以下系統需要開展等級保護工作:
黨政系統:一般指政府和黨政機關內部使用政務內網系統,或者一些機密的內網系統需要進行等級保護測評;
金融系統:指銀行、保險、證券等內部使用的金融系統,這些系統主要負責一些大量的金額交易所以需要進行等級保護;
財稅系統:指財政、稅務、工商使用的對經營活動、財務活動進行反映、監督、控制、協調的運作體系,為企業的庫存,采購,銷售,生產等提供指導,為企業領導的決策提供及時、準確的財務信息的系統;
經貿系統:指商業貿易、海關等物流交易具有經濟功能的系統,這些類型的系統一般都根據國家規定需要進行等級保護;
電信系統:指郵電、電信、廣播、電視使用負責對維持快遞郵寄、電信網絡、廣播電視通信的一些維持系統,需要進行等級保護;
能源系統:指負責電力、熱力、燃氣、煤炭、油料的操作系統,進行等保以防止受到攻擊;
交通運輸系統:航空、航天、鐵路、公路、水運、海運等內部使用的操作系統;
供水系統:指水利及水源供給的保障系統;
社會應急服務系統:醫療、消防、緊急救援管理系統;
互聯網業務:車聯網、互聯網金融、電商、游戲、酒店、直播、互聯網醫療、物聯網、在線教育、物流等。
漏洞掃描的目的如下:
獲取某范圍內的端口某未知屬性的狀態:這種情況下,一般是不知道對方情況,只是想通過掃描進行查找。例如,通過掃描檢測某個網段內都有哪些主機是開著的。
獲取某已知用戶的特定屬性的狀態:這種情況下,一般是有明確的目標,有明確要做的事,下面只是查找一下某些屬性。例如,通過掃描檢測指定的主機中哪些端口是開的。
采集數據:在明確掃描目的后,主動地采集對方主機的信息,以便進行下一步的操作。例如,沒有預定目的地掃描指定的主機,判斷該主機都有哪些可采集的數據。
驗證屬性:在明確掃描目標,并且知道對方具有某個屬性的情況下,只是通過掃描驗證一下自己的想象,然后判斷下一步的操作。例如通過掃描指定的服務,驗證對方是否是Windows類操作系統。
發現漏洞:通過漏洞掃描,主動發現對方系統中存在的漏洞。如掃描對方是否具有弱密碼。
根據規定防火墻、服務器等設備的日志要保證保存365天,以保證可以拿來做突發事件或者延續時間很長的那種入侵檢測的參考依據,但根據防火墻型號和flash空間不同如果存儲空間已滿后續日志會自動覆蓋以前的日志,但要保證日志存儲時間為一年。
建議把防火墻的日志保存在服務器上或者存放在專門的日志存儲設備中,有的防火墻有硬盤,或者可以擴展不同容量的硬盤,而有的不可以擴展硬盤則會導致日志存儲過的導致影響防火墻性能。
做漏洞掃描的廠家和其產品如下:
安恒信息:明鑒數據庫漏洞掃描系統是安恒在深入分析研究數據庫典型安全漏洞以及流行的攻擊技術基礎上,研發的一款數據庫安全評估工具。
綠盟:綠盟WEB應用漏洞掃描系統 (Web Vulnerability Scanning System )是具備綠盟科技自主知識產權的安全產品,以軟硬件適配的靈活形態、分鐘級的安裝配置、全面快速的檢測能力、多環境適應性和高可信度報表成為WEB應用安全評估的堅實利器。
盛邦安全:一體化漏洞評估系統(RayScan)是盛邦安全自主研發的綜合漏洞發現與評估系統,通過Web漏洞掃描、系統漏洞掃描、弱口令掃描、安全基線檢測、數據庫掃描這五個組件對網絡環境中的各種元素進行安全性檢查。
奇安信:網神SecVSS3600漏洞掃描系統是一款自主知識產權的綜合性漏洞掃描產品。
深信服:安全虛擬化ASEC,創新使用NFV技術將7種安全產品融合在虛擬化平臺內部提供上百種安全能力為用戶業務及數據安全保駕護航。
隱私增強技術對于企業來說很重要,原因有以下三點:
GDPR和CCPA等數據保護法案正在迫使組織保護消費者數據。因為一旦發生數據泄露,企業可能需要支付高額罰款。
由于企業在分析和應用程序測試方面缺乏自給自足的能力,因此數據可能需要由第三方組織進行測試。隱私增強技術能夠在數據共享的同時實現隱私保護。
