HCIA-網(wǎng)絡(luò)安全基礎(chǔ)PPT-01網(wǎng)絡(luò)安全概念及規(guī)范

信息安全概念及規(guī)范前言l

隨著互聯(lián)網(wǎng)的普及，眾多的企業(yè)

、組織

、政府部門與機(jī)構(gòu)都在組建和發(fā)展自己的網(wǎng)絡(luò)，大量建設(shè)

的各種信息系統(tǒng)已經(jīng)成為國家和政府的關(guān)鍵基礎(chǔ)設(shè)施。整個(gè)國家和社會對網(wǎng)絡(luò)也越來越依賴

，網(wǎng)

絡(luò)已經(jīng)成為社會和經(jīng)濟(jì)發(fā)展的強(qiáng)大推動(dòng)力，其地位越來越重要

。正因?yàn)槿绱?/p>

，網(wǎng)絡(luò)安全和信息安

全的保障也愈發(fā)重要和關(guān)鍵。在數(shù)據(jù)通信的過程中，各種不安全因素將會導(dǎo)致信息泄密

、信息不

完整和信息不可用等問題，影響巨大

。本課程描述了信息安全的基本概念和發(fā)展歷程，以及安全

行業(yè)和技術(shù)的未來發(fā)展趨勢

，為后續(xù)安全相關(guān)的課程提供鋪墊。l

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對各行業(yè)建立網(wǎng)絡(luò)安全管理體系起著指導(dǎo)、牽引和監(jiān)督的作用

，本課程描述了國內(nèi)

和國際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

，以及這些標(biāo)準(zhǔn)的認(rèn)證過程。目標(biāo)l

學(xué)完本課程后，您將能夠：

描述網(wǎng)絡(luò)安全的定義和特點(diǎn)

描述網(wǎng)絡(luò)安全的發(fā)展歷程和趨勢

描述ISO

27001信息安全管理體系

描述網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)目錄1.

網(wǎng)絡(luò)安全定義n

網(wǎng)絡(luò)安全的概述和發(fā)展歷史。

網(wǎng)絡(luò)安全常見威脅2.網(wǎng)絡(luò)安全發(fā)展趨勢3.信息安全標(biāo)準(zhǔn)與規(guī)范網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全包括廣義的網(wǎng)絡(luò)安全和狹義的網(wǎng)絡(luò)安全。

廣義的網(wǎng)絡(luò)安全是指Cyber

Security

，也就是網(wǎng)絡(luò)空間安全，網(wǎng)絡(luò)空間由獨(dú)立且互相依存的信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)組成，

包括互聯(lián)網(wǎng)、電信網(wǎng)、計(jì)算機(jī)系統(tǒng)、嵌入式處理器和控制器系統(tǒng)等，是國家層面的。

狹義的網(wǎng)絡(luò)安全是指Network

Security，也就是我們常說的網(wǎng)絡(luò)安全，是指通過采取必要的措施，防范對網(wǎng)絡(luò)及網(wǎng)絡(luò)

中傳遞的信息的攻擊、入侵、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，保障網(wǎng)絡(luò)中信

息及數(shù)據(jù)的保密性、完整性、可用性的能力。l通信安全時(shí)期20世紀(jì)40年代

，通信技術(shù)還不發(fā)達(dá)

，數(shù)據(jù)只是零散地位于不同的地點(diǎn)

，信息系統(tǒng)的安全僅限于保證信息的物理安全以及通過密碼（主要是序列密碼）解決通信安全的保密問題

。例如

，將信息安置在相對安全的地點(diǎn)

，

不容許非授權(quán)用戶接近

，使用密碼技術(shù)保障電話

、電報(bào)和傳真等信息交換過程的安全

，從而確保數(shù)據(jù)的安全

性

。該時(shí)期側(cè)重于保證數(shù)據(jù)在兩個(gè)地點(diǎn)傳輸過程中的安全性。l

信息系統(tǒng)安全僅限于保證信息的物理安全以及解決通信安全的保密問題。ABCDEFGHI

J……X

Y

Z

AB

CDEFGHI

J……SECURITYPBZROFQVl信息安全時(shí)期l

計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的應(yīng)用進(jìn)入實(shí)用化和規(guī)模化，數(shù)據(jù)傳輸已經(jīng)可以通過電腦網(wǎng)絡(luò)完成。l

