软考-信息安全-网络信息安全概述

1.1 网络发展现状与重要性认识

  • 主要阐述了网络安全从古至今发展的来历,发展至今目前已经是数字化,网络化,智能化的信息社会,万物互联的时代已经来临,基于TCP/IP协议的互联网技术已广泛的深入到工业,商业,社会等各个领域,她们形成了各式各样的网络,例如:工业互联网,车联网,社交网,产业互联网等等。计算机从网络演变成人类活动的新空间,就是现在所说的网络空间安全,简称网络空间,她是国家继陆,海,空,天(太空)四个疆域之后的第五疆域,本书提出的是网络空间信息安全,通常称为网络信息安全,根据我接触到的,现在是叫网络空间安全-Cyberspace Security,而不是针对路由,交换,防火墙之类的网络安全(Network Security)
1.1.1 网络信息安全相关概念
  • 网络安全经历通信保密,计算机安全,信息保障,可信计算等阶段,狭义上讲特指网络信息系统的各组成要素符合安全的属性要求,一般是指机密性,完整性,可用性,抗抵赖性,可控性。
  • 广义上讲的网络信息安全是涉及到国家安全,城市安全,经济安全,社会安全,生产安全,人身安全等在内的“大安全”,涉及到国家相关的网络信息安全,就会有对应的法律法规颁发,目前的网络安全法已经诠释了针对网络安全的边界,此处的网络安全是指通过采取必要措施,防范对网络的攻击,侵入,干扰,破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性,保密性,可用性的能力。
  • 围绕网络安全的问题,保障网络信息安全的对象内容,理念方法,持续时间都在不断的演变。
    • 一是保障内容从单维度向多维度转变,保障的维度包含网络空间域,物理空间域,社会空间域(空间)。
    • 二是网络信息安全保障措施从单一性(技术)向综合性(法律,政策,技术,管理,产业,教育)演变(领域)。
    • 三是保障时间维度要求涵盖网络系统的整个生命周期,保障响应速度要求不断缩短,网络信息安全没有战时,平时之分,而是时时刻刻(时刻准备着-类似甲方安全一线工程师或乙方安全服务一线工程师,应急响应最突出)。
1.1.2 网络信息安全重要性认识
  • 网络安全已经上升到国家层面,没有网络安全就没有国家安全,在网络空间中其支撑着关键行业开展的各种业务的基础平台,网络空间的安全直接影响业务的正常运转,关系到国家安全,社会稳定和数字经济的发展。

1.2 网络信息安全现状与问题

1.2.1 网络信息安全状况
  • 当今世界的各种网络空间安全问题面临着各种不同动机的威胁,存在网络信息泄露,恶意代码,垃圾邮件,网络恐怖主义等,而且现有的信息系统是多协议,多系统,多应用,多用户组成的网络空间环境,复杂性高,所以也就存在着各种难以避免的安全漏洞,至今世界发生了各种骇人听闻的安全事件,例如:域名劫持,永恒之蓝,震网病毒,大停电等重大安全事件,还有针对关键信息基础设施的高级持续威胁(APT)攻击。
1.2.2 网络信息安全问题
  • 1.网络强依赖性及网络安全关联风险凸显。
    • 社会各个方面对网络信息系统的依赖性增强,存在各种关键信息基础设施相互关联,而对网络安全影响范围日益扩大,产生级联反应,蝴蝶效应。
  • 2.网络信息产品供应链与安全质量风险。
    • 主要阐述国内各类产品在安全方面的考量不高,存在各种安全漏洞,安全质量风险很大,国家信息安全漏洞共享平台统计到上万条安全漏洞。
  • 3.网络信息产品技术同质性与技术滥用风险。
    • 网络信息安全产品设计思想和方法策略都是差不多一样的,缺乏技术的多样性,如果某一产品触发了恶意蠕虫事件,极易造成这类基本一样设计的产品都将遭受伤害,另一方面描述了各种黑阔技术被滥用,操作利用成本也很低
  • 4.网络安全建设与管理发展不平衡,不充分风险。
    • 反馈网络安全建设依然停留在被动防御,事后补救的场景,采取一种“亡羊补牢”的方式构建整体的网络安全机制,总结来说就是“重技术,轻管理;重建设,轻运营;重硬件,轻软件”,例如:使用了网络安全设备口令依然是弱口令等。
  • 5.网络数据安全风险。
    • 这里涉及到数据安全,简单提到数据全生命周期,表示数据在不断生成,传输,存储,加工,分发,共享,期间支撑着国家重点的关键信息系统的运营,关键信息系统一旦被破坏遭到运行中断等情况,会直接影响社会,引发社会信任危机等。
  • 6.高级持续威胁风险。
    • APT攻击,一般针对国防,政府,金融,外交,能源,医疗,传媒,电信等行业进行攻击。
  • 7.恶意代码风险。
    • 面临木马,蠕虫,僵尸网络,勒索软件等恶意代码的威胁
  • 8.软件代码和安全漏洞风险。
    • 软件工程和管理的问题,因软件设计不当和代码编写不规范,写出了太多漏洞代码,导致存在各种安全漏洞。
  • 9.人员的网络安全意识风险。
    • 人员的安全意识薄弱,例如U盘进行物理隔离摆渡攻击等。
  • 10.网络信息技术复杂性和运营安全风险。
    • 这里说的复杂性是因为近些年出来了云计算,大数据,人工智能,移动互联网,物联网等新一代技术的普及应用,种类多了,量大了,·边界模糊化了,自然的网络安全防护难度家督,安全运营的风险增加。
  • 11.网络地下黑产经济风险。
    • 僵尸网络,挖矿木马家族,DDoS攻击。
  • 12.网络间谍与网络战风险。
    • 这里谈到了站在国家级别的网络武器化,跟国家与国家网络攻击有关。

