苏州工业园区智慧教育安全讲座.pptx

1、苏州工业园区智慧教育安全讲座苏州工业园区智慧教育安全讲座苏州亿阳值通科技发展股份有限公司2017年9月苏州亿阳值通科技发展股份有限公司网络安全法解读信息安全事件案例信息安全问题的原因信息安全要怎么做中华人民共和国网络安全法是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。第十条第十条建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安

2、全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。第三十八条第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。第五十九条第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网

3、络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。第二十一条第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日

4、志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。第二十五条第二十五条网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。第六十条第六十条违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：（一）设置恶意程序的；（二）对其产品、服务存在

5、的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；（三）擅自终止为其产品、服务提供安全维护的。第二十二条第二十二条网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人

6、信息保护的规定。苏州亿阳值通科技发展股份有限公司网络安全法解读信息安全事件案例信息安全问题的原因信息安全要怎么做WannaCry勒索病毒席卷全球勒索病毒席卷全球5月12日晚，一款名为Wannacry的蠕虫勒索软件袭击全球网络，这被认为是迄今为止最巨大的勒索交费活动，影响到近百个国家上千家企业及公共组织。之所以能产生如此大的影响力，还得归功于NSA泄漏的0day黑客工具的加持。政府、高校网站被篡改高考前后，选专业、选大学成考生家长头等要务，黑客针对高校网站的攻击行为大幅增多。报告显示，进入6月以来，每个高校网站平均每天遭黑客攻击次数达到113次，相比前期增加20%以上，有些知名大学的网站每天被黑

7、客攻击高达上万次。据实时检测结果显示，包括中山大学等知名高校官网都存在程度不一被篡改页面情况，其中，中大被篡改网页44次，暨南大学52次，汕头大学50次，广州大学35次，广东商学院68次。2016年02月24日福建省通信管理局对外公布的互联网网络安全态势月报最新显示，今年首月，我省互联网网络安全状况整体评价为中，全省有574个政府网站被篡改，全省近6万个IP地址对应的主机被木马或僵尸程序控制。清华大学教学门户清华大学教学门户网页网页疑疑遭遭IS黑客攻击黑客攻击Edmodo教育平台超教育平台超7700万信息泄漏万信息泄漏黑客入侵教育平台Edmodo，窃取超7千万教师、学生和家长账户信息。一个化名

8、为“nclay”的供应商正在暗网市场Hansa上以1000多美元的价格出售这些Edmodo用户数据。携程事件携程事件2015年5月28日，携程部分服务器遭到不明攻击，导致官方网站及APP一度无法正常使用，其网站和移动应用服务被中断，此次宕机近12个小时后才恢复正常。按照携程一季度财报公布的数据，携程宕机的损失为平均每小时106.48万美元。2016年，以568分的成绩被南京邮电大学英语专业录取。2016年8月21日，因被诈骗电话骗走上大学的费用9900元，伤心欲绝，郁结于心，最终导致心脏骤停，虽经医院全力抢救，但仍不幸离世。徐玉玉事件苏州亿阳值通科技发展股份有限公司网络安全法解读信息安全事件案

9、例信息安全问题的原因信息安全要怎么做信息系统木马信息篡改逻辑炸弹蠕虫资料泄密拒绝服务计算机病毒黑客攻击后门当前信息安全状况当前信息安全状况数据网VPN网便携计算机VOIPWEB服务器视频网Internet信息安全问题根源信息安全问题根源-内因内因 系统越来越复杂系统越来越复杂安全问题根源安全问题根源内因人是复杂的内因人是复杂的安全问题根源安全问题根源外因来自对手的威胁外因来自对手的威胁安全问题根源安全问题根源外因来自自然的破坏外因来自自然的破坏不该知道的人，不让他知道不该知道的人，不让他知道！信息不能追求残缺美！信息不能追求残缺美！信息要方便、快捷！信息要方便、快捷！不能像某国首都二环早高峰，

10、不能像某国首都二环早高峰，也不能像春运的火车站也不能像春运的火车站苏州亿阳值通科技发展股份有限公司网络安全法解读信息安全事件案例信息安全问题的原因信息安全要怎么做信息安全要怎么做苏州亿阳值通科技发展股份有限公司等级保护风险评估公安部经信委信息安全风险评估规范信息安全风险评估规范GB/T20984-2007信息技术安全性评估准则信息技术安全性评估准则GB/T18336-2001信息安全风险评估指南信息安全风险评估指南信息系统安全等级保护测评准则信息系统安全等级保护测评准则信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全保护等级定级指南信息系统安全保护等级定级指南(试用版试用版

