【NISP一级】1.3 网络空间安全政策与标准

1. 网络安全国家战略

1.1 国家指导政策

  • 《中华人民共和国网络安全法》于2016 年出台,2017 年6月1日正式生效
  • 《信息安全技术个人信息安全规范》GB/T-35273 于2018年正式出台,5月1日正式生效。
  • 《中华人民共和国密码法》于2019年10月26日在第十三届全国人民代表大会常务委员会第十四次会议表决通过,自2020年1月1 日起施行。《数据安全法》于2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议表决通过,自2021年9月1 日起施行。
  • 《数据出境管理办法》、《 重要数据管理办法》正在制定即将颁布
  • 《中华人民共和国计算机信息系统安全保护条例》规定了计算机系统实现安全等级保护
  • GB 17859正式细化等级保护要求,划分五个级别:用户自主保护、系统审计保护、安全标记保护、结构化保护、
    访问验证保护。
  • 《关于信息安全等级保护工作的实施意见的通知》规定等级保护指导思想、原则和要求。定级从信息和信息系统的业务重要性及遭受破坏后的影响出发
  • 网络安全法明确我国实行网络安全等级保护制度

1.2 国内外网络空间安全发展比较

  • 中国:

    • 2012年党的十八大文件进一步明确指出,要“高度关注海洋、太空、网络空间安全”。
    • 2014年国家领导人进一步指出: “没有网络安全, 就没有国家安全。没有信息化,就没有现代化。”
    • 2016年11月7日,我国颁布了《中华人民共和国网络安全法》。
    • 2016年12月27日,国家互联网信息办公室和中央网络安全与信息化领导小组办公室联合发布了我国《国家网络空间安全战略》
  • 美国
    • 2011年5月16日美国公布了“网络空间国际战略”,7月14日公布了"网络空间作战战略”,提出“陆、海、空、天、网”5维一体的美国国家安全概念。
    • 2017年8月18日,美国总统特朗普宣布,批准美军将网络司令部升格为作战司令部。网络司令部升格后,将成为美军第10个作战司令部,与战略司令部、运输司令部、特种作战司令部并列为美军4大职能型作战司令部。
  • 欧盟
    • 英、德、法等国先后制定了本国的网络空间安全战略,成立了专门机构推进相关体制机制的完善,将网络空间安全由“政策”、”计划” 提升为国家战略,并宣布了国际战略和作战战略。

1.3 计算机犯罪

  • 趋势

    • 从无意识到有组织: APT攻击

    • 从个体侵害到国家威胁:震网事件、乌克兰火电站

    • 跨越计算机本身的实施能力:社会工程学

    • 低龄化成为法律制约难题:“脚本小子”

  • 犯罪成立的共同特征
    • 犯罪主体
    • 犯罪主观方面
    • 犯罪客观方面
    • 犯罪客体

1.4 今年安全事件

  • 震网(Stuxnet)攻击(2010/6):席卷全球工业界的病毒,伊朗核工业基础设施遭到重创(APT),延缓伊朗核进程。

    • 世界上第一款军用级网络攻击武器
    • 世界上第一款针对工业控制系统的木马病毒
    • 世界上第一款能够对现实世界产生破坏性影响的冯病毒
  • 代号夜龙(Night Dragon)的攻击(2011/2):5家跨国能源公司遭到攻击,超过干兆字节的敏感文件被窃,包括油气田操作的机密信息、项目融资与投标文件等。
  • “海莲花”攻击(2015/5):境外黑客组织"海莲花”被爆自2012年4月起,通过特种木马针对我海事机构、海域建设部门、科研院所和航运企业展开了精密组织鱼叉式攻击。
  • blackenergy APT(2015/12):乌克兰多家电厂设施被感染,,造成大面积停电,整个城市陷入恐慌,损失惨重。
  • 中兴泄密事件(2016)
    • 2016年3月,美国商务部对中兴通讯实施出口限制措施,导致公司暂时停牌交易。禁运事件爆发后,在双方政府协调下,美国商务部给中兴颁布了临时许可证,从而保证中兴通讯可以正常采购美国元器件和软件。
    • 2017年3月,总部在深圳的中兴通讯因被控违反美国的制裁,同意接受处罚,支付11.9亿美元的罚款。
    • 2018年4月16日,美国商务部工业与安全局(BIS) 以中兴通讯对涉及历史出口管制违规行为的某些员工未及时扣减奖金和发出惩戒信,并在2016年11月30日和2017年7月20日提交给美国政府的两份函件中对此做了虚假陈述为由,做出了激活对中兴通讯和中兴通讯公司拒绝令的决定。
  • 永恒之蓝(2017/12):不法分子改造基于"永恒之蓝”攻击程序的网络攻击,导致勒索病毒在全球大范围爆发。
  • 台积电遭受勒索病毒攻击(2018年)
    • 台积电在2018年8月2日傍晚遭勒索病毒入侵,并于当晚10时许扩散至三大厂区。台积电公告推算,事件发生后约40 小时已恢复八成机台生产作业,预计在关键的60小时"排毒行动"后有望全数排除电脑病毒。但比原先预期慢了约一天,受冲击营收也比预期大,将冲击第三季度营收约3%,约为87亿元新台币(约合人 民币17.7亿元)

