等級(jí)保護(hù)基礎(chǔ)安全防護(hù)技術(shù)概覽

1、.,1,等級(jí)保護(hù) 基礎(chǔ)安全防護(hù)技術(shù)概覽,網(wǎng)神信息技術(shù)（北京）股份有限公司 肖 寒 CISP、PMP、北京市安全服務(wù)高級(jí)工程師,內(nèi)部資料 請(qǐng)勿外泄,.,2,大 綱,2,.,3,1.1等級(jí)保護(hù)基本概念-定義,是指對(duì)信息安全實(shí)行等級(jí)化保護(hù)和等級(jí)化管理。 根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求，實(shí)行分級(jí)、分類、分階段實(shí)施保護(hù)，保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國(guó)家利益、公共利益和社會(huì)穩(wěn)定。 等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)特別是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國(guó)家對(duì)信息安全等級(jí)保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級(jí)加強(qiáng)監(jiān)管力度。突出重點(diǎn)，保障重要信息資源和重要信息系統(tǒng)的安全。,.,4,

2、1.1等級(jí)保護(hù)基本概念-深入理解,信息安全等級(jí)保護(hù)是指： 對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)實(shí)行分等級(jí)實(shí)行安全保護(hù)； 對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理； 對(duì)信息系統(tǒng)中發(fā)生的信息安全事件實(shí)行分等級(jí)響應(yīng)、處置。,.,5,等級(jí)保護(hù)政策體系,1.2等級(jí)保護(hù)基本概念-政策體系,.,6,1.3級(jí)保護(hù)基本概念-相關(guān)標(biāo)準(zhǔn),.,7,1.4等級(jí)保護(hù)基本概念-安全保護(hù)等級(jí),全國(guó)的信息系統(tǒng)（包括網(wǎng)絡(luò)）按照重要性和受破壞后的危害性分成五個(gè)安全保護(hù)等級(jí),.,8,1.5等級(jí)保護(hù)基本概念-系統(tǒng)等級(jí)分類,.,9,定級(jí)：明確責(zé)任主體、自主定級(jí)、專家審核、上級(jí)

3、主管單位審批； 備案：定級(jí)系統(tǒng)須在上級(jí)主管單位及屬地公安機(jī)關(guān)備案； 建設(shè)整改：根據(jù)基本要求進(jìn)行安全加固與改進(jìn)； 等級(jí)測(cè)評(píng)：邀請(qǐng)具有等級(jí)測(cè)評(píng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)進(jìn)行安全等級(jí)測(cè)評(píng)； 監(jiān)督檢查：通過(guò)安全檢查的方式持續(xù)改進(jìn)系統(tǒng)安全。,1.6等級(jí)保護(hù)基本概念-規(guī)定動(dòng)作,.,10,不同信息系統(tǒng)的安全保護(hù)等級(jí)相同，但其內(nèi)在安全需求可能會(huì)有所不同，業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全保護(hù)等級(jí)也可能不同。 （5個(gè)等級(jí)，25種組合） 保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類要求（簡(jiǎn)記為S）；保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，免受對(duì)系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求（簡(jiǎn)記為A）；通用安

4、全保護(hù)類要求（簡(jiǎn)記為G）。,1.7等級(jí)保護(hù)基本概念- 系統(tǒng)等級(jí)與安全要求對(duì)應(yīng)關(guān)系,.,11,以安全保發(fā)展 發(fā)展中求安全,1.8等級(jí)保護(hù)基本概念-基本要求,.,12,電力供應(yīng),電磁防護(hù),安全審計(jì),身份鑒別,訪問(wèn)控制,結(jié)構(gòu)安全,訪問(wèn)控制,身份鑒別,安全審計(jì),訪問(wèn)控制,入侵防范,備份和恢復(fù),完整性,保密性,1.9等級(jí)保護(hù)基本概念-實(shí)施步驟- 差距分析,.,13,應(yīng)用層,SQL注入,身份 冒用,溢出 攻擊,數(shù)據(jù)竊取,傳輸 竊聽(tīng),數(shù)據(jù)重放,主機(jī)層,弱口令,系統(tǒng)漏洞,病毒入侵,資源占用,黑客攻擊,網(wǎng)絡(luò)層,帶寬資源濫用,非法接入,非法外聯(lián),區(qū)域混亂,協(xié)議攻擊,中間人攻擊,信息泄露,物理層,斷電,物理攻擊,非

