NISP官网|国家信息安全水平考试NISP运营管理中心|国家网络空间安全人才培养基地欢迎您!

图片展示
搜索

图片展示

ISAT

信息安全意识培训

【立即报名】

NISP一级

国家信息安全水平考试

【立即报名】

NISP二级

国家信息安全水平考试

【立即报名】

NISP三级

国家信息安全水平考试

【立即报名】

CISP

注册信息安全专业人员

【立即报名】

NISP一级考试预约

 

图片展示

2021第二届全国⼤学⽣⽹络安全精英赛赛事介绍

 

       2021第二届全国⼤学⽣⽹络安全精英赛,指导单位为中国信息安全测评中⼼,主办⽅为国家⽹络空间安全⼈才培养基地。⼤赛以普及知识、挖掘⼈才为⼰任,⾯向全国⼤学⽣普及信息安全意识、传播信息安全知识、挖掘信息安全⼈才。

       本次比赛分为3个阶段,参赛学员均已个人赛形式参加比赛。第一阶段为全国线上初赛,主要考察学生的信息安全知识水平;第二阶段为全国线上复赛,主要考察学生网络安全基础知识和基本技能;第三阶段为全国线下总决赛;具体如下:

1.1.全国初

初赛主要考察学生信息安全知识水平,资格赛为线上答题形式。

☑ 比赛时间:7月1日-9月10日报名,9月13日-17日全国初赛

☑ 参赛资格:全国各类高、中等院校在校学生

☑ 比赛形式:初赛由各个参赛院校组织学生至大赛官网自主报名,由当地承办机构组织安排初赛时间。

☑ 比赛题型:初赛为50道单选题。

☑ 比赛内容:内容包含:信息安全概述、信息安全法律法规、信息安全基础技术、网络安全防护技术、操作系统安全防护技术、应用安全、移动智能终端安全防护、信息安全管理。

☑ 通过条件:满分100分,竞赛成绩达到70分及以上。

 

1.2.全国复赛

全国复赛主要考察参赛选手网络安全基础知识和基本技能。

☑ 比赛时间:9月24日全国复赛

☑ 比赛形式:复赛为线上答题形式进行,参赛条件为初赛成绩达70分以上。

☑ 比赛题型:复赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发。

☑ 通过条件:全国前100名通过参加线下总决赛

 

1.3.全国总决赛

全国总决赛为线下知识竞赛形式。

☑ 比赛时间:10月11日全国线下总决赛

☑ 比赛形式:决赛为线下知识答题赛,参赛条件为复赛全国成绩前100名。

☑ 比赛题型:总决赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发等。

☑ 获奖条件:根据总决赛最终成绩排名,产生大学生网络安全竞赛金奖:10人;银奖:10人;铜奖:20人。

 

1.4.奖项设置

2021年第二届大学生网络安全竞赛共设奖金20万元。

金奖:10人,奖金10000元/人

银奖:10人,奖金5000元/人

铜奖:20人,奖金2500元/人

获得⼤赛⾦银铜牌的选⼿,可获得⼤赛协办单位腾讯安全、卓朗科技、 深信服等信息安全知名企业签约⼯作机会。

 

4. 大赛同期其他活动

本次大赛同期将进行一系列与相关的活动,主要活动如下:

1.1大学生网络安全知识精英赛校园大使招募

第二届全国大学生网络安全精英赛即将于2021年7月1日启动报名,9月网络安全周期间开赛。现在面向全国在校大学生招募校园大使。招募规则如下:

 1.1.1.招募标准

具备⼀定的信息安全基础知识,擅长通过talkshow⼩段子、音乐创作、创意剪辑等各种才艺、方法传播信息安全知识、宣传网络安全精英赛的在校大学生。

1.1.2.招募平台

抖音APP

1.1.3.报名方式

1、开通抖音账号,并关注抖音官方号“网安精英赛”。

2、活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

3、拍摄与网络安全相关的短视频添加话题#网络安全精英赛#在抖音发布,并@网安精英赛 官方账号。

4、发动同学为自己的短视频点赞。

1.1.4.评选

大赛组委会邀请评委会评选作品,筛选出符合招募要求的作品,并按照点赞数排序,最终前十名入选的创作者将成为本届大学生网络安全精英赛校园大使。

1.1.5.公布

最终入选名单将在精英赛官网(https://www.nisp.org.cn/ds)公布。

1.1.6.表彰

成功当选校园大使的创作者,精英赛组委会将颁发聘书,并奖励华为 Mate 40E 手机一台(京东官方价4199元)。

 

