等级保护基础安全防护技术概览

等级保护基础安全防护技术概览,网神信息技术（北京）股份有限公司肖寒CISP、PMP、北京市安全服务高级工程师,内部资料请勿外泄,1,大纲,2,2,1.1等级保护基本概念-定义,是指对信息安全实行等级化保护和等级化管理。根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。,3,1.1等级保护基本概念-深入理解,信息安全等级保护是指：对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统实行分等级实行安全保护；对信息系统中使用的信息安全产品实行按等级管理；对信息系统中发生的信息安全事件实行分等级响应、处置。,4,等级保护政策体系,1.2等级保护基本概念-政策体系,5,1.3级保护基本概念-相关标准,6,1.4等级保护基本概念-安全保护等级,全国的信息系统（包括网络）按照重要性和受破坏后的危害性分成五个安全保护等级,7,1.5等级保护基本概念-系统等级分类,8,定级：明确责任主体、自主定级、专家审核、上级主管单位审批；备案：定级系统须在上级主管单位及属地公安机关备案；建设整改：根据基本要求进行安全加固与改进；等级测评：邀请具有等级测评资质的测评机构进行安全等级测评；监督检查：通过安全检查的方式持续改进系统安全。,1.6等级保护基本概念-规定动作,9,不同信息系统的安全保护等级相同，但其内在安全需求可能会有所不同，业务信息安全和系统服务安全保护等级也可能不同。（5个等级，25种组合）保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）；保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；通用安全保护类要求（简记为G）。,1.7等级保护基本概念-系统等级与安全要求对应关系,10,以安全保发展发展中求安全,1.8等级保护基本概念-基本要求,11,电力供应,电磁防护,安全审计,身份鉴别,访问控制,结构安全,访问控制,身份鉴别,安全审计,访问控制,入侵防范,备份和恢复,完整性,保密性,1.9等级保护基本概念-实施步骤-差距分析,12,应用层,SQL注入,身份冒用,溢出攻击,数据窃取,传输窃听,数据重放,主机层,弱口令,系统漏洞,病毒入侵,资源占用,黑客攻击,网络层,带宽资源滥用,非法接入,非法外联,区域混乱,协议攻击,中间人攻击,信息泄露,物理层,断电,物理攻击,非法进出,盗窃,火灾,数据层,篡改,非法访问,丢失,泄露,不可用,计算环境,区域边界,网络通信,安全管理,缺乏组织,缺乏流程,人员安全意识不足,缺乏过程控制,缺乏专业技能,缺乏安全监控,管理不到位,1.9等级保护基本概念-实施步骤-差距分析,13,1.9等级保护基本概念-实施步骤-方案编写,依据信息安全技术-信息系统安全等级保护基本要求参照信息安全技术-信息系统等级保护安全设计技术要求引入“安全域”的概念，强化访问控制安全技术控制策略安全管理控制策略,1.9等级保护基本概念-实施步骤-方案编写,15,1.9等级保护基本概念-实施步骤-设计策略,业务风险控制,业务,应用,主机,组件,应用平台,网络,业务安全需求,安全功能实现,数据库,功能组件,支撑安全功能实现,安全软件环境,安全边界安全传输通道,业务风险保护策略,信息系统保护策略,整体保护策略,程序安全,组件安全,主机安全,网络安全,“业务+系统”安全=整体安全策略,1.9等级保护基本概念-实施步骤-设计策略,17,结合实际，部署实施安全措施,1.9等级保护基本概念-实施步骤-实施措施,信息安全领导小组,信息安全主管（部门）,安全管理员,安全审计员,系统管理员,网络管理员,数据库管理员,决策、监督,应用系统管理员,管理,执行,落实信息安全责任制,建立安全组织（举例）,1.9等级保护基本概念-实施步骤-建立安全组织,19,方针策略信息安全工作的纲领性文件。,制度办法在安全策略的指导下，制定的各项安全管理和技术制度、办法和准则，用来规范各部门处室安全管理工作。,流程细则细化的实施细则、管理技术标准等内容，用来支撑第二层对应的制度与管理办法的有效实施。