网络与信息安全案例课件

网络与信息安全案例课件第一章网络安全威胁的全景扫描年网络安全形势严峻2025进入年网络安全态势持续紧张全国网信系统大幅加强执法力度针对网络安全违法违规行2025,,

4.5K+为开展专项整治行动数据显示网页篡改事件、数据泄露案件、个人信息违规收集行为呈现多,发频发态势给企业和个人带来严重损失,年度安全事件这些安全事件背后既有技术漏洞的原因也有管理疏忽的因素更有安全意识淡薄的问题面对日,,,益复杂的网络威胁环境任何侥幸心理都可能导致严重后果网络安全已不再是可选项而是企业,,全国范围内报告生存发展的必答题85%人为因素安全事件占比亿12+经济损失网络安全无小事广东某科技股份有限公司网页篡改案1安全事件发生办公协作平台登录页面突然被篡改页面显示大量违法有害内容,,严重影响企业形象和用户信任2漏洞根源分析调查发现系统存在严重的任意文件上传漏洞黑客利用该漏洞植,入勒索软件获得系统控制权,3应急处置失当企业仅简单重装操作系统未从根本上修复安全漏洞导致远程控,,制木马再次被植入系统4法律责任追究因违反《网络安全法》相关规定未履行网络安全保护义务企业,,被责令限期整改并处以行政罚款新疆某互联网科技有限公司涉赌网页篡改案事件经过违法事实该公司门户网站及个子页面被黑客篡改页面中植入大量涉赌违法信息和网站存在已知安全漏洞未及时修复8,•链接经技术分析网站存在多处安全缺陷和配置漏洞为黑客攻击提供了,,缺乏有效的安全监控和应急响应机制•可乘之机发现安全事件后未按规定及时报告•更为严重的是,事发时网站管理员正在休假,现场无人值守管理,导致被篡改•未采取有效技术措施防范网页篡改页面长时间未被发现和处理造成恶劣社会影响,处罚结果网信部门依据相关法律法规对该公司作出警告处罚并责令限:,,期整改安全隐患山东某医学检验有限公司数据泄露案系统配置缺陷数据暴露风险服务器开启目录浏览功能存在严重的搜索引擎爬虫爬取并索引了大量包含,目录遍历漏洞和未授权访问问题任何个人隐私的医疗检验数据导致敏感信,,人都可以直接访问敏感数据息在互联网上公开可查安全措施缺失防火墙配置严重不当未能有效过滤非法访问更严重的是系统未按规定留存网络,,访问日志无法追溯数据泄露路径,本案涉及大量公民个人医疗健康信息属于敏感个人信息泄露后果极其严重企业因未,,履行数据安全保护义务造成数据泄露被网信部门依法处以行政罚款并责令全面整改安,,,全问题这起案例充分说明医疗健康等涉及公民隐私的行业必须建立更加严格的数据,,安全保护机制浙江某科技股份有限公司数据被窃取案FTP安全漏洞分析该公司文件传输系统存在严重安全配置问题允许匿名用户无需身份验证即可FTP,访问这相当于把企业的数据大门敞开,更令人震惊的是企业云平台的安全组规则配置失效原本应该限制外部访问的防,,护机制形同虚设这一未授权访问漏洞长期存在企业却毫无察觉,严重后果黑客利用该漏洞长时间、大批量窃取企业核心业务数据调查显示企业在整个,,过程中未采取任何有效的安全防护和监控措施对数据被窃取的规模和影响都无法,准确评估给企业带来难以估量的损失,重庆某科技公司系统数据被窃取案OA致命配置错误长期被窃数据安全责任缺失数据库端口直接暴露在公网且管黑客利用弱口令漏洞对数据库进行了长达数企业未履行网络安全保护义务缺乏基本的安MySQL3306,,,理员账户未设置密码如同把保险柜钥匙挂在月的持续访问累计窃取数据次海量企业全配置和监控最终被处以高额罚款并责令整,,159,,门外机密外泄改技术提示数据库系统是企业核心数据的存储中心必须做好以下防护不将数据库端口直接暴露在公网设置强密码并定期更换配置访:,:1;2;3问白名单启用审计日志定期安全检查;4;5广东某保险代理有限公司数据泄露案12系统漏洞防护失效后台管理系统存在严重的越权遍历访问漏洞普通用户可以通过修改请企业购买的云防火墙服务到期后未及时续费导致安全防护措施完全失,,求参数访问本不应看到的其他用户数据效系统暴露在互联网攻击之下,,34日志缺失数据外泄系统未按照《网络安全法》要求留存网络访问日志发生安全事件后无攻击者利用漏洞批量获取大量投保人个人信息包括姓名、身份证号、,,法追溯攻