隱私泄露可能會損害您的企業聲譽,企業或客戶(取決于您的商業模式)可能終止與您的合作。
數據防泄漏技術包括以下檢測方法:
基礎檢測方法:基礎檢測方法采用常規的檢測技術進行內容搜索和匹配,比較常見的都是正則表達式和關鍵字,此兩種方法可以對明確的敏感信息內容進行檢測。
文檔屬性檢測方法:文檔屬性檢測主要是針對文檔的類型、文檔的大小、文檔的名稱進行檢測,其中文檔的類型的檢測是基于文件格式進行檢測,不是簡單的基于后綴名檢測,對于修改后綴名的場景,文件類型檢測可以準確的檢測出被檢測文件的類型,目前支持100多種標準的文件類型,并且可以通過自定義特征,去識別特殊的文件類型格式的文檔。
精確數據比對方法:精確數據比對(EDM)可保護客戶與員工的數據,以及其他通常存儲在數據庫中的結構化數據。例如,客戶可能會撰寫有關使用EDM檢測的策略,以在消息中查找“名字”、“身份證號”、“銀行帳號”或“電話號碼”其中任意三項同時出現的情況,并將其映射至客戶數據庫中的記錄。
指紋文檔比對方法:指紋文檔比對(IDM)可確保準確檢測以文檔形式存儲的非結構化數據,例如MicrosoftWord與PowerPoint文件、PDF文檔、財務、并購文檔,以及其他敏感或專有信息。IDM會創建文檔指紋特征,以檢測原始文檔的已檢索部分、草稿或不同版本的受保護文檔。
向量機分類比對方法:SVM比對算法適合那些具有微妙的特征或很難描述的數據,如財務報告和源代碼等。使用過程中,先將文檔按照內容細分化分類,每一類文檔集合有屬于本類的意義,經過SVM比對,確定被檢測的文檔屬于哪一類,并取得此類文檔的權限和策略。 同時,針對SVM的特點,可以進行終端或服務器上的文檔按照分類含義進行分類數據發現。
傳統NIDS在大型互聯網場景有以下缺陷:
IDC規模稍大很容易超過商業NIDS處理帶寬的上限,雖然可以多級部署,但無法像互聯網架構一樣做到無縫的水平擴展,不能跟基礎架構一起擴展的安全解決方案最終都會掣肘。
硬件盒子單點的計算和存儲能力有限,很容易在CPU時間和存儲空間上達到硬件盒子的上限,即使有管理中心可以騰挪存儲空間也解決不了這個問題。
規則數量是性能殺手,最不能被并行處理的部分會成為整個架構的瓶頸。
升級和變更成本高,可能對業務產生影響。
IDC規模較大時,部署多臺最高規格商業NIDS的TCO很高(Google如果用IBM的解決方案會破產)。
解決上述缺陷的措施有以下這些:
分層結構,所有節點全線支持水平擴展。
檢測與防護分離,性能及可用性大幅提升,按需決定防護,支持灰度。
報文解析與攻擊識別完全解耦,入侵檢測環節“后移”。
依賴大數據集群,規則數量不再成為系統瓶頸,并且不再局限于基于靜態特征的規則集,而是能多維度建模。
定級流程:確定定級對象→初步確定等級→專家評審→主管部門審批→公安機構備案審查→最終確定的級別。
根據等級保護相關管理文件,等級保護對象的安全保護等級一共分五個級別,從一到五級別逐漸升高。等級保護對象的級別由兩個定級要素決定:①受侵害的客體;②對客體的侵害程度。對于關鍵信息基礎設施,“定級原則上不低于三級”,且第三級及以上信息系統每年或每半年就要進行一次測評。
醫院最終確定網站的級別以后,就可以到公安機關進行備案。備案所需材料主要是《信息安全等級保護備案表》,不同級別的信息系統需要的備案材料有所差異。第三級以上信息系統需提供以下材料:(一)系統拓撲結構及說明;(二)系統安全組織機構和管理制度;(三)系統安全保護設施設計實施方案或者改建實施方案;(四)系統使用的信息安全產品清單及其認證、銷售許可證明;(五)測評后符合系統安全保護等級的技術檢測評估報告;(六)信息系統安全保護等級專家評審意見;(七)主管部門審核批準信息系統安全保護等級的意見。
