软考信安01~网络信息安全概述
1、网络信息安全概念
1.1、网络信息安全定义
**狭义:**网络信息安全特指网络信息系统的各组成要素符合安全属性的要求,即机密性、完整性、可用性、抗抵赖性、可控性。
广义: 涉及国家安全、城市安全、经济安全、社会安全、生产安全、人身安全等在内的“大安全”。
网络安全法定义: 通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处千稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力 。
1.2、新的变化表现:
保障内容从单维度向多维度转变,保障的维度包含网络空间域、物理空间域、社会空间域;
保障措施从单一性(技术)向综合性(法律、政策、技术、 管理、 产业、教育)演变;
保障时间维度要求涵盖网络系统的整个生命周期,保障响应速度要求不断缩短,网络信息安全没有战时、平时之分,而是时时刻刻 。
2、网络信息安全现状与问题
网络强依赖性及网络安全关联风险凸显
网络信息产品供应链与安全质量风险
网络信息产品技术同质性与技术滥用风险
网络安全建设与管理发展不平衡、不充分风险
网络数据安全风险
高级持续威胁风险(APT攻击)
恶意代码风险
软件代码和安全漏洞风险
人员的网络安全意识风险
网络信息技术复杂性和运营安全风险
网络地下黑产经济风险(肉鸡、挖矿)
网络间谍与网络战风险(2019年俄罗斯被植入后门程序,北约“锁盾2019”演习)
3、网络信息安全基本属性
3.1、基本属性(CIA):
机密性,C(Confidentiality),网络信息不泄露给非授权的用户、实体或程序,能够防止非授权者获取信息。
完整性,I(Integrity),网络信息或系统未经授权不能进行更改的特性。
可用性,A(Availability),合法许可的用户能够及时获取网络信息或服务的特性。
3.2、新增属性:
抗抵赖性 ,也称非否认性(Non-Repudiation),防止网络信息系统相关用户否认其活动行为的特性。
可控性, 网络信息系统责任主体对其具有管理、支配能力的属性。
3.3、其他属性:
真实性 ,网络空间信息与实际物理空间、社会空间的客观事实保持一致性。
时效性 ,网络空间信息、服务及系统能够满足时间约束要求。
合规性 ,网络信息、服务及系统符合法律法规政策、标准规范等要求。
公平性 ,网络信息系统相关主体处于同等地位处理相关任务,任何一方不占据优势的特性要求。
可靠性 ,网络信息系统在规定条件及时间下,能够有效完成预定的系统功能的特性。
可生存性 ,网络信息系统在安全受损的情形下,提供最小化、必要的服务功能,能够支撑业务继续运行的安全特性。
隐私性 ,有关个人的敏感信息不对外公开的安全属性。
4、网络信息安全目标与功能
4.1、网络信息安全基本目标
网络安全目标可以分成宏观的 网络安全目标和微观 的网络安全目标。
宏观目标:以总体国家安全观为指导,贯彻落实创新、协调、绿色、开放、共享的发展理念,增强风险意识和危机意识,统筹国内国际两个大局统筹发展安全两件大事,积极防御、有效应对,推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标。
微观/具体目标:保障网络信息及相关信息系统免受网络安全威胁,相关保护对象满足网络安全基本属性要求,用户网络行为符合国家法律法规要求,网络信息系统能够支撑业务安全持续运营,数据安全得到有效保护。
4.2、网络信息安全基本功能
要实现网络信息安全基本目标,网络应具备防御、监测、应急和恢复 等基本功能
网络信息安全防御:采取各种手段和措施,使得网络系统具备阻止、抵御各种已知网络安全威胁的功能。
网络信息安全监测:采取各种手段和措施,检测、发现各种已知或未知的网络安全威胁的功能。
网络信息安全应急:采取各种手段和措施,针对网络系统中的突发事件,具备及时响应和处置网络攻击的功能。
网络信息安全恢复:采取各种手段和措施,针对已经发生的网络灾害事件,具备恢复网络系统运行的功能。
5、网络信息安全基本技术需求
网络信息安全基本技术需求主要有网络物理环境安全、网络信息安全认证、访问控制、安全保密、漏洞扫描、恶意代码防护、网络信息内容安全、安全监测与预警、应急响应 等。
物理环境安全: 指包括环境、设备和记录介质在内的所有支持网络系统运行的硬件的总体安全,是网络系统安全、可靠、不间断运行的基本保证。物理安全需求主要包括环境安全、设备安全、存储介质安全 。
网络信息安全认证: 是实现网络资源访问控制的前提和依据,是有效保护网络管理对象的重要技术方法。网络认证的作用是标识鉴别网络资源访问者的身份的真实性,防止用户假冒身份访问网络资源。
网络信息访问控制: 网络信息访问控制是有效保护网络管理对象,使其免受威胁的关键技术方法,其目标主要有两个:(1)限制非法用户获取或使用网络资源;(2)防止合法用户滥用权限,越权访问网络资源。
