網(wǎng)絡(luò)安全培訓(xùn)教材

深圳市深華世紀(jì)科技網(wǎng)絡(luò)平安培訓(xùn)教材信息平安小組編制.網(wǎng)絡(luò)平安根底知識(shí)培訓(xùn).培訓(xùn)目的讓員工對(duì)網(wǎng)絡(luò)平安有一定了解，并在工作中按照相應(yīng)的標(biāo)準(zhǔn)要求進(jìn)行作業(yè)培訓(xùn)對(duì)象培訓(xùn)講師培訓(xùn)時(shí)間所有入職員工一小時(shí)學(xué)習(xí)重點(diǎn)1.網(wǎng)絡(luò)平安業(yè)界事件及形勢(shì)2.網(wǎng)絡(luò)平安的定義3.網(wǎng)絡(luò)平安根本概念4.網(wǎng)絡(luò)平安管理要求5.日常檢查要求.一、網(wǎng)絡(luò)平安業(yè)界事件及形勢(shì)—平安事件反響堆已封項(xiàng)，馬上可以發(fā)電了2021年9月，伊朗核設(shè)施突遭來(lái)源不明的網(wǎng)絡(luò)病毒攻擊，納坦茲離心濃縮廠的上千臺(tái)離心機(jī)報(bào)廢2021年2月27日江蘇省公安廳緊急通知由于?？低暠O(jiān)控設(shè)備存在巨大平安隱患，局部設(shè)備已被境外IP控制，要求對(duì)海康監(jiān)控設(shè)備進(jìn)行全面清查。布什爾核電站哈哈！我叫震網(wǎng)，我來(lái)了警示一、弱密碼不可取，未修改初始密碼更易被攻擊警示二、系統(tǒng)的相對(duì)封閉是系統(tǒng)平安運(yùn)行的首要保障.一、網(wǎng)絡(luò)平安業(yè)界事件及形勢(shì)—常見的威脅病毒蠕蟲木馬D-DOS垃圾郵件僵尸網(wǎng)絡(luò)網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)釣魚客戶網(wǎng)絡(luò)承載數(shù)黑客類別目的及威脅主要攻擊方式信息竊取類主要以盜取機(jī)密信息、個(gè)人數(shù)據(jù)、敏感數(shù)據(jù)為目的，隱蔽性強(qiáng)，威脅國(guó)家保密信息、公司商業(yè)機(jī)密，個(gè)人隱私數(shù)據(jù)等，對(duì)于被攻擊目標(biāo)危害極大。木馬、網(wǎng)絡(luò)釣魚、垃圾郵件、間諜軟件等拒絕服務(wù)類以攻癱目標(biāo)為目的，即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)，是黑客常用的攻擊手段之一。拒絕服務(wù)攻擊問(wèn)題也一直得不到合理的解決，究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的，從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法病毒、蠕蟲、DDOS、僵尸網(wǎng)絡(luò)遠(yuǎn)程控制類所謂遠(yuǎn)程控制，是指管理人員在異地通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)異地?fù)芴?hào)或雙方都接入Internet等手段，連通需被控制的計(jì)算機(jī)，將被控計(jì)算機(jī)的桌面環(huán)境顯示到自己的計(jì)算機(jī)上，通過(guò)本地計(jì)算機(jī)對(duì)遠(yuǎn)方計(jì)算機(jī)進(jìn)行配置、軟件安裝程序、修改等工作，可以進(jìn)行任何危險(xiǎn)操作。木馬、間諜軟件、病毒、APT.一、網(wǎng)絡(luò)平安業(yè)界事件及形勢(shì)—業(yè)界形式各方對(duì)ICT供給鏈網(wǎng)絡(luò)平安越來(lái)越關(guān)注，強(qiáng)調(diào)產(chǎn)品在供給鏈中的高效流動(dòng)、完整性和數(shù)據(jù)及隱私保護(hù)美國(guó)依然是供給鏈網(wǎng)絡(luò)平安的領(lǐng)先者美國(guó)通過(guò)將供給鏈的平安納入國(guó)家戰(zhàn)略，其核心訴求是建立“促進(jìn)商品高效平安的流動(dòng)，加強(qiáng)商品的完整性和建立一個(gè)恢復(fù)能力強(qiáng)的供給鏈。