1、 保护对象框架
保护对象是对信息系统从安全角度抽象后的描述方法,是信息系统内具有相似安全保护需求的一
组信息资产的组合。
依据信息系统的功能特性、安全价值以及面临威胁的相似性,信息系统保护对象可分为计算区域、
区域边界、网络基础设施、安全措施四类。具体内容略。
建立了各层的保护对象之后,应按照保护对象所属信息系统或子系统的安全等级,对每一个保护对
象明确保护要求、部署适用的保护措施。
保护对象框架的示意图如下:
2、 整体保障框架
就安全保障技术而言,在体系框架层次进行有效的组织,理清保护范围、保护等级和安全措施的关
系,建立合理的整体框架结构,是对制定具体等级保护方案的重要指导。
根据中办发[2003]27 号文件,“坚持积极防御、综合防范的方针,全面提高提高信息安全防护能力”
是国家信息保障工作的总体要求之一。“积极防御、综合防范” 是指导等级保护整体保障的战略方针。
信息安全保障涉及技术和管理两个相互紧密关联的要素。信息安全不仅仅取决于信息安全技术,技
术只是一个基础,安全管理是使安全技术有效发挥作用,从而达到安全保障目标的重要保证。
安全保障不是单个环节、单一层面上问题的解决,必须是全方位地、多层次地从技术、管理等方面
进行全面的安全设计和建设,积极防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障
各个环节的防护、检测、响应和恢复等多种安全措施和手段,对系统进行动态的、综合的保护,在攻击
者成功地破坏了某个保护措施的情况下,其它保护措施仍然能够有效地对系统进行保护,以抵御不断出
现的安全威胁与风险,保证系统长期稳定可靠的运行。
整体保障框架的建设应在国家和地方、行业相关的安全政策、法规、标准、要求的指导下,制订可
具体操作的安全策略,并在充分利用信息安全基础设施的基础上,构建信息系统的安全技术体系、安全
管理体系,形成集防护、检测、响应、恢复于一体的安全保障体系,从而实现物理安全、网络安全、系
统安全、数据安全、应用安全和管理安全,以满足信息系统全方位的安全保护需求。同时,由于安全的
动态性,还需要建立安全风险评估机制,在安全风险评估的基础上,调整和完善安全策略,改进安全措
施,以适应新的安全需求,满足安全等级保护的要求,保证长期、稳定、可靠运行。
整体保障框架的示意图如下:
3 、安全措施框架
安全措施框架是按照结构化原理描述的安全措施的组合。本方案的安全措施框架是依据“积极防
御、综合防范”的方针,以及“管理与技术并重”的原则进行设计的。
安全措施框架包括安全技术措施、安全管理措施两大部分。安全技术措施包括安全防护系统(物理
防护、边界防护、监控检测、安全审计和应急恢复等子系统)和安全支撑系统(安全运营平台、网络管
理系统和网络信任系统)。
安全技术措施、安全管理措施各部分之间的关系是人(安全机构和人员),按照规则(安全管理制
度),使用技术工具(安全技术)进行操作(系统建设和系统运维)。
安全措施框架示意图如下:
4、 安全区域划分
不同的信息系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。如何保
证系统的安全性是一个巨大的挑战,对信息系统划分安全区域,进行层次化、有重点的保护是有保证系
统和信息安全的有效手段。
按数据分类分区域分等级保护,就是按数据分类进行分级,按数据分布进行区域划分,根据区域中
数据的分类确定该区域的安全风险等级。目的是把一个大规模复杂系统的安全问题,分解为更小区域的
安全保护问题。这是实现大规模复杂信息的系统安全等级保护的有效方法。
随着安全区域方法的发展,发现力图用一种大一统的方法和结构去描述一个复杂的网络环境是非常
困难的,即使描述出来其可操作性也值得怀疑。因此,…提出了“同构性简化的方法”,其基本思路
是认为一个复杂的网络应当是由一些相通的网络结构元所组成,这些网络结构元进行拼接、递归等方式
构造出一个大的网络。可以说,结构性简化好像将网络分析成一种单一大分子组成的系统,而同构性简
化就是将网络看成一个由几种小分子组成的系统。“3+1 同构性简化”的安全域方法就是一个非常典型
的例子,此方法是用一种 3+1 小分子构造来分析 venus customer 的网络系统。(注:除了 3+1 构造之
外,还存在其他形式的构造。)具体来说信息系统按照其维护的数据类可以分为安全服务域、安全接入
域、安全互联域以及安全管理域四类。在此基础上确定不同区域的信息系统安全保护等级。同一区域内
的资产实施统一的保护,如进出信息保护机制,访问控制,物理安全特性等。
信息系统可以划分为以下四个大的安全域(3+1 同构法):
安全接入域:由访问同类数据的用户终端构成安全接入域,安全接入域的划分应以用户所能访问的
安全服务域中的数据类和用户计算机所处的物理位置来确定。安全接入域的安全等级与其所能访问的安
全服务域的安全等级有关。当一个安全接入域中的终端能访问多个安全服务域时,该安全接入域的安全
等级应与这些安全服务域的最高安全等级相同。安全接入域应有明确的边界,以便于进行保护。
安全互联域:连接传输共同数据的安全服务域和安全接入域组成的互联基础设施构成了安全互联域。
主要包括其他域之间的互连设备,域间的边界、域与外界的接口都在此域。安全互联域的安全等级的确
定与网络所连接的安全接入域和安全服务域的安全等级有关。
安全服务域:在局域范围内存储,传输、处理同类数据,具有相同安全等级保护的单一计算机(主
机/服务器)或多个计算机组成了安全服务域,不同数据在计算机的上分布情况,是确定安全服务域的基
本依据。根据数据分布,可以有以下安全服务域:单一计算机单一安全级别服务域,多计算机单一安全
级别服务域,单一计算机多安全级别综合服务域,多计算机多安全级别综合服务域。
安全管理域:安全系统的监控管理平台都放置在这个区域,为整个 IT 架构提供集中的安全服务,进
行集中的安全管理和监控以及响应。具体来说可能包括如下内容:病毒监控中心、认证中心、安全运营
中心等。
安全区域 3+1 同构示意图如下:
5、 安全措施选择
27 号文件指出,实行信息安全等级保护时“要重视信息安全风险评估工作,对网络与信息系统安
全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和
面临的信息安全风险等因素,进行相应等级的安全建设和管理”。由此可见,信息系统等级保护可视为
一个有参照系的风险管理过程。等级保护是以等级化的保护对象、不同安全要求对应的等级化的安全措
施为参照,以风险管理过程为主线,建立并实施等级保护体系的过程。
安全措施的选择首先应依据我国信息系统安全等级划分的要求,设计五个等级的安全措施等级要求
(安全措施等级要求是针对五个等级信息系统的基本要求)。不同等级的信息系统在相应级别安全措施
等级要求的基础上,进行安全措施的调整、定制和增强,并按照一定的划分方法组成相应的安全措施框
架,得到适用于该系统的安全措施。安全措施的调整主要依据综合平衡系统安全要求、系统所面临风险
和实施安全保护措施的成本来进行。信息系统安全措施选择的原理图如下:
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
5455
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
