信息安全笔记-基础
为了准备信息安全工程师考试,我决定把学习过程的一些知识点记下来,以便日后温故知新。
信息安全研究包含:密码学,网络安全,信息系统安全,信息内容安全,信息对抗等。
理论分析
逆向分析
实验验证
技术实现
设备安全---稳定性,可靠性,可用性
数据安全---秘密性,完整性,可用性
内容安全---政治健康,合法合规,符合道德规范
行为安全---秘密性,完整性,可控性
密码管理---最有效,最关键的信息安全技术
网络管理---对网络进行有效而安全的监控,检查。ISO定义功能:性能管理,配置管理,故障管理,安全管理,计费管理。
设备管理---选型,安装,调试,安装维护,登记使用,存储管理等
人员管理---对相关人员进行安全意识,法律意识,管理技能等审查与安全教育培训
安全机制 安全服务 ISO参考模型
保护系统免受攻击,侦听,破坏及恢复系统的机制
数据处理和数据传输的安全性,利用一种或多种安全机制阻止安全攻击
开放系统互联参考模型,即七曾协议体系结构。
物理层-数据链路层-网络层-传输层-会话层-表示层-应用层
加密,数字签名,访问控制,数据完整性,鉴别交换,业务流填充,路由控制,公证
鉴别服务,访问控制,数据完整性,数据保密性,不可抵赖性
协议层次---TCP/IP协议
系统单元---安全单元能够解决哪些系统环境安全问题
安全服务---单元能够解决哪些安全威胁
1、确定资产
2、脆弱性和威胁分析
3、指定对应方案
4、决策
5、沟通交流
6、方案实施
定性风险评估---评估,汇总风险发生的概率和影响,并对风险进行排序
定量风险评估---定量分析已识别风险对项目的整体影响
定性与定量结合---常用层次分析法,核心是将决策这的经验判断进行量化,并提供定量的决策依据。层次分析的基本步骤是系统分解,构造判断矩阵,层次总排序。
1、规划风险管理---决定如何进行,规划和实施项目风险管理活动
2、识别风险---识别并记录影响项目的风险
3、定性风险风险---评估,汇总风险发生的概率和影响,并对风险排序
4、定量风险分析---定量分析已识别风险对项目的整体影响
5、风险控制---制定对应的消极,积极风险应对方案。包括:避免风 险,转移风险,减少威胁,减少脆弱性,减少威胁可能带来的损害,检测意外事件。
6、风险监控---整个项目过程中,跟踪已识别风险,识别新风险,实施风险应对,评估风险有效性。
避免风险
转移风险
减少威胁
减少脆弱性
减少威胁带来的损失
检测并响应和恢复意外事件
以计算机资产为犯罪对象的具有严整社会危害性的行为:
1、窃取,破坏计算机资产
2、未经批准使用计算机信息系统资源
3、超越权限的批准或接受计算机服务
4、篡改,窃取计算机中的信息
5、计算机信息系统转入欺骗性数据
6、窃取,诈骗系统中的电子钱财
【非法入侵计算机系统罪】 入侵国家事务,国防建设,尖端科学技术领域的计算机系统,三年以下有期徒刑或者拘役
【非法获取计算机信息系统数据,非法控制计算机信息系统罪】违反国家规定,入侵前款规定以外的计算机信息系统或采用其他技术手段,获取计算信息系统中存储,处理,或者传输的数据。三年以下有期徒刑或拘役,特别严重三年以上七年以下,并处罚款。
【提供入侵,非法控制计算机信息系统陈新股,工具罪】提供专门用于入侵,非法控制计算机信息系统的程序,工具,依据前款规定处罚。
【破坏计算机系统罪】违反国家规定,对计算机系统功能进行删除,修改,增加,干扰,造成系统不能正常运行,严重者五年一下有期徒刑或拘役,特别严重的五年以上有期徒刑。
【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律,行政法规定的信息网络安全管理义务,监管部门责令改之拒不改正,以下情形,三年以下有期徒刑,拘役或管理,并处罚金: 1、导致违法信息大量传播 2、导致用户信息泄露,造成严重后果 3、致使刑事案件证据毁灭,情节严重的 4、有其他严重情节的
【非法利用信息网络罪】利用信息网络,实施下列行为,情节严重的三年以下有期徒刑或拘役,并处罚金: 1、设立用于实施诈骗,传授犯罪方法,制作或销售违禁物品,管制物品,或其他违法犯罪信息 2、发布有关制作或者销售毒品,枪支,淫秽物品等违禁物品,管制物品,或其他违法犯罪信息的 3、为实施诈骗等违法或者发布的消息
【帮助信息网络犯罪活动罪】明知他人利用技术实施犯罪,为其犯罪提供互联网接入,服务器托管,网络存储,通讯传输等技术支持,或者提供广告推广,支付结算,等帮助,情节严重者,三年以下有期徒刑或拘役,并处罚金
