《网络风险及网络安全》培训总结

news2024/11/22 3:58:52

2024年7月3日我有幸参加了中国保险协会组织的《网络风险及网络安全》培训班,对公司和部门领导给与的本次培训机会,我非常珍惜,始终以培训要求的标准对照自己,严格要求自己,积极参加培训学习及课间讨论活动,虽然学习的时间非常有限,但这次培训活动给我的收获是无限的。

一、培训课程内容简介:

首先介绍一下本次培训的三天课程内容:

DAY1:

1、金融服务中的网络风险识别:网络风险定义,这些年发生的网络风险事件,金融服务行业应对网络风险所做的努力;

2、网络风险≠网络安全:网络安全做什么?美国白宫联邦网络安全报告解读,网络风险与网络安全之间的区别与联系,为什么我们越来越关注网络风险?

3、网络及技术带来的机遇与挑战:新的工作方式带来的机遇与挑战(BYOD),大数据、云计算、人工智能、区块链的应用安全;

4、如何解决安全、效率与投入的平衡:如何解决信息系统安全、效率与投入的冲突,DevSecOpsde概念及实施。

DAY2:

监管要求:不同国家信息安全监管要求对比,SOX、Basel II、GDPR以及监控科技的兴起;

行业标准和最佳实践:ISO27001、COBIT 2019、PCI-DSS、COSO、NIST SP800、加拿大PIPEDA。

DAY3:

建立网络风险管理框架

如何开展风险评估和风险识别:如何制定风险评估计划,谁来执行风险评估?风险评估的方法和工具;

网络风险应对与缓释:是不是所有的风险都要处置?如何看到风险的潜在影响和损失?风险应对方法和成本考虑;

课堂总结:中美网络风险管理差异。

本次培训的内容多、涵盖面广,本次总结报告我将重点侧重于企业中所面临的一般网络安全问题进行分析和总结,同时对网路风险安全防护手段的渗透测试工作进行简要的介绍和说明,其他方面的内容,如果有兴趣的同事或者需要可以从本次培训的培训课件上进行查找,如果有感兴趣的内容我将后期进行补充交流。

二、 企业所面临的常见网络安全问题

通过本次培训了解企业所面临的的常见网络安全问题及处置手段,“信息安全”是保证IT在企业内稳定运行的基础与重要屏障。随着信息系统在企业内部日趋完善与集中,信息安全对企业正常经营而言越发重要。

1、内网安全

内网安全是信息安全的重要组成部分,历年频发的内网安全事件使得企业对其备受重视。这与企业内部信息化的建设使得内网问题不断演化不无关系。内网安全问题一直在演化,早期内网安全产品主要以桌面防护为主,主要是通过连接控制、补丁分发、设备加密等手段保证安全。当内网安全产品相对成熟,文档加密、安全管理、主机监控与审计、移动存储介质管理、网络准入控制等技术产品随着企业信息化发展,相继在内网安全领域走热。信息安全管理员强调内网安全的核心在于技术手段与管理举措的完备结合。合理的体制制度及有效执行,是企业保证长治的必须手段。

2、数据保密

企业的核心竞争力将更多地源自技术发明、专利、创新等"软资产",随着信息系统应用的普及,这些“软资产”体现为大量的电子文档。在日常工作中,需要数十甚至数百位员工协同工作,不可避免地需要涉及机密电子文档,如何很好地保护这些重要资料,做到数据保密成为摆在企业信息安全面前的一个难题。信息技术部的信息安全管理一方面协调完善各种保密制度,利用法律,法规保护自己的专业信息,一方面利用切实可行的及时收到从根本上防止泄密事件的发送。如部署防火墙、DLP设备等网络安全设备,同时针对个人PC用户封闭所有USB功能,安装加密软件等。

3、灾备管理

对于信息安全管理员来说,数据安全是其生命线。为此无论企业有钱还是没钱,信息安全管理员都不能够忽视数据的安全。那么信息安全管理员采取什么样方式来保护数据的安全?数据备份为例,企业最好部署一些基于数据库的应用,不让病毒或者木马在企业中藏身,自动备份文件,以提高提高数据安全性。

