網(wǎng)絡(luò)安全防護(hù)講座課件

網(wǎng)絡(luò)安全

講千百次不如打一次CONTENTS從網(wǎng)絡(luò)實(shí)戰(zhàn)攻防角度探索網(wǎng)絡(luò)攻擊通過實(shí)戰(zhàn)攻防，看真實(shí)安全狀態(tài)面對(duì)實(shí)戰(zhàn)攻防，協(xié)同防守應(yīng)如何開展以運(yùn)營(yíng)角度看網(wǎng)絡(luò)安全防護(hù)CONTENTS從網(wǎng)絡(luò)實(shí)戰(zhàn)攻防角度探索黑客攻擊1門戶網(wǎng)站郵件系統(tǒng)線上教育類系統(tǒng)等保三級(jí)及以上系統(tǒng)攻擊目標(biāo)單位及系統(tǒng)的選擇網(wǎng)絡(luò)攻擊的目的攻破業(yè)務(wù)系統(tǒng)安全防御不限攻擊路徑，不限攻擊手段以提權(quán)、控制業(yè)務(wù)、獲取數(shù)據(jù)為最終目的旁站攻擊暴力破解WEB滲透郵箱滲透內(nèi)網(wǎng)攻擊……實(shí)戰(zhàn)攻擊中的“助推劑”內(nèi)網(wǎng)弱口令現(xiàn)象嚴(yán)重存在大量未修復(fù)的已知漏洞內(nèi)網(wǎng)APT攻擊毫無感知外網(wǎng)的0Day攻擊毫無應(yīng)對(duì)能力威脅情報(bào)未形成共享重大安全事件尚未形成應(yīng)對(duì)能力攻擊分析手段不足固證溯源能力不強(qiáng)受攻擊面威脅分析響應(yīng)處置威脅發(fā)現(xiàn)6CONTENTS通過實(shí)戰(zhàn)攻防，看真實(shí)安全狀態(tài)2什么是高級(jí)持續(xù)威脅（APT攻擊）APT攻擊一般會(huì)針對(duì)目標(biāo)系統(tǒng)、人員、軟件、硬件和設(shè)備同時(shí)執(zhí)行的多角度、混合、持續(xù)性的攻擊；實(shí)現(xiàn)系統(tǒng)提權(quán)、控制業(yè)務(wù)、獲取數(shù)據(jù)等目標(biāo)，來發(fā)現(xiàn)系統(tǒng)、技術(shù)、人員和基礎(chǔ)架構(gòu)中存在的網(wǎng)絡(luò)安全隱患或薄弱環(huán)節(jié)。APT組織人員并不是一般意義上的電腦黑客，其需要的是全面的攻防能力，而不僅僅是一兩招很牛的黑客技術(shù)。一支攻擊隊(duì)人員一般由3人組成，設(shè)立一名隊(duì)長(zhǎng)。其他2人則分別在情報(bào)收集、打點(diǎn)、內(nèi)網(wǎng)等方面有所專長(zhǎng)。攻擊隊(duì)人員分工明確、配合默契，具備在實(shí)戰(zhàn)中指哪打哪的能力。APT組織成員分工明確

情報(bào)收集、打點(diǎn)能力、建立據(jù)點(diǎn)、搭建隧道等方面能力內(nèi)網(wǎng)滲透、橫向移動(dòng)、域滲透等方面能力隊(duì)長(zhǎng)APT組織中的能力較強(qiáng)者，在打點(diǎn)或內(nèi)網(wǎng)滲透具備高超的能力水平，有很強(qiáng)的組織意識(shí)，能夠在攻擊隊(duì)工作中因地制宜、審時(shí)度勢(shì)、隨機(jī)應(yīng)變。