網(wǎng)絡(luò)安全培訓教材

深圳市深華世紀科技網(wǎng)絡(luò)平安培訓教材信息平安小組編制.網(wǎng)絡(luò)平安根底知識培訓.培訓目的讓員工對網(wǎng)絡(luò)平安有一定了解，并在工作中按照相應的標準要求進行作業(yè)培訓對象培訓講師培訓時間所有入職員工一小時學習重點1.網(wǎng)絡(luò)平安業(yè)界事件及形勢2.網(wǎng)絡(luò)平安的定義3.網(wǎng)絡(luò)平安根本概念4.網(wǎng)絡(luò)平安管理要求5.日常檢查要求.一、網(wǎng)絡(luò)平安業(yè)界事件及形勢—平安事件反響堆已封項，馬上可以發(fā)電了2021年9月，伊朗核設(shè)施突遭來源不明的網(wǎng)絡(luò)病毒攻擊，納坦茲離心濃縮廠的上千臺離心機報廢2021年2月27日江蘇省公安廳緊急通知由于海康威視監(jiān)控設(shè)備存在巨大平安隱患，局部設(shè)備已被境外IP控制，要求對?？当O(jiān)控設(shè)備進行全面清查。布什爾核電站哈哈！我叫震網(wǎng)，我來了警示一、弱密碼不可取，未修改初始密碼更易被攻擊警示二、系統(tǒng)的相對封閉是系統(tǒng)平安運行的首要保障.一、網(wǎng)絡(luò)平安業(yè)界事件及形勢—常見的威脅病毒蠕蟲木馬D-DOS垃圾郵件僵尸網(wǎng)絡(luò)網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)釣魚客戶網(wǎng)絡(luò)承載數(shù)黑客類別目的及威脅主要攻擊方式信息竊取類主要以盜取機密信息、個人數(shù)據(jù)、敏感數(shù)據(jù)為目的，隱蔽性強，威脅國家保密信息、公司商業(yè)機密，個人隱私數(shù)據(jù)等，對于被攻擊目標危害極大。木馬、網(wǎng)絡(luò)釣魚、垃圾郵件、間諜軟件等拒絕服務類以攻癱目標為目的，即攻擊者想辦法讓目標機器停止提供服務，是黑客常用的攻擊手段之一。拒絕服務攻擊問題也一直得不到合理的解決，究其原因是因為這是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的，從而拒絕服務攻擊也成為了攻擊者的終極手法病毒、蠕蟲、DDOS、僵尸網(wǎng)絡(luò)遠程控制類所謂遠程控制，是指管理人員在異地通過計算機網(wǎng)絡(luò)異地撥號或雙方都接入Internet等手段，連通需被控制的計算機，將被控計算機的桌面環(huán)境顯示到自己的計算機上，通過本地計算機對遠方計算機進行配置、軟件安裝程序、修改等工作，可以進行任何危險操作。木馬、間諜軟件、病毒、APT.一、網(wǎng)絡(luò)平安業(yè)界事件及形勢—業(yè)界形式各方對ICT供給鏈網(wǎng)絡(luò)平安越來越關(guān)注，強調(diào)產(chǎn)品在供給鏈中的高效流動、完整性和數(shù)據(jù)及隱私保護美國依然是供給鏈網(wǎng)絡(luò)平安的領(lǐng)先者美國通過將供給鏈的平安納入國家戰(zhàn)略，其核心訴求是建立“促進商品高效平安的流動，加強商品的完整性和建立一個恢復能力強的供給鏈。〞NIST〔美國國家標準局〕刷新了新的信息平安要求，在其中明確了對的供給鏈平安要求，如NISTSP800-161〔聯(lián)邦信息系統(tǒng)和組織的供給鏈風險管理實踐〕。隱私和客戶數(shù)據(jù)保護依然是政府和客戶關(guān)注的重點歐盟正在擬制的個人數(shù)據(jù)保護法，加大了對設(shè)備供給商的法律責任，在逆向再利用、已使用貨物報廢和設(shè)備搬遷時需要滿足當?shù)氐姆ㄒ?guī)要求；從嚴要求保護個人數(shù)據(jù)和隱私〔德國/土耳其/丹麥客戶要求在本地處理個人數(shù)據(jù)〕；中國政府客戶在政務云招標中直接采取了NISTSP800-53〔聯(lián)邦信息系統(tǒng)及組織平安和隱私控制〕作為平安要求倡導建立統(tǒng)一的供給鏈評估標準，支持ICT行業(yè)全球化的開展美國智庫布魯金斯發(fā)布如何在ICT全球供給鏈建立信任的白皮書，倡導建立統(tǒng)一標準全球ICT產(chǎn)業(yè)界發(fā)布聲明?政府網(wǎng)絡(luò)平安推薦性實施準那么?，建議政府統(tǒng)一對業(yè)界的網(wǎng)絡(luò)平安標準美國政府的供給鏈平安管理：美國在供給鏈平安領(lǐng)域很早就進行規(guī)劃和布局，并形成了完整的供給鏈風險管控體系，由于其領(lǐng)先和示范作用，其他各國會效仿和借鑒.一、網(wǎng)絡(luò)平安業(yè)界事件及形勢—業(yè)界形式

