網絡產品服務的提供者不得設置惡意程序,網絡產品服務的提供者不得在自己所提供的程序或者服務中設置惡意程序,如果發現其網絡產品或者服務存在安全缺陷或者網絡漏洞時,應當自行立即修補或者向有關部門備案報告,如果因為該漏洞或者缺陷導致不可估計的損失則可以依法追求其責任。
惡意程序軟件的防御手段如下:
使用能阻止惡意軟件網絡基礎設施的安全解決方案,并降低員工在生產僵尸網絡的木馬下的暴露程度。
確保你的安全方案能夠阻止受感染客戶終端系統與命令控制服務器之間的交流,以保護敏感、機密或擁有專利的信息免于接觸到犯罪網絡。
確保web使用策略是最新的,保持網絡/防火墻規則是最新的。
部署報告解決方案,這有助于確認潛在的受感染終端系統,以便將其清除或隔離。
制定實施相關安全管理措施,要求員工使用最新補丁和安全更新,來更新其瀏覽器、操作系統、Adobe Flash、Adobe Reader、Java及其他應用。
構建數據安全標準體系過程中的要點有以下這些:
制定數據安全策略:應基于企業數據安全要求數據安全策略,需要IT安全管理員、數據管理專員、內部和外部審計小組及法律部門共同參與數據安全策略的制定工作;
制定數據安全標準:企業的利益相關者和監管者應關注數據訪問、隱私和保密性要求,基于這些要求,創建一個實用的、可執行的安全標準;
制定數據安全控制及措施:企業需要制定自己的安全控制措施,這些措施應符合法律法規要求,應建立相應機制記錄這些措施的執行情況;
用戶名、密碼和用戶組成員的管理:應在工作組和業務單位層面創建組定義,在層級結構中對角色進行組織,通過子角色進一步限制父角色的權限;
數據訪問視圖、字段和權限的管理:通過授予權限控制用戶對敏感數據的訪問。沒有權限的用戶無法執行任何操作。如對顯示權限、編輯權限、操作動作(申請、變更、審核等)權限的管控,對數據模型、數據視圖、屬性字段等權限的管控;
用戶身份認證和訪問行為的監控:在多個層面或數據接觸點執行監控。如,應用程序監控;對某些用戶和角色組實施監控;用于數據完整性驗證監控;對配置和核心元數據驗證實施監控;對跨異構系統依賴關系檢查實施監控;
信息密級的劃分:典型的信息密級分類主要包括以下5個等級。公眾級、內部使用、機密、受限機密、注冊機密。信息密級的劃分是元數據的重要屬性,用于指導賦予用戶存取權限。企業可根據自身管理要求進行信息密級的界定;
數據安全審計:應對數據安全策略和標準及其實施規程和實際操作進行審計,以確保數據安全目標、策略、標準、指導方針和預期結果相一致;應評估現有標準和規程是否適當,是否與業務要求和技術要求相一致;應驗證企業機構是否符合監管法規要求;應有違背數據安全行為的上報和通知機制;應評審合同、數據共享協議、確保外部供應商切實履行數據安全義務,同時保證企業自身要履行自己應盡的義務;
反向地址解析協議的原理如下:
主機發送一個本地的RARP廣播。在該廣播中,聲明自己的MAC地址并請求任何收到此請求的RARP服務器分配一個IP地址。
本地網段上的RARP服務器收到請求后,檢查RARP列表,查找該MAC地址對應的IP地址。
如果對應的IP地址存在,RARP服務器則給源主機發送一個響應數據報,并將此IP地址提供給源主機使用。
如果對應的IP地址不存在,RARP服務器則不做任何響應。
如果源主機收到從RARP服務器發來的響應信息,則利用得到的IP地址進行通信。如果一直沒收到RARP服務器的響應信息,表示廣播失敗(無效初始化)。
浙江等保測評公司有以下這些:
浙江省電子信息產品檢驗研究院
編號:DJCP2010330086
浙江省發展信息安全測評技術有限公司
編號:DJCP2010330087
浙江鑫諾檢測技術有限公司
編號:DJCP2010330089
浙江東安檢測技術有限公司
編號:DJCP2010330090
浙江安遠檢測技術有限公司
編號:DJCP2011330091
