网络安全培训教材PPT格式课件下载.pptx
《网络安全培训教材PPT格式课件下载.pptx》由会员分享,可在线阅读,更多相关《网络安全培训教材PPT格式课件下载.pptx(24页珍藏版)》请在冰豆网上搜索。
木马、间谍软件、病毒、APT一、网络安全业界事件及形势业界形式各各方对方对ICTICT供应链网络安全越来越关注,供应链网络安全越来越关注,强调产品在供应链中的高效流动、完强调产品在供应链中的高效流动、完整性和数据及隐私保护整性和数据及隐私保护美国依然是供应链网络安全的领先者美国通过将供应链的安全纳入国家战略,其核心诉求是建立“促进商品高效安全的流动,加强商品的完整性和建立一个恢复能力强的供应链。
”NIST(美国国家标准局)刷新了新的信息安全要求,在其中明确了对的供应链安全要求,如NISTSP800-161(联邦信息系统和组织的供应链风险管理实践)。
隐私和客户数据保护依然是政府和客户关注的重点欧盟正在拟制的个人数据保护法,加大了对设备供应商的法律责任,在逆向再利用、已使用货物报废和设备搬迁时需要满足当地的法规要求;
从严要求保护个人数据和隐私(德国/土耳其/丹麦客户要求在本地处理个人数据);
中国政府客户在政务云招标中直接采取了NISTSP800-53(联邦信息系统及组织安全和隐私控制)作为安全要求倡导建立统一的供应链评估标准,支持ICT行业全球化的发展美国智库布鲁金斯发布如何在ICT全球供应链建立信任的白皮书,倡导建立统一标准全球ICT产业界发布声明政府网络安全推荐性实施准则,建议政府统一对业界的网络安全标准美国政府的供应链安全管理:
美国在供应链安全领域很早就进行规划和布局,并形成了完整的供应链风险管控体系,由于其领先和示范作用,其他各国会效仿和借鉴一、网络安全业界事件及形势业界形式从运营商到最终用户对网络安全要求和隐私保护都更加重视从运营商到最终用户对网络安全要求和隐私保护都更加重视运营商对供应链越来越从关注管理方法向关注细节和技术实现方式上转变,如:
如何从技术上保证产品加载的软件完整性可校验;
客户越来越关注供应商的网络安全管理,尤其是开源软件清单及可追溯问题,越来越多敏感国家客户提出要交流供应商安全议题。
UK、德国等国运营商如VDF、DT将对供应链安全要求写入合同,要求遵从当地(AEO)或者美国(C-TPAT)的供应链安全标准。
Telenor、BT、VDF等客户强调华为可追溯数据库要利用起来,帮助华为进行漏洞影响的和监控;
云服务、银行、交通、电力、医院、政府等企业客户除了传统的网络安全要求外,对用户数据和隐私保护要求更高;
企业网客户,如亚马逊、HP等北美客户依据C-TPAT+客户内部少量的定制化需求提出安全要求,其他市场客户尚未明确类似要求;
中国政府客户在政务云招标中采取了NISTSP800-53。
消费者越来越倚重和使用移动业务,手机成为最重要的交流媒介,手机消费者个人隐私数据的保密要求变得空前重要;
Gartner的调查指出使用社交媒体时,最重要的挑战是首先要解决安全和隐私、内容管理等问题个人数据的保护应贯穿到每个产品的生命周期中:
数据收集、数据存储、数据转移/共享、数据留存与删除等开源漏洞迅速上升,2014年业界爆发5起一级开源漏洞,几乎涉及华为所有产品和供应商,海康视讯事件突显了供应链的脆弱性运营商企业网消费者从运营商到最终用户对网络安全要求和隐私保护都更加重视从运营商到最终用户对网络安全要求和隐私保护都更加重视网络安全二、网络安全的定义网络安全网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性,及保护其所承载的客户或用户客户或用户的通信内容、个人数据及隐私、客观信息流动。
通过网络安全的保障,避免客户的经济、声誉受损;
避免行为人或承担民事、行政甚至刑事责任;
避免成为贸易保护的借口。
客户网络承载数据客户网络承载数据/隐隐私私业务连续及健壮的网络业务连续及健壮的网络完整性完整性可用性可用性机密性机密性可追溯性可追溯性抗攻击性抗攻击性误区误区误区误区1:
网络安全网络安全=信息安全信息安全误区误区2:
网络安全网络安全=防攻击防病毒防攻击防病毒误区误区3:
网络安全网络安全=物理和人身安全物理和人身安全误区误区4:
网络网络Cyber=Network网络安全网络安全CyberSecurity二、网络安全的定义网络安全五个特性确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。
确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
完整性系统或设备遭受攻击时,具体一定的防护能力。
确保实体行动或信息流动可被追踪。
抗攻击性确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。
可用性机密性可追溯性机密性(Confidentiality)指只有授权用户可以获取信息完整性(Integrality)指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性可用性(Availability)指保证合法用户对信息和资源的使用不会被不正当地拒绝。
