信息安全概念及規(guī)范隨著互聯(lián)網(wǎng)的普及，眾多的企業(yè)、組織、政府部門與機構(gòu)都在組建和發(fā)展自己的網(wǎng)絡(luò)，大量建設(shè)的各種信息系統(tǒng)已經(jīng)成為國家和政府的關(guān)鍵基礎(chǔ)設(shè)施。整個國家和社會對網(wǎng)絡(luò)也越來越依賴，網(wǎng)絡(luò)已經(jīng)成為社會和經(jīng)濟發(fā)展的強大推動力，其地位越來越重要。正因為如此，網(wǎng)絡(luò)安全和信息安全的保障也愈發(fā)重要和關(guān)鍵。在數(shù)據(jù)通信的過程中，各種不安全因素將會導(dǎo)致信息泄密、信息不完整和信息不可用等問題，影響巨大。本課程描述了信息安全的基本概念和發(fā)展歷程，以及安全行業(yè)和技術(shù)的未來發(fā)展趨勢，為后續(xù)安全相關(guān)的課程提供鋪墊。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對各行業(yè)建立網(wǎng)絡(luò)安全管理體系起著指導(dǎo)、牽引和監(jiān)督的作用，本課程描述了國內(nèi)和國際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，以及這些標(biāo)準(zhǔn)的認(rèn)證過程。學(xué)完本課程后，您將能夠：描述網(wǎng)絡(luò)安全的定義和特點描述網(wǎng)絡(luò)安全的發(fā)展歷程和趨勢描述ISO27001信息安全管理體系描述網(wǎng)絡(luò)安全等級保護2.0標(biāo)準(zhǔn)網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全的概述和發(fā)展歷史網(wǎng)絡(luò)安全常見威脅網(wǎng)絡(luò)安全發(fā)展趨勢信息安全標(biāo)準(zhǔn)與規(guī)范網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全包括廣義的網(wǎng)絡(luò)安全和狹義的網(wǎng)絡(luò)安全。廣義的網(wǎng)絡(luò)安全是指CyberSecurity，也就是網(wǎng)絡(luò)空間安全，網(wǎng)絡(luò)空間由獨立且互相依存的信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)組成，包括互聯(lián)網(wǎng)、電信網(wǎng)、計算機系統(tǒng)、嵌入式處理器和控制器系統(tǒng)等，是國家層面的。狹義的網(wǎng)絡(luò)安全是指NetworkSecurity，也就是我們常說的網(wǎng)絡(luò)安全，是指通過采取必要的措施，防范對網(wǎng)絡(luò)及網(wǎng)絡(luò)中傳遞的信息的攻擊、入侵、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，保障網(wǎng)絡(luò)中信息及數(shù)據(jù)的保密性、完整性、可用性的能力。通信技術(shù)還不發(fā)達(dá)，數(shù)據(jù)零散分布，注重信息保密性。20世紀(jì)40年代通信安全時期可控性和不可否認(rèn)性成為新的信息安全原則。20世紀(jì)90年代信息保障時期20世紀(jì)70-80年代信息安全時期網(wǎng)絡(luò)技術(shù)進入實用化，注重信息的保密性、完整性和可用性。如今網(wǎng)絡(luò)空間安全時期信息安全內(nèi)涵和外延不斷擴展，升級到網(wǎng)絡(luò)空間安全。網(wǎng)絡(luò)安全發(fā)展歷程通信安全時期20世紀(jì)40年代，通信技術(shù)還不發(fā)達(dá)，數(shù)據(jù)只是零散地位于不同的地點，信息系統(tǒng)的安全僅限于保證信息的物理安全以及通過密碼（主要是序列密碼）解決通信安全的保密問題。例如，將信息安置在相對安全的地點，不容許非授權(quán)用戶接近，使用密碼技術(shù)保障電話、電報和傳真等信息交換過程的安全，從而確保數(shù)據(jù)的安全性。該時期側(cè)重于保證數(shù)據(jù)在兩個地點傳輸過程中的安全性。信息系統(tǒng)安全僅限于保證信息的物理安全以及解決通信安全的保密問題。