精华内容
下载资源
问答
  • 网络安全设备概念的熟悉学习

    万次阅读 多人点赞 2018-05-07 18:28:57
    与传统防火墙的区别 WAF不是全能的 入侵检测系统(IDS) 什么是IDS? 跟防火墙的比较 部署位置选择 主要组成部分 主要任务 工作流程 缺点 入侵预防系统(IPS) 什么是入侵预防系统 为什么在存在传统防火墙IDS...

    什么是网络安全?

    大多数情况下,当你结束一天的工作离开办公室时,你会打开警报系统并且锁好门以便保护办公室及设备。此外,你还可能拥有一个安全或带锁的文件柜并且用它来存放公司机密文件。
    同样,计算机网络也需要这样的保护。
    网络安全技术保护的的网络免受他人盗窃和滥用公司机密信息,同时阻止互联网病毒及蠕虫的恶意攻击。如果没有网络安全技术,公司将面临未经授权的入侵、网络停机、服务中断、违反法律法规甚至法律诉讼等风险。

    网络安全技术有哪些?

    网络安全并不依赖一种方法,而是通过整套设置以不同的方法来保护你的企业。即使一个解决方案失败了,还有其它方案支持,确保公司和数据不受多种网络攻击的威胁。
    下面涉及到的常见网络安全设备有WAF、IDS、IPS、SOC、SIEM、漏洞扫描器、统一威胁管理(UTM)、抗DDOS产品、虚拟专用网(VPN)、上网行为管理软件、主机安全、数据库审计等。


    Web应用防火墙(WAF)

    为什么需要WAF?

    WAF(web application firewall)的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗,并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。

    什么是WAF?

    WAF是一种基础的安全保护模块,通过特征提取和分块检索技术进行特征匹配,主要针对 HTTP访问的Web程序保护。
    WAF部署在Web应用程序前面,在用户请求到达 Web 服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。
    通过检查HTTP流量,可以防止源自Web应用程序的安全漏洞(如SQL注入,跨站脚本(XSS),文件包含和安全配置错误)的攻击。

    与传统防火墙的区别

    WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙则充当服务器之间的安全门。

    WAF不是全能的

    WAF不是一个最终的安全解决方案,而是它们要与其他网络周边安全解决方案(如网络防火墙和入侵防御系统)一起使用,以提供全面的防御策略。


    入侵检测系统(IDS)

    什么是IDS?

    IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性完整性可用性

    跟防火墙的比较

    假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
    不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。

    部署位置选择

    因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,”所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:

    • 尽可能靠近攻击源 ;
    • 尽可能靠近受保护资源 。

    这些位置通常是:

    • 服务器区域的交换机上 ;
    • Internet接入路由器之后的第一台交换机上 ;
    • 重点保护网段的局域网交换机上 。

    防火墙和IDS可以分开操作,IDS是个临控系统,可以自行选择合适的,或是符合需求的,比如发现规则或监控不完善,可以更改设置及规则,或是重新设置!

    主要组成部分

    • 事件产生器,从计算环境中获得事件,并向系统的其他部分提供此事件;
    • 事件分析器,分析数据;
    • 响应单元,发出警报或采取主动反应措施;
    • 事件数据库,存放各种数据。

    主要任务

    主要任务包括:

    • 监视、分析用户及系统活动;
    • 审计系统构造和弱点;
    • 识别、反映已知进攻的活动模式,向相关人士报警;
    • 统计分析异常行为模式;
    • 评估重要系统和数据文件的完整性;
    • 审计、跟踪管理操作系统,识别用户违反安全策略的行为。

    工作流程

    • (1)信息收集
      信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。
    • (2)数据分析
      数据分析是入侵检测的核心。它首先构建分析器,把收集到的信息经过预处理,建立一个行为分析引擎或模型,然后向模型中植入时间数据,在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。前两种方法用于实时入侵检测,而完整性分析则用于事后分析。可用5种统计模型进行数据分析:操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计分析的最大优点是可以学习用户的使用习惯。
    • (3)实时记录、报警或有限度反击
      入侵检测系统在发现入侵后会及时作出响应,包括切断网络连接、记录事件和报警等。响应一般分为主动响应(阻止攻击或影响进而改变攻击的进程)和被动响应(报告和记录所检测出的问题)两种类型。主动响应由用户驱动或系统本身自动执行,可对入侵者采取行动(如断开连接)、修正系统环境或收集有用信息;被动响应则包括告警和通知、简单网络管理协议(SNMP)陷阱和插件等。另外,还可以按策略配置响应,可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。

    缺点

    • (1)误报、漏报率高
    • (2)没有主动防御能力
    • (3)不能解析加密数据流

    入侵预防系统(IPS)

    什么是入侵预防系统

    入侵预防系统(英语:Intrusion Prevention System,缩写为IPS),又称为入侵侦测与预防系统(intrusion detection and prevention systems,缩写为IDPS),是计算机网络安全设施,是对防病毒软件(Antivirus Softwares)和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。

    为什么在存在传统防火墙和IDS时,还会出现IPS?

    虽然防火墙可以根据英特网地址(IP-Addresses)或服务端口(Ports)过滤数据包。但是,它对于利用合法网址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。
    在ISO/OSI网络层次模型(见OSI模型)中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵检测系统投入使用。入侵侦查系统在发现异常情况后及时向网络安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵反应系统(IRS: Intrusion Response Systems)作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。

    IPS如何工作

    入侵预防系统专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网络传输层的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、操作系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
    应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据(forensic)。

    入侵预防技术

    • 异常侦查。正如入侵侦查系统,入侵预防系统知道正常数据以及数据之间关系的通常的样子,可以对照识别异常。
    • 在遇到动态代码(ActiveX,JavaApplet,各种指令语言script languages等等)时,先把它们放在沙盘内,观察其行为动向,如果发现有可疑情况,则停止传输,禁止执行。
    • 有些入侵预防系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网络内部的有害代码实行有效阻止。
    • 内核基础上的防护机制。用户程序通过系统指令享用资源(如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。
    • 对Library、Registry、重要文件和重要的文件夹进行防守和保护。

    与IDS相比,IPS的优势

    • 同时具备检测和防御功能IPS 不仅能检测攻击还能阻止攻击, 做到检测和防御兼顾,而且是在入口处就开始检测, 而不是等到进入内部网络后再检测,这样,检测效率和内网的安全性都大大提高。
    • 可检测到IDS检测不到的攻击行为IPS是在应用层的内容检测基础上加上主动响应和过滤功能, 弥补了传统的防火墙+IDS 方案不能完成更多内容检查的不足, 填补了网络安全产品基于内容的安全检查的空白。
    • IPS是一种失效既阻断机制当IPS被攻击失效后, 它会阻断网络连接, 就像防火墙一样, 使被保护资源与外界隔断。

    安全运营中心(SOC)

    什么是安全运营中心?

    SOC,全称是Security Operations Center,是一个以IT资产为基础,以业务信息系统为核心,以客户体验为指引,从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台,使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化,最终实现业务信息系统的持续安全运营。
    本质上,SOC不是一款单纯的产品,而是一个复杂的系统,他既有产品,又有服务,还有运维(运营),SOC是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台,这是SOC产品的价值所在。

    为什么会出现SOC?