信息安全的主要目標(biāo)是確保信息的完整性

、可用性和保密性。?確保信息在傳輸過程中不被

篡改。如果被篡改，信息的

接收方則可以識別到。?確保被授權(quán)人員在需要時(shí)可

以獲取和使用相關(guān)的信息資產(chǎn)。?確保信息只能由被授權(quán)的人

員獲取及使用。數(shù)據(jù)即使被

攻擊者竊取，也不能讀出正確的信息。保密性可用性完整性信息保障時(shí)期l

可控性和不可否認(rèn)性成為保密性

、完整性和可用性三個(gè)原則外

，新的信息安全焦點(diǎn)。l

從業(yè)務(wù)

、安全體系和管理三個(gè)方面構(gòu)建企業(yè)信息保障體系。網(wǎng)絡(luò)空間安全時(shí)期l

信息安全的內(nèi)涵和外延不斷擴(kuò)大

，升級為網(wǎng)絡(luò)空間安全，其目標(biāo)是包含設(shè)施

、數(shù)據(jù)

、用戶和操作在內(nèi)整個(gè)網(wǎng)

絡(luò)空間的系統(tǒng)安全。l

國家出臺網(wǎng)絡(luò)安全等級保護(hù)等相關(guān)標(biāo)準(zhǔn)和規(guī)范

，引導(dǎo)企業(yè)建立信息安全管理體系。信息安全網(wǎng)絡(luò)空間安全建設(shè)網(wǎng)絡(luò)安全的意義企業(yè)建設(shè)網(wǎng)絡(luò)安全可以減少遭受網(wǎng)絡(luò)攻擊后造成的損失。l

網(wǎng)絡(luò)攻擊逐漸成為一種服務(wù)，

企業(yè)面臨更多網(wǎng)絡(luò)風(fēng)險(xiǎn)。l

企業(yè)因網(wǎng)絡(luò)攻擊導(dǎo)致應(yīng)用系統(tǒng)

癱瘓以及用戶信息泄露，將遭

受巨大損失。網(wǎng)絡(luò)安全對國家安全至關(guān)重要。l

網(wǎng)絡(luò)安全成為經(jīng)濟(jì)繁榮、社會

穩(wěn)定和國家發(fā)展的基礎(chǔ)。l

各國地緣政治博弈已經(jīng)超越了

實(shí)體空間限制，延伸到了網(wǎng)絡(luò)

空間。企業(yè)信息安全管理體系建設(shè)需

要符合網(wǎng)絡(luò)安全政策要求。l

我國在政策、法規(guī)和標(biāo)準(zhǔn)等多

方面完善信息安全政策體系建

設(shè)。l

政府機(jī)關(guān)，企業(yè)網(wǎng)絡(luò)需要符合

等保規(guī)范。效益性重要性合規(guī)性目錄1.

網(wǎng)絡(luò)安全定義?網(wǎng)絡(luò)安全的概述和發(fā)展歷史n

網(wǎng)絡(luò)安全常見威脅2.網(wǎng)絡(luò)安全發(fā)展趨勢3.信息安全標(biāo)準(zhǔn)與規(guī)范網(wǎng)絡(luò)安全威脅1黑客往往是信息安全事件的發(fā)起漏洞是一切安全問題的根源

。新增勒索攻擊數(shù)量繼續(xù)增長

，攻擊門檻者

，通過攻擊網(wǎng)絡(luò)

，獲得有益的漏洞數(shù)量快速上漲

，且漏洞挖掘從降低，多重勒索策略或?qū)⒊蔀橹髁?/p>

。信息或者豐厚的報(bào)酬

，通常伴隨應(yīng)用層面深入到底層組件甚至架構(gòu)勒索贖金整體走高

，釣魚和遠(yuǎn)程桌著犯罪行為。層面

，影響不斷增大。面協(xié)議是勒索攻擊的主要媒介。信息泄露是當(dāng)今網(wǎng)絡(luò)最常見的信DDoS攻擊

正在逐漸演變?yōu)橐环N服針對供應(yīng)鏈的威脅和攻擊不斷息安全事件，通過在用戶設(shè)備植務(wù)，成為攻擊者獲利的新手段

。攻增加

，

因?yàn)楣?yīng)鏈所涉及的下入木馬

，安裝竊聽設(shè)備等方式，擊者通過出售網(wǎng)絡(luò)犯罪工具包和服游企業(yè)及用戶眾多

，攻擊成功黑客可以對收集的信息進(jìn)行數(shù)據(jù)務(wù)獲取經(jīng)濟(jì)利益

，網(wǎng)絡(luò)犯罪日益增后

，往往會造成廣泛的影響。挖掘

，從照片

、電子郵件

、視頻

會議和社交資料各類信息中分析

個(gè)人的聯(lián)系方式與行為。長。黑客l

黑客（Hacker）是指對軟件設(shè)計(jì)