SECURITYABCDEFGHIJ……XYZABCDEFGHIJ……PBZROFQV信息安全時期計算機和網(wǎng)絡(luò)技術(shù)的應(yīng)用進入實用化和規(guī)?；?，數(shù)據(jù)傳輸已經(jīng)可以通過電腦網(wǎng)絡(luò)完成。信息安全的主要目標(biāo)是確保信息的完整性、可用性和保密性。完整性確保信息在傳輸過程中不被篡改。如果被篡改，信息的接收方則可以識別到?？捎眯源_保被授權(quán)人員在需要時可以獲取和使用相關(guān)的信息資產(chǎn)。保密性確保信息只能由被授權(quán)的人員獲取及使用。數(shù)據(jù)即使被攻擊者竊取，也不能讀出正確的信息。信息保障時期可控性和不可否認(rèn)性成為保密性、完整性和可用性三個原則外，新的信息安全焦點。從業(yè)務(wù)、安全體系和管理三個方面構(gòu)建企業(yè)信息保障體系。從安全體系入手通過更多的技術(shù)手段把安全管理與技術(shù)防護聯(lián)系起來，主動地防御攻擊而不是被動保護。從管理入手培養(yǎng)安全管理人才建立安全管理制度。從業(yè)務(wù)入手不同業(yè)務(wù)流量有不同的風(fēng)險點和防御方式。保密性完整性可用性可控性不可否認(rèn)性以信息安全原則為基礎(chǔ)，從三個方面構(gòu)建企業(yè)信息保障體系。網(wǎng)絡(luò)空間安全時期信息安全的內(nèi)涵和外延不斷擴大，升級為網(wǎng)絡(luò)空間安全，其目標(biāo)是包含設(shè)施、數(shù)據(jù)、用戶和操作在內(nèi)整個網(wǎng)絡(luò)空間的系統(tǒng)安全。國家出臺網(wǎng)絡(luò)安全等級保護等相關(guān)標(biāo)準(zhǔn)和規(guī)范，引導(dǎo)企業(yè)建立信息安全管理體系。信息安全網(wǎng)絡(luò)空間安全建設(shè)網(wǎng)絡(luò)安全的意義重要性網(wǎng)絡(luò)安全對國家安全至關(guān)重要。網(wǎng)絡(luò)安全成為經(jīng)濟繁榮、社會穩(wěn)定和國家發(fā)展的基礎(chǔ)。各國地緣政治博弈已經(jīng)超越了實體空間限制，延伸到了網(wǎng)絡(luò)空間。合規(guī)性企業(yè)信息安全管理體系建設(shè)需要符合網(wǎng)絡(luò)安全政策要求。我國在政策、法規(guī)和標(biāo)準(zhǔn)等多方面完善信息安全政策體系建設(shè)。政府機關(guān)，企業(yè)網(wǎng)絡(luò)需要符合等保規(guī)范。效益性企業(yè)建設(shè)網(wǎng)絡(luò)安全可以減少遭受網(wǎng)絡(luò)攻擊后造成的損失。網(wǎng)絡(luò)攻擊逐漸成為一種服務(wù)，企業(yè)面臨更多網(wǎng)絡(luò)風(fēng)險。企業(yè)因網(wǎng)絡(luò)攻擊導(dǎo)致應(yīng)用系統(tǒng)癱瘓以及用戶信息泄露，將遭受巨大損失。網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全的概述和發(fā)展歷史網(wǎng)絡(luò)安全常見威脅網(wǎng)絡(luò)安全發(fā)展趨勢信息安全標(biāo)準(zhǔn)與規(guī)范網(wǎng)絡(luò)安全威脅DDoS攻擊正在逐漸演變?yōu)橐环N服務(wù)，成為攻擊者獲利的新手段。攻擊者通過出售網(wǎng)絡(luò)犯罪工具包和服務(wù)獲取經(jīng)濟利益，網(wǎng)絡(luò)犯罪日益增長。針對供應(yīng)鏈的威脅和攻擊不斷增加，因為供應(yīng)鏈所涉及的下游企業(yè)及用戶眾多，攻擊成功后，往往會造成廣泛的影響。勒索攻擊數(shù)量繼續(xù)增長，攻擊門檻降低，多重勒索策略或?qū)⒊蔀橹髁?。勒索贖金整體走高，釣魚和遠(yuǎn)程桌面協(xié)議是勒索攻擊的主要媒介。漏洞是一切安全問題的根源。新增漏洞數(shù)量快速上漲，且漏洞挖掘從應(yīng)用層面深入到底層組件甚至架構(gòu)層面，影響不斷增大。黑客往往是信息安全事件的發(fā)起者，通過攻擊網(wǎng)絡(luò)，獲得有益的信息或者豐厚的報酬，通常伴隨著犯罪行為。信息泄露是當(dāng)今網(wǎng)絡(luò)最常見的信息安全事件，通過在用戶設(shè)備植入木馬，安裝竊聽設(shè)備等方式，黑客可以對收集的信息進行數(shù)據(jù)挖掘，從照片、電子郵件、視頻會議和社交資料各類信息中分析個人的聯(lián)系方式與行為。