网络安全基础

网络安全基本概念

  • 信息化社会的主要特征:数字化、网络化、智能化
  • 网络信息安全(狭义):机密性、完整性、可用性、抗抵赖性、可控性
  • 网络信息安全(广义):国家安全、城市安全、经济安全、社会安全、生产安全、人身安全

网络安全三大发展趋势

  • 对象内容:从单维度转向多维度,包含网络空间域、物理空间域、社会空间域;
  • 理念方法:从单一性(技术)向综合性(法律、政策、技术、管理、产业、教育);
  • 持续时间:要求覆盖网络系统的整个生命周期,响应速度要求不断缩短。

12大问题

  • 网络强依赖性及关联风险
  • 供应链与安全质量风险(如美国对华为芯片断供)
  • 技术同质性与滥用风险(避免单一供应商风险)
  • 网络安全建设与管理发展不平衡、不充分(建设与管理同等重要)
  • 网络数据安全风险
  • 高级持续威胁风险
  • 恶意代码风险
  • 软件漏洞风险
  • 人员安全意识风险
  • 技术复杂性和运营风险
  • 地下黑产经济风险
  • 网络间谍与网络战风险

网络信息安全的基本属性(CIA特性是重点)

属性 定义 攻击与防范
机密性(Confidentiality) 防止非授权用户获取信息(读) 窃听-加密
完整性(Integrity) 防止未授权更改(写) 修改-HASH/签名
可用性(Availablity) 合法授权用户能及时获取网络信息和服务的特性 DOS/DDOS-设备冗余/流量清洗
抗抵赖性(Non-Repudiation) 防止用户否认其活动行为(干了但是说自己没干) 数字签名
可控性 责任主体对系统具有管理、支配能力(可以控制系统)
其他特性 真实性、时效性、合规性、公平性、可靠性、可生存性、隐私性

信息安全目标与功能

  • 宏观目标:满足国家安全需求特性符合国家法律法规政策要求,如网络主权、网络合规(等保2.0等)
  • 微观目标:网络信息系统的具体安全要求(CIA)
  • 具体目标:防御网络安全威胁、保障业务持续运营、保护数据安全
  • 基本功能:防御、监测、应急、恢复

信息安全技术需求

  • 物理环境安全(环境、设备、存储介质)
  • 认证(防止用户假冒身份访问网络资源)
  • 访问控制
  • 网络安全保密
  • 漏洞扫描
  • 恶意代码防护(木马、蠕虫)
  • 内容安全(淫秽色情、反动信息)
  • 安全监测与预警(入侵监测、态势感知、言论监测)
  • 应急响应

网络信息安全管理

内容

定义

  • 核心特性:确保网络资产的可用性、完整性、可控性和抗抵赖性
  • 实施方式:通过对网络资产采取合适的安全措施来实现

涉及内容

  • 物理安全:机房选址要避开地下室等易受水淹区域
  • 网络通信安全:通过加密保证数据传输安全,如A和B远程通信时防止第三方窃取
  • 操作系统安全:涉及国产化操作系统等自主可控方案
  • 网络服务安全:防范针对Web、FTP等服务的攻击
  • 网络操作安全:防止恶意操作如"删库跑路"等数据破坏行为
  • 人员安全:通过培训、考试、规章制度提升安全意识

管理方法

主要有风险管理、等级保护、纵深防御、层次化保护、应急响应、PDCA方法等。

PDCA:

  • 计划(Plan)->执行(Do)->检查(Check)->整改(Act)
  • 行程持续改进的良性循环,常在项目管理中考察

管理工具

SOC(安全操作中心/安全管理中心)、IT资产管理系统、态势感知系统(通过分析全网日志和流量监测安全态势)、漏扫、协议分析器、上网行为管理等

安全评估

有三套标准:

  • 等保评测:通过技术+管理综合评估
  • 信息安全管理体系认证(ISMS):通过应用风险管理保持信息的保密性、完整性、可用性
  • 系统安全工程能力成熟度模型(SSE-CMM):通过组织过程、工程过程、项目过程等评估系统安全能力