2. 网络安全标准体系

2.1 标准的概念

  • 标准:为了在一定范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件
  • 标准类型:国际标准、国家标准、行业标准和地方标准

2.2 标准化

  • 标准化:为了在一定范围内获得最佳秩序,对现实问题或潜在问题制定共同使用和重复使用的条款的活动
  • 标准化的基本特点
    • 标准化是一项活动
    • 标准化的对象:物、事、人
    • 标准化是一个动态的概念
    • 标准化是一个相对的概念
    • 标准化的效益只有应用后才能体现
    • 标准化工作原则:简化、统一、协调、优化

2.3 标准化组织

2.3.1主要国际标准化组织

  • 国际标准化组织(International Organization for Standardization,ISO)

  • 开放式互联(Open System Interconnection,OSI)安全体系

    • 安全服务

    • 认证安全服务

    • 访问控制安全服务

    • 数据保密性安全服务

    • 数据完整性安全服务

    • 防抵赖性服务

      • 安全机制

      • 安全管理

      • 安全层次

  • 国际电工委员会(IEC)

  • Internet工程任务组(IETF)

  • 国际电信联盟(ITU)及国际电信联盟远程通信标准化组织(ITU-T)

2.3.2 国家标准化组织

  • 美国

  • 美国国家标准化协会(ANSI)

  • 美国国家标准技术研究院(NIST)

  • 我国

  • 中国国家标准化管理委员会:是我国最高级别的国家标准机构

  • 全国信息安全标准化技术委员会(TC260)

  • 1984年, 成立数据加密技术分委员,后来改为信息技术安全分技术委员会

  • 2002年4月,为加强信息安全标准的协调工作,国家标准委决定成立全国信息安全标准化技术委员会(信安标委,TC260) ,由国家标准委直接领导,对口ISO/IEC JTC1 SC27

  • 国家标准化管理委员会高新函[2004]1号文决定: 自2004年1月起, 各有关部门在申报信息安全国家标准计划项目时,必须经信息安全标委会提出工作意见,协调一致后由信息安全标委会组织申报;在国家标准制定过程中,标准工作组或主要起草单位要与信息安全标委会积极合作,并由信息安全标委会完成国家标准送审、报批工作

  • TC260组织结构

    • 委员会(主任、副主任、委员)

    • 秘书处

      • WG1信息安全标准体系与协调工作组

      • WG3密码技术工作组

      • WG4鉴别与授权工作组

      • WG5信息安全评估工作组

      • WG6通信安全标准工作组

      • WG7信息安全管理工作组

      • SWG-BDS大数据安全标准特别工作组

2.4 我国标准分类

  • GB强制性国家标准:经颁布必须贯彻执行,违反则构成经济或法律方面的责任
  • GB/T推荐性国家标准:自愿采用的标准,共同遵守的技术依据,严格贯彻执行
  • GB/Z 国家标准指导性技术文件:由于技术发展过程中或其他理由,将来可能达成一致意见指导性技术文件实施后3年内必须进行复审