浙江辰龍檢測技術有限公司
編號:DJCP2014330092
浙江方圓檢測集團股份有限公司
編號:DJCP2014330093
1.定義入侵檢測的目標
不同的組網應用可能使用不同的規則配置,所以用戶在配置入侵檢測系統前應先明確自己的目標,可以從以下幾個方面進行考慮:
明確網絡拓撲需求
安全策略需求
入侵檢測的管理需求
2.選擇監視內容
選擇監視的網絡區域
選擇監視的數據包類型
根據網絡數據包的內容進行檢測
3.部署入侵檢測
(1)只檢測內部網絡和外部網絡邊界流量的入侵檢測系統的部署,如圖所示的部署方式不僅方便了用戶的使用和配置,也節約了投資成本,適合中小規模企業的網絡安全應用。
(2)集中監控多個子網流量,內部局域網中劃分了多個不同的只能的子網,有些子網訪問某些子網資源量希望收到監控和保護,假設具體進行監控。含入侵檢測的網絡拓撲如圖所示:
防火墻
防火墻的功能主要是兩個網絡之間做邊界防護, 企業中更多使用的是企業內網與互聯網的NAT、包過濾規則、端口映射等功能。生產網與辦公網中做邏輯隔離使用,主要功能是包過濾規則的使用。
入侵防御
同防火墻,并增加 IPS 特征庫,對攻擊行為進行防御。
統一威脅安全網關
同時具備防火墻、防毒墻入侵防護三個設備的功能。
IPSEC VPN
通過使用 IPSECVPN使客戶端或一個網絡與另外一個網絡連接起來,多數用在分支機構與總部連接。
主要是在兩個網絡之間做隔離并需要數據交換,網閘是具有中國特色的產品。
SSL VPN
隨著移動辦公的快速發展,SSL VPN的使用也越來越多,除了移動辦公使用,通過瀏覽器登錄SSLVPN連接到其他網絡也十分方便,IPSEC VPN更傾向網絡接入,而 SSL VPN 更傾向對應用發布。
web 應用防護系統
針對 HTTP/HTTPS協議進行分析,對 SQL注入攻擊、XSS攻擊 Web攻擊進行防護,并具備基于 URL 的訪問控制; HTTP協議合規;Web敏感信息防護;文件上傳下載控制;Web 表單關鍵字過濾。網頁掛馬防護,Webshell 防護以及 web應用交付等功能。
網絡安全審計
針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。滿足用戶對互聯網行為審計備案及安全保護措施的要求,提供完整的上網記錄,便于信息追蹤、系統安全管理和風險防范。
數據庫安全審計
審計對數據庫的各類操作,精確到每一條 SQL命令,并有強大的報表功能。
日志審計
通過對網絡設備、安全設備、主機和應用系統日志進行全面的標準化處理,及時發現各種安全威脅、異常行為事件,為管理人員提供全局的視角,確保客戶業務的不間斷運營安全部署:旁路模式部署。通常由設備發送日志到審計設備, 或在服務器中安裝代理,由代理發送日志到審計設備。
運維安全審計 ( 堡壘機 )
主要是針對運維人員維護過程的全面跟蹤、控制、記錄、回放,以幫助內控工作事前規劃預防、事中實時監控、違規行為響應、事后合規報告、事故追蹤回放。
入侵檢測( IDS)
通過對計算機網絡或計算機系統中若干關鍵點收集信息并對其進行分析, 從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。
上網行為管理
對上網用戶進行流量管理、上網行為日志進行審計、對應用軟件或站點進行阻止或流量限制、關鍵字過濾等。
負載均衡
確保用戶的業務應用能夠快速、安全、可靠地交付給內部員工和外部服務群,擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性。
漏洞掃描
根據自身漏洞庫對目標進行脆弱性檢測,并生產相關報告,提供漏洞修復意見等。一般企業使用漏洞掃描較少,主要是大型網絡及等、分保檢測機構使用較多。
異常流量清洗
對異常流量的牽引、 DDoS流量清洗、 P2P帶寬控制、流量回注,也是現有針對 DDOS攻擊防護的主要設備。
