《網(wǎng)絡(luò)空間安全導論》 課件 15-網(wǎng)絡(luò)安全01-網(wǎng)絡(luò)安全概述；06-網(wǎng)絡(luò)安全工程與管理

網(wǎng)絡(luò)安全基礎(chǔ)01

網(wǎng)絡(luò)安全概述理解安全威脅與防護措施的概念，熟悉典型的安全威脅熟悉OSI安全體系結(jié)構(gòu)及其定義的各類安全服務(wù)、安全機制教學目標網(wǎng)絡(luò)安全威脅與防護措施開放系統(tǒng)互連模型安全體系結(jié)構(gòu)目錄基本概念安全威脅：某人、物、事件或概念對某一資源的保密性、完整性、可用性或合法使用所造成的危險。所謂的“攻擊”就是某個安全威脅的具體實施。防護措施：保護資源免受威脅的一些控制、機制、策略和過程。脆弱性：在實施防護措施中或缺少防護措施時系統(tǒng)所具有的弱點。風險：對某個已知的、可能引發(fā)某種成功攻擊的脆弱性的代價的測度。當某個脆弱的資源價值越高且成功攻擊的概率越大時，風險就越高。網(wǎng)絡(luò)安全威脅與防護措施實例：我口袋里有100塊錢，因為打瞌睡，被小偷偷走了，搞得晚上沒飯吃。用風險評估的觀點來描述這個案例：資源=100塊錢威脅=小偷脆弱性=打瞌睡風險=錢被偷走，晚上沒飯吃防護措施=口袋網(wǎng)絡(luò)安全威脅與防護措施實例：某證券公司的數(shù)據(jù)庫服務(wù)器因為存在RPCDCOM漏洞，可能會遭到入侵者遠程攻擊，造成重要數(shù)據(jù)丟失。用風險評估的觀點來描述這個案例：資源=數(shù)據(jù)庫服務(wù)器威脅=遠程攻擊脆弱性=RPCDCOM漏洞風險=重要數(shù)據(jù)丟失防護措施=？網(wǎng)絡(luò)安全威脅與防護措施典型安全威脅信息泄露：信息被泄露或透露給某個非授權(quán)的實體。完整性破壞：數(shù)據(jù)被非授權(quán)地進行增刪、修改或破壞而受到損失。網(wǎng)絡(luò)安全威脅與防護措施拒絕服務(wù)：對信息或其他資源的合法訪問被無條件地阻止。非法使用（非授權(quán)訪問）：某一資源被某個非授權(quán)的人，或以非授權(quán)的方式使用。典型安全威脅竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。例如對通信線路中傳輸?shù)男盘柎罹€監(jiān)聽，或者利用通信設(shè)備在工作過程中產(chǎn)生的電磁泄露截取有用信息等。網(wǎng)絡(luò)安全威脅與防護措施流量分析：通過對系統(tǒng)進行長期監(jiān)聽，利用統(tǒng)計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進行研究，從中發(fā)現(xiàn)有價值的信息和規(guī)律。假冒：通過欺騙通信系統(tǒng)（或用戶）達到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。典型安全威脅特洛伊木馬：軟件中含有一個覺察不出的有害的程序段，當它被執(zhí)行時，會破壞用戶的安全。旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。例如，攻擊者通過各種攻擊手段發(fā)現(xiàn)原本應(yīng)保密，但是卻又暴露出來的一些系統(tǒng)“特性”，利用這些“特性”，攻擊者可以繞過防線守衛(wèi)者侵入系統(tǒng)的內(nèi)部。網(wǎng)絡(luò)安全威脅與防護措施授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個人，卻將此權(quán)限用于其他非授權(quán)的目的，也稱作“內(nèi)部攻擊”。陷阱門：在某個系統(tǒng)或某個部件中設(shè)置的“機關(guān)”，使得在特定的數(shù)據(jù)輸入時，允許違反安全策略。抵賴：這是一種來自用戶的攻擊，比如：否認自己曾經(jīng)發(fā)布過的某條消息、偽造一份對方來信等。典型安全威脅媒體廢棄物：信息被從廢棄的磁碟或打印過的存儲介質(zhì)中獲得。計算機病毒：一種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序。