Ⅰ 網路信息安全的模型框架
通信雙方在網路上傳輸信息,需要先在發收之間建立一條邏輯通道。這就要先確定從發送端到接收端的路由,再選擇該路由上使用的通信協議,如TCP/IP。
為了在開放式的網路環境中安全地傳輸信息,需要對信息提供安全機制和安全服務。信息的安全傳輸包括兩個基本部分:一是對發送的信息進行安全轉換,如信息加密以便達到信息的保密性,附加一些特徵碼以便進行發送者身份驗證等;二是發送雙方共享的某些秘密信息,如加密密鑰,除了對可信任的第三方外,對其他用戶是保密的。
為了使信息安全傳輸,通常需要一個可信任的第三方,其作用是負責向通信雙方分發秘密信息,以及在雙方發生爭議時進行仲裁。
一個安全的網路通信必須考慮以下內容:
·實現與安全相關的信息轉換的規則或演算法
·用於信息轉換演算法的密碼信息(如密鑰)
·秘密信息的分發和共享
·使用信息轉換演算法和秘密信息獲取安全服務所需的協議 網路信息安全可看成是多個安全單元的集合。其中,每個單元都是一個整體,包含了多個特性。一般,人們從三個主要特性——安全特性、安全層次和系統單元去理解網路信息安全。
1)安全特性
安全特性指的是該安全單元可解決什麼安全威脅。信息安全特性包括保密性、完整性、可用性和認證安全性。
保密性安全主要是指保護信息在存儲和傳輸過程中不被未授權的實體識別。比如,網上傳輸的信用卡賬號和密碼不被識破。
完整性安全是指信息在存儲和傳輸過程中不被為授權的實體插入、刪除、篡改和重發等,信息的內容不被改變。比如,用戶發給別人的電子郵件,保證到接收端的內容沒有改變。
可用性安全是指不能由於系統受到攻擊而使用戶無法正常去訪問他本來有權正常訪問的資源。比如,保護郵件伺服器安全不因其遭到DOS攻擊而無法正常工作,是用戶能正常收發電子郵件。
認證安全性就是通過某些驗證措施和技術,防止無權訪問某些資源的實體通過某種特殊手段進入網路而進行訪問。
2)系統單元
系統單元是指該安全單元解決什麼系統環境的安全問題。對於現代網路,系統單元涉及以下五個不同環境。
·物理單元:物理單元是指硬體設備、網路設備等,包含該特性的安全單元解決物理環境安全問題。
·網路單元:網路單元是指網路傳輸,包含該特性的安全單元解決網路協議造成的網路傳輸安全問題。
·系統單元:系統單元是指操作系統,包含該特性的安全單元解決端系統或中間系統的操作系統包含的安全問題。一般是指數據和資源在存儲時的安全問題。
·應用單元:應用單元是指應用程序,包含該特性的安全單元解決應用程序所包含的安全問題。
·管理單元:管理單元是指網路安全管理環境,網路管理系統對網路資源進行安全管理。 網路信息安全往往是根據系統及計算機方面做安全部署,很容易遺忘人才是這個網路信息安全中的脆弱點,而社會工程學攻擊則是這種脆弱點的擊破方法。社會工程學是一種利用人性脆弱點、貪婪等等的心理表現進行攻擊,是防不勝防的。國內外都有在對此種攻擊進行探討,比較出名的如《黑客社會工程學攻擊2》等。
Ⅱ 網路及信息系統需要構建什麼樣的網路安全防護體系
網路安全保障體系的構建
網路安全保障體系如圖1所示。其保障功能主要體現在對整個網路系統的風險及隱患進行及時的評估、識別、控制和應急處理等,便於有效地預防、保護、響應和恢復,確保系統安全運行。
圖4 網路安全保障體系框架
網路安全管理的本質是對網路信息安全風險進行動態及有效管理和控制。網路安全風險管理是網路運營管理的核心,其中的風險分為信用風險、市場風險和操作風險,包括網路信息安全風險。實際上,在網路信息安全保障體系框架中,充分體現了風險管理的理念。網路安全保障體系架構包括五個部分:
1) 網路安全策略。屬於整個體系架構的頂層設計,起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念,從長遠發展規劃和戰略角度整體策劃網路安全建設。
2) 網路安全政策和標准。是對網路安全策略的逐層細化和落實,包括管理、運作和技術三個層面,各層面都有相應的安全政策和標准,通過落實標准政策規范管理、運作和技術,保證其統一性和規范性。當三者發生變化時,相應的安全政策和標准也需要調整並相互適應,反之,安全政策和標准也會影響管理、運作和技術。