1.3 网络信息安全基本属性

  • 常见的网络信息安全基本属性主要有机密性,完整性,可用性,抗抵赖性和可控性等,此外还有真实性,时效性,合规性,隐私性等。
1.3.1 机密性
  • 机密性(Confidentiality)是指网络信息不泄露给非授权的用户,实体或程序,能够防止非授权者获取信息。机密性通常被称为网络信息系统CIA三性之一,其中C代表机密性,机密性是军事信息系统,电子政务信息系统,商业信息系统等重点要求,一旦信息泄露,所造成的影响难以计算。
1.3.2 完整性
  • 完整性(Integrity)是指网络信息或系统未经授权不能进行更改的特性。例如:电子邮件在存储或传输过程重保持不被删除,修改,伪造,插入等。完整性也被称为网络信息系统CIA三性之一,其中I代表完整性,完整性对于金融信息系统,工业控制系统非常重要,可谓“失之毫厘,差之千里”
1.3.3 可用性
  • 可用性(Availability)是指合法许可的用户能够及时获取网络信息或服务的特性。例如:网站能够给用户提供正常的网页访问服务,防止拒绝服务攻击。可用性同样是常常备受关注的网络信息系统CIA三性之一,其中A代表可用性,对于国家关键信息基础设施而言,可用性至关重要,如电力信息系统,电信信息系统等,要求保持业务连续性运行,尽可能避免中断服务。
1.3.4 抗抵赖性
  • 抗抵赖性是指防止网络信息系统相关用户否认其活动行为的特性。例如:通过网络审计和数字签名,可以记录和追溯访问者在网络系统中的活动。抗抵赖性也称为非否认性(Non-Repudiation)也可以理解为抗否认性,不可否认性等,这个不可否认性的目的是防止参与方对其行为的否认。该安全特性常用于电子合同,数字签名,电子取证等应用中。
1.3.5 可控性
  • 可控性是指网络信息系统责任主体对其具有管理,支配能力的属性,能够根据授权规则对系统进行有效掌握和控制,使得管理者有效地控制系统的行为和信息的使用,符合系统运行目标。
1.3.6 其他
  • 1.真实性
    • 真实性是指网络空间信息与实际物理空间,社会空间的客观事实保持一致性。例如:网络谣言信息不符合真实情况,违背了客观事实。
  • 2.时效性
    • 时效性是指网络空间信息,服务及系统能够满足时间约束要求。例如:汽车安全驾驶的智能控制系统要求信息具有实时性,信息在规定时间范围内才有效
  • 3.合规性
    • 合规性是指网络信息,服务及系统符合法律法规政策,标准规范等要求。例如:网络内容符合法律法规政策要求。
  • 4.公平性
    • 公平性是指网络信息系统相关主体处于同等地位处理相关任务,任何一方不占据优势的特性要求。例如:电子合同签订双方符合公平性要求,在同一时间签订合同。
  • 5.可靠性
    • 可靠性是指网络信息系统在规定条件及时间下,能够有效完成预定的系统功能的特性
  • 6.可生存性
    • 可生存性是指网络信息系统在安全受损的情形下,提供最小化,必要的服务功能,能够支撑业务继续运行的安全特性。这里理解为,在恶劣的环境下,在被攻击的情况下,还能提供必要的服务。
  • 7.隐私性
    • 隐私性是指有关个人的敏感信息不对外公开的安全属性。如个人的身份证号码,住址,电话号码,工资收入,疾病状况,社交关系等。