人員疏忽：一個授權(quán)的人為了某種利益或由于粗心，將信息泄露給一個非授權(quán)的人。網(wǎng)絡(luò)安全威脅與防護措施重放：出于非法目的，將所截獲的某次合法的通信數(shù)據(jù)進行拷貝，而重新發(fā)送。物理侵入：侵入者繞過物理控制而獲得對系統(tǒng)的訪問。服務(wù)欺騙：某一偽造系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息。安全防護措施物理安全：包括門鎖或其他物理訪問控制措施、敏感設(shè)備的防篡改和環(huán)境控制等。人員安全：包括對工作崗位敏感性的劃分、雇員的篩選，同時也包括對人員的安全性培訓，以增強其安全意識。管理安全：包括對進口軟件和硬件設(shè)備的控制，負責調(diào)查安全泄露事件，對犯罪分子進行審計跟蹤，并追查安全責任。媒體安全：包括對受保護的信息進行存儲，控制敏感信息的記錄、再生和銷毀，確保廢棄的紙張或含有敏感信息的磁性介質(zhì)被安全銷毀；同時，對所用媒體進行掃描，以便發(fā)現(xiàn)病毒。輻射安全：對射頻及其他電磁輻射進行控制。生命周期控制：包括對可信系統(tǒng)進行系統(tǒng)設(shè)計、工程實施、安全評估及提供擔保，并對程序的設(shè)計標準和日志記錄進行控制。網(wǎng)絡(luò)安全威脅與防護措施網(wǎng)絡(luò)安全威脅與防護措施開放系統(tǒng)互連模型安全體系結(jié)構(gòu)目錄開放系統(tǒng)互連模型（OSI）開放系統(tǒng)互連參考（OpenSystemInterconnect，簡稱OSI）模型是國際標準化組織（ISO）和國際電報電話咨詢委員會（CCITT）聯(lián)合制定的開放系統(tǒng)互連參考模型，為開放式互連信息系統(tǒng)提供了一種功能結(jié)構(gòu)的框架。ISO自從1946年成立以來，已經(jīng)提出了多個標準，而1983年提出的ISO/IEC7498，這個關(guān)于網(wǎng)絡(luò)體系結(jié)構(gòu)的標準定義了網(wǎng)絡(luò)互連的基本參考模型。任何遵循OSI標準的系統(tǒng)，只要物理上連接起來，它們之間都可以互相通信。開放系統(tǒng)互連模型與安全體系結(jié)構(gòu)物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層OSI模型開放系統(tǒng)互連模型（OSI）安全體系結(jié)構(gòu)國際標準化組織ISO于1988年發(fā)布了ISO7498-2標準（即OSI安全體系結(jié)構(gòu)），作為OSI基本參考模型的新補充。OSI安全體系結(jié)構(gòu)定義了必需的安全服務(wù)、安全機制和技術(shù)管理，以及它們在系統(tǒng)上的合理部署和關(guān)系配置。1990年，國際電信聯(lián)盟（ITU）決定采用ISO7498-2作為其X.800推薦標準，因此X.800和ISO7498-2標準基本相同。我國的國家標準《信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型——第二部分：安全體系結(jié)構(gòu)》（GB/T9387.2-1995）（等同于ISO7498-2）和《Internet安全體系結(jié)構(gòu)》（RFC2401）中提到的安全體系結(jié)構(gòu)是兩個普遍適用的安全體系結(jié)構(gòu)，用于保證在開放系統(tǒng)中進程與進程之間遠距離安全交換信息。開放系統(tǒng)互連模型與安全體系結(jié)構(gòu)X.800定義的安全服務(wù)安全服務(wù)：為了保證系統(tǒng)或數(shù)據(jù)傳輸有足夠的的安全性，開放系統(tǒng)通信協(xié)議所提供的服務(wù)?？梢岳斫獬伞耙环N由系統(tǒng)提供的對資源進行特殊保護的進程或通信服務(wù)”。X.800將安全服務(wù)分為了認證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認性共5類、14個特定服務(wù)。開放系統(tǒng)互連模型與安全體系結(jié)構(gòu)X.800定義的安全服務(wù)認證服務(wù)：確保通信實體就是它所聲稱的實體對等實體認證：用于在連接建立或數(shù)據(jù)傳輸階段，為該連接中的實體的身份提供可信性保障。