软考信息安全笔记-网络信息安全概述
1. 概念
网络空间(cyberspace),继海、陆、空、天四个疆域后的第五个疆域(territory)。
基于TCP/IP的协议的互联网(internet),承载了无数的数据,记录了无数的信息,如身份证号码、手机号码,与我们的生活息息相关,已创造了许多价值。有价值,有利益,自然就有了好与坏,因此,网络空间内处处都是功与防。
网络信息安全(Network Information Security),已切实的影响到了个人、组织、社会、国家。
如《中华人民共和国网络安全法》的第一条,为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。
”没有网络安全,就没有国家安全。“
狭义上的网络信息安全,指机密性、完整性、可用性、抗抵赖性、可控性等。因此,网络信息安全,从技术手段上,就是保护网络信息系统的安全可靠(security and reliable),不让黑客非法入侵。
2. 现状
可百度,” 外交部 网络安全事件“ 自行了解。
这里有一篇《2022年全球高级持续性威胁(APT)研究报告》:
https://www.anquanke.com/post/id/285626
以下是我个人理解。
有生活中的种种意外事件:如,有个人,他每天都在说自己电脑没有安装杀毒软件,每天都在裸奔,然后自己不知道什么时候下载了一个病毒文件,还将利用网络社群转发文件、U盘转借多人,使得一大片的人都中毒。很多学校机房就是这样全是毒。
有黑产组织:有些客户不想花钱建设安全可靠的企业网,几百年没更新病毒库、特征库,服务器的系统防火墙还被开发给关了,然后有一天某个web业务中了勒索病毒,整个业务中断,损失几百万。加钱买安全设备,还要被销售抬价。
有APT组织:威胁最大的应该是美国国家安全局。APT组织,专业的黑客组织或有国家背景的黑客组织,其网络攻击复杂多样,隐秘性强,威胁程度高。有去年的西北工业大学网络安全事件,有今年的武汉地震监测中心网络安全事件,都严重威胁到了国家安全。
ps:APT攻击(高级持续性威胁攻击)是一种针对特定目标的精密和持续的攻击。
这里有一篇安全内参的APT文章:
https://www.secrss.com/articles/58014
网络信息安全现状,主要就是网络攻击复杂多样,无法保证真正的安全。
以上,个人理解。
3. 面临的问题
-
过于依赖网络。(没办法)
-
依赖国外的技术。(卡脖子了)
-
技术套娃严重,漏洞容易通杀。(cv工程师)
-
内部人员权限过大。(畅通无阻)
-
重技术、轻管理。重建设、轻运营。重硬件、轻软件。(表面功夫)
-
供应链安全。(猪队友带着黑客的病毒木马来找你要网线了)
-
数据安全,难全面防护。(加密、脱敏、管理,要做起来简单,做好太难)
-
APT威胁。(APT太猛了,层次过高)
-
网络安全意识薄弱。(啥也不会,老师没教)
-
云大物移,新技术太多了。(还有新的人工智能)
-
黑产。(勒索、挖矿)
-
国家层次的网络间谍活动。(俄乌)
-
......
4. 目标
赛博(cyber)保安,做好安全配置,保护自家网络的安全。免受黑客侵扰。
满足国家对于安全要求,遵守法律,建造安全合规的网络。如网络安全法、数据安全法、关基保护条例、个人信息保护法、等级保护2.0等。
网络强国,安全就要完善。
5. 基本功能
- 防御:通过技术措施,抵御各种安全威胁。
- 监测:通过监测、分析,主动发现安全事件,提前消灭潜在的网络威胁。
- 应急:当安全事件发生时,响应和处置网络安全事件。
- 恢复:在安全事件发生后,及时恢复业务的正常运行。
6. 基本技术需求
- 物理环境安全
- 网络信息安全认证
- 网络信息访问控制
- 网络信息安全保密与内容安全
- 网络信息安全监测与预警
- 网络信息安全漏洞扫描与安全评估
- 恶意代码检测与防护
- 网络信息安全应急响应
7. 管理内容与办法
下面这张图,最为经典。以下使用个人理解进行描述。
- 管理者管理信息系统中的资产,即图中的管理对象。资产存在价值,因此管理者使用保护措施保护资产,希望最小化风险。
- 风险即是通过威胁造成的,而威胁来自威胁主体,如恶意的黑客、内部人员,或是地震、台风等自然灾害,或是电力故障等其它问题。
- 脆弱性,俗称安全问题、安全缺陷。如服务器存在未安装杀毒软件的脆弱性问题,将无法识别病毒、木马,并无法阻止,甚至无法发现。
- 脆弱性会被利用,因此需要考虑保护措施,评估脆弱性被威胁利用的难易程度。
- 脆弱性被利用后,会产生风险,即安全事件,会影响资产的价值,因此需要考虑脆弱性被威胁利用后造成的影响程度。
- 综合上述两点,可评估风险程度。书这里没写,这是新的风险评估法规GB20984-2022。
因此有如下的安全管理流程:
确定管理对象 —— 评估价值 —— 识别威胁 —— 识别脆弱性 —— 确定风险级别 —— 制定保护措施 —— 落实保护措施 —— 运行和维护安全设备与配置。
而信息安全管理应该始终贯穿网络信息系统的整个 生命周期:网络信息系统的规划、设计、集成实现、运行和维护、废弃。
8. 安全法律与政策文件
- 国家网络空间安全战略
- 网络信息安全基本法律:网络安全法
- 网络安全等级保护:GB/T 22239-2019
- 国家密码管理制度
- 网络产品和服务审查
- 互联网域名安全管理
- 工业控制信息安全制度
- 个人信息和重要数据保护制度:个人信息保护法 、数据安全法
- 网络安全制度规范与测评:全国信息安全标准化技术委员会
- 网络安全事件与应急响应制度:CNCERT
9. 网络信息安全科技信息获取
- 网络信息安全会议
- 网络信息安全期刊
- 网络信息安全网站
- 网络信息安全术语
比如国内的安全导航网、安全新闻网、安全公司官网、安全论坛、技术博客,都可以获取最新的安全资讯,参考如下:
https://www.cnblogs.com/shiyisec/p/17655880.html
热门相关:英雄联盟之巅峰王座 本法官萌萌哒 未来兽世:买来的媳妇,不生崽 买妻种田:山野夫君,强势宠! 豪门情变,渣总裁滚远点!