《网络安全防护培训》课件

网络安全防护培训培训导入与议程12认知提升目标技能训练目标深入理解网络安全威胁本质，建立全面的安全风险意识，学习实用的安全防护技术，掌握常见攻击的识别方法，具掌握安全防护的基本原理和核心概念备基本的应急响应和处置能力3防护实践目标八大核心模块构建完整的安全防护体系，制定有效的管理制度，形成持续改进的安全运营机制网络安全概述机密性1确保信息只被授权人员访问完整性2保证数据的准确性和完整性可用性3确保系统和服务的正常运行网络安全是指保护网络系统及其数据免受未经授权的访问、使用、披露、破坏、修改或销毁的一系列技术、流程和实践它基于三CIA元组模型，即机密性、完整性和可用性在数字经济时代，信息资产已成为企业最重要的战略资源之一无论是客户数据、商业机密还是知识产权，都需要得到有效保护一旦发生安全事件，不仅会造成直接经济损失，还可能引发信任危机、法律责任和声誉损害，对企业的长远发展产生深远影响网络安全形势现状89%企业遭受攻击2024年中国89%的企业至少遭受过一次网络攻击亿

6.8泄露记录数量全球重大数据泄露事件涉及

6.8亿条敏感记录万445平均损失金额单次数据泄露事件平均造成445万美元经济损失天287发现处置时间从攻击发生到被发现和处置平均需要287天当前全球网络安全形势日趋严峻，攻击手段不断升级，影响范围持续扩大特别是勒索软件攻击呈爆发式增长，针对关键基础设施的攻击频发，国家级APT攻击愈发活跃典型安全威胁盘点恶意软件勒索软件病毒、木马、蠕虫等恶意程序，通过邮加密用户文件并勒索赎金，年全球2024件、下载、移动设备等途径传播，窃取勒索攻击同比增长，平均赎金超过68%数据或破坏系统万美元100钓鱼攻击攻击APT通过伪造邮件、网站诱骗用户泄露敏感高级持续性威胁，针对特定目标进行长信息，成功率高达，是最常见的攻30%期潜伏，窃取核心机密，造成巨大损失击手段之一网络攻击的基本原理侦查阶段收集目标信息，扫描漏洞渗透阶段利用漏洞获取初始访问权限控制阶段建立持久化后门，提升权限扩展阶段横向移动，实现攻击目标网络攻击通常遵循杀伤链模型，攻击者首先通过公开信息、社交媒体等渠道收集目标组织的详细信息然后利用技术手段或社会工程学方法获得初始入口，如通过钓鱼邮件诱导员工点击恶意链接一旦成功渗透，攻击者会建立持久化机制，确保长期访问权限，最终实现数据窃取、系统破坏或其他恶意目的整个过程可能持续数月甚至数年，具有高度的隐蔽性和持续性常见攻击技术

（一）病毒与恶意软件邮件附件传播通过伪装成正常文档的恶意附件进行传播，是最常见的感染途径软件下载感染恶意软件伪装成正常应用程序，诱导用户主动下载安装移动设备传播通过USB设备、移动硬盘等可移动存储介质进行横向传播网络漏洞利用利用系统或应用程序漏洞进行远程感染，无需用户操作木马和蠕虫是当前最活跃的恶意软件类型木马通过伪装成正常程序骗取用户信任，一旦运行就会窃取密码、银行信息等敏感数据蠕虫则具有自我复制能力，能够在网络中快速传播，消耗系统资源并可能导致网络瘫痪常见攻击技术

（二）钓鱼与社工邮件钓鱼特征虚假网站识别防范措施建议•发件人地址可疑或拼写错误•域名存在微小差异或拼写错误•核实发件人身份和邮件内容真实性•紧急性语言制造恐慌情绪•缺少HTTPS安全连接标识•不轻易点击陌生链接或下载附件•要求提供敏感信息或点击链接•页面设计粗糙或存在明显漏洞•通过官方渠道验证信息真实性•包含可疑附件或不明链接•要求输入过多个人敏感信息•启用多因素认证保护重要账户常见攻击技术

（三）拒绝服务攻击目标确定选择关键业务系统作为攻击目标僵尸网络控制大量被感染设备形成攻击网络流量洪泛同时发送海量请求使目标系统过载分布式拒绝服务攻击通过协调数千甚至数百万台被感染设备，向目标服务器发送海量请求，消耗其计算资源和网络带宽，导致正常用户无法访问服务现代攻击规模越来越大，年最大攻击流量已超过攻击者还经常结合应用层攻击，针对特定服DDoS