3. 网络安全等级保护

3.1 等级保护定义

  • 根据《网络安全法》的规定,等级保护是我国信息安全保障的基本制度。

    • 《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破环或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
  • 等保1.0指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全技术信息系统安全等级保护基本要求》
  • 等保2.0将原来的标准 《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,并对旧有内容进行调整

3.2 等保发展过程

  • 1994-2006 试点启动

    • 1994:《计算机信息系统安全保护条例》规定计算机信息系统实施等级保护。
    • 1999:《计算机信 息系统安全保护等级划分准则(GB17859-1999)》,等级保护成为国家强制标准
    • 2003:《国家信 息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) 明确指出:实行信息安全等级保护
  • 2007-2016 正式推广
    • 2007:四部委联合出台《信息安全等级保护管理办法》等系列文件
    • 2008:等级保护系列标准发布,等级保护工作正式启动
  • 2017-2020 全面推进
    • 2017:《中华 人民共和国网络安全法》正式实施,明确规定“国家实行网络安全等级保护制度"
    • 2019:等级保护标准v2.0发布,等级保护迈入新阶段

3.3 信息安全登记保护标准体系

3.4 等级保护流程

  • 定级
  • 备案
  • 差距分析
  • 建设整改
  • 验收测评
  • 定期复查

3.5 等级保护核心思想

  • 核心思想:对保护对象按等级划分,按标准进行建设、管理和监督
  • 基本原则
    • 自主保护原则
    • 重点保护原则
    • 同步建设原则
    • 动态调整原则

3.6 等级划分

  • 等级划分

    • 分为五级,一级最低,五级最高
    • 适用于指导分等级的非涉密对象的安全建设和监督管理
    • 第五级对象是非常重要的监督管理对象,对其有特殊的管理模式和安全要求,不在本标准总描述。
  • 定级要素
    • 受侵害的客体
    • 对客体的侵害程度

3.7 等级保护级别

  • 第一级:用户自主保护级(E)

    • 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
  • 第二级:系统审计保护级(D)
    • 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
  • 第三级:安全标记保护级(C)
    • 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害
  • 第四级:结构化保护级(B)
    • 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
  • 第五级:访问验证保护级(A)
    • 信息系统受到破坏后,会对国家安全造成特别严重损害。
  • 最新版本等级保护2.0标准中,将公民、法人和其他组织的合法权益受到特别严重损害定级仍然维持第二级(标准公开征求意见稿中曾提高到第三级)



4. 网络安全职业道德

4.1 道德的概念

  • 道德的概念

    • 一定社会或阶级用以调整人们之间利益关系的行为准则,也是评价人们行为善恶的标准
  • 道德和法律
    • 道德没有严谨的结构体系,法律是国家意志统一-体系,有严密的逻辑
  • 道德约束
    • 道德约束是建立在完善的法律基础上
    • 惩戒性条款的管理制度是组织内部建立职业道德约束的有效手段之一
    • 培训与教育是不可获取的增强员工道德意识的途径

4.2 网络安全职业道德准则

  • 职业道德的概念
  • 著名的计算机职业伦理守则
    • 美国计算机学会职业伦理守则
    • 英国计算机学会伦理守则
    • 计算机伦理十诫
  • 网络安全职业道德准则
    • 维护国家、社会和公众的信息安全
    • 诚实守信、遵纪守法
    • 努力工作、尽职尽责
    • 发展自身、维护荣誉

【NISP一级】1.3 网络空间安全政策与标准相关推荐

  1. 美国的网络空间安全国家战略

    奥巴马总统上任之后,对网络安全,尤其是网络空间安全(Cybersecurity,或者Cyberspace Security)问题十分重视,包括高调建立打网络战(cyberwarface)的网络司令部, ...

  2. INSA:美国须发展网络空间情报系统

    据美联社2011年9月12日报道,美国的一个智库--INSA(Intelligence and National Security Alliance,情报与国家安全联盟)--宣布将发表一份旨在建议美国 ...

  3. nisp学习-1.1信息安全与网络空间安全

    信息与信息安全 信息安全 信息安全,ISO(国际标准化组织)的定义为:为数据处理系统建立和采用的技术.管理上的安全保护,为的是保护计算机硬件.软件.数据不因偶然和恶意的原因而遭到破坏.更改和泄露. 进 ...