11、v3.2)计算机机房场地安全要求（计算机机房场地安全要求（GB9361-88）计算机信息系统安全等级保护网络技术要求（计算机信息系统安全等级保护网络技术要求（GA/T387-2002）计算机信息系统安全等级保护操作系统技术要求（计算机信息系统安全等级保护操作系统技术要求（GA/T388-2002）计算机信息系统安全等级保护数据库管理系统技术要求计算机信息系统安全等级保护数据库管理系统技术要求（GA/T389-2002）计算机信息系统安全等级保护通用技术要求（计算机信息系统安全等级保护通用技术要求（GA/T390-2002）计算机信息系统安全等级保护管理要求（计算机信息系统安全等级保护管理要求（

12、GA/T391-2002）计算机信息系统安全等级保护划分准则（计算机信息系统安全等级保护划分准则（GB/T17859-1999）风险评估标准信息系统安全等级保护基本要求（GB/T22239-2008）信息系统通用安全技术要求（GB/T20271-2006）信息系统等级保护安全设计技术要求（信安秘字2009059）信息系统安全管理要求（GB/T20269-2006）信息系统安全工程管理要求（GB/T20282-2006）信息系统物理安全技术要求（GB/T21052-2007）网络基础安全技术要求（GB/T20270-2006）信息系统安全等级保护体系框架（GA/T708-2007）信息系统安全等

13、级保护基本模型）（GA/T709-2007）信息系统安全等级保护基本配置（GA/T710-2007）计算机信息系统安全等级保护划分准则（计算机信息系统安全等级保护划分准则（GB/T17859-1999）等级保护标准等等级保保护物理安全物理安全网网络安全安全主机安全主机安全应用安全用安全数据安全及数据安全及备份恢复份恢复安全管理制度安全管理制度安全管理机构安全管理机构人人员安全管理安全管理系系统建建设管理管理系系统运运维管理管理风险评估估物理物理环境境网网络环境境主机系主机系统应用系用系统数据及数据及备份恢复份恢复技技术管理管理组织管理管理安全安全等级测评的目的是通过对目标系统在安全技术及管理方

14、面的测等级测评的目的是通过对目标系统在安全技术及管理方面的测评，对目标系统的安全技术状态及安全管理状况做出初步判断，评，对目标系统的安全技术状态及安全管理状况做出初步判断，给给出目标系统在安全技术及安全管理方面与其相应安全等级保护要求出目标系统在安全技术及安全管理方面与其相应安全等级保护要求之间的差距。之间的差距。风险评估的目的是全面、准确的了解组织机构的网络安全现状，发现风险评估的目的是全面、准确的了解组织机构的网络安全现状，发现系统的安全问题及其可能的危害，为系统最终安全需求的提出提供依系统的安全问题及其可能的危害，为系统最终安全需求的提出提供依据。据。准确了解组织的网络和系统安全现状，以

15、便在后期进行整体的安全规划与建设。等级保护风险评估计算机信息系统安全等级保护划分准则（计算机信息系统安全等级保护划分准则（GB/T17859-1999）一级：自主保护一级：自主保护二级：指导保护二级：指导保护三级：监督保护三级：监督保护四级：强制保护四级：强制保护第一级：用户自主保护级第二级：系统审计保护级第三级：安全标记保护级第四级：结构化保护级五级：专控保护五级：专控保护第五级：访问验证保护级信息安全等级保护划分准则GB17859-1999-规定了计算机信息系统安全保护能力的五个级别信息安全等级保护管理办法规定的五级要求计算机信息系统安全等级保护划分准则（计算机信息系统安全等级保护划分准则

16、（GB/T17859-1999）技术技术整改整改/建设建设-物理安全物理安全苏州亿阳值通科技发展股份有限公司技术技术整改整改/建设建设-网络安全网络安全苏州亿阳值通科技发展股份有限公司技术技术整改整改/建设建设-主机安全主机安全苏州亿阳值通科技发展股份有限公司技术整改技术整改/建设建设-应用应用安全安全苏州亿阳值通科技发展股份有限公司技术技术整改整改/建设建设-数据安全数据安全苏州亿阳值通科技发展股份有限公司苏州亿阳值通科技发展股份有限公司教育CIO要做什么？苏州亿阳值通科技发展股份有限公司管理整改管理整改/建设建设系统建设管理系统建设管理管理机构管理机构人员管理人员管理系统运维管理系统运维管理安全管理制度安全管理制度管理制度制定和发布评审和修订信息系统苏州亿阳值通科技发展股份有限公司管理整改管理整改/建设建设系统建设管理系统建设管理管理制度管理制度人员管理人员管理系统运维管理系统运维管理安全管理机构安全管理机构岗位设置人员配备授权和审批沟通和合作审核和检查信息系统苏州亿阳值通科技发展股份有限公司管理整改管理整改/建设建设系统建设管理系统建设管理管理制度管理制度管理机构管理机构系统运维