,记录表单记录活动实行以符合等级1,2,和3的文件要求的客观证据，阐明所取得的结果或提供完成活动的证据,编写安全管理制度,1.9等级保护基本概念-实施步骤-完善管理制度,20,1.9等级保护基本概念-实施步骤-完善管理制度,21,“三个体系、一个中心、三重防护”,整改方案的技术路线,1.9等级保护基本概念-实施步骤-总体思路,定级：明确责任主体、自主定级、专家审核、上级主管单位审批；备案：定级系统须在上级主管单位及属地公安机关备案；建设整改：根据基本要求进行安全加固与改进；等级测评：邀请具有等级测评资质的测评机构进行安全等级测评；（测评机构）监督检查：通过安全检查的方式持续改进系统安全。（公安部、工信部、直属领导单位等）,2.0等级保护基本概念-规定动作,23,大纲,24,24,傻根在外地打工挣了钱，随身携带着10万元钱坐上了一辆混杂着很多小偷的长途火车回家。傻根把钱就放在了普通的布质书包里。傻根没有坐软卧包厢，而是坐在挤满了上百人的硬座车厢。有时候累了，就坐着打个瞌睡。一路上，葛优等小偷团伙频频出手，尝试着偷这10万元钱。但是在好心人刘德华和刘若英等的保护下，葛优等小偷团伙未能得逞。好险啊，如果这钱被偷走了，傻根就娶不上媳妇了。,天下无贼,2.1什么是安全防护-“小故事”,1、核心是-钱,2、攻击-贼,3、防护-贼,25,身份及凭证,认证,授权,审计,通信安全,2.2真实世界的信息安全,26,A、信息：信息是一种资产，像其他重要的业务资产一样，对组织具有价值，因此需要妥善保护。B、信息安全：信息安全主要指信息的保密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的保密性、完整性和可用性不被破坏。C、信息系统：计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。,2.3等保安全防护技术-名词解释,27,安全需求是驱动；安全威胁是风险；安全技术是手段；安全产品来执行；安全状态是结果。威胁：可能导致对系统或组织危害的不希望事故潜在起因。,安全需求,安全目标,安全威胁,安全技术,安全产品,安全状态,安全传导链,2.4需求如何来满足,28,2.5信息系统覆盖内容,电力供应,非法进入,环境威胁,电力中断电压不稳,火灾、水灾,盗窃、破坏,物理安全威胁,安全防护手段,UPS、冗余电路,灭火器、防水门窗,门禁系统、专人值守,2.5.1物理安全的威胁及防护,电力供应,非法进入,环境威胁,电力中断电压不稳,火灾、水灾,盗窃、破坏,物理安全威胁,视频监控,温湿度监控,电压、负载监控,安全监控手段,2.5.1物理安全的监控,网络攻击,恶意代码,漏洞探测,非授权访问,外部威胁,防火墙,防病毒网关,入侵防御,SSLVPN,内部威胁,防病毒网关,防火墙,2.5.2网络安全的威胁及防护,其他威胁,区域划分不合理,中间人攻击,信息泄露,运行日志,报警日志,巡检记录,综合分析,设备监控,攻击监控病毒监控,综合分析,设备巡检,2.5.2网络安全的监控,恶意代码,非法访问,主机故障,互联网服务器,内网服务器,办公网计算机,办公用户使用的个人计算机,内网的应用服务器和数据库服务器,向互联网提供服务的网站、邮件等服务器,网络防病毒,网络防病毒,网络防病毒,主机核心防护,主机核心防护,服务器冗余,服务器冗余,2.5.3主机安全的威胁及防护,用户,数据库,应用服务器,1,2,3,4,访问请求,查询数据库,返回查询结果,返回请求内容,非授权访问,通信窃听,漏洞攻击,非法操作,攻击应用,攻击数据库,窃听通信数据,CA认证系统,应用安全加固,数据传输加密,2.5.4应用安全的威胁及防护,数据处理端,数据存储端,数据传输线路,数据传输被窃听、破坏,数据存储被窃取、破坏,数据传输加密,数据存储加密,2.5.5数据安全的威胁及防护,信息安全技术纵深防御,37,2.6总体防护策略,分区分域结构划分，形成“纵深防御体系”。基于“一个中心、三重防护”的设计思路，从计算环境、区域边界、网络通信和统一安全监控管理等几方面设计。重点以等级保护3级为防护要求基线，部分防护环节根据威胁和脆弱程度会适当高于或低于等级保护3级基本要求。