等保测评三级等保—安全设计思绪

1、 掩护对象框架
掩护对象是对信息体系从安全角度抽象后的描述方法，是信息体系内具有相似安全掩护需求的一
组信息资产的组合。
依据信息体系的功能特性、安全代价以及面临威胁的相似性，信息体系掩护对象可分为盘算区域、
区域边界、网络基础办法、安全步伐四类。具体内容略。
创建了各层的掩护对象之后，应按照掩护对象所属信息体系或子体系的安全等级，对每一个掩护对
象明确掩护要求、部署实用的掩护步伐。
掩护对象框架的示意图如下：![](https://img-
blog.csdnimg.cn/direct/712d3b545012467aa8d798c0ca7dee2e.png)
2、 整体保障框架
就安全保障技术而言，在体系框架层次举行有效的组织，理清掩护范围、掩护等级和安全步伐的关
系，创建合理的整体框架结构，是对订定具体等级掩护方案的紧张引导。
根据中办发[2003]27 号文件，“坚持积极防御、综合防范的方针，全面提高提高信息安全防护能力”
是国家书息保障工作的总体要求之一。“积极防御、综合防范” 是引导等级掩护整体保障的战略方针。
信息安全保障涉及技术和管理两个相互紧密关联的要素。信息安全不但仅取决于信息安全技术，技
术只是一个基础，安全管理是使安全技术有效发挥作用，从而达到安全保障目标的紧张包管。
安全保障不是单个环节、单一层面上问题的办理，必须是全方位地、多层次地从技术、管理等方面
举行全面的安全设计和建设，积极防御、综合防范”战略要求信息体系整体保障综合采用覆盖安全保障
各个环节的防护、检测、响应和恢复等多种安全步伐和手段，对体系进举措态的、综合的掩护，在攻击
者成功地破坏了某个掩护步伐的环境下，其它掩护步伐仍旧可以或许有效地对体系举行掩护，以抵抗不断出
现的安全威胁与风险，包管体系恒久稳固可靠的运行。
整体保障框架的建设应在国家和地方、行业干系的安全政策、法规、标准、要求的引导下，制定可
具体操纵的安全计谋，并在充分利用信息安全基础办法的基础上，构建信息体系的安全技术体系、安全
管理体系，形成集防护、检测、响应、恢复于一体的安全保障体系，从而实现物理安全、网络安全、系
统安全、数据安全、应用安全和管理安全，以满足信息体系全方位的安全掩护需求。同时，由于安全的
动态性，还必要创建安全风险评估机制，在安全风险评估的基础上，调解和美满安全计谋，改进安全措
施，以适应新的安全需求，满足安全等级掩护的要求，包管恒久、稳固、可靠运行。
整体保障框架的示意图如下：

3 、安全步伐框架
安全步伐框架是按照结构化原理描述的安全步伐的组合。本方案的安全步伐框架是依据“积极防
御、综合防范”的方针，以及“管理与技术并重”的原则举行设计的。
安全步伐框架包括安全技术步伐、安全管理步伐两大部分。安全技术步伐包括安全防护体系（物理
防护、边界防护、监控检测、安全审计和应急恢复等子体系）和安全支持体系（安全运营平台、网络管
理体系和网络信托体系）。
安全技术步伐、安全管理步伐各部分之间的关系是人（安全机构和职员），按照规则（安全管理制
度），利用技术工具（安全技术）举行操纵（体系建设和体系运维）。
安全步伐框架示意图如下：

4、 安全区域分别
不同的信息体系的业务特性、安全需求和等级、利用的对象、面临的威胁和风险各不相同。如何保
证体系的安全性是一个巨大的挑衅，对信息体系分别安全区域，举行层次化、有重点的掩护是有包管系
统和信息安全的有效手段。
按数据分类分区域分等级掩护，就是按数据分类举行分级，按数据分布举行区域分别，根据区域中
数据的分类确定该区域的安全风险等级。目的是把一个大规模复杂体系的安全问题，分解为更小区域的
安全掩护问题。这是实现大规模复杂信息的体系安全等级掩护的有效方法。
随着安全区域方法的发展，发现力图用一种大一统的方法和结构去描述一个复杂的网络环境黑白常
困难的，即使描述出来其可操纵性也值得怀疑。因此，…提出了“同构性简化的方法”，其基本思绪
是以为一个复杂的网络应当是由一些相通的网络结构元所组成，这些网络结构元举行拼接、递归等方式
构造出一个大的网络。可以说，结构性简化似乎将网络分析成一种单一大分子组成的体系，而同构性简
化就是将网络看成一个由几种小分子组成的体系。“3+1 同构性简化”的安全域方法就是一个非常典型
的例子，此方法是用一种 3+1 小分子构造来分析 venus customer 的网络体系。（注：除了 3+1 构造之
外，还存在其他形式的构造。）具体来说信息体系按照其维护的数据类可以分为安全服务域、安全接入
域、安全互联域以及安全管理域四类。在此基础上确定不同区域的信息体系安全掩护等级。同一区域内
的资产实施统一的掩护，如进出信息掩护机制，访问控制，物理安全特性等。
信息体系可以分别为以下四个大的安全域（3+1 同构法）：
安全接入域：由访问同类数据的用户终端构成安全接入域，安全接入域的分别应以用户所能访问的
安全服务域中的数据类和用户盘算机所处的物理位置来确定。安全接入域的安全等级与其所能访问的安
全服务域的安全等级有关。当一个安全接入域中的终端能访问多个安全服务域时，该安全接入域的安全
等级应与这些安全服务域的最高安全等级相同。安全接入域应有明确的边界，以便于举行掩护。
安全互联域：连接传输共同数据的安全服务域和安全接入域组成的互联基础办法构成了安全互联域。
主要包括其他域之间的互连设备，域间的边界、域与外界的接口都在此域。安全互联域的安全等级的确
定与网络所连接的安全接入域和安全服务域的安全等级有关。
安全服务域：在局域范围内存储，传输、处置处罚同类数据，具有相同安全等级掩护的单一盘算机（主
机/服务器）或多个盘算机组成了安全服务域，不同数据在盘算机的上分布环境，是确定安全服务域的基
本依据。根据数据分布，可以有以下安全服务域：单一盘算机单一安全级别服务域，多盘算机单一安全
级别服务域，单一盘算机多安全级别综合服务域，多盘算机多安全级别综合服务域。
安全管理域：安全体系的监控管理平台都放置在这个区域，为整个 IT 架构提供集中的安全服务，进
行集中的安全管理和监控以及响应。具体来说可能包括如下内容：病毒监控中心、认证中心、安全运营
中心等。
安全区域 3+1 同构示意图如下：