〞NIST〔美國(guó)國(guó)家標(biāo)準(zhǔn)局〕刷新了新的信息平安要求，在其中明確了對(duì)的供給鏈平安要求，如NISTSP800-161〔聯(lián)邦信息系統(tǒng)和組織的供給鏈風(fēng)險(xiǎn)管理實(shí)踐〕。隱私和客戶數(shù)據(jù)保護(hù)依然是政府和客戶關(guān)注的重點(diǎn)歐盟正在擬制的個(gè)人數(shù)據(jù)保護(hù)法，加大了對(duì)設(shè)備供給商的法律責(zé)任，在逆向再利用、已使用貨物報(bào)廢和設(shè)備搬遷時(shí)需要滿足當(dāng)?shù)氐姆ㄒ?guī)要求；從嚴(yán)要求保護(hù)個(gè)人數(shù)據(jù)和隱私〔德國(guó)/土耳其/丹麥客戶要求在本地處理個(gè)人數(shù)據(jù)〕；中國(guó)政府客戶在政務(wù)云招標(biāo)中直接采取了NISTSP800-53〔聯(lián)邦信息系統(tǒng)及組織平安和隱私控制〕作為平安要求倡導(dǎo)建立統(tǒng)一的供給鏈評(píng)估標(biāo)準(zhǔn)，支持ICT行業(yè)全球化的開展美國(guó)智庫(kù)布魯金斯發(fā)布如何在ICT全球供給鏈建立信任的白皮書，倡導(dǎo)建立統(tǒng)一標(biāo)準(zhǔn)全球ICT產(chǎn)業(yè)界發(fā)布聲明?政府網(wǎng)絡(luò)平安推薦性實(shí)施準(zhǔn)那么?，建議政府統(tǒng)一對(duì)業(yè)界的網(wǎng)絡(luò)平安標(biāo)準(zhǔn)美國(guó)政府的供給鏈平安管理：美國(guó)在供給鏈平安領(lǐng)域很早就進(jìn)行規(guī)劃和布局，并形成了完整的供給鏈風(fēng)險(xiǎn)管控體系，由于其領(lǐng)先和示范作用，其他各國(guó)會(huì)效仿和借鑒.一、網(wǎng)絡(luò)平安業(yè)界事件及形勢(shì)—業(yè)界形式

從運(yùn)營(yíng)商到最終用戶對(duì)網(wǎng)絡(luò)平安要求和隱私保護(hù)都更加重視運(yùn)營(yíng)商對(duì)供給鏈越來(lái)越從關(guān)注管理方法向關(guān)注細(xì)節(jié)和技術(shù)實(shí)現(xiàn)方式上轉(zhuǎn)變，如：如何從技術(shù)上保證產(chǎn)品加載的軟件完整性可校驗(yàn)；客戶越來(lái)越關(guān)注供給商的網(wǎng)絡(luò)平安管理，尤其是開源軟件清單及可追溯問(wèn)題，越來(lái)越多敏感國(guó)家客戶提出要交流供給商平安議題。UK、德國(guó)等國(guó)運(yùn)營(yíng)商如VDF、DT將對(duì)供給鏈平安要求寫入合同，要求遵從當(dāng)?shù)亍睞EO〕或者美國(guó)〔C-TPAT〕的供給鏈平安標(biāo)準(zhǔn)。Telenor、BT、VDF等客戶強(qiáng)調(diào)華為可追溯數(shù)據(jù)庫(kù)要利用起來(lái)，幫助華為進(jìn)行漏洞影響的和監(jiān)控；云效勞、銀行、交通、電力、醫(yī)院、政府等企業(yè)客戶除了傳統(tǒng)的網(wǎng)絡(luò)平安要求外，對(duì)用戶數(shù)據(jù)和隱私保護(hù)要求更高；企業(yè)網(wǎng)客戶，如亞馬遜、HP等北美客戶依據(jù)C-TPAT+客戶內(nèi)部少量的定制化需求提出平安要求，其他市場(chǎng)客戶尚未明確類似要求；中國(guó)政府客戶在政務(wù)云招標(biāo)中采取了NISTSP800-53。