业务支撑网网络及系统安全培训

国家级的威胁--棱镜门
英国《卫报》和美国《华盛顿邮报》2013年6月6日报道，美 国国家安全局和联邦调查局于2007年启动了一个代号为“棱镜” 的秘密监控项目，直接进入美国网际网路公司的中心服务器里挖掘 数据、收集情报，包括微软、雅虎、谷歌、苹果等在内的9家国际 网络巨头皆参与其中。
国家级的威胁-棱镜门
支付宝实名认证漏洞
10月，支付宝实名认证存 在漏洞。登录支付宝后无意 间打开支付宝实名认证页面， 用户的实名认证信息下多出 了5个未知账户，而且用户没 收到任何形式的确认或是告 知信息，不论是短信、邮件、 或者是登陆后的站内信息都 没有。
泄密事件分析
泄密途径：
黑客入侵、用户信息未加密、企业内部员工窃密 、服务外包人员窃密
社保信息泄露
围绕社保系统、户籍查询系统、疾控中 心、医院等大量曝出高危漏洞的省市已经 超过30个，仅社保类信息安全漏洞统计就 达到5279.4万条，涉及人员数量达数千万 ，其中包括个人身份证、社保参保信息、 财务、薪酬、房屋等敏感信息。
这些信息一旦泄露，造成的危害 不仅是个人隐私全无，还会被犯罪分 子利用，例如复制身份证、盗办信用 卡、盗刷信用卡等一系列刑事犯罪和 经济犯罪。
提纲
信息安全面临的威胁 黑客的人群及其文化 客户信息安全管理法律法规 员工日常安全意识 应该掌握的信息安全常识 4A平台、金库模式操作简介
信息安全面临的威胁......
信息安全面临的威胁......
1、国家级的威胁 –全球网络军事化进程加快：网战、网军、网武、网演 –网络攻击国家背景显现：震网、火焰、高斯是美国+以色列制造的 2、恐怖组织的威胁 •恐怖组织利用网络的特点，用“四两拨千斤”的方法，针对国家高 度信息化后产生的弱点，对涉及国计民生的国家信息基础设施和重要 信息系统图谋开展网络攻击。 3、经济犯罪的威胁 •网络违法犯罪行为的驱利化特征日益明显，网络犯罪向规模化、综 合化集成化和智能化方向发展。 4、黑客团体的威胁 •匿名者、叙利亚电子军、蜥蜴小组等 5、极端个人的威胁 6、技术创新应用引发新威胁 •云计算、大数据、物联网、移动互联网 •安全性提高速度落后于推广使用速度
泄密事件
十大酒店泄露大量房客开房信息
桔子酒店信息泄露
本次桔子酒店官网漏 洞问题极其严重—— 2008年-2015年的所有 酒店订单、开房信息可 一览无余，包括顾客姓 名、身份证、手机号、 开房时间、退房时间、 家庭住址……
本次桔子酒店除可能泄 漏大量订单、开房信息的漏 洞外，其后台也被曝出安全 问题。攻击者可使用最高权 限查看酒店管理系统，系统 内容丰富，包括桔子各分店 管理、部门组织架构等。
《中华人民共和国网络安全法》
2016年11月7日，第十二届全 国人民代表大会常务委员会第 二十四次会议通过了《中华人 民共和国网络安全法》。
该法自2017年6月1日起施行。
这是我国第一部网络安全领域 的法律，是保障网络安全的基 本法，网络安全法不是网络安 全立法的终点，而是起点。
客户信息安全管理法律法规
《中华人民共和国网络安全法》主要内容
■ 四大责任主体： 国家、政府部门、网络运营者、网络产品服务提供者
■ 五方管理机构： 网信部门、电信主管部门、公安部门、地方政府、行业组织
■ 四类重点工作： 运行安全、数据安全、信息（内容）安全、特殊通信
■ 八项基本制度： 等级保护制度、实名登记制度 关键信息基础设施保护制度、国家安全审查制度 个人信息和重要数据出境管理制度、个人信息保护制度 网络产品检测认证制度、监测预警和应急处置制度
2013年6月13日
斯诺登表示，美国一直从事针对中国个人和机构的网络攻击。
在网络空间力量上，美 国处于资源、技术垄断的优 势地位，对互联网拥有绝对 的管理权。
我们事实上生活在一个 被无数摄像头监控的世界里。 网络空间是人类社会全新的 一个精神乐园，承载了大量 包括内心世界交流的私密信 息，个人隐私极易暴露。
客户信息安全管理法律法规
网络安全法目录
明确了网络安全发制定的目的，范围。总体方针， 基本要求、主要目标和总体规定等等
第一章 总 则 第二章 网络安全支持与促进 第三章 网络运行安全
第一节 一般规定 第二节 关键信息基础设施的 运行安全
第四章 网络信息安全 第五章 监测预警与应急处置 第六章 法律责任 第七章 附 则
业务支撑网 网络与系统安全培训
叶强 贵州移动/信息技术部
2018年7月
网络与信息安全已上升为国家战略，事关国家安全、社会 稳定、公民权益
网络与信息安全也事关公司健康发展，涉及公司的各个方 面，公司各级领导高度重视
自从网络诞生以来，各种安全事件层出不穷，近年来愈演 愈烈
我们都需要有基本的网络与信息安全常识
内部威胁---不发年终奖很危险
内部的威胁---来源企业内部
来源于企业内部的安全威胁，给组织带来的影响是最严 重的
有数据统计表明，企业内部员工行为给组织带来的安全 影响程度，远高于其他安全威胁，而员工的行为，可以 分为：
1、有怨言的员工 2、粗心或缺少安全意识的误操作
金库模式操作的推出与此有一定的关系
其中，企业员原因：
现行监管制度的欠缺 内部管理和技术措施的缺失 个人信息安全保护意识的薄弱 其中企业的内网安全防护水平更是偏低，不论是
外部黑客入侵，还是内部泄密，企业都缺乏有力 的监管手段。
客户信息安全管理法律法规
客户信息安全管理法律法规
国家何如支持网络安全的建设，包括：国家支持企 业、研究机构等参与标准的制定；国家地方政府对 信息安全的规划；鼓励企业和机构开展安全认证服
国家级的威胁-棱镜门
斯诺登事件的影响
美国对全球监控的事实浮出水面 揭露了美国霸权主义本性 反映了发展中国家在网络时代所处的困境 曝露了网络化力量的非平衡性 改变人们对网络世界的认识 影响未来的战略布局
黑客谋利威胁
2014年6月，北大官网遭黑客入侵篡改，网站被植入 假冒淘宝的钓鱼页面。如果用户在此页面购物，支付 宝账户将被黑客盗取。据统计，仅2016年上半年，因 访问被黑客篡改的正规网站的受害者，人均损失高达 1.7万元。