重点领域网络与信息安全检查方法.ppt

重点领域网络与信息安全检查方法贵州亨达集团信息安全技术有限公司 2019 12 28 概述 为贯彻落实中央领导同志和 国务院办公厅关于开展重点领域网络与信息安全检查行动的通知 国办函 2012 102号 开展网络与信息安全检查专项行动 每周五上报工作进展情况 2012年9月15日 25日总结上报检查结果 孙国强副省长作重要讲话 对通信 钢铁 有色 化工 装备制造五个重点行业开展网络与信息安全检查 通过检查发现存在的问题和薄弱环节 分析评估面临的安全威胁和风险 有针对性地采取防范对策和改进措施 切实保障网络与信息安全 检查方法 按照 检查通知 此次检查按照 谁主管谁负责 谁运行谁负责 的原则 采取自查与抽查相结合 以自查为主 点和面结合的方式开展 抽查采取现场检查和外部检测两种方式进行 调研工具检查人工检查渗透测试 调研 利用调查表收集检查对象现状信息 调查表由检查人员在现场访谈时使用 调查表包括 组织基本信息调查 网络与信息系统组织架构 岗位职责 人员安排 信息系统目标使命等 网络现状调查 链路状况 网络拓扑 设备产品部署 管理平台 手段 配置状况 IP 端口 服务 安全措施 系统现状调查 操作系统版本 补丁状况 口令帐号管理 文件管理 服务管理 备份 安全措施等 业务及应用现状调查 业务种类 业务路径 应用架构 开发文档 数据库 安全功能 管理现状调查 组织结构 制度流程 培训 工具检查 为了充分了解本次检查工作中各网络与信息系统当前的网络安全现状及其安全威胁 因此需要利用基于各种评估侧面的评估工具对抽检对象进行扫描评估 自动化测试工具包括扫描工具 口令破解攻击 攻击工具等 用于检测系统可能存在的漏洞或弱点 对象包括各类主机系统 网络设备等 扫描评估的结果将作为整个检查内容的一个重要参考依据 在本检查工作中 我们采用的工具是业内主流的扫描工具 人工检查 工具扫描因为其固定的模板 适用的范围 特定的运行环境 以及它的缺乏智能性等诸多因素 因而有着很大的局限性 而人工检查与工具扫描相结合 可以完成许多工具所无法完成的事情 从而得出全面的 客观的评估结果 人工检查 技术人员主要是依靠亨达集团具有丰富经验的安全专家在各本次检查工作中通过针对不同的检查对象采用顾问访谈 业务流程了解等方式 对检查对象进行全面的评估 利用Checklist检查系统是否存在弱点 Checklist由检查人员在安全访谈 检查与测试时使用 本次安全检查使用的Checklist可能包括物理安全 网络设计安全 网络设备安全 安全设备 操作系统 中间件 数据库 SCADA DCS PLC等内容 渗透测试 为了解检查网络单元的安全现状 在许可和控制的范围内 对网络与信息系统进行渗透性检测 从攻击者的角度来对网络与信息系统的安全程度进行评估 渗透测试将作为安全检查的一个重要组成部分 组织专业技术力量 采取模拟攻击方式对系统进行渗透测试 检验系统防入侵 防攻击 防泄漏 防篡改等能力 通信行业技术检测内容1 通信运营商抽查的网络单元以服务于电子政务外网的基础通信网络为选择原则 本次检查抽查通信运营企业的IP城域网及其相应的网管措施 主要检查以下内容 IP承载网节点重要部件和模块的冗余措施 IP承载网是否采取必要的链路冗余以保证网络具有抗灾以及灾难恢复能力 城域网出口带宽冗余量是否满足出口链路单链路故障时出入城域网业务流量的需要 IP承载网相关关键数据 如业务 设备的配置数据等 的数据备份情况 通信行业技术检测内容2 IP城域网汇聚层节点是否配置为双上行链路冗余保护 节点间是否设计并采用冗余链路 IP城域网核心层的网络结构 城域网核心层设备间是否采用全网状连接 IP承载网网管网络与业务网络应严格隔离 网络维护终端是否专机专用 相关维护终端是否均不能访问互联网 是否建立网络安全管理制度 