1.1、网络信息安全基本属性 ? ? ? ?1.1.1、机密性(Confidentiality):网络信息不泄露给非授权用户。 ? ? ? ?1.1.2、完整性(Integrity):网络信息未经授权不能进行更改。 ? ? ? ?1.1.3、可用性(Availability):合法用户能够及时获取网络信息或服务。 ? ? ? ?1.1.4、抗抵赖性:防止网络用户否认其网络活动行为。 ? ? ? ?1.1.5、可控性:网络责任主体对其具有管理、支配能力。 ? ? ? ?1.1.6、其他:真实性、可靠性、时效性、合规性、公平性、可生存性、隐私性 ? ?网络信息系统CIA三特性:C:机密性、I:完整性、A:可用性 1.2、网络信息安全目标与功能 ? ? ? ?1.2.1、目标 ?? ?宏观:网络信息系统满足国家安全特性,符号国家法律法规政策要求。 ?? ?微观:实现信息的机密性,保证数据的完整性,实现身份或信息的鉴别性,具有不可抵赖性,对信息的授权和访问控制以及保证信息资源的可用性等。 ? ? ? ?1.2.2、功能 ?? ?1、网络信息安全防御:具有抵抗网络安全威胁 ?? ?2、网络信息安全监听:采用各种手段和措施,检测、发现各种已知或未知的网络安全威胁。 ?? ?3、网络信息安全应急:针对网络系统中的突发事件,具备及时响应和处置网络攻击的功能。 ?? ?4、网络信息安全恢复:针对已经发生的网络灾害事件,具备恢复网络系统运行的功能。 1.3、网络信息安全基本技术需求 ? ? ? ?1.3.1、物理环境安全:环境、设备、储存介质在内的所有支持网络系统运行的硬件的总体安全。 ? ? ? ?1.3.2、网络信息安全认证:实现网络资源访问控制的前提和依据,作用是标识、鉴别网络资源访问者身份的真实性。 ? ? ? ?1.3.3、网络信息访问控制:是有效保护网络管理对象,其免受威胁的关键技术。 ?? ??? ??? ?主要目标:限制非法用户获取或访问网络资源 ?? ??? ??? ??? ?防止合法用户滥用权限,越权访问网络资源 ? ? ? ?1.3.4、网络信息安全保密:对网络敏感数据进行加密技术保护、对网络核心物理实体进行物理隔离 ? ? ? ?1.3.5、网络信息安全漏洞扫描:漏洞自检 ? ? ? ?1.3.6、恶意代码保护:防范恶意代码 ? ? ? ?1.3.7、网络信息内容安全:对网络信息系统所承载传播的信息数据进行内容过滤,保证其符号法律法规要求,主要技术有垃圾邮件过滤、IP地址/URL过滤、自然语言分析处理。 ? ? ? ?1.3.8、网络信息安全检测与预警 ? ? ? ?1.3.9、网络信息安全应急响应 1.4、网络信息安全管理内容与方法 ? ? ? ?1.4.1、管理方法:风险管理、等级保护、纵深防御、层次化保护、应急响应、PDCA(Plan-Do-Check-Act) ? ? ? ?1.4.2、管理依据:国内:网络安全法律法规、网络安全相关政策文件、网络安全技术标准规范、网络安全管理标准规范。 ?? ??? ? ? 国际:ISO/IEC27001、欧盟通用数据保护条例(GDPR)、信息技术安全性评估通用准则(CC)。 ? ? ? ?1.4.3、网络信息安全管理要素:管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施。 ?? ?1、管理对象:硬件、软件、储存介质、网络信息资产、支持保障系统 ?? ?2、网络信息安全威胁:国家、黑客、恐怖分子、网络犯罪、新闻机构、不满的内部与员工、粗心的内部员工 ?? ?3、网络信息安全风险:风险控制方法:避免风险、转移风险、减少风险、消除脆弱点、减少威胁的影响、风险检测 ? ? ? ?1.4.4、网络信息安全管理流程:确定管理对象--->评估对象价值--->识别对象你威胁--->识别对象脆弱性--->确定对象风险级别--->制定防范体系及防范措施--->实施落实防范措施--->运行维护 ?? ??? ?网络安全管理系统的生命周期: ?? ??? ??? ?规划:风险评估、标识目标、标识需求 ?? ??? ??? ?设计:标识风险控制方法、权衡解决方案、设计安全体结构 ?? ??? ??? ?集成实现:具体实施设计方案、包括对系统实施效果评价 ?? ??? ??? ?运行维护: ?? ??? ??? ?系统作废: ? ? ? ?1.4.5、网络信息安全管理工具类型:网络安全管理平台(SOC)、IT资产管理系统、网络安全势态感知系统、网络安全漏洞扫描器、网络安全协议分析器、上网行为管理 ? ? ? ?1.4.6、网络安全管理评估 1.5、网络安全法律与政策文件 ? ? ? ?1.5.1、网络信息基本法律与国家战略:《国家安全法》、《网络安全法》等 ? ? ? ?1.5.2、网络安全等级保护: ?? ??? ?主要工作:定级、备案、建设整改、等级测评、运行维护 ?? ??? ?中国网络安全审查技术与认证中心(CCRC)负责实施网络安全审查和认证的专门机构
1.6、网络信息安全科技信息获取 ? ? ? 1.6.1、网络安全会议:四大顶级会议:S&S、CCS、NDSS、USENIX Security(被中国计算机学会(CCS)归为A类会议) ?? ??? ?国外:RSA Conference、DEF CON、Black Hat ?? ??? ?国内:中国网络安全年会、互联网安全大会(ISC)、信息安全漏洞风险与风险评估大会 ? ? ? 1.6.2、网络信息安全术语: ?? ??? ?基础技术类: ?? ??? ?风险评估技术类: ?? ??? ?防护技术类 ?? ??? ?检测技术类 ?? ??? ?响应/恢复技术类 ?? ??? ?评测技术类 ?
|