网络安全培训PPT课件下载推荐.pptx
《网络安全培训PPT课件下载推荐.pptx》由会员分享,可在线阅读,更多相关《网络安全培训PPT课件下载推荐.pptx(89页珍藏版)》请在冰豆网上搜索。
,因为,信息=财富,黑客(间谍),价值利益,信息数据,黑客?
攻击门槛越来越低,高,低,1990,1995,2000,2005,2015,猜口令,自我复制程序,口令破解,攻击已知漏洞,破坏审计,后门程序,干扰通信,手动探测,窃听,数据包欺骗,图形化界面,自动扫描,拒绝服务,www攻击,工具,攻击者,攻击者的知识水平,隐秘且高级的扫描工具,偷窃信息,网管探测,新型的跨主机工具,攻击的复杂度,漏洞,其实你们都见过,漏洞分类,漏洞不仅限于操作系统漏洞、中间件漏洞,还包括:
以及逻辑漏洞、视觉漏洞,视觉漏洞,相似域名,手机木马,钓鱼电话,伪造链接,漏洞的轮回,漏洞发布,逆向工程分析,进攻样板程序出现,进攻程序开始传播,周二,周三,周四,周五,通知漏洞漏洞被发现微软启动最高级别快速反应程序,地下组织黑客开始研究、分析,进攻样板程序黑客组织研究出利用工具微软警告用户尽快安装补丁,互联网传播黑客论坛QQ群培训班,大范围攻击,上班时间发现网络瘫痪,周六、周日,周一,自动化工具扩散捕获大量肉鸡,黑产,黑产,明码标价,童叟无欺,地下产业链,漏洞研究、目标破解,漏洞研究,我们在同一个地下产业体系对抗,地下黑客攻击网络,案例1,案例1,案例1,增强安全意识,学习安全知识,熟悉安全威胁,了解安全现状,使用安全技术,掌握安全工具,如何提高安全防范能力,个人信息安全-防病毒,常见病毒攻击:
木马病毒“代理木马”u盘寄生虫开机型病毒文件型病毒等。
个人信息安全-病毒攻击,绿盟科技小贴士,防病毒安装杀毒软件开启防火墙、及时更新补丁不明文件(邮件、程序、文档、链接)不要轻易打开保持安全意识,个人信息安全防护无线安全,5.谨慎使用无线网络,谨慎使用不加密的wifi和众人皆知密码的加密wifi。
尽量不在无线网络中进行账户登录等操作。
警惕非正常掉线等无线网络异常。
WIFI年度报告,攻击原理,恶意程序来源案例1,常用移动安全操作正版应用及补丁,-42-,正版应用:
尽量通过官方移动市场下载手机应用补丁:
更新最新升级补丁操作系统不root,常用移动安全操作权限管理,-43-,电话、短信、联系人、录音、拍照等权限最小化,常用移动安全操作支付安全窍门,-44-,支付宝支付安全设置(免密支付、设备管理、账户授权、复杂密码)微信支付安全设置(多重密码,自动扣费、绑卡管理、95017)使用信任wifi和4G网络登录资金安全银行卡,安全用手机,正规渠道下载应用,不轻易激活设备管理器,个人信息安全防护,7.包含敏感信息的纸张妥善处理,快递底单、银行小票、签购单、各种证件的复印件、火车票、机票等。
包含有敏感信息的打印废纸与工作有关的过期文件,个人信息安全-弱口令,在经典故事“阿里巴巴和四十大盗“中,念出咒语“芝麻开门”,盛满金银珠宝的秘密山洞之门就会开启。
你的电脑就如这个山洞充满了被攻击者视为黄金般的珍贵信息。
个人信息安全-弱口令,绿盟科技小贴士,强口令口令长度至少八位字符长口令应混合字母、数字和符号口令不要使用你的姓名、用户名、手机号码、生日、配偶孩子姓名和生日等密码要进行分类设置,不同应用使用不同密码定期修改密码,个人信息安全-钓鱼网站,“钓鱼”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或利用真实服务器应用程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。
个人信息安全-钓鱼网站,绿盟科技小贴士,防钓鱼攻击低价骗局勿轻开陌生链接莫打开上网防护要开启付款信息要核对.,个人信息安全-安全意识,绿盟科技小贴士,安全是未雨绸缪安全是防微杜渐安全是木桶原理安全是循序渐进安全是防患于未然不要等到亡羊补牢.,适度质疑,合理挑战保守信任严格执行安全规程和制度重要数据进行备份个人、工作均应有应急预案,网络安全法基本情况,02,立法背景-国外背景,安全事件频出,安全技术更新,安全战略立法,斯诺登事件,乌克兰停电事件,震网病毒,云计算,大数据,工业4.0,制定安全战略,各国安全立法,深化国际合作,国内背景网络安全立法刻不容缓,辅色RGB:
248,195,0点缀内容,2016年是我国网络安全立法与网络空间安全顶层战略规划的元年,2012:
CSDN、天涯网信息泄露,网络空间主权-棱镜门事件(2007年起开始实施的绝密电子监听计划)网络规模-截至2016年6月,我国网民规模达到7.10亿网站漏洞等安全事件呈上升趋势公民隐私-各类泄露事件、徐玉玉事件,历程,早期更注重于系统、基础设施等层面的安全立法:
-信息安全等级保护管理办法-保守国家秘密法-计算机病毒防治管理办法,中央网络安全与信息化领导小组成立,两会上,“维护网络安全”首次写入政府工作报告。
6月,审议了网络安全法(草案)。
7月,向社会公开征求意见,根据各方反馈意见,对草案作了修改,形成了网络安全法(草案第二次审议稿),6月:
对草案作二次审议7月:
二次审议稿公开征求意见11月:
近乎全票通过中华人民共和国网络安全法法,2017,网络安全法于6月1号正式生效。
