网络安全培训_2

网络安全培训信息安全热点与防范网络安全法解读目录CONTENTS02网络安全法基本情况03网络安全法解读04企业如何应对01信息热点与防范信息安全热点与防范安全漫谈信息安全介绍信息安全信息：指音讯、消息、通讯系统传输和处理的对象，泛指人类社会传播的一切内容。安全：安全是指没有受到威胁、没有危险、危害、损失。信息安全主要包括以下五方面的内容保密性（Confidentiality）完整性（Integrity）可用性（Availability）可控性（Controllability）不可否认性（Non-Repudiation）信息化发展前后对我们生活的影响（以前）信息化发展前后对我们生活的影响（现在）来自网络的威胁信息化的发展，带来便利的同时，也带来了其他东西棱镜门案例网络攻击–网络勒索永恒之蓝导致信息泄露的可能方式信息数据7.网络泄密8.内部人员威胁木马后门病毒和蠕虫社会工程3.电磁波泄漏9.电子邮件泄密6.手机泄密4.无线泄密1.移动存储泄密2.笔记本电脑5.蓝牙泄密为什么会有如此多的信息安全事件？因为信息=财富获取存在漏洞黑客（间谍）价值利益信息数据利用黑客？攻击门槛越来越低高低19901995200020052015猜口令自我复制程序口令破解攻击已知漏洞破坏审计后门程序干扰通信手动探测窃听数据包欺骗图形化界面自动扫描拒绝服务攻击工具攻击者攻击者的知识水平隐秘且高级的扫描工具偷窃信息网管探测新型的跨主机工具攻击的复杂度漏洞其实你们都见过漏洞分类漏洞不仅限于操作系统漏洞、中间件漏洞，还包括：以及逻辑漏洞、视觉漏洞视觉漏洞相似域名手机木马钓鱼电话伪造链接漏洞的轮回漏洞发布逆向工程分析进攻样板程序出现进攻程序开始传播周二周三周四周五通知漏洞漏洞被发现微软启动最高级别快速反应程序地下组织黑客开始研究、分析进攻样板程序黑客组织研究出利用工具微软警告用户尽快安装补丁互联网传播黑客论坛QQ群培训班大范围攻击上班时间发现网络瘫痪周六、周日周一自动化工具扩散捕获大量肉鸡黑产黑产明码标价，童叟无欺地下产业链制造、控制，培训、租售学习、赚钱僵尸网络工具、病毒制作传播销售攻击工具漏洞研究、目标破解漏洞研究攻击实施者广告经纪人需求方、服务获取者、资金注入者培训我们在同一个地下产业体系对抗地下黑客攻击网络案例1案例1案例1学习安全知识熟悉安全威胁了解安全现状使用安全技术掌握安全工具如何提高安全防范能力个人信息安全-防病毒常见病毒攻击：木马病毒“代理木马”u盘寄生虫开机型病毒文件型病毒等。个人信息安全-病毒攻击绿盟科技小贴士防病毒安装杀毒软件开启防火墙、及时更新补丁不明文件（邮件、程序、文档、链接）不要轻易打开保持安全意识个人信息安全防护－无线安全5.谨慎使用无线网络•谨慎使用不加密的wifi和众人皆知密码的加密wifi。•尽量不在无线网络中进行账户登录等操作。•警惕非正常掉线等无线网络异常。WIFI年度报告攻击原理恶意程序来源案例1常用移动安全操作——正版应用及补丁-42-正版应用：尽量通过官方移动市场下载手机应用补丁：更新最新升级补丁操作系统不root常用移动安全操作——权限管理-43-电话、短信、联系人、录音、拍照等权限最小化常用移动安全操作——支付安全窍门-44-支付宝支付安全设置（免密支付、设备管理、账户授权、复杂密码）微信支付安全设置（多重密码，自动扣费、绑卡管理、95017）使用信任wifi和4G网络登录资金安全银行卡安全用手机不扫来历不明二维码不ROOT不转发短信验证码不相信陌生短信不点来历不明链接正规渠道下载应用不轻易激活设备管理器个人信息安全防护7.包含敏感信息的纸张妥善处理•快递底单、银行小票、签购单、各种证件的复印件、火车票、机票等。•包含有敏感信息的打印废纸•与工作有关的过期文件个人信息安全-弱口令在经典故事“阿里巴巴和四十大盗“中，念出咒语“芝麻开门”，盛满金银珠宝的秘密山洞之门就会开启。你的电脑就如这个山洞——充满了被攻击者视为黄金般的珍贵信息。个人信息安全-弱口令绿盟科技小贴士强口令口令长度至少八位字符长口令应混合字母、数字和符号口令不要使用你的姓名、用户名、手机号码、生日、配偶／孩子姓名和生日等密码要进行分类设置，不同应用使用不同密码定期修改密码个人信息安全-钓鱼网站“钓鱼”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或利用真实服务器应用程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。个人信息安全-钓鱼网站绿盟科技小贴士防钓鱼攻击低价骗局勿轻开陌生链接莫打开上网防护要开启付款信息要核对…….个人信息安全-安全意识绿盟科技小贴士安全是未雨绸缪安全是防微杜渐安全是木桶原理安全是循序渐进安全是防患于未然不要等到亡羊补牢…….•适度质疑，合理挑战•保守信任•严格执行安全规程和制度•重要数据进行备份•个人、工作均应有应急预案网络安全法基本情况02立法背景-国外背景安全事件频出安全技术更新安全战略立法斯诺登事件乌克兰停电事件震网病毒云计算大数据工业4.0制定安全战略各国安全立法深化国际合作国内背景－网络安全立法刻不容缓辅色RGB：248，195，0点缀内容2016年是我国网络安全立法与网络空间安全顶层战略规划的元年2013：圆通快递信息泄露2014：携程支付信用卡泄露2015：社保疾控户籍泄露2012：CSDN、天涯网信息泄露网络空间主权-棱镜门事件(2007年起开始实施的绝密电子监听计划)网络规模-截至2016年6月，我国网民规模达到7.10亿网站漏洞等安全事件呈上升趋势公民隐私-各类泄露事件、徐玉玉事件历程早期更注重于系统、基础设施等层面的安全立法：-《信息安全等级保护管理办法》-《保守国家秘密法》-《计算机病毒防治管理办法》中央网络安全与信息化领导小组成立，两会上，“维护网络安全”首次写入政府工作报告。