安全基線是諸多標準規范中規定的一組安全控制措施或者慣例,這些揩施和慣例適用于特定環境下的所有系統,可以滿足基本的安全需求,使系統能達到一定的安全防護水平。可選的安全基線包括:國際標準和國家標準,例如ISO 27001、信息安全等級保護;
對資產進行詳細識別和評價,對可能引起風險的威脅和脆弱性水平進行評估,根據風險評估的結果來識別和選擇安全措施,即識別資產的風險并將風險降到可接受的水平,以此證明管理者所采用的安全措施是恰當的。
采用基于基線評估與詳細評估兩者之間的評估方式。
方法是組織應先對所有系統進行一次初步的高級風險評估。著眼于信息系統的商務價值和可能面臨的風險,識別出組織內具有高風險或對其商務運作極為關鍵的信息資產(或系統),這些資產或系統應劃分在詳細風險評估的范圍,而其他系統則可以通過基線風險評估直接選擇安全措施。
網絡隱私權,是指公民在網絡環境下所享有的私人信息與生活安寧不受侵犯的一種隱私權。網絡隱私權包括:公民在網絡中的私人信息和隱私不被他人非法搜集、復制、公開和利用,公民的私人信息與生活安寧受到法律保護。同時也禁止他人在網絡上泄露某些與個人無關的敏感信息。它是傳統隱私權在網絡空間環境中延伸出來的權利。
具體而言,網絡隱私權主要包括以下幾個方面:
一是網絡用戶在申請網上開戶、個人主頁、免費郵箱以及其他服務時,網絡服務商要求用戶登記的姓名、性別、年齡、婚姻狀況、家庭住址、身份證號碼、工作單位、住宅電話及手機號碼等身份識別信息。
二是個人的財產狀況和信用資料,包括個人收入、信用卡、電子消費卡、上網卡、上網帳號及密碼、網上交易帳號及密碼、網上炒股帳號及密碼、qq號及密碼、網絡游戲帳號及密碼等。
三是個人的電子郵箱地址。
四是個人上網瀏覽的ip地址、上網活動蹤跡及活動內容等信息。
自2021年11月19日《全國網絡安全等級測評機構推薦目錄》相關工作納入國家認證體系,經公安部第三研究所(國家認證認可委員會批準的認證機構)認證的廣西等級保護測評機構有三家:
機構名稱:廣西壯族自治區信息安全測評中心
認證證書編號:SC202127130010168
注冊地址:廣西壯族自治區南寧市江南區星光大道29號
機構名稱:廣西網信信息技術有限公司
認證證書編號:SC202127130010169
注冊地址:南寧市青秀區東葛路118號南寧青秀萬達廣場東9棟616號
機構名稱:廣西諾遠科技有限公司
認證證書編號:SC202127130010170
注冊地址:南寧市青秀區東葛路118號南寧青秀萬達廣場東3棟2601-2602號
知道目標ip地址可以使用漏洞掃描工具進行掃描,掃描步驟如下:
測試ip地址是否真實存在,如果有cdn則需繞過cdn獲取真實ip地址;
使用”lynis audit system remote 目標地址”命令借助lynis工具先對目標地址進行一次遠程的安全掃描并查看結果;
使用”nmap -sS -sV -n -p1-65535 -oX tcp.xml 目標地址”命令借助nmap工具掃描目標地址所開放的端口;
使用命令”nikto -h 網站地址 -p 端口號”命令借助nikto工具對發現的端口進行指定端口掃描;
綜合上述所以掃描結果對比后輸出報告,完成掃描。
企業實施網絡隔離后還會產生以下風險:
網絡非法外聯:一旦處于隔離狀態的網絡用戶私自連接互聯網或第三方網絡,則物理隔離安全措施失去保護作用。
U盤擺渡攻擊:網絡攻擊者利用U盤作為內外網絡的擺渡工具,攻擊程序將敏感數據拷貝到盤中,然后由內部人員通過盤泄露。
網絡物理隔離產品安全隱患:網絡隔離產品的安全漏洞,導致DoS/DDoS攻擊,使得網絡物理隔離設備不可用,或者網絡攻擊者通過構造惡意數據文檔,繞過物理噪離措施,從而導致內部網絡受到攻擊。
針對物理隔離的攻擊新方法:針對網絡物理隔離的竊密技術已經出現,其原理是利用各種手段,將被隔離計算機中的數據轉換為聲波、熱量、電磁波等模擬信號后發射出去,在接收端通過模數轉換復原數據,從而達到竊取信息的目的。
完善安全運維建設目標從以下方面入手:
體系建設:應包含調研規劃、管理制度、服務規范、流程規范、SLA、KPI制定等多個方面進行建設。