1.4 网络信息安全目标与功能

  • 宏观的网络安全目标
    • 是指网络信息系统满足国家安全需求特性,符合国家法律法规政策要求。例如:网络主权,网络合规等。
  • 微观的网络安全目标
    • 是指网络信息系统的具体安全要求,这里是指的具体网络安全对应的技术,做了对应安全技术,就满足了网络安全要求。
1.4.1 网络信息安全基本目标
  • 推进网络空间和平,安全,开放,合作,有序,维护国家主权,安全,发展利益,实现建设网络强国的战略目标。宏观战略性大目标
  • 网络安全的具体目标是保障网络信息及相关信息系统免受网络安全威胁,相关保护对象满足网络安全基本属性要求,用户网络行为符合国家法律法规要求,网络信息系统能够支撑业务安全持续运营数据安全得到有效保护。(具体要做的安全目标
1.4.2 网络信息安全基本功能
  • 要实现网络信息安全基本目标,网络应具备防御,监测,应急和恢复等基本功能。
  • 1.网络信息安全防御
    • 网络信息安全防御是指采取各种手段和措施,使得网络系统具备阻止,抵御各种已知网络安全威胁的功能。
  • 2.网络信息安全监测
    • 网络信息安全监测是指采取各种手段和措施,监测,发现各种已知或未知的网络安全威胁的功能。
  • 3.网络信息安全应急
    • 网络信息安全应急是指采取各种手段和措施,针对网络系统中的突发事件,具备及时响应和处置网络攻击的功能。
  • 4.网络信息安全恢复
    • 网络信息安全恢复是指采取各种手段和措施,针对已经发生的网络灾害事件,具备恢复网络系统运行的功能。

1.5 网络信息安全基本技术需求

  • 网络信息安全基本技术需求主要有物理环境安全,网络信息安全认证,访问控制,安全保密,漏洞扫描,恶意代码防护,网络信息内容安全,安全监测与预警,应急响应等。
1.5.1 物理环境安全
  • 是指包括环境,设备和记录介质在内的所有支持网络系统运行的硬件的总体安全,是网络系统安全,可靠,不间断的基本保证。物理安全需求主要包括环境安全,设备安全,存储介质安全
1.5.2 网络信息安全认证
  • 是实现网络资源访问控制的前提和依据,是有效保护网络管理对象的重要技术方法。网络认证的作用是标识鉴别网络资源访问者的身份的真实性,防止用户假冒身份访问网络资源。
1.5.3 网络信息访问控制
  • 是有效保护网络管理对象,使其免受威胁的关键技术方法,其目标主要有下面两个:
    • (1)限制非法用户获取或使用网络资源
    • (2)防止合法用户滥用权限,越权访问网络资源
  • 例如:使用防火墙可以阻止来自外部网的不必要的访问请求,从而避免内部网收到潜在的攻击威胁。
1.5.4 网络信息安全保密
  • 网络信息安全保密的目的就是防止非授权的用户访问网上信息或网络设备。
  • 采用辐射干扰技术,防止电磁辐射泄露机密信息。
  • 对核心信息和敏感数据采用加密技术保护
  • 对重要网络信息系统进行安全域划分
  • 采用数据防泄漏技术(DLP),物理隔离技术
1.5.5 网络信息安全漏洞扫描
  • 使用相应的开源或商业漏洞扫描器扫描目标发现漏洞之后进行升级打补丁修复漏洞。
1.5.6 恶意代码防护
  • 恶意代码包括蠕虫,木马,勒索病毒等等,做好备份,安装防病毒软件等。
1.5.7 网络信息内容安全
  • 是指相关网络信息系统承载的信息及数据符合法律法规要求,防止不良信息及垃圾信息传播。
1.5.8 网络信息安全监测与预警
  • 网络系统面临着不同级别的威胁,网络安全运行是一件复杂的工作,网络安全监测的作用在于发现综合网络系统入侵活动和检查安全保护措施的有效性,以便及时报警给网络安全管理员,对入侵者采取有效措施,阻止危害扩散并调整安全策略。
1.5.9 网络信息安全应急响应
  • 网络系统所遇到的安全威胁往往难以预测,虽然采取了一些网络安全防范措施,但是由于人为或技术上的缺陷,网络信息安全事件仍然不可避免地会发生。既然网络信息安全事件不能完全消除,则必须采取一些措施来保障在出现意外的情况下,恢复网络系统的正常运转,同时对于网络攻击行为进行电子取证,打击网络犯罪活动。