4、系统安全

访问随着移动存储技术及商务模式的发展,选择远程办公的人越来越多。公司对员工移动办公、远程接入总部内网办公的需求越来越强,特别是WLAN技术、无线技术的发展更加剧了这种趋势。如何确保企业系统安全访问,成为IT管理者面临的重大挑战。信息安全管理员可以选择建立的安全可靠远程接入访问机制,构建专业的业务局域网及子网,这样驻外人员、移动办公人员、第三方合作伙伴及客户,可以凭借合法精确的访问权限,访问自己能访问的特定服务器与业务系统,进一步加快并优化自己的业务流程。

5、数据隐私

很多信息安全管理员看待“隐私权”的感觉,就跟有些人想到减肥,就感到末日来临一样。对于有些行业,例如保健事业-病人的隐私权是最重要,但除了这些法规明确规范的行业以外,隐私权问题对信息安全管理员来说,只是安全防护遭受破坏时的必然结果,比方弄丢一台存储数百万人记录的笔记本电脑,或者被黑客入侵窃取顾客的数据。不过现在的很多信息安全管理员要不就是只注意技术,要不就是认为隐私权不在他们的职责范围内,而是隐私权主管或安全部门主管的责任。其实这是个错误观念。

6、网络威胁

间谍软件、网游木马、流氓软件、IM通讯病毒、病毒邮件、银行钓鱼和蠕虫病毒的不断出现,网络安全威胁成为企业信息安全管理员最为头疼和最为棘手的问题。俗话说:"道高一尺,魔高一丈",信息安全管理员指望通过一劳永逸解决所有安全问题是不可能的。提高安全意识,加强日常管理,补缺网络系统中的“短板”,才能有效避免风险的发生。

7、安全预算

信息安全管理员要力争并确保足够资金投资于IT系统的安全项目。密切关注公司要为网络安全划拨一定金额的预算,以承担安全成本,例如防病毒软件、防火墙服务器、加密软件、入侵检测系统、集中安全管理等成本。公司高层主管有时会认为信息安全管理员对网络安全过于大惊小怪。但信息安全管理员很清楚的清醒认识到:至关重要的计算机设施出现安全问题造成严重损害的故障只是个时间问题。担忧有人对公司的网络构成危害的心态必须时刻保持,谨小慎微对生存而言绝对必要。

8、云计算安全

越来越多的信息安全管理员期待在公司内部的云计算数据中心环境下建立一个虚拟化的环境,并且这将是一个更安全的选择。因为,在公共云环境中进行交易的安全性是令人担忧的,以及关于在公共云服务时可能出现的停机时间和表现欠佳也是令人担忧的,这些担忧都引起了信息安全管理员们的警惕。相信未来私有云部署会越来越多。

9、安全教育

人们普遍认为IT信息安全只是IT部门的事情。事实上所有的员工都会是IT信息安全的威胁。大多数的员工都会在流动时或多或少的将企业的重要资料外带,主因是大多数员工对其行为的危险性不以为然,或是根本就不了解公司的IT信息安全策略,或是不清楚哪些资料在人员流动时不能外泄和外带。因此,在人员越来越流动的今天,信息安全管理员一定要加强员工IT信息安全教育,有效的做法是要给员工进行相关培训,告知员工哪些资料是机密资料应该要慎重处理。

10、安全管理

企业信息化建设的展开,企业业务与IT系统的连接日渐紧密,使得网络安全成为诸多企业的严峻问题。安全体系的建立,涉及到管理和技术两个层面,而管理层面的体系建设是首当其冲的。当前很多企业没有养成主动维护系统安全的习惯,同时也缺乏安全方面良好的管理机制。对于合格的信息安全管理员来说,保证网络系统安全的第一步,首先要做到重视安全管理,绝对不能坐等问题出现,才扑上去“救火"。

三、网络安全之渗透测试工作相关

企业在安全上投入了巨大的精力和资金,但有往往会产生这样的感受:当基本的软硬件设施配置好之后,安全防卫水平就到了一个相对的瓶颈,再加大投入并不能明显提高安全水平。实际上,这种“安全玻璃天花板”在很多行业和企业中都存在,伴随着安全行业的发展和管理人员安全意识的提高,以渗透测试为代表的“安全服务”正在得到更多的认可。

渗透测试的目的?

