《信息安全工程师教程》——网络信息安全概述
网络发展现状与重要性认识
计算机网络演变成人类活动的新空间,即网络空间,它是国家继陆、海、空、天后的第五个疆域。
网络信息安全相关概念
网络信息安全的发展历经了通信保密、计算机安全、信息保障、可信计算等阶段。
狭义的网安特指网络信息系统的各组成要素符合安全属性的要求,即机密性、完整性、可用性、抗抵赖性、可控性。
广义的网安涉及国家安全、城市安全、经济安全、社会安全、生产安全、人身安全等在内的“大安全”。
根据《中华人民共和国网络安全法》,网安是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠的运行状态,以及保障网络数据的完整性、保密性、可用性的能力。
围绕网安问题,保障网安的对象内容、理念方法、持续时间都在不停演变,其新的变化表现在三个方面:
1.保障内容从单维度向多维度转变,败仗的维度包含网络空间域、物理空间域、社会空间域;
2.网安保障措施从单一性(技术)向综合性(法律、政策、技术、管理、产业、教育)演变;
3.保障时间维度要求涵盖网络系统的整个生命周期。保障响应速度要求不断缩短,网络信息安全没有战时、平时之分,而是时时刻刻。
网络信息安全重要性认识
《国家网络空间安全战略》指出,网络空间已成为信息传播的新渠道、生产生活的新空间、经济发展的新引擎、文化繁荣的新载体、社会治理的新平台、交流合作的新纽带、国家主权的新疆域。
网络空间信息安全与传统安全有者明显差异,其具有网安威胁高隐蔽性、网安技术高密集性、网安控制地理区域不可限制性、王安防护时间不可区分性、网安攻防严重非对称性等。
2016年《国家网络安全空间战略》
2017年6月1日《中华人民共和国网络安全法》
2014年起,全国各地政府部门定期举办“国家网络安全宣传周”,以提升全民网安意识。
国家网络安全工作坚持网安为人民,网安靠人民,让“没有网络安全就没有国家安全”称为全社会的共识。
网络安全现状与问题
网络信息安全状况
网络信息泄露、恶意代码、垃圾邮件、网络恐怖主义等都会影响网安。
多协议、多系统、多应用、多用户组成的网络环境,复杂度高,存在难以避免的安全漏洞。
网安事件:震网病毒、乌克兰大停电、多国银行swift系统被攻击、物联网恶意程序致美国断电、域名劫持、永恒之蓝蠕虫等。
2018年,CNCERT协调处理网安事件10.6万起,其中网页仿冒事件>安全漏洞>恶意程序>网页篡改>网站后门>ddos。
针对关键信息基础设施的高级持续威胁(APT)日趋常态化。
APT组织:APT28、Lazarus、Group123、海莲花、MuddyWater等53个。
网络信息安全问题
1.网络强依赖性即网安关联风险凸显
2.网络信息产品供应链与安全质量风险
3.网络信息产品技术同质性与技术滥用性风险
4.网络信息建设与管理 发展不平衡、不充分风险
“重技术,轻管理;重建设,轻运营;重硬件,轻软件”
5.网络数据安全风险
数据安全风控是个难题
6.高级持续威胁风险
APT,包括对目标对象采用鱼叉邮件攻击、水坑攻击、网络流量劫持、中间人攻击等,综合利用多种技术实现攻击意图,规避安全监控。
7.恶意代码风险
病毒、蠕虫、木马、僵尸网络、逻辑炸弹、rootkit、勒索软件
8.软件代码和安全漏洞风险
攻击者利用漏洞入侵系统,窃取信息和破坏系统。
9.人员的网络安全意识风险
网络信息系统是人、机、物融合而成的,而实际工作中容易忽略人的关键安全作用。网络用户21001选择弱口令的比例大;利用用户U盘是实施网络物理隔离摆渡攻击的重要环节。
10.网络信息技术的复杂性和运营安全风险
11.网络地下黑产经济风险
12.网络间谍与网络战风险
网络信息安全基本属性
常见的网络信息安全基本属性:机密性、完整性、可用性、抗抵赖性、可控性、真实性、时效性、合规性、隐私性。
机密性
机密性(confidentiality)是指网络信息不泄露给非授权的用户、实体或程序,能够防止非授权者获取信息。
机密性通常被称为网络信息CIA三性之一。
机密性是军事信息系统、电子政务信息系统、商务信息系统等的重要要求。
完整性
完整性(integrity)是指网络信息或系统未经授权不能进行更改的特性。