    过去我们都让安全专家来管理各种类型的防火墙、IDS和诸如此类的安全措施,这主要是因为安全问题一般都发生在网络中非常具体的某个地点。但是,现在的情况已经变化,安全问题已经不再像当年那么简单。安全是一个动态的过程,因为敌方攻击手段在变,攻击方法在变,漏洞不断出现;我方业务在变,软件在变,人员在变,妄图通过一个系统、一个方案解决所有的问题是不现实的,也是不可能的,安全需要不断地运营、持续地优化。安全措施应当被实施在应用层、网络层和存储层上。它已经成为您的端对端应用服务中的一部分,与网络性能的地位非常接近。
    安全管理平台在未来安全建设中的地位尤其重要,它能够站在管理者的角度去‘俯瞰’整个安全体系建设,对其中每一层产品都可以进行全面、集中、统一的监测、调度和指挥控制。可以说,未来的态势感知的根基就是安全管理平台。

    主要功能(以venustech公司的soc产品为例)

    • 面向业务的统一安全管理
      系统内置业务建模工具,用户可以构建业务拓扑,反映业务支撑系统的资产构成,并自动构建业务健康指标体系,从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度计算业务的健康度,协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。
    • 全面的日志采集
      可以通过多种方式来收集设备和业务系统的日志,例如Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、Web Service等等。
    • 智能化安全事件关联分析
      借助先进的智能事件关联分析引擎,系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统为安全分析师提供了三种事件关联分析技术,分别是:基于规则的关联分析、基于情境的关联分析和基于行为的关联分析,并提供了丰富的可视化安全事件分析视图,充分提升分析效率,结合威胁情报,更好的帮助安全分析师发现安全问题。
    • 全面的脆弱性管理
      系统实现与天镜漏扫、网御漏扫和绿盟漏扫系统的实时高效联动,内置安全配置核查功能,从技术和管理两个维度进行全面的资产和业务脆弱性管控。
    • 主动化的预警管理
      用户可以通过预警管理功能发布内部及外部的早期预警信息,并与网络中的IP资产进行关联,分析出可能受影响的资产,提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。系统支持内部预警和外部预警;预警类型包括安全通告、攻击预警、漏洞预警和病毒预警等;预警信息包括预备预警、正式预警和归档预警三个状态。
    • 主动化的网络威胁情报利用
      系统提供主动化的威胁情报采集,通过采集实时威胁情报,结合规则关联和观察列表等分析方式,使安全管理人员及时发现来自已发现的外部攻击源的威胁。
    • 基于风险矩阵的量化安全风险评估
      系统参照GB/T 20984-2007信息安全风险评估规范、ISO 27005:2008信息安全风险管理,以及OWASP威胁建模项目中风险计算模型的要求,设计了一套实用化的风险计算模型,实现了量化的安全风险估算和评估。
    • 指标化宏观态势感知
      针对系统收集到的海量安全事件,系统借助地址熵分析、热点分析、威胁态势分析、KPI分析等数据挖掘技术,帮助管理员从宏观层面把握整体安全态势,对重大威胁进行识别、定位、预测和跟踪。
    • 多样的安全响应管理
      系统具备完善的响应管理功能,能够根据用户设定的各种触发条件,通过多种方式(例如邮件、短信、声音、SNMP Trap、即时消息、工单等)通知用户,并触发响应处理流程,直至跟踪到问题处理完毕,从而实现安全事件的闭环管理。
    • 丰富灵活的报表报告
      出具报表报告是安全管理平台的重要用途,系统内置了丰富的报表模板,包括统计报表、明细报表、综合审计报告,审计人员可以根据需要生成不同的报表。系统内置报表生成调度器,可以定时自动生成日报、周报、月报、季报、年报,并支持以邮件等方式自动投递,支持以PDF、Excel、Word等格式导出,支持打印。
      系统还内置了一套报表编辑器,用户可以自行设计报表,包括报表的页面版式、统计内容、显示风格等。
    • 流安全分析
      除了采集各类安全事件,系统还能够采集形如NetFlow的流量数据并进行可视化展示。针对采集来的NetFlow流量数据的分析,系统能够建立网络流量模型,通过泰合特有的基于流量基线的分析算法,发现网络异常行为。
    • 知识管理
      系统具有国内完善的安全管理知识库系统,内容涵盖安全事件库、安全策略库、安全公告库、预警信息库、漏洞库、关联规则库、处理预案库、案例库、报表库等,并提供定期或者不定期的知识库升级服务。
    • 用户管理
      系统采用三权分立的管理体制,默认设置了用户管理员、系统管理员、审计管理员分别管理。系统用户管理采用基于角色的访问控制策略,即依据对系统中角色行为来限制对资源的访问。
    • 自身系统管理
      实现了系统自身安全及维护管理。主要包括组织管理、系统数据库及功能组件运行状态监控、日志维护及其他一些与系统本身相关的运行维护的管理和配置功能。
    • 一体化的安全管控界面
      系统提供了强大的一体化安全管控功能界面,为不同层级的用户提供了多视角、多层次的管理视图。

    信息安全和事件管理(SIEM)

    SIEM,信息安全和事件管理,全称是security information and event management,由SEM和SIM两部分构成。

    什么是SIEM?

    SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录。
    SIEM技术最早是从日志管理发展起来的。它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应,与安全信息管理(SIM)——收集、分析并报告日志数据,结合了起来。

    SIEM的运作机制是什么?

    SIEM软件收集并聚合公司所有技术基础设施所产生的日志数据,数据来源从主机系统及应用,到防火墙及杀软过滤器之类网络和安全设备都有。
    收集到数据后,SIEM软件就开始识别并分类事件,对事件进行分析。该软件的主要目标有两个:

    1. 产出安全相关事件的报告,比如成功/失败的登录、恶意软件活动和其他可能的恶意活动。
    2. 如果分析表明某活动违反了预定义的规则集,有潜在的安全问题,就发出警报。

    除了传统的日志数据,很多SIEM技术还引入了威胁情报馈送,更有多种SIEM产品具备安全分析能力,不仅监视网络行为,还监测用户行为,可针对某动作是否恶意活动给出更多情报。
    如今,大型企业通常都将SIEM视为支撑安全运营中心(SOC)的基础。

    如何最大化SIEM的价值?

    首先,SIEM技术是资源密集型工具,需要经验丰富的人员来实现、维护和调整——这种员工不是所有企业都能完全投入的。(团队)
    想要最大化SIEM软件产出,就需要拥有高品质的数据。数据源越大,该工具产出越好,越能识别出异常值。(数据)

    软件的局限

    在检测可接受活动和合法潜在威胁上,SIEM并非完全准确,正是这种差异,导致了很多SIEM部署中出现了大量误报。该情况需要企业内有强力监管和有效规程,避免安全团队被警报过载拖垮。


    漏洞扫描器(Vulnerability Scanner)

    漏洞扫描是检查计算机或网络上可能利用的漏洞点,以识别安全漏洞。

    什么是漏洞扫描器?