消費(fèi)者越來(lái)越倚重和使用移動(dòng)業(yè)務(wù)，成為最重要的交流媒介，消費(fèi)者個(gè)人隱私數(shù)據(jù)的保密要求變得空前重要；Gartner的調(diào)查指出使用社交媒體時(shí)，最重要的挑戰(zhàn)是首先要解決平安和隱私、內(nèi)容管理等問(wèn)題個(gè)人數(shù)據(jù)的保護(hù)應(yīng)貫穿到每個(gè)產(chǎn)品的生命周期中:數(shù)據(jù)收集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)轉(zhuǎn)移/共享、數(shù)據(jù)留存與刪除等開源漏洞迅速上升，2021年業(yè)界爆發(fā)5起一級(jí)開源漏洞，幾乎涉及華為所有產(chǎn)品和供給商，海康視訊事件突顯了供給鏈的脆弱性運(yùn)營(yíng)商企業(yè)網(wǎng)消費(fèi)者從運(yùn)營(yíng)商到最終用戶對(duì)網(wǎng)絡(luò)平安要求和隱私保護(hù)都更加重視.網(wǎng)絡(luò)平安二、網(wǎng)絡(luò)平安的定義網(wǎng)絡(luò)平安是指在法律合規(guī)下保護(hù)產(chǎn)品、解決方案和效勞的可用性、完整性、機(jī)密性、可追溯性和抗攻擊性，及保護(hù)其所承載的客戶或用戶的通信內(nèi)容、個(gè)人數(shù)據(jù)及隱私、客觀信息流動(dòng)。通過(guò)網(wǎng)絡(luò)平安的保障，防止客戶的經(jīng)濟(jì)、聲譽(yù)受損；防止行為人或承擔(dān)民事、行政甚至刑事責(zé)任；防止成為貿(mào)易保護(hù)的借口?？蛻艟W(wǎng)絡(luò)承載數(shù)據(jù)/隱私業(yè)務(wù)連續(xù)及健壯的網(wǎng)絡(luò)完整性可用性機(jī)密性可追溯性抗攻擊性誤區(qū)誤區(qū)1:網(wǎng)絡(luò)平安=信息平安誤區(qū)2:網(wǎng)絡(luò)平安=防攻擊防病毒誤區(qū)3:網(wǎng)絡(luò)平安=物理和人身平安誤區(qū)4:網(wǎng)絡(luò)Cyber=Network網(wǎng)絡(luò)平安CyberSecurity.二、網(wǎng)絡(luò)平安的定義

網(wǎng)絡(luò)平安五個(gè)特性確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)被非授權(quán)用戶篡改，同時(shí)還要防止授權(quán)用戶對(duì)系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇鄹?，保持信息?nèi)、外部表示的一致性。確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問(wèn)信息及資源。完整性系統(tǒng)或設(shè)備遭受攻擊時(shí)，具體一定的防護(hù)能力。確保實(shí)體行動(dòng)或信息流動(dòng)可被追蹤?？构粜源_保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)泄漏給非授權(quán)用戶或?qū)嶓w?？捎眯詸C(jī)密性可追溯性

機(jī)密性〔Confidentiality〕指只有授權(quán)用戶可以獲取信息完整性〔Integrality〕指信息在輸入和傳輸?shù)倪^(guò)程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性可用性〔Availability〕指保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^。業(yè)界網(wǎng)絡(luò)平安三性CIA.三、網(wǎng)絡(luò)平安根本概念-關(guān)鍵部件

【網(wǎng)絡(luò)平安關(guān)鍵部件】軟件及可存儲(chǔ)軟件的載體包括但不限于硬盤、SD卡、CF卡、U盤、磁帶、Flash。核心是“軟件〞——軟件、可存儲(chǔ)軟件的硬件網(wǎng)絡(luò)安全關(guān)鍵物料產(chǎn)品類別主要涉及產(chǎn)品IT類便攜機(jī)、

工控機(jī)、臺(tái)式機(jī)、工作站、PC服務(wù)器、小型機(jī)

計(jì)算機(jī)配件獨(dú)立硬盤、U盤、CF卡、SD卡、閃存卡等軟件類操作系統(tǒng)類軟件、