完整性通常被称为网络信息CIA三性之一。
完整性对金融信息系统、工业控制系统至关重要。
可用性
可用性(availablity)是指合法许可的用户能够及时获取网络信息或服务的特性。
可用性通常被称为网络信息CIA三性之一。
可用性对国家关键信息基础设施而言至关重要,如电力信息系统、电信信息系统等,要求保持业务连续性运行,尽可能避免中断服务。
抗抵赖性
抗抵赖性是指防止网络信息系统相关用户否认其活动行为的特性。
抗抵赖性也称为非否认性,不可否认的目的是防止参与方对齐行为的否认。
该安全特性常用于电子合同、数字签名、电子取证等应用中。
可控性
可控性是指网络信息系统责任主体对其具有管理、支配能力的属性,能够根据授权规则对系统进行有效掌控和控制,使得管理者有效公职系统的行为和信息的使用,符合系统运行目标。
真实性
真实性是指网络空间信息与实际物理空间、社会空间的客观事实保持一致。
时效性
时效性是指网络空间信息、服务及系统能够满足时间约束要求。
合规性
合规性市镇网络信息、服务及系统符合法律法规政策、标准规范等要求。
公平性
公平性市镇网络信息系统相关主体处于同等地位处理相关任务,任何一方不占据优势的特性要求。
可靠性
可靠性是指网络信息系统在规定条件及时间下,能够有效完成预定的系统功能的特性。
可生存性
可生存性是指网络信息系统在安全受损的情形下,提供最小化、必要性的服务功能,支撑业务继续运行的安全特性。
隐私性
隐私性是指有关个人的敏感信息不对外公开的安全属性。
网络信息安全的目标和功能
网安目标可分为宏观的和微观的。
宏观的指网络信息系统满足国家安全需求特性,符合国家法律法规政策要求,如网络主权、网络合规;
微观的指网络信息系统的具体安全要求。
围绕网安目标,通过设置合适的网安机制,实现网安功能。
网络信息安全基本目标
根据《国家网络空间安全战略》,宏观的目标是以总体国家安全观为指导,贯彻落实创新、协调、绿色、开放、共享的发展理念,增强风险意识和危机意识,统筹国内国际两个,统筹发展安全两件大事,积极防御、有效应对,推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标。
网安的具体目标是保障网络信息及相关信息系统免受网安威胁,相关保护对象满足网安基本属性要求,用户网络香味符合国家法律法规要求,网络信息系统能够支撑业务安全持续运营,数据安全得到保护。
网络信息安全基本功能
网络应具备防御、监测、应急和恢复等基本功能。
1.网络信息安全防御:阻止、抵御 网安威胁
2.网络信息安全监测:检测、发现 已知、未知 网安威胁
3.网络信息安全应急:突发事件 及时响应 处理攻击
4.网络信息安全恢复:已发生 网络灾难 恢复系统运行
网络信息安全基本技术需求
网络物理环境安全、网络信息安全认证、访问控制、安全保密、漏洞扫描、恶意代码防护、网络信息内容安全、安全监测和预警、应急响应
物理环境安全
包括环境、设备和记录介质在内的所有支持网络系统运行的硬件的总体安全,是网络系统安全、可靠、不间断运行的基本保证。
物理安全需求包括环境安全、设备安全、存储介质安全。
网络信息安全认证
实现网路资源访问控制的前提和依据,保护网络管理对象的技术方法。
作用是标识鉴别网络资源访问者的身份的真实性,防止假冒。
网络信息访问控制
1.限制非法用户获取、使用网络资源;
2.防止合法用户滥用、越权。
网络信息安全保密
防止非授权用户访问。
物理实体——辐射干扰技术,防止电磁辐射泄露机密信息
核心信息、敏感数据——加密保护,防止非授权查看和泄露
信息系统——安全分区、数据防泄漏技术(DLP技术)、物理隔离等,与非可信的网络进行安全隔离,防止敏感信息泄露和外部攻击
网络信息安全漏洞扫描
网络系统、操作系统存在安全漏洞,是黑客等攻击得手的重要原因
恶意代码防护
网络是病毒、蠕虫、木马等恶意代码最好、最快的传播途径
恶意代码扩散造成信息泄露、文件丢失、机器死机
网络信息内容安全
网络信息系统承载的信息及数据符合法律法规要求,防止不良信息及垃圾信息传播
技术:垃圾邮件过滤、IP地址/URL过滤、自然语言分析处理
网络信息安全监测与预警
发现综合网系统入侵活动和检查检查安全保护措施的有效性,及时给网管报警,阻止扩散,调整安全策略