    漏洞扫描器是一类自动检测本地或远程主机安全弱点的程序,它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。

    漏洞扫描器的工作原理

    工作原理是扫描器向目标计算机发送数据包,然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。

    漏洞扫描器的作用

    通过扫描器,提前探知到系统的漏洞,预先修复。

    分类

    • 端口扫描器(Port scanner )
      例如Nmap
    • 网络漏洞扫描器(Network vulnerability scanner )
      例如Nessus, Qualys, SAINT, OpenVAS, INFRA Security Scanner, Nexpose
    • Web应用安全扫描器(Web application security scanner)
      例如Nikto, Qualys, Sucuri, High-Tech Bridge, Burp Suite, OWASP ZAP, w3af。
    • 数据库安全扫描器(atabase security scanner)
    • 基于主机的漏洞扫描器(Host based vulnerability scanner )
      例如Lynis
    • ERP安全扫描器(ERP security scanner)
    • 单一漏洞测试(Single vulnerability tests)

    统一威胁管理(UTM)

    什么是UTM?

    统一威胁管理(UTM,Unified Threat Management),顾名思义,就是在单个硬件或软件上,提供多种安全功能。这跟传统的安全设备不同,传统的安全设备一般只解决一种问题。

    包含的功能

    基础功能:

    • 网络防火墙(Network Firewall)
    • 入侵检测(Intrusion Detection)
    • 入侵预防(Intrusion Prevention)

    可能会有的功能:

    • 防病毒网关(Gateway Anti-Virus)
    • 应用层防火墙和控制器(Application Layer Firewall and control)
    • 深度包检测(Deep packet inspection)
    • Web代理和内容过滤(Web Proxy & content filtering)
    • 数据丢失预防(DLP)
    • 安全信息和事件管理(SIEM)
    • 虚拟专用网络(VPN)
    • 网络沼泽(Network Tarpit)

    UTM的优势是什么?

    • UTM通过为管理员提供统一管理的方式,使得安全系统的管理人员可以集中管理他们的安全防御,而不需要拥有多个单一功能的设备,每个设备都需要人去熟悉、关注和支持;
    • 一体化方法简化了安装、配置和维护;
    • 与多个安全系统相比,节省了时间、金钱和人员。

    UTM的缺点是什么?

    • 单点故障
      虽然UTM提供了一个单一设备管理的简便性,但这引入了单点故障,一旦UTM设备出问题,整个安全防御会失效。
    • 内部防御薄弱
      由于UTM的设计原则违背了深度防御原则,虽然UTM在防御外部威胁非常有效,但面对内部威胁就无法发挥作用了。

    抗DDOS产品

    什么是DOS?什么是DDOS?

    拒绝服务攻击(denial-of-service attack,简称DoS attack、DoS)亦称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。
    当黑客使用网络上两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击时,称为分布式拒绝服务攻击(distributed denial-of-service attack,简称DDoS attack、DDoS)。

    攻击方式

    DDoS攻击可以具体分成两种形式:带宽消耗型以及资源消耗型。它们都是透过大量合法或伪造的请求占用大量网络以及器材资源,以达到瘫痪网络以及系统的目的。

    • 带宽消耗型攻击
      DDoS带宽消耗攻击可以分为两个不同的层次;洪泛攻击或放大攻击。洪泛攻击的特点是利用僵尸程序发送大量流量至受损的受害者系统,目的在于堵塞其带宽。放大攻击与其类似,是通过恶意放大流量限制受害者系统的带宽;其特点是利用僵尸程序通过伪造的源IP(即攻击目标IP)向某些存在漏洞的服务器发送请求,服务器在处理请求后向伪造的源IP发送应答,由于这些服务的特殊性导致应答包比请求包更长,因此使用少量的带宽就能使服务器发送大量的应答到目标主机上。
      攻击方式有:UDP洪水攻击(User Datagram Protocol floods)、ICMP洪水攻击(ICMP floods)、死亡之Ping(ping of death)、泪滴攻击。
    • 资源消耗型攻击
      通过攻击,将被攻击机器的系统内存和处理器资源耗尽。
      攻击方式有:协议分析攻击(SYN flood,SYN洪水)、LAND攻击、CC攻击(Distributed HTTP flood,分布式HTTP洪水攻击)、僵尸网络攻击、应用程序级洪水攻击(Application level floods)。

    抗DDOS产品的防御方式

    拒绝服务攻击的防御方式通常为入侵检测,流量过滤和多重验证,旨在堵塞网络带宽的流量将被过滤,而正常的流量可正常通过。

    • 扩大带宽
    • 流量清洗和封IP
    • CDN

    防火墙(Firewall)

    什么是防火墙

    在计算机科学领域中,防火墙(英文:Firewall)是一个架设在互联网与企业内网之间的信息安全系统,根据企业预定的策略来监控往来的传输。防火墙可能是一台专属的网络设备或是运行于主机上来检查各个网络接口上的网络传输。它是目前最重要的一种网络防护设备,从专业角度来说,防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件。

    功能

    防火墙最基本的功能就是隔离网络,通过将网络划分成不同的区域(通常情况下称为ZONE),制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。

    类型

    • 网络层(数据包过滤型)防火墙
      运作于TCP/IP协议堆栈上。管理者会先根据企业/组织的策略预先设置好数据包通过的规则或采用内置规则,只允许匹配规则的数据包通过。
    • 应用层防火墙
      应用层防火墙是在TCP/IP堆栈的“应用层”上运作,使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有数据包,并且封锁其他的数据包(通常是直接将数据包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进受保护的机器里。
    • 代理服务
      代理(Proxy)服务器(可以是一台专属的网络设备,或是在一般电脑上的一套软件)采用应用程序的运作方式,回应其所收到的数据包(例:连接要求)来实现防火墙的功能,而封锁/抛弃其他数据包。

    缺点

    正常状况下,所有互联网的数据包软件都应经过防火墙的过滤,这将造成网络交通的瓶颈。例如在攻击性数据包出现时,攻击者会不时寄出数据包,让防火墙疲于过滤数据包,而使一些合法数据包软件亦无法正常进出防火墙。


    虚拟专用网(VPN)

    什么是VPN?

    虚拟私人网络(英语:Virtual Private Network,缩写为VPN)是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构(例如:互联网)来传送内部网的网络讯息。它利用已加密的通道协议(Tunneling Protocol)来达到保密、发送端认证、消息准确性等私人消息安全效果。这种技术可以用不安全的网络(例如:互联网)来发送可靠、安全的消息。需要注意的是,加密消息与否是可以控制的。没有加密的虚拟专用网消息依然有被窃取的危险。


    上网行为管理

    什么是上网行为管理?

