华润大学app软件网路安全课件

华润大学软件网络安全课件APP第一章网络安全的时代背景与重要性网络安全国家安全的基石没有网络安全就没有国家安全习近平总书记的重要论述为我国网络安全工作指明——了方向网络安全已上升为国家战略高度成为维护国家主权、安全和发展利益的关键领域在信,息化时代网络空间已成为继陆、海、空、天之后的第五大主权领域空间,华润集团的安全管理实力:连续年获得国家安全生产标准化一级企业级荣誉•17A建立了完善的安全管理体系和应急响应机制•网络安全与数字化转型教育数字化战略安全威胁升级安全投入增长教育部推动教育数字化战略行动网络安全成年全球网络攻击事件同比增长攻企业数字化转型加速网络安全投入持续增,202530%,,为教育现代化的关键支撑智慧校园、在线击手段日益复杂化、专业化勒索软件、长据统计全球网络安全市场规模预计在,教育平台的安全防护直接关系到教育质量和攻击、数据泄露等安全事件频发安全防年突破亿美元中国市场增速领先APT,20252000,学生信息安全护刻不容缓全球网络安全守护数字未来,第二章当前网络安全形势分析重大网络安全事件回顾12017年永恒之蓝勒索病毒勒索病毒利用系统漏洞席卷全球影响超过WannaCry Windows,个国家的数百万台设备医疗、教育、能源等关键基础设施150遭受重创,直接经济损失超过80亿美元这次事件敲响了全球网22020年富士康遭遇勒索攻击络安全的警钟富士康墨西哥工厂遭遇勒索病毒攻击导致生产线DoppelPaymer,停工超过台服务器被加密黑客索要赎金万美元最终,12003400,32022年西北工业大学APT攻击造成损失超过亿元人民币严重影响了供应链稳定性2,网络攻击的多样化与专业化攻击组织化趋势钓鱼攻击泛滥黑客组织匿名者Anonymous在2019年针对中国多家重要网站发起大规模DDoS攻击,展现了高度的组织性和协同性现代网络攻击已从个人行为演变为有组织、有预谋的团队作战攻击特点:•分工明确:侦察、开发、攻击、变现形成完整产业链80%•技术先进:使用零日漏洞、多阶段渗透等高级技术•目标明确:针对关键基础设施和高价值目标•隐蔽性强:采用加密通信、跳板机等反追踪手段钓鱼攻击占比超过80%的网络安全事件涉及电子邮件钓鱼攻击65%成功率网络安全威胁的经济代价天$600B$

4.35M287全球年度损失数据泄露成本平均发现时间全球网络犯罪每年造成超过亿美元的经济单次数据泄露事件的平均成本达万美元包括从攻击发生到被发现平均需要天给攻击者充6000435,287,损失且呈逐年上升趋势业务中断、客户流失等足的窃取时间,华润集团的安全投入策略第三章网络安全基础知识与核心技术网络安全的定义与分类狭义网络安全广义网络安全定义指信息在网络传输和处理过程中的安全性主要关注数据的保密定义涵盖网络系统的硬件、软件及其系统中的数据受到保护不因偶:,:,性、完整性和可用性然或恶意原因而遭到破坏、更改、泄露关注重点保护范围::防止信息泄露、篡改和破坏物理安全设备、机房、线路等••:保障网络传输通道的安全系统安全操作系统、应用软件等••:确保数据存储的完整性数据安全存储、传输、处理全生命周期••:管理安全制度、流程、人员等•:关键安全技术概览防火墙技术入侵检测与防御防火墙是网络安全的第一道防线通过访问控制策略过滤网络流入侵检测系统通过监控网络流量发现异常行为入侵防,IDS,IPS量包括包过滤防火墙、状态检测防火墙和应用层防火墙可有御系统则可主动阻断攻击采用签名检测和异常检测技术实时,,效阻止未授权访问和恶意流量识别和响应安全威胁加密与签名身份认证数据加密技术保护信息机密性采用对称加密和非对称加密通过用户名密码、多因素认证、生物识别等技术验证用户身份,AES算法数字签名技术确保数据完整性和身份认证防止信息访问控制机制基于角色和权限管理确保用户只能访问授权资源RSA,,,被篡改和伪造实现最小权限原则网络安全协议与传输安全IPSec协议SSL/TLS协议工作层次网络层安全协议工作层次传输层安全协议::主要功能主要功能::数据加密保护数据包内容建立加密通道保护数据传输安全•:IP•:数据完整性防止数据被篡改服务器认证验证网站真实性•:•:身份认证验证通信双方身份客户端认证可选的双向认证•:•:防重放攻击防止数据包被重复使用数据完整性确保数据未被篡改•:•:应用场景虚拟专用网络、远程办公安全接入应用场景网站、电子邮件加密、移动应用通信:VPN:HTTPS这些安全协议构成了互联网安全通信的基础设施确保数据在传输过程中的机密性和完整性现代网络应用普遍采用等最新版本协议提供更强的,TLS