威胁互联网运行安全
威胁国家安全和社会稳定
威胁社会主义市场经济秩序和社会管理秩序
威胁个人,法人,和其他组织的人身,财产等合法权利
-禁止为不实名用户提供服务
-出售用户信息最高可处10倍违法所得赔偿罚款
-重大事件可先知网络
-阻止违法信息传播
是本法四大亮点
运营者需履行下列保护义务,保障网络免受干扰,破坏者或未经授权的访问,防止网络数据泄露,或被窃取,篡改:
1、制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护法
2、采取防范计算机病毒和网络攻击,网络入侵,等危害网络安全的技术措施
3、采取监控,记录网络运行状态,网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月
4、采取数据分类,钟爱于哦数据备份和加密等措施
5、法律,性质法规规定的其他义务
网络产品,服务应当符合相关国家标准的强制性要求
网络关键设备和网络安全专用产品应当安装相关国家标准强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
网络运营者为用户办理网络接入,域名注册服务,班里固定电话,移动电话等入网手续,或者为用户提供信息发布,即时通讯等服务,在与用户签订协议或者确认提供服务时,应要求用户提供真是身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
网络运营者应当制定安全事件应急预案,及时处置系统漏洞,计算机病毒,网络攻击,网络入侵等安全风险。
开展网络安全认证,检测,风险评估等活动,向社会发布系统漏洞,计算机病毒,网络攻击,网络入侵等网络安全信息,应遵守国家相关规定。
关键信息基础设施---公共通信,信息服务,能源,交通,水利,金融,公共服务,电子政务等。
第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取如下措施:
1、对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存着安全风险进行检测评估
2、定期组织关键信息基础设施的运营者进行网络安全应急演习,提高应对网络安全事件的水平和协同配合能力
3、促进有关部门,关键信息基础设施的运营者以及有关研究机构,网络安全服务机构等之间的安全信息共享
4、对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助
第四十条 网络运营者应当对其收集的用户信息严格保密,并建立用户信息保护机制
第四十二条 网络运营者不得泄露,篡改,损毁其收集的个人数据;未经被收集者同意,不得向他人提供个人信息。经过处理,无法识别的个人且不能复原的除外。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息
第四十五条 依法负有网络安全监督管理指的部门及工作人员,必须对在履行职责中知悉的个人信息,隐私和商业秘密严格保密,不得泄露,非法出售给他人。
第四十七条 网络运营者应当加强对其用户发布的信息的管理,发现法律,行政法规禁止发布或者传输的信息,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
第四十八条 任何个人和组织发生的电子信息,提供的应用软件,不得设置恶意程序,不得含有关法律,行政法规禁止发布和传播的信息。
第四十九条 网络运营者应当尖利网络信息安全投诉,举报制度,公布投诉,举报方式等信息,及时处理有关投诉和举报。
第五十条 国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律,行政法规机智发布或传输的信息的,应当要求运营者停止传输,采取消除等措施,保存有关记录。
辅助关键信息基础设施安全保护工作的部门,应当建立健全本行业,本领域的亡灵安全监测预警和信息通报制度,并按照规定报送网络安全监测预警消息
因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院批准或决定,可以在特定区域对网络通信采取先知等临时措施。
网络---是指由计算机或者其他信息终端相关设备组成的按照一定规则和程序对信息进行收集,存储,传输,交换,处理的系统。