    上网行为管理,就是通过软件或硬件,控制用户访问网络的权限。功能包括行为管理、应用控制、流量管控、信息管控、非法热点管控、行为分析、无线网络管理等。


    云主机安全

    云服务商在云主机中部署自己的agent程序,做监控、管理和安全监测。

    功能

    • 木马查杀
      对各类恶意文件进行检测,包括各类 WebShell 后门和二进制木马,对检测出来的恶意文件进行访问控制和隔离操作,防止恶意文件的再次利用。
    • 密码破解拦截
      对密码恶意破解类行为进行检测和拦截, 共享全网恶意 IP 库,自动化实施拦截策略。
    • 登录行为审计
      根据登录流水数据,识别常用的登录区域,对可疑的登录行为提供实时告警通知。
    • 漏洞管理
      对主机上存在的高危漏洞风险进行实时预警和提供修复方案,包括系统漏洞、web 类漏洞,帮助企业快速应对漏洞风险。
    • 资产管理
      支持对机器进行分组标签管理,基于组件识别技术,快速掌握服务器中软件、进程、端口的分布情况。

    数据库审计(DBAudit)

    数据库审计服务,是为了保证单位或者个人核心数据的安全,可针对数据库SQL注入、风险操作等数据库风险操作行为进行记录与告警。

    功能

    • 用户行为发现审计
      关联应用层和数据库层的访问操作
      可溯源到应用者的身份和行为
    • 多维度线索分析
      风险和危害线索:高中低的风险等级、SQL注入、黑名单语句、违反授权策略的SQL行为
      会话线索:根据时间、用户、IP、应用程序、和客户端多角度分析
      详细语句线索:提供用户、IP、客户端工具、访问时间、操作对象、SQL操作类型、成功与否、访问时长、影响行数等多种检索条件
    • 异常操作、SQL注入、黑白名单实时告警
      异常操作风险:通过IP、用户、数据库客户端工具、时间、敏感对象、返回行数、系统对象、高危操作等多种元素细粒度定义要求监控的风险访问行为
      SQL注入:系统提供了系统性的SQL注入库,以及基于正则表达式或语法抽象的SQL注入描述,发现异常立即告警
      黑白名单:提供准确而抽象的方式,对系统中的特定访问SQL语句进行描述,使这些SQL语句出现时能够迅速报警
    • 针对各种异常行为的精细化报表
      会话行为:登录失败报表、会话分析报表
      SQL行为:新型SQL报表、SQL语句执行历史报表、失败SQL报表
      风险行为:告警报表、通知报表、SQL注入报表、批量数据访问行为报表
      政策性报表: 塞班斯报表

    参考

    1.Web application firewall
    2.各大网络安全厂商(天融信、启明、绿盟、网域、深信服等)的硬件设备优劣之处是?
    3.什么是网络安全?
    4.常见网络安全设备
    5.IDS
    6.什么是IDS?
    7.什么是IDS入侵检测,入侵检测的概念
    8.IPS
    9.IPS
    10.IDS与IPS功能分析
    11.安全运营(SOC)概述
    12.十年沉静发力 启明星辰SOC平台入围Gartner SIEM魔力象限
    13.安全管理平台(SOC)
    14.SIEM是什么?它是怎么运作的?又该如何选择正确的工具?
    15.Vulnerability scanner
    16.http://netsecurity.51cto.com/art/200710/59018_all.htm
    17.Unified Threat Management
    18.拒绝服务攻击
    19防火墙
    20.VPN
    21.主机安全(云镜)
    22.数据库审计

    展开全文
  • CCSK云安全认证-M2-云基础设施安全

    万次阅读 多人点赞 2020-03-05 11:54:28
    CCSK云安全认证-M2-云基础设施安全


    一.云基础设施概述

    在云计算中,基础设施有两个大层面

    • 汇聚在一起用来构建云的基础资源,这层用于构建云资源池的原始的,物理的和逻辑的计算(处理器,内存等),网络和存储资源

    • 由云用户管理的虚拟/抽象的基础设施,例如各个云平台中的服务器基础设施等,这层是从资源池中使用的计算、网络和存储资产,例如,由云用户定义和管理的虚拟网络的安全性

    二.保护虚拟网络

    2.1 云网络虚拟化

    每一个云厂商利用某种形式的虚拟网络来抽象物理网络并创建网络资源池,华为云/腾讯云/亚马逊/AWS/阿里云都具有相关专业网络VPC的

    如果作为云提供商或者私有云管理者,出于操作和安全的原因,将云的网络进行物理隔离是非常重要的

    2.2 云计算中常见的网络虚拟化
    • VLAN (虚拟局域网)
      利用现有的网络技术在大多数网络硬件实现,但其本身并不适用大规模虚拟化或者安全性,不应该作为一个网络隔离的有效的安全控制手段来考虑

    • SDN (软件定义网络)
      在顶部的一个更完整的网络硬件抽象层,SDN将网络控制平面从数据平面解耦,使得用户摆脱传统局域网的局限性,对网络进行抽象

    • SDN特点:
      1.提供有效的安全隔离边界
      2.提供软件定义的任意IP范围
      3.更好的扩展现有的网络
      4.SDN的安全优势
      5.隔离更容易,不受物理硬件的限制,构建出尽可能多的隔离网络
      6.SDN防火墙(安全组)可用于比基本硬件的防火墙更灵活标准的资产,不受物理拓扑限制
      7.与云平台的编排层相结合,使用传统的硬件或基于主机的方法,可以使用较 少的管理开销实现非常动态和粒度化的组合和策略
      8. 默认拒绝通常是起点

    2.3 微分段和软件定义的边界
    • 微分段

      微分段利用虚拟网络拓扑来运行更多、更小, 更加孤立的网络,而不用增加额外的硬件成本
      利用此功能,如果攻击者破坏单个系统,这将大 大降低爆炸半径。攻击者不能再利用此立足点扩展整个数据中心

    • 软件定义的边界

      云安全联盟软件定义边界工作组开发了 一种模型和规范,它结合了设备和用户身份验证,动态地提供对资源的网络访问和增强安全性

    • SDP三个组件

      1.连接资产的 SDP 客户机
      2.SDP 控制器,用于验证和授权 SDP 客户机并配置与 SDP 网关的连接
      3.SDP 网关,终止 SDP 客户机网络流量,在与 SDP 控制器通信时强制执行策略。

    2.4 监控和过滤

    如果两个虚拟机位于相同的物理机器上,则没有理由将机箱内的网络流量路由到网络之上,他们可以直接通讯,并且在网络上(或附加在路由器/交换机硬件)的监控和过滤 工具永远看不到流量。
    解决办法:
    (1)可以将流量路由到同一硬件(包含网络安全产品的虚拟机版本)上 的虚拟网络监控或过滤工具。
    (2)将流量桥接道网络,或路由到相同虚拟网络的 网络设施上

    云平台/提供商可能不支持直接访问网络监控。由于复杂性和成本,公有云提供商 很少允许客户进行全面数据包网络监控

    2.5 提供者 & 消费者的责任
    • 云提供商责任
      云提供商要负责建立安全的网络基础设施并正确配置。隔离和独立网络流量, 以防止租户访问其他用户的流量,这是绝对最高优先级的安全性。这是任何多租户网 络最基础的安全控制。

    • 云用户责任
      云消费者主要负责合理配置虚拟网络的部署,尤其是虚拟防火墙。云消费者负责管理器暴露控制正确权限管理及配置。当虚拟防火墙和/ 或监控不满足安全需求时,云消费者可能需要用虚拟安全设备或主机安全代理进行补偿

