tips:法规《中华人民共和国网络安全法》
信息安全保障基础
定义:保护信息系统以及其中的数据,目标是避免信息系统服务数据的完整性、机密性、可用性等受到破坏。
狭义:建立在以IT技术为主的安全范畴(信息系统发生的一些安全事件,包括技术漏洞、病毒攻击、内部泄露。)
广义:跨学科领域的安全问题。
实现投入产出的最优比,要结合业务流程。
信息安全问题的根源:
内因:信息系统复杂性导致漏洞的存在不可避免
外因:环境因素、人为因素
信息安全的特征:
系统性:系统复杂性决定了信息安全问题不能从单一层面看待
动态性:信息安全问题是动态变化的(例如云计算、互联网等高速发展)
无边界:信息安全问题超越了现实地域的限制
非传统:信息安全问题与传统军事安全、政治安全明显不同
威胁情报与态势感知:
威胁情报:
- 为管理人员提供行动和制定决策的依据
- 建立在大量的数据搜集和处理的基础上,通过对搜集数据的分析和评估,从而形成相应的结论
- 威胁情报成为信息安全保障中的关键性能力
威胁情报的作用:
- 有助于应对安全威胁与防御的不平等(攻防不平衡:攻击很容易,而防御却很难)
- 降低组织机构信息安全投入
- 确保找到优先应对的安全问题
- 能帮助组织机构适应不断发展技术和环境变化
态势感知:
- 建立在威胁情报的基础上
- 利用大数据和高性能计算为支撑,综合网络威胁相关的形式化及非形式化数据进行分析,并形成对未来网络威胁状态进行预判以便调整安全策略,实现“御敌于国门之外”的策略。
态势感知的作用:
- 通过态势感知,组织机构能建立安全预警机制,实现完善风险控制、应急响应和整体安全防护水平的提升
信息安全属性:
CIA三元组(基本属性):
- 保密性Confidentiality(/机密性):对信息资源开放范围的控制,确保信息不被非授权的个人、组织和计算机程序访问,例如定义保密等级、实施适当的访问控制、对违反保密策略的行为进行处置
- 完整性Integrity:确保数据没有遭到篡改和破坏,例如对数据进行备份,以后可以还原
- 可用性Availability:确保数据和系统随时可用,例如对关键设备使用双机热备
(tips:双机热备是应用于服务器的一种解决方案,其构造思想是主机和从机通过TCP/IP网络连接,正常情况下主机处于工作状态,从机处于监视状态,一旦从机发现主机异常,从机将会在很短的时间之内代替主机,完全实现主机的功能。)
其他属性:真实性、可问责性、不可否认性、可靠性
国家视角
- 网络战
- 国家关键基础设施保护
- 法律建设与标准化
企业视角
- 业务连续性
- 资产保护
- 合规性
个人视角
- 隐私保护
- 社会工程学
- 个人资产安全
信息安全发展阶段:通信安全(安全威胁例如搭线窃听、密码分析学)——计算机安全(安全威胁:非法访问、恶意代码、脆弱口令)——信息系统安全/网络安全(安全威胁:网络入侵、病毒破坏、信息对抗等,安全措施:防火墙、防病毒、漏洞扫描、入侵检测、PKL、VPN等)——信息安全保障——网络空间安全
工业控制系统基本架构(是网络空间安全中比较重要的一个领域)
- 数据采集与监控系统(SCADA)
- 分布式控制系统(DCS)
- 可编程逻辑控制器(PLC)
工业控制系统安全威胁
- 缺乏足够安全防护
- 安全可控性不高
- 缺乏安全管理标准和技术
云计算的安全风险
- 数据管理和访问失控的风险
- 数据存储位置对用户失控
- 云计算服务商对数据权限高于用户
- 用户不能有效监管云计算厂商内部人员对数据的非授权访问
数据管理责任风险
- 不适用“谁主管谁负责,谁运营谁负责”
数据保护的风险
- 缺乏统一标准,数据存储格式不同
云计算安全架构
- 云计算安全是个交叉领域,覆盖物理安全到应用安全
云计算安全覆盖角色
- 云用户、云提供者、云承载者、云审计者和云经纪人
云计算安全服务体系三层架构
- 安全云基础设施
- 云安全基础服务
- 云安全应用服务
虚拟化安全
虚拟化是云计算的支撑技术,把硬件资源虚拟化,构成一个资源池从而提供云服务的各项特性
虚拟化安全
- 云计算中核心的安全问题
- 确保虚拟化多租户之间的有效隔离
- 物联网安全威胁及安全架构
感知层安全
- 网关节点被控制,拒绝服务
- 接入节点标识、识别、认证和控制
传输层安全
- 拒绝服务、欺骗
支撑层安全
- 来自终端的虚假数据识别和处理、可用性保护、人为干预
应用层安全
- 隐私保护、知识产权保护、取证、数据销毁
大数据安全
- 大数据的概念:大小超出常规数据库软件工具收集、存储、管理和分析能力的数据集。
- 大数据的价值:趋势分析(例如天气预测、疾病预防、犯罪预防、购物行为等)
- 数据生命周期安全
- 技术平台安全
- 应用场景安全
移动互联网安全问题及策略
- 移动互联网安全问题
- 系统安全问题
- 移动应用安全问题
- 个人隐私泄露问题
安全策略
- 政策规范与引导
- APP应用分发管控
- 加强隐私保护要求