网络信息安全应急响应
保障在意外情况下,恢复网络系统的正确运转
对攻击进行电子取证,打击网络犯罪
网络信息安全管理内容与方法
包括网络信息安全管理概念、方法、依据、要素、流程、工具、评估
网络信息安全管理概念
对网络资产采取合适的安全措施,以确保网络资产的可用性、完整性、可控性、抗抵抗性,不致因网络设备、网络通信协议、网络服务、网络管理受人为、自然因素危害,导致网络中断、信息泄露或破坏。
管理对象包括网络设备、网络通信协议、网络服务、安全网络管理等在内的所有支持网络系统运行的软硬件总和。
网络信息安全涉及内容有物理安全、网络通信安全、操作系统安全、网络服务安全、网络操作安全以及人员安全。
技术:风险分析、密码算法、身份认证、访问控制、安全审计、漏洞扫描、防火墙、入侵检测、应急响应。
目标是通过实当安全防范措施,保障网络的运行安全和信息安全,满足网上业务开展的安全要求。
网络信息安全管理方法
涉及法律法规、技术、协议、产品、标准规范、文化、隐私保护等
方法:风险管理、等级保护、纵深防御、层次化保护、应急响应及PDCA(Plan-Do-Check-Act)等
网络信息安全管理依据
网安法律法规、网安政策文件、技术标准规范、管理标准规等
国际:ISO/IEC27001、欧盟通用数据保护条例(GDPR)、信息技术安全性评估通用准则(CC)
国内:《中华人民共和国网络安全法》、《中华人民共和国密码法》、GB17859、GB/T22080、网络安全等级保护相关条例及标准规范
网络信息安全管理要素
由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。
网安管理实质是风险控制,是通过对管理对象的威胁和脆弱性进行分析,确定网络管理对象的价值、网络管理对象威胁发生的可能性、网络管理对象的脆弱程度,从而确定网络管理对象的风险等级,然后选取合适的安全保护措施,降低网络管理对象的风险。
管理对象
存在形式 有形(硬件设备、软件文档) 无形(服务质量、网络带宽)
常见的网络信息安全管理对象的分类
| 对象类型 | 范例 |
|---|---|
| 硬件 | 计算机、网络设备、传输介质及转换器、输入输出设备、监控设备 |
| 软件 | 操作系统、通信软件、网络管理软件 |
| 存储介质 | 光盘、硬盘、软盘、磁带、移动存储器 |
| 网络信息资产 | IP、MAC、账户口令、网络拓扑 |
| 支持保障系统 | 消防、安保、动力、空调、通信系统、厂商服务系统 |
网络信息安全威胁
非自然的威胁主题类型实例
| 威胁主体类型 | 描述 |
|---|---|
| 国家 | 以国家安全为目的,由专业人士实现 |
| 黑客 | 以安全技术挑战为目的,出于兴趣,由不同安全技术熟练程度的人员组成 |
| 恐怖分子 | 以强迫或恐吓为手段,企图实现不当愿望 |
| 网络犯罪 | 以非法牟利为目的,非法侵入网络系统,出卖信息或修改信息记录 |
| 商业竞争对手 | 以市场竞争为目的,搜集商业情报 |
| 新闻机构 | 以手机新闻信息为目的,从网上非法获取信息 |
| 不满的内部员工 | 以报复、泄愤为目的,破坏网安设备干涉系统运行 |
| 粗心的内部员工 | 不专业不熟练导致系统受危害 |
根据威胁自然属性分自然威胁和人为威胁。
从威胁对象分类,分物理安全威胁、网络通信威胁、网络服务威胁、网络管理威胁。
网络信息安全脆弱性
指计算系统中与安全策略相冲突的状态或错误,导致非授权当问,假冒和拒绝服务。
网络信息安全风险
指特定威胁利用网络管理对象所存在的脆弱性,导致网络对象管理的价值收到损害或丢失的可能性。
网络风险就是网络威胁发生的概率和所造成影响的乘积,
网络安全管理实际上是对网络系统中网管对象的风险进行控制。
方法:
1.避免风险:物理隔离
2.转移风险:商业保险
3.减少威胁:防火墙
4.消除脆弱性:打补丁
5.减少威胁的影响:备份,制定应急预案
6.风险监测:定期风险评估
网络信息安全保护措施
指为对付网安威胁,减少脆弱性、限制意外事件的影响,检测意外事件并促成灾难恢复而实施的各种使劲按、规程和机制的总称。
目的是对网络管理对象进行风险控制。
