《網絡風險及網絡安全》培訓總結

《網絡風險及網絡安全》培訓總結

2019年7月3日我有幸參加了中國保險協會組織的《網絡風險及網絡安全》培訓班，對公司和部門領導給與的本次培訓機會，我很是珍惜，始終以培訓要求的標準對照本身，嚴格要求本身，積極參加培訓學習及課間討論活動，雖然學習的時間很是有限，但此次培訓活動給個人收穫是無限的。

1、培訓課程內容簡介：

首先介紹一下本次培訓的三天課程內容：

DAY1：

一、金融服務中的網絡風險識別：網絡風險定義，這些年發生的網絡風險事件，金融服務行業應對網絡風險所作的努力；

二、網絡風險≠網絡安全：網絡安全作什麼？美國白宮聯邦網絡安全報告解讀，網絡風險與網絡安全之間的區別與聯繫，爲何咱們愈來愈關注網絡風險？

三、網絡及技術帶來的機遇與挑戰：新的工做方式帶來的機遇與挑戰（BYOD），大數據、雲計算、人工智能、區塊鏈的應用安全；

四、如何解決安全、效率與投入的平衡：如何解決信息系統安全、效率與投入的衝突，DevSecOpsde概念及實施。

DAY2：

監管要求：不一樣國家信息安全監管要求對比，SOX、Basel II、GDPR以及監控科技的興起；

行業標準和最佳實踐：ISO2700一、COBIT 201九、PCI-DSS、COSO、NIST SP800、加拿大PIPEDA。

DAY3：

創建網絡風險管理框架

如何開展風險評估和風險識別：如何制定風險評估計劃，誰來執行風險評估？風險評估的方法和工具；

網絡風險應對與緩釋：是否是全部的風險都要處置？如何看到風險的潛在影響和損失？風險應對方法和成本考慮；

課堂總結：中美網絡風險管理差別。

 

本次培訓的內容多、涵蓋面廣，本次總結報告我將重點側重於企業中所面臨的通常網絡安全問題進行分析和總結，同時對網路風險安全防禦手段的滲透測試工做進行簡要的介紹和說明，其餘方面的內容，若是有興趣的同事或者須要能夠從本次培訓的培訓課件上進行查找，若是有感興趣的內容我將後期進行補充交流。

2、企業所面臨的常見網絡安全問題

經過本次培訓瞭解企業所面臨的的常見網絡安全問題及處置手段，「信息安全」是保證IT在企業內穩定運行的基礎與重要屏障。隨着信息系統在企業內部日趨完善與集中，信息安全對企業正常經營而言愈加重要。

一、內網安全

內網安全是信息安全的重要組成部分，歷年頻發的內網安全事件使得企業對其備受重視。這與企業內部信息化的建設使得內網問題不斷演化不無關係。內網安全問題一直在演化，早期內網安全產品主要以桌面防禦爲主，主要是經過鏈接控制、補丁分發、設備加密等手段保證安全。當內網安全產品相對成熟，文檔加密、安全管理、主機監控與審計、移動存儲介質管理、網絡准入控制等技術產品隨着企業信息化發展，相繼在內網安全領域走熱。信息安全管理員強調內網安全的核心在於技術手段與管理舉措的完備結合。合理的體制制度及有效執行，是企業保證長治的必須手段。

二、數據保密

企業的核心競爭力將更多地源自技術發明、專利、創新等"軟資產"，隨着信息系統應用的普及，這些「軟資產」體現爲大量的電子文檔。在平常工做中，須要數十甚至數百位員工協同工做，不可避免地須要涉及機密電子文檔，如何很好地保護這些重要資料，作到數據保密成爲擺在企業信息安全面前的一個難題。信息技術部的信息安全管理一方面協調完善各類保密制度，利用法律，法規保護本身的專業信息，一方面利用切實可行的及時收到從根本上防止泄密事件的發送。如部署防火牆、DLP設備等網絡安全設備，同時針對我的PC用戶封閉全部USB功能，安裝加密軟件等。

三、災備管理

對於信息安全管理員來講，數據安全是其生命線。爲此不管企業有錢仍是沒錢，信息安全管理員都不可以忽視數據的安全。那麼信息安全管理員採起什麼樣方式來保護數據的安全？數據備份爲例，企業最好部署一些基於數據庫的應用，不讓病毒或者木馬在企業中藏身，自動備份文件，以提升提升數據安全性。

