私有安全云防護體系包括:
支撐技術:以OpenStack、Hadoop等云計算、大數據技術為基礎形成支撐技術架構。
云解析:在支撐技術之上,形成應用層解析、SaaS解析、PaaS解析、IaaS解析等云協議棧內容。通過SDN技術把流量從虛擬機、服務器導入到云協議棧進行解析。
云防護:針對云(虛擬機、服務器、云網絡、云邊界)、管、端等各個防護節點實施整體防護。
云策略:由安全云中的各種設備協同實現身份認證、訪問控制、威脅感知、安全審計等安全特性,實現進不去、拿不走、看不懂、跑不掉的目標。
統一管理與集中呈現:整個系統實現統一管理,集中呈現,實現靈活性和全局性。
網絡安全信息系統保護等級分為以下幾級:
第一級(自主保護級):一般適用于小型私營、個體企業、中小學,鄉鎮所屬信息系統、縣級單位中一般的信息系統。信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級(指導保護級):一般適用于縣級其些單位中的重要信息系統;地市級以上國家機關、企事業單位內部一般的信息系統。例如非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級(監督保護級):一般適用于地市級以上國家機關、企業、事業單位內部重要的信息系統,例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統;跨省或全國聯網運行的用于生產、調度、管理、指揮、作業、控制等方面的重要信息系統以及這類系統在省、地市的分支系統;中央各部委、省(區、市)門戶網站和重要網站;跨省連接的網絡系統等。信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級(強制保護級):一般適用于國家重要領域、重要部門中的特別重要系統以及核心系統。例如電力、電信、廣電、鐵路、民航、銀行、稅務等重要、部門的生產、調度、指揮等涉及國家安全、國計民生的核心系統。信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級(專控保護級):一般適用于國家重要領域、重要部門中的極端重要系統。信息系統受到破壞后,會對國家安全造成特別嚴重損害。信息系統安全等級保護的定級準則和等級劃分
網絡基本安全要求主要表現在以下幾方面:
網絡正常運行。在受到攻擊的情況下,能夠保證網絡系統繼續運行。
網絡管理/網絡部署的資料不被竊取。
具備先進的入侵檢測及跟蹤體系。
提供靈活而高效的內外通訊服務。
網絡安全體系在建立過程中主要應遵循以下原則:
系統性原則
網絡系統是一個復雜的計算機系統,攻擊者往往從系統最薄弱點切入,正如著名的密碼學專家Bruce Schneier所說:“安全是一條鎖鏈,一條鏈上的任何一個漏洞都會破壞整個系統 (Security is a chain,and a single weak link can break the entiresystem.)”。因此,建立網絡安全防范體系時,應當特別強調系統的整體安全性,也就是人們常說的“木桶原則”一“木桶的最大容積取決于最短一塊木板”。
互補性原則
網絡安全防范技術都有自己的優點和局限性,各種網絡安全技術之間應當互相補充,互相配合,在統一的安全策略與配置下,發揮各自的優點。因此,網絡安全體系應該包括安全評估機制、安全防護機制、安全監測機制及安全應急響應機制。安全評估機制用來識別網絡系統風險,分析網絡風險,制定風險控制措施。安全防護機制是指根據具體系統存在的各種安全威脅而采取的相應的防護措施,以避免非法攻擊的進行。安全監測機制是指獲取系統的運行情況,及時發現和制止對系統進行的各種攻擊。安全應急響應機制是指在安全防護機制失效的情況下,進行應急處理,盡量及時地恢復信息,減少攻擊的破壞程度。