网络信息安全保密: 目的就是防止非授权的用户访问网上信息或网络设备。重要的网络物理实体可以采用辐射干扰技术,防止电磁辐射泄漏机密信息。对网络重要的核心信息和敏感数据采用加密技术保护,防止非授权查看和泄露。重要网络信息系统采用安全分区、数据防泄露技术(简称 DLP 技术)、物理隔离技术等。
网络信息安全漏洞扫描: 用以检测网络中是否存在安全漏洞,以便网络安全管理员根据漏洞检测报告,制定合适的漏洞管理方法。
恶意代码防护: 网络是病毒、蠕虫、特洛伊木马等恶意代码最好、最快的传播途径之一。防范恶意代码是网络系统必不可少的安全需求。
网络信息内容安全: 指相关网络信息系统承载的信息及数据符合法律法规要求,防止不良信息及垃圾信息传播。相关网络信息内容安全技术主要有垃圾邮件过滤、IP地址/URL过滤、自然语言分析处理等。
网络信息安全监测与预警: 发现综合网系统入侵活动和检查安全保护措施的有效性,以便及时报警给网络安全管理员,对入侵者采取有效措施,阻止危害扩散并调整安全策略。
网络信息安全应急响应: 网络信息安全事件不能完全消除,则必须采取一些措施来保障在出现意外的情况下,恢复网络系统的正常运转。
6、网络信息安全管理内容与方法
6.1、网络信息安全管理基本概念
网络信息安全管理
指对网络资产采取合适的安全措施,以确保网络资产的可用性、完整性、可控制性和抗抵赖性等,不致因网络设备、网络通信协议、网络服务、网络管理受到人为和自然因素的危害,而导致网络中断、信息泄露或破坏。
网络信息安全管理对象
主要包括网络设备、网络通信协议、网络操作系统、网络服务、安全网络管理等在内的所有支待网络系统运行的软、硬件总和。
涉及内容
物理安全、网络通信安全、操作系统安全、网络服务安全、网络操作安全以及人员安全。
相关技术
风险分析、密码算法、身份认证、访问控制、安全审计、漏洞扫描、防火墙、入侵检测和应急响应等。
目标
通过适当的安全防范措施,保障网络的运行安全和信息安全,满足网上业务开展的安全要求。
6.2、网络信息安全管理方法
主要有风险管理、等级保护、纵深防御、 层次化保护、应急响应以及 PDCA (Plan-Do-Check-Act)方法等。
6.3、网络信息安全管理依据
国际参考依据:ISO/IEC27001 、欧盟通用数据保护条例 (General Data Protection Regulation, GDPR)、信息技术安全性评估通用准则 (CommonCriteria, CC)。
国内参考依据:《中华人民共和国网络安全法》、《中华人民共和国密码法》、GB17859 、GB/T22080 、网络安全等级保护相关条例与标准规范。
6.4、网络信息安全管理要素
由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。
网络安全管理实际上就是风险控制,其基本过程是通过对网络管理对象的威胁和脆弱性进行分析,确定网络管理对象的价值、网络管理对象威胁发生的可能性、网络管理对象的脆弱程度,从而确定网络管理对象的风险等级,然后据此选取合适的安全保护措施,降低网络管理对象的风险。
1、管理对象
企业、机构直接赋予了价值而需要保护的资产。分为有形的和无形的。
有形的:网络设备硬件、软件文档等;
无形的:服务质量、网络带宽等。
2、安全威胁
根据威胁主体的自然属性分为:自然威胁和人为威胁。自然威胁如:地震、雷击、洪水、火灾、静电、鼠害和电力故障等。
根据威胁对象可分为:物理安全威胁、网络通信威胁、网络服务威胁、网络管理威胁。
3、脆弱性
脆弱性的存在将会导致风险,而威胁主体利用脆弱性产生风险。
4、网络信息安全风险
特定的威胁利用网络管理对象所存在的脆弱性,导致网络管理对象的价值受到损害或丢失的可能性。
控制网络安全风险的方法:
避免风险。 例如,通过物理隔离设备将内部网和外部网分开,避免受到外部网的攻击。
转移风险。 例如,购买商业保险计划或安全外包。
减少威胁。 例如,安装防病毒软件包,防止病毒攻击。
消除脆弱点。 例如,给操作系统打补丁或强化工作人员的安全意识。
减少威胁的影响。例 如,采取多条通信线路进行备份或制定应急预案。
风险监测。 例如,定期对网络系统中的安全状况进行风险分析,监测潜在的威胁行为。
5、保护措施
保护措施一般实现一种或多种安全功能,包括预防、延缓、阻止、检测、限制、修正、恢复、监控以及意识性提示或强化。
6.5、网络信息安全管理流程
步骤 1,确定网络信息安全管理对象;
步骤 2,评估网络信息安全管理对象的价值;
步骤 3,识别网络信息安全管理对象的威胁;
步骤 4,识别网络信息安全管理对象的脆弱性;
步骤 5,确定网络信息安全管理对象的风险级别;
步骤 6,制定网络信息安全防范体系及防范措施;
步骤 7,实施和落实网络信息安全防范措施;
步骤 8,运行/维护网络信息安全设备、配置。
6.6、网络信息安全管理工具
常见的网络安全管理工具有网络安全管理平台(简称 SOC) 、IT 资产管理系统、网络安全态势感知系统、网络安全漏洞扫描器、网络安全协议分析器、上网行为管理等各种类型。
6.7、网络信息安全管理评估
