2021网络安全课件

网络安全专题课件2021第一章网络安全现状与挑战年中国网络安全态势综述2020国家互联网应急中心CNCERT连续第12年发布《中国互联网网络安全报告》，对全年年12网络安全态势进行全面监测和分析报告显示，年新冠疫情大幅推动了企业和个人2020的数字化转型进程，远程办公、在线教育、电子商务等应用场景爆发式增长连续监测然而，数字化转型也带来了前所未有的网络安全威胁APT高级持续性威胁攻击、大规模数据泄露事件、勒索病毒攻击等安全问题显著增加，成为威胁国家网络空间安全的突出问题持续跟踪CNCERT网络攻击的组织化、产业化特征更加明显，攻击手段更加隐蔽和复杂倍3威胁增长数字化转型带来新安全挑战网络安全形势严峻的六大特点当前网络安全形势呈现出多个显著特征，这些特点反映了网络威胁的演进趋势和复杂性理解这些特点对于制定有效的防护策略至关重要有组织攻击频发漏洞数量激增国家级黑客组织和网络犯罪团伙发起有目的、有预谋的针对性攻击，安全漏洞和恶意程序数量呈指数级增长，漏洞交易活跃，攻击者0day瞄准关键基础设施和重要数据资产利用时间窗口不断缩短诈骗持续高位关基风险严重网络诈骗和勒索病毒攻击保持高发态势，攻击手法不断翻新，造成巨大经济损失广东省年网络攻防演习2021组织架构运行机制广东省构建了打防一体的网络安全防建立小时全天候监测预警与快速响7×24护体系，成立网络安全演习领导小组，应机制，通过威胁情报共享、协同防御下设攻击组、防守组和评估组三大工作等手段，实现对网络攻击的实时发现、组，形成协同作战机制快速处置和有效防范演习模拟真实网络攻击场景，检验各单演习成果为全省网络安全防护提供了宝位的安全防护能力和应急响应水平贵经验第二章主要威胁与攻击手段网络攻击手段日益多样化和专业化，从传统的病毒木马到复杂的攻击，从单一的技APT术手段到综合的社会工程学应用本章将系统介绍当前主流的网络威胁类型和攻击技术，帮助我们识别和防范各类安全风险勒索病毒攻击现状与防护勒索病毒是当前最具破坏性的网络威胁之一攻击者通过恶意软件加01密受害者的重要数据文件，使其无法访问，然后勒索高额赎金以换取初始感染解密密钥通过钓鱼邮件、漏洞利用等方式植入恶意代码2021年，勒索病毒攻击事件持续保持高位，攻击目标从个人用户扩展到企业、政府机构和关键基础设施攻击手法也更加多样，包括鱼叉式钓鱼邮件、远程桌面协议RDP暴力破解、供应链攻击等多种入侵02方式文件加密扫描并加密目标系统中的重要数据文件03勒索要求显示勒索信息，要求支付比特币等数字货币04赎金支付受害者被迫支付赎金，但不保证数据恢复防范三阶段事前预防、事中应急、事后加固事前预防事中应急事后加固定期备份、漏洞修补、安全培训、权限管理隔离感染主机、启动应急预案、保全证据、评分析攻击路径、修复安全漏洞、完善防护体系估损失常见网络攻击类型网络攻击形式多样，不同类型的攻击具有不同的特征和危害了解各类攻击手段是构建有效防护体系的基础APT高级持续性威胁钓鱼网站与社工攻击DDoS拒绝服务攻击恶意软件与病毒传播长期潜伏的针对性攻击，通常由国通过伪造可信网站或利用人性弱点利用大量受控主机发起海量请求，通过各种渠道传播木马、蠕虫、间家级黑客组织发起，目标明确、技诱骗用户泄露敏感信息，成功率高耗尽目标系统资源，导致正常服务谍软件等恶意程序，窃取数据或控术复杂、持续时间长且难以防范无法访问制系统真实案例某能源企业遭遇勒索病毒攻击案例背景年某大型能源企业因员工打开钓鱼邮件附件，导致勒索病毒2020在内网快速传播，关键业务系统被加密瘫痪攻击过程造成损失改进措施•员工点击恶意邮件附•业务系统瘫痪48小时•建立3-2-1备份策略件直接经济损失超千万部署入侵检测系统