、編程和計(jì)算機(jī)科

學(xué)等方面有深入理解的人。

在計(jì)算機(jī)軟件方面，“黑客”是對計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)

絡(luò)系統(tǒng)特別感興趣并且有深入理解的一群人；

在業(yè)余計(jì)算機(jī)技術(shù)方面，“黑客”是指研究如何修改

計(jì)算機(jī)相關(guān)產(chǎn)品的業(yè)余愛好者；

在信息安全方面，“黑客”指研究如何智取計(jì)算機(jī)安

全系統(tǒng)的人員。他們利用公共通訊網(wǎng)路，如電話系統(tǒng)

和互聯(lián)網(wǎng)，在非正規(guī)的情況下登錄對方系統(tǒng)，掌握操控系統(tǒng)之權(quán)力。漏洞l

漏洞也稱為脆弱性，是指計(jì)算機(jī)系統(tǒng)在硬件、軟件和協(xié)議的具體事項(xiàng)或系統(tǒng)安全策略上存在缺陷和不足。l

通過漏洞

，信息系統(tǒng)可能會發(fā)生權(quán)限繞過

、權(quán)限提升

、執(zhí)行非授權(quán)指令、數(shù)據(jù)泄露和拒絕服務(wù)攻擊等信息安

全事件。l

現(xiàn)網(wǎng)中

，工程師通過漏洞掃描來檢測目標(biāo)網(wǎng)絡(luò)或主機(jī)的脆弱性，可用于模擬攻擊實(shí)驗(yàn)和安全審計(jì)。勒索攻擊l

某成品油管道運(yùn)營商遭到勒索軟件的網(wǎng)絡(luò)攻擊

，影響了管理管道的計(jì)算機(jī)相關(guān)設(shè)備，導(dǎo)致部分燃料供應(yīng)系統(tǒng)

被迫下線

。此次事件是對關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行的極具破壞性的網(wǎng)絡(luò)攻擊。l

勒索攻擊過程如下所示：盜竊?

攻擊者會遍歷已攻

陷主機(jī)數(shù)據(jù)，篩選最有價(jià)值的攻擊對象，竊取受控主機(jī)數(shù)據(jù)，并將數(shù)據(jù)上傳到攻擊者控制的服務(wù)器上。?

SQL弱口令爆破；?

網(wǎng)絡(luò)釣魚；?

惡意電子郵件；?惡意附件投遞。?

攻擊者入侵某一臺

主機(jī)之后，利用各

種攻擊方法在目標(biāo)

網(wǎng)絡(luò)橫向擴(kuò)散以增

加受控主機(jī)數(shù)量。?

最終運(yùn)行一種或多

種勒索病毒來癱瘓

目標(biāo)網(wǎng)絡(luò)，留下勒

索信件，實(shí)施數(shù)十

至數(shù)百萬美元不等

的勒索，或者出售數(shù)據(jù)獲取利益。擴(kuò)散勒索入侵信息泄露某安全研究人員發(fā)現(xiàn)網(wǎng)絡(luò)中存在一個(gè)未受保護(hù)的數(shù)據(jù)庫

，該數(shù)據(jù)庫采集了約50億條數(shù)據(jù)

，并且無需身份驗(yàn)證即可訪問

。研究人員通知了該數(shù)據(jù)庫所屬公司，三天后該公司保護(hù)了此數(shù)據(jù)庫，但可能已造成了數(shù)據(jù)泄露。Day

1

Day

2

Day

6安全研究人員發(fā)現(xiàn)問題

并通知數(shù)據(jù)庫所屬公司該公司對數(shù)據(jù)

庫進(jìn)行保護(hù)數(shù)據(jù)庫被搜索

引擎索引lDDoS攻擊l

黑客個(gè)人或組織利用DDoS（Distributed

DenialofService）攻擊

，使目標(biāo)服務(wù)器的網(wǎng)絡(luò)或系統(tǒng)資源耗

盡

，使其服務(wù)暫時(shí)中斷或停止

，導(dǎo)致正常的用戶無

法訪問。l

隨著物聯(lián)網(wǎng)的興起

，越來越多的

IoT（Internet

ofThings）設(shè)備接入網(wǎng)絡(luò)

，黑客利用設(shè)備硬件或管理

漏洞就可以迅速發(fā)起一次大規(guī)模的DDoS攻擊

。黑客

利用DDoS攻擊資源對外提供能力租賃服務(wù)

