精华内容
下载资源
问答
  • 安全价值工程的定义
    千次阅读
    2021-07-02 16:47:38

    网络安全售前工程师需要具备哪些能力?

    一张思维导图即可一目了然

    在这里插入图片描述
    售前工程师在项目前配合销售拿单提供技术支持,需要了解公司,公司产品,技术框架等细节,同时还需要了解行业竞争对手产品,各自的优劣势,就公司产品和同行产品有个公平客观的评价和介绍。

    售前工程师和项目经理的配合,在项目前期对用户关注需求或痛点,要结合公司产品实际能力,给出最佳解决方案,不夸大,不虚承若,细节做到位,做到真诚。不为项目中标后实施过程留下坑,确保项目能顺利验收。
      
    1、具备一定的产品知识
    熟悉公司本身的技术状态,包括技术团队能力、项目实施能力,行业解决方案的特点和优劣;

    2、具备一定的技术
    积累熟悉公司及行业所涉及的各种技术,至少精通其中一项技术,了解和熟悉其他相关技术;继由硬件十万个为什么组织的2017电子工程师技术交流大会(EETC)·杭州站的召开,受到广大工程师的热烈欢迎和积极反响。

    如果你希望通过一门技术的学习,实现自己的高薪就业梦,那么在学习之前需要先了解这门技术的薪资情况。接下…

    全栈工程师这个头衔在国内还是少有听闻,但是在美国早已大肆流行开来,纵关Facebook,Twitte…

    这个问题其实可以引申为以下两点:1. 什么是只有 FPGA 工程师能做的? 2. 作为 FPGA 工程师,我们应该如何培养这些能力…

    现在很多人都有一种看法:无论是软件开发还是嵌入式等,都是青春饭,但是软件(java,,ios等应用层)的工资都稍高于嵌入式,…

    在数字IC设计领域,前端验证工作一般都是用FPGA完成的,因此FPGA工程师也是IC设计公司迫切需要的人才。 FPGA…

    升级了CCS到5.2版本,用其打开原有工程师总是有,但原有的工程是毫无问题的,怎么回事儿???…

    软件工程师被我们戏称为“码农”,这不是褒义但也不是贬义。算是程序员的一种自嘲 ,我们天天对着电脑,眼…

    注册消防工程师与注册安全工程师区别还是比较大的,下面小编就从名称、分级、就业方向、考试科目、难度以及…

    15年学校毕业,从事嵌入式软件开发工作。很多人都说,做软件做不长久的,到了三十多岁就要转行了。

    就我所了解的,在现在以及可预见的未来,这个行业对软件工程师的需求绝对是碾压硬件工程师的。也就是说,招软件工程师的职位比硬…

    扁平化、、创新、、结果导向,这些都是当代中国互联网公司最标榜的价值。据说,互联网是最为开…

    随着大数据的爆发,中国IT业内也将面临新一轮的洗牌,不仅是企业,更是从业人员转型可遇而不可求的机…

    几乎每隔一段时间,企业就会达到一个瓶颈期 — 在这个时间段,我们如何去突破临界点?相信在这个节点上,…

    最近有好多网友问我关于全栈工程师的事情,从大家的口气中,能听出大家都认为全栈工程师是一个非常高大上的…

    人人都在说工程师文化,90%的同学们向往工程师文化,然而95%的同学们觉得自己的部门没有工程师文化。…

    有不少考生对于一消、二消有一些困惑:不明白一级消防工程师和二级消防工程师到底有什么区别或者可以先考二…

    由于目前大数据人才匮乏,由于18年是各个大学第一年开设大数据专业,所以暂时也没有相关专业的大数据专业…

    又到了金三银四的招聘季,公司的管理者都在思考:在现在的市场下,到底应该为自己的公司注入怎样的新鲜…

    首先,我是在广州一家与我们专业相关的公司实习的,我所在的部门主要是负责三维方面,一般都是接一些规划局…

    未来的发展方向,当然最高的就是如果有幸做到公司的CIO,就是这个行业顶端的,当然也可以出来开公司。

    售前工程师的工作目标是协助销售人员推动项目签单,以完成合同签订为工作结束,主要工作内容如下:

    售前工程师(Pre-sales Engineers)有时被称为销售工程师,是科技公司销售团队中技术熟…

    随着终端技术的发展,前端工程师成了一个炙手可热的职位,甚至衍生出了大前端工程师的概念。那什么是大前端…

    从前,有一个前端程序员,他无意间得到了一盏神灯。神灯许诺会实现他一个愿望。于是他向神灯许愿,希望有生…

    当时,我为当地的一家小公司构建了一个 WordPress 网站,时薪是25美元。开发软件是我的业余爱…

    先给前端工程师的工作下个一句话定义:运用前端技术,实现体验的良好传达。如果在前面加上 Web,那么是…

    大公司也是从小公司一步步走过来的,而大公司之所以与小公司不同,不在于基础的技术体系不同,而是当数据量…

    如今的社会,随着时代的发展,出现了很多职业,像电子类,计算机类的专业,出现了各种各样的工程师,有算法…

    我们正处在科技高速发展的时代,如今互联网已经与我们的生活息息相关,我们每天在互联网产生大量的数据,这…

    大数据的技术是一个技术群落,想全部学习短期内是不现实的,那么我们怎么样科学的有逻辑有规划的来学习,怎…

    很多小伙伴觉得学习一个新的技术很难,要想做出改变并非难事,你缺少的只是一个计划。学习大数据更是如此,…

    嵌入式开发就是指在嵌入式操作系统下进行开发,一般常用的系统有μcos,vxworks,linux,android等。当然,对于嵌入式或单片机工…

    2017年底,我在设计院从事桥梁设计工作,对职业发展有了新的想法,决定从土木工程转行到人工智能领域。…

    我们都知道,大数据现在常火热的,基本上是人尽皆知,很多人也都非常想加入这个行业,成为一名优秀合格…

    大数据工程师用阿里巴巴集团研究员薛贵荣的话来说,就是一群“玩数据”的人,玩出大数据的商业价值,让数据…

    数据分析师指的是不同行业中,专门从事行业数据搜集、整理、分析,并依据数据做出行业研究、评估和预测的专…

    互联网行业是一个高速运转的行业,我们这个时代可以说是一个互联网的时代,不知不觉,你会发现,一切行业和…

    针对目前互联网行业的大而言,程序员的日子并不是太好过,不管是在找工作的,还是在职场上打拼多年的,…

    Java是一种可以撰写跨平台应用软件的面向对象的程序设计语言。Java 技术具有卓越的通用性、高效性…

    随着互联网事业的蓬勃发展,编程语言越来越火爆。Java编程工程师收入高、业内需求量大,备受人们青睐。…

    Java自1995年问世以来,因其卓越的通用性、高效性、平台移植性 和安全性等特性,成为全球范围内应…

    每年都会有大批的大学生求职,这是市场就业的一种严峻,大学生只有做好职业生涯规划,才能有目标地去学…

    临近毕业,学生都在找工作,而一般单位对于JAVA工程师要求还是比较高的,起码懂编程语言。今天,小编就…

    在社会分工的背景下,软件行业的工程师群体被划分成了开发、测试、产品等诸多岗位,以协作的方式共同完成价…

    监理这一行业,从1988年正式推行,已成为工程建设不可缺少的责任主体之一,为国家各项工程建设的质量控…

    这个浮躁的时代,巫毒僵尸我们身边被太多各色新闻所包围。比如企业裁员这种消息比比皆是,其中还不乏行业巨头,有人…

    用阿里巴巴集团研究员薛贵荣的话来说,大数据工程师就是一群“玩数据”的人,玩出数据的商业价值,让数据变…

    一直以来互联网行业一直都是高薪的代言词,其中程序员又是工资最高的一职业,那么大家一直想很问问,请问前…

    本资料为资深电源工程师整理的电源学习进阶资料,细心划分了入门篇、终极篇和高级篇,是一套价值极高的参考学习资料,方便每个阶…

    本期内容是接上期“工程师告诉你做PCB设计(上篇)”,“工程师告诉你做PCB设计(上篇)” ,如果您错过了前面内容可以点击…

    芯片无处不在,手机、电脑、空调、洗衣机、冰箱、由器等等都需要芯片。 兔爸在芯片行业做模拟工程师,一做14年。他的第一句线

    5G时代是一个大融合时代,多种无线接入技术融合,固网、移动网融合,IT和CT融合,人联网和物联网融合,互联之下带来的…

    更多相关内容
  • 这是一款以生产质量为核心的工业工程与管理的定义安全生产、质量生产成为了工业工程与管理的定义主要内...该文档为工业工程与管理的定义,是一份很不错的参考资料,具有较高参考价值,感兴趣的可以下载看看
  • 第 5 章 知识域:安全工程与运营 目录 5.1 知识子域:系统安全工程 5.1.1 系统安全工程基础 1.系统安全工程概念 2.系统安全工程的必要性 5.1.2 系统安全工程理论基础 1.系统工程思想 2.项目管理方法 3....

