谨慎能捕千秋蝉小心驶得万年船新郑市基础教育教研室沈**2018.4.9——新郑市教育系统网络安全培训网络安全背景分析网络安全的目的目录CONTENTS网络安全防护策略学校网络安全问题简单故障排查背景分析计算机普及互联网Internet内网Intranet电子交易应用范围时间电子商务电子政务1.Internet技术的迅猛发展和普及背景分析黑客方:尼奥(病毒、木马)偶然的破坏者坚定的破坏者间谍2.黑客(Hacker)产生反黑客方:史密斯(防火墙、杀毒软件)背景分析3.网络攻击事件2019/10/22015年初,希拉里邮件门事件2016年2月,孟加拉央行8100万美元失窃;12月,俄罗斯央行20亿卢布(3100万美元)不翼而飞2017年2-4月份洲际酒店(IHG)信用卡数据泄露背景分析4.网络攻击后果2019/10/2•政治影响恶劣•经济财产损失•知识产权损失•时间消耗•生产力消耗•责任感下降•激化社会矛盾背景分析5.《网络安全法》颁布2019/10/2《中华人民共和国网络安全法》(以下简称《网络安全法》)于2017年6月1日正式实施。《网络安全法》作为我国网络空间安全管理的基本法律,框架性地构建了许多法律制度和要求,重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全审查、个人信息和重要数据保护制度、数据出境安全评估、网络关键设备和网络安全专用产品安全管理制度、网络安全事件应对制度等。一方面,以国家互联网信息办公室(以下简称“网信办”)为主的监管部门制定了多项配套法规另一方面,全国信息安全标准化技术委员会(以下简称“信安标委”)同时制定并公开了一系列以信息安全技术为主的重要标准的征求意见稿背景分析6.《网络安全法》明确了六点内容2019/10/2(1)网络安全法明确了网络空间主权的原则;第七十五条境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任。明确了网络是国家主权范围,需要进行管辖。明确网络空间主权至少已经从最基础的层面提出国家对网络空间行使权力的问题。(2)明确了网络产品和服务提供者的安全义务;第二十二条网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。其中“相关国家标准的强制性要求”在《网络产品和服务安全审查办法》中规定,网络产品和服务由国家依法认定网络安全审查第三方机构进行安全审查。背景分析6.《网络安全法》明确了六点内容2019/10/2(3)明确了网络运营者的安全义务;第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。其中网络安全等级保护制度尚未出台。(4)进一步完善了个人信息保护规则;第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。在此之前,《电信和互联网用户个人信息保护规定》、《刑法》及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》均规定了个人信息保护。而网络安全法在强调了个人信息保护重要性的基础上,规定了如何落实相关信息保护制度。背景分析6.《网络安全法》明确了六点内容2019/10/2(5)建立了关键信息基础设施安全保护制度;第三十一条规定“关键信息基础设施的具体范围和安全保护办法由国务院制定。”第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。国家互联网信息办公室起草了《关键信息基础设施安全保护条例(征求意见稿)》。(6)确立了关键信息基础设施重要数据跨境传输的规则。第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。背景分析7.《网络安全法》涉及民生2019/10/2一是确立了网络空间主权原则,将网络安全顶层设计法制化。网络空间主权是一国开展网络空间治理、维护网络安全的核心基石;离开了网络空间主权,维护公民、组织等在网络空间的合法利益将沦为一纸空谈。二是对关键信息基础设施实行重点保护,将关键信息基础设施安全保护制度确立为国家网络空间基本制度。三是加强个人信息保护要求,加大对网络诈骗等不法行为的打击力度。近年来,公民个人信息数据泄露日趋严重,“徐玉玉案”等一系列的电信网络诈骗案引发社会焦点关注。《网络安全法》从立法伊始就将个人信息保护列为了需重点解决的问题之一。与网络空间国内形势、行业发展和社会民生紧密的主要有以下三大重点:背景分析8.《网络安全法》对一些网络词汇进行定义2019/10/2网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。网络运营者,是指网络的所有者、管理者和网络服务提供者。网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。