安全風險原則
網絡安全不是絕對的,網絡安全體系要正確處理需求、風險與代價的關系,做到安全性與可用性相容,做到組織上可執行。
標準化與一致性原則
網絡系統是一個龐大的系統工程,其安全體系的設計必須遵循一系列的標準,這樣才能確保各個分系統的一致性,使整個系統安全地互連、互通、互操作。
技術與管理相結合原則
安全體系是一個復雜的系統工程,涉及人、技術、操作等要素,單靠技術或單靠管理都不可能實現。因此,必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。
預防性原則
網絡安全應以預防為主,否則亡羊補牢,為之晚矣。特別是大型的網絡,一旦攻擊者進入系統后,就難以控制網絡安全局面。因此,我們應當遵循“安全第一,預防為主”的原則。
等級性原則
等級性原則是指根據網絡資產安全級別,采用合適的網絡防范措施來保護網絡資產,做到適度防護。
動態原則
網絡安全策略根據網絡系統的安全環境和攻擊適時而變。據securityfocus網站公布的資料表明,操作系統幾乎都存在弱點,而且每個月均有新的弱點被發現。網絡攻擊的方法并不是一成不變的,攻擊者會根據搜集到的目標信息,不斷地探索新的攻擊入口點。因此,網絡系統的安全防范應當是動態的,要根據網絡安全的變化不斷調整安全措施,適應新的網絡環境,滿足新的網絡安全需求。
易操作性原則
網絡安全措施和安全策略能夠正確執行是網絡安全體系的保障。因此,網絡安全體系的建立必須遵循易于實現和易于操作的原則。
物理隔離內網加強防御的安全措施如下:
正規渠道下載軟件:通過官方渠道或者正規的軟件分發渠道下載相關軟件,隔離網絡安裝使用的軟件及文檔須確保其來源可靠。
嚴禁連接公用網絡:一般情況下禁止連接公用網絡,若必須連接公用網絡,建議不要進行可能泄露機密信息或隱私信息的操作,如收發郵件、即時(IM)通信甚至常用軟件 的升級操作。
切勿打開不明來源信息:可能連接隔離網絡的系統,切勿輕易打開不明來源的郵件附件。
注意安全檢查:需要在隔離網絡環境使用的移動存儲設備,需要特別注意安全檢查, 避免惡意程序通過插入移動介質傳播。
漏洞及時修復:漏洞掃描及修復系統必須十分可靠,及時安裝系統補丁和重要軟件的補丁。
殺毒軟件:殺毒軟件要及時升級,防御病毒木馬攻擊。
提高安全意識:在隔離網絡中的計算機操作人員仍然需要提高安全意識,注意到封閉的隔離網絡并不意味著絕對安全。
等保2.0是等保1.0的升級,也就是網絡安全等級保護。2019年5月13日,國家市場監督管理總局召開新聞發布會,正式發布《信息安全技術網絡安全等級保護基本要求》2.0版本,等保2.0已于2019年12月1日正式實施。
等保2.0相比于1.0主要的變化包括:
名稱上的變化
名稱上由“信息系統安全等級保護”轉變為“網絡安全等級保護”。
法律效力不同
《網絡安全法》第21條規定“國家實行網絡安全等級保護制度,要求網絡運營者應當按照網絡安全等級保護制度要求,履行安全保護義務”。落實網絡安全等級保護制度上升為法律義務。
保護對象有擴展
等保1.0主要是信息系統。而等保2.0將網絡基礎設施(廣電網、電信網、專用通信網絡等)、云計算平臺/系統、采用移動互聯技術的系統、物聯網、工業控制系統等納入到等級保護對象范圍中。
控制措施分類不同
等保1.0按照技術和管理各5個方面的要求進行分類,技術要求分為物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復,管理要求分為安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。