1黑客黑客（Hacker）是指對軟件設(shè)計、編程和計算機科學(xué)等方面有深入理解的人。在計算機軟件方面，“黑客”是對計算機及計算機網(wǎng)絡(luò)系統(tǒng)特別感興趣并且有深入理解的一群人；在業(yè)余計算機技術(shù)方面，“黑客”是指研究如何修改計算機相關(guān)產(chǎn)品的業(yè)余愛好者；在信息安全方面，“黑客”指研究如何智取計算機安全系統(tǒng)的人員。他們利用公共通訊網(wǎng)路，如電話系統(tǒng)和互聯(lián)網(wǎng)，在非正規(guī)的情況下登錄對方系統(tǒng)，掌握操控系統(tǒng)之權(quán)力。漏洞漏洞也稱為脆弱性，是指計算機系統(tǒng)在硬件、軟件和協(xié)議的具體事項或系統(tǒng)安全策略上存在缺陷和不足。通過漏洞，信息系統(tǒng)可能會發(fā)生權(quán)限繞過、權(quán)限提升、執(zhí)行非授權(quán)指令、數(shù)據(jù)泄露和拒絕服務(wù)攻擊等信息安全事件?，F(xiàn)網(wǎng)中，工程師通過漏洞掃描來檢測目標(biāo)網(wǎng)絡(luò)或主機的脆弱性，可用于模擬攻擊實驗和安全審計。發(fā)現(xiàn)目標(biāo)主機或網(wǎng)絡(luò)Ping掃描測試系統(tǒng)是否存在安全漏洞漏洞掃描操作系統(tǒng)探測和端口掃描進一步搜集目標(biāo)信息勒索攻擊某成品油管道運營商遭到勒索軟件的網(wǎng)絡(luò)攻擊，影響了管理管道的計算機相關(guān)設(shè)備，導(dǎo)致部分燃料供應(yīng)系統(tǒng)被迫下線。此次事件是對關(guān)鍵基礎(chǔ)設(shè)施進行的極具破壞性的網(wǎng)絡(luò)攻擊。勒索攻擊過程如下所示：入侵SQL弱口令爆破；網(wǎng)絡(luò)釣魚；惡意電子郵件；惡意附件投遞。擴散攻擊者入侵某一臺主機之后，利用各種攻擊方法在目標(biāo)網(wǎng)絡(luò)橫向擴散以增加受控主機數(shù)量。盜竊攻擊者會遍歷已攻陷主機數(shù)據(jù)，篩選最有價值的攻擊對象，竊取受控主機數(shù)據(jù)，并將數(shù)據(jù)上傳到攻擊者控制的服務(wù)器上。勒索最終運行一種或多種勒索病毒來癱瘓目標(biāo)網(wǎng)絡(luò)，留下勒索信件，實施數(shù)十至數(shù)百萬美元不等的勒索，或者出售數(shù)據(jù)獲取利益。信息泄露某安全研究人員發(fā)現(xiàn)網(wǎng)絡(luò)中存在一個未受保護的數(shù)據(jù)庫，該數(shù)據(jù)庫采集了約50億條數(shù)據(jù)，并且無需身份驗證即可訪問。研究人員通知了該數(shù)據(jù)庫所屬公司，三天后該公司保護了此數(shù)據(jù)庫，但可能已造成了數(shù)據(jù)泄露。姓名Email地址密碼數(shù)據(jù)來源數(shù)據(jù)被黑客獲取后，有可能被用于破解用戶賬號或釣魚郵件攻擊等。Day1Day2Day6數(shù)據(jù)庫被搜索引擎索引安全研究人員發(fā)現(xiàn)問題并通知數(shù)據(jù)庫所屬公司該公司對數(shù)據(jù)庫進行保護DDoS攻擊黑客個人或組織利用DDoS（DistributedDenialofService）攻擊，使目標(biāo)服務(wù)器的網(wǎng)絡(luò)或系統(tǒng)資源耗盡，使其服務(wù)暫時中斷或停止，導(dǎo)致正常的用戶無法訪問。隨著物聯(lián)網(wǎng)的興起，越來越多的IoT（InternetofThings）設(shè)備接入網(wǎng)絡(luò)，黑客利用設(shè)備硬件或管理漏洞就可以迅速發(fā)起一次大規(guī)模的DDoS攻擊。黑客利用DDoS攻擊資源對外提供能力租賃服務(wù)，缺乏技術(shù)能力的攻擊者可以根據(jù)需要定制攻擊，這逐漸成為掌握DDoS攻擊能力的黑客組織獲利的主流方式。CNCERT《2018年網(wǎng)站攻擊態(tài)勢及“攻擊團伙”挖掘分析報告》境內(nèi)受到網(wǎng)站攻擊的服務(wù)器IP數(shù)量按省份分布圖供應(yīng)鏈攻擊供應(yīng)鏈攻擊是針對供應(yīng)鏈發(fā)起的網(wǎng)絡(luò)攻擊，并通過供應(yīng)鏈將攻擊延伸至相關(guān)的合作伙伴和企業(yè)客戶。某著名信息系統(tǒng)管理和網(wǎng)絡(luò)監(jiān)控軟件開發(fā)公司的相關(guān)產(chǎn)品遭到供應(yīng)鏈攻擊事件被披露，引發(fā)全球關(guān)注。