••病毒横向扩散至服务•客户服务严重受影响加强员工安全培训••器品牌声誉遭受打击实施网络隔离方案••加密关键业务数据库•显示勒索信息要求比•特币关键教训该案例充分说明了数据备份和员工安全意识培训的重要性事后分析发现，如果企业具备完善的离线备份和应急响应机制，可以将损失降低以上80%第三章防护技术与应急响应有效的网络安全防护需要技术手段和管理措施的有机结合本章将介绍主流的安全防护技术、监测预警机制和应急响应流程，帮助构建多层次、全方位的安全防护体系，提升组织的整体安全防护能力和事件响应水平网络安全基础设施建设构建完善的网络安全基础设施是实现有效防护的前提通过部署多层次的安全设备和系统，可以在不同层面拦截和防范各类网络威胁防火墙入侵检测与防御位于网络边界的第一道防线，根据预设规则过滤进出网络的流量，阻入侵检测系统实时监控网络流量，识别异常行为和攻击特征；IDS IPS止未授权访问和恶意连接支持状态检测和深度包检测技术入侵防御系统在检测基础上主动阻断攻击，形成主动防御能力SIEM安全管理蜜罐技术安全信息与事件管理系统集中收集、分析和关联各类安全日志和事部署诱饵系统吸引攻击者，在不影响真实业务的情况下捕获攻击行件，提供统一的安全态势感知和威胁预警能力为，收集攻击手法和工具，提升威胁情报能力小时安全监测与应急响应7×24建立全天候安全运营中心SOC是确保及时发现和响应安全事件的关键通过持续监测、快速分析和协同处置，最大限度降低安全事件的影响实时监测7×24小时监控网络流量和系统日志情报共享接收和分析最新威胁情报信息数据加密与身份认证技术数据加密和身份认证是保护信息安全的核心技术通过加密技术保护数据在存储和传输过程中的机密性，通过多因素认证确保只有合法用户能够访问系统资源对称与非对称加密多因素认证MFA VPN安全远程访问对称加密如速度快，适合大量数据结合密码、短信验证码、生物特征、硬虚拟专用网络通过加密隧道技术，为远程AES加密；非对称加密如安全性高，用件令牌等多种认证因素，显著提升账户用户提供安全的企业网络访问通道，保护RSA于密钥交换和数字签名实际应用中常采安全性即使密码泄露，攻击者也难以数据传输过程中的机密性和完整性用混合加密方案通过其他认证因素应用安全加固Web应用是企业对外服务的主要窗口，也是攻击者的重点目标加强应用安全需Web Web要从开发、测试到运维的全生命周期管理常见漏洞防范安全开发实践注入防护使用参数化查询和安全开发生命周期在需求、设SQL ORMSDL框架，严格过滤用户输入计、开发、测试各阶段融入安全要求跨站脚本防护对输出内容进行代码审计使用静态代码分析工具发现XSS编码，设置安全的策略潜在安全问题HTML CSP防护使用验证机制，检查渗透测试定期开展模拟攻击，验证防CSRF Token头护措施有效性Referer文件上传安全限制文件类型和大小，漏洞管理建立漏洞跟踪和修复流程单独存储上传文件网络安全综合实验案例理论学习需要与实践操作相结合才能真正掌握网络安全技能通过搭建实验环境、开展攻防演练，可以深入理解安全原理，提升实战能力实验环境搭建使用虚拟化技术搭建隔离的实验网络，部署开源信息系统如WordPress、DVWA作为攻击目标，配置防火墙、IDS等安全设备漏洞扫描与分析使用Nmap、Nessus等工具对目标系统进行端口扫描和漏洞扫描，分析发现的安全弱点，评估风险等级渗透测试实践利用发现的漏洞尝试获取系统访问权限，实践SQL注入、XSS攻击、提权等攻击技术，记录攻击过程和结果安全加固与验证针对发现的漏洞实施安全加固措施，包括补丁更新、配置优化、访问控制等，再次扫描验证加固效果实验报告编写总结实验过程，分析攻防技术原理，提出安全改进建