隊(duì)員隊(duì)員網(wǎng)絡(luò)攻擊“三板斧”情報(bào)收集建立據(jù)點(diǎn)橫向移動(dòng)11情報(bào)收集組織架構(gòu)：?jiǎn)挝徊块T劃分、人員信息、工作職能、下屬單位等IT資產(chǎn)：域名、IP地址、C段、開放端口、運(yùn)行服務(wù)、WEB中間件、WEB應(yīng)用、移動(dòng)應(yīng)用、網(wǎng)絡(luò)架構(gòu)等敏感信息泄露：代碼泄露、文檔信息泄露、郵箱信息泄露、歷史漏洞泄露信息等方面供應(yīng)商信息：相關(guān)合同、系統(tǒng)、軟件、硬件、代碼、服務(wù)、人員等相關(guān)信息建立據(jù)點(diǎn)——通用漏洞WeblogicWebsphereJbossTomcatjetty中間件漏洞CMS系統(tǒng)開發(fā)框架、組件Struts2ThinkphpSpringShirofastjsonjeecmswordpressdrupalTrswcmhanwebphpcmsDiscuzDedecms在找到薄弱環(huán)節(jié)后，攻擊者專家會(huì)嘗試?yán)寐┒椿蛏绻さ确椒ㄈカ@取外網(wǎng)系統(tǒng)控制權(quán)限，一般稱之為“打點(diǎn)”或撕口子橫向移動(dòng)——建立隧道目標(biāo)可連通外網(wǎng)目標(biāo)服務(wù)器不能連通外網(wǎng)可直接訪問目標(biāo)機(jī)器反向隧道FRPEwsocksCobalt

strike其他正向http隧道reGeorgreDuh自研隧道其他正向隧道VPNSSH隧道Sock5代理其他14攻擊隊(duì)套路——常用的攻擊戰(zhàn)術(shù)利用弱口令獲得權(quán)限利用社工來進(jìn)入內(nèi)網(wǎng)利用旁路攻擊實(shí)施滲透秘密滲透與多點(diǎn)潛伏弱密碼、默認(rèn)密碼、通用密碼和已泄露密碼通常是攻擊者專家們關(guān)注的重點(diǎn)。實(shí)際工作中，通過脆弱口令獲得權(quán)限的情況占據(jù)90%以上。有很多管理員為了管理方便，用同一套密碼管理不同服務(wù)器。當(dāng)一臺(tái)服務(wù)器被攻陷并竊取到密碼后，進(jìn)而可以擴(kuò)展至多臺(tái)服務(wù)器甚至造成域控制器淪陷的風(fēng)險(xiǎn)。計(jì)算機(jī)“從來”不會(huì)犯錯(cuò)誤，程序怎么寫，邏輯便怎么執(zhí)行；在一臺(tái)計(jì)算機(jī)上怎樣執(zhí)行，在另外一臺(tái)計(jì)算機(jī)也同樣執(zhí)行,很多情況下，當(dāng)攻擊者專家發(fā)現(xiàn)搞系統(tǒng)困難時(shí)，通常會(huì)把思路轉(zhuǎn)到“搞人”（社工、釣魚等）防守工作中，有時(shí)總部的網(wǎng)站防守得較為嚴(yán)密，網(wǎng)絡(luò)攻擊很難直面硬鋼，撬開進(jìn)入內(nèi)網(wǎng)的大門。此種情況下，通常不會(huì)去硬攻城門，而是會(huì)想方設(shè)法去找“下水道”，或者挖地道去迂回進(jìn)攻。在工作中，通常不會(huì)僅僅站在一個(gè)據(jù)點(diǎn)上去開展?jié)B透工作，而是會(huì)采取不同的Webshell、后門，利用不同的協(xié)議來建立不同特征的據(jù)點(diǎn)。攻擊隊(duì)三十六計(jì)——經(jīng)典攻擊實(shí)例渾水摸魚——社工釣魚突破系統(tǒng)聲東擊西——混淆流量躲避偵察順手牽羊——巧妙種馬實(shí)施控制李代桃僵——旁路攻擊搞定目標(biāo)暗度陳倉(cāng)——迂回滲透取得突破渾水摸魚--社工釣魚突破系統(tǒng)

