《信息安全等級保護管理辦法》規定信息系統的安全保護等級分為五級,一至五級等級逐級增高:
第一級:自主保護級。等級保護對象受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
第二級:指導保護級。等級保護對象受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
第三級:監督保護級。等級保護對象受到破壞后,會對公民、法人和其他組織的合法權益產生特別嚴重損害,或者對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
第四級:強制保護級。等級保護對象受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
第五級:專控保護級。等級保護對象受到破壞后,會對國家安全造成特別嚴重損害。
保障工業生產網的關鍵安全技術有:
工業主機白名單控制技術:工業主機由于長期不間斷運行,不能及時打補丁,并且受到聯網條件的限制,無法實時更新病毒庫,因此傳統殺毒機制不適用于工業主機。比較有效的方式是采用白名單控制技術,對工業軟件相關的進程文件進行掃描識別,為每個可信文件生成唯一的特征碼,特征碼的集合構成特征庫,即白名單。只有白名單內的軟件才可以運行,其他進程都被阻止,以防止病毒、木馬、違規軟件的攻擊。
工控協議識別與控制技術:為了保障數據傳輸的可靠性與實時性,工業生產網已發展了多套成熟的通信協議,主流的有幾十種,大致分為工業總線協議和工業以太網協議兩大類,如Modbus、S7、OPC、Profinet、IEC104等。工控協議的識別能力是安全設備工作的基礎,也是評價產品能力的重要指標。
工控漏洞利用識別與防護技術:工控系統漏洞是工控網絡安全問題的主要來源。由于工控設備很少升級或者不升級,因此普遍存在可被攻擊的漏洞,而由于技術的專業性和封閉性,這些漏洞很容易被作為0day利用。因此工控安全產品對工控漏洞利用行為的識別能力,以及相應的防護能力,是工控安全防護能力建設的核心。
工控網絡流量采集與分析技術:獲取網絡流量是發現網絡攻擊的前提,流量采集與分析廣泛應用于網絡安全方案,是一項比較成熟的技術。對于工控網絡,除了基本的流量識別與統計分析外,還需要理解生產過程的操作功能碼,根據業務邏輯判斷是否發生異常。此外,根據設備間通信的規律建立流量基線模型,對多源數據進行關聯分析,能夠有效地識別異常行為和網絡攻擊。
工業網絡安全態勢感知技術:態勢感知是安全防御的重要手段,對于工控網絡,通過安全態勢感知平臺,可以直觀地了解網絡中的資產分布、漏洞分布、網絡攻擊事件,對網絡的整體風險水平進行量化評估。態勢感知平臺需要多種核心能力支持,包括完善的數據獲取能力、大數據分析與建模能力、網絡攻擊溯源分析能力、安全事件閉環處理能力等,是工控網絡安全防護的核心產品。
等級測評過程分為4個基本測評活動:
測評準備活動
由于信息系統安全測評受到組織的業務戰略、業務流程、安全需求、系統規模和結構等方面的影響,因此,在測評實施前,應充分做好測評前的各項準備工作。測評實施準備工作主要包括如下內容:明確測評目標、確定測評范圍、組建測評團隊、召開測評實施工作啟動會議、系統調研、確定系統測評標準、確定測評工具、制定測評方案、測評工作協調、文檔管理和測評風險規避等 11 項準備工作。同時,信息系統安全測評涉及組織內部有關重要信息,被評估組織應慎重選擇評估單位、評估人員的資質和資格,并遵從國家或行業相關管理要求。
方案編制活動
本活動是開展等級測評工作的關鍵活動,為現場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等,并根據需要重用或開發測評指導書,形成測評方案。
現場測評活動
現場測評是測評工作的重要階段。風險評估中的風險識別階段,對應現場測評,通過對組織和信息系統中資產、威脅、脆弱性等要素的識別,是進行信息系統安全風險分析的前提。現場測評活動通過與測評委托單位進行溝通和協調,為現場測評的順利開展打下良好基礎,然后依據測評方案實施現場測評工作,將測評方案和測評工具等具體落實到現場測評活動中。現場測評工作應取得分析與報告編制活動所需的、足夠的證據和資料。
