第1章 网络信息安全概述
第1章 网络信息安全概述
1.1.1 网络信息安全相关概念
网络信息安全的发展历经了通信保密、计算机安全、信息保障、可信计算等阶段。狭义上的网络信息安全特指网络信息系统的各组成要素符合安全属性的要求,即机密性、完整性、可用性、抗抵赖性、可控性。广义上的网络信息安全是涉及国家安全、城市安全、经济安全、社会安全、生产安全、人身安全等在内的“大安全”。
围绕网络安全问题,保障网络信息安全的对象内容、理念方法、持续时间都在不断演变,其新的变化表现为三个方面:一是保障内容从单维度向多维度转变,保障的维度包含网络空间域、物理空间域、社会空间域;二是网络信息安全保障措施从单一性(技术)向综合性(法律、政策、技术、管理、产业、教育)演变;三是保障时间维度要求涵盖网络系统的整个生命周期,保障响应速度要求不断缩短,网络信息安全没有战时、平时之分,而是时时刻刻。
1.1.2 网络信息安全重要性认识
2016年国家发布了《国家网络空间安全战略》,相关的网络安全法律法规政策也相继出台。
《中华人民共和国网络安全法》已于2017年6月1日起实施。
为加强网络安全教育,网络空间安全已被增设为一级学科。
“没有网络安全就没有国家安全”成为全社会的共识。
1.2.2 网络信息安全问题
网络信息安全是网络信息化不可回避的重要工作,主要有十二个方面的问题亟须解决,分别叙述如下。
- 网络强依赖性及网络安全关联风险凸显
- 网络信息产品供应链与安全质量风险
- 网络信息安全产品技术同质性与技术滥用风险
- 网络安全建设与管理发展不平衡、不充分风险
- 网络数据安全风险
- 高级持续威胁风险
- 恶意代码风险
- 软件代码和安全漏洞风险
- 人员的网络安全意识风险
- 网络信息技术复杂性和运营安全风险
- 网络地下黑产经济风险
- 网络间谍与网络战风险
1.3 网络信息安全基本属性
- 机密性
- 完整性
- 可用性
- 抗抵赖性
- 可控性
- 其他
- 真实性
- 时效性
- 合规性
- 公平性
- 可靠性
- 可生存性
- 隐私性
1.4 网络信息安全目标与功能
1.4.1 网络信息安全基本目标
根据《国家网络空间安全战略》,宏观的网络安全目标是以总体国家安全观为指导,贯彻落实创新、协调、绿色、开放、共享的发展理念,增强风险意识和危机意识,统筹国内国际两个大局,统筹发展安全两件大事,积极防御、有效应对,推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标。
网络安全的具体目标是保障网络信息及信息系统免受网络安全威胁,相关保护对象满足网络安全基本属性要求,用户网络行为符合国家法律法规要求,网络信息系统能够支撑业务持续运营,数据安全得到有效保护。
1.4.2 网络信息安全基本功能
要实现网络信息安全基本目标,网络应具备防御、监测、应急和恢复等基本功能。
1.5 网络信息安全基本技术需求
- 物理环境安全
- 网络信息安全认证
- 网络信息访问控制
- 网络信息安全保密
- 网络信息安全漏洞扫描
- 恶意代码防护
- 网络信息内容安全
- 网络信息安全监测与预警
- 网络信息安全应急响应
1.6 网络信息安全管理内容与方法
1.6.1 网络信息安全管理概念
网络信息安全管理是指对网络资产采取合适的安全措施,以确保网络资产的可用性、完整性、可控制性和抗抵赖性等,不致因网络设备、网络通信协议、网络服务、网络管理受到人为和自然因素的危害,而导致网络中断、信息泄漏或破坏。
1.6.2 网络信息安全管理方法
网络安全管理方法主要有风险管理、等级保护、纵深防御、层次化保护、应急响应以及PDCA(Plan-Do-Check-Act)。
1.6.3 管理信息安全管理依据
国际上网络安全管理的参考依据主要是ISO/IEC27001、欧盟通用数据保护条例(General Data Protection Regulation,GDPR)、信息技术安全性评估通用准则(Common Criteria,CC)。
国内网络安全管理的参考依据主要是《中华人民共和国网络安全法》、《中华人民共和国密码法》以及GB17859、GB/T22080、网络安全等级保护条例与标准规范。
1.6.4 网络信息安全管理要素
- 管理对象
- 硬件:计算机、网络设备、传输介质及转换器、输入输出设备、监控设备
- 软件:网络操作系统、网络通信软件、网络管理软件
- 存储介质:光盘、硬盘、软盘、磁带、移动存储器
- 网络信息资产:网络IP地址、网络物理地址、网络用户帐号/口令、网络拓扑结构图
- 支持保障系统:消防、保安系统、动力、空调、通信系统、厂商服务系统
- 网络信息安全威胁
