前言:系统集成项目管理工程师专业,现分享一些教材知识点。觉得文章还不错的喜欢点赞收藏的同时帮忙点点关注。
软考同样是国家人社部和工信部组织的国家级考试,全称为“全国计算机与软件专业技术资格(水平)考试”,目前涵盖了计算机软件、计算机网络、计算机应用技术、信息系统、信息服务5大领域,总共27个科目,也是分为初、中、高三个级别。
通信专业主要需要关注“计算机网络”这个专业类别,可以考的科目有初级资格的“网络管理员”、中级的“网络工程师”。
还有5个高级资格专业,分别是“信息系统项目管理师“”系统分析师“”系统架构设计师“”网络规划设计师“”系统规划与管理师“。
软考高级证书在通信行业比较吃香,主要原因有两个: 通信行业与计算机软件是相近专业,评职称满足相近专业的要求; 通信高级不能以考代评,但软考高级可以,很多考生通过考软考高级来评高级职称。
————————————————
第8章 信息安全工程
现代社会已经进入数字时代,其突出的特点是信息的价值在很多方面超过信息处理设施,包括 信息载体本身的价值,例如,一台计算机上存储和处理的信息的价值往往超过计算机本身的价值。 另外,现代社会的各类组织,包括政府、企业,对信息以及信息处理设施的依赖程度也越来越大, 一旦信息丢失或泄密、信息处理设施中断,很多组织的业务也就无法运营了。新时代对于信息的安 全提出了更高的要求,信息安全的内涵也不断进行延伸和拓展。
8.1信息安全管理
通常用“三分技术、七分管理 ”来形容管理对于各项活动的重要性。信息安全管理贯穿信息安 全的全过程,也贯穿信息系统的全生命周期。信息安全管理涉及参与信息系统的各类角色在安全方 面的权利、责任和义务等,覆盖安全技术使用、安全产品与系统部署、管理机制设立与监督等。
8.1.1保障要求
网络与信息安全保障体系中的安全管理建设,通常需要满足以下5项原则:
(1)网络与信息安全管理要做到总体策划,确保安全的总体目标和所遵循的原则。
(2)建立相关组织机构,要明确责任部门,落实具体实施部门。
(3)做好信息资产分类与控制,达到员工安全、物理环境安全和业务连续性管理等。
(4)使用技术方法解决通信与操作的安全、访问控制、系统开发与维护, 以支撑安全目标、安 全策略和安全内容的实施。
(5)实施检查安全管理的措施与审计,主要用于检查安全措施的效果,评估安全措施执行的情 况和实施效果。
网络安全与管理至少要成立一个安全运行组织,制定一套安全管理制度并建立一个应急响应机 制。组织需要确保以下3个方面满足保障要求:
(1)安全运行组织应包括主管领导、信息中心和业务应用等相关部门,领导是核心,信息中心 是实体,业务部门是使用者。
(2)安全管理制度要明确安全职责,制定安全管理细则,做到多人负责、任期有限、职责分离 的原则。
(3)应急响应机制是主要由管理人员和技术人员共同参与的内部机制,要提出应急响应的计划 和程序,提供对安全事件的技术支持和指导,提供安全漏洞或隐患信息的通告、分析和安全事件处 理等相关培训。
8.1.2管理内容
信息安全管理涉及信息系统治理、管理、运行、退役等各个方面,其管理内容往往与组织治理 与管理水平, 以及信息系统在组织中的作用与价值等方面相关,在ISO/EC27000系列标准中,给出 了组织、人员、物理和技术方面的控制参考,这些控制参考是组织需要策划、实施和监测信息安全管理的主要内容。
1.组织控制
在组织控制方面,主要包括信息安全策略、信息安全角色与职责、职责分离、管理职责、威胁 情报、身份管理、访问控制等。
●信息安全策略:管理者应根据业务目标发展阶段等,制定清晰的信息安全策略和特定主题的 策略,从而为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。安全策略 需要由管理层批准、发布并传达给相关人员和利益相关方确认,并周期性地或在发生重大变化时进 行评审。
●信息安全角色与职责:需要组织根据业务发展、监督监管等各类需求,依据信息安全策略
等,定义并分配信息安全管理相关的角色和职责,从而明确信息安全相关参与者(如管理者、操作 者等)的权利、责任和义务内容,也需要覆盖组织的内外部安全专家等。