該公司遭到APT組織發(fā)動的供應(yīng)鏈攻擊，所屬平臺軟件的安裝包被植入后門，使用該軟件的客戶均存在被入侵的風(fēng)險。該軟件是一個針對網(wǎng)絡(luò)設(shè)備提供實時監(jiān)測和分析的管理平臺軟件，客戶主要包括政府、軍事、教育等重要機構(gòu)和國際知名企業(yè)。官方安裝包下載或更新入侵者植入后門組件核心服務(wù)組件安裝包q合作伙伴/企業(yè)客戶網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全發(fā)展趨勢信息安全標(biāo)準(zhǔn)與規(guī)范Gartner八大安全和風(fēng)險趨勢序號安全和風(fēng)險趨勢1網(wǎng)絡(luò)安全網(wǎng)格：網(wǎng)絡(luò)安全網(wǎng)格作為一種現(xiàn)代安全架構(gòu)概念，可應(yīng)對未來的網(wǎng)絡(luò)安全威脅，能夠使分布式企業(yè)在最需要的地方部署和擴展安全性。2精通網(wǎng)絡(luò)安全的董事會成員：企業(yè)越來越關(guān)注網(wǎng)絡(luò)安全，傾向于使用具有安全經(jīng)驗的高層管理者。3安全產(chǎn)品供應(yīng)商整合：供應(yīng)商整合和集成度更高的安全產(chǎn)品可以提高運維效率，降低企業(yè)成本。4身份優(yōu)先：隨著攻擊者將目光聚焦到獲得身份和訪問管理功能權(quán)限上，身份優(yōu)先安全變得更加急迫了。5管理機器身份正成為一項重要的安全能力：現(xiàn)代應(yīng)用程序中的非人類實體數(shù)量呈爆炸式增長，管理機器身份已成為安全操作的重要組成部分。6“遠(yuǎn)程辦公”興起：未來社會實現(xiàn)遠(yuǎn)程辦公，需要企業(yè)重新制定安全策略和工具以更好地降低安全風(fēng)險。7善用攻防演練：攻防演練作為一個新興市場，可以幫助企業(yè)檢驗其安全狀況，提升其安全防御能力。8隱私增強計算技術(shù)：可以在不受信任環(huán)境中，實現(xiàn)安全的數(shù)據(jù)處理、共享、跨境傳輸和分析。網(wǎng)絡(luò)安全態(tài)勢感知(1)隨著企業(yè)網(wǎng)絡(luò)規(guī)模擴大，安全架構(gòu)日趨復(fù)雜，各種類型的安全設(shè)備、安全數(shù)據(jù)越來越多，企業(yè)的安全運維壓力不斷加大。當(dāng)前企業(yè)網(wǎng)絡(luò)環(huán)境中部署的各類安全設(shè)備主要實現(xiàn)單點檢測，這種獨立分割的安全防護體系已經(jīng)很難應(yīng)對以APT為代表的新型網(wǎng)絡(luò)威脅。網(wǎng)絡(luò)安全態(tài)勢感知是一種基于環(huán)境動態(tài)地、整體地洞悉安全風(fēng)險的能力，它利用數(shù)據(jù)融合、數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)，直觀顯示網(wǎng)絡(luò)環(huán)境的實時安全狀況，為網(wǎng)絡(luò)安全保障提供技術(shù)支撐。安全態(tài)勢感知功能安全數(shù)據(jù)分析和結(jié)果展示安全要素采集安全數(shù)據(jù)處理網(wǎng)絡(luò)安全態(tài)勢感知(2)企業(yè)網(wǎng)絡(luò)中部署HiSecInsight，通過流探針采集網(wǎng)絡(luò)中的流量、設(shè)備日志等網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)，通過大數(shù)據(jù)分析，結(jié)合機器學(xué)習(xí)技術(shù)、專家信譽和情報驅(qū)動，有效地發(fā)現(xiàn)網(wǎng)絡(luò)中的潛在威脅和高級威脅，實現(xiàn)企業(yè)內(nèi)部的全網(wǎng)安全態(tài)勢感知，分析結(jié)果在可視化界面集中展示。辦公網(wǎng)服務(wù)器區(qū)域HiSecInsight流探針HiSecInsight采集器HiSecInsight流探針零信任安全零信任是一組不斷發(fā)展的網(wǎng)絡(luò)安全范式，該范式將網(wǎng)絡(luò)防御從基于網(wǎng)絡(luò)的靜態(tài)邊界轉(zhuǎn)移到關(guān)注用戶，資產(chǎn)和資源。