本文共 6646 字，大约阅读时间需要 22 分钟。

一、网络与信息安全发展过程

通信安全阶段

计算机安全阶段

信息系统安全阶段（网络安全阶段）

保密性、完整性和可用性

信息系统安全保障阶段

从静态信息安全防护向动态防护转变动态的信息安全环节: 保护 检测 响应 恢复

二、

2016.11.7 网络安全法

可信网络

信息安全法律法规

法律 行政法规 地方性法规 地方政府规章

网络安全法

五大亮点

明确对公民个人信息安全进行保护个人信息被冒用，有权要求网络运营者删除个人和组织有权对危害安全的行为进行举报网络运营者应当加强对用户发布的信息管理未成年人上网特殊保护

数据安全管理办法

定级： 五个保护等级

自主保护等级

等级保护

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EobX1oax-1617942771808)(./img/等级保护.png)]

1、发展历程

1994    国务院147号令 第一次提出等级保护的概念 计算机信息系统实行安全等级保护 1999    GB17859 规定了计算机信息系统安全保护能力的五个等级2003    中办27号文  实行信息安全等级保护2004    进一步明确等级保护的基本内容2007    等级保护管理办法发布2017    网络安全法2019    等保2.0

等保2.0

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BzdpxmMr-1617942771815)(./img/等保安全框架.png)]

一个中心 ： 安全管理中心 三重保护框架：通信网络、区域边界、计算环境

等保工作内容

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GRgQsUjF-1617942771819)(./img/等保工作内容.png)]

以三级为例子：

技术要求： 安全管理中心 安全计算环境 安全区域边界 安全通信网络 安全物理环境管理要求： 安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全运维管理注意：     涉密设备不属于等保的范围    适用于 二、三、四等级保护

变化

名称： 信息安全技术 （1.0信息系统） 2.0 网络 安全等级保护基本要求 内容： 五个规定动作 新的安全要求：风险评估、安全监测对象： 信息系统  ---增加-> 基础信息网络、信息系统、云计算平台、物联网、大数据平台、工业控制系统技术要求和管理要求的修订

等保实施流程（五个）

定级 备案 建设整改 等级测评 监督检查

等保的五个等级

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ttUU0KQg-1617942771824)(./img/等保五个等级.png)]

等保高风险判定

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-050u8HiL-1617942771827)(./img/等保高风险判定.png)]

工控系统等保评测

通信传输入侵防范边界防护身份鉴别

等级保护安全框架的体系

信息安全

ISO 定义：为数据处理系统建立和采取的技术和管理的安全保护。保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露

信息安全三要素（CIA） 也成为信息安全基本属性

机密性 confidentily

传输、存储加密

完整性

可用性

其他属性： 真实性、认证行、可靠性、不可否认性、可审计性、可靠性

网络安全防御模型PDR

承认漏洞、正是威胁、采取适度防护、加强检测工作、落实响应、建立对威胁的防护protectiondetectionresponse

基于策略的网络安全防御模型PPDR

policy PDR所有的防护、检测、响应都是依据安全策略实施定义了暴露时间： Et = Dt + Rt - Pt强调安全管理的持续性、安全策略的动态性

信息保障技术框架 IATF

1、核心思想：

深度防御

2、三要素：

人、技术、操作

3、四个焦点领域

保护网络基础设施保护区域边界保护计算环境支持性基础设施

信息安全基本内容

实体安全    环境、设备、媒体安全运行安全    提供一套安全措施： 风险分析、审计跟踪、备份与恢复、应急数据安全    管理安全

信息安全体系框架

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BdSQMaDK-1617942771828)(./img/信息安全体系框架.png)]

信息安全技术体系 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OoHeHCW7-1617942771830)(./img/信息安全技术体系.png)] 信息安全产品类型 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5tDwWewt-1617942771831)(./img/信息安全产品类型.png)]

1、主流安全产品分为四类

安全防护通信加密身份认证安全管理

2021.04.07 下午

日常安全防护工作

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-A0LPmEkv-1617942771833)(./img/日常安全防护.png)]

1、基础安全防护

资产梳理、安全管理中心、4A系统、网络防病毒、安全加固，审计、边界保护与安全域划分

边界保护与安全域划分

1、边界保护设备

路由器、防火墙、IDS、VPN设备、防病毒网关

2、防护级别

基本安全防护较严格安全防护严格安全防护特别安全保护

3、划分一个独立业务信息系统的内部安全域参考如下步骤

查看网络杀昂承载的业务系统的访问终端与业务主机的访问关系以及业务主机之间的关系划分安全域计算：核心处理域、访问域划分安全用户域：管理用户域、内部用户域、外部用户域划分安全网络域：外部域、接入域、内部域

