维护国家网络安全，人人有责

       2019年4月15日的今天，我们迎来第四个国家安全教育日。

       国家安全最重要的内容之一就是网络安全；维护公共网络安全，人人有责。没有网络安全，就没有国家安全。

       新的《网络安全法》是2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议表决通过的，于2017年6月1日起正式施行。。从国家法律的角度对网络安全的各个层面进行了具体的规定。

       其中，《中华人民共和国网络安全法》 对公民和组织触犯网络安全法应当承担的法律责任进行了具体描述

第六章《法律责任》

第五十九条

　　网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

　　关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

第六十条

　　违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：

　　（一）设置恶意程序的；

　　（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；

　　（三）擅自终止为其产品、服务提供安全维护的。

第六十一条

　　网络运营者违反本法第二十四条第一款规定，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第六十二条

　　违反本法第二十六条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

第六十三条

　　违反本法第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。

　　单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

　　违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

第六十四条

　　网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

　　违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

第六十五条

　　关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第六十六条

　　关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第六十七条

　　违反本法第四十六条规定，设立用于实施违法犯罪活动的网站、通讯群组，或者利用网络发布涉及实施违法犯罪活动的信息，尚不构成犯罪的，由公安机关处五日以下拘留，可以并处一万元以上十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。

　　单位有前款行为的，由公安机关处十万元以上五十万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

第六十八条

　　网络运营者违反本法第四十七条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告，没收违法所得；拒不改正或者情节严重的，处十万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

　　电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第四十八条第二款规定的安全管理义务的，依照前款规定处罚。

第六十九条

　　网络运营者违反本法规定，有下列行为之一的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员，处一万元以上十万元以下罚款：

　　（一）不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息，采取停止传输、消除等处置措施的；

　　（二）拒绝、阻碍有关部门依法实施的监督检查的；

　　（三）拒不向公安机关、国家安全机关提供技术支持和协助的。

第七十条

　　发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的，依照有关法律、行政法规的规定处罚。

第七十一条

　　有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

第七十二条

　　国家机关政务网络的运营者不履行本法规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。

第七十三条

　　网信部门和有关部门违反本法第三十条规定，将在履行网络安全保护职责中获取的信息用于其他用途的，对直接负责的主管人员和其他直接责任人员依法给予处分。

　　网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。

第七十四条

　　违反本法规定，给他人造成损害的，依法承担民事责任。

　　违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

第七十五条

　　境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

网络安全漏洞的发现与解决

1、主机和网络设备安全漏洞

       主机和设备漏洞扫描可以通过评估工具以远程扫描的方式对评估范围内的系统和网络进行安全扫描。通过扫描发现网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁，并对检查出来的弱口令、高风险漏洞进行手工验证。系统安全扫描在完成扫描后提交扫描结果、汇总表和报告，由安全服务厂家技术人员将现场协助对扫描结果进行分析，并提供相应的技术建议，并追踪漏洞漏洞修复情况，漏洞修复之后进行再次扫描验证漏洞是否修复，通过周期性循环此环节解决主机和网络设备安全问题。

2、Web安全漏洞

       Web安全可通过安全设备和人工渗透测试两种方式主动探测查找出安全漏洞，然后通知相关负责人进行漏洞修复进行解决。使用Web安全扫描设备对网站资产开展周期性安全扫描、对扫描出漏洞进行漏洞验证，确认漏洞是否存在。对漏洞整改提出可落地的漏洞修复建议。对网站资产开展定期渗透测试，深度全面发现各类网站漏洞，确保网站资产安全。Web渗透测试则遵循明确的测试方案，从主机设备、网络协议、web应用、手机APP、等方面进行全面的渗透测试，在确保覆盖年度owasptop10等主流类型的网站漏洞基础上检测出更多类型的漏洞。

3、App安全漏洞

       APP安全采用安全专家与半智能化工具相结合的服务方式，主动发现应用（包括Android和IOS）存在的安全风险和漏洞，漏洞发现主要从源代码保护，身份鉴别，权限管理，会话管理、数据存储安全、敏感信息安全、数据传输安全、异常处理、日志审计等方面进行APP安全检测发现，针对发现的漏洞提出合理整改意见，协助开发厂商对应用进行加固与修复，持续优化移动应用安全风险管控体系。