，缺乏技

術(shù)能力的攻擊者可以根據(jù)需要定制攻擊

，這逐漸成

為掌握DDoS攻擊能力的黑客組織獲利的主流方式。供應(yīng)鏈攻擊l

供應(yīng)鏈攻擊是針對供應(yīng)鏈發(fā)起的網(wǎng)絡(luò)攻擊，并通過供應(yīng)鏈將攻擊延伸至相關(guān)的合作伙伴和企業(yè)客戶。某著名信息系統(tǒng)管理和網(wǎng)絡(luò)監(jiān)控軟件開發(fā)公司的相關(guān)產(chǎn)品遭到供應(yīng)鏈攻擊事件被披露

，引發(fā)全球關(guān)注

。該公司遭到APT組織發(fā)動(dòng)的供應(yīng)鏈攻擊，所屬平臺軟件的安裝包被植入后門

，使用該軟件的客戶均存在被入侵的

風(fēng)險(xiǎn)

。該軟件是一個(gè)針對網(wǎng)絡(luò)設(shè)備提供實(shí)時(shí)監(jiān)測和分析的管理平臺軟件，客戶主要包括政府、軍事、教育等

重要機(jī)構(gòu)和國際知名企業(yè)。q后門組件官方安裝包下載或更新植入入侵者核心服務(wù)組件安裝包合作伙伴/企業(yè)客戶l目錄1.網(wǎng)絡(luò)安全定義2.

網(wǎng)絡(luò)安全發(fā)展趨勢3.

信息安全標(biāo)準(zhǔn)與規(guī)范Gartner八大安全和風(fēng)險(xiǎn)趨勢序號安全和風(fēng)險(xiǎn)趨勢1網(wǎng)絡(luò)安全網(wǎng)格：網(wǎng)絡(luò)安全網(wǎng)格作為一種現(xiàn)代安全架構(gòu)概念，可應(yīng)對未來的網(wǎng)絡(luò)安全威脅，能夠使分布式

企業(yè)在最需要的地方部署和擴(kuò)展安全性。2精通網(wǎng)絡(luò)安全的董事會成員：企業(yè)越來越關(guān)注網(wǎng)絡(luò)安全，傾向于使用具有安全經(jīng)驗(yàn)的高層管理者。3安全產(chǎn)品供應(yīng)商整合：供應(yīng)商整合和集成度更高的安全產(chǎn)品可以提高運(yùn)維效率，降低企業(yè)成本。4身份優(yōu)先：隨著攻擊者將目光聚焦到獲得身份和訪問管理功能權(quán)限上，身份優(yōu)先安全變得更加急迫了。5管理機(jī)器身份正成為一項(xiàng)重要的安全能力：現(xiàn)代應(yīng)用程序中的非人類實(shí)體數(shù)量呈爆炸式增長，管理機(jī)器

身份已成為安全操作的重要組成部分。6“遠(yuǎn)程辦公”興起：未來社會實(shí)現(xiàn)遠(yuǎn)程辦公，需要企業(yè)重新制定安全策略和工具以更好地降低安全風(fēng)險(xiǎn)。7善用攻防演練：攻防演練作為一個(gè)新興市場，可以幫助企業(yè)檢驗(yàn)其安全狀況，提升其安全防御能力。8隱私增強(qiáng)計(jì)算技術(shù)：可以在不受信任環(huán)境中，實(shí)現(xiàn)安全的數(shù)據(jù)處理、共享、跨境傳輸和分析。網(wǎng)絡(luò)安全態(tài)勢感知

(1)l

隨著企業(yè)網(wǎng)絡(luò)規(guī)模擴(kuò)大

，安全架構(gòu)日趨復(fù)雜

，各種類型的安全設(shè)備

、安全數(shù)據(jù)越來越多

，企業(yè)的安全運(yùn)維壓

力不斷加大。當(dāng)前企業(yè)網(wǎng)絡(luò)環(huán)境中部署的各類安全設(shè)備主要實(shí)現(xiàn)單點(diǎn)檢測

，這種獨(dú)立分割的安全防護(hù)體系已經(jīng)很難應(yīng)對以APT為代表的新型網(wǎng)絡(luò)威脅。l

網(wǎng)絡(luò)安全態(tài)勢感知是一種基于環(huán)境動(dòng)態(tài)地

、整體地洞悉安全風(fēng)險(xiǎn)的能力

，它利用數(shù)據(jù)融合

、數(shù)據(jù)挖掘

、智能

分析和可視化等技術(shù)，

直觀顯示網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)安全狀況

，為網(wǎng)絡(luò)安全保障提供技術(shù)支撐。安全要素采集安全數(shù)據(jù)處理安全數(shù)據(jù)分析和結(jié)果展示安全態(tài)勢感知功能l網(wǎng)絡(luò)安全態(tài)勢感知

