移动信息安全课件

移动信息安全全面解析第一章移动信息安全的时代背景年中国信息安全元年2014:年月日中共中央网络安全和信息化领导小组正式成立标志着中国将网络安全提2014227,,升到国家战略高度习近平总书记在中央网络安全和信息化领导小组第一次会议上明确指出没有网络安全就没有国家安全没有信息化就没有现代化:,移动互联网的爆发式增长亿12+98%500+移动互联网用户手机上网比例常用移动应用年中国移动互联网用户规模手机成为主要上网终端设备平均每人安装的数量2025App数据洪流中的安全隐患第二章移动信息安全的主要威胁常见网络攻击类型恶意软件攻击网络钓鱼高级持续性威胁包括病毒、木马、勒索软件等通过感染设备攻击者伪装成可信身份通过欺骗手段诱导用攻击采用隐蔽手段长期潜伏针对特定目,,APT,窃取数据或勒索赎金户泄露敏感信息标进行持续攻击中间人攻击分布式拒绝服务攻击通过劫持通信链路窃听或篡改传输数据攻击利用大量请求瘫痪目标服务造成业务中断和经济损失MITM,DDoS,勒索软件的惊人威胁75%组织受攻击比例2023年全球遭遇勒索攻击的组织亿10+赎金支付金额全球勒索软件赎金支付总额美元内部威胁不可忽视员工误操作风险恶意内部人员权限管理漏洞缺乏安全意识的员工可能无意中点击恶意心怀不满或被收买的员工可能主动窃取商过度授权、权限滥用或离职员工账户未及链接、下载危险文件或泄露敏感信息人业机密、客户数据或破坏系统内部人员时注销都可能成为安全隐患权限管理是,为失误是许多安全事件的根源拥有合法权限攻击更难防范企业安全管理的重要盲点,一封邮件可能毁掉你的数据,第三章移动信息安全技术防护体系七大信息安全技术领域设备与环境安全防止物理入侵和未授权访问,包括设备加密、访问控制、环境监控等数据安全数据加密、备份恢复、完整性校验,确保数据机密性、完整性和可用性身份安全多因素认证、数字证书、生物识别,确保用户身份真实可靠主机系统安全操作系统加固、漏洞修补、安全配置,防止系统层面的攻击网络系统安全防火墙、入侵检测、VPN加密,保护网络通信安全应用软件安全代码审计、安全测试、漏洞修复,防范应用层攻击信息内容安全防火墙与智能网关技术防火墙技术演进多层防护策略标准防火墙基于规则的数据包过滤是网现代移动信息安全防护采用纵深防御策:,络安全的第一道防线略将防火墙技术与数据加密、入侵检,测、安全审计等技术相结合构建多层双家网关结合两层防护机制提供更强的,:,次、立体化的安全防护体系隔离能力隐蔽主机网关隐藏内部网络拓扑增强安:,全性隐蔽智能网关集成智能分析与隐蔽技术:,实现主动防御数据加密与智能卡技术数据传输加密数据存储加密智能卡认证采用、等加密协议确保数据在网络对敏感数据进行加密存储即使设备丢失或被盗智能卡结合密码口令实现双因素认证提供硬件级SSL/TLS VPN,,,,传输过程中的机密性防止中间人窃听和篡改数据也不会泄露支持全盘加密和文件级加密的安全保障广泛应用于移动支付、电子政务等场,,景筑牢移动信息安全防线第四章移动互联网应用中的个人信息保护个人信息收集的合法合规原则010203合法、正当、必要原则明示同意原则最少够用原则信息收集必须有明确的法律依据目的正当范围收集个人信息前必须明确告知用户收集的目的、只收集与服务功能直接相关的最少信息不得收集,,,,限于实现服务功能的必要信息不得超范围收集方式、范围和用途经用户明示同意后方可收集与服务无关的个人信息不得强制要求授权无关权,,,限04公开透明原则安全保障原则隐私政策应清晰易懂公开信息处理规则接受用户和社会监督建立透明的,,,信息处理机制类基本业务功能必要信息规范16出行服务类生