网络安全培训教材

深圳市深华世纪科技网络平安培训教材信息平安小组编制.网络平安根底知识培训.培训目的让员工对网络平安有一定了解，并在工作中按照相应的标准要求进行作业培训对象培训讲师培训时间所有入职员工一小时学习重点1.网络平安业界事件及形势2.网络平安的定义3.网络平安根本概念4.网络平安管理要求5.日常检查要求.一、网络平安业界事件及形势—平安事件反响堆已封项，马上可以发电了2021年9月，伊朗核设施突遭来源不明的网络病毒攻击，纳坦兹离心浓缩厂的上千台离心机报废2021年2月27日江苏省公安厅紧急通知由于海康威视监控设备存在巨大平安隐患，局部设备已被境外IP控制，要求对海康监控设备进行全面清查。布什尔核电站哈哈！我叫震网，我来了警示一、弱密码不可取，未修改初始密码更易被攻击警示二、系统的相对封闭是系统平安运行的首要保障.一、网络平安业界事件及形势—常见的威胁病毒蠕虫木马D-DOS垃圾邮件僵尸网络网络钓鱼网络钓鱼客户网络承载数黑客类别目的及威胁主要攻击方式信息窃取类主要以盗取机密信息、个人数据、敏感数据为目的，隐蔽性强，威胁国家保密信息、公司商业机密，个人隐私数据等，对于被攻击目标危害极大。木马、网络钓鱼、垃圾邮件、间谍软件等拒绝服务类以攻瘫目标为目的，即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法病毒、蠕虫、DDOS、僵尸网络远程控制类所谓远程控制，是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段，连通需被控制的计算机，将被控计算机的桌面环境显示到自己的计算机上，通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作，可以进行任何危险操作。木马、间谍软件、病毒、APT.一、网络平安业界事件及形势—业界形式各方对ICT供给链网络平安越来越关注，强调产品在供给链中的高效流动、完整性和数据及隐私保护美国依然是供给链网络平安的领先者美国通过将供给链的平安纳入国家战略，其核心诉求是建立“促进商品高效平安的流动，加强商品的完整性和建立一个恢复能力强的供给链。〞NIST〔美国国家标准局〕刷新了新的信息平安要求，在其中明确了对的供给链平安要求，如NISTSP800-161〔联邦信息系统和组织的供给链风险管理实践〕。隐私和客户数据保护依然是政府和客户关注的重点欧盟正在拟制的个人数据保护法，加大了对设备供给商的法律责任，在逆向再利用、已使用货物报废和设备搬迁时需要满足当地的法规要求；从严要求保护个人数据和隐私〔德国/土耳其/丹麦客户要求在本地处理个人数据〕；中国政府客户在政务云招标中直接采取了NISTSP800-53〔联邦信息系统及组织平安和隐私控制〕作为平安要求倡导建立统一的供给链评估标准，支持ICT行业全球化的开展美国智库布鲁金斯发布如何在ICT全球供给链建立信任的白皮书，倡导建立统一标准全球ICT产业界发布声明?政府网络平安推荐性实施准那么?，建议政府统一对业界的网络平安标准美国政府的供给链平安管理：美国在供给链平安领域很早就进行规划和布局，并形成了完整的供给链风险管控体系，由于其领先和示范作用，其他各国会效仿和借鉴.一、网络平安业界事件及形势—业界形式