3) 網路安全運作。基於日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。是網路安全保障體系的核心,貫穿網路安全始終;也是網路安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
4) 網路安全管理。對網路安全運作至關重要,從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現,而網路安全管理體系是從人員組織的角度保證正常運作,網路安全技術體系是從技術角度保證運作。
5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可極大提高網路安全運作的有效性,從而達到網路安全保障體系的目標,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
摘自-拓展:網路安全技術及應用(第3版)賈鐵軍主編,機械工業出版社,2017
Ⅲ 計算機網路的安全框架包括哪幾方面
計算機網路安全是總的框架,應該包括:物理線路與設備體系架構;信息體系架構;防護體系架構;數據備份體系架構;容災體系架構;法律、法規體系架構等方面。
計算機網路安全體系結構是由硬體網路、通信軟體以及操作系統構成的,對於一個系統而言,首先要以硬體電路等物理設備為載體,然後才能運 行載體上的功能程序。通過使用路由器、集線器、交換機、網線等網路設備,用戶可以搭建自己所需要的通信網路。
(3)iatf20網路安全框架擴展閱讀:
防護措施可以作為一種通信協議保護,廣泛采 用WPA2加密協議實現協議加密,用戶只有通過使用密匙才能對路由器進行訪問,通常可以將驅動程序看作為操作系統的一部分,經過注冊表注冊後,相應的網路通信驅動介面才能被通信應用程序所調用。
網路安全通常是指網路系統中的硬體、軟體要受到保護,不能被更改、泄露和破壞,能夠使整個網路得到可持續的穩定運行,信息能夠完整的傳送,並得到很好的保密。因此計算機網路安全設計到網路硬體、通信協議、加密技術等領域。
Ⅳ 工信部:車聯網網路安全和數據安全標准體系建設指南發布
易車訊 近日,工業和信息化部印發《車聯網網路安全和數據安全標准體系建設指南》,目標到2023年底,初步構建起車聯網網路安全和數據安全標准體系。重點研究基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等標准,完成50項以上急需標準的研製。到2025年,形成較為完善的車聯網網路安全和數據安全標准體系。完成100項以上標準的研製,提升標准對細分領域的覆蓋程度,加強標准服務能力,提高標准應用水平,支撐車聯網產業安全健康發展。
標准體系框架包括總體與基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等6個部分。在重點領域及方向,提出以下內容:
1、總體與基礎共性標准
總體與基礎共性標準是車聯網網路安全和數據安全的總體性、通用性和指導性標准,包括術語和定義、總體架構、密碼應用等3類標准。
術語和定義標准主要規范車聯網網路安全和數據安全主要概念,為相關標准中的術語和定義提供依據支撐。
總體架構標准主要規范車聯網網路安全總體架構要求,明確和界定防護對象、防護方法、防護機制,指導企業體系化開展網路安全防護工作。
密碼應用標准主要規范車聯網密碼應用通用要求,明確數字證書格式、數字證書應用、設備密碼應用等要求。
2、終端與設施網路安全標准終端與設施網路安全標准
主要規范車聯網終端和基礎設施等相關網路安全要求,包括車載設備網路安全、車端網路安全、路側通信設備網路安全、網路設施與系統安全等4類標准。
車載設備網路安全標准主要規范智能網聯汽車關鍵智能設備和組件的安全防護與檢測要求,包括汽車網關、電子控制單元、車用安全晶元、車載計算平台等安全標准。
車端網路安全標准主要規范整車電子電氣架構、匯流排架構、系統架構等安全防護與檢測要求。
路側通信設備網路安全標准主要規范聯網路側設備的安全防護與檢測要求。網路設施與系統安全標准主要規范車聯網網路設施與系統的安全防護與檢測要求。
3、網聯通信安全標准