系統接入:應包含現狀調研、分工界面、培訓宣傳、安全知識沉淀等多個方面進行建設。
服務運營:應包含:巡檢、話務、工單、故障、問題、應急等多個方面進行建設。
質量管理:應從服務質監、統計分析、建議報告等三個維度進行建設。
綜合優化:從系統優化、性能優化、需求優化等多個方面進行建設。
網橋和交換機的區別有四點:
工作端口數不同
交換機工作時,實際上允許許多組端口間的通道同時工作。所以,交換機的功能體現出不僅僅是一個網橋的功能,而是多個網橋功能的集合。即網橋一般分有兩個端口,而交換機具有高密度的端口。
分段能力不同
由于交換機能夠支持多個端口,因此可以把網絡系統劃分成為更多的物理網段,這樣使得整個網絡系統具有更高的帶寬。而網橋僅僅支持兩個端口,所以,網橋劃分的物理網段是相當有限的。
傳輸速率不同
交換機與網橋數據信息的傳輸速率相比,交換機要快于網橋。
數據幀轉發方式不同
網橋在發送數據幀前,通常要接收到完整的數據幀并執行幀檢測序列FCS后,才開始轉發該數據幀。交換機具有存儲轉發和直接轉發兩種幀轉發方式。直接轉發方式在發送數據以前,不需要在接收完整個數據幀和經過32bit循環冗余校驗碼CRC的計算檢查后的等待時間。
醫療大數據信息安全中“數據”的安全,涉及兩個方面:一是含有的敏感數據會吸引潛在的攻擊者;二是對現有的存儲或安全防范措施提出挑戰,大數據時代復雜多樣的數據存放在一起,常規的安全掃描手段無法滿足安全需求。
醫療信息泄露的原因主要有以下五大類:黑客入侵、使用者處置不當、非法登陸、丟失和被竊,其中黑客入侵成為主要的直接泄露原因。醫療信息泄露的渠道主要有以下幾種形式:臺式電腦、筆記本電腦、服務器、電子醫療檔案、電子郵件和傳統紙質文檔,其中服務器是造成信息大量泄露的主要渠道。
黑客們利用醫療信息安全漏洞獲利的方式主要分為以下兩類:
一是利用泄露的信息直接“變現”。黑市上,個人醫療信息的價值比信用卡信息要高出50倍。由于個人醫療信息包括了患者的個人基本信息、財務信息和健康信息等多種敏感數據,不法分子可以利用這些信息進行詐騙和勒索。
二是利用安全漏洞間接“變現”。黑客們通過網絡安全漏洞控制醫院網絡系統,進而向醫院索要贖金。
醫療行業信息安全的對策與建議
首先,完善網絡安全組織機構和管理體系,加強行業信息安全人才隊伍建設。單位設置專門的網絡管理機構和崗位,明確網絡安全的關鍵崗位、職責分配、員工技能和員工數量要求,培養行業安全專家。建立行業網絡安全專控隊伍,定期或不定期開展行業重要信息系統的安全測評和風險評估工作。
其次,加強醫療行業的統籌力度,降低信息安全短板效應。建立建全行業政策、規范及標準,建立符合醫療行業特色的信息安全體系架構,制定具備行業特性的安全要求,針對網絡及信息系統的設計、實施、運維等方面提出信息安全指導性意見,為醫療行業單位間在信息安全方面提供平行溝通交流渠道,通過對比及時發現自身問題。
第三,縱深防御信息系統,強化醫療信息數據隱私保護。針對信息的傳輸和存儲部署行而有效網絡隔離措施,對系統不同的接入用戶在權限上進行嚴格的分級分類,改進安全感知、安全處置和安全審計等方面的數據防護能力,加強對第三方安全運維單位的監管。
第四,完善醫療設備、商業化軟件以及運維服務商的安全審查機制。建立醫療設備及商業化軟件的安全審查和安全檢測環節,制定設備遠程運維過程監管制度。
“偽基站”,顧名思義,它是一種可以偽裝成通信運營商基站的設備,可以隨時假冒客服號碼向設備四周一定范圍內的手機發送短信。用戶防范“偽基站”詐騙短信可從如下方面著手:
不管收到什么短信,只要其中含有陌生鏈接,千萬不要輕易點擊打開,以防被偽基站誘導進入釣魚網站。
手機不要隨便“刷機”,不要改變手機出廠時的基本設置,手機里可以安裝具有偽基站短信識別能力的手機安全軟件。
不要輕易被對方客服工作人員的身份迷惑,不要輕信所謂的新政策、優惠活動,多問幾個細節性問題就很容易讓騙子露出破綻。
不要輕信陌生號碼發來的短信,即使號碼像是常見的服務號,或是好友號碼發來的短信,也要對內容進行認真鑒別,如果有疑惑,一定要撥打官方客服電話進行驗證。
不要隨意撥打對方提供的所謂(包括“400”)咨詢電話,應直接到銀行相關部門或通過官方渠道進行核查。