零信任架構(gòu)ZTA是基于零信任原則的企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略，旨在防止數(shù)據(jù)泄露和限制內(nèi)部橫向移動。零信任的核心思想是，默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人、設(shè)備和系統(tǒng)，需要基于認(rèn)證、授權(quán)和重構(gòu)訪問控制的信任基礎(chǔ)，即永不信任，始終驗證。企業(yè)外部網(wǎng)絡(luò)企業(yè)內(nèi)部網(wǎng)絡(luò)企業(yè)內(nèi)部網(wǎng)絡(luò)企業(yè)外部網(wǎng)絡(luò)訪問策略決策網(wǎng)絡(luò)中心化身份中心化攻擊者病毒網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全發(fā)展趨勢信息安全標(biāo)準(zhǔn)與規(guī)范信息安全標(biāo)準(zhǔn)概述ISO27001信息安全管理體系介紹網(wǎng)絡(luò)安全等級化保護體系信息安全標(biāo)準(zhǔn)的意義信息安全標(biāo)準(zhǔn)是規(guī)范性文件之一，其定義是：為了在一定的范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致并由公認(rèn)機構(gòu)批準(zhǔn)，制定的一種規(guī)范性文件。信息安全標(biāo)準(zhǔn)化是國家網(wǎng)絡(luò)安全保障體系建設(shè)的重要組成部分。企業(yè)在建立自己的信息系統(tǒng)時，如何能夠確保自己的系統(tǒng)是安全的呢？依據(jù)國際制定的權(quán)威標(biāo)準(zhǔn)來執(zhí)行和檢查每一個步驟是個好辦法！信息安全標(biāo)準(zhǔn)組織在國際上，與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有以下2個：InternationalOrganizationforStandardization（ISO）國際標(biāo)準(zhǔn)化組織InternationalElectrotechnicalCommission（IEC）國際電工委員會國內(nèi)的安全標(biāo)準(zhǔn)組織主要有：全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA）下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會其它一些制定標(biāo)準(zhǔn)的組織：InternationalTelecommunicationUnion（ITU）國際電信聯(lián)盟TheInternetEngineeringTaskForce（IETF）Internet工程任務(wù)組NationalInstituteofStandardsandTechnology（NIST）美國國家標(biāo)準(zhǔn)與技術(shù)研究院ISO和IEC成立了聯(lián)合技術(shù)委員會，負(fù)責(zé)制定信息技術(shù)領(lǐng)域中的國際標(biāo)準(zhǔn)。常見信息安全標(biāo)準(zhǔn)與規(guī)范標(biāo)準(zhǔn)與規(guī)范定義網(wǎng)絡(luò)安全等級保護制度對信息和信息載體按照重要性等級分級別進行保護的一種制度。ISO27001信息安全管理體系的國際標(biāo)準(zhǔn)。可以幫助企業(yè)建立與優(yōu)化自身的信息安全管理體系，并對其進行評估。美國標(biāo)準(zhǔn)TCSECTrustedComputerSystemEvaluationCriteria，可信計算機系統(tǒng)評價標(biāo)準(zhǔn)。1970年由美國國防科學(xué)委員會提出，1985年12月由美國國防部公布。是計算機系統(tǒng)安全評估的第一個正式標(biāo)準(zhǔn)。歐盟標(biāo)準(zhǔn)ITSECInformationTechnologySecurityEvaluationCriteria，歐洲的安全評價標(biāo)準(zhǔn)，是英國、法國、德國和荷蘭制定的IT安全評估準(zhǔn)則，較美國軍方制定的TCSEC準(zhǔn)則在功能的靈活性和有關(guān)的評估技術(shù)方面均有很大的進步。