网络安全策略

为了设计和实施安全的网络空间,已经制定了一些严格的策略。本章解释了确保网络安全所采用的主要策略,其中包括以下内容 -

  • 创建安全的网络生态系统
  • 创建保证框架
  • 鼓励开放标准
  • 加强监管框架
  • 建立IT安全机制
  • 确保电子政务服务安全
  • 保护关键信息基础设施

策略 1 – 创建安全的网络生态系统

网络生态系统涉及各种不同的实体,如设备(通信技术和计算机)、个人、政府、私人组织等,它们出于多种原因相互作用。

该战略探讨了建立一个强大而稳健的网络生态系统的想法,在该系统中,网络设备将来可以相互协作,以防止网络攻击、降低其有效性或找到从网络攻击中恢复的解决方案。

这样的网络生态系统将能够内置到其网络设备中,以允许在设备组内部和设备组之间组织安全的行动方式。该网络生态系统可以通过当前的监控技术进行监控,其中软件产品用于检测和报告安全漏洞。

强大的网络生态系统具有三种共生结构——自动化、互操作性身份验证

  • 自动化- 它简化了高级安全措施的实施,提高了速度并优化了决策流程。

  • 互操作性- 它加强了协作行动,提高了意识,并加速了学习过程。互操作性分为三种类型 -

    • 语义(即基于共同理解的共享词典)
    • 技术的
    • 政策 - 对于将不同的贡献者纳入包容性网络防御结构非常重要。

  • 身份验证- 它改进了识别和验证技术,以便提供 -

    • 安全
    • 负担能力
    • 易于使用和管理
    • 可扩展性
    • 互操作性

攻击对比

下表显示了攻击类别与所需网络生态系统功能的比较 -

案例分析

下图是吉尔伯特·盖茨为《纽约时报》准备的,展示了伊朗工厂如何通过互联网遭到黑客攻击。

案例分析

解释- 设计了一个程序来自动运行伊朗核电站。不幸的是,一名不知道威胁的工人将该程序引入了控制器。该程序收集了与该植物相关的所有数据,并将信息发送给情报机构,然后情报机构开发了一种蠕虫并将其插入该植物中。使用蠕虫,工厂被恶棍控制,导致产生更多蠕虫,结果工厂彻底失败。

攻击类型

下表描述了攻击类别 -

攻击类别 攻击描述
消耗

用于破坏网络和系统的方法。它包括以下内容 -

  • 分布式拒绝服务攻击
  • 损害或拒绝对服务或应用程序的访问
  • 资源耗尽攻击
恶意软件 未经所有者同意,用于中断计算机正常运行、损害信息资产的恶意软件。从可移动设备执行任何操作都会增强恶意软件的威胁。
黑客攻击

试图故意利用弱点来获得不道德的访问,通常是远程进行的。它可能包括 -

  • 数据泄露攻击
  • 注入攻击和功能滥用
  • 欺骗
  • 时间状态攻击
  • 缓冲区和数据结构攻击
  • 资源操纵
  • 被盗凭证的使用
  • 后门
  • 对密码的字典攻击
  • 利用身份验证
社交策略

使用欺骗和操纵等社交策略来获取数据、系统或控制的访问权限。它包括 -

  • 预先发短信(伪造调查)
  • 煽动网络钓鱼
  • 通过对话检索信息
不当使用(内部威胁)

组织中的个人滥用数据权和控制权,从而违反组织的政策。它包括 -

  • 安装未经授权的软件
  • 删除敏感数据
物理Behave/设备丢失或被盗

人为驱动的攻击,例如 -

  • 身份令牌和信用卡被盗
  • 摆弄或更换读卡器和销售点终端
  • 干扰传感器
  • 组织使用的计算设备被盗,例如笔记本电脑
多组件 单连接技术包含多种高级攻击技术和组件。
其他

攻击例如 -

  • 供应链攻击
  • 网络调查

策略 2 – 创建保障框架

该战略的目标是通过传统的产品、流程、人员和技术来设计符合全球安全标准的轮廓。

为了满足国家安全要求,制定了被称为网络安全保障框架的国家框架。它通过“支持和认可”行动容纳关键基础设施组织和政府。

扶持行动由政府实体执行,这些政府实体是不受商业利益影响的自治机构。由这些机构发布《国家安全政策合规要求》以及 IT 安全指南和文件,以实现 IT 安全实施和合规性。

认可行动涉及满足强制性资格标准后的盈利服务,包括以下内容 -

  • ISO 27001/BS 7799 ISMS认证、IS体系审核等,本质上都是合规认证。

  • “Common Criteria”标准ISO 15408和Crypto模块验证标准,它们是IT安全产品的评估和认证。

  • 协助消费者实施IT安全的服务,例如IT安全人力培训。

值得信赖的公司认证

随着外包市场的发展,印度IT/ITES/BPO需要遵守安全和隐私方面的国际标准和最佳实践。ISO 9000、CMM、六西格码、全面质量管理、ISO 27001 等都是其中的一些认证。