1.2大学生网络安全知识精英赛答题接龙活动

校园大使招募活动同时,大赛组委会举办“网络安全精英赛·答题接龙”活动。

活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

参与在校大学生可登陆精英赛官网(https://www.nisp.org.cn/ds)学习网络安全辅导课程,并练习模拟题。

在抖音APP上传短视频,内容为回答一道网络安全模拟题,指定同学接龙。并以“大学生网络安全精英赛,你也来答题吧~”结尾。@网安精英赛 官方账号,参与抽奖。

奖品为华为WATCH GT 2 Pro 智能手表,共十个获奖名额(京东官网价2388元)。

 

等保测评系列之等保体系逻辑解构

作者:阿哲学长 来源:国家网络空间安全人才培养基地

一、 概述

此前一直在关注互联网上关于等保方法的文章,发现大部分都是围绕怎么测、怎么做,很少有涉及针对等保测评这项基本国策的理解和解构。思来想去,笔者觉得如果不从根本上解释为何而作这个问题,是无法更好的贯彻落实等保制度这一基本国策,并且也无法体会到这项重要国策的良苦用心。

故而,笔者决定将个人对等保这项基本制度的理解和看法整理出来,以向大家进行交流,若有不当之处欢迎斧正。

二、 等保制度的成因

众所周知,我国的拥有世界上最多的人口基数,互联网人口数量也位居世界前列,而身在其中的互联网应用的复杂度也参差不齐,同时由于投入进行网络安全的资金量是有限的,这就为我国的网络安全提出以下三点急需解决的问题:

如何有效应对日益复杂的信息安全态势?(信息系统复杂度和攻击手段革新)

针对有限资金情况下,如何合理投放?

如何评价投放成果?

而为了更好的解决这三点问题,我国借鉴参考国际各类优秀安全标准以及结合我国自有国情,便顺势提出和实行网络安全等级保护制度。

三、 等保制度的内在逻辑

经过上文我们知道等保制度需要解决的问题和背景,那接下来就需要针对具体问题进行深入研讨解构。

第一个问题:如何有效应对日益复杂的信息安全态势?(信息系统复杂度和攻击手段革新)

由于等保制度是基本国策,是自上而下的顶层设计,同时又因为具体技术手段实现受到特定环境所限(例如WAF仅针对应用层级进行防护等),不具有普适性。

所以,等保制度必然需站在大局方面,结合我国实际情况,借鉴国外优秀理论搭建的一个理论指导性的框架逻辑体系。

在这个体系结构中,等保分为两大类别关注点:管理类和技术类。

管理类要求:

主要是针对相关系统管理方或运营方提出的管理程序上的合规化要求,因为只有流程的正确才能保证技术类安全要求的落地。而流程的合规是需要实际管理类文档体系的支撑。

所以,在日常测评过程中管理类的要求是落地到针对文档的核查。而一套完整的管理体系至少要包含:整体性安全工作方针或策略、依据整体性安全工作方针或方案产生的各类安全管理制度规范、安全技术操作手册、安全管理流程细则表单类文档以及安全工作留痕记录或相关工作报告这些四级的文档体系,这才能做到自上而下,统一指导、切实落地(追根溯源)。

图1 四级文档结构

技术类要求:

如果说管理类要求是针对信息系统使用人员、管理人员、维护人员的操作流程、日常工作行为的限定与指引,那么技术类要求就是实打实的针对信息系统及其所处环境的功能性要求。

而要对信息系统及其所处环境的功能性要求进行理解,就需要对其所面临的风险进行解构。

首先,我们需要对风险的类型进行讨论——风险的类型分为可用性和安全性。

可用性:可用性关注于系统的正常运转,其主要关注问题点:系统的连续性、系统抗灾能力、系统的资源使用情况。

安全性:安全性关注于系统的数据安全,其主要关注问题点:数据丢失、数据篡改、数据泄露。

所以,为了达到敏感数据不泄露、核心业务不失控给、合规管理不缺项的工作目标。等保制度提出了SAG的概念:

