18-网络安全框架及模型-信息系统安全保障模型

信息系统安全保障模型

1 基本概念

信息系统安全保障是针对信息系统在运行环境中所面临的各种风险，制定信息系统安全保障策略，设计并实现信息系统安全保障架构或模型，采取工程、技术、管理等安全保障要素，将风险减少至预定可接受的程度，从而保障其使命要求。

2 模型概述

信息系统安全保障模型包含安全保障要素、生存周期和能力成熟度三个维度。安全保障要素是将保障策略具化到技术、管理和工程等不同层面形成的保障要求。生存周期维度是强调安全保障要素的识别要贯穿信息系统从规划组织、开发采购、实施交付、运维维护和废弃等生存周期阶段。信息系统安全保障能力等级是在确保安全保障要素充分性的基础上，通过能力成熟度来评价信息系统安全保障能力。

3 模型特点

信息安全保障模型的主要特点为：

1. 强调信息系统安全保障要素的概念，信息系统的安全保障是通过综合技术、管理、工程的安全保障要素来实施和实现信息系统的安全保障策略，通过对信息系统的技术、管理、工程要求的评估，提供了对信息系统安全保障的信心。

2. 强调信息系统安全保障的持续发展的动态安全模型，即强调信息系统安全保障需要贯穿于整个信息系统生存周期的全过程。

3. 通过能力成熟度等级来评价基于生存周期的过程安全保障要素的保障能力。

4 保障能力等级

信息系统安全保障能力等级包含两个维度的要素。

第一个维度是依据风险评估选择的信息系统安全保障要素(包含技术保障要求、管理保障要求和工程保障要求)，这些安全保障要素的识别贯彻整个生存周期过程,能将风险降低到可接受的程度(即保障对策的充分性)。

第二个维度是安全保障要素被正确实现的能力成熟度(即保障对策的正确性)，如安全保障要素被实现的有序性、主动性、规范性、可量化性、可持续性等方面的度量。两个维度相结合进行评估，能充分定义信息系统安全保障的信心程度，即信息系统安全保障能力等级。

信息系统安全保障能力等级划分为五个等级，从低到高依次为:

1. 基本执行级： 特征为随机、被动地实现基本实践，依赖个人经验，无法复制;

2. 计划跟踪级： 特征为主动地实现了基本实践的计划与执行，但没有形成体系化;

3. 充分定义级： 特征为基本实践的规范定义与执行;

4. 量化控制级： 特征为建立了量化目标，基本实践的实现能进行度量与预测;

5. 持续优化级： 特征为能根据组织的整体目标，不断改进和优化实现基本实践。

5 信息系统生存周期

信息系统的生命周期是指信息系统从规划、开发、实施、运维到废弃的整个过程。在每个阶段中，都存在着特定的任务和活动，这些任务和活动有助于确保信息系统的顺利运行和安全保障。

