思維導(dǎo)圖：

網(wǎng)絡(luò)安全定義

網(wǎng)絡(luò)安全的概述和發(fā)展歷史

網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全包括廣義的網(wǎng)絡(luò)安全和狹義的網(wǎng)絡(luò)安全。

Cyber Security網(wǎng)絡(luò)空間安全

廣義的網(wǎng)絡(luò)安全是指Cyber Security，也就是網(wǎng)絡(luò)空間安全，網(wǎng)絡(luò)空間由獨(dú)立且互相依存的信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)組成，包括互聯(lián)網(wǎng)、電信網(wǎng)、計(jì)算機(jī)系統(tǒng)、嵌入式處理器和控制器系統(tǒng)等，是國家層面的。

Network Security網(wǎng)絡(luò)安全，是指通過采取必要的措施，防范對網(wǎng)絡(luò)及網(wǎng)絡(luò)中傳遞的信息的攻擊、入侵、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，保障網(wǎng)絡(luò)中信息及數(shù)據(jù)的保密性、完整性、可用性的能力。

網(wǎng)絡(luò)安全發(fā)展歷程

網(wǎng)絡(luò)安全發(fā)展歷程包含4個階段

• 通信安全時期，依賴密碼保護(hù)的物理安全

• 信息安全時期，完整性、可用性和保密性

• 信息保障時期，可控性和不可否認(rèn)性

• 網(wǎng)絡(luò)空間安全時期，包含設(shè)施、數(shù)據(jù)、用戶和操作，國家出臺等級保護(hù)引導(dǎo)形成信息安全管理體系

建設(shè)網(wǎng)絡(luò)安全的意義

• 重要性：對國家安全至關(guān)重要

• 合規(guī)性：企業(yè)信息安全管理體系建設(shè)需要符合網(wǎng)絡(luò)安全政策要求

• 效益性：可以減少網(wǎng)絡(luò)攻擊的損失

網(wǎng)絡(luò)安全常見威脅

網(wǎng)絡(luò)安全威脅

黑客

黑客（Hacker）是指對軟件設(shè)計(jì)、編程和計(jì)算機(jī)科學(xué)等方面有深入理解的人。

漏洞

漏洞也稱為脆弱性，是指計(jì)算機(jī)系統(tǒng)在硬件、軟件和協(xié)議的具體事項(xiàng)或系統(tǒng)安全策略上存在缺陷和不足。

勒索攻擊

通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數(shù)據(jù)資產(chǎn)或計(jì)算資源無法正常使用，并以此為條件向用戶勒索錢財。

信息泄露

是當(dāng)今網(wǎng)絡(luò)最常見的信息安全事件，通過在用戶設(shè)備植入木馬，安裝竊聽設(shè)備等方式，黑客可以對收集的信息進(jìn)行數(shù)據(jù)挖掘，從照片、電子郵件、視頻會議和社交資料各類信息中分析個人的聯(lián)系方式與行為。

DDoS攻擊

黑客個人或組織利用DDoS（Distributed Denial of Service）攻擊，使目標(biāo)服務(wù)器的網(wǎng)絡(luò)或系統(tǒng)資源耗盡，使其服務(wù)暫時中斷或停止，導(dǎo)致正常的用戶無法訪問。

供應(yīng)鏈攻擊

供應(yīng)鏈攻擊是針對供應(yīng)鏈發(fā)起的網(wǎng)絡(luò)攻擊，并通過供應(yīng)鏈將攻擊延伸至相關(guān)的合作伙伴和企業(yè)客戶。

網(wǎng)絡(luò)安全發(fā)展趨勢

Gartner八大安全和風(fēng)險趨勢

網(wǎng)絡(luò)安全態(tài)勢感知?