網聯通信安全標准主要規范車聯網通信網路安全、身份認證等相關安全要求,包括通信安全、身份認證等2類標准。信安全標准主要規范蜂窩車聯網(C-V2X),以及應用於車聯網的蜂窩移動通信(4G/5G)、衛星通信、無線射頻識別、車內無線區域網、藍牙低能耗(BLE)紫蜂(Zigbee)、超寬頻(UWB)等安全防護與檢測要求。身份認證標准主要規范車聯網數字身份認證相關的證書應用介面、證書管理系統、安全認證技術及測試方法、關鍵部件輕量級認證等技術要求。
4、數據安全標准
數據安全標准主要規范智能網聯汽車、車聯網平台、車載應用服務等數據安全和個人信息保護要求,句括通用要求、分類分級、出境安全、個人信息保護、應用數據安全等5類標准。通用要求標准主要規范車聯網可採集和處理的數據類型、范圍、質量、顆粒度等,包括數據最小化採集、數據安全存儲、數據加密傳輸、數據安全共享等標准。分類分級標准主要規范車聯網數據分類分級保護要求,制定數據分類分級的維度、方法、示例等標准,明確重要數據類型和安全保護要求。數據出境安全標准主要規范車聯網行業依法依規落實數據出境安全要求,句括數據出境安全評估要點、評估方法等標准。個人信息保護標准主要規范車聯網用戶個人信息保護機制及相關技術要求,明確用戶敏感數據和個人信息保護的場景、規則、技術方法,包括匿名化、去標識化、數據脫敏、異常行為識別等標准。應用數據安全標准主要規范車聯網相關應用所開展的數據採集和處理使用等活動,包括車聯網平台、網約車、車載應用程序等數據安全標准。
5、應用服務安全標准
應用服務安全標准主要規范車聯網服務平台和應用程序的安全要求,以及典型業務應用服務場景下的安全要求,包括平台安全、應用程序安全和服務安全等3類標准。平台安全標准主要規范車聯網信息服務平台、遠程升級(OTA)服務平台、邊緣計算平台、電動汽車遠程信息服務與管理等安全防護與檢測要求。應用程序安全標准主要規范車聯網應用程序等安全防護與檢測要求。服務安全標准主要規范車聯網典型業務服務場景下的安全要求,包括汽車遠程診斷、高級輔助駕駛、車路協同等服務安全要求。
6、安全保障與支撐標准
安全保障與支撐標准主要規范車聯網網路安全管理與支撐相關的安全要求,包括風險評估、安全監測與應急管理和安全能力評估等3類標准。風險評估標准主要規范車聯網網路安全風險分類與安全等級劃分要求,明確安全風險評估流程和方法,提出車聯網服務平台、整車網路安全風險評估規范等相關要求。安全監測與應急管理標准主要規范車聯網網路安全監測、數據安全監測、應急管理、網路安全漏洞分類分級、安全事件追蹤溯源等相關要求,以及安全管理介面、車聯網卡實名登記、車聯網業務遞交網關(HI)介面等相關規范。安全能力評估標准主要規范車聯網服務平台運營企業、智能網聯汽車生產企業、基礎電信企業等安全防護措施部署安全服務實施,提出網路安全成熟度模型、數據安全成熟度模型、安全能力成熟度評價准則、評估實施方法、機構能力認定、道路車輛信息安全工程等相關要求。
Ⅳ 網路安全等級保護2.0標准體系
等級保護2.0標准主要特點
首先,我們來看看網路安全等級保護2.0的主要標准,如下圖:
說起網路安全等級保護2.0標準的特點,馬力副研究員表示,主要體現在以下三個方面:
一是,對象范圍擴大。新標准將雲計算、移動互聯、物聯網、工業控制系統等列入標准范圍,構成了「安全通用要求+新型應用安全擴展要求」的要求內容。
二是,分類結構統一。新標准「基本要求、設計要求和測評要求」分類框架統一,形成了「安全通信網路」、「安全區域邊界」、「安全計算環境」和「安全管理中心」支持下的三重防護體系架構。
三是,強化可信計算。新標准強化了可信計算技術使用的要求,把可信驗證列入各個級別並逐級提出各個環節的主要可信驗證要求。
「標准從一級到四級全部提出了可信驗證控制項。但在標準的試用期間,對於可信驗證的落地還存在諸多挑戰。所以,我們希望與這次參會的所有硬體廠商、軟體廠商、安全服務商共同努力,把可信驗證、可信計算這方面的產品產業化,來更好地支撐新標准。」 馬力副研究員說到。
等級保護2.0標準的十大變化
隨後,他為大家解讀了等級保護2.0標準的十大變化,具體如下:
1、名稱的變化
從原來的《信息系統安全等級保護基本要求》改為《信息安全等級保護基本要求》,再改為《網安全等級保護基本要求》。
2、對象的變化
