標準名稱變化
GB/T 22239-2008 《信息安全技術 信息系統安全等級保護基本要求》 改為
GB/T 22239-2019 《信息安全技術 網絡安全等級保護基本要求》
GB/T 25070-2019 《信息安全技術 網絡安全等級保護安全設計技術要求》
保護對象變化
等保1.0大部分對象是在體制內的單位,參加測評的也更多是計算機信息系統,而2.0的保護對象向全社會擴展,覆蓋各地區、各單位、各部門、各企業、各機構,也上升到了網絡空間安全,除了計算機信息系統,還包括網絡安全系統、云計算、物聯網、工業控制系統、大數據安全等方面。
標準內容變化
安全要求:等保2.0包括安全通用要求和安全擴展要求,各方面更加突出可信計算技術的應用,形成“一個中心,三重防護”的防御體系。
工作內涵變化
等保2.0工作內涵變化:增加測評活動安全管理、網絡服務管理、產品服務采購使用管理、技術維護管理、監測預警和信息通報管理、數據和信息安全保護要求、應急處置要求等內容。進一步明確了網絡定級及評審、備案及審核、等級測評、安全建設整改、自查等工作要求。
X0_0X 的所有回復(714)
排序:
排序:
評論于 2年前,獲得 0 個贊
評論于 1年前,獲得 0 個贊
- 吞吐量(Throughput)
吞吐量是衡量一款防火墻設備的最重要的指標,它是指防火墻設備在不丟包情況下每秒內處理數據包的最大能力。
設備吞吐量越高,所能提供給用戶使用的帶寬越大,就像木桶原理所描述的,網絡的最大吞吐取決于網絡中的最低吞吐量設備,足夠的吞吐量可以保證防火墻不會成為網絡的瓶頸。
吞吐量的計量單位有兩種方式:常見的就是帶寬計量,單位是Mbps(Megabits per second)或者Gbps(Gigabits per second),另外一種是數據包處理量計量,單位是pps(packets per second),兩種計量方式是可以相互換算的。在進行對一款設備進行吞吐性能測試時,通常會記錄一組從64字節(最小包)到1518字節(最大包)的測試數據,每一個測試結果均有相對應的pps數。我們會以最小包64字節為基準,也就是64字節的pps,基本上可以反映出設備處理數據包的最大能力,所以從64字節的這個數,基本上可以推算出系統最大能處理的吞吐量是多少。
- 時延(Latency)
時延是系統處理數據包所需要的時間(防火墻入口處輸入幀的最后1個比特到底出口輸出幀的第一個比特輸出所用的時間間隔)。防火墻時延測試指的就是計算它的存儲轉發(Store and Forward)時間,即從接收到數據包開始,處理完并轉發出去所用的全部時間。在一個網絡中,如果我們訪問某一臺服務器,通常不是直接到達,而是經過大量的路由交換設備。每經過一臺設備,就像我們在高速公路上經過收費站一樣都會耗費一定的時間,一旦在某一個點耗費的時間過長,就會對整個網絡的訪問造成影響。如果防火墻的延時很低,用戶就完全不會感覺到它的存在,提升了網絡訪問的效率。
- 新建連接速率(Maximum TCP Connection Establishment Rate)
新建連接速率指的是在每一秒以內防火墻所能夠處理的HTTP新建連連接請求的數量。用戶每打開一個網頁,訪問一個服務器,在防火墻看來會是1個甚至多個新建連接。而一臺設備的新建連接速率越高,就可以同時給更多的用戶提供網絡訪問。比如設備的新建連接速率是1萬,那么如果有1萬人同時上網,那么所有的請求都可以在一秒以內完成,如果有1萬1千人上網的話,那么前1萬人可以在第一秒內完成,后1千個請求需要在下一秒才能完成。所以,新建連接速率高的設備可以提供給更多人同時上網,提升用戶的網絡體驗。