從運營商到最終用戶對網(wǎng)絡(luò)平安要求和隱私保護都更加重視運營商對供給鏈越來越從關(guān)注管理方法向關(guān)注細節(jié)和技術(shù)實現(xiàn)方式上轉(zhuǎn)變，如：如何從技術(shù)上保證產(chǎn)品加載的軟件完整性可校驗；客戶越來越關(guān)注供給商的網(wǎng)絡(luò)平安管理，尤其是開源軟件清單及可追溯問題，越來越多敏感國家客戶提出要交流供給商平安議題。UK、德國等國運營商如VDF、DT將對供給鏈平安要求寫入合同，要求遵從當?shù)亍睞EO〕或者美國〔C-TPAT〕的供給鏈平安標準。Telenor、BT、VDF等客戶強調(diào)華為可追溯數(shù)據(jù)庫要利用起來，幫助華為進行漏洞影響的和監(jiān)控；云效勞、銀行、交通、電力、醫(yī)院、政府等企業(yè)客戶除了傳統(tǒng)的網(wǎng)絡(luò)平安要求外，對用戶數(shù)據(jù)和隱私保護要求更高；企業(yè)網(wǎng)客戶，如亞馬遜、HP等北美客戶依據(jù)C-TPAT+客戶內(nèi)部少量的定制化需求提出平安要求，其他市場客戶尚未明確類似要求；中國政府客戶在政務云招標中采取了NISTSP800-53。消費者越來越倚重和使用移動業(yè)務，成為最重要的交流媒介，消費者個人隱私數(shù)據(jù)的保密要求變得空前重要；Gartner的調(diào)查指出使用社交媒體時，最重要的挑戰(zhàn)是首先要解決平安和隱私、內(nèi)容管理等問題個人數(shù)據(jù)的保護應貫穿到每個產(chǎn)品的生命周期中:數(shù)據(jù)收集、數(shù)據(jù)存儲、數(shù)據(jù)轉(zhuǎn)移/共享、數(shù)據(jù)留存與刪除等開源漏洞迅速上升，2021年業(yè)界爆發(fā)5起一級開源漏洞，幾乎涉及華為所有產(chǎn)品和供給商，?？狄曈嵤录伙@了供給鏈的脆弱性運營商企業(yè)網(wǎng)消費者從運營商到最終用戶對網(wǎng)絡(luò)平安要求和隱私保護都更加重視.網(wǎng)絡(luò)平安二、網(wǎng)絡(luò)平安的定義網(wǎng)絡(luò)平安是指在法律合規(guī)下保護產(chǎn)品、解決方案和效勞的可用性、完整性、機密性、可追溯性和抗攻擊性，及保護其所承載的客戶或用戶的通信內(nèi)容、個人數(shù)據(jù)及隱私、客觀信息流動。通過網(wǎng)絡(luò)平安的保障，防止客戶的經(jīng)濟、聲譽受損；防止行為人或承擔民事、行政甚至刑事責任；防止成為貿(mào)易保護的借口。客戶網(wǎng)絡(luò)承載數(shù)據(jù)/隱私業(yè)務連續(xù)及健壯的網(wǎng)絡(luò)完整性可用性機密性可追溯性抗攻擊性誤區(qū)誤區(qū)1:網(wǎng)絡(luò)平安=信息平安誤區(qū)2:網(wǎng)絡(luò)平安=防攻擊防病毒誤區(qū)3:網(wǎng)絡(luò)平安=物理和人身平安誤區(qū)4:網(wǎng)絡(luò)Cyber=Network網(wǎng)絡(luò)平安CyberSecurity.二、網(wǎng)絡(luò)平安的定義

