CISO
第0章 CISP简介
什么是CISP
# CISP (Certified Information Security Professional) 注册信息安全专业人员资格认证
# CISO 注册信息安全管理人员
# CISE 注册信息安全工程师
# 认证单位:中国信息安全测评中心(以下简称测评中心)是我国专门从事信息技术安全测试和风险评估的权威职能机构。
#*#: 重点记忆CISP职业道德准则
CISP知识体系结构
# 五方面:信息安全保障、信息安全技术、信息安全管理、信息安全工程、信息安全法规标准。
第1章 信息安全保障
1.1 信息安全保障基础
信息安全定义 *
国际标准化组织 (International Organization for Standardization, ISO)对信息安全的定义为:“为数据处理系统建立和采取技术、管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而收到破坏、更改、渗漏。”信息安全管理的理念 *
1. 信息安全战略要服务于企业的业务战略;
2. 信息安全管理是一个全生命周期管理过程;
3. 信息安全管理的对象:人(制度)、事(流程)、物(监控);
4. 信息安全管理的措施 人、技术、管理、过程;
5. 信息安全管理是一个整体管理过程,任何一个网络行为的参与都是一个安全的主体,而任何一个安全主体的失败都将导致安全的整体失败;
6. 信息安全管理要遵循成本效益原则;
7. 信息安全管理永远只有相对安全,没有绝对安全;
8. 信息安全管理是分级/分层来实现的;
9. 信息安全管理要遵循适度安全原则:过分的安全性和没有安全性一样是有害的;
10. 信息安全管理是一个动态管理过程;
11. 人是信息安全管理中最活跃的因素,也是最薄弱的环境;
12. 信息安全管理中三分靠技术、七分靠管理,而且技术永远都不能取代管理;
13. 技术不是万能的,技术不能解决所有问题;
14. 技术是安全的基础,管理是安全的灵魂;
15. 来自于Intranet的攻击占80%,来自于Internet的攻击占20%;
16. 信息安全管理遵循木桶理论(短板效应)
17. 信息安全管理遵循新木桶理论(不同的木板之间是否有缝隙;不同要素之间的紧密配合)
18. 风险管理要遵循成本效益原则
19. 信息安全管理是自上而下贯彻执行,自下而上得到满足。
20. 信息安全管理是一个一把手工程(安全不是老大难,老大重视就不难)
21. 信息安全管理是一个全员参与工程
复杂性: 周期长(开发/使用/维护)、投资大、人员众多(开发/使用/维护)、跨领域(互联网+N)、有明确的质量标准(可用性、可靠性、安全性、一致性等)。
未雨绸缪: 事前
亡羊补牢: 事后 (亡羊补牢的措施要未雨绸缪来定)
# CIA
保密性-C D-泄露
完整性-I A-篡改
可用性-A D-破坏
# 3法2条例1标准 生效时间
《网络安全法》 2017.6.1
《数据安全法》 2021.9.1
《个人信息保护法》 2021.11.1
《关键信息基础设施保护条例》 2021.9.1
《网络数据安全管理条例》 2025.1.1
《网络安全等级保护标准2.0》 2019.12.1
# DIKW
Data -> Information -> Knowledge -> Wisdom
# IATF
IATF 没有成为国际标准
# 安全需求的来源:
1、风险评估 --> 获取现状
2、法规要求 --> 合规性
# 可实施性
1、可接受的成本
2、合理的进度
3、技术可实现性
4、组织管理和文化的可接受性
凡事有章可循
凡事有据可查
凡事有人负责
凡事有人监督
# 国家网信办/中央网络安全和信息化委员会办公室 2014.2.27成立
https://www.cac.gov.cn/ # 可以查国家层面关于安全、政策的动态。
https://www.tc260.org.cn/ # 全国信息安全标准化技术委员会 -> 全国网络安全标准化技术委员会
https://www.djbh.net/
# 信息安全管理岗位:
CEO/CIO/CTO/CSO/CISO/CFO/COO/CRO/SA(administrator)/SA(audiotr)/Safeguard
# 信息是关于客观事实的可以通讯的知识,具有如下特征:
1、信息是客观世界中各种事物的特征的反应
2、信息是可以进行交换的,而且随着交换而增值
3、信息是可以形成知识的,而知识可以创造价值
## 国际标准
# 信息安全管理的国家标准是ISO 27001
ISO 27001:2005
ISO 27001:2013发布, 2015.10正式生效。14个控制类,35个控制目标, 114个控制措施。
ISO 27001:2022发布, 2025.10.25正式生效
# 风险管理的国际标准是ISO 31000
# IT服务管理的国际标准是ISO 20000
# 质量管理的国际标准是ISO 9000
# 标准的采用方式:
1、等同采用(拿来用,照抄):别人写的太好了,没办法修改。
ISO 27001:2005 GB/T 22080:2008
ISO 27001:2013 GB/T 22080:2016
ISO 27001:2022 GB/T 22080:2025(预计)
2、等效采用:我们达到的效果一样,但是采取的措施不一样。
# 风险是一种客观存在
风险的基本属性:
1、风险发生的概率-P
2、风险一旦发生所带来的影响/后果-I
风险的基本特征:
1、随机性(风险随时可能发生)
2、相对性(有两种类型结果,积极正面、消极负面)
翻译问题:
event incident accident
事态 事件 事故
# 风险要素
1、IT资产:任何影响IT交付的资源
2、脆弱性:资产本身固有的缺陷
3、威胁:对脆弱性的利用
4、风险:威胁和脆弱性的组合
5、控制措施:对风险的应对方案/方法
# 沟通管理要点:
1、一个目标:共识
2、两个原则:相关性和适用性
3、三个方向:向上(要共识)、向下(要落实)、水平(要支持/协调)
4、四个要素:沟通要有目标、对象、内容、反馈
# 戴明环:PDCA改进循环,是一个闭环系统,没有终点,特征:
1、自加固
2、自修正
3、自适应
# 文档化/文件化:清晰的表达
一级文件定目标
二级文件定措施
三级文件看执行
四级文件看结果
信息安全狭义&广义
# 狭义的信息安全概念
狭义建立在以IT技术为主的安全范畴
# 广义的信息安全问题
1、一个跨学科领域的安全问题;
2、安全的根本目的是保证组织业务可持续性进行;
3、信息安全应该建立在整个生命周期中所管理的人、事、物的基础上,综合考虑人、技术、管理和过程控制,使得信息安全不是一个局部而是一个整体;
4、安全要考虑成本因素;
5、信息系统不仅仅是业务的支持,而是业务的命脉。信息安全问题的根源及特征
#*# 环境的不安全因素、人的不安全行为、物的不安全状态
# 信息安全问题的根源
内因: 信息系统复杂性导致漏洞的存储不可避免
外因: 环境因素、人为因素
# 信息安全的特征
系统性
动态性
无边界
非传统
威胁情报与态势感知
威胁情报
- 为管理人员提供行动和指定决策的 依据 ;
- 建立在大量的数据搜集和处理的基础上,通过对搜索数据的分析和评估,从而形成相应的结论;
- 威胁情报成为信息安全保障中的 关键性能力 。
态势感知
- 建立在威胁情报的基础上;
- 利用 大数据 和 高性能计算 为支撑,综合网络威胁相关的形式化及非形式化数据进行分析,并形成对未来网络威胁状态进行 预判 以便调整安装策略。