保护措施可由多个安全机制组成,如访问控制、抗病毒软件、加密机制、安全审计机制、应急响应等。
保护措施实施安全功能:预防、延迟、阻止、检测、限制、修正、恢复、监控、意识性提示或强化。
网络信息安全管理流程
1.确定对象
2.评估价值
3.识别威胁
4.识别脆弱性
5.确定风险级别
6.制定防范体系、措施
7.实施措施
8.运行/维护设备、配置
网络信息安全管理重在过程
网络信息安全管理系统在生命周期中提供的支持:
| 生命周期阶段 | 生命周期阶段名称 | 网安管理活动 |
|---|---|---|
| 阶段1 | 网络信息系统规划 | 风险评估、标识目标、标识安全需求 |
| 阶段2 | 网络信息系统设计 | 标识风控方法、权衡解决方案、设计体系结构 |
| 阶段3 | 网络信息系统集成实现 | 部署安全设备、配置激活安全特性、效果评估、验证安全需求、检查环境是否符合设计 |
| 阶段4 | 网络信息系统运行和维护 | 建立管理组织、制定规章制度、定期评估、调整配置、发现修补漏洞、威胁检测与应急处理 |
| 阶段5 | 网络信息系统废弃 | 对废弃组件风险评估、废弃组件安全处理、组件安全更新 |
网络信息安全管理工具
网络安全管理平台(SOC)、IT资产管理系统、网络安全态势感知系统、网络安全漏洞扫描器、网络安全协议分析器、上网行为管理等
网络信息安全管理评估
指对网络信息安全管理能力及管理工作是否规范进行评价。
常见的评估有:网络安全等级保护测评、信息安全管理体系认证(IMSM)、系统安全工程能力成熟度模型(SSE-CMM)等。
网络安全等级保护测评依据网络安全等级保护规范对相应级别的系统进行测评;
信息安全管理体系认证依据GB/T22080、ISO/IEC27001标准,通过应用风险管理过程来保持信息的保密性、完整性和可用性。为风险管理树立信心;
SSE-CMM通过组织过程、工程过程、项目过程来实现对系统安全能力的评价。
网络信息安全法律与政策文件
主要有国家安全、网络安全战略、网络安全保护制度、密码管理、技术产品、域名服务、数据保护、安全测评等方面。
网络信息安全借本法律与国家战略
《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《国家网络安全战略法》、《网络空间国际合作战略》、《关键信息基础设施保护条例(征求意见稿)》、《网络安全等级保护条例(征求意见稿)》、《中华人民共和国密码法》等。
《中华人民共和国网络安全法》是国家网安管理的基本法律,框架性构建出法律制度与要求,重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全审查、个人信息和重要数据保护制度、数据处境安全评估、网络关键设备和网络安全专用产品安全管理制度、网络安全事件应对制度等。
网络安全等级保护
网络安全法第二十一条规定,国家实行网络安全等级保护制度。按照规定要求,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。其中,所规定的网络安全保护义务如下:
1.制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3.采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
4.采取数据分类、重要数据备份和加密等措施:
5.法律、行政法规规定的其他义务。
网络安全等级保护的主要工作可以概括为定级、备案,建设整改,等级测评、运营维护。其中,定级工作是确认定级对象,确定合适级别,通过专家评审和主管部门审核;备案工作是按等级保护管理规定准备备案材料,到地公安机关备案和审核;建设整改工作是指依据相应醉级要求对当前保护对象的实际情况进行差距分析,针对不符合项结合行业要求对保护对象进行整改,建设符合等级要求的安全技术和管理体系;等级测评工作是指依据相应等级要求,对定级的保护对象进行测评,并出具相应的等级保护测评证书;运营维护是指等级保护运营主体按照相应等级要求,对保护对象的安全相关事宜进行监督管理。
网络安全等级保护主要技术标准规范如下:
1.《信息安全技术网络安全等级保护基本要求》