20243.47Tbps务漏洞进行精确打击，即使较小的攻击流量也能造成服务中断企业需要部署专业的防护设备，建立多层防御体系DDoS常见攻击技术

（四）零日漏洞漏洞发现利用开发攻击者发现未公开的系统或应用程序漏开发针对性攻击代码或工具洞发现响应精确攻击安全厂商发现并发布补丁修复选择高价值目标实施攻击零日漏洞是指厂商尚未发现或发布补丁的安全漏洞，具有极高的攻击成功率年典型案例包括浏览器、系统、2024Chrome Windows办公软件等多个重要产品的零日攻击由于没有现成的防护措施，零日攻击往往能够绕过传统安全防护，造成严重损失应对策Office略包括部署行为检测系统、实施零信任架构、建立威胁情报共享机制等安全攻防技术基础检测分析威胁情报与行为分析边界防护防火墙与入侵防护系统主机安全终端防护与系统加固网络安全流量监控与访问控制物理安全机房管控与环境保护现代网络安全防护体系采用纵深防御策略，构建多层防护屏障从物理安全到网络边界，从主机终端到应用系统，每一层都承担特定的防护职责攻防对抗是一个动态过程，攻击者不断寻找新的攻击路径，防护者则持续完善防御机制成功的防护需要技术、管理、人员三个维度的协同配合加密与认证基础知识对称加密算法非对称加密算法数字证书体系使用相同密钥进行加密和解密，运算速使用公钥和私钥对进行加密解密，解决通过可信第三方证书颁发机构验证身份度快，适用于大量数据处理典型算法了密钥分发问题、等算法广真实性，建立信任关系基础设施支RSA ECCPKI包括、等密钥管理是关键挑泛应用于数字签名和密钥交换，但运算撑电子商务、在线支付等安全应用的正AES DES战，需要安全的密钥分发机制复杂度较高常运行安全认证与访问控制生物特征认证短信验证码硬件令牌指纹、虹膜、面部识别等通过手机短信发送一次性密钥、智能卡等物理USB生物特征具有唯一性和不密码，简单易用但存在设备提供强身份认证，防可复制性，安全性极高卡劫持风险止账户被盗用SIM移动应用认证手机生成动态验证APP码，结合推送通知实现便捷安全的身份验证多因素认证结合你知道的、你拥有的、你是什么三个要素，大幅提升账户安全性最小权限原则确保用户只能访问完成工作所必需的资源，定期审查和回收权限，建立完善的权限生命周期管理机制物理与环境安全机房访问控制环境监控系统采用多重身份验证、门禁卡、生部署温湿度传感器、烟雾报警物识别等技术严格控制人员进器、水浸检测等设备，小时7×24出建立访客登记制度，实施伴监控机房环境参数一旦发现异随制度，确保非授权人员无法接常立即报警，防止环境因素导致触关键设备的设备损坏设备防护措施关键服务器采用机柜锁定、线缆保护、防拆卸设计建立设备台账管理，定期巡检维护，确保物理安全控制措施的有效性网络隔离与分区管理网络分区规划根据业务重要性和安全等级划分不同网络区域，如核心区、办公区、访客区等，实施差异化安全策略技术应用VLAN通过虚拟局域网技术实现逻辑隔离，不同部门或业务系统使用独立，减少攻击扩散风险VLAN物理隔离部署对于涉密或极高安全要求的系统，采用物理隔离方案，确保与外部网络完全断开连接