总结信息安全工程师第二版-第1章 网络信息安全概述-03

Posted 2021-09-04 焕然2020

1.6 网络信息安全管理内容与方法

注重网络信息安全的管理。

内容：概念、方法、依据、要素、流程、工具、评估等。

1.6.1 概念

网络信息安全管理是指对网络资产采取合适的安全措施，以确保网络资产的可用性、完整性、可控制性和抗抵赖性等，不致因网络中断、信息泄漏或破坏。

网络信息安全管理对象主要包括：网络设备、网络通信协议、网络操作系统、网络服务、安全网络管理等在内的所有支持网络系统运行的软、硬件总和。

网络信息安全设计内容有：物理安全、网络通信安全、操作系统安全、网络服务安全、网络操作安全以及人员安全。

与网络信息安全管理有关的技术主要有：风险分析、密码算法、身份认证、访问控制、安全审计、漏洞扫描、防火墙、入侵检测和应急响应等。

网络信息安全管理的目标就是通过适当的安全防范措施，保障网络的运行安全和信息安全，满足网上业务开展的安全要求。

1.6.1 方法

网络信息安全管理是一个复杂的活动，涉及法律法规、技术、协议、产品、标准规范、文化、隐私保护等，同时涉及多个网络安全风险相关责任提。

网络安全管理方法主要有：风险管理、等级保护、纵深防御、层次化保护、应急响应以及PDCA（Plan-Do-Check-Act）方法等。

实际工作中PDCA是一个不错的方法，风险管理在很多检查比如PCI DSS中会涉及，等级保护-网安有等级保护要求。

1.6.2 依据

网络信息安全管理依据主要包括网络安全法律法规、网络安全相关政策文件、网络安全技术规范、网络安全管理标准规范等。

国际上网络安全管理等参考依据主要是ISO/IEC27001、欧盟通用数据保护条例（GDPR，General Data Protection Regulation）、信息安全技术安全性评估通用准则（Common Criteria，CC）。

国内网络安全管理的参考依据主要是《中华人民共和国网络安全法》、《中华人民共和国密码法》、《中华人民共和国数据安全法》（2021年6月10日）以及GB17859、GB/T22080、网络安全等级保护相关条例与标准规范。

1.6.4 要素

网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。

网络安全管理实际上就是风险控制，其基本过程是通过对网络管理对象的威胁和脆弱性进行分析，从而确定网络管理对象的风险等级，然后据此选取合适的安全保护措施，降低网络对象的风险。

1、管理对象

网络信息安全管理对象是企业、机构直接赋予了价值而需要保护的资产。它的存在形式包括有形和无形的，如网络设备硬件、软件文档是有形的，而服务质量、网络宽带是无形的。

常见网络信息安全管理对象分类

对象类型	范例
硬件	计算机、网络设备、传输介质及转换器、输入输出设备、监控设备、安全设备
软件	网络操作系统、网络通信软件、网络管理软件
存储介质	光盘、硬盘、软盘、磁带、移动存储器
网络信息资产	网络IP地址、网络物理地址、网络用户账号/口令、网络拓扑结构图
支持保障系统	消防、保安系统、动力、空调、通信系统、厂商服务系统

 2、网络信息安全威胁

非自然的威胁主体类型实例

威胁主体类型	描述
国家	以国家安全为目的，由专业信息安全人员实现，如信息战士
黑客	以安全技术挑战为目的，主要出于兴趣，由具有不同安全技术熟练程度的人员组成
恐怖分子	以威胁或恐吓手段，企图实现不当愿望
网络犯罪	以非法获取经济利益为目的，非法进入网络系统，出卖信息或者修改信息记录
商业竞争对手	以市场竞争为目的，主要是收集商业情报或损害对手的市场影响力
新闻机构	以收集新闻信息为目的，从网上非法获取有关新闻事件中的人员信息或背景材料
不满的内部工作人员	以报复、泄愤为目的，破坏网络安全设备或干扰系统运行
粗心的内部工作人员	因工作不专心或技术不熟练而导致网络系统受到伤害，如误配置

根据威胁主体的自然属性，可分为自然威胁和人为威胁。自然威胁有地震、雷击、洪水、火灾、静电、鼠害和电力故障等。

从威胁对象来分类，可分为物理安全威胁、网络通信威胁、网络服务威胁、网络管理威胁。

3、网络信息安全脆弱性

脆弱性是指计算系统中与安全策略相冲突的状态或错误，它将导致攻击者非授权访问、假冒用户执行操作及拒绝服务。

网络攻击主要是利用了系统的脆弱性，如拒绝服务攻击主要是利用资源有限性的特点，攻击过程长期占用资源不释放，造成其他用户得不到应得的服务，使该服务瘫痪。

4、网络信息安全风险

网络信息安全风险是指特定的威胁利用网络管理对象所存在的脆弱性，导致网络管理对象的价值受到损害或者丢失的可能性。简单地说，网络风险就是网络威胁发生的概率和所造成影响的乘积。