S类—业务信息安全保护类—关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。

A类—系统服务安全保护类—关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用。

G类—通用安全保护类—既关注保护业务信息的安全性,同时也关注保护系统的连续可用性(说明:正是由于管理属于通盘考虑,所以上文管理类要求都是G类)。

接着,根据安全性关注需求,即系统的数据安全,我们在进行下一步的讨论。

由于数据安全往往和网络安全、应用安全、操作系统安全、数据库安全关联紧密。所以,要讨论这个问题,我们就要等保测评中的调研环节,调研环节里面特别提到了业务流和数据流。在此我解释下什么是业务流、什么是数据流。

业务流:是测评相应的应用业务流流程(例如采买流程、登录流程、访问控制流程等)。

数据流:是承载数据流量从客户端到服务端之间通信流量的现实环境(如服务器、网络设备、安全设备等)。

既然了解到业务流和数据流的具体定义,再结合纵深防御理念(即依据数据和业务流转方向,针对这一过程中的现实物理设备和相应软件模块,提出的相应安全要求,最终构成有如战争期间的多道层叠的防线),为此等保测评将这些数据流转中所涉及的环境,一共分成五大层次:

安全物理环境:物理环境是后面四大层面的基石,没有安全的物理环境存放相应设备,以下所有层面考虑的问题都如无根之木。

安全通信网络:随着信息化的不断发展,通过网络实现资源共享和数据交互的技术场景也屡见不鲜,故而数据传输过程中关于数据传输、加密以及相关架构是否合理就成为关注重点。

安全区域边界:由于在不同网络间存在互通的实际场景越来越普遍,为保证不同网络区域间的安全性,故而需考虑不同网络间的授权接入、访问控制、入侵防范等措施的落实情况是否合理。

安全计算环境:安全计算环境定义是通过局域网络各种设备联结而成复杂环境,针对边界内部所提出的安全需求(边界内部涵盖构成该环境的网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等)。由于业务流针对的软件模块就属于安全计算环境中的一个组成部分,所以,针对应用系统业务方面的安全属性就体现在相应的测评要求中。

安全管理中心:是一个纵深防御体系的大脑,是技术管控枢纽,通过管理区实现管理,并通过一个技术工具或多个技术工具实现一定程度上的集中管理。

图2 等保2.0框架结构

经过上文的描述相信大家对等保测评体系结构的内在逻辑有了一定的理解,也知道等保体系是如何回答——如何有效应对日益复杂的信息安全态势?这一问题的基本思路。那现在回答下一个问题。

第二个问题:针对有限资金情况下,如何合理投放?

其实这个问题,很好解决。在有限的资金情况下,必然是先解决高层级的重要系统,在考虑低层级的其他系统。这也是等保制度中要求系统定级的内在由来,依据不同层级系统的重要程度,在提出相应的安全需求,这样就可以把“好刚用在刀刃上”,最大效率的利用有限资金实现网络安全强国的目标。当然为了定级的准确和工作的有序正确开展,在2.0时代就要求在原先1.0定级的工作流程上强制要求加入专家评审,以确保系统定级的准确。

第三个问题:如何评价投放成果?