1.6 网络信息安全管理内容与方法

  • 网络信息安全管理主要包括网络信息安全管理概念,网络信息安全管理办法,网络信息安全管理依据,网络信息安全管理要素,网络信息安全管理流程,网络信息安全管理工具,网络信息安全管理评估等方面。
1.6.1 网络信息安全管理概念
  • 网络信息安全管理是指对网络资产采取合适的安全措施,以确保网络资产的可用性,完整性,可控制性和抗抵赖性等,不致因网络设备,网络通信协议,网络服务,网络管理受到人为和自然因素的危害,而导致网络中断,信息泄露或破坏。
  • 网络信息安全管理对象主要包括网络设备通信协议操作系统网络服务安全网络管理等在内的所有支持网络系统运行的软,硬件总和
  • 网络信息安全涉及内容有物理安全网络通信安全操作系统安全网络服务安全网络操作安全以及人员安全
  • 与网络信息安全管理相关的技术主要有风险分析密码算法身份认证访问控制安全审计漏洞扫描防火墙入侵检测和应急响应等。
  • 网络信息安全管理的目标就是通过适当的安全防范措施,保障网络的运行安全和信息安全,满足网上业务开展的安全要求。
1.6.2 网络信息安全管理方法
  • 网络信息安全管理是一个复杂的活动,涉及法律法规技术协议产品标准规范文化隐私保护等,同时涉及多个网络安全风险相关责任体,网络安全管理方法主要有风险管理等级保护纵深防御层次化保护应急响应以及PDCA(Plan-Do-Check-Act)方法等。
1.6.3 网络信息安全管理依据
  • 网络信息安全管理依据主要包括网络安全法律法规,网络安全相关政策文件,网络安全技术标准规范,网络安全管理标准规范等。
  • 国际上网络安全管理可参考依据主要是ISO/IEC 27001,欧盟的通用数据保护条例GDPR,信息技术安全性评估通用准则(Common Criteria,CC)这就是我们一直所属说的CC。
  • 国内网络安全管理的参考依据是网络安全法,密码法,以及GB17859,GB/T22080,网络安全等级保护相关条例于标准规范。
1.6.4 网络信息安全管理要素
  • 网络信息安全管理要素由网络管理对象网络威胁网络脆弱性网络风险网络保护措施组成。由于网络管理对象自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险

  • 网络安全管理实际上就是风险控制,其基本过程是通过网络管理对象的威胁和脆弱性进行分析,确定网络管理对象的价值,网络管理对象威胁发生的可能性,网络管理对象的脆弱性程度,从而确定网络管理对象的风险等级,然后据此选取合适的安全保护措施,降低网络管理对象的风险。

  • 1.管理对象

    • 网络信息安全管理对象是企业,机构直接赋予了价值而需要保护的资产,它的存在形式包括有形的无形的,如网络设备硬件,软件文档是有形,而服务质量,网络带宽则是无形的。
    • 硬件,软件,存储介质,网络信息资产,支持保障系统。
  • 2.网络信息安全威胁

    • 网络系统包含各类不同资产,由于其所具有的价值,将会受到不同类型的威胁。
    • 威胁主体:国家,黑阔,恐怖分子,网络犯罪,新闻机构,不满的内部工作人员,粗心的内部工作人员
    • 威胁主体就是主动造成或发起威胁这行为的事物或人。
    • 根据威胁主体的自然属性,可分为自然威胁人为威胁
    • 自然威胁有地震雷击洪水火灾静电鼠害电力故障等。
    • 从威胁对象来分类:可分为物理安全威胁网络通信威胁网络服务威胁网络管理威胁
  • 3.网络信息安全脆弱性

    • 脆弱性计算系统中与安全策略相冲突的状态或错误,它将导致攻击者非授权访问,假冒用户执行操作及拒绝服务。CC标准中指出,脆弱性的存在将会导致风险,而威胁主体利用脆弱性产生风险。网络攻击主要利用了系统的脆弱性。
  • 4.网络信息安全风险

