购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

1.4 网络安全措施

1.4.1 网络安全技术

1.防火墙技术

网络防火墙是一种特殊的网络互联设备,用于加强网络间的访问控制,防止外网用户通过外网非法进入内网,访问内网资源,保护内网运行环境。它根据一定的安全策略,检查两个或多个网络之间传输的数据包,如链路模式,以决定网络之间的通信是否允许,并监控网络运行状态。目前防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)、电路层网关、屏蔽主机防火墙、双宿主机等。

2.杀毒软件技术

杀毒软件绝对是使用最广泛的安全技术解决方案,因为这种技术最容易实现,但是我们都知道杀毒软件的主要功能是杀毒,功能非常有限,不能完全满足网络安全的需求,这种方式能满足个人用户或者小企业的需求,但是如果个人或者企业有电子商务的需求,就不能完全满足。

幸运的是,随着反病毒软件技术的不断发展,目前主流的反病毒软件可以防止木马等黑客程序的入侵。其他杀毒软件开发商也提供软件防火墙,具有一定的防火墙功能,在一定程度上可以起到硬件防火墙的作用,如KV300、金山防火墙、诺顿防火墙等。

3.文件加密和数字签名技术

与防火墙结合使用的安全技术包括文件加密和数字签名技术,其目的是提高信息系统和数据的安全性和保密性。防止秘密数据被外界窃取、截获或破坏的主要技术手段之一。随着信息技术的发展,人们越来越关注网络安全和信息保密。

目前,各国除了在法律和管理上加强数据安全保护外,还分别在软件和硬件技术上采取了措施。它促进了数据加密技术和物理防范技术的不断发展。根据功能的不同,文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性判别等。

1.4.2 网络安全立法

【案例1-5】
国家网信办出手,滴滴被罚80.26亿元

2021年7月,为防范国家数据安全风险,维护国家安全,保障公共利益,国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。2022年7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

经查明,滴滴公司共存在16项违法事实,归纳起来主要是8个方面。一是违法收集用户手机相册中的截图信息 1 196.39 万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5 350.92万条、职业信息1 633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5 780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。

此前,网络安全审查还发现,滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,依法不公开。

【案例1-5分析】

滴滴公司成立于2013年1月,相关境内业务线主要包括网约车、顺风车、两轮车、造车等,相关产品包括滴滴出行App、滴滴车主App、滴滴顺风车App、滴滴企业版App等41款App。此次对滴滴公司的网络安全审查相关行政处罚,与一般的行政处罚不同,具有特殊性。滴滴公司违法违规行为情节严重,结合网络安全审查情况,应当予以从严从重处罚。一是从违法行为的性质看,滴滴公司未按照相关法律法规规定和监管部门要求,履行网络安全、数据安全、个人信息保护义务,置国家网络安全、数据安全于不顾,给国家网络安全、数据安全带来严重的风险隐患,且在监管部门责令改正情况下,仍未进行全面深入整改,性质极为恶劣。二是从违法行为的持续时间看,滴滴公司相关违法行为最早开始于2015年6月,持续至今,时间长达7年,持续违反2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》和2021年11月实施的《个人信息保护法》。三是从违法行为的危害看,滴滴公司通过违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息,严重侵犯用户隐私,严重侵害用户个人信息权益。四是从违法处理个人信息的数量看,滴滴公司违法处理个人信息达647.09亿条,数量巨大,其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。五是从违法处理个人信息的情形看,滴滴公司违法行为涉及多个App,涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形。

近年来,国家不断加强对网络安全、数据安全、个人信息的保护力度,先后颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规。网信部门将依法加大网络安全、数据安全、个人信息保护等领域执法力度,通过执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、处理责任人等处置处罚措施,依法打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为,切实维护国家网络安全、数据安全和社会公共利益,有力保障广大人民群众合法权益。

一、刑法修正案(七)

2009年2月28日,《中华人民共和国刑法修正案(七)》经中华人民共和国第十一届全国人民代表大会常务委员会第七次会议通过并公布,自公布之日起施行。其中增加了关于信息安全犯罪的重要条款。

在刑法第二百八十五条中增加两款作为第二款、第三款:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”

刑法修正案(七)出台后,2012年北京审理的首例涉及该罪名的案件是关于黑基网(原黑客基地)站长。他因犯提供侵入、非法控制计算机信息系统的程序、工具罪,被北京一中院终审判处有期徒刑5年。

