一、等保测评
1、等保:对信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。即分等级保护,分等级监管。
2、等级保护等级划分
(1)、第一级:会对公民、法人和其他组织的合法权益造成一般损害,不损害国家安全、社会秩序和公共利益。 --- 无需备案,对测评周期无要求
(2)、第二级:会对公民、法人和其他组织的合法权益造成严重损害,会对社会秩序、公共利益造成一般损害, 不损害国家安全。--- 公安部门备案,建议两年测评一次
(3)、第三级:会对国家安全、社会秩序造成损害,对公共利益造成严重损害,对公民、法人和其他组织的合法权益造成特别严重的损害。--- 公安部门备案,要求每年测评一次
(4)、第四级:会对国家安全造成 严重损害,对社会秩序、公共利益造成 特别严重损害 。--- 公安部门备案,要求半年一次
(5)、第五级:会对国家安全造成 特别严重损害 --- 公安部门备案,依据特殊安全需求进行
注:关键信息基础设施的安全保护等级 不低于三级
3、安全配置基线
二、资产梳理
1、业务资产梳理
2、风险梳理
- 账号权限
- 互联网风险
- 后台目录
- 子域名
- 后台地址
- 旁站、C段风险
- 指纹识别
- 端口风险
- 暴露面收敛梳理
- 公众号、小程序、移动app......
三、系统加固
1、windows系统加固
2、liunx系统加固
--------------------------------------------------------------安全设备-------------------------------------------------------
安全设备部署时既可以采用旁路部署,也可以采用在线部署
1、旁路部署:与网络是并联的,可以通过数据镜像后,传给安全设备审查,审查的数据并不会直接影响到网络中的数据。
2、在线部署:是串接在网络中的,相当于一个过滤网
四、防火墙
1、位于网络边界,多个网络的接入控制点
2、安全区域:划分网络、标识报文流动的路线(华为防火墙默认提供三个安全区域:Trust、DMZ、Untrust)
3、功能:
- 实现安全策略
- 创建一个阻塞点
- 记录网络活动
- 限制网络暴露
4、不能保护:病毒与木马、社工、物理故障、不当配置和内部攻击
5、分类:包过滤型和应用代理型
五、IDS(入侵检测系统)、IPS(入侵防御系统)
1、IDS:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象,不能反击网络攻击
2、IDS流程:信息收集--》信息分析--》安全响应
3、IDS-suricata工具:检测流量信息
(1)、安装:
- 更新kali下载源:apt-get update
- 安装suricata工具:apt-get install suricata
(2)、检测漏洞攻击(以永恒之蓝为例)
- 将规则文件放到kali路径下
- /etc/suricata/rules
- 规则下载路径
- Suricata IDS rules
- https://github.com/ptresearch/AttackDetection
- 查看监控日志(攻击前)
- cat /var/log/suricata/fast.log
- 打开命令行,对恶意流量进行监控
- suricata -c /etc/suricata/suricata.yaml -i eth0 -s /etc/suricata/rules/ms17-010.rules
- 对虚拟机进行漏洞攻击
- 查看监控日志(攻击后)
4、IPS:新一代的入侵检测系统,具备检测已知和未知攻击并具有成功防止攻击的能力
六、蜜罐
1、定义:通过主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击,从而可以对攻击行为进行捕获和分析
2、HFish蜜罐
- 官网地址:反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台
- 个人搭建建议在虚拟机中
441
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