等保2.0則有很大的變化。技術要求分為安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心,管理要求分為安全管理制度、安全管理機構、安全人員管理、安全建設管理和安全運維管理。此外,等保2.0基本要求、測評要求、安全設計技術要求框架保持了一致性,即“一個中心,三重防護”。
內容進行了擴充
等保1.0有五個規定性動作,包括定級、備案、建設整改、等級測評和監督檢查。而等保2.0除了定級、備案、建設整改、等級測評和監督檢查之外,增加了風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置等。
使用蜜罐有以下作用:
收集入侵信息:根據蜜罐的功能定義,蜜罐不應獲得任何合法流量,因此所記錄的任何活動都可能是探測或入侵嘗試。簡單來說就是所有流經蜜罐的信息都是攻擊者的信息,我們可以通過蜜罐來收集這些攻擊者的信息來作出相依的對策;
迷惑攻擊者:如果在客戶/服務器模式里嵌入蜜罐,讓蜜罐作為服務器角色,真正的網站服務器作為一個內部網絡在蜜罐上做網絡端口映射,這樣可以把網站的安全系數提高,入侵者即使滲透了位于外部的“服務器”,他也得不到任何有價值的資料,因為他入侵的是蜜罐而已。雖然入侵者可以在蜜罐的基礎上跳進內部網絡,但那要比直接攻下一臺外部服務器復雜得多,許多水平不足的入侵者只能望而卻步;
加固服務器:部署一臺蜜罐模仿要加固的服務器的工作流程,這臺蜜罐被設置得與內部網絡服務器一樣,當一個入侵者費盡力氣入侵了這臺蜜罐的時候,管理員只需要從蜜罐中提取攻擊者的攻擊手段,分析這些手段來加固真正的服務器,如果條件允許部署多臺蜜罐則可以做到萬無一失;
抓捕網絡犯罪者:這本身并不是蜜罐的用途,但是網絡警察可以部署一些蜜罐來誘捕網絡犯罪者攻擊這些蜜罐,一般這些蜜罐都是會詳細獲取對方的真實ip地址,網警則可以分析這些地址來查找對方的物理地址,來實施抓捕罪犯。
提供有關威脅的可靠情報:蜜罐可以提供有關威脅如何進化的可靠情報。它們提供有關攻擊媒介、漏洞利用和惡意軟件的信息,對于電子郵件陷阱,則提供有關垃圾郵件發送者和網絡釣魚攻擊的信息。黑客會不斷完善他們的入侵技術;網絡蜜罐有助于確定新出現的威脅和入侵。充分利用蜜罐也有助于消除盲點。
網閘是一個縮寫,網閘的全稱是(安全隔離與信息交換系統),使用一種專用的隔離芯片在電路上切斷內外網連接的一種設備,并能夠在網絡間進行安全適度的應用數據交換。
網閘是一種網絡隔離技術,網閘對于每個應用都是在應用層進行處理,并且策略需按照應用逐個下達,同時對于目的地址也要特別指定,因此內部主機上的木馬是無法實現將數據外泄的。并且木馬主動發起的對外連接也將直接被隔離設備切斷。由于隔離網閘的主機系統把TCP/IP協議頭全部剝離,以原始數據方式在兩主機系統間進行“擺渡”,網閘的接受請求的主機系統與請求主機之間建立會話。
手機感染病毒后,可能會造成:
惡意扣費:是指在用戶不知情或未授權的情況下,通過隱蔽執行、欺騙用戶點擊等手段,訂購各類收費業務或使用移動終端支付。
【防護建議】安裝安全軟件,對手機進行病毒防護、查殺;養成定期查看手機消費明細的習慣。
竊取隱私:是指在用戶不知情或未授權的情況下,獲取涉及用戶個人信息的行為,導致用戶隱私重要信息泄露,有可能被不法人員利用進行犯罪活動。
【防護建議】安裝安全軟件,對手機進行病毒防護、查殺;養成從官網和安全性較高的正規應用商店下載APP的習慣。
遠程控制:是指在用戶不知情或未授權的情況下,能夠接受遠程控制端指令并進行相關操作,使被病毒感染的手機成為控制者的肉雞,完全被對方控制。
【防護建議】安裝安全軟件,對手機進行病毒防護、查殺;養成從官網和安全性較高的正規應用商店下載APP的習慣。
惡意傳播:是指自動通過復制、感染、投遞、下載等方式將自身、自身的衍生物或其他惡意代碼進行擴散的惡意行為。
【防護建議】安裝安全軟件,對手機進行病毒防護、查殺;定期查看手機消費明細;養成從官網和安全性較高的正規應用商店下載APP的習慣。