2、网络安全总体设计

合理划分网络安全域规划IP地址设计网络线路、设备冗余措施网络边界部署安全设备规划远程接入

3、安全加固

windows加固    SYN防护攻击    补丁升级和病毒查杀    账户及密码策略    本地安全策略    注册表安全    禁用不必要的服务和组件linux加固    锁定系统中不必要的系统用户和组    锁定之前备份/etc/passwd和/etc/shadow    锁定用户：adm lp syn news uucp games ftp rpc    检查是否锁定成功：more /etc/passwd    禁用无关的组web安全加固    失效的身份认证和会话管理    设置严谨的会话认证管理    跨站XSS                   输入清除过滤，输出编码转义    不安全的对象直接调用       验证对象，防止未授权访问对象    安全误配置                启用合理安全的配置    未验证的重定向和转发        避免重定向和转发    物理边界安全加固    防火墙、入侵检测系统、物理隔离网闸

主流安全产品介绍

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hYNsESgz-1617942771835)(./img/主流安全产品.png)]

分类

防护监测：防火墙、IDS、IPS身份认证：4A通信加密：VPN安全管理：漏洞扫描、补丁管理系统、安全管理平台

1、防护监测

1.1 防火墙

核心技术

状态检测完全内容检测：对内容进行分析包过滤：根据五元组进行过滤应用代理

体系结构

双重宿主主机体系结构屏蔽主机体系结构：一台过滤路由器和一台堡垒主机构成

防火墙部署

一般为外联出口或者区域性出口位置，对内外流量进行安全隔离

1.2 IDS

针对应用层、

两类

HIDS  NIDS

检测方法

特征检测统计检测专家系统文件完整性检测

部署

以旁路为主，做流量镜像

1.3 IPS

在IDS的基础上，增加防护功能。

分类

HIPS：主机入侵防护NIPS：网络入侵防护AIP：应用入侵防护

技术特征

嵌入式运行：设置bypass入侵特征库深入分析和控制高效处理能力：不能影响网络性能

IDS缺陷

网络局限    包的组成顺序可以被改变，用于绕过检测检测方法的局限    NIDS不能处理加密和的数据    统计方法阈值不确定。syn_flooding 的包数量不好确定

IPS不足

单点故障：导致网络断开性能瓶颈：IPS必须域千兆以上的流量同步误报和 漏报

2、DOS

SYN洪水攻击ACK Flood攻击死亡之pingUDP泛洪Land攻击泪滴估计IP地址扫描攻击Smurf攻击

3、DDOS

3.1 常见攻击类型

应用层攻击协议攻击容量攻击

3.2 防御方法

黑洞布线限速web应用防火墙WAF任播网络扩散

4、身份认证 4A

认证：集中认证授权：集中权限账户：集中账号审计：集中审计

5、堡垒机

身份认证及授权管理详尽的会话审计与回放

部署

一般在设备子网入口处， 旁路部署只记录管理流量

6、漏扫

web扫描技术    基于应用    基于主机    基于目标的漏洞检测    基于网络的检测部署    单机    级联

安全评估

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hoFRsoXb-1617942771836)(./img/安全评估.png)]

1、安全评估的要素

资产：数据、软件、硬件、服务、文档、设备、人员威胁：人员、环境、物理三种威胁脆弱性：设计脆弱性、实施脆弱性、设置脆弱性安全措施：物理安全、访问控制、数据加密、安全管理安全风险：  可能发生的、残留风险

2、方式

自评估检查评估

3、方法

定量    更具客观性    年度预期损失计算    ALE = 单次预期损失SLE x 年度发生率 ARO    SLE = 暴露系数 EF x 资产价值定性    更具主观性

4、实施流程

评估准备    确定评估目标    确定评估范围    组件管理、实施团队    进行业务调研：网络结构、网络边界、使用人员要素识别    资产识别    脆弱性识别    威胁识别    对已有安全措施的确认风险分析    风险值R(A,T,V) = R(L(T,V), F(La, Va))     T 威胁 V 脆弱性    LA 资产价值 Va 脆弱性    L(T,V) 安全事件发生的可能性    F(La, Va) 安全事件发生后的损失结果判定风险处理解决方案残余风险评估

新技术新业务

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GYHCHqk5-1617942771838)(./img/新技术新业务.png)]

1、总体思路

监测发现定位处置追踪溯源

2、两方面评估

业务安全评估    业务应用安全评估        用户        信息内容、生产、接受        信息载体、传播、留存    业务平台安全评估模型        设施位置分布        资源调度方式        业务合作        开放接口企业安全保障能力评估    从机构设置、管理制度、技术保障手段和建设等方面评估企业安全风险可控的能力