應(yīng)用領(lǐng)域為軍隊、政府和商業(yè)。網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全發(fā)展趨勢信息安全標(biāo)準(zhǔn)與規(guī)范信息安全標(biāo)準(zhǔn)概述ISO27001信息安全管理體系介紹網(wǎng)絡(luò)安全等級化保護體系信息安全管理體系信息安全管理體系（InformationSecurityManagementSystem，簡稱ISMS）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。ISMS概念最初來源于英國標(biāo)準(zhǔn)學(xué)會制定的BS7799標(biāo)準(zhǔn),隨著其作為國際標(biāo)準(zhǔn)的發(fā)布和普及而被廣泛地接受。ISMS的建設(shè)遵循PDCA的的流程步驟：Plan：策劃（建立ISMS）Do：實施（實施和運行ISMS）Check：檢查（見識和評審ISMS）Act：改進保持和改進ISMSPlanDoCheckActISMS信息安全要求和期望受控的信息安全I(xiàn)SO27000演變歷程BS7799標(biāo)準(zhǔn)后來被國際標(biāo)準(zhǔn)化組織ISO吸納，成為了正式的國際標(biāo)準(zhǔn)。目前正在適用的ISO/IEC27001及ISO/IEC27002均為2013發(fā)布的版本。1995年BS7799-1《信息安全管理實施規(guī)則》1998年BS7799-2《信息安全管理體系規(guī)范》2000年ISO/IEC17799

《信息技術(shù)-信息安全管理實施細(xì)則》2005年ISO/IEC27001

《信息安全管理體系要求》2007年ISO/IEC27002

《信息安全管理實踐規(guī)范》

ISMS與ISO/IEC27000ISO/IEC27001是信息安全管理體系（ISMS）的國際規(guī)范性標(biāo)準(zhǔn)。ISO27001認(rèn)證要求組織通過一系列的過程，如確定信息安全管理體系范圍、指定信息安全方針和策略、明確管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)和控制措施等，使組織達(dá)到動態(tài)的、系統(tǒng)的、全員參與的和制度化的，以預(yù)防為主的信息安全管理方式。ISO/IEC27002從14個方面提出35個控制目標(biāo)和113個控制措施，這些控制目標(biāo)和措施是信息安全管理的最佳實踐。建立實施和建設(shè)安全管理體系的要求和標(biāo)準(zhǔn)ISO27001標(biāo)準(zhǔn)信息安全管理體系ISMS提供最佳實踐規(guī)則信息安全管理思想信息安全管理具體操作ISO/IEC27001ISO/IEC27002構(gòu)建信息安全管理體系的具體內(nèi)容ISO27002中的14個控制域為：信息安全策略加密供應(yīng)商關(guān)系通信安全物理及環(huán)境安全信息安全事件管理人力資源安全操作安全業(yè)務(wù)連續(xù)性管理的信息安全方面資產(chǎn)管理傳輸安全系統(tǒng)獲取、開發(fā)和維護訪問控制合規(guī)性ISO27000信息安全管理體系家族除了ISO/IEC27001和ISO/IEC27002，ISO27000系列標(biāo)準(zhǔn)還包括認(rèn)證與審核指南相關(guān)的標(biāo)準(zhǔn)以及行業(yè)的相關(guān)標(biāo)準(zhǔn)。整個ISO27000系列標(biāo)準(zhǔn)致力于幫助不同類型、大小的企業(yè)及組織建立并運行ISMS。ISO/IEC27000ISO/IEC27001ISO/IEC27002ISO/IEC27003ISO/IEC27004ISO/IEC27005第二部分認(rèn)證認(rèn)可及審核指南ISO/IEC27006ISO/IEC27007ISO/IEC27008金融業(yè)電信業(yè)其它專門應(yīng)用與某個具體的安全域。ISO27799處于研究階段并以新項目提案方式體現(xiàn)的成果，例如：供應(yīng)鏈安全、存儲安全等。