資費消耗:是指在用戶不知情或未授權的情況下,通過自動撥打電話、發送短信、頻繁連接網絡等方式,導致用戶資費損失。
【防護建議】安裝安全軟件,對手機進行病毒防護、查殺;定期查看手機消費明細;養成從官網和安全性較高的正規應用商店下載APP的習慣。
系統破壞:是通過感染、劫持、篡改、等手段導致移動終端或其他非惡意軟件部分或全部功能、用戶文件等無法正常使用的,干擾、破壞、阻斷移動通信網絡、網絡服務或其他合法業務正常運行的行為。
【防護建議】安裝安全軟件,對手機進行病毒防護、查殺;養成從官網和安全性較高的正規應用商店下載APP的習慣。
誘騙欺詐:是指自動通過偽造、篡改、劫持短信、彩信、郵件、通訊錄、通話記錄、收藏夾等方式,誘騙用戶,而達到不正當目的的惡意行為。
【防護建議】安裝安全軟件,對手機進行病毒防護、查殺;養成從官網和安全性較高的正規應用商店下載APP的習慣。
流氓行為:是指對于執行后對系統沒有直接損害,也不對用戶個人信息、資費曹成侵害,但間接造成用戶手機使用不方便,并帶來安全隱患的惡意行為。
【防護建議】安裝安全軟件,對手機進行病毒防護、查殺;養成從官網和安全性較高的正規應用商店下載APP的習慣。
內存型木馬其原理就是先由客戶端發起一個web請求,中間件的各個獨立的組件如Listener、Filter、Servlet等組件會在請求過程中做監聽、判斷、過濾等操作,內存馬利用請求過程在內存中修改已有的組件或者動態注冊一個新的組件,插入惡意的shellcode達到持久化的控制服務器。如果在內存中執行死循環,使管理員無法刪除木馬文件這種被稱為不死內存馬。
針對不死內存木馬的防御方法有以下這些:
對開放上傳附件功能的網站,一定要進行身份認證,并只允許信任的人使用上傳程序;
保證所使用的程序及時地更新;
不要在前臺網頁加注后臺管理程序登錄頁面的鏈接;
時常備份數據庫等文件,但是不要把備份數據放在程序默認的備份目錄下;
管理員的用戶名和密碼要有一定復雜性;
IIS中禁止目錄的寫入和執行功能,可以有效防止asp木馬;
在服務器、虛擬主機控制面板設置執行權限選項中,將有上傳權限的目錄取消asp的運行權限;
創建一個robots.txt上傳到網站根目錄,Robots能夠有效防范利用搜索引擎竊取信息的駭客;
DDoS攻擊是Distributed Denial of Service Attack(分布式拒絕服務攻擊)的縮寫。是一種大規模的DoS攻擊,攻擊者使用多個IP地址或計算機對目標進行攻擊。攻擊目的如下:
進行勒索
攻擊者通過對因提供網絡服務而贏利的平臺(如網頁游戲平臺、在線交易平臺、電商平臺等)發起DDoS攻擊,使得這些平臺不能被用戶訪問,進而提出交付贖金才停止攻擊的要求。
打擊競爭對手
攻擊者會雇傭犯罪人員,在重要時段打擊競爭對手,使對方聲譽受到影響或重要活動終止。
報復行為或政治目的
攻擊者為報復和宣揚政治行為,實施DDoS攻擊。
下面給出了一些DDoS攻擊的防護措施:
過濾不必要的服務和端口:可以使用 Inexpress、Express、Forwarding 等工具來過濾不必要的服務和端口,即在路由器上過濾假 IP。比如 Cisco 公司的 CEF (Cisco Express Forwarding) 可以針對封包 Source IP 和 Routing Table 做比較,并加以過濾。只開放服務端口成為目前很多服務器的流行做法,例如 WWW 服務器那么只開放 80 而將其他所有端口關閉或在防火墻上做阻止策略。
異常流量的清洗過濾:通過 DDOS 硬件防火墻對異常流量的清洗過濾,通過數據包的規則過濾、數據流指紋檢測過濾、及數據包內容定制過濾等頂尖技術能準確判斷外來訪問流量是否正常,進一步將異常流量禁止過濾。單臺負載每秒可防御 800-927 萬個 syn 攻擊包。