业界网络安全三性业界网络安全三性CIA三、网络安全基本概念-关键部件【网络安全关键部件网络安全关键部件】软件及可存储软件的载体包括但不限于硬盘、软件及可存储软件的载体包括但不限于硬盘、SDSD卡、卡、CFCF卡、卡、UU盘、磁带、盘、磁带、FlashFlash。
核心是核心是“软件软件”软件、可存储软件的硬件软件、可存储软件的硬件网络安全关键物料产品类别主要涉及产品IT类便携机、工控机、台式机、工作站、PC服务器、小型机计算机配件独立硬盘、U盘、CF卡、SD卡、闪存卡等软件类操作系统类软件、办公软件、网络服务器软件软件License三、网络安全基本概念-关键岗位【网络安全关键岗位】:
网络安全关键岗位是指各业务流程和活动中可能利用职务之便植入、篡改、处理客户产品、网络信息、客户网络中所承载的客户或用户的通信内容、个人数据及隐私,对网络安全会产生重大影响或后果的岗位序号网络安全关键岗位1来料检验员(IQC)(存储类)2测试工艺工程师(生产软件管理(含技术员)3制造IT工程师(软件服务器与测试网络管理(含技术员)4软件烧录员5手工测试员(含无线模块测试、FT及整机测试)6物料员(贵重物料管理)(POC直发)网络安全管理要求-概要保障产品在供应链中的完整性、真实性、可追溯性,防止产品被篡改、植入、伪造等网络安全风险,并通过对供应过程的可追溯来达到供应链风险的有效管理。
供应链是保障产品从研发、生产到客户端到端完整性的重要一环,供应链应避免华为生产或购买的产品中的软件、硬件或数据等在生产与交付中被恶意篡改或植入、确保交付给客户的产品与研发发布的一致。
供应链在生产、交付过程中防止使用被伪造部件,保障生产过程及交付给客户产品的真实性.供应链应建立可追溯系统,支撑产品和部件在供应链过程中的可追溯性。
供应链须对产品和部件建立唯一标识,并确保这些信息被有效记录。
网络安全管理要求-术语伪造产品(Counterfeit):
产品不是通过正规可靠渠道供应的,但是却以合法产品的身份出现。
篡改/植入(Tainted):
生产的产品或购买的供应商产品,但因为软件、硬件或数据等被恶意更改,导致产品功能、性能和服务与设计意图不符。
可追溯(Traceability):
使用专业管理工具和综合系统,实现基于数据仓库的来料到站点的全交付过程的软硬件记录回溯,让相关产品和部件在整个供应链中可以追踪。
O-TTPS:
开放组织技术供应商标准,该标准叙述了一套行业最佳实践要求和建议,当组织采用这套要求和建议时,可以为买家减少买到被篡改产品或者伪造产品的风险,带来商业利益。
ISO28000:
是国际标准化组织(ISO)制定的应对供应链威胁的系统解决方案,为供应链安全管理提供方法论,适用于所有行业。
网络安全管理要求-术语C-TPAT标准:
海关-贸易反恐怖联盟(Customs-TradePartnershipAgainstTerrorism),由美国国土安全部海关边境保护局倡议成立的自愿性计划,参与这项计划的成员将依据C-TPAT所订立的安全建议去强化其有关设施、人员、程序及交付运输方面的安全措施及管理,内容涵盖八大范围:
商业合作伙伴要求、程序安全、信息技术安全、物理安全、准入控制、人员安全、安全培训与警觉意识和集装箱与拖车安全。
AEO标准:
经授权的经营者(AuthorizedEconomicOperator),在世界海关组织(WCO)制定的全球贸易安全与便利标准框架中被定义为:
“以任何一种方式参与货物国际流通,并被海关当局认定符合世界海关组织或相应供应链安全标准的一方,包括生产商、进口商、出口商、报关行、承运商、理货人、中间商、口岸和机场、货站经营者、综合经营者、仓储业经营者和分销商”。
TAPA标准:
是由运输资产保护协会(TransportedAssetProtectionAssociation)发布的标准,该协会是由安全专家和来自相关高科技公司的业务伙伴组成的协会,旨在处高科技产业普遍面临的新兴威胁。
网络安全管理要求-红线网络安全红线来源于政府要求、法律法规、客户要求以及业界规范等,网络安全红线来源于政府要求、法律法规、客户要求以及业界规范等,其目标是保障产品在供应环节的完整性、真实性及对客户数据的保护其目标是保障产品在供应环节的完整性、真实性及对客户数据的保护.工作时只能使用企业邮箱,不得使用工作时只能使用企业邮箱,不得使用QQ、163等其他非企业邮箱。
所等其他非企业邮箱。
所有邮箱都只能一个人使用,不得共用,密码需定期更改有邮箱都只能一个人使用,不得共用,密码需定期更改(每月一次)(每月一次),不得泄露,不得随意借给他人使用不得泄露,不得随意借给他人使用所有人的电脑密码专人专用,定期更改,不得转借他人,不得泄露,所有人的电脑密码专人专用,定期更改,不得转借他人,不得泄露,人员离开电脑时,电脑必须锁住,不得让其他人打开。
人员离开电脑时,电脑必须锁住,不得让其他人打开。
网络使用者发送电子邮件内容由本人操作负责网络使用者发送电子邮件内容由本人操作负责,未经允许,不得利用未经允许,不得利用公司网络、邮件等向外发送、传递