●职责分离:当出现相互冲突的职责和相互冲突的责任领域时,应实施职责分离, 以减少疏忽 或故意误用系统的风险等。
●管理职责:在信息安全管理过程中,管理层需要以身作则,并通过管理职能定义,要求所有 人员、组织遵守既定的信息安全策略、特定主题的策略和程序等,驱动组织信息安全能力建设,并 满足信息安全需求。
●与政府机构的联系:组织的信息安全涉及政府发布的相关法律法规和标准等,甚至关系 到国家安全等,因此组织需要与政府相关机构保持联系。
●与特殊利益群体的联系:考虑到组织信息安全技术的开发利用、监督与管理、评估与评价等 需求,组织需要与信息安全相关治理、管理和技术团体建立并保持联系,包括相关授权机构、安全 论坛、专业协会等。
●威胁情报:信息安全的各类威胁往往层出不穷,手段和方法千变万化。因此,组织需要持续 收集和分析与信息安全威胁有关的信息,从而有效掌握威胁情报。
●项目信息安全:组织需要将信息安全各项策略、方案、技术和行动等整合到项目管理之中, 保证项目管理不会成为信息安全管理的“黑洞 ”,并保障项目活动中的信息安全。
●信息和相关资产清单:组织需要明确信息安全的“保护对象 ”,编制和维护包括所有者在内的信息和其他相关资产清单。
●信息和相关资产的可接受使用:为确保组织信息安全管理的有效性,应识别、确立、记录并 实施处理信息和相关资产的可接受的使用规则和程序。
●资产归还:组织应确保员工和其他相关方在劳动关系、合同或协议等发生变更、终止时,归 还其所拥有的组织信息和相关资产。
●信息分类:组织需要根据其CIA和利益相关方的要求,对信息进行分类。
●信息标签:组织需要结合其信息分类方案,确立、发布和实施一组适当的信息标签程序及配 套管理制度措施等。
●信息传输:信息传输是信息安全风险密度较高的环节,因此,组织需要为内外部的各类信息 传输制定传输规则、程序或协议等。
●访问控制:访问控制是落实信息安全的重要手段,组织应根据业务和信息安全需求,制定和 实施控制信息和相关资产物理和逻辑访问的规则等。
●身份管理:组织需要管理系统和信息安全等各类身份的全生命周期。
●认证信息:组织通过管理程序对认证信息的分配和管理进行控制,包括建议员工和相关人员 等正确处理认证信息。
●访问权限:组织需要依据特定主题的政策和访问控制规则,分配、审查、修改和删除对信息 和相关资产的访问权限等。
●供应商信息安全:组织需要定义、发布和实施管理程序,管理使用供应商产品或服务过程中 相关的信息安全风险。
●解决供应商协议中的信息安全问题:组织需要根据供应商关系类型,确定每类(个)相关供 应商的信息安全要求,并与其达成一致。
●管理ICT供应链中的信息安全:组织需要定义、发布和实施管理程序,管理与ICT产品和服务 等供应链相关的信息安全风险。
●供应商服务的监控、审查和变更管理:组织需要定期监测、评估、评审和管理供应商信息安 全实践及服务交付等的变化。
●云服务的信息安全:组织需要建立获取、使用、管理和退出云服务的管理程序,从而满足其 信息安全相关要求。
●信息安全事件管理规划和准备:组织需要定义、建立和沟通信息安全事件管理程序,从而规 划和准备信息安全事件的管理。
●信息安全事件的评估和决策:组织需要评估信息安全事件,并决定是否将其归类为信息安全事件。
●信息安全事件响应:组织需要确保信息安全事件按照确定的程序进行响应。
●信息安全事件总结:组织需要及时从信息安全事件中获得知识,并确保其能够用于加强和改 进信息安全控制。
●收集证据:组织需要建立、发布和实施相关程序,确保与信息安全事件有关的证据的识别、 收集、获取和保存。
●中断期间的信息安全:组织需要计划如何在系统和业务等各类活动中断期间,将信息安全保 持在适当水平。
●ICT业务连续性:组织需要根据业务连续性目标和ICT连续性需求,规划、实施、维护和测试 ICT的准备情况。
●法律、法规、监管和合同要求;组织需要识别、记录与信息安全相关的法律、法规、监管和 合同要求, 以及组织满足这些要求的方法,并保持最新。