單點(diǎn)檢測很難應(yīng)付APT為代表的新威脅

網(wǎng)絡(luò)安全態(tài)勢感知

安全數(shù)據(jù)分析和結(jié)果展示

• 安全要素采集

• 安全數(shù)據(jù)處理

零信任安全

零信任是網(wǎng)絡(luò)安全范式，該范式將網(wǎng)絡(luò)防御從基于網(wǎng)絡(luò)的靜態(tài)邊界轉(zhuǎn)移到關(guān)注用戶，資產(chǎn)和資源。

零信任架構(gòu)ZTA是基于零信任原則的企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略，旨在防止數(shù)據(jù)泄露和限制內(nèi)部橫向移動。

零信任的核心思想是永不信任，始終驗(yàn)證。

從網(wǎng)絡(luò)中心化遷移道身份中心化

信息安全標(biāo)準(zhǔn)與規(guī)范

信息安全標(biāo)準(zhǔn)概述

信息安全標(biāo)準(zhǔn)的意義

信息安全標(biāo)準(zhǔn)是規(guī)范性文件之一，其定義是：為了在一定的范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，制定的一種規(guī)范性文件。?

信息安全標(biāo)準(zhǔn)化是國家網(wǎng)絡(luò)安全保障體系建設(shè)的重要組成部分。

企業(yè)建立自己的信息系統(tǒng)，想確保安全，依據(jù)國際標(biāo)準(zhǔn)來執(zhí)行和檢查是一個好辦法

信息安全標(biāo)準(zhǔn)組織

國際信息安全標(biāo)準(zhǔn)化組織：

• ISO國際標(biāo)準(zhǔn)化組織

• IEC國際電工委員會

國內(nèi)安全標(biāo)準(zhǔn)組織：

• 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）

• 中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA）下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會

其它一些制定標(biāo)準(zhǔn)的組織：

• ITU國際電信聯(lián)盟

• IETF Internet工程任務(wù)組

• NIST美國國家標(biāo)準(zhǔn)與技術(shù)研究院

常見信息安全標(biāo)準(zhǔn)與規(guī)范

• 網(wǎng)絡(luò)安全等級保護(hù)制度

• ISO 27001

• 美國標(biāo)準(zhǔn)TCSEC

• 歐盟標(biāo)準(zhǔn)ITSEC

ISO 27001信息安全管理體系介紹

信息安全管理體系

信息安全管理體系（Information Security Management System，簡稱ISMS）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。ISMS概念最初來源于英國標(biāo)準(zhǔn)學(xué)會制定的BS 7799標(biāo)準(zhǔn), 隨著其作為國際標(biāo)準(zhǔn)的發(fā)布和普及而被廣泛地接受。

ISMS的建設(shè)遵循PDCA的的流程步驟：

• Plan：策劃（體系建立ISMS）

• Do：實(shí)施（文件編制、實(shí)施和運(yùn)行ISMS）

• Check：檢查（體系運(yùn)行見識和評審ISMS）

• Act：改進(jìn)保持和改進(jìn)ISMS（審核、評審和持續(xù)改進(jìn)）

ISMS與ISO/IEC 27000

ISO/IEC 27001是信息安全管理體系（ISMS）的國際規(guī)范性標(biāo)準(zhǔn)。

ISO 27001認(rèn)證基于風(fēng)險評估的信息安全風(fēng)險管理，采用PDCA過程方法，全面、系統(tǒng)和持續(xù)地改進(jìn)組織的信息安全管理。

ISO/IEC 27002從14個方面提出35個控制目標(biāo)和113個控制措施，這些控制目標(biāo)和措施是信息安全管理的最佳實(shí)踐。

構(gòu)建信息安全管理體系的具體內(nèi)容

* ISO 27002中的14個控制域?yàn)椋?/span>

ISO 27000信息安全管理體系家族

除了ISO/IEC 27001和ISO/IEC 27002，ISO 27000系列標(biāo)準(zhǔn)還包括認(rèn)證與審核指南相關(guān)的標(biāo)準(zhǔn)以及行業(yè)的相關(guān)標(biāo)準(zhǔn)。