(2)HiSec

Insight流探針HiSec

Insight流探針服務(wù)器區(qū)域企業(yè)網(wǎng)絡(luò)中部署HiSec

Insight，通過流探針采集網(wǎng)絡(luò)中

的流量、設(shè)備日志等網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)，通過大數(shù)據(jù)分析，結(jié)合機(jī)器學(xué)習(xí)技術(shù)、專家信譽(yù)和情報(bào)驅(qū)動(dòng)，有效地發(fā)現(xiàn)

網(wǎng)絡(luò)中的潛在威脅和高級威脅，實(shí)現(xiàn)企業(yè)內(nèi)部的全網(wǎng)安

全態(tài)勢感知，分析結(jié)果在可視化界面集中展示。HiSec

Insight

采集器辦公網(wǎng)零信任安全零信任是一組不斷發(fā)展的網(wǎng)絡(luò)安全范式

，該范式將網(wǎng)絡(luò)防御從基于網(wǎng)絡(luò)的靜態(tài)邊界轉(zhuǎn)移到關(guān)注用戶

，資產(chǎn)和資源

。零信任架構(gòu)ZTA是基于零信任原則的企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略，

旨在防止數(shù)據(jù)泄露和限制內(nèi)部橫向移動(dòng)。l

零信任的核心思想是，默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人

、設(shè)備和系統(tǒng)

，需要基于認(rèn)證

、授權(quán)

和重構(gòu)訪問控制的信任基礎(chǔ)

，即永不信任，始終驗(yàn)證。網(wǎng)絡(luò)中心化身份中心化企業(yè)外部網(wǎng)絡(luò)企業(yè)內(nèi)部網(wǎng)絡(luò)訪問策略決策企業(yè)外部網(wǎng)絡(luò)

攻擊者

病毒企業(yè)內(nèi)部網(wǎng)絡(luò)l目錄1.

網(wǎng)絡(luò)安全定義2.網(wǎng)絡(luò)安全發(fā)展趨勢3.信息安全標(biāo)準(zhǔn)與規(guī)范n

信息安全標(biāo)準(zhǔn)概述?

ISO

27001信息安全管理體系介紹?

網(wǎng)絡(luò)安全等級化保護(hù)體系信息安全標(biāo)準(zhǔn)的意義l

信息安全標(biāo)準(zhǔn)是規(guī)范性文件之一

，其定義是：為了在一定的范圍內(nèi)獲得最佳秩序

，經(jīng)協(xié)商一致并由公認(rèn)機(jī)構(gòu)

批準(zhǔn)

，制定的一種規(guī)范性文件。l

信息安全標(biāo)準(zhǔn)化是國家網(wǎng)絡(luò)安全保障體系建設(shè)的重要組成部分。

企業(yè)在建立自己的信息

系統(tǒng)時(shí)，如何能夠確保

自己的系統(tǒng)是安全的呢？依據(jù)國際制定的權(quán)威標(biāo)準(zhǔn)來執(zhí)行和檢查每一個(gè)步驟是個(gè)好辦法！信息安全標(biāo)準(zhǔn)組織在國際上

，與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有以下2個(gè)：

International

Organizationfor

Standardization（

ISO）國際標(biāo)準(zhǔn)化組織

International

Electrotechnical

Commission（

IEC）國際電工委員會

國內(nèi)的安全標(biāo)準(zhǔn)組織主要有：

全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）

中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA）下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會l

其它一些制定標(biāo)準(zhǔn)的組織：

ISO和IEC成立了聯(lián)合技術(shù)委員會，負(fù)責(zé)制定信息技術(shù)領(lǐng)域中的國際標(biāo)準(zhǔn)。

International

TelecommunicationUnion（

ITU

）國際電信聯(lián)盟The

Internet

Engineering

Task

Force（

IETF

）Internet工程任務(wù)組National

Institute

of

Standardsand

Technology（

NIST）美國國家標(biāo)準(zhǔn)與技術(shù)研究院l常見信息安全標(biāo)準(zhǔn)與規(guī)范標(biāo)準(zhǔn)與規(guī)范定義網(wǎng)絡(luò)安全等級保護(hù)制度對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種制度。ISO

27001信息安全管理體系的國際標(biāo)準(zhǔn)。可以幫助企業(yè)建立與優(yōu)化自身的信息安全管理體

系，并對其進(jìn)行評估。美國標(biāo)準(zhǔn)TCSECTrusted

Computer

System

Evaluation

Criteria，可信計(jì)算機(jī)系統(tǒng)評價(jià)標(biāo)準(zhǔn)。1970年由美國國防科學(xué)委員會提出，

1985年12月由美國國防部公布。是計(jì)算機(jī)