1. 信息安全等级保护的要求

2015年12月28日,银监会等部门发布的《网络借贷信息中介机构业务活动管理暂行办法(征求意见稿)》中明确要求:“网络借贷信息中介机构应按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试。”信息安全等级保护是由等级测评机构依据国家信息安全等级保护制度规定,按照管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。值得关注的是,在信息安全风险评估中,渗透测试是一种常用且非常重要的手段。

2.渗透测试助力PCI DSS合规建设

在PCI DSS(Payment Card Industry Security Standards Council支付卡行业安全标准委员会)第 11.3中有这样的要求:至少每年或者在基础架构或应用程序有任何重大升级或修改后(例如操作系统升级、环境中添加子网络或环境中添加网络服务器)都需要执行内部和外部基于应用层和网络层的渗透测试。

3.ISO27001认证的基线要求

ISO27001 附录“A12信息系统开发、获取和维护”的要求,建立了软件安全开发周期,并且特别提出应在上线前参照例如OWASP标准进行额外的渗透测试 。

4.银监会多项监管指引中要求

依据银监会颁发的多项监管指引中明确要求,对银行的安全策略、内控制度、风险管理、系统安全等方面需要进行的渗透测试和管控能力的考察与评价。

网站为什么要做渗透测试?除了满足政策的合规性要求、提高客户的操作安全性或满足业务合作伙伴的要求。最终的目标应该是最大限度地减小业务风险。企业需要尽可能多地进行渗透测试,以保持安全风险在可控制的范围内。

网站开发过程中,会发生很多难以控制、难以发现的隐形安全问题,当这些大量的瑕疵暴露于外部网络环境中的时候,就产生了信息安全威胁。这个问题,企业可以通过定期的渗透测试进行有效防范,早发现、早解决。经过专业渗透人员测试加固后的系统会变得更加稳定、安全,测试后的报告可以帮助管理人员进行更好的项目决策,同时证明增加安全预算的必要性,并将安全问题传达到高级管理层。

如何通过渗透测试进行安全评估?

渗透测试是由专业安全人员完全模拟入侵者所用的常见手段对测试目标发起模拟入侵的过程。整个过程的目的在于通过利用各种已知漏洞识别手段充分挖掘网络层、系统层、应用层乃至业务逻辑层中可能存在且被利用的潜在威胁点。在不影响业务系统正常运行的情况下,发现系统最脆弱的环节,让管理人员最直观的看到系统面临的安全威胁。

渗透测试是如何操作的?

许多企业管理人员有个误区,认为渗透测试只是通过自动化的工具进行检测、处理生成的报告,所以费用成本是可以很低去控制的,其实不然。成功的渗透测试报告中安全工具的占比仅仅是一部分,成功的部分更多的是依靠专业的人工、双向的思维及丰富的经验。

渗透测试与安全检测的区别?

渗透测试不同于传统的安全扫描,在整体风险评估框架中,脆弱性与安全扫描的关系可描述为“承上”,即如上面所讲,是对扫描结果的一种验证和补充。另外,渗透测试相对传统安全扫描的最大差异在于渗透测试需要大量的人工介入的工作。这些工作主要由专业安全人员发起,一方面,他们利用自己的专业知识,对扫描结果进行深入的分析和判断。另一方面则是根据他们的经验,对扫描器无法发现的、隐藏较深的安全问题进行手工的检查和测试,从而做出更为精确的验证(或模拟入侵)行为。

四、培训总结及心得体会

如今,培训已告一段落,通过培训了丰富了自己的网络安全知识体系架构,通过培训老师的讲解,同业伙伴的分组讨论,这些都让我收获颇丰!同时也让我反思了之前自己对信息及网络风险安全管理的相关工作,需要学习与改进的地方还有很多。因此,在今后的工作中,我将时刻牢记自己的职责,积极主动的了解信息安全领域的相关知识,丰富和巩固自己的网络安全体系知识架构,注意发挥带头作用,帮忙其他同事提高信息及网络风险安全意识。积极参与各级各类信息安全活动,虚心向同行学习、请教。不断提高自己的业务知识水平,为公司信息安全建设贡献自己的一份力量。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2245078.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

游戏+AI的发展历程,AI技术在游戏行业的应用有哪些?

