网络安全培训教材.pptx

《网络安全培训教材.pptx》由会员分享，可在线阅读，更多相关《网络安全培训教材.pptx（23页珍藏版）》请在三一办公上搜索。

1、网络安全基础知识培训,培训目的,让员工对网络安全有一定了解，并在工作中按照相应的规范要求进行作业,培训对象,培训讲师,培训时间,所有入职员工,一小时,学习重点,1.网络安全业界事件及形势2.网络安全的定义3.网络安全基本概念4.网络安全管理要求5.日常检查要求,一、网络安全业界事件及形势安全事件,反应堆已封项，马上可以发电了,2010年9月，伊朗核设施突遭来源不明的网络病毒攻击，纳坦兹离心浓缩厂的上千台离心机报废,2015年2月27日江苏省公安厅紧急通知由于海康威视监控设备存在巨大安全隐患，部分设备已被境外IP控制，要求对海康监控设备进行全面清查。,布什尔核电站,哈哈！我叫震网，我来了,警示一

2、、弱密码不可取，未修改初始密码更易被攻击警示二、系统的相对封闭是系统安全运行的首要保障,一、网络安全业界事件及形势常见的威胁,病毒,蠕虫,木马,D-DOS,垃圾邮件,僵尸网络,网络钓鱼,网络钓鱼,客户网络承载数,黑客,一、网络安全业界事件及形势业界形式,各方对ICT供应链网络安全越来越关注，强调产品在供应链中的高效流动、完整性和数据及隐私保护,美国依然是供应链网络安全的领先者美国通过将供应链的安全纳入国家战略，其核心诉求是建立“促进商品高效安全的流动，加强商品的完整性和建立一个恢复能力强的供应链。”NIST（美国国家标准局）刷新了新的信息安全要求，在其中明确了对的供应链安全要求，如NIST S

3、P800-161（联邦信息系统和组织的供应链风险管理实践）。隐私和客户数据保护依然是政府和客户关注的重点欧盟正在拟制的个人数据保护法，加大了对设备供应商的法律责任，在逆向再利用、已使用货物报废和设备搬迁时需要满足当地的法规要求；从严要求保护个人数据和隐私（德国/土耳其/丹麦客户要求在本地处理个人数据）；中国政府客户在政务云招标中直接采取了NIST SP 800-53（联邦信息系统及组织安全和隐私控制）作为安全要求倡导建立统一的供应链评估标准，支持ICT行业全球化的发展美国智库布鲁金斯发布如何在ICT全球供应链建立信任的白皮书，倡导建立统一标准 全球ICT产业界发布声明政府网络安全推荐性实施准则

4、，建议政府统一对业界的网络安全标准,美国政府的供应链安全管理：美国在供应链安全领域很早就进行规划和布局，并形成了完整的供应链风险管控体系，由于其领先和示范作用，其他各国会效仿和借鉴,一、网络安全业界事件及形势业界形式,从运营商到最终用户对网络安全要求和隐私保护都更加重视,运营商对供应链越来越从关注管理方法向关注细节和技术实现方式上转变，如：如何从技术上保证产品加载的软件完整性可校验；客户越来越关注供应商的网络安全管理，尤其是开源软件清单及可追溯问题，越来越多敏感国家客户提出要交流供应商安全议题。UK、德国等国运营商如VDF、DT将对供应链安全要求写入合同，要求遵从当地（AEO）或者美国（C-T

5、PAT）的供应链安全标准。Telenor、BT、VDF等客户强调华为可追溯数据库要利用起来，帮助华为进行漏洞影响的和监控；,云服务、银行、交通、电力、医院、政府等企业客户除了传统的网络安全要求外，对用户数据和隐私保护要求更高；企业网客户，如亚马逊、HP等北美客户依据C-TPAT+客户内部少量的定制化需求提出安全要求，其他市场客户尚未明确类似要求；中国政府客户在政务云招标中采取了NIST SP800-53。,消费者越来越倚重和使用移动业务，手机成为最重要的交流媒介，手机消费者个人隐私数据的保密要求变得空前重要；Gartner的调查指出使用社交媒体时，最重要的挑战是首先要解决安全和隐私、内容管理等

6、问题个人数据的保护应贯穿到每个产品的生命周期中:数据收集、数据存储、数据转移/共享、数据留存与删除等,开源漏洞迅速上升，2014年业界爆发5起一级开源漏洞，几乎涉及华为所有产品和供应商，海康视讯事件突显了供应链的脆弱性,运营商,企业网,消费者,从运营商到最终用户对网络安全要求和隐私保护都更加重视,网络安全,二、网络安全的定义,网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性，及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动。通过网络安全的保障，避免客户的经济、声誉受损；避免行为人或承担民事、行政甚至刑事责任；避免成为贸易保护的借口。

7、,误区,误区1:网络安全=信息安全误区2:网络安全=防攻击防病毒误区3:网络安全=物理和人身安全误区4:网络Cyber=Network,网络安全Cyber Security,二、网络安全的定义,网络安全五个特性,机密性（Confidentiality）指只有授权用户可以获取信息完整性（Integrality）指信息在输入和传输的过程中，不被非法授权修改和破坏，保证数据的一致性可用性（Availability）指保证合法用户对信息和资源的使用不会被不正当地拒绝。,业界网络安全三性 CIA,三、网络安全基本概念-关键部件,【网络安全关键部件】软件及可存储软件的载体包括但不限于硬盘、SD卡、CF卡、

