第1章网络信息安全概述

一、知识框架

1.1 网络发展现状与重要性认识

1.2 网络信息安全现状与问题

1.3 网络信息安全基本属性

1.4 网络信息安全目标与功能

1.5 网络信息安全基本技术需求

1.6 网络信息安全管理内容与方法

1.7 网络信息安全法律与政策文件

1.8 网络信息安全科技信息获取

二、大纲要求

1.网络信息安全概述

1.1 网络信息安全基本属性

● 机密性

● 完整性

● 可用性

●抗抵赖性

● 可控性

● 其他（真实性、时效性、合规性、隐私性、公平性等）

1.2 网络信息安全现状与问题

● 网络信息安全现状● 网络信息安全问题

1.3 网络信息安全目标与功能

● 网络信息安全目标● 网络信息安全功能

1.4 网络信息安全基本技术需求

● 物理环境安全

● 网络信息安全认证

● 网络信息访问控制

●网络信息安全保密与内容安全

● 网络信息安全监测与预警

●网络信息安全漏洞扫描与安全评估

●恶意代码监测与防护

● 网络信息安全应急响应

1.5 网络信息安全管理内容与方法

● 网络信息安全管理目标● 网络信息安全管理对象● 网络信息安全管理要素● 网络信息安全管理依据● 网络信息安全管理方法● 网络信息安全管理流程●网络信息安全管理工具

1.6 网络信息安全法律与政策文件

● 国家网络空间安全战略● 网络信息安全基本法律● 网络安全等级保护● 国家密码管理制度● 网络产品和服务审查● 互联网域名安全管理● 工业控制信息安全制度●个人信息和重要数据保护制度
● 网络安全标准规范与测评● 网络安全事件与应急响应制度

1.7 网络信息安全科技信息获取

● 网络信息安全会议●网络信息安全期刊● 网络信息安全网站● 网络信息安全术语

三、重要常考易考知识点

1.1 网络发展现状与重要性认识

数字化、网络化、智能化成为信息社会的主要特征。

计算机网络演变成人类活动的新空间，即网络空间，它是国家继陆、海、空、天四个疆域之后的第五疆域。

网络空间信息安全，通称网络信息安全。网络信息安全通常简称为网络安全。

网络信息安全的发展历经通信保密、计算机安全、信息保障、可信计算等阶段。

网络信息安全特指网络信息系统的各组成要素符合安全属性的要求，即机密性、完整性、可用性、抗抵赖性、可控性。

根据《中华人民共和国网络安全法》中的用语含义，网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

网络安全与传统安全有着明显的差异，其具有网络安全威胁高隐蔽性、网络安全技术高密集性、网络安全控制地理区域不可限制性，网络安全防护时间不可区分性、网络攻防严重非对称性等特点。

1.2 网络信息安全现状与问题

永恒之蓝网络蠕虫事件

DDOS Distributed Denial of service (分布式拒绝服务),俗称洪水攻击。

APT Advanced Persistent Threat 高级持续威胁

APT攻击威胁活动日益频繁，包括对目标对象采用鱼叉邮件攻击、水坑攻击、网络流量劫持、中间人攻击等，综合利用多种技术以实现攻击意图，规避网络安全监测。

1.3 网络信息安全基本属性

常见的网络信息安全基本属性主要有机密性、完整性、可用性、抗抵赖性和可控性等，此外还有真实性、时效性、合规性、隐私性等。

网络信息系统CIA三元组：机密性、完整性、可用性。

机密性（Confidentiality）是指网络信息不泄露给非授权的用户、实体或程序，能够防止非授权者获取信息。

完整性（Integrity）是指网络信息或系统未经授权不能进行更改的特性。

可用性（Availabiliy）是指合法许可的用户能够及时获取网络信息或服务的特性。

可控性

抗抵赖性是指防止网络信息系统相关用户否认其活动行为的特性。抗抵赖性也称为非否认值(Non-Repudiation），不可否认的目的是防止参与方对其行为的否认。该安全特性常用于电子合同、数字签名、电子取证等应用中。

隐私性是指有关个人的敏感信息不对外公开的安全属性，如个人的身份证号码、住址、电话号码、工资收入、疾病状况、社交关系等。

1.4 网络信息安全目标与功能

网络安全的具体目标是保障网络信息及相关信息系统免受网络安全威胁，相关保护对象满足网络安全基本属性要求，用户网络行为符合国家法律法规要求，网络信息系统能够支撑业务安全持续运营，数据安全得到有效保护。

要实现网络信息安全基本目标，网络应具备防御、监测、应急和恢复等基本功能。

1.5 网络信息安全基本技术需求

网络信息安全基本技术需求主要有网络物理环境安全、网络信息安全认证、访问控制、安全保密、漏洞扫描、恶意代码防护、网络信息内容安全、安全监测与预警、应急响应等。

1.6 网络信息安全管理内容与方法

网络信息安全管理是指对网络资产采取合适的安全措施，以确保网络资产的可用性、完整性、可控制性和抗抵赖性等，不致因网络设备、网络通信协议、网络服务、网络管理受到人为和自然因素的危害，而导致网络中断、信息泄露或破坏。

