百度安全伴我行课件

百度安全伴我行守护数字世界的安全之旅第一章网络安全的时代背景互联网安全威胁激增攻击事件激增年全球网络攻击事件同比增长攻击手段日益复杂多样202430%,数据泄露严重数据泄露事件影响超亿用户个人隐私面临严峻挑战10,防护压力巨大企业安全防护面临前所未有挑战传统防御手段已难以应对,每秒就有一次39网络攻击发生百度安全团队的使命深厚技术积淀简单可依赖全面业务保障十余年安全实战经验积累形成完善的安全构建简单可依赖的安全防线让安全防护不保障百度及合作伙伴业务安全稳定运行覆,,,技术体系和方法论应对各类复杂安全威胁再复杂晦涩人人都能理解和使用盖云计算、人工智能、内容生态等多个领域,,第二章安全意识人人都是安全防线——最强的防火墙也抵挡不住人性的弱点在网络安全领域技术只是基础人的安全意识,,才是决定胜负的关键安全意识培训的重要性为什么安全意识如此关键技术覆盖有限全员安全文化再先进的技术也无法覆盖所有风险场景百度安全培训覆盖全员从高管到基层员,,员工的安全意识是抵御威胁的第一道防工人人参与、人人负责共同营造浓厚的,,线也是最关键的一道防线安全文化氛围,惨痛教训警示典型案例显示因员工钓鱼邮件识别失误导致的重大损失屡见不鲜一次疏忽可能造成数百万,,甚至上亿元的损失安全意识培训内容概览网络钓鱼识别与防范密码安全与多因素认证个人信息保护与合规要求学习识别各类钓鱼邮件、短信和网站建立强密码策略使用密码管理工具启深入理解个人信息保护法、网络安全,,的特征掌握验证信息真伪的方法避免用多因素认证机制了解密码泄露的法等法律法规要求学习在日常工作中,,,落入诈骗陷阱包括检查、发件人常见途径养成定期更换密码的良好习如何正确收集、使用、存储和销毁敏URL,验证、异常请求识别等实用技巧惯为账户安全加上多重保险感数据确保合规操作,,这些培训内容不是枯燥的理论知识而是与每个人日常工作息息相关的实用技能通过系统学习和实战演练每位员工都能成为安全防护的行家里手,,安全从你我做起培训现场的热烈氛围每季度定期开展全员安全培训•新员工入职必修安全第一课•百度安全培训采用互动式教学方法结合真实案例分析、模拟演练、小组,针对不同岗位定制专项培训内容•讨论等多种形式让参训人员在轻松活跃的氛围中掌握安全知识,培训后进行考核确保学习效果•,第三章百度安全培训服务介绍百度安全培训服务体系是基于多年实战经验打造的综合性培训解决方案涵盖从意识提升到技术深化的全方位内容帮助组织构建立体化的安全能力体,,系四大培训模块安全意识培训安全运维培训提升风险识别能力保障系统稳定运行常见安全威胁识别服务器安全配置••社会工程学防范日志监控与分析••安全操作规范漏洞扫描与修复••案例分析与讨论备份与恢复策略••应急响应培训安全开发培训快速应对安全事件构建安全软件体系事件识别与分类安全编码规范••响应流程与协作常见漏洞防御••取证与溯源技术代码审计方法•••实战演练模拟•DevSecOps实践四大模块相互关联、相互支撑共同构成完整的安全培训体系满足不同角色、不同层级的学习需求,,培训形式多样0102理论讲解视频演示资深安全专家系统讲授安全知识体系深入浅出地剖通过精心制作的教学视频直观展示攻击手法和防御,,析安全原理和防护策略技巧加深理解记忆,0304现场演示互动答疑实时操作演示真实的安全工具和防护系统让学员看充分的问答交流时间针对学员的实际困惑提供专业,,到具体的实施过程解答和建议百度智能云特约讲师所有培训课程均由百度智能云特约讲师授课他们不仅,05具备深厚的理论功底更拥有丰富的实战经验能够结,,模拟测试合真实案例进行深入讲解网络钓鱼模拟测试等实战演练在真实场景中检验学习效果提升应对能力,,培训亮点我们特别设计的网络钓鱼模拟测试会在培训后不定期向员工发送模拟钓鱼邮件统计点击率和上报率持续强化安全意识形成长效机制:,,,,第四章技术防护与安全产品如果说安全意识是软实力那么技术防护就是硬支撑百度智能云安全产品矩阵为用户提,供全方位、多层次的技术防护能力构建坚不可摧的安全壁垒,百度智能云安全产品矩阵云防火墙CFW内容审核与反欺诈系统身份认证与访问控制智能防御网络攻击提供实时流量监测、入侵检保障业务合规运营利用深度学习技术识别违规内多层次权限管理体系实现精细化的身份认证和授,,,测、访问控制等功能基于算法识别异常行为容、虚假信息和欺诈行为支持图片、视频、文本权管理支持单点登录、多因素认证、动态令牌等,AI,,,自动阻断