背景：網(wǎng)絡(luò)攻擊團(tuán)隊(duì)接到這樣一個(gè)工作目標(biāo)：某單位的學(xué)籍管理系統(tǒng)。通過前期踩點(diǎn)和信息收集發(fā)現(xiàn)，目標(biāo)單位外網(wǎng)開放系統(tǒng)非常少，也沒啥可利用的漏洞，很難通過打點(diǎn)的方式進(jìn)入到內(nèi)網(wǎng)。不過還是讓他們通過網(wǎng)上搜索以及一些開源社工庫(kù)中收集到一批目標(biāo)單位的工作人員郵箱列表，通過爆破獲取了郵箱內(nèi)容，并釣魚偽裝成內(nèi)部人員群發(fā)了帶有木馬的郵件；有部分人員點(diǎn)擊打開了郵件，繼而使被控制了郵箱，并采用渾水摸魚不斷地獲取更多的郵箱權(quán)限、系統(tǒng)權(quán)限，根據(jù)目標(biāo)角色針對(duì)性設(shè)計(jì)釣魚郵件，最終成功拿下目標(biāo)！攻擊過程：弱口令獲取郵箱賬號(hào)權(quán)限通過對(duì)該賬號(hào)歷史發(fā)送郵件篩選改造添加“附件”再發(fā)送有針對(duì)性的發(fā)送郵件給內(nèi)部其他人員收件人打開郵件“附件”，控制更多郵箱權(quán)限通過不斷地獲取更多的郵箱權(quán)限、系統(tǒng)權(quán)限，根據(jù)目標(biāo)角色針對(duì)性設(shè)計(jì)釣魚郵件，小D最終成功拿下目標(biāo)聲東擊西--混淆視聽躲避偵察

背景：小Y和所帶領(lǐng)的團(tuán)隊(duì)就遭遇了這么一次：剛剛創(chuàng)建的跳板幾個(gè)小時(shí)內(nèi)就被阻斷了；剛剛上傳的Webshell過不了幾個(gè)小時(shí)就被查殺了。攻擊打到哪兒，防守單位就根據(jù)流量威脅審計(jì)跟到哪，不厭其煩，團(tuán)隊(duì)始終在目標(biāo)的外圍打轉(zhuǎn)。沒有一個(gè)可以維持的據(jù)點(diǎn)，就沒辦法進(jìn)一步開展內(nèi)網(wǎng)突破。小Y和團(tuán)隊(duì)分析審計(jì)設(shè)備的缺點(diǎn)及對(duì)方?jīng)]有專業(yè)運(yùn)營(yíng)人員的缺點(diǎn)，制定了一套聲東擊西的攻擊方案。攻擊過程：多線開戰(zhàn)，吸引火力側(cè)面攻擊，直取重要權(quán)限滲透內(nèi)網(wǎng)，建立多個(gè)據(jù)點(diǎn)橫向滲透，鞏固權(quán)限，備份通道隱藏蹤跡深度潛伏暗渡陳倉(cāng)--迂回滲透取得突破背景：網(wǎng)絡(luò)安全建設(shè)較為完善的客戶，通常都會(huì)嚴(yán)防死守、嚴(yán)陣以待，時(shí)時(shí)刻刻盯著從外網(wǎng)進(jìn)來的所有流量，不管你攻還是不攻，他們始終堅(jiān)守在那里。發(fā)現(xiàn)有可疑IP立即成段成段地封堵，一點(diǎn)機(jī)會(huì)都不留。此時(shí)，從正面硬剛顯然不劃算，攻擊者一般會(huì)采取暗度陳倉(cāng)的方式，繞過防守線，從其他沒有防守的地方去開展迂回攻擊，小M這回遇到的就是這樣一個(gè)攻擊目標(biāo)；小M團(tuán)隊(duì)在確定攻擊目標(biāo)后，對(duì)目標(biāo)企業(yè)的域名、ip段、端口、業(yè)務(wù)等信息進(jìn)行收集，并對(duì)可能存在漏洞目標(biāo)進(jìn)行嘗試性攻擊。結(jié)果發(fā)現(xiàn)大多數(shù)目標(biāo)要么是都已關(guān)閉，要么是使用高強(qiáng)度的防護(hù)設(shè)備。在沒有0day且時(shí)間有限情況下，小M決定放棄正面突破，采取暗度陳倉(cāng)策略。