一、网络安全基础
1、网络信息安全基本概念
- 信息社会的主要特征:数字化、网络化、智能化。网络空间称为国家陆、海、空、天之后的第五疆域。
- 网络信息安全(狭义):网络信息系统组成要素符合安全属性,即机密性、完整性、可用性、抗抵赖性、可控性。
- 网络信息安全(广义):涉及国家安全、城市安全、经济安全、社会安全、生产安全、人身安全在内的大安全。
- 网络安全三大发展趋势
- 对象内容:保证内容从单维度向多维度转变,保障的维度包括网络空间域、物理空间域、社会空间域;
- 理念方法:网络信息安全保障措施从单一性(技术)向综合性(法律、政策、技术、管理、产业、教育)转变;
- 持续时间:保证时间维度要求涵盖网络系统的整个生命周期,响应速度要求不断缩减,网络信息安全没有战时、平时之分。
- 网络安全12大问题
- 网络强依赖性及网络安全关联风险凸显;
- 网络信息产品供应链与安全质量风险;
- 网络信息产品技术同质性与技术滥用风险;
- 网络安全建设与管理发展不平衡、不充分风险;
- 网络数据安全风险;
- 高级持续威胁风险;
- 恶意代码风险;
- 软件代码和安全漏洞风险;
- 人员的网络安全意识风险;
- 网络信息技术复杂性和运营安全风险;网络地下黑产经济风险;
- 网络间谍与网络战风险。
2、网络信息安全基本属性(CIA特性是重点)
| 属性 | 定义 | 攻击与防范 |
|---|---|---|
| 机密性(Confidentiality) | 指网络信息不泄露给非授权的用户、实体或程序,能够防止非授权者获取信息。 | 窃听-加密 |
|
完整性 (Integrity) | 指网络信息或系统未经授权不能进行更改的特性。 | 修改-HASH/签名 |
| 可用性(Availability) | 指合法许可的用户能够及时获取网络信息或服务的特性。 | DOS-冗余/清洗 |
|
抗抵赖性 (Non-Repudiation) | 防止网络信息系统相关用户否认其活动行为的特性。 | 数字签名 |
| 可控性 | 信息系统责任主体对其具有管理、支配能力的属性,能够根据授权规则对系统进行有效掌握的控制,管理者有效控制系统的行为和信息的使用,符合系统运行目标。 | - |
| 属性 | 定义 |
|---|---|
| 真实性 | 是指网络空间信息与实际物理空间、社会空间的客观事实保持一致性。 |
| 时效性 | 是指网络空间信息、服务及系统能够满足时间约束要求。 |
| 合规性 | 是指网络信息、服务及系统符合法律法规政策、标准规范等要求。 |
| 公平性 | 是指网络信息系统相关主体处于同等地位处理相关任务,任何一方不占据优势的特性要求。 |
| 可靠性 | 是指网络信息系统在规定条件及时间下,能够有效完成预定的系统功能的特性。 |
| 可生存性 | 是指网络信息系统在完全受损的情形下、提供最小化、必要的服务功能,能够支撑业务继续运行的安全特性。 |
| 隐私性 | 是指有关个人的敏感信息不对外公开的安全属性。 |
3、网络信息安全的目标与功能
- 网络信息安全目标可以分成宏观和微观的网络安全目标。
- 宏观目标:网络信息系统满足国家安全需求特性,符合国家法律法规政策要求,如网络主权、网络合规等。
- 微观目标:网络信息系统的具体安全要求。
- 具体目标:保证网络信息及相关信息系统免受网络安全威胁,相关保护对象满足网络安全基本属性要求,用户网络行为符合国家法律法规要求,网络信息系统能够支撑业务安全持续运营,数据安全得到有效保护。
- 网络信息安全基本功能:要实现网络信息安全基本目标,网络应具备防御、监测、应急和恢复等基本功能。
| 安全功能 | 内容 |
|---|---|
| 防御 | 采取各种手段和措施,使得网络系统具备阻止、抵御各种已知网络安全威胁的功能。 |
| 监测 | 采取各种手段和措施,检测、发现各种已知或未知的网络安全威胁的功能。 |
| 应急 | 采取各种手段和措施,针对网络系统中的突然事件,具备及时响应和处置网络攻击的功能。 |
| 恢复 | 采取各种手段和措施,针对已知发生的网络灾害事件,具备恢复网络系统运行的功能。 |
4、网络信息安全技术需求
| 技术需求 | 内容 |
|---|---|
| 物理环境安全 | 包括环境、设备和记录介质在内的所有支持网络系统运行的硬件的总体安全是网络系统安全、可靠、不间断运行的基本保证。物理安全需求主要包括环境安全、设备安全】存储介质安全。 |
| 认证 | 实现网络资源访问控制的的前提和依据,具有效保护网络管理对象的重要技术方法。网络认证的作用是标识鉴别网络资源访问者的身份的真实性,防止用户假冒身份访问网络资源。 |
| 访问控制 |
有效保护网络管理对象,使其免受威胁的关键技术方法。其目标主要有两个 (1)限制非法用户获取或使用网络资源 (2)防止合法用户滥用权限,越权访问网络资源。 |
| 网络安全保密 | 防止非授权的用户访问网上信息或网络设备。 |
| 漏洞扫描 | 网络系统中需配备弱点或漏洞扫描系统,用以监测网络中是否存在安全漏洞,以便网络安全管理员根据漏洞检测报告,制定合适的漏洞管理方法。 |
