網絡安全問題帶來以下損失:
在線欺詐攻擊以及金融犯罪活動,通常這些犯罪行為都是源自于個人身份信息(PII)的泄露;
操控金融行業,攻擊者竊取了關于公司可能合并的敏感商業信息或者提前知道上市公司的業績報告;
機會成本,包括生產或服務流程的中斷以及人們對在線活動信任度的下降。勒索軟件在這一方面功不可沒,受害者需要向勒索軟件支付贖金才能恢復加密數據,更重要的是,勒索軟件會嚴重影響正常服務及產出。
知識產權以及商業機密信息的損失;
網絡安全成本,比如購買網絡安全險、網絡攻擊災后恢復的支出等等。
被攻擊的公司及其品牌所受到的聲譽上的損失以及責任上的風險,比如臨時性的股價崩潰等。
供應鏈安全管理策略主要包括:
在選擇工控系統規劃,設計,建設,運維或評估等服務商時,優先考慮采用工控安全防護經驗的企事業單位,以合同等方式明確服務商應承擔的信息安全責任和義務。
以保密協議的方式要求服務商做好保密工作,防范敏感信息外泄。
供應鏈安全管理是通過實施一組合適的控制措施而達到的,包括策略、過程、規程、組織結構以及軟件和硬件功能。在必要時需建立、實施、監視、評審和改進這些控制措施,以確保滿足該組織的特定安全和業務目標。這個過程宜與其他業務管理過程聯合進行。
瀏覽保護是幫助您評估訪問過的網站的安全性,并阻止您無意訪問的有害網站。瀏覽保護會顯示搜索引擎結果中所列網站的安全評級。通過幫助您避免訪問包含安全威脅(如病毒、蠕蟲、木馬之類的惡意軟件和網絡釣魚)的網站,瀏覽保護的安全評級有助于防止您遭受傳統防病毒程序尚無法識別的最新互聯網威脅。
網站有四種可能的安全評級:安全、可疑、有害和未知。這些安全評級依據的信息有多種來源,如 F-Secure 惡意軟件分析師和 F-Secure 合作伙伴,以及瀏覽保護的其他用戶給予的評級。
密碼管理器有三種主要類型,包括基于瀏覽器的密碼管理器、基于云的密碼管理器、基于桌面的密碼管理器。其中基于桌面的密碼管理器安全性最高,基于云的密碼管理器次之。
基于瀏覽器的密碼管理器
安全性:安全
優點:非常易于使用且免費;
缺點:沒有跨瀏覽器同步、并非所有都能生成密碼、很少測量密碼長度。
基于云的密碼管理器
安全性:高
優點:非常方便、從任何地方都能輕松訪問、云備份、依賴互聯網;
缺點:第三方服務器存儲用戶的數據、無法確保用戶的存儲庫安全。
與基于瀏覽器的密碼管理器相比,基于云的密碼管理器更安全,因為它們具有更多增強安全性的功能。
基于桌面的密碼管理器
安全性:最高
優點:最安全的選擇、不需要連接互聯網;
缺點:無法從其他設備訪問、復雜的密碼共享、手動備份。
與其他兩種類型相比,基于桌面的密碼管理器可能是最安全的,但具體效果完全取決于用戶。
信息安全原則的循環特性包括以下四個:
脆弱鏈接:信息安全的脆弱性問題就像一條鐵鏈,它的最高強度只等于其中最弱的鏈條。如果某鏈條比較脆弱、容易斷裂,整個鏈條就會失去作用,這是個最基本的原則。有了脆弱性的概念,我們就會考慮如何消除脆弱性、如何避免脆弱鏈接問題的出現。
縱深防御:避免脆弱鏈接問題的一個方法是利用縱深防御的概念。利用縱深防御,數據除了加密還要有應用的保護——必須有某些防護功能,比如安全登錄、缺陷檢測。因為有加密手段,即使數據被盜取,攻擊者也無法拿到數據內容。在攻擊應用時,會有操作系統的保護;操作系統之上還有防火墻、入侵檢測等網絡保護。這樣一層層加上去,即使上面一層出現問題,下面一層也可以提供防護。這些防護層之間還有互相防備的功能。這種縱深防御的概念非常好。攻擊者要拿到核心數據,就需要像剝洋蔥那樣一層層剝開,需要花費很大努力才能拿到核心數據。