5.2日网信办发布网络产品和服务安全审查办法,中华人民共和国网络安全法,简介网络安全法是我国第一部网络安全领域的法律,是保障网络安全的基本法。
网络安全法不是网络安全立法的终点,相反,是网络安全立法的起点。
与网络安全法相关的法律有国家安全法,保密法,反恐怖主义法,反间谍法,刑法修正案(九),治安管理处罚法,电子签名法等。
这些法律与网络安全法不是上位法和下位法的关系,同属同一法律位阶。
网络安全法是我国网络安全管理的基础法律,与其它相关法律在相关条款和规定上互相衔接,互为呼应,共同构成了我国网络安全管理的综合法律体系。
一共7章79条,网络安全法解读,03,网络安全法总体概述,14条规定简述法律目的、范围、总则,部门职责,总体要求等,6条规定定义国家直属部门、政府在推动网络安全工作上的职责,19条规定定义网络运营者与关键信息基础设施的运行安全规定,10条规定针对网络运营者的网络运行安全要求与职责规定,9条规定针对关键信息基础设施的安全规定与保护措施要求,11条规定定义个人信息保护的保护规定,8条规定定义国家网络安全监测预警与汇报机制,17条规定定义处罚规定,4条规定相关名词解释与附则,网络安全法框架,等级保护制度,监测预警通报制度,网络安全保护能力,行业保护能力,运营者安全保障能力,产品/服务保障能力,社会应急响应能力,反制管制协助执法国家安全审查数据跨境安全评估,网络测评认证评估,安保义务安管义务保密义务社会责任,支持运营支持创新协助执法,信息共享军民融合CERT,网络安全法律框架,国家网络安全领导体系,网络安全保障体系,网络治理体系,网络安全标准体系,网络安全社会化体系,CIIP体系,详细解读,明确网络空间主权,网络空间主权原则,第一条为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
第二条在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。
高校相关,执法部门是谁?
第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。
国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
网络安全法将现行有效的网络安全监管体制法制化,明确了网信部门与其他相关网络监管部门的职责分工。
国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作,明确了“1+X”的监管体制。
目前中央网信办网络安全协调局负责统筹协调,工信部网络安全管理局负责网络安全相关管理工作,公安部十一局(网络安全保障局)负责安全保障工作。
高校相关,运营者义务?
第九条网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
网络安全法第九条明确网络运营者的义务。
高校相关,个人权利、责任义务?
第十四条任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。
收到举报的部门应当及时依法作出处理;
不属于本部门职责的,应当及时移送有权处理的部门。
第二十二条网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息第四十五条依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
网络空间主权原则,网络运营者的要求,网络运营者防护要求,第七十九条网络运营者,是指网络的所有者、管理者和网络服务提供者。
等级保护,安全责任人,数据防泄漏窃取篡改,防病毒和网络入侵,网络安全事件应急预案,用户信息保护制度,用户信息防泄漏,用户信息内容管理,网络信息投诉举报制度,安全日志审计,数据加密与备份,第二十一条,第四章,用户实名制,第二十五条,安全事件通报机制,第二十四条,关键信息基础设施,第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
党政机关网站、企事业单位网站、新闻网站,即时通讯、网上购物、网上支付,搜索引擎、邮件、论坛、地图、音视频,大型数据中心、云计算平台,办公系统、业务系统、工业控制系统,*行业对关键信息基础设施的定义,关键信息基础设施防护要求,第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
等级保护,安全责任人,数据防泄漏窃取篡改,防病毒和网络入侵,安全日志审计,数据加密与备份,第二十一条,重要数据境内存储,第三十七条,人员安全背景审查,网络安全教育培训技能考核,安全事件应急预案与演练,第三十四条,用户信息保护制度,用户信息防泄漏,用户信息内容管理,网络信息投诉举报制度,第四章,每年至少一次风险评估,第三十八条,第五十二、三条,应急预案与演练,安全监测预警通报,第三十五、六条,保密协议,产品和服务采购机制,用户实名制,第二十四条,行业对关键基础设施的要求,行业网络安全重点保护对象,相关监管机构,国家互联网信息办公室,工业和信息化部,公安部,检查和监督权:
对关键信息基础设施的安全风险进行抽查检测,
升级会员 