恶意流量保护云上资产安全等多种内容形式的智能审核多种认证方式确保合法用户安全访问,,这些产品不是孤立存在的而是通过统一的安全管理平台进行协同联动形成有机的安全防护生态系统为用户提供一体化的安全解决方案,,,业务安全风控实践智能风控系统核心能力实时监控小时不间断监控业务系统运行状态实时采集和分析用户行为数据7×24,异常识别基于机器学习算法建立正常行为基线快速识别偏离基线的异常行为模式,自动化处置一旦发现高风险行为系统自动触发防护措施如账户冻结、交易拦截等,,成功案例分享风险评分某知名电商平台接入百度安全风控系统后成功阻断了一次针对促销活动的,为每个用户和每笔交易计算风险评分支持差异化的安全策略和风控措施,大规模刷单攻击系统在攻击发起后的分钟内就识别出异常流量自动拦截3,了超过万次虚假下单请求避免了数千万元的营销资金损失10,多层防护筑牢安全堡垒,应用层1数据层2网络层3主机层4物理层5百度安全产品架构采用纵深防御理念从物理层到应用层构建多层防护体系每一层都有相应的安全产品和技术手段形成立体化的防护网络即使某一,,层被突破其他层仍能继续发挥防护作用最大限度降低安全风险,,第五章应急响应与安全事件管理再完善的防护体系也无法做到百分之百的安全当安全事件发生时快速有效的应急响应能力就成为控制损失、恢复业务的关键百度安全应急响应体系,为用户提供专业、高效的安全事件处置服务百度安全应急响应中心BSRC24小时漏洞响应全球协作网络作为百度官方漏洞收集与响应与全球顶尖安全研究人员和白帽子黑BSRC平台提供小时不间断的漏洞接客社区保持密切合作建立了覆盖全球,7×24,收和处理服务确保任何时间发现的安的安全情报网络共同发现和防御新型,,全问题都能得到及时关注威胁快速响应能力典型案例某次重大漏洞从发现到修复:上线仅用时小时成功避免了可能导4,致数百万用户数据泄露的严重后果展,现了卓越的应急响应效率不仅是一个技术平台更是连接安全研究者与企业的桥梁通过漏洞奖励计划激励更多专业人士参与安全建设形成良性的安全生态圈BSRC,,,应急响应流程详解事件发现风险评估通过监控系统、用户报告、漏洞扫描等多种渠道发现潜在安全事件第一时快速分析事件影响范围、严重程度和可能造成的损失确定事件等级和响应,,间启动应急机制优先级快速处置复盘总结根据应急预案采取隔离、阻断、修复等措施控制事件扩散恢复系统正常事后进行详细的事件分析和总结找出根本原因完善防护措施避免类似事,,,,,运行件再次发生员工在应急响应中的重要作用应急响应不仅是安全团队的职责每位员工都应了解基本的应急响应流程和自己的职责发现异常情况时应第一时间报告而不是试图自行解决配合安全团队进,,;行调查取证按照要求临时调整工作方式确保应急处置顺利进行员工的积极配合往往能让应急响应效率提升数倍;,,第六章大模型安全与前沿风险防控随着人工智能特别是大语言模型技术的快速发展一个全新的安全战场正在形成大模型,在带来巨大价值的同时也引入了前所未有的安全风险百度作为技术的领先者在大,AI,模型安全领域也走在行业前列大语言模型安全挑战OWASP LLM安全十大风险提示词注入攻击-通过精心设计的输入操纵模型输出训练数据污染-恶意数据影响模型行为模型拒绝服务-消耗大量资源导致服务不可用敏感信息泄露-模型输出包含训练数据中的敏感内容不安全的输出处理-未经验证的模型输出被直接使用过度依赖-盲目信任模型输出导致安全决策失误模型窃取-通过API调用复制模型能力供应链漏洞-第三方组件引入的安全风险国际权威安全组织OWASP开放式Web应用程序安全项目专门发布了《LLM安全十大风险》指南,标志着大模型安全已成为全球关注的重要议题百度大模型安全实践提示词注入防护开发了多层提示词过滤和验证机制能够识别和阻断各类恶意提示词注入攻击通过,语义分析、行为检测等技术在保持模型正常功能的同时有效防范安全威胁,强化学习对齐技术结合人类反馈的强化学习技术让模型输出更加符合人类价值观和安全标RLHF,准通过持续的对齐训练提升模型对有害内容的识别和拒绝能力降低内容安全风,,险实战案例:电商客服助手防护某电商平台使用百度大模型构建智能客服系统我们的安全机制成功阻止了多次试图通过提示词注入诱导模型执行恶意支付指令的攻击保护了用户资金安全和平台声,誉智能时代的安全新战场大模型安全不是传统网络安全的简单延伸而是一个全新的领域它需要我们重新思,考安全的定义、重新设计防护的方法、重新构建安全的体系在这个新战场上攻击者可以用自然语言作为武器防护者需要理解语义和意图传统的,,基于规则的防护方法已经不够用我们必须用对抗用智能防护智能百度安全团队,AI