某金融机构通过实施网络分区管理，成功阻止了一次针对交易系统的攻APT击攻击者虽然成功渗透了办公网络，但由于严格的网络隔离措施，无法进一步访问核心业务系统，避免了重大损失这充分证明了网络隔离在纵深防御中的重要作用安全防护设备介绍防火墙基于预定义规则过滤网络流量，阻止未授权访问入侵检测系统实时监控网络活动，识别可疑行为和攻击模式入侵防护系统在检测基础上自动阻断攻击，实现主动防护应用防火墙Web专门防护Web应用，抵御SQL注入、XSS等攻击现代安全防护设备采用深度包检测、行为分析、机器学习等先进技术，能够识别越来越复杂的攻击手段部署时需要考虑设备性能、网络拓扑、管理便利性等因素，确保安全防护不影响业务正常运行定期更新规则库和特征库，持续优化防护效果边界防护策略边界识别定义明确内外网边界，识别所有网络连接点和数据流向访问策略制定建立详细的访问控制规则，实施最小权限原则流量监控分析7×24小时监控边界流量，及时发现异常行为策略持续优化根据威胁情报和攻击趋势动态调整防护策略某电信运营商建立了覆盖全国的骨干网安全防护体系，部署了数千台安全设备，每日处理数十TB的网络流量通过实施统一的边界防护策略，成功阻止了超过95%的恶意攻击，保障了数亿用户的通信安全这一实践证明了边界防护在大规模网络环境中的重要价值主机与终端安全防护行为检测补丁管理防护比重防护比重35%25%监控程序异常行为，识别未知及时安装安全更新，修复系统病毒查杀系统加固威胁漏洞防护比重防护比重25%15%实时扫描、定时查杀、云查杀关闭不必要服务，优化安全配技术置数据安全保护数据分类分级加密技术应用脱敏处理技术根据敏感程度将数据划分为公开、内对敏感数据实施全生命周期加密保护，在测试、开发、分析等非生产环境中使部、秘密、机密四个等级制定相应的包括存储加密、传输加密和使用加密用脱敏数据，保护真实敏感信息采用存储、传输、处理和销毁标准，确保不采用强加密算法，建立完善的密钥管理格式保持、随机替换、算法变换等技术同级别数据得到适当保护体系手段•公开数据可对外公布的信息•数据库透明加密•静态脱敏离线批量处理•内部数据仅限内部使用的信息•文件系统加密•动态脱敏实时数据处理•秘密数据泄露会造成损失的信息•通信链路加密•格式保持维持数据原有格式•机密数据涉及核心商业机密的信息•应用层数据加密•算法脱敏使用特定算法变换重要行业安全要求金融行业防护电力系统安全银行、证券、保险等金融机构面电网作为国家关键基础设施，网临资金安全和客户隐私双重挑络安全直接关系国家安全采用战实施多层身份认证、交易风物理隔离、工控安全、异常检测控、反洗钱监控等措施建立灾等技术保护系统建立应SCADA备中心，确保业务连续性，满足急响应机制，防范网络攻击导致监管合规要求的大面积停电医疗健康防护保护患者隐私和医疗数据安全，符合等法规要求部署医疗设备安HIPAA全管理、电子病历加密、访问权限控制等措施防范勒索攻击对医疗服务的影响网络安全法法规（上）《网络安全法》核心要求2017年施行，确立网络安全等级保护制度，明确关键信息基础设施保护责任等级保护标准

