01、全力以赴,一切为了客户更好的安全
(1)满足合规要求
网络安全法、地方性法规、等保2.0相关标准等均对此有明确的要求。
(2)了解安全“真实”现状
“真实”是我们认识事务的终极目标,如果我们能更真实地了解当前暴露在黑客面前真实的“自己”,我们就能更好地为此有所准备,更有目标地去完善自己,装备自己,改善我们的安全现状。
(3)验证真实防护水平
等保2.0相关标准对各级别等级保护对象的安全防护能力有具体的描述。
参照《信息安全技术 网络安全等级保护基本要求》(GB∕T 22239-2019)——“5.2 不同级别的安全保护能力”,我们以列表形式展示各级别等级保护对象安全防护能力要求(如下表所示)。
参照此表,在开展攻防型应急演练时,我们将配置相应资源实施授权“攻击”,以此检验相关系统及单位整体安全防护水平和应急处置能力。
表1 各级别等级保护对象安全防护能力要求一览表
等级保护对象级别 | 威胁源 | 安全防护能力 |
第一级 | 来自个人的、拥有很少资源的威胁源 | (1)能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击; (2)能够防护其他相当危害程度的威胁所造成的关键资源损害; (3)在自身遭到损害后,能够恢复部分功能。 |
第二级 | 来自外部小型组织的、拥有少量资源的威胁源 | (1)能够防护免受自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击; (2)能够防护其他相当危害程度的威胁所造成的重要资源损害; (3)能够发现重要的安全漏洞和处置安全事件; (4)在自身遭到损害后,能够一段时间内恢复部分功能。 |
第三级 | 来自外部有组织的团体、拥有较为丰富资源的威胁源 | (1)能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击; (2)能够防护其他相当危害程度的威胁所造成的主要资源损害; (3)能够及时发现、监测攻击行为和处置安全事件; (4)在自身遭到损害后,能够较快恢复绝大部分功能。 |
第四级 | 来自国家级别的、敌对组织的、拥有丰富资源的威胁源 | (1)能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击; (2)能够防护其他相当危害程度的威胁所造成的资源损害; (3)能够及时发现、监测发现攻击行为和安全事件; (4)在自身遭到损害后,能够迅速恢复所有功能。 |
第五级 | 略 | 略 |
注:如果一个三级系统,我们以“外部小型组织的、拥有少量资源的威胁源”形式实施授权“攻击”,系统重要权限或资源被突破,暴露较多安全问题,则证明该系统在现实环境下尚未达到第二级的“实际的(或实战的)”安全防护能力,更达不到第三级的实战要求。如果在授权“攻击”时,单位监测预警及应急处置过程暴露较多问题,则说明单位应急处置工作有待进一步加强。
(4)提出安全建议,为进一步整改完善提供指南
在完成攻防型应急演练后,我们将结合“攻击”和“演练”过程中发现的各类问题及风险,参照相应安全等级应具备的安全能力汇总输出具体安全建议,为进一步整改完善提供具体指南。
02、开展攻防型应急演练,有哪些要点,实施流程如何?
(1)要点一:明确服务对象
只有明确了具体的服务对象,才能更明确地有序实施。
通常,我们以相关信息系统为核心资产,针对单位整体实施授权“攻击”。
(2)要点二:提供完善的资源配置
只有配备了相应的资源作为授权的“威胁源”,才能更好地验证用户是否具备相应等级的安全防护能力。
我们将从以下几个方面确保资源配备满足具体服务需求,相关资产/能力得到充分测试:
●人员配备方面
为保证实施效果,我们将以冠军队成员为核心成员组成高水平实施队伍,实施全程“攻击”,成员来自省级或地市级攻防演练活动的冠军队,必要时可提供100%冠军成员全程参与。
●演练时间方面
为确保演练时间充分,除去前期及后期工作时间,我们通常申请5个授权日用于授权“攻击”。
注:具体服务时间及侧重点以双方沟通确认为准。
(3)要点三:实施全过程安全保障
合法合规、安全可控,是攻防型应急演练的基本要求。我们将从以下几方面确保服务过程合规、可控:
●活动报备
向上级主管单位及相关监管单位报备。
●签署保密协议
参演人员签署保密协议,知悉当尽的责任和义务,并严格执行。
●明确限定技术手段及约束措施
双方约定限定的技术手段及约束措施,并严格执行。
●正式授权
签署授权文件,确保活动得到正式授权并在约定的授权范围内开展。
●视频录制
对部分关键“攻击”过程进行视频录制,留存重要实施过程记录,同时作为演练汇报材料以及网络安全教育素材。
●可供审计的演练平台
按需部署专业的演练平台,实时采集流量数据,为攻防型应急演练活动审计和溯源提供支撑,确保演练活动可管控、可审计,同时,可动态展示攻击流量。
●团队服务支撑
设计团队、研发团队、质量保障团队、安全专家将各司其职为实施团队提供服务,确保演练活动围绕单位需求,合法合规,安全可控,合理有效开展。
(4)攻防型应急演练主要实施流程
●项目准备阶段
召开项目启动会,明确服务需求,按需求配置服务团队,同步开展信息调研、授权报备等前期工作。
●方案编制阶段
结合前期沟通情况编制服务方案,明确服务范围、内容、流程、成果等各方面服务细节,并经确认、批准。
按需协助完善应急预案,为应急处置提供可靠依据。
●项目实施阶段
在完成报备及正式授权情况下,参照服务方案,按照服务计划实施授权“攻击”和“演练”,检验真实防护水平和应急处置水平。
●报告总结阶段
汇总安全问题,提出安全建议。
按需提供安全培训、服务复盘。
注:项目准备阶段也可开展安全培训,具体服务事项及侧重点以双方沟通确认为准。
●项目验收阶段
依据合同约定,编制项目验收材料,申请项目验收。