网络信息安全管理对象主要包括网络设备、网络通信协议、网络操作系统、网络服务、安全网络管理等在内的所有支持网络系统运行的软、硬件总和。

网络信息安全管理相关的技术主要有风险分析、密码算法、身份认证、访问控制、安全审计、漏洞扫描、防火墙、入侵检测和应急响应等。

网络安全管理方法主要有风险管理、等级保护、纵深防御、层次化保护、应急响应以及 PDCA（Plan-Do-Check-Act）方法等。

国际上网络安全管理的参考依据主要是 ISO/EC27001、欧盟通用数据保护条例（General Data Protection Regulation，GDPR）、信息技术安全性评估通用准则（CommonCriteria，CC）。

国内网络安全管理的参考依据主要是《中华人民共和国网络安全法》《中华人民共和国密码法》以及 GB17859计算机信息系统安全保护等级划分准则、GB/T22080信息安全管理体系要求、网络安全等级保护相关条例与标准规范。

网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。

网络安全管理实际上是对网络系统中网管对象的风险进行控制。其方法如下:

避免风险。转移风险。减少威胁。消除脆弱点。减少威胁的影响。风险监测。

网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。

由于网络管理对象自身的脆弱性，使得威胁的发生成为可能，从而造成了不同的影响， 形成了风险。网络安全管理实际上就是风险控制，其基本过程是通过对网络管理对象的威胁和 脆弱性进行分析，确定网络管理对象的价值、网络管理对象威胁发生的可能性、网络管理对象 的脆弱程度，从而确定网络管理对象的风险等级，然后据此选取合适的安全保护措施，降低网 络管理对象的风险。

（1）威胁

网络系统包含各类不同资产，由于其所具有的价值，将会受到不同类型的威胁。

根据威胁主体的自然属性，可分为自然威胁和入为威胁。自然威胁有地震、雷击、洪水、火灾、静电、鼠害和电力故障等。从威胁对象来分类，可分为物理安全威胁、网络通信威胁、网络服务威胁、网络管理威胁。

（2）脆弱性

脆弱性指计算系统中与安全策略相冲突的状态或错误，它将导致攻击者非授权访问、假冒用户执行操作及拒绝服务。

（3）安全风险

网络信息安全风险是指特定的威胁利用网络管理对象所存在的脆弱性，导致网络管理对象的价值受到损害或丢失的可能性。简单地说，网络风险就是网络威胁发生的概率和所造成影响的乘积。网络安全管理实际上是对网络系统中网管对象的风险进行控制，其方法如下：

• 避免风险。例如，通过物理隔离设备将内部网和外部网分开，避免受到外部网的攻击。

• 转移风险。例如，购买商业保险计划或安全外包。

• 减少威胁。例如，安装防病毒软件包，防止病毒攻击。

• 消除脆弱点。例如，给操作系统打补丁或强化工作人员的安全意识。

• 减少威胁的影响。例如，采取多条通信线路进行备份或制定应急预案。

• 风险监测。例如，定期对网络系统中的安全状况进行风险分析，监测潜在的威胁行为。

（4）保护措施

保护措施是指为对付网络安全威胁，减少脆弱性，限制意外事件的影响，检测意外事件并促进灾难恢复而实施的各种实践、规程和机制的总称。其目的是对网络管理对象进行风险控制。保护措施可由多个安全机制组成，如访问控制机制、抗病毒软件、加密机制、安全审计机制、应急响应机制（如备用电源以及系统热备份）等。在网络系统中，保护措施一般实现一种或多种安全功能，包括预防、延缓、阻止、检测、限制、修正、恢复、监控以及意识性提示或强化。

常见的网络安全管理工具有网络安全管理平台（简称SOC）、IT资产管理系统、网络安全态势感知系统、网络安全漏洞扫描器、网络安全协议分析器、上网行为管理等各种类型。

常见的网络信息安全管理评估有网络安全等级保护测评,信息安全管理体系认证(简称 ISMS),系统安全工程能力成熟度模型（简称 SSE-CMM）等。

1.7 网络信息安全法律与政策文件

《中华人民共和国网络安全法》由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。中华人民共和国主席令（第五十三号）公布。