原來的對象是信息系統,現在等級保護的對象是網路和信息系統。安全等級保護的對象包括網路基礎設施(廣電網、電信網、專用通信網路等)、雲計算平台/系統、大數據平台/系統、物聯網、工業控制系統、採用移動互聯技術的系統等。
3、安全要求的變化
由「安全要求」改為「安全通用要求和安全擴展要求」。
安全通用要求是不管等級保護對象形態如何必須滿足的要求,針對雲計算、移動互聯、物聯網和工業控制系統提出了特殊要求,成為安全擴展要求。
4、章節結構的變化
第三級安全要求的目錄與之前版本明顯不同,以前包含技術要求、管理要求。現在的目錄包含:安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求。
對此,馬力副研究員指出:「別小看只是目錄架構的變化,這導致整個新標準的使用不同。1.0標准規定技術要求和管理要求全部實現。現在需要根據場景選擇性的使用通用要求+某一個擴展要求。」
5、分類結構的變化
在技術部分,由物理安全、網路安全、主機安全、應用安全、數據安全,變更為安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心;在管理部分,結構上沒有太大的變化,從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理,調整為安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。
6、增加了雲計算安全擴展要求
雲計算安全擴展要求章節針對雲計算的特點提出特殊保護要求。對雲計算環境主要增加的內容包括:基礎設施的位置、虛擬化安全保護、鏡像和快照保護、雲服務商選擇和雲計算環境管理等方面。
7、增加了移動互聯網安全擴展要求
移動互聯安全擴展要求章節針對移動互聯的特點提出特殊保護要求。對移動互聯環境主要增加的內容包括:無線接入點的物理位置、移動終端管控、移動應用管控、移動應用軟體采購和移動應用軟體開發等方面。
8、增加了物聯網安全擴展要求
物聯網安全擴展要求章節針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的內容包括:感知節點的物理防護、感知節點設備安全、感知網關節點設備安全、感知節點的管理和數據融合處理等方面。
9、增加了工業控制系統安全擴展要求
工業控制系統安全擴展要求章節針對工業控制系統的特點提出特殊保護需求。對工業控制系統主要增加的內容包括:室外控制設備防護、工業控制系統網路架構安全、撥號使用控制、無線使用控制和控制設備安全等方面。
10、增加了應用場景的說明
增加附錄C描述等級保護安全框架和關鍵技術,增加附錄D描述雲計算應用場景,附錄E描述移動互聯應用場景,附錄F描述物聯網應用場景,附錄G描述工業控制系統應用場景,附錄H描述大數據應用場景(安全擴展要求)。
等級保護2.0標準的主要框架和內容
為了讓大家更為直觀的了解等級保護2.0標準的主要框架和內容,我重點通過PPT來闡述。
首先來看看新標准結構:
2008版基本要求文檔結構如下:
新基本要求文檔結構如下:
安全通用要求中的安全物理部分變化不大,見下面:
網路試用版到***版被拆分了三個部分:安全通信網路、安全區域邊界、安全管理中心。安全管理中心在強調集中管控的時候,再次強調了系統管理,審計管理,安全管理,構成新的標准內容。具體如下:
演講***,馬力副研究員對幾個擴展要求進行了總結展示。他強調,GB/T22239-2019《信息安全技術 網路安全等級保護基本要求》將替代原來的GB/T2239-2008《信息安全技術 信息系統安全等級保護基本要求》,並呼籲大家認真學習新版等保要求。
Ⅵ 想要確保網路的安全性,關鍵在於網路是否得到有效的控制,請問採取什麼防護措施才能確保網路信息安全呢
【熱心解答】
網路安全是個系統工程,不可能只是採取單一措施即可解決,需要網路安全保障體系共同綜合措施。通常,企事業機構需要先對網路系統進行風險評估,確定各類潛在風險和等級,並針對各類風險確定相應的策略和方案。經過有效的安全控制降低風險發生的可能性,殘留風險將通過監控和分析,並在意外發生時作出應急響應和災難恢復,最終實現業務的持續運行。