●知识产权:组织需要建立、发布和实施管理程序,用来保护知识产权。
●记录保护:组织需要建立适当的措施,从而防止记录丢失、毁坏、篡改、未经授权的访问和 未经授权发布等。
●个人身份信息的隐私和保护:组织需要根据有关法律法规和合同要求,识别并满足有关隐私 保护和个人信息保护的相关要求。
●信息安全独立审查:组织需要建立独立审查机制并实施相关审查, 以确保其管理信息安全的 方法及其实施(包括人员、流程和技术等)能够周期性地或在发生重大变化时进行独立审查。
●遵守信息安全政策、规则和标准:组织需要定期评审其信息安全政策、特定主题政策 规则和标准的遵守情况及合规性等。
●记录操作程序:组织需要记录信息处理设施的操作过程,并将其提供给需要的人员。
2.人员控制
在人员控制方面,主要包括筛选、雇佣、信息安全意识与教育、保密或保密协议、远程办公、 安全纪律等。
●筛选:组织在全职、兼职员工招选聘或外部专家人才聘任等活动的前期阶段,需要组织对拟 使用人员进行背景调查与验证,并考虑适用的法律、法规和道德规范等,且要与组织业务要求、需 访问信息的分类和感知风险相适宜。
●劳动合同与协议:组织需要在与人员相关的合同、劳动协议、聘用协议等文件中,说明人员和组织对信息安全的责任。
●信息安全意识、教育和培训:组织和相关利益方的人员需要接受适当的信息安全意识教育和 培训,并定期更新与人员工作职能相关的组织信息安全政策、主题策略和程序等。
●惩戒程序:组织需要建立、发布和实施信息安全相关的惩戒程序,从而对违反信息安全政策 的人员和其他相关利益方采取适当的惩戒行动。
●劳动终止或变更后的责任:组织应确保相关人员在终止或变更劳动关系后,相关人员和其他 相关方仍然需要保持的信息安全责任和义务得到明确、传达和执行。
●保密或保密协议:组织需要与人员和其他相关方确定、记录、定期审查和签署能够反映 组织信息安全需求的保密或保密协议。
●远程工作:当组织相关人员远程工作时,组织需要采取适当的安全措施,保护在非组织可管 控环境中所要访问、处理或存储的组织信息。
●信息安全事件报告:组织需要为相关人员提供一种机制、手段或程序,以便使其及时通过适 当渠道报告觉察到的、怀疑的或可疑的信息安全事件。
3.物理控制
在物理控制方面,主要包括物理安全边界、物理入口、物理安全监控、防范物理和环境威胁、 设备选址和保护、存储介质、布线安全和设备维护等。
●物理安全边界:组织需要明确定义并使用安全边界,来保护包含信息和相关资产的区域,如 研发大楼、数据中心等。
●物理入口:组织需要明确并执行适当的入口控制,并对接入点或访问点进行保护。
●办公室、房间和设施的安全:组织需要设计、实施和强化办公室、房间和设施的物理安全。
●物理安全监控:组织需要通过适当的监控手段,持续监控涉及信息安全的各类场所是否存在 未经授权的物理访问。
●防范物理和环境威胁:组织需要设计和实施针对物理和环境威胁的保护措施,包括自然灾害 和其他有意或无意的对基础设施的物理威胁等。
●安全区域保护:组织需要设计并实施在安全区域工作的安全措施和手段等。
●桌面和屏幕清理:组织需要制定、发布和实施桌面与电子屏幕清理规则,确保涉及信息安全 的纸质文件和可移动存储介质等得到及时、可靠的清理。
●设备选址和保护:组织需要确保涉及信息安全的设备得到安全放置和保护。
●场外资产的安全:组织需要明确并执行适当的措施,保护非可控环境中的资产。
●存储介质:组织需要根据信息分类方案和处理要求,在其信息获取、使用、运输和处置的整个生命周期内对存储介质进行有效管理。
●配套设施:组织需要采取适当的技术方案或措施手段,保护信息处理设施免受电力故障和其 他因辅助设施故障造成的干扰。
●布线安全:组织需要保护承载电力、数据或辅助信息服务的电缆免受截获、干扰或损坏。
●设备维护:组织需要建设适当的设备维护能力体系,从而有效维护设备,确保信息满足CIA 需求。
●设备安全处置或再利用:组织需要建立检测和验证包含存储介质设备的手段与措施,确保其 处置或在利用之前,敏感数据、软件许可和许可软件等已被删除或安全覆盖。
4.技术控制