    第 5 章 知识域:安全工程与运营

    CISP 考试教材《第 1 章 知识域:信息安全保障》知识整理

    CISP 考试教材《第 2 章 知识域:网络安全监管》知识整理

    CISP 考试教材《第 3 章 知识域:信息安全管理》知识整理

    CISP 考试教材《第 4 章 知识域:业务连续性》知识整理

    CISP 考试教材《第 5 章 知识域:安全工程与运营》知识整理

    CISP 考试教材《第 6 章 知识域:信息安全评估》知识整理

    CISP 考试教材《第 7 章 知识域:信息安全支撑技术》知识整理

    CISP 考试教材《第 8 章 知识域:物理与网络通信安全》知识整理

    CISP 考试教材《第 9 章 知识域:计算环境安全》知识整理

    CISP 考试教材《第 10 章 知识域:软件开发安全》知识整理

    目录

    5.1 知识子域:系统安全工程

    5.1.1 系统安全工程基础

    1.系统安全工程概念

    2.系统安全工程的必要性

    5.1.2 系统安全工程理论基础

    1.系统工程思想

    2.项目管理方法

    3.质量管理体系

    4.能力成熟度模型

    5.1.3 系统安全工程能力成熟度模型

    1.SSE-CMM 基本概念

    2.SSE-CMM 的体系结构

    5.1.4 SSE-CMM 的安全工程过程

    1.风险过程

    2.工程过程

    3.保证过程

    5.1.5 SSE-CMM 的安全工程能力

    1.能力级别

    2.SSE-CMM 的能力级别

    2 级的公共特证有 4 项

    3 级的公共特征有 3 项

    4 级的公共特征有两项

    5 级的公共特征有两项

    5.2 知识子域:安全运营

    5.2.1 安全运营概述

    5.2.2 安全运营管理

    1.漏洞管理

    2.补丁管理

    3.变更管理

    4.配置管理

    5.事件管理

    5.3 知识子域:信息内容安全

    5.3.1 内容安全基础

    1.内容概念及重要性

    2.内容安全需求

    5.3.2 数字版权

    1.著作权与版权

    2.数字版权管理

    3.使用数字版权保护信息

    5.3.3 信息保护

    1.信息的价值

    2.信息的泄露途径

    3.个人隐私信息保护

    4.组织机构敏感信息保护

    5.3.4 网络舆情

    1.网络舆情的概念

    2.网络舆情管理

    3.网络舆情监控技术

    5.4 知识子域:社会工程学与培训教育

    5.4.1 社会工程学

    1.社会工程学概念

    2.社会工程学利用的人性“弱点”

    3.社会工程学攻击防御

    5.4.2 培训及教育


    5.1 知识子域:系统安全工程

    5.1.1 系统安全工程基础

    1.系统安全工程概念

    良好的安全工程要求将 4 个方面集中在一起,第一是策略;第二是机制;第三是保证;第四是动机

    2.系统安全工程的必要性

    同步规划、同步建设、同步使用

    信息安全工程就是要解决信息系统生命周期的“过程安全”问题

    5.1.2 系统安全工程理论基础

    1.系统工程思想

    系统工程(Systems Engineering,SE)

    系统工程的目的是实现总体效果最优

    系统工程技术通常被应用于复杂工程

    从科学体系上讲,系统工程不属于基本理论,也不属于技术基础,它所研究的重点是方法论

    霍尔三维结构是将系统工程整个活动过程分为前后紧密衔接的 7 个阶段和 7 个步骤,同时还考虑了为完成这些阶段和步骤所需要的各种专业知识和技能。这样就形成了由时间维、逻辑维和知识维所组成的三维空间机构

    时间维:阶段、进程

    逻辑维:工作步骤

    知识维:专业、行业

    2.项目管理方法

    项目管理(Project Management,PM)

    关键路径法(Critical Path Method, CPM)

    计划评估和审查技术(Program Evaluation and Review Technique,PERT)

    工作分解结构(Work Breakdown Structure,WBS)

    涉及项目范围、时间、成本、质量、资源管理、相关方管理、沟通、风险、采购、集成十大知识领域

    项目的过程管理,主要包括项目的启动、计划、执行、控制和收尾 5 个过程

    3.质量管理体系

    质量控制(Quality Control,QC)

    质量管理(Quality Management,QM)

    质量管理体系将资源过程结合,以过程管理方法进行的系统管理

    ISO 9000 族标准在 4 个方面规范质量管理

    (1)机构

    (2)程序

    (3)过程

    (4)总结

    4.能力成熟度模型

    能力成熟度模型(Capability Maturity Model,CMM)是一种衡量工程实施能力的方法,是一种面向工程过程的方法

    CMM 是建立在统计过程控制理论基础上的

    能力成熟度(Capability Maturity,CM)

    CMM 明确地定义了 5 个不同的“成熟度”等级

    初始级、可重复级、已定义级、已管理级、优先级

    软件工程领域有软件能力成熟度模型(SW-CMM)

    传统制造业领域有系统工程能力成熟度模型(SE-CMM)

    安全工程领域有系统安全工程能力成熟度模型(SSE-CMM)和系统安全工程能力成熟性模型评估方法(SSAM)

    5.1.3 系统安全工程能力成熟度模型

    1.SSE-CMM 基本概念

    系统安全工程能力成熟度模型(Systems Security Engineering Capability Maturity Model,SSE-CMM)

    2.SSE-CMM 的体系结构

    SSE-CMM 模型是一个两维的模型,分别称为“域维”和“能力维”

    “域维”由所有安全工程定义的过程区域(Process Area,PA)构成

    “能力维”代表组织能力,它由过程管理和制度化能力构成

    (1)域维

    域维由所有安全工程定义的过程活动构成,这些实施活动称为“过程区域”

    每个过程区域包括一组表示组织成功执行过程区域的目标。每个过程区域也包括一组集成的基本实施(Base Practice,BP)

    基本实施定义了获得过程区域目标的必要步骤,它具有如下特证

    • 应用于整个组织生命周期

    • 和其他 BP 互补覆盖

    • 代表安全业界“最好的实施”

    • 在业务环境下不指定特定的方法或工具

    SSE-CMM 域维涉及 3 个过程类,即工程过程类、组织过程类和项目过程类

    基本实施 BP,Base Practice,域维的最小单位,如果选择执行其所属的PA,则必须执行它,共 129 个

    过程区 PA,Process Area,由一些基本实施构成,这些 BP 共同实施以达到该 PA 的目标,共 32 个

    过程类 PA 被分为安全工程类、组织管理类和项目管理类

    (2)能力维

    能力维按实施成熟型排序,共分为 5 个级别,依次表示不断增强的组织能力。组织能力由被称之为“公共特征”的逻辑域组成,每一个公共特证包括一个或多个通用实施

    通用实施 GP,Generic Practice 管理、度量和制度方面的活动,可用于决定所有活动的能力水平

    公共特征 CF,Common Feature 由 GP 组成的逻辑域

    能力级别 由公共特征组成的过程能力水平的级别划分,0 ~ 5 共 6 个级别

    1 ~ 5 是有意义的

    0 没有意义

    一个组织机构可随意以他们所选择的方式和次序来计划、跟踪、定义、控制和改进他们的过程。然而,由于一些较高级别的通用实施依赖于较低级别的通用实施,因此,组织机构在视图达到较高级别之前,应首先实现较低级别通用实施

