深圳市深华世纪科技有限公司网络安全培训教材信息安全小组编制网络安全基础知识培训培训目的让员工对网络安全有一定了解,并在工作中按照相应的规范要求进行作业培训对象培训讲师培训时间所有入职员工一小时学习重点1.网络安全业界事件及形势2.网络安全的定义3.网络安全基本概念4.网络安全管理要求5.日常检查要求一、网络安全业界事件及形势—安全事件反应堆已封项,马上可以发电了2010年9月,伊朗核设施突遭来源不明的网络病毒攻击,纳坦兹离心浓缩厂的上千台离心机报废2015年2月27日江苏省公安厅紧急通知由于海康威视监控设备存在巨大安全隐患,部分设备已被境外IP控制,要求对海康监控设备进行全面清查。布什尔核电站哈哈!我叫震网,我来了警示一、弱密码不可取,未修改初始密码更易被攻击警示二、系统的相对封闭是系统安全运行的首要保障一、网络安全业界事件及形势—常见的威胁病毒蠕虫木马D-DOS垃圾邮件僵尸网络网络钓鱼网络钓鱼客户网络承载数黑客类别目的及威胁主要攻击方式信息窃取类主要以盗取机密信息、个人数据、敏感数据为目的,隐蔽性强,威胁国家保密信息、公司商业机密,个人隐私数据等,对于被攻击目标危害极大。木马、网络钓鱼、垃圾邮件、间谍软件等拒绝服务类以攻瘫目标为目的,即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法病毒、蠕虫、DDOS、僵尸网络远程控制类所谓远程控制,是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段,连通需被控制的计算机,将被控计算机的桌面环境显示到自己的计算机上,通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作,可以进行任何危险操作。木马、间谍软件、病毒、APT一、网络安全业界事件及形势—业界形式•各方对ICT供应链网络安全越来越关注,强调产品在供应链中的高效流动、完整性和数据及隐私保护美国依然是供应链网络安全的领先者•美国通过将供应链的安全纳入国家战略,其核心诉求是建立“促进商品高效安全的流动,加强商品的完整性和建立一个恢复能力强的供应链。”•NIST(美国国家标准局)刷新了新的信息安全要求,在其中明确了对的供应链安全要求,如NISTSP800-161(联邦信息系统和组织的供应链风险管理实践)。隐私和客户数据保护依然是政府和客户关注的重点•欧盟正在拟制的个人数据保护法,加大了对设备供应商的法律责任,在逆向再利用、已使用货物报废和设备搬迁时需要满足当地的法规要求;•从严要求保护个人数据和隐私(德国/土耳其/丹麦客户要求在本地处理个人数据);•中国政府客户在政务云招标中直接采取了NISTSP800-53(联邦信息系统及组织安全和隐私控制)作为安全要求倡导建立统一的供应链评估标准,支持ICT行业全球化的发展•美国智库布鲁金斯发布如何在ICT全球供应链建立信任的白皮书,倡导建立统一标准•全球ICT产业界发布声明《政府网络安全推荐性实施准则》,建议政府统一对业界的网络安全标准美国政府的供应链安全管理:美国在供应链安全领域很早就进行规划和布局,并形成了完整的供应链风险管控体系,由于其领先和示范作用,其他各国会效仿和借鉴一、网络安全业界事件及形势—业界形式•从运营商到最终用户对网络安全要求和隐私保护都更加重视•运营商对供应链越来越从关注管理方法向关注细节和技术实现方式上转变,如:如何从技术上保证产品加载的软件完整性可校验;•客户越来越关注供应商的网络安全管理,尤其是开源软件清单及可追溯问题,越来越多敏感国家客户提出要交流供应商安全议题。•UK、德国等国运营商如VDF、DT将对供应链安全要求写入合同,要求遵从当地(AEO)或者美国(C-TPAT)的供应链安全标准。•Telenor、BT、VDF等客户强调华为可追溯数据库要利用起来,帮助华为进行漏洞影响的和监控;•云服务、银行、交通、电力、医院、政府等企业客户除了传统的网络安全要求外,对用户数据和隐私保护要求更高;•企业网客户,如亚马逊、HP等北美客户依据C-TPAT+客户内部少量的定制化需求提出安全要求,其他市场客户尚未明确类似要求;•中国政府客户在政务云招标中采取了NISTSP800-53。