是指对网络信息安全管理能力及管理工作是否符合规范进行评价。常见的网络信息安全管理评估有网络安全等级保护测评、信息安全管理体系认证(简称 ISMS) 、系统安全工程能力成熟度模型(简称 SSE-CMM) 等。
7、网络信息安全法律与政策文件
网络信息安全法律与政策主要有国家安全、网络安全战略、网络安全保护制度、密码管理、技术产品、域名服务、数据保护、安全测评等各个方面。
7.1、网络信息安全基本法律与国家战略
《中华人民共和国国家安全法》、《中华人民共和国网络安全法》(以下简称网络安全法)、《全国人民代表大会常务委员会关千加强网络信息保护的决定》、《国家网络空间安全战略》、《网络空间国际合作战略》等。
《关键信息基础设施保护条例(征求意见稿)》、《网络安全等级保护条例(征求意见稿)》都已经发布。
《中华人民共和国网络安全法》于2017年6月1日起实施;
《中华人民共和国密码法》(以下简称密码法)也于 2020年1月1日起实施;
《中华人民共和国数据安全法》于2021年9月1日起实施;
《个人信息保护法》于2021年11月1日起实施;
《中华人民共和国反电信网络诈骗法》于2022年12月1日起施行;
与网络相关的日志保存时间:不少于6个月。
7.2、网络安全等级保护
网络安全法第二十一条规定,国家实行网络安全等级保护制度。按照规定要求,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。其中,所规定的网络安全保护义务如下:
• 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
• 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
• 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网
络日志不少于六个月;
• 采取数据分类、重要数据备份和加密等措施;
• 法律、行政法规规定的其他义务。
网络安全等级保护的主要工作可以概括为定级、备案、建设整改、等级测评、运营维护 。
定级工作:确认定级对象,确定合适级别,通过专家评审和主管部门审核;
备案工作:按等保备案材料,到当地公安机关备案和审核;
建设整改工作:依据相应等级要求对当前保护对象的实际情况进行差距分析,针对不符合项结合行业要求对保护对象进行整改;
等级测评工作:指等级保护测评机构依据相应等级要求,对定级的保护对象进行测评,并出具相应的等级保护测评证书;
运营维护工作:等级保护运营主体按照相应等级要求,对保护对象的安全相关事宜进行监督管理。
网络安全等级保护主要技术标准规范如下:
• 《信息安全技术网络安全等级保护基本要求》;
• 《信息安全技术网络安全等级保护安全设计技术要求》;
• 《信息安全技术网络安全等级保护实施指南》;
• 《信息安全技术网络安全等级保护测评过程指南》;
• 《信息安全技术网络安全等级保护测试评估技术指南》;
• 《信息安全技术网络安全等级保护测评要求》。
7.3、国家密码管理制度
根据密码法,国家密码管理部门负责管理全国的密码工作,县级以上地方各级密码管理部
门负责管理本行政区域的密码工作。
7.4、网络产品和服务审查
中国网络安全审查技术与认证中心 (CCRC,原中国信息安全认证中心)是负责实施网络安全审查和认证的专门机构。
中国网络安全审查技术与认证中心已经发布了**《网络关键设备和网络安全专用产品目录》** ,主要包括网络关键设备和网络安全专用产品 。
网络关键设备有路由器、交换机、服务器(机架式)、可编程逻辑控制器 (PLC 设备)等;
网络安全专用产品有数据备份一体机、防火墙(硬件)、 WEB 应用防火墙 (WAF)、入侵检测系统 (IDS)、入侵防御系统 (IPS)、安全隔离与信息交换产品(网闸)、反垃圾邮件产品、网络综合审计系统、网络脆弱性扫描产品、安全数据库系统、网站恢复产品(硬件)。
7.5、网络安全产品管理
网络安全产品管理主要是由测评机构按照相关标准对网络安全产品进行测评,达到测评要求后,给出产品合格证书。目前,国内网络安全产品测评机构主要有国家保密科技测评中心、中国信息安全认证中心、国家网络与信息系统安全产品质量监督检验中心、公安部计算机信息系统安全产品质量监督检验中心等。国际上的网络安全产品测评标准主要有 1S0/IEC 15408 。
7.6、互联网域名安全管理
域名服务是网络基础服务。该服务主要是指从事域名根服务器运行和管理、顶级域名运行和管理、域名注册、域名解析等活动。
域名系统出现网络与信息安全事件时,应当在 24 小时内 向电信管理机构报告。
域名是政府网站的基本组成部分和重要身份标识。
要积极采取域名系统 (DNS) 安全协议技术、抗攻击技术等措施,防止域名被劫持、被冒用,确保域名解析安全。
应委托具有应急灾备、抗攻击等能力的域名解析服务提供商进行域名解析,鼓励对政府网站域名进行集中解析。
自行建设运维的政府网站服务器不得放在境外;租用网络虚拟空间的,所租用的空间应当位于服务商的境内节点。