分布式集群防御:這是目前網絡安全界防御大規模 DDOS 攻擊的最有效辦法。分布式集群防御的特點是在每個節點服務器配置多個 IP 地址(負載均衡),并且每個節點能承受不低于 10G 的 DDOS 攻擊,如一個節點受攻擊無法提供服務,系統將會根據優先級設置自動切換另一個節點,并將攻擊者的數據包全部返回發送點,使攻擊源成為癱瘓狀態,從更為深度的安全防護角度去影響企業的安全執行決策。
高防智能 DNS 解析:高智能 DNS 解析系統與 DDOS 防御系統的完美結合,為企業提供對抗新興安全威脅的超級檢測功能。它顛覆了傳統一個域名對應一個鏡像的做法,智能根據用戶的上網路線將 DNS 解析請求解析到用戶所屬網絡的服務器。同時智能 DNS 解析系統還有宕機檢測功能,隨時可將癱瘓的服務器 IP 智能更換成正常服務器 IP,為企業的網絡保持一個永不宕機的服務狀態。
實現對于信息安全威脅的防范措施有以下這些:
在局域網絡內,對不同的信息進行區域規劃,執行嚴格的授權訪問機制。將擁有不同安全訪問權限的用戶劃分至不同的VLAN,并在Trunk端口限制授權訪問的VLAN,將一些敏感信息與其他子網絡相隔離。
將所有敏感信息都集中保存在網絡內的文件服務器中,既可以有效保證敏感信息的存儲安全,又可以保證在共享文件的同時,嚴格控制其訪問權限。需要注意的是,應杜絕將敏感信息保存在個人計算機上。
制定嚴格的文件訪問權限。敏感文件必須存儲在NTFS系統分區,并且為不同用戶或用戶組設置嚴格的NTFS文件權限、NTFS文件夾權限和共享文件權限。
將不同類型的用戶劃分于不同的用戶組或組織單位,并為用戶組和組織單位指定相應的訪問權限,既可以減化文件權限管理的難度,又不會因疏忽大意導致訪問權限劃分錯誤。
安裝RMS服務,嚴格限制對敏感文件的操作。權限管理服務(WindowsRights Management)作為組織內的權限策略管理系統提供一個平臺,是在組織中搭建權限管理系統的重要組成部分。
其他基于交換機和路由器的安全措施。例如,采用IEEE 802.1x身份認證、IP地址與MAC地址綁定、安全端口、IP或MAC地址訪問列表等技術,限制用戶登錄到網絡,或者限制其對敏感區域的訪問。
網絡流量分析常用技術如下:
基于SNMP:本方法僅能對網絡設備端口的整體流量進行分析,可以獲得設備端口的實時或者歷史的流入/流出帶寬、丟包、誤包等性能指標,但無法分析具體的用戶流量和協議組成。通過擴展實現RMON和RMON II,該方法可在一定程度上(網絡2層到4層)實現有限的端到端通信會話數據分析、TopN用戶統計等功能。相關的產品有HP的OpenView NNM,CA的 UniCenter,MRTG等。因其具有實現簡單、標準統一、接口開放的特點,被業界廣泛采用。
基于網絡探針(Probe):本方式的數據抓包、分析和統計等功能一般都在網絡”探針”上以硬件方式實現,分析的結果存儲在探針的內存或磁盤之中,具體的前端展現依賴與之對應的專門軟件。因此具有效率高、可靠性高、高速運行不丟包的特點。本種方式可深入的對網絡2層、3層甚至7層的特性進行詳細分析。常見的產品有Agilent的 NetMetrix 及其Probes,NetScout 的nGenius Performance Manager 及其Probes等。
基于實時抓包分析:基于實時抓包的分析技術提供詳細的從物理層到應用層的數據分析。但該方法主要側重于協議分析,而非用戶流量訪問統計和趨勢分析,僅能在短時間內對流經接口的數據包進行分析,無法滿足大流量、長期的抓包和趨勢分析的要求。常見的產品有NAI 的Sniffer Pro,免費的tcpdump、ethereal等。