沒有絕對的安全:縱深防御的問題在于每加一層防御就必須有新的投資,這將會增加安全成本。產品在安全上的投資最高可以多少呢?可能是10%甚至20%,但如果80%投資在安全上,20%投資在產品上,這是不可能的事情。我們需要實現平衡,即使開展縱深防御,也不可能做到從底部到上面的全面防護。
風險管理:在沒有絕對安全的條件下,只能進行風險管理。這要求我們要向保險公司和銀行學習如何進行風險管理。風險管理做得好,安全問題就解決得多。
邊界安全防護策略包括以下幾個方面:
在系統安全邊界的關鍵點采用嚴格的安全防護機制。如嚴格的登錄/連接控制、高功能的防火墻、防病毒網關、入侵防范、信息過濾。
對于跨安全域的訪問(針對應用系統)使用等級保護網關。
記錄邊界訪問控制事件的時間、地點、類型、主體、客體和結果。
禁止系統內用戶非授權外部連接(私自撥號和無線上網等),并采用技術手段對此行為進行檢查和控制。
根據信息密級和重要性劃分安全域。
明確安全域與以外系統的邊界。
在明確的邊界實施有效的訪問控制策略。
進出安全域的數據訪問都應通過各自安全邊界完成。
網頁防篡改部署流程如下:
在網站VPC上建一臺ESC;
修改安全組策略,新增端口;
在網頁服務器上系統防火墻上新增tcp8011、tcp60000-60010的端口訪問;
在網頁服務器上下載安全網頁防篡改的客戶端;
在防篡改服務器網頁上添加管理服務器,服務器的ip也要填寫內網ip地址;
確定原站備份完整后進行防篡改網頁操作,添加站點到此網頁防篡改部署完成。
防火墻規則可定義允許或阻止的互聯網流量類型。每個防火墻配置文件都有無法對其進行更改的防火墻規則的預定義集。您只能向某些配置文件添加新規則。對于有些配置文件,您可能無法向其添加自己的規則。也可能存在配置文件沒有預定義規則且允許您自由添加自己的規則集。選定的防火墻文件還會影響您自己規則接收的且與預定義規則相關的優先權。
防火墻規則可應用于從互聯網至計算機的流量(入站)或從計算機至互聯網的流量(出站)。同一規則也可同時應用于入站和出站流量。
防火墻規則包含防火墻服務,其會指定流量類型和此流量類型使用的端口。例如,某項名稱為網頁瀏覽的規則含有使用 TCP 和端口編號 80 的名稱為 HTTP 的服務。
防火墻規則還指定是否對符合防火墻規則的相關通訊顯示防火墻警報彈出窗口。
內網安全盤加載過多產生原因如下:
U盤自身問題:可能是插入的U盤自身有問題導致該U盤使用電量過多導致出現安全盤加載過多問題;
接入U盤過多:可能是你使用的內網計算機所支持的USB插口不能一次性插滿,插滿會導致USB供電器供電電壓不夠會出現該問題;
USB接口問題:可能是USB供電接口松動導致USB接口供電不足。
網絡物理隔離機制與實現技術主要有:
專用計算機上網:在內部網絡中指定一臺計算機,這臺計算機只與外部網相連,不與內部網相連。用戶必須到指定的計算機才能上網,并要求用戶離開自己的工作環境。
多PC:內部網絡中,在上外網的用戶桌面上安放兩臺PC,分別連接兩個分離的物理網絡,一臺用于連接外部網絡,另一臺用于連接內部網絡。
外網代理服務:在內部網指定一臺或多臺計算機充當服務器,負責專門搜集外部網的制定信息,然后把外網信息手工導入內部網,供內部用戶使用,從而實現內部用戶“上網”,又切斷內網與外網的物理連接,避免內網的計算機受到來自外網的攻擊。
