1. 网络信息安全基本属性
- 机密性:网络信息不泄露给非授权的用户、实体或程序,能够防止非授权者获取信息
- 完整性:网络信息或系统未授权不能进行更改的特性
- 可用性:合法许可的用户能及时获取网络信息和服务的特性
- 抗抵赖性:防止网络信息系统相关用户否认其活动行为的特征
- 可控性:网络信息系统责任主体对其具有管理支配能力的属性
2. 网络信息安全目标
- 宏观目标:指网络信息系统能满足网络安全需求,符合网络法律法规的要求
- 微观目标:网络信息系统的具体安全要求。围绕网络安全目标,通过设置合适的安全机制,以实现网络安全功能
3. 网络信息安全的基本功能
- 安全防御:采用各种手段和措施,使得网络系统具备阻止、抵御各种已知的网络安全威胁
- 安全检测:采用各种手段和措施,检测、发现各种已知或未知的网络安全威胁的功能
- 安全应急:采用各种手段和措施,针对网络系统中突发事件,具备及时响应和处置网络攻击的能力
- 安全恢复:采取各种手段和措施,针对已经发生的网络灾害事件,具备恢复系统运行的功能
4. 网络信息安全管理的要素
- 由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成
5. 网络信息安全管理流程
- 确认对象
- 评估对象的价值
- 识别对象的威胁
- 识别对象的脆弱性
- 识别对象的风险级别
- 制定对象防范措施
- 实施和落实网络信息安全防范措施
- 运行维护网络信息安全设备、配置
网络信息安全应该贯穿于网络信息系统的整个生命后期
- 网络信息系统规划
-
- 网络信息安全风险评估
- 标识网络信息安全目标
- 标识网络信息安全需求
- 网络信息系统设计
-
- 标识信息安全风险控制方法
- 权衡网络信息安全解决方案
- 设置网络信息安全结构
- 网络信息系统集成实现
-
- 购买和部署安全设备或产品
- 网络安全信息系统的安全特性应该被配置、激活
- 网络安全系统实现效果的评价
- 验证是否能满足安全需求
- 检查系统所运行的环境是否符合设计
- 网络信息系统运行与维护
-
- 建立网络信息安全管理组织
- 制定网络信息安全规章制度
- 定期重新评估网络信息管理对象
- 实时调整安全配置或设备
- 发现并修补网络信息系统的漏洞
- 威胁监测与应急处理
- 网络信息系统废弃
-
- 对要替换或废弃的网络系统组件进行风险评估
- 废弃的网络信息系统组件安全处理
- 网络信息组件的安全更新
6. 等保2.0相关政策
- 等保2.0相关国家标准:于2019年的12月1日起实施
- 制定了内部安全管理制定和操作规程,确定网络安全责任人,落实网络安全保护责任
- 采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施
- 采取监测记录网络运行状态、网络安全事件的技术措施,并规定相关网络日志不少于6个月
- 采取数据分类,重要数据备份和加密措施
7. 网络相关法律法规
- 国家安全法:于2015年7月1日通过并当日公布实施
- 网络安全法:于2017年6月1日起实施
- 等保2.0规定:于2019年12月1日起实施
- 国家密码法:于2020年1月1日起实施
- 数据安全法:于2021年9月1日起实施
- 个人信息保护法:于2021年的11月1日起实施