定期开展等保测评工作,采用统一的评判标准,进行成果的衡量。(必须要注意的是,有些测评工作人员仅仅只关注于分数和测评结论,忽略测评工作的内在本质,对于测评对象的选取不够明确,例如由于测评计算公式、评分、权重等因素,导致在选取网络对象时,合并成一个网络对象还是拆分成两个网络对象进行测评往往对于分数以及测评结论的影响并不大,但是这就忽略了上文所说的安全区域边界的真实目的要求,换而言之,一个最基本的网络单元(内含网络设备、安全设备、服务器等)就应该有其自身的安全要求,如果对象都选取不准确,就会影响测评的实际效果,不利于基本国策工作的落地。

图3 等保2.0评判标准

文章转自:FreeBuf.COM


0
NISP管理中心

等保测评系列之等保体系逻辑解构

作者:阿哲学长 浏览: 发表时间:2021-03-05 09:40:30 来源:国家网络空间安全人才培养基地

一、 概述

此前一直在关注互联网上关于等保方法的文章,发现大部分都是围绕怎么测、怎么做,很少有涉及针对等保测评这项基本国策的理解和解构。思来想去,笔者觉得如果不从根本上解释为何而作这个问题,是无法更好的贯彻落实等保制度这一基本国策,并且也无法体会到这项重要国策的良苦用心。

故而,笔者决定将个人对等保这项基本制度的理解和看法整理出来,以向大家进行交流,若有不当之处欢迎斧正。

二、 等保制度的成因

众所周知,我国的拥有世界上最多的人口基数,互联网人口数量也位居世界前列,而身在其中的互联网应用的复杂度也参差不齐,同时由于投入进行网络安全的资金量是有限的,这就为我国的网络安全提出以下三点急需解决的问题:

如何有效应对日益复杂的信息安全态势?(信息系统复杂度和攻击手段革新)

针对有限资金情况下,如何合理投放?

如何评价投放成果?

而为了更好的解决这三点问题,我国借鉴参考国际各类优秀安全标准以及结合我国自有国情,便顺势提出和实行网络安全等级保护制度。

三、 等保制度的内在逻辑

经过上文我们知道等保制度需要解决的问题和背景,那接下来就需要针对具体问题进行深入研讨解构。

第一个问题:如何有效应对日益复杂的信息安全态势?(信息系统复杂度和攻击手段革新)

由于等保制度是基本国策,是自上而下的顶层设计,同时又因为具体技术手段实现受到特定环境所限(例如WAF仅针对应用层级进行防护等),不具有普适性。

所以,等保制度必然需站在大局方面,结合我国实际情况,借鉴国外优秀理论搭建的一个理论指导性的框架逻辑体系。

在这个体系结构中,等保分为两大类别关注点:管理类和技术类。

管理类要求:

主要是针对相关系统管理方或运营方提出的管理程序上的合规化要求,因为只有流程的正确才能保证技术类安全要求的落地。而流程的合规是需要实际管理类文档体系的支撑。

所以,在日常测评过程中管理类的要求是落地到针对文档的核查。而一套完整的管理体系至少要包含:整体性安全工作方针或策略、依据整体性安全工作方针或方案产生的各类安全管理制度规范、安全技术操作手册、安全管理流程细则表单类文档以及安全工作留痕记录或相关工作报告这些四级的文档体系,这才能做到自上而下,统一指导、切实落地(追根溯源)。

图1 四级文档结构

技术类要求:

如果说管理类要求是针对信息系统使用人员、管理人员、维护人员的操作流程、日常工作行为的限定与指引,那么技术类要求就是实打实的针对信息系统及其所处环境的功能性要求。

而要对信息系统及其所处环境的功能性要求进行理解,就需要对其所面临的风险进行解构。

首先,我们需要对风险的类型进行讨论——风险的类型分为可用性和安全性。

可用性:可用性关注于系统的正常运转,其主要关注问题点:系统的连续性、系统抗灾能力、系统的资源使用情况。

安全性:安全性关注于系统的数据安全,其主要关注问题点:数据丢失、数据篡改、数据泄露。

所以,为了达到敏感数据不泄露、核心业务不失控给、合规管理不缺项的工作目标。等保制度提出了SAG的概念:

S类—业务信息安全保护类—关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。

A类—系统服务安全保护类—关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用。

G类—通用安全保护类—既关注保护业务信息的安全性,同时也关注保护系统的连续可用性(说明:正是由于管理属于通盘考虑,所以上文管理类要求都是G类)。

接着,根据安全性关注需求,即系统的数据安全,我们在进行下一步的讨论。

由于数据安全往往和网络安全、应用安全、操作系统安全、数据库安全关联紧密。所以,要讨论这个问题,我们就要等保测评中的调研环节,调研环节里面特别提到了业务流和数据流。在此我解释下什么是业务流、什么是数据流。