现有模型(例如 SEI CMM 级别)专门用于软件开发过程,并不解决安全问题。因此,人们努力创建一个基于自我认证概念并效仿美国卡耐基梅隆大学软件能力成熟度模型(SW-CMM)的模型。

通过行业和政府之间的这种联系产生的结构包括以下内容 -

  • 标准
  • 指导方针
  • 实践

这些参数可帮助关键基础设施的所有者和运营商管理网络安全相关风险。

策略 3 – 鼓励开放标准

标准在定义我们如何处理跨地理区域和社会的信息安全相关问题方面发挥着重要作用。鼓励开放标准 -

  • 提升关键流程效率,
  • 启用系统合并,
  • 为用户提供衡量新产品或服务的媒介,
  • 组织安排新技术或商业模式的方法,
  • 解释复杂的环境,以及
  • 支持经济增长。

ISO 27001[3] 等标准鼓励实施标准组织结构,客户可以在其中了解流程并降低审核成本。

策略 4 – 加强监管框架

该战略的目标是创建安全的网络空间生态系统并加强监管框架。预计通过国家关键信息基础设施保护中心(NCIIPC)建立 24X7 的机制来应对网络威胁。计算机紧急响应小组 (CERT-In) 已被指定为危机管理的节点机构。

该战略的一些亮点如下:

  • 促进网络安全的研究和开发。

  • 通过教育和培训计划开发人力资源。

  • 鼓励所有组织,无论是公共组织还是私人组织,指定一人担任首席信息安全官(CISO),负责网络安全举措。

  • 印度武装部队正在建立网络司令部,作为加强国防网络和设施网络安全的一部分。

  • 公私伙伴关系的有效实施正在酝酿之中,这对于为不断变化的威胁形势制定解决方案大有帮助。

策略 5 – 创建 IT 安全机制

确保 IT 安全的一些基本机制包括:面向链路的安全措施、端到端安全措施、面向关联的措施和数据加密。这些方法的不同之处在于其内部应用程序功能以及它们提供的安全属性。让我们简要讨论一下它们。

链接导向的措施

它在两个节点之间传输数据时提供安全性,无论数据的最终来源和目的地如何。

端到端措施

它是一种以受保护的方式从源到目的地传输协议数据单元 (PDU) 的介质,任何通信链路的中断都不会违反安全性。

面向协会的措施

面向关联的措施是一组经过修改的端到端措施,可单独保护每个关联。

数据加密

它定义了传统密码和最近开发的公钥密码的一些一般特征。它以只有授权人员才能解密的方式对信息进行编码。

策略 6 – 确保电子政务服务安全

电子治理(e-governance)是政府以负责任的方式提供公共服务的最宝贵工具。不幸的是,在目前的情况下,印度没有专门的电子政务法律结构。

同样,印度也没有强制通过电子方式提供公共服务的法律。没有什么比在没有足够网络安全的情况下执行电子政务项目更危险和麻烦的了。因此,确保电子政务服务的安全已成为一项至关重要的任务,特别是当国家通过卡进行日常交易时。

幸运的是,印度储备银行已在印度实施卡交易安全和风险缓解措施,并于 2013 年 10 月 1 日起强制执行。它将确保卡交易安全的责任交给银行而不是客户。

“电子政务”或电子政府是指政府机构将信息和通信技术(ICT)用于以下目的 -

  • 高效提供公共服务
  • 炼化内部效率
  • 公民、组织和政府机构之间轻松交换信息
  • 重组行政流程。

策略 7 – 保护关键信息基础设施

关键信息基础设施是一个国家国家安全和经济安全的支柱。它包括发电厂、高速公路、桥梁、化工厂、网络以及数百万人每天工作的建筑物。这些可以通过严格的合作计划和严格的实施来确保。

保护关键基础设施免受不断发展的网络威胁需要采用结构化方法。政府需要定期与公共和私营部门积极合作,以预防、应对和协调缓解工作,以防止对国家关键基础设施的破坏和不利影响。

政府需要与企业主和运营商合作,通过共享网络和其他威胁信息来加强他们的服务和团体。

应与用户共享一个通用平台来提交意见和想法,这些意见和想法可以共同为保护关键基础设施奠定更坚实的基础。

美国政府于2013年通过了一项“改善关键基础设施网络安全”的行政命令,优先考虑关键基础设施服务提供过程中涉及的网络安全风险管理。该框架为组织提供了一个共同的分类和机制:

  • 定义他们现有的网络安全方向,
  • 定义他们的网络安全目标,
  • 在持续流程的框架内对发展机会进行分类和优先排序,以及
  • 与所有投资者就网络安全进行沟通。