从运营商到最终用户对网络平安要求和隐私保护都更加重视运营商对供给链越来越从关注管理方法向关注细节和技术实现方式上转变，如：如何从技术上保证产品加载的软件完整性可校验；客户越来越关注供给商的网络平安管理，尤其是开源软件清单及可追溯问题，越来越多敏感国家客户提出要交流供给商平安议题。UK、德国等国运营商如VDF、DT将对供给链平安要求写入合同，要求遵从当地〔AEO〕或者美国〔C-TPAT〕的供给链平安标准。Telenor、BT、VDF等客户强调华为可追溯数据库要利用起来，帮助华为进行漏洞影响的和监控；云效劳、银行、交通、电力、医院、政府等企业客户除了传统的网络平安要求外，对用户数据和隐私保护要求更高；企业网客户，如亚马逊、HP等北美客户依据C-TPAT+客户内部少量的定制化需求提出平安要求，其他市场客户尚未明确类似要求；中国政府客户在政务云招标中采取了NISTSP800-53。消费者越来越倚重和使用移动业务，成为最重要的交流媒介，消费者个人隐私数据的保密要求变得空前重要；Gartner的调查指出使用社交媒体时，最重要的挑战是首先要解决平安和隐私、内容管理等问题个人数据的保护应贯穿到每个产品的生命周期中:数据收集、数据存储、数据转移/共享、数据留存与删除等开源漏洞迅速上升，2021年业界爆发5起一级开源漏洞，几乎涉及华为所有产品和供给商，海康视讯事件突显了供给链的脆弱性运营商企业网消费者从运营商到最终用户对网络平安要求和隐私保护都更加重视.网络平安二、网络平安的定义网络平安是指在法律合规下保护产品、解决方案和效劳的可用性、完整性、机密性、可追溯性和抗攻击性，及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动。通过网络平安的保障，防止客户的经济、声誉受损；防止行为人或承担民事、行政甚至刑事责任；防止成为贸易保护的借口。客户网络承载数据/隐私业务连续及健壮的网络完整性可用性机密性可追溯性抗攻击性误区误区1:网络平安=信息平安误区2:网络平安=防攻击防病毒误区3:网络平安=物理和人身平安误区4:网络Cyber=Network网络平安CyberSecurity.二、网络平安的定义

网络平安五个特性确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。完整性系统或设备遭受攻击时，具体一定的防护能力。确保实体行动或信息流动可被追踪。抗攻击性确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。可用性机密性可追溯性

机密性〔Confidentiality〕指只有授权用户可以获取信息完整性〔Integrality〕指信息在输入和传输的过程中，不被非法授权修改和破坏，保证数据的一致性可用性〔Availability〕指保证合法用户对信息和资源的使用不会被不正当地拒绝。业界网络平安三性CIA.三、网络平安根本概念-关键部件

【网络平安关键部件】软件及可存储软件的载体包括但不限于硬盘、SD卡、CF卡、U盘、磁带、Flash。核心是“软件〞——软件、可存储软件的硬件网络安全关键物料产品类别主要涉及产品IT类便携机、