击来源和数据泄露范围联系方式等敏感数据严重侵害公民隐私权益,该案件中企业因未履行网络安全保护义务未采取有效技术措施防范数据泄露被网信部门处以行政处罚保险行业涉及大量个人金融信息安全保护责任,,,,更加重大必须建立完善的数据安全管理体系,湖南某科技股份有限公司内网数据泄露风险案高危安全隐患该公司内网数据库存在未授权访问和弱口令等多重安全漏洞本应只在内网访问的数据库系统却因配置不当可以从互联网直接访问更令人担忧的是部分员工为了工作便,,,利私自将大量用户敏感数据从生产环境拷贝到测试内网环境,违规操作细节潜在严重后果未经授权擅自拷贝生产数据海量用户数据暴露互联网••测试环境安全防护不足存在大规模数据泄露风险••内网数据库开放公网访问可能面临巨额经济损失••缺乏数据访问权限管理企业声誉严重受损••未对敏感数据进行脱敏处理承担法律责任和监管处罚••虽然本案尚未造成实际数据泄露但已构成重大安全隐患监管部门对此类问题高度重视要求企业立即整改并建立完善的数据安全管理制度,,,一时疏忽万劫不复数据泄露的代价往往超出想象一次安全疏忽可能毁掉多年积累的信任与品牌,,第二章个人信息保护的法律红线随着《个人信息保护法》的实施个人信息保护已上升到法律层面成为不可触碰的红,,线本章通过典型案例揭示企业在个人信息收集、使用过程中的常见违法行为帮助您,,理解个人信息保护的法律要求从超范围收集信息到人脸识别滥用再到换脸技术App,,AI的合规使用每一个案例都在警示我们尊重和保护个人信息既是法律义务也是企业的社,:,,会责任北京某科技有限公司超范围收集个人信息案App后台偷偷收集非必要权限调用违法收集行为在后台运行时未经用户明确同意持续收功能并不需要存储权限却要求用户授予这些行为严重违反《个人信息保护法》关于App,,App,集用户手机上应用程序的安装和卸载信息完整存储访问权限明显超出最小必要范围最小必要原则和明示同意的规定,法律依据与处罚合规提示收集个人信息必须遵守最小必要:App《个人信息保护法》明确规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得原则,只能收集实现功能所必需的信息,且必须过度收集个人信息该公司的行为违反了最小必要原则,在没有正当理由的情况下收集了获得用户明确同意与业务功能无关的个人信息网信部门依法对该公司作出责令限期整改并处以行政罚款的处罚决定同时要求下架,App整改完成合规改造后方可重新上线,上海某科技有限公司违法收集人脸信息案0102违规收集人脸信息缺失影响评估在商场、地铁站等公共场所部署的智能自企业未建立个人信息保护影响评估制度对,动售货机在用户未明确知情和同意的情况人脸信息的收集、存储、使用等环节的安,下自动采集用户人脸生物特征信息全风险缺乏充分评估,03系统存在高危漏洞后台数据管理系统存在注入等高危安全漏洞收集的人脸信息面临被非法获取的严重SQL,风险人脸信息属于敏感个人信息中的生物识别信息具有唯一性和不可更改性一旦泄露将造,,成难以挽回的损失该公司的行为严重侵害公民个人信息权益被网信部门警告并处罚,,同时被责令立即停止违法收集行为删除已收集的人脸信息此案警示企业收集使用生,,物识别信息必须依法进行并建立严格的安全保护措施,浙江某科技有限责任公司换脸安全评估缺失案AI App违规事实该公司开发运营的AI换脸应用程序,利用深度合成技术为用户提供人脸替换、面部美化等服务然而,企业在提供这类深度合成服务前,未按照《互联网信息服务深度合成管理规定》进行安全评估更严重的是,App生成的换脸视频和图片中,未对合成内容进行显著标识,普通用户难以辨别真伪,存在被恶意利用进行诈骗、侮辱诽谤等违法犯罪活动的重大风险监管要求•提供深度合成服务须进行安全评估•合成内容必须添加显著标识•建立内容安全管理制度•对用户进行真实身份认证•防范技术被恶意滥用鉴于该App存在重大安全隐患和合规问题,监管部门依法对其作出下架处理,并要求企业完成安全评估、整改安全问题、建立标识制度后,方可重新上线运营个人隐私不能被随意侵犯每个人的生物特征信息都是独一无二的一旦泄露将永远无法更改尊重隐私就是尊重人的尊严