二、中华人民共和国网络安全法

《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,自2017年6月1日起施行。该法律是为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展而制定的法律。

三、中国国家网络安全宣传周

2016年3月中旬,经中央网络安全和信息化领导小组批准,中央网信办、教育部、工业和信息化部、公安部、国家新闻出版广电总局、共青团中央等六部门联合发布《关于印发<国家网络安全宣传周活动方案>的通知》,确定网络安全宣传周活动统一于每年9月份第三周举行。

国家网络安全宣传周活动以学习宣传习近平总书记网络强国战略思想、国家网络安全有关法律法规和政策标准为核心,以增强广大网民网络安全意识,提升基本防护技能,营造安全健康文明的网络环境为目的,由中央网信办牵头,教育部、工业和信息化部、公安部、国家新闻出版广电总局、共青团中央等相关部门共同举办。

国家网络安全宣传周即“中国国家网络安全宣传周”,是为了“共建网络安全,共享网络文明”而开展的主题活动。“网络安全宣传周”即“中国国家网络安全宣传周”,以“共建网络安全,共享网络文明”为主题。围绕金融、电信、电子政务、电子商务等重点领域和行业网络安全问题,针对社会公众关注的热点问题,举办网络安全体验展等系列主题宣传活动,营造网络安全人人有责、人人参与的良好氛围。

1.4.3 网络安全等级保护

一、国外等级保护标准

1.TCSEC

TCSEC(Trusted Computer System Evaluation Criteria)标准是计算机系统安全评估的第一个正式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。TCSEC最初只是军用标准,后来延至民用领域。TCSEC将计算机系统的安全划分为4个等级、7个级别。

图1-11 TCSEC标准各安全等级关

(1)D类安全等级

D类只包括D1一个级别。D1的安全等级最低。D1系统只为文件和用户提供安全保护。D1系统最普通的形式是本地操作系统,或者是一个完全没有保护的网络。MS-DOS系统、Windows 95/98系统都属于该级。

(2)C类安全等级

C类可划分为C1和C2两个级别。该类安全等级能够提供审计的保护,并为用户的行动和责任提供审计能力。C1系统的可信任运算基础体制(Trusted Computing Base,TCB)通过将用户和数据分开来达到安全的目的。在C1系统中,所有的用户以同样的灵敏度来处理数据,即用户认为C1 系统中的所有文档都具有相同的机密性。早期的SCO UNIX、NetWare v3.0以下的系统都属于该级。

C2系统比C1系统加强了可调的审慎控制。在连接到网络上时,C2系统的用户分别对各自的行为负责。C2系统通过登录过程、安全事件和资源隔离来增强这种控制。C2系统具有C1 系统中所有的安全性特征。UNIX/Xenix系统、NetWare v3.x以上系统、Windows NT、Windows Server 2003/2000系统都属于该级。

(3)B类安全等级

B类可分为B1、B2和B3三个级别。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。B1系统满足下列要求:系统对网络控制下的每个对象都进行灵敏度标记;系统使用灵敏度标记作为所有强迫访问控制的基础;系统在把导入的、非标记的对象放入系统前标记它们;灵敏度标记必须准确地表示其所联系的对象的安全级别;当系统管理员创建系统或者增加新的通信通道或I/O设备时,管理员必须指定每个通信通道和I/O设备是单级还是多级,并且管理员只能手工改变指定;单级设备并不保持传输信息的灵敏度级别;所有直接面向用户位置的输出(无论是虚拟的还是物理的)都必须产生标记来指示关于输出对象的灵敏度;系统必须使用用户的口令或证明来决定用户的安全访问级别;系统必须通过审计来记录未授权访问的企图。

B2系统必须满足B1系统的所有要求。另外,B2系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。B2系统必须满足下列要求:系统必须立即通知系统中的每一个用户所有与之相关的网络连接的改变;只有用户能够在可信任通信路径中进行初始化通信;可信任运算基础体制能够支持独立的操作者和管理员。

B3系统必须符合B2系统的所有安全需求。B3系统具有很强的监视委托管理访问能力和抗干扰能力。B3系统必须设有安全管理员。B3系统应满足以下要求:除了控制对个别对象的访问外,B3必须产生一个可读的安全列表;每个被命名的对象提供对该对象没有访问权的用户列表说明;B3系统在进行任何操作前,要求用户进行身份验证;B3系统验证每个用户,同时还会发送一个取消访问的审计跟踪消息;设计者必须正确区分可信任的通信路径和其他路径;可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪;可信任的运算基础体制支持独立的安全管理。