活服务类娱乐内容类地图导航位置信息网络支付实名信息、银行卡短视频账号注册信息•:•:•:网络约车位置、联系方式网上购物收货地址、支付信息网络直播实名认证信息•:•:•:共享单车位置、实名信息餐饮外卖位置、联系方式在线音视频账号信息•:•:•:快递服务地址、联系方式社交通讯类•:其他服务类即时通讯手机号、账号信息金融借贷征信、收入信息•:•:社交平台基本资料、关系链房屋租售身份、联系方式•:•:二手交易账号、交易信息•:国家标准明确规定了各类移动应用基本业务功能的必要个人信息范围防止超范围收集信息企业应严格遵守规范仅收集实现业务功能必需的最少,App,信息保障用户知情权和选择权,案例滴滴出行与个人隐私保护实践:数据匿名化处理1对用户行程数据进行匿名化和脱敏处理在数据分析和业务优化中保护用,户隐私实现数据可用不可见,2严格权限管理建立数据访问权限分级管理制度只有经过授权的人员才能访问特定数据,,所有访问行为均记录审计加密传输存储3采用行业领先的加密技术保护数据传输和存储安全防止数据在传输和存,储过程中被窃取或篡改4定期安全审计委托第三方专业机构定期进行安全审计和风险评估及时发现并修复安全,漏洞持续提升安全防护能力,应急响应机制5建立小时安全监控和应急响应机制一旦发现安全事件立即启动应急7×24,预案最大限度降低影响,作为国内最大的出行平台滴滴出行在个人信息保护方面建立了完善的技术和管理体系为行业树立了标杆然而年的数据安全审查事件也警示我们数据安全永远在,,,2021,路上企业必须持续投入不断完善防护体系,,透明收集安全使用,个人信息保护的核心在于透明度和用户控制权企业应当清晰告知用户收集了哪些信息、用于何种目的给予用户充分的知情权、选择权、访问权、更正权和删除权让用户,,真正成为自己数据的主人第五章移动信息安全管理与法律法规技术手段是信息安全的基础但仅有技术是不够的完善的管理制度和健全的法律法规,,是保障移动信息安全的重要支撑重要法律法规解读《中华人民共和国网络安全法》年月日实施是我国网络安全领域的基础性法律明确了网络运营者的安全保护义务要求采取技术措施和管理措施保障网络安全防止201761,,,信息泄露、篡改、毁损对关键信息基础设施实行重点保护要求重要数据在境内存储,《中华人民共和国个人信息保护法》年月日实施是个人信息保护的专门法律明确了个人信息处理的基本原则和规则强化了个人信息主体权利规定了敏感个人信息的2021111,,,特殊保护要求对违法处理个人信息的行为规定了严格的法律责任最高可处万元或上年度营业额的罚款,50005%《信息安全技术个人信息安全规范》国家标准为个人信息处理活动提供了详细的技术和管理指南规定了个人信息收集、存储、使用、共享、转让、公开披露GB/T35273-2020,等各环节的安全要求明确了类常见移动应用的必要个人信息范围是企业合规的重要参考,16,企业信息安全管理实践建立信息安全管理体系企业应参照等国际标准建立系统化的信息安全管理体系ISO27001,ISMS,包括:安全策略与制度制定信息安全政策、管理制度、操作规程:组织架构明确安全责任设立专门的安全管理部门:,风险评估定期识别、分析、评估信息安全风险:技术防护部署防火墙、入侵检测、数据加密等技术手段:培训教育定期开展安全意识培训提升员工安全素养:,应急响应建立安全事件应急预案和处置机制:持续改进定期审计评估不断优化安全管理体系:,典型安全事件与教训案例一某知名社交平台数据泄露:2019年,某社交平台发生数据泄露事件,超过5亿用户的手机号码、姓名等信息被公开售卖调查发现,攻击者利用平台API接口的安全漏洞,通过