信息安全保障基础
信息安全属性
- 理解信息安全属性的概念及CIA三元组( 保密性、完整性、可用性);
- 了解真实性、不可否认性、可问责性、可靠性等其他不可缺少的信息安全属性;
信息安全视角
- 了解 国家视角 对信息安全的关注点(网络站、关键基础设施保护、法律建设与标准化)及相关概念;
- 了解 企业视角 对信息安全的关照点(业务连续性管理、资产保护、合规性)及相关概念;
- 了解 个人视角 对信息安全的关注点(隐私保护、个人资产保护、社会工程学)及相关概念。
信息安全属性 *
基本属性 : **CIA ** *#@
- 保密性:确认信息不要暴露给未经授权的实体或者进程。解决方案可下所示:
- 授权:授予特定的用户具有特定的权限–OA
- 加密:数据加密–EFS、通信加密–SSH/SSL/VPN
- 完整性:只有得到允许的人才能修改数据,而且可以判别出数据是否已经被篡改。解决方案如下:
- 数据信封:
- 数字签名:
- 可用性:得到授权的实体在需要时可以访问数据,即攻击者不能占用全部的资源而阻碍授权者的工作。解决方案如下:
- Clustering: 集群技术
- BackUp: 备份技术
保密性-C D-泄露
完整性-I A-篡改
可用性-A D-破坏其他属性
- 真实性
- 可问责性
- 不可否认性
- 可靠性
网络战
- “一个民族国家为了造成损害或破坏而渗透另一个国家的计算机或网络的行为”;
- 网络战 其作为国家整体军事战略的一个组成部分已经成为 趋势。
中国人民解放军信息支援部队
- 2024年4月19日,中国人民解放军信息支援部队成立大会在京举行。根据中央军委决定,新组建的信息支援部队由中央军委直接领导指挥,同时撤销 战略支援部队 番号,相应调整军事航天部队、网络空间部队领导管理关系。
国家关键基础设施保护
- 2016年11月通过的《网络安全法》第三章第二节第三十一条 定义了我国关键基础设施,“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,已经其他一旦遭受破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的基础设施” 为关键基础设施。
国家视角
- 由互联网的开放、自由和共有的脆弱性,使国家安全、社会功能利益以及个人权利在网络活动中面临着来自各方面的威胁,国家需要再技术允许的范围内保持 适当的安全要求;
- 所谓 适度安全 是指安全保护的理发的范围要和应用的重要性相一致,不要花费过多的成本,限制信息系统的可用性;
- 信息安全风险具有 “不可逆” 的特点,需要信息安全法律采取以 预防为主 的法律原则。但是由于信息安全威胁的全局特点,其法律原则更应当采取 积极主动 的预防原则。
企业视角
- 业务连续性:业务数据对组织的重要性使得组织必须关照 业务连续性;
- 资产保护:有什么、用来做什么、需要保护他们吗?
- 合规性:法律法规的合规组、标准合规性。
个人视角
从个人角度而言,这不仅仅是一个技术问题,还是一个 社会 问题、法律 问题以及 道德 问题。
- 隐私保护
- 社会工程学
- 个人资产安全
个人信息资产问题思考
- 哪些信息资产被恶意利用后会形成人身的损害?
- 哪些信息资产被恶意利用后会形成财务的损失?
- 哪些信息资产被恶意利用后形成法律责任?
信息安全发展阶段 *
了解 通信安全阶段 的核心安全需求、主要技术措施;
- 20世纪,40年代-70年代
- 主要关注 传输过程中 的数据保护
- 安全威胁:搭线窃听、密码学分析
- 核心思想:通过 密码技术 解决通信保密,保证数据的保密性和完整性
- 安全措施:加密
- 影响现代通信安全因素越来越多,针对移动通信的伪基站、对通信链路的破坏、干扰等因素
了解 计算机安全阶段 信息安全需求、主要技术措施及阶段的标志;
- 20世纪,70-90年代
- 主要关注于 数据处理 和 存储 时的数据保护
- 安全威胁:非法访问、恶意代码、脆弱口令等
- 核心思想:预防、检测和减少计算机系统(包括软件和硬件)用户(授权和未授权用户)执行的未授权活动所造成的后果。
- 安全措施:通过操作系统的访问控制技术来防止非授权用户的访问
了解 信息系统安全阶段 的安全需求、主要技术措施及阶段的标准;*#@
- 20世纪,90年代后-现在
- 主要关注 信息系统整体安全
- 安全威胁:网络入侵、病毒破坏、信息对抗等
- 核心思想:重点在于保护比 “数据” 更精炼的 “信息”
- 安全措施:防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等
- 把信息系统安全从技术扩展到管理、从静态扩展到动态,通过技术、管理、工程等措施的综合融合至信息化中,形成对信息、信息系统乃至业务使命的保障
了解 信息安全保障阶段 与 系统安全阶段 的区别,信息安全保障的概念及我国信息安全保障工作的总体要求、主要原则;
信息安全保障阶段
1996年,DoDD (美国国防部) 5-3600.1 号指令,首次提出了信息安全保障 *#@
关注信息、信息系统对组织业务及使命的保障
信息安全概念延伸,实现 全面安全
我国信息安全保障工作
- 总体要求:积极防御,综合防范
- 主要原则:技术与管理并重,正确处理安全与发展的关系
2008年,《国家(指美国)网络安全综合倡议》(CNCI) 发布。CNCI计划建立三道防线,还明确了12项任务。 *#@
2016年12月,我国发布了《国家网络空间安全战略》,明确了网络空间是国家安全的新疆域,网络空间主权成为国家主权的重要组成部分。*#@
我国信息安全保障工作从2001年开始,2003年7月出台了《关于加强信息安全保障工作的意见》(中办发第27号文件),文件明确了加强信息安全保障工作的总体要求,提出了加强信息安全保障工作的主要原则。*#@
信息安全保障 总体要求:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化的发展,保护公共利益,维护国家安全。**#@
信息安全保障 主要原则:立足国情,以我为主,坚持管理与技术并重;正确处理安全与发展的关系,以安全保发展,在发展中求安全;统筹规划,突出重点,强化基础性工作;明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。**#@
了解 网络空间 的概念,理解网络空间安全对国家安全的重要性。
- 网络空间:(Cyberspace 赛博空间)*#@
- 互联网已经将传统的虚拟世界与物理世界互连接,形成网络空间
- 新技术领域融合带来新的安全风险
- 工业控制系统
- “云大移物智” *#@
- 核心思想:强调 “威慑” 概念。(1能力、2决心、3True)
- 将 防御 、 威慑** 和 利用 结合成三位一体的网络空间安全保障
云计算的安全风险
- 数据管理 和 访问失控 的风险
- 数据存储位置对用户失控
- 云计算服务商对数据权限高于用户
- 用户不能有效监管云计算厂商内部人员对数据的非授权访问
- 数据管理责任 风险
- 不适用 “谁主管谁负责 谁运营谁负责”
- 数据保护 风险
- 缺乏统一标准,数据存储格式不同
- 存储介质由云服务商控制,用户对数据的操作需要通过云服务商执行,用户无法有效掌控自己数据
物联网技术架构
- 感知:射频识别、二维码、传感器网络、短距离无线通信、实时定位