1. 规划阶段：

在规划阶段，确定信息系统的目标、需求和约束条件。主要任务包括：

• 确定信息系统的目标和需求，明确组织的业务需求以及对信息系统的期望。

• 制定信息系统的战略规划，包括制定信息系统的发展方向、技术架构和安全策略等。

• 进行风险评估和安全需求分析，识别潜在的安全风险和需求，为后续的安全保障工作提供依据。

2. 开发阶段：

在开发阶段，根据规划阶段确定的目标和需求，进行信息系统的设计和开发。主要任务包括：

• 进行系统需求分析和设计，明确系统功能和数据流程，制定详细的系统设计文档。

• 进行系统编码和测试，根据设计文档实现系统功能，并进行单元测试和集成测试。

• 进行系统集成和验收，将各个模块进行整合，并进行系统验收测试，确保系统符合规定的要求。

3. 实施阶段：

在实施阶段，将开发完成的信息系统部署到生产环境中，并进行系统运行和用户培训。主要任务包括：

• 进行系统安装和配置，将开发完成的系统部署到目标环境中，并进行必要的配置。

• 进行系统上线和切换，将系统从测试环境切换到生产环境，并确保系统正常运行。

• 进行用户培训和支持，为系统的最终用户提供培训，使其能够熟练使用系统。

4. 运维阶段：

在运维阶段，对信息系统进行监控、维护和更新，以确保系统的稳定性和安全性。主要任务包括：

• 进行系统监控和故障处理，监控系统的运行状态，及时发现并解决系统故障。

• 进行系统维护和升级，定期对系统进行维护和更新，包括安全补丁的安装和性能优化等。

• 进行数据备份和恢复，定期备份系统数据，并在发生数据丢失或损坏时进行恢复。

5. 废弃阶段：

在废弃阶段，对信息系统进行清除处理，包括数据清除和系统卸载。主要任务包括：

• 进行数据清除和销毁，对系统中的敏感数据进行清除，确保数据不会被恶意获取。

• 进行系统卸载和销毁，对系统进行彻底卸载，并销毁相关的硬件设备和存储介质。

通过完整的生命周期管理，信息系统能够在各个阶段得到规范和控制，从而提高系统的安全性和可靠性。

6 保障体系

这个模型的保障体系主要围绕技术、管理和工作三个方面展开，以确保信息系统的安全和可靠运行。

1.技术保障： 技术保障是信息系统保障的基础，包括以下几个方面：

• 安全设计与开发 ：在系统开发阶段，采用安全设计原则和最佳实践，确保系统具备强大的安全性。这包括对用户身份验证、数据加密、访问控制等关键功能的设计和实施。

• 安全配置与漏洞修复 ：在系统实施阶段，进行必要的安全配置，如操作系统、网络设备等的安全设置，并及时修复系统中发现的漏洞，以防止潜在的安全威胁。

• 安全监测与响应 ：通过实施完善的安全监测系统，对系统进行实时监测和异常检测，并建立相应的响应机制，能够及时发现和应对潜在的安全威胁。

• 数据备份与恢复 ：建立定期的数据备份机制，并测试数据的可恢复性，以应对数据丢失或损坏的风险，确保信息系统的连续性和可靠性。

2.管理保障： 管理保障主要涉及组织和流程层面的措施，包括以下几个方面：

• 安全政策与标准 ：制定和实施适用的安全政策和标准，明确安全要求和责任，确保所有人员都理解和遵守相关的安全规定。

• 安全培训与意识教育 ：对系统管理员和最终用户进行定期的安全培训与意识教育，提高他们的安全意识和能力，使其能够正确使用和保护信息系统。

• 访问控制与权限管理 ：建立严格的访问控制机制，限制和监控对系统资源的访问，确保只有经过授权的用户才能获得相应的权限。

• 审计与合规性检查 ：定期进行系统审计和安全漏洞扫描，确保系统符合法规和合规要求，并及时采取纠正措施。

3.工作保障： 工作保障主要指在日常运维和管理过程中的具体工作措施，包括以下几个方面：

• 系统运行监控 ：建立系统运行监控机制，对关键指标进行实时监测，如服务器负载、网络流量等，及时发现并解决系统运行异常。

• 问题管理与故障处理 ：建立问题管理和故障处理流程，快速响应和解决系统问题和故障，以减少系统中断时间和业务影响。

• 变更管理与配置控制 ：对系统的变更进行严格管理和控制，确保变更过程受控和可追溯，避免因变更引起的潜在风险。

• 紧急响应与灾备计划 ：建立紧急响应和灾备计划，确保在发生紧急情况或灾难时能够及时响应并恢复系统功能，保障业务的连续性。

通过技术、管理和工作三个方面的综合保障体系，可以有效提升信息系统的安全性和可靠性，保护组织的信息资产和业务运行。

网络安全工程师(白帽子)企业级学习路线

第一阶段：安全基础（入门）

第二阶段：Web渗透（初级网安工程师）

第三阶段：进阶部分（中级网络安全工程师）

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资源分享

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！