对网络安全配置 日志保存时间 安全策略 升级与打补丁 口令更新周期等方面作出规定 是否有承载网络日志记录及保存时间相关方面的管理规定和明确要求 通信行业技术检测内容3 是否有承载网络日志记录及保存时间相关方面的管理规定和明确要求 是否有承载网络安全策略相关方面的管理规定和明确要求 是否有承载网络设备升级与安全补丁相关方面的管理规定和明确要求 是否有承载网络用户帐号及口令更新相关方面的管理规定和明确要求 IP承载网网络管理应使用用户安全鉴别和认证措施 对于网管系统相关用户是否有用户安全鉴别及认证措施的管理规定和要求 网管系统是否提供相关用户鉴别信息 如 口令等 的复杂度检查功能 通信行业技术检测内容4 网管系统是否提供相关用户鉴别信息 如 口令 强制更新的功能 网管系统相关用户帐号的口令长度是否均不小于8字节 网管系统相关用户帐号的口令是否均使用大写字母 小写字母 数字 标点及特殊字符四种字符中至少三种的组合 且与用户名或ID无相关性 网络相关通用设备 如终端 服务器等 操作系统用户帐号的口令长度是否均不小于8字节 络相关通用设备 如终端 服务器等 操作系统用户帐号的口令是否均使用大写字母 小写字母 数字 标点及特殊字符四种字符中至少三种的组合 且与用户名或ID无相关性 通信行业技术检测内容5 相关用户帐号的口令更新周期是否不大于90天 IP承载网网络管理应采用安全的管理和控制信息的分发 过滤机制 网络管理信息应通过加密传送 对于专用管理接口 应对目的地址为设备本身的非管理报文和到数据业务接口的报文进行严格控制 网络流量管理策略是否为承载网相关管理信息流提供较高的优先级 承载网网络管理是否有安全的管理信息分发 过滤机制 承载网网络管理是否有安全的控制信息分发 过滤机制 网络管理信息是否通过加密方式传送 承载网相关网络设备是否均划分专用的管理接口 通信行业技术检测内容6 对于目的地址为设备本身的非管理报文 以及到数据业务接口的报文 设备是否均配置有严格过滤策略 IP承载网的网络管理应启用访问和资源控制的安全措施 遵循最小授权原则对接口使用 访问和资源等进行限制 网管系统相关业务控制与管理操作是否均有相应的操作权限控制机制 业务控制与管理相关用户的帐号权限是否均依据最小授权原则 即授予特定帐号为完成其承担任务所需的最小权限 进行管理 网络管理和维护操作涉及的相关设备资源访问 调用等是否均使用严格的访问控制策略及保护措施 承载网相关设备是否禁止默认帐号 或严格限制默认帐号权限 通信行业技术检测内容7 IP承载网应根据需要采用有效的QoS和流量管理策略 应保证管理和控制信息具有较高的优先级 应对广播 组播进行必要的控制 承载网相关设备的业务接口是否启用流量管理和控制策略 流量策略是否为通过业务接口传送的控制信息流 如 路由协议等 设定较高的优先级 流量策略是否对网络内广播 组播流量进行控制 通用服务器 主机设备的系统软件应当限制和禁用可能造成漏洞的服务和端口 应安装和使用防火墙和病毒查杀工具或采取其它防病毒和防攻击措施 软件应及时安装补丁 定期更新 及时消除可能的隐患 网络相关通用主机 如终端 服务器等 是否仅开放其提供正常功能所必须的服务端口 通信行业技术检测内容8 相关通用主机操作系统组件及应用是否均遵循最小安装原则 即特定软件仅安装为完成其承担功能所需的必要组件 是否有防恶意代码 病毒 木马等 的相关管理制度 相关windows操作系统的通用主机是否均安装和使用有效授权的防火墙及病毒查杀工具 或采取其它防病毒和防攻击措施 相关联网通用主机操作系统及杀毒软件是否能通过安全的方式及时安装补丁 定期更新 是否由指定内部人员 部门负责相关设备安全漏洞检测工作 安全漏洞的检测和修补是否形成备查的报告 记录 网络和设备应具有一定抵抗常见攻击 差错防范和处理的能力 承载网相关IT系统边界是否部署攻击 