在技术控制方面,主要包括用户终端设备、特殊访问权限、信息访问限制、访问源代码、身份 验证、容量管理、恶意代码与软件防范、技术漏洞管理、配置管理、信息删除、数据屏蔽、数据泄 露预防、网络安全和信息备份等。
●用户终端设备:组织需要保护在终端设备上存储、处理或访问的信息。
●特殊访问权限:组织需要尽量限制和管理特殊访问权限的分配和使用。
●信息访问限制:组织需要根据既定的信息安全政策和特定主题访问控制政策,限制对信息和 相关资产的访问。
●访问源代码:组织需要对源代码、开发工具和软件库的读写访问等采取适当的管理措施。
●身份验证:组织需要根据信息访问限制和特定主题的访问控制策略实施安全认证技术和程 序。
●容量管理:组织需要根据当前和预期的容量需求监测和调整资源的使用。
●恶意代码与软件防范:组织需要对软件进行保护,采取适当的策略、手段和方法,对恶意代 码与软件进行防范。
●技术漏洞管理:组织需要及时获得使用中的信息系统的技术漏洞信息(含可疑信息),评估 组织暴露于此类漏洞的情况和程度等,并采取适当措施。
●配置管理:组织需要建立、记录、实施、监控和审查软硬件、服务和网络的配置,包括安全 配置等。
●信息删除:组织需要及时删除不再需要的信息系统、设备或任何其他存储介质中的信息。
●数据屏蔽;组织需要根据访问控制主题政策、相关特定主题政策、业务要求等,实施数据屏 蔽,并考虑适用的立法。
●数据泄露预防:组织确立的数据泄漏预防措施需要适用于处理、存储或传输敏感信息的系统、网络和任何其他设备。
●信息备份:组织需要按照确定的特定主题备份政策,对信息、软件和系统的备份副本进行维 护和定期测试。
●信息处理设施的冗余:组织需要根据可用性需求部署信息处理设施的冗余度。
●日志:组织需要记录信息活动、异常、故障和其他相关事件的日志,并存储、保护和分析。
●监控活动:组织需要监控网络、系统和应用程序的异常情况,并采取适当措施评估潜在的信 息安全事件。
●时钟同步:组织需要确保使用的信息处理系统的时钟与指定的时钟源同步。
●特殊程序使用:组织需要限制并严格控制拥有特殊权限系统和应用程序控制的程序的使用。
●软件安装:组织需要采取适当的程序和措施,安全管理操作系统上的软件安装。
●网络安全:组织需要保护、管理和控制网络与网络设备,从而保护系统和应用程序中的信 息。
●网络服务的安全:组织需要确立、发布、实施和监控网络服务的安全机制、服务级别和服务 要求。
●网络隔离:组织需要根据安全需求,对信息服务组、用户组和信息系统组等在网络中进行隔 离。
●网页过滤;组织需要对外部网站的访问进行管理,从而减少面对恶意内容的可能。
●密码使用:组织需要定义和实施有效使用密码的规则,包括密码密钥管理等。
●开发生命周期安全:组织需要建立、发布和实施应用软件和系统的安全开发规则。
●应用程序安全要求:组织需要在开发或获取应用程序时,识别、批准信息安全需要与要求。
●系统安全架构和工程原理:组织需要建立、记录、维护系统工程的安全原则,并确保其应用 于各种信息系统开发活动。
●安全编码:组织需要确保软件安全编码原则有效应用于软件开发活动中。
●安全测试:组织需要在开发全生命周期中定义和实施安全测试管理程序。
●外包开发:组织需要指导、监控和评审与外包系统开发相关的活动。
●开发、测试和生产环境分离:组织需要将开发、测试和生产环境分开,并对各类环境采取适 当的保护措施。
●变更管理:组织需要确保信息处理设施和信息系统的变更遵守变更管理程序。
●测试信息:组织需要适当选择、保护和管理测试信息。
●在审核测试期间的信息系统保护:组织的测试人员和相关管理人员需要计划并商定审核测试和其他涉及操作系统评估的保证活动。
8.1.3管理体系
信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求 的管理,主要包括:
●落实安全管理机构及安全管理人员,明确角色与职责,制定安全规划;
●开发安全策略;
●实施风险管理;
●制订业务持续性计划和灾难恢复计划;
●选择与实施安全措施;
●保证配置、变更的正确与安全;