- 并發連接數(Concurrent TCP Connection Capacity)
并發連接數就是指防火墻最大能夠同時處理的連接會話個數。并發連接數指的是防火墻設備最大能夠維護的連接數的數量,這個指標越大,在一段時間內所能夠允許同時上網的用戶數越多。隨著web應用復雜化以及P2P類程序的廣泛應用,每個用戶所產生的連接越來越多,甚至一個用戶的連接數就有可能上千,更嚴重的是如果用戶中了木馬或者蠕蟲病毒,更會產生上萬個連接。所以顯而易見,幾十萬的并發連接數已經不能夠滿足網絡的需求了,目前主流的防火墻都要求能夠達到幾十萬甚至上千萬的并發連接以滿足一定規模的用戶需求。
- 丟包率(Packet loss rate)
丟包率指在連續負載的情況下,防火墻設備由于資源不足導致應該轉發的幀沒有被轉發出去的百分比,防火墻的丟包率對其穩定性、可靠性有很大的影響。
丟包率用于確定防火墻在不同傳輸速率下丟失數據的百分數,目的在于說明防火墻在超負載情況下的性能,以特定的速率發送特定數量的數據包通過防火墻,然后計算出被防火墻轉發數據包的數量,對于在線交易的行業(金融、證券等),對數據傳輸的丟包率要求非常苛刻,丟包率會耽誤重要交易的及時進行,影響交易人對系統的信息以至于導致客戶的流失,因此丟包率丟對于銀行往來至關重要。
- 背對背(back to back)
背對背的技術指標結果體現出了防火墻的緩存容量,網絡上經常有一些應用程序會產生大量的突發數據包(如:備份數據、路由更新等),而且這樣的數據包丟失可能會產生更多的數據包丟失,所以強大的緩存能力可以減小這種突發對網絡造成的影響,所以背靠背指標體現出防火墻的數據緩存能力,即:防火墻設備承受突發數據的能力。
- 有效通過率(goodput)
根據RFC2647對防火墻測試的規范中定義一個重要的指標:防火墻真實有效通過率(goodput),因為防火墻在使用過程中,總會有數據包的丟失和重發,所以簡單測試防火墻的通過率是片面的,goodput從應用層測試防火墻的真實有效的傳輸數據包速率,即:防火墻端口的總轉發數據量減去丟書和重發的數據量。
評論于 1年前,獲得 0 個贊
目前沒有具體統計有多少企業有安全等級保護,但以下這些類型企業需要進行等級保護測評:
黨政系統(黨委、政府);
金融系統(銀行、保險、證券);
財稅系統(財政、稅務、工商);
經貿系統(商業貿易、海關);
電信系統(郵電、電信、廣播、電視);
能源系統(電力、熱力、燃氣、煤炭、油料);
交通運輸系統(航空、航天、鐵路、公路、水運、海運);
供水系統(水利及水源供給);
社會應急服務系統(醫療、消防、緊急救援);
教育科研系統(教育、科研、尖端科技);
國防建設系統;
評論于 1年前,獲得 0 個贊
理論上說,不論是何種入侵檢測系統都存在這樣或那樣的不足,因而需要不斷改進和完善,一個較為理想的入侵檢測系統應具備以下特征:
準確性。檢測系統對發現的攻擊行為不應出現誤報和漏報現象。
可靠性。一個檢測系統對管理員應該是透明的,并且能在無人監控的情況下正確運行,只有這樣才可以運行在被檢測的系統環境中。
容錯性。檢測系統必須具有良好的容錯性,不論所監控的系統處于何種狀態,檢測系統本身必須具備完整性,保證檢測用的知識庫系統不會受到干擾和破壞。
可用性。檢測系統的整體性能不應受系統狀態的變化而產生較大波動或嚴重降低。
可驗證性。檢測系統必須允許管理員適時監視攻擊行為。
安全性。檢測系統能保護自身安全和具有較強的抗欺騙攻擊的能力。