    能力级别按最低的算,木桶理论

    5.1.4 SSE-CMM 的安全工程过程

    SSE-CMM 将域维中的工程过程类的 11 个过程区域划分为 3 个基本过程领域,分别是风险过程、工程过程、保证过程

    1.风险过程

    系统安全工程的主要目标就是降低风险到可接受范围

    安全工程中的风险三要素是影响、威胁和脆弱性

    风险管理中的三要素是资产、威胁和脆弱性

    (1)PA04 评估威胁

    评估威胁过程区域的目的在于识别安全威胁及其性质和特征

    本过程区域基本实施有 6 项

    (2)PA05 评估脆弱性

    本过程区域包括分析系统资产 、定义特殊的脆弱性以及对整个系统脆弱性的评估

    本过程区域基本实施有 5 项

    (3)PA02 评估影响

    评估影响的目的是识别对该系统有关的影响,并对发生影响的可能性进行评估

    遵循成本和效益的平衡原则

    本过程区域基本实施有 6 项

    (4)PA03 评估安全风险

    评估安全风险的目标是获得对在一个给定环境中运行该系统相关的安全风险的理解,并按照给定的方法论优先考虑风险问题

    本过程区域基本实施有 6 项

    2.工程过程

    系统安全过程包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程

    SSE-CMM 强调系统安全工程师是一个大项目队伍中的组成部分,需要与其他科目工程师的活动相互协调

    1)PA10 确定安全需求

    该过程区域的主要工作是明确地识别出与安全相关的需求,它要求包括用户在内的所欲各方达成对安全需求的共同认识

    该过程区域包括定义整个信息系统中所有安全方面的活动

    本过程区域基本实施有 7 项

    2)PA09 提供安全输入

    本过程区域提供支持系统设计和实施活动的安全输入

    本过程区域包括适用于开发和运行的安全输入

    本过程区域基本实施有 6 项

    3)PA01 管理安全控制

    该项主要是确定集成到系统中的安全控制措施确实在系统运行过程中发挥预计的安全功能

    本过程区域基本实施有 4 项

    4)PA08 监控安全态势

    安全态势表明系统及其环境已准备好处理目前的威胁、脆弱性和对系统及其资源的任何影响

    本过程区域基本实施有 7 项

    5)PA07 协调安全

    安全工程不能独立地取得成功,要保证所有部门都有一种参与安全工程的意识,这样才能充分发挥他们的作用,并且,有关安全的决定和建议是互相沟通和协调才能达成一致

    本过程区域基本实施用 4 项

    3.保证过程

    保证是指安全需求得到满足的可信程度

    1)PA11 验证和证实安全

    通过观察、论证、分析和测试来验证和证实解决方案满足安全需求;验证证据正确性,证实证据有效性。

    本过程区域基本实施有 5 项

    2)PA06 建立保证论据

    通过证据的收集,建立保证论据,该论据应清楚地说明用户的安全需求已经得到满足,通过一系列证据建立了对系统安全的信息

    本过程区域基本实施有 5 项

    5.1.5 SSE-CMM 的安全工程能力

    1.能力级别

    安全工程能力级别是 SSE-CMM 模型中最重要的一个维度,它表示了过程的成熟性,即组织的过程管理和制度化能力的强弱。

    能力级别根据“公共特性”分级,公共特性由通用实施(Generic Practices,GP)组成

    2.SSE-CMM 的能力级别

    SSE-CMM 包含了 5 个级别

    能力级别代表安全工程组织的成熟级别

    (1)1 级:“非正规执行级”

    这个级别着重于一个组织或项目执行了包含基本实施的过程

    (2)2 级:“计划与跟踪级”

    这个级别着重于项目层面的定义、计划和执行问题

    与非正式实施级别间的主要区别是过程实施被计划和管理

    2 级的公共特证有 4 项

    • 规划执行

    • 规范化执行

    • 验证执行

    • 跟踪执行

    (3)3 级:“充分定义级”

    这个级别着重于规范化地裁剪组织层面的过程定义

    这一过程与计划和跟踪级的主要区别在于利用组织范围内的过程标准来管理和规划

    3 级的公共特征有 3 项

    • 定义标准过程

    • 执行已定义的过程

    • 协调安全措施

    (4)4 级:“量化控制级”

    精细化管理

    这个级别着重于测量

    4 级的公共特征有两项

    • 建立可测的质量目标

    • 客观地管理执行

    (5)5 级:“连续改进级”

    持续改进级

    这个级别从前面各级的所有管理活动中获得发展的力量,并通过加强组织文化,来保持这个力量

    这一级与定量控制级的主要区别在于已定义的过程和标准过程基于对这些过程变化效果的量化理解,进行连续调整和改进

    5 级的公共特征有两项

    • 改进组织能力

    • 改进过程有效性

    5.2 知识子域:安全运营

    5.2.1 安全运营概述

    COBIT 重点在于 IT 控制和 IT 度量评价

    ITIL 重点在于 IT 过程管理,强调 IT 支持和 IT 交付

    ISO 27000 重点在于 IT 安全控制

    5.2.2 安全运营管理

    1.漏洞管理

    (1)漏洞的概念

    漏洞(Vulnerability)也被称为脆弱性

    评估对象(TOE)

    (2)检测并评估漏洞

    2.补丁管理

    补丁有时被称为更新、快速修复或热修复,是能够纠正错误、修复漏洞,或提高现有软件的性能的操作系统或应用软件代码

    专门用于修复漏洞的软件补丁一般称为安全补丁

    有效补丁管理程序中共同的步骤

    (1)评估补丁

    (2)测试补丁

    (3)批准补丁

    (4)部署补丁

    (5)确认补丁已部署

    3.变更管理

    所有的变更都必须遵循一个正式的变更管理过程

    (1)提交变更申请

    (2)审核变更申请

    项目管理委员会(CCB)

    (3)批准变更申请

    (4)实施变更

    (5)报告组织领导层

    4.配置管理

    配置管理是 IT 服务中的重要管理流程,其目标是定义和控制服务与基础设施的部件,并保持准确的配置信息

    5.事件管理

    事件管理针对在某一服务中不属于标准操作,可能引起这个服务中断或服务质量下降的任何事件进行管理的流程,其目的是减少或消除事件对信息系统运行带来的干扰,以确保组织机构的业务连续性

    5.3 知识子域:信息内容安全

    5.3.1 内容安全基础

    1.内容概念及重要性

    2.内容安全需求

    主要包括 3 个方面

    (1)内容来源可靠

    数字版权管理(Digital Rights Management,DRM)

    (2)敏感信息泄露控制

    敏感信息的泄露大致分为个人隐私信息泄露和企业信息泄露两大类

    (3)不良信息传播控制

    5.3.2 数字版权

    1.著作权与版权

    在我国著作权和版权是同义词

    2.数字版权管理

    DRM 系统的核心是数字媒体授权中心(Rights Issuer,RI),数字媒体授权中心负责对数字作品进行加密保护,并在加密的数字媒体头部存放着 KeyID 和节目授权中心的 URL

    3.使用数字版权保护信息

    数字对象标识符系统(Digital Object Identifier,DOI)

    国际 DOI 基金会(International DOI Foundation,IDF)

    在数字环境下标识知识产权对象的一种开发性系统

    数字版权唯一标识符(Digital Copyright Identifier,DCI)

    5.3.3 信息保护

    1.信息的价值

    2.信息的泄露途径

    (1)个人隐私信息泄露

    (2)组织机构的敏感信息泄露

    3.个人隐私信息保护

    (1)个人隐私信息保护相关规定

    (2)个人的隐私信息保护措施

    4.组织机构敏感信息保护

    (1)技术措施

    敏感信息泄露防护措施包括数据加密、信息拦截、访问控制等具体实现

    (2)管理措施

    5.3.4 网络舆情

    1.网络舆情的概念

    2.网络舆情管理

    关于网络舆情的管理措施

    (1)确立政府主导地位,发挥媒体监督功能

    (2)多是网络舆情理论研究,积极开发网络舆情监测软件

    (3)把握网络舆情管理的原则,建立和完善网络舆情管理机制

    3.网络舆情监控技术

    网络舆情监控系统架构一般包括 3 个层面

    (1)采集层

    (2)分析层

    (3)呈现层

    5.4 知识子域:社会工程学与培训教育

    5.4.1 社会工程学

    1.社会工程学概念

    社会工程徐重复利用了人性中的“弱点”,包括本能反应、好奇心、信任、贪婪等,通过伪装、欺骗、恐吓、威逼等种种方式以达到目的

    人是信息系统安全防护体系中最不稳定也是最脆弱的环节

    凯文米特尼克在《欺骗的艺术》这样形容社会工程学,一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常试分友善,很会说话,并会让人感到遇上他是件荣幸的事情

    2.社会工程学利用的人性“弱点”

    6 种”人类天性基本倾向“

    (1)权威

    (2)爱好

    (3)报答

    (4)守信

    (5)社会认可

    (6)短缺

    3.社会工程学攻击防御

    (1)注重信息保护

    不是必须公开的信息都是敏感信息

    (2)学习并了解社会工程学攻击

    (3)建立并遵守信息安全管理制度

    5.4.2 培训及教育

     图片

     

    展开全文
  • 第一章:网络信息安全概述 1.1网络发展现状与重要认识 1.1.1网络信息安全相关概念 **网络安全**是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行...