該服務(wù)提供這樣的保證：一個實體不能實現(xiàn)偽裝成另一個實體對上次連接的消息進行非授權(quán)重發(fā)的企圖。數(shù)據(jù)源認證：在無連接傳輸時，保證收到的信息來源是所聲稱的來源。該服務(wù)為數(shù)據(jù)的來源提供確認，但對數(shù)據(jù)的復制或修改不提供保護。例如，該服務(wù)支持電子郵件這種類型的應(yīng)用。在這種應(yīng)用下，通信實體之間沒有任何預先的交互。開放系統(tǒng)互連模型與安全體系結(jié)構(gòu)X.800定義的安全服務(wù)訪問控制服務(wù)：對資源的訪問進行限制和控制在網(wǎng)絡(luò)安全中，訪問控制指系統(tǒng)對用戶身份及其所屬的預先定義的策略組限制其使用資源能力的手段。這種保護服務(wù)可應(yīng)用于對資源的各種不同類型的訪問。例如，這些訪問包括使用資源、讀寫或刪除資源、處理資源等操作。為此，每個試圖獲得訪問控制權(quán)限的實體必須在經(jīng)過認證或識別后，才能獲取其相應(yīng)的訪問權(quán)限。開放系統(tǒng)互連模型與安全體系結(jié)構(gòu)X.800定義的安全服務(wù)數(shù)據(jù)保密性服務(wù)：保護數(shù)據(jù)，使之不被非授權(quán)地泄露連接保密性：保護一次連接中所有的用戶數(shù)據(jù)。無連接保密性：保護單個數(shù)據(jù)單元里的所有用戶數(shù)據(jù)。選擇域保密性：對一次連接或單個數(shù)據(jù)單元里選定的數(shù)據(jù)部分提供保密性保護。流量保密性：保護哪些可以通過觀察流量而獲得的信息。開放系統(tǒng)互連模型與安全體系結(jié)構(gòu)X.800定義的安全服務(wù)數(shù)據(jù)完整性服務(wù)：保證接收到的數(shù)據(jù)確實是授權(quán)實體發(fā)出的數(shù)據(jù)，即沒有被修改、插入、刪除或重發(fā)具有恢復功能的連接完整性：提供一次連接中所有用戶數(shù)據(jù)的完整性，檢測整個數(shù)據(jù)序列內(nèi)存在修改、插入、刪除或重發(fā)，且試圖將其恢復。無恢復功能的連接完整性：同具有恢復功能的連接完整性基本一致，但僅提供檢測，無恢復功能。選擇域連接完整性：提供一次連接中傳輸?shù)膯蝹€數(shù)據(jù)單元中選定部分的數(shù)據(jù)完整性，并判斷選型域是否有修改、插入、刪除或重發(fā)。無連接完整性：為單個無連接數(shù)據(jù)單元提供完整性保護，判斷選定域是否被修改。開放系統(tǒng)互連模型與安全體系結(jié)構(gòu)X.800定義的安全服務(wù)不可否認性服務(wù)：防止整個或部分通信過程中，任意一個通信實體進行否認的行為源點的不可否認性：證明消息由特定的一方發(fā)出。信宿的不可否認性：證明消息被特定方收到。開放系統(tǒng)互連模型與安全體系結(jié)構(gòu)X.800定義的安全服務(wù)可用性服務(wù)：根據(jù)系統(tǒng)的性能說明，能夠按照系統(tǒng)所授權(quán)的實體的要求對系統(tǒng)或資源進行訪問。X.800將可用性看作是與其他安全服務(wù)相關(guān)的性質(zhì)，但對可用性服務(wù)進行單獨說明很有意義?？捎眯苑?wù)能夠確保系統(tǒng)的可用性，能夠?qū)Ω队删芙^服務(wù)攻擊引起的安全問題。開放系統(tǒng)互連模型與安全體系結(jié)構(gòu)X.800定義的安全機制安全機制：用來實施安全服務(wù)的機制（措施）。X.800將安全機制分為了兩類：一類在特定的協(xié)議層實現(xiàn)，稱為特定安全機制，共有8種；另一類不屬于任何的協(xié)議層或安全服務(wù)，稱為普遍安全機制，共有5種。開放系統(tǒng)互連模型與安全體系結(jié)構(gòu)X.800定義的安全機制特定安全機制：可以嵌入合適的協(xié)議層以提供一些OSI安全服務(wù)，共有8種：加密：運用數(shù)學算法將數(shù)據(jù)轉(zhuǎn)換成不可知的形式。數(shù)據(jù)的變換和復原依賴于算法和一個或多個加密密鑰。