软考-网络信息安全概述

本文为作者学习文章，按作者习惯写成，如有错误或需要追加内容请留言（不喜勿喷）

本文为追加文章，后期慢慢追加

by 2023年10月

网路发展现状与重要性

• 网络安全是指通过采取必要措施，防范对网络的攻击、侵入、千扰、破坏和非法使用以及意外事故，使网络处千稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。
• 《中华人民共和国网络安全法》已于2017 年6 月1日起实施。为加强网络安全教育，网络空间安全已被增设为级学科。

网络信息安全基本属性

机密性（对应泄露）
机密性(Confidentiality) 是指网络信息不泄露给非授权的用户、实体或程序能够防止非授权者获取信息
完整性（对应篡改）
完整性(lntegrity) 是指网络信息或系统未经授权不能进行更改的特性。
可用性（对应破坏）
可用性(Availability) 是指合法许可的用户能够及时获取网络信息或服务的特性。
抗抵赖性是指防止网络信息系统相关用户否认其活动行为的特性。
可控性是指网络信息系统责任主体对其具有管理、支配能力的属性，能够根据授权规则对系统进行有效掌握和控制，使得管理者有效地控制系统的行为和信息的使用，符合系统运行目标。

网络信息安全目标与功能

• 根据《国家网络空间安全战略》，宏观的网络安全目标是以总体国家安全观为指导，实现建设网络强国的战略目标
• 网络安全的具体目标是保障网络信息及相关信息系统免受网络安全威胁。
• 要实现网络信息安全基本目标，网络应具备防御、监测、应急和恢复等基本功能

网络信息安全基本技术

网络信息安全基本技术需求主要有网络物理环境安全、网络信息安全认证、访问控制、安全保密、漏洞扫描、恶意代码防护、网络信息内容安全、安全监测与预警、应急响应等

网络信息安全管理内容

• 网络信息安全管理概念
  网络信息安全管理是指对网络资产采取合适的安全措施，以确保网络资产的可用性、完整性、、可控制性和抗抵赖性等，不致因网络设备、网络通信协议、网络服务、网络管理受到人为和自然因素的危害，而导致网络中断信息泄露或破坏。
• 网络信息安全管理方法
  网络安全管理方法主要有风险管理、等级保护、纵深防御、层次化保护、应急响应以及PDCA(Plan-Do-CheckAct)方法等。
• 网络信息安全管理依据
  主要包括网络安全法律法规、网络安全相关政策文件、网络安全技术标准规范、网络安全管理标准规范等。
• 网络信息安全管理要素
  网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。

网络信息安全风险

网络信息安全风险是指特定的威胁利用网络管理对象所存在的脆弱性，!导致网络管理对象的价值受到损害或丢失的可能性
网络安全管理实际上是对网络系统中网管对象的风险进行控制，其方法如下:

• 避免风险：例如，通过物理隔离设备将内部网和外部网分开，避免受到外部网的攻击。
• 转移风险：例如，购买商业保险计划或安全外包。
• 减少威胁：例如，安装防病毒软件包，防止病毒攻击。
• 消除脆弱点：例如，给操作系统打补丁或强化工作人员的安全意识。
• 减少减胁的影响：例如，采取多条通信线路进行备份或制定应急预案
• 风险监测：例如，定期对网络系统中的安全状况进行风险分析，监测潜在的威胁行为。

网络信息安全管理流程

网络信息安全管理流程
网络信息安全管理一般遵循如下工作流程：

• 步骤1 确定网络信息安全管理对象
• 步骤2评估网络信息安全管理对象的价值
• 步骤3识别网络信息安全管理对象的威胁
• 步骤4识别网络信息安全管理对象的脆弱性
• 步骤5确定网络信息安全管理对象的风险级别
• 步骤6制定网络信息安全防范体系及防范措施;
• 步骤7实施和落实网络信息安全防范措施，
• 步骤8运行/维护网络信息安全设备、配置

网络安全法律

• 网络安全法-2017年6月1日
• 密码法-2028年1月1日
• 数据安全法、关键信息基础设施安全保护条例-2021年9月1日
• 个人信息保护法-2021年11月1日
• 网络安全审查办法-2022年2月15日

网络安全等级保护

网络安全法第二十一条规定，国家实行网络安全等级保护制度。所规定的网络安全保护义务如下：

• 制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任
• 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施
• 采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月
• 采取数据分类、重要数据备份和加密等措施
• 法律、行政法规规定的其他义务。

安全等级保护的主要工作

• 可以概括为定级，备案、建设整改、等级测评、运营维护( 监督检查 )
• 国家密码管理制度
  根据密码法，国家密码管理部门负责管理全国的密码工作，县级以上地方各级密码管理部门负责管理本行政区域的密码工作。
  国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。
• 网络产品和服务审查
  为提高网络产品和服务的安全可控水平，防范网络安全风险，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规，有关部门制定了《网络产品和服务安全审查办法》。其中，网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险。
  中国网络安全审查技术与认证中心(CCRC)是负责实施网络安全审查和认证的专门机构。
• 网络安全产品管理
  网络安全产品管理主要是由测评机构按照相关标准对网络安全产品进行测评，达到测评要求后，给出产品合格证书。
• 互联网域名安全管理
  域名服务是网络基础服务。域名系统出现网络与信息安全事件时，应在24小时内向电信管理机构报告。政府网站域名相关模块都不得放在境外。