在日常生活中的各項消費活動中要注意個人信息的保密,不要隨意向陌生人透露自己銀行賬號和身份證號碼。
偽基站可阻斷運營商信號,且能仿冒任意號碼,極具迷惑性,用戶若在一些區域中收到大量垃圾短信或明明手機信號很好,但卻無法正常通信等情況,遭遇偽基站的可能性比較大,應及時向通信運營商、通信管理部門或公安部門反映。
《網絡安全法》第二十一條規定:網絡運營者應當按照網絡安全等級保護制度的要求,采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月。
如若不履行,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
備份存儲系統存儲方式有以下這些:
直連式存儲:直連式存儲是指將存儲設備通過總線(SCSI、PCI、IDE等)接口直接連接到一臺服務器上使用,例如戴爾存儲MD1400和MD1420直連式存儲盤柜等。直連式存儲購置成本低,配置簡單,因此對于中小型企業很有吸引力。
網絡接入存儲:網絡接入存儲是直接連接到以太網的存儲器,并以標準網絡文件系統如NFS、SMB/CIFS over TCP/IP接口向客戶端提供文件服務。網絡接入存儲的廠商包括NetApp、華為等。
存儲區域網絡:存儲區域網絡是一種高速的、專門用于存儲操作的網絡,通常獨立于服務器局域網。存儲區域網絡將主機和存儲設備連接在一起,能夠為其上的任意一臺主機和任意一臺存儲設備提供專用的通信通道。按照通道的類型,存儲區域網絡又可以劃分為光纖通道存儲區域網絡和IP通道存儲區域網絡。
分布式文件系統:分布式文件系統是由多臺各司其職、協同合作的單機存儲系統組成的、統一向外部提供文件存取服務的系統。常用于備份系統的分布式文件系統包括Hadoop分布式文件系統(Hadoop Distributed File System,HDFS)和Ceph。這兩種分布式文件系統都支持副本模式(例如,設置為存儲3份)和糾刪碼模式(Erasure Coding,EC)。
遠程備份存儲:是指將備份后的文件存儲在異地機房或者第三方所提供的文件存儲上,這對于提高極端情況下(例如本地機房遭受嚴重自然災害或者入侵導致數據完全丟失)數據恢復能力有極大的幫助。除了在異地遠程自建相當規模的備份存儲系統以外,我們也可以考慮使用公有云上提供的對象存儲服務。
從設備角度來看以下方面存在網絡風險:
硬件接口:網絡設備的存儲介質、認證方式、加密手段、通信方式、數據接口、外設接口、調試接口、人機交互接口等都可能成為攻擊對象。很多廠商在網絡產品中保留了硬件調試接口,如可以控制CPU的運行狀態、讀寫內存內容、調試系統代碼的JTAG接口,可以查看系統信息與調試應用程序的串口,這兩個接口訪問設備時一般具有系統較高權限,存在重大安全隱患。
暴力破解:啟動安全和根密鑰安全是一切設備安全的基礎,一切業務邏輯、設備行為都基于這兩個安全功能。黑客極有可能對設備進行暴力破解,獲取設備信息、通信數據,甚至遠程對設備鏡像進行替換,偽裝成合法終端。
軟件缺陷:軟件缺陷主要表現在軟件漏洞、弱口令、信息泄露等。目前,網絡設備大多使用的是UNIX或Linux系統,攻擊者可以通過各種未修復漏洞來獲取系統相關服務的認證口令。比如,一般由廠商內置的弱口令或者用戶口令設置不良;個別網絡設備供應商不重視信息安全,導致信息泄露,極大地方便了攻擊者對于目標的攻擊,例如,在對某攝像頭進行安全測試的時候,發現可以獲取設備的硬件型號、硬件版本號、軟件版本號、系統類型、可登錄的用戶名和加密的密碼以及密碼生成的算法,攻擊者即可通過暴力破解的方式獲得明文密碼。
管理缺陷:管理缺陷導致的安全漏洞是安全防護最大、最不可預料、最不可防范的安全問題。弱口令、調試接口、設備日志信息泄露等,都是安全開發管理缺陷導致的;產品設計的時候就沒有考慮到授權認證或者對某些路徑進行權限管理,任何人都可以最高的系統權限獲得設備控制權;開發人員為了方便調試,可能會將一些特定賬戶的認證硬編碼到代碼中,出廠后這些賬戶并沒有去除。攻擊者只要獲得這些硬編碼信息,即可獲得設備的控制權;開發人員最初設計的用戶認證算法或實現過程存在缺陷,例如,某攝像頭存在不需要權限就可設置Session的URL路徑,攻擊者將其中的Username字段設置為admin,然后進入登錄認證頁面,發現系統不需要認證,直接為admin權限。