,38,38,2.7基础安全防护体系,39,安全产品,安全目标,2.6信息安全技术产品,大纲,41,41,3.1ISO7498.2安全架构三维体系结构图,42,三级：73个控制点290控制项,参考,安全产品对照（参考）,3.1安全产品对照,43,参考,安全产品对照（参考）,3.1安全产品对照,44,3.2基础安全防护结构中的安全产品,45,45,1、VPN13、WAF2、防火墙（FW）14、抗DDOS3、防毒墙4、安全审计类5、入侵检测系统（IDS）6、入侵防御系统（IPS）7、UTM8、漏洞扫描设备9、认证系统10、运维审计、安全管理平台（SOC）11、网闸12、终端安全管理,常用安全产品介绍,46,VPN的作用：取缔专用网络，通过TCP/IP分组交换方式传递数据，连接连接隧道，进而保证数据传输的安全性和完整性。VPN的基本功能：加密数据信息认证和身份认证提供访问控制VPN的分类：按协议层次：二层VPN，三层VPN、四层VPN和应用层VPN；按应用范围：远程访问VPN、内联网VPN和外联网VPN按体系结构：网关到网关VPN、主机到网关VPN和主机到主机VPN常见的VPN：IPSecVPN和SSLVPN,VPN,47,防火墙的作用：在网络间（内部/外部网络、不同信息级别）提供安全连接的设备；用于实现和执行网络之间通信的安全策略防火墙的功能：控制进出网络的信息流向和数据包，过滤不安全的服务；隐藏内部IP地址及网络结构的细节；提供使用和流量的日志和审计功能；部署NAT（NetworkAddressTranslation，网络地址转换）；逻辑隔离内部网段，对外提供WEB和FTP；实现集中的安全管理；提供VPN功能。防火墙的分类：软件防火墙、硬件防火墙防火墙的发展：包过滤、应用代理、状态检测,防火墙（FW）,48,防火墙的弱点和局限性：防火墙防外不防内；防火墙难于管理和配置，易造成安全漏洞；很难为用户在防火墙内外提供一致的安全策略；防火墙只实现了粗粒度的访问控制；对于某些攻击防火墙也无能为力。选择防火墙需考虑的要素：形态性能适用性可管理性完善及时的售后服务体系,防火墙,49,病毒方面我们面临的威胁：根据国际著名病毒研究机构ICSA（国际计算机安全联盟，InternationalComputerSecurityAssociation）的统计，目前通过磁盘传播的病毒仅占7%，剩下93%的病毒来自网络，其中包括Email、网页、QQ和MSN等传播渠道。防毒墙的作用：识别和阻断各类病毒攻击。网络版杀毒软件的局限性：1、操作系统本身的稳定性以及是否存在漏洞都对网络版杀毒软件的使用有一定影响；2、它并不能对网络病毒进行有效防护。防毒墙：网络版杀毒软件+防火墙：,防毒墙,50,计算机网络安全审计（Audit）是指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为或改善系统性能的过程。也是审查评估系统安全风险并采取相应措施的一个过程。主要作用和目的：（1）对可能存在的潜在攻击者起到威慑和警示作用，核心是风险评估。（2）测试系统的控制情况，及时进行调整，保证与安全策略和操作规程协调一致。（3）对已出现的破坏事件，做出评估并提供有效的灾难恢复和追究责任的依据。（4）对系统控制、安全策略与规程中的变更进行评价和反馈，以便修订决策和部署。（5）协助系统管理员及时发现网络系统入侵或潜在的系统漏洞及隐患。,安全审计技术,51,根据对象类型：1）系统级审计系统级审计主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。典型的系统级审计日志还包括部分与安全无关的信息，如系统操作、费用记账和网络性能。这类审计却无法跟踪和记录应用事件，也无法提供足够的细节信息。2）应用级审计应用级审计主要针对的是应用程序的活动信息，如打开和关闭数据文件，读取、编辑、删除记录或字段的等特定操作，以及打印报告等。3）用户级审计用户级审计主要是审计用户的操作活动信息，如用户直接启动的所有命令，用户所有的鉴别和认证操作，用户所访问的文件和资源等信息。,安全审计,52,产品分类：1、上网行为审计2、主机审计3、数据库审计等,安全审计,53,入侵检测系统的作用：克服某些传统的防御机制的限制；在“深度防御”的基础上成为安全框架的一部分；在整个组织的网络中能够识别入侵或违反安全策略的行为，并能够做出回应。