网络安全管理实际是对网络系统中网管对象的风险进行控制，其方法如下：

（1）避免风险。例如：通过物理隔离设备将内部网和外部网分开，避免受到外部网的攻击。

（2）转移风险。例如：购买商业保险计划或安全外包。

（3）减少威胁。例如：安装防病毒软件包，防止病毒攻击。

（4）消除脆弱点。例如，给操作系统打补丁或者强化工作人员的安全意识。

（5）减少威胁的影响。例如：采取多条通信线路进行备份火制定应急预案。

（6）风险监测。例如：定期对网络系统中的安全状况进行风险分析，监测潜在的威胁行为。

5、网络信息安全保护措施

保护措施可由多个安全机制组成，如：访问控制机制、抗病毒软件、加密机制、安全审计机制、应急响应机制（如备用电源以及系统热备份）等。

在网络系统中，保护措施一般实现一种或多种安全功能，包括预防、延缓、阻止、监测、限制、修正、恢复、监控以及意识性提示火强化。

例如，安装网络入侵检测系统（IDS）可以发现入侵行为。

1.6.5 网络信息安全管理流程

网络信息安全管理一般遵循如下工作流程：

步骤1，确定网络信息安全管理对象；

步骤2，评估网络信息安全管理对象的价值；

步骤3，识别网络信息安全管理对象的威胁；

步骤4，识别网络信息安全管理对象的脆弱性；

步骤5，确定网络信息安全管理对象的风险级别；

步骤6，制定网络信息安全防范体系及防范措施；

步骤7，实施和落实网络信息安全防范措施；

步骤8，运行/维护网络信息安全设备、配置。

上述网络信息安全管理工作流程是大致应当遵循的和不断重复循环的过程，也是安全需求不断提炼的过程。在实施网络信息安全管理中，根据不同级别的网络风险进行分级管理，选择适合级别的安全防范措施，然后贯彻落实安全管理相关的工作，如安全策略执行、安全设备运行、安全配置更新、资源访问与授权、安全事件应急处理等。网络信息安全管理重在过程，若将网络信息系统比喻成一个生命系统，则网络信息安全管理应该贯穿于网络信息系统的整个生命周期，如表1-3所示。

表1-3 网络信息安全管理系统在生命周期中提供的支持

生命周期阶段序号	生命周期阶段名称	网络安全管理活动
阶段1	网络信息系统规划	（1）网络信息安全风险评估 （2）标识网络信息安全目标 （3）标识网络信息安全要求
阶段2	网络信息系统设计	（1）标识信息安全风险控制方法 （2）权衡网络信息安全解决方案 （3）涉及网络信息安全体系结构
阶段3	网络信息系统集成实现	（1）购买和部署安全设备和产品 （2）网络信息系统的安全特性应该被配置、激活 （3）网络安全系统实现效果的评价 （4）验证是否能满足安全需求 （5）检查系统所运行的环境是否符合设计
阶段4	网络信息系统运行和维护	（1）建立网络信息安全管理组织 （2）制定网络信息安全规章制度 （3）定期重新评估网络信息管理对象 （4）适时调整安全配置或设备 （5）发现并修补网络信息系统的漏洞 （6）威胁监测与应急处理
阶段5	网络信息系统废弃	（1）对要替换或废弃的网络系统组件进行风险评估 （2）废弃的网络信息系统组件安全处理 （3）网络信息系统组件的安全更新

1.6.6 网络信息安全管理工具

常见的网络安全管理工具有网络安全管理平台（简称SOC）、IT资产管理系统、网络安全态势感知系统（https://zhuanlan.zhihu.com/p/157270726）、网络安全漏洞扫描器（漏洞扫描）、网络安全协议分析器、上网行为管理等各种类型。

1.6.7 网络信息安全管理评估

网络信息安全管理评估是指对网络信息安全管理能力及管理工作是否符合规范进行评价。

常见的网络信息安全管理评估有：网络安全等级保护测评（较为常见，分为5个等级）、信息安全管理体系认证（ISMS）、系统安全工程能力成熟度模型（简称SSE-CMM）等。

网络安全等级保护测评依据网络安全等级保护规范对相应级别对系统进行测评；规范如下：

《GA∕T 1389-2017 信息安全技术 网络安全等级保护定级指南》

《GB∕T 22239-2019 信息安全技术 网络安全等级保护基本要求》

《GB∕T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》

《GB∕T 28448-2019 信息安全技术 网络安全等级保护测评要求》

信息安全管理体系认证主要依据GB/T22080、ISO/IEC27001标准，通过应用风险管理过程来保持信息的保密性、完整性和可用性，并为相关方树立风险得到充分管理的信心；

SSE-CMM主要通过组织过程、工程过程、项目过程等来实现对系统安全能力的评价。