可適應性。檢測系統可隨時跟蹤系統環境的變化和及時調整檢測策略。
靈活性。檢測系統可根據具體情況,定制不同的且與防御機制相適應的使用模式。
評論于 1年前,獲得 0 個贊
網絡主動防御有以下作用:
讓入侵者的入侵速度變慢或入侵脫軌,使其無法繼續入侵或者完成入侵行動,從而增加入侵者犯錯的概率并暴露其存在(IP地址)或暴露他們的入侵媒介。
增加入侵成本。主動防御也可能意味著”非對稱防御”,通過增加入侵者攻擊的成本和時間。
可以檢測和阻止內外威脅。不僅能檢測和阻止互聯網中(外部威脅)的入侵者對局域網的入侵行為,還能檢測局域網中(內部威脅)的攻擊行為,包括勒索軟件,勒索和加密劫持等。
收集取證入侵者犯罪行為。主動防御使系統能夠提前主動檢測和破壞入侵行動,收集和了解了入侵手法和威脅情報并記錄到主動防御系統的數據庫中,主動防御系統會做出對應防范策略,以防止類似事件再次發生。
向入侵者發動反擊。某些特殊場合,主動防御系統會向入侵者發動反擊行為。這通常是為軍事和執法部門保留的權利,這些部門有資源也有權限確認攻擊來源并采取適當的行動。個人的反擊行為可能會觸犯當地法律。建議不要私自采取反擊行動。
評論于 6個月前,獲得 0 個贊
魚叉式網絡釣魚比常規網絡釣魚消息更先進,并且針對特定群體甚至特定個人。犯罪分子沒有發送模糊的消息,而是將它們設計為以特定組織為目標,以該組織內的部門甚至個人為目標,以確保最大程度地閱讀電子郵件并成功進行欺詐。這些特制的消息通常是許多引人注目的網絡攻擊和黑客事件的切入點。網絡犯罪團伙和國家支持的攻擊者都繼續將其用作開始間諜活動的手段。
以下方法可以檢查是不是釣魚網站:
通過查驗可信網站信息是否真實:通過第三方網站身份誠信認證辨別網站真實性。目前不少網站已在網站首頁安裝了第三方網站身份誠信認證——“可信網站”,可幫助網民判斷網站的真實性。“可信網站”驗證服務,通過對企業域名注冊信息、網站信息和企業工商登記信息進行嚴格交互審核來驗證網站真實身份,通過認證后,企業網站就進入中國互聯網絡信息中心運行的國家最高目錄數據庫中的“可信網站”子數據庫中,從而全面提升企業網站的誠信級別,網民可通過點擊網站頁面底部的“可信網站”標識確認網站的真實身份。
通過核對網站域名與網站備案是否相同:假冒網站一般和真實網站有細微區別,有疑問時要仔細辨別其不同之處,比如在域名方面,假冒網站通常將英文字母I被替換為數字1等。
通過比較網站內容:假冒網站上的字體樣式不一致,并且模糊不清。仿冒網站上沒有鏈接,用戶可點擊欄目或圖片中的各個鏈接看是否能打開。
通過查詢網站備案:通過ICP備案可以查詢網站的基本情況、網站擁有者的情況,對于沒有合法備案的非經營性網站或沒有取得ICP許可證的經營性網站,根據網站性質,將予以罰款,嚴重的關閉網站。
通過查看網站安全證書:目前大型的電子商務網站都應用了可信證書類產品,這類的網站網址都是“https”打頭的,如果發現不是“https”開頭,應謹慎對待。
評論于 2個月前,獲得 0 個贊
網絡安全風險評估涉及以下要素:
資產要素:是資產價值(重要性);
威脅要素:是威脅出現頻率;
脆弱性要素:是脆弱性的嚴重程度;
安全措施要素:根據脆弱性的嚴重程度及安全事件所作用資產的重要性計算安全事件的損失;
風險要素:安全事件發生的可能性以及安全事件的損失。
評論于 1年前,獲得 0 個贊
防火墻是防止外部入侵,它負責對網絡進行監控,阻擋網絡黑客攻擊但對病毒的查殺能力不強,而防毒墻就相當于殺毒軟件的監控程序,他監控的不是程序訪問網絡或黑客攻擊,他負責的是各種文件、注冊表等的監控,看文件是否帶病毒,防止帶病毒的文件運行而擴散,一般用防毒墻來彌補防火墻不足。