    2.6云提供商或私有云的其他注意事项
    • 云提供商
      供应商必须维护物理/传统网络的核心安全性,平台在其之上构建。
      保持多租户环境的分区和隔离是绝对必要的。
      供应商必须向云用户暴露安全控制措施,以便他们能够正确配置和管理其网络 安全性。
      负责实现保护环境的边界安全,但最大限度地减少对客户负 载的影响
      确保当实例被释放回到虚拟机管理程序时,任何潜在的敏感信息是被擦除了,以确保当磁盘空间被重新分配后信息不能够被另一个客户读取

    三. 云计算与负载安全

    负载概念
    负载作为一个处理单元,可以在虚拟机、容器或者其他的抽象中。负载始终运行 在处理器上并占用内存。
    对于云提供商来说,维持每一个运行在硬件栈上的云负载及其硬件的完整性都是 非常关键的

    3.1 计算抽象类型

    计算抽象类型,每一个都有不同程度的隔离性

    • 虚拟机
      虚拟机是最广为人知的计算抽象形式,所有的 IaaS 提供商都可以提供。
      威胁挑战:虚拟机有遭到内存攻击的可能性,但由于软硬件的不断改进使得隔离逐步加强, 现在变得越来越难。在现在的 hypervisor 上运行的虚拟机通常受到了有效的安全 控制,并且针对虚拟机和安全运行环境的硬件隔离不断增强也将会不断提升这些 控制能力。

    • 容器
      容器是运行在操作系统上的代码执行环境(目前),共享并充分利用操作 系统的资源。
      威胁挑战:容器提供了 一个受限的代码运行环境,只允许代码访问容器的配置定义的进程和功能。由于 容器的平台依赖性,其隔离功能不会与平台产生差异。容器也随着不同的管理系 统、底层操作系统和容器技术而快速发展。

    • 基于平台的负载
      基于平台的负载是一个更加复杂的类别,其运行在除虚拟机和容器之外的共享的平台上,如运行在共享数据库平台上的逻辑/过程。
      威胁挑战:平台提供商需要对其隔离性和安全性负全部责任,尽管提供商可能 公开某些安全选项和控件。

    • 无服务器计算
      无服务器是一个广泛的类别,主要是指云用户不需要管理任何底 层硬件或虚拟机的场景,只需要访问公开的功能。
      威胁挑战: 从安全角度上看,无服务器只不过是一个包含容器和基于平台 负载的组合项,由云提供商管理所有的底层,包括基础的安全功能和控制项。

    3.2 云对负载安全的改变

    所有的处理器和内存几乎都始终要运行多个负载,负载经常来自不同的租户。多 个租户很可能共享同一个物理计算节点,不同的物理栈上会有一系列的隔离能力。维持负载的隔离应该是云提供商的首要的责任之一。
    尽管有的平台支持指定负载运行在特定的硬件池或通用位置来提供可用性、合规性和其他需求,但是不管使用哪种部署模型,云用户都很少能够控制负载的物理的运 行位置。

    3.3 负载安全监控和日志的变化
    • 安全日志/监控在云计算中更加复杂
    • 日志中的IP地址并并一定反应一个特定的工作流,因为多个虚拟机可能在一段时间内共享相同的IP地址,而一切负载,如容器和无服务器负载可能根本没有可识别的IP地址
    • 云具有更快的变化速度,日志也需要在外部更快地被卸载和收集。
    • 日志的机构需要考虑云存储和网络消耗

    四. 管理平面安全

    • 管理平台安全
      管理平面是传统基础架构和云计算之间唯一最重大的安全差异
      管理平面控制和配置元结构,也是元结构本身的一部分,相当于管理平台及配置API,也都是API应用程序的一部分
      云管理平面负责管理资源池中的资产,云消费者负责配置他们的资产和部署到云端的资产

    • 访问管理平面
      管理平台通常是通过 API 和 Web 控制台来实现。应用程序接口允许对云的可编 程式管理。它们是将云的组件保持在一起并实现其编排的粘合剂。

    • 保障管理平面的安全(安全建议)

    • 确保 API 网关和 Web 控制台具有足够的外围安全性

    • 使用强认证和多因素认证

    • 严格控制主账户持有人/root 账户凭证并考虑双重授权访问

    • 与您的提供者建立多个账户将有助于账户粒度和限制危害范围(使用 IaaS 和 PaaS)

    • 使用独立的超管和日常管理员账户,而不是 root/主账户持有人的凭据。

    • 坚持使用最小特权账户访问元结构

    • 可能的情况下强制使用多因素身份验证

    五.业务连续性和容灾

    • 责任模型

      像安全和合规一样,业务连续性和灾难恢复(BC/DR)是双方共担的责任。云提 供方应管理其职责内的方面,云客户也应承担云服务如何使用和管理的最终责任。

    • 混沌工程
      混沌工程通常用于帮助构建弹性云部署,因为所有的云都是基于API的,所以混沌工程使用工具来选择性的降低云的某一部分,以持续性

    展开全文
  • 常见的网路安全设备及功能作用总结一、 WAF 应用防火墙二、IDS 入侵检测系统:三、IPS 入侵防御系统(入侵检测+入侵防御)四、SOC 安全运营中心五、SIEM 信息安全事件管理六、Vulnerability Scanner漏洞扫描器七、...

    1. WAF:Web应用防火墙 —应用层的攻击防护
    2. IDS:入侵检测系统 —
    3. IPS:入侵防御系统
    4. SOC:安全运营中心
    5. SIEM:信息安全事件管理
    6. Vulnerability Scanner:漏洞扫描器
    7. UTM:统一威胁管理
    8. 抗DDOS产品
    9. FireWall:防火墙—上网行为管理软件,主机安全
    10. VPN:虚拟专用网络
    11. DBAudit:数据库审计
    一、 WAF 应用防火墙

    范围:应用层防护软件
    作用
    通过特征提取和分块检索技术进行模式匹配来达到过滤,分析,校验网络请求包的目的,在保证正常网络应用功能的同时,隔绝或者阻断无效或者非法的攻击请求
    可防:(源自应用程序的安全漏洞)
    SQL注入漏洞,跨站脚本XSS,文件包含和安全配置错误等漏洞
    特点
    区别与传统防火墙,可以防护特定的应用程序,传统防火墙只能在服务器之间作用
    缺点
    1) 特定的防护手段可以被绕过或者无效化,必须同攻击手段一起升级进步,否则将失去效用。
    2) 需要和入侵检测系统等安全设备联合使用,且防护程度和网络的性能成反相关。

    二、IDS 入侵检测系统:

    范围:网络层防护软件
    作用:(识别攻击行为并且报警)
    积极主动的防护措施,按照一定的安全策略,通过软件,硬件对网络,系统的运行进行实时的监控,尽可能地发现网络攻击行为,积极主动的处理攻击,保证网络资源的机密性,完整性和可用性。
    特点
    1) 是一个积极主动的监听设备。
    2) 无需有流量经过,可以实时镜像流量过去给它分析监控就好。
    3) 不影响网络的性能。
    4) 部署位置尽可能靠近攻击源或者受保护资源(服务器区域交换机,互联网接入路由后第一个交换机,重点保护源交换机)
    缺点
    1) 误报率高
    2) 没有主动防御能力,仅仅是监控或者少量的反制能力
    3) 不能解析加密的数据流

    三、IPS 入侵防御系统(入侵检测+入侵防御)