系統(tǒng)安全評估的第一個(gè)正式標(biāo)準(zhǔn)。歐盟標(biāo)準(zhǔn)ITSECInformation

Technology

Security

Evaluation

Criteria

，歐洲的安全評價(jià)標(biāo)準(zhǔn)，

是英國、法國、德國和荷蘭制定的IT安全評估準(zhǔn)則，較美國軍方制定的TCSEC準(zhǔn)

則在功能的靈活性和有關(guān)的評估技術(shù)方面均有很大的進(jìn)步。應(yīng)用領(lǐng)域?yàn)檐婈?duì)、政

府和商業(yè)。目錄1.

網(wǎng)絡(luò)安全定義2.網(wǎng)絡(luò)安全發(fā)展趨勢3.信息安全標(biāo)準(zhǔn)與規(guī)范?信息安全標(biāo)準(zhǔn)概述n

ISO27001信息安全管理體系介紹?

網(wǎng)絡(luò)安全等級化保護(hù)體系信息安全管理體系信息安全管理體系（Information

Security

Management

System

，簡稱ISMS）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)

，以及完成這些目標(biāo)所用方法的體系

。ISMS概念最初來源于英國標(biāo)準(zhǔn)學(xué)會制定的BS

7799標(biāo)準(zhǔn),

隨著其作為國際標(biāo)準(zhǔn)的發(fā)布和普及而被廣泛地接受。ISMS的建設(shè)遵循PDCA的的流程步驟：

信息安全要求

和期望受控的信息安全?

Plan

：策劃（建立ISMS）?

Do

：實(shí)施（實(shí)施和運(yùn)行ISMS）?

Check：檢查（見識和評審ISMS）?Act

：改進(jìn)保持和改進(jìn)ISMSCheckPlanActISMSDollISO

27000演變歷程BS

7799標(biāo)準(zhǔn)后來被國際標(biāo)準(zhǔn)化組織ISO吸納，成為了正式的國際標(biāo)準(zhǔn)。目前正在適用的ISO/IEC27001及ISO/IEC27002均為2013發(fā)布的版本。1995年?BS

7799-1?《信息安全管理實(shí)施規(guī)則》2000年?ISO/IEC17799?《信息技術(shù)-信息安全管理實(shí)施細(xì)則》2007年?ISO/IEC27002?《信息安全管理實(shí)踐規(guī)范》1998年?BS

7799-2?《信息安全管理體系規(guī)范》2005年?ISO/IEC27001?《信息安全管理體系要求》llISMS與ISO/IEC27000ISO/IEC

27001是信息安全管理體系（ISMS）的國際規(guī)范性標(biāo)準(zhǔn)。ISO

27001認(rèn)證要求組織通過一系列的過程

，如確定信息安全管理體系范圍

、指定信息安全方針和策略

、明確管理職責(zé)

、以風(fēng)險(xiǎn)評估為基礎(chǔ)選擇控制目標(biāo)和控制措施等

，使組織達(dá)到動(dòng)態(tài)的

、系統(tǒng)的

、全員參與的和制

度化的

，以預(yù)防為主的信息安全管理方式。ISO/IEC

27002從14個(gè)方面提出35個(gè)控制目標(biāo)和113個(gè)控制措施

，這些控制目標(biāo)和措施是信息安全管理的最佳實(shí)踐。提供最佳實(shí)踐規(guī)則建立信息安全管理思想信息安全管理具體操作ISO/IEC27001ISO/IEC27002實(shí)施和建設(shè)安全管理

體系的要求和標(biāo)準(zhǔn)信息安全管理體系

ISMSISO

27001標(biāo)準(zhǔn)lll構(gòu)建信息安全管理體系的具體內(nèi)容lISO

27002中的14個(gè)控制域?yàn)椋涸L問控制系統(tǒng)獲取、開發(fā)和維護(hù)通信安全人力資源安全資產(chǎn)管理信息安全策略傳輸安全合規(guī)性操作安全供應(yīng)商關(guān)系信息安全事件管理業(yè)務(wù)連續(xù)性管理的信息安全方面加密物理及環(huán)境安全I(xiàn)SO27000信息安全管理體系家族l

除了ISO/IEC

27001和ISO/IEC

27002

，ISO

27000系列標(biāo)準(zhǔn)還包括認(rèn)證與審核指南相關(guān)的標(biāo)準(zhǔn)以及行業(yè)的相

關(guān)標(biāo)準(zhǔn)

