软考信息安全笔记-网络安全信息概述

1. 概念

网络空间（cyberspace），继海、陆、空、天四个疆域后的第五个疆域（territory）。
基于TCP/IP的协议的互联网（internet），承载了无数的数据，记录了无数的信息，如身份证号码、手机号码，与我们的生活息息相关，已创造了许多价值。有价值，有利益，自然就有了好与坏，因此，网络空间内处处都是功与防。
网络信息安全（Network Information Security），已切实的影响到了个人、组织、社会、国家。
如《中华人民共和国网络安全法》的第一条，为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展。
”没有网络安全，就没有国家安全。“
狭义上的网络信息安全，指机密性、完整性、可用性、抗抵赖性、可控性等。因此，网络信息安全，从技术手段上，就是保护网络信息系统的安全可靠（security and reliable），不让黑客非法入侵。
2. 现状

可百度，” 外交部 网络安全事件“ 自行了解。
这里有一篇《2022年全球高级持续性威胁（APT）研究报告》：

1. https://www.anquanke.com/post/id/285626

复制代码

以下是我个人理解。
有生活中的种种意外事件：如，有个人，他每天都在说自己电脑没有安装杀毒软件，每天都在裸奔，然后自己不知道什么时候下载了一个病毒文件，还将利用网络社群转发文件、U盘转借多人，使得一大片的人都中毒。很多学校机房就是这样全是毒。
有黑产组织：有些客户不想花钱建设安全可靠的企业网，几百年没更新病毒库、特征库，服务器的系统防火墙还被开发给关了，然后有一天某个web业务中了勒索病毒，整个业务中断，损失几百万。加钱买安全设备，还要被销售抬价。
有APT组织：威胁最大的应该是美国国家安全局。APT组织，专业的黑客组织或有国家背景的黑客组织，其网络攻击复杂多样，隐秘性强，威胁程度高。有去年的西北工业大学网络安全事件，有今年的武汉地震监测中心网络安全事件，都严重威胁到了国家安全。
ps：APT攻击（高级持续性威胁攻击）是一种针对特定目标的精密和持续的攻击。
网络信息安全现状，主要就是网络攻击复杂多样，无法保证真正的安全。
以上，个人理解。
3. 面临的问题

• 过于依赖网络。（没办法）
  
• 依赖国外的技术。（卡脖子了）
  
• 技术套娃严重，漏洞容易通杀。（cv工程师）
  
• 内部人员权限过大。（畅通无阻）
  
• 重技术、轻管理。重建设、轻运营。重硬件、轻软件。（表面功夫）
  
• 供应链安全。（猪队友带着黑客的病毒木马来找你要网线了）
  
• 数据安全，难全面防护。（加密、脱敏、管理，要做起来简单，做好太难）
  
• APT威胁。（APT太猛了，层次过高）
  
• 网络安全意识薄弱。（啥也不会，老师没教）
  
• 云大物移，新技术太多了。（还有新的人工智能）
  
• 黑产。（勒索、挖矿）
  
• 国家层次的网络间谍活动。（俄乌）
  
• ......
  

4. 目标

赛博（cyber）保安，做好安全配置，保护自家网络的安全。免受黑客侵扰。
满足国家对于安全要求，遵守法律，建造安全合规的网络。如网络安全法、数据安全法、关基保护条例、个人信息保护法、等级保护2.0等。
网络强国，安全就要完善。
5. 基本功能

• 防御：通过技术措施，抵御各种安全威胁。
  
• 监测：通过监测、分析，主动发现安全事件，提前消灭潜在的网络威胁。
  
• 应急：当安全事件发生时，响应和处置网络安全事件。
  
• 恢复：在安全事件发生后，及时恢复业务的正常运行。
  

6. 基本技术需求

• 物理环境安全
  
• 网络信息安全认证
  
• 网络信息访问控制
  
• 网络信息安全保密与内容安全
  
• 网络信息安全监测与预警
  
• 网络信息安全漏洞扫描与安全评估
  
• 恶意代码检测与防护
  
• 网络信息安全应急响应
  

7. 管理内容与办法

下面这张图，最为经典。以下使用个人理解进行描述。

• 管理者管理信息系统中的资产，即图中的管理对象。资产存在价值，因此管理者使用保护措施保护资产，希望最小化风险。
  
• 风险即是通过威胁造成的，而威胁来自威胁主体，如恶意的黑客、内部人员，或是地震、台风等自然灾害，或是电力故障等其它问题。
  
• 脆弱性，俗称安全问题、安全缺陷。如服务器存在未安装杀毒软件的脆弱性问题，将无法识别病毒、木马，并无法阻止，甚至无法发现。
  
• 脆弱性会被利用，因此需要考虑保护措施，评估脆弱性被威胁利用的难易程度。
  
• 脆弱性被利用后，会产生风险，即安全事件，会影响资产的价值，因此需要考虑脆弱性被威胁利用后造成的影响程度。
  
• 综合上述两点，可评估风险程度。书这里没写，这是新的风险评估法规GB20984-2022。
  

因此有如下的安全管理流程：
确定管理对象 —— 评估价值 —— 识别威胁 —— 识别脆弱性 —— 确定风险级别 —— 制定保护措施 —— 落实保护措施 —— 运行和维护安全设备与配置。
而信息安全管理应该始终贯穿网络信息系统的整个 生命周期：网络信息系统的规划、设计、集成实现、运行和维护、废弃。
8. 安全法律与政策文件

• 国家网络空间安全战略
  
• 网络信息安全基本法律：网络安全法
  
• 网络安全等级保护：GB/T 22239-2019
  
• 国家密码管理制度
  
• 网络产品和服务审查
  
• 互联网域名安全管理
  
• 工业控制信息安全制度
  
• 个人信息和重要数据保护制度：个人信息保护法 、数据安全法
  
• 网络安全制度规范与测评：全国信息安全标准化技术委员会
  
• 网络安全事件与应急响应制度：CNCERT
  

9. 网络信息安全科技信息获取

• 网络信息安全会议
  
• 网络信息安全期刊
  
• 网络信息安全网站
  
• 网络信息安全术语
  

比如国内的安全导航网、安全新闻网、安全公司官网、安全论坛、技术博客，都可以获取最新的安全资讯，参考如下：

1. https://www.cnblogs.com/shiyisec/p/17655880.html

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！