    信息安全工程师教程第一章

    第一章:网络信息安全概述

    1.1网络发展现状与重要认识

    1.1.1网络信息安全相关概念

    网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行状态,以及保障网络数据的完整性、保密性、可用性的能力。

    1.1.2网络信息安全重要性认识

    网络空间具有网络安全威胁高隐蔽性、网络安全技术高密集性、网络安全控制地理区域不可限制性、网络安全防护时间不可区分性、网络攻防严重非对称性的特点。
    2016年国家发布了《国家网络空间安全战略》
    2017年6月1日实施《中华人民共和国网络安全法》

    1.2网络信息安全现状与问题

    1.2.1网络信息安全状况

    多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。网络安全事件时有发生,如震网病毒、乌克兰大停电事件、多国银行SWIFT系统被攻击事件、物联网恶意程序导致美国断网事件、域名劫持事件、永恒之蓝网络蠕虫事件等。
    高级持续威胁(ATP)日趋常态化。

    1.2.2网络信息安全问题

    网络信息安全是网络信息化不可回避的重要工作,主要有十二个方面的问题亟须解决。

    1.网络强依赖性及网络安全关联风险凸显

    随着信息时代的发展,如今社会生活各个方面对网络信息系统的依赖性日益增强且相互关联,因此网络安全是如今的迫切需求。

    2.网络信息产品供应链与安全质量风险

    国内网信核心技术欠缺,关键产品和服务对国外依赖性高,硬件及软件不同程度的受制于人。

    3.网络信息产品技术同质性与技术滥用风险

    网络信息系统软硬件产品技术具有高度同质性,缺少技术多样性,极易构成大规模网络安全事件触发条件,特别是 网络蠕虫事件,同时网络信息技术滥用一样容易导致网络安全事件发生,如大规模隐私数据泄露。
    网络安全威胁技术的工具化,让攻击操作易于实现,使网络攻击活动日益频繁和广泛流行。

    4.网络安全建设与管理发展不平衡、不充分风险

    网络安全建设缺乏总体设计,常常采取“亡羊补牢”的方式构建网络安全机制,从而导致网络信息安全隐患。“重技术,轻管理;重建设,轻运营;,重硬件,轻软件”的网络安全认识偏差,使得网络安全机制难以有效运行。

    5.网络数据安全风险

    网络中大量数据不断生成、传输、存储、加工、分发、共享,支撑着许多关系国计民生的关键信息系统运营。
    由于数据处理复杂,涉及多个要素,数据安全风险控制是一个难题。
    若关键系统的某些重要数据失去安全控制,就会导致系统运行中断,引发社会信任危机,甚至危及人身安全。例如电力控制系统的指令。企业数据,电子病历等。

    6.高级持续威胁风险

    APT攻击风险活动日益频繁,包括对目标对象采取鱼叉邮件攻击水坑攻击、网络流量劫持中间人攻击

    7.恶意代码风险

    网络时刻面临计算机病毒、网络蠕虫、特洛伊木马、僵尸网络、逻辑炸弹、Rootkit、勒索软件等恶意代码的威胁

    8.软件代码和安全漏洞风险

    由于软件工程和管理等问题,新的软件代码安全漏洞仍然不断地输入网络信息环境中,这些安全漏洞都可能成为攻击切入点,攻击者利用安全漏洞入侵系统,窃取信息和破坏系统。

    9.人员的网络安全意识风险

    网络信息系统是人、机、物融合而成的复杂系统,而实际工作过程中容易忽略人的关键安全作用。
    研究表明,网络用户人员选择弱口令的比例仍然较大;利用网络用户U盘是实施网络物理隔离摆渡攻击的重要环节。

    10.网络信息技术复杂性和运营安全风险

    随着云计算、大数据、人工智能、移动互联网、物联网等新一代信息技术的普及应用,网络信息系统的开放性、智能性等不断提升,网络安全运营的复杂性更高,风险加大。
    云计算是网络安全边界模糊化,网络安全防护难度增加,云平台的安全运维水平要求更高。
    业务连续性高的要求使得网络信息系统的安全补丁维护管理成本提高。
    物联网的开放性扩大了网络信息系统的安全威胁途径。

    11.网络地下黑产经济风险

    网络地下黑产组织利用攻击技术,建立“僵尸网络”,提供DDoS服务。
    例如WannaMine、Xmrig、CoinMiner等是2019年流行的挖矿木马家族。

    12.网络间谍与网络战风险

    网络空间并非天下太平,一些国家建立起网军,网络战时隐时现。
    2019年6月,《纽约时报》称俄罗斯电网被植入后门程序。北约举行全球网络安全演习–“锁盾2019”,来应对网络战。

    1.3网络信息安全基本属性⭐

    1.3.1机密性

    机密性(Confidentiality)是指网络信息不泄露给非授权的用户、实体或程序,能够防止非授权者获取信息。
    机密性是军事信息系统、电子政务信息系统、商业信息系统等的重要要求。
    机密性(Confidentiality)是网络信息系统CIA三性之一的C。

    1.3.2完整性

    完整性(Integrity)是指网络信息或系统未经授权不能进行修改的特性。
    完整性对于金融信息系统、工业控制系统非常重要。
    完整性(Integrity)是网络信息系统CIA三性之一的I。

    1.3.3可用性

    可用性(Availability)是指合法许可的用户能够及时获取网络信息或服务的特性。
    对于国家关键信息基础设施而言,可用性至关重要,如电力信息系统、电信信息系统等。
    可用性(Availability)网络信息系统CIA三性之一的A。

    1.3.4抗抵赖性

    抗抵赖性是指防止网络信息系统相关用户否认其活动行为的特性。
    例如,通过网络审计和数字签名,可以记录和追溯访问者在网络系统中的活动。
    该特性常用于电子合同、数字签名、电子取证等应用中。

    1.3.5可控性

    可控性是指网络信息系统责任主体对其具有管理、支配能力的属性,能够根据授权规则对系统进行有效掌握和控制,使得管理者有效地控制系统的行为和信息的使用,符合系统运行目标。

    1.3.6其他

    除了常见的网络信息系统安全特性,还有真实性、时效性、合规性、公平性、可靠性、可生存性和隐私性等。

    1.真实性

    真实性是指网络空间信息与实际物理空间、社会空间的客观事实保持一致性。

    2.时效性

    时效性是指网络空间信息、服务及系统能够满足时间约束要求。

    3.合规性

    合规性是指网络信息、服务及系统符合法律法规政策、标准规范等要求。

    4.公平性

    公平性是指网络信息系统相关主体处于同等地位处理相关任务,任何一方不占优势的特性要求。

    5.可靠性

    可靠性是指网络信息系统在规定条件及时间下,能够有效完成预定的系统功能的特性。

    6.可生存性

    可生存性是指网络信息系统在安全受损的情形下,提供最小化、必要的服务功能,能够支撑业务继续运行的安全特性。

    7.隐私性

    隐私性是指有关个人的敏感信息不对外公开的安全属性。

    1.4网络信息安全目标与功能

    网络安全目标可以分成宏观微观两方面。
    宏观的网络安全目标是指网络信息系统满足国家安全需求特性,符合国家法律法规政策要求,如网络主权、网络合规等;
    微观的网络安全目标指网络信息系统的具体安全要求。围绕网络安全目标,通过设置合适的网络安全机制,以实现网络安全功能。

    1.4.1网络信息安全基本目标

    根据《国家网络空间安全战略》,宏观的网络安全目标是以总体国家安全观为指导,贯彻落实创新、协调、绿色、开放、共享的发展理念,增强风险意识和危机意识,统筹国内国际两个大局,统筹发展安全两件大事,积极防御、有效应对,推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标。
    网络安全的具体目标是保障网络信息及相关信息系统免受网络安全威胁,相关保护对象满足网络安全基本属性要求,用户网络行为符合国家法律法规要求,网络信息系统能够支撑业务安全持续运营,数据安全得到有效保护。