| 恶意代码防护 | 恶意代码可以通过网上文件下载、电子邮件、网页、文件共享等传播方式进入个人计算机或服务器。防范恶意代码是网络系统必不可少的安全需求网络信息。 |
| 内容安全 | 指相关网络信息系统承载的信息及数据符合法律要求,防止不良信息及垃圾信息传播。主要技术有垃圾邮件过滤、IP地址/URL过滤、自然语言分析处理等。 |
| 安全监测与预警 | 网络安全监测的作用在于发现综合网系统入侵活动和检查安全保护措施的有效性,以便及时报警给网络安全管理员,对入侵者采取有效措施,阻止危害扩散并调整安全策略。 |
| 应急响应 | 网络信息安全事件不可避免地会发生,必须采取一些措施来保证在出现意外的情况下,恢复网络系统的正常运转。同时,对于网络攻击行为进行电子取证,打击网络犯罪活动。 |
二、网络安全管理
1、网络信息安全管理
| 安全管理 | 内容 |
|---|---|
| 定义 | 安全管理是对网络资产采取合适的安全措施,以确保网络资产的可用性、完整性、可控性和抗抵赖性等。 |
| 涉及内容 | 物理安全、网络通信安全、操作系统安全、网络服务安全、网络操作安全以及人员安全。 |
| 管理方法 | 主要有风险管理、等级保护、纵深防御、层次化保护、应急响应以及PDCA方法等。 |
| 管理工具 | SOC、IT资产管理系统态势感知系统、漏扫、协议分析器、上网行为管理等。 |
| 安全评估 |
等级测评:通过技术+管理综合评估,保障系统安全。 信息安全管理体系(ISMS):通过应用风险管理来保持信息的保密性、完整性和可用性。 系统安全工程能力成熟度模型(SSE-CMM):通过组织过程、工程过程、项目过程等来实现系统安全能力评估。 |
2、网络信息安全管理要素
- 网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。
| 安全功能 | 内容 |
|---|---|
| 管理对象 | 硬件、软件、存储介质、网络信息资产、支持保障系统。 |
| 安全威胁 | 分为自然威胁和人为威胁。自然威胁-地震、雷击、洪水、火灾、静电、鼠害、电力故障等;人为威胁-物理安全威胁、网络通信威胁、网络服务威胁、网络管理威胁。 |
| 安全脆弱性 | 指计算机系统中与安全策略相冲突的状态或错误,它将导致攻击者非授权访问、假冒用户执行操作及拒绝服务。 |
| 网络安全风险 |
|
| 保护措施 |
3、网络信息安全管理工作流程
- 网络信息安全管理一般遵循如下工作流程:
- 确定网络信息安全管理对象。
- 评估网络信息安全管理对象的价值。
- 识别网络信息安全管理对象的威胁。
- 识别网络信息安全管理对象的脆弱性。
- 确定网络信息安全管理对象的风险级别。
- 制定网络信息安全防范体系及防范措施。
- 实施和落实网络信息安全管理防范措施。
- 运行/维护网络信息安全管理设备、配置。
三、网络安全法律法规
1、网络信息安全法律与政策
- 网络信息安全法律与政策文件:涉及国家安全、网络安全战略、网络安全保护制度、密码管理、技术产品、域名服务、数据保护、安全测评等各个方面。
- 《中华人民共和国国家安全法》于2025年7月1日通过,并且当日公布实施。
- 《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,于2017年6月1日起实施。
- 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
- 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
- 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
- 采取数据分类、重要数据备份和加密等措施;
- 《网络安全等级保护2.0》于2019年12月1日正式实施。
- 《中华人民共和国密码法》于2020年1月1日起实施。
- 《中华人民共和国数据安全法》于2021年9月1日正式实施。
2、网络产品和服务安全审查办法
- 为提高网络产品和服务的安全可控水平,防范网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定了《网络产品和服务安全审查办法》。重点评估采购的产品和服务可能带来的国家安全风险。
- 产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃听、泄露、毁损的风险;
- 产品和服务供应中断对关键信息基础设施业务连续性的危害;
- 产品和服务的安全性、开发性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
- 产品和服务提供者遵守中国法律、行政法规、部门规章情况;
- 其他可能危害关键信息基础设施安全和国家安全的因素。
- 中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心),是负责实施网络安全审查和认证的专门机构。
- 发布《网络关键设备和网络安全专用产品目录》,包含:路由器、交换机、服务器、防火墙、IDS/IPS、WAF、网闸等。
3、国家密码管理制度