(4)A类安全等级

A类包含A1一个安全级别。A1类与B3类相似,对系统的结构和策略不作特别要求。A1系统的显著特征是,系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后,设计者必须运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求:系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行;系统管理员进行的每一步安装操作都必须有正式文档。

欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)后,美国又联合欧洲四国和加拿大,并会同国际标准化组织(ISO)共同提出信息技术安全评价的通用准则(CC for ITSEC),CC被认为是代替TCSEC的评价安全信息系统的标准,CC已经被ISO 15408采纳。

2.CC

CC是国际标准化组织统一现有多种准则的结果,是最全面的评价准则。1996年6月,CC第一版发布;1998年5月,CC第二版发布;1999年10月CC V2.1版发布,并且成为ISO标准。CC将评估过程划分为功能和保证两部分,评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七个等级。每一级均需评估七个功能类,分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。

EAL1:功能测试级。适用于对正确运行要求有一定信心的场合,此场合下认为安全威胁并不严重。个人信息保护就是其中一例。

EAL2:结构测试级。在交付设计信息和测试结果时,需要开发人员的合作。但在超出良好的商业运作的一致性方面,不要花费过多的精力。

EAL3:系统测试和检查级。在不大量更改已有合理才开发实现的前提下,允许一位尽责的开发人员在设计阶段从正确的安全工程中获得最大限度的保证。

EAL4:系统设计,测试和复查级。它使开发人员从正确的安全工程中获得最大限度的保证,这种安全工程基于良好的商业开发实践,这种实践很严格,但并不需要大量专业知识,技巧和其他资源。在经济合理的条件下,对一个已经存在的生产线进行翻新时,EAL4是所能达到的最高级别。2002年,Windows 2000成为第一种获得EAL4认证的操作系统,这表明它已经达到了民用产品应该具有的评价保证级别。

EAL5:半正式设计和测试级。开发者能从安全工程中获得最大限度的安全保证,该安全工程是基于严格的商业开发实践,靠适度应用专业安全工程技术来支持的。EAL5以上的级别是军用信息设备,用于公开密钥基础设施的信息设备应达到的标准。

EAL6:半正式验证设计和测试级。开发者通过安全工程技术的应用和严格的开发环境获得高度的认证,保护高价值的资产能够对抗重大风险。

EAL7:正式验证设计和测试级。仅用于风险非常高或有高价值资产值得更高开销的地方。

二、中国等级保护标准

1.等级保护1.0标准体系

2007年《信息安全等级保护管理办法》(公通字[2007]43号)文件的正式发布,标志着等级保护1.0的正式启动。等级保护1.0规定了等级保护需要完成的“规定动作”,即定级备案、建设整改、等级测评和监督检查,为了指导用户完成等级保护的“规定动作”,在2008年至2012年期间,陆续发布了等级保护的一些主要标准,构成等级保护1.0的标准体系。

2.等级保护2.0标准体系

2017年《中华人民共和国网络安全法》的正式实施,标志着等级保护2.0的正式启动。网络安全法明确“国家实行网络安全等级保护制度”(第21条),“国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”(第31条)。上述要求为网络安全等级保护赋予了新的含义,重新调整和修订等级保护1.0标准体系,配合网络安全法的实施和落地,指导用户按照网络安全等级保护制度的新要求,履行网络安全保护义务的意义重大。

随着信息技术的发展,等级保护对象已经从狭义的信息系统,扩展到网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等,基于新技术和新手段提出新的分等级的技术防护机制和完善的管理手段是等级保护2.0标准必须考虑的内容。关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护,基于等级保护提出的分等级的防护机制和管理手段提出关键信息基础设施的加强保护措施,确保等级保护标准和关键信息基础设施保护标准的顺利衔接也是等级保护2.0标准体系需要考虑的内容。

(1)标准的主要特点

网络安全等级保护制度是国家的基本国策、基本制度和基本方法,其基本特点如下:

①等级保护2.0新标准将对象范围由原来的信息系统改为等级保护对象(信息系统、通信网络设施和数据资源等)。等级保护对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。

②等级保护2.0新标准在1.0标准的基础上进行了优化,同时针对云计算、移动互联物联网、工业控制系统及大数据等新技术和新应用领域提出新要求,形成了安全通用要求+新应用安全扩展要求构成的标准要求内容。