议，形成完整的实验报告文档第四章法规政策与安全意识提升网络安全不仅是技术问题，更是法律和管理问题完善的法律法规为网络安全提供制度保障，全民安全意识的提升是构建网络安全防线的社会基础本章将介绍重要的网络安全法律法规，探讨如何通过教育培训提升全社会的网络安全意识重要网络安全法律法规我国已建立起较为完善的网络安全法律法规体系，为维护网络空间安全和秩序提供了强有力的法律保障《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》年月日起施行，是我国网络安全领域的基础性法律明确了年月日起施行，明确了关键信息基础设施的认定、运营者的201761202191网络空间主权原则，规定了网络产品和服务的安全义务、网络运营者安全保护义务、保障和促进措施以及法律责任，为关键信息基础设施的安全保护义务，以及关键信息基础设施的安全保护制度安全保护提供了具体的制度保障《数据安全法》《个人信息保护法》年月日起施行，建立了数据分类分级保护制度，明确了数据年月日起施行，系统规定了个人信息处理规则，赋予个人充2021912021111安全保护义务，规范了数据跨境流动，为数字经济发展提供安全保分的权利，明确了个人信息处理者的义务和法律责任，形成了个人信障息保护的完整制度体系国家网络安全宣传周活动国家网络安全宣传周是由中央网信办等部门共同举办的年度活动，旨在提升全民网络安全意识和防护技能宣传周以网络安全为人民，网络安全靠人民为主题，组织开展丰富多彩的宣传教育活动重点宣传内容•网络安全法律法规和政策标准•个人信息保护和隐私安全•防范网络诈骗和电信诈骗•青少年网络安全教育•企业网络安全责任企业网络安全管理建议企业是网络安全防护的重要主体建立健全网络安全管理体系，落实安全主体责任，是保障企业信息资产安全和业务连续性的关键领导层重视与责任制资产清单与风险评估成立由高层领导牵头的网络安全委员会，统筹协调安全工作明建立完整的信息资产清单，包括硬件、软件、数据、人员等定确各部门、各岗位的安全责任，建立安全责任考核机制，将网络期开展风险评估，识别潜在威胁和脆弱性，制定针对性的风险应安全纳入企业发展战略对措施应急响应机制建设员工安全培训制定详细的安全事件应急预案，明确应急组织架构、响应流程和将网络安全培训纳入员工入职和在职培训体系，定期开展安全意处置措施定期组织应急演练，检验预案可行性，提升应急响应识教育，提高员工识别和防范网络威胁的能力，培养良好的安全能力习惯个人网络安全防护要点网络安全人人有责，个人用户也需要掌握基本的安全防护知识和技能，保护自己的信息安全和财产安全强密码与定期更换警惕钓鱼邮件与假冒网站使用包含大小写字母、数字和特殊符号的复杂密码，长度不少于谨慎点击来历不明的邮件附件和链接，注意识别仿冒的银行、购物8位不同账户使用不同密码，避免一套密码走天下建议使用密等网站核对网站域名是否正确，查看是否使用加密连HTTPS码管理工具，定期更换重要账户密码接遇到要求输入密码或银行卡信息时要特别警惕安全使用公共Wi-Fi与智能设备保护个人隐私信息避免在公共下进行网银转账、支付等敏感操作使用加不在社交网络过度分享个人信息，如家庭住址、行程安排、财务状Wi-Fi