實際上,原有的一些傳統網路安全技術,通常可以使企事業機構在檢測攻擊、發現漏洞、防禦病毒、訪問控制等方面取得較為滿意的效果,然而,卻無法從根本上徹底解決網路信息系統整體防禦的問題。面對新的網路環境和新的威脅,促使各國為具體的安全技術建立一個以深度防禦為重點的整體網路安全平台——網路安全保障體系。
如我國某金融機構的網路網路安全保障體系總體框架,如圖所示。網路網路安全保障體系框架的外圍是風險管理、法律法規、標準的符合性。
註:摘自清華大學出版社《網路安全實用技術》賈鐵軍教授主編。
Ⅶ 簡要概述網路安全保障體系的總體框架
網路安全保障體系的總體框架
1.網路安全整體保障體系
計算機網路安全的整體保障作用,主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。
圖4 網路安全保障體系框架結構
【拓展閱讀】:風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上,制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法,以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心,風險分為信用風險、市場風險和操作風險,其中包括信息安全風險。
實際上,在網路信息安全保障體系框架中,充分體現了風險管理的理念。網路安全保障體系架構包括五個部分:
(1)網路安全策略。以風險管理為核心理念,從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層,起到總體的戰略性和方向性指導的作用。
(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實,包括管理、運作和技術三個不同層面,在每一層面都有相應的安全政策和標准,通過落實標准政策規范管理、運作和技術,以保證其統一性和規范性。當三者發生變化時,相應的安全政策和標准也需要調整相互適應,反之,安全政策和標准也會影響管理、運作和技術。
(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。是網路安全保障體系的核心,貫穿網路安全始終;也是網路安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
(4)網路安全管理。網路安全管理是體系框架的上層基礎,對網路安全運作至關重要,從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現,而網路安全管理體系是從人員組織的角度保證正常運作,網路安全技術體系是從技術角度保證運作。
(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性,從而達到網路安全保障體系的目標,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9
Ⅷ 網路安全方案框架編寫時需要注意什麼
總體上說,一份安全解決方案的框架涉及6大方面:
1、概要安全風險分析;
2、實際安全風險分析;
3、網路系統的安全原則;
4、安全產品;
5、風險評估;
6、安全服務。
一份網路安全方案需要從以下8個方面來把握
1、體現唯一性,由於安全的復雜性和特殊性,唯一性是評估安全方案最重要的一個標准。實際中,每一個特定網路都是唯一的,需要根據實際情況來處理。
2、對安全技術和安全風險有一個綜合把握和理解,包括可能出現的所有情況。
3、對用戶的網路系統可能遇到的安全風險和安全威脅,結合現有的安全技術和安全風險,要有一個合適、中肯的評估,不能誇大,也不能縮小。
4、對症下葯,用相應的安全產品、安全技術和管理手段,降低用戶的網路系統當前可能遇到的風險和威脅,消除風險和威脅的根源,增強整個網路系統抵抗風險和威脅的能力,增強系統本身的免疫力。
5、方案中要體現出對用戶的服務支持。
6、在設計方案的時候,要明白網路系統安全是一個動態的、整體的、專業的工程,不能一步到位解決用戶所有的問題。
7、方案出來後,要不斷的和用戶進行溝通,能夠及時的得到他們對網路系統在安全方面的要求、期望和所遇到的問題。
8、方案中所涉及的產品和技術,都要經得起驗證、推敲和實施,要有理論根據,也要有實際基礎。