滲透測試一般需要收集以下這些信息數據:
地址信息:包括服務器的IP地址、DNS域名、打開的端口號及對應的服務進程等。
系統信息:包括操作系統類型及版本、Web服務器軟件類型及版本、Web應用程序及版本、Web應用程序的開發工具及版本、Web應用程序架構(是靜態HTML頁面,還是PHP、APS、JSP動態頁面等)、數據庫管理系統的類型及版本等。
賬戶信息:包括操作系統的登錄賬戶、數據庫管理系統的賬戶、應用系統的管理賬戶等。
配置信息:包括網絡拓撲結構、地址映射表(當Web服務器位于內部局域網中使用私有IP地址時)、服務配置信息、共享資源、防火墻類型及配置信息、身份認證與訪問控制方式、加密及密碼管理機制等。
其他信息:包括安全漏洞(軟件漏洞和管理漏洞)、DNS注冊信息、網絡管理員聯系方式等。
等級保護主要包括以下單位:
電信、經營性公眾互聯網信息服務單位、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡、互聯網接入服務單位、數據中心等單位的重要信息系統;
鐵路、銀行、海關、稅務、民航、電力、證券、保險、科技、發展改革、國防科技、公安等;
人力資源和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業部門的生產、調度、管理、辦公等重要信息系統等;
市(地)級以上黨政機關的重要網站和辦公信息系統;
涉及國家秘密的信息系統。
網絡技術中,主要攻擊檢測方法有:
這種檢測方法是通過對審計信息的綜合分析實現的,其基本思想是:根據用戶的歷史行為、先前的證據或模型,使用統計分析方法對用戶當前的行為進行檢測和判別,當發現可疑行為時,保持跟蹤并監視其行為,同時向系統安全員提交安全審計報告。
基于神經網絡的攻擊檢測技術則是一個對基于傳統統計技術的攻擊檢測方法的改進方向,它能夠解決傳統的統計分析技術所面臨的若干問題,例如,建立確切的統計分布、實現方法的普遍性、降低算法實現的成本和系統優化等問題。
專家系統就是一個依據專家經驗定義的推理系統。這種檢測是建立在專家經驗基礎上的,它根據專家經驗進行推理判斷得出結論。例如,當用戶連續三次登錄失敗時,可以把該用戶的第四次登錄視為攻擊行為。
攻擊者在入侵一個系統時往往采用一定的行為程序,如猜測口令的程序,這種行為程序構成了某種具有一定行為特征的模型,根據這種模型所代表的攻擊意圖的行為特征,可以實時地檢測出惡意的攻擊企圖,盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型,從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本,這種系統就能檢測出非法的用戶行為。一般為了準確判斷,要為不同的入侵者和不同的系統建立特定的攻擊腳本。
以太網交換機的幀轉發方式可以分為以下三類:
直接交換方式:在直接交換(Cut Through)方式中,交換機只要接收并檢測到目的地址字段,立即將該幀轉發出去,而不管這一幀是否出錯。幀出錯檢測任務由主機完成。這種交換方式的優點是交換延遲時間短,但它缺乏差錯檢測能力,不支持不同輸入/輸出速率的端口之間的幀轉發。
存儲轉發方式:在存儲轉發(Store and Forward)方式中,交換機首先完整的接收發送幀,并先進行差錯檢測。如果接收幀是正確的,則根據幀目的地址確定輸出端口號,然后再轉發出去。這種交換方式的優點是具有幀差錯檢測能力,并能支持不同輸入/輸出速率的端口之間的幀轉發,缺點是交換延遲時間將會增長。
改進直接交換方式:改進的直接交換方式則將直接交換方式和存儲轉發方式結合起來,它在接收到幀的前64字節后,判斷幀的幀頭字段是否正確,如果正確則轉發出去。這種方法對于短的幀來說,其交換延遲時間與直接交換方式比較接近;對于長的幀來說,由于它只對幀的地址字段與控制字段進行差錯檢測,因此延遲時間將會減少。