內外網線路切換器:在內部網中,上外網的計算機上連接一個物理線路AB交換盒,通過交換盒的開關設置控制計算機的網絡物理連接。
單硬盤內外分區:是把單一硬盤分隔成不同的區域,在IDE總線物理層上,通過一塊IDE總線信號控制卡截取IDE總線信號,控制磁盤通道的訪問,在任一時間內,僅允許操作系統訪問指定的分區。這樣,單硬盤內外分區技術將單臺物理PC虛擬成邏輯上的兩臺PC,使得單臺計算機在某一時刻只能連接到內部網或外部網。
雙硬盤:在一臺機器上安裝兩個硬盤,通過硬盤控制卡對硬盤進行切換控制,用戶在連接外網時,掛接外網硬盤,而當用內網辦公時,重新啟動系統,掛接內部網辦公硬盤。在兩個硬盤上實際上安裝了兩個操作系統。缺點是需要不斷地重啟系統,不易統一管理。
網閘:通過利用一種GAP技術,使兩個或者兩個以上的網絡在不連通的情況下,實現它們之間的安全數據交換和共享。其技術原理是使用一個具有控制功能的開關讀寫存儲安全設備,通過開關的設置來連接或切斷兩個獨立主機系統的數據交換。安全風險:入侵者可以利用惡意數據驅動攻擊,將惡意代碼隱藏在電子文檔中,將其發送到目標網絡中,通過具有惡意代碼功能的電子文檔觸發,構成對內部網絡的安全威脅。
協議隔離技術:指處于不同安全域的網絡在物理上是有連線的,通過協議轉換的手段保證受保護信息在邏輯上是隔離的,只有被系統要求傳輸的、內容受限的信息可以通過。其中,協議轉換的定義是協議的剝離和重建。把基于網絡的公共協議中的應用數據剝離出來,封裝為系統專用協議傳遞至所屬其他安全域的隔離產品另一端,再將專用協議剝離,并封裝成需要的格式。
單向傳輸部件:是指一對具有物理上單向傳輸特性的傳輸部件,該傳輸部件由一對獨立的發送和接收部件構成,發送和接收部件只能以單工方式工作,發送部件僅具有單一的發送功能,接收部件僅具有單一的接收功能,兩者構成可信的單向通道,該通道無任何反饋信息。
信息擺渡技術:是信息交換的一種方式,物理傳輸信道只在傳輸進行時存在。信息傳輸時,信息先由信息源所在安全域一端傳輸至中間緩存區域,同時物理斷開中間緩存區域與信息目的所在安全域的連接;隨后接通中間緩存區域與信息目的所在安全域的傳輸信道,將信息傳輸至信息目的所在安全域,同時在信道上物理斷開信息源所在安全域與中間緩存區域的連接。在任何時刻,中間緩存區域只與段安全城相連。
物理斷開技術:是指處于不同安全域的網絡之間不能以直接或間接的方式相連接。在一個物理網絡環境中,實施不同安全域的網絡物理斷開,在技術上應確保信息在物理傳導、物理存儲上的斷開。物理斷開通常由電子開關實現。
反爬蟲爬取數據的措施有以下這些:
在WAF中封殺相應的User-Agent,這是最簡單的一種做法,但也最容易繞過,因為修改一下User-Agent就繞過了。
在WAF中啟用CC防護,限定指定時間段內請求的次數,但前提是采集量需要遠遠超過正常用戶的訪問量,不然就容易誤傷正常用戶。
使用前端JavaScript執行解碼或解密動作,提高爬取成本,因為爬取方需要執行同樣的解碼或解密動作,但對于直接模擬瀏覽器類型的爬蟲來說,此門檻效果不大。
限制IP是最常見的手段之一,為了效率,惡意爬蟲的請求頻率往往比正常流量高,找出這些IP并限制其訪問,可以有效降低惡意爬蟲造成的危害。不過限制IP也有自己的缺點,容易誤傷正常用戶,攻擊者可以通過搭建IP池的方法,來解決這個問題。
在登錄頁等頁面,添加驗證碼,以識別是正常流量還是惡意爬蟲,也是一種基本的操作。不過如今爬蟲技術,早已能解決驗證碼的問題,例如二值化、中值濾波去噪等等。