。整個(gè)ISO27000系列標(biāo)準(zhǔn)致力于幫助不同類型、大小的企業(yè)及組織建立并運(yùn)行ISMS。處于研究階段并以

新項(xiàng)目提案方式體

現(xiàn)的成果，例如：供應(yīng)鏈安全、存儲安全等。ISO

27799第一部分要求及支持性指南第四部分醫(yī)療信息安全管理標(biāo)準(zhǔn)第二部分認(rèn)證認(rèn)可及審核指南第三部分行業(yè)信息安全管理要求電信業(yè)其它專門應(yīng)用與某個(gè)具體的安全域。金融業(yè)ISO/IEC27007ISO/IEC27008ISO/IEC27006ISO/IEC27003ISO/IEC27002ISO/IEC27001ISO/IEC27004ISO/IEC27005ISO/IEC27000ISO

27001項(xiàng)目實(shí)施方法論及步驟

目錄1.

網(wǎng)絡(luò)安全定義2.網(wǎng)絡(luò)安全發(fā)展趨勢3.信息安全標(biāo)準(zhǔn)與規(guī)范?信息安全標(biāo)準(zhǔn)概述?

ISO

27001信息安全管理體系介紹n

網(wǎng)絡(luò)安全等級化保護(hù)體系等級保護(hù)定義l

等級保護(hù)：對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作。l

網(wǎng)絡(luò)安全等級保護(hù)制度成為了國家網(wǎng)絡(luò)安全領(lǐng)域的基本國策

、基本制度和基本方法

。等保是安全建設(shè)的一個(gè)

“必過標(biāo)桿

”。第二十一條國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障

網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。第三十一條國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到

破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基

礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安

全保護(hù)辦法由國務(wù)院制定。第五十九條

網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒

不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。中華人民共和國網(wǎng)絡(luò)安全法等級保護(hù)的意義明確組織整體目標(biāo)，改

變以往單點(diǎn)防御方式，讓安全建設(shè)更加體系化。以等保為契機(jī)，加強(qiáng)網(wǎng)

絡(luò)安全建設(shè)，源于等保，不止于等保，滿足自身

業(yè)務(wù)安全需求。提高人員安全意識，樹

立等級化防護(hù)思想，合

理分配網(wǎng)絡(luò)安全投資。滿足合法合規(guī)要求，

落實(shí)網(wǎng)絡(luò)安全保護(hù)義

務(wù)，合理規(guī)避風(fēng)險(xiǎn)。業(yè)務(wù)安全需求安全體系化安全意識提升合法合規(guī)等級保護(hù)發(fā)展歷程等保經(jīng)歷了20多年的發(fā)展

，大概經(jīng)歷了四個(gè)階段

，國家等級保護(hù)制定也從1.0版本發(fā)展到了2.0版本。l等級保護(hù)對象l

等級保護(hù)對象是指網(wǎng)絡(luò)安全等級保護(hù)工作中的對象

，通常是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的

按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集

、存儲

、傳輸

、交換和處理的系統(tǒng)

，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算

平臺/系統(tǒng)

、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動(dòng)互聯(lián)網(wǎng)技術(shù)的系統(tǒng)等。

等級保護(hù)對象大數(shù)據(jù)平臺云計(jì)算平臺物聯(lián)網(wǎng)工業(yè)控制系統(tǒng)采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)基礎(chǔ)信息平臺等級保護(hù)系統(tǒng)定級l

等級保護(hù)對象根據(jù)其在國家安全

，經(jīng)濟(jì)建設(shè)和社會生活中的重要程度，遭到破壞后對國家安全

、社會秩序、

公共利益以及公民

、法人和其他組織的合法權(quán)益的危害程度等

，由低到高被劃分為五個(gè)安全保護(hù)等級。定級要素與安全保護(hù)等級的關(guān)系受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第三級社會秩序公共利益第二級第三級第四級國家安全第三級第四級第五級等級保護(hù)系統(tǒng)定級流程不同級別的安全保護(hù)能力自主保護(hù)級：一般適用于小型私營、個(gè)體企業(yè)、中小學(xué)、

鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信

息系統(tǒng)。指導(dǎo)保護(hù)級：一般適用于縣級某些

單位中的重要信息系

統(tǒng)；地市級以上國家

機(jī)關(guān)、企事業(yè)單位內(nèi)

