第一章 网络安全信息概述
文章目录
- 网络安全信息概述
-
-
基本概念
-
- 网络信息安全定义
- 变化趋势
- 重要性
- 现状及问题
-
- 现状
-
问题
-
基本属性(CIA)
-
- 机密性 Confidentiality
- 完整性 Intergrity
- 可用性 Avaliability
- 抗抵赖性
- 可控性
- 真实性
- 时效性
- 合规性
- 公平性
- 隐私性
-
目标、功能、技术需求
-
- 目标
- 功能
- 需求
-
网络信息安全管理内容及方法
-
- 内容
- 概念
-
- 定义 * 管理对象 * 主要技术 * 方法 * 依据 * 管理要素
-
- 管理对象
-
威胁
-
风险
-
保护措施
- 风险控制方法
- 工作流程
- 生命周期
- 管理工具
- 评估
-
法律法规以及政策
-
- 基本法律与国家战略
- 网络安全等级保护
-
- 安全保护义务
-
主要工作
-
科技信息获取方式
-
- 网络安全会议
- 网络安全期刊
- 网络安全网站
-
网络安全信息概述
基本概念
网络信息安全定义
简称网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
变化趋势
保障内容:单维度-》多维度(网络空间域、物理空间域、社会空间域);
保障措施:单一性(技术)-》综合性(法律、政策、技术、管理、产业、教育);
保障时间:涵盖网络系统的整个生命周期,响应速度不断缩短,无战时、平时之分,而是时时刻刻。
重要性
网络空间已成为信息传播的新渠道、生成生活的新空间、经济发展的新引擎、文化繁荣的新载体、社会治理的新平台、交流合作的新纽带、国家主权的新疆域。
网络空间已成为支撑关键行业开展业务的基础平台,网络信息安全将直接影响业务的正常运转,关系国家安全、社会稳定和数字经济的发展;
《中华人民共和国网络安全法》已于2017年6月1日起实施。
现状及问题
现状
- 网络信息泄露、恶意代码、垃圾邮件、网络恐怖主义等都会影响网络安全;
- 多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞;
- 网络安全事件时有发生:震网病毒、乌克兰大停电事件、多国银行SWIFT系统被攻击、永恒之蓝网络蠕虫事件;
- 针对关键信息基础设施的高级持续威胁(简称APT)日趋常态化。
问题
- 网络强依赖性及网络安全关联风险凸显
- 网络信息产品供应链与安全质量风险
- 网络信息产品技术同质性与技术滥用风险
- 网络安全建设与管理发展不平衡、不充分风险
- 网络数据安全风险
- 高持续性威胁风险
- 恶意代码风险
- 软件代码和安全漏洞风险
- 人员的网络安全意识风险
- 网络信息技术复杂性和运营安全风险
- 网络地下黑产经济风险
- 网络间谍与网络战风险
基本属性(CIA)
机密性 Confidentiality
网络信息不泄露给非授权的用户、实体或程序,能够防止非授权者获取信息。
完整性 Intergrity
网络信息或系统未经授权不能进行更改的特性。
可用性 Avaliability
合法许可的用户能够及时获取网络信息或服务的特性。
抗抵赖性
防止网络信息系统相关用户否认其活动行为的特性。
可控性
网络信息系统责任主体对其具有管理、支配能力的属性,能够根据授权规则对系统进行有效掌控和控制,使得管理者有效地控制系统的行为和信息的使用,符合系统运行目标。
真实性
网络空间信息与实际物理空间、社会空间的客观事实保持一致性。
时效性
网络空间信息、服务以及系统能够满足时间约束要求。
合规性
网络信息、服务及系统负荷法律法规政策、标准规范要求。
公平性
网络信息系统相关主体处于同等地位处理相关任务,任何一方不占据优势的特性要求。
隐私性
有关个人的敏感信息不对外公开的安全属性。
目标、功能、技术需求
目标
宏观上,网络信息系统满足国家安全需求特性,符合国家法律法规政策要求,如网络主权、网络合规等;
微观上,网络信息系统的具体安全要求。围绕网络安全目标,通过设置合适的网络安全机制,以实现网络安全功能。
功能
- 网络信息安全防御 :采取各种手段和措施,使得网络系统具备阻止、抵御各种已知网络安全威胁的功能;
- 网络信息安全监测 :采取各种手段和措施,检测、发现各种已知或未知的网络安全威胁的功能;
- 网络信息安全应急 :采取各种手段和措施,针对网络系统中的突发事件,具备及时响应和处置网络攻击的功能;