    范围
    作用:(实时监控网络行为,中断或者调整隔离网络非法行为,比IDS具有防御能力)
    是计算机网络安全设施,是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。
    必要性
    传统防火墙作用在2-4层,对4层以上的防护作用很小(4层以上需要拆数据包,而拆数据包会影响速率),病毒软件工作在5-7层,这样中间4-5层属于空挡,所以IPS是作为病毒软件和防火墙的补充,作用在4-5层
    特点
    比IDS不仅可以防护还具有了反制,组织攻击的能力,防攻兼备
    缺点
    IPS的防护方式一般以阻断受保护源和外界的联系为主,这样带来的一个弊端就是,网络资源被保护了,但是同时该网络资源的对外提供的服务也被阻断了或者削弱了,这就导致了一种敌我两伤的局面,而有些服务一旦停止,对运营者来说将是一笔不小的损失。

    四、SOC 安全运营中心

    作用:(不是一个防护产品,而是一个防护系统)
    SOC,全称是Security Operations Center,是一个以IT资产为基础,以业务信息系统为核心,以客户体验为指引,从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台,使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化,最终实现业务信息系统的持续安全运营
    特点
    既有产品又有服务,需要运营,流程以及人工的有机结合,是一个综合的技术支持平台。他将安全看成一个动态的过程(敌人的攻击手段在变,漏洞在更新,我方的防火手段,业务产品,人员调度等都在变动,没有一个系统可以一劳永逸的抵御所有攻击,只有“魔”,“道”维持一个相对的平衡才是安全)态势感知的根基就是安全运营中心
    态势感知
    态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。

    态势感知特点:(大数据成为态势感知的主要驱动力,足够的数据分析)
    检测:提供网络安全持续监控能力,及时发现各种攻击威胁与异常,特别是针对性攻击。
    分析、响应:建立威胁可视化及分析能力,对威胁的影响范围、攻击路径、目的、手段进行快速研判,目的是有效的安全决策和响应。
    预测、预防:建立风险通报和威胁预警机制,全面掌握攻击者目的、技战术、攻击工具等信息。
    防御:利用掌握的攻击者相关目的、技战术、攻击工具等情报,完善防御体系。

    五、SIEM 信息安全和事件管理

    SIEM=SEM+SIM
    SEM(安全事件管理)
    SIM(安全信息管理)
    SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录
    SIEM技术最早是从日志管理发展起来的。它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应,与安全信息管理(SIM)——收集、分析并报告日志数据,结合了起来。(从各种安全设备,主机日志等收集数据,然后分析这些数据)
    SIEM目前被视为是SOC安全运营中心的基础(大数据—SIEM审计分析—驱动安全运营中心)
    缺点
    对数据的检测并非完全准确,存在大量的误报,需要高质量的大量数据支持

    六、Vulnerability Scanner漏洞扫描器

    作用
    检查计算机或者网络上可能存在的漏洞点,脆弱点等。它是一类自动检测本地或远程主机安全弱点的程序,能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。
    原理
    根据漏洞库,发送数据包检测目标是否具有漏洞库中的漏洞,通过对方的反馈来判断漏洞,系统,端口和服务等等
    意义
    提前发现漏洞,预先修复,减少漏洞造成的损失
    分类
    端口扫描器(Port scanner )
    例如Nmap
    网络漏洞扫描器(Network vulnerability scanner )
    例如Nessus, Qualys, SAINT, OpenVAS, INFRA Security Scanner, Nexpose
    Web应用安全扫描器(Web application security scanner)
    例如Nikto, Qualys, Sucuri, High-Tech Bridge, Burp Suite, OWASP ZAP, w3af。
    数据库安全扫描器(atabase security scanner)
    基于主机的漏洞扫描器(Host based vulnerability scanner )
    例如Lynis
    ERP安全扫描器(ERP security scanner)
    单一漏洞测试(Single vulnerability tests)

    七、UTM 统一威胁管理

    定义
    统一威胁管理(UTM,Unified Threat Management),顾名思义,就是在单个硬件或软件上,提供多种安全功能。这跟传统的安全设备不同,传统的安全设备一般只解决一种问题。
    包含的功能:(待完善)
    1)网络防火墙(Network Firewall)
    2)入侵检测(Intrusion Detection)
    3)入侵预防(Intrusion Prevention)
    优势
    1) 统一的威胁管理,可以集中做安全防护,不需要拥有很多单一的安全设备,不需要每种设备都去考虑
    2) 大大简化了安装,配置和维护的成本
    3) 节省了网络资源的同时也节省了人力物力财力时间
    缺点
    1) 单点故障问题:UTM设备一旦失效,整个网络或者系统的防护清零
    2) 违背了纵深防御原则,对外防御有奇效,但是对内没有太大用武之地

    八、DDOS防护

    DOS拒绝服务攻击
    DDOS分布式拒绝服务攻击:消耗带宽,消耗资源
    通过大量的合法请求消耗或者占用目标的网络资源,使之不能正常工作或者瘫痪
    防护手段
    1) 入侵检测
    2) 流量过滤
    3) 多重验证
    常见
    1)扩大带宽
    2)流量清洗或者封ip
    CDN
    CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。

    九、FireWall 防火墙

    作用
    防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件。隔离网络,制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。
    类型
    1)网络层(数据包过滤型)防火墙
    2)应用层防火墙
    3)代理服务防火墙
    局限性
    防火墙是根据合法网址和服务端口过滤数据包的,但是对合法的但是具有破坏性的数据包没有防护效能。防火墙必须部署在流量的必经之路上,防火墙的效能会影响网络的效能。

    十、VPN 虚拟专用网络

    是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。(使不安全的网络可以发送安全的消息,采用加密的虚拟通道协议工作,加密方式可控可协商)
    采用加密手段实现消息的安全传输

    十一、 上网行为管理

    上网行为管理,就是通过软件或硬件,控制用户访问网络的权限。功能包括行为管理、应用控制、流量管控、信息管控、非法热点管控、行为分析、无线网络管理等。

    十二、 云安全技术/主机安全

    云安全
    “云安全(Cloud Security)”技术是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
    主机安全
    主机安全(Cloud Workload Protection,CWP)基于海量威胁数据,利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务,主要包括密码破解拦截、异常登录提醒、木马文件查杀、高危漏洞检测等安全功能,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系,防止数据泄露。

    十三、 DBAudit 数据库审计

    数据库审计服务,是为了保证单位或者个人核心数据的安全,可针对数据库SQL注入、风险操作等数据库风险操作行为进行记录与告警。
    功能:
    1)用户行为发现审计
    2)多维度线索分析
    3)异常操作、SQL注入、黑白名单实时告警
    4)针对各种异常行为的精细化报表

    参考

    网络安全设备概念的熟悉和学习.


    by 久违 2020.10.20 凌晨1.49
    整理下来方便以后查阅,后期有时间会进一步完善,设想各个现阶段防护设备都能和SDN结合一下,后面会整理这方面的论文。

    展开全文
  • 关键信息基础设施安全控制措施

    千次阅读 2020-02-27 09:22:15
    《信息安全技术关键信息基础设施安全控制措施》解读 首先什么是关键信息基础设施? 关键信息基础设施critical information infrastructure 公共通信信息服务、能源、交通、水利、金融、公共服务、电子政务等...