使用内容分发网络 (CDN) 服务的,应当要求服务商将境内用户的域名解析地址指向其境内节点,不得指向境外节点。
7.7、工业控制信息安全制度
7.8、个人信息和重要数据保护制度
7.9、网络安全标准规范与测评
全国信息安全标准化技术委员会的网址是 www.tc260.org.cn 。
7.10、网络安全事件与应急响应制度
国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文缩写为CNCERT 或 CNCERT/CC**)** 是中国计算机网络应急处理体系中的牵头单位,是国家级应急中心。CNCERT 的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复"的方针 ,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护公共互联网安全,保障关键信息基础设施的安全运行。
8、网络信息安全科技信息获取
网络信息安全科技信息获取来源主要有网络安全会议、网络安全期刊、网络安全网站、网络安全术语等。
8.1、网络信息安全会议
网络信息安全领域“四大“顶级学术会议是 S&P 、CCS 、NDSS 、USENIX Security。
国外知名的网络安全会议主要有 RSA Conference 、DEF CON 、Black Hat 。其中, RSA Conference 已经创办了 30 年。
国内知名的网络安全会议主要有中国网络安全年会、互联网安全大会(简称 ISC)、信息安全漏洞分析与风险评估大会。
8.2、网络信息安全期刊
网络信息安全国际期刊主要有 IEEE Transactions on Dependable and Secure Computing 、IEEE Transactions on Information Forensics and Security 、Journal of Cryptology 、ACM Transactions on Privacy and Security 、Computers & Security 等。
国内网络信息安全相关期刊主要有《软件学报》、《计算机研究与发展》、《中国科学:信息科学》、《电子学报》、《自动化学报》、《通信学报》、《信息安全学报》、《密码学报》、《网络与信息安全学报》等。
8.3、网络信息安全网站
网络信息安全网站的主要类型有网络安全政府职能部门、网络安全应急响应组织、网络安全公司、网络安全技术组织等。
计算机安全应急响应组 (CERT)、开放 Web 应用程序安全项目(OWASP)、网络安全会议 Black Hat 等国际组织的网站上会提供各种类型的网络信息安全服务。
国内网络安全网址主要有网络安全政府部门网站、网络安全厂商网站、网络安全标准化组织网站等。
8.4、网络信息安全术语
1 .基础技术类
基础技术类术语常见的是密码。国家密码管理局发布 GM/ZOOOl —2013《密码术语》。常见的密码术语如加密 (encryption) 、解密 (decryption) 、非对称加密算法 (asymmetric cryptographic algorithm)、公钥加密算法 (public key cryptographic algorithm)、公钥 (public key)等。
2.风险评估技术类
风险评估技术类术语包括拒绝服务 (Denial of Service) 、分布式拒绝服务 (Distributed Denial of Service) 、网页篡改 (Website Distortion) 、网页仿冒 (Phishing) 、网页挂马( Website Malicious
Code)、域名劫持 (DNS Hijack)、路由劫持 (Routing Hijack)、垃圾邮件 (Spam)、恶意代码 (Malicious
Code)、特洛伊木马 (Trojan Horse)、网络蠕虫 (Network Worm)、僵尸网络 CBotNet)等。
3.防护技术类
防护技术类术语包括访问控制 (Access Control 入防火墙 (Firewall) 、入侵防御系统 (Intrusion Prevention System)等。
4.检测技术类
检测技术类术语包括入侵检测 (Intrusion Detection)、漏洞扫描 (Vulnerability Scanning)等。
5.响应/恢复技术类
响应/恢复技术类术语包括应急响应(Emergency Response 入灾难恢复(Disaster Recovery)、备份(Backup)
等。
6.测评技术类
测评技术类术语包括黑盒测试 (Black Box Testing)、白盒测试 (White Box Testing)、灰盒测试 (Gray Box Testing)、渗透测试 (Penetration Testing)、模糊测试 (Fuzz Testing) 。