网络信息安全概述
网络信息安全概述
目录
1.网络信息安全相关概念
2.网络信息安全问题
一、网络信息安全相关概念
狭义上:网络信息安全特指网络信息系统组成的各要素符合安全属性的要求,即机密性、完整性、可用性、抗抵赖性、可控性。
广义上:网络安全是涉及国家安全、城市安全、经济安全、社会安全、生产安全、人身安全等在内的“大安全”。
法律规定含义:网络安全(网络信息安全)是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠的运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
二、网络信息安全问题
1.网络强依赖性以及网络安全关联风险凸显
随着网络信息技术的发展,社会各方面对网络信息系统的依赖性增强,且各种基础关键设施相互关联,因而对网络安全的影响范围日益扩大;产生级联反应、蝴蝶效应,建立可信的网络信息环境成为迫切的需求。
2.网络信息产品供应链与安全质量风险
国内网信核心技术欠缺,许多关键产品和服务对国外的依赖度依然较高,从硬件到软件都不同程度受制于人,网络安全基础仍然不牢靠。同时,网络信息产品技术的安全质量问题具有普遍性,网络安全漏洞时有出现,即使知名IT厂商的产品也或多或少存在安全漏洞,网络安全漏洞的发现与管理任务仍然艰巨。
3.网络信息产品 技术同质性与技术滥用风险
网络信息系统软硬件产品技术具有高度
同质性
,缺少技术多样性,极易构成大规模网络安全事件触发条件,尤其是网络蠕虫安全事件。by the way, 网络信息技术滥用容易导致网络安全事件发生。如大规模隐私数据泄露,内部人员滥用网络信息安全技术特权构成网络安全威胁。网络安全威胁技术的工具化,让攻击操作易于实现,使网络攻击活动日益频繁和广泛流行。
4.网络安全建设与管理发展不平衡,不充分风险
网络安全建设缺乏总体设计,常采取“亡羊补牢”的方式构建网络安全机制。从而导致网络信息安全隐患。重技术,轻管理;重建设,轻运营;重硬件,轻软件的网络安全认知认识偏差,使得网络安全机制难以有效运行,导致网络安全建设不全面。
例如,网络设备的口令直接采用厂家默认配置,认证访问机制形同虚设。
5.网络数据安全风险
网络中大量数据不断生成、传输、存储、加工、分发、共享,支撑许多关系国营民生的关键信息系统运营。由于数据处理复杂,涉及多个要素,数据安全风险控制是一个难题。
6.高级持续性威胁风险
APT攻击威胁活动日益频繁,包括对目标对象采取鱼叉邮件攻击、水坑攻击、网络流量劫持、中间人攻击等,综合利用多种技术以实现攻击意图,规避网络安全监测。
APT攻击目标总体呈现出与地缘政治紧密相关的特性。
7.恶意代码风险
网络时刻面临计算机病毒、网络蠕虫、特洛伊木马、僵尸病毒、逻辑炸弹、Rootkit、勒索软件等恶意代码的威胁。
8.软件代码和安全漏洞风险
由于软件工程和管理等问题,新的软件代码安全漏洞仍然不断地输入网络信息环境中,这些安全漏洞都有可能成为攻击切入点,攻击者利用安全漏洞入侵系统,窃取信息和破坏系统。
9.人员的网络安全意普及识风险
网络信息系统是人、机、物融合而成的复杂环境,而实际工作过程中容易忽略人的关键安全作用。研究表明,网络用户人员选择弱口令的比例仍然较大;利用网络用户U盘是实施物理隔离摆渡攻击的重要环节。
10.网络信息技术复杂性和运营安全风险
随着云计算、大数据、人工智能、移动互联网、物联网等新一代信息技术的普及应用,网络信息系统的开放性、智能性等不断提升,网络安全运营的复杂度更高,其安全风险加大。
11.网络地下黑产经济风险
12.网络间谍与网络战风险
三、网络安全基本属性
常见的网络信息安全基本属性主要有机密性、完整性、可用性、抗抵赖性和可控性等,此外还有真实性、时效性、合规性、隐私性等。
1.机密性(Confidentiality)
是指网络信息不泄露给非授权的用户、实体或程序,能够防止非授权者获取信息。
2.完整性(Integrity)
是指网络信息或系统未经授权不能进行更改的特性。即数据(信息)在存储或传输过程中保持不被删除、修改、伪造、插入等操作。
3.可用性(Availability)
是指合法许可的用户能够及时获取网络信息或服务的特性。例如,网站能够给用户提供正常的网页访问服务,防止拒绝服务攻击。
4.抗抵赖性