現場測評活動包括現場測評準備、現場測評和結果記錄、結果確認和資料歸還三項主要任務。
分析與報告編制活動
本活動是給出等級測評工作結果的活動,是總結被測系統整體安全保護能力的綜合評價活動。本活動的主要任務是根據現場測評結果和GB/T28448—2012的有關要求,通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法,找出整個系統的安全保護現狀與相應等級的保護要求之間的差距,并分析這些差距導致被測系統面臨的風險,從而給出等級測評結論,形成測評報告文本。
傳統網絡安全防護機制不適合工業網的原因有以下這些:
傳統殺毒軟件不適用于工業主機安全防護:工業主機是工業網絡的高危攻擊點,在生產優先、專機專用、夠用即可等原則下,工業主機普遍存在硬件低配、系統老舊、不打補丁、軟件定制等工業領域特有的問題,通用殺毒軟件很難適配,實踐中發生過多起工業軟件被誤殺的案例,因而許多工業主機寧愿“帶病運行”,也不安裝殺毒軟件。
傳統防火墻不適用于工業網絡邊界防護:傳統的防火墻、網閘等網關設備,在工業環境中面臨兩大挑戰:硬件設計不適應工業現場DIN導軌安裝方式(一種工業標準,元件設備可方便地卡在導軌上而無須用螺絲固定;方便維護)和高溫、高濕、粉塵以及酸堿環境;不能識別工控協議,只能設置粗粒度的安全策略,甚至采取流量全部放過的策略,安全策略形同虛設。
傳統審計系統不適用于工業網絡監測預警:由于傳統的網絡審計設備不能識別工控資產,不了解工控系統漏洞,對于針對工控系統的攻擊行為、異常操作都無法識別,無法提供有價值的工業安全審計與異常報警。
IT安全措施在OT領域幾乎無效:較多工業企業在OT設置中使用IT安全措施,但沒有考慮其對OT的影響。例如,國內某汽車企業的IT安全團隊按照IT安全要求主動掃描OT網絡,結果導致汽車生產線PLC出現故障,引起停產。
工業控制系統廣暴露,安全漏洞難修補:工業控制系統在互聯網上的暴露問題是工業互聯網安全的一個基本問題。所謂“暴露”,是指我們可以通過互聯網直接對某些與工業控制系統相關的工業組件,如工業控制設備、協議、軟件、系統等,進行遠程訪問或查詢。
默認情況下DMZ區域是不能訪問局域網網絡的。但有些特殊情況:比如將WEB放在DMZ區,但是后臺數據庫放在了局域網。這樣就必須使DMZ某些服務器可以訪問局域網內特殊機器特殊端口。所以需要在PIX上更加策略以使DMZ可以訪問局域網。
所以應該在策略上加一條命令:
access-list acl-DMZ permit tcp 10.0.200.0 255.255.255.0 host 10.0.6.8 eq 9989 #允許DMZ可以訪問10.0.6.8的9989端口,經測試可以正常訪問。
工業互聯網有如下特性:
安全:安全是工業互聯網平臺的核心,既要保護所有的物聯網端點免受外部網絡攻擊,又要應對源自組織內部的潛在惡意活動。
連接性:必須快速安全地配置每個工業物聯網設備,并管理其生命周期的所有階段,包括在按需配置、注冊、激活、掛起、未掛起、刪除和重置設備時對其進行跟蹤與授權。
集成:集成是工業互聯網面臨的最大挑戰之一。工業互聯網平臺允許物聯網設備無縫而安全地與不同的企業應用軟件、云服務、移動APP和傳統系統連接并共享信息。
識別:工業互聯網平臺能夠為最廣泛的物聯網設備提供支持。無論在工業物聯網架構中的任何地方,都能夠自動感知物聯網設備的存在,以建立安全連接,并可以快速地建立設備憑證,或在需要時將其自動分配。
分析:物聯網設備極大地增加了組織內的數據量,工業物聯網分析應該是工業互聯網平臺最強大的功能之一。它能夠將工業物聯網數據進行適當的可視化和分析,并從中提出切實可行的見解,用于改進數據驅動型決策。
防護對象大:安全場景更豐富。傳統互聯網安全更多關注網絡設施、信息系統軟/硬件及應用數據安全,工業互聯網安全擴展延伸至企業內部,包含設備安全(工業智能裝備及產品)、控制安全(數據采集與監視控制系統、分布式控制系統等)、網絡安全(企業內、外網絡)、應用安全(平臺應用、軟件及工業APP等)及數據安全(工業生產、平臺承載業務及用戶個人信息等數據)。