人工智能(AI)与游戏的结合,不仅是技术进步的体现,更是人类智慧的延伸。从最初的简单规则到如今的复杂决策系统,AI在游戏领域的发展历史可谓波澜壮阔。 早在2001年,就有研究指出游戏人工智能领域&#xff0…

HarmonyOs DevEco Studio小技巧31--卡片的生命周期与卡片的开发

Form Kit简介 Form Kit(卡片开发服务)提供一种界面展示形式,可以将应用的重要信息或操作前置到服务卡片(以下简称“卡片”),以达到服务直达、减少跳转层级的体验效果。卡片常用于嵌入到其他应用&#xff0…

Redis的过期删除策略和内存淘汰机制以及如何保证双写的一致性

Redis的过期删除策略和内存淘汰机制以及如何保证双写的一致性 过期删除策略内存淘汰机制怎么保证redis双写的一致性?更新策略先删除缓存后更新数据库先更新数据库后删除缓存如何选择?如何保证先更新数据库后删除缓存的线程安全问题? 过期删除策略 为了…

单元测试框架gtest学习(三)—— 事件机制

前言 上节我们学习了gtest的各种宏断言 单元测试框架gtest学习(二)—— 认识断言-CSDN博客 本节我们介绍gtets的事件机制 虽然 Google Test 的核心是用来编写单元测试和断言的,但它也允许在测试执行过程中进行事件的钩取和自定义&#xf…

Unity Inspector窗口可编辑的脚本变量

Inspector可编辑的脚本变量 默认会显示的变量 在Unity中,为了方便我们进行一些属性的设置及调试,我们所写的公有基础数据类型会显示在Inspector之中,我们可以对他进行设置来更改它的取值。 显示私有变量 在有些情况下,设计代码…

力扣 LeetCode 110. 平衡二叉树(Day8:二叉树)

解题思路: 等于 -1 时,直接 return -1 class Solution {public boolean isBalanced(TreeNode root) {return getHeight(root) ! -1;}public int getHeight(TreeNode root) {if (root null) return 0;int leftDepth getHeight(root.left);if (leftDep…

unity3d————基础篇小项目(设置界面)

代码示例&#xff1a; 设置界面 using System.Collections; using System.Collections.Generic; using UnityEngine;public class SettingPanel : BasePanel<SettingPanel> {public UIButton btnClose;public UISlider sliderMusic;public UISlider sliderSound;public…

商用密码产品认证名录说明

《商用密码产品认证目录》是为贯彻落实《中华人民共和国密码法》&#xff0c;进一步健全完善商用密码产品认证体系&#xff0c;更好满足商用密码产业发展需要&#xff0c;根据《国家密码管理局 市场监管总局关于调整商用密码产品管理方式的公告》《市场监管总局 国家密码管理局…

从零做一个遥控玩具,需要学什么

遥控玩具编程是一个充满乐趣和挑战的领域&#xff0c;它完美地结合了硬件控制和软件编程。记得小时候拿着遥控器操控玩具汽车&#xff0c;总觉得神奇。如今站在程序员的视角&#xff0c;终于明白这背后是怎样的技术在支撑。 这些有趣的遥控玩具&#xff0c;其核心都是基于单片…

java的web项目如何连接数据库

mysql-connector.jar 是一个Java库文件&#xff0c;它提供了Java应用程序与MySQL数据库进行交互的接口 首先准备好这个文件&#xff0c;没有的话在网上搜索 将它放在这个位置&#xff0c;MySQL连接配置就好了&#xff0c; 如果拖不进去&#xff0c;右击项目名称&#xff0c;…

视频修复技术和实时在线处理

什么是视频修复&#xff1f; 视频修复技术的目标是填补视频中的缺失部分&#xff0c;使视频内容连贯合理。这项技术在对象移除、视频修复和视频补全等领域有着广泛的应用。传统方法通常需要处理整个视频&#xff0c;导致处理速度慢&#xff0c;难以满足实时处理的需求。 技术发…