2.02019年发布新标准，扩展云计算、移动互联、物联网、大数据等新技术保护要求关基保护条例2021年实施，针对电信、能源、交通等重要行业制定专门保护措施数据出境安全评估2022年生效，规范重要数据和个人信息跨境传输的安全管理《网络安全法》建立了以等级保护为核心的网络安全制度体系，要求网络运营者履行安全保护义务，关键信息基础设施运营者承担更高安全责任违法行为面临最高100万元罚款，情节严重的可吊销相关业务许可证企业必须建立完善的网络安全管理制度和技术措施网络安全法法规（下）万1000数据安全法罚款违反数据安全法最高可处1000万元或年营业额5%的罚款万5000个保法罚款上限个人信息保护法罚款上限为5000万元或年营业额5%小时72事件报告时限发生重大网络安全事件必须在72小时内向主管部门报告天30整改期限监管部门要求整改的，企业应在30天内完成并提交整改报告《数据安全法》和《个人信息保护法》构成了完整的数据保护法律框架，对数据收集、存储、使用、传输、删除全流程提出明确要求企业需要建立数据保护影响评估、个人信息处理活动记录、数据安全管理制度等合规机制，确保业务发展与法律合规并重网络安全管理制度应急响应制度建立事件分级响应流程人员管理制度规范岗位职责和权限管理系统运维制度确保系统安全稳定运行访问控制制度严格控制系统和数据访问安全监控制度7×24小时安全态势感知企业安全管理制度应覆盖组织架构、人员管理、资产管理、访问控制、密码管理、软件开发、系统运维、应急响应、审计监控等九个核心领域建立制度执行的监督检查机制，定期组织内部审计，确保各项制度落地执行同时建立持续改进机制，根据威胁变化和业务发展及时更新完善制度内容信息安全意识培训常见错误操作正确安全操作违规处罚案例•在公共场所使用不安全WiFi处理敏感•使用企业VPN或热点进行安全连接某员工因在社交媒体泄露公司内部信息信息被罚款万元并记过处分另一员工因密2•设置复杂密码并启用多因素认证码设置过于简单导致账户被盗，造成客•将工作密码设置为生日、姓名等易猜•验证邮件发送方身份后再进行操作户数据泄露，被降级处理并承担相应法测内容•保护个人隐私，避免信息过度暴露律责任•随意点击邮件中的可疑链接或下载附•对外来存储设备进行安全扫描件•在社交媒体过度分享个人和工作信息•将U盘等移动设备随意插入工作电脑常见网络诈骗类型供应链攻击恶意链接诈骗诈骗攻击CEO攻击者入侵软件供应商，通过短信、社交媒体发送伪装成企业高管向财务人在正常软件中植入恶意代虚假优惠、中奖信息，诱员发送紧急转账指令，利码，影响大量下游用户导用户点击恶意链接用权威和紧迫性实施诈骗电话诈骗升级利用AI技术合成高管声音，提高诈骗成功率，难以通过声音辨别真伪现代网络诈骗手段日益复杂，攻击者善于利用人性弱点和社会热点事件2024年新兴的AI语音合成诈骗、深度伪造视频诈骗等技术手段让传统的识别方法失效企业需要建立多重验证机制，重要操作必须通过多个渠道确认，同时加强员工防诈意识培训手机与移动设备安全移动恶意软件年新增移动恶意软件样本超过万个2024300公共风险WiFi的移动数据泄露与不安全相关75%WiFi安全管控BYOD企业需要平衡便利性与安全性的管理挑战移动设备已成为网络攻击的重要目标，恶意、钓鱼、窃听等攻击手段层出不穷（自带设备办公）环境下，个人APP SMSWiFi BYOD设备与企业网络的边界模糊，增加了安全管理难度企业应部署移动设备管理系统，实施应用白名单、远程擦除、容器化隔离等技术手段，确保移动办公安全同时建立明确的使用政策，规范员工行为BYOD电子邮件安全防护邮箱仿冒检测邮件加密传输识别伪造的发件人地址，防止域名欺骗使用协议加密邮件传输过程，TLS/SSL和显示名欺骗攻击或加密邮件内容S/MIME PGP附件安全扫描垃圾邮件过滤实时扫描邮件附件，检测恶意软件，在多层过滤技术识别和拦截垃圾邮件，减沙箱环境中分析可疑文件少安全风险和工作干扰电子邮件仍然是企业沟通的主要渠道，也是网络攻击的重要入口现代邮件安全解决方案采用人工智能和机器学习技术，能够识别越来越复杂的攻击手段部署多重防护机制，包括反垃圾邮件、反病毒、反钓鱼、数据防泄露等功能，构建全面的邮件安全防护体系安全基础Web注入攻击SQL通过输入恶意SQL代码获取或篡改数据库信息，是最常见的Web攻击手段之一跨站脚本攻击在网页中注入恶意JavaScript代码，窃取用户会话信息或进行钓鱼攻击跨站请求伪造利用用户已认证身份执行未授权操作，如转账、修改密码等敏感操作安全加固措施输入验证、参数化查询、输出编码、HTTPS部署、安全配置等综合防护Web应用面临的安全威胁日益复杂，OWASP