网络安全---是指通过采取必要措施,防范网络的攻击,入侵,干扰,,破坏和非法使用以及意外事故,使网络处于稳定可靠的运行状态,记忆博鳌镇网络数据的完整性,保密性,可用性的能力。
网络运营者---是指网络的所有者,管理者和网络服务提供者
网络数据---是指通过网络收集,存储,传输,和产生的各种电子数据
个人信息---以电子或者其他形式记录的能干单独或者与其他信息结合识别自然个人身份的各种信息,包括但不限于自然人的姓名,出生日期,身份证号码,个人生物识别信息,住址,电话号码等。
重要条款
第二条 本条例所成的计算机信息系统,是指由计算机及其相关的配套设备,设施构成,安装一定的应用目标和规则对信息进行采集,加工,存储,传输检索等处理的人机系统。
第三条 计算机系统的安全保护,应当保证计算机及其相关配套设备,设施的安全,运行环境的安全,爆炸计算机功能的正常发挥,以及维护计算机系统的安全运行。
第四条 计算机信息系统的安全保护工作,重点维护国家事务,经济建设,国防建设,尖端科学等重要领域的计算机信息系统安全。
第六条 公安部主管全国计算机信息系统的安全保护工作
第九条 计算机信息系统实行安全等级保护。
第十条 计算机机房应当符合国家标准和国家有关规定
第十一条 进行国际联网的计算机信息系统,由计算机系统的使用单位报省级以上人民政府公安机关备案
第十二条 运输,携带,邮寄计算机信心媒体进出境的,应当如实向海关申报
第十三条 计算机信息系统的使用单位应当尖利健全安全管理制度,负责本单位的计算机信息系统的安全保护工作
第十四条 计算机信息系统中发生的案件,有关使用单位应在24小时以内向当地县级以上人民政府机关报告
第十五条 对计算机病毒和危害社会安全的其他有害数据进行防治研究工作,由公安部门归口管理
第十六条 国家对计算机信息信息系统安全专用产品的销售实行安全许可制度。
第十七条 公安机关对计算机信息系统安全的保护工作行使下列监督职权:
1、监督,检查,指导计算机信息系统安全保护工作
2、查处危害计算机信息系统安全的违法犯罪案件
3、履行计算机信息系统安全保护工作的其他监督职责
第十八条 公安机关发现影响计算机信息系统安全隐患时,应当及时通知使用单位采取安全保护措施
第十九条 公安部在紧急情况下,可以就设计计算机信息系统安全的特定事项发布通缉令
第二十条 违反本条例规定,有下列行为之一的,由公安部机关处以警告或者停机整顿:
1、违反计算机信息系统安全保护等级制度,危害计算机信息系统安全
2、违反计算机信息国际联网备案制度的
3、不按照规定的时间报告计算机信息系统中发生的案件的
4、接到公安机关要求改进安全状况通知后,在限期内拒不改进的
5、有危害计算机信息系统安全的其他行为的
第二十八条 本条例下列用语的含义:
计算机病毒---是指编制或者在计算机程序中插入破坏计算机功能或者毁坏数据,影响计算机使用,并能够自我复制的一组计算机指令或者程序代码
计算机信息系统安全专用产品---是指用于保护计算机信息系统安全的专用硬件和软件产品。
第七条 信息系统的安全保护等级分为一下五级:
第一级 信息系统受到破坏后,会对公民,法人,和其他组织的合法权益造成损失,但不损害国家安全,社会秩序和公共利益
第二级 信息系统受到破坏后,会对公民,法人,和其他组织合法权益产生严重损害,或者对社会秩序和公共利益造成损害,不会损害国家利益
第三级 信息系统受到破坏后,会对社会和公共利益造成严重损害,或者对国家安全造成损害
第四级 信息系统受到破坏后,会对社会秩序和公共利益造成特别严整损害,或者对国家安全造成严重损害
第五级 信息系统受到破坏后,会对国家安全造成特别严重的损害。
第八条 信息系统运营,使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监督部门对其信息安全保护等级工作进行监督管理。
第一级 信息系统运营,使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级 信息系统运营,使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监督部门对该级信息系统信息安全保护工作进行指导。
第三级 信息系统运营,使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监督部门对该级信息系统信息安全保护工作进行监督,检查。