入侵检测系统的功能：自动检测入侵行为；监视网络流量（NetworkIDS)和主机(HostIDS)中的操作；分析入侵行为：基于特征、基本异常按预定的规则做出响应：阻止指定的行为。入侵检测系统的分类：按检测方法：异常检测、特征检测按地点：基于主机、基于网络、基于网络节点按比较/分类方法：基于规则、统计分析、神经网络、模式匹配、状态转换分析,入侵检测系统（IDS）,54,选择IDS需考虑的要素：Porras等给出了评价入侵检测系统性能的三个因素：准确性（Accuracy）处理性能（Performance）完备性（Completeness）Debar等增加了两个性能评价测度容错性（FaultTolerance）及时性（Timeliness）,入侵检测技术,55,IPS的定义：是一种集入侵检测和防御于一体的安全产品。简单地理解，可认为IPS就是防火墙加上入侵检测系统。入侵防御系统的功能：识别对网络和主机的恶意攻击，并实时进行阻断；向管理控制台发送日志信息；集成病毒过滤、带宽管理和URL过滤等功能；IPS与IDS的区别：IPS采用In-line的透明模式接入网络，IDS并联在网络中，接入交换机的接口需要做镜像；IDS是一种检测技术，而IPS是一种阻断技术，只不过后者阻断攻击的依据是检测；,入侵防御系统（IPS）,56,UTM（UnitedThreatManagement）意为统一威胁管理，是在2004年9月由IDC提出的信息安全概念。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中，该概念引起了业界的广泛重视，并推动了以整合式安全设备为代表的市场细分的诞生。UTM的功能：传统的防火墙功能；入侵防御（IPS）功能；防病毒功能；端到端的IPSecVPN功能；动态路由功能；内容过滤功能。缺点：网关集中防御对内部安全防护不足过度集成带来的风险性能和稳定性,UTM（统一威胁管理系统）,57,漏洞的初步分类：A、按漏洞可能对系统造成的直接威胁：远程管理员权限、本地管理员权限、普通用户访问权限、权限提升、读取受限文件、远程拒绝服务、本地拒绝服务、远程非授权文件存取、口令恢复、欺骗、服务器信息泄露等B、按漏洞的成因：输入验证错误、访问验证错误、竞争条件、意外情况处置错误、设计错误、配置错误、环境错误C、对漏洞严重性的分级：低、中、高D、对漏洞被利用方式的分类：物理接触、主机模式、客户机模式漏洞扫描设备，将被动攻击，提升到了主动防御的阶段，更多体现了人在信息安全建设中的作用。相对需要高技术人员，才能准确解析并做出合理的处置判断。,漏洞扫描设备,58,关键技术：公钥基础设施（PublicKeyInfrastructure-PKI）技术是以公开密钥密码技术为基础构建的信息安全基础设施，PKI以数字证书为手段，结合现代密码技术理论，将用户、部门、设备标识、公钥、私钥签名等信息组织在一起，并通过自动管理密钥和证书，为用户创建一个安全、可信的网络运行环境。它可以是用户在不同的网络应用环境下方便地使用密码技术来完成身份认证和数字签名等操作，进而保护所传输信息的安全性。PKI作为一种安全基础信任结构，提供多种安全服务：认证服务、数据完整性服务、数据保密性服务、不可否认性服务、公正服务等。,认证系统,59,产品原型功能：以PKI技术为基础的安全认证体系主要功能是实现数字证书生命周期的管理。安全认证体系主要包括：证书签发中心（CA）、证书注册审核中心（RA）、密钥管理中心（KMC）、证书在线状态验证系统（OCSP）、时间戳（TSA）、目录服务（LDAP）等。证书签发模块（CA）：主要负责数字证书生命周期管理；密钥管理模块（KMC）：主要对用户加密密钥的生命周期实施管理，主要包括密钥的产生、密钥的存储、密钥的归档等，并在需要时提供相关的司法取证功能。注册审核模块（RA）：属于证书签发模块向用户提供证书服务的窗口，为人员提供证书申请、下载、注销、更新等各项业务的服务。时间戳服务模块（TSA）：基于国家权威时间源和数字签名技术，为业务系统提供精确可信的时间戳，保证处理数据在某一时间（之前）的存在性及相关操作的相对时间顺序，为业务处理的不可抵赖性和可审计性提供有效支持。