AI,正在这个前沿领域不断探索创新为智能时代的安全保驾护航,第七章个人与企业的安全责任网络安全不是某个部门或某个人的事而是需要每个人、每个组织共同承担的责任只有,当个人养成良好的安全习惯企业建立完善的安全文化整个社会的安全水平才能真正提,,升个人安全习惯养成密码管理定期更新密码避免在多个平台使用相同密码使用包含大小写字母、数字和特殊字符的强密码长度不少于位开启多因素认证为账户增加额外保护层,,12,警惕钓鱼收到可疑邮件、短信时保持警惕不轻易点击来历不明的链接核实发件人身份注意检查是否正确对要求提供个人信息或进行转账的消息格外小心,,URL隐私保护谨慎分享个人信息不在公共场合讨论敏感内容合理设置社交媒体隐私权限控制个人信息的可见范围定期清理不再使用的账户和授权,,社交媒体使用建议移动设备安全贴士避免发布详细的个人行程安排设置屏幕锁和自动锁屏时间••不公开展示家庭住址、电话号码等信息从官方应用商店下载软件••警惕添加陌生人为好友及时安装系统和应用更新•••关闭不必要的位置服务•使用公共WiFi时避免敏感操作企业安全文化建设123持续培训演练快速响应机制技术管理双轮驱动建立常态化的安全培训机制不仅是入职培建立清晰的安全事件报告流程和应急响应机一手抓技术防护能力建设引入先进的安全,,训更要定期组织专项培训和实战演练通制明确各部门、各岗位的职责分工确保产品和工具一手抓安全管理制度完善建立,,;,过红蓝对抗、桌面推演等方式提升团队整发现问题能够快速上报启动响应能够高效覆盖全业务流程的安全规范两手都要硬,,,体安全应对能力协同两手都要抓制度保障资源投入文化氛围制定完善的信息安全管理制度明确安全要求确保安全建设的人力、资金和技术资源投入营造人人讲安全、事事重安全的企业文化氛围,,,和责任追究机制将安全指标纳入绩效考核安全不是成本而是投资投入的每一分钱都让安全意识深入每个员工内心成为自觉行动,,,让安全成为每个人的是在为企业的长远发展保驾护航KPI第八章未来展望与行动指南回顾过去我们在网络安全领域取得了长足进步展望未来挑战与机遇并存百度安全将继续坚守使命创新前行与所有合作伙伴一起共同建设更加安,;,,,,全、可信赖的数字世界百度安全的未来战略全民安全提升深化生态合作持续投入安全教育和公益活动提升全社会的,持续技术创新与产业链上下游伙伴建立更紧密的合作关系,网络安全意识通过开放课程、公开讲座、加大在人工智能安全、隐私计算、零信任架共享威胁情报、共建安全标准、共同应对挑社区互动等多种形式让安全知识普惠大众,,构等前沿领域的研发投入,构建更加智能、更战推动建立可信赖的互联网环境,让安全成共同打造安全中国加主动的防御体系将AI技术深度应用于威为整个生态的共同基石胁检测、风险预测、自动化响应等环节亿1000+10+

99.99%安全专家团队日均防护次数服务可用性拥有超过千人的专业安全团队覆盖攻防对抗、安每天为数十亿次用户请求提供安全防护处理海量核心安全服务保持极高的可用性为业务连续运行,,,全研究、产品开发等各个领域安全事件和威胁情报提供可靠保障立即行动安全伴我行:参与安全培训1立即报名百度安全培训课程提升自我防护能力无论是个人用户还是企,业客户我们都有适合您的培训方案,关注安全动态2关注百度安全官方渠道及时了解最新的安全威胁情报和防护建议做一,个有安全觉悟的网络公民传播安全知识3成为安全知识的传播者向身边的家人、朋友、同事分享安全常识一个,人的安全意识提升可能保护一群人的数字生活,安全不是一个人的战斗而是所有人的责任让我们携起手来共同创造一个更加,,安全、更加美好的数字未来共建安全防线4网络安全需要每个人的参与发现安全问题及时报告配合安全措施落实,执行共同守护我们的数字家园,安全从你我开始,谢谢聆听!培训咨询产品合作邮箱访问:security-training@baidu.com:cloud.baidu.com/security电话微信公众号百度智能云安全:400-890-0000:漏洞提交平台:security.baidu.com邮箱:security@baidu.com百度安全团队期待与您携手共同构建安全可信赖的数字世界让我们一起努力让网络,,空间更加清朗让数字生活更加美好让安全真正伴随我们每一个人的数字之旅,,!。