【总结】信息安全工程师第二版-第1章 网络信息安全概述-04
1.7 网络信息安全法律与政策文件
网络信息安全相关法律法规及政策涵盖了国家安全领域内主要的网络安全战略规划以及相应的网络安全防护制度体系。密码与解密管理作为技术产品和服务的安全保障措施之一,在保障数据安全方面发挥着重要作用。此外还包括网络域名服务和相关的安全风险评估工作。
1.7.1 网络信息安全基本法律与国家战略
网络信息安全基本法律与国家战略主要有:
《中华人民共和国国家安全法》
《中华人民共和国网络安全法》
《全国人民代表大会常委委员会关于加强网络信息保护的决定》
《国家网络空间安全战略》
《网络空间国际合作战略》
《中华人民共和国密码法》
《中华人民共和国 数据安全法》
《 中华人民共和国个人信息保护法》等。
1.7.2 网络安全等级保护
根据《网络安全法》第二十一条规定, 国家实施网络安全等级保护制度. 按照相关规定要求, 网络运营者应当依照网络安全等级保护制度的要求, 承担相应的安全防护责任, 采取必要措施防止网络遭受干扰、破坏或未经授权的访问, 防止网络数据泄露或被窃取、篡改. 具体而言, 所规定的网络安全防护义务包括但不限于:
建立内部安全管理制度与操作规范,并任命网络安全负责人以确保其履行职责。
采用多种技术手段防御恶意软件、网络攻击手段以及非法入侵行为等网络安全威胁
采用监控与记录网络运行状态及网络安全事件的技术手段,并遵循相关规定对相关网络日志实施存储工作以确保其保存期限至少为六个月
4、采取数据分类、重要数据备份和加密 等措施;
5、法律、行政法规规定的其他业务。
网络安全等级保护的主要内容包括:进行等级定级、完成备案手续、实施建设整改措施、开展等级测评工作以及进行日常运营维护等各项任务。
其中,在分级过程中需完成两项主要任务:一是识别目标类别;二是明确评估基准;并通过专业机构评估与相关部门确认
按照《等级保护法》的规定进行备案材料的准备工作,并接受当地公安机关的备案审批。
根据相应等级标准对当前保护对象实际情况进行差异分析,并结合行业规范要求对存在的问题项实施整改措施,最终达到相应的等级标准以实现其安全技术和管理体系体系。
等级保护测评工作主要是指由具备相应资质的专业机构依据国家规定的安全保护级别要求,在完成对被评估对象的定级后进行专业的技术验证,并颁发与其相关的《XXX》证书;
日常运维管理活动是指按照等级保护制度要求的主体,在确保保护对象安全运行的基础上履行安全管理职责,并监督其实现过程中的安全情况。
网络安全等级保护主要技术标准规范如下:
《信息安全技术 网络安全等级保护基本要求》
《信息安全技术 网络安全等级保护安全设计技术要求》
《信息安全技术 网络安全等级保护实施指南》
《信息安全技术 网络安全等级保护测评过程指南》
《信息安全技术 网络安全等级保护测试评估技术指南》
《信息安全技术 网络安全等级保护测评要求》
1.7.3 国家密码管理制度
《中华人民共和国密码法》生效时间:2020-1-1
《商用密码管理条例》生效时间:1999-10-7
《商用密码科研管理规定》生效时间:2006-1-1
《商用密码产品生产管理规定》生效时间:2006-1-1
《商用密码产品销售管理规定》生效时间:2006-1-1
《商用密码产品使用管理规定》生效时间:2007-5-1
《境外组织和个人在华使用密码产品管理办法》生效时间:2007-5-1
《信息安全等级保护商用密码管理办法》 生效时间:2008-1-1
《信息安全等级保护商用密码管理办法实施意见》生效时间:2009-12-15
《信息安全等级保护商用密码技术实施要求》生效时间:2009-12-15
1.7.4 网络产品和服务审查
网络安全审查的重点是重点关注评估采购网络产品和服务可能带来的国家安全风险,并涵盖相关方面的具体分析
产品和服务使用后所带来的重要信息基础实施受非法控制、受到干扰和破坏的影响,并且重要数据面临被窃取、泄露或毁损的威胁。
2、产品和服务供应中断对关键信息基础设施业务连续性的危害;
产品的安全性和服务质量、开放性和包容性以及透明度和可信赖度都值得重点关注。此外,多元化化的来源渠道和多维度的供应链网络也是企业应关注的关键要素,而可靠的供应链管理和专业的供应链服务保障则是企业规避供应中断风险的重要措施。潜在的政治风险和国际局势波动可能导致突发的安全中断风险,这对全球供应链稳定性构成直接威胁
4、产品和服务提供者准守中国法律、行政法规、部门规章情况;
5、其他可能危害关键信息基础设施安全和国家安全的因素。