    《信息安全技术 关键信息基础设施安全控制措施》

    概括:关键信息基础设施运营者应通过资产识别、威胁识别、 脆弱性识别、漏洞管理、已有安全措施识别和风险分析对关键信息基础设施进行风险识别;关键信息基础设施运营者在满足等级保护合规要求后,采用同步规划、同步建设、同步使用的三同步原则,实行网络安全责任制对关键信息基础设施进行数据保护、灾难备份、人员组织、人员培训、维护和供应链等方面实施安全保护措施;关键信息基础设施运营者每年至少应进行一次安全评估,在安全评估中发现的问题应及时整改;采取检测预警制度,并制定应急处置计划,定期开展应急培训、应急演练等,发生安全事件时,按照应急处置计划处理,并在安全事件结束后进行事件总结和改进。

    首先什么是关键信息基础设施?

    关键信息基础设施 critical information infrastructure

    公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。

    关键信息基础设施安全控制包括几方面?

    1、风险识别

    2、安全防护

    3、检测评估

    4、监测预警

    5、应急处置

    接下来我们逐一进行分析。

    (一)风险评估

    1、资产识别

    应围绕关键信息基础设施承载的关键业务,识别关键信息基础设施的资产,形成资产清单明确资产的管理责任人;对数据进行分类并按照分类标准制定符合其安全需求的保护策略。

    2、威胁识别

    识别关键信息基础实施面临的威胁,并判断威胁可能性。

    3、脆弱性识别

    可采用脆弱性扫描工具或技术定期对关键信息基础实施网络、信息系统及应用程序进行脆弱性扫描。

    4、漏洞管理

    应使用漏送管理工具,自动识别、记录、处理、更新安全漏洞相关信息,对发现的安全漏洞在确保不影响业务连续性的前提下及时修复,修复后经改测试才可使用。

    5、已有安全措施识别

    识别组织已有安全措施,并对安全措施有效性进行确认。

    6、风险分析

    根据识别的资产、威胁、脆弱性进行风险分析。

    (二)安全防护

    1、等级保护合规要求

    应根据定级对象的安全保护等级的安全要求进行安全建设、管理和运维,在等保基础上,对关键信息基础设施实施分区分域管理,根据承载业务的重要程度和数据敏感程度制定不同的安全策略。

    2、网络安全于信息化同步要求

    关键信息基础设施运营者应做到同步规划、同步建设、同步使用。

    (1)在关键基础设施建设或改建之处,应从本组织的业务出发,同步安全需求,形成安全需求书,基于安全需求书,定义关键信息基础设施的网络安全需求,形成网络安全功能和性能说明书,并得到网络安全责任部门签字;

    (2)在明确定义网络安全需求后,设计网络安全体系结构,明确系统内各类信息安全组件提供的服务以及可能的实现机制,在详细的安全设计中,细化安全机制在关键信息基础设施中的具体实现,建设完成后,组织对关键信息基础设施进行验收;

    (3)同步运行安全设施,确保安全设施的启用状态,并安排对应安全级别的运维,对安全设施实施配置管理,若出现关键信息基础设施及其运行环境发生明显变化的情况,评估风险,及时升级安全措施并实施变更管理。

    3、网络安全责任制

    关键信息基础设施运营者应明确责任主体,建立关键信息基础设施应遵循职责分离、最小特权的原则设置相关岗位,明确岗位职责与风险。

    4、数据保护

    关键信息基础设施运营者应建立规范的个人信息保护制度,符合GB/T 35273;运营者的个人信息和重数据应在境内存储,若确需出境,则需进行出境评估。

    5、灾难备份

    关键信息基础设施运营者应确定灾难备份目标,制定策略,准备技术方案,建设灾备中心,制定并实施业务连续性计划,确保关键信息基础设施的业务连续性。

    6、人员与组织安全

    建立网络安全管理框架,设立专门的网络安全管理机构,健全完善网络安全管理制度,落实网络安全防护措施。

    做好人员安全审查(背景调查等),进行人员筛选(持证上岗)、人员调动或离职时及时清除访问权限。

    7、培训

    入职培训应包括安全意识教育和基础安全培训,至少每年进行一次网络安全培训,培训后应进行技能考核。

    8、维护

    关键信息基础设施运营者应审核并监视维护工具的使用,使用前进行恶意代码监测,维护时应填写维护记录,维护后确保设备仍可正常工作。

    若采用境外远程维护,则需提前进行备案(远程维护策略、规程、工具),采用强鉴别技术建立远程维护会话,并对维护活动进行管理、控制和审计,维护日志留存不少于12个月,定期对远程维护日志进行审查。

    9、供应链保护

    在选择网络产品、服务和网络产品、服务供应商时,应进行评估,确保符合国家相关标准要求,进行背景调查等,签署合同应明确产品和服务的设计、开发、实施、验证、交付、支持过程,定期检查、评审和审核供应商的服务支付。

    (三)检测评估

    1、自评估

    每年至少进行一次安全评估,从合规检查、技术检测、分析评估三个主要环节进行,可选择自行或委网络安全服务机构进行,根据评估结果进行整改,并将评估结果及时上报对应的关键基础设施安全保护工作部门。

    2、安全检测

    键信息基础设施运营者应通过关键信息基础设施安全保护工作部门认可的网络安全服务机构进行检测评估,在对检测评估发现的安全问题进行有效整改后方可上线。

    3、安全抽查

    关键信息基础设施运营者应积极配合关键信息基础设施安全保护工作部门组织开展的关键信息基础设施的安全风险抽查检测工作。

    (四)监测预警

    1、安全监测

    应设施安全监测预警机制,制定安全事件应急预案,建立并完善监测预警制度,提高监测能力,确定监测对象、指标、频率,定期对监测结果进行安全评估;

    可发现攻击行为,并采用自动分析工具对攻击事件实时分析,可发现未授权本地、网络和远程连接以及对信息系统的非授权使用,当发现信息系统异常情况时,应及时告警;

    进行物理访问检测,形成物理访问日志,定期或发生安全事件时,审查物理访问日志;安装物理入侵警报装置;

    关键信息基础设施运营者应对公开来源的网站信息(如社交网站信息)进行监测,以确定组织信息是否已被未经授权的方式披露;

    采用白名单、黑名单等方式,在网络出入口以及系统主机、移动计算设备上实施恶意代码防护机制,并配置恶意代码防护机制,定期扫描信息系统,检测到恶意代码及时阻断或隔离恶意代码;在系统出入口或网站中工作站、服务器或移动计算设备上部署垃圾信息检测与防护机制,确保恶意代码和垃圾信息防护机制及时更新。

    2、信息通报

    关键信息基础设施运营者应根据国家行业主管或监管部门关键信息基础设施网络安全信息通报制度的要求;

    关键信息基础设施运营者应以适当的方式参与本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度,持续接收行业主管或监管部门发布的安全风险、预警信息和应急防范措施建议。

    (五)应急处置

    关键信息基础设施运营者应制定组织的网络安全事件预警,明确机构职责,确立预警监测、研判发布、预警响应、警报解除等流程,对预案演练、宣传、培训等工作进行规划,落实保障措施;