| 文件名称 | 发布机构 | 生效时间 | 法律状态 |
|---|---|---|---|
| 中华人民共和国密码法 | 全国人民代表大会常务委员会 | 2020-1-1 | 现行有效 |
| 商用密码管理条例 | 中华人民共和国国务院 | 1999-10-7 | 现行有效 |
| 商用密码科研管理规定 | 国家密码管理局 | 2006-1-1 | 现行有效 |
| 商用密码产品生产管理规定 | 国家密码管理局 | 2006-1-1 | 现行有效 |
| 商用密码销售管理规定 | 国家密码管理局 | 2006-1-1 | 现行有效 |
| 商用密码使用管理规定 | 国家密码管理局 | 2007-5-1 | 现行有效 |
| 境外组织和个人在华使用密码产品管理办法 | 国家密码管理局 | 2007-5-1 | 现行有效 |
| 信息安全等级保护商用密码管理办法 | 国家密码管理局 | 2008-1-1 | 现行有效 |
| 信息安全等级保护商用密码管理办法实施意见 | 国家密码管理局 | 2009-12-15 | 现行有效 |
| 信息安全等级保护商用密码技术实施要求 | 国家密码管理局 | 2009-12-15 | 现行有效 |
4、网络安全等级保护
- 网络安全等级保护的主要工作可以概括为定级、备案、建设整改、等级测评、运营维护。
- 定级:确定定级对象、确定合适级别,通过专家评审和主管部门审核;
- 备案:按等级保护管理规定准备备案材料,到当地公安机关备案和审核;
- 建设整改:依据相应等级要求对当前保护对象的实际情况进行差距分析,针对不符合项结合行业要求对保护对象进行整改,建设符合等级要求的安全技术和管理体系;
- 等级测评:等级保护测评机构依据相应等级要求,对定级的保护对象进行测评,并出具相应的等级保护测评证书;
- 运营维护:等级保护运营主体按照相应等级要求,对保护对象的安全相关事宜进行监督和管理。
5、网络信息安全部门
- 中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心),是负责实施网络安全审查和认证的专门机构。
- 域名服务是网络基础。该服务主要是指从事域跟服务器运行和管理、顶级域名运行和管理、域名注册、域名解析等活动。域名系统出现网络与信息安全事件时,应当在24小时内向电信管理机构报告。域名是政府网站的基本组成部分和重要身份标识。
- 国家计算机网络应急技术协调中心(CNCERT或CNCERT/CC)是中国计算机网络应急处理体系中的牵头单位,是国家级应急中心。主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护公共互联网安全,保证关键信息基础设施的安全运行。
- 网络信息安全科技信息获取来源主要有网络安全会议、网络安全期刊、网络安全网站、网络安全术语等。
- 网络信息安全领域四大顶级学术会议是:S&P、CCS、NDSS、USENIX Security。
6、网络信息安全术语
- 网络信息安全术语是获取网络安全知识和技术的重要途径,常见的网络安全术语可以分成基础技术类、风险评估技术类、防护技术类、检测技术类、响应恢复技术类、测评技术类等。
| 分类 | 内容 |
|---|---|
| 基础技术类 | 加密(encryption)、解密(decryption)、非对称加密算法(asymmetric cryptographic algorithm)、公钥加密算法(public key cryptographic algorithm)、公钥(public key)等。 |
| 风险评估技术类 | 拒绝服务(Denial of Service)、分布式拒绝服务(Distributed Denial of Service)、网页篡改(Website Distortion)、网页仿冒(Phishing)、网页挂马(Website Malicious Code)、域名劫持(DNS Hijack)、路由劫持(Routing Hijack)、垃圾邮件(Spam)、恶意代码(Malicious Code)、特洛伊木马(Trojan horse)、网络蠕虫(Network Worm)、僵尸网络(BotNet)等。 |
| 防护技术类 | 访问控制(Access Control)、防火墙(Firewall)、入侵防御系统(Intrusion Prevention System)等。 |
| 检测技术类 | 入侵检测(Intrusion Detection)、漏洞扫描(VnInerability Scanning)等。 |
| 响应/恢复技术类 | 应急响应(Emergency Response)、灾难恢复(Disaster Recovery)、备份(Backup)等。 |
| 测评技术类 | 黑盒测试(Black Box Testing)、白盒测试(White Box Testing)、灰盒测试(Gray Box Testing)、渗透测试(Penetration Testing)、模糊测试(Fuzz Testing)。 |
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