    1.4.2网络信息安全基本功能

    要实现网络信息安全基本目标,网络应具备防御、监测、应急和恢复等基本功能。

    1.网络信息安全防御

    网络信息安全防御是指采取各种手段和措施,使得网络系统具备阻止、抵御各种已知网络安全威胁的功能。

    2.网络信息安全监测

    网络信息安全监测是指采取各种手段和措施,检测、发现各种已知和未知的网络安全威胁的功能。

    3.网络信息安全应急

    网络信息安全应急是指采取各种手段和措施,针对网络系统中的突发事件,具备及时响应和处置网络攻击的功能。

    4.网络信息安全恢复

    网络信息安全恢复是指采取各种手段和措施,针对已经发生的网络灾害事件,具备恢复网络系统运行的功能。

    1.5网络信息安全技术基本需求

    网络信息安全技术基本需求主要有网络物理环境安全网络信息安全认证访问控制安全保密漏洞扫描恶意代码防护网络信息内容安全安全监测与预警应急响应等。

    1.5.1物理环境安全

    物理环境安全是指包括环境、设备和记录介质在内的所有支持网络系统运行的硬件的总体安全,是网络系统安全、可靠、不间断运行的基本保障。
    物理安全需求主要包括环境安全、设备安全、存储介质安全。

    1.5.2网络信息安全认证

    网络安全认证是实现网络资源访问控制的前提和依据,是有效保护网络管理对象的重要技术方法。
    网络认证的作用是标识鉴别网络资源访问者的身份的真实性,防止用户假冒身份访问网络资源。

    1.5.3网络信息访问控制

    网络信息访问控制是有效保护网络管理对象,使其免受威胁的关键技术方法,其主要目标有两个:
    (1)限制非法用户获取或使用网络资源
    (2)防止合法用户滥用权限,越权访问网络资源
    通过对网上资源进行访问控制,可以限制其所受到的威胁,从而保障网络正常运行。

    1.5.4网络信息安全保密

    网络信息安全保密的目的就是防止非授权的用户访问网上信息或网络设备。
    因此,重要的网络物理实体可以采用辐射干扰技术,防止电磁辐射泄露机密信息。 对网络重要的核心信息和敏感数据采用加密技术保护,防止非授权查看和泄露。 重要网络信息系统采用安全分区、数据防泄漏技术(简称DLP技术)、物理隔离技术等,确保与非可信的网络进行安全隔离,防止敏感信息泄露及外部攻击。

    1.5.5网络信息安全漏洞扫描

    网络系统、操作系统等存在安全漏洞,是黑客等入侵者的攻击屡屡得手的重要原因。
    因此,网络系统中需配备弱点或漏洞扫描系统,用以检测网络中是否存在安全漏洞,以便网络安全管理员根据漏洞检测报告,制定合适的漏洞管理方法。

    1.5.6恶意代码防护

    网络是病毒、蠕虫、特洛伊木马等恶意代码最好、最快的传播途径之一。
    恶意代码可以通过网上文件下载、电子邮件、网页文件共享等传播方式进入个人计算机或服务器。
    由于恶意代码危害性极大并且传播极为迅速,可能造成信息泄露、文件丢失、机器死机等严重后果。因此防范恶意代码是网络系统必不可少的安全需求。

    1.5.7网络信息内容安全

    网络信息内容安全是指相关网络信息系统承载的信息和数据符合法律法规要求,防止不良信息及垃圾信息传播。
    相关网络信息内容安全技术主要有垃圾邮件过滤IP地址/URL过滤自然语言分析处理

    1.5.8网络信息安全监测与预警

    网络安全监测的作用在于发现综合网系统入侵活动和检查安全保护措施的有效性,以便及时报警给网络安全管理员,对入侵者采取有效措施,阻止危害扩散并调整安全策略。

    1.5.9网络信息安全应急响应

    网络信息安全事件不能完全消除,必须采取一些措施来保障在出现意外的情况下,恢复网络系统的正确运行。同时,对于网络攻击行为进行电子取证,打击网络犯罪活动。

    1.6网络信息安全管理内容与方法

    网络信息安全管理主要包括网络信息安全管理概念网络信息安全管理方法网络信息安全管理依据网络信息安全管理要素网络信息安全管理流程网络信息安全管理工具网络信息安全管理评估等方面

    1.6.1网络信息安全管理概念

    网络信息安全管理是指对网络资产采取合适的安全措施,以确保网络资产的可用性、完整性、可控制性和抗抵赖性等,不因网络设备、网络通信协议、网络服务、网络管理受到人为和自然因素的危害,而导致网络中断、信息泄露或破坏。
    网络信息安全管理对象主要包括网络设备、网络通信协议、网络操作系统、网络服务、安全网络管理等在内的所有支持网络系统运行的软、硬件总和。
    网络信息安全涉及内容有物理安全、网络通信安全、操作系统安全、网络服务安全、网络操作安全以及人员安全。
    网络信息安全管理相关的技术主要有风险分析、密码算法、身份认证、访问控制、安全审计、漏洞扫描、防火墙、入侵检测和应急响应等。
    网络信息安全管理的目标就是通过适当的安全防范措施,保障网络的运行安全和信息安全,满足网上业务开展的安全要求。

    1.6.2网络信息安全管理方法

    网络信息安全管理是一个复杂的活动,涉及法律法规、技术、协议、产品、标准规范、文化、隐私保护等,同时涉及多个网络安全风险相关责任体。
    网络安全管理方法主要有风险管理、等级保护、纵深防御、层次化保护、应急响应以及PDCA(Plan-Do-Check-Act)方法等。

    1.6.3网络信息安全管理依据

    网络信息安全管理依据主要包括网络安全法律法规、网络安全相关政策文件、网络安全技术标准规范、网络安全管理标准规范等。
    国际上参考依据主要是ISO/IEC27001欧盟通用数据保护条例(General Data Protection Regulation,简称GDPR)信息技术安全性评估通用准则(Common Criteria,CC)
    国内依据主要是**《中华人民共和国网络安全法》****《中华人民共和国密码法》以及GB71859**、GB/T22080网络安全等级保护相关条例与标准规范

    1.6.4网络信息安全管理要素

    网络信息安全管理要素有网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。
    网络安全管理主要要素之间的相互关系如图所示:
    网络信息安全管理要素关系图

    1.管理对象

    网络信息安全管理对象是企业、机构直接赋予了价值而需要保护的资产。它的资产分为有形和无形。
    对象分类如下表:

    对象类型范例
    硬件计算机、网络设备、传输介质及转换器、输入输出设备、监控设备
    软件网络操作系统、网络通信软件、网络管理软件
    存储介质光盘、硬盘、软盘、移动存储器
    网络信息资产网络IP地址、网络物理地址、网络用户账号/口令、网络拓扑结构图
    支持保障系统消防、保安系统、动力、空调、通信系统、厂商服务系统
    2.网络信息安全威胁

    网络系统包含各类不同资产,由于其所具有的价值,将会受到不同类型的威胁。
    根据威胁主体的自然属性,可分为自然威胁和人为威胁。
    自然威胁有地震、雷击、洪水、火灾、静电、鼠害或电力故障等。
    从威胁对象来分类,可分为物理安全威胁、网络通信威胁、网络服务威胁、网络管理威胁。

    下表列举了网络系统受到的非自然的威胁主体类型

    威胁主体类型描述
    国家以国家安全为目的,由专业信息安全人员实现,如信息战士
    黑客以安全技术挑战为目的,主要出于兴趣,由具有不同安全技术熟练程度的人员组成
    恐怖分子以强迫或恐吓手段,企图实现不当愿望
    网络犯罪以非法获取经济利益为目的,非法进入网络系统,出卖信息或修改信息记录
    商业竞争对手以市场竞争为目的,主要是收集商业情报或损害对手的市场影响力
    新闻机构以收集新闻信息为目的,从网上非法获取有关新闻事件中的人员信息或背景材料
    不满的内部工作人员以报复、泄愤为目的,破坏网络安全设备或干扰系统运行
    粗心的内部人员因工作不专心或技术不熟练而导致网络系统受到危害,如误配置
    3.网络信息安全脆弱性

    脆弱性指计算系统中与安全策略相冲突的状态或错误,它将导致攻击者非授权访问、假冒用户执行操作及拒绝服务。
    网络攻击主要利用了系统的脆弱性,如拒绝服务攻击主要是利用资源有限性的特点,攻击进程长期占用资源不释放,造成其他用户得不到应得的服务,使该服务瘫痪。

    4.网络信息安全风险

    网络信息安全风险是指特定的威胁利用网络管理对象所存在的脆弱性,导致网络管理对象的价值受到损害或丢失的可能性。简单地说,网络风险就是网络威胁发生的概率和所造成影响的乘积。
    网络安全管理实际上是对网络系统中网管对象的风险进行控制,其方法如下:

    • 避免风险。例如,通过物理隔离设备将内部网和外部网分开,避免受到外部网的攻击。
    • 转移风险。例如,购买商业保险计划或安全外包。
    • 减少威胁。例如,安装防病毒软件包,防止病毒攻击。
    • 消除脆弱点。例如,给操作系统打补丁或强化工作人员的安全意识。
    • 减少威胁的影响。例如,采取多条通信线路进行备份或制定应急预案。
    • 风险监测。例如,定期对网络系统中的安全状况进行风险分析,监测潜在的威胁行为。
    5.网络信息安全保护措施