傳輸中數據保護與靜態數據保護的區別主要有以下兩點:
靜態數據保護:在穩定的存儲系統中不經常更新的數據;組織通常以加密的形式存儲這些數據。定位和編目存儲在整個企業中的敏感信息。靜態數據有時被認為比在傳輸數據時更不容易受到攻擊,安全性更高所以使用的安全策略和加密技術與強制訪問控制級別低。
傳輸中的數據保護:正在通過各種端點接口生成、更新、處理、擦除或查看的數據。這種數據應為在傳輸過程中的不確定性和不穩定性導致保護過程中安全性降低,所以對數據文件安全策略、加解密技術與強制訪問控制使用的基本高。數據保護應當以零信任架構為指導,從資產、入侵、風險三個視角出發,實現覆蓋數據全生命周期的數據安全體系建設,包括數據發現與分類分級,數據使用安全、數據流動安全、外部入侵安全,數據存儲安全、態勢感知等安全能力輸出,構建全方位的數據安全保護體系。
鏈路層加密和端到端加密的區別是:
端到端加密系統的價格便宜些,并且與鏈路加密相比更可靠,更容易設計、實現和維護。
鏈路加密(又稱在線加密)是傳輸數據僅在物理層前的數據鏈路層進行加密。接收方是傳送路徑上的各臺節點機,信息在每臺節點機內都要被解密和再加密,依次進行直至到達目的地。端到端加密允許數據在從源點到終點的傳輸過程中始終以密文形式存在。采用端到端加密(又稱脫線加密或包加密),消息在被傳輸時到達終點之前不進行解密,因為消息在整個傳輸過程中均受到保護,所以即使有節點被損壞也不會使消息泄露。
端到端加密還避免了其它加密系統所固有的同步問題,因為每個報文包均是獨立被加密的,所以一個報文包所發生的傳輸錯誤不會影響后續的報文包。此外,從用戶對安全需求的直覺上講端到端加密更自然些。單個用戶可能會選用這種加密方法,以便不影響網絡上的其他用戶,此方法只需要源和目的節點是保密的即可。端到端加密系統通常不允許對消息的目的地址進行加密,這是因為每一個消息所經過的節點都要用此地址來確定如何傳輸消息。由于這種加密方法不能掩蓋被傳輸消息的源點與終點,因此它對于防止攻擊者分析通信業務是脆弱的。
防御硬件釣魚攻擊的方法有以下這些:
不要輕易將來路不明的U盤或者USB設備接入到個人計算機或者企業的內網中,防止來路不明的設備中存在病毒或者木馬。
如果要將來路不明的設備接入到計算機中時需要先使用病毒掃描工具將這些設備進行一次安全掃描后在接入到計算機中。
加強個人計算機和企業計算機中設備的的安全管理意識,及時更新殺毒軟件,升級操作系統的補丁。
提高警惕,不登錄不熟悉的網站,鍵入網站地址的時候要校對,以防輸入錯誤誤入陷阱網站,細心可以發現一些破綻。
不要打開陌生人的電子郵件,更不要輕信即時通訊工具上的傳來的消息,很有可能是病毒發出的。
安裝殺毒軟件并及時升級病毒知識庫和操作系統(如Windows)補丁。
將敏感信息輸入隱私保護,打開個人防火墻。
物聯網架構花的分類方法有以下這些:
電池電源或連接中取電:這種分類方式根據對象是自帶電源,還是通過外部電源不間斷供電來進行判斷。電池供電的智能物比通過電線供電的對象移動起來更加方便。但電池供電限制了設備每次可以使用的時長,以及對象可以消耗的總能源,因此這類對象的傳輸范圍和移動頻率也會受到限制。
移動還是靜態:這種分類方式是根據“物”是移動的還是長期處于同一位置來進行判斷的。傳感器可能是移動的,因為它會從一個對象移動到另一個對象,或者因為傳感器本身是附著在一個移動物上的。“物”的移動頻率也各不相同。移動的范圍往往可以決定這個“物”的供電方式。
報告頻率是低是高:這種分類方式是根據對象報告被監測參數的頻率來判斷的。一個銹蝕傳感器可能每個月才會報告一次數值,而移動傳感器則可能會每秒報告數百次速度參數。高頻傳感器消耗的能量也更高,這也會限制它們的供電方式和傳輸范圍。
