通过国家网络风险管理方法提供安全的网络环境

网络安全技术库

于 2024-10-08 14:04:48 发布

阅读量619

点赞数 19

文章标签：安全网络 php web安全网络安全学习系统安全

本文链接：https://blog.csdn.net/jennycisp/article/details/142758122

版权

印度尼西亚通过讨论网络安全法草案启动了其战略举措。不过，政府和议会尚未就该法案的多项内容达成一致。另一方面，制定战略性、全面的网络安全方法的紧迫性从未像今天这样重要。

其政府官方网站遭受了多起网络攻击，引发了人们对国家网络安全状况的信任程度的担忧。国家网络和加密机构(BSSN) 在 2022 年记录了超过
370022283 起网络攻击，较 2021 年的 266741784 起有所增加。

应对这些恶意网络渗透造成的严重影响，但在缺乏网络安全法作为指导的情况下，我们应该如何减轻与网络领域相关的风险？

目前的方法

政府颁布了多项涉及网络安全的法规。例如，2008 年关于电子信息和交易的第 11
号法律通过向电子系统提供商施加义务来实现网络保护。保护电子信息的机密性、可用性、真实性和可访问性是电子系统提供商在其系统内获取安全、健全的网络环境的义务的一部分。

此外，政府通过国家网络和加密机构颁布了关于电子安全系统的国家网络和加密机构 2020 年第 8
号法规。该规定强调，所有电子系统提供商必须进行自我评估，以确定其系统属于哪一风险类别。结果必须报告给国家网络和加密机构，并且他们必须根据其类别遵守网络安全义务。

如果属于高风险类别，则必须获得特定的 SNI ISO.IEC 27001
以及部门确定的其他应用标准。这种方法引入了基于风险的方法，以确保通过风险管理方法正确管理网络管理。印度尼西亚颁布了关于重要信息基础设施的 2022 年第
82 号总统条例，确定了九个重要信息基础设施部门。所有电子服务提供商都必须接受其相关部门的管理，以履行任何网络安全义务。

此外，政府还发布了关于网络危机管理和国家网络安全战略的 2023 年第 47
号总统条例。国家网络和加密机构被授权制定行动计划来执行国家网络安全的重点领域，包括风险管理计划。风险管理计划侧重于风险识别、风险分析和缓解措施。

网络弹性的风险方法

从战略上讲，任何开展数字活动的国家都必须创建并实施网络弹性框架。该框架旨在确保网络环境从规划到维护过程得到妥善管理。它也成为政府制定一系列政策的参考。网络弹性的风险管理属于规划过程。该部门的风险管理包括风险评估系统、治理和网络弹性策略。评估系统对于确定标准化的风险评估方法和风险映射非常重要，风险映射结果应通过网络弹性策略中规定的一套政策和法规来执行。

网络治理受到风险映射和缓解计划的影响，任何类型的支持措施都必须由政府主导，即建立网络权威、施加义务、规定禁止、管理跨部门数字流程（例如综合许可或网络事件报告和整改）。不幸的是，印度尼西亚尚未建立这种方法，许多专家认为需要通过关注关键部门的风险管理方法来实现战略网络弹性。

关键部门的网络安全

保护关键部门的网络安全非常重要，因为任何受到网络攻击的系统都可能阻碍政府的公共服务并使国家处于危险境地。想象一下，如果我们看布鲁斯·威利斯主演的《虎胆龙威4》，我们可以看到恐怖分子进行的网络攻击使水、电、军事安全系统瘫痪，造成经济和政治的混乱和动乱。关键部门的网络进程影响一个国家的稳定，必须需要具体的保护和缓解计划。

在英国，关键部门通过《2018
年网络和安全法规》和《国家风险评估》下的风险管理方法进行管理。这两项政策破坏了政府通信总部下的特定国家网络安全中心作为单一联络点和网络安全事件报告。此外，评估将成为风险管理策略和缓解计划的基础，所有利益相关者（从部委到相关数字服务提供商）都应执行该策略和缓解计划。

爱尔兰作为网络安全领先国家之一，还通过与 An Garda
Siochana（警察机构）、爱尔兰总理府国家安全分析中心等其他政府实体合作，进行持续风险评估，实施国家网络风险管理、爱尔兰中央银行、公用事业监管委员会
(CRU) 和通信监管委员会 (Comreg)。

执行基于风险的网络安全策略方法应至少包含两点。首先，政府必须确保所有利益相关者按比例执行该过程。这意味着利益相关者的正确识别必须充分考虑该领域所有参与者的当前能力，特别是从事重要信息基础设施下任何部门的任何提供商。

如果提供商是初创企业，政府必须通过国家网络和加密机构与相关部委确保其培育政策逐步符合政策。监管沙箱或初创企业孵化器可能是采购培育过程中的替代解决方案。这使得初创企业能够长久生存，同时维护网络安全利益。其次，必须确保国家网络和加密机构进行的风险管理的交叉协调和执行必须与相关部委的风险管理政策保持一致。

这是一个具有挑战性的过程，因为我们在政府内部几乎每个部门都看到了很多自我部门。如果我们能找到正确的方法来更好地协调，我们的问题就已经解决了一半。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。