數(shù)字簽名：附加于數(shù)據(jù)單元之后的數(shù)據(jù)，它是對數(shù)據(jù)單元的密碼變換，可使接收方證明數(shù)據(jù)的來源和完整性，并防止偽造。訪問控制：對資源實施訪問控制的各種機制。數(shù)據(jù)完整性：用于保證數(shù)據(jù)單元或數(shù)據(jù)流的完整性的各種機制。認證交換：通過信息交換來保證實體身份的各種機制。流量填充：在數(shù)據(jù)流空隙中插入若干位以阻止流量分析。路由控制：能夠為某些數(shù)據(jù)動態(tài)地或預定地選取路由，確保只使用物理上安全的子網(wǎng)絡(luò)、中繼站或鏈路。公證：利用可信的第三方來保證數(shù)據(jù)交換的某些性質(zhì)。開放系統(tǒng)互連模型與安全體系結(jié)構(gòu)X.800定義的安全機制普遍安全機制：不局限于任何OSI安全服務(wù)或協(xié)議層的機制，共有5種：可信功能度：根據(jù)某些標準（如安全策略所設(shè)立的標準）被認為是正確的，就是可信的。安全標志：資源（可能是數(shù)據(jù)元）的標志，以指明該資源的屬性。事件檢測：檢測與安全相關(guān)的事件。安全審計跟蹤：收集潛在可用于安全審計的數(shù)據(jù)，以便對系統(tǒng)的記錄和活動進行獨立地觀察和檢查。安全恢復：處理來自諸如事件處置與管理功能等安全機制的請求，并采取恢復措施。開放系統(tǒng)互連模型與安全體系結(jié)構(gòu)安全服務(wù)與安全機制的關(guān)系開放系統(tǒng)互連模型與安全體系結(jié)構(gòu)加密數(shù)字簽名訪問控制數(shù)據(jù)完整性認證交換流量填充路由控制公證對等實體認證√√√數(shù)據(jù)源認證√√訪問控制√保密性√√流量保密性√√√數(shù)據(jù)完整性√√√不可否認性√√√可用性√√安全機制安全服務(wù)安全服務(wù)與協(xié)議層之間的關(guān)系開放系統(tǒng)互連模型與安全體系結(jié)構(gòu)安全服務(wù)1234567對等實體認證√√√數(shù)據(jù)源點認證√√√訪問控制√√√連接保密性√√√√√√無連接保密性√√√√√選擇域保密性√流量保密性√√具有恢復功能的連接完整性√√√不具有恢復功能的連接完整性√√選擇域連接完整性√√√無連接完整性√選擇域無連接完整性√√√源點的不可否認性√信宿的不可否認性√協(xié)議層網(wǎng)絡(luò)安全威脅與防護措施開放系統(tǒng)互連模型安全體系結(jié)構(gòu)總結(jié)網(wǎng)絡(luò)安全基礎(chǔ)06

網(wǎng)絡(luò)安全工程與管理理解網(wǎng)絡(luò)安全等級保護、網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全事件處置與災(zāi)難恢復的概念，了解相關(guān)的技術(shù)標準教學目標網(wǎng)絡(luò)安全等級保護網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全事件處置與災(zāi)難恢復目錄等級保護概述《網(wǎng)絡(luò)安全法》第二十一條規(guī)定，國家實行網(wǎng)絡(luò)安全等級保護制度。該制度的核心是對網(wǎng)絡(luò)實施分等級保護和分等級監(jiān)管。等級保護制度體現(xiàn)了風險管理的思想，即安全保護措施應(yīng)當針對威脅和風險，成本投入應(yīng)當與收益相符，既不能欠保護，也不能過保護。網(wǎng)絡(luò)安全等級保護等級保護主要標準GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》GB/T22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》GB/T25058-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護實施指南》GB/T25070-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》GB/T28448-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