第四级 信息系统运营,使用单位应依据国家有关管理规范,技术标准,和业务专门需求进行保护。国家信息安全监督部门对该级信息系统信息安全保护工作进行监督,检查。
第五级 信息系统运营,使用单位应依据国家有关管理规范,技术标准,和业务专门需求进行保护。国家指定专门部门对该级信息系统信息安全保护工作进行专门监督,检查。
第十四条 第三级信息系统应对每年至少进行一次等级测评,第四级信息系统应每半年进行一次等级测评第五级信息系统应对依据特殊安全安全需求进行等级测评。
第十五 二级以上信息系统,应在安全保护等级确定后30日内,到单位所属市级以上公安机关班里备案手续。
第十六条 三级以上信息系统班里手续应同时提供以下材料:
1、系统拓扑结构及说明
2、系统安全组织机构和管理制度
3、系统安全保护设施设计实施方案或者改建实施方案
4、系统使用的信息安全产品清单及其认证,销售许可证明
5、测评后符合系统安全保护等级的技术检测评估报告
6、信息系统安全保护等级专家评审意见
7、主管部门审核批准信息信息系统安全保护等级的意见
第二十二条 三级以上信息系统应对选择符合下列条件的等级保护测评机构进行测评:
1、在中华人民共和国境内注册成立(港澳台地区除外)
2、由中国公民投资,中国法人投资,或者国家投资的企事业单位(港澳台地区除外)
3、从事相关检测评估工作两年以上,无违法记录
4、工作人员仅限中国公民
5、法人及主要业务,技术人员无犯罪记录
6、使用的技术设备,设施应当符合本办法对信息安全产品的要求
7、具有完备的保密管理,项目管理,质量管理,人员管理和培训教育等安全管理制度
8、对国家安全,社会秩序,公共利益不构成威胁
第二十五条 信息系统的密级,由低到高分为秘密,机密,绝密三个等级。依据BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定等级。
第二十七条 秘密,机密,绝密等级保护水平不低于国家信息安全等级保护第三、四、五级的水平。
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
第一级 用户自主保护级
第二级 系统审计保护级
第三级 安全标记保护级
第四级 结构化保护级
第五级 访问验证保护级
常见代号:
1、国家标准代号:强制性标准代号GB,推荐性标准代号GB/T,指导性标准代号GB/T,实物标准代号GSB
2、行业标准代号:汉语拼音大写字母组成(如电力DL)
3、地方标准代号:由DB枷锁省级行政区划分代码前两位
4、企业标准代号:由Q加上企业代号组成
5、美国国家标准学会(ANSI)
6、国家标准化指导性技术文件:由指导性技术文件代号GB/Z,编号由技术文件的代号,顺序号,年号组成
SC27---信息安全通用方法及技术标准化工作的技术委员会
IEC---国际电工委员会
SG17---ITU(国际电信联盟)下的第17研究组,研究通信系统安全标准
IETF---Internet工程任务组
IEEE---美国电气电工工程师协会
ECMA---欧洲计算机厂商协会
ANSI---美国国家标准化协会
NIST---美国国家标准技术研究所
DOD---美国国防部
WG1---信息安全标准体系与协调工作组
WG2---涉密信息系统安全保密标准工作组
WG3---密码技术工作组
WG4---鉴别与授权工作组
WG5---信息安全评估工作组
WG6---通信安全标准工作组
WG7---信息安全管理工作组
大数据安全标准特别工作组
可分为信息安全管理系统、技术与工程类标准
信息安全管理体系:
1、BS7799-1 《信息安全管理实施规则》,提供一套信息安全最佳管理组成的实施规则,可作为企业信息安全管理体系建设参考
2、BS7799-2 《信息安全管理体系规则》规定了信息安全管理系统各方面的达标指标
技术与工程标准
《可信计算机系统评估准则》(TCSEC),俗称“橘皮书”,向制造商提供一直制造标准,同时为用户提供一种验证标准。
《信息技术安全评估准则》(CC),我国依据CC制定了GB/T18336《信息技术安全性评估准则》
CC适用于硬件,固件,和软件实现的信息技术安全措施,包含三个部分:
1、简介和一般模型
2、安全功能要求
3、安全保证要求
信息系统安全工程能力成熟模型(SSE-CMM),确定一个评价安全工程实施的综合框架,提供了度量与改善安全工程的方法。我国安全评