《网络风险及网络安全》培训总结

时间 2019-11-25

原文原文链接

《网络风险及网络安全》培训总结数据库

2019年7月3日我有幸参加了中国保险协会组织的《网络风险及网络安全》培训班，对公司和部门领导给与的本次培训机会，我很是珍惜，始终以培训要求的标准对照本身，严格要求本身，积极参加培训学习及课间讨论活动，虽然学习的时间很是有限，但此次培训活动给个人收获是无限的。安全

1、培训课程内容简介：

首先介绍一下本次培训的三天课程内容：服务器

DAY1：网络

一、金融服务中的网络风险识别：网络风险定义，这些年发生的网络风险事件，金融服务行业应对网络风险所作的努力；架构

二、网络风险≠网络安全：网络安全作什么？美国白宫联邦网络安全报告解读，网络风险与网络安全之间的区别与联系，为何咱们愈来愈关注网络风险？框架

三、网络及技术带来的机遇与挑战：新的工做方式带来的机遇与挑战（BYOD），大数据、云计算、人工智能、区块链的应用安全；工具

四、如何解决安全、效率与投入的平衡：如何解决信息系统安全、效率与投入的冲突，DevSecOpsde概念及实施。学习

DAY2：区块链

监管要求：不一样国家信息安全监管要求对比，SOX、Basel II、GDPR以及监控科技的兴起；测试

行业标准和最佳实践：ISO2700一、COBIT 201九、PCI-DSS、COSO、NIST SP800、加拿大PIPEDA。

DAY3：

创建网络风险管理框架

如何开展风险评估和风险识别：如何制定风险评估计划，谁来执行风险评估？风险评估的方法和工具；

网络风险应对与缓释：是否是全部的风险都要处置？如何看到风险的潜在影响和损失？风险应对方法和成本考虑；

课堂总结：中美网络风险管理差别。

本次培训的内容多、涵盖面广，本次总结报告我将重点侧重于企业中所面临的通常网络安全问题进行分析和总结，同时对网路风险安全防御手段的渗透测试工做进行简要的介绍和说明，其余方面的内容，若是有兴趣的同事或者须要能够从本次培训的培训课件上进行查找，若是有感兴趣的内容我将后期进行补充交流。

2、企业所面临的常见网络安全问题

经过本次培训了解企业所面临的的常见网络安全问题及处置手段，“信息安全”是保证IT在企业内稳定运行的基础与重要屏障。随着信息系统在企业内部日趋完善与集中，信息安全对企业正常经营而言愈加重要。

一、内网安全

内网安全是信息安全的重要组成部分，历年频发的内网安全事件使得企业对其备受重视。这与企业内部信息化的建设使得内网问题不断演化不无关系。内网安全问题一直在演化，早期内网安全产品主要以桌面防御为主，主要是经过链接控制、补丁分发、设备加密等手段保证安全。当内网安全产品相对成熟，文档加密、安全管理、主机监控与审计、移动存储介质管理、网络准入控制等技术产品随着企业信息化发展，相继在内网安全领域走热。信息安全管理员强调内网安全的核心在于技术手段与管理举措的完备结合。合理的体制制度及有效执行，是企业保证长治的必须手段。

二、数据保密

企业的核心竞争力将更多地源自技术发明、专利、创新等"软资产"，随着信息系统应用的普及，这些“软资产”体现为大量的电子文档。在平常工做中，须要数十甚至数百位员工协同工做，不可避免地须要涉及机密电子文档，如何很好地保护这些重要资料，作到数据保密成为摆在企业信息安全面前的一个难题。信息技术部的信息安全管理一方面协调完善各类保密制度，利用法律，法规保护本身的专业信息，一方面利用切实可行的及时收到从根本上防止泄密事件的发送。如部署防火墙、DLP设备等网络安全设备，同时针对我的PC用户封闭全部USB功能，安装加密软件等。

三、灾备管理

对于信息安全管理员来讲，数据安全是其生命线。为此不管企业有钱仍是没钱，信息安全管理员都不可以忽视数据的安全。那么信息安全管理员采起什么样方式来保护数据的安全？数据备份为例，企业最好部署一些基于数据库的应用，不让病毒或者木马在企业中藏身，自动备份文件，以提升提升数据安全性。

