规定 定义个人信息保护的保护规定,8条规定 定义国家网络安全监测预警与汇报机制,17条规定 定义处罚规定,4条规定 相关名词解释与附则,网络安全法框架,等级保护制度,监测预警通报制度,网络安全保护能力,行业保护能力,运营者安全保障能力,产品/服务保障能力,社会应急响应能力,反制管制协助执法国家安全审查数据跨境安全评估,网络测评认证评估,安保义务安管义务保密义务社会责任,支持运营支持创新协助执法,信息共享军民融合CERT,网络安全法律框架,国家网络安全领导体系,网络安全保障体系,网络治理体系,网络安全标准体系,网络安全社会化体系,CIIP体系,详细解读,明

12、确网络空间主权,网络空间主权原则,第一条 为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。,第二条在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。,高校相关,执法部门是谁？,第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。,网络安全法将现行有效的网络安全监管

13、体制法制化，明确了网信部门与其他相关网络监管部门的职责分工。国家网信部门负责统筹协调网络安全工作和相关监督管理工作，国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作，明确了“1+X”的监管体制。目前中央网信办网络安全协调局负责统筹协调，工信部网络安全管理局负责网络安全相关管理工作，公安部十一局（网络安全保障局）负责安全保障工作。,高校相关,运营者义务？,第九条 网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。,网络安全法 第九条 明确网络运营者的义务

14、。,高校相关,个人权利、责任义务？,第十四条任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。第二十二条 网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意第四十一条网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息第四十五条依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。 ,网络空间主权原则,网络运营者的要求

15、,网络运营者防护要求,第七十九条网络运营者，是指网络的所有者、管理者和网络服务提供者。,等级保护,安全责任人,数据防泄漏窃取篡改,防病毒和网络入侵,网络安全事件应急预案,用户信息保护制度,用户信息防泄漏,用户信息内容管理,网络信息投诉举报制度,安全日志审计,数据加密与备份,第二十一条,第四章,用户实名制,第二十五条,安全事件通报机制,第二十四条,关键信息基础设施,第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施 。,党政机关网站、企事业单位网站、

16、新闻网站,即时通讯、网上购物、网上支付,搜索引擎、邮件、论坛、地图、音视频,大型数据中心、云计算平台,办公系统、业务系统、工业控制系统,*行业对关键信息基础设施的定义,关键信息基础设施防护要求,第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施 。,等级保护,安全责任人,数据防泄漏窃取篡改,防病毒和网络入侵,安全日志审计,数据加密与备份,第二十一条,重要数据境内存储,第三十七条,人员安全背景审查,网络安全教育培训技能考核,安全事件应急预案与演练,第

17、三十四条,用户信息保护制度,用户信息防泄漏,用户信息内容管理,网络信息投诉举报制度,第四章,每年至少一次风险评估,第三十八条,第五十二、三条,应急预案与演练,安全监测预警通报,第三十五、六条,保密协议,产品和服务采购机制,用户实名制,第二十四条,行业对关键基础设施的要求,行业网络安全重点保护对象,相关监管机构,国家互联网信息办公室,工业和信息化部,公安部,检查和监督权： 对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；（第三十九条、一）国家网信部门和有关部门依法履行网络信息安全监督管理职责。（第五十条）,处罚权： 监管机构

18、有权强制性执行限制性措施，例如：要求网络运营者停止传输，采取消除等处置措施，保存有关记录；（第五十条）监管机构有权强制性执行罚款、吊销营业执照、构成犯罪的已发追究刑事责任等。,其他： 风险评估、演练、约谈、接受举报等。,法律责任重点,违法行为,单位,负责人,未实施等保，未制定安全管理制度和安全责任人，未制定应急预案,未进行三同步建设，未每年开展至少1次安全评估,违法收集、使用、篡改、出售公民信息，未妥善保护公民信息,采购未经安全审查的产品和服务导致安全风险,数据存储国外或向国外提供数据,协助实施犯罪未构成犯罪的，发布与实施犯罪相关信息的,1-10万,0.5-5万,10-100万,1-10万,5

19、0万以下严重吊销执照,1-10万,采购金额1-10倍,1-10万,5-50万严重吊销执照,1-10万,1-50万1-15日拘留,10-50万,未及时阻止违规信息发布，消除及记录保存,10-50万严重吊销执照,1-10万,未及时上报，未按要求采取措施，未配合国家机关,5-50万,1-10万,未采取措施防止数据泄露、篡改、网络入侵、计算机病毒,1-10万,0.5-5万,未对数据分类、存储备份、未采用措施进行日志审计并保留日志6个月,1-10万,0.5-5万,未设置专门安全管理机构和安全管理负责人且背调，未进行相关培训和技能考核、未制定应急预案并演练,10-100万,1-10万,法律责任重点,违法行