工控机、台式机、工作站、PC服务器、小型机

计算机配件独立硬盘、U盘、CF卡、SD卡、闪存卡等软件类操作系统类软件、

办公软件、网络服务器软件软件License…….三、网络平安根本概念-关键岗位【网络平安关键岗位】：网络平安关键岗位是指各业务流程和活动中可能利用职务之便植入、篡改、处理客户产品、网络信息、客户网络中所承载的客户或用户的通信内容、个人数据及隐私，对网络平安会产生重大影响或后果的岗位序号网络安全关键岗位1来料检验员（IQC）（存储类）2测试工艺工程师(生产软件管理(含技术员))3制造IT工程师(软件服务器与测试网络管理(含技术员))4软件烧录员5手工测试员（含无线模块测试、FT及整机测试）6物料员（贵重物料管理）(POC直发).网络平安管理要求-概要保障产品在供给链中的完整性、真实性、可追溯性，防止产品被篡改、植入、伪造等网络平安风险，并通过对供给过程的可追溯来到达供给链风险的有效管理。供给链是保障产品从研发、生产到客户端到端完整性的重要一环，供给链应防止华为生产或购置的产品中的软件、硬件或数据等在生产与交付中被恶意篡改或植入、确保交付给客户的产品与研发发布的一致。供给链在生产、交付过程中防止使用被伪造部件，保障生产过程及交付给客户产品的真实性.供给链应建立可追溯系统，支撑产品和部件在供给链过程中的可追溯性。供给链须对产品和部件建立唯一标识，并确保这些信息被有效记录。.网络平安管理要求-术语伪造产品(Counterfeit)：产品不是通过正规可靠渠道供给的，但是却以合法产品的身份出现。篡改/植入(Tainted)：生产的产品或购置的供给商产品，但因为软件、硬件或数据等被恶意更改，导致产品功能、性能和效劳与设计意图不符。可追溯(Traceability)：使用专业管理工具和综合系统，实现基于数据仓库的来料到站点的全交付过程的软硬件记录回溯，让相关产品和部件在整个供给链中可以追踪。O-TTPS：开放组织技术供给商标准，该标准表达了一套行业最正确实践要求和建议，当组织采用这套要求和建议时，可以为买家减少买到被篡改产品或者伪造产品的风险，带来商业利益。ISO28000:是国际标准化组织〔ISO〕制定的应对供给链威胁的系统解决方案，为供给链平安管理提供方法论，适用于所有行业。.网络平安管理要求-术语C-TPAT标准:海关-贸易反恐怖联盟(Customs-TradePartnershipAgainstTerrorism)，由美国国土平安部海关边境保护局建议成立的自愿性方案，参与这项方案的成员将依据C-TPAT所订立的平安建议去强化其有关设施、人员、程序及交付运输方面的平安措施及管理，内容涵盖八大范围：商业合作伙伴要求、程序平安、信息技术平安、物理平安、准入控制、人员平安、平安培训与警觉意识和集装箱与拖车平安。AEO标准:经授权的经营者〔AuthorizedEconomicOperator〕，在世界海关组织〔WCO〕制定的?全球贸易平安与便利标准框架?中被定义为：“以任何一种方式参与货物国际流通，并被海关当局认定符合世界海关组织或相应供给链平安标准的一方，包括生产商、进口商、出口商、报关行、承运商、理货人、中间商、口岸和机场、货站经营者、综合经营者、仓储业经营者和分销商〞。TAPA标准:是由运输资产保护协会〔TransportedAssetProtectionAssociation)发布的标准，该协会是由平安专家和来自相关高科技公司的业务伙伴组成的协会，旨在处理高科技产业普遍面临的新兴威胁。.网络平安管理要求-红线网络平安红线来源于政府要求、法律法规、客户要求以及业界标准等，其目标是保障产品在供给环节的完整性、真实性及对客户数据的保护.工作时只能使用企业邮箱，不得使用QQ、163等其他非企业邮箱。所有邮箱都只能一个人使用，不得共用，密码需定期更改〔每月一次〕，不得泄露，不得随意借给他人使用所有人的电脑密码专人专用，定期更改，不得转借他人，不得泄露，人员离开电脑时，电脑必须锁住，不得让其他人翻开。网络使用者发送电子邮件内容由本人操作负责,未经允许，不得利用公司网络、邮件等向外发送、传递信息。所有人不得将与工程业务相关的信息发送到其他部门，如：华为工程部的业务相关的邮件不得发给中兴、酷派、PPTV部门的人员。员工利用木马、网络钓鱼、垃圾邮件、间谍软件以盗取机密信息、个人数据、敏感数据.网络平安管理要求-红线员工私自携带储存介质进入车间拷贝机密文件在产品发货前须按研发要求关闭生产测试端口，禁止产品中存在非指定发货软件；仅可以出于维修和检测目的在工厂特定的设备上翻开，并在维修、检测结束后须再关闭须确保网络平安关键部件的真实性，禁止使用来源不明的网络平安关键部件或者的伪造品进行生产和发货。员工作业电脑有外网权限并在工作期间浏览与工作无关的网站员工作业电脑没有安装杀毒软件、没有定期杀毒及更新病毒库员工使用带摄像头USB功能的进入车间员工电脑安装与工作无关的软