    定期培训、演练,总结和改进。

     

     

     

     

    展开全文
  • 底层基础设施安全设计 一、物理基础架构安全 谷歌数据中心包括了生物识别、金属感应探测、监控、通行障碍激光入侵感应系统等多层物理安全保护,并做了严格的限制访问。 因为谷歌的某些服务托管在第三方数据中心...
  • 常见网络安全设备

    千次阅读 2020-04-03 16:28:30
    Web应用防火墙(WAF) 为什么需要WAF? WAF(web application firewall)的出现是由于传统防火墙无法对...WAF是一种基础的安全保护模块,通过特征提取分块检索技术进行特征匹配,主要针对 HTTP访问的Web程序保护...
  • 信息安全与网络安全区别

    千次阅读 2019-10-16 08:55:23
    信息安全包括网络安全,信息安全还包括操作系统安全,数据库安全,硬件设备和设施安全,物理安全,人员安全,软件开发,应用安全等。 二、针对的设备不同 网络安全侧重于研究网络环境下的计算机安全,信息安全侧重于...
  • 华为各安全设备简介

    千次阅读 2020-03-12 19:39:33
    Ⅰ,介绍常见网络安全设备 eSight统一网络管理 面向企业数据中心、园区/分支网络、统一通信、视讯会议、视频监控的一体化融合运维管理解决方案,为企业ICT设备提供自动化配置部署、可视化故障诊断、智能化容量分析等...
  • 网络——网络安全设备部署

    千次阅读 2019-08-30 16:49:34
    网络安全设计通常包含下列因素: ...6.不同网络设备上的访问控制访问控制机制,比如ACLCAR 什么是CAR: Committed Access Rate 承诺访问速率 主要有两个作用 1.对一个端口或者子端口的进出流量...
  • 最基础的就是Property(资产),做好安全设备的投资,如果没有基础的安全设备,其他任何安全设施都只是空谈而已。因此提高企业的网络、数据安全,首要的就是做好网络灵魂——服务器的防护。企业需求的服务器,在稳定性...
  • 关于消费电子设备安全性,OMTP几年之前就开始了相关的工作,主要是定义了已被识别的设备安全威胁,以及给出了可信环境的概念。工作的成果体现在几个文档上:  OMTP Security Threats on Embedded Consumer ...
  • 一级现在基本没人会去提及,所以我这里主要说下等级保护二级三级的详细要求及差异分析,总共分为五大项:物理安全,网络安全,主机安全,应用安全,数据安全;管理制度这里没有说明,如有需要可以继续做相关提问;...
  • 底层基础设施安全设计一、物理基础架构安全谷歌数据中心包括了生物识别、金属感应探测、监控、通行障碍激光入侵感应系统等多层物理安全保护,并做了严格的限制访问。因为谷歌的某些...
  • RG-WALL 1600下一代VPN安全网关集成了VPN、防火墙、入侵防御流量控制技术的软硬件一体化专用安全设备,将高度安全机制、智能联动应用系统、高稳定可靠灵活方便的管理有机地融合为一体,有效地实现了“主/被动...
  • 安全设备: PC网络物理安全隔离卡 特点:内外网绝对隔离;阻塞信息泄露的通道;应用广泛;实现成本相对较低 物理安全管理:包括设备设施的安全管理、安全区域的管理、对人员控制管理等 1、设备访问控制:所有硬件、...
  • 通过对设备的正确维护保养,保障机房设备稳定、可靠、节能运行,确保通信设备的运行环境,延长设备的生命周期,降低设备的故障率。数据中心基础设施运维的主要任务:(1)维护机房设施,延长设备的使用周期。(2)...
  • 在第十三届中国信息港论坛“大数据与网络安全”专题峰会上,国家计算机网络与信息安全管理中心副主任云晓春就工业互联网时代的关键信息基础设施安全发表演讲。 云晓春认为,国家关键信息基础设施是网络安全的重中之...
  • 安全三大趋势:纵深防御、软件定义安全设备虚拟化 摘要:传统IT架构发展到云架构的今天,传统信息安全的分散割据化、对应用的封闭化、硬件盒子化已不再适合新一代应用的需求。未来信息安全与应用的跨界融合是...
  • 谷歌的技术基础设施共同构建了搜索、邮件(Gmail)、照片等普通用户系统G Suite 、谷歌云存储平台等企业系统,是谷歌数据中心的关键,是整个谷歌网络服务赖以存在的安...
  • 网络设备安全配置

    千次阅读 2019-03-26 18:23:15
    设备远程终端管理应关闭TELNETHTTP方式,只采用SSH加密方式,并配置管理主机限制;本地CON口AUX口启用验证。 参考配置操作 1、启用SSH加密方式配置实施指导: local-user huawe...
  • 石河子质量技术监督局特种设备监察科主任朱东风告诉记者,此次着重检查游乐设备的安全检验合格证、安全操作上岗证、使用登记证、设施安全日志等。目前园内的游乐设施都符合安全要求。  石河
  • 最近开始学习网络安全相关知识,接触了好多新术语,感觉自己要学习的东西太多,真是学无止境,也发现了好几个默默无闻写着博客、做着开源的大神。准备好好学习下新知识,并分享些博客与博友们一起进步,加油。非常...
  • 关键信息基础设施和管理这些设施的工业控制网络不断受到各种恶意的威胁——来自国家、政治或金融动机的黑客、内部人士心怀不满的前雇员等。   不幸的是,一般工业控制系统(ICS)网络都有一个共同的弱点:它们是在...
  • 设备和客户端授权设计以解决物联网安全问题【译】 摘要 本文提出了针对物联网设备和客户端(用户控制这些设备)的授权服务器设计方法来解决物联网的安全问题。授权服务器(AS)是开放授权(OAuthTM)协议中描述的...
  • 本文从端对端生态系统方法论、安全测试环境的设置、移动应用或控制系统测试、物联网设备本身的检查等方面分析了未来十年物联网的安全评估方案,一起来看看吧~
  • 安全标志与设备管理

    2011-02-19 14:47:00
    安全标志与设备管理     一、安全标志    正确使用安全警示标志是施工现场安全管理的重要内容。    安全标志是指在操作人员容易产生错误而造成事故的场所,为了确保...
  • 传统IT安全是基于人与设备交互,SOA强调设备设备交互,因此SOA的安全问题面临许多新的挑战。 面向服务的架构(SOA)是一种松耦合服务模式,通过标准化的接口来联系各种形式的服务,无论服务置于何地,均能通过一种...
  • 信息安全系统和安全体系

    千次阅读 2019-01-13 15:00:29
    信息安全系统是基于OSI网络模型,通过安全机制和安全服务达成信息安全的系统。安全机制是提供某些安全服务,利用各种安全技术技巧,形成的一个较为完善的结构体系。安全服务是从网络中的各个层次提供信息应用系统...
  • 以来,黑客一直在渗透美国核电站其他能源设备公司的计算机网络。《纽约时报》获得了这份美国国土安全联邦调查局的联合报告,该报告对此提出了紧急黄色预警,是威胁敏感度最高级别中的第二级。   3  ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 78,616
精华内容 31,446
关键字:

安全设施和安全设备的区别