网络安全的目的保护信息的安全保护信息交互、传输的安全保护信息系统的正常运行进不来拿不走改不了跑不了看不懂可审查学校网络安全问题网络安全意识淡薄网络安全方面的投入严重不足,没有系统的网络安全设施配备学校的上网场所管理较混乱无任何安全管理和监控的手段网络安全管理制度缺失网络安全防护策略人——网络安全防护的决定因素制度——网络安全防护的基础和核心技术——网络安全防护的基本保证网络安全防护策略人——网络安全防护的决定因素人是网络安全防护中的最薄弱环节对安全防护工作重视的领导是安防工作顺利推进的主要动力有强烈安全防护意识的教职员工是安防体系得以切实落实的基础杜绝单位内部员工攻击网络系统是加强安全防护的一项重要工作加强安全教育、提高网络安全意识尤为重要网络安全防护策略人——网络安全防护的决定因素安全意识是指人们发现可能存在的威胁、判断其危害性并及时预防或化解威胁的一种能力加强自身对威胁相关知识的掌握以及正确的使用习惯可以提升这种能力。即提高安全意识网络安全防护策略人——网络安全防护的决定因素网络的基础元素是用户网络应用的多样化、用户个体习惯的多样化对于学校来说网络安全主要是管理和制度的问题,对于个人来说网络安全主要是意识和使用习惯的问题,技术仅仅是辅助手段为什么要培养用户的网络安全意识?网络安全防护策略人——网络安全防护的决定因素首先要让用户清楚哪些东西是需要保护的?终端设备(PC、平板、手机等)软件系统及网络真实的钱财(网络银行账号、股票基金帐户)虚拟财产(微信帐号、qq帐号、游戏帐号等)帐号信息及密码(开机、Email、各类应用及App等)研究成果、各类文档等私密的信息(头像、指纹、身份证号、电话号码、车牌号码、家庭地址)网络安全防护策略人——网络安全防护的决定因素培养良好的上网习惯树立正确的世界观、人生观和价值观安全使用电脑使用正版软件,及时安装系统补丁安装杀毒软件,进行定期的升级和查杀一旦出现了网络故障,首先从自身查起,扫描本机不使用黑客软件帐号密码要输入,不要记系统记住,并定期修改离开电脑时最好退出帐号、下网、关机访问安全的网站注意保护隐私不在网络中炫富、不透露银行帐号、个人信息等谨慎开放共享文件和共享资源遵守国家法律法规网络安全防护策略人——网络安全防护的决定因素面临的主要威胁有哪些?病毒、木马(首要威胁)信息泄露(有意无意的)社会工程学与欺诈(伪造金融系统欺诈、邮件欺诈、短信微信欺诈……)人为的特定攻击(APT)无线和移动终端的安全威胁网络安全防护策略制度——网络安全防护的基础和核心安全防护制度是这样一份或一套文档,它从整体上规划出在单位内部实施的各项安防控制措施。减轻或消除单位员工和第三方的法律责任对保密信息和无形资产加以保护防止浪费单位的计算机、网络资源网络安全防护策略制度——网络安全防护的基础和核心2019/10/2安防制度的生命周期第一阶段:规章制度的制定。本阶段以风险评估工作的结论为依据制定出消除、减轻和转移风险所需要的安防控制措施。第二阶段:规章制度的推行。单位发布执行的规章制度,以及配套的奖惩措施。第三阶段:规章制度的监督实施。制度的监督实施应常抓不懈、反复进行,保证制度能够跟上教育信息化的发展和变化制度的制定网络安全防护策略制度——网络安全防护的基础和核心2019/10/2单位领导小组及职责网络信息内容管理制度网络安全等级保护制度关键信息基础设施安全保护制度网络安全审查、个人信息和重要数据保护制度数据出境安全评估、网络关键设备和网络安全专用产品安全管理制度网络安全事件应对制度计算机登记备案管理制度信息发布审核、登记制度信息监视、保存、清除和备份制度病毒和安全漏洞检测制度违法案件报告和协助查处制度安全员岗位工作职责安全教育培训制度用户账户管理制度远程访问管理制度特殊访问权限管理制度网络连接设备管理制度涉密计算机保密管理制度非涉密计算机管理制度涉密计算机及涉密介质维修、更换、报废保密管理制度公共信息网络上发布信息保密管理制涉密、非涉密网络保密管理制度涉密、非涉密移动存储介质保密管理制度………………网络安全防护策略技术——网络安全防护的基本保证网络安防需要最新的信息安全技术信息加密技术(只谈针对个人的狭义的)身份鉴别技术(譬如:门禁、刷卡、刷脸……)资源使用授权技术(分层授权……)备份与恢复技术(DiskGenius、EasyRecovery)防病毒技术网络安全防护策略技术——网络安全防护的基本保证病毒、木马感染途径网络浏览电子邮件移动存储介质不明的链接(QQ、微信、短信……)网络下载网络共享网络安全防护策略技术——网络安全防护的基本保证防止病毒、木马感染的方法装防病毒软件一台机器装一种适合的即可,忌装多种防病毒软件网络安全防护策略技术——网络安全防护的基本保证网络安防需要先进的安全产品网络防火墙VPN设备入侵检测设备网络防病毒产品网络认证、日志审计、行为管理、负载均衡、流量监控……网络安全防护策略技术——网络安全防护的基本保证网络安防需要先进的安全产品防火墙的用途位于Internet与Intranet之间的系统,避免内部网络直接暴露在外面防止Internet上非法访问防止内部使用者不当的使用Internet有效的记录及监控学校与互联网活动强化单位安全策略网络安全防护策略技术——网络安全防护的基本保证不能完全防止受病毒感染的文件或软件的传输对不通过它的连接无能为力不能防备内部人员的攻击可能导致传输延迟、网络瓶颈及单点失效不能防备新的网络安全问题防火墙的弱点网络安全防护策略技术——网络安全防护的基本保证单一的安全保护往往效果不理想目前的趋势——应用和实施一个基于多层次安全系统的全面信息安全策略网络安防需要采用多层防护策略在各个层次上部署相关的网络安全产品分层的安全防护成倍地增加了黑客攻击的成本和难度从而卓有成效地降低被攻击的危险,达到安全防护的目标简单故障排查网络不通?浏览器打不开网站QQ可以上,浏览器打不开IP地址报告有冲突网络连接出现×网络连接非正常情况等等简