考察三套标准区分,即划重点的位置。

要素

网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成(五个要素需要记忆)

  • 管理对象:硬件、软件、存储介质、网络信息资产、支持保障系统
  • 安全威胁:
    • 自然威胁:地震、雷击、洪水等
    • 人为威胁:物理安全威胁、网络通信威胁、网络服务威胁、网络管理威胁
  • 脆弱性:系统中与安全策略冲突的状态或错误,如弱密码"123456"
  • 风险控制措施(需要记忆)
    • 避免风险:物理隔离内外网
    • 转移风险:购买商业保险或安全外包**(重点考点)**
    • 减少威胁:安装防病毒软件
    • 消除脆弱点:打补丁或强化安全意识
    • 减少威胁影响:多链路备份或应急预案
    • 风险监测:定期安全状态风险分析

管理流程

  • 确定管理对象:明确要管理的具体目标(如Web服务器、交换机等)
  • 评估对象价值:判断管理对象的经济价值(例如10万或2000元的对象管理级别不同)
  • 识别威胁:分析可能面临的攻击类型(如SQL注入、XSS、DDoS等)
  • 识别脆弱性:找出最典型的安全弱点(如Web系统的SQL注入漏洞)
  • 确定风险级别:评估风险等级
  • 制定防范措施:根据风险级别选择适当防护方案
  • 实施落实措施:具体落实防范措施
  • 运行/维护:持续运行维护安全设备和配置

考试重点

  • 可能要求对流程步骤进行排序
  • 可能考察特定步骤后的下一步操作
  • 开放性问题可参考风险控制措施作答

网络安全法律法规

关键法律实施时间

  • 《中华人民共和国国家安全法》:2015年7月1日通过并实施(考试高频考点)
  • 《中华人民共和国网络安全法》(重点)2017年6月1日实施(记忆口诀:儿童节实施,比2018年股灾早一年)
    • 责任制度:单位一把手负责制,需明确网络安全责任人
    • 技术措施:需部署防病毒、防入侵设备等
    • 日志留存:网络日志必须保留至少6个月(2021年网规考试原题考点)
    • 数据保护:需实施分类、备份和加密措施
  • 《网络安全等级保护2.0》:2019年12月1日实施
  • 《中华人民共和国密码法》:2020年1月1日实施
  • 《中华人民共和国数据安全法》:2021年9月1日实施

案例:2021年7月份对滴滴等企业的审查使用了哪两部法律:国家安全法和网络安全法(数据安全法未实施)

网络产品和服务安全审查办法

法律依据:基于**《国家安全法》《网络安全法》**制定

审查重点

  • 关键信息基础设施被控风险
  • 数据泄露/毁损风险
  • 供应链中断风险(含政治因素)
  • 合规性审查(如滴滴案例)

中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)是负责实施网络安全审查和认证的专门机构。

拓展:企业采购需提供"安全三证":

  • 安全产品:CCRC认证证书
  • 网络设备:入网许可证
  • 无线设备:无线电安全委员会核准证

国家密码管理制度

image-20250721164751473

核心法规:《密码法》2020.1.1

网络安全等级保护

  • 定级:专家评审确定级别,等级分有5个级别,常见是2、3级,少有4级。
  • 备案:公安机关网安部门备案
  • 建设整改:差距分析→安全建设(设备采购占主要成本)
  • 等级测评:第三方机构出具测评报告
  • 运营运维:持续监管(相关部门监督管理)

网络信息安全部门

  • 核心部门
    • 网信办(实际管理核心)
    • 公安网安(等保备案)
    • 保密局(涉密系统)
  • 技术部门
    • CNCERT、CNCERT/CC:国家计算机网络应急技术处理协调中心(24小时事件响应)
    • CCRC:产品认证机构

网络信息安全科技信息获取来源:网络安全会议、网络安全期刊、网络安全网站、网络安全术语等。

网络信息安全领域四大顶刊:S&P,CCS,NDSS,USENIX Security

网络信息安全术语

image-20250721165735962

考试要点:选择题英文完形填空