基于流(Flow)的流量分析:目前基于流的分析技術主要有sFlow和NetFlow。sFlow是由InMon、HP和Foundry Networks聯合開發的一種網絡監測技術,它采用數據流隨機采樣技術,可以適應超大網絡流量(如大于10Gbps)環境下的流量分析,讓用戶詳細、實時地分析網絡傳輸流的性能、趨勢和存在的問題。目前,僅有HP、Foundry和 Extreme Networks等廠商的部分型號的交換機支持sFlow。NetFlow是Cisco公司開發的技術,它既是一種交換技術,又是一種流量分析技術,同時也是業界主流的計費技術之一。它可以回答有關IP流量的如下問題:誰在什么時間、在什么地方、使用何種協議、訪問誰、具體的流量是多少等問題。NetFlow因為其技術和Cisco網絡產品的市場占有率優勢而成為當今主流的流量分析技術之一。
密碼分類管理分為以下三種類型核心:
核心密碼:核心密碼是一個組合詞匯,通過倒裝對后面的“密碼”進行修飾和強調。可以理解為非常重要的密碼。目前使用不常見。其普及源于核心密碼軟件科技公司的產品“核心密碼”;
普通密碼:普通密碼屬于國家秘密。密碼管理部門依照本法和有關法律、行政法規、國家有關規定對核心密碼、普通密碼實行嚴格統一管理。
商用密碼:商用密碼是指對不涉及國家秘密內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品。商用密碼技術是商用密碼的核心,是信息化時代社會團體、組織、企事業單位和個人用于保護自身權益的重要工具。國家將商用密碼技術列入國家秘密,任何單位和個人都有責任和義務保護商用密碼技術的秘密。
1. 確定信息系統審計單位:信息系統審計單位是審計監督的執行者,也就是審計機構和審計人員。根據國際通用的信息系統審計準則,要求信息系統審計工作必須獨立性。因此在確定信息系統審計單位,除了要求符合相關的資質要求,必須保證信息系統審計工作的獨立性。建議信息系統審計工作的開展盡可能的考慮外部信息系統審計單位,保證信息系統審計的效果。如果確定內部單位進行信息系統審計,必須保證審計單位組織的獨立性。
*2. 確定獨立信息系統審計組: *信息系統審計,即包括了軟硬件系統,也包括業務符合性的審計,以及信息系統項目組織、策劃、服務管理等方面。因此,構成信息系統審計組的成員應由信息系統專家、業務專家、咨詢專家等多方面人員構成,主要的審計師必須具有信息系統審計的資格。
3. 信息系統審計方案與計劃: 制訂恰當的信息系統審計方案與計劃是信息系統審計工作的核心基礎,是保證審計目標實現,以及達到相關審計效果的關鍵。信息系統審計方案與計劃應包括:信息系統現狀分析;內部控制現狀初步評價;信息系統審計的性質與范圍;審計工作的組織安排;審計風險評估;審計費用與成本;實施時間計劃;信息系統審計方法;審計協調與溝通機制等。
4. 信息系統審計實施:信息系統審計實施的過程要求對審計計劃確定的范圍、要點、步驟、方法等內容,進行取證、測試與評價,最終形成信息系統審計報告。工作的方法主要包括對信息系統系統內部控制的建立與遵守情況進行符合性與實質性測試,分析信息系統審計差異,逐步信息系統審計報告的相關依據。信息系統審計內容應包括軟硬件系統、信息安全、項目策劃與管理、信息系統服務與管理等內容。針對國內信息系統建設現狀,多個系統運行,信息存儲分散的實際情況,要重點審計系統的接口,以及數據的完整性和一致性。
a)信息系統審計報告: 信息系統審計報告應包括:審計證據匯總、審計原始底稿、與審計準則之間的審計差異、調整與建議內容、審計總體意見等方面的內容。各塊內容的匯總可以按照硬件系統、軟件系統、信息安全管理、信息系統管理與服務、信息系統項目策劃與管理的結構進行組織。
b)持續改進:與信息系統建設的持續改進相對應, 信息系統審計工作也是長期,持續改進的工作。需要從實際情況出發,制訂長期的信息系統審計計劃與方案,不斷促進信息系統應用的成熟與完善。
