【北邮国院大三下】Cybersecurity Law 网络安全法 Week1【更新Topic4, 5】_cyber security law_which countries are disproportionately high target-优快云博客

本文链接：https://blog.youkuaiyun.com/FZBH_Q/article/details/138790293

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。

最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

Information Security x Privacy （概念辨析）

Privacy is an individual’s right to control the use and disclosure of their own personal information

隐私是个人控制使用和披露自己个人信息的权利

Information security is the process used to keep data private

信息安全是用来保持数据私密性的过程

Security is the process; privacy is the result

Cybercrime 网络犯罪

Cybercrime is an act that violates the law, by using information and communication technology (ICT) to either target networks, systems, data, websites and/or technology or facilitate a crime

网络犯罪是一种违法行为，通过使用信息和通信技术(ICT)攻击网络、系统、数据、网站和/或技术，或为犯罪提供便利

Cybercrime knows no physical or geographic boundaries and can be conducted with less effort, greater ease, and at greater speed and scale than traditional crime

网络犯罪没有物理或地理的界限，与传统犯罪相比，可以更轻松、更轻松、更快、更大规模地进行

这门课我们会学到的三方面的Cybersecurity Law

Information security obligations 信息安全义务
Privacy and data protection laws 隐私和数据保护法
Cybercrime substantive and procedural laws 网络犯罪实体法和程序法

网络安全遇到的Challenge

Technical

Growing number of devices

越来越多的设备

Every computer program, app or website are also software and software often has vulnerabilities

每一个电脑程序，应用程序或网站也是软件，软件往往有漏洞

A virtualized information technology infrastructure (cloud services)

虚拟化的信息技术基础设施(云服务)

Legal

Increasing number, scope and complexity of legal obligations in relation to information security, privacy and data protection, different approaches

与信息安全、隐私和数据保护有关的法律义务的数量、范围和复杂性不断增加，方法也有所不同

Different legal systems between countries, variations in national cybercrime laws, differences in the rules of evidence and criminal procedure, applicability of international treaties

各国法律体系不同，各国网络犯罪法律的差异，证据规则和刑事诉讼规则的差异，国际条约的适用性

网络安全的Trends

With the advent of new technologies (e.g., Internet of Things, drones, robots, self-driving cars), new cybercrime trends will be identified and therefore new information security and privacy measures will need to be developed

随着新技术(如物联网、无人机、机器人、自动驾驶汽车)的出现，将发现新的网络犯罪趋势，因此需要制定新的信息安全和隐私措施

Cyber attacks may involve:

SPAM with the capacity to deliver range of malware
有能力传递各种恶意软件的垃圾邮件
Spyware and keystroke loggers (3,7 million South Carolina tax records)
间谍软件和键盘记录(南卡罗来纳州3700万份税务记录)
Worms, virus, Trojans
蠕虫病毒特洛伊木马
Phishing / Spear Phishing / Whaling
钓鱼/鱼叉钓鱼/捕鲸
DoS / DDoS

Drivers of Cybersecurity

Legal
- Growing legal framework establishing safeguarding and information obligation
- 建立保护和信息义务的法律框架不断完善
Regulatory
- Growing enforcement as a response to ineffective self-regulation
- 加强执法是对无效的自我监管的回应
Commercial
- Growing awareness of risk, economic and legal consequences, trustworthiness of business transactions
- 对风险、经济和法律后果、商业交易可信度的意识不断增强

Information Security 是要保护什么

Processes, procedures and infrastructure to preserve:

confidentiality 保密性
integrity 完整性
availability of information 信息的可用性
这三个简称CIA

Confidentiality 保密性

Confidentiality means that only people with the right permission can access and use information

保密性意味着只有获得正确许可的人才能访问和使用信息

Protecting information from unauthorised access at all stages of its life cycle

保护信息在其生命周期的所有阶段不受未经授权的访问

Information must be created, used, stored, transmitted, and destroyed in ways that protect its confidentiality

信息的创建、使用、存储、传输和销毁必须以保护其保密性的方式进行

Ensuring confidentiality – encryption, access controls

确保机密性-加密，访问控制

Compromising confidentiality – (intentional) shoulder surfing, social engineering; (accidental) publication

泄露机密——(有意的)肩窥，社会工程;(偶然的)公之于众

It may result in identity theft, threats to public safety

这可能会导致身份盗窃，威胁公共安全

Integrity 完整性

Integrity means that information systems and their data are accurate

完整性意味着信息系统及其数据是准确的

Changes cannot be made to data without appropriate permission

没有适当的许可，不能对数据进行更改

Ensuring integrity – controls ensuring the correct entry of information, authorization, antivirus

确保完整性-控制确保信息、授权、防病毒的正确输入

Compromising integrity – (intentional) employee or external attacks; (accidental) employee error

损害诚信——(故意的)员工或外部攻击;(偶然的)员工失误

Authentication 身份验证

Specific to integrity and confidentiality considerations

具体到完整性和保密性的考虑

Ensuring that a machine or person is that which they purport to be

确保机器或人是他们所宣称的样子

Creator/sender/signatory of record 记录的创建者/发送者/签署人
Person who seeks access to it 寻求接近它的人

In analogue world, signatures, handwriting, in person attestation, witnesses, notary public, etc.

在模拟世界中，签名、笔迹、亲自认证、证人、公证人等。

In digital world, may not only be a person but also machine we are seeking to authenticate

在数字世界中，我们要验证的可能不仅是人，还有机器

Digital Signatures – electronic PKI, other certificates of trust 数字签名-电子PKI，其他信任证书

Availability

Availability is the security goal of making sure information systems are reliable

可用性是确保信息系统可靠的安全目标

Data is accessible

数据是可访问的

Individuals with proper permission can use systems and retrieve data in a dependable and timely manner

获得适当许可的个人可以可靠和及时地使用系统和检索数据

Ensuring availability – recovery plans, backup systems

确保可用性-恢复计划，备份系统

Compromising availability – (intentional) denial of service (DoS) attack, (accidental) outage

影响可用性-(故意的)拒绝服务(DoS)攻击，(意外的)停机

Mitigating risks to the trustworthiness of information of corporations and governments 降低企业和政府信息可信度的风险的方法

Development of strategies and 制定策略
Implementation to technologies and procedures in order to preserve its 实施以技术和程序为主，以保存其
- confidentiality
- integrity, and
- availability