,,第三章网络安全管理与防护失误案例技术漏洞可以修复但管理漏洞往往更加隐蔽和危险本章聚焦企业在网络安全管理过程,中的典型失误从权限管理不当到应急响应迟缓从运维操作失误到数据管理混乱这些看,,,似微小的管理疏忽最终酿成严重的安全事件通过剖析这些案例我们将深刻认识到网,,,络安全不仅是技术问题更是管理问题需要建立完善的制度体系和严格的执行机制,,期货公司网络安全事件权限管理混乱变更测试不足系统用户权限设置不当关键操作缺少必要的复核角色单人即可完成防火墙策略变更前未进行充分测试在测试不完整的情况下即匆忙上,,,敏感操作缺乏有效的权限制衡机制线导致新策略存在配置错误影响业务,,操作流程违规事件上报延迟机房值班人员未严格按照操作规程执行操作擅自修改关键配置参数安全事件发生后企业未按规定时限向监管部门报告延误了应急响应,,,,引发系统异常和业务中断时机扩大了事件影响范围,期货行业属于金融领域涉及巨额资金安全和市场稳定网络安全要求极其严格该期货公司因多项管理不规范行为被证监会出具警示函要求全面整改安,,,,全管理制度加强内部控制此案凸显了金融机构网络安全管理的严肃性任何管理疏漏都可能带来系统性风险,,湖北某银行数据安全管理不到位案严重违法违规行为清单1数据分类分级缺失未对银行业务数据进行分类分级管理不同敏感程度的数据采用相同的保护措施核心数据保护不,,足2访问控制不严数据访问权限管理混乱普通员工可以访问超出职责范围的敏感数据缺乏最小授权原则,,3运维管理漏洞系统运维操作缺乏有效审计关键操作未留存完整日志运维人员权限过大且监督不足,,4应急响应不力未建立有效的数据安全应急响应机制发生安全事件后处置不及时未能有效控制影响范围,,处罚力度空前银保监部门对该银行处以高达万元的行政罚款并对相关责任人进行了问责:290,处理这是金融行业数据安全领域罚款金额较大的案例之一充分体现了监管部门对银行业数,据安全的严格要求金融机构必须高度重视数据安全管理建立健全数据安全管理体系,江西南昌某集团服务器被远控案攻击事件详情该集团公司的核心业务服务器遭到境外黑客组织的精心策划攻击黑客通过钓鱼邮,件等手段成功在服务器中植入高级持续性威胁木马程序,APT该木马具有远程控制、数据窃取、横向移动等多种恶意功能黑客借此获得了服务,器的完全控制权可以随意查看、拷贝、删除服务器中的数据,数据泄露严重应急响应迟缓承担法律责任经初步排查大量企业核心业务数据、客户信企业在发现异常后未及时采取有效的补救措因未履行网络安全保护义务未采取必要的安,,,息、商业机密等疑似已被窃取或泄露具体规施未及时隔离受感染服务器导致影响范围进全防护措施企业被网信部门处以行政罚款并,,,,模难以准确统计一步扩大责令整改广西某物业服务公司个人信息管理不规范案纸质文件随意放置缺乏保管措施管理制度缺失将包含大量业主姓名、电话、身份证号、家庭住办公场所人员出入频繁个人信息文件未采取任何企业未制定个人信息保护管理制度员工缺乏信息,,址等敏感信息的资料打印成册随意堆放在办公桌保护措施任何人都可以轻易接触和查看这些敏感安全意识培训对个人信息保护的重要性认识不足,,,上信息物业公司在日常服务中需要收集和使用大量业主个人信息但信息保护意识普遍薄弱本案中公司的粗放管理方式导致业主个人信息面临严重泄露风,,险公安机关依据《个人信息保护法》相关规定对该公司作出行政处罚并责令立即整改此案提醒物业等服务行业必须建立规范的个人信息管理制度,,,,加强员工培训确保信息安全,安全管理漏洞隐患重重再先进的技术也无法弥补管理上的疏漏安全管理是一个系统工程容不得半点马虎,,第四章网络安全法律法规与企业责任网络安全法律体系日益完善《网络安全法》《数据安全法》《个人信息保护法》构成了,网络空间治理的基本法律框架本章将系统梳理这些法律法规的核心要点明确企业在网,络安全方面的主体责任和法律义务从案例中我们看到违反网络安全法律不仅要承担经,济处罚还会面临业务整顿、声誉受损等多重后果只有深刻理解和严格遵守法律规定,,才能在数字时代行稳致远网络安全三大核心法律《网络安全法》核心要点主体责任明确:网络运营者是网络安全的第一责任人,必须履行安全保护义务等级