》GB/T28449-2018《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南》網(wǎng)絡(luò)安全等級保護等級保護對象基礎(chǔ)信息網(wǎng)絡(luò)云計算平臺/系統(tǒng)大數(shù)據(jù)應(yīng)用/平臺/資源物聯(lián)網(wǎng)工業(yè)控制系統(tǒng)采用移動互聯(lián)技術(shù)的系統(tǒng)……網(wǎng)絡(luò)安全等級保護基礎(chǔ)信息網(wǎng)絡(luò)云計算平臺/系統(tǒng)大數(shù)據(jù)應(yīng)用/平臺/資源物聯(lián)網(wǎng)工業(yè)控制系統(tǒng)采用移動互聯(lián)技術(shù)的系統(tǒng)等級保護對象……等級保護工作機制等級保護工作的五個基本步驟定級備案建設(shè)整改等級測評監(jiān)督檢查網(wǎng)絡(luò)安全等級保護定級備案建設(shè)整改等級測評監(jiān)督檢查等級劃分等級劃分：根據(jù)被保護對象在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及相關(guān)公民、法人和其他組織的合法權(quán)益的危害程度等因素，分為五個安全保護等級。網(wǎng)絡(luò)安全等級保護受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第三級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級等級保護測評框架網(wǎng)絡(luò)安全等級保護測評方法訪談核查測試測評對象制度文檔各類設(shè)備安全配置相關(guān)人員基本要求第四級目錄信息系統(tǒng)安全保護等級測評規(guī)程（步驟）訪談規(guī)程（步驟）核查規(guī)程（步驟）測試規(guī)程（步驟）…規(guī)程（步驟）說明測評輸入測評輸出網(wǎng)絡(luò)安全等級保護網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全事件處置與災(zāi)難恢復目錄網(wǎng)絡(luò)安全管理概述網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)安全工作中的重要概念，網(wǎng)絡(luò)安全管理控制措施與網(wǎng)絡(luò)安全技術(shù)控制措施一起構(gòu)成了網(wǎng)絡(luò)安全防護措施的全部。網(wǎng)絡(luò)安全管理是指把分散的網(wǎng)絡(luò)安全技術(shù)和人的因素，通過策略、規(guī)則協(xié)調(diào)整合成為一體，服務(wù)于網(wǎng)絡(luò)安全的目標。網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理體系（ISMS）1995年，英國推出BS7799網(wǎng)絡(luò)安全管理標準，BS7799于2000年被國際標準化組織批準為國際標準ISO/IEC17799，又于2005年被國際標準化組織重新編號，編入網(wǎng)絡(luò)安全管理體系標準族，即ISO/IEC27000標準系列。網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理體系（ISMS）ISO/IEC27000系列的兩個核心、基礎(chǔ)標準是ISO/IEC27001和ISO/IEC27002。ISO/IEC27001是ISMS的規(guī)范說明，其重要性在于它提供了認證執(zhí)行的標準，且包括必要文檔的列表。ISO/IEC27001標準基于風險管理的思想，指導組織建立一個系統(tǒng)化、程序化和文件化的管理體系，即ISMS。ISO/IEC27002提出了一系列具體的網(wǎng)絡(luò)安全控制措施。