- 传输:移动网络、互联网、无线网络、卫星、Post-IP网络
- 支持:智能处理、分布式技术、云计算、海量存储与数据挖掘、综合设计验证据
- 应用:运营平台、信息中心、内容服务、专家系统
虚拟化安全
- 虚拟化是云技术的支撑技术,把硬件资源虚拟化,构成一个资源池,从而提供云服务的各项特性
- 虚拟化安全
- 云计算中核心的安全问题
- 确保虚拟化多租户之间的 有效隔离
大数据安全
- 大数据的概念:大数据是指传统数据架构无法有效处理的新数据集
- 大数据的价值:趋势 分析
- 大数据安全:数据的生命周期安全、技术平台安全
移动互联网安全问题及策略
- 移动互联网安全问题
- 系统安全问题
- 移动应用安全问题
- 个人隐私保护问题
- 安全策略
- 策略管控
- 应用分发管控
- 加强隐私保护要求
1.2 信息安全保障框架
基于时间的PDR与PPDR模型
- 理解基于时间的PDR模型的核心思想及出发点
- 理解PPDR模型与PDR模型的本质区别
- 了解基于时间判断系统安全性的方式
PPDR模型
- PPDR模型核心思想
- 所有的防护、检测、响应都是依据安全策略实施
- 全新定义:及时的检测和响应就是安全
- 如果Pt < Dt + Rt 那么,Et = (Dt + Rt) - Pt
- PPDR模型则更强调控制和对抗、考虑了管理的因素,强调安全管理的持续性、安全策略的动态性等。
PDR 模型
Protection 防护 detection检测 response响应
PDR模型思想
- 承认漏洞,正视威胁,采取适度防护、加强检测工作、落实响应、建立对威胁的防护来保障系统的安全
出发点:基于时间的可证明的安全模型
- 任何安全防护措施都是基于时间的,超过该时间段,这种防护措施是可能被攻破的
- 当Pt > Dt + Rt, 系统是安全的
局限性:Pt、Dt、Rt很难准确定义
信息安全保障技术框架 IATF*
信息安全保障技术架构(Information Assurance Technical Framework, IATF)由美国国家安全局发布,为保障美国政府和工业的信息基础设施提供技术指南。(IATF没有成为国际标准)*#@
理解信息安全保障技术框架 (IATF)的 “深度防御” 核心思想、三个核心要素 及 四个焦点领域;
三个核心:人、技术、操作
- 人 (People)
- 信息保障体系的 核心,是 第一位的要素,同时也是最脆弱的。
- 基于这样的认识,安全管理在安全保障体系中愈显重要,包括:意识培训、组织管理、技术管理、操作管理
- 技术(Technology)
- 技术是实现信息保障的 重要手段
- 动态的技术体系:防护、检测、响应、恢复
- 操作(Operation)
- 也叫运行,构成安全保障的 主动防御 体系
- 是将各方面技术紧密结合在一起的主动的过程,包括
- 风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复
- 人 (People)
四个焦点领域 *#@
- 保护计算机环境#@*
- 目标
- 使用信息保护技术确保数据在 进入、离开 或 驻留 客户机和服务器时具有 保密性、完整性 和 可用性
- 方法
- 使用安全的操作系统
- 使用安全的应用程序
- 主机入侵检测
- 防病毒系统
- 主机脆弱性扫描
- 文件完整性保护…
- 目标
- 区域边界 *#@
- 区域的网络设备与其他网络设备的接入点被称为 “区域边界” *#@
- 目标:对进出某区域 (物理区域或逻辑区域)的数据流进行有效的 控制 与 监视
- 方法:
- 病毒、恶意代码防御
- 防火墙
- 入侵检测
- 远程访问
- 多级别安全
- 网络基础设施#@*
- 目标:网络和支持他的基础实施 必须
- 防止数据非法泄露 (DLP)
- 防止受到拒绝服务的攻击
- 防止受到保护的信息在发送过程中的时延、误传或未发送
- 方法:
- 骨干网可用性
- 无线网络安全框架
- 系统高度互联和虚拟专用网
- 目标:网络和支持他的基础实施 必须
- 支撑性基础设施#@*
- 目标:为安全保障服务提供一套相互关联的活动与基础设施
- 密钥关联基础设施(KMI)
- 检测和响应基础设施:能够迅速检测并响应入侵行为,需要入侵检测与监视软件等 技术解决方案 以及训练有素的专业人员(通常指 计算机应急响应小组 (CERT))的支持。
- 保护计算机环境#@*
安全远程与特点
- *保护多个位置 #@
- 分层防御
- 安全强健性
IATF特点
- 全方位防御、纵深防御将系统风险 降到最低
- 信息安全不纯粹是技术问题,而是一个复杂的系统工程
- 提出 “人” 这一要素的重要性,人即管理
信息系统安全保障评估框架*#@
基本概念
- 用于 采集、处理、存储、传输、分发 和 部署 信息的整个基础设施、组织结构、机构人员和组件的 总和
信息系统安全风险
- 是具体的风险、产生风险的因素主要有信心系统自身存在的 漏洞 和来自系统外部的 威胁。信息系统运行环境存在特定威胁冬季的 威胁源。
信息系统安全保障#@*
- 在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出信息安全保障要求,确保信息系统的保密性、完整性和可用性,把安全风险降低到可接受的程度,从而保障系统能够顺利实现组织架构的使命。
评估描述
信息系统保护轮廓(ISPP)
- 根据组织机构使命和所处的运行环境,从组织机构的策略和风险的实际情况出发,对具体信息系统安全保障需求和能力进行具体描述。
- 表达一类产品或系统的 安全目的和要求
- ISPP是从 信息系统的所有者(用户)的角度规范化、结构化的描述信息系统安全保障需求。
信息系统安全目标(ISST)
- 根据信息系统保护轮廓(ISPP)编制的信息系统安全保障方案
- 某一特定产品或系统的 安全需求
- ISST从 信息系统安全保障的建设方(厂商)的角度指定的信息系统安全保障方案。
评估模型 ***#@
模型特点***#@
- 将 风险 和 策略 作为信息系统安全保障的 基础 和 核心
- 强调安全贯彻信息系统 生命周期
- 强调 综合保障 的观念
- 以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素。通过信息系统安全保障实现信息安全的安全特征:信息的保密性、完整性这可用性特征,从而达到保障组织机构执行其使命的根本目的。
- 总结:生命周期的每个阶段都可以用4个保障要素来实现3个安全目标。
信息系统安全保障评估框架
- 基于信息系统的生命周期的信息安全保障
- 信息系统的生命周期层面和保障要素层面 不是互相孤立 的,而是 互相关联、密不可分 的
- 在信息系统生命周期中的任何时间点上,都需要综合信息系统安全保障的技术、管理、工程和人员保障要素。
信息安全保障要素
信息安全技术
- 密码技术
- 访问控制技术
- 审计和监控技术
- 网络安全技术
- 操作系统技术
- 数据库安全技术
- 安全漏洞与恶意代码
- 软件安全开发
信息安全管理
- 信息安全管理体系
- 风险管理
信息安全工程
- 信息安全工程涉及系统和应用的开发、集成、操作、管理、维护和进化以及产品的开发、交付和升级。
信息安全人才
- 信息安全保障诸要素中,人 是最关键、也是最活跃的要素。网络攻防对抗,最终较量的时攻防两端的人,而不是设备。
信息安全保障 解决方案
以 风险评估 和 法规要求 得出的 安全需求为依据
- 考虑系统的业务功能和价值