证书在线状态查询模块（OCSP）：主要为业务系统提供实时的、在线的证书状态查询服务。目录服务模块：主要负责数字证书和黑名单的存储和发布，并根据策略将相关信息发布到对应的下级目录服务节点上，是整个PKI基础设施建设的基础支撑性部件。,认证系统,60,概念：SOC（SecurityOperationsCenter）是一个外来词。而在国外，SOC这个词则来自于NOC（NetworkOperationCenter，即网络运行中心）。NOC强调对客户网络进行集中化、全方位的监控、分析与响应，实现体系化的网络运行维护。维基百科也只有基本的介绍：SOC（SecurityOperationsCenter）是组织中的一个集中单元，在整个组织和技术的高度处理各类安全问题。一般地，SOC被定义为：以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。本质上，SOC不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还有运维（运营），SOC是技术、流程和人的有机结合。,运维审计-安全管理平台（SOC）,61,功能：收集各种防火墙、IDS、IPS等网络设备的信息；对安全事件进行收集、过滤、合并和查询；分析可能存在的风险，发出告警信息；SOC2.0：SOC2.0是一个以业务为核心的、一体化的安全管理系统。SOC2.0从业务出发，通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节，采用主动、被动相结合的方法采集来自企业和组织中构成业务系统的各种IT资源的安全信息，从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。SOC2.0以业务为核心，贯穿了信息安全管理系统建设生命周期从调研、部署、实施到运维的各个阶段。,运维审计-安全管理平台（SOC）,62,定义：网闸（GAP）全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。组成：安全隔离网闸是由软件和硬件组成。隔离网闸分为两种架构，一种为双主机的2+1结构，另一种为三主机的三系统结构。2+1的安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离安全数据交换单元。安全数据交换单元不同时与内外网处理单元连接，为2+1的主机架构。隔离网闸采用SU-Gap安全隔离技术，创建一个内、外网物理断开的环境。三系统的安全隔离网闸的硬件也由三部分组成：外部处理单元（外端机）、内部处理单元（内端机）、仲裁处理单元（仲裁机），各单元之间采用了隔离安全数据交换单元。,网闸（GAP）,63,网闸对请求数据进行合法性检查，剥离原有协议成裸数据，进行内容检查，然后重组,对收到外网的数据进行病毒检查、解析、过滤和重组等处理,网闸将重组的数据还原为标准通讯协议，回传到内网,将重组的数据还原为标准通讯协议，向外网发送,专用隔离硬件、专用通讯协议,专用隔离硬件、专用通讯协议,网闸（GAP）的工作流程,64,网闸（GAP）应用数据处理流程,65,性能指标：1、系统数据交换速率：小于等于120Mbps2、硬件切换时间：小于等于5ms主要功能：1、安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证；2、防止未知和已知木马攻击；3、具有防病毒措施。,网闸（GAP）的性能和功能指标,66,Web应用防护系统（也称：网站应用级入侵防御系统。英文：WebApplicationFirewall，简称：WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。,Web应用防护系统(WAF),67,分布式拒绝服务攻击防护系统,DDOS即分布式拒绝服务攻击。分布式拒绝服务(DDoS:DistributedDenialofService)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主