四、系統安全

訪問隨着移動存儲技術及商務模式的發展，選擇遠程辦公的人愈來愈多。公司對員工移動辦公、遠程接入總部內網辦公的需求愈來愈強，特別是WLAN技術、無線技術的發展更加重了這種趨勢。如何確保企業系統安全訪問，成爲IT管理者面臨的重大挑戰。信息安全管理員能夠選擇創建的安全可靠遠程接入訪問機制，構建專業的業務局域網及子網，這樣駐外人員、移動辦公人員、第三方合做夥伴及客戶，能夠憑藉合法精確的訪問權限，訪問本身能訪問的特定服務器與業務系統，進一步加快並優化本身的業務流程。

五、數據隱私

不少信息安全管理員看待「隱私權」的感受，就跟有些人想到減肥，就感到末日來臨同樣。對於有些行業，例如保健事業-病人的隱私權是最重要，但除了這些法規明確規範的行業之外，隱私權問題對信息安全管理員來講，只是安全防禦遭受破壞時的必然結果，比方弄丟一臺存儲數百萬人記錄的筆記本電腦，或者被黑客入侵竊取顧客的數據。不過如今的不少信息安全管理員要不就是隻注意技術，要不就是認爲隱私權不在他們的職責範圍內，而是隱私權主管或安所有門主管的責任。其實這是個錯誤觀念。

六、網絡威脅

間諜軟件、網遊木馬、流氓軟件、IM通信病毒、病毒郵件、銀行釣魚和蠕蟲病毒的不斷出現，網絡安全威脅成爲企業信息安全管理員最爲頭疼和最爲棘手的問題。俗話說："道高一尺，魔高一丈"，信息安全管理員期望經過一勞永逸解決全部安全問題是不可能的。提升安全意識，增強平常管理，補缺網絡系統中的「短板」，纔能有效避免風險的發生。

七、安全預算

信息安全管理員要力爭並確保足夠資金投資於IT系統的安全項目。密切關注公司要爲網絡安全劃撥必定金額的預算，以承擔安全成本，例如防病毒軟件、防火牆服務器、加密軟件、入侵檢測系統、集中安全管理等成本。公司高層主管有時會認爲信息安全管理員對網絡安全過於大驚小怪。但信息安全管理員很清楚的清醒認識到：相當重要的計算機設施出現安全問題形成嚴重損害的故障只是個時間問題。擔心有人對公司的網絡構成危害的心態必須時刻保持，謹小慎微對生存而言絕對必要。

八、雲計算安全

愈來愈多的信息安全管理員期待在公司內部的雲計算數據中心環境下創建一個虛擬化的環境，而且這將是一個更安全的選擇。由於，在公共雲環境中進行交易的安全性是使人擔心的，以及關於在公共雲服務時可能出現的停機時間和表現欠佳也是使人擔心的，這些擔心都引發了信息安全管理員們的警戒。相信將來私有云部署會愈來愈多。

九、安全教育

人們廣泛認爲IT信息安全只是IT部門的事情。事實上全部的員工都會是IT信息安全的威脅。大多數的員工都會在流動時或多或少的將企業的重要資料外帶，主因是大多數員工對其行爲的危險性不覺得然，或是根本就不瞭解公司的IT信息安全策略，或是不清楚哪些資料在人員流動時不能外泄和外帶。所以，在人員愈來愈流動的今天，信息安全管理員必定要增強員工IT信息安全教育，有效的作法是要給員工進行相關培訓，告知員工哪些資料是機密資料應該要慎重處理。

十、安全管理

企業信息化建設的展開，企業業務與IT系統的鏈接日漸緊密，使得網絡安全成爲諸多企業的嚴峻問題。安全體系的創建，涉及到管理和技術兩個層面，而管理層面的體系建設是首當其衝的。當前不少企業沒有養成主動維護系統安全的習慣，同時也缺少安全方面良好的管理機制。對於合格的信息安全管理員來講，保證網絡系統安全的第一步，首先要作到重視安全管理，絕對不能坐等問題出現，才撲上去「救火"。

3、網絡安全之滲透測試工做相關

企業在安全上投入了巨大的精力和資金，但有每每會產生這樣的感覺：當基本的軟硬件設施配置好以後，安全防衛水平就到了一個相對的瓶頸，再加大投入並不能明顯提升安全水平。實際上，這種「安全玻璃天花板」在不少行業和企業中都存在，伴隨着安全行業的發展和管理人員安全意識的提升，以滲透測試爲表明的「安全服務」正在獲得更多的承認。