- 考虑系统风险哪些是必须处置的,哪些是可接受的
贴合实际具有 可实施性
- 可接受的成本
- 合理的进度
- 技术可实现性
- 组织管理和文化的可接受性
企业安全架构 *#@
什么是企业安全架构
- 企业架构的一个子集,它定义了信息安全战略,包括各层级的解决方案、流程、和规程,以及它们与整个企业的战略、战术和运营链接的方式。
- 开发企业安全架构的主要原因是确保安全工作以一个 标准化 的和 节省成本 的方式与业务实践相结合。
常见企业安全架构
- 舍伍德的商业应用安全架构(Sherwood Applied Business Security Architecture, SABSA)
- Zachman框架
- 开放群组架构框架(The Open Group Architecture Framework, TOGAF)
SABSA **#@
- 舍伍德商业应用安全架构(Sherwood Applied Business Security Architecture, SABSA)是一个 分层 的模型,包括 6个 层级。第一层从 安全 的角度定义了 业务需求,模型的每一层在抽象方面 逐层减少,但是在细节方面则是 逐层增加。SABSA安全架构提供了一个包括战略、概念、涉及、实施、度量和审计层次的 安全链条,层次都是建立在其他层之上。
- 设计 它包含了建筑设计中的 逻辑设计、物理设计、组件设计呵护服务管理设计。
总结
- 信息安全保障基础
- 基本概念
- 信息安全发展阶段
- 信息安全保障新领域
- 信息安全保障架构
- PPDR
- IATF
- 信息系统安全保障评估框架
- 舍伍德的商业应用安全架构
第2章 网络安全监管
2.1 网络安全法律体系建设
计算机犯罪
了解 计算机犯罪的概念、特征及计算机犯罪的发展趋势。
计算机犯罪的 特点
- 多样化
- 复杂化
- 国际化
计算机犯罪的 趋势
- 从无意识到有组织
- 从个体侵害到国家威胁
- 跨越计算机本身的实施能力
- 低龄化成为法律制约难题
计算机犯罪与其他犯罪的不同点
- 调查取证比较困难,计算机证据更容易遭到破坏
- 相关法律不完善
- 跨地域的特征
- 从统计来看,内部犯罪几率比较高
- 受害架构不报告,担心影响架构的正常运行和损害用户对机构的信任
我国立法体系
- 了解 我国多级立法机制及相关职能;
- 了解 立法分类(法律、行政法规及地方性法规)等概念。
- 立法是网络空间治理的基础工作
- 我国采取 多级立法 机制
2.2 国家网络安全政策 *
网络安全法网络安全法
- 理解 网络安全法出台背景;
- 理解 网络安全法中定义的网络、网络安全等基本概念及网络空间主权原则;
- 了解 网络运行安全制度、关键基础设施保护制度、等级保护制度、网络安全审查制度的相关要求。
网络安全相关法律建设
- 了解行政违法相关概念及行政处罚;
- 了解刑事责任、常见网络安全犯罪及量刑等概念;
- 了解民事违法相关概念及违法民事处罚;
- 了解国家安全法、保密法、电子签名法、反恐怖主义法、密码法中网络安全相关条款。
各国网络安全立法的重点制度
- 对传统的网络安全制度进行立法修正
- 机构职责和管理制度
- 检测预警及应急处理机制
- 对近几年涌现的新问题进行应对
- 关键基础设施保护
- 数据安全防护(跨境数据流动、数据渗漏处置等)
- 云技术等新技术、新业务引发的安全问题等
- 网络安全立法演变为全国范围内的利益协调与国家主权斗争
网络安全法出台背景
2016.11.7发布,2017.06.1生效
《网络安全法》从草稿发布到正式出台,共经历了 三次审议,两次公开征求意见和修改。
《网络安全法》基本概念
- 网络空间 已经成为领土、领海、领空、太空之外的 “第五空间” 或人类 “第二类生存空间” 成为国家主机延伸的新疆域。
- 网络:是指由计算机或者其他信息终端及相关设备组成的,按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
- 网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
- 网络空间安全
- 关键信息基础设施
- 网络运营者:是指网络的所有者、管理者和网络服务提供者。
- 个人信息:是指以电子或者其他方式记录的能够单独或者其他信息结果识别自然人个人身份证的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。GBT 35273-2020《信息安全技术个人信息安全规范》
- 网络数据:是指通过网络收集、存储、传输、处理和产生的各种数据。
网络安全法主要结构 *#@
- 七章79条 *#@
第一章 总则
第二章
- 建立和完善 网络安全标准体系 建设
- 统筹规划,扶持 网络安全产业 (产品、服务等)
- 推动 社会化 网络安全服务体系 建设
- 鼓励开发 数据安全保护和利用 技术、创新 网络安全管理 方式
- 开展 经常性网络安全宣传 教育
- 支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取 多种方式培养网络安全人才,促进网络安全人才交流 解决人不足问题
第三章 网络运行安全
明确要求落实网络安全等级保护制度
第二十一条 国家实行 网络安全等级保护制度。 网络运营者 应当按照网络安全等级保护制度的要求,履行下列安全保护 义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
- 指定内部 安全管理制度 和 操作规程,确定 网络安全负责人,落实网络安全保护责任;
- 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
- 采取检测、记录网络运行状态、网络安全事件的技术措施,并按照规定 留存相关的网络日志不少于六个月;
- 采取数据分类、重要数据备份和加密等措施;
- 法律、行政法规规定的其他义务。
明确网络运营者的安全义务
- 内部安全管理:制定内部安全管理制度和操作规程,确定网络安全负责人;
- 安全技术措施:采取防范网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,留存相关的网络日志不少于六个月
- 数据安全管理:采取数据分类、重要数据备份和加密等措施,防止网络数据泄露或者被窃取、篡改;
- 网络身份管理:办理网络接入、域名注册服务,或固定电话、移动电话等入网手续、或为用户提供信息发布、即时通讯等服务,应要求用户提供真实身份信息。
- 应急预案机制:指定网络安全事件应急预案,及时处理系统漏洞、计算机病毒、网络工具、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。
- 安全协助义务:位公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术和协助。
明确网络产品、服务提供者的安全义务
- 强制标准义务:网络产品、服务应当符合相关国家标准的强制要求,不得设置恶意程序;网络关机设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
- 告知补救义务:网络产品、服务提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,及时告知用户,向有关主管部门报告。
