1.6 網路資訊安全管理內容與方法
注重網路資訊安全的管理,
內容:概念、方法、依據、要素、流程、工具、評估等,
1.6.1 概念
網路資訊安全管理是指對網路資產采取合適的安全措施,以確保網路資產的可用性、完整性、可控制性和抗抵賴性等,不致因網路中斷、資訊泄漏或破壞,
網路資訊安全管理物件主要包括:網路設備、網路通信協議、網路作業系統、網路服務、安全網路管理等在內的所有支持網路系統運行的軟、硬體總和,
網路資訊安全設計內容有:物理安全、網路通信安全、作業系統安全、網路服務安全、網路操作安全以及人員安全,
與網路資訊安全管理有關的技術主要有:風險分析、密碼演算法、身份認證、訪問控制、安全審計、漏洞掃描、防火墻、入侵檢測和應急回應等,
網路資訊安全管理的目標就是通過適當的安全防范措施,保障網路的運行安全和資訊安全,滿足網上業務開展的安全要求,
1.6.1 方法
網路資訊安全管理是一個復雜的活動,涉及法律法規、技術、協議、產品、標準規范、文化、隱私保護等,同時涉及多個網路安全風險相關責任提,
網路安全管理方法主要有:風險管理、等級保護、縱深防御、層次化保護、應急回應以及PDCA(Plan-Do-Check-Act)方法等,
實際作業中PDCA是一個不錯的方法,風險管理在很多檢查比如PCI DSS中會涉及,等級保護-網安有等級保護要求,
1.6.2 依據
網路資訊安全管理依據主要包括網路安全法律法規、網路安全相關政策檔案、網路安全技術規范、網路安全管理標準規范等,
國際上網路安全管理等參考依據主要是ISO/IEC27001、歐盟通用資料保護條例(GDPR,General Data Protection Regulation)、資訊安全技術安全性評估通用準則(Common Criteria,CC),
國內網路安全管理的參考依據主要是《中華人民共和國網路安全法》、《中華人民共和國密碼法》、《中華人民共和國資料安全法》(2021年6月10日)以及GB17859、GB/T22080、網路安全等級保護相關條例與標準規范,
1.6.4 要素
網路資訊安全管理要素由網路管理物件、網路威脅、網路脆弱性、網路風險、網路保護措施組成,
網路安全管理實際上就是風險控制,其基本程序是通過對網路管理物件的威脅和脆弱性進行分析,從而確定網路管理物件的風險等級,然后據此選取合適的安全保護措施,降低網路物件的風險,
1、管理物件
網路資訊安全管理物件是企業、機構直接賦予了價值而需要保護的資產,它的存在形式包括有形和無形的,如網路設備硬體、軟體檔案是有形的,而服務質量、網路寬帶是無形的,
| 物件型別 | 范例 |
| 硬體 | 計算機、網路設備、傳輸介質及轉換器、輸入輸出設備、監控設備、安全設備 |
| 軟體 | 網路作業系統、網路通信軟體、網路管理軟體 |
| 存盤介質 | 光碟、硬碟、軟盤、磁帶、移動存盤器 |
| 網路資訊資產 | 網路IP地址、網路物理地址、網路用戶賬號/口令、網路拓撲結構圖 |
| 支持保障系統 | 消防、保安系統、動力、空調、通信系統、廠商服務系統 |
2、網路資訊安全威脅
| 威脅主體型別 | 描述 |
| 國家 | 以國家安全為目的,由專業資訊安全人員實作,如資訊戰士 |
| 黑客 | 以安全技術挑戰為目的,主要出于興趣,由具有不同安全技術熟練程度的人員組成 |
| 恐怖分子 | 以威脅或恐嚇手段,企圖實作不當愿望 |
| 網路犯罪 | 以非法獲取經濟利益為目的,非法進入網路系統,出賣資訊或者修改資訊記錄 |
| 商業競爭對手 | 以市場競爭為目的,主要是收集商業情報或損害對手的市場影響力 |
| 新聞機構 | 以收集新聞資訊為目的,從網上非法獲取有關新聞事件中的人員資訊或背景材料 |
| 不滿的內部作業人員 | 以報復、泄憤為目的,破壞網路安全設備或干擾系統運行 |
| 粗心的內部作業人員 | 因作業不專心或技術不熟練而導致網路系統受到傷害,如誤配置 |
根據威脅主體的自然屬性,可分為自然威脅和人為威脅,自然威脅有地震、雷擊、洪水、火災、靜電、鼠害和電力故障等,
從威脅物件來分類,可分為物理安全威脅、網路通信威脅、網路服務威脅、網路管理威脅,
3、網路資訊安全脆弱性
脆弱性是指計算系統中與安全策略相沖突的狀態或錯誤,它將導致攻擊者非授權訪問、假冒用戶執行操作及拒絕服務,
網路攻擊主要是利用了系統的脆弱性,如拒絕服務攻擊主要是利用資源有限性的特點,攻擊程序長期占用資源不釋放,造成其他用戶得不到應得的服務,使該服務癱瘓,
4、網路資訊安全風險
網路資訊安全風險是指特定的威脅利用網路管理物件所存在的脆弱性,導致網路管理物件的價值受到損害或者丟失的可能性,簡單地說,網路風險就是網路威脅發生的概率和所造成影響的乘積,