•消费者越来越倚重和使用移动业务,手机成为最重要的交流媒介,手机消费者个人隐私数据的保密要求变得空前重要;•Gartner的调查指出使用社交媒体时,最重要的挑战是首先要解决安全和隐私、内容管理等问题•个人数据的保护应贯穿到每个产品的生命周期中:数据收集、数据存储、数据转移/共享、数据留存与删除等开源漏洞迅速上升,2014年业界爆发5起一级开源漏洞,几乎涉及华为所有产品和供应商,海康视讯事件突显了供应链的脆弱性运营商企业网消费者从运营商到最终用户对网络安全要求和隐私保护都更加重视•网络安全二、网络安全的定义网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性,及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动。通过网络安全的保障,避免客户的经济、声誉受损;避免行为人或承担民事、行政甚至刑事责任;避免成为贸易保护的借口。客户网络承载数据/隐私业务连续及健壮的网络完整性可用性机密性可追溯性抗攻击性误区1:网络安全=信息安全误区2:网络安全=防攻击防病毒误区3:网络安全=物理和人身安全误区4:网络Cyber=Network网络安全CyberSecurity二、网络安全的定义•网络安全五个特性确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。完整性系统或设备遭受攻击时,具体一定的防护能力。确保实体行动或信息流动可被追踪。抗攻击性确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。可用性机密性可追溯性机密性(Confidentiality)指只有授权用户可以获取信息完整性(Integrality)指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性可用性(Availability)指保证合法用户对信息和资源的使用不会被不正当地拒绝。业界网络安全三性CIA三、网络安全基本概念-关键部件【网络安全关键部件】软件及可存储软件的载体包括但不限于硬盘、SD卡、CF卡、U盘、磁带、Flash。核心是“软件”——软件、可存储软件的硬件网络安全关键物料产品类别主要涉及产品IT类便携机、工控机、台式机、工作站、PC服务器、小型机计算机配件独立硬盘、U盘、CF卡、SD卡、闪存卡等软件类操作系统类软件、办公软件、网络服务器软件软件License……三、网络安全基本概念-关键岗位•【网络安全关键岗位】:网络安全关键岗位是指各业务流程和活动中可能利用职务之便植入、篡改、处理客户产品、网络信息、客户网络中所承载的客户或用户的通信内容、个人数据及隐私,对网络安全会产生重大影响或后果的岗位序号网络安全关键岗位1来料检验员(IQC)(存储类)2测试工艺工程师(生产软件管理(含技术员))3制造IT工程师(软件服务器与测试网络管理(含技术员))4软件烧录员5手工测试员(含无线模块测试、FT及整机测试)6物料员(贵重物料管理)(POC直发)网络安全管理要求-概要保障产品在供应链中的完整性、真实性、可追溯性,防止产品被篡改、植入、伪造等网络安全风险,并通过对供应过程的可追溯来达到供应链风险的有效管理。供应链是保障产品从研发、生产到客户端到端完整性的重要一环,供应链应避免华为生产或购买的产品中的软件、硬件或数据等在生产与交付中被恶意篡改或植入、确保交付给客户的产品与研发发布的一致。供应链在生产、交付过程中防止使用被伪造部件,保障生产过程及交付给客户产品的真实性.供应链应建立可追溯系统,支撑产品和部件在供应链过程中的可追溯性。供应链须对产品和部件建立唯一标识,并确保这些信息被有效记录。