    保护措施是指为对付网络安全威胁,减少脆弱性,限制意外事件的影响,检测意外事件并促进灾难恢复而实施的各种实践、规程和机制的总称。
    目的是对网络管理对象进行风险控制。

    1.6.5网络信息安全管理流程

    网络信息安全管理一般遵循如下工作流程:

    • 步骤一,确定网络信息安全管理对象;
    • 步骤二,评估网络信息安全管理对象的价值;
    • 步骤三,识别网络信息安全管理对象的威胁;
    • 步骤四,识别网络信息安全管理对象的脆弱性;
    • 步骤五,确定网络信息安全管理对象的风险级别;
    • 步骤六,制定网络信息安全防范体系及防范措施;
    • 步骤七、实施和落实网络信息安全防范措施;
    • 步骤八,运行/维护网络信息安全设备、配置。
      下表为:网络信息安全管理系统在生命周期中提供的支持
      网络信息安全管理系统在生命周期中提供的支持

    1.6.6网络信息安全管理工具

    网络信息安全管理涉及的管理要素繁多,单独靠人力难以满足安全保障,因此网络信息安全管理人员通常借助相应工具进行有效管理。
    网络安全管理工具有网络安全管理平台(简称SOC)IT资产管理系统网络安全态势感知系统网络安全漏洞扫描器网络安全协议分析器上网行为管理等各种类型。

    1.6.7网络信息安全管理评估

    网络信息安全评估是指对网络安全管理能力及管理工作是否符合规范进行评价。
    常见的评估有网络安全等级保护测评[1]、**信息安全管理体系认证(简称ISMS)**[2]、系统安全工程能力成熟度模型(简称SSE-CMM)[^3]等。
    [^1]: 依据网络安全等级保护规范
    [^2]:主要依据GB/T22080、ISO/IEC27001
    [^3]:主要通过组织过程、工程过程、项目过程等实现

    1.7网络信息安全法律与政策文件

    网络信息安全基本法律与政策主要有国家安全、国家安全战略、网络安全保护制度、密码管理、技术产品、域名服务、数据保护、安全测评的方面。

    1.7.1网络信息安全基本法律与国家战略

    网络信息安全基本法律与国家战略主要有 《中华人民共和国国家安全法》《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息的保护的决定》《国家网络空间安全战略》《网络空间国际合作战略》 等。

    1.7.2网络安全等级保护

    网络安全等级保护的主要工作可以概括为定级、备案、建设整改、等级测评、运营维护。
    定级是确认定级对象,确定合适级别,通过专家评审和主管部门审核;
    备案是按等级保护管理规定准备备案材料,到当地公安机关备案和审核;
    建设整改是指依据相应等级要求对对象实际情况进行差距分析,针对不合规的进行整改,建设符合要求的体系。
    等级测评是指相关机构根据相应等级要求,对定级对象进行测评,并出具相应的等级保护测评证书。
    运营维护是指等级保护运营主体按照相应等级要求,对保护对象的安全相关事宜进行监督管理。

    1.7.3国家密码管理制度

    根据密码法,国家密码管理部门负责管理全国的密码工作,县级以上地方各级密码管理部门负责管理本行政区域的密码工作。
    国家密码管理相关法律政策如下图所示:
    国家密码管理相关法律政策

    1.7.4网络产品和服务审查

    为提高网络产品和服务的安全可控水平,防范网络安全风险,维护国家安全,依据相应法律法规,有关部门制定了《网络产品和服务安全审查办法》
    网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要包括:

    • 产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、损毁的风险;
    • 产品和服务供应中断对关键信息基础设施业务连续性的伤害;
    • 产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
    • 产品和服务的提供者遵守中国法律、行政法规、部门规章等情况;
    • 其他可能危害关键信息基础设施安全和国家安全的因素。
      中国网络安全审查技术与认证中心(CCRC) 是负责实施网络安全审查和认证的专门机构。

    1.7.5网络安全产品管理

    网络安全产品管理主要是由测评机构按照相关标准对网络安全产品进行测评,达到测评要求后,给出产品合格证书。
    国内网络安全产品测评机构主要有国家保密科技测评中心中国信息安全认证中心国家网络与信息系统安全产品质量监督检验中心公安部计算机信息系统安全产品质量监督检验中心
    国际上测评标准主要有ISO/IEC15408

    1.7.6互联网域名安全管理

    域名服务是网络基础服务。该服务主要指从事域名根服务器运行和管理、顶级域名运行和管理、域名注册、域名解析等活动。规定见《互联网域名管理办法》第四十一条。
    域名系统出现网络与信息安全事件时,应当在24小时内向电信管理机构报告。
    域名是政府网站的基本组成部分和重要身份标识。

    1.7.7工业控制信息安全制度

    针对工业控制信息安全,国家相关部门出台了一系列相关的法规和标准指导和规范工业控制信息安全,如下图所示:
    工业控制信息安全相关政策文件及标准规范

    1.7.8个人信息和重要数据保护

    国家针对个人信息和重要数据保护的相关政策文件及标准规范,如下图所示:
    个人信息和重要数据保护政策文件及标准规范

    1.7.9网络安全标准规范与测评

    全国信息安全标准化技术委员会是从事信息安全标准化工作的技术工作组织。
    工作范围包括安全技术、安全机制、安全服务、安全管理、安全评估等领域的标准化技术工作。

    1.7.10网络安全事件与应急响应制度

    国家安全事件相关政策文件及标准规范主要如下:

    • 《国家网络安全事件应急预案》
    • 《工业控制系统信息安全事件应急管理工作指南》
    • 《信息安全技术 网络攻击定义及描述规范》
    • 《信息安全技术 网络安全事件应急演练通用指南》
    • 《信息安全技术 网络安全威胁信息格式规范》
      国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,CNCERT或CNCERT/CC)是中国计算机网络应急处理体系的牵头单位,是国家级应急中心。
      CNCERT主要职责:按照“积极预防、及时发现、快速响应、力保恢复”方针,开展相关工作,维护网络安全及运行。

    1.8网络信息安全科技信息获取

    网络信息安全科技信息获取来源主要有网络安全会议、网络安全期刊网络安全网站网络安全术语等。

    1.8.1网络信息安全会议

    网络信息安全领域“四大”顶级学术会议是S&R、CCS、NDSS、USENIX Security。其中USENIX Security被中国计算机学会(CCF)归为“网络与信息安全”A类会议。除此之外,B类会议推荐有Annual Computer Security Applications Conference、International Symposium on Recent Advances in Intrusion Detection等
    国外知名的网络安全会议主要有RSA Conference、DEF CON、Black Hat。
    国内知名的网络安全会议主要有中国网络安全年会、互联网安全大会(简称ISC)、信息安全漏洞分析与风险评估大会。

    1.8.2网络信息安全期刊

    网络信息安全国际期刊主要有IEEE Transactions on Dependable and Secure Computing、IEEE Transactions on Information Forensics and Security、Journal of Cryptology、ACM Transactions on Privacy and Security、Computers&Security等。
    国内网络信息安全相关期刊主要有《软件学报》、《计算机研究与发展》、《中国科学:信息科学》、《电子学报》、《自动化学报》、《通信学报》、《信息安全学报》、《密码学报》、《网络与信息安全学报》等。

    1.8.3网络信息安全网站

    网络信息安全网站的主要类型有网络安全政府职能部门、网络安全应急响应组织、网络安全公司、网络安全技术组织等。
    计算机安全应急响应组(CERT)、开放web应用程序安全项目(OWASP)、网络安全会议Black Hat等国际组织的网站上会提供各种类型的网络信息安全服务。
    国内网络安全网址主要有网络安全政府部门网站、网络安全厂商网站、网络安全标准化组织网站等。

    1.8.4网络信息安全术语

    常见的网络信息安全术语可以分成基础技术类、风险评估技术类、防护技术类、检测技术类、响应/恢复技术类、测评技术类等。

    1.基础技术类

    基础技术类术语常见的是密码。国家密码管理局发布GM/Z0001- -2013 《密码术语》。常见的密码术语如加密(encryption)、解密(derytion)、非对称加密算法( asymmetric cryptographicalgorithm)、公钥加密算法(public key cryptographic algorithm)、公钥(publickey) 等。