辦公軟件、網(wǎng)絡(luò)服務(wù)器軟件軟件License…….三、網(wǎng)絡(luò)平安根本概念-關(guān)鍵崗位【網(wǎng)絡(luò)平安關(guān)鍵崗位】：網(wǎng)絡(luò)平安關(guān)鍵崗位是指各業(yè)務(wù)流程和活動(dòng)中可能利用職務(wù)之便植入、篡改、處理客戶產(chǎn)品、網(wǎng)絡(luò)信息、客戶網(wǎng)絡(luò)中所承載的客戶或用戶的通信內(nèi)容、個(gè)人數(shù)據(jù)及隱私，對(duì)網(wǎng)絡(luò)平安會(huì)產(chǎn)生重大影響或后果的崗位序號(hào)網(wǎng)絡(luò)安全關(guān)鍵崗位1來(lái)料檢驗(yàn)員（IQC）（存儲(chǔ)類）2測(cè)試工藝工程師(生產(chǎn)軟件管理(含技術(shù)員))3制造IT工程師(軟件服務(wù)器與測(cè)試網(wǎng)絡(luò)管理(含技術(shù)員))4軟件燒錄員5手工測(cè)試員（含無(wú)線模塊測(cè)試、FT及整機(jī)測(cè)試）6物料員（貴重物料管理）(POC直發(fā)).網(wǎng)絡(luò)平安管理要求-概要保障產(chǎn)品在供給鏈中的完整性、真實(shí)性、可追溯性，防止產(chǎn)品被篡改、植入、偽造等網(wǎng)絡(luò)平安風(fēng)險(xiǎn)，并通過(guò)對(duì)供給過(guò)程的可追溯來(lái)到達(dá)供給鏈風(fēng)險(xiǎn)的有效管理。供給鏈?zhǔn)潜Ｕ袭a(chǎn)品從研發(fā)、生產(chǎn)到客戶端到端完整性的重要一環(huán)，供給鏈應(yīng)防止華為生產(chǎn)或購(gòu)置的產(chǎn)品中的軟件、硬件或數(shù)據(jù)等在生產(chǎn)與交付中被惡意篡改或植入、確保交付給客戶的產(chǎn)品與研發(fā)發(fā)布的一致。供給鏈在生產(chǎn)、交付過(guò)程中防止使用被偽造部件，保障生產(chǎn)過(guò)程及交付給客戶產(chǎn)品的真實(shí)性.供給鏈應(yīng)建立可追溯系統(tǒng)，支撐產(chǎn)品和部件在供給鏈過(guò)程中的可追溯性。供給鏈須對(duì)產(chǎn)品和部件建立唯一標(biāo)識(shí)，并確保這些信息被有效記錄。.網(wǎng)絡(luò)平安管理要求-術(shù)語(yǔ)偽造產(chǎn)品(Counterfeit)：產(chǎn)品不是通過(guò)正規(guī)可靠渠道供給的，但是卻以合法產(chǎn)品的身份出現(xiàn)。篡改/植入(Tainted)：生產(chǎn)的產(chǎn)品或購(gòu)置的供給商產(chǎn)品，但因?yàn)檐浖?、硬件或?shù)據(jù)等被惡意更改，導(dǎo)致產(chǎn)品功能、性能和效勞與設(shè)計(jì)意圖不符。可追溯(Traceability)：使用專業(yè)管理工具和綜合系統(tǒng)，實(shí)現(xiàn)基于數(shù)據(jù)倉(cāng)庫(kù)的來(lái)料到站點(diǎn)的全交付過(guò)程的軟硬件記錄回溯，讓相關(guān)產(chǎn)品和部件在整個(gè)供給鏈中可以追蹤。O-TTPS：開放組織技術(shù)供給商標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)表達(dá)了一套行業(yè)最正確實(shí)踐要求和建議，當(dāng)組織采用這套要求和建議時(shí)，可以為買家減少買到被篡改產(chǎn)品或者偽造產(chǎn)品的風(fēng)險(xiǎn)，帶來(lái)商業(yè)利益。ISO28000:是國(guó)際標(biāo)準(zhǔn)化組織〔ISO〕制定的應(yīng)對(duì)供給鏈威脅的系統(tǒng)解決方案，為供給鏈平安管理提供方法論，適用于所有行業(yè)。.