四、系统安全

访问随着移动存储技术及商务模式的发展，选择远程办公的人愈来愈多。公司对员工移动办公、远程接入总部内网办公的需求愈来愈强，特别是WLAN技术、无线技术的发展更加重了这种趋势。如何确保企业系统安全访问，成为IT管理者面临的重大挑战。信息安全管理员能够选择创建的安全可靠远程接入访问机制，构建专业的业务局域网及子网，这样驻外人员、移动办公人员、第三方合做伙伴及客户，能够凭借合法精确的访问权限，访问本身能访问的特定服务器与业务系统，进一步加快并优化本身的业务流程。

五、数据隐私

不少信息安全管理员看待“隐私权”的感受，就跟有些人想到减肥，就感到末日来临同样。对于有些行业，例如保健事业-病人的隐私权是最重要，但除了这些法规明确规范的行业之外，隐私权问题对信息安全管理员来讲，只是安全防御遭受破坏时的必然结果，比方弄丢一台存储数百万人记录的笔记本电脑，或者被黑客入侵窃取顾客的数据。不过如今的不少信息安全管理员要不就是只注意技术，要不就是认为隐私权不在他们的职责范围内，而是隐私权主管或安所有门主管的责任。其实这是个错误观念。

六、网络威胁

间谍软件、网游木马、流氓软件、IM通信病毒、病毒邮件、银行钓鱼和蠕虫病毒的不断出现，网络安全威胁成为企业信息安全管理员最为头疼和最为棘手的问题。俗话说："道高一尺，魔高一丈"，信息安全管理员期望经过一劳永逸解决全部安全问题是不可能的。提升安全意识，增强平常管理，补缺网络系统中的“短板”，才能有效避免风险的发生。

七、安全预算

信息安全管理员要力争并确保足够资金投资于IT系统的安全项目。密切关注公司要为网络安全划拨必定金额的预算，以承担安全成本，例如防病毒软件、防火墙服务器、加密软件、入侵检测系统、集中安全管理等成本。公司高层主管有时会认为信息安全管理员对网络安全过于大惊小怪。但信息安全管理员很清楚的清醒认识到：相当重要的计算机设施出现安全问题形成严重损害的故障只是个时间问题。担心有人对公司的网络构成危害的心态必须时刻保持，谨小慎微对生存而言绝对必要。

八、云计算安全

愈来愈多的信息安全管理员期待在公司内部的云计算数据中心环境下创建一个虚拟化的环境，而且这将是一个更安全的选择。由于，在公共云环境中进行交易的安全性是使人担心的，以及关于在公共云服务时可能出现的停机时间和表现欠佳也是使人担心的，这些担心都引发了信息安全管理员们的警戒。相信将来私有云部署会愈来愈多。

九、安全教育

人们广泛认为IT信息安全只是IT部门的事情。事实上全部的员工都会是IT信息安全的威胁。大多数的员工都会在流动时或多或少的将企业的重要资料外带，主因是大多数员工对其行为的危险性不觉得然，或是根本就不了解公司的IT信息安全策略，或是不清楚哪些资料在人员流动时不能外泄和外带。所以，在人员愈来愈流动的今天，信息安全管理员必定要增强员工IT信息安全教育，有效的作法是要给员工进行相关培训，告知员工哪些资料是机密资料应该要慎重处理。

十、安全管理

企业信息化建设的展开，企业业务与IT系统的链接日渐紧密，使得网络安全成为诸多企业的严峻问题。安全体系的创建，涉及到管理和技术两个层面，而管理层面的体系建设是首当其冲的。当前不少企业没有养成主动维护系统安全的习惯，同时也缺少安全方面良好的管理机制。对于合格的信息安全管理员来讲，保证网络系统安全的第一步，首先要作到重视安全管理，绝对不能坐等问题出现，才扑上去“救火"。

3、网络安全之渗透测试工做相关

企业在安全上投入了巨大的精力和资金，但有每每会产生这样的感觉：当基本的软硬件设施配置好以后，安全防卫水平就到了一个相对的瓶颈，再加大投入并不能明显提升安全水平。实际上，这种“安全玻璃天花板”在不少行业和企业中都存在，伴随着安全行业的发展和管理人员安全意识的提升，以渗透测试为表明的“安全服务”正在获得更多的承认。