●进行安全审计;
●保证维护支持;
●进行监控、检查,处理安全事件;
●安全意识与安全教育;
●人员安全管理等。
在组织机构中应建立安全管理机构,不同安全等级的安全管理机构逐步建立自己的信息系统安 全组织机构管理体系,参考步骤包括:①配备安全管理人员。管理层中应有一人分管信息系统安全 工作,并为信息系统的安全管理配备专职或兼职的安全管理人员。②建立安全职能部门。建立管理 信息系统安全工作的职能部门,或者明确指定一个职能部门监管信息安全工作,并将此项工作作为 该部门的关键职责之一。③成立安全领导小组。在管理层成立信息系统安全管理委员会或信息系统 安全领导小组,对覆盖全国或跨地区的组织机构,应在总部和下级单位建立各级信息系统安全领导 小组,在基层至少要有一位专职的安全管理人员负责信息系统安全工作。④主要负责人出任领导。 由组织机构的主要负责人出任信息系统安全领导小组负责人。⑤建立信息安全保密管理部门。建立 信息系统安全保密监督管理的职能部门,或对原有保密部门明确信息安全保密管理责任,加强对信 息系统安全管理重要过程和管理人员的保密监督管理。
GB/T20269《信息安全技术信息系统安全管理要求》提出了对信息系统安全管理体系的要求, 其信息系统安全管理要素如表8-1所示。
表8-1:信息系统安全管理要素一览表
| 类 | 族 | 管理要素 |
| 政策和 制度 | 信息安全管理策略 | 安全管理目标与范围、总体安全管理策略、安全管理策略的制 定、安全管理策略的发布 |
| 安全管理规章制度 | 安全管理规章制度内容、安全管理规章制度的制定 | |
| 策略与制度文档管理 | 策略与制度文档的评审和修订、策略与制度文档的保管 | |
| 机构和人 员管理 | 安全管理机构 | 建立安全管理机构、信息安全领导小组、信息安全职能部门 |
| 安全机制集中管理机构 | 设置集中管理机构、集中管理机构职能 | |
| 人员管理 | 安全管理人员配备、关键岗位人员管理、人员录用管理、人员 离岗、人员考核与审查、第三方人员管理 | |
| 教育和培训 | 信息安全教育、信息安全专家 | |
| 风险管理 | 风险管理要求和策略 | 风险管理要求、风险管理策略 |
| 风险分析和评估 | 资产识别和分析、威胁识别和分析、脆弱性识别和分析、风险 分析和评估要求 | |
| 风险控制 | 选择和实施风险控制措施 | |
| 基于风险的决策 | 安全确认、信息系统运行的决策 | |
| 风险评估的管理 | 评估机构的选择、评估机构保密要求、评估信息的管理、技术 测试过程管理 | |
| 环境和资 源管理 | 环境安全管理 | 环境安全管理要求、机房安全管理要求、办公环境安全管理要 求 |
| 资源管理 | 资产清单管理、资产的分类与标识要求、介质管理、设备管理 要求 | |
| 用户管理 | 用户分类管理、系统用户要求、普通用户要求、机构外部用户 要求、临时用户要求 |
| 运行和维 护管理 | 运行操作管理 | 服务器操作管理、终端计算机操作管理、便携机操作管理、网 络及安全设备操作管理、业务应用操作管理、变更控制和重用 管理、信息交换管理 |
| 运行维护管理 | 日常运行安全管理、运行状况监控、软硬件维护管理、外部服 务方访问管理 | |
| 运行和维 护管理 | 外包服务管理 | 外包服务合同、外包服务商、外包服务的运行管理 |
| 有关安全机制保障 | 身份鉴别机制管理要求、访问控制机制管理要求、系统安全管 理要求、网络安全管理要求、应用系统安全管理要求、病毒防 护管理要求、密码管理要求 | |
| 安全集中管理 | 安全机制集中管控、安全信息集中管理、安全机制整合要求、 安全机制整合的处理方式 | |
| 业务持续 性管理 | 备份与恢复 | 数据备份和恢复、设备和系统的备份和冗余 |
| 安全事件处理 | 安全事件划分、安全事件报告和响应 | |
| 应急处理 | 应急处理和灾难恢复、应急计划、应急计划的实施保障 | |
| 监督和检 查管理 | 符合法律要求 | 知晓适用的法律、知识产权管理、保护证据记录 |