信息安全等級保護工作包括:
定級:信息系統運營使用單位按照等級保護管理辦法和定級指南,自主確定信息系統的安全保護等級。有上級主管部門的,應當經上級主管部門審批。跨省或全國統一聯網運行的信息系統可以由其主管部門統一確定安全保護等級。雖然說的是自主定級,但是也得根據系統實際情況去定級,有行業指導文件的根據指導文件來,沒有文件的根據定級指南來,總之一句話合理定級,該是幾級就是幾級,不要定的高也不要定的低。
備案:第二級以上信息系統定級單位到所在地所在地設區的市級以上公安機關辦理備案手續。省級單位到省公安廳網安總隊備案,各地市單位一般直接到市級網安支隊備案,也有部分地市區縣單位的定級備案資料是先交到區縣公安網監大隊的,具體根據各地市要求來。備案的時候帶上定級資料去網安部門,一般兩份紙質文檔,一份電子檔,紙質的首頁加蓋單位公章。
安全建設和整改:信息系統安全保護等級確定后,運營使用單位按照管理規范和技術標準,選擇管理辦法要求的信息安全產品,建設符合等級要求的信息安全設施,建立安全組織,制定并落實安全管理制度。
安全等級測評:信息系統建設完成后,運營使用單位選擇符合管理辦法要求的檢測機構,對信息系統安全等級狀況開展等級測評。測評完成之后根據發現的安全問題及時進行整改,特別是高危風險。測評的結論分為:不符合、基本符合、符合。當然符合基本是不可能的,那是理想狀態。
信息安全檢查:公安機關依據信息安全等級保護管理規范及《網絡安全法》相關條款,監督檢查運營使用單位開展等級保護工作,定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導,如實向公安機關提供有關材料。
防火墻可以通過配合防病毒網關來防止以下病毒:
blackenergy病毒;
GreyEnergy病毒;
Industroyer病毒;
格盤病毒;
火焰病毒;
毒區病毒;
木馬病毒;
蠕蟲病毒;
挖礦病毒;
勒索病毒;
Xcode病毒。
風險評估是指在風險事件發生之前或之后但還沒有結束時評估該事件對各個方面造成的影響和損失的一種量化評估工作,簡單來說風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度,風險評估結束后續出具風險評估報告,風險評估報告是對信息資產面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用而帶來風險的可能性的評估。
風險評價的作用主要表現在:一是更準確地認識風險;二是保證目標規劃的合理性和計劃的可行性;三是合理選擇風險對策,形成最佳風險對策組合。
風險評估常用方法如下:
風險因素分析法
風險因素分析法是指對可能導致風險發生的因素進行評價分析,從而確定風險發生概率大小的風險評估方法。其一般思路是:調查風險源→識別風險轉化條件→確定轉化條件是否具備→估計風險發生的后果→風險評價。
內部控制評價法
內部控制評價法是指通過對被審計單位內部控制結構的評價而確定審計風險的一種方法。由于內部控制結構與控制風險直接相關,因而這種方法主要在控制風險的評估中使用。
分析性復核法
分析性復核法是注冊會計師對被審計單位主要比率或趨勢進行分析,包括調查異常變動以及這些重要比率或趨勢與預期數額和相關信息的差異,以推測會計報表是否存在重要錯報或漏報可能性。常用的方法有比較分析法、比率分析法、趨勢分析法三種。
定性風險評價法