- 安全维护义务:网络产品、服务提供者应为产品、服务持续提供安全维护,在规定或者当事人约定的期限内不得终止。
- 个人信息保护:网络产品、服务具有手机用户信息功能的,网络产品、服务提供者应向用户明示并取得同意;涉及用户个人信息的,还应遵守相关法律、行政法规中有关个人信息的规定。
明确一般性安全保护义务
- 安全信息发布:开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。
- 禁止危害行为:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入我那个、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等。
- 信息使用规则:网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
关键信息基础设施保护
- 关键信息基础设施内涵:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务重要行业和领域的关机信息基础设施;其他一旦遭到破坏、丧失功能或者数据泄露,可能验证危害 国家安全、国计民生、公共利益、的关机信息基础设施。
- 关机信息基础设施外延:关键信息基础设施的具体范围由 国务院 制定;鼓励关键信息基础设施以外的网络运营者 自愿 参与关键信息基础设施保护体系。
- 关键信息基础设施管理机制:按照国务院固定的职责分工,负责关键信息基础设施安全保护工作的部门具体负责实施 本行业、本领域的关机信息基础设施保护工作。国家网信部门统筹协调有关部门对关键信息基础设施采取安全保护措施。
- 关键信息基础设施建设要求:确保具有支持 业务稳定、持续运行 的性能。安全技术措施同步规划、同步建设、同步使用。
关键信息基础设施运营者安全保护义务
- 人员安全管理:设置专门安全管理机制和安全管理负责人;对负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、培训和考核。
- 数据境内留存:在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。确需向境外提供的,需经国家安全评估;对重要系统和数据库进行容灾备份。
- 应急预案机制:制定网络安全事件应急预案,并定期进行演练。
- 安全采购措施:采购网络产品和服务可能影响国家安全的,应当通过国家安全审查。应与网络产品和服务提供者签订安全保密协议。
- 风险评估机制:自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年进行一次检测评估,并将检测评估情况和改进措施报送相关部门。
关键基础设施运营中产生的数据必须境内存储
2017年04月10日国家互联网信息办公室发布关于《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见的通知。明确了
- 个人信息和重要数据 出境的范围
- 有50万人以上的个人信息
- 数据量超过1000GB
- 7大重要领域数据等(包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理数据等)
- 数据出境评估原则
- 评估7个方面主要内容
- 数据出境的必要性;
- 涉及个人信息的情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;
- 涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;
- 数据接收方的安全保护措施、能力和水平,已经所在国家和地区的网络安全环境等;
- 数据出境及再转移后背泄露、坏损、篡改、滥用等风险;
- 数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;
- 其他需要评估的重要事项。
- 个人信息和重要数据 出境的范围
关键信息基础设施运营者安全保护义务
- 人员安全管理:设置专门安全管理机构和安全管理负责人;对负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、培训和考核。
- 数据境内留存:在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。确需向境外提供的,需经国家安全评估;对重要系统和数据库进行容灾备份。
- 应急预案机制:制定网络安全事件应急预案,并定期进行演练。
- 安全采购措施:采购网络产品和服务可能影响国家安全的,应当通过国家安全审查。应与网络产品和服务提供者签订安全保密协议。
- 风险评估机制:自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关部门。
明确我国实行 网络安全审查 制度
- 第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关组织的国家安全审查。
- 2017年05月02月中央网信办正式发布 《网络产品和服务安全审查办法(试行)》 。其中就审查的目的、需要审查的网络产品和服务的范围、网络安全审查的管理部门(网络安全审查委员会)、审查的架构(国家统一认定网络安全审查第三方机构)和对党政机关和重点行业的审查工作提出要求。关于2017年6月1日同《网络安全法》一同实施。
第四章 网络信息安全
重视对个人信息保护
- 保护规范:
- 原则:合法、正当、必要(第41条)
- 规则:吸收了国际通行规则 (例如:GDPR 通用数据保护条例,欧盟,草案2016年5月份发布。我国是2016年11月7号)
- 规则透明:公开规则、获得同意(第41条)
- 目的限制:不得超范围收集、违法和违法收集(第41条)
- 安全保密:不得泄露毁损、预防措施、补救措施(第40、42条)
- 删除改正:删除违法、违约信息、改正有误信息(第43条)
- 规范主体:
- 网络运营者、任何个人组织、负有网络安全监督管理职责的部门及其工作人员。
- 网络运营者:安全保密、知情同意、目的限制、删除改正
- 个人和组织:不得窃取、非法出售个人信息
- 监督部门:保密、不得泄露出售
- 保护规范:
规范信息管理
- 规制对象–行为:
- 设立网站、通讯群组
- 诈骗
- 传授犯罪方法
- 制作或者销售违禁管制物品
- 利用网络发布信息
- 发送电子信息
- 设置恶意软件
- 包含违法犯罪信息
- 提供应用软件
- 设立网站、通讯群组
- 规制对象–主体:
- 市场主体
- 应用软件下载服务提供者
- 网络运营者
- 个人和组织
- 电子信息发送服务者
- 监督主体
- 网信部门和有关部门
- 市场主体
- 规制对象–行为:
确定信息管理中相关职责
- 个人和组织:禁止发布传输违法信息、制作销售违禁物品、传授犯罪方法、设置恶意软件、实施诈骗。
- 网络运营者:信息发现、中断传输、保存报告、投诉处理、配合管理。
- 电子信息发送服务者&应用软件下载服务提供者:行为发现、停止服务、消除措施、保存报告。
- 监督部门:行为发现、通知网络运营者、通知相关机构。
2017年05月02日国家互联网信息办公室正式发布 《互联网新闻信息服务管理规定》(国信办1号令),于6月1日同《网络安全法》一起实施。规范了:
- 互联网新闻信息服务的范围
- 互联网新闻信息服务的6项许可条件
- 互联网新闻信息服务提供者的义务