通信方式:通信接口允許設備與傳感器網絡、云端后臺和移動設備App等設備進行網絡通信,其攻擊對象可能為底層通信實現的固件或驅動程序代碼。比如,中間人攻擊一般有旁路和串接兩種模式,攻擊者處于通信兩端的鏈路中間,充當數據交換角色,攻擊者可以通過中間人的方式獲得用戶認證信息及設備控制信息,之后利用重放方式或者無線中繼方式獲得設備的控制權,例如,通過中間人攻擊解密HTTPS數據,可以獲得很多敏感的信息;無線網絡通信接口存在一些已知的安全問題。
云端攻擊:近年來,網絡設備逐步實現通過云端的方式進行管理,攻擊者可以通過挖掘云服務提供商漏洞、手機終端App上的漏洞以及分析設備和云端的通信數據,偽造數據進行重放攻擊,從而獲取設備控制權。
無線設備帶來的風險:無線傳輸的智能設備有很多,手機就是典型的產品。現代社會,手機已成為我們日常的必需品,但是手機也存在嚴重的數據泄露風險,是別有用心的人和不法分子收集、竊取他人秘密的重要途徑。
無線安全協議主要有四種,分別是有線等效保密(WEP)、Wi-Fi保護訪問(WPA)、Wi-Fi保護訪問2(WPA 2)、Wi-Fi保護訪問3(WPA 3)這四種。
有線等效保密(WEP):這是有史以來第一個無線安全協議。盡管它是在1997年設計的,但今天仍在使用。不過,它被認為在使用中最有缺陷、最不安全的無線安全協議。
Wi-Fi保護訪問(WPA):此無線安全協議是從WEP演變而來的。因此,它旨在解決WEP協議中發現的缺陷。值得注意的是,它使用TKIP(臨時密鑰完整性協議)和PSK(預共享密鑰)等進行加密。
Wi-Fi保護訪問2,WPA 2:是WPA的后繼產品,具有增強的功能和加密功能。例如,WPA 2使用CCMP(計數器模式密碼塊鏈接消息身份驗證代碼協議)而不是TKIP。眾所周知,此功能在加密數據方面非常有效。因此,WPA 2被認為是最佳的無線安全協議。
Wi-Fi保護訪問3(WPA 3):這是最新的無線協議。它在加密能力方面又增強了,使私人和公共網絡遠離黑客的攻擊。從安全角度來說最佳的是WPA 2或WPA3,不要選擇WEP來加密無線網絡這個非常不安全。
網絡安全評估是指針對公共網絡所存在的漏洞及漏洞披露方式進行的一種技術評估。《網絡安全法》規定,關鍵信息基礎設施運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估。
風險評估的主要內容為:
對資產進行識別,并對資產的重要性進行賦值;
對威脅進行識別,描述威脅的屬性,并對威脅出現的頻率賦值;
對資產的脆弱性進行識別,并對具體資產脆弱性的嚴重程度賦值;
根據威脅和脆弱性的識別結果判斷安全事件發生的可能性;
根據脆弱性的嚴重程度及安全事件所作用資產的重要性計算安全事件的損失;
根據安全事件發生的可能性以及安全事件的損失,計算安全事件一旦發生對組織的影響,即風險值。
風險評估涉及資產、威脅、脆弱性等基本要素。每個要素有各自的屬性,資產的屬性是資產價值(重要性);威脅的屬性是威脅出現頻率;脆弱性的屬性是脆弱性的嚴重程度。
基本物理防火墻有以下功能:
防止來自被保護區域外部的攻擊:在需要被保護的網絡邊界上設置防火墻,可以保護易受攻擊的網絡服務資源和客戶資源。
防止信息外泄和屏蔽有害信息:防火墻可以有效地控制被保護網絡與外部網絡間的聯系,隔離不同網絡,限制安全問題擴散。在區域邊界上,防火墻能夠執行安全檢查,嚴格控制進出網絡的數據,過濾和屏蔽有害信息,防止信息外泄。
集中安全管理:通過配置,防火墻可以強化網絡安全策略,將局域網的安全管理集中在一起,便于統一管理和執行安全政策。
安全審計和告警:防火墻能夠對網絡存取訪問進行監控審計,能夠及時有效地記錄由防火墻控制的網絡活動,并能及時發現問題和及時報警。
訪問控制和其他安全作用等:防火墻是一種非常有效的網絡訪問控制設備,能夠提供很強的網絡訪問控制功能。防火墻還可以充當 IPSec 平臺、安全服務器、網絡地址轉換器、協議轉換器、信息加密和身份認證設備等。