網路安全管理實際是對網路系統中網管物件的風險進行控制,其方法如下:
(1)避免風險,例如:通過物理隔離設備將內部網和外部網分開,避免受到外部網的攻擊,
(2)轉移風險,例如:購買商業保險計劃或安全外包,
(3)減少威脅,例如:安裝防病毒軟體包,防止病毒攻擊,
(4)消除脆弱點,例如,給作業系統打補丁或者強化作業人員的安全意識,
(5)減少威脅的影響,例如:采取多條通信線路進行備份火制定應急預案,
(6)風險監測,例如:定期對網路系統中的安全狀況進行風險分析,監測潛在的威脅行為,
5、網路資訊安全保護措施
保護措施可由多個安全機制組成,如:訪問控制機制、抗病毒軟體、加密機制、安全審計機制、應急回應機制(如備用電源以及系統熱備份)等,
在網路系統中,保護措施一般實作一種或多種安全功能,包括預防、延緩、阻止、監測、限制、修正、恢復、監控以及意識性提示火強化,
例如,安裝網路入侵檢測系統(IDS)可以發現入侵行為,
1.6.5 網路資訊安全管理流程
網路資訊安全管理一般遵循如下作業流程:
步驟1,確定網路資訊安全管理物件;
步驟2,評估網路資訊安全管理物件的價值;
步驟3,識別網路資訊安全管理物件的威脅;
步驟4,識別網路資訊安全管理物件的脆弱性;
步驟5,確定網路資訊安全管理物件的風險級別;
步驟6,制定網路資訊安全防范體系及防范措施;
步驟7,實施和落實網路資訊安全防范措施;
步驟8,運行/維護網路資訊安全設備、配置,
上述網路資訊安全管理作業流程是大致應當遵循的和不斷重復回圈的程序,也是安全需求不斷提煉的程序,在實施網路資訊安全管理中,根據不同級別的網路風險進行分級管理,選擇適合級別的安全防范措施,然后貫徹落實安全管理相關的作業,如安全策略執行、安全設備運行、安全配置更新、資源訪問與授權、安全事件應急處理等,網路資訊安全管理重在程序,若將網路資訊系統比喻成一個生命系統,則網路資訊安全管理應該貫穿于網路資訊系統的整個生命周期,如表1-3所示,
| 生命周期階段序號 | 生命周期階段名稱 | 網路安全管理活動 |
| 階段1 | 網路資訊系統規劃 | (1)網路資訊安全風險評估 (2)標識網路資訊安全目標 (3)標識網路資訊安全要求 |
| 階段2 | 網路資訊系統設計 | (1)標識資訊安全風險控制方法 (2)權衡網路資訊安全解決方案 (3)涉及網路資訊安全體系結構 |
| 階段3 | 網路資訊系統集成實作 | (1)購買和部署安全設備和產品 (2)網路資訊系統的安全特性應該被配置、激活 (3)網路安全系統實作效果的評價 (4)驗證是否能滿足安全需求 (5)檢查系統所運行的環境是否符合設計 |
| 階段4 | 網路資訊系統運行和維護 | (1)建立網路資訊安全管理組織 (2)制定網路資訊安全規章制度 (3)定期重新評估網路資訊管理物件 (4)適時調整安全配置或設備 (5)發現并修補網路資訊系統的漏洞 (6)威脅監測與應急處理 |
| 階段5 | 網路資訊系統廢棄 | (1)對要替換或廢棄的網路系統組件進行風險評估 (2)廢棄的網路資訊系統組件安全處理 (3)網路資訊系統組件的安全更新 |
1.6.6 網路資訊安全管理工具
常見的網路安全管理工具有網路安全管理平臺(簡稱SOC)、IT資產管理系統、網路安全態勢感知系統(https://zhuanlan.zhihu.com/p/157270726)、網路安全漏洞掃描器(漏洞掃描)、網路安全協議分析器、上網行為管理等各種型別,
1.6.7 網路資訊安全管理評估
網路資訊安全管理評估是指對網路資訊安全管理能力及管理作業是否符合規范進行評價,
常見的網路資訊安全管理評估有:網路安全等級保護測評(較為常見,分為5個等級)、資訊安全管理體系認證(ISMS)、系統安全工程能力成熟度模型(簡稱SSE-CMM)等,
網路安全等級保護測評依據網路安全等級保護規范對相應級別對系統進行測評;規范如下:
《GA∕T 1389-2017 資訊安全技術 網路安全等級保護定級指南》
《GB∕T 22239-2019 資訊安全技術 網路安全等級保護基本要求》
《GB∕T 25070-2019 資訊安全技術 網路安全等級保護安全設計技術要求》
《GB∕T 28448-2019 資訊安全技術 網路安全等級保護測評要求》
資訊安全管理體系認證主要依據GB/T22080、ISO/IEC27001標準,通過應用風險管理程序來保持資訊的保密性、完整性和可用性,并為相關方樹立風險得到充分管理的信心;
SSE-CMM主要通過組織程序、工程程序、專案程序等來實作對系統安全能力的評價,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/292874.html
標籤:其他
上一篇:SQLmap常用命令/使用教程