2.《信息安全技术网络安全等级保护安全设计技术要求》
3.《信息安全技术网络安全等级保护实施指南》
4.《信息安全技术网络安全等级保护测评过程指南》
5.《信息安全技术网络安全等级保护测试评估技术指南》;
6.《信息安全技术网络安全等级保护测评要求》。
国家密码管理制度
根据密码法,国家密码管理部门负责管理全国的密码工作,县级以上地方各级密码管理部门门负责管理本行政区域的密码工作。国家密码管理相关法律政策如表:
| 序号 | 文件名称 | 发布机构 | 生效时间 | 法律状态 |
|---|---|---|---|---|
| 1 | 《中华人民共和国密码法》 | 全国人民代表大会 | 2020-1-1 | 现行有效 |
| 2 | 《商用密码管理条例》 | 中华人民共和国国务院 | 1999-10-7 | 现行有效 |
| 3 | 《商用密码科研管理规定》 | 国家密码管理局 | 2006-1-1 | 现行有效 |
| 4 | 《商用密码产品生产管理规定》 | 国家密码管理局 | 2006-1-1 | 现行有效 |
| 5 | 《商用密码产品销售管理规定》 | 国家密码管理局 | 2006-1-1 | 现行有效 |
| 6 | 《商用密码产品使用管理规定》 | 国家密码管理局 | 2006-1-1 | 现行有效 |
| 7 | 《境外组织和个人在华使用密码产品管理办法》 | 国家密码管理局 | 2007-5-1 | 现行有效 |
| 8 | 《信息安全等级保护商用密码管理办法》 | 国家密码管理局 | 2008-1-1 | 现行有效 |
| 9 | 《信息安全等级保护商用密码管理办法实施意见》 | 国家密码管理局 | 2009-12-15 | 现行有效 |
| 10 | 《信息安全等级保护商用密码技术实施要求》 | 国家密码管理局 | 2009-12-15 | 现行有效 |
网络产品和服务审查
为提高网络产品和服务的安全可控水平,防范网络安全风险,维护国家安全,依据《人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,有关部门指定了《网络产品和服务安全审查办法》。其中,网络安全审查重点评估采购网络产品和服务带来的安全风险,包括:
1.产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
2.产品和服务供应中断对关键信息基础设施业务连续性的危害;
3.产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
4.产品和服务提供者遵守中国法律、行政法规、部门规章情况;
5.其他可能危害关键信息基础设施安全和国家安全的因素。
中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)是负责实施网络安全审查和认证的专门机构。网络产品和服务安全相关标准规范主要有《信息安全技术网络产品和服务安全通用要求(征求意见稿)》《信息安全技术信息技术产品安全检测机构条件和行为准则》《信息安全技术信息技术产品安全可控评价指标(第1~5部分)》。目前,中国网络安全审查技术与认证中心已经发布了《网络关键设备和网络安全专用产品目录》,主要包括网络关键设备和网络安全专用产品。其中,网络关键设备有路由器、交换机、服务器(机架式)、可编程逻辑控制器(PLC设备)等;网络安全专用产品有数据备份-体机、防火墙(硬件)、WEB应用防火墙(WAF) 、入侵检测系统(IDS) 、入侵防御系统(IPS)、 安全隔离与信息交换产品(网闸)、反垃圾邮件产品、网络综合审计系统、网络脆弱性扫描产品、安全数据库系统、网站恢复产品(硬件)。
网络安全产品管理
网络安全产品管理主要是由测评机构按照相关标准对网络安全产品进行测评,达到测评要求后,给出产品合格证书。目前,国内网络安全产品测评机构主要有国家保密科技测评中心、中国信息安全认证中心、国家网络与信息系统安全产品质量监督检验中心、公安部计算机信息系统安全产品质量监督检验中心等。网络安全产品测评相关标准参见附录A。国际上的网络安全产品测评标准主要有ISO/IEC 15408。
互联网域名安全管理