網(wǎng)絡(luò)平安五個特性確保信息在存儲、使用、傳輸過程中不會被非授權(quán)用戶篡改，同時還要防止授權(quán)用戶對系統(tǒng)及信息進行不恰當?shù)拇鄹?，保持信息?nèi)、外部表示的一致性。確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。完整性系統(tǒng)或設(shè)備遭受攻擊時，具體一定的防護能力。確保實體行動或信息流動可被追蹤?？构粜源_保信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)用戶或?qū)嶓w?？捎眯詸C密性可追溯性

機密性〔Confidentiality〕指只有授權(quán)用戶可以獲取信息完整性〔Integrality〕指信息在輸入和傳輸?shù)倪^程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性可用性〔Availability〕指保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^。業(yè)界網(wǎng)絡(luò)平安三性CIA.三、網(wǎng)絡(luò)平安根本概念-關(guān)鍵部件

【網(wǎng)絡(luò)平安關(guān)鍵部件】軟件及可存儲軟件的載體包括但不限于硬盤、SD卡、CF卡、U盤、磁帶、Flash。核心是“軟件〞——軟件、可存儲軟件的硬件網(wǎng)絡(luò)安全關(guān)鍵物料產(chǎn)品類別主要涉及產(chǎn)品IT類便攜機、