    2.风险评估技术类

    风险评估技术类术语包括拒绝服务(Denial of Service)、分布式拒绝服务( Distributed Denialof Service)、网页篡改(Website Distortion)、网页仿冒(Phishing)、网页挂马(Website MaliciousCode)、域名劫持(DNS Hijack)、路由劫持( Routing Hijack)、垃圾邮件 (Spam)、恶意代码(Malicious Code)、特洛伊木马(Trojan Horse) 、网络蠕虫(Network Worm)、僵尸网络(BotNet)等。

    3.防护技术类

    防护技术类术语包括访问控制(Access Control)、防火墙(Firwal)入侵防御系统( ItusionPrevention System)等。

    4.检测技术类

    检测技术类术语包括入侵检测(Itrusion Detection)、漏洞扫描(Vulnerability Scanning)等。

    5.响应/恢复技术类

    响应/恢复技术类术语包括应急响应( Emergency Response )、灾难恢复(Disaster Recovery)、备份(Backup)等。

    6.测评技术类

    测评技术类术语包括黑盒测试( Black Box Testing)、白盒测试(White Box Testing)、灰盒测试(Gray Box Testing)、 渗透测试(Penetration Testing)、模糊测试(Fuzz Testing)。

    展开全文
  • 信息安全工程师参考资料(一)

    万次阅读 2018-09-04 18:05:50
    第一章 信息安全基础知识 1.1 信息安全研究方向 目前信息安全的研究包括密码学、网络安全、信息系统安全、信息内容安全、信息对抗等方向 网络空间是所有信息系统的集合,网络空间安全的核心是信息安全。网络...

    第一章 信息安全基础知识

    1.1 信息安全研究方向

    目前信息安全的研究包括密码学、网络安全、信息系统安全、信息内容安全、信息对抗等方向

    网络空间是所有信息系统的集合,网络空间安全的核心是信息安全。网络空间安全学科是研究信息的获取、存储、传输、处理等领域中信息安全保障问题的一门学科。

    1.2 信息安全理论基础

    信息安全理论基础包含的学科如下:

    • 通用理论基础
      • 数学:包含代数、数论、概率统计、组合数学、逻辑学等知识
      • 信息理论:包含信息论、控制论、系统论
      • 计算理论:包含可计算性理论、计算复杂性理论
    • 特有理论基础
      • 访问控制理论:包含各种访问控制模型、授权理论
      • 博弈论:一些个人、团队、组织面对一定的环境条件,在一定的规则约束下,依靠掌握的信息,同时或先后,一次或多次,从各自允许选择的行为或策略中进行选择并实施,并各自取得相应结果或收益的过程
      • 密码学:研究编织密码和破译密码的技术科学

     1.3 信息安全方法论

    网络安全方法论是研究解决安全问题的方法,具体内容有理论分析、逆向分析、实验验证、技术实现

    1.4 信息系统安全层次

    信息系统安全可以划分为四个层次,具体如表1-4-1所示

    层次属性说明
    设备稳定性设备一定时间内不出故障的概率
    设备安全设备可靠性设备一定时间内正常运行的概率
    设备可用性设备随时可以正常使用的概率
    数据秘密性数据不被未授权方使用的属性
    数据安全数据完整性数据保持真实与完整,不被篡改的属性
    数据可用性数据随时可以正常使用的概率
    政治健康
    内容安全合法合规
    符合道德规范
    行为秘密性行为的过程和结果是秘密的,不影响数据的秘密性
    行为安全行为完整性行为的过程和结果可预期,不影响数据的完整性
    行为的可控性可及时发现、纠正、控制偏离预期的行为

    1.5 信息安全管理

    信息安全管理是维护信息安全的体制,是对信息安全保障的进行指导、规范的一系列活动和过程。信息安全管理体系是组织在整体或特定范围内建立的信息安全方针和目标,以及所采用的方法和手段所构成的体系。改体系包含**密码管理、网络管理、设备管理、人员管理。

    1.5.1 密码管理

    密码技术是保护信息安全的最有效手段,也是保护信息安全的最关键技术。各国政府相应出台了各种密码管理政策用于控制密码技术、监控密码市场等。目前我国密码管理的相关机构是国家密码管理局,全程国家商用密码管理办公室。

    国家出台密码相关的主要政策有《商用密码管理条例》(中华人民共和国国务院第273号令,1999年10月7日发布)、《电子认证服务密码管理办法》、《证书认证系统密码及其相关安全技术规范》《商用密码科研管理规定》《商用密码产品生产管理规定》和《商用密码产品销售管理规定》《可信计算密码支撑平台功能与接口规范》《IPSec VPN技术规范》。

    《商用密码管理条例》相关的重要规定如下:

    第二条 本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。

    第三条 商用密码技术术语国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。

    第四条 国家密码管理委员会及其办公室(以下简称国家密码管理机构)主管全国的商用密码管理工作。

    1.5.2 网络管理

    网络管理是对网络进行有效而安全的监控、检查。网络管理的任务就是检测和控制。OSI定义的网络管理功能有性能管理、配置管理、故障管理、安全管理、计费管理。

    注意:详细的网络管理知识参见SNMP部分

    1.5.3 设备管理

    设备安全管理包括设备的选型、安装、调试、安装与维护、登记与使用、存储管理等。设备管理相关标准有:《电子计算机机房设计规范》(GB50173-9)、《计算站场地技术条件》(GB2887-89)、《计算站场地安全要求》(GB93361-88)。

    1.5.4 人员管理

    人员管理应该全面提升管理人员的业务素质、职业道德、思想素质。网络安全管理人员首先应该通过安全意识、法律意识、管理技能等多方面对审查:之后对所有相关人员进行适合的安全教育培训。

    安全教育对象不仅仅包含网络管理员,还应该包含用户、管理者、工程实施人员、研发人员、运维人员等。

    安全教育培训内容包含法规教育、安全技术教育(包含加密技术、防火墙技术、入侵检测技术、漏洞扫描技术、备份技术、计算机病毒防御技术和反垃圾邮件技术、风险防范措施和技术等)和安全意识教育(包含了解组织安全目标、安全规定与规则、安全相关法律法规等)。

    1.6 ISO安全体系结构

    ISO制定了国际标准ISO7498-2-1989《信息处理系统开放系统互连基本参考模型 第2部分安全体系结构》。该标准描述了开放系统互联(OSI)的基本参考模型,为协调开发现有的与未来系统互连标准建立起一个框架。其任务是提供安全服务于有关机制的一般描述,确定在参考模型内部提供服务与机制的位置。图1-6-1给出了开放体系互连安全体系结构示意图。

    Lily_Screenshot_1535951021

    ISO的开放系统互连安全体系结构包含了安全机制、安全服务、OSI参考模型,并明确了三者之间的逻辑关系。

    • 安全机制:保护系统免受攻击、侦听、破坏及恢复系统的机制
    • 安全服务:加强数据处理系统和信息传输的安全性服务,利用一种或多种安全机制阻止安全攻击。
    • OSI参考模型:开放系统互连参考模型,及常见的七层协议体系结构

    网络安全体系结构借鉴了开放系统互连安全体系结构,具体如图1-6-2所示Lily_Screenshot_1535951342

    网络安全体系包含三部分内容:协议层次、系统单元、安全服务。

    • 协议层次:TCP/IP协议
    • 系统单元:该安全单元能解决哪些系统环境的安全问题。
    • 安全服务:该安全单元能解决哪些安全威胁

    1.7 信息安全风险管理

    系统外部可能造成的损害,称为威胁;系统内部可能造成的损害,称为脆弱性。系统风险则是威胁利用脆弱性造成损坏的可能性。

    1.7.1 风险评估

    风险评估就是依据评估标准,利用评估的方法、技术和工具,全面评价系统中威胁、脆弱点以及带来风险大小的评估。在项目管理理论中,风险评估在风险分析和风险监控中常常用到。

    对信息系统进行风险评估,首先要确保评估和分析的内容、范围应该覆盖整个信息系统的体系。系统体系包含:系统基本情况分析、系统安全状况调查、系统安全组织、政策分析、系统弱点漏洞分析等。

    风险评估的流程如下:

    1. 确定资产:确定信息系统资产,明确资产价值
    2. 脆弱性和威胁分析:分析项目的脆弱性和威胁,评估发生概率及损失
    3. 指定应对方案:提出各种应对手段和解决办法
    4. 决策:评估影响、排列风险、制定决策
    5. 沟通与交流
    6. 方案实施

