写在前面
本文全部内容摘自《信息安全工程师》教材,通过博客方式记录每天学习内容和进度。同时也让感兴趣的人能够一同学习。内容偏理论,请知悉。如果侵权,请告知,立删博文!
相关概念
网络信息安全的发展经理了通信保密、计算机安全、信息保障、可信计算等阶段。
《中华人民共和国网络安全法》已于2017年6月1日起实施,为加强网络安全教育,网络空间安全已被增设为一级学科。
APT:关键信息基础设施的高级持续威胁。
APT共计威胁活动日益频繁,包括对目标对象采用鱼叉邮件共计、水坑共计、网络流量劫持、中间人攻击等。
网络时刻面临计算机病毒、网络蠕虫、特洛伊木马、僵尸网络、逻辑炸弹、RootKit、了罗软件等恶意代码的威胁。
DLP:数据防泄漏技术
网络信息安全基本属性
常见的网络信息安全基本属性主要有机密性、完整性、可用性、抗抵赖性和可控性等,此外还有真实性、时效性、合规性、隐私性等。
机密性:(Confidentiality)指的网络信息不泄露给非授权的用户、实体或程序,能够防止非授权者获取信息。
完整性:(Integrity)指网络信息或系统未经授权不能进行更改的特性。完整性也被称为网络信息系统CIA三性之一。
可用性:(Availability)指合法许可的用户能够及时获取网络信息或服务的特性。可用性也被称为网络信息系统CIA三性之一。
抗抵赖性:指的防止网络信息系统相关用户否认其活动行为的特性。
可控性:指网络信息系统责任主题对其具有管理、支配能力的属性,能够根据授权规则对系统进行有效掌握和控制,使得管理者有效控制系统的行为和信息的使用,符合系统运行目的。
其他:除了常见的网络信息安全特性,还有真实性、时效性、合规性、公平性、可靠性、可生存性和隐私性等。
真实性:指网络空间信息与实际物理空间、社会空间的客观事实保持一致性。
时效性:指网络空间嘻嘻、服务及系统能够满足时间的约束要求。
合规性:指网络信息、服务及系统符合法律法规政策、标准规范等要求。
公平性:指玩过信息系统相关主体处于同等地位处理相关任务,任何不占据优势的特性要求。
可靠性:网络信息系统在规定条件及时间下,能够有效完成预定的特性。
可生存性:指网络信息系统在安全首存的情形下,提供最小化、必要的服务功能,能够支撑业务继续运行的安全特性。
隐私性:指个人的敏感信息不对外公开的安全属性。
网络安全基本功能
网络应具备防御、监测、应急和恢复等基本功能
网络信息安全基本技术需求
网络信息安全基本技术需求主要有网络物理环境安全、网络信息安全认证、访问控制、安全保密、漏洞扫描、恶意代码防护、网络信息内容安全、安全监测与预警、应急相应等。
网络信息安全管理内容与方法
网络信息安全管理主要包括网络信息安全管理概念、网络信息安全管理方法、网络信息安全管理依据、网络信息安全管理要素、网络信息安全管理流程、网络信息安全管理工具、网络信息安全管理评估等。
网络信息安全管理概念
网络信息安全管理对象主要包括网络设备、网络通信协议、网络操作系统、网络服务、安全网络管理等在内的所有支持网络系统运行的软硬件总和。
与网络信息安全管理相关的技术主要有风险分析、密码算法、身份认证、访问控制、安全审计、漏洞扫描、防火墙、入侵检测和应急响应。
网络信息安全管理方法
主要有风险管理、等级保护、纵深防御、层次化保护、应急响应以及PDCA方法。
网络信息安全管理依据
主要包括网络安全法律法规、网络安全相关政策文件、网络安全技术标准规范、网络安全管理标准规范。
国际主要参考依据ISO/IEC27001、欧盟通用数据保护条例(General Data Protection Regulation,GDPR)、信息技术安全性评估通用准则(Common Criteria,CC)
国内网络安全管理参考依据:《中华人民共和国网络安全法》、《中华人民共和国密码法》
网络信息安全管理要素
由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。
简单说网络风险就是网络威胁发生的概率和所造成的影响的乘积。
在网络系统中,保护措施一般实现一种或多种安全功能,包括预防、延缓、组织、监测、简直、修正、恢复、监控以及意识性提示或强化。
网络安全管理一般遵循的流程
步骤1,确定网络信息安全管理对象
步骤2,评估网络信息安全管理对象的价值;
步骤3,识别网络信息安全管理对象的威胁;
步骤4,识别网络信息安全管理对象的脆弱性;
步骤5,确定网络信息安全管理对象的风险级别;
步骤6,制定网络信息安全防范体系及防范措施;
