创业中文网站模板长沙网站优化seo

---

目录

一.网络信息安全概述

1信息安全基础

1.1信息安全基本概念

1.2网络安全三大发展趋势，

1.3网络安全的12大问题

1.4网络安全的基础属性

1.5目标与功能

1.6技术需求

2.网络安全管理

2.1安全管理

2.2网络信息安全管理要素

2.3网络信息安全管理流程

3网络安全法律法规

3.1网络安全法律法规

3.2网络产品和服务安全审查办法

3.3网络安全等级保护的主要工作

3.4网路安全部门

3.5网络安全术语

1信息安全基础

1.1信息安全基本概念

信息社会主要特征，数字化，网络化，智能化。

狭义：机密，完整可用抗抵赖，可控。

广义：国家，城市，经济，社会，生产，人身安全。

1.2网络安全三大发展趋势，

对象内容，理念方法，持续时间。

对象内容：单维度，到高纬度。（网络空间，物理空间，社会空间）

理念方法：单一性到综合性。（技术到多个方面）

持续时间：覆盖生命周期，响应速度要求不断缩短。

1.3网络安全的12大问题

网络依赖性以及网络安全关联风险凸显；

网络信息产品供应链与安全质量风险；

网络信息产品技术同质性与技术滥用风险；

网络建设与管理不平衡充分；

网络数据安全；

高级持续威胁；

恶意代码风险；

软件代码和安全漏洞风险；

人员的网络安全意识风险；

网络信息技术复杂性和运营安全风险；

网络地下黑产经济风险；

网络间谍与网络战风险；

1.4网络安全的基础属性

机密性：网络信息不泄露给非授权用户，实体或者程序，放置非授权者获取信息 窃听加密

完整性：网络信息或系统未经授权不能进行更改。 修改HASH/签名

可用性：合法用户可以及时获取信息或服务。 dos-冗余/清洗

抗抵赖性：防止网络信息系统相关用户否认其活动行为的特性。 数字签名。

可控性：系统的行为符合目标。

其他特性：真实，时效，合规，公平，可靠，可生存，隐私。

1.5目标与功能

宏观：满足国家安全需求特性，符合国家法律法规政策要求。（6个月日志）。

微观：网络信息系统的具体安全要求。

具体目标：系统免受网络安全威胁，满足安全基本属性，符合法律，持续运营，数据安全。

基本功能：防御，检测，应急，和恢复。

1.6技术需求

物理环境安全。认证。访问控制，网络安全保密，漏洞扫描，恶意代码防护，内容安全，安全检测与预警，应急响应。

2.网络安全管理

2.1安全管理

定义：对网络资产采取合适的安全措施，确保网络的可用性完整性可控性和抗抵赖性。

内容：物理，网络通信，操作系统，网络服务安全，网络操作安全以及人员安全。

管理方法：主要有风险管理，等级保护，纵深防御，蹭吃话保护，应急响应以及PDCA方法

工具：IT资产管理系统，SOC，漏洞扫描，上网行为管理。

安全评估：等级保护评测，通过技术和管理进行评估。信息安全管理体系认证ISMS，系统安全工程师能力成熟度模型SSE-CMM

2.2网络信息安全管理要素

对象：软硬件，存储介质，网络信息资产。

网络威胁：人为威胁，自然威胁。

安全脆弱性：非授权假冒用户。

网络安全风险：避免风险物理隔离，转移风险（保险，安全外包），减少威胁（防毒软件），消除脆弱点（打补丁），减少威胁的影响（备份，多条线路通信），风险检测（定期对网络系统中的安全状态进行风险分析）。

保护措施：后续章节

2.3网络信息安全管理流程

确认对象

评估价值

识别威胁

识别脆弱性

确认风险等级

指定防范措施

实施和落实防范措施

运行和维护设备

3网络安全法律法规

3.1网络安全法律法规

《国家安全法》颁布日期：15年7月1日颁布并实施

《网络安全法》颁布日期：2016.11.7，2017.6.1日实施

内容：指定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

采取防范计算机病毒和网络攻击，网络入侵等危害网络安全行为技术措施。

采取检测，记录网络的运行状态，网络安全时间的技术措施，并按照固定留存相关的网络日志不少于6个月时间。

采取数据分类，重要的数据备份和加密等措施。

《网络安全等级保护2.0》 2019.12.1实施

《中华人民共和国密码法》 2020年1月1日实施

《中华人民共和国数据安全法》 2021年8月1日

3.2网络产品和服务安全审查办法

根据《国家安全法》和《网络安全法》等制定《网络产品和服务安全审查办法》重点评估采购的产品和服务可能带来的国家安全风险。

认证机构：中国网络安全审查技术与认证中心CCRC。是负责实施网络安全审查和认证的专门机构。

发布《网络关键设备和网络安全专用产品目录》，包括路由器，交换机，服务器，防火墙，IPS，WAF，网闸等等。

3.3网络安全等级保护的主要工作

定级：确定对象，确定级别，通过专家和主管部门审核；

备案：按等级保护管理规定准备备案材料，到当地公安机关备案和审核。

建设整改：依据相应等级要求对电器概念保护的情况进行分析，针对不符合的进行整改。

等级评测：等级评测机构根据相应的要求，对定级保护的对象进行评测，并出具证书。

运维维护：等级保护运营主体按照相应等级要求，对保护对象的安全相关事宜进行监督管理。

3.4网路安全部门

中国网络安全审查技术与认证中心——CCRC，负责实施网络安全审查和认证的专门机构。

域名服务是网络基础服务。管理域名。

国家计算机网络应急技术处理协调中心 CNCERT 或CNCERT/CC 真牛的是网信办，网安，保密局，管理网络安全事件。

信息来源：网络安全会议，网络安全期刊，网络安全网站，网络安全术语。

网络信息安全领域四大定级学术会议：S&P,CSS,NDSS,USENIS Security.

3.5网络安全术语

常见术语可以分为下面几类：

基础技术类：加密，解密，非对称加密，公钥加密等

风险评估技术类：拒绝服务，分布式拒绝服务，网页篡改，网页仿冒，网页挂马，域名劫持等

防护技术类：控制访问，防火墙，入侵防御系统

检测技术类：入侵检测，漏洞扫描

响应恢复技术：应急响应，灾难恢复，备份

评测技术类：黑盒测试，白盒，灰盒，渗透测试，模糊测试等。