4、新业务安全漏洞

       上述安全测均是基于现有存在的业务的安全解决，由于线上业务在进行安全测试需要考虑到业务的稳定性，部分漏洞无法进行很好的安全测试，由此对于新上线的业务应从上线之前进行安全漏洞的彻底排除。新上线业务可将业务部署到执行的仿真业务测试环境中，有测试方提供较高权限的账号和权限进行全方位的安全测试，在此方案下解决上线之前解决安全问题，保护客户资产。

       对新上线的业务系统及新上线设备进行以下安全检查方案：

       1）安全漏洞检查并提供加固建议；

       2）安全配置合规检查，依据集团安全配置规范，并提供相关系统的针对性加固规范书；

       3）应用系统配置安全检查；

       4）新上线业务如有互联网IP，须在互联网渗透测试；

       5）新业务的安全域规划和边界访问控制策略；

       6）网络改造协助提供安全审计、建议和整改方案；

       7）新上线业务有Web网站，对网站程序全面检查，提供应用安全加固建议。

5、源代码安全漏洞

       以上几种安全检测均属于黑盒模糊测试，该种测试依靠安全工具和安全人员的经验来进行安全测试，此过程中必定存在测试盲区。由此需要进行代码审计，代码审计以人工和工具相结合互补的方式进行审计，彻底解决安全存在代码中的根病问题。代码审计工作方法从以下三方面开展：

       1）应用访谈：主要通过对开发人员的安全访谈，审计应用系统整个安全架构和相应安全防护措施，评估其是否符合国际主流的安全架构设计要求。

       2）工具审计：主要对和安全相关的几大环节代码进行工具扫描，发现程序代码是否存在病毒、常见安全漏洞等问题。

       3）人工审计：人工对关键环节的代码以及进行逐行代码审计，分析程序代码安全性，发现安全漏洞，并对工具审计和应用访谈结果进行核实和验证，保证检查的完整性和真实性。

网络安全漏洞的复核检测

1、渗透测试全面分析测试安全漏洞

       自动化安全扫描工具免除安全工作人员大量的重复性简单化的漏洞测试过程，但对复杂性漏洞、逻辑性漏洞难以排查。人工渗透测试将很好的互补扫描器的不足，人工渗透测试将从整个网络进行综合性的渗透测试，以排查出整个网络中存在的网络安全隐患。渗透测试将从网络协议、操作系统、数据库、中间件、Web业务系统进行测试，尽可能的多方位、多角度人工排查分析出存在的安全漏洞。

1) 网络协议渗透测试

       重点针对OSI模型的第一层到第三层：物理层的中间人攻击、数据链路层中的ARP欺骗测试、STP（Spanning Tree Protocol）生成树攻击测试、VTP（VLAN Trunking Protocol）攻击测试、网络层的若口扫描测试、MIB信息块进行读/写（SNMP）测试、Cisco设备口令字弱加密算法测试、FTP下载测试、各种路由写测试等相关协议测试，将测试出的漏洞进行整理输出报告，然后给相关网络设备负责人进行漏洞修复。

2) 操作系统渗透测试

       主机渗透测试通过专业的漏洞扫描工具对相关主机进行漏洞扫描，协助人工收集主机的相关信息，同时通过社会工程学方式对相关主机进行人工信息收集，根据工具扫描及人工信息收集的信息进行相应的综合性的系统层渗透，根据拿到的信息进行分析，进行远程溢出、本地提权等测试。

3) 数据库渗透测试

       一般的数据库有MSSQL、Oracle、DB2三种，各种数据库的攻击方法均不同。各数据库平台在各应用环境攻击方法大体相同，这里主要写注入攻击相关。

        a、MSSQL渗透测试

       利用SQL注入漏洞一般会有以下攻击效果：列出其他用户的数据，列出数据库内所有数据，渗透测试过程中会试着读取操作系统一些配置内容，甚至尝试取得控制数据库所承载操作系统的权限，如果会向数据库内写入文件，渗透测试工程师会详细记录写入数据的详细内容，以便渗透测试结束后，方便系统管理员恢复系统。

        b、Oracle渗透测试

       与mssql的攻击后果一样，但oracle数据库运行平台分两种，一种是windows，一种是linux/unix，受操作类型不同，造成的后果也有一定的差别，一般在运行在windows平台的注射后果和mssql一样，linux/unix平台所造成的后果则要小得多。但是两种平台的相同之处就是能取得数据库内所有数据，也可能向数据库插入数据，但渗透测试过程中，工程师如果有这类操作的话，会记录具体的过程，以便渗透测试工作结束后，利于系统的恢复。

       c、DB2渗透测试

       受限于DB2数据库的结构，攻击DB2数据库有较大的难度，目前发现的技术仅限于能取得操作系统信息、取出、写入数据，但仅凭这一点，也足够给应用系统带来致使的伤害，实际的渗透测试操作中，渗透工程师如果要往数据库内写入数据，会记录写在哪个表内，写入了什么数据，便于应用系统管理员渗透后恢复。