連接范圍廣:威脅延伸至物理世界。在傳統互聯網安全中,攻擊對象為用戶終端、信息服務系統、網站等。工業互聯網連通了工業現場與互聯網,使網絡攻擊可直達生產一線。
網絡安全和生產安全交織:安全事件危害更嚴重。傳統互聯網安全事件大多表現為利用病毒、木馬、拒絕服務等攻擊手段造成信息泄露或篡改、服務中斷等,影響工作生活和社會活動。而工業互聯網一旦遭受攻擊,不僅影響工業生產運行,甚至會引發安全生產事故,給人民生命財產造成嚴重損失,若攻擊發生在能源、航空航天等重要領域,還將危害國家總體安全。
網絡安全,信息安全和計算機安全之間的區別如下:
信息安全包括網絡安全和計算機安全,信息安全還包括操作系統安全,數據庫安全,硬件設備和設施安全,物理安全,人員安全,軟件開發,應用安全等。
信息安全主要是保證網絡和計算機內傳輸和存儲信息的完整性、可靠性、可用性和安全保密性。網絡安全就是網絡設備與網絡攻擊,計算機安全則是病毒木馬,密碼保護。
網絡安全更注重在網絡層面,例如通過部署防火墻、入侵檢測等硬件設備來實現鏈路層面的安全防護,而信息安全的層面要比網絡安全的覆蓋面大的多,信息安全是從數據的角度來看安全防護。計算機安全中最重要的是存儲數據的安全,其面臨的主要威脅包括:計算機病毒、非法訪問、計算機電磁輻射、硬件損壞等。
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。網絡安全從其本質上來講就是網絡上的信息安全,是指網絡系統的硬件、軟件及其系統中的數據受到保護不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。
計算機信息系統的運營、使用單位應當采取下列安全保護技術措施:
系統運行和用戶使用日志記錄保存六十日以上措施;
記錄用戶賬號、主叫電話號碼和網絡地址的措施;
系統重要部分的冗余或者備份措施;
身份登記和識別確認措施;
垃圾信息、有害信息防治措施;
計算機病毒防治措施;
網絡攻擊防范和追蹤措施;
安全審計和預警措施;
信息群發限制措施。
使用Cookie時要注意以下安全事項:
Set-Cookie可以多次使用,并且可以放置更多的Key-Value數據,其中的每一個Key-Value數據項都是一個獨立的Cookie,服務器通常會傳送多個不同的Cookie到瀏覽器端,每個Cookie都對應特定的業務目標。
Cookie的值雖然都是字符串,但可以很長,具體多長呢?RFC規范沒有給出具體的值,但一些測試表明,絕大多數瀏覽器都支持4096個字節長度的Cookie的內容。
Cookies的內容是需要被保存在瀏覽器中的,通常瀏覽器會用本地文件保存這些Cookie的內容。同時,服務器端需要提供Session對象,因此用戶的狀態是由瀏覽器與服務器雙方配合實現的,任何一方的缺失都會導致用戶狀態信息的缺失。
在Cookies中不要存儲用戶的敏感(機密)信息,特別注意不要存儲用戶的明文密碼,但可以考慮存儲某種安全加密的信息,并且定期自動更新,避免被盜用和破解。
Cookie的脆弱性,Cookie中的內容大多數經過了編碼處理,因此在人們看來只是一些毫無意義的字母數字組合,一般只有服務器的CGI處理程序才知道它們的真正含義。通過一些軟件,如Cookie Pal軟件,可以查看到更多的信息,如Server、Expires、Name和Value等選項的內容。由于Cookie中包含了一些敏感信息,如用戶名、計算機名、使用的瀏覽器和曾經訪問的網站等,攻擊者可以利用它來進行竊密和欺騙攻擊。
主機漏洞掃描是基于主機模式的一種掃描方法,也是基于漏洞數據庫,通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,發現可利用漏洞的一種安全檢測(滲透攻擊)行為。通過網絡安全漏洞掃描,系統管理員能夠發現所維護的 Web 服務器的各種TCP/IP 端口的分配、開放的服務、 Web 服務軟件版本和這些服務及軟件呈現在 Internet上的安全漏洞。