- 网信部门对互联网新闻信息服务的监督检查要求
- 相关法律责任
同日国家互联网信息办公室一并发布**《互联网信息内容管理行政执法程序规定》(国信办2号令)**,于6月1日同《网络安全法》一起实施。规范了:
- 互联网信息内容管理部门行政执法依据
- 管辖范围
- 立案流程
- 调查取证过程
- 听证及约谈机制
- 处罚决定及执行办法等
第五章 监测预警与应急处置
工作制度化、法制化
责任主体 具体制度 国家网信部门 统筹网络安全信息收集、分享和通报,统一发布网络安全监测预警信息;制定网络安全事件应急预案,定期组织演练。 负责关键基础设施安全保护工作部门 建立健全本行业、本领域的网络安全监测预警和信息通报制度,按照规定报送预警信息;指定本行业、本领域的网络安全事件应急预案,定期组织演练。 省级以上人民政府有关部门 网络安全事件发生的风险增大时,采取信息报送、网络安全风险信息评估、向社会预警等措施;按照规定程序及权限对网络运营者法定代表人进行约谈。 网络运营者 采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并技术向社会发布与公众有关的警示信息;按照省级以上人民政府要求进行整改,消除隐患。
第六章 法律责任
对违法《网络安全法》的行为,第六章规定了 民事责任、行政责任、刑事责任。
民事责任 行政责任 刑事责任 第七十四条规定:违法本法规定,给他人造成损害的,依法承担民事责任。 1、情节较轻的:责令改正、警告等;
2、情节严重的:罚款、责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等;
3、均适用的:没收违法所得、拘留等;
4、其他:计入信用档案并公示。第其实四条规定:构成犯罪的,依法追究刑事责任。 网络安全相关法规
- 行政法相关法规
- 民法相关法规
- 刑法相关法规:出售或者提供公民个人信息罪、非法侵入计算机信息系统罪、网络服务渎职罪等
- 其他网络安全相关法规及条款
- 国家安全法
- 保密法
- 电子签名法
- 反恐怖主义法
- 密码法
- 电子签名法:2005年4月1日
- (一)电子签名制作数据用于电子签名时,属于电子签名人专有;
- (二)签署时电子签名制作数据仅有电子签名人控制;
- (三)签署时对电子签名的任何改动能够被发现;
- (四)签署后对数据电文内容和形式的任何改动能够被发现;
- 当事人也可以选项使用符合其约定的可靠条件的电子签名。
- 2015年8月《刑法修正案(九)》增设了一个罪名:帮助信息网络犯罪活动罪,简称“帮信罪”。2015年11月1日开始实施,主要指行为人明知他人利用信息网络实施犯罪,而为其犯罪提供互联网接入、服务器托管、网络存储、通信传输等技术支持,或者提供广告推广、支付结算等帮助的犯罪行为。
知识子域:国家网络安全政策
- 国家网络空间安全战略
- 了解国家《网络空间安全战略》中总结的七种新机遇、六大严峻挑战及建设网络强国的战略目标;
- 了解《国家网络空间战略》提出的四项基本原则和九大任务;
- 国家网络安全等保政策
- 了解我国网络安全等级保护相关策略。
国家网络空间安全战略
- 七种新机遇
- 信息传播的新渠道
- 生成生活的新空间
- 经济发展的新引擎
- 文化繁荣的新载体
- 社会治理的新平台
- 交流合作的新纽带
- 国家主权的新疆域
- 六大严峻挑战
- 网络渗透危害政治安全
- 网络攻击威胁经济安全
- 网络有害信息侵蚀文化安全
- 网络恐怖和违法犯罪破坏社会安全
- 网络空间的国家竞争方兴未艾
- 网络空间机遇和挑战并存,机遇大于挑战
- 发展战略目标
- 以总体国家安全观为指导,贯彻落实创新、协调、绿色、开放、共享的发展理念,增强风险意识和微机意识,统筹国内两个大局,统筹发展安全两件大事,积极防御、有效应对,推进网络空间 和平、安全、开发、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标。
- 四项原则
- 尊重维护网络空间主机
- 和平利用网络空间
- 依法治理网络空间
- 统筹网络安全与发展
- 九大任务
- 坚定捍卫网络空间主权
- 坚决维护国家安全
- 保护关键信息基础设施
- 加强网络文化建设
- 打击网络恐怖和违法犯罪
- 完善网络安全治理体系
- 夯实网络安全基础
- 提升网络空间防护能力
- 强化网络空间国家合作。
2.3 网络安全道德准则
网络安全道德准则
- 道德约束
- 了解 道德的概念、道德的法律的差异;
- 道德的概念:一定社会或阶级用以调整人们之间利益关系的行为准则,也是评价人们行为善恶的标准。
- 道德和法律:道德 没有 严谨的结构体系,法律是国家意志统一体系,有 严密的逻辑
- 理解 道德约束相关概念。
- 道德约束
- 道德约束是建立在完善的法律基础上
- 惩戒性条款的管理制度是组织内部建立职业道德约束的有效手段之一
- 培训与教育是不可或缺的增强员工道德意识的途径
- 道德约束
- 了解 道德的概念、道德的法律的差异;
- 职业道德准则
- 理解 信息安全从业人员遵守职业道德的重要性;
- 了解 目前国际团体和组织制作的职业道德规范文件;
- 理解 《CISP职业道德准则》的要求;
- 职业道德的概念(最早的例子之一就是医生今天依然检查的希波克拉低誓言)
- 著名的计算机职业伦理守则
- 美国计算机学会职业伦理守则、英国计算机学会伦理守则、
- 计算机伦理十诫(摩西十诫)
- 你不应当用计算机去伤害他人
- 你不应当干扰他人的计算机工作
- 你不应当偷窃他人的文件
- 你不应当用计算机进行偷盗
- 你不应当用计算机做伪证
- 你不应当使用或复制没有付过钱的软件
- 你不应当未经许可而使用他人的计算机资源
- 你不应当盗用别人的智力成果
- 你应当考虑你所编制的程序的社会后果
- 你应当深思熟虑和审慎的态度来使用计算机
- CISP职业道德准则
- 维护国家、社会和公众的信息安全
- 诚实守信、遵纪守法
- 努力工作,尽职尽责
- 发展自身,维护荣誉
2.4 信息安全标准 *
网络安全等级保护网络安全等级保护政策*#@
- 1994:《中华人民共和国计算机信息系统安全保护条例》规定了计算机系统实现安全等级保护。
- 1999:**GB 17859-1999《计算机信息系统安全保护等级划分准则》**正式细化等级保护要求,划分了 五个级别
- 2004:**公安部、保密局、密码委、信息办(四部委)**联合发文《关于信息安全等级保护工作的实施意见的通知》规定登记保护指导思想、原则和要求。定级从信息和信息系统的业务重要性及遭受破坏后的影响出发。
- 改通知将信息和信息系统的安全保护等级划分为五级,即第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。
- 2017年,四部委发文《信息安全等级保护管理办法》,涉及国家密码的信息系统也以不低于登记保护三级的标准机械能设计和建设。
- 2016:《网络安全法》明确我国实行网络安全等级保护制度
信息安全标准
- 信息安全标准基础
- 了解 标准的基本概念及标准的作用、标准化的特点及原则等;
- 了解 国际信息安全标准化组织和我国信息安全标准化组织;
- 了解 我国标准分类及信息安全标准体系。
- 我国信息安全标准
- 了解 我国信息安全标准体系分类及基础标准、技术与机制、管理与服务标准、测评标准构成;
标准