整改主要分為管理整改和技術整改。管理整改主要包括:明確主管領導和責任部門,落實安全崗位和人員,對安全管理現狀進行分析,確定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人員安全管理事件處置、應急響應、日常運行維護設備、介質管理安全監測等。
技術整改主要是指企業部署和購買能夠滿足等保要求的產品,比如網頁防篡改、流量監測、網絡入侵監測產品等。
根據規定,對醫院信息系統安全等級保護狀況進行的測試應包括兩個方面的內容:一是安全控制測評,主要測評信息安全等級保護要求的基本安全控制在信息系統中的實施配置情況;二是系統整體測評,主要測評分析信息系統的整體安全性。其中,安全控制測評是信息系統整體安全測評的基礎。
醫院要接受公安機關不定期的監督和檢查,對公安機關提出的問題予以改進。
記錄由應用程序產生的事件。例如,某個數據庫程序可能設定為每次成功完成備份后都向應用程序日志發送事件記錄信息。應用程序日志中記錄的時間類型由應用程序的開發者決定,并提供相應的系統工具幫助用戶查看應用程序日志。
記錄由操作系統組件產生的事件,主要包括驅動程序、系統組件和應用軟件的崩潰以及數據丟失錯誤等。系統日志中記錄的時間類型由操作系統預先定義。
記錄與安全相關的事件,包括成功和不成功的登錄或退出、系統資源使用事件 (系統文件的創建、刪除、更改) 等。與系統日志和應用程序日志不同,安全日志只有系統管理員才可以訪問。在 WindowsXP 中,事件是在系統或程序中發生的、要求通知用戶的任何重要事情,或者是添加到日志中的項。事件日志服務在事件查看器中記錄應用程序、安全和系統事件。通過使用事件查看器中的事件日志,用戶可以獲取有關硬件、軟件和系統組件的信息,并可以監視本地或遠程計算機上的安全事件。事件日志可幫助您確定和診斷當前系統問題的根源,還可以幫助用戶預測潛在的系統問題。
網絡信息破壞事件包括以下這些:
篡改事件:信息篡改事件是指未經授權將信息系統中的信息更換為攻擊者所提供的信息而導致的信息安全事件,如網頁篡改等。
假冒事件:信息假冒事件是指通過假冒他人信息系統收發信息而導致的信息安全事件,如網頁假冒等。
泄露事件:信息泄露事件是指因誤操作、軟/硬件缺陷或電磁泄漏等因素導致信息系統中的保密、敏感、個人隱私等信息暴露給未經授權者而導致的信息安全事件。
竊取事件:信息竊取事件是指未經授權用戶利用可能的技術手段,惡意主動獲取信息系統中信息而導致的信息安全事件。
丟失事件:信息丟失事件是指因誤操作、人為蓄意或軟/硬件缺陷等因素導致信息系統中的信息丟失而導致的信息安全事件。
其他事件:其他信息被破壞事件是指不能被包含在以上5個子類之中的信息破壞事件。
加強網絡安全的措施有以下這些:
更新您的設備,操作系統,插件程序,瀏覽器至最新版本
之所有網絡犯罪分子能夠成功攻擊大部分原因是您的設備,系統,插件,瀏覽器舊版本存在漏洞而沒有及時進行打補丁修復和更新!制造商推出的新版本是在舊版本基礎上修復了錯誤并消除了產品安全漏洞,使其更加安全可靠,有助于保護您免受已知漏洞的攻擊。
設置賬戶訪問權限
訪問權限不應是所有人共享,而是應針對需要完成該工作的人員設置訪問權限。比如,誰能訪問數據庫,服務器等。通過限制訪問權限,可以減少潛在的風險,以防其賬戶遭到破壞。
設置強而獨特的密碼
建議設置強而獨特的密碼,比如密碼位數長且無意義無規律的密碼代替傳統密碼。這樣,網絡犯罪分子就很難猜測或暴力破解您的密碼了。
加強網絡安全意識培訓
人為的錯誤和過失是企業網絡安全的最大威脅,所以給內部員工培訓網絡安全知識,加強員工的網絡安全意識,遵守良好的安全慣例,這也會有效防御惡意軟件的攻擊。
安裝防病毒軟件和防惡意軟件工具
在終端設備上安裝使用防病毒,防惡意軟件的的軟件工具,提前做好防御工作。
使用數字證書保護您的網站和電子郵件