通過天眼查網(wǎng)站，小M了解到整個(gè)公司的子公司及附屬業(yè)務(wù)分布情況，目標(biāo)業(yè)務(wù)覆蓋了香港、臺(tái)灣、韓國(guó)、法國(guó)等地，其中香港包涵業(yè)務(wù)相對(duì)較多，極大可能有互相傳送數(shù)據(jù)及辦公協(xié)同的內(nèi)網(wǎng)，故決定選擇從香港作為切入點(diǎn)。攻擊過程：外圍信息采集，確定攻擊策略發(fā)現(xiàn)企業(yè)架構(gòu)，確定分支突破點(diǎn)利用分支與目標(biāo)聯(lián)系，向上滲透；橫向滲透，獲取目標(biāo)權(quán)限獲取價(jià)值數(shù)據(jù)攻擊者眼中的防守弱點(diǎn)資產(chǎn)混亂，隔離策略不嚴(yán)格通用中間件未修復(fù)漏洞太多邊界設(shè)備成為進(jìn)入內(nèi)網(wǎng)的缺口內(nèi)網(wǎng)管理設(shè)備成擴(kuò)大戰(zhàn)果突破點(diǎn)很多客戶對(duì)自身資產(chǎn)情況比較混亂，沒有嚴(yán)格的訪問控制（ACL）策略，且辦公網(wǎng)和互聯(lián)網(wǎng)之間大部分相通，可以直接使遠(yuǎn)程控制程序上線。幾乎所有行業(yè)的下級(jí)單位和上級(jí)單位的業(yè)務(wù)網(wǎng)都可以無策略控制完全互通，攻擊者往往可以輕易地實(shí)現(xiàn)實(shí)施從子公司入侵母公司，從一個(gè)部門入侵其他部門的策略。通過中間件來看，Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。Weblogic應(yīng)用比較廣泛，因存在反序列化漏洞，所以常常會(huì)被作為打點(diǎn)和內(nèi)網(wǎng)滲透的突破點(diǎn)從邊界設(shè)備來看，大部分行業(yè)都會(huì)搭建VPN設(shè)備，可以利用VPN設(shè)備的一些SQL注入、加賬號(hào)、遠(yuǎn)程命令執(zhí)行等漏洞開展攻擊，亦可以采取釣魚、爆破、弱口令等方式來取得賬號(hào)權(quán)限，最終繞過外網(wǎng)打點(diǎn)環(huán)節(jié)，直接接入內(nèi)網(wǎng)實(shí)施橫向滲透。從內(nèi)網(wǎng)系統(tǒng)和防護(hù)設(shè)備來看，大部分行業(yè)都有堡壘機(jī)、自動(dòng)化運(yùn)維、虛擬化、郵件系統(tǒng)和域環(huán)境，雖然這些是安全防護(hù)的集中管理設(shè)備，但往往由于缺乏定期的維護(hù)升級(jí)，反而都可以作為開展權(quán)限擴(kuò)大的突破點(diǎn)。CONTENTS面對(duì)實(shí)戰(zhàn)攻防，協(xié)同防守應(yīng)如何開展3防守工作“三步走”備戰(zhàn)階段-不打無準(zhǔn)備之仗實(shí)戰(zhàn)階段-全面監(jiān)測(cè)及處置戰(zhàn)后整頓-實(shí)戰(zhàn)之后的改進(jìn)備戰(zhàn)階段——不打無準(zhǔn)備之仗首先充分地了解自身安全防護(hù)狀況與存在的不足技術(shù)方面：及時(shí)發(fā)現(xiàn)安全隱患和薄弱環(huán)節(jié)，有針對(duì)性地開展自查工作，進(jìn)行安全整改加固管理方面：建立合理的安全組織架構(gòu)、建立有效的工作溝通機(jī)制運(yùn)營(yíng)方面：成立防護(hù)工作組并明確工作職責(zé)，責(zé)任到人系統(tǒng)資產(chǎn)梳理安全基線檢查網(wǎng)絡(luò)安全策略檢查Web安全檢測(cè)關(guān)鍵網