信安软考总结-第一章网络信息安全概述

最新推荐文章于 2024-09-28 01:25:42 发布

E4weet

最新推荐文章于 2024-09-28 01:25:42 发布

阅读量416

点赞数 5

文章标签：网络 web安全安全

本文链接：https://blog.csdn.net/weixin_49727285/article/details/142357827

版权

网络安全基本属性
- 机密性
  - 是指网络信息不泄露给非授权的用户、实体或程序，能够防止非授权者获取信息（不泄露）
- 完整性
  - 是指网络信息或系统未经授权不能进行更改的特性（不被篡改）
- 可用性
  - 是指合法许可的用户能够及时获取网络信息或服务的特性（随时可以使用）
- 抗抵赖性
  - （不可否认性）
- 可控性
  - （具有管理、支配能力的属性）
- 其他
  - 真实性
  - 时效性
  - 合规性
  - 公平性
    - 能够有效完成预定的系统功能
  - 可靠性
  - 可生存性
  - 隐私性
网络信息安全目标与功能
- 目标
  - 保障网络信息及相关信息系统免受网络安全威胁
- 功能
  - 防御：使网络系统具备阻止、抵御各种已知网络安全威胁的功能
  - 监测：检测、发现各种已知或未知的网络安全威胁功能
  - 应急：针对网络中的突发事件，具备及时响应和处理网络攻击的功能
  - 恢复：具备恢复网络系统运行的功能
网络信息访问控制目标
- 限制非法用户获取或使用网络资源
- 防止合法用户滥用权限，越权访问网络资源
网络安全管理方法
- 风险管理、等级保护、纵深防御、层次化保护、应急响应、PDCA（Plan-Do-Check-Act）
信息安全风险
- 网络威胁发生的概率和造成影响的乘积
- 风险控制方法
  - 避免风险：通过物理隔离设备将内网和外网分开，避免受到外网的攻击（网闸）
  - 转移风险：购买商业保险、安全外包
  - 减少威胁：安装防病毒软件
  - 消除脆弱点：给操作系统打补丁、强化工作人员的安全意识
  - 减少威胁的影响：采取多条线路进行备份（冗余）、制定应急预案
  - 风险监测：定期对网络系统中的安全状况进行风险分析，检测潜在的威胁行为
信息安全管理工作流程
- 确定对象-评估价值-识别威胁-识别脆弱性-确定风险级别-制定措施-实施措施-运维
等保测评的流程
- 定级、备案、建设整改、等级测评、运营维护（监督管理）
生命周期
- 网络信息系统规划
  - 网络信息安全风险评估
  - 标识网络信息安全目标
  - 标识网络信息安全需求
- 网络信息系统设计
  - 标识信息安全风险控制方法
  - 权衡网络信息安全解决方案
  - 设计网络信息安全体系结构
- 网络信息系统集成实现
  - 购买和部署安全设备或产品
  - 网络信息系统的安全特性应该被配置、激活
  - 网络安全系统实现效果的评价
  - 验证是否能满足安全需求
  - 检查系统所云的环境是否符合设计
- 网络信息系统运行和维护
  - 建立网络信息安全管理组织
  - 制定网络信息安全规章制度
  - 定期重新评估网络信息管理对象
  - 适时调整安全配置或设备
  - 发现并修补网络信息系统的漏洞
  - 威胁检测与应急响应
- 网络信息系统废弃
  - 对要替换或废弃的网络系统组件进行风险评估
  - 废弃的网络信息系统组件安全处理
  - 网络信息系统组件的安全更新