当前位置: 首页 > news >正文

第一章-网络信息安全概述

news 2025/8/7 7:29:55

目录

一.网络信息安全概述

1信息安全基础

1.1信息安全基本概念

1.2网络安全三大发展趋势,

1.3网络安全的12大问题

1.4网络安全的基础属性

1.5目标与功能

1.6技术需求

2.网络安全管理

2.1安全管理

2.2网络信息安全管理要素

2.3网络信息安全管理流程

3网络安全法律法规

3.1网络安全法律法规

3.2网络产品和服务安全审查办法

3.3网络安全等级保护的主要工作

3.4网路安全部门

3.5网络安全术语

1信息安全基础

1.1信息安全基本概念

信息社会主要特征,数字化,网络化,智能化。

狭义:机密,完整可用抗抵赖,可控。

广义:国家,城市,经济,社会,生产,人身安全。

1.2网络安全三大发展趋势,

对象内容,理念方法,持续时间。

对象内容:单维度,到高纬度。(网络空间,物理空间,社会空间)

理念方法:单一性到综合性。(技术到多个方面)

持续时间:覆盖生命周期,响应速度要求不断缩短。

1.3网络安全的12大问题

网络依赖性以及网络安全关联风险凸显;

网络信息产品供应链与安全质量风险;

网络信息产品技术同质性与技术滥用风险;

网络建设与管理不平衡充分;

网络数据安全;

高级持续威胁;

恶意代码风险;

软件代码和安全漏洞风险;

人员的网络安全意识风险;

网络信息技术复杂性和运营安全风险;

网络地下黑产经济风险;

网络间谍与网络战风险;

1.4网络安全的基础属性

机密性:网络信息不泄露给非授权用户,实体或者程序,放置非授权者获取信息 窃听加密

完整性:网络信息或系统未经授权不能进行更改。 修改HASH/签名

可用性:合法用户可以及时获取信息或服务。 dos-冗余/清洗

抗抵赖性:防止网络信息系统相关用户否认其活动行为的特性。 数字签名。

可控性:系统的行为符合目标。

其他特性:真实,时效,合规,公平,可靠,可生存,隐私。

1.5目标与功能

宏观:满足国家安全需求特性,符合国家法律法规政策要求。(6个月日志)。

微观:网络信息系统的具体安全要求。

具体目标:系统免受网络安全威胁,满足安全基本属性,符合法律,持续运营,数据安全。

基本功能:防御,检测,应急,和恢复。

1.6技术需求

物理环境安全。认证。访问控制,网络安全保密,漏洞扫描,恶意代码防护,内容安全,安全检测与预警,应急响应。

2.网络安全管理

2.1安全管理

定义:对网络资产采取合适的安全措施,确保网络的可用性完整性可控性和抗抵赖性。

内容:物理,网络通信,操作系统,网络服务安全,网络操作安全以及人员安全。

管理方法:主要有风险管理,等级保护,纵深防御,蹭吃话保护,应急响应以及PDCA方法

工具:IT资产管理系统,SOC,漏洞扫描,上网行为管理。

安全评估:等级保护评测,通过技术和管理进行评估。信息安全管理体系认证ISMS,系统安全工程师能力成熟度模型SSE-CMM

2.2网络信息安全管理要素

对象:软硬件,存储介质,网络信息资产。

网络威胁:人为威胁,自然威胁。

安全脆弱性:非授权假冒用户。

网络安全风险:避免风险物理隔离,转移风险(保险,安全外包),减少威胁(防毒软件),消除脆弱点(打补丁),减少威胁的影响(备份,多条线路通信),风险检测(定期对网络系统中的安全状态进行风险分析)。