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢查安全措施梳理和完善、應(yīng)急預(yù)案完善與演練等組織架構(gòu)：明確工作職責(zé)具體工作小組：針對(duì)性地制定工作計(jì)劃、技術(shù)方案、工作內(nèi)容，責(zé)任到人，明確到位實(shí)時(shí)作戰(zhàn)指揮群：實(shí)現(xiàn)快速、有效的工作溝通和信息傳遞開展并落實(shí)技術(shù)檢查、整改和安全監(jiān)測(cè)、預(yù)警、分析、驗(yàn)證和處置等運(yùn)營(yíng)工作，加強(qiáng)安全防護(hù)工作必須以監(jiān)測(cè)發(fā)現(xiàn)安全威脅、漏洞隱患為前提全流量安全威脅檢測(cè)分析系統(tǒng)是防護(hù)工作的重要關(guān)鍵節(jié)點(diǎn)，并以此為核心，有效地開展相關(guān)防護(hù)工作。實(shí)戰(zhàn)階段——全面監(jiān)測(cè)及處置做好全局性分析研判工作全面布局安全監(jiān)測(cè)預(yù)警提高事件處置效率效果核心環(huán)節(jié)人員要具備攻防技術(shù)能力，熟悉網(wǎng)絡(luò)和業(yè)務(wù)發(fā)揮專家和指揮棒的作用向前，對(duì)監(jiān)測(cè)人員發(fā)現(xiàn)的攻擊預(yù)警進(jìn)行分析確認(rèn)并溯源向后，指導(dǎo)協(xié)助事件處置人員對(duì)確認(rèn)的攻擊進(jìn)行處置。在網(wǎng)絡(luò)邊界、內(nèi)網(wǎng)區(qū)域、應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)等方面全面布局安全監(jiān)測(cè)手段盡量多使用全流量威脅檢測(cè)、網(wǎng)絡(luò)分析系統(tǒng)、蜜罐、主機(jī)加固等手段，只要不影響業(yè)務(wù)，監(jiān)測(cè)手段越多元化越好。安全事件發(fā)生后，最重要的是在最短時(shí)間內(nèi)采取技術(shù)手段遏制攻擊、防止蔓延。事件處置環(huán)節(jié)，應(yīng)聯(lián)合網(wǎng)絡(luò)、主機(jī)、應(yīng)用和安全等多個(gè)崗位人員協(xié)同處置。戰(zhàn)后整頓——實(shí)戰(zhàn)之后的改進(jìn)攻擊結(jié)束也是防護(hù)工作改進(jìn)的開始全面復(fù)盤分析，總結(jié)經(jīng)驗(yàn)、教訓(xùn)加固安全漏洞隱患，完善安全防護(hù)措施，優(yōu)化安全策略，強(qiáng)化人員隊(duì)伍技術(shù)能力防守隊(duì)?wèi)?yīng)對(duì)的常用策略防微杜漸——防范被踩點(diǎn)收縮戰(zhàn)線——收斂攻擊面縱深防御——立體防滲透守護(hù)核心——找到關(guān)鍵點(diǎn)洞若觀火——全方位監(jiān)控盡量防止本單位敏感信息泄露在公共信息平臺(tái)，加強(qiáng)人員安全意識(shí)，不準(zhǔn)將帶有敏感信息的文件上傳至公共信息平臺(tái)安全意識(shí)培訓(xùn)安全運(yùn)營(yíng)部門應(yīng)定期在一些信息披露平臺(tái)搜索本單位敏感詞，查看是否存在敏感文件泄露情況門用于防盜，窗戶沒關(guān)嚴(yán)也會(huì)被小偷得逞防守者一定要充分了解自己暴露在互聯(lián)網(wǎng)的系統(tǒng)、端口、后臺(tái)管理系統(tǒng)、與外單位互聯(lián)的網(wǎng)絡(luò)路徑等信息戰(zhàn)爭(zhēng)中的縱深防御理論就很適用于網(wǎng)絡(luò)防守?