第一部分要求及支持性指南第二部分認(rèn)證認(rèn)可及審核指南第三部分行業(yè)信息安全管理要求第四部分醫(yī)療信息安全管理標(biāo)準(zhǔn)ISO27001項目實施方法論及步驟項目啟動會議，確定項目團隊、建立項目組管理架構(gòu)信息安全管理現(xiàn)狀的快速評估設(shè)計信息安全方針資產(chǎn)收集及風(fēng)險評估方法培訓(xùn)識別威脅、脆弱性進行安全漏洞掃描評估風(fēng)險，劃分風(fēng)險等級確定風(fēng)險容忍度和風(fēng)險偏好確定風(fēng)險處置措施并實施整改計劃信息安全管理體系發(fā)布及培訓(xùn)制定信息安全管理績效監(jiān)控流程信息安全管理體系試運行體系運行監(jiān)控業(yè)務(wù)連續(xù)性管理培訓(xùn)ISMS內(nèi)審ISMS外審ISMS管理評審糾正、預(yù)防措施持續(xù)改進建議項目總結(jié)會議PlanDoCheckAction項目啟動和差異分析認(rèn)證及持續(xù)改進體系運行與監(jiān)控體系設(shè)計與發(fā)布風(fēng)險評估網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全發(fā)展趨勢信息安全標(biāo)準(zhǔn)與規(guī)范信息安全標(biāo)準(zhǔn)概述ISO27001信息安全管理體系介紹網(wǎng)絡(luò)安全等級化保護體系等級保護定義等級保護：對信息和信息載體按照重要性等級分級別進行保護的一種工作。網(wǎng)絡(luò)安全等級保護制度成為了國家網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度和基本方法。等保是安全建設(shè)的一個“必過標(biāo)桿”。第二十一條國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。第三十一條國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法由國務(wù)院制定。第五十九條網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。中華人民共和國網(wǎng)絡(luò)安全法等級保護的意義合法合規(guī)安全體系化安全意識提升業(yè)務(wù)安全需求滿足合法合規(guī)要求，落實網(wǎng)絡(luò)安全保護義務(wù)，合理規(guī)避風(fēng)險。以等保為契機，加強網(wǎng)絡(luò)安全建設(shè)，源于等保，不止于等保，滿足自身業(yè)務(wù)安全需求。提高人員安全意識，樹立等級化防護思想，合理分配網(wǎng)絡(luò)安全投資。明確組織整體目標(biāo)，改變以往單點防御方式，讓安全建設(shè)更加體系化。等級保護發(fā)展歷程等保經(jīng)歷了20多年的發(fā)展，大概經(jīng)歷了四個階段，國家等級保護制定也從1.0版本發(fā)展到了2.0版本。國家呼吁加強信息安全建設(shè)，提出要對信息系統(tǒng)進行劃分等級來保護。1994~2003起步階段2007~2016推廣階段（等保1.0）2004~2006發(fā)展階段制定了大量等級保護相關(guān)的標(biāo)準(zhǔn)、規(guī)范，并在部分單位進行試點。2017~至今等保2.0公安部在等保1.0基礎(chǔ)上，制定了等保2.0標(biāo)準(zhǔn)，增加了對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等新技術(shù)的覆蓋?？煽匦院筒豢煞裾J(rèn)性成為新的信息安全原則。等級保護對象等級保護對象是指網(wǎng)絡(luò)安全等級保護工作中的對象，通常是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換和處理的系統(tǒng)，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)網(wǎng)技術(shù)的系統(tǒng)等。等級保護對象基礎(chǔ)信息平臺云計算平臺大數(shù)據(jù)平臺物聯(lián)網(wǎng)工業(yè)控制系統(tǒng)采用移動互聯(lián)技術(shù)的系統(tǒng)等級保護系統(tǒng)定級等級保護對象根據(jù)其在國家安全，經(jīng)濟建設(shè)和社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高被劃分為五個安全保護等級。