保护制度:建立网络安全等级保护制度,不同等级采取不同保护措施数据安全管理:采取技术措施防止数据泄露、毁损、丢失,留存网络日志不少于六个月应急响应机制:制定网络安全事件应急预案,及时处置安全事件并按规定报告违法责任追究:违反规定将面临警告、罚款、停业整顿等行政处罚,构成犯罪的追究刑事责任《数据安全法》核心要点数据分类分级:建立数据分类分级保护制度,对重要数据和核心数据实施重点保护全生命周期保护:覆盖数据收集、存储、使用、加工、传输、提供、公开等全过程风险评估制度:定期开展数据安全风险评估,及时发现和处置安全隐患出境安全管理:重要数据出境需进行安全评估,确保数据跨境流动安全可控严格法律责任:违反规定最高可处1000万元罚款或年度营业额5%以下罚款《个人信息保护法》核心要点最小必要原则:处理个人信息应限于实现目的最小范围,不得过度收集明示同意要求:处理个人信息须获得个人明确同意,敏感信息需单独同意权利保障机制:保障个人的知情权、决定权、查询权、更正权、删除权等权利影响评估义务:处理敏感信息或可能影响权益的,应进行个人信息保护影响评估法律责任严厉:严重违法可处5000万元或年度营业额5%以下罚款,并可责令暂停业务企业网络安全责任案例总结网络安全等级保护制度第五级国家级-1第四级非常重要2-第三级重要系统3-第二级一般系统4-第一级自主保护5-等级保护基本要求典型违规案例如何落实等级保护确定保护等级应定级未定级明确责任部门和人员•••开展定级备案应备案未备案按要求开展定级备案•••进行差距评估应测评未测评选择有资质的测评机构•••实施安全建设测评不通过仍运行根据测评结果整改加固•••开展等级测评安全措施不到位建立常态化运维机制•••持续安全运维整改不及时不彻底定期开展自查和复测•••网络安全等级保护制度是国家网络安全的基本制度所有网络运营者都应当按照制度要求履行相应义务第三级及以上系统是监管重点违反等级保护制度将面临严厉处罚,,依法治网筑牢安全防线法律是底线合规是生命线唯有敬畏法律严格守法才能在网络空间行稳致远,,,第五章网络安全防护最佳实践与未来趋势总结前面的案例教训本章提出系统的网络安全防护建议和最佳实践从技术层面的漏洞,管理、权限控制到管理层面的制度建设、人员培训再到应急响应和持续改进构建多层,,,次、全方位的安全防护体系同时我们也要关注人工智能、深度合成等新技术带来的新,挑战前瞻性地思考网络安全的未来发展方向让我们携手共建安全可信的网络空间,网络安全防护建议与未来展望定期漏洞扫描与修复强化权限管理与日志留存建立常态化的安全检测机制,每月至少进行一次全面的系统漏洞扫描发现漏洞后应立即评估风险等级,高危漏洞必须在24小时内严格实施最小权限原则和职责分离原则,敏感操作必须实行双人复核建立完整的访问审计机制,网络日志留存不少于六个月,数据修复,中危漏洞在一周内修复建立漏洞库和补丁管理制度,确保系统始终处于安全状态库操作日志应保存至少一年定期审查权限配置,及时清理冗余账号和过期权限加强员工安全意识培训关注AI安全与深度合成风险每季度组织一次全员网络安全培训,内容涵盖最新威胁态势、典型案例分析、安全操作规范等针对不同岗位制定差异化培训方人工智能技术的快速发展带来新的安全挑战,深度伪造、AI投毒、对抗样本等新型攻击手段层出不穷企业应关注AI模型安全,对案,技术人员侧重安全开发和运维,业务人员侧重数据保护和合规要求定期开展钓鱼邮件演练,提升员工实战应对能力深度合成服务进行合规管理,建立内容真实性验证机制,防范技术被恶意滥用加强对AI生成内容的审核监管未来展望:法治与技术双轮驱动完善法律法规体系推动技术创新发展•持续完善网络安全法律框架•发展零信任安全架构•加强关键信息基础设施保护•应用AI增强安全防护能力•规范新技术应用的法律边界•推广隐私计算和数据加密技术•推动国际网络空间治理合作•建设威胁情报共享平台•提高违法成本,强化法律震慑•提升自主可控安全产品能力构建安全可信的网络空间网络安全是全社会的共同责任,需要政府、企业、个人携手努力让我们以法律为准绳,以技术为支撑,以责任为担当,共同守护清朗有序的网络空间,为数字中国建设保驾护航!。