网络安全培训教材
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
远程控制类
所谓远程控制,是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段,连通需被控制 的计算机,将被控计算机的桌面环境显示到自己的计算机上,通过本地计算机对远方计算机进行配置、软件 安装程序、修改等工作,可以进行任何危险操作。
木马、间谍软件、病毒、 APT
5
一、网络安全业界事件及形势—业界形式
查。
警示一、弱密码不可取,未修改初始密码更易被攻击 警示二、系统的相对封闭是系统安全运行的首要保障
4
一、网络安全业界事件及形势—常见的威胁
黑客
病毒
蠕虫
网络钓鱼
客户网络承载数
木马
网络钓鱼
Байду номын сангаас
垃圾邮件
僵尸网络 D-DOS
类别
目的及威胁
主要攻击方式
信息窃取类
主要以盗取机密信息、个人数据、敏感数据为目的,隐蔽性强,威胁国家保密信息、公司商业机密,个人隐 木马、网络钓鱼、垃圾邮件、
• 从严要求保护个人数据和隐私(德国/土耳其/丹麦客户要求在本地处理个人数据);
• 中国政府客户在政务云招标中直接采取了NIST SP 800-53(联邦信息系统及组织安全和 隐私控制)作为安全要求
➢ 倡导建立统一的供应链评估标准,支持ICT行业全球化的发展
• 美国智库布鲁金斯发布如何在ICT全球供应链建立信任的白皮书,倡导建立统一标准
➢开源漏洞迅速上升,2014年业界爆发5起一级开源漏洞,几乎涉及华为所有产品和供应商,海康视讯事件突显了供应链的脆弱性7
二、网络安全的定义
网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗
攻击性,及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动。
误区3: 网络安全 = 物理和人身安全 8
误区4: 网络Cyber = Network
二、网络安全的定义
• 网络安全五个特性
业界网络安全三性 CIA
机密性 确保信息在存储、使用、传输过程中不会泄漏给非 ✓机密性(Confidentiality)
授权用户或实体。
指只有授权用户可以获取信息
私数据等,对于被攻击目标危害极大。
间谍软件等
拒绝服务类
以攻瘫目标为目的,即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。拒绝服务攻击 问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻 击也成为了攻击者的终极手法
病毒、蠕虫、DDOS、僵尸 网络
深圳市深华世纪科技有限公司
网络安全培训教材 信息安全小组编制
1
网络安全基础知识培训
2
培训目的
学习重点
让员工对网络安全有一定了解,并在工作 中按照相应的规范要求进行作业
培训对象
所有入职员工
培训讲师 培训时间
一小时
1.网络安全业界事件及形势 2.网络安全的定义 3.网络安全基本概念 4.网络安全管理要求 5.日常检查要求
• 客户越来越关注供应商的网络安全管理,尤其 是开源软件清单及可追溯问题,越来越多敏感 国家客户提出要交流供应商安全议题。
• UK、德国等国运营商如VDF、DT将对供应链安 全要求写入合同,要求遵从当地(AEO)或者 美国(C-TPAT)的供应链安全标准。
• Telenor、BT、VDF等客户强调华为可追溯数据 库要利用起来,帮助华为进行漏洞影响的和监 控;
通过网络安全的保障,避免客户的经济、声誉受损;避免行为人或承担民事、行政甚至刑事责任;
避免成为贸易保护的借口。
• 网络安全
网络安全 Cyber Security
可用性
客户网络承载数据/隐 私
业务连续及健壮的网络
抗攻击性
完整性
机密性
可追溯性
误区1: 网络安全 = 信息安全
误区2: 网络安全 = 防攻击防病毒
3
一、网络安全业界事件及形势—安全事件
布什尔核电站
反应堆已封项,马 上可以发电了
哈哈!我叫震网, 我来了
2010年9月,伊 朗核设施突遭 来源不明的网 络病毒攻击, 纳坦兹离心浓 缩厂的上千台 2015年2月27日江苏省公安厅紧 离心机报废 急通知由于海康威视监控设备存在巨
大安全隐患,部分设备已被境外IP控 制,要求对海康监控设备进行全面清
• 全球ICT产业界发布声明《政府网络安全推荐性实施准则》,建议政府统一对业界的网
络安全标准
6
一、网络安全业界事件及形势—业界形式
从运营商到最终用户对网络安全要求和隐私保护都更加重视
• 从运营商到最终用户对网络安全要求和隐私保护都更加重视
运营商
企业网
• 运营商对供应链越来越从关注管理方法向关注 细节和技术实现方式上转变,如:如何从技术 上保证产品加载的软件完整性可校验;
加强商品的完整性和建立一个恢复能力强的供应链。”
• NIST(美国国家标准局)刷新了新的信息安全要求,在其中明确了对的供应链安全要求, 如NIST SP800-161(联邦信息系统和组织的供应链风险管理实践)。
➢ 隐私和客户数据保护依然是政府和客户关注的重点
• 欧盟正在拟制的个人数据保护法,加大了对设备供应商的法律责任,在逆向再利用、已 使用货物报废和设备搬迁时需要满足当地的法规要求;
消费者
• 消费者越来越倚重和使用移动 业务,手机成为最重要的交流 媒介,手机消费者个人隐私数 据的保密要求变得空前重要;
• Gartner的调查指出使用社交媒 体时,最重要的挑战是首先要 解决安全和隐私、内容管理等 问题
• 个人数据的保护应贯穿到每个 产品的生命周期中: 数据收集、 数据存储、数据转移/共享、数 据留存与删除等
• 各方对ICT供应链网络安全越来越关注,强调产品在供应链中的高效流动、完
整性和数据及隐私保护
➢ 美国依然是供应链网络安全的领先者
➢ 美国政府的供应链安全管理:美国在供应链安全领域很早就进行规划和布局, 并形成了完整的供应链风险管控体系,由于其领先和示范作用,其他各国会效 仿和借鉴
• 美国通过将供应链的安全纳入国家战略,其核心诉求是建立“促进商品高效安全的流动,
•云服务、银行、交通、电力、医院、 政府等企业客户除了传统的网络安全 要求外,对用户数据和隐私保护要求 更高; •企业网客户,如亚马逊、HP等北美 客户依据C-TPAT+客户内部少量的定 制化需求提出安全要求,其他市场客 户尚未明确类似要求; •中国政府客户在政务云招标中采取 了NIST SP800-53。