部一般的信息系統(tǒng)。監(jiān)督保護(hù)級：一般適用于地市級以

上國家機(jī)關(guān)、企業(yè)、

事業(yè)單位內(nèi)部重要的

信息系統(tǒng)。強(qiáng)制保護(hù)級：一般適用于國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。?？乇Ｗo(hù)級：一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。第五級第四級第三級第一級第二級等級保護(hù)安全要求等保2.0安全要求分為安全通用要求和安全擴(kuò)展要求，以實(shí)現(xiàn)對不同級別和不同形態(tài)等級保護(hù)對象的共性化和個(gè)性化保護(hù)。安全通用要求和擴(kuò)展要求都分為技術(shù)要求和管理要求兩方面

，不同安全等級對應(yīng)的要求具體內(nèi)容不同

，安全等級越高

，要求內(nèi)容越嚴(yán)格。安全擴(kuò)展要求技術(shù)要求管理要求安全物理環(huán)境安全管理制度安全通信網(wǎng)絡(luò)安全管理機(jī)構(gòu)安全計(jì)算環(huán)境安全管理人員安全區(qū)域邊界安全建設(shè)管理安全管理中心安全運(yùn)維管理等保2.0安全要求安全通用要求云計(jì)算安全擴(kuò)展要求移動(dòng)互聯(lián)安全擴(kuò)展要求物聯(lián)網(wǎng)安全擴(kuò)展要求工業(yè)控制系統(tǒng)安全擴(kuò)展要求ll等保2.0標(biāo)準(zhǔn)體系等保2.0標(biāo)準(zhǔn)體系除了明確網(wǎng)絡(luò)安全等級保護(hù)基本要求的GB/T

22239-2019外

，還有其他一系列標(biāo)準(zhǔn)用于指導(dǎo)等保2.0的定級

、實(shí)施、測評等工作。

網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)體系測評過程指南GB/T

28449-2018設(shè)計(jì)要求GB/T

25070-2019實(shí)施指南GB/T

25058-2019測評要求GB/T

28448-2019定級指南GB/T

22240-2020基本要求GB/T

22239-2019l等級保護(hù)的工作流程運(yùn)營單位（客戶）思考題1.（單選題）等保2.0中定級對象初步定級為哪一級別，則其網(wǎng)絡(luò)運(yùn)營者可自行確定最終安全保護(hù)等級？

()A.

第一級B.

第二級C.

第三級D.

第四級2.

（判斷題）

ISO27002標(biāo)準(zhǔn)可以對企業(yè)信息安全體系進(jìn)行認(rèn)證

。()A.正確B.

錯(cuò)誤本章總結(jié)本課程簡要介紹了信息安全經(jīng)歷的四個(gè)發(fā)展時(shí)期，通信安全、信息安全

、信息保障和網(wǎng)絡(luò)空間安全

，并描述了網(wǎng)絡(luò)安全態(tài)勢感知

、零信任安全等安全理念和方案

。講解了各種信息安全國際標(biāo)準(zhǔn)

和國家標(biāo)準(zhǔn)的制定，如ISO

27001

，等保2.0等。這些標(biāo)準(zhǔn)規(guī)范促進(jìn)了企業(yè)信息安全管理體系的建設(shè)

。通過本課程的學(xué)習(xí)，您能夠?qū)π畔踩母拍罴耙?guī)范有一定的了解。l學(xué)習(xí)推薦l

華為官方網(wǎng)站

企業(yè)業(yè)務(wù)：http://enterprise.huawei.com/cn/

技術(shù)支持：http://support.huawei.com/enterprise/

在線學(xué)習(xí)：http://learning.huawei.com/cn/縮略語表

(1)縮略語英文全稱解釋APTAdvancedPersistent

Threat高級持續(xù)性威脅BSBritish

Standard英國國家標(biāo)準(zhǔn)CCSAChina

Communications

Standards

Association中國通信標(biāo)準(zhǔn)化協(xié)會CDNContentDeliveryNetwork內(nèi)容分發(fā)網(wǎng)絡(luò)DDoSDistributed

Denial

of

Service分布式拒絕服務(wù)DNSDomainNameSystem域名系統(tǒng)GBChina

National

Standards國標(biāo)IECInternational

ElectrotechnicalCommission國際電工委員會IETFInternetEngineering

TaskForceInternet工程任務(wù)組IoTInternet

of

Things物聯(lián)網(wǎng)ISMSInformation

SecurityManagementSystem信息安全管理體系ISOInternational

Organization

forStandardization國際標(biāo)準(zhǔn)化組織縮略語表

(2)縮略語英文全稱解釋ITSECInformation

TechnologySecurityEvaluation

Criteria歐洲的IT安全評估準(zhǔn)則ITUInternational

Telecommunication

Union國際電信聯(lián)盟NIST