5、 安全步伐选择
27 号文件指出，实验信息安全等级掩护时“要重视信息安全风险评估工作，对网络与信息体系安
全的潜伏威胁、单薄环节、防护步伐等举行分析评估，综合思量网络与信息体系的紧张性、涉密程度和
面临的信息安全风险等因素，举行相应等级的安全建设和管理”。由此可见，信息体系等级掩护可视为
一个有参照系的风险管理过程。等级掩护是以等级化的掩护对象、不同安全要求对应的等级化的安全措
施为参照，以风险管理过程为主线，创建并实施等级掩护体系的过程。
安全步伐的选择首先应依据我国信息体系安全等级分别的要求，设计五个等级的安全步伐等级要求
（安全步伐等级要求是针对五个等级信息体系的基本要求）。不同等级的信息体系在相应级别安全步伐
等级要求的基础上，举行安全步伐的调解、定制和增强，并按照肯定的分别方法组成相应的安全步伐框
架，得到实用于该体系的安全步伐。安全步伐的调解主要依据综合平衡体系安全要求、体系所面临风险
和实施安全掩护步伐的成本来举行。信息体系安全步伐选择的原理图如下：

题外话

初入盘算机行业的人或者大学盘算机干系专业毕业生，很多因缺少实战经验，就业到处碰钉子。下面我们来看两组数据：
2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据表现，到2027年我国网络安全职员缺口将达327万。
一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。
6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业陈诉》《2023年中国高职生就业陈诉》）正式发布。
2022届大学毕业生月收入较高的前10个专业
本科盘算机类、高职自动化类专业月收入较高。2022届本科盘算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科盘算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。
具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能干系的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳固至关紧张的因素之一。
网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中心人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的职员不到1.5W人。猎聘网《2021年上半年网络安全陈诉》预测2027年网安人才需求300W，现在从事网络安全行业的从业职员只有10W人。

行业发展空间大，岗位非常多
网络安全行业产业以来，随即新增长了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产物经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业职员、实战攻防专业职员…
职业增值潜力大
网络安全专业具有很强的技术特性，尤其是掌握工作中的焦点网络架构、安全技术，在职业发展上具有不可替代的竞争上风。
随着个人能力的不断提升，所从事工作的职业代价也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。
从某种程度来讲，在网络安全范畴，跟医生职业一样，越老越吃香，由于技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。
1.学习蹊径图

行业发展空间大，岗位非常多
网络安全行业产业以来，随即新增长了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产物经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业职员、实战攻防专业职员…
职业增值潜力大
网络安全专业具有很强的技术特性，尤其是掌握工作中的焦点网络架构、安全技术，在职业发展上具有不可替代的竞争上风。
随着个人能力的不断提升，所从事工作的职业代价也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。
从某种程度来讲，在网络安全范畴，跟医生职业一样，越老越吃香，由于技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。
1.学习蹊径图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的蹊径图，假如你能学完它们，你去就业和接私活完全没有问题。
2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面蹊径图的每一个知识点，我都有配套的视频讲授。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、盘算机基础知识等，都是网络安全入门必知必会的学习内容。
3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安举措、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。
4.工具包、口试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息网络、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包，必要的话也可以拿走。
这些题目都是大家在口试笃信服、奇安信、腾讯或者其它大厂口试时经常遇到的，假如大家有好的题目或者好的看法欢迎分享。
参考剖析：笃信服官网、奇安信官网、Freebuf、csdn等
内容特点：条理清晰，含图像化表示更加易懂。
内容概要：包括 内网、操纵体系、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包罗、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，必要点击下方链接即可前去获取
假如你对网络安全入门感兴趣，那么你必要的话可以点击这里