| 依从性管理 | 检查和改进、安全策略依从性检查、技术依从性检查 | |
| 审计及监管控制 | 审计控制、监管控制 | |
| 责任认定 | 审计结果的责任认定、审计及监管者责任的认定 | |
| 生存周期 管理 | 规划和立项管理 | 系统规划要求、系统需求的提出、系统开发的立项 |
| 建设过程管理 | 建设项目准备、工程项目外包要求、 自行开发环境控制、安全 产品使用要求、建设项目测试验收 | |
| 系统启用和终止管理 | 新系统启用管理、终止运行管理 |
8.1.4等级保护
国家市场监督管理总局、 国家标准化管理委员会宣布网络安全等级保护制度2.0相关的国 家标准正式发布,并于2019年12月1日开始实施。“等保1.0 ”体系以信息系统为对象,确立了 五级安全保护等级,并从信息系统安全等级保护的定级方法、基本要求、实施过程、测评作等方面入手,形成了一套相对完整的、有明确标准的、涵盖了制度与技术要求的等级保护 规范体系。然而,随着网络安全形势日益严峻,“等保1.0 ”体系难以持续应对新时代的网络 安全要求,于是“等保2.0 ”体系应运而生。
“等保2.0 ”将“信息系统安全 ”的概念扩展到了“ 网络安全 ”,其中,所谓“ 网络 ”是指 由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存 储、传输、交换、处理的系统。
1.安全保护等级划分
《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下5级。
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不 损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管 理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害, 或者对社会秩序和公共利益造成损害,但不损害国家安全。第二级信息系统运营、使用单位 应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信 息安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安 全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保 护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国 家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标 准和业务专门需求进行保护。 国家信息安全监管部门对该级信息系统信息安全等级保护工作 进行强制监督、检查( 高19上、中22上)。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害 。第五级信息系统运 营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。 国家指定专 门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
2.安全保护能力等级划分
《信息安全技术网络安全等级保护基本要求》(GB/T22239)规定了不同级别的等级保护对象应具备的基本安全保护能力。
第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意 攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到 损害后,能够恢复部分功能。
第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发 起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能 够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功 能。