步骤7,实施和落实网络信息安全防范措施;
步骤8,运行/维护网络信息安全设备、配置
网络信息安全管理在系统生命周期中提供的支持
| 生命周期阶段序号 | 生命周期阶段名称 | 网络安全管理活动 |
|---|---|---|
| 阶段1 | 网络信息系统规划 | 网络信息安全风险评估、标识网络信息安全目标、标识网络信息安全需求 |
| 阶段2 | 网络信息系统设计 | 标识信息安全风险控制方法、权衡网络信息安全解决方案、设计网络信息安全体系结构 |
| 阶段3 | 网络信息系统集成实现 | 购买和部署安全设备或产品、网络信息系统的安全特性应该被配置、激活,网络安全系统实现效果的评价、验证是否能满足安全需求,检查系统所运行的环境是否符合设计 |
| 阶段4 | 网络信息系统运行和维护 | 建立网络信息安全管理组织,制定网络信息安全规章制度,定期重新评估网络信息管理对象,适时调整安全配置或设备,发现并修补网络信息系统的漏洞,威胁监测与应急处理 |
| 阶段5 | 网络信息系统废弃 | 对要替换或废弃的网络系统组件进行安全评估,废弃的网络信息系统组件安全处理,网络信息系统组件的安全更新 |
常见的网络安全管理工具
网络安全管理平台(SOC),IT资产管理系统、网络安全态势感知系统、网络安全漏洞扫描器、网络安全协议分析器、上网行为管理等。
网络信息安全管理评估
指对网络信息安全管理能力及管理工作是否符合规范进行评价。常见的网络信息安全管理评估有网络安全等级保护测评、信息安全管理体系认证(ISMS)、系统安全工程能力成熟度模型(SSE-CMM)等。
网络信息安全基本法律与国家战略
《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《国家网络空间安全战略》、《网络空间国际合作战略》
网络安全等级保护
网络安全等级保护的主要工作可以概括为定级、备案、建设整改、等级测评、运营维护。
网络安全等级保护主要技术标准规范包含:
《信息安全技术 网络安全等级保护基本要求》
《信息安全技术 网络安全等级保护安全设计技术要求》
《信息安全技术 网络安全等级保护实施指南》
《信息安全技术 网络安全等级保护测评过程指南》
《信息安全技术 网络安全等级保护测试评估技术》
《信息安全技术 网络安全等级保护测评要求》
网络产品和服务审查
中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)是负责实施网络安全审查和认证的专门机构。
网络产品和服务安全相关标准规范主要有《信息安全技术 网络产品和服务安全通用要求(征求意见稿)》
《信息安全技术 信息技术产品安全监测机构条件和行为准则》
《信息安全技术 信息技术产品安全可控评价指标(第1~5部分)》
目前中国网络安全审查技术与认证中心已经发布《网络关键设备和网络安全专用产品目录》,主要包括网络关键设备和网络安全专用产品。
网络关键设备
包括路由器、交换机、服务器(机架式)、可编程逻辑控制器(PLC设备)等;
网络安全专用产品
有数据备份一体机、防火墙(硬件)、WEB应用防火墙(WAF)、入侵检测系统(IDS)、入侵防御系统(IPS)、安全隔离与信息交换产品(网闸)、反垃圾邮件产品、网络综合审计系统、网络脆弱性扫描产品、安全数据库系统、网站恢复展品(硬件)。
网络安全产品管理
目前中国网络安全产品测评结构主要有 国家保密科技测评中心、中国信息安全人中中心、国家网络与信息系统安全产品质量监督检验中心、公安部计算机信息系统安全产品质量监督检验中心等。
互联网域名安全管理
域名服务是网络基础服务。该服务主要是指从事域名根服务器运行和管理顶级域名运行和管理、域名注册、域名解析等活动。
《互联网域名管理办法》第四十一条规定,域名根服务器运行机构、域名注册管理机构和域名注册服务机构应当遵守国家相关法律、法规和标准,落实网络与信息安全保障措施,配置必要的网络通信应急设备,建立健全网络与信息安全监测技术手段和应急制度。域名系统出现网络与信息安全事件时,应当在24小时内向电信管理机构报告。《国务院办公厅关于加强政府网站域名管理的通知》(国办函2018 55号)要求加强域名解析安全防护和域名监测处置。要积极采取域名系统(DNS)安全协议技术、抗攻击技术等措施,防止域名被劫持、被冒用,确保域名解析安全。应委托具有应急灾备、抗攻击等能力的域名解析服务提供商进行域名解析,鼓励对政府网站域名进行集中解析。自行建设运维的政府网站服务器不得放在境外;租用网络虚拟空间的,所租用的空间应当位于服务商的境内节点。使用内容分发网络(CDN)服务的,应当要求服务商将境内用户的域名解析地址指向其境内节点,不得指向境外节点。