    风险评估的方法有定性风险评估、定量风险评估、定量与定性结合的风险评估

    • 定性风险评估:评估、汇总风险发生的概率和影响,并对风险进行排序
    • 定量风险评估:定量分析已识别风险对项目的整体影响
    • 定量与定性相结合的风险评估:常用的方法有层次分析法,核心是将决策者的经验判断进行量化,并提供定量的决策依据。层次分析法的基本步骤是系统分解、构造判断矩阵、层次总排序

    1.7.2 风险管理

    风险管理的目的是提高积极风险发生的概率和影响,降低消极风险的发生概率和影响。项目管理中定义的风险管理包含如下过程:

    1. 规划风险管理:决定如何进行、规划和实施项目风险管理活动
    2. 识别风险:识别并记录影响项目的风险
    3. 定性风险评估:评估、汇总风险发生的概率和影响,并对风险进行排序
    4. 定量风险评估:定量分析已识别风险对项目的整体影响
    5. 风险控制:指定具体的积极、消极风险应对方案。减少风险的方法如下:避免风险(例如:隔离重要计算机避免受攻击)、转移风险(例如:外包服务、购买保险)、减少威胁(例如:安装杀毒软件)、减少脆弱性(例如:安装系统补丁)、减少威胁可能的损害、检测意外事件
    6. 风险监控:整个项目过程中,跟踪已知风险,识别新风险,实施风险应对、评估风险有效性。

    一般可通过以下途径达到降低风险的目的:

    • 避免风险:通过改变项目计划,排除风险起源,改变风险目标避免风险,取消项目。例如,对重要设备进行网络隔离,避免攻击。
    • 转移风险:将部分或者全部风险连同应对的责任转移到他方身上。例如,对高风险业务进行外包、保险、担保等。
    • 减少威胁:降低风险概率到可接受范围。例如,部署杀毒软件或者反木马软件,减少系统被攻击的机会
    • 减少脆弱性:常用的方法有系统安装补丁,修复漏洞,减少系统的脆弱性
    • 减少威胁可能的影响:例如制定业务持续性计划,把灾难造成的损失降到最低
    • 检测并响应和恢复意外事件:例如,使用网管软件检测系统性能和故障,当发现问题是进行相应的响应

    在实时风险控制后,仍然会存在风险,称为剩余风险风险接受是一个对剩余风险进行确认评价、接受的过程。

    展开全文
  • 定义 Access Control Decision Function ADF 访问控制判决功能 Access Control Decision Information ADI 访问控制判决信息 Access Control Enforcement Function AEF 访问控制实施功能 Access Control...
  • 中级软考信息安全工程师笔记

    千次阅读 多人点赞 2021-01-25 16:24:27
    1999年9月13日,由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》,并定于2001年1月1日实施其中把计算机信息安全划分为了5个等级: 第一级:用户自主保护级; 第二级:系统...
  • 人机工程学/人因工程学的定义

    千次阅读 2018-07-10 23:55:09
    来源:人机与认知实验室摘要:人机工程学(Human Machine Environment)和人因工程学(Human Factor Environment)国际百科全书的...
  • 信息安全工程

    千次阅读 2020-01-04 21:16:29
    第一章 信息安全工程 信息安全工程与软件工程的区别: 软件工程:保证事情发生 信息安全工程:保证事情不发生 信息安全工程:采用SE的概念,原理,技术和方法来研究设计,开发,实施,管理,维护,和评估信息...
  • 来源:内容由半导体行业观察翻译自「Arteris」,谢谢。汽车半导体设备和电子系统的开发人员要小心:可能有些供应商声称他们的产品符合ISO 26262安全标准要求,如果这些说法未能阐明...
  • 安全测试(三) 服务器安全 渗透测试 常规服务器安全漏洞 高危端口暴露、弱口令密码、暴力破解、服务器提权、Mysql数据库提权等 浅谈《社会工程学》实战案例安全测试(三) 服务器安全 渗透测试 常规服务器安全漏洞 ...
  • 数据要素的价值在不断得到释放,对提高生产效率的推动作用日益突出。 日前,国务院办公厅印发《要素市场化配置综合改革试点总体方案》,此举标志着要素市场化配置改革进入向纵深推进阶段。其在“探索建立数据要素...
  • 网络信息安全安全风险管理

    千次阅读 2022-04-19 14:23:37
    资产与风险是对矛盾共同体,资产价值越高,面临的风险就越大。而对于目前的组织机构而言,由于组织的业务运营越来越依赖于信息资产,信息安全相关风险在组织整体风险中所占的比例也越来越高。信息安全风险管理的目的...
  • “软件供应链安全在2022年将比以往任何时候都更加重要,”近日在CES展上,黑莓公司预测,进一步加大软件定义汽车的开发模式进入深水区,安全、可靠的用户体验将成为重要里程碑,汽车制造商将迈向数据驱动的未来。...
  • 我理解的安全运营

    万次阅读 多人点赞 2018-07-17 10:10:42
    曾经,安全圈把从业人员分成剑宗和气宗。剑宗是掌握一些招式,不需要长年累月的积累“内力”,有时候就能出奇制胜,搞Web安全的“脚本小子”被划为这一类,而气宗因为需要从汇编、编译原理等晦涩的知识开始,学习...
  • 来源 |智能相对论 作者|隐东 “元宇宙”被坐拥35.8亿月活用户的Meta(原Facebook)带火之后,微软、英伟达、腾讯、字节跳动...清华大学《2020-2021年元宇宙发展研究报告》综合各方的探索,对元宇宙作出了如下定义..
  • 搞不懂,只能收藏一下包不挂科 知识点总结 第一章: 软件工程定义: 1968年10月,Fritz Bauer 首次提出了“软件工程”的概念,并将“软件工程”定义为:为了经济地获得能够在实际机器上有效运行的可靠软件,而建立并...
  • 2021秋《工程伦理》期末考试答案 分享一波自己的作答,不一定正确 1.以下哪些工程没有遵循自然规律,成为生态上失败的工程。() A.咸海水利工程;B.三门水利枢纽 2.某跨国公司的工程师认为,分公司完全可以保持在自己...
  • AI重新定义web及谷歌验证码安全

    万次阅读 2021-01-30 18:52:27
    云给安全带来的影响 距离2006年Amazon发布EC2服务已经过去了11年,在这11年里,发生的不仅仅是AWS收入从几十万美金上涨到100多亿美金,更重要的是云计算已经走进每一家企业。根据信通院发布的“2016云计算白皮书”,...
  • 工程伦理 2021-04-20

    千次阅读 2021-04-20 13:11:41
    目前对水利工程价值的伦理判断基本是遵循功利主义原则。() 本题得分:1分 正确答案:正确 3.多选题(2分) 强化()_手段,保证数据安全,是大数据应用的重要伦理法则。 A 技术 B 管理 ...
  •  从定义上来看,“雪亮工程"是以县、乡、村三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的"群众性治安防控工程”。因为"群众的眼睛是雪亮的",所以称之为...
  • 非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
  • 网络安全教程(一)

    千次阅读 多人点赞 2022-03-12 12:54:42
    国际标准化组织ISO将计算机网络安全定义为:“为数据处理系统建立和采取的技术与管理的安全保护,保护网络系统的硬件,软件及其系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连接可靠、正常...
  • 雨课堂《工程伦理》期末考试答案

    万次阅读 多人点赞 2021-12-07 11:00:06
    为各位研究生们悉心整理的《工程伦理》期末考试答案
  • 工程伦理和学术道德(2021秋)

    万次阅读 多人点赞 2021-09-29 20:38:57
    (1-6)在工程中,“将公众的安全、健康和福祉放在首位”是大多数工程伦理规范的核心原则,( )是解释这个原则最直接的方式。【注意这里正确答案是B】 (1-1)伦理规范在社会实践中是否值得应用、如何得到应用,对...
  • 《当人工智能遇上安全》系列博客,详细介绍人工智能与安全相关的论文、实践,并分享各种案例,希望您喜欢。前一篇文章分享了张超大佬的两次报告,带领大家了解Fuzzing,第一篇是学术论文相关的“数据流敏感的漏洞...
  • 在网络安全领域,攻击者始终拥有取之不竭、用之不尽的网络弹药,可以对组织机构随意发起攻击;而防守方则处于敌暗我明的被动地位,用有限的资源去对抗无限的安全威胁,而且每次都必须成功地阻止攻击者的攻击。基于...
  • 3推动信息系统安全工程ISSE的控制方法 安全需求挖掘 安全功能定义 安全要素设计 全程安全控制 风险管理 有效评估CC/TCSEC/IATF 威胁级别Tn 资产价值等级Vn 安全机制强度等级SMLn) 安全技术保障强壮性级别IATRn * ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 57,107
精华内容 22,842
关键字:

安全价值工程的定义