  4. 《商用密码应用与安全性评估》第二章政策法规2.1网络空间安全形式与商业密码工作

    一.国际国内网络空间安全形势         网络空间已成为与陆地.海洋.天空.太空同等重要的人类第五空间. 1.国际形势 网络空间安全纳入国家战略 网络攻击在国家对抗中深度应用 网络空间已逐步深入网 ...

  5. ​​​​​​​NISP一级考试题库

    NISP一级考试题库,本人以过考试,因为资料是图片转过来得,所有有得地方有乱码,不喜勿喷,仅送给有需要得人. 与计算机硬件关系最密切的软件是(  ). A.编译程序 B.数据库管理程序 C.游戏程序 ...

  6. NISP一级考试相关知识点

    NISP一级不难,你报名交完钱买了那个相关课程之后就刷题就行. 相关知识点: 1.信息:信息就是数据或事件 2.信息安全: 内因:内因方面主要是信息系统复杂性导致漏洞的存在不可避免,换句话说,漏洞是一 ...

  7. NISP一级备考知识总结之信息安全概述、信息安全基础

    参加每年的大学生网络安全精英赛通过初赛就可以嫖一张 nisp(国家信息安全水平考试) 一级证书,nisp 一级本身没啥考的价值,能白嫖自然很香 1.信息安全概述 信息与信息技术 信息概述 信息奠基人香 ...

  8. 【NISP一级】2.2 身份鉴别与访问控制

    [NISP一级]2.2 身份鉴别与访问控制 笔记(主栏) 1. 身份鉴别基础 1.1 标识 1.1.1基本概念 实体身份的一种计算机表达 每个实体与计算机内部的一个身份表达绑定 信息系统在执行操作时, ...

  9. 2020网络安全NISP一级(模拟题七)

    2020国家信息安全水平考试NISP一级(模拟题七) 2020大学生网络安全知识总决赛 NISP一级模拟题(07) NISP一级单选题(最新) (每小题2分,本题共50个小题,共100分,60分及格) ...

最新文章

  1. win7无法连接打印机拒绝访问_win7系统连接XP网络打印机无法连接到打印机拒绝访问的解决方法...
  2. 什么是缓存一致性问题?如何解决呢?
  3. 如何设置坐标原点值_氨气检测仪电化学原理及报警值如何设置
  4. 程序员一人对接四人郁闷吐槽:轮流指挥,只有我从天亮忙到天黑
  5. 如何通过MongoDB自带的Explain功能提高检索性能?
  6. Flask组件之Flask-SQLAlchemy
  7. NOIP2013 复盘
  8. 大学英语综合教程四 Unit 8 课文内容英译中 中英翻译
  9. osr matlab,DPD-Matlab-FPGA 好不容易找到的马岳林的 数字预失真 DPD仿真代码 包括 simulink 和 实现 275万源代码下载- www.pudn.com...
  10. JSZip,saveAs压缩保存文件
  11. [产品]博客文章被企业群组收录的方法
  12. T00ls - Metasploit 教程 笔记
  13. linux命令 查看分辨率,linux怎样在命令行模式修改屏幕分辨率
  14. [译] 3.泛型和子类型
  15. Android安全防护之旅—只需要这几行代码让Android程序项目变得更加安全
  16. RequestContextHolder获取request
  17. eNsp连接AC控制器,使用环回网卡进行web访问
  18. 音讯称三网交融第二批试点韵达明年终发布
  19. 2023最新FPS实时帧率iApp源码+实时显示屏幕帧率
  20. chatterbot mysql_Chatbot Tutorial (聊天机器人制作教程) 每日更新 不断学习

热门文章

  1. windows 云服务器计算器,windows7 云主机
  2. php创建多个数据表,PHP-无法在数据透视表中创建多个多对多关系
  3. 数据结构与算法(1)--二叉树
  4. 《PYTHON编程初学者指南》pdf
  5. SpringMVC个人理解(downpour 的SpringMVC深度探险的个人整理)
  6. 深度学习-各类梯度下降优化算法回顾
  7. 2021河南科技大学计算机考研科目,2021河南科技大学考研参考书目
  8. 英伟达A100 Tensor Core GPU架构深度讲解
  9. 微信引流常用几大技巧
  10. Linux命令大全【实战演练】