网络安全标准规范与测评
全国信息安全标准化技术委员会是从事信息安全标准化工作的技术工作组织。委员会负责组织开展国内信息安全有关的标准化工作,技术委员会主要工作范围包括安全技术、安全机制、安全服务、安全管理、安全评估等领域的标准化技术工作。全国信息安全标准化技术委员会网址是www.tc260.org.cn。
网络安全事件与应急响应制度
网络安全事件相关政策文件及标准规范主要如下:
《国家网络安全事件应急预案》;
《工业控制系统信息安全事件应急管理工作指南》;
《信息安全技术 网络共计定义及描述规范》;
《信息安全技术 网络安全事件应急演练通用指南》;
《信息安全技术 网络安全威胁信息格式规范》;
网络信息安全科技信息获取
网络安全会议、网络安全期刊、网络安全网站、网络安全术语
网络信息安全会议
四大顶级级学术会议:S&P、CCS、NDSS、USENIX Security,其中USENIX Security被中国计算机协会CCF归为网络与信息安全A类会议
国外指明网络安全会议主要有RSA Conference、DEF CON、Black Hat。其中RSA Conference已创办30年。
国内知名网络安全会议主要有中国网络安全年会、互联网安全大会(简称ISC)、信息安全漏洞分析与风险评估大会。其中ISC创办于2013年。
网络安全期刊
网络信息安全国际期刊主要有IEEE Transactionson Dependable and Secure Computing、IEEE Transactions on Information Forensics and Security 、Journal of Cryptology 、 ACM Transactions onPrivacy and Security、Computers & Security等.
国内网络信息安全相关期刊主要有《软件学报》《计算机研究与发展》《中国科学: 信息科学》《电子学报》《自动化学报》《通信学报》《信息安全学报》《密码学报》《网络与信息安全学报》等。
网络安全术语
基础技术类
基础技术类术语常见的是密码。国家密码管理局发布GM/Z0001-2013《密码术语》。常见的密码术语如加密 (encryption)、解密 (decryption)、非对称加20:06
B密算法(asymmetric cryptographic algorithm)钥加密算法 (public key cryptographic algorithm)、公钥 (public key) 等。
风险评估技术类
风险评估技术类术语包括拒绝服务 (Denial ofService) 、分布式拒绝服务 (Distributed Denial ofService) 、网页篡改(Website Distortion) 、网页仿冒(Phishing)、网页挂马(Website Malicious Code)、域名劫持(DNS Hiiack) 、路由劫持 (Routing Hijack)垃圾邮件 (Spam)、恶意代码 (Malicious Code) 、特洛伊木马 (Troian Horse) 、网络蠕虫 (NetworkWorm)、僵尸网络 (Bot Net) 等。
防护技术类
防护技术类术语包括访问控制 (Access Control)防火墙 (Firewall)、入侵防御系统 (Intrusion Prevention System)等
监测技术类
检测技术类术语包括入侵检测 (Intrusion Detection) 、漏洞扫描 (Vulnerability Scanning)等。
结语
以上为一章节,主要主要包括: 第一,阐述了网络空间以及网络信息安全的基本概念,分析了网络信息安全的现状和问题,第二,讲述了网络信息安全基本属性、网络信息安全基本目标、网络信息安全基本功能等相关内容;第二,分析了网络信息安全基本技术需求,给出了网络信息安全管理概念、要素、流程、方法等;第四,介绍了网络信息安全法律与政策文件,主要包括网络信息安全基本法律、网络安全等级保护、国家密码管理制度、网络产品和服务审查、互联网域名安全管理、工业控制信息安全制度、个人信息和重要数据保护制度等,第五,给出网络信息安全科技信息获取来源,介绍网络安全会议、期刊、网络及相关术语等