1.3,安全保护和更好的性能多层次网络安全防护体系有效的网络安全防护需要构建多层次、纵深防御的体系架构从边界防护到内部监控从数据加密到身份认证每一层都发挥着不可替代的作用只有各,,层协同配合才能形成完整的安全防线,第四章恶意代码与防御技术恶意代码是网络安全的主要威胁之一从早期的计算机病毒到现代的勒索软件攻击手段不断演进了解恶意代码的类型、传播机制和防御技术是保障系,,,统安全的重要环节恶意代码种类及危害计算机病毒网络蠕虫具有自我复制能力的恶意程序通过感染文件传播可破坏系统文件、利用网络漏洞自动传播的恶意程序无需依附宿主文件可快速感染大,,删除数据、消耗系统资源传播速度快清除难度大是最早出现的恶意量主机造成网络拥塞著名案例包括红色代码、冲击波等蠕虫病,,,代码类型毒木马程序勒索软件伪装成正常程序的恶意软件获取系统控制权后执行恶意操作可窃取加密用户文件并索要赎金的恶意程序年勒索病毒攻击事件同比,2023敏感信息、建立后门、控制主机具有很强的隐蔽性和破坏性增长成为企业面临的最大安全威胁平均赎金金额超过万美40%,100元趋势警示现代恶意代码呈现出多种技术融合的特点一个恶意程序可能同时具备病毒、蠕虫、木马等多种特性攻击手段更加复杂防护难度显:,,,著增加防病毒技术与策略病毒预防病毒检测病毒清除部署防病毒软件及时更新病毒库启用实时采用特征码匹配技术识别已知病毒运用启发隔离感染文件防止病毒扩散使用专业工具,,监控功能扫描所有进出系统的文件配置防式分析检测未知威胁利用行为分析监控异常清除病毒代码修复被破坏的系统文件和注册,火墙规则限制可疑网络连接定期进行安全程序活动结合云查杀技术提升检测能力和响表恢复备份数据确保业务连续性对清除,,培训提高用户安全意识应速度后的系统进行全面检查,先进检测技术行为分析技术沙箱技术通过监控程序运行行为判断是否为恶意代码可检测零日攻击和未知威在隔离环境中运行可疑程序观察其行为特征不影响实际系统安全可,胁基于机器学习算法建立正常行为基线识别异常活动模式深度分析恶意代码的攻击手法和传播机制为防护提供依据,,案例分析华为安全团队如何应对:勒索病毒攻击快速响应机制多层防护体系建立小时安全监控中心实时监测异常构建边界防护内部监控终端防护数据备7x24,---行为一旦发现勒索病毒攻击迹象立即启份四层防御体系部署新一代防火墙和入,动应急响应流程分钟内隔离受感染系侵防御系统拦截恶意流量使用端点5EDR统分钟内完成初步评估小时内形成处检测响应技术监控终端行为实施,15,13-2-1置方案备份策略确保数据可恢复,人员培训与演练定期开展网络安全意识培训提高员工识别钓鱼邮件能力每季度组织一次勒索病毒攻击,应急演练检验响应流程有效性建立安全专家团队提供技术支持和决策建议,,成效显著通过建立完善的防护体系华为成功抵御了多次勒索病毒攻击未发生重大安全:,,事件其安全防护经验为行业树立了标杆值得其他企业借鉴学习,第五章网络安全风险管理与评估网络安全风险管理是系统性、持续性的工作需要科学的方法论和完善的流程支撑通过全面的风险评估识别潜在威胁制定针对性防护措施是构建安全,,,,防护体系的关键环节风险管理流程威胁分析资产识别识别可能面临的各类安全威胁包括外部攻,击、内部泄露、自然灾害等分析威胁来源、全面梳理组织的信息资产包括硬件设备、软,攻击手段和可能造成的影响结合威胁情报掌件系统、数据资源等对资产进行分类分级,握最新攻击趋势确定其业务价值和重要性建立资产清单明,确责任人和管理要求漏洞评估使用专业工具扫描系统漏洞进行渗透测试验,证安全性评估安全配置是否合规管理制度,策略制定