第一章 网络信息安全概述
1.1 网络安全基础
1.1.1 网络信息安全基本概念
信息社会的主要特征:数字化、网络化、智能化。
网络信息安全(狭义):网络信息系统的各组成要素符合安全属性的要求,即机密性、完整性、可用性、抗抵赖性、可控性。
网络信息安全(广义):设计国家安全、城市安全、经济安全、社会安全、人身安全等在内的“大安全”。
网络安全三大发展趋势:
对象内容:保障内容从单维度向多维度转变。保障的维度包含网络空间域、物理空间域、社会空间域。
理念方法:网络信息安全保障措施从单一性(技术)向综合性(法律、政策、技术、管理、产业、教育)演变
持续时间:保障时间维度要求涵盖网络系统的整个生命周期,保障响应速度要求不断缩短,网络安全没有战时、平时之分,而是时时刻刻。
网络安全12大问题:网络强依赖性及网络安全关联风险凸显、网络信息产品供应链与安全质量风险、网络信息产品技术同质性与技术滥用风险、网络安全建设与管理发展不平衡,不充分风险、网络数据安全风险、高级持续威胁风险、而已代码风险、软件代码和安全漏洞风险、人员的网络阿暖意识风险、网络技术复杂性和运营安全风险、网络地下黑产经济风险、网络间谍与网络战风险。
1.1.2 网络信息安全基本属性(CIA三要素)
1.1.3 网络信息安全的目标与功能
网络信息安全目标可以分成宏观的和微观的网络安全目标。
宏观目标:网络信息系统满足国家安全需求特征,符合国家法律法规政策要求,入网络主权、网络合规等。
微观目标:网络信息系统的具体安全要求。
具体目标:保证网络信息及相关信息系统免受网络安全威胁,相关保护对象满足网络安全基本属性要求,用户网络行为符合国家法律要求,网络信息系统能够支撑业务安全持续运营,数据安全得到有效保护。
网络信息安全基本功能:要实现网络安全基本目标,网络应具备防御、检测、应急和恢复等基本功能。
1.1.4 网络信息安全技术需求
1.2 网络安全管理
1.2.1 网络信息安全管理
定义:安全管理是指对网络资产采取合适的安全措施,以确保资产可用性、完整性、可控性和抗抵赖性。
涉及内容:物理安全、网络通信安全、操作系统安全、网络服务安全、网络操作安全以及人员安全。
管理方法:风险管理、等级保护、纵深防御层次化保护、应急响应以及PDCA(计划-执行-检查-整改)方法等
管理工具:SOC(安全操作中心)、IT资产管理系统、态势感知系统、漏扫、协议分析器、上网行为管理等。
安全评估:
等保评测:通过技术+管理综合评估,保障系统安全
信息安全管理体系认证(ISMS):通过应用风险来保持信息的保密性、完整型和可用性。
系统安全工程能力成熟度模型(SSE-CMM):通过组织过程、工程过程、项目过程来实现系统安全。
网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。
1.2.2 网络信息安全管理流程
网络信息安全管理一般遵循如下工作流程:
(1) 确定网络信息安全管理对象。
(2) 评估网络信息安全管理对象的价值。
(3) 识别网络信息安全管理对象的威胁。
(4) 识别网络信息安全管理对象的脆弱性。
(5) 确定网络信息安全管理对象的风险级别。
(6) 制定网络信息安全防范体系及防范措施。
(7) 实施和落实网络信息安全管理防范措施。
(8) 运行/维护网络信息安全管理设备、配置。
1.3 网络安全法律法规
1.3.1 网络信息安全法律与政策
网络信息安全法律与政策文件:涉及国家安全、网络安全战略、网络安全保护制度、密码管理、技术产品、域名服务、数据保护、安全测评等各个方面。
《中华人民共和国国家安全法》与2015年7月1日通过,并且当日公布实施。
《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,自2017年6月1日起施行。
·制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
·采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
·采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
·采取数据分类、重要数据备份和加密等措施;
《网络安全等级保护2.0》于2019年12月1日正式实施。
《中华人民共和国密码法》于2020年1月1日起实施。
《中华人民共和国数据安全法》于2021年9月1日正式施行。
1.3.2 网络产品和服务安全审查办法
为提高网络产品和服务的安全可控水平,防范网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定了《网络产品和服务安全审查办法》。重点评估采购的产品和服务可能带来的国家安全风险。
