信息安全 day01
网络安全法律法规
一、网络安全形势
一、安全事件盘点
- 挖矿病毒频发
- 网站遭受恶意攻击
- 用户数据泄露
- 学生学籍信息泄露
- 永恒之蓝,勒索病毒
- APT攻击(高级可持续性威胁攻击,又称定向威胁攻击)
二、我国网络安全形势
1、重视程度前所未有
2、法律法规陆续出台
3、产业基础缺芯少魂
4、经费投入严重不足
二、《网络安全法》
一、我国为什么要立法
1、安全漏洞不可避免,如log4j、weblogic反序列化等
2、信息泄露在劫难逃
3、攻防技术愈演愈烈
4、网络空间战争多发
二、实施
2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过,自2017年6月1日起实施
三、适用范围
中华人民共和国境内 建设、运营、维护和使用网络,以及网络安全的监督管理
四、对于单位的五大焦点
1、等级保护制度
2、保护关键信息基础设施
3、网络运营者的管理
4、网络产品、服务的提供者管理
5、应急预案与应急处置
五、对于个人的两大焦点
1、对于公民个人信息保护
建立用户信息保护制度,个人信息收集使用原则、网络运营者的个人信息保护义务,个人信息的删除权和更正权,禁止非法获取、买卖、提供个人信息,监督管理部门的保密义务
2、禁止利用网络从事与违法犯罪相关的活动
六、特点
1、赋予网信部门统筹协调和监管地位
2、提出运营者基本要求
3、实行关键信息基础设施双审查
4、建立网络实名制度
5、强化重要数据管理控制
6、提高个人信息管理力度
7、扩大个人信息保护范围
8、区分安全检测类别(风险评估、等级保护、分级保护等)
9、明确举报渠道
10、限制司法部门权力
11、设立职业禁入制度
12、引用“长臂管辖权”概念
13、强调法律责任
七、相关法规
《互联网群组信息服务管理规定》等
三、企业网络安全工作
一、主要问题
- 缺芯少魂
- 意识不强 (没有意识到风险是最大的风险)
1、将口令写在便签上,贴在电脑监视器旁
2、开着电脑离开,就像离开家却忘记关灯那样
3、轻易相信来自陌生人的邮件,好奇打开邮件附件
4、使用容易猜测的口令,或者根本不设口令
5、不能保守秘密,口无遮拦,上当受骗,泄漏敏感信息
6、在系统更新和安装补丁上总是行动迟缓
7、只关注外来的威胁,忽视企业内部人员的问题
8、会后不擦黑板,会议资料随意放置在会场
9、事不关己,高高挂起,不报告安全事件
- 内鬼破坏
- 境外势力
二、基本职责
- 网络运营者应当履行安全保护义务
制度建设、安全技术配置、网络日志(不少于六个月)、数据保护、应急预案等其他义务 - 关键信息基础设施运营者5条安全保护义务
人员管理、教育培训、容灾备份、预案演练等其他义务
三、法律责任
- 行政责任
网络安全工作责任制 - 刑事责任
《刑法》与网络安全有直接关系的五个罪名
1、拒不履行信息网络安全管理义务罪
2、非法利用信息网络罪
3、帮助信息网络犯罪活动罪
4、编造、故意传播虚假信息罪
5、侵犯公民个人信息罪
四、个人信息安全保护
一、主要问题
我国个人信息泄露情况严重
二、应对措施
- 增强网络安全意识
- 网购。不使用免费网络进行登录网银、支付宝等APP进行网购。使用数据流量进行操作
- 绑定。绑定借记卡,而不是信用卡
- 销毁。购买新手机或更换手机时。手机恢复出厂设置,借用删除软件,用大型文件、软件进行数据覆盖,再用恢复工具检测。
- 在公共空间发信息时,最好模糊时间、地点、人物等敏感信息
- 密码安全
➢至少一年内不要重复使用密码
➢不要多个账户使用同一个密码
➢设密码不要涉及个人信息(名字、生日等)
➢不要使用键盘模式(QWERTY)
➢不要使用连续数字(123456)
➢不要使用重复的字符(222ttt)
举例
3cQScbrOnly1 → 三尺秋水尘不染,天下无双
NoTXnorCI/2(XJ+Z) → 不染天下不染尘,半分形迹半分踪
ppnn13%dkstFeb.1st → 娉娉袅袅十三余,豆蔻梢头二月初
for_ $ n(@RenSheng)_$n+“die” →人生自古谁无死
while(1)Ape1Cry&&Ape2Cry - →两岸猿声啼不住
固定码:自己记得住的固定形式。如上方文艺密码举例。注意不要包含易猜测的信息,如个人信息。固定码用来通用。
动态码: 一般采用网站缩写。在此基础之上可加入版本识别码以及账户辨识码(可选)。动态码用来防止撞库,需以尽可能降低记忆难度为前提。
举例:给微信上设立一个密码。固定码: (XJ+Z)/2
动态码:网站名wx
版本识别码: ~Q (注意键盘位置,都是第一)
账户John: OhN
杂乱组合1 (15位) :~(XJ+Z)/2wxOhNQ
- 照片安全
照片不保存地理信息、时间等信息。防止通过照片exif泄露信息。