6月，审议了《网络安全法（草案）》。7月，向社会公开征求意见，根据各方反馈意见，对草案作了修改，形成了《网络安全法（草案第二次审议稿）》6月：对草案作二次审议7月：二次审议稿公开征求意见11月：近乎全票通过《中华人民共和国网络安全法》法早期2014201520162017《网络安全法》于6月1号正式生效。5.2日网信办发布《网络产品和服务安全审查办法》《中华人民共和国网络安全法》简介《网络安全法》是我国第一部网络安全领域的法律，是保障网络安全的基本法。网络安全法不是网络安全立法的终点，相反，是网络安全立法的起点。与《网络安全法》相关的法律有《国家安全法》，《保密法》，《反恐怖主义法》，《反间谍法》，《刑法修正案》（九），《治安管理处罚法》，《电子签名法》等。这些法律与网络安全法不是上位法和下位法的关系，同属同一法律位阶。网络安全法是我国网络安全管理的基础法律，与其它相关法律在相关条款和规定上互相衔接，互为呼应，共同构成了我国网络安全管理的综合法律体系。一共7章79条网络安全法解读03网络安全法总体概述中华人民共和国主席令第五十三号《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，现予公布，自2017年6月1日起施行。中华人民共和国主席习近平2016年11月7日第一章总则第二章网络安全支持与促进第三章网络运行安全•第一节一般规定•第二节关键信息基础设施的运行安全第四章网络信息安全第五章监测预警与应急处理第六章法律责任第七章附录14条规定简述法律目的、范围、总则，部门职责，总体要求等6条规定定义国家直属部门、政府在推动网络安全工作上的职责19条规定定义网络运营者与关键信息基础设施的运行安全规定10条规定针对网络运营者的网络运行安全要求与职责规定9条规定针对关键信息基础设施的安全规定与保护措施要求11条规定定义个人信息保护的保护规定8条规定定义国家网络安全监测预警与汇报机制17条规定定义处罚规定4条规定相关名词解释与附则网络安全法框架等级保护制度监测预警通报制度网络安全保护能力行业保护能力运营者安全保障能力产品/服务保障能力社会应急响应能力•反制管制•协助执法•国家安全审查•数据跨境安全评估•网络测评认证评估•安保义务•安管义务•保密义务•社会责任•支持运营•支持创新•协助执法•信息共享•军民融合•CERT网络安全法律框架国家网络安全领导体系网络安全保障体系网络治理体系网络安全标准体系网络安全社会化体系CIIP体系详细解读明确网络空间主权网络空间主权原则第一条为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。第二条在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。高校相关执法部门是谁？第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。《网络安全法》将现行有效的网络安全监管体制法制化，明确了网信部门与其他相关网络监管部门的职责分工。国家网信部门负责统筹协调网络安全工作和相关监督管理工作，国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作，明确了“1+X”的监管体制。目前中央网信办网络安全协调局负责统筹协调，工信部网络安全管理局负责网络安全相关管理工作，公安部十一局（网络安全保障局）负责安全保障工作。高校相关运营者义务？第九条网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。《网络安全法》第九条明确网络运营者的义务。高校相关个人权利、责任义务？第十四条任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。第二十二条网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意⋯⋯第四十一条网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则⋯⋯第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息第四十五条依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。⋯⋯网络空间主权原则网络运营者的要求网络运营者防护要求第七十九条网络运营者，是指网络的所有者、管理者和网络服务提供者。等级保护安全责任人数据防泄漏窃取篡改防病毒和网络入侵网络安全事件应急预案用户信息保护制度用户信息防泄漏用户信息内容管理网络信息投诉举报制度安全日志审计数据加密与备份第二十一条第四章用户实名制第二十五条安全事件通报机制第二十四条关键信息基础设施第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。党政机关网站、企事业单位网站、新闻网站即时通讯、网上购物、网上支付搜索引擎、邮件、论坛、地图、音视频大型数据中心、云计算平台办公系统、业务系统、工业控制系统**行业对关键信息基础设施的定义网站类平台类生产业务类关键信息基础设施防护要求第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。等级保护安全责任人数据防泄漏窃取篡改防病毒和网络入侵安全日志审计数据加密与备份第二十一条重要数据境内存储第三十七条人员安全背景审查网络安全教育培训技能考核安全事件应急