国家网络空间安全战略委员会(CCRC)是负责承担执行职责的官方机构。该委员会前身是中国信息安全认证中心。
当下
网络安全专用产品包括集成数据备份设备、用于保护企业IT基础设施的硬件防火墙、Web应用程序防护系统的WEB应用防火墙(WAF)、内网入侵监控工具型的入侵检测系统(IDS)、基于Windows的操作系统的全面防护能力的入侵防御系统(IPS)、能够实现安全分隔与通信功能的安全隔离与信息交换设备(网闸)、专业级的垃圾邮件过滤服务反垃圾邮件产品、提供全方位网络安全管理功能的网络综合审计平台、专门用于发现和修复潜在网络安全风险的网络脆弱性扫描工具以及专为保障数据库安全性设计的数据安全存储平台等
1.7.5 网络安全产品管理
网络安全产品管理主要依靠第三方机构遵循国家或行业标准完成评估流程,在满足相关要求后颁发产品合格证书
1.7.6 互联网域名安全管理
该网络基础服务主要提供域名相关功能。它不仅负责根服务器的运维与维护,并且包括顶级域的管理和运营工作。此外还承担了用户注册新域以及将域名解析为主机IP地址的任务。
1.7.7 工业控制信息安全制度
《关于加强工业控制系统信息安全管理的通知》
《工业控制系统信息安全防护指南》
《工业控制系统信息安全事件应急管理工作指南》
《工业控制系统信息安全防护能力评估工作管理办法》
《店里监控系统安全防护规定》
《电力监控系统安全防护规定》
《电力监控系统安全防护总体方案》
《电力二次系统安全防护规定》
《电力信息系统安全检查规范》
《电力信息安全水平评价指标》
《烟草工业企业生产网与管理网网络互联安全规范》
1.7.8 个人信息和重要数据保护制度
《个人信息和重要数据出境安全评估方法(征求意见稿)》
《信息安全技术 个人信息安全规范》
《信息安全技术 个人信息去标识化指南》
《信息安全技术 公共与商用服务系统个人信息保护指南》
《信息安全技术 数据出境安全评估指南(征求意见稿)》
《科学数据管理办法》
《数据安全管理办法(征求意见稿)》
1.7.9 网络安全标准规范与测评
全国信息安全标准化技术委员会 www.tc260.org.cn
全国信息安全标准化技术委员会致力于实现国家信息安全领域的标准化工作。该委员会承担着推动国内信息安全相关领域的标准化工作,并对安全技术和信息化服务等相关领域开展标准化研究和技术交流。其主要职责包括制定安全标准、参与安全产品认证评估以及推动安全技术研发等工作。
1.7.10 网络安全事件与应急响应制度
网络安全事件相关政策文件及标准规范主要如下:
《国家网络安全事件应急预案》
《工业控制系统信息安全事件应急管理工作指南》
《信息安全技术 网络攻击定义及描述规范》
《信息安全技术 网络安全事件应急演练通用指南》
《信息安全技术 网络安全威胁信息格式规范》
CNCERT及CNCERT/CC即代表国家互联网应急中心(简称"国家互联网应急中心")
1.8 网路信息安全科技信息获取
网络信息安全科技信息的主要获取途径包括:通过参加安全技术交流会议获取资讯;通过查阅权威的安全技术期刊了解动态;通过访问安全技术网站平台获取实时更新;以及学习相关术语提升技能。
1.8.1 网络信息安全会议
网络信息安全领域的四个重要学术会议包括S&P、CCS、NDSS和USENIX Security。其中USENIX Security通常被中国计算机学会认定为属于属于'网络与信息安全'领域的重要A类会议,并采用A/B/C分类体系进行划分。其中A类最为权威或重要。此外还有如Annual Computer Security Applications Conference这样的知名B类会议等
国外知名的网络安全会议主要有RSA Conference 、DEF CON、Black Hat。
国内知名的网络安全会议主要包括中国网络安全年会、互联网安全大会(简称ISC)以及信息安全漏洞分析与风险评估大会。
1.8.2 网络信息安全期刊
学术期刊:包括以下国际知名学术出版物:IEEE Transaction...
我国核心期刊:包括但不限于以下重要学术刊物,《软件领域的重要学术刊物》、《计算机领域的前沿研究平台》等
1.8.3 网络信息安全网站
OWASP即Open Web Application Security Project(OWASP),是一个致力于提升Web应用程序安全性的重要平台(定期发布最新安全威胁排名,并为开发者提供防御建议),对于技术开发人员而言是一个不容错过的资源库(通过持续关注最新威胁和发展趋势,能够帮助开发者构建更加安全的应用系统)。