网络安全概念及规范

网络安全概念及规范

1.网络安全定义

网络安全的概述和发展历史

• 网络安全

  • 广义的网络安全：Cyber Security（网络空间安全） 网络空间有独立且相互依存的信息基础设施和网络组成，包括互联网、电信网、计算机系统、嵌入式处理器和控制器系统等，是国家层面的。

  • 狭义的网络全：Network Security（网络安全） 是指通过采取必要的措施，防范网络及网络中传递的信息的攻击、入侵、干扰、破坏和非法使用以及意外事故，是网络处于稳定可靠运行的状态，保障网络中信息及数据的保密性、完整性、可用性的能力。

• 发展历史
  

Tips：

▫ 可用性： 确保被授权人员在需要时可以获取和使用相关的信息资产；
▫ 保密性： 确保信息只能由被授权的人员获取及使用；
▫ 完整性： 确保信息在传输过程中不被篡改；
▫ 可控性：对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统；
▫ 不可否认性：防止信息源用户对他发送的信息事后不承认，或者用户接收到信息之后不认帐。

网络安全常见威胁

• 黑客（Hacker）：往往是信息安全事件的发起者，通过攻击网络，获得有益的信息或者丰厚的报酬，通常伴随着犯罪行为。
• 漏洞：一切安全问题的根源。
• 勒索攻击：攻击者对被害者勒索大量赎金。
• 信息泄露
• DDoS：使目标服务器的网络或系统资源耗尽，使其服务暂时中断或停止，导致正常用户无法访问。
• 供应链攻击：因为供应链所涉及的下游企业及用户众多，攻击成功后，往往会造成广泛的影响。

2.网络安全发展趋势

Gartner 八大安全和风险趋势

Gartner是一家世界领先的研究与顾问公司，从全球化视野出发，针对企业所有重大业务职能领域，提供深入的业务与技术洞察。
• 下表为Gartner公司2021年针对安全领域的网络风险与客户业务需求提出的安全趋势。
• 安全设备厂商根据业界的发展趋势推出不同的网络安全解决方案，以应对客户现网中各类日新月异的威胁，如网络安全态势感知、零信任等。

网络安全态势感知

企业网络中部署的传统安全设备主要实现单点检测，这种独立分割的安全防护体系已经难以应对以APT为代表的新兴网络威胁。

态势感知是一种基于环境动态地、整体地洞悉安全风险的能力，它利用数据融合、数据挖掘、智能分析和可视化技术，直观的显示网络环境的实时安全状况，为网络安全保障提供技术支持。

• 安全数据分析和结果展示：利用数据挖掘及智能分析等技术，提取系统安全特征和指标，发现网络安全风险，汇总成有价值的情报，并将网络安全风险通过可视化技术直观地展示出来。
• 安全要素采集：采集各类安全设备的海量数据，包括流量数据、各类日志、漏洞、木马和病毒样本等。
• 安全数据处理：对采集到的安全要素数据进行清洗、分类、标准化、关联补齐和添加标签等操作，将标准数据加载到数据存储中。

零信任安全

零信任是一组不断发展的网络安全范式，该范式将网络防御从基于网络的静态边界转移到关注用户/资产/资源。

零信任架构ZTA是基于零信任原则的企业网络安全战略，旨在防止数据泄露和限制内部横向移动。

零信任的核心思想：默认情况下不应该信任网络内部和外部的任何人、设备和系统，需要基于认证、授权和重构访问控制的信任基础，即永不信任，始终验证。

• 网络中心化：基于网络位置的可信控制模型，认为内部网络是可信的，外部网络是不可信的，内外网边界通过防火墙等设备进行防护。存在信任过度问题，无法防御从内部网络发起的内部攻击。
• 身份中心化： 不管内部或是外部网络，任何一个用户，任何一台设备，发起的任何一次连接，申请的任何一次服务，在通过访问策略判决前均认为是不可信的。以身份为中心对资源进行细粒度的和自适应的访问控制。