VPN密网络连接定期更新智能手机、电脑的操作系统和应用软件，修况等警惕各类问卷调查、抽奖活动收集个人信息发现个人信息复安全漏洞谨慎授权访问通讯录、位置等隐私权限泄露时及时更改密码，必要时报警App人人都是安全防线网络安全需要政府、企业、社会组织和广大网民共同参与让我们携手共建清朗、安全的网络空间未来网络安全趋势展望随着技术发展和应用场景的变化网络安全面临新的挑战和机遇准确把握未来趋势对于提前布局和应对至关重要,,供应链安全大数据与云安全软件供应链攻击成为新威胁开源组件漏洞、第三方服云原生安全、数据治理、隐私计算技术快速发展容,务风险需重点关注建立供应商安全评估机制器安全、微服务安全成为云环境防护重点1234远程协作安全AI与自动化混合办公常态化带来新的安全挑战零信任架构、端点人工智能应用于攻击检测和响应但同时也被攻击者利,,安全、安全访问服务边缘成为关键技术用自动化安全运营提升防护效率SASE年网络安全热点预测2021基于当前网络安全形势和技术发展趋势年以下几个方面值得重点关,2021注:APT攻击持续威胁国家级黑客组织活动更加活跃攻击目标聚焦关键基础设施、高科技企,业和政府机构个人信息保护法规加强《个人信息保护法》实施企业合规成本上升数据安全治理成为重点,,关基安全防护升级《关键信息基础设施安全保护条例》落地能源、金融、交通等行业安,全投入加大网络安全人才培养与教育网络安全产业快速发展带来巨大的人才需求但人才供给严重不足加强网络安全教育和,人才培养是应对安全挑战的根本之策专业建设与课程体系高职院校和本科院校普遍设立网络安全专业构建涵盖安全基础、攻防技术、安,全管理的完整课程体系注重理论与实践结合,实践能力培养建设网络安全实验室和实训平台开展竞赛、攻防演练等实践活动通过,CTF,项目驱动教学提升学生动手能力和解决实际问题的能力终身学习机制网络安全技术快速迭代从业人员需要持续学习通过在线课程、职业,认证、技术社区交流等方式保持知识更新和技能提升,典型网络安全事件回顾回顾重大网络安全事件,总结经验教训,有助于提高安全防范意识和应对能力2020年全球勒索病毒攻击浪潮多个勒索病毒团伙活跃,采用双重勒索模式——先窃取数据再加密,威胁公开泄露以施加更大压力某医疗机构因此延误救治导致患者死亡,凸显勒索攻击对关键服务的严重危害国内外重大数据泄露事件某社交平台5亿用户数据泄露,某电商平台因第三方合作伙伴安全问题导致千万级用户信息外泄这些事件暴露出企业在数据保护、第三方管理方面的薄弱环节网络诈骗新型手法解析杀猪盘、刷单诈骗、冒充客服退款等新型诈骗手法层出不穷诈骗分子利用大数据精准画像,针对不同人群设计专门话术,成功率显著提高,造成巨额经济损失网络安全防护最佳实践总结构建有效的网络安全防护体系需要综合运用技术、管理和制度手段以下是业界公认的最佳实践原则:持续监测多层防御7×24小时安全运营,实时监控、快速响应,缩短威胁发现和处置时间纵深防御策略,在网络边界、主机、应用、数据等多个层面部署安全措施法规遵循严格遵守网络安全法律法规,落实等级保护、数据保护等合规要求风险管理安全文化定期开展风险评估,识别关键资产和核心风险,实施有针对性的防护培育全员安全意识,将安全融入企业文化和日常工作流程核心理念:网络安全是一个持续改进的过程,需要技术创新、管理优化和人员培养的协同推进没有绝对的安全,只有相对的安全和持续的努力结束语共筑网络安全防线:网络安全人人有责技术与管理双轮驱动携手打造安全可信的数字中国网络安全不仅是政府和企业的责任,更需要每个单纯依靠技术手段无法解决所有安全问题,必须面对日益严峻的网络安全形势,需要政府、企业、网民的参与从自身做起,养成良好的安全习惯,将技术防护与管理制度、安全文化建设相结合,社会组织和广大网民携手合作,共同维护清朗、安既保护自己也保护他人形成系统化的防护体系全的网络空间没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障——习近平让我们共同努力,为建设网络强国贡献力量!谢谢聆听!欢迎提问交流如有任何问题或建议欢迎随时与我们交流讨论共同提升网络安全防护能力守护数字时,,代的安全底线。