查看等保要求及相关安全建设视频(郑歆炜cnhawk:企业安全那些事 – 应急响应http://open.freebuf.com/live/181.html)后整理,不成熟处还望指正。
安全等级划分:(是在平时对网络环境的评估)
1, 依据不同业务系统受到不同侵害时将造成的损失(即业务系统的重要性)见表一
2, 进行基于物理安全,网络安全,主机安全,应用安全,数据安全五方面评估(即在等保的基础上根据实际情况作相应修改) 见表二
综合以上两点,对整个网络进行安全评估
表一 业务系统侵害等级
| 受侵害程度 | |||
轻微(工作无影响体现) | 一般(工作可正常进行) | 严重(工作受到一定影响,如响应速度缓慢,发生丢弃现象等) | 危险(无法工作) | |
业务系统A | A级 | B级 | C级 | D级 |
业务系统B | B级 | C级 | D级 | E级 |
业务系统C | C级 | D级 | E级 | F级 |
注:侵害程度根据及等级需根据具体情况制定
一级只是从“身份鉴别”、“自主访问控制”、简单的“恶意代码防范”这些控制点切入检测系统是否达到一级标准要求。二级除过一级中的控制点以外增加“安全审计”、“系统保护”、“剩余信息保护”、“资源控制”这些控制点的检测,同时对每一个控制点的检测深度高于一级标准。三级包括二级所有检测控制点,同时加入“强制访问控制”项目的测试,满足三级安全保护能力标准;四级为最高评测级别,对所有检测点进行深入的扫描评定,适合于高级涉密计算机系统的安全评估。
表二 等保概况
| 物理安全(物理位置,物理访问,防破环,防自然灾害,机房布置) | 网络安全(结构安全,访问控制,安全审计,边界设置等) | 主机安全(身份鉴别,访问控制,安全审计,入侵防护,恶意代码,资源控制) | 应用安全(身份鉴别,访问控制,安全审计,恶意代码,资源控制,通信相关性能) | 数据安全(数据安全性及备份及恢复) |
第一级 | 机房出入控制及自然灾害防御) | 相关设备的业务处理能力;设备访问控制,登陆身份) | 包括主机登陆限制、身份鉴别,权限设置,操作系统补丁及应用安装) | 该应用的本身漏洞及通信的安全 | 重要信息数据通信的完整性及保密性; 重要信息备份及恢复 |
第二级 | 防震防风防雨, 进出审核记录, 防水防潮,温、湿度控制; 短期电力备用; 电源,通信线隔离 | +冗余空间,接入网络和核心网路的带宽满足业务高峰; 子网划分,网段地址分配按便于控制原则; 网络边界启用访问控制(网段级);用户和系统间的控制粒度为单个用户;限制拨号权限用户数; 对设备,流量,行为进行审计与记录;边界完整性检测;网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等,设备登陆要实现单点登陆 | 操作系统及数据库的用户权限分离;身份鉴别及口令强度及更新,登陆限制措施,用户名唯一性 +审计覆盖服务器上每个用户;并保证不受到非预期的删改 +升级服务器机制 +恶意代码防护统一管理
| +身份鉴别用户唯一标记,访问控制对文件、数据表的访问,安全审计覆盖到每个用户;保证无法删改 +通信过程中的完整性(MD5或哈希) +通信限制(系统并发数量,单用户多重会话数;双方无回音最短时间)
| +重要业务数据的完整性及保密性 +关键设备、业务的容灾备份 |
第三级 |
| +避免将重要网段布置在边界、直连外部信息系统,并与其它系统隔离; 按业务重要性确定带宽分配优先级 +控制粒度为端口级; 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制; 应在会话处于非活跃一定时间或会话结束后终止网络连接; 应限制网络最大流量数及网络连接数; 重要网段应采取技术手段防止地址欺骗;生成审计报表;记录攻击行为
| +最小权限分配; 审计覆盖到用户; 存储重分配前确保删除干净; 资源监控及最小分配
| +生成报表; 通信加密(会话验证,报文或会话加密); 接受,发送抗抵赖 资源限制:+时间段内并发会话数,进程资源最小分配,设置服务及进程的优先级 | +数据完整性检验及受损恢复, 对重要业务数据加密; 完全数据备份至少每天一次; 存储介质场外存放;异地数据备份;传输冗余,避免单点故障 |
第四级 | 防自然灾害及人类灾害,温度湿度控制;进出审核,重要系统物理隔离,电子门禁 +电磁屏蔽
| 访问控制(用户级或进程级),网络边界安全设置;安全审计(细粒度,大数据);恶意代码防范及自动处理机制 至少一种不可伪造的身份鉴别 +不允许数据带通用协议协议通过;根据敏感标记过滤信息;不开放远程拨号访问; 集中审计,时钟同步 | 主机登陆限制、至少一种身份鉴别信息不可伪造,权限设置,操作系统补丁及应用安装,病毒防护情况,恶意代码防范(主机与网络不同恶意代码库);入侵防护,病毒库即使更新;资源使用限制; +访问控制为进程级和字段级 +集中审计 | +至少一种不可伪造的身份鉴别信息 +安装、启用安全标记 +禁止默认账户访问 +在身份鉴别、会话时先建立可信安全的通信路径 +集中审计 +硬件化加密及密钥管理 +自动恢复功能 | +对重要通信使用专用协议或https,避免来自基于协议的通信攻击破坏数据完整性及保密性 +异地实时备份,无缝切换 |
注:可以根据实际情况对等级详情做修改 ,然后针对要达到的等级进行部署
平时可以在部署改善后通过渗透测试,模拟攻击(与后面的演习配合)等来发现,解决安全问题
以上是在平时对网络环境安全进行评估和改善的依据,在受到攻击时的应急需要另外的应对措施,整个体系分为事前、事中、事后;
事前:
确定人员职责,事件等级,上报体系,升级机制
对受到的攻击进行事件等级划分:
事件等级 | 影响 | 备注 |
一级 | 部分或全部用户/员工,对资产有损失 如:关键业务系统被拒绝服务攻击,用户无法访问、网站首页感染恶意代码、生产服务器被入侵 | 核心用户被入侵, 关键系统被攻击 |
二级 | 少量用户或员工, 如:基于web的管理系统被入侵,但权限小只能获得少量信息 | 边缘业务被攻击, 普通用户被入侵 |
三级 | 个别用户或员工 如:单台web服务器被攻击,无法访问,但不影响整个应用 | 普通服务器被攻击,无损失 |
注:根据公司具体业务要点制定
制定预案:
1, 根据事件(攻击类型)进行预案分类:DDOS,网站入侵,DNS安全等
2, 根据受攻击设备:生产服务器,web服务器等
分析判断:监控发现、流量分析、日志查看
处理流程、方法:(根据攻击流量大小、不同应用)
处理人员联系
演习:检验预案,对各种状况可以尽可能预料
事中:
发现事件并上报
协调调度
根据事件的情形(攻击的类型),按相应预案处理
事后分析:
分析起因,确定优化,改进项目,落实
以上为我的学习记录和自己的一些想法,有不成熟的地方或大家有建议的欢迎指正和交流,谢谢大家!