滲透測試的目的？

1. 信息安全等級保護的要求

2015年12月28日，銀監會等部門發佈的《網絡借貸信息中介機構業務活動管理暫行辦法(徵求意見稿)》中明確要求：「網絡借貸信息中介機構應按照國家網絡安全相關規定和國家信息安全等級保護制度的要求，開展信息系統定級備案和等級測試。」信息安全等級保護是由等級測評機構依據國家信息安全等級保護制度規定，按照管理規範和技術標準，對信息系統安全等級保護情況進行檢測評估的活動。值得關注的是，在信息安全風險評估中，滲透測試是一種經常使用且很是重要的手段。

2.滲透測試助力PCI DSS合規建設

在PCI DSS（Payment Card Industry Security Standards Council支付卡行業安全標準委員會）第 11.3中有這樣的要求：至少每一年或者在基礎架構或應用程序有任何重大升級或修改後（例如操做系統升級、環境中添加子網絡或環境中添加網絡服務器）都須要執行內部和外部基於應用層和網絡層的滲透測試。

3.ISO27001認證的基線要求

ISO27001 附錄「A12信息系統開發、獲取和維護」的要求，創建了軟件安全開發週期，而且特別提出應在上線前參照例如OWASP標準進行額外的滲透測試 。

4.銀監會多項監管指引中要求

依據銀監會頒發的多項監管指引中明確要求，對銀行的安全策略、內控制度、風險管理、系統安全等方面須要進行的滲透測試和管控能力的考察與評價。

網站爲何要作滲透測試？除了知足政策的合規性要求、提升客戶的操做安全性或知足業務合做夥伴的要求。最終的目標應該是最大限度地減少業務風險。企業須要儘量多地進行滲透測試，以保持安全風險在可控制的範圍內。

網站開發過程當中，會發生不少難以控制、難以發現的隱形安全問題，當這些大量的瑕疵暴露於外部網絡環境中的時候，就產生了信息安全威脅。這個問題，企業能夠經過按期的滲透測試進行有效防範，早發現、早解決。通過專業滲透人員測試加固後的系統會變得更加穩定、安全，測試後的報告能夠幫助管理人員進行更好的項目決策，同時證實增長安全預算的必要性，並將安全問題傳達到高級管理層。

如何經過滲透測試進行安全評估？

滲透測試是由專業安全人員徹底模擬入侵者所用的常見手段對測試目標發起模擬入侵的過程。整個過程的目的在於經過利用各類已知漏洞識別手段充分挖掘網絡層、系統層、應用層乃至業務邏輯層中可能存在且被利用的潛在威脅點。在不影響業務系統正常運行的狀況下，發現系統最脆弱的環節，讓管理人員最直觀的看到系統面臨的安全威脅。

滲透測試是如何操做的？

許多企業管理人員有個誤區，認爲滲透測試只是經過自動化的工具進行檢測、處理生成的報告，因此費用成本是能夠很低去控制的，其實否則。成功的滲透測試報告中安全工具的佔比僅僅是一部分，成功的部分更多的是依靠專業的人工、雙向的思惟及豐富的經驗。

 

滲透測試與安全檢測的區別？

滲透測試不一樣於傳統的安全掃描，在總體風險評估框架中，脆弱性與安全掃描的關係可描述爲「承上」，即如上面所講，是對掃描結果的一種驗證和補充。另外，滲透測試相對傳統安全掃描的最大差別在於滲透測試須要大量的人工介入的工做。這些工做主要由專業安全人員發起，一方面，他們利用本身的專業知識，對掃描結果進行深刻的分析和判斷。另外一方面則是根據他們的經驗，對掃描器沒法發現的、隱藏較深的安全問題進行手工的檢查和測試，從而作出更爲精確的驗證（或模擬入侵）行爲。

4、培訓總結及心得體會

現在，培訓已告一段落，經過培訓了豐富了本身的網絡安全知識體系架構，經過培訓老師的講解，同業夥伴的分組討論，這些都讓我收穫頗豐！同時也讓我反思了以前本身對信息及網絡風險安全管理的相關工做，須要學習與改進的地方還有不少。所以，在從此的工做中，我將時刻牢記本身的職責，積極主動的瞭解信息安全領域的相關知識，豐富和鞏固本身的網絡安全體系知識架構，注意發揮帶頭做用，幫忙其餘同事提升信息及網絡風險安全意識。積極參與各級各種信息安全活動，虛心向同行學習、請教。不斷提升本身的業務知識水平，爲公司信息安全建設貢獻本身的一份力量。

 

                                              總結人：羅小川

日期：2019年7月10日