網(wǎng)絡(luò)平安管理要求-術(shù)語(yǔ)C-TPAT標(biāo)準(zhǔn):海關(guān)-貿(mào)易反恐怖聯(lián)盟(Customs-TradePartnershipAgainstTerrorism)，由美國(guó)國(guó)土平安部海關(guān)邊境保護(hù)局建議成立的自愿性方案，參與這項(xiàng)方案的成員將依據(jù)C-TPAT所訂立的平安建議去強(qiáng)化其有關(guān)設(shè)施、人員、程序及交付運(yùn)輸方面的平安措施及管理，內(nèi)容涵蓋八大范圍：商業(yè)合作伙伴要求、程序平安、信息技術(shù)平安、物理平安、準(zhǔn)入控制、人員平安、平安培訓(xùn)與警覺(jué)意識(shí)和集裝箱與拖車平安。AEO標(biāo)準(zhǔn):經(jīng)授權(quán)的經(jīng)營(yíng)者〔AuthorizedEconomicOperator〕，在世界海關(guān)組織〔WCO〕制定的?全球貿(mào)易平安與便利標(biāo)準(zhǔn)框架?中被定義為：“以任何一種方式參與貨物國(guó)際流通，并被海關(guān)當(dāng)局認(rèn)定符合世界海關(guān)組織或相應(yīng)供給鏈平安標(biāo)準(zhǔn)的一方，包括生產(chǎn)商、進(jìn)口商、出口商、報(bào)關(guān)行、承運(yùn)商、理貨人、中間商、口岸和機(jī)場(chǎng)、貨站經(jīng)營(yíng)者、綜合經(jīng)營(yíng)者、倉(cāng)儲(chǔ)業(yè)經(jīng)營(yíng)者和分銷商〞。TAPA標(biāo)準(zhǔn):是由運(yùn)輸資產(chǎn)保護(hù)協(xié)會(huì)〔TransportedAssetProtectionAssociation)發(fā)布的標(biāo)準(zhǔn)，該協(xié)會(huì)是由平安專家和來(lái)自相關(guān)高科技公司的業(yè)務(wù)伙伴組成的協(xié)會(huì)，旨在處理高科技產(chǎn)業(yè)普遍面臨的新興威脅。.網(wǎng)絡(luò)平安管理要求-紅線網(wǎng)絡(luò)平安紅線來(lái)源于政府要求、法律法規(guī)、客戶要求以及業(yè)界標(biāo)準(zhǔn)等，其目標(biāo)是保障產(chǎn)品在供給環(huán)節(jié)的完整性、真實(shí)性及對(duì)客戶數(shù)據(jù)的保護(hù).工作時(shí)只能使用企業(yè)郵箱，不得使用QQ、163等其他非企業(yè)郵箱。所有郵箱都只能一個(gè)人使用，不得共用，密碼需定期更改〔每月一次〕，不得泄露，不得隨意借給他人使用所有人的電腦密碼專人專用，定期更改，不得轉(zhuǎn)借他人，不得泄露，人員離開電腦時(shí)，電腦必須鎖住，不得讓其他人翻開。網(wǎng)絡(luò)使用者發(fā)送電子郵件內(nèi)容由本人操作負(fù)責(zé),未經(jīng)允許，不得利用公司網(wǎng)絡(luò)、郵件等向外發(fā)送、傳遞信息。所有人不得將與工程業(yè)務(wù)相關(guān)的信息發(fā)送到其他部門，如：華為工程部的業(yè)務(wù)相關(guān)的郵件不得發(fā)給中興、酷派、PPTV部門的人員。員工利用木馬、網(wǎng)絡(luò)釣魚、垃圾郵件、間諜軟件以盜取機(jī)密信息、個(gè)人數(shù)據(jù)、敏感數(shù)據(jù).網(wǎng)絡(luò)平安管理要求-紅線員工私自攜帶儲(chǔ)存介質(zhì)進(jìn)入車間拷貝機(jī)密文件在產(chǎn)品發(fā)貨前須按研發(fā)要求關(guān)閉生產(chǎn)測(cè)試端口，禁止產(chǎn)品中存在非指定發(fā)貨軟件；僅可以出于維修和檢測(cè)目的在工廠特定的設(shè)備上翻開，并在維修、檢測(cè)結(jié)束后須再關(guān)閉須確保網(wǎng)絡(luò)平安關(guān)鍵部件的真實(shí)性，禁止使用來(lái)源不明的網(wǎng)絡(luò)平安關(guān)鍵部件或者的偽造品進(jìn)行生產(chǎn)和發(fā)貨。員工作業(yè)電腦有外網(wǎng)權(quán)限并在工作期間瀏覽與工作無(wú)關(guān)的網(wǎng)站員工作業(yè)電腦沒(méi)有安裝殺毒軟件、沒(méi)有定期殺毒及更新病毒庫(kù)員工使用帶攝像頭USB功能的進(jìn)入車間員工電腦安裝與工作無(wú)關(guān)的軟