3.信息安全标准与规范

• 信息安全标准是规范性文件之一。
• 信息安全标准化是国家网络安全保障体系建设的重要组成部分。

信息安全标准组织

• 国际：（ISO和IEC成立了联合技术委员会，负责制定信息技术领域中的国际标准）
  • ISO 国际标准化组织
  • IEC 国际电工委员会（负责有关电气工程和电子工程领域中的国际标准化工作 ）
• 国内：
  • 全国信息安全标准化技术委员会（TC260）
  • 中国通信标准化协会（CCSA）下辖的网络与信息安全技术工作委员会
• 其他：
  • ITU 国际电信联盟
  • IETF 工程任务组
  • NIST 美国国家标准与技术研究院

常见的信息安全标准与规范

ISO 27001信息安全管理体系介绍

信息安全管理体系

Information Security Management System（简称 ISMS）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用的体系。

ISMS的建设遵循PDCA的流程步骤：

• Plan：信息安全管理体系的策划与准备。根据组织的整体方针和目标，建立安全策略、目标以及与管理风险和改进信息安全相关的过程和程序，以获得结果。 ISO 27002帮助组织建立ISMS。
• Do：信息安全管理体系文件的编制。实施和运行安全策略、控制、过程和程序。 ISO27003为实施者提供建立ISMS的参考方法。
• Check：信息安全管理体系运行。适用时，根据安全策略、目标和惯有经验评估以及测量过程业绩，向管理层报告结果，进行评审。 ISO 27004为管理者提供度量方法和指标。
• Act： 信息安全管理体系审核、评审和持续改进。根据内部ISMS审核和管理评审或其他信息，采取纠正和预防措施，以实现ISMS的持续改进。 ISO 27005风险管理方法，贯穿整个风险识别、监控、评估和处置过程。

ISMS与ISO/IEC 27000

网络安全等级化保护体系

等级保护：对信息和信息载体按照重要性等级分级别进行保护的一种工作。

等级保护对象： 通常是指由计算机或者其他信息终端及相关设备组成的按照一定规则和程序对信息进行收集、存储、交换和处理的系统，主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联网技术的系统等。

2017年， 《 中华人民共和国网络安全法》 正式实施，标志着等级保护2.0的正式启动。

网络安全等级保护制度成为了国家网络安全领域的基本国策、基本制度和基本方法。

等级保护的意义

等级保护系统定级

等级保护对象根据其在国家安全，经济建设和社会生活中的重要程度，遭到破坏后对国家、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高被划分为五个安全保护等级。

• 第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
• 第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
• 第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
• 第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
• 第五级：信息系统受到破坏后，会对国家安全造成特别严重损害。

等级保护系统定级流程

• 安全保护等级初步确定为第二级及以上的等级保护对象。其网络运营者依据本标准组织进行专家评审，主管部门核准和备案审核，最终确定其安全保护等级。
• 安全保护等级初步确定为第一级的等级保护对象，其网络运营者可依据本标准自行确定最终安全保护等级，可不进行专家评审，主管部门核准和备案审核。

不同级别的安全保护能力

• 第一级：自主保护级。 能够防护拥有很少资源的威胁源发起的攻击、一般的自然灾害，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。
• 第二级：指导保护级。 能够防护外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和处置安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能。
• 第三级：监督保护级。 能够在统一安全策略下防护来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。
• 第四级：强制保护级。 能够在统一安全策略下防护来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾，以及其他相当危害程度的威胁所造成的资源损害，能够及时发现、监测发现攻击行为和安全事件，在自身遭到损害后，能够迅速恢复所有功能。
• 第五级：专控保护级。 能够在统一安全策略下，在实施专用的安全保护的基础上，通过可验证设计增强系统的安全性，使其具有抗渗透能力，使数据信息免遭非授权的泄露和破坏，保证最高安全的系统服务。

等级保护安全要求

• 等保2.0安全要求分为：安全通用要求、安全扩展要求

• 安全通用要求和扩展要求都分为：技术要求、管理要求

  注：安全等级越高，要求内容越严格。

等保2.0标准体系

等级保护的工作流程