网络安全管理要求-术语伪造产品(Counterfeit):产品不是通过正规可靠渠道供应的,但是却以合法产品的身份出现。篡改/植入(Tainted):生产的产品或购买的供应商产品,但因为软件、硬件或数据等被恶意更改,导致产品功能、性能和服务与设计意图不符。可追溯(Traceability):使用专业管理工具和综合系统,实现基于数据仓库的来料到站点的全交付过程的软硬件记录回溯,让相关产品和部件在整个供应链中可以追踪。O-TTPS:开放组织技术供应商标准,该标准叙述了一套行业最佳实践要求和建议,当组织采用这套要求和建议时,可以为买家减少买到被篡改产品或者伪造产品的风险,带来商业利益。ISO28000:是国际标准化组织(ISO)制定的应对供应链威胁的系统解决方案,为供应链安全管理提供方法论,适用于所有行业。网络安全管理要求-术语C-TPAT标准:海关-贸易反恐怖联盟(Customs-TradePartnershipAgainstTerrorism),由美国国土安全部海关边境保护局倡议成立的自愿性计划,参与这项计划的成员将依据C-TPAT所订立的安全建议去强化其有关设施、人员、程序及交付运输方面的安全措施及管理,内容涵盖八大范围:商业合作伙伴要求、程序安全、信息技术安全、物理安全、准入控制、人员安全、安全培训与警觉意识和集装箱与拖车安全。AEO标准:经授权的经营者(AuthorizedEconomicOperator),在世界海关组织(WCO)制定的《全球贸易安全与便利标准框架》中被定义为:“以任何一种方式参与货物国际流通,并被海关当局认定符合世界海关组织或相应供应链安全标准的一方,包括生产商、进口商、出口商、报关行、承运商、理货人、中间商、口岸和机场、货站经营者、综合经营者、仓储业经营者和分销商”。TAPA标准:是由运输资产保护协会(TransportedAssetProtectionAssociation)发布的标准,该协会是由安全专家和来自相关高科技公司的业务伙伴组成的协会,旨在处理高科技产业普遍面临的新兴威胁。网络安全管理要求-红线•网络安全红线来源于政府要求、法律法规、客户要求以及业界规范等,其目标是保障产品在供应环节的完整性、真实性及对客户数据的保护.•工作时只能使用企业邮箱,不得使用QQ、163等其他非企业邮箱。所有邮箱都只能一个人使用,不得共用,密码需定期更改(每月一次),不得泄露,不得随意借给他人使用•所有人的电脑密码专人专用,定期更改,不得转借他人,不得泄露,人员离开电脑时,电脑必须锁住,不得让其他人打开。•网络使用者发送电子邮件内容由本人操作负责,未经允许,不得利用公司网络、邮件等向外发送、传递信息。•所有人不得将与项目业务相关的信息发送到其他部门,如:华为项目部的业务相关的邮件不得发给中兴、酷派、PPTV部门的人员。•员工利用木马、网络钓鱼、垃圾邮件、间谍软件以盗取机密信息、个人数据、敏感数据网络安全管理要求-红线•员工私自携带储存介质进入车间拷贝机密文件•在产品发货前须按研发要求关闭生产测试端口,禁止产品中存在非指定发货软件;仅可以出于维修和检测目的在工厂特定的设备上打开,并在维修、检测结束后须再关闭•须确保网络安全关键部件的真实性,禁止使用来源不明的网络安全关键部件或者已知的伪造品进行生产和发货。•员工作业电脑有外网权限并在工作期间浏览与工作无关的网站•员工作业电脑没有安装杀毒软件、没有定期杀毒及更新病毒库•员工使用带摄像头USB功能的手机进入车间•员工电脑安装与工作无关的软件•员工作业电脑没有设置密码、电脑没有设置屏幕保护、离岗时作业电脑没有及时锁屏网络安全管理要求-红线•管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段,连通需被控制的计算机,将被控计算机的桌面环境显示到自己的计算机上,通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作•员工不得私自使用相机进行拍照•非授权人员