8、U盘、磁带、Flash。,核心是“软件”软件、可存储软件的硬件,三、网络安全基本概念-关键岗位,【网络安全关键岗位】：网络安全关键岗位是指各业务流程和活动中可能利用职务之便植入、篡改、处理客户产品、网络信息、客户网络中所承载的客户或用户的通信内容、个人数据及隐私，对网络安全会产生重大影响或后果的岗位,网络安全管理要求-概要,保障产品在供应链中的完整性、真实性、可追溯性，防止产品被篡改、植入、伪造等网络安全风险，并通过对供应过程的可追溯来达到供应链风险的有效管理。供应链是保障产品从研发、生产到客户端到端完整性的重要一环，供应链应避免华为生产或购买的产品中的软件、硬件或数据等在生产与交付中被恶意篡

9、改或植入、确保交付给客户的产品与研发发布的一致。供应链在生产、交付过程中防止使用被伪造部件，保障生产过程及交付给客户产品的真实性.供应链应建立可追溯系统，支撑产品和部件在供应链过程中的可追溯性。供应链须对产品和部件建立唯一标识，并确保这些信息被有效记录。,网络安全管理要求-术语,伪造产品(Counterfeit)：产品不是通过正规可靠渠道供应的，但是却以合法产品的身份出现。篡改/植入(Tainted)：生产的产品或购买的供应商产品，但因为软件、硬件或数据等被恶意更改，导致产品功能、性能和服务与设计意图不符。可追溯(Traceability)：使用专业管理工具和综合系统，实现基于数据仓库的来料到

10、站点的全交付过程的软硬件记录回溯，让相关产品和部件在整个供应链中可以追踪。O-TTPS：开放组织技术供应商标准，该标准叙述了一套行业最佳实践要求和建议，当组织采用这套要求和建议时，可以为买家减少买到被篡改产品或者伪造产品的风险，带来商业利益。ISO28000:是国际标准化组织（ISO）制定的应对供应链威胁的系统解决方案，为供应链安全管理提供方法论，适用于所有行业。,网络安全管理要求-术语,C-TPAT标准:海关-贸易反恐怖联盟(Customs-Trade Partnership Against Terrorism)，由美国国土安全部海关边境保护局倡议成立的自愿性计划，参与这项计划的成员将依据C

11、-TPAT所订立的安全建议去强化其有关设施、人员、程序及交付运输方面的安全措施及管理，内容涵盖八大范围：商业合作伙伴要求、程序安全、信息技术安全、物理安全、准入控制、人员安全、安全培训与警觉意识和集装箱与拖车安全。AEO标准:经授权的经营者（Authorized Economic Operator），在世界海关组织（WCO）制定的全球贸易安全与便利标准框架中被定义为：“以任何一种方式参与货物国际流通，并被海关当局认定符合世界海关组织或相应供应链安全标准的一方，包括生产商、进口商、出口商、报关行、承运商、理货人、中间商、口岸和机场、货站经营者、综合经营者、仓储业经营者和分销商”。TAPA标准:是

12、由运输资产保护协会（Transported Asset Protection Association)发布的标准，该协会是由安全专家和来自相关高科技公司的业务伙伴组成的协会，旨在处高科技产业普遍面临的新兴威胁。,网络安全管理要求-红线,网络安全红线来源于政府要求、法律法规、客户要求以及业界规范等，其目标是保障产品在供应环节的完整性、真实性及对客户数据的保护.工作时只能使用企业邮箱，不得使用QQ、163等其他非企业邮箱。所有邮箱都只能一个人使用，不得共用，密码需定期更改（每月一次），不得泄露，不得随意借给他人使用所有人的电脑密码专人专用，定期更改，不得转借他人，不得泄露，人员离开电脑时，电脑必须

13、锁住，不得让其他人打开。网络使用者发送电子邮件内容由本人操作负责,未经允许，不得利用公司网络、邮件等向外发送、传递信息。所有人不得将与项目业务相关的信息发送到其他部门，如：华为项目部的业务相关的邮件不得发给中兴、酷派、PPTV部门的人员。员工利用木马、网络钓鱼、垃圾邮件、间谍软件以盗取机密信息、个人数据、敏感数据,网络安全管理要求-红线,员工私自携带储存介质进入车间拷贝机密文件在产品发货前须按研发要求关闭生产测试端口，禁止产品中存在非指定发货软件；仅可以出于维修和检测目的在工厂特定的设备上打开，并在维修、检测结束后须再关闭须确保网络安全关键部件的真实性，禁止使用来源不明的网络安全关键部件或者已

14、知的伪造品进行生产和发货。员工作业电脑有外网权限并在工作期间浏览与工作无关的网站员工作业电脑没有安装杀毒软件、没有定期杀毒及更新病毒库员工使用带摄像头USB功能的手机进入车间员工电脑安装与工作无关的软件员工作业电脑没有设置密码、电脑没有设置屏幕保护、离岗时作业电脑没有及时锁屏,网络安全管理要求-红线,管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段，连通需被控制的计算机，将被控计算机的桌面环境显示到自己的计算机上，通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作员工不得私自使用相机进行拍照非授权人员不得进入华为网站下载相关文件,杀毒软件更新状态,杀毒软件更新状态,杀毒软件更新状态,杀毒软件更新状态,设置屏保状态,应用程序查询,THANK YOU!,