第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有 较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当程度的威胁所 造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后, 能够较快恢复绝大部分功能。
第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织 的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威 胁所造成的资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后, 能够迅速恢复所有功能。
第五级安全保护能力:略。
3.“等保2.0 ”的核心内容
网络安全等级保护制度进入2.0时代,其核心内容包括: ①将风险评估、安全监测、通报 预警、案事件调查、数据防护、灾难备份、应急处置、 自主可控、供应链安全、效果评价、 综治考核等重点措施全部纳入等级保护制度并实施; ②将网络基础设施、信息系统、网站、 数据资源、云计算、物联网、移动互联网、工控系统、公众服务平台、智能设备等全部纳入 等级保护和安全监管; ③将互联网企业的网络、系统、大数据等纳入等级保护管理,保护互 联网企业健康发展。
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保 障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一 项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积 极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效 性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展 将起到重要推动作用。
4.“等保2.0 ”的技术变更
网络安全等级保护2.0技术变更的内容主要包括:
●物理和环境安全实质性变更: 降低物理位置选择要求,机房可设置在建筑楼顶或地下 室,但需要加强相应防水防潮措施。降低了物理访问控制要求,不再要求人员值守出入口, 不再要求机房内部分区,不再对机房人员出入进行具体要求。降低了电力供应的要求,不再 要求必须配备后备发电机。降低了电磁防护的要求,不再要求必须接地。降低了防盗和防破 坏要求,可部署防盗系统或视频监控系统。
●网络和通信安全实质性变更:强化了对设备和通信链路的硬件冗余要求。强化了网络访 问策略的控制要求,包括默认拒绝策略、控制规则最小化策略和源目的检查要求。降低了带 宽控制的要求,不再要求必须进行QoS控制。降低了安全访问路径、网络会话控制、地址欺骗 防范、拨号访问权限限制等比较“古老 ”的控制要求。
●设备和计算安全实质性变更:强化了访问控制的要求,细化了主体和客体的访问控制粒 度要求。强化了安全审计的统一时钟源要求。强化了入侵防范的控制要求,包括终端的准入 要求、漏洞测试与修复。降低了对审计分析的要求,不再要求必须生成审计报表。降低了对 恶意代码防范的统一管理要求和强制性的代码库异构要求。提出了采用可信计算技术防范恶 意代码的控制要求。
●应用和数据安全实质性变更:强化了对软件容错的要求,保障故障发生时的可用性。强 化了对账号和口令的安全要求,包括更改初始口令、账号口令重命名、对多余/过期/共享账号 的控制。强化了安全审计的统一时钟源要求。降低了对资源控制的要求,包括会话连接数限 制、资源监测、资源分配控制。降低了对审计分析的要求,不再要求必须生成审计报表。
5.“等保2.0 ”的管理变更
网络安全等级保护2.0管理变更的内容主要包括:
●安全策略和管理制度实质性变更:降低了对安全管理制度的管理要求,包括版本控制、 收发文管理等,其中不再要求必须由信息安全领导小组组织制度的审定。
●安全管理机构和人员实质性变更:对安全管理和机构人员的要求整体有所降低,一方面 对过细的操作层面要求进行删减,例如记录和文档的操作要求、制度的制定要求等;另一方 面对岗位配备、人员技能考核等要求也有实质性的删减。强化了对外部人员的管理要求,包 括外部人员的访问权限、保密协议的管理要求。
●安全建设管理实质性变更:对安全建设管理的要求整体有所降低,一方面对过细的操作 层面要求进行删减,例如不再要求由专门部门或人员实施某些管理活动,不再对某些管理制 度的制定做细化要求;另一方面对安全规划管理、测试验收管理也有实质性的删减。强化了 对服务供应商管理、系统上线安全测试、工程监理控制的管理要求。强化了对自行软件开发 的要求,包括安全性测试、恶意代码检测、软件开发活动的管理要求。
●安全运维管理实质性变更:对安全运维管理的要求整体有所降低,一方面对过细的操作 层面要求进行删减,例如不再要求由专门部门或人员实施某些管理活动,不再对某些管理制 度的制定做细化要求;另一方面对介质管理、设备管理也有实质性的删减。将原有属于监控 管理和安全管理中心的内容移到了“ 网络和通信安全 ”部分。将原有属于网络安全设备的部 分内容移到了“漏洞和风险管理 ”部分。降低了对网络和系统管理的要求,包括安全事件处 置管理、实施某些网络管理活动、网络接入策略控制。特别增加了漏洞和风险管理、配置管 理、外包运维管理的管理要求。强化了对账号管理、运维管理、设备报废或重用的管理要求。
6. 网络安全等级保护技术体系设计通用实践
由于形态不同的等级保护对象面临的威胁有所不同,安全保护需求也有所差异,为了便 于描述对不同网络安全保护级别和不同形态的等级保护对象的共性化和个性化保护,基于通 用和特定应用场景,说明等级保护安全技术体系设计的内容。其中:
●通用等级保护安全技术设计内容针对等级保护对象实行网络安全等级保护时的共性化保 护需求提出。等级保护对象无论以何种形式出现,都应根据安全保护等级,实现相应级别的 安全技术要求。
●特定应用场景针对云计算、移动互联、物联网、工业控制系统的个性化保护需求提出, 针对特定应用场景,实现相应网络安全保护级别的安全技术要求。
安全技术体系架构由从外到内的纵深防御体系构成。纵深防御体系根据等级保护的体系 框架设计。其中:
●“物理环境安全防护 ”保护服务器、网络设备以及其他设备设施免遭地震、火灾、水 灾、盗窃等事故导致的破坏;
●“通信网络安全防护 ”保护暴露于外部的通信线路和通信设备;
●“ 网络边界安全防护 ”对等级保护对象实施边界安全防护, 内部不同级别定级对象尽量 分别部署在相应保护等级的内部安全区域,低级别定级对象部署在高等级安全区域时应遵循 “就高保护 ”原则;
●“计算环境安全防护 ”即内部安全区域将实施“主机设备安全防护 ”和“应用和数据安 全防护 ”;
●“安全管理中心 ”对整个等级保护对象实施统一的安全技术管理。
随着国际互联网信息高速公路的畅通和国际化的信息交流,业务大范围扩展,信息安全 的风险也急剧恶化。由业务应用信息系统来解决安全问题的方式已经不能胜任。 由操作系统、数据库系统、网络管理系统来解决安全问题,也不能满足实际的需要,于是才不得不建 立独立的信息安全系统。信息系统安全是一门新兴的工程实践课题。我们有必要加大对信息 系统安全工程的研究,规范信息系统安全工程建设的过程,提高建设信息系统安全工程的成 熟能力。否则,信息系统安全工程建立不合理、不科学、不到位、不标准,势必影响业务应 用信息系统的正常运营,阻碍信息化的推进。
1 #include "stdio.h"
2 void main()
3 {
4 int time;
5 for (time=1;time<=10;time++)
6 printf("%d、喜欢的帮忙点赞收藏加关注哦!\n",time);
7 }
扫一扫
457
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
