网络安全策略

上一页
下一页

为了设计和实施安全的网络空间,已经制定了一些严格的策略。本章解释了为确保网络安全而采用的主要策略,包括以下内容:

  • 创建安全的网络生态系统
  • 创建保障框架
  • 鼓励开放标准
  • 加强监管框架
  • 创建IT安全机制
  • 保障电子政务服务
  • 保护关键信息基础设施

策略1 - 创建安全的网络生态系统

网络生态系统涉及各种各样的实体,如设备(通信技术和计算机)、个人、政府、私人组织等,它们出于各种原因相互交互。

此策略探讨了拥有强大而健壮的网络生态系统的想法,在未来,网络设备可以在其中相互协作以防止网络攻击、降低其有效性或找到从网络攻击中恢复的解决方案。

这样的网络生态系统在其网络设备中内置了能力,以允许在设备组内和设备组之间组织安全的操作方式。此网络生态系统可以通过现有的监控技术进行监督,在这些技术中,软件产品用于检测和报告安全弱点。

强大的网络生态系统具有三个共生结构:**自动化、互操作性**和**身份验证**。

  • **自动化** - 它简化了高级安全措施的实施,提高了速度并优化了决策过程。

  • **互操作性** - 它加强了协作行动,提高了意识并加速了学习过程。互操作性有三种类型:

    • 语义(即基于共同理解的共享词汇表)
    • 技术
    • 政策 - 在将不同的贡献者整合到包容性的网络防御结构中方面很重要。

  • **身份验证** - 它改进了识别和验证技术,以提供:

    • 安全
    • 经济适用性
    • 易用性和管理
    • 可扩展性
    • 互操作性

攻击比较

下表显示了*针对所需网络生态系统功能的攻击类别比较*:

案例研究

以下图表由**《纽约时报》的吉尔伯特·盖茨**绘制,展示了伊朗工厂是如何通过互联网遭到黑客攻击的。

Case Study

**解释** - 一个程序被设计为自动运行伊朗核电站。不幸的是,一名不了解威胁的工人将该程序引入控制器。该程序收集了与工厂相关的所有数据,并将信息发送给情报机构,然后情报机构开发并将蠕虫插入工厂。利用蠕虫,工厂被不法分子控制,导致产生更多蠕虫,结果工厂完全瘫痪。

攻击类型

下表描述了攻击类别:

攻击类别 攻击描述
损耗

用于破坏网络和系统的方法。它包括以下内容:

  • 分布式拒绝服务攻击
  • 损害或拒绝访问服务或应用程序
  • 资源耗尽攻击
恶意软件 任何用于中断正常计算机操作并在未经所有者同意的情况下损害信息资产的恶意软件。任何来自可移动设备的执行都可能加剧恶意软件的威胁。
黑客攻击

试图故意利用弱点以获得不道德的访问权限,通常远程进行。它可能包括:

  • 数据泄露攻击
  • 注入攻击和滥用功能
  • 欺骗
  • 时间状态攻击
  • 缓冲区和数据结构攻击
  • 资源操作
  • 被盗凭据的使用
  • 后门
  • 密码字典攻击
  • 身份验证漏洞利用
社会战术

使用欺骗和操纵等社会战术来获取对数据、系统或控制的访问权限。它包括:

  • 虚假陈述(伪造调查)
  • 煽动网络钓鱼
  • 通过对话获取信息
不当使用(内部威胁)

组织中个人对数据和控制权的滥用,违反了组织的政策。它包括:

  • 安装未经授权的软件
  • 删除敏感数据
物理行动/设备丢失或盗窃

人为驱动的攻击,例如:

  • 被盗的身份令牌和信用卡
  • 篡改或更换读卡器和销售点终端
  • 干扰传感器
  • 盗窃组织使用的计算设备,例如笔记本电脑
多组件 包含多种高级攻击技术和组件的单一攻击技术。
其他

攻击,例如:

  • 供应链攻击
  • 网络调查

策略2 - 创建保障框架

此策略的目标是通过传统的产品、流程、人员和技术设计符合全球安全标准的框架。

为了满足国家安全需求,开发了一个名为**网络安全保障框架**的国家框架。它通过“启用和认可”行动来适应关键基础设施组织和政府。

**启用**行动由政府实体执行,这些实体是独立于商业利益的自治机构。这些机构发布“国家安全政策合规性要求”以及IT安全指南和文档,以启用IT安全实施和合规性。

**认可**行动涉及在满足强制性资格标准后参与盈利服务,其中包括以下内容:

  • ISO 27001/BS 7799 ISMS 认证、IS 系统审计等,这些本质上是合规性认证。

  • “通用标准”标准 ISO 15408 和加密模块验证标准,这些是IT安全产品评估和认证。

  • 协助消费者实施IT安全的服务,例如IT安全人员培训。

可信公司认证

随着外包市场的蓬勃发展,印度IT/ITES/BPO 需要遵守安全和隐私方面的国际标准和最佳实践。ISO 9000、CMM、六西格玛、全面质量管理、ISO 27001 等是一些认证。