工控機、臺式機、工作站、PC服務器、小型機

計算機配件獨立硬盤、U盤、CF卡、SD卡、閃存卡等軟件類操作系統(tǒng)類軟件、

辦公軟件、網(wǎng)絡(luò)服務器軟件軟件License…….三、網(wǎng)絡(luò)平安根本概念-關(guān)鍵崗位【網(wǎng)絡(luò)平安關(guān)鍵崗位】：網(wǎng)絡(luò)平安關(guān)鍵崗位是指各業(yè)務流程和活動中可能利用職務之便植入、篡改、處理客戶產(chǎn)品、網(wǎng)絡(luò)信息、客戶網(wǎng)絡(luò)中所承載的客戶或用戶的通信內(nèi)容、個人數(shù)據(jù)及隱私，對網(wǎng)絡(luò)平安會產(chǎn)生重大影響或后果的崗位序號網(wǎng)絡(luò)安全關(guān)鍵崗位1來料檢驗員（IQC）（存儲類）2測試工藝工程師(生產(chǎn)軟件管理(含技術(shù)員))3制造IT工程師(軟件服務器與測試網(wǎng)絡(luò)管理(含技術(shù)員))4軟件燒錄員5手工測試員（含無線模塊測試、FT及整機測試）6物料員（貴重物料管理）(POC直發(fā)).網(wǎng)絡(luò)平安管理要求-概要保障產(chǎn)品在供給鏈中的完整性、真實性、可追溯性，防止產(chǎn)品被篡改、植入、偽造等網(wǎng)絡(luò)平安風險，并通過對供給過程的可追溯來到達供給鏈風險的有效管理。供給鏈是保障產(chǎn)品從研發(fā)、生產(chǎn)到客戶端到端完整性的重要一環(huán)，供給鏈應防止華為生產(chǎn)或購置的產(chǎn)品中的軟件、硬件或數(shù)據(jù)等在生產(chǎn)與交付中被惡意篡改或植入、確保交付給客戶的產(chǎn)品與研發(fā)發(fā)布的一致。供給鏈在生產(chǎn)、交付過程中防止使用被偽造部件，保障生產(chǎn)過程及交付給客戶產(chǎn)品的真實性.供給鏈應建立可追溯系統(tǒng)，支撐產(chǎn)品和部件在供給鏈過程中的可追溯性。供給鏈須對產(chǎn)品和部件建立唯一標識，并確保這些信息被有效記錄。.網(wǎng)絡(luò)平安管理要求-術(shù)語偽造產(chǎn)品(Counterfeit)：產(chǎn)品不是通過正規(guī)可靠渠道供給的，但是卻以合法產(chǎn)品的身份出現(xiàn)。篡改/植入(Tainted)：生產(chǎn)的產(chǎn)品或購置的供給商產(chǎn)品，但因為軟件、硬件或數(shù)據(jù)等被惡意更改，導致產(chǎn)品功能、性能和效勞與設(shè)計意圖不符。可追溯(Traceability)：使用專業(yè)管理工具和綜合系統(tǒng)，實現(xiàn)基于數(shù)據(jù)倉庫的來料到站點的全交付過程的軟硬件記錄回溯，讓相關(guān)產(chǎn)品和部件在整個供給鏈中可以追蹤。O-TTPS：開放組織技術(shù)供給商標準，該標準表達了一套行業(yè)最正確實踐要求和建議，當組織采用這套要求和建議時，可以為買家減少買到被篡改產(chǎn)品或者偽造產(chǎn)品的風險，帶來商業(yè)利益。ISO28000:是國際標準化組織〔ISO〕制定的應對供給鏈威脅的系統(tǒng)解決方案，為供給鏈平安管理提供方法論，適用于所有行業(yè)。.網(wǎng)絡(luò)平安管理要求-術(shù)語C-TPAT標準:海關(guān)-貿(mào)易反恐怖聯(lián)盟(Customs-TradePartnershipAgainstTerrorism)，由美國國土平安部海關(guān)邊境保護局建議成立的自愿性方案，參與這項方案的成員將依據(jù)C-TPAT所訂立的平安建議去強化其有關(guān)設(shè)施、人員、程序及交付運輸方面的平安措施及管理，內(nèi)容涵蓋八大范圍：商業(yè)合作伙伴要求、程序平安、信息技術(shù)平安、物理平安、準入控制、人員平安、平安培訓與警覺意識和集裝箱與拖車平安。AEO標準:經(jīng)授權(quán)的經(jīng)營者〔AuthorizedEconomicOperator〕，在世界海關(guān)組織〔WCO〕制定的?全球貿(mào)易平安與便利標準框架?中被定義為：“以任何一種方式參與貨物國際流通，并被海關(guān)當局認定符合世界海關(guān)組織或相應供給鏈平安標準的一方，包括生產(chǎn)商、進口商、出口商、報關(guān)行、承運商、理貨人、中間商、口岸和機場、貨站經(jīng)營者、綜合經(jīng)營者、倉儲業(yè)經(jīng)營者和分銷商〞。TAPA標準:是由運輸資產(chǎn)保護協(xié)會〔TransportedAssetProtectionAssociation)發(fā)布的標準，該協(xié)會是由平安專家和來自相關(guān)高科技公司的業(yè)務伙伴組成的協(xié)會，旨在處理高科技產(chǎn)業(yè)普遍面臨的新興威脅。.網(wǎng)絡(luò)平安管理要求-紅線網(wǎng)絡(luò)平安紅線來源于政府要求、法律法規(guī)、客戶要求以及業(yè)界標準等，其目標是保障產(chǎn)品在供給環(huán)節(jié)的完整性、真實性及對客戶數(shù)據(jù)的保護.工作時只能使用企業(yè)郵箱，不得使用QQ、163等其他非企業(yè)郵箱。所有郵箱都只能一個人使用，不得共用，密碼需定期更改〔每月一次〕，不得泄露，不得隨意借給他人使用所有人的電腦密碼專人專用，定期更改，不得轉(zhuǎn)借他人，不得泄露，人員離開電腦時，電腦必須鎖住，不得讓其他人翻開。網(wǎng)絡(luò)使用者發(fā)送電子郵件內(nèi)容由本人操作負責,未經(jīng)允許，不得利用公司網(wǎng)絡(luò)、郵件等向外發(fā)送、傳遞信息。所有人不得將與工程業(yè)務相關(guān)的信息發(fā)送到其他部門，如：華為工程部的業(yè)務相關(guān)的郵件不得發(fā)給中興、酷派、PPTV部門的人員。員工利用木馬、網(wǎng)絡(luò)釣魚、垃圾郵件、間諜軟件以盜取機密信息、個人數(shù)據(jù)、敏感數(shù)據(jù).網(wǎng)絡(luò)平安管理要求-紅線員工私自攜帶儲存介質(zhì)進入車間拷貝機密文件在產(chǎn)品發(fā)貨前須按研發(fā)要求關(guān)閉生產(chǎn)測試端口，禁止產(chǎn)品中存在非指定發(fā)貨軟件；僅可以出于維修和檢測目的在工廠特定的設(shè)備上翻開，并在維修、檢測結(jié)束后須再關(guān)閉須確保網(wǎng)絡(luò)平安關(guān)鍵部件的真實性，禁止使用來源不明的網(wǎng)絡(luò)平安關(guān)鍵部件或者的偽造品進行生產(chǎn)和發(fā)貨。員工作業(yè)電腦有外網(wǎng)權(quán)限并在工作期間瀏覽與工作無關(guān)的網(wǎng)站員工作業(yè)電腦沒有安裝殺毒軟件、沒有定期殺毒及更新病毒庫員工使用帶攝像頭USB功能的進入車間員工電腦安裝與工作無關(guān)的軟