20、为,惩罚,利用网络从事危害国家安全，煽动颠覆国家政权、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、名族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动,5日以下拘留，并按照情节罚款,从事非法侵入他人网络，按扰他人网络正常功能、窃取网络数据等危害网络活明知他人从事危害网络安全的活动，为他人提供广告推广、技术支持、支付结算等帮助。,任何人窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息,设立传授犯罪方法，管制物品等违法犯罪活动的网站网站、通讯群组,并处违法所得一倍以上十倍以下罚款，没有违法

21、所得的，处一百万元以下罚款。,依照有关法律、行政法规的规定处罚,按照情节拘留罚款,侵犯公民个人信息案,关键信息基础设备,案例分析,利用黑客手段窃取公民个人信息出售牟利，构成侵犯公民个人信息罪。（一）基本案情被告人肖凡、周浩预谋窃取邮局内部的公民个人信息进行出售牟利，共同出资购买了黑客软件。2016年5月至2016年6月，二人通过黑客软件侵入邮局内网，在邮局内网窃取邮局内部的公民个人信息103257条，并将窃取的公民个人信息全部出售给被告人李晓波。后李晓波将购买的公民个人信息出售给被告人王丽元 40000条，王丽元又将购买到的公民个人信息出售给被告人宋晓波30000条。,（二）裁判结果内蒙古自治

22、区赤峰市红山区人民法院判决认为：被告人肖凡、周浩通过黑客手段窃取公民个人信息并非法出售，李晓波、王丽元、宋晓波通过购买方式非法获取公民个人信息，其行为均已构成侵犯公民个人信息罪。据此，以侵犯公民个人信息罪判处被告人肖凡、周浩、李晓波各有期徒刑二年，并处罚金人民币五万元；被告人王丽元有期徒刑一年，并处罚金人民币三万元；被告人宋晓波有期徒刑六个月，并处罚金人民币三万元。该判决已发生法律效力。,如果wanna cry勒索病毒嫌疑人被抓，按照法律如何制裁他？如何打击勒索软件犯罪？,关键信息基础设备,刑法：严重后果，五年以下；后果特别严重，五年以上。如：“熊猫烧香案”（2007），制作者李某犯破坏计算机

23、信息系统罪，被判处有期徒刑四年，没收违法所得人民币145149元。,案例分析,企业如何应对,04,企业应对步骤,确定企业内关键信息基础设施数量,关键信息基础设施防护要求差距分析,关键信息基础设施防护要求整改建设,网络运营者防护要求差距分析,网络运营者防护要求整改建设,定期风险评估,预警通报机制,关键信息基础设施运营者,网络运营者,对于网络运营者,网络运营者,安全管理应对,安全技术应对,明确收集个人信息使用目的和范围，建立发现、加密、管控、审计等一整套的数据泄露防护方案。具备日志分析能力，对设备、网络、流量、用户行为进行审计，且有关日志不少于六个月 。具备端口扫描、木马后门攻击、拒绝服务攻击、缓

24、冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等攻击行为防御能力具备检测入侵行为的能力,记录入侵的源IP、攻击的类型、攻击的目的、 攻击的时间并提供报警。采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储保密性并对数据进行分类保护。,设立或委任安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。应对要求管理人员或操作人员执行的日常管理 操作建立操作规程(信息数据销毁操作指南、 备份管理手册等)应对安全管理活动中的各类管理内容(策略配置、 补丁管理、漏洞扫描等)建立安全管理制度(信 息系统、服务器上线安全管理规范等),对于关键信息基础设施运营者,培训,管理,技术,应急

25、,应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期。,进行安全意识教育、岗位技能培训和相关安全 技术培训，进行安全技能及安全认知的考核,加强业务持续性管理，保证具有支持业务稳定，持续运行的性能,检查采购的网络产品和服务，是否与提供者签订了安全保密协议，明确了安全和保密义务与责任,企业要对向境外(包括香港)外发的数据内容、传输方式等均需要实施安全评估,应成立指导和管理信息安全工作的委员会或领 导小组,其最高领导由单位主管领导委任或授权，应配备专职安全管理员,严格规范人员录用过程,对被录用人的身份、 背景、专业资格和资质等进行审查,提供异地数据备份功能 ,利用通信网络将关键数据定时

26、批量传送至备 用场地,对网络安全风险进行全面评估，根据结果调整和修订总体安全策略、安全技术框架、安全管理策略等,监测预警与应急处置,安全云,0Day情报信誉情报威胁情报,资产发现,事件预警,政策通告,预警,第三方组织安全厂商安全机构系统厂商,上级政策/法规,安全预警平台,政策通告/事件预警,工单,通知,推送/拉取,发文,安全事件,漏洞预警,攻击预警,外部预警,内部预警,产生,第五十二条 负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。,第五十三条 负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。,行业对安全预警通报的要求,风险评估,第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。,网络安全评估；系统安全评估；应用安全评估；数据安全评估；无线安全评估；.,第三方服务商,自行,相关服务培训,关键点总结,关键信息基础设施,网络运营者,个人信息防护,安全产品认证,重要数据存储,法律责任,等级保护入法,项目建设三同步,定期安全培训,定期应急演练,谢谢！,