- 网络信息安全恢复 :采取各种手段和措施,针对已经发生的网络灾害事件,具备恢复网络系统运行的功能。
需求
| 基本技术需求 | 定义 |
|---|---|
| 物理环境安全 | 是网络系统安全、可靠、不间断运行的基本保证,主要包括环境安全、设备安全、存储介质安全。 |
| 网络信息安全认证 | 是实现网络资源访问控制的前提和依据,是有效保护网络管理对象的重要技术方法。标识鉴别网络资源访问者的身份的真实性,防止用户假冒身份访问网络资源。 |
| 网络信息访问控制 | (1)限制非法用户获取或使用网络资源;(2)防止合法用户滥用权限,越权访问网络资源。 |
| 网络信息安全保密 | 防止非授权的用户访问网上信息或网络设备。如采取辐射干扰技术,敏感数据采用加密技术保护,重要网络信息系统采用安全分区、数据防泄漏技术(简称DLP技术)、物理隔离技术等。 |
| 网络信息安全漏洞扫描 | 网络系统中需配备弱点或漏洞扫描系统,用以检测网络中是否存在安全漏洞,以便网络安全管理员根据漏洞检测报告,指定合适的漏洞管理方法。 |
| 恶意代码防护 | 网络是病毒、蠕虫、特洛伊木马等恶意代码最好、最快的传播途径之一,防范恶意代码是网络系统必不可少的安全需求。 |
| 网络信息内容安全 | 相关网络信息系统承载的信息及数据符合法律法规要求,防止不良信息及垃圾信息传播。主要技术有垃圾邮件过滤、IP地址\URL过滤、自然语言分析处理等。 |
| 网络信息安全监测与预警 | 发现综合网系统入侵活动和检查安全保护措施的有效性,以便及时报警给网络安全管理员,对入侵者采取有效措施,阻止危害扩散并调整安全策略。 |
| 网络信息安全应急响应 | 在出现意外的情况下,回复网络系统的正常运转。同时对于网络攻击行为进行电子取证,打击网络犯罪活动。 |
网络信息安全管理内容及方法
内容
主要包括网络信息安全管理概念、网络信息安全管理方法、网络信息安全管理依据、网络信息安全管理要素、网络信息安全管理流程、网络信息安全管理工具、网络信息安全管理评估等方面。
概念
定义
对网络资产采取合适的安全措施,以确保网络资产的可用性、完整性、可控制性和抗抵赖性等,不致因网络设备、网络通信协议、网络服务、网络管理受到人为和自然因素的危害,而导致网络中断、信息泄露或破坏;
管理对象
所有支持网络系统运行的软、硬件总和;
主要技术
风险分析、密码算法、身份认证、访问控制、安全审计、漏洞扫描、防火墙、入侵检测和应急响应等。
方法
风险管理、等级保护、纵深防御、层次化保护、应急响应以及PDCA(Plan-Do-Check-Act)等。
依据
国际,ISO/IEC27001、欧盟通用数据保护条例(GDPR)、信息技术安全性评估通用准则(CC);
国内,《中华人民共和国网络安全法》、《中华人民共和国密码法》、GB17859、GB/T22080、网络安全等级保护相关条例与标准规范。
管理要素
网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。
管理对象
- 有形的(网络设备硬件、软件文档);
- 无形的(服务质量、网络带宽)。
威胁
- 自然威胁:地震、洪水、火灾、电力故障等。
- 人为威胁:国家、黑客、恐怖分子、竞争对手、新闻机构、不满的、粗心的内部人员。
风险
网络威胁发生的概率和所造成影响的乘积。
保护措施
对付威胁,减少脆弱性,对网络管理对象进行风险控制,如安装入侵检测系统。
风险控制方法
| 风险控制方法 | 举例 |
|---|---|
| 避免风险 | 通过物理隔离设备将内部网和外部网分开,避免受到外部网的攻击。 |
| 转移风险 | 购买商业保险计划或安全外包。 |
| 减少威胁 | 安装防病毒软件包,防止病毒攻击。 |
| 消除脆弱点 | 给操作系统打补丁火强化工作人员的安全意识。 |
| 减少威胁的影响 | 采取多条通信线路进行备份或制定应急预案。 |
| 风险监测 | 定期对网络系统中的安全状况进行风险分析,监测潜在的威胁行为。 |
工作流程
- 确定网络信息安全管理对象;
- 评估网络信息安全管理对象的价值;
- 识别网络信息安全管理对象的威胁;
- 识别网络信息安全管理对象的脆弱性;
- 确定网络信息安全管理对象的风险级别;
- 制定网络信息安全防范体系及防范措施;
- 实施和落实网络信息安全防范措施;
- 运行/维护网络信息安全设备、配置。
生命周期
-
网络信息系统规划
1. 网络信息安全风险评估
2. 标识网络信息安全目标
3. 标识网络信息安全需求 -