5、新技术新业务安全评估报告组成部分

业务基本情况安全评估情况配套安全管理措施

设备安全漏洞主要测试

网络设备安全设备操作系统应用程序

评估准备阶段

业务应用对象不包括

PC终端

互联网新技术评估与管理工作结合，围绕

监测发现、定位处置、追踪溯源三个方面开展

本年度新增业务和重点存量业务纳入评估范围，省公司应于（）前上报评估清单给管局

11月30日

安全测评工作

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nh4A9eMT-1617942771839)(./img/安全测评.png)]

1、动态测试的4个步骤

单元测试    白盒测试集成测试系统测试    黑盒测试验收测试

信息安全管理体系概述

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RsTNf31e-1617942771840)(./img/信息安全管理体系.png)]

ISMS

信息安全管理体系（InformationSecurityManagementSystem，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（ManagementSystem，MS）思想和方法在信息安全领域的应用

GB/T22080—2008

国家推荐性标准GB/T22080—2008《信息安全管理体系要求》

信息安全管理体系建立

现状调研风险评估及风险啊处置构建信息安全管理文件体系体系推广与落实监督检查与评价审核认证    由第三方权威认证机构进行

应急响应

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Qlu3WfQM-1617942771841)(./img/应急响应.png)]

概述

1、事件分级

紧急 一重大 二较大 三一般 四

2、应急响应体系

应急预案应急演练技术规范管理措施应急响应

流程

1、六个阶段

准备检测    遏制根除恢复跟踪    跟进阶段的不久措施：调查评估 责任确定 事件备案 应急方案维护

预案

1、特点

体现总体流程和简化流程    考虑安全事件处理流程和应急处理流程，将事件处理流程的环节和应急预案的各部分有机的结合起来事件分级和协作指标    考虑分级上报要求以及与厂商等人员配合的具体关键性能指标。总结场景并持续更新安全事件发现和检测事件影响分析量化判断指标设备描述和列表分厂家分系统处理细化到指令集操作操作验证

演练

标准号

1 GB/T 22080-2016

信息安全管理体系 发布日期 2016-08-29 实施日期 2017-03-03

2、 ISO/IEC 15408-1999

欧美6国：信息安全技术通用评估准则

出错知识点

1、静态测试的优点

发现缺陷早降低返工成本发现缺陷概率高

2、SYN泛洪攻击

利用了TCP连接握手过程 半连接

3、脆弱性识别采用的方法

渗透测试工具检查人工检查

4、信息保障技术框架-支撑性基础设施的目标

为安全保障服务提供一套相互关联的活动与基础设施

5、应急响应跟进阶段工作

调查评估事件备案应急方案更新

6、定量方法计算简单 错误

7、经风险处理后遗留的风险是残余风险

8、信息安全风险管理体系中分为五个层面

决策层管理层执行层监控层用户层

9、Morris病毒利用缓冲区溢出漏洞

10、信息安全管理体系安全控制措施包括

14类别

11、紧急安全事件（一级）不包括导致重大故障

12、模糊测试不一定要符合逻辑

13、实施ISMS需要对全体员工进行相关培训

14、TPM

15、安全保障阶段中将信息安全体系归结为四个环节

保护、检测、响应、恢复

16、系统测试是

黑盒测试

17、四级以上的信息系统，应当请国家信息安全保护等级专家评审委员会进行评审

18、审计记录要求的存储时间为 半年

19、根除阶段不包括 重装系统

恢复阶段包括重装系统

20、硬盘占用率过高

每个逻辑分区使用率在70%以上

21、ISMS最重要的特征是

文档化

22、部署IPSecVPN时，配置（）算法可以提供可靠的数据加密

SHA

多选

1、边界保护主要设备

路由器、防火墙

2、 应急演练方法

沙盘演练、实战演练

3、信息安全的内涵已经发展为

运行系统系统信息网络社会的整体安全

4、白盒测试法的覆盖标准包括

逻辑覆盖循环覆盖基本路径测试

5、恢复阶段的措施包括

重装系统安全加固安全快照审计合格后运行

6、业务平台安全保障针对提供服务的（）进行评估

平台部署资源调度用户接入

判断

1、漏洞攻击是影响完整性的安全事件 2、等保1.0比2.0要求的测试周期要严格3、渗透测试没有标准的定义和流程4、新技术新业务评估对象是基础电信企业及增值电信企业（含三网融合的广电企业）运营的互联网技术、业务或应用

转载地址：http://upjqf.baihongyu.com/