受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第三級社會秩序公共利益第二級第三級第四級國家安全第三級第四級第五級定級要素與安全保護等級的關(guān)系等級保護系統(tǒng)定級流程確定定級對象初步確認(rèn)等級最終確定的等級專家評審主管部門審核公安機關(guān)備案審查包括基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、其他信息系統(tǒng)和大數(shù)據(jù)等。定級對象的運營.使用單位需將定級結(jié)果上報行業(yè)主管部門核準(zhǔn)，并出具核準(zhǔn)意見。定級對象的運營.使用單位按照相關(guān)管理規(guī)定，將定級結(jié)果提交公安機關(guān)進行備案審核。包括確定受侵害的客體、侵害對客體的侵害程度以及綜合判定侵害程度。定級對象的運營、使用單位應(yīng)組織信息安全專家和業(yè)務(wù)專家，對初步定級結(jié)果的合理性進行評審,出具專家評審意見。不同級別的安全保護能力第一級自主保護級：一般適用于小型私營、個體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。第二級指導(dǎo)保護級：一般適用于縣級某些單位中的重要信息系統(tǒng)；地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。第三級監(jiān)督保護級：一般適用于地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)。第四級強制保護級：一般適用于國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。第五級?？乇Ｗo級：一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。等級保護安全要求等保2.0安全要求分為安全通用要求和安全擴展要求，以實現(xiàn)對不同級別和不同形態(tài)等級保護對象的共性化和個性化保護。安全通用要求和擴展要求都分為技術(shù)要求和管理要求兩方面，不同安全等級對應(yīng)的要求具體內(nèi)容不同，安全等級越高，要求內(nèi)容越嚴(yán)格。技術(shù)要求管理要求安全物理環(huán)境安全管理制度安全通信網(wǎng)絡(luò)安全管理機構(gòu)安全計算環(huán)境安全管理人員安全區(qū)域邊界安全建設(shè)管理安全管理中心安全運維管理等保2.0安全要求安全通用要求云計算安全擴展要求移動互聯(lián)安全擴展要求物聯(lián)網(wǎng)安全擴展要求工業(yè)控制系統(tǒng)安全擴展要求安全擴展要求等保2.0標(biāo)準(zhǔn)體系等保2.0標(biāo)準(zhǔn)體系除了明確網(wǎng)絡(luò)安全等級保護基本要求的GB/T22239-2019外，還有其他一系列標(biāo)準(zhǔn)用于指導(dǎo)等保2.0的定級、實施、測評等工作。網(wǎng)絡(luò)安全等級保護2.0標(biāo)準(zhǔn)體系定級指南GB/T22240-2020基本要求GB/T22239-2019設(shè)計要求GB/T25070-2019實施指南GB/T25058-2019測評要求GB/T28448-2019測評過程指南GB/T28449-2018等級保護的工作流程1.定級2.備案3.建設(shè)整改4.等級測評5.監(jiān)督檢查運營單位（客戶）確定等級，編寫報告準(zhǔn)備材料，到當(dāng)?shù)毓矙C關(guān)備案建設(shè)技術(shù)和管理體系接受測評接受定期檢查安全承建單位（華為或第三方）協(xié)助協(xié)助提供安全產(chǎn)品和服務(wù)咨詢機構(gòu)（華為或第三方）輔導(dǎo)運營單位準(zhǔn)備定級報告，并出具專家評審意見輔導(dǎo)運營單位準(zhǔn)備材料及備案輔導(dǎo)運營單位建設(shè)安全技術(shù)體系及制定管理制度協(xié)助運營單位參與等級測評及整改協(xié)助運營單位接受檢查和進行整改測評機構(gòu)（第三方機構(gòu)）等級測評公安機關(guān)審核受理備案定期監(jiān)督檢查（單選題）等保2.0中定級對象初步定級為哪一級別，則其網(wǎng)絡(luò)運營者可自行確定最終安全保護等級？（）第一級第二級第三級第四級（判斷題）ISO27002標(biāo)準(zhǔn)可以對企業(yè)信息安全體系進行認(rèn)證。（）正確錯誤