    • 网络信息安全风险是指特定的威胁利用网络管理对象所存在的脆弱性,导致网络管理对象的价值受到损害或丢失的可能性。简单的说,网络风险就是网络威胁发生的概率和所造成影响的乘积。网络安全管理实际上就是对网络系统中网管对象的风险进行控制
    • 风险控制方法:
      • 避免风险,例如:通过物理隔离设备将内部网和外部网断开,避免受到外部网的攻击。
      • 转移风险,例如:购买商业保险计划或安全外包。
      • 减少威胁,例如:安全防病毒软件包,防止病毒攻击。
      • 消除脆弱点,例如:给操作系统打补丁或强化工作人员的安全意识。
      • 减少威胁的影响,例如:采取多条通信线路进行备份或制定应急预案。
      • 风险监测,例如:定期对网络系统中的安全状况进行风险分析,监测潜在的威胁行为。
  • 5.网络信息安全保护措施

    • 保护措施是指为对付网络安全威胁,减少脆弱性,限制意外事件的影响,检测意外事件并促进灾难恢复而实施的各种实践,规程和机制的总称。
    • 目的是对网络管理对象进行风险控制。
    • 保护措施由多个安全机制组成,如:访问控制机制,防病毒软件,加密机制,安全审计机制,应急响应机制等。
    • 在网络系统中,保护措施一般实现一种或多种安全功能,包括预防,延缓,阻止,检测,限制,修正,恢复,监控以及意识性提示或强化,例如:IPS
1.6.5 网络信息安全管理流程
  • 1.确定网络信息安全管理对象
  • 2.评估网络信息安全管理对象的价值
  • 3.识别网络信息安全管理对象的威胁
  • 4.识别网络信息安全管理对象的脆弱性
  • 5.确定网络信息安全管理对象的风险级别
  • 6.制定网络信息安全防范提醒及防范措施
  • 7.实施和落实网络信息安全防范措施
  • 8.运行,维护网络信息安全设备,配置
  • 上述网络信息安全管理工作流程是需要大致遵循和不断重复循环的过程,也是安全需求不断提炼的过程。
  • 网络信息安全管理系统在生命周期中提供的支持
    • 阶段1-网络信息系统规划
    • 阶段2-网络信息系统设计
    • 阶段3-网络信息系统集成实现
    • 阶段4-网络信息系统运行和维护
    • 阶段5-网络信息系统废弃
1.6.6 网络信息安全管理工具
  • 常见的网络安全管理工具由网络安全管理平台(SOC),IT资产管理系统,安全态势感知平台,网络安全漏洞扫描器,网络安全协议分析器,上网行为管理等。
1.6.7 网络信息安全管理评估
  • 是指对网络信息安全管理能力及管理工作是否符合规范进行评价。
  • 常见的网络信息安全管理评估:网络安全等级保护测评,信息安全管理体系认证(ISMS),系统安全工程能力成熟度模型(SSE-CMM)等
  • 信息安全管理体系认证主要依据GB/T22080,ISO/IEC 27001标准

1.7 网络信息安全法律与政策文件

1.7.1 网络信息安全基本法律与国家战略
1.7.2 网络安全等级保护
  • 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。
  • 防范计算机病毒和网络攻击。
  • 记录网络运行状态,按照规定留存相关的网络日志不少于六个月。
  • 遵守法律法规,行政法规规定的其他义务。
1.7.3 国家秘密管理制度
  • 密码法
1.7.4 网络产品和服务审查
  • 中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)是负责实施网络安全审查和认证的专门机构。
1.7.5 网络安全产品管理
1.7.6 互联网域名安全管理
  • 加强域名解析安全防护和域名监测处置,积极采取域名系统(DNS)安全协议技术,抗攻击技术等措施,防止域名被劫持,确保域名解析安全。
  • 自建网站服务器不得随意放在境外,服用网络虚拟空间应位于中国境内,使用内容分发网络CDN服务的,其域名解析地址需要指向境内节点。
1.7.7 工业控制信息安全制度
1.7.8 个人信息和重要数据保护制度
1.7.9 网络安全标准规范与测评
1.7.10 网络安全事件与应急响应制度
  • 国家计算机网络应急技术处理协调中心(简称:国家互联网应急中心,英文缩写:CNCERT或CNCERT/CC)是中国计算机网络应急处理体系中牵头的单位,是国家级应急中心。

1.8 网络信息安全科技信息获取

1.8.1 网络信息安全会议
1.8.2 网络信息安全期刊
1.8.3 网络信息安全网站
1.8.4 网络信息安全术语
  • 1.基础技术类
  • 2.风险评估技术类
  • 3.防护技术类
  • 4.检测技术类
  • 5.响应/恢复技术类
  • 6.测评技术类
posted @   皇帽讲绿帽带法技巧  阅读(955)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· 实操Deepseek接入个人知识库
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· 【.NET】调用本地 Deepseek 模型
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
点击右上角即可分享
微信分享提示