现有的模型,例如 SEI CMM 等级,专门用于软件开发流程,并未解决安全问题。因此,人们做出了多项努力来创建基于自我认证概念并类似于美国卡内基梅隆大学 (CMU) 软件能力成熟度模型 (SW-CMM) 的模型。

通过行业与政府之间这种合作产生的结构包括以下内容:

  • 标准
  • 指南
  • 实践

这些参数有助于关键基础设施的所有者和运营商管理与网络安全相关的风险。

策略3 - 鼓励开放标准

标准在定义我们如何处理跨地理区域和社会的信息安全相关问题方面发挥着重要作用。鼓励开放标准以:

  • 提高关键流程的效率,
  • 启用系统集成,
  • 为用户提供衡量新产品或服务的媒介,
  • 组织安排新技术或商业模式的方法,
  • 解释复杂的环境,以及
  • 促进经济增长。

ISO 27001[3] 等标准鼓励实施标准组织结构,客户可以在其中理解流程并降低审计成本。

策略4 - 加强监管框架

此策略的目标是创建安全的网络空间生态系统并加强监管框架。已经设想了一个 24X7 机制,通过国家关键信息基础设施保护中心 (NCIIPC) 处理网络威胁。计算机应急响应小组 (CERT-In) 已被指定为危机管理的节点机构。

此策略的一些亮点如下:

  • 促进网络安全领域的研发。

  • 通过教育和培训计划培养人力资源。

  • 鼓励所有组织,无论公私,都指定一人担任首席信息安全官 (CISO),负责网络安全计划。

  • 印度武装部队正在建立网络司令部,作为加强国防网络和设施网络安全的一部分。

  • 正在筹划有效实施公私合作伙伴关系,这将在很大程度上为不断变化的威胁环境创造解决方案。

策略5 - 创建IT安全机制

为确保IT安全而采取的一些基本机制包括:面向链路的安全措施、端到端安全措施、面向关联的措施以及数据加密。这些方法在其内部应用功能以及它们提供的安全属性方面有所不同。让我们简要讨论一下它们。

面向链路的措施

它在两个节点之间传输数据时提供安全性,无论数据的最终来源和目的地如何。

端到端措施

它是一种以受保护的方式从源到目的地传输协议数据单元 (PDU) 的媒介,以至于其任何通信链路的破坏都不会违反安全性。

面向关联的措施

面向关联的措施是一组经过修改的端到端措施,可以单独保护每个关联。

数据加密

它定义了传统密码和最近开发的公钥密码类的一些通用特征。它以只有授权人员才能解密的方式对信息进行编码。

策略6 - 保障电子政务服务

电子政务 (e-governance) 是政府提供公共服务的最宝贵的工具,以负责任的方式提供服务。不幸的是,在当前情况下,印度还没有专门针对电子政务的法律结构。

同样,印度也没有关于公共服务强制电子交付的法律。在没有充分网络安全的情况下执行电子政务项目是最危险和麻烦的事情。因此,保障电子政务服务已成为一项至关重要的任务,尤其是在国家每天通过卡片进行交易的时候。

幸运的是,印度储备银行已实施了针对印度卡交易的安全和风险缓解措施,这些措施自 2013 年 10 月 1 日起生效。它将确保卡交易安全的责任放在银行而不是客户身上。

“电子政务”或电子政府是指政府机构使用信息和通信技术 (ICT) 进行以下工作 -

  • 高效交付公共服务
  • 提高内部效率
  • 公民、组织和政府机构之间轻松的信息交流
  • 行政流程的重组。

战略 7 - 保护关键信息基础设施

关键信息基础设施是一个国家国家安全和经济安全的支柱。它包括发电厂、高速公路、桥梁、化工厂、网络以及每天有数百万人工作的建筑物。这些可以通过严格的协作计划和纪律严明的实施来保障。

保护关键基础设施免受不断发展的网络威胁需要一种结构化的方法。政府需要定期与公共和私营部门积极合作,以预防、应对和协调缓解工作,以防止对国家关键基础设施的破坏企图和不利影响。

政府需要与企业主和运营商合作,通过共享网络和其他威胁信息来加强其服务和群体。

应与用户共享一个通用平台,以便提交评论和想法,这些评论和想法可以共同努力,为保障和保护关键基础设施奠定更坚实的基础。

美国政府于 2013 年发布了一项名为“改进关键基础设施网络安全”的行政命令,该命令优先考虑关键基础设施服务交付中涉及的网络安全风险管理。该框架为组织提供了一个通用的分类和机制,以便 -

  • 定义其现有的网络安全状况,
  • 定义其网络安全目标,
  • 在持续流程的框架内对发展机会进行分类和优先排序,以及
  • 与所有投资者沟通网络安全事宜。
打印页面
上一篇
下一篇
广告