③等级保护2.0 新标准统一了《GB/T 222392019》《GB/T 25070 2019》和《GB/ T28448-2019》三个标准的架构,采用了“一个中心,三重防护”的防护理念和分类结构,强化了建立纵深防御和精细防御体系的思想。

④等级保护2.0新标准强化了密码技术和可信计算技术的使用,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求,强调通过密码技术、可信验证、安全审计和态势感知等建立主动防御体系的期望。

(2)通用要求

安全通用要求细分为技术要求和管理要求。其中技术要求包括“安全物理环境”“安全通信网络”“安全区域边界”“安全计算环境”和“安全管理中心”;管理要求包括“安全管理制度”“安全管理机构”“安全管理人员”“安全建设管理”和“安全运维管理”,其通用框架如图1-12所示。

图1-12 安全通用要求框架结构

①物理环境

针对物理机房提出的安全控制要求。主要对象为物理环境、物理设备和物理设施等;涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。

②安全通信网络

针对通信网络提出的安全控制要求。主要对象为广域网、城域网和局域网等;涉及的安全控制点包括网络架构、通信传输和可信验证。

③安全区域边界

针对网络边界提出的安全控制要求。主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。

④安全计算环境

针对边界内部提出的安全控制要求。主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。

⑤安全管理中心

针对整个系统提出的安全管理方面的技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。

⑥安全管理制度

针对整个管理制度体系提出的安全控制要求,涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。

⑦安全管理机构

针对整个管理组织架构提出的安全控制要求,涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。

⑧安全管理人员

针对人员管理提出的安全控制要求,涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训以及外部人员访问管理。

⑨安全建设管理

针对安全建设过程提出的安全控制要求,涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理。

⑩安全运维管理

针对安全运维过程提出的安全控制要求,涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。

习 题

一、选择题

1.以下不属于网络安全保护范围的因素是( )。

A.网络系统的硬件

B.网络系统的软件

C.网络系统的管理人员

D.网络系统的数据

2.中国国家网络安全宣传周的时间是( )。

A.每年10月份第三周

B.每年10月份第四周

C.每年9月份第三周

D.每年9月份第四周

3.以下不属于网络安全属性的是( )。

A.保密性

B.完整性

C.不可抵赖性

D.环保性

4.网络系统面临的威胁主要来自人为和自然环境影响,这些威胁大致可分为哪两大类?( )

A.无意威胁和故意威胁

B.人为和自然环境

C.主动攻击和被动攻击

D.软件系统和硬件系统

5.攻击者对传输中的信息或存储的信息进行各种非法处理,有选择地更改、插入、延迟、删除或复制这些信息,这是属于( )。

A.被动攻击

B.主动攻击

C.硬件攻击

D.数据攻击

二、思考题

1.访问http://www.cnnic.net.cn/,阅读从第一次到最新的一次的中国互联网络发展状况的统计报告,并写一篇中国网络发展状况的报告。

2.阅读世界上头号黑客“凯文米特”的故事,总结防范黑客的常用方法。参考网址:https://baike.baidu.com/item/%E5%87%AF%E6%96%87%C2%B7%E7%B1%B3%E7%89%B9%E5%B0%BC%E5%85%8B/2980181? fromtitle =%E5%87%AF%E6%96%87%E7%B1%B3%E7%89%B9%E5%B0%BC%E5%85%8B fromid=7683278 fr=aladdin。

3.访问以下网站,了解热点安全技术和事件,并撰写心得体会。

[1]FreeBuf网络安全行业门户:https://www.freebuf.com/.

[2]安全客:https://www.anquanke.com/.

[3]微步社区:https://x.threatbook.cn/.

[4]看雪学院:http://bbs.pediy.com/.

[5]先知社区:https://xz.aliyun.com/.

[6]吾爱破解:https://www.52pojie.cn/.

4.访问以下网站,了解国家的政策和信息安全动态,并撰写心得体会。

[1]国家计算机网络应急处理协调中心CNCERT:http://www.cert.org.cn/.

[2]国家计算机病毒应急处理中心:https://www.cverc.org.cn/.

[3]国家计算机网络入侵防范中心:http://www.nipc.org.cn/.

[4]国家信息技术安全研究中心:http://www.nitsc.cn/index.xhtml#/homepage.

[5]红客联盟:https://www.chinesehongker.com/.

【微信扫码】参考答案&相关资源 EC5VyNNLUad8HyM9ONY1GHerItxMVS/lZ0+gsihwkryuBKudKZkGUOwRItekv3H0

点击中间区域
呼出菜单
上一章
目录
下一章
×