；ヂ?lián)網(wǎng)端防護(hù)、內(nèi)外部訪問控制（安全域間甚至每臺(tái)機(jī)器之間）、主機(jī)層防護(hù)、重點(diǎn)集權(quán)系統(tǒng)防護(hù)、無線網(wǎng)絡(luò)防護(hù)、外部網(wǎng)絡(luò)接入防護(hù)甚至物理層面的防護(hù)，通過層層防護(hù)，盡量拖慢攻擊者擴(kuò)大戰(zhàn)果的時(shí)間，將損失降至最小。核心目標(biāo)系統(tǒng)是攻擊者的重點(diǎn)攻擊目標(biāo)，也應(yīng)重點(diǎn)防護(hù)，須針對(duì)重點(diǎn)目標(biāo)系統(tǒng)做一次交叉滲透測(cè)試，充分檢驗(yàn)?zāi)繕?biāo)系統(tǒng)的安全性。協(xié)調(diào)目標(biāo)系統(tǒng)技術(shù)人員及專職安全人員，專門對(duì)目標(biāo)系統(tǒng)的進(jìn)出流量、中間件日志進(jìn)行安全監(jiān)控和分析。全流量網(wǎng)絡(luò)監(jiān)控：任何攻擊都要通過網(wǎng)絡(luò)，并產(chǎn)生網(wǎng)絡(luò)流量主機(jī)監(jiān)控：任何攻擊最終都會(huì)落到主機(jī)（服務(wù)器或終端）上日志監(jiān)控：對(duì)系統(tǒng)和軟件的日志監(jiān)控同樣必不可少情報(bào)監(jiān)控：高端攻擊者會(huì)用0day或Nday漏洞來打擊目標(biāo)系統(tǒng)、穿透所有防守和監(jiān)控設(shè)備，防守者對(duì)此往往無能為力4以運(yùn)營(yíng)角度看網(wǎng)絡(luò)安全防護(hù)網(wǎng)絡(luò)安全“責(zé)任機(jī)制”要健全集成商服務(wù)器提供方網(wǎng)絡(luò)設(shè)備提供方云平臺(tái)提供方操作系統(tǒng)提供方數(shù)據(jù)庫(kù)提供方安全系統(tǒng)提供方應(yīng)用系統(tǒng)提供方……業(yè)主方√網(wǎng)絡(luò)安全行業(yè)責(zé)任機(jī)制開發(fā)商設(shè)計(jì)方監(jiān)理方材料提供方……業(yè)主方建筑行業(yè)責(zé)任機(jī)制√√√√√√“網(wǎng)絡(luò)安全責(zé)任機(jī)制”未能包含第三方是現(xiàn)階段最大的問題責(zé)任之重，受責(zé)之痛誰(shuí)主管誰(shuí)負(fù)責(zé)誰(shuí)建設(shè)誰(shuí)負(fù)責(zé)誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)關(guān)于“主體責(zé)任”在二戰(zhàn)中的實(shí)例二戰(zhàn)中最悲劇的傘兵部隊(duì):首次出征一槍沒放,指揮官卻摔死了!全局規(guī)劃，安全內(nèi)生，用戶&業(yè)務(wù)視角的基于最佳實(shí)踐的網(wǎng)絡(luò)安全規(guī)劃、協(xié)同聯(lián)動(dòng)、全面防護(hù)、預(yù)算清晰。有規(guī)劃有經(jīng)費(fèi)基于清晰合理的規(guī)劃，合理投資，并可在不增加投資的情況下，通過提升整體防護(hù)水平，提高ROI。有人手內(nèi)部人員能力提升、外部服務(wù)人員招聘、第三方安全服務(wù)引入，在合理預(yù)算前提下全面提升人的能力。有運(yùn)營(yíng)業(yè)務(wù)和安全聚合應(yīng)變，人、物、事聚合應(yīng)變，基于SOP和評(píng)價(jià)指標(biāo)體系的閉環(huán)安全運(yùn)營(yíng)體系?！八挠小庇行ПＵ闲畔⒒踩⑿纬蒔DCA的良性循環(huán)。PDCA良性循環(huán)防護(hù)要點(diǎn)1：規(guī)劃先行