网络信息系统设计
1. 标识信息安全风险控制方法
2. 权衡网络信息安全解决方案
3. 设计网络信息安全体系结构 -
网络信息系统集成实现
1. 购买和部署安全设备或产品
2. 网络信息系统的安全特性应该被配置、激活
3. 网络安全系统实现效果的评价
4. 验证是否能满足安全需求
5. 检查系统所运行的环境是否符合设计 -
网络信息系统运行和维护
1. 建立网络信息安全管理组织
2. 制定网络信息安全规章制度
3. 定期重新评估网络信息管理对象
4. 适时调整安全配置或设备
5. 发现并修补网络信息系统的漏洞
6. 威胁监测与应急处置 -
网络信息系统废弃
1. 对要替换或废弃的网络系统组件进行风险评估
2. 废弃的网络信息系统组件安全处理
3. 网络信息系统组件的安全更新
管理工具
常见的网络安全管理工具由网络安全管理平台(简称SOC)、IT资产管理系统、网络安全态势感知系统、网络安全漏洞扫描器、网络安全协议分析器、上网行为管理等。
评估
网络信息安全管理评估是指对网络信息安全管理能力及管理工作是否符合规范进行评价。
常见的网络信息安全管理评估有:
- 网络安全等级保护测评
- 信息安全管理体系认证(简称ISMS)
- 系统安全工程能力成熟度模型(简称SSE-CMM):通过组织过程、工程过程、项目过程等来实现对系统安全能力的评价。
法律法规以及政策
基本法律与国家战略
《中华人民共和国国家安全法》;
《中华人民共和国网络安全法》已于2017年6月1日起实施,是国家网络空间安全管理的基本法律,框架性地构建了许多法律制度和要求;
《全国人民代表大会常务委员会关于加强网络信息保护的决定》;
《国家网络空间安全战略》;
《网络空间国际合作战略》等
《中华人民共和国密码法》也于2020年1月1日起实施。
网络安全等级保护
按照规定要求,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者被窃取、篡改。
安全保护义务
- 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
- 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
- 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
- 采取数据分类、重要数据备份和加密等措施;
- 法律、行政法规规定的其他义务。
主要工作
- 定级:确定定级对象,确定合适级别,通过专家评审和主管部门审核;
- 备案:按等级保护管理规定准备备案材料,到当地公安机关备案和审核;
- 建设整改:依据相应等级要求对当前保护对象的实际情况进行差距分析,针对不符合项结合行业要求对保护对象进行整改,建设符合等级要求的安全技术和管理体系;
- 等级测评:等级保护测评机构依据相应等级要求,对定级的保护对象进行测评,并出具相应的等级保护测评证书;
- 监督检查:等级保护运营主体按照相应等级要求,对保护对象的安全相关事宜进行监督管理
科技信息获取方式
网络安全会议
- 四大顶级学术会议:S&P、CCS、NDSS、USENIX Security
- 国外知名会议:RSA Conference、DEF CON、Black Hat;
- 国内知名会议:中国网络安全年会、互联网安全大会(简称ISC)、信息安全漏洞分析与风险评估大会。
网络安全期刊
- 国际期刊:IEEE Transactions on Dependable and Secure Computing、IEEE Transactions on Information Forensics and Security、Journal of Cryptology、ACM Transactions on Privacy and Security、Computers & Security等;
- 国内期刊:《软件学报》《计算机研究与发展》《中国科学:信息科学》《电子学报》《自动化学报》《通信学报》《信息安全学报》《密码学报》《网络与信息安全学报》等。
网络安全网站
- 网络安全政府职能部门、网络安全应急响应组织、网络安全公司、网络安全技术组织;
- 国际组织网站:计算机安全应急响应组(CERT)、开放Web应用程序安全项目(OWASP)、网络安全会议(Black Hat);
- 国内组织网站:网络安全政府部门网站、网络安全厂商网站、网络安全标准化组织网站。