在實際應用中,防毒墻的作用在于對所監控的協議通訊中所帶文件中是否含有特定的病毒特征,防毒墻并不能象防火墻一樣阻止攻擊的發生,也不能防止蠕蟲型病毒的侵擾,相反,防毒墻本身或所在的系統有可能成為網絡入侵的目標;而這一切的保護,必須由防火墻完成。
評論于 1年前,獲得 0 個贊
加強蜜罐安全的技術有以下這些:
IP空間欺騙技術:IP空間欺騙利用計算機的多宿主能力在一塊兒網卡上分配多個IP地址來增加入侵者的搜索空間來從而顯著增加他們的工作量。這項技術和虛擬機技術結合可建立一個大的虛擬網段,且花費極低。蜜罐系統采用APR地址欺騙技術,探測現有網絡環境中不存在的IP地址,并發送APR數據包假冒不存在的主機從而達到IP欺騙的效果,例如典型的使用這種技術的蜜罐Honeyd。
組織信息欺騙技術:如果某個組織提供有關個人和系統信息的訪問,那么欺騙也必須以某種方式反映出這些信息。例如,如果組織的DNS服務器包含了個人系統擁有者及其位置的詳細信息,那么你就需要在欺騙的DNS列表中具有偽造的擁有者及其位置,否則欺騙很容易被發現。而且,偽造的人和位置也需要有偽造的信息如薪水、預算和個人記錄等等。
模擬系統漏洞和應用服務技術:模擬系統漏洞和應用服務為攻擊者提供的交互能力比端口模擬高得多。它們可以預期一些活動,并且旨在可以給出一些端口響應無法給出的響應。譬如,可能有一種蠕蟲病毒正在掃描特定的IIS漏洞,在這中情況下,可以構建一個模擬MicrosoftIISWeb服務器的honeypot,并包括通常會伴該程序的一些額外的功能或者行為。無論何時對該honeypot建立HTTP連接,它都會以一個IISWeb服務器的身份加以響應,從而為攻擊者提供一個與實際的IISWeb服務器進行交互的機會。這種級別的交互比端口模擬所收集到的信息要豐富得多。
流量仿真技術:入侵者侵入系統后,他們的動作通常是小心、謹慎的。他們可能會使用一些工具分析系統的網絡流量,如果發現系統少有網絡流量,那系統的真實性勢必會受到懷疑。流量仿真是利用各種技術產生欺騙的網絡流量使流量分析不能檢測到欺騙。現在主要的方法有兩種。一是采用實時或重現的方式復制真正的網絡流量,這使得欺騙系統與真實的系統十分相似。二是從遠程偽造流量,使入侵者可以發現和利用。
模擬服務端口技術:偵聽非工作的服務端口是誘騙黑客攻擊的常用欺騙手段。當黑客通過端口掃描檢測到系統打開了非工作的服務端口,他們很可能主動向這些端口發起連接,并試圖利用已知系統或應用服務的漏洞來發送攻擊代碼。而蜜罐系統通過端口響應來收集所需要的信息。
網絡動態配置技術:真實網絡系統的狀態一般會隨時間而改變的,如果欺騙是靜態的,那么在入侵者的長期監視下欺騙就容易暴露。因此需要動態地配置我們的系統以使其狀態象真實的網絡系統那樣隨時間而改變,從而更接近真實的系統,增加蜜罐的欺騙性。
模擬網絡服務技術:網絡服務往往與特定的系統漏洞聯系在一起,網絡服務往往是攻擊者侵入系統的入口,網絡服務可以吸引黑客的注意,同時也使蜜罐更接近一個真實的系統。
評論于 10個月前,獲得 0 個贊
常見計算機病毒的檢測方法主要有以下幾種類型:
特征代碼法:特征代碼法是利用已經創建的計算機病毒的特征代碼病毒樣本庫,在具體檢測時比對被檢測的文件中是否存在病毒樣本庫中存在的代碼,如果有就認為該文件感染了病毒,并根據樣本庫來確定具體的病毒名稱。很顯然,特征代碼法的有效性建立在完善的病毒樣本庫的基礎上。病毒樣本庫的建立需要采集已知病毒的樣本,即提取病毒的特征代碼。
