20-网络安全06-网络安全工程与管理

网络安全基础06

网络安全工程与管理理解网络安全等级保护、网络安全管理、网络安全事件处置与灾难恢复的概念，了解相关的技术标准教学目标网络安全等级保护网络安全管理网络安全事件处置与灾难恢复目录等级保护概述《网络安全法》第二十一条规定，国家实行网络安全等级保护制度。该制度的核心是对网络实施分等级保护和分等级监管。等级保护制度体现了风险管理的思想，即安全保护措施应当针对威胁和风险，成本投入应当与收益相符，既不能欠保护，也不能过保护。网络安全等级保护等级保护主要标准GB17859-1999《计算机信息系统安全保护等级划分准则》GB/T22239-2019《信息安全技术网络安全等级保护基本要求》GB/T22240-2020《信息安全技术网络安全等级保护定级指南》GB/T25058-2019《信息安全技术网络安全等级保护实施指南》GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》GB/T28448-2019《信息安全技术网络安全等级保护测评要求》GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》网络安全等级保护等级保护对象基础信息网络云计算平台/系统大数据应用/平台/资源物联网工业控制系统采用移动互联技术的系统……网络安全等级保护基础信息网络云计算平台/系统大数据应用/平台/资源物联网工业控制系统采用移动互联技术的系统等级保护对象……等级保护工作机制等级保护工作的五个基本步骤定级备案建设整改等级测评监督检查网络安全等级保护定级备案建设整改等级测评监督检查等级划分等级划分：根据被保护对象在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，分为五个安全保护等级。网络安全等级保护受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级等级保护测评框架网络安全等级保护测评方法访谈核查测试测评对象制度文档各类设备安全配置相关人员基本要求第四级目录信息系统安全保护等级测评规程（步骤）访谈规程（步骤）核查规程（步骤）测试规程（步骤）…规程（步骤）说明测评输入测评输出网络安全等级保护网络安全管理网络安全事件处置与灾难恢复目录网络安全管理概述网络安全管理是网络安全工作中的重要概念，网络安全管理控制措施与网络安全技术控制措施一起构成了网络安全防护措施的全部。网络安全管理是指把分散的网络安全技术和人的因素，通过策略、规则协调整合成为一体，服务于网络安全的目标。网络安全管理网络安全管理体系（ISMS）1995年，英国推出BS7799网络安全管理标准，BS7799于2000年被国际标准化组织批准为国际标准ISO/IEC17799，又于2005年被国际标准化组织重新编号，编入网络安全管理体系标准族，即ISO/IEC27000标准系列。网络安全管理网络安全管理网络安全管理体系（ISMS）ISO/IEC27000系列的两个核心、基础标准是ISO/IEC27001和ISO/IEC27002。ISO/IEC27001是ISMS的规范说明，其重要性在于它提供了认证执行的标准，且包括必要文档的列表。ISO/IEC27001标准基于风险管理的思想，指导组织建立一个系统化、程序化和文件化的管理体系，即ISMS。ISO/IEC27002提出了一系列具体的网络安全控制措施。网络安全管理网络安全管理体系（ISMS）ISMS基于系统、全面、科学的安全风险评估，体现预防控制为主的思想，强调遵守国家有关网络安全的法律法规及其他合同方要求，强调全过程和动态控制，本着控制费用和风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产，使网络安全风险的发生概率和结果降低到可接受的水平，确保信息的保密性、完整性和可用性，保持组织业务运作的持续性。网络安全管理我国的网络安全管理相关标准GB/T19715.1-2005《信息技术IT安全管理指南第1部分：IT安全概念和模型》（等同采用ISO/IECTR13335-1:1996）GB/T19715.2-2005《信息技术IT安全管理指南第2部分：管理和规划IT安全》（等同采用ISO/IECTR13335-2:1997）GB/T20269-2006《信息安全技术信息系统安全管理要求》GB/T28450-2012《信息安全技术信息安全管理体系审核指南》GB/T28453-2012《信息安全技术信息系统安全管理评估要求》GB/T31496-2015《信息技术安全技术信息安全管理体系实施指南》GB/T31497-2015《信息技术安全技术信息安全管理测量》GB/T31722-2015《信息技术安全技术信息安全风险管理》网络安全管理我国的网络安全管理相关标准（续）GB/T22080-2016《信息技术安全技术信息安全管理体系要求》（等同采用ISO/IEC27001:2013）GB/T22081-2016《信息技术安全技术信息安全管理实用规则》（等同采用ISO/IEC27002:2013）GB/Z32916-2016《信息技术安全技术信息安全控制措施审核员指南》GB/T29246-2017《信息技术安全技术信息安全管理体系概述和词汇》（等同采用ISO/IEC27000:2016）GB/T25067-2020《信息技术安全技术信息安全管理体系审核和认证机构要求》网络安全管理网络安全管理控制措施ISO/IEC27002（即我国国家标准GB/T22081）提出的14个方面的管理控制措施：（1）网络安全策略：旨在对组织中成员阐明如何使用组织中的信息系统资源、如何处理敏感信息、如何采用安全技术产品、用户在使用信息时应当承担哪些责任，详细描述员工的安全意识与技能要求，列出被组织禁止的行为。