數字證書可以通過身份認證和加密功能提供安全性。例如:SSL/TLS證書是網站安全證書,可實現用戶與站點的Web服務器之間安全,加密的數據傳輸,還能向終端用戶證明企業身份,讓瀏覽器和用戶知道您的網站是合法網站,而不是網絡釣魚網站。
MD5加密算法主要有以下特點:
壓縮性:任意長度的數據得出的MD5值都是固定的;
容易計算:計算任意數據的MD5值都很容易;
抗修改性:原數據的任意變動都會使最終的MD5值完全不一;
強抗碰撞:已知原數據和其MD5值的前提下,找到另一個數據能產生同樣的MD5值非常困難;
超強算法:不管多大的字符串,他都能生成32位的字符串;
不可逆性:md5加密不可逆,破解難度較高。
Linux的應用領域:
嵌入式領域:Linux運行穩定,對網絡的良好支持性、低成本,且可以根據需要進行軟件裁剪,內核最小可以達到幾百kb等特點,使其近些年來在嵌入式領域的應用得到非常大的提高
教育領域:設計先進和公開源代碼這兩大特性使Linux成為操作系統課程的最好教材。
網絡服務器領域:穩定、健壯、硬件要求低、網絡功能強使Linux成為如今Internet服務器操作系統的首選,目前已達到了服務器操作系統市場25%左右的占有率。
企業Intranet:利用Linux系統可以使企業用低廉的投入架設E-mail服務器、WWW服務器、代理服務器、透明網關,以及路由器等。
個人桌面領域:此領域是傳統Linux應用薄弱的環節,近年來隨這Ubuntu、fedora等優秀桌面環境的興起,Linux在個人桌面領域的占有率在逐漸提高。
防御手法如下:
改變無線路由口令
為無線路由的互聯網訪問設置一個口令至關重要,一個強口令有助于無線網絡的安全,但不要使用原始無線路由器的默認口令,建議更改較為復雜的口令避免簡單被攻破。更改IP地址設置
路由器制造商為每一個路由器都設置了相同的IP地址。例如TP-link路由器的初始化IP地址為192.168.1.1。這些地址是公開的,眾所周知的,如果知道了你所使用的路由器的制造商和類型,有意者就可以輕易地獲取你的IP地址。因而,應該把更改IP地址,能夠使入侵者不容易猜到IP地址。無線加密協議
無線加密協議(WEP)是無線網絡上信息加密的一種標準方法。現在出產的無線路由器幾乎都向用戶提供加密數據的選擇,Wi-Fi保護訪問技術(WPA和WPA2)要比WEP協議更加強健,因此在保障無線通信安全方面作用更大,并且密碼建議采用大小寫字母,數字和符號組成。MAC地址過濾
這種功能是通過比較試圖連接到路由器的設備MAC地址和路由器所保存設備的MAC地址而實現的。因此,通過啟用這種特性,并且只告訴路由器本單位或家庭中無線設備的MAC地址,我們就可以防止他人盜用自己的互聯網連接,從而提升安全性。非使用時關閉無線網絡
如果用戶的無線網絡并不需要每周的24小時都提供服務,可以通過關閉它而減少被黑客們利用的.機會但對一個系統安全性的最重大改進措施之一就是直接關閉它,可能對于企業來說,關閉是不可能的,但是對于家用來說還是十分有必要的,因為沒有任何人可以訪問一種并不存在或打開服務。養成監視網絡的習慣
用戶應當養成收集有關掃描和訪問企圖的日志,并利用現有的大量統計數字生成工具,以便于將這些日志變為更有用的信息。及時有效的查看是否有不明入侵者侵入,馬上采取手段制止,使用最有效的加密手段,更改網絡密碼,避免造成更大損失。禁止SSID廣播
SSID是無線接入的身份標識符,用戶用它來建立與接入點之間的連接。你需要給你的每個無線接入點設置一個唯一并且難以推測的SSID,或者干脆禁止廣播SSID,這樣非連接用戶,無法找到你的網絡信息。僅在某些時段允許互聯網訪問
如果你有規律的上網習慣,可以設定對互聯網的訪問限制在一天的某些時段。例如你是上班族,你一天8小時在公司,周末放假,你可以限制上網在早8點到晚5點,周末不限制,這樣可以有效的防止盜取手段。無線局域網中常見的安全問題主要有以下幾種:
2.4GHz信號覆蓋范圍:目前,用于無線局域網的IEEE 802.11n以及IEEE 802.11ac標準使用的都是2.4GHz的無線電波進行網絡通信,沒有使用授權的限制。而且通常無線產品覆蓋范圍為100~300m,還可以穿透墻壁。所以,任何人都可以通過一臺安裝了無線網卡的計算機在無線覆蓋范圍內進行監聽,網絡數據很容易被泄漏,這種情況在公司內部很容易出現。
WEP還不夠強:雖然常見的IEEE 802.11b和IEEE 802.11g標準使用了WEP加密,但也是不安全的。因為,WEP一般采用40位(10個數字)的密鑰,這樣采用了WEP加密的無線網卡和無線AP之間的連接很容易被破解。更嚴重的安全隱患在于默認情況下通過Windows 7創建無線網絡連接以及無線路由器禁用WEP加密。
拒絕服務攻擊與干擾:在有線局域網中可以通過防火墻阻止拒絕服務(DoS)攻擊,但是攻擊者可以通過無線局域網繞過防火墻,對公司或其他網絡實施攻擊。雖然無線局域網使用了擴頻技術,但是惡意攻擊者還可以通過干擾器來進行信號干擾,而且干擾源不容易被查出來。
無線局域網中常見安全問題的防護措施如下:
給無線局域網改名:SSID值作為無線AP或無線路由器區別其他同類設備的標識符,無線局域網內的用戶只要知道該值,在沒有設置密鑰的情況下都可以順利連接到該網絡,這樣很容易截獲數據。所以在設置時,為了安全考慮盡量不要使用默認的SSID值,取個不容易被猜到的名字。同樣是在上面提到的TP-LINK路由器中,可以在設置頁面的“網絡參數”中更改。
加密無線網絡:在無線局域網中,為了保證網絡連接的安全性,通常可以采取WEP加密技術。目前,該加密技術一般可以提供64/128位長度的密鑰機制,有的產品甚至支持256位的密鑰機制。
禁止SSID廣播:為了方便無線局域網中的計算機搜索到無線網絡,默認情況下無線路由器或無線AP都啟用SSID廣播功能。通過該功能雖然可以方便網內用戶搜索到指定的無線網絡,但是在無線網絡覆蓋范圍內的用戶,都可以通過SSID廣播來得到無線網絡的SSID值,這樣安全隱患大大增加。為此,可以打開無線路由器或無線AP,禁用SSID廣播功能。
啟用IEEE 802.1x驗證:IEEE 802.1x驗證技術也可以用于無線局域網,以增強網絡安全。如當無線客戶端與無線AP連接后,通過IEEE 802.1x驗證技術就可以決定是否使用無線AP的服務,如果認證通過,無線AP會為用戶打開開放服務的端口,否則將不允許用戶上網。
啟用MAC過濾:因為無線局域網中的每臺計算機都有唯一的物理地址,那么可以通過無線AP或無線路由器來建立MAC地址表,對連接到無線局域網的用戶進行驗證,以減少非法用戶的接入。
啟用Windows防火墻功能:在無線網絡方面提供了強大的支持,在改進了無線網絡連接圖標、狀態窗口、設置窗口等的同時,還在“控制面板”中增加了Windows防火墻,通過“防火墻”功能可以保證無線網的安全。
綠盟安全審計設備又稱綠盟安全審計系統SAS,該系統采用先進的協議識別和智能關聯分析技術,對網絡數據進行采集、分析和識別,實時動態監測通信內容、網絡行為等,對發現的敏感信息傳輸、違規網絡行為實時告警,并全面記錄用戶上網行為,為調查取證提供依據,滿足“151號令”法規要求。
綠盟安全審計系統具有三大功能:
內容審計:可對網頁頁面內容、郵件、數據庫操作、論壇、即時通訊等提供完整的內容檢測、信息還原功能,并內置敏感關鍵字庫,進行細粒度的審計追蹤,同時,用戶可以自定義補充或者更新關鍵字庫。
行為審計:根據設定的行為審計策略,對網站訪問、郵件收發、數據庫訪問、遠程終端訪問、文件上傳下載、即時通訊、論壇、移動應用、在線視頻、P2P下載、網絡游戲等網絡應用行為進行檢測。對符合行為策略的事件實時告警并記錄。
流量審計:提供基于協議識別的流量分析功能,如:可識別使用80端口的P2P協議,避免基于80 端口的HTTP協議流量統計錯誤;等。