- 为了在 一定范围 内获得 最佳秩序,经 协商一致 制定并由 公认机构 批准,共同使用的和 重复使用 的一种规范性文件。
- 标准类型
- 国际标准
- 国家标准
- 行业标准
- 地方标准
标准化
- 标准化:为了在 一定范围 内获得 最佳秩序,对现实问题或潜在问题制定 共同使用 和 重复使用 的条款的 活动
- 标准化的 基本特点
- 标准化是一项活动
- 标准化的对象:物、事、人
- 标准化是一个动态的概念
- 标准化是一个相对的概念
- 标准化的效益只有应用后才能体现
- 标准化 工作原则:简化、统一、协调、优化
标准化组织
- 主要国际标准化组织
- 国家标准化组织(ISO)
- 国际电工委员会(IEC)
- Internet工程任务组(IETF):创建于1986年,目前IETF已成为全球互联网界最具权威的大型技术研究组织。 著名的IKE和IPsec都在RFC系列之中。(RFC开头的标准都是IETF的)
- 国际电信联盟(ITU)及国际电信联盟远程通信标准化组织(ITU-T)
- 美国标准化组织(美国)
- 美国国家标准化协会(ANSI)
- 美国国家标准技术研究院(NIST)
- 信息安全相关的专题出版物(NIST SP 800系列 和 NIST SP 500系列)
- 英国标准协会(BSI)
- 中国
- 中国国际标准化管理委员会:中国国际标准化管理委员会(以下简称“国家标准委”)是我国最高级别的国家标准化机构,其下属的全国信息安全标准化技术委员会(TC260)负责信息安全相关标准制定及管理。
- 【2004】1号文决定:自2004年1月起,各有关部门在申报信息安全国家标准计划项目时,必须经信息安全标委会提出工作意见,协调一致后由信息安全标委会组织申报。
- 秘书处设在中国电子技术标准化研究所
我国标准分类
- GB 强制性国家标准
- 一经颁布必须贯彻执行,违反则构成经济或法律方面的责任。
- GB/T 推荐性国家标准
- 自愿采用的标准,共同遵守的技术依据,严格贯彻执行。
- GB/Z 国家标准指导性技术文件
- 由于技术发展过程中或其他理由,将来可能达成一致意见指导性技术文件
- 实施后3年内必须进行复审。复审结果的可能是以下结果。
- 再延长3年
- 转为国家标准
- 撤销
信息安全标准体系
- 基础类标准
- 安全术语类
- 测评基础类
- 管理基础类
- 物理安全类
- 安全模型类
- 安全体系架构类
- 技术与机制标准
- 密码技术
- 鉴别机制
- 授权机制
- 电子签名
- 公钥基础设施
- 通信安全技术
- 涉密系统通用技术要求
- 测评标准
- 密码产品
- 通用产品
- 安全保密产品
- 通用系统
- 涉密通信系统
- 通信安全
- 政府安全检查
- 安全能力评估
信息安全标准 **#@
等级保护标准族
- 了解网络安全等级保护标准体系;
- 掌握 等级保护实施流程中定级、备案的工作要求并了解等级保护整改、测评相关要求;
- 了解登记保护2.0的相关变化。
看图方法
- 从上往下看,定级别;看定级指南 和 定级细则。一级不用保,五级(国家安全,执行分保制度)保不了。
- 安全等级类: 主要对 如何进行信息系统定级 做出指导
GB/T 22240-2008 《信息安全技术 信息系统安全保护等级保护定级指南》- GB/T 22240-2020 《信息安全技术 网络安全等级保护定级指南》 (云计算、物联网、大数据、移动互联技术)
- 各类行业定级规则
- 安全等级类: 主要对 如何进行信息系统定级 做出指导
- 从右往左看,方法指导
- 方法指导类:对 如何开展等级保护工作 做了详细规定
GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》- GB/T 25058-2019 《信息安全技术 网络安全等级保护实施指南》(云计算、物联网、大数据、移动互联技术)
GB/T 25070-2010 《信息安全技术 信息系统等级保护安全设计技术要求》- GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》
- 方法指导类:对 如何开展等级保护工作 做了详细规定
- 从左往右看,状态分析
- 状态分析类:对 如何开展等级保护测评 工作做出了详细规定
GB/T 28448-2012 《信息安全技术 信息系统安全等级保护测评要求》- GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》
GB/T 28449-2012 《信息安全技术 信息系统安全等级保护测评过程指南》- GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》
- 状态分析类:对 如何开展等级保护测评 工作做出了详细规定
- 从下往上看,基线要求
- 基线要求类:分技术类、管理类和产品类等标准,分别对某些 专门技术、管理和产品 的进行要求
GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》- GB/T 22289-2019 《信息安全技术 网络安全等级保护基本要求》(云计算、物联网、大数据、移动互联技术)
- GB/T 20271-2006 《信息系统通用安全技术要求》
- GB/T 21052-2007 《信息系统物理安全技术要求》
- 基线要求类:分技术类、管理类和产品类等标准,分别对某些 专门技术、管理和产品 的进行要求
- 从上往下看,定级别;看定级指南 和 定级细则。一级不用保,五级(国家安全,执行分保制度)保不了。
时间段
- 1994年进入等保1.0阶段
- 2016年提出等保2.0
- 2019.12.1号正式进入等保2.0阶段
等级保护工作流程(实施)
等级保护实施根据 GB/T 25058-2010 《信息安全技术 信息系统等级保护实施指南》根据实际情况逐步形成了等级、备案、差距分析(也叫差距测评)、建设整改、验收测评、定期复查为流程的等级保护工作流程。
- 定级
- 备案
- 差距分析
- 建设整改
- 验收测评
- 定期复查
第3章 信息安全管理
3.1 信息安全管理-基础
基本概念
了解 信息、信息安全管理、信息安全管理体系等基础概念。
- 信息
- 企业:对用户的信息保护成为新的关注点
- 用户:用户将安全作为选择服务的重要依据之一
- 攻击者:不起眼的数据对攻击者可能价值很高,倒逼企业和个人更关照信息安全。
- 信息安全管理
- 信息安全管理是组织管理体系的一个重要环节
- 信息安全管理体系
- 组织管理体系的一部分
- 基于风险评估和组织风险接受水平
信息安全管理的作用及对组织的价值
理解 信息安全管理的作用、对组织内部和组织外部的价值
- 信息安全管理的作用
- 信息安全管理是组织整体管理的重要、固有组成部分,是组织实现其业务目标的重要保障。
- 信息安全管理是信息安全技术的融合剂,保障各项技术措施能够发挥作用。
- 信息安全管理能 预防、组织或减少 信息安全事件的发生。
- 对组织的价值
- 对内
- 对外
3.2 信息安全-风险管理
风险管理概述
了解 信息安全风险、风险管理的概念;
- 风险:事态的概率及其结果的组合
- 风险是客观存在
- 风险管理 是指导和控制一个组织相关风险的协调活动、其目的是确保不确定性不会使企业的业务目标发生变化。
- 风险的识别、评估和优化
- 风险管理 的价值
- 安全措施的 成本 与资产 价值 之间的 平衡
- 基于风险的思想是所有信息系统安全保障工作的核心思想!