域名服务是网络基础服务。该服务主要是指从事域名根服务器运行和管理、顶级域名运行和管理、域名注册、域名解析等活动。《互联网域名管 理办法》第四十一条规定, 域名根服务器运行机构、域名注册管理机构和域名注册服务机构应当遵守国家相关法律、法规和标准,落实网络与信,息安全保障措施,配置必要的网络通信应急设备,建立健全网络与信息安全监测技术手段和应急制度。域名系统出现网络与信息安全事件时,应当在24小时内向电信管理机构报告。
域名是政府网站的基本组成部分和重要身份标识。《国务院办公厅关于加强政府网站域名管理的通知》(国办函 (2018) 55号)要求加强域名解析安全防护和域名监测处置。要积极采取域名系统(DNS)安全协议技术、抗攻击技术等措施,防止域名被劫持、 被冒用,确保域名解析安全。应委托具有应急灾备、抗攻击等能力的域名解析服务提供商进行域名解析,鼓励对政府网站域名进行集中解析。自行建设运维的政府网站服务器不得放在境外:租用网络虚拟空间的,所租用的空间应当位于服务商的境内节点。使用内容分发网络(CDN)服求服务商将境内用户的域名解析地址指向其境内节点,不得指向境外节点。
工业控制信息安全制度
| 编号 | 文件名称 | 发布机构及文件编号 |
|---|---|---|
| 1 | 《关于加强工业控制系统信息安全管理的通知》 | 工信部协(2011)451号 |
| 2 | 《工业控制系统信息安全防护指南》 | 工信部信软(2016) 338号 |
| 3 | 《工业控制系统信息安全事件应急管理工作指南》 | 工信部信软(2017) 122号 |
| 4 | 《工业控制系统信息安全防护能力评估工作管理办法》 | 工信部信软(2017) 188号 |
| 5 | 《电力监控系统安全防护规定》 | 中华人民共和国国家发展与改革委员会令第14号 |
| 6 | 《电力监控系统安全防护总体方案》 | 国能安全(2015) 36号 |
| 7 | 《电力二次系统安全防护规定》 | 国家电力监管委员会令第5 |
| 8 | 《电力信息系统安全检查规范》 | 全国电力监管标准化技术委员 |
| 9 | 《电力信息安全水平评价指标》 | 全国电力监管标准化技术委员会 |
| 10 | 《烟草工业企业生产网与管理网网络互联安全规范》 | 全国烟草标准化技术委员会信息 |
个人信息和重要数据保护制度
| 编号 | 文件名称 | 发布机构 |
|---|---|---|
| 1 | 《个人信息和重要数据出境安全评估办法(征求意见稿)》 | 国家互联网信息办公室 |
| 2 | 《信息安全技术个人信息安全规范》 | 全国信息安全标准化技术委员会 |
| 3 | 《信息安全技术个人信息去标识化指南》 | 全国信息安全标准化技术委员会 |
| 4 | 《信息安全技术公共及商用服务信息系统个人信息保护指南》 | 全国信息安全标准化技术委员会 |
| 5 | 《信息安全技术数据出境安全评估指南(征求意见稿)》 | 全国信息安全标准化技术委员会 |
| 6 | 《科学数据管理办法》 | 国办发(2018) 17号 |
| 7 | 《数据安全管理办法(征求意见稿)》 | 国家互联网信息办公室 |
网络安 全标准规范与测评
全国信息安全标准化技术委员会是从事信息安全标准化工作的技术工作组织。委员会负责组织开展国内信息安全有关的标准化技术工作,技术委员会主要工作范围包括安全技术、安全机制、安全服务、安全管理、安全评估等领城的标准化技术工作。全国信息安全标准化技术委员会的网址是www .tc260.org.cn
网络安 全事件与应急响应制度
网络安全事件相关政策文件及标准规范主要如下:
1.《国家网络安全事件应急预案》
2.《工业控制系统信息安全事件应急管理工作指南》
3.《信息安全技术网络攻击定义及描述规范》
4.《信息安全技术网络安全事件应急演练通用指南》
5.《信息安全技术网络安全威胁信息格式规范》
国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文缩写为CNCERT或CNCERT/CC)是中国计算机网络应急处理体系中的牵头单位,是国家级应急中心。CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护公共互联网安全,保障关键信息基础设施的安全运行。