是否完善识别可能被威胁利用的脆弱点针对识别的风险制定应对策略包括风险规,风险评估避、风险降低、风险转移和风险接受部署相综合威胁和漏洞因素计算风险值采用定性应的技术防护措施和管理控制手段制定应急,或定量方法评估风险等级确定可接受的风险预案和业务连续性计划水平识别需要优先处理的高风险项,华润集团安全管理体系实践五年EHS管理战略华润集团制定了全面的环境健康安全EHS管理战略,将网络安全纳入整体安全管理框架通过预防为主、综合治理、持续改进的方针,构建了科学完善的安全管理体系战略目标:实现零事故、零伤害、零污染管理架构:建立三级安全管理组织体系技术支撑:开发智能化安全管理工具平台文化建设:营造人人讲安全的企业文化123安全培训体系应急演练机制安全文化建设网络安全等级保护制度等保

2.0网络安全等级保护是我国网络安全的基本制度年发布的等保标准对关键信息基础设施提出了更高要求,

20192.0第一级:用户自主保护级信息系统受到破坏后对公民、法人和其他组织的合法权益造成损害但不损害国家安全、社会秩序和公共利益,,第二级:系统审计保护级信息系统受到破坏后对公民、法人和其他组织的合法权益产生严重损害或者对社会秩序和公共利益造成损害,,,但不损害国家安全第三级:安全标记保护级信息系统受到破坏后对社会秩序和公共利益造成严重损害或者对国家安全造成损害大多数企业,,核心业务系统需达到此级别第四级:结构化保护级信息系统受到破坏后对社会秩序和公共利益造成特别严重损害或者对国家安全造成严,,重损害涉及国家关键信息基础设施合规要求企业需根据业务系统的重要性进行等级定级并按照相应等级要求进行安全建设和整改定期开展等级测评确保持续符合标准要求未履行等保义务可能面临法律责:,,任第六章校园网与软件安全防护APP随着移动互联网和智慧校园建设的推进软件安全和校园网安全成为教育信息化的重,APP要课题从个人信息保护到应用安全开发从网络接入控制到数据传输加密全方位的安,,全防护至关重要校园网安全现状与挑战个人信息泄露风险免费WiFi安全隐患二维码钓鱼攻击校园网用户众多学生个人信息、学籍档案等敏感数据校园内存在大量未加密或弱加密的热点攻不法分子在校园内张贴含有恶意链接的二维码诱导学,WiFi,成为攻击目标不法分子通过钓鱼网站、恶意软件等击者可搭建恶意热点进行中间人攻击,截获用户通生扫描可能导致手机被植入木马、账号密码被窃手段窃取信息,用于诈骗或出售2025年教育行业数信内容学生使用公共WiFi进行网银、支付等操取、个人信息泄露等后果需提高学生对二维码安全据泄露事件呈上升趋势作存在极大风险的警惕性攻击趋势分析年针对教育行业的网络攻击呈现以下特点2025:攻击目标从服务器转向移动终端和物联网设备•社会工程学攻击手段更加精准和个性化•利用技术生成的钓鱼内容难以识别•AI针对在线教育平台的攻击频繁发生•DDoS软件安全关键点APP数据加密传输与存储权限管理与身份认证防止代码注入与恶意篡改采用协议加密网络传输防止数据被窃听遵循最小权限原则只申请必要的系统权限对用户输入进行严格校验和过滤防止注入、HTTPS,,APP,SQL和篡改使用等强加密算法保护本地存储数实施多因素身份认证结合密码、短信验证码、生攻击等使用代码混淆和加固技术提高逆向AES,XSS,据对敏感信息如密码、身份证号等进行加密存物识别等方式建立会话管理机制设置合理的超工程难度实施完整性校验检测是否被篡,,APP储避免明文保存实施密钥管理策略定期更换时时间对敏感操作进行二次验证防止越权访改采用安全的编码规范避免常见安全漏洞,,,,加密密钥问开发建议安全应贯穿开发全生命周期从需求分析、设计、编码到测试、上线和运维各阶段都要考虑安全因素建立安全开发规范:APP,SDL,进行代码安全审计定期开展安全测试,实战演练安全漏洞扫描与修复流程:APP静态代码分析1使用专业工具对源代码进行静态分析识别潜在安全漏洞检查硬编码敏感信APP,息、不安全的调用、权限配置问题等分析代码逻辑漏洞和业务逻辑缺陷API2动态渗透测试在真实或模拟环境中运行进行动态安全测试模拟黑客攻击手段尝试突破应用APP,,防护测试身份认证、会话管理、数据传输等安全机制的有效性漏洞评估与定级3对发现的漏洞进行风险评估根据标准确定严重等级分析漏洞的利用难度和潜,CVSS在影响范围制定漏洞修复优先级优先处理高危和严重漏洞,4安全修复与验证根据漏洞分析结果修改代码或调整配置修复漏洞进行回归测试确保修复有效且不,,影响功能重新进行安全扫描验证漏洞已彻底修复形成安全测试报告记录修复过,,程常用安全测试工具介绍静态分析工具动态测试工具移动端专用•SonarQube•Burp