理解 信息安全风险管理的作用和价值;
常见风险管理模型
了解 COSO报告、ISO31000、COBIT等风险管理模型的租用。
- 内部控制整合框架(COSO报告)
- 三个目标:财务报告可靠性、经验效率和效果、合规性
- 五个管理要素:内制环境、风险评估、控制活动、信息与沟通、监控
- ISO 31000
- 为所有与风险管理相关的操作提供最佳实践结构和指导
- **GOBIT ** 2019最新
- 为信息系统和技术的治理及控制过程提供 最佳实践
- 组件:框架、流程描述、控制目标、管理指南、成熟度模型。
安全风险管理基本过程 *#@
理解 风险管理的背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询六个方面的工作目标及内容;
- GB/Z 24364-2009 《信息安全风险管理指南》最新版本GB/Z 24364-2023
- 四个阶段 *#@
- 两个贯穿 *#@
四个阶段-背景建立*#@
背景建立是信息安全风险管理的 第一个步骤,确定风险管理的 对象 和 范围,确立实施风险管理的 准备,进行相关信息的 调查 和 分析
- 风险管理准备:确定对象、组件团队、指定计划、获得支持
- 信息系统调查:信息系统的业务目标、技术和管理上的特点
- 信息系统分析:信息系统的体系结构、关键要素
- 信息安全分析:分析安全要求、分析安全环境
四个阶段-风险评估*#@
信息安全风险管理要 依靠 风险评估的结果来确定随后的 风险处理 和 批准监督 活动。
- 风险 评估准备:制定风险评估方案、选择评估方法
- 风险 要素识别:发现系统存在的 威胁、脆弱性和控制措施
- 风险分析:判断风险发生的可能性和影响的程度
- 风险 结果判定:综合分析结果判定风险等级。
四个阶段-风险处理*#@
风险处理是为了将风险始终控制在 可接受 范围内。
- 现存风险判断:判断信息系统中哪些风险可以接受,哪些不可以
- 处理目标确认:不可接受的风险需要控制到怎样的程度
- 处理措施选择:选择风险处理方式,确定风险控制措施
- 处理措施实施:指定具体安全方案,部署控制措施
四个阶段-批准监督*#@
- 批准:是指机构的 决策层 依据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的 决定
- 监督:是指 检查 机构及其信息系统已经信息安全相关的环境有无变化,监督 变化因素是否有可能引入新风险。
两个贯穿-监控审查 *#@
- 监控与审查 可以及时 发现 已经出现或即将出现的变化、偏差和延误等问题,并 采取 适当的措施进行控制和纠正,从而 减少 因此造成的损失,保证 信息安全风险管理 主循环的有效性。
- 类似信息系统工程中的监理:监理对双方负责。
- **信息安全工程监理模型 *#@**:
- 监理咨询支撑要素#@*:(组织结构、设施设备、安全保障知识、质量管理)
- 监理咨询阶段过程#@*
- 控制管理措施#@*:(“四控制、三管理、一协调”,即质量控制、进度控制、成本控制、变更控制、合同管理、信息管理和安全管理、组织协调)
- 信息安全工程监理的职责
- 四控#@*:进度控制,质量控制、成本控制(投资控制),变更控制
- 三管#@*:合同管理,安全管理,信息管理
- 一协调#@*:协调甲方、总包及设备材料供应方的关系
- **信息安全工程监理模型 *#@**:
两个贯穿-沟通咨询 *#@
通过畅通的交流和重发的沟通,保持行动的 协调 和 一致性;通过有效的培训和方便的咨询,保证行动者具有 足够的知识 和 技能,就是沟通咨询的意义所在。
沟通咨询 与领导沟通,以得到理解和批准
单位内部各有关部门 相互沟通,以得到理解和协作
与支持单位和系统用户 沟通,以得到了解和支持为所有层面的相关人员提供 咨询和培训 等,以提高人员的安全意识、知识和技能
3.3 信息安全管理体系-建设
ISO27001-2013版本 20251025失效,考2013
ISO27001-2022版本 最新版本,实际应用2022,企业还是2013
信息安全管理体系 – ISMS
- 组织在 整体 或 特定范围 内建立的信息安全 方针 和 目标,以及为完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为 方针、原则、目标、方法、计划、活动、程序、过程和资源 的 集合。
信息安全管理体系成功因素
理解 GB/T 29246-2017 中描述的信息安全管理体系成功的主要因素
- 信息安全 策略、目标 和 目标一致的 活动
- 与 组织文化 一致的,信息安全设计、实施、监视、保持和改进的方法与框架
- 来自所有 管理层级、特别是 最高管理者 的 可见支持 和 承诺
- 对 应用 信息安全风险管理 (见ISO/IEC 27005)实现信息资产保护的理解
- 有效的信息安全意识、撇讯和教育计划,以使 所有员工 和 其他相关方 知悉在信息安全策略、标准等当中他们的信息 安全义务,并激励他们做出相应的 行动
- 有效的信息安全事件 管理过程
- 有效的业务持续性 管理方法
- 评价信息安全管理性能的 测量系统 和反馈的 改进建议。
PDCA过程(戴明环)
理解 PDCA过程模型的构成及作用
- 管理学常用的 过程模型
- P(Plan):计划
- D(Do):实施
- C(Check):检查
- A(Act):行动
了解 ISO/IEC 27001:2013中定义的PDCA过程方法四个阶段工作。
按照PDCA进行循环,大环套小环,持续改进
- PDCA是27001定义的过程方法。
组织背景
- 建立信息安全管理体系的 基础
- 了解组织有关信息安全的 内部(人员、管理、流程等)和 外部 (合作伙伴、供应商、外包商等)问题
- 确定ISMS管理范围
- 建立、实施、运行、保持和持续改进符合国际标准要求的ISMS
领导力
- 管理承诺 是建立信息安全管理体系的关键成功因素之一
- 建立在组织的整体管理基础,需要组织 整体参与
- 组织高层确定的信息安全方针 文档化,明确描述组织的角色、职责和权限
计划
- 计划建立在风险评估基础上
- 计划必须符合组织的安全目标
- 层次改进
支持
- 获得资源
- 全员宣贯培训(最高管理者全称参与)
实施与运行
- 实施风险评估,确定所识别信息资产的信息安全 风险,已经 处理 信息安全风险的 决策,形成信息安全 要求
- 控制措施适度安全
- 控制在适用性声明中形成文件
监视和评审
- 根据组织正常和目标,监控和评估绩效来维护和改进ISMS
维护与改进
- 不符合和纠正措施
- 持续改进
文档化
一级文件定目标
二级文件定措施
三级文件看执行
四级文件看结果- 管理体系的文档化分为 文件和记录 两部分。文件是管理体系审核的 依据,记录是管理体系审核的 证据。两者都需要得到妥善的使用和保存。
- 一级文件:由高级管理层发布
- 二级文件:有组织管理者代表签署发布;二级文件发布范围通常在组织内部。
- 文档结构
- 文件控制全过程
- 建立
- 批准发布
- 评审与更新
- 文件保存
- 文件作废
3.4 信息安全管理体系-最佳实践 *#@
信息安全管理体系控制类型
- 了解 预防性、检测性、纠正性 控制措施的差别及应用。
信息安全管理体系控制措施结构
- 了解 安全方针、信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理和环境安全、操作安全、通信安全、安全采购开发和维护、供应商关系、安全事件管理、业务连续性管理及合规性14个控制章节的 控制目标、控制措施 并理解实施指南的相关要素。
**预防性控制 *#@**:(账号密码认证)
- 预防性控制是为了避免产生错误或尽量减少今后的更正性活动,是为了防止资金、时间或其他资源的损耗而采取的一种预防保护措施。
**检测性控制 *#@**:
- 建立检测性控制的目的是发现流程中可能发生的安全问题。
**纠正性控制 *#@**:(备份数据库去恢复、电脑蓝屏)
- 纠正性控制措施无法阻止安全事件的发生,但提供了一种系统的方式来检查何时发生了安全事件并对安全事件带来的影响进行纠正。
安全控制措施内部结构
- 结构
- 14个类别
- 35个目标
- 114个控制措施
- 描述方式
- 控制类
- 控制目标
- 控制措施
- 实施指南
ISO/IEC 27002标准的演进历程
3.5 信息安全管理体系-度量
第4章 业务连续性
4.1 业务连续性管理
4.2 信息安全应急响应
4.3 灾难备份与恢复
第5章 安全工程与运营
5.1 系统安全工程
5.2 安全运营
5.3 信息内容安全
5.4 社会工程学与培训教育
第6章 信息安全评估
安全评估 = 风险评估6.1 安全评估基础
6.2 安全评估实施
6.3 信息系统审计
第7章 信息安全支撑技术
7.1 密码学
7.2 身份鉴别
7.3 访问控制
第8章 物理环境与网络通信安全
8.1 物理安全
8.2 OSI模型
8.3 TCP/IP协议
8.4 无线通信安全
8.5 典型网络攻击及防范
8.6 网络安全防护技术
第9章 计算环境安全
9.1 操作系统安全
9.2 信息收集与系统
9.3 恶意代码防护
9.4 应用安全
9.5 数据安全
第10章 软件安全开发
10.1 软件安全开发
10.2 软件安全需求及设计
10.3 软件安全实现
10.4 软件安全测试
10.5 软件安全交付
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以邮件至 hjxstart@126.com
