网络安全培训教材.ppt

深圳市深华世纪科技有限公司网络安全培训教材信息安全小组编制网络安全基础知识培训培训目的让员工对网络安全有一定了解，并在工作中按照相应的规范要求进行作业培训对象培训讲师培训时间所有入职员工一小时学习重点1.网络安全业界事件及形势2.网络安全的定义3.网络安全基本概念4.网络安全管理要求5.日常检查要求一、网络安全业界事件及形势—安全事件反应堆已封项，马上可以发电了2010年9月，伊朗核设施突遭来源不明的网络病毒攻击，纳坦兹离心浓缩厂的上千台离心机报废2015年2月27日江苏省公安厅紧急通知由于海康威视监控设备存在巨大安全隐患，部分设备已被境外IP控制，要求对海康监控设备进行全面清查。布什尔核电站哈哈！我叫震网，我来了警示一、弱密码不可取，未修改初始密码更易被攻击警示二、系统的相对封闭是系统安全运行的首要保障一、网络安全业界事件及形势—常见的威胁病毒蠕虫木马D-DOS垃圾邮件僵尸网络网络钓鱼网络钓鱼客户网络承载数黑客类别目的及威胁主要攻击方式信息窃取类主要以盗取机密信息、个人数据、敏感数据为目的，隐蔽性强，威胁国家保密信息、公司商业机密，个人隐私数据等，对于被攻击目标危害极大。木马、网络钓鱼、垃圾邮件、间谍软件等拒绝服务类以攻瘫目标为目的，即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法病毒、蠕虫、DDOS、僵尸网络远程控制类所谓远程控制，是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段，连通需被控制的计算机，将被控计算机的桌面环境显示到自己的计算机上，通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作，可以进行任何危险操作。木马、间谍软件、病毒、APT一、网络安全业界事件及形势—业界形式各方对ICT供应链网络安全越来越关注，强调产品在供应链中的高效流动、完整性和数据及隐私保护美国依然是供应链网络安全的领先者美国通过将供应链的安全纳入国家战略，其核心诉求是建立“促进商品高效安全的流动，加强商品的完整性和建立一个恢复能力强的供应链。”NIST（美国国家标准局）刷新了新的信息安全要求，在其中明确了对的供应链安全要求，如NISTSP800-161（联邦信息系统和组织的供应链风险管理实践）。隐私和客户数据保护依然是政府和客户关注的重点欧盟正在拟制的个人数据保护法，加大了对设备供应商的法律责任，在逆向再利用、已使用货物报废和设备搬迁时需要满足当地的法规要求；从严要求保护个人数据和隐私（德国/土耳其/丹麦客户要求在本地处理个人数据）；中国政府客户在政务云招标中直接采取了NISTSP800-53（联邦信息系统及组织安全和隐私控制）作为安全要求倡导建立统一的供应链评估标准，支持ICT行业全球化的发展美国智库布鲁金斯发布如何在ICT全球供应链建立信任的白皮书，倡导建立统一标准全球ICT产业界发布声明《政府网络安全推荐性实施准则》，建议政府统一对业界的网络安全标准美国政府的供应链安全管理：美国在供应链安全领域很早就进行规划和布局，并形成了完整的供应链风险管控体系，由于其领先和示范作用，其他各国会效仿和借鉴一、网络安全业界事件及形势—业界形式

从运营商到最终用户对网络安全要求和隐私保护都更加重视运营商对供应链越来越从关注管理方法向关注细节和技术实现方式上转变，如：如何从技术上保证产品加载的软件完整性可校验；客户越来越关注供应商的网络安全管理，尤其是开源软件清单及可追溯问题，越来越多敏感国家客户提出要交流供应商安全议题。UK、德国等国运营商如VDF、DT将对供应链安全要求写入合同，要求遵从当地（AEO）或者美国（C-TPAT）的供应链安全标准。Telenor、BT、VDF等客户强调华为可追溯数据库要利用起来，帮助华为进行漏洞影响的和监控；云服务、银行、交通、电力、医院、政府等企业客户除了传统的网络安全要求外，对用户数据和隐私保护要求更高；企业网客户，如亚马逊、HP等北美客户依据C-TPAT+客户内部少量的定制化需求提出安全要求，其他市场客户尚未明确类似要求；中国政府客户在政务云招标中采取了NISTSP800-53。消费者越来越倚重和使用移动业务，手机成为最重要的交流媒介，手机消费者个人隐私数据的保密要求变得空前重要；Gartner的调查指出使用社交媒体时，最重要的挑战是首先要解决安全和隐私、内容管理等问题个人数据的保护应贯穿到每个产品的生命周期中:数据收集、数据存储、数据转移/共