4) 中间件渗透测试

       常见有IIS、Apache、Tomcat、Weblogic、Websphere等其它中间件，针对以上平台，不同的版本，有不同的漏洞利用方法，以上应用平台容易产生以下漏洞：

       1）不安全的HTTP方法

       IIS、Apache经常出现此类问题。当web目录权限配置不严格时，可能导致使用不安全的HTTP方法写入、删除或是更改文件，可能导致直接向web目录植入web页面或是木马。

       2）源代码泄露

       Tomcat中很容易出现该问题。由于版本过低或是补丁更新不及时，导致提交特殊请求，服务器会直接返回页面源代码。如Windows下Tomcat对大小写扩展名处理导致源代码泄露，IIS对空格处理导致源代码泄露等，利用得到的源代码，能进一步分析应用程序的结构。例如提交：http://aa.com/aa.jSP可能造成源代码泄露。

       3）错误处理

web服务器未配置自定义错误页面，当应用程序运行出错的时候，可能会向用户返回详细的错误信息，可能会包含路径信息、数据库信息等。

       4）缓冲区溢出

      中间件由于版本过低或是补丁更新不及时，导致缓冲区溢出漏洞，轻则造成DOS攻击，重则取得应用平台运行权限。

       5）关键传输未加密：敏感页面的数据传输未加密，例如登录页面，使用sniff则可能休嗅探到网络中传输的明文信息，渗透测试中不会利用此漏洞进行攻击测试。

       6）目录遍历

       IIS、Apache、tomcat中间件出现该问题非常频繁，是因为web软件配置不正确导致，利用此漏洞可以完整的看到web目录结构，结合其它攻击，能给应用系统带来新的威胁。

       维护国家网络安全，既要从法律角度去震慑宵小之辈，提高违法犯罪的成本，同时也要提高所有老百姓的网络安全意识，更重要的是需要加大网络安全人才的培养！

【招生专业】：网络安全

【招生人数】：30人

【开班时间】：2019-5-15

【推荐岗位】：等保测试工程师、安全服务工程师、渗透测试工程师、安全运维工程师、代码审计工程师等

【授课老师】：李老师、黄老师、朱老师

      【李老师简介】

       15年IT从业经验，8年企业ERP软件开发经验。他开发过大型国企的ERP管理软件和电厂ERP软件，熟悉企业管理的业务流程；2年移动互联网产品经理。

       国内最早接触iOS开发和从事iOS教学的工程师。6年以来，一直致力于苹果应用软件及驱动的开发和研究及专业人才的培养工作。不仅如此，而且李老师产品经验丰富，对C、C++、Java、JavaScript、Cocos游戏引擎非常精通。

       参与过哈票网站产品设计，主导手机WAP网站设计和iOS客户端产品设计，开发过多款iOS平台项目和Android项目，如：yoyokvknowlege、寺库（iPad）、航旅纵横、团宝网、绘本等。

      【授课特点】

       在课堂上他能从行业及产品方面引导学生。比较注重学习方法的引导。而且，他经常结合生活的案例把复杂的知识点讲清楚，注重设计模式方面的教学。

      【黄老师简介】

       参加过中美黑客大战，擅长代码审计，渗透测试与漏洞挖掘技术；精通php，java，.net，c++等编程语言，开发过C++远程控制系统；精通MySql、Mssql数据库，多年渗透测试攻防经验、对waf绕过有深入研究；

      【授课特点】

       授之以渔而非授之以鱼，擅长引导学生学习，锻炼学生思维扩展能力，注重学生自主学习能力的培养。

      【班级介绍】

       1、本班型从零基础开始授课，迭代式教学，由浅入深。 

       2、小班制授课，每个班级人数20人，保障教师上课效果，让学员学会、学精。 

       3、入学签订就业协议，确保合格毕业学员获得高薪工作。