數據是簡單還是豐富:這種分類方式是根據每次報告時,傳感器提供的數據量是大是小來判斷的。某個環境中的濕度傳感器每次只需要報告一個當日指數,而一個引擎傳感器則可能需要報告上百個參數,從溫度到壓力、氣流速度、壓縮速度、碳指數等。數據量越大,消耗的能量也越高。這種分類方式往往需要和前面的分類方式相結合,判斷對象的數據吞吐量。即吞吐量是一個復合參數,中等吞吐量的對象既有可能是那種以較高頻率發送簡單數據的對象,也有可能是那種以較低頻率發送復雜數據的對象。
報告范圍:這種分類方式是根據網關的距離來判斷的。比如,健康手環與手機的通信過程中,健康手環最多距離手機也只有幾米的距離。我們在這里假設用戶的手機需要在視線范圍之內,以便查看屏幕上的報告數據。如果手機距離很遠,說明用戶沒有在使用手機,那么手環報告給手機的那些數據也就沒有什么價值了。
每單元的對象密度:這種分類方式是根據給定區域內連接在相同網關上的智能對象數量來進行判斷的。一條石油管線可能需要每幾公里才在重要位置上安裝一個傳感器。但是像惠普天文臺的SETI巨型望遠鏡這樣的天文望遠鏡可能需要在很小的一片區域中安裝成百上千個鏡片,其中每個鏡片上都帶有多個陀螺儀、重力傳感器和震動傳感器。
網絡安全資產管理有以下基本原則:
自動化:為了有效地完成這些步驟,盡可能嘗試將它們自動化。如果在某個資產管理鏈上,有人發現自己在重復手動執行一個流程,那么就該問問:“這個流程可以自動化嗎?”資產管理流程應該從可靠的地方獲取盡可能多的資產的權威信息。DNS 可以提取主機名和 IP 地址; DHCP 可以將 MAC 地址綁定到那些 IP 地址上;漏洞掃描器可能會找到以前未知的整個網絡。在生命周期的早期階段添加條形碼也可以在很大程度上推進自動化。所有可以自動化的工作都將使流程更加高效。
唯一事實來源:由于多種方法可以收集設備的信息,比如 DNS、DHCP、無線連接、MAC 地址表、軟件許可證、Nmap 掃描等,所以選擇一個可以與現有技術輕松整合的軟件很重要。在多個不同的位置(比如表格和 SharePoint)記錄有沖突的信息,不利于完整呈現當前的資產。在選擇一種軟件或方法時,應明確說明它是關于資產的唯一事實來源,任何偏差都應該得到處理。
組織一個公司范圍的團隊:資產會從不同的領域進入公司。采購部門顯然是首選;第三方供應商可能帶來他們自己的設備;還有一種 BYOD(bring your own device,自帶設備)策略。采購、接收、幫助臺、通信、維護和系統管理等部門都能受益于資產管理團隊。與大多數其他流程和程序一樣,幾乎不可能為每一種可能性做規劃,只能未雨綢繆。如果幫助臺團隊成員或者其他可以訪問資產管理軟件的小組成員,發現了一臺沒有記錄在案的設備,那么應該有一個流程來處理這種情況。不僅要將這個資產添加到軟件中,還要調查原因。資產是通過其他部門進入組織的,還是通過一種尚未添加到資產管理流程中的途徑?
執行負責人:組織范圍的團隊還應包括一名或多名執行人員作為負責人,以協助跨多個部門的流程和程序變更。較大的組織通常難以將程序中的變更及新增內容傳達給正確的個人,而較小的公司似乎抗拒改變。由安全人員或 IT 人員之外的人創建一個經過深思熟慮和充分溝通的指令,能讓事情進展得更加順利。該執行成員還能通過節約成本看到資產管理的效果。
軟件許可:在軟件許可管理方面,了解你可以部署的東西往往比你實際部署的東西更重要。很多時候,組織會因為過度部署而無法通過軟件審計,因為它們無法證明他們有權部署什么。在軟件許可上落后可能是一個代價非常高的錯誤。更新當前已安裝軟件的列表,不僅可以消除為未使用的軟件付費的風險,還可以確保無須支付許可超額費或罰金。
定義資產:為關鍵資產定義標準。很多時候,它們可能是關鍵數據所在的設備。關鍵資產可能是特定類型的硬件或設備,例如前端防火墻、光纖交換機或某些自定義軟件包。隨著資產的增加,會產生一個很長的資產列表。有些資產需要更多的監控和管理。