網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理體系（ISMS）ISMS基于系統(tǒng)、全面、科學的安全風險評估，體現(xiàn)預防控制為主的思想，強調(diào)遵守國家有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)及其他合同方要求，強調(diào)全過程和動態(tài)控制，本著控制費用和風險平衡的原則合理選擇安全控制方式保護組織所擁有的關(guān)鍵信息資產(chǎn)，使網(wǎng)絡(luò)安全風險的發(fā)生概率和結(jié)果降低到可接受的水平，確保信息的保密性、完整性和可用性，保持組織業(yè)務(wù)運作的持續(xù)性。網(wǎng)絡(luò)安全管理我國的網(wǎng)絡(luò)安全管理相關(guān)標準GB/T19715.1-2005《信息技術(shù)IT安全管理指南第1部分：IT安全概念和模型》（等同采用ISO/IECTR13335-1:1996）GB/T19715.2-2005《信息技術(shù)IT安全管理指南第2部分：管理和規(guī)劃IT安全》（等同采用ISO/IECTR13335-2:1997）GB/T20269-2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》GB/T28450-2012《信息安全技術(shù)信息安全管理體系審核指南》GB/T28453-2012《信息安全技術(shù)信息系統(tǒng)安全管理評估要求》GB/T31496-2015《信息技術(shù)安全技術(shù)信息安全管理體系實施指南》GB/T31497-2015《信息技術(shù)安全技術(shù)信息安全管理測量》GB/T31722-2015《信息技術(shù)安全技術(shù)信息安全風險管理》網(wǎng)絡(luò)安全管理我國的網(wǎng)絡(luò)安全管理相關(guān)標準（續(xù)）GB/T22080-2016《信息技術(shù)安全技術(shù)信息安全管理體系要求》（等同采用ISO/IEC27001:2013）GB/T22081-2016《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》（等同采用ISO/IEC27002:2013）GB/Z32916-2016《信息技術(shù)安全技術(shù)信息安全控制措施審核員指南》GB/T29246-2017《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》（等同采用ISO/IEC27000:2016）GB/T25067-2020《信息技術(shù)安全技術(shù)信息安全管理體系審核和認證機構(gòu)要求》網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理控制措施ISO/IEC27002（即我國國家標準GB/T22081）提出的14個方面的管理控制措施：（1）網(wǎng)絡(luò)安全策略：旨在對組織中成員闡明如何使用組織中的信息系統(tǒng)資源、如何處理敏感信息、如何采用安全技術(shù)產(chǎn)品、用戶在使用信息時應(yīng)當承擔哪些責任，詳細描述員工的安全意識與技能要求，列出被組織禁止的行為。（2）網(wǎng)絡(luò)安全組織：描述如何建立、運行一個網(wǎng)絡(luò)安全管理框架來開展安全管理，主要包括內(nèi)部網(wǎng)絡(luò)安全組織架構(gòu)、職能職責分配，以及如何處理與各相關(guān)方的關(guān)系。（3）人力資源安全：針對人員任用前、任用中以及任用的終止和變更3個階段進行管理。（4）資產(chǎn)管理：主要包括識別組織資產(chǎn)并定義適當?shù)谋Ｗo責任、依據(jù)對組織的重要程度進行信息分級，以及保護存儲在介質(zhì)中的信息。網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理控制措施ISO/IEC27002（即我國國家標準GB/T22081）提出的14個方面的管理控制措施：（5）訪問控制：以“未經(jīng)明確允許，則一律禁止”為前提，考慮按需所知、按需使用原則制定并執(zhí)行訪問控制策略，保護系統(tǒng)、應(yīng)用及數(shù)據(jù)不被未經(jīng)授權(quán)的非法訪問。（6）密碼：確保適當和有效地使用密碼技術(shù)以保護信息的保密性、完整性和真實性。