Top10列出了最关键的Web安全风险某电商网站因SQL注入漏洞被攻击，导致300万用户信息泄露，造成重大经济损失和声誉损害企业应建立安全开发生命周期，从设计阶段就考虑安全因素，定期进行渗透测试和代码审计，及时发现和修复安全漏洞云计算与虚拟化安全云平台安全风险虚拟化安全挑战多租户隔离策略年发生多起云服务商数据泄露事虚拟机逃逸、虚拟网络攻击、资源竞争通过网络隔离、存储隔离、计算隔离等2024件，影响数千万用户主要风险包括配等新型威胁传统安全设备难以感知虚技术确保不同租户间的安全边界实施置错误、权限管理不当、数据传输不加拟环境内部流量，需要部署专门的虚拟严格的权限控制和审计机制，防止数据密等云服务的共享责任模型要求客户化安全解决方案跨租户泄露和服务商共同承担安全责任•Hypervisor层面的攻击•网络层虚拟专用网络•身份认证和访问管理漏洞•虚拟机间的横向移动•存储层加密和访问控制•数据加密和隐私保护不足•虚拟网络的可见性缺失•应用层身份认证隔离•网络安全配置错误•动态环境的安全策略同步•管理层权限分离机制•合规性要求难以满足物联网安全风险智能路由器智能家居25%的风险占比20%的风险占比成为僵尸网络节点，参与DDoS攻击门锁、温控等设备被入侵，威胁人身或恶意软件传播和财产安全智能摄像头车联网设备30%的风险占比25%的风险占比默认密码、固件漏洞导致设备被远程车辆控制系统被攻击，可能造成交通控制，隐私泄露严重事故和人员伤亡某智能门锁厂商的产品存在严重安全漏洞，攻击者可远程开锁，影响全球数十万用户物联网设备普遍存在安全设计不足、更新机制缺失、加密能力有限等问题监管部门已出台物联网安全标准，要求设备制造商履行安全责任，用户也需要定期更新设备固件，修改默认密码零信任安全模型身份验证核心对所有用户和设备进行严格身份验证，不再基于网络位置判断信任等级实施持续认证机制，动态评估访问风险最小权限访问用户只能访问完成工作所必需的资源，采用实时权限控制和会话管理技术，确保访问行为的可追溯性持续监控验证实时监控所有网络活动，分析用户行为模式，及时发现异常操作并采取相应的安全措施零信任架构颠覆了传统的信任但验证模式，采用永不信任，持续验证的理念谷歌的项目是零信任实践的典型案例，取消了传统，员BeyondCorp VPN工可以在任何地点安全访问企业资源实施零信任需要重新设计网络架构，投入较大但安全效果显著威胁情报与风险管理威胁情报收集风险评估流程从内部日志、外部情报源、行业建立标准化的风险识别、分析、共享平台等渠道收集威胁信息评估流程采用定量和定性相结建立自动化情报收集系统，提高合的方法，评估威胁发生概率和信息获取的时效性和准确性整潜在影响定期更新风险清单，合结构化和非结构化数据，形成跟踪风险变化趋势全面的威胁视图情报应用实践将威胁情报集成到安全工具和流程中，实现自动化检测和响应建立情报共享机制，与同行业企业和安全厂商协作提升安全团队的情报分析能力网络安全应急响应流程事件发现通过监控系统、用户报告、威胁情报等方式及时发现安全事件事件分析快速评估事件影响范围、严重程度，确定响应优先级和资源需求控制处置隔离受影响系统，阻止攻击扩散，保护关键业务系统正常运行恢复改进系统恢复、漏洞修复、经验总结，完善安全防护措施和应急预案有效的应急响应需要明确的组织架构、完善的预案制度、专业的技术团队和充足的资源保障事件响应时间直接影响损失程度，黄金1小时内的快速响应能够将损失降低60%以上企业应定期开展应急演练，检验响应能力，持续优化应急流程重大安全事件处置案例攻击初始阶段攻击者通过钓鱼邮件成功入侵财务部门员工电脑，植入远程访问木马程序横向渗透扩展利用内网信任关系和系统漏洞，逐步渗透到核心服务器，获取域管理员权限勒索软件部署在周末业务低峰期同时启动勒索程序，加密关键业务数据，要求支付300比特币应急处置恢复启动应急预案，隔离受感染系统，从备份恢复数据，72小时内基本恢复业务该企业从这次事件中总结出多条改进措施加强员工安全意识培训、部署端点检测响应系统、完善数据备份策略、建立网络分段隔离、制定更详细的应急响应预案事件后企业安全投入增加了200%，建立了专业的安全运营团队，显著提升了整体安全防护能力日志审计与入侵检测异常告警自动识别可疑行为模式行为分析基线建立与偏差检测数据关联3多源日志统一分析处理日志收集全面采集系统运行数据安全存储日志完整性和可用性保障现代日志分析系统每天需要处理TB级别的日志数据，采用大数据技术和机器学习算法提高分析效率异常行为定位的关键在于建立准确的用户和系统行为基线，通过统计分析发现偏离正常模式的活动有效的日志审计不仅能发现安全事件，还能为合规审查、故障排查、性能优化提供重要依据。