自动化脚本批量爬取用户数据事件导致平台被罚款5000万美元,多名高管被追责,品牌声誉严重受损教训:API接口安全防护不足,缺乏有效的访问频率限制和异常检测机制案例二某电商违规收集个人信息:App某电商App在未明示告知用户的情况下,收集用户通讯录、位置信息等与业务无关的个人信息,且在用户拒绝授权后无法使用基本功能,构成强制索权监管部门责令整改,并处以100万元罚款,该App被要求下架整改三个月教训:超范围收集个人信息,未遵循最少够用原则,侵犯用户权益案例三某企业内部人员泄密:某科技公司员工因个人恩怨,将公司核心技术文档和客户数据打包出售给竞争对手,造成数千万元经济损失调查发现,该员工拥有过高的数据访问权限,且公司缺乏数据外发监控机制,导致泄密行为未被及时发现教训:权限管理混乱,缺乏数据外发监控和审计机制,内部威胁防范不足法技结合筑牢安全防线,移动信息安全需要法律、技术、管理三位一体完善的法律法规提供制度保障先进的技,术手段构建防护体系科学的管理制度规范操作流程只有三者有机结合才能真正筑牢,,信息安全防线第六章移动信息安全的未来趋势随着、人工智能、物联网等新技术的发展移动信息安全面临新的机遇和挑战把握5G,技术趋势前瞻性地布局安全防护是赢得未来的关键,,人工智能与安全防护赋能安全防护AI智能威胁检测利用机器学习算法分析海量日志数据识别异常行为模式实现未知,,威胁的主动发现检测准确率大幅提升,自动化响应系统可以在检测到威胁后自动采取隔离、阻断等措施将响应时AI,间从小时级缩短到秒级有效遏制攻击扩散,带来的新挑战AI风险评估同时技术也被攻击者利用产生生成的钓鱼邮件、深度伪造视频等新,AI,AI通过分析系统漏洞、配置缺陷、历史攻击数据可以智能评估安,AI型威胁安全防护必须持续进化以对抗,AI AI全风险为安全决策提供数据支撑,与边缘计算安全挑战5G海量设备接入网络切片安全支持海量物联网设备接入设备安全能力参差不5G,齐容易成为攻击入口,网络切片技术带来灵活性但也增加了攻击面5G,,需要为每个切片建立独立的安全防护边缘计算分散化数据处理下沉到边缘节点传统集中式安全防,护模式面临挑战需要分布式安全架构,网络架构复杂低延迟要求网络功能虚拟化、软件定义网络等新架构增加5G了系统复杂度带来新的安全风险点,低延迟特性对安全检测提出更高要求需要在不5G,影响性能的前提下实现安全防护时代的到来为移动信息安全带来全新的挑战网络架构的根本性变革要求安全防护理念和技术的同步创新5G,用户安全意识的持续提升个人安全防护技能强密码习惯:使用复杂密码,不同账户使用不同密码,定期更换密码多因素认证:启用短信验证码、生物识别等多重认证手段谨慎授权:仔细阅读App权限申请,拒绝不必要的权限请求警惕钓鱼:不点击不明链接,不下载可疑附件,核实信息来源及时更新:保持系统和应用更新,及时修复安全漏洞公共WiFi安全:避免在公共WiFi下进行敏感操作,使用VPN加密数据备份:定期备份重要数据,防止勒索软件攻击安全文化建设结语共筑移动信息安全防线:全社会共同责任技术管理法律三位一体移动信息安全不是某个企业或部门的单先进的安全技术是基础科学的管理制,独责任而是政府、企业、个人共同的度是保障完善的法律法规是支撑只,,责任政府完善法律法规企业强化技有三者有机结合、协同发力才能构建,,术防护个人提升安全意识形成全社会起坚固的信息安全防线,,协同防护的格局守护数字生活安全在移动互联网深刻改变生活方式的今天信息安全关系到每个人的切身利益让我们,携手共进共同守护数字生活的安全共创安全、可信、美好的数字未来,,网络安全为人民网络安全靠人民习近平,—。