网络产品安全培训教材

3
1.网络产品安全是指保护产品、解决方案和服务的可用性、完整性、机密性、可追溯 性和抗攻击性，及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观 信息流动。
政府 国家安全
网络运营 商
网络安全 network
网络设备 商
产品、方案 安全
网络安全 Cyber
Security
用户 个人数据 隐私安全
木马、网络钓鱼、垃圾邮 件、间谍软件等
拒绝服务类
以攻瘫目标为目的，即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段 之一。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议 本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法
病毒、蠕虫、DDOS、僵 尸网络
远程控制类 所段地谓，计远连算程通机控需对制被远，控方是制计指的算管计机理算进人机行员，配在 将 置异被、地控软通计件过算安计机装算的程机桌序网面、络环修异境改地显等拨示工号到作或自，双己可方的以都计进接算行入机任上何Int，危er通险ne过操t等本作手。木AP马T 、间谍软件、病毒、
物料供应 商
产品安全
误区1: 网络安全 = 信息安全 误区2: 网络产品安全 =物理和人身安全 误区3: 网络产品安全 =质量
2.是指网络系统的硬件、软件以及系统 中的数据信息资产受到保护，防止由恶 意行为直接或间接引起的网络阻塞、中 断、瘫痪或者非法控制，以及防止网络 中传输、存储、处理的数据信息丢失、 泄露或者被篡改，保护资产的机密性、 完整性、可用性、抗抵赖性、真实性和 可控性。
网络产品安全
1
反应堆已封项，马 上可以发电了
哈哈！我叫震网，
布什尔核电站
我来了
2010年9月，
伊朗核设施
突遭来源不
明的网络病
毒攻击，纳
坦兹离心浓
缩厂的上千 台离心机报 废
2015年2月27日江苏省公安 厅紧急通知由于海康威视监控设 备存在巨大安全隐患，部分设备
已被境外IP控制，要求对海康监
控设备进行全面清查。
序号 1 2 3
网络安全关键岗位 来料检验员（IQC）（存储类） 测试工艺工程师(生产软件管理(含技术员)) 制造IT工程师(软件服务器与测试网络管理(含技术员))
4 软件烧录员 5 手工测试员（含无线模块测试、FT及整机测试） 6 物料员（贵重物料管理）(POC直发)
7
各中心/部门开出调动通知单，调动人员办理工作交接（ 涉及到原岗位的网络产品安全的密码或权限需得到妥善处 理，并至少提前3天签署网络产品安全承诺书接受脱密期 管理)。到调入单位报到。
5
三、网络安全基本概念-关键部件
软件及可存储软件的载体包括但不限于硬盘、SD卡、CF卡、 U盘、磁带、Flash。
产品类别
网络安全关键物料
主要涉及产品
IT 类
便携机(ITEM0234、0614、9904类等)、 工控机、台式机、工作站、PC服务器、小型机
计算机配件 (06类)
独立硬盘(ITEM0621、0623、0641、0643、9703类等) U盘、CF卡、SD卡、闪存卡(ITEM0601类等
警示一、弱密码不可取，未修改初始密码更易被攻击 警示二、系统的相对封闭是系统安全运行的首要保障
2
一、网络安全业界事件及形势—常见的威胁
APT
病毒
黑客
蠕虫
客户网络承载数
木马 D-DOS
垃圾邮件
类别Βιβλιοθήκη 间谍软件网络钓鱼僵尸网络
目的及威胁
主要攻击方式
信息窃取类
主要以盗取机密信息、个人数据、敏感数据为目的，隐蔽性强，威胁国家保密信息、公 司商业机密，个人隐私数据等，对于被攻击目标危害极大。
序号 类型 保障目标
红线要求
生产过程中须按研发软件发布发行流程获取软件（包括第三方软件），并依
1
据SOD原则对下载的软件进行完整性校验，确保获得的软件与研发发布的一
致。
2
防篡改
在订单交付时须按订单生成对应的License，并确保License的生成、激活、使 保护产品 用的客户、地点、功能是与订单一致且是唯一的。
防植入 的完整性 在产品发货前须按研发要求关闭生产测试端口，禁止产品中存在非指定发货
3
软件；仅可以出于维修和检测目的在工厂特定的设备上打开，并在维修、检
测结束后须再关闭。
4
对逆向返回到各供应中心的物料和产品，在再利用前须重新加载软件并测试， 测试合格后方可再进入供应环节。
5
防伪造
保护产品 须确保网络安全关键部件的真实性，禁止使用来源不明的网络安全关键部件 的真实性 或者已知的伪造品进行生产和发货。
机密性（Confidentiality） 指只有授权用户可以获取 信息
完整性（Integrality）指 信息在输入和传输的过程 中，不被非法授权修改和 破坏，保证数据的一致性
抗攻击性
•系统或设备遭受攻击时，具体一定的防护 •能力。
可追溯性
•确保实体行动或信息流动可被追踪。
可用性（Availability）指 保证合法用户对信息和资 源的使用不会被不正当地 拒绝。
涉及到网络产品安全的人员离职至少需提前3天交接工作 ，至少提前3天签署离职保密承诺书接受脱密期管理。本 期间由用人主管部门和人事部进行保密监管，确保及时收 回关键信息，停掉所有权限。
同时为了公司的信息安全，相关人员离职后需将其邮箱及 mantis帐户删除。
8
网络安全红线来源于政府要求、法律法规、客户要求以及业界规范等，其目 标是保障产品在供应环节的完整性、真实性及对客户数据的保护.
软件类
操作系统类软件(ITEM0515、0520类等)、 办公软件(ITEM0530类等)、
网络服务器软件(ITEM0528类等) 软件License(ITEM0505类) ……
核心是“软件”——软件、可存储软件的硬件
6
【网络安全关键岗位】：网络安全关键岗位是指各业务流程 和活动中可能利用职务之便植入、篡改、处理客户产品、网 络信息、客户网络中所承载的客户或用户的通信内容、个人 数据及隐私，对网络安全会产生重大影响或后果的岗位
4
网络安全五个特性
业界网络安全三性 CIA
机密性 完整性 可用性
•确保信息在存储、使用、传输过程中不会泄漏给非授 权用户或实体。
•确保信息在存储、使用、传输过程中不会被非授权用 户篡改，同时还要防止授权用户对系统及信息进行不恰 当的篡改，保持信息内、外部表示的一致性。
•确保授权用户或实体对信息及资源的正常使用不会被 异常拒绝，允许其可靠而及时地访问信息及资源。