入侵防范技术手段 通信行业技术检测内容9 目前相关安全技术措施是否能监测并抵御针对网络设备和IT系统的常见攻击及入侵 如端口扫描 木马后门 DoS DDoS攻击 缓冲区溢出攻击 IP碎片攻击 网络蠕虫等 承载网相关系统 设备对各类管理和维护用户是否有登录失败处理功能 发生攻击或入侵时 是否能提供相关类型攻击 入侵的报警和监测信息 在控制平面网络和设备应根据实际情况对相关控制信息进行有效合理的加密 认证和过滤 对于目的地址为设备本身的数据包 应具有有效的攻击识别和防范能力 对于异常数据流量具有识别和处理能力 通信行业技术检测内容10 网络路由协议相关信息的接收和分发是否有安全的加密 认证及过滤策略 对于目的地址为设备本身的数据包 各设备是否均启用有效的限制策略保护CPU处理带宽 对于网络异常数据流量 是否有监测 识别和防范能力 网络设备应具有安全日志的功能 日志应包含访问 配置 状态 统计 告警等安全相关事件的来源 时间 描述等信息 网络设备是否均启用日志功能 日志记录是否覆盖维护 管理用户相关登录访问类事件 日志记录是否覆盖维护 管理用户相关操作维护类事件 通信行业技术检测内容11 日志记录是否覆盖设备相关状态监测 统计类事件 日志记录是否覆盖设备相关故障告警类事件 各类日志记录是否包括具体事件的来源 时间 事件描述等要素 是否定期对运行日志和审计数据进行分析 以便及时发现异常行为 是否有对相关日志记录信息是否进行审计的规定和要求 是否定期对相关登录访问类事件记录信息进行审计和分析 是否定期对相关操作维护类事件记录信息进行审计和分析 是否定期对相关状态监测 统计类事件记录信息进行审计和分析 是否定期对相关故障告警类事件记录信息进行审计和分析 通信行业技术检测内容12 审计记录是否至少包括审计日期 时间 发起者信息 审计类型 审计内容描述和结果等要素 网络设备的安全日志应通过特定的安全机制在本地或外部设备上进行记录 输出 存储 记录的日志信息是否有安全的保护机制进行记录 存储 记录的日志信息是否有安全的保护机制进行输出 化工行业技术检测特点 根据制造业信息系统五层技术架构的特点 对设备控制系统 过程控制系统 制造执行系统 MES 采用基本情况调研和查看完成检查 以被检查单位操作维护人员执行相关命令 对企业资源计划系统 ERP 和企业间管理系统及决策支持系统可以采用调研 工具检测 人工检查及渗透测试等方式进行 主要完成以下五个方面的情况调研和技术监测 1 安全域之间的安全防护 2 数采监控层和控制层之间的安全防护 3 保护关键控制器 4 隔离工程师站 保护APC先控站 5 和第三方控制系统之间的安全防护 化工行业 典型架构 化工行业技术检测重点1 1 是否识别所有网络链接 2 是否阻断所有不必要的网络链接 3 是否对所有网络链接进行评估并实施安全策略 4 是否删除并阻止一切不必要的服务选项 5 是否对工业控制系统应用实施强访问控制策略 以限制其被恶意软件利用 6 是否部署实时的旁路事件监测系统 7 是否实施基于网络连接与设备行为的审计系统 识别安全威胁 8 是否分析并评估远程接入的安全性 9 是否安排专人负责对网络安全状况进行分析并预警 10 是否明确界定管理人员的在网络运维中的角色和职责 化工行业技术检测重点2 11 是否实施额外的安全功能保护网络中的敏感功能与信息 12 是否建立严格且持续的风险管理流程 13 是否基于深度保护原则建立防御策略 14 是否全面了解行业最佳实践及网络防御要求 15 是否制定有效的配置管理流程 16 是否实施常规的自我评估机制 17 是否制定系统备份及灾难恢复计划 18 是否针对各种潜在的威胁攻击实施应急响应策略 19 是否制定员工规范和安全培训计划 将风险控制在可接受的最低范畴 主要文档1 1 表1系统基本情况检查记录表 2 表2系统特征情况分析记录表