业务流:是测评相应的应用业务流流程(例如采买流程、登录流程、访问控制流程等)。

数据流:是承载数据流量从客户端到服务端之间通信流量的现实环境(如服务器、网络设备、安全设备等)。

既然了解到业务流和数据流的具体定义,再结合纵深防御理念(即依据数据和业务流转方向,针对这一过程中的现实物理设备和相应软件模块,提出的相应安全要求,最终构成有如战争期间的多道层叠的防线),为此等保测评将这些数据流转中所涉及的环境,一共分成五大层次:

安全物理环境:物理环境是后面四大层面的基石,没有安全的物理环境存放相应设备,以下所有层面考虑的问题都如无根之木。

安全通信网络:随着信息化的不断发展,通过网络实现资源共享和数据交互的技术场景也屡见不鲜,故而数据传输过程中关于数据传输、加密以及相关架构是否合理就成为关注重点。

安全区域边界:由于在不同网络间存在互通的实际场景越来越普遍,为保证不同网络区域间的安全性,故而需考虑不同网络间的授权接入、访问控制、入侵防范等措施的落实情况是否合理。

安全计算环境:安全计算环境定义是通过局域网络各种设备联结而成复杂环境,针对边界内部所提出的安全需求(边界内部涵盖构成该环境的网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等)。由于业务流针对的软件模块就属于安全计算环境中的一个组成部分,所以,针对应用系统业务方面的安全属性就体现在相应的测评要求中。

安全管理中心:是一个纵深防御体系的大脑,是技术管控枢纽,通过管理区实现管理,并通过一个技术工具或多个技术工具实现一定程度上的集中管理。

图2 等保2.0框架结构

经过上文的描述相信大家对等保测评体系结构的内在逻辑有了一定的理解,也知道等保体系是如何回答——如何有效应对日益复杂的信息安全态势?这一问题的基本思路。那现在回答下一个问题。

第二个问题:针对有限资金情况下,如何合理投放?

其实这个问题,很好解决。在有限的资金情况下,必然是先解决高层级的重要系统,在考虑低层级的其他系统。这也是等保制度中要求系统定级的内在由来,依据不同层级系统的重要程度,在提出相应的安全需求,这样就可以把“好刚用在刀刃上”,最大效率的利用有限资金实现网络安全强国的目标。当然为了定级的准确和工作的有序正确开展,在2.0时代就要求在原先1.0定级的工作流程上强制要求加入专家评审,以确保系统定级的准确。

第三个问题:如何评价投放成果?

定期开展等保测评工作,采用统一的评判标准,进行成果的衡量。(必须要注意的是,有些测评工作人员仅仅只关注于分数和测评结论,忽略测评工作的内在本质,对于测评对象的选取不够明确,例如由于测评计算公式、评分、权重等因素,导致在选取网络对象时,合并成一个网络对象还是拆分成两个网络对象进行测评往往对于分数以及测评结论的影响并不大,但是这就忽略了上文所说的安全区域边界的真实目的要求,换而言之,一个最基本的网络单元(内含网络设备、安全设备、服务器等)就应该有其自身的安全要求,如果对象都选取不准确,就会影响测评的实际效果,不利于基本国策工作的落地。

图3 等保2.0评判标准

文章转自:FreeBuf.COM


等保测评系列之等保体系逻辑解构
互联网上关于等保方法的文章,发现大部分都是围绕怎么测、怎么做,很少有涉及针对等保测评这项基本国策的理解和解构。思来想去,笔者觉得如果不从根本上解释为何而作这个问题,是无法更好的贯彻落实等保制度这一基本国策,并且也无法体会到这项重要国策的良苦用心。
长按图片保存/分享
0

 

网安世纪科技有限公司-国家信息安全水平考试(NISP)管理中心 © 2001-2020  ICP备案号:京ICP备18045154号-6

网站地图

全部课程

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了
京ICP备18045154号-6