渗透测试的目的？

1. 信息安全等级保护的要求

2015年12月28日，银监会等部门发布的《网络借贷信息中介机构业务活动管理暂行办法(征求意见稿)》中明确要求：“网络借贷信息中介机构应按照国家网络安全相关规定和国家信息安全等级保护制度的要求，开展信息系统定级备案和等级测试。”信息安全等级保护是由等级测评机构依据国家信息安全等级保护制度规定，按照管理规范和技术标准，对信息系统安全等级保护情况进行检测评估的活动。值得关注的是，在信息安全风险评估中，渗透测试是一种经常使用且很是重要的手段。

2.渗透测试助力PCI DSS合规建设

在PCI DSS（Payment Card Industry Security Standards Council支付卡行业安全标准委员会）第 11.3中有这样的要求：至少每一年或者在基础架构或应用程序有任何重大升级或修改后（例如操做系统升级、环境中添加子网络或环境中添加网络服务器）都须要执行内部和外部基于应用层和网络层的渗透测试。

3.ISO27001认证的基线要求

ISO27001 附录“A12信息系统开发、获取和维护”的要求，创建了软件安全开发周期，而且特别提出应在上线前参照例如OWASP标准进行额外的渗透测试。

4.银监会多项监管指引中要求

依据银监会颁发的多项监管指引中明确要求，对银行的安全策略、内控制度、风险管理、系统安全等方面须要进行的渗透测试和管控能力的考察与评价。

网站为何要作渗透测试？除了知足政策的合规性要求、提升客户的操做安全性或知足业务合做伙伴的要求。最终的目标应该是最大限度地减少业务风险。企业须要尽量多地进行渗透测试，以保持安全风险在可控制的范围内。

网站开发过程当中，会发生不少难以控制、难以发现的隐形安全问题，当这些大量的瑕疵暴露于外部网络环境中的时候，就产生了信息安全威胁。这个问题，企业能够经过按期的渗透测试进行有效防范，早发现、早解决。通过专业渗透人员测试加固后的系统会变得更加稳定、安全，测试后的报告能够帮助管理人员进行更好的项目决策，同时证实增长安全预算的必要性，并将安全问题传达到高级管理层。

如何经过渗透测试进行安全评估？

渗透测试是由专业安全人员彻底模拟入侵者所用的常见手段对测试目标发起模拟入侵的过程。整个过程的目的在于经过利用各类已知漏洞识别手段充分挖掘网络层、系统层、应用层乃至业务逻辑层中可能存在且被利用的潜在威胁点。在不影响业务系统正常运行的状况下，发现系统最脆弱的环节，让管理人员最直观的看到系统面临的安全威胁。

渗透测试是如何操做的？

许多企业管理人员有个误区，认为渗透测试只是经过自动化的工具进行检测、处理生成的报告，因此费用成本是能够很低去控制的，其实否则。成功的渗透测试报告中安全工具的占比仅仅是一部分，成功的部分更多的是依靠专业的人工、双向的思惟及丰富的经验。

渗透测试与安全检测的区别？

渗透测试不一样于传统的安全扫描，在总体风险评估框架中，脆弱性与安全扫描的关系可描述为“承上”，即如上面所讲，是对扫描结果的一种验证和补充。另外，渗透测试相对传统安全扫描的最大差别在于渗透测试须要大量的人工介入的工做。这些工做主要由专业安全人员发起，一方面，他们利用本身的专业知识，对扫描结果进行深刻的分析和判断。另外一方面则是根据他们的经验，对扫描器没法发现的、隐藏较深的安全问题进行手工的检查和测试，从而作出更为精确的验证（或模拟入侵）行为。

4、培训总结及心得体会

现在，培训已告一段落，经过培训了丰富了本身的网络安全知识体系架构，经过培训老师的讲解，同业伙伴的分组讨论，这些都让我收获颇丰！同时也让我反思了以前本身对信息及网络风险安全管理的相关工做，须要学习与改进的地方还有不少。所以，在从此的工做中，我将时刻牢记本身的职责，积极主动的了解信息安全领域的相关知识，丰富和巩固本身的网络安全体系知识架构，注意发挥带头做用，帮忙其余同事提升信息及网络风险安全意识。积极参与各级各种信息安全活动，虚心向同行学习、请教。不断提升本身的业务知识水平，为公司信息安全建设贡献本身的一份力量。

总结人：罗小川

日期：2019年7月10日