《中华人民共和国密码法》由全国人民代表大会常务委员会于2019年10月26日发布，自2020年1月1日起施行。中华人民共和国主席令（第三十五号）公布。

网络安全法第二十一条规定，国家实行网络安全等级保护制度。

按照规定要求，网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

其中，所规定的网络安全保护义务如下：

制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

来取数据分类、重要数据备份和加密等措施；

法律、行政法规规定的其他义务。

网络安全等级保护的主要工作可以概括为定级、备案、建设整改、等级测评、运营维护。

定级工作是确认定级对象，确定合适级别，通过专家评审和主管部门审核；

备案工作是按等级保护管理规定准备备案材料，到当地公安机关备案和审核；

建设整改工作是指依据相应等级要求对当前保护对象的实际情况进行差距分析，针对不符合项结合行业要求对保护对象进行整改，建设符合等级要求的安全技术和管理体系；

等级测评工作是指等级保护测评机构依据相应等级要求，对定级的保护对象进行测评，并出具相应的等级保护测评证书；运营维护工作是指等级保护运营主体按照相应等级要求，对保护对象的安全相关事宜进行监督管理。

网络安全等级保护主要技术标准规范如下：

《信息安全技术网络安全等级保护基本要求》；

《信息安全技术网络安全等级保护安全设计技术要求》;

《信息安全技术网络安全等级保护实施指南》；

《信息安全技术网络安全等级保护测评过程指南》；

《信息安全技术网络安全等级保护测试评估技术指南》；

《信息安全技术网络安全等级保护测评要求》。

中国网络安全审查技术与认证中心（CCRC，原中国信息安全认证中心）是负责实施网络安全审查和认证的专门机构。

中国网络安全审查技术与认证中心已经发布了《网络关键设备和网络安全专用产品目录》，主要包括网络关键设备和网络安全专用产品。

网络关键设备有路由器、交换机、服务器（机架式）、可编程逻辑控制器（PLC 设备）等；

网络安全专用产品有数据备份一体机、防火墙（硬件）、WEB 应用防火墙（WAF）、入侵检测系统（IDS）、入侵防御系统（IPS）、安全隔离与信息交换产品（网闸）、反垃圾邮件产品、网络综合审计系统、网络脆弱性扫描产品、安全数据库系统、网站恢复产品（硬件）。

全国信息安全标准化技术委员会是从事信息安全标准化工作的技术工作组织。

委员会负责组织开展国内信息安全有关的标准化技术工作，技术委员会主要工作范围包括安全技术，安全机制、安全服务、安全管理、安全评估等领域的标准化技术工作。

全国信息安全标准化技术委员会的网址是  www.tc260.org.cn。 

国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文缩写为CNCERT 或 CNCERT/CC)是中国计算机网络应急处理体系中的牵头单位,是国家级应急中心。

CNCERT 的主要职责是：按照“积极预防、及时发现、快速响应、力保恢复”的方针，开展互联网网络安全事件的预防、发现、预警和协调处置等工作，维护公共互联网安全，保障关键信息基础设施的安全运行。

1.8 网络信息安全科技信息获取

网络信息安全会议

国外知名网络安全会议主要有RSA Conference DEF CON BlackHat .

国内知名网络安全会议主要有中国网络安全年会、互联网安全大会ISC、信息安全漏洞分析与风险评估大会。

网络信息安全期刊

网络信息安全网站

计算机安全应急响应CERT、开放Web应用程序安全项目OWASP、网络安全会议Black Hat 。

网络信息安全术语

网络信息安全术语是获取网络安全知识和技术的重要途径，常见的网络安全术语可以分成基础技术类、风险评估技术类、防护技术类、检测技术类、响应／恢复技术类、测评技术类等。下面主要介绍常见的网络安全技术方面的术语及其对应的英文。

（1）基础技术类

基础技术类术语常见的是密码。国家密码管理局发布 GM/ZOOOl 2013 《密码术语》。常见的密码术语如加密 (encryption) 、解密 (decryption) 、非对称加密算法 (asymmetric cryptographic algorithm) 、公钥加密算法 (public key cryptographic algorithm) 、公钥 (public key) 等。

（2）风险评估技术类

风险评估技术类术语包括拒绝服务 (Denial of Service) 、分布式拒绝服务 (Distributed Denial of Service) 、网页篡改 (Website Distortion) 、网页仿冒 (Phishing) 、网页挂马（ Website Malicious Code) 、域名劫持 (DNS Hijack) 、路由劫持 (Routing Hijack) 、垃圾邮件 (Spam) 、恶意代码(Malicious Code) 、特洛伊木马 (Trojan Horse) 、网络蠕虫 (Network Worm) 、僵尸网CBotNet) 等。

（3）防护技术类

防护技术类术语包括访问控制 (Access Control 入防火墙 (Firewall) 、入侵防御系统 (Intrusion Prevention System) 等。

（4）检测技术类

检测技术类术语包括入侵检测 (Intrusion Detection) 、漏洞扫描 (Vulnerability Scanning) 等。

（5）响应／恢复技术类

响应／恢复技术类术语包括应急响应(Emergency Response ）、灾难恢复(Disaster Recovery)、备份 (Backup) 等。

（6）测评技术类

测评技术类术语包括黑盒测试 (Black Box Testing) 、白盒测试 (White Box Testing) 、灰盒测试 (Gray Box Testing) 、渗透测试 (Penetration Testing) 、模糊测试 (Fuzz Testing)。