校驗和法:校驗和法是指首先計算出正常文件程序代碼的校驗和(如Hash值),并保存在數據庫中,在具體檢測時將被檢測程序的校驗和與數據庫中的值進行比對,以判斷是否感染了計算機病毒。校驗和法的優點是可檢測到各種計算機病毒(包括未知病毒),能夠發現被檢測文件的細微變化;但其缺點是誤差率較高,因為某些正常的程序操作引起的文件內容改變會被誤認為是病毒攻擊所致。同時,該方法無法確定具體的病毒名稱。
狀態監測法:狀態監測是利用計算機病毒感染及破壞時表現出的一些與正常程序不同的特殊的狀態特征,以及人為的經驗來判斷是否感染了計算機病毒。通過對計算機病毒的長期觀察,識別出病毒行為的具體特征。當系統運行時,監視其行為,如果出現病毒感染,立即進行識別。
軟件模擬法:軟件模擬法專門針對多態病毒。多態病毒是指每次傳染產生的病毒副本特征代碼都發生變化的病毒。由于多態病毒沒有固定的特征代碼,并且在傳播過程中使用不固定的密鑰或隨機數來加密病毒代碼,或者在病毒運行過程中直接改變病毒代碼,所以增加了病毒檢測的難度。軟件模擬技術可監視病毒的運行,并可以在設置的虛擬機環境下模擬執行病毒的解碼程序,將病毒密碼進行破譯,還原真實的病毒程序代碼。
檔案校驗和法:將計算出系統正常檔案內容的校驗和進行儲存。并定期檢查檔案的校驗和與原來儲存的校驗和是否一致,從而發現檔案是否感染病毒,這種方法叫檔案校驗和法。它既可發現已知病毒又可發現未知病毒,能觀測檔案的細微變化。但是這種方法常常誤報警,原因是病毒感染并非檔案內容改變的惟一的非他性,還有可能是正常程式引起的。檔案校驗和法不是最好的方法,它會影響檔案的執行速度。不能識別病毒名稱、不能對付隱蔽型病毒。
評論于 5個月前,獲得 0 個贊
網絡安全應急響應組織的工作主要包括如下幾個方面:
網絡安全威脅情報分析研究;
網絡安全事件的監測與分析;
網絡安全預警信息發布;
網絡安全應急響應預案編寫與修訂;
網絡安全應急響應知識庫開發與管理;
網絡安全應急響應演練;
網絡安全事件響應和處置;
網絡安全事件分析和總結;
網絡安全教育與培訓。
一般來說,網絡安全應急響應組織主要由應急領導組和應急技術支撐組構成。領導組的主要職責是領導和協調突發事件與自然災害的應急指揮、協調等工作;技術支撐組的職責主要是解決網絡安全事件的技術問題和現場操作處理安全事件。網絡安全應急響應組織的成員通常由管理、業務、技術、行政后勤等人員組成,成員按照網絡安全應急工作的需要,承擔不同的應急響應工作。
評論于 3個月前,獲得 0 個贊
基于主機的入侵檢測技術有:
基于知識的模式識別技術:這種技術是通過事先定義好的模式數據庫實現的,首先把各種可能的入侵活動均用某種模式表示出來,并建立模式數據庫,然后監視主體的一舉一動,當檢測到主體活動違反了事先定義的模式規則時,根據模式匹配原則判別是否發生了攻擊行為。模式識別的關鍵是建立入侵模式的表示形式,同時,要能夠區分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為,屬已知類型,對新類型的入侵是無能為力的,仍需改進。
基于知識的異常識別技術:這種技術是通過事先建立正常行為檔案庫實現的,首先把主體的各種正常活動用某種形式描述出來,并建立“正常活動檔案”,當某種活動與所描述的正常活動存在差異時,就認為是“入侵”行為,進而被檢測識別。異常識別的關鍵是描述正常活動和構建正常活動檔案庫。利用行為進行識別時,存在四種可能:一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據異常識別思想,把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為,并具有簡單的學習功能。