Suite•MobSF•Checkmarx•OWASP ZAP•Drozer•Fortify•AppScan•iGoat第七章网络安全法律法规与社会责任网络安全不仅是技术问题更是法律和社会责任问题我国已构建起以《网络安全法》为,核心的网络安全法律体系明确了各方主体的权利义务企业和个人都应知法守法共同,,维护网络空间安全主要法律法规解读《中华人民共和国网络安全法》颁布时间:2017年6月1日起施行核心内容:1•明确网络空间主权原则,维护国家网络安全•建立网络安全等级保护制度和关键信息基础设施保护制度•规定网络运营者的安全保护义务,包括安全认证、检测、风险评估等•加强个人信息保护,规范网络信息服务•明确法律责任,对违法行为进行处罚《中华人民共和国数据安全法》颁布时间:2021年9月1日起施行核心内容:2•建立数据分类分级保护制度,对重要数据实行目录管理•规范数据处理活动,保障数据安全•支持数据安全技术研究和产业发展•明确政务数据安全管理要求•加强数据跨境流动的安全监管《中华人民共和国个人信息保护法》颁布时间:2021年11月1日起施行核心内容:3•确立个人信息处理应遵循的原则,保护个人信息权益•明确个人信息处理者的义务,包括告知同意、信息安全保护等•赋予个人查询、更正、删除个人信息等权利•加强敏感个人信息保护,对未成年人个人信息实行特殊保护•规范个人信息跨境流动,建立个人信息保护影响评估制度企业合规要求:企业应建立健全数据安全治理体系,制定内部管理制度和操作规程定期开展风险评估和合规审计,确保符合法律法规要求对于违法行为,监管部门可处以高额罚款,情节严重的追究刑事责任网络安全的社会责任保护用户隐私,防范网络诈骗企业作为网络服务提供者,承担着保护用户个人信息的法律责任和社会责任应建立完善的隐私保护机制,严格控制个人信息的收集、使用和共享透明度原则:明确告知用户信息收集目的和用途最小化原则:仅收集必要的个人信息安全保障:采取技术措施防止信息泄露用户控制:尊重用户对个人信息的控制权同时,企业应积极配合打击网络诈骗,建立风险监控和预警机制,及时发现并阻断诈骗行为,保护用户财产安全培养安全意识,构建和谐网络环境网络安全不仅是技术和管理问题,更需要每个网民的参与培养全民网络安全意识是构建和谐网络空间的基础个人层面:•学习网络安全知识,提高防护能力•养成良好上网习惯,保护个人信息•遵守网络安全法律法规,不从事违法活动•发现安全问题及时报告,协助维护网络安全组织层面:•开展网络安全宣传教育,营造安全文化•建立举报机制,鼓励发现和报告安全隐患•参与行业自律,共同维护网络秩序结语共筑网络安全防线守护数字华润未来,网络安全人人有责网络安全不是某个部门或某些人的事,而是需要全员参与的系统工程从高层管理者到普通员工,从技术人员到业务人员,每个人都是网络安全防线的一环只有人人重视安全、人人践行安全,才能筑牢安全防线携手共建安全生态面对日益复杂的网络安全威胁,任何组织都无法独善其身需要政府、企业、科研机构、安全厂商等各方协同合作,共享威胁情报,共同应对挑战华润集团将继续加强与业界的交流合作,为行业网络安全贡献力量助力安全人才培养华润大学APP软件网络安全课件致力于培养高素质的网络安全人才通过系统的理论学习和实战演练,帮助学员掌握网络安全核心技术,树立正确的安全理念,提升实战能力让我们共同努力,为数字华润的安全发展贡献智慧和力量!网络安全为人民,网络安全靠人民让我们携手并进,共同守护清朗、安全的网络空间,为华润集团的数字化转型和高质量发展保驾护航!。