（7）物理和環(huán)境安全：包括工作場所的出入控制要求和信息處理設(shè)施的管理要求，旨在防止信息和信息處理設(shè)施受到未經(jīng)授權(quán)的物理訪問、損害和干擾，防止設(shè)備丟失、損壞或中斷。（8）運行安全：確保信息系統(tǒng)正確無誤地安全運行，包括制定信息處理設(shè)備的管理與操作規(guī)程，明確各方責任；防范惡意軟件；通過備份防止數(shù)據(jù)丟失；通過事態(tài)日志記錄事態(tài)并生成數(shù)據(jù)；制定并實施系統(tǒng)軟件安裝控制規(guī)程；建立有效的技術(shù)脆弱性管理過程；使信息系統(tǒng)審計的有效性最大化、干擾最小化。網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理控制措施ISO/IEC27002（即我國國家標準GB/T22081）提出的14個方面的管理控制措施：（9）通信安全：管理和控制網(wǎng)絡(luò)以保護系統(tǒng)、應(yīng)用中的信息，保護支持性基礎(chǔ)設(shè)施。確保組織內(nèi)部、組織與外部實體間傳輸信息的安全，使其免遭丟失、被修改或被盜，且符合所有相關(guān)的法律法規(guī)。（10）系統(tǒng)獲取、開發(fā)和維護：主要包括三方面要求：一是在開發(fā)的系統(tǒng)中建立有效安全機制；二是確保信息安全在信息系統(tǒng)開發(fā)維護全過程中得到設(shè)計和實現(xiàn)；三是保護用于測試的數(shù)據(jù)。（11）供應(yīng)商關(guān)系：制定針對供應(yīng)商管理的安全策略，保護可被供應(yīng)商訪問的組織資產(chǎn)，還應(yīng)在供應(yīng)商協(xié)議中強調(diào)網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理控制措施ISO/IEC27002（即我國國家標準GB/T22081）提出的14個方面的管理控制措施：（12）網(wǎng)絡(luò)安全事件管理：建立規(guī)程、明確管理責任，確保采用一致和有效的方法對網(wǎng)絡(luò)安全事件進行管理，包括對安全事態(tài)和脆弱性的溝通。（13）業(yè)務(wù)連續(xù)性管理的網(wǎng)絡(luò)安全方面：將網(wǎng)絡(luò)安全連續(xù)性納入組織的業(yè)務(wù)連續(xù)性管理之中，防止安全活動中斷，確保在發(fā)生重大故障和災(zāi)難情況下，組織的網(wǎng)絡(luò)安全連續(xù)性達到所要求的級別。（14）符合性：包括兩方面要求：一是確保符合法律法規(guī)、標準、合同義務(wù)等要求；二是對合規(guī)性進行評審。網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全風險管理標準依據(jù)：GB/T20984-2022《信息安全技術(shù)信息安全風險評估方法》風險管理的概念風險管理是一種在風險評估的基礎(chǔ)上對風險進行處理的工程，網(wǎng)絡(luò)安全風險管理的實質(zhì)是基于風險的網(wǎng)絡(luò)安全管理，其核心是網(wǎng)絡(luò)安全風險評估。網(wǎng)絡(luò)安全風險評估：運用科學的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，為防范和化解網(wǎng)絡(luò)安全風險，將風險控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)安全提供科學依據(jù)。網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全風險管理風險管理的實施流程網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全風險管理風險分析網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全風險管理風險控制的實施網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全風險管理風險控制的措施風險降低