OpenTelemetry 赋能DevOps流程的可观测性革命

原作者&#xff1a;天颇 原出处&#xff1a;微信公众号 乘云数字DATABUFF 原文地址&#xff1a;https://mp.weixin.qq.com/s/D_f31EBtLu7Rr0gahuF-bw 引言 在当今快节奏的软件开发和运维环境中&#xff0c;DevOps 已经成为主流&#xff0c;它通过整合开发和运维流程&#xff0…

计算机视觉算法——基于深度学习的高精地图算法(MapTRv2 / PivotNet / BeMapNet)

计算机视觉算法——基于深度学习的高精地图算法&#xff08;MapTRv2 / PivotNet / BeMapNet&#xff09; 计算机视觉算法——基于深度学习的高精地图算法&#xff08;MapTRv2 / PivotNet / BeMapNet&#xff09;1. MapTRv21.1 网络结构及特点1.2 Decoupled Self-Attention1.3 O…

nodejs21: 快速构建自定义设计样式Tailwind CSS

Tailwind CSS 是一个功能强大的低级 CSS 框架&#xff0c;只需书写 HTML 代码&#xff0c;无需书写 CSS&#xff0c;即可快速构建美观的网站。 1. 安装 Tailwind CSS React 项目中安装 Tailwind CSS&#xff1a; 1.1 安装 Tailwind CSS 和相关依赖 安装 Tailwind CSS: npm…

《Python网络安全项目实战》项目6 编写密码工具程序

《Python网络安全项目实战》项目6 编写密码工具程序 项目6 编写密码工具程序任务6.1 猜数字游戏任务描述任务分析任务实施6.1.1 编写基本的猜数字程序 6.1.2 为猜数字程序加入连续猜数的功能6.1.3 测试并修改程序6.1.4 给程序增加注释 任务拓展 任务6.2 编写密码工具程序任务描…

MATLAB蒙特卡洛仿真计算投资组合的VaR(Value at Risk )

1. 计算VaR简介 VaR&#xff08;Value at Risk&#xff09;&#xff0c;一般被称为“风险价值”或“在险价值”&#xff0c;是指在一定的置信水平下&#xff0c;某一金融资产&#xff08;或证券组合&#xff09;在未来特定的一段时间内的最大可能损失。VaR提供了一个具体的数值…

【linux学习指南】VSCode部署Ubantu云服务器,与Xshell进行本地通信文件编写

文章目录 &#x1f4dd;前言&#x1f320; 步骤&#x1f309;测试同步 &#x1f6a9;总结 &#x1f4dd;前言 本文目的是讲使用Vscode连接Ubantu,与本地Xshell建立通信同步文件编写。 查看本机系统相关信息&#xff1a; cat /etc/lsb*DISTRIB_IDUbuntu: 表示这是 Ubuntu 发行…

stm32下的ADC转换(江科协 HAL版)

十二. ADC采样 文章目录 十二. ADC采样12.1 ADC的采样原理12.2 STM32的采样基本过程1.引脚与GPIO端口的对应关系2.ADC规则组的四种转换模式(**)2.2 关于转换模式与配置之间的关系 12.3 ADC的时钟12.4 代码实现(ADC单通道 & ADC多通道)1. 单通道采样2. 多通道采样 19.ADC模数…

DockerFile与容器构建技术

一、 Docker架构 二、容器镜像分类 操作系统类 CentOSUbuntu在dockerhub下载或自行制作 应用类 TomcatNginxMySQLRedis 三、容器镜像获取的方法 主要有以下几种&#xff1a; 1、在DockerHub直接下载 2、把操作系统中文件系统打包为容器镜像 3、把正在运行的容器打包为容器镜…

分布式数据库中间件可以用在哪些场景呢

在数字化转型的浪潮中&#xff0c;企业面临着海量数据的存储、管理和分析挑战。华为云分布式数据库中间件&#xff08;DDM&#xff09;作为一款高效的数据管理解决方案&#xff0c;致力于帮助企业在多个场景中实现数据的高效管理和应用&#xff0c;提升业务效率和用户体验。九河…