网络信息安全科技信息获取
网络信息安全科技信息获取来源主要有网络安全会议、网络安全期刊、网络安全网站、网络安全术语等。
网络信息安全会议
网络信息安全领域“四大”顶级学术会议是S&P、CCS、 NDSS、USENX Security。其中USENIX Security被中国计算机学会CCF)归为“网络与信息安全”A类会议(共分为A、B、C三类,A类最佳)。除此之外,CCF推荐的“网络与信息安全”B类会议有Annual Computer Security Applications Conference 、Intermational Symposium on Recent Advancesin Intrusion Detection等。
国外知名的网络安全会议主要有RSA Conference 、DEF CON. Black Hat。其中,RSA Conference已经创办了30年。
国内知名的网络安全会议主要有中国网络安全年会、互联网安全大会(简称ISC)、信息安全漏洞分析与风险评估大会。其中,ISC创办于2013年,其议题主要有网络安全治理政策、网络安全法律、工业控制安全、漏洞挖掘、人工智能安全,安全大数据、关键信息基础设施
保护、电子取证等各个方面。
网络信息安全期刊
网络信息安全国际期刊主要有IEEE Transactions on Dependable and Secure Computing、 IEEE Tasctions on Infrmation Forensics and
Security、 Journal of Cryptology、ACM Transactions on Privacy and Security、Computers & Security等。
国内的主要有《软件学报》、《计算机研究与发展》、《中国科学:信息科学》、《电子学报》、《自动化学报》、《通信学报》、《信息安全学报》、《密码学报》、《网络与信息安全学报》等。
网络信息安全网站
网络信息安全网站的主要类型有网络安全政府职能部门、网络安全应急响应组织、网络安全公司、网络安全技术组织等。计算机安全应急响应组(CERT)、开放Web应用程度安全项目(OWASP)、网络安全会议Black Hat等国际组织的网站上会提供各种类型的网络信息安全务。国内网络安全网址主要有网络安全政府部门网站、网络安全厂商网站、网络安全标准化组织网站。
网络信息安全术语
网络信息安全术语是获取网络安全知识和技术的重要途径, 常见的网络安全术语可以分基础技术类、风险评估技术类、防护技术类、检测技术类、响应/恢复技术类、测评技术类等。
1.基础技术类:加密encryption、解密decryption、公钥public key等。
2.风险评估技术类:拒绝服服务Denial of Serice、网页篡改Website distortion、 域名劫持dns hijack、分布式拒绝服务distributed denial of service、网页仿冒Phishing、网页挂马website malicious code、路由劫持routing hijack、垃圾邮件spam、恶意代码malicious code、特洛伊木马trojan horse、网络蠕虫network worm、僵尸网络bot net等。
3.防护技术类:访问控制access control、防火墙farewell、入侵检测系统instruction prevention system等。
4.检测技术类:入侵检测instruction detection、漏洞扫描vulnerability scanning等。
5.响应/恢复技术类:应急响应emergency response、灾难恢复disaster recovery、备份backup等。
6.测评技术类:黑盒测试black box testing、白盒测试white box testing、灰盒测试gray box testing、渗透测试penetration testing、模糊测试fuzz testing等。