防護(hù)要點(diǎn)2--明確的網(wǎng)絡(luò)安全責(zé)任劃分機(jī)制明確主體定義責(zé)任確認(rèn)責(zé)任各擔(dān)其責(zé)一、網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度履行“網(wǎng)絡(luò)安全保護(hù)義務(wù)”，特別是制定和優(yōu)化安全管理制度（以及信息實(shí)名與保護(hù)制度等），實(shí)現(xiàn)對(duì)有限人財(cái)物的合理配置，并精確到“直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員”，否則有可能承擔(dān)從警告、罰款到關(guān)停、吊銷直至刑事責(zé)任。落實(shí)網(wǎng)絡(luò)安全責(zé)任制，明確責(zé)任主體、網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，保護(hù)對(duì)象、保護(hù)層級(jí)、保護(hù)措施。管理責(zé)任基礎(chǔ)建設(shè)責(zé)任運(yùn)營(yíng)責(zé)任監(jiān)管責(zé)任網(wǎng)絡(luò)運(yùn)營(yíng)者、產(chǎn)品\服務(wù)提供者、產(chǎn)業(yè)開發(fā)商，各自履行網(wǎng)絡(luò)安全責(zé)任義務(wù)。二、網(wǎng)絡(luò)產(chǎn)品/服務(wù)提供者需應(yīng)對(duì)國(guó)家標(biāo)準(zhǔn)的“強(qiáng)制性要求”，實(shí)現(xiàn)質(zhì)量（缺陷、漏洞、期限）、服務(wù)（保密、水平）的協(xié)議層面符合；涉及網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的，法律服務(wù)人員還可提供對(duì)認(rèn)證檢測(cè)資質(zhì)與評(píng)測(cè)協(xié)議的審查、目錄時(shí)效性等方面的法律支持。防護(hù)要點(diǎn)2--明確的網(wǎng)絡(luò)安全責(zé)任劃分機(jī)制明確網(wǎng)絡(luò)安全責(zé)任機(jī)制的效益一：網(wǎng)絡(luò)安全的建設(shè)單位的權(quán)益得到根本性保障。二：網(wǎng)絡(luò)安全建設(shè)的效果得到根本性驗(yàn)證。三：網(wǎng)絡(luò)安全行業(yè)健康的發(fā)展。主體責(zé)任服務(wù)商防護(hù)要點(diǎn)3--精確管理2識(shí)別內(nèi)部和外部服務(wù)商、用戶、第三方服務(wù)商安全責(zé)任及職責(zé)劃分將安全控制的關(guān)鍵要素與崗位能力和關(guān)鍵績(jī)效指標(biāo)相結(jié)合，形成切實(shí)有效的崗位職責(zé)矩陣43設(shè)計(jì)角色勝任力模型，為每個(gè)角色編制能力說明書和安全關(guān)鍵績(jī)效指標(biāo)樣本展示1根據(jù)安全管理需求及實(shí)際情況，