協議分析技術:這種檢測方法是根據針對協議的攻擊行為實現的,首先把各種可能針對協議的攻擊行為描述出來,其次建立用于分析的規則庫,最后利用傳感器檢查協議中的有效荷載,并詳細解析,從而實現入侵檢測。這種檢測技術能檢測出更為廣泛的攻擊,包括已知的和未知的攻擊行為。
評論于 2個月前,獲得 0 個贊
網絡安全風險評估涉及以下要素:
資產要素:是資產價值(重要性);
威脅要素:是威脅出現頻率;
脆弱性要素:是脆弱性的嚴重程度;
安全措施要素:根據脆弱性的嚴重程度及安全事件所作用資產的重要性計算安全事件的損失;
風險要素:安全事件發生的可能性以及安全事件的損失。
評論于 1年前,獲得 0 個贊
網絡安全一般是指網絡系統的硬件軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受破壞、更改、泄漏,系統連續可靠正常地運行,網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全是計算機網絡技 術發展中一個至關重要的問題,也是Internet 的一個薄弱環節。
網絡存在的安全風險有以下這些:
安全策略設置不嚴密,網絡訪問控制權限和內外網的隔離未采取嚴格的安全措施,導致網絡系統存在大量的安全盲點和誤區。
有人可能會利用網絡中存在的安全漏洞進行攻擊或盜竊數據,威脅網絡和數據的安全。雖然防火墻是一種有效的安全工具,可以隱藏內部網絡結構,限制外部網絡到內部網絡的訪問,但是對于內部網絡之間的訪問或利用系統漏洞進行入侵和攻擊,防火墻往往無能為力而且很難發覺和防范。
感染病毒、蠕蟲或被植入木馬和間諜軟件。病毒是可執行代碼,可破壞計算機系統。蠕蟲比病毒更為普遍,利用受感染系統的文件傳輸功能自動進行傳播,從而導致網絡流量大幅增加直到網絡癱瘓。木馬程序可以捕捉密碼和其它個人信息,使未授權遠程用戶能夠入侵網絡系統。間諜軟件則是惡意病毒代碼,它們可以監控系統性能,并將用戶數據發送給間諜軟件開發者。
頻繁接收外部數據。企業納稅戶在報送有關數據時使用自己的U盤,如果對U盤查殺病毒不徹底,接收數據的主機就有可能感染病毒,進而在網絡中進行擴散。
評論于 11個月前,獲得 0 個贊
針對數據庫系統的邏輯威脅有以下這些:
非授權訪問:非授權訪問指未經授權使用網絡資源和數據庫或以未授權的方式使用網絡資源和數據庫,主要包括非法用戶進入網絡或系統進行違法操作和合法用戶以未授權的方式進行操作。
推理訪問數據:是指由授權讀取的數據,通過推論得到不應訪問的數據。
病毒:病毒可以自我復制,永久地或通常是不可恢復地破壞自我復制的現場,達到破壞信息系統、取得信息的目的。計算機病毒指編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機正常使用并且能夠自我復制的一組計算機指令或程序代碼。
特洛伊木馬:一些隱藏在公開的程序內部,收集環境的信息,可能是由授權用戶安裝的,利用用戶的合法的權限對數據安全進行攻擊。它是一種典型的網絡病毒。它以隱蔽的方式進入到目標機器,對目標機器中的私密信息進行收集和破壞,再通過互聯網,把收集到的私密信息反饋給攻擊者,從而實現其目的的一種新型病毒。
天窗、隱通道:藏在合法程序內部的一段程序代碼。特定的條件下(例如特殊的一段輸入數據)將啟動這段程序代碼,從而許可此時的攻擊可以跳過系統設置的安全稽核機制進入系統,以實現對數據防范的攻擊和達到竊取數據的目的。