（2）网络安全组织：描述如何建立、运行一个网络安全管理框架来开展安全管理，主要包括内部网络安全组织架构、职能职责分配，以及如何处理与各相关方的关系。（3）人力资源安全：针对人员任用前、任用中以及任用的终止和变更3个阶段进行管理。（4）资产管理：主要包括识别组织资产并定义适当的保护责任、依据对组织的重要程度进行信息分级，以及保护存储在介质中的信息。网络安全管理网络安全管理控制措施ISO/IEC27002（即我国国家标准GB/T22081）提出的14个方面的管理控制措施：（5）访问控制：以“未经明确允许，则一律禁止”为前提，考虑按需所知、按需使用原则制定并执行访问控制策略，保护系统、应用及数据不被未经授权的非法访问。（6）密码：确保适当和有效地使用密码技术以保护信息的保密性、完整性和真实性。（7）物理和环境安全：包括工作场所的出入控制要求和信息处理设施的管理要求，旨在防止信息和信息处理设施受到未经授权的物理访问、损害和干扰，防止设备丢失、损坏或中断。（8）运行安全：确保信息系统正确无误地安全运行，包括制定信息处理设备的管理与操作规程，明确各方责任；防范恶意软件；通过备份防止数据丢失；通过事态日志记录事态并生成数据；制定并实施系统软件安装控制规程；建立有效的技术脆弱性管理过程；使信息系统审计的有效性最大化、干扰最小化。网络安全管理网络安全管理控制措施ISO/IEC27002（即我国国家标准GB/T22081）提出的14个方面的管理控制措施：（9）通信安全：管理和控制网络以保护系统、应用中的信息，保护支持性基础设施。确保组织内部、组织与外部实体间传输信息的安全，使其免遭丢失、被修改或被盗，且符合所有相关的法律法规。（10）系统获取、开发和维护：主要包括三方面要求：一是在开发的系统中建立有效安全机制；二是确保信息安全在信息系统开发维护全过程中得到设计和实现；三是保护用于测试的数据。（11）供应商关系：制定针对供应商管理的安全策略，保护可被供应商访问的组织资产，还应在供应商协议中强调网络安全。网络安全管理网络安全管理控制措施ISO/IEC27002（即我国国家标准GB/T22081）提出的14个方面的管理控制措施：（12）网络安全事件管理：建立规程、明确管理责任，确保采用一致和有效的方法对网络安全事件进行管理，包括对安全事态和脆弱性的沟通。（13）业务连续性管理的网络安全方面：将网络安全连续性纳入组织的业务连续性管理之中，防止安全活动中断，确保在发生重大故障和灾难情况下，组织的网络安全连续性达到所要求的级别。（14）符合性：包括两方面要求：一是确保符合法律法规、标准、合同义务等要求；二是对合规性进行评审。网络安全管理网络安全风险管理标准依据：GB/T20984-2022《信息安全技术信息安全风险评估方法》风险管理的概念风险管理是一种在风险评估的基础上对风险进行处理的工程，网络安全风险管理的实质是基于风险的网络安全管理，其核心是网络安全风险评估。网络安全风险评估：运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，为防范和化解网络安全风险，将风险控制在可接受的水平，从而最大限度地保障网络安全提供科学依据。网络安全管理网络安全风险管理风险管理的实施流程网络安全管理网络安全风险管理风险分析网络安全管理网络安全风险管理风险控制的实施网络安全管理网络安全风险管理风险控制的措施风险降低：实施安全措施，以把风险降低到一个可接受的级别。风险承受：接受潜在风险并继续运行网络和信息系统。风险规避：通过消除风险的原因或后果（如在发现风险后放弃系统某项功能或关闭系统）来规避风险，即不介入风险。风险转移：通过使用其他措施来补偿损失，从而转移风险（如购买保险）。网络安全管理网络安全等级保护网络安全管理网络安全事件处置与灾难恢复目录网络安全事件分类与分级标准依据：GB/Z20986-2007《信息安全技术信息安全事件分级分类指南》事件分类：依据事件发生的原因、表现形式等因素，网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等7类。事件分级：依据信息系统的重要程度、系统损失和社会影响等因素，网络安全事件可分为特别重大事件、重大事件、较大事件和一般事件等4级。网络安全事件处置与灾难恢复网络安全应急处置应急处置的概念应急响应：通过制定应急计划，使影响信息系统的安全事件能够得到及时响应，并在安全事件发生后进行标识、记录、分类和处理，直到受影响的业务恢复正常运行的过程。网络安全应急处置是保障业务连续性的重要手段之一，是在处理网络安全事件时提供紧急现场或远程援助的一系列技术的和非技术的措施和行动，以降低安全事件给用户造成的损失和影响。网络安全事件处置与灾难恢复网络安全事件处置与灾难恢复准备阶段检测阶段抑制阶段根除阶段恢复阶段跟踪总结阶段网络安全应急处置应急处置的流程信息系统灾难恢复灾难恢复的能力级别灾难恢复：将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行的状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动和流