漏洞掃描器在實踐使用中有以下不足:
對API服務支持差:隨著移動APP的快速發展,Web服務迅速地從單純的PC瀏覽型網站過渡到APP API服務及PC瀏覽型服務并存,甚至部分網站只有APP服務了,主頁就是個公司簡介加APP下載。大多數掃描器沒有及時適應這種新變化,大量API服務無法被掃描器的爬蟲爬到,這導致掃描器幾乎失效。
爬蟲能力偏弱:即使是針對PC瀏覽器網站,由于js以及大量前端開源框架的快速發展,傳統的爬蟲面對靜態網頁和簡單的動態網頁尚可,面對較復雜的動態網頁就很吃力,出現大量鏈接爬取漏掉,也直接導致了掃描器的大量漏掃。這兩點真正使用掃描器的甲方多有體會。
自動化能力弱:這里的自動化能力,主要是指自動發現掃描目標的能力。絕大多數掃描器需要用戶手工錄入掃描目標,這本來也無可厚非,但是在實際操作過程中,梳理清楚自身IT資產這本身就是一個十分繁重的工作,而且IT資產本身又是時刻動態變化的,即使是支持批量導入,也不能完全解決問題。部分掃描器在安裝客戶端的情況下可以很好地解決這個問題,但是這又引入了另外一個問題,全量部署掃描器的客戶端這本身又是個很困難的事情,尤其是在中大型的公司。
缺乏基礎的業務安全檢測能力:這里的基礎業務安全檢測能力,我其實也不太確定是否應該由Web掃描器來做,不過在它上面做確實挺合適,就是個順便的事。所謂的基礎業務安全檢測能力指的是暴恐、涉黃、涉政、違法廣告、主頁篡改、黑色SEO等。
信息孤島難以融入安全體系:多數掃描器還是信息孤島一個,與其他安全設備沒有協同聯動,與內部工作流系統沒有對接等問題。
計算機信息系統的運營、使用單位應當采取下列安全保護技術措施:
系統運行和用戶使用日志記錄保存六十日以上措施;
記錄用戶賬號、主叫電話號碼和網絡地址的措施;
系統重要部分的冗余或者備份措施;
身份登記和識別確認措施;
垃圾信息、有害信息防治措施;
計算機病毒防治措施;
網絡攻擊防范和追蹤措施;
安全審計和預警措施;
信息群發限制措施。
應用程序屏蔽和應用程序內保護是互補的,在許多情況下,為了全面降低風險,用戶應該在移動應用程序中同時使用這兩種技術來增強預防能力并阻止攻擊者獲取更多隱私數據。至于你決定使用哪一種方法來保護,則取決于你的應用程序的運行方式,以及它定期存儲和處理的信息類型。
應用程序內保護即從應用程序內部檢測實時惡意軟件、網絡和操作系統攻擊。移動威脅防御技術被置于移動應用程序內部,以檢測和補救對應用程序和設備的威脅。
應用程序內保護可保護后端系統免受可能攜帶的移動惡意軟件或易受攻擊的移動設備的攻擊。雖然我們無法控制移動設備上應用的安全狀況,但是如果在移動設備上檢測到惡意軟件,危險的配置或網絡攻擊,則可以限制設備與受攻擊的程序進行通信。
應用程序屏蔽是一組用于修改和混淆應用程序的二進制代碼的技術。應用程序防護使應用程序更具防篡改性,可以防止通過逆向工程和未經授權的訪問來竊取機密。它創建了一個更具彈性的應用程序,通過混淆和加密二進制代碼使逆向工程更加困難。
應用程序屏蔽和應用程序內保護是互補的,在許多情況下,為了全面降低風險,用戶應該在移動應用程序中同時使用這兩種技術來增強預防能力并阻止攻擊者獲取更多隱私數據。至于你決定使用哪一種方法來保護,則取決于你的應用程序的運行方式,以及它定期存儲和處理的信息類型。
為了達到最優的安全水平,移動開發團隊投入大量時間來設計和構建直觀的移動應用程序。這樣的程序會自動執行標準的安全檢查,并嘗試遵循良好的編碼習慣。但是,在運行時保護應用程序的安全也至關重要。因為移動應用程序是依賴操作系統來提供安全運行的基礎,所以如果設備受到威脅,那么移動應用程序的整個安全基礎也會受到威脅。
WAPI包括兩部分WAI和WPI。WAI和WPI分別實現對用戶身份的鑒別和對傳輸的業務數據加密,其中WAI采用公開密鑰密碼體制,利用公鑰證書來對WLAN系統中的STA和AP進行認證WPI則采用對稱密碼算法實現對MAC層MSDU的加、解密操作。WAPI實現了設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護。
WAPI安全標準接入控制包括以下這些實體:
鑒別服務單元ASU(authentication service unit),基本功能是實現對用戶證書的管理和用戶身份的鑒別等,是基于公鑰密碼技術的WAI 鑒別基礎結構中重要的組成部分。ASU管理的證書里包含證書頒發者(ASU)的公鑰和簽名以及證書持有者STA和AP的公鑰和簽名,并采用WAPI特有的橢圓曲線作為數字簽名算法。
鑒別器實體AE(Authenticator Entity),為鑒別請求者實體在接入服務之前提供鑒別操作的實體。該實體駐留在AP 設備或者AC設備中。鑒別請求者實體ASUE(Authentication SUpplicant Entity),在接入服務之前請求進行鑒別操作的實體。該實體駐留在STA 中。
鑒別服務實體ASE(Authentication Service Entity),為鑒別器實體和鑒別請求者實體提供相互鑒別服務的實體。該實體駐留在ASU 中。
其產品更側重于運維安全管理,它集單點登錄、賬號管理、身份認證、資源授權、訪問控制和操作審計為一體的新一代運維安全審計產品,它能夠對操作系統、網絡設備、安全設備、數據庫等操作過程進行有效的運維操作審計,使運維審計由事件審計提升為操作內容審計,通過系統平臺的事前預防、事中控制和事后溯源來全面解決企業的運維安全問題,進而提高企業的IT運維管理水平。
新一代運維安全審計產品,能夠對運維人員訪問過程進行細粒度授權、全過程的操作記錄及控制、全方位的操作審計、支持事后操作過程回放功能,實現運維過程的“事前預防、事中控制、事后審計”。在簡化運維操作的同時,全面解決各種復雜環境下的運維安全問題,提升企業IT 運維管理水平。
針對業務環境下用戶對網絡內的核心IT資產和服務器進行的操作行為進行細粒度審計的合規性管理系統。它通過對內外部用戶的網絡行為進行解析、記錄、匯報,以幫助用戶實現事前規劃預防、事中實時監視、違規行為響應、事后合規報告、事故追蹤溯源,從而,加強內外部網絡行為監管,保障核心資產(數據庫、服務器、網絡設備等)的正常運營。
H3C SecPath A2000-G系列 運維審計系統
支持通過IE、Firefox、Chrome、Safrai等瀏覽器進行系統管理及資產訪問,同時不依賴JRE、Flash環境,操作終端兼容windows及Mac操作系統,不改變用戶原有使用環境,支持主流IT資產,包括主機、網絡設備、安全設備、應用、中間件、數據庫等。
被動式漏洞掃描器是指通過PVS技術來對服務器等硬件設備進行安全漏洞掃描的一種硬件設施,PVS技術全稱為Passive Vulnerability Scanner中文為被動漏洞掃描技術,該技術早由Tenable網絡安全公司開發,后來成為整個網絡安全行業的通用功能。由于商標權原因,有些網絡安全廠商稱之為實時漏洞分析。該功能主要用于以策略防護并順變分析潛在漏洞的方式來分析服務器可能受到的威脅。
常見被動漏洞掃描工具有以下這些:
Gonrdscan
安全教程直接根據git 就可以。不聊。
1.整體前端風格都是同城開源產品的風格,使用Tornado 框架,websocket 數據實時展示前端,
2.使用中發現對于HTTS的包并不能很好的使用。官方教程是讓信任該該域名,或者在chrome 中加入 –ignore-certificate-errors 參數。說實在的,很多人chrome 設置完有些可以有些不可以。沒法普及。所以對于https 這一塊做的是真不怎么樣。
3.不開啟sqlmap 的話誤報率很高。
NagaScan
屬于一個人的開發,不是公司搞的。團隊和個人之見還是有著差距的。不過該產品也有該產品的優勢,不然我也不會拿出來講了。
1.架構很好。主打分布式
2.掃描XSS采用了PhantomJs 框架,DOM型XSS可以檢測
3.MitmProxy 模塊可以對HTTPS的數據包抓包
別的優點還沒發現吧。注入只采用了SQLmap 沒有遇到瓶頸估計是采用分布式沒被遇到吧。
對于耗時的應用,多線程并不能解決,反而會讓進程負載過高。耗時應用采用分布式才是最好的方案啊。
缺點:
1.還是得懂開發的來部署。我用centos 搭建,記得采用Python2.7,教程里沒說