整個ISO27000系列都是致力于組織建立ISMS

只有ISO/IEC 27001是可以被認(rèn)證的，其余的標(biāo)準(zhǔn)都是為這個認(rèn)證所服務(wù)的具體條款和操作指導(dǎo)。

第一部分 要求及支持性指南

ISO 27000-27005

第二部分 認(rèn)證認(rèn)可及審核指南

ISO 27006-27008

只有ISO/IEC 27001是可以被認(rèn)證的，其余的標(biāo)準(zhǔn)都是為這個認(rèn)證所服務(wù)的具體條款和操作指導(dǎo)。

ISO 27001項(xiàng)目實(shí)施方法及步驟

• 項(xiàng)目啟動和差異分析 P

• 風(fēng)險評估 P

• 體系設(shè)計(jì)與發(fā)布 P D

• 體系運(yùn)行與監(jiān)控 D C

• 認(rèn)證及持續(xù)改進(jìn) A

網(wǎng)絡(luò)安全等級化保護(hù)體系

等級保護(hù)定義

等級保護(hù)：對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作。

等級保護(hù)的法律責(zé)任：中華人民共和國網(wǎng)絡(luò)安全法第二十一條、第三十一條、第五十九條

等級保護(hù)的意義

合法合規(guī)、安全體系化、安全意識提升和業(yè)務(wù)安全需求

等級保護(hù)對象

等級保護(hù)對象是指網(wǎng)絡(luò)安全等級保護(hù)工作中的對象，包含基礎(chǔ)信息平臺、云計(jì)算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的系統(tǒng)

等級保護(hù)系統(tǒng)定級

等級保護(hù)對象根據(jù)其在國家安全，經(jīng)濟(jì)建設(shè)和社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高被劃分為五個安全保護(hù)等級。

等級保護(hù)系統(tǒng)定級流程

• 初步確認(rèn)等級

• 定級為一級的，自行評定

• 定級為二級以上的需要組織專家評審，主管部門核準(zhǔn)和備案審核，最終定級

• 專家評審

• 主管部門審核

• 公安機(jī)關(guān)備案審查

• 最終確定等級

不同級別的安全保護(hù)能力

第一級：自主保護(hù)級。用途：一般適用于小型私營、個體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。

第二級：指導(dǎo)保護(hù)級。用途：一般適用于縣級某些單位中的重要信息系統(tǒng)；地市級以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。

第三級：監(jiān)督保護(hù)級。用途：一般適用于地市級以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)。

第四級：強(qiáng)制保護(hù)級。用途:一般適用于國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。

第五級：?？乇Ｗo(hù)級。 用途：一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。

等級保護(hù)安全要求

等保2.0安全要求分為安全通用要求和安全擴(kuò)展要求，以實(shí)現(xiàn)對不同級別和不同形態(tài)等級保護(hù)對象的共性化和個性化保護(hù)。

安全通用要求和擴(kuò)展要求都分為技術(shù)要求和管理要求兩方面，不同安全等級對應(yīng)的要求具體內(nèi)容不同，安全等級越高，要求內(nèi)容越嚴(yán)格。

等保2.0標(biāo)準(zhǔn)體系

等保2.0標(biāo)準(zhǔn)體系除了明確網(wǎng)絡(luò)安全等級保護(hù)基本要求的GB/T 22239-2019外，還有其他一系列標(biāo)準(zhǔn)用于指導(dǎo)等保2.0的定級、實(shí)施、測評等工作。

定級指南-GB/T 22240-2020

基本要求-GB/T 22239-2019

設(shè)計(jì)要求-GB/T 25070-2019

實(shí)施指南-GB/T 25058-2019

測評要求-GB/T 28448-2019

評測過程指南-GB/T 28449-2018

等級保護(hù)的工作流程

企業(yè)或組織有行業(yè)主管（監(jiān)管）部門的，除出具專家評審意見外，還需將定級結(jié)果報請行業(yè)主管（監(jiān)管）部門核準(zhǔn)，并出具核準(zhǔn)意見。