定性風險評價法是指那些通過觀察、調查與分析,并借助注冊會計師的經驗、專業標準和判斷等能對審計風險進行定性評估的方法。它具有便捷、有效的優點,適合評估各種審計風險。主要方法有:觀察法、調查了解法、邏輯分析法、類似估計法。
風險率風險評價法
風險率風險評價法是定量風險評價法中的一種。它的基本思路是:先計算出風險率,然后把風險率與風險安全指標相比較,若風險率大于風險安全指標,則系統處于風險狀態,兩數據相差越大,風險越大。
初步預判
網頁篡改事件區別于其他安全事件的明顯特點是:打開網頁后會看到明顯異常。
業務系統某部分網頁出現異常字詞網頁被篡改后,在業務系統某部分網頁可能出現異常字詞,例如,出現賭博、色情、某些違法App推廣內容等。2019 年 4月,某網站遭遇網頁篡改,首頁產生大量帶有賭博宣傳的黑鏈。
網站出現異常圖片、標語等網頁被篡改后,一般會在網站首頁等明顯位置出現異常圖片、標語等。例如,政治攻擊者為了宣泄不滿,在網頁上添加反動標語來進行宣示;還有一些攻擊者為了炫耀技術,留下“Hack by 某某”字眼或相關標語。
系統排查
網頁被惡意篡改是需要相應權限才能執行的,而獲取權限主要有三種方法:一是通過非法途徑購買已經泄露的相應權限的服務器賬號;二是使用惡意程序進行暴力破壞,從而修改網頁;三是入侵網站服務器,進而獲取操作權限。應對網頁篡改事件進行的系統排查如下。
異常端口、進程排查初步預判為網頁篡改攻擊后,為了防止惡意程序定時控制和檢測網頁內容,需要及時發現并停止可疑進程,具體步驟如下。
檢查端口連接情況,判斷是否有遠程連接、可疑連接。
查看可疑的進程及其子進程。重點關注沒有簽名驗證信息的進程,沒有描述信息的進程,進程的屬主、路徑是否合法,以及CPU或內存資源長期占用過高的進程。
可疑文件排查發現可疑進程后,通過進程查詢惡意程序。多數的網頁篡改是利用漏洞上傳Webshell文件獲取權限的,因此也可以使用D盾工具進行掃描。若發現Webshell文件,則可以繼續對Webshell進行排查。
可疑賬號排查攻擊者為了實現長期對網站的控制,多數會獲取賬號或建立賬號。因此,我們可以對網站服務器賬號進行重點查看,一方面是查看服務器是否有弱密碼,遠程管理端口是否對公網開放,從而防止攻擊者獲取密碼,控制原有系統賬號;另一方面是查看服務器是否存在新增、隱藏賬號。
確認篡改時間為了方便后續的日志分析,此時需要確認網頁篡改的具體時間。可以查看被篡改服務器的日志文件access.log,確認文件篡改大致時間。
日志排查
排查Windows日志。
排查Linux日志。
排查數據庫日志。
清除加固
對被篡改網頁進行下線處理。根據網頁被篡改的內容及影響程度,有針對性地進行處置,如果影響程度不大,篡改內容不多,那么可先將相關網頁進行下線處理,其他網頁正常運行,然后對篡改內容進行刪除恢復;如果篡改網頁帶來的影響較大,被篡改的內容較多,那么建議先對整個網站進行下線處理,同時掛出網站維護的公告。
如果被篡改的內容較少,那么可以手動進行修改恢復;如果被篡改的內容較多,那么建議使用網站定期備份的數據進行恢復。當然,如果網站有較新的備份數據,那么無論篡改內容是多是少,推薦進行網站覆蓋恢復操作(覆蓋前對被篡改網站文件進行備份,以備后續使用),避免有未發現的篡改數據。
如果網站沒有定時備份,那么就只能在一些舊的數據的基礎上,手動進行修改、完善。因此,對網站進行每日異地備份,是必不可少的。
備份和刪除全部發現的后門,完成止損。
通過在access.log中搜索可疑IP地址的操作記錄,可判斷入侵方法,修復漏洞。