·产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
·产品和服务供应中断对关键信息基础设施业务连续性的危害;
·产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
·产品和服务提供者遵守中国法律、行政法规、部门规章情况;
·其他可能危害关键信息基础设施安全和国家安全的因素。
中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)是负责实施网络安全审查和认证的专门机构。
发布《网络关键设备和网络安全专用产品目录》,包含:路由器、交换机、服务器、防火墙、IDS/IPS、WAF、网闸等。
1.3.3 网络安全等级保护
网络安全等级保护的主要工作可以概括为定级、备案、建设整改、等级测评、运营维护。
定级:确认定级对象、确定合适级别,通过专家评审和主管部门审核;
备案:按等级保护管理规定准备备案材料,到当地公安机关备案和审核;
建设整改:依据相应等级要求对当前保护对象的实际情况进行差距分析,针对不符合项结合行业要求对保护对象进行整改,建设符合等级要求的安全技术和管理体系;
等级测评:等级保护测评机构依据相应等级要求,对定级的保护对象进行测评,并出具相应的等级保护测评证书;
运营维护:等级保护运营主体按照相应等级要求,对保护对象的安全相关事宜进行监督管理。
1.3.4 网络信息安全部门
中国网络安全审查技术与认证中心 (CCRC,原中国信息安全认证中心)是负责实施网络安全审查和认证的专门机构。
域名服务是网络基础服务。该服务主要是指从事域名根服务器运行和管理、顶级域名运行和管理、域名注册、域名解析等活动。域名系统出现网络与信息安全事件时,应当在24小时内向电信管理机构报告。域名是政府网站的基本组成部分和重要身份标识。
国家计算机网络应急技术处理协调中心 (CNCERT或CNCERT/CC)是中国计算机网络应急处理体系中的牵头单位,是国家级应急中心。主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护公共互联网安全,保证关键信息基础设施的安全运行。
网络信息安全科技信息获取来源主要有网络安全会议、网络安全期刊、网络安全网站、网络安全术语等。
网络信息安全领域四大顶级学术会议是:S&P, CCS, NDSS, USENIX Security。
1.3.5 网络信息安全术语
常见可分为风险评估技术类、防护技术类、检测技术类、响应恢复技术类、测评技术类等。
第一章要点总结
1.1 网络安全基础
1.2 网络信息安全管理
1.2.1 网络信息安全管理
定义:安全管理是指对网络资产采取合适的安全措施
涉及内容:物理安全、网络通信安全、操作系统安全、网络服务安全、网络操作安全以及人员安全。
管理方法:风险管理、等级保护、纵深防御层次化保护、应急响应以及PDCA(计划-执行-检查-整改)方法等
管理工具:SOC(安全操作中心)、IT资产管理系统、态势感知系统、漏扫、协议分析器、上网行为管理等。
安全评估:
等保评测:通过技术+管理综合评估,保障系统安全
信息安全管理体系认证(ISMS):通过应用风险来保持信息的保密性、完整型和可用性。
系统安全工程能力成熟度模型(SSE-CMM):通过组织过程、工程过程、项目过程来实现系统安全。
网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。
1.2.2 网络信息安全管理流程
确定对象,评估价值,识别威胁,判断脆弱性,确定风险等级,指定防范措施,维护。
1.3 网络安全法律法规
1.3.1 网络信息安全法律与政策
《中华人民共和国国家安全法》2015年7月1日
★《中华人民共和国网络安全法》2017年6月1日
《网络安全等级保护2.0》2019年12月1日
《中华人民共和国密码法》2020年1月1日 全国人民代表大会常务委员会
《中华人民共和国数据安全法》2021年9月1日
1.3.2 网络产品和服务安全审查办法
依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定了《网络产品和服务安全审查办法》。重点评估采购的产品和服务可能带来的国家安全风险。
安全产品、信息安全认证,网络产品、入网许可证,无线产品、无线委员和核准证
1.3.3 网络安全等级保护
网络安全等级保护的主要工作可以概括为定级、备案、建设整改、等级测评、运营维护。
1.3.4 网络信息安全部门
中国网络安全审查技术与认证中心、域名服务是网络基础服务、国家计算机网络应急技术处理协调中心、网信办、网安、保密局。
☆ 1.3.5 网络信息安全术语
常见可分为风险评估技术类、防护技术类、检测技术类、响应恢复技术类、测评技术类等。