是指防止网络信息系统相关用户否认其活动行为的特性。例如,通过网络审计和数字签名,可以记录和追溯访问者在网络系统中的活动。抗抵赖性也named 非否认性(Non-Repudiation),不可否认的目的是防止参与方对其行为的否认。
5.可控性
是指网络系统责任人主体对其具有管理、支配能力的属性,能够根据授权规则对系统进行有效掌握和控制,使得管理者有效控制系统的行为和信息的使用,符合系统运行目标。
四、其他
1.真实性
是指网络信息空间与实际物理空间、社会空间的客观事实保持一致性。
例如:网络谣言信息不符合真实情况,违背了客观事实。
2.时效性
是指网络空间信息、服务及系统能够满足时间约束要求。
例如,汽车安全驾驶的智能控制系统要求信息具有实时性,信息在规定时间范围内才有效。
3.合规性
是指网络信息、服务以及系统符合法律法规政策、标准规范等要求。
4.公平性
是指网络信息系统相关主体处于同等地位处理相关任务,任何一方不占据优势的特性要求。例如,电子合同签订双方符合公平性要求,在同一时间签订合同。
5.可靠性
是指网络信息系统在规定条件及时间下,能够有效完成预定的系统功能的特性。
6.可生存性
是指网络信息系统在安全受损的情形下,提供最小化、必要的服务功能,能够支撑业务继续运行的安全特性
7.隐私性
是指有关个人的敏感信息不对外公开的安全属性,如个人的身份证号、住址、电话号码、工资收入、疾病状况、社交关系等。
网络信息安全目标与功能
- 网络安全目标:
1.1 宏观目标:
网络信息系统满足国家安全需求特性,符合国家法律法规政策要求,如网络主权、网络合规等。
1.2 微观目标:
网络信息系统的具体安全要求。围绕网络安全目标,通过设置合适的网络安全机制,以实现网络安全功能。
2.网络信息安全基本目标
2.1 宏观目标:
以总体国家安全观为指导,贯彻落实创新、协调、绿色、开放、共享的发展理念,增强风险意识和危机意识。统筹国内国际两个大局,积极防御、有效应对,推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标。
2.2 具体目标(落到实处):
保障网络信息以及相关信息系统免受网络安全威胁,相关保护对象满足网络安全基本属性要求,网络用户行为符合国家法律法规要求,网络信息系统能够支撑业务安全持续运营,数据安全得到有效保护。
3.网络信息安全基本功能
3.1 网络信息安全防御
是指采取各种手段和措施,使得网络系统具备阻止、防御各种已知或未知的网络安全威胁的功能。
3.2 网络信息安全监测
是指采取各种手段措施,检测、发现各种已知或未知的网络安全威胁的功能。
3.3 网络信息安全应急
是指采取各种手段和措施,针对网络系统中的突发事件,具备及时响应和处置网络攻击的功能。
3.4 网络信息安全恢复
是指采取各种手段和措施,针对已经发生的网络灾害事件、具备恢复网络系统运行的功能。
4.网络信息安全基本技能需求
4.1 物理环境安全
是指包括环境、设备和记录介质在内的所有支持网络系统运行的硬件的总体安全,是网络系统安全、可靠、不间断运行的基本保证。
4.2 网络信息安全认证
网络信息安全认证是实现网络资源访问控制的前提和依据,是有效保护网络管理对象的重要技术方法。作用:标识鉴别网络资源访问者的身份的真实性,防止用户假冒身份访问网络资源。
4.3 网络信息访问控制
是有效保护网络管理对象,使其免受威胁的关键技术方法。两个目标:
1.限制非法用户获取或使用网络资源
2.防止合法用户滥用权限,越权访问网络资源。
例如,采用防火墙可以阻止来自外部网不必要的访问请求,从而避免内部网络受到潜在的攻击威胁。
4.4 网络信息安全保密
目的就是防止非授权的用户访问网络信息或网络设备。为此,重要的网络物理实体可以采用辐射干扰技术,防止电磁辐射泄露机密信息。对网络重要的核心信息和敏感数据采用加密技术保护,防止非授权查看和泄露。重要网络信息系统采用安全分区、数据防泄漏技术(DLP技术)、物理隔离技术等,确保与非可信的网络进行安全隔离,防止敏感信息泄露及外部攻击。
4.5 网络信息安全漏洞扫描
网络系统、操作系统等存在安全漏洞,是黑客等入侵者的攻击屡屡得手的重要原因。入侵者通常都是通过一些程序来探测网络系统中存在的安全漏洞,然后通过所发现的安全漏洞,采取相应的技术进行攻击。因此,网络系统中需配备弱点或漏洞扫描系统,用以检测网络中是否存在安全漏洞。以便网络安全管理员根据漏洞检测报告,指定合适的漏洞管理方法。
续滕……