- 国家
- 黑客
- 恐怖分子
- 网络犯罪
- 商业竞争对手
- 新闻机构
- 不满的内部工作人员
- 粗心的内部工作人员
- 网络信息安全脆弱性
脆弱性指计算系统中与安全策略相冲突的状态或错误,它将导致攻击者非授权访问、假冒用户执行操作及拒绝服务。 - 网络信息安全风险
网络信息安全风险是指特定的威胁利用网络管理对象所存在的脆弱性,导致网络管理对象的价值受到损害或丢失的可能性。简单地说,网络风险就是网络威胁发生的概率和所造成的影响的乘积。网络安全管理实际上就是对网管对象的风险进行控制,其方法如下:
- 避免风险
- 转移风险
- 减少威胁
- 消除脆弱点
- 减少威胁的影响
- 风险监测
- 网络信息安全保护措施
保护措施可由多个安全机制组成,如访问控制机制、抗病毒软件、加密机制、安全审计机制、应急响应机制等。
1.6.5 网络信息安全管理流程
网络信息安全管理一般遵循如下工作流程:
步骤1,确定网络信息安全管理对象;
步骤2,评估网络信息安全管理对象的价值;
步骤3,识别网络信息安全管理对象的威胁;
步骤4,识别网络信息安全管理对象的脆弱性;
步骤5,确定网络信息安全管理对象的风险级别;
步骤6,制定网络信息安全防范体系及防范措施;
步骤7,实施和落实网络信息安全防范措施;
步骤8,运行/维护网络信息安全设备、配置。
1.6.6 网络信息安全管理工具
常见的网络安全管理工具有网络安全管理平台(简称SOC)、IT资产管理系统、网络安全态势感知系统、网络安全漏洞扫描器、网络安全协议分析器、上网行为管理等各种类型。
1.6.7 网络信息安全管理评估
网络信息安全评估是指对网络信息安全管理能力及管理工作是否符合规范进行评价。常见的网络信息安全管理评估有网络安全等级保护测评,信息安全管理体系认证(简称ISMS)、系统安全工程能力成熟度模型(简称SSE-CMM)等。
1.7 网络信息安全法律与政策文件
网络信息安全法律与政策主要有国家安全、网络安全战略、网络安全保护制度、密码管理、技术产品、域名服务、数据保护、安全测评等各个方面。
1.7.1 网络信息安全基本法律与国家战略
网络信息安全基本法律与国家战略主要有:《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《国家网络空间安全战略》、《网络空间国际合作战略》等。
1.7.2 网络安全等级保护
网络安全等级保护的主要工作可以概括为定级、备案、建设整改、等级测评、运营维护。
1.7.3 国家密码管理制度
- 《中华人民共和国密码法》
- 《商用密码管理条例》
- 《商用密码科研管理规定》
- 《商用密码产品科研管理规定》
- 《商用密码产品销售管理规定》
- 《商用密码产品使用管理规定》
- 《境外组织和个人在华使用密码产品管理办法》
- 《信息安全等级保护商用密码管理办法》
- 《信息安全等级保护商用密码管理办法实施意见》
- 《信息安全等级保护商用密码技术实施要求》
1.7.4 网络产品和服务审查
中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)是负责实施网络安全审查和认证的专门机构。
1.7.5 网络安全产品管理
网络安全产品管理主要是由测评机构按照相关标准对网络安全产品进行测评,达到测评要求后,给出产品合格证书。
1.7.6 互联网域名安全管理
1.7.7 工业控制信息安全制度
1.7.8 个人信息和重要数据保护制度
1.7.9 网络安全标准规范与测评
1.7.10 网络安全事件与应急响应制度
国家计算机应急响应技术处理协调中心(简称“国家互联网应急中心”,英文缩写为CNCERT或CNCERT/CC)是中国计算机网络应急处理体系中的牵头单位,是国家级应急中心。CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处理等工作,维护公共互联网安全,保障关键信息基础设施的安全运行。
1.8 网络信息安全科技信息获取
1.8.1 网络信息安全会议
网络信息安全领域“四大”顶级学术会议是S&P、CCS、NDSS、USENIX Security。其中USENIX Security被中国计算机学会(CCF)归为“网络与信息安全”A类会议。
国内知名的网络安全会议主要有中国网络安全年会、互联网安全大会(简称ISC)、信息安全漏洞分析与风险评估大会。
1.8.2 网络信息安全期刊
国内网络信息安全相关期刊主要有《软件学报》、《计算机研究与发展》、《中国科学:信息科学》、《电子学报》、《自动化学报》、《通信学报》、《信息安全学报》、《密码学报》、《网络与信息安全学报》。