保护措施:后续章节

2.3网络信息安全管理流程

确认对象

评估价值

识别威胁

识别脆弱性

确认风险等级

指定防范措施

实施和落实防范措施

运行和维护设备

3网络安全法律法规

3.1网络安全法律法规

《国家安全法》颁布日期:15年7月1日颁布并实施

《网络安全法》颁布日期:2016.11.7,2017.6.1日实施

内容:指定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

采取防范计算机病毒和网络攻击,网络入侵等危害网络安全行为技术措施。

采取检测,记录网络的运行状态,网络安全时间的技术措施,并按照固定留存相关的网络日志不少于6个月时间。

采取数据分类,重要的数据备份和加密等措施。

《网络安全等级保护2.0》 2019.12.1实施

《中华人民共和国密码法》 2020年1月1日实施

《中华人民共和国数据安全法》 2021年8月1日

3.2网络产品和服务安全审查办法

根据《国家安全法》和《网络安全法》等制定《网络产品和服务安全审查办法》重点评估采购的产品和服务可能带来的国家安全风险。

认证机构:中国网络安全审查技术与认证中心CCRC。是负责实施网络安全审查和认证的专门机构。

发布《网络关键设备和网络安全专用产品目录》,包括路由器,交换机,服务器,防火墙,IPS,WAF,网闸等等。

3.3网络安全等级保护的主要工作

定级:确定对象,确定级别,通过专家和主管部门审核;

备案:按等级保护管理规定准备备案材料,到当地公安机关备案和审核。

建设整改:依据相应等级要求对电器概念保护的情况进行分析,针对不符合的进行整改。

等级评测:等级评测机构根据相应的要求,对定级保护的对象进行评测,并出具证书。

运维维护:等级保护运营主体按照相应等级要求,对保护对象的安全相关事宜进行监督管理。

3.4网路安全部门

中国网络安全审查技术与认证中心——CCRC,负责实施网络安全审查和认证的专门机构。

域名服务是网络基础服务。管理域名。

国家计算机网络应急技术处理协调中心 CNCERT 或CNCERT/CC 真牛的是网信办,网安,保密局,管理网络安全事件。

信息来源:网络安全会议,网络安全期刊,网络安全网站,网络安全术语。

网络信息安全领域四大定级学术会议:S&P,CSS,NDSS,USENIS Security.

3.5网络安全术语

常见术语可以分为下面几类:

基础技术类:加密,解密,非对称加密,公钥加密等

风险评估技术类:拒绝服务,分布式拒绝服务,网页篡改,网页仿冒,网页挂马,域名劫持等

防护技术类:控制访问,防火墙,入侵防御系统

检测技术类:入侵检测,漏洞扫描

响应恢复技术:应急响应,灾难恢复,备份

评测技术类:黑盒测试,白盒,灰盒,渗透测试,模糊测试等。

http://www.lryc.cn/news/611781.html

相关文章:

  • 数据赋能(381)——数据挖掘——支持异类数据库
  • C语言的数组与字符串练习题2
  • GitHub 趋势日报 (2025年08月05日)
  • Gitlab+Jenkins+K8S+Registry 建立 CI/CD 流水线
  • 8.6 CSS3rem布局
  • npm scripts 使用指南
  • 解决在IDEA、webstorm里Git特别慢的问题
  • 自动驾驶系统的网络安全风险分析
  • vasp计算弹性常数
  • MyBatis核心配置深度解析:从XML到映射的完整技术指南
  • 构建语义搜索引擎:Weaviate的实践与探索
  • 实名认证 —— 腾讯云人脸识别接口
  • Redis集群核心原理与实战解析
  • 2025年08月 GitHub 热门项目推荐
  • 【Figma】一.初识设计工具Figma,简单尝试和笔记
  • 实名认证 —— 腾讯云身份证认证接口
  • 机器学习之随机森林
  • Numpy科学计算与数据分析专题
  • CRMEB会员电商系统集群部署 + 腾讯云日志托管优化方案
  • zsh: command not found: code报错解决办法
  • python基础:类
  • LLM——浅谈 LangGraph 中断式工作流:构建一个可交互的问答流程
  • Effective C++ 条款26: 尽可能延后变量定义式的出现时间
  • RN项目环境搭建和使用-Mac版本(模拟器启动不起来的排查)
  • Solidity 编程进阶
  • 阿里国际招AI产品经理咯
  • 用 “私房钱” 类比闭包:为啥它能访问外部变量?
  • Google Chrome <139.0.7236.0 UAF漏洞
  • RabbitMQ面试精讲 Day 12:镜像队列与Quorum队列对比
  • MATLAB下载教程MATLAB R2025a 保姆级安装步骤(附安装包)