5、法進(jìn)出,盜竊,火災(zāi),數(shù)據(jù)層,篡改,非法訪問(wèn),丟失,泄露,不可用,計(jì)算環(huán)境,區(qū)域邊界,網(wǎng)絡(luò)通信,安全管理,缺乏組織,缺乏流程,人員安全意識(shí)不足,缺乏過(guò)程控制,缺乏專業(yè)技能,缺乏安全監(jiān)控,管理不到位,1.9等級(jí)保護(hù)基本概念-實(shí)施步驟- 差距分析,1.9等級(jí)保護(hù)基本概念-實(shí)施步驟- 方案編寫(xiě),.,15,依據(jù)信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)基本要求 參照信息安全技術(shù)-信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求 引入“安全域”的概念，強(qiáng)化訪問(wèn)控制 安全技術(shù)控制策略 安全管理控制策略,1.9等級(jí)保護(hù)基本概念-實(shí)施步驟- 方案編寫(xiě),1.9等級(jí)保護(hù)基本概念-實(shí)施步驟- 設(shè)計(jì)策略,.,17,業(yè)務(wù)風(fēng)險(xiǎn)控制,業(yè)務(wù),應(yīng)用,主

6、機(jī),組件,應(yīng)用平臺(tái),網(wǎng)絡(luò),業(yè)務(wù)安全需求,安全功能實(shí)現(xiàn),數(shù)據(jù)庫(kù),功能組件,支撐安全 功能實(shí)現(xiàn),安全 軟件環(huán)境,安全邊界 安全傳輸通道,業(yè)務(wù)風(fēng)險(xiǎn) 保護(hù)策略,信息系統(tǒng) 保護(hù)策略,整體 保護(hù)策略,程序安全,組件安全,主機(jī)安全,網(wǎng)絡(luò)安全,“業(yè)務(wù)+系統(tǒng)”安全=整體安全策略,1.9等級(jí)保護(hù)基本概念-實(shí)施步驟- 設(shè)計(jì)策略,結(jié)合實(shí)際，部署實(shí)施安全措施,1.9等級(jí)保護(hù)基本概念-實(shí)施步驟- 實(shí)施措施,.,19,信息安全領(lǐng)導(dǎo)小組,信息安全主管（部門(mén)）,安全管理員,安全審計(jì)員,系統(tǒng)管理員,網(wǎng)絡(luò)管理員,數(shù)據(jù)庫(kù)管理員,決策、監(jiān)督,應(yīng)用系統(tǒng)管理員,管理,執(zhí)行,落實(shí)信息安全責(zé)任制,建立安全組織（舉例）,1.9等級(jí)保護(hù)基本概念-

7、實(shí)施步驟- 建立安全組織,.,20,方針策略 信息安全工作的綱領(lǐng)性文件。,制度辦法 在安全策略的指導(dǎo)下，制定的各項(xiàng)安全管理和技術(shù)制度、辦法和準(zhǔn)則，用來(lái)規(guī)范各部門(mén)處室安全管理工作。,流程細(xì)則 細(xì)化的實(shí)施細(xì)則、管理技術(shù)標(biāo)準(zhǔn)等內(nèi)容，用來(lái)支撐第二層對(duì)應(yīng)的制度與管理辦法的有效實(shí)施。,記錄表單 記錄活動(dòng)實(shí)行以符合等級(jí)1,2,和3的文件要求的客觀證據(jù)，闡明所取得的結(jié)果或提供完成活動(dòng)的證據(jù),編寫(xiě)安全管理制度,1.9等級(jí)保護(hù)基本概念-實(shí)施步驟- 完善管理制度,.,21,1.9等級(jí)保護(hù)基本概念-實(shí)施步驟- 完善管理制度,“三個(gè)體系、一個(gè)中心、三重防護(hù)”,整改方案的技術(shù)路線,1.9等級(jí)保護(hù)基本概念-實(shí)施步驟- 總體

8、思路,.,23,定級(jí)：明確責(zé)任主體、自主定級(jí)、專家審核、上級(jí)主管單位審批； 備案：定級(jí)系統(tǒng)須在上級(jí)主管單位及屬地公安機(jī)關(guān)備案； 建設(shè)整改：根據(jù)基本要求進(jìn)行安全加固與改進(jìn)； 等級(jí)測(cè)評(píng)：邀請(qǐng)具有等級(jí)測(cè)評(píng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)進(jìn)行安全等級(jí)測(cè)評(píng)； （測(cè)評(píng)機(jī)構(gòu)） 監(jiān)督檢查：通過(guò)安全檢查的方式持續(xù)改進(jìn)系統(tǒng)安全。 （公安部、工信部、直屬領(lǐng)導(dǎo)單位等）,2.0等級(jí)保護(hù)基本概念-規(guī)定動(dòng)作,.,24,大 綱,24,.,25,傻根在外地打工掙了錢(qián)，隨身攜帶著10萬(wàn)元錢(qián)坐上了一輛混雜著很多小偷的長(zhǎng)途火車回家。 傻根把錢(qián)就放在了普通的布質(zhì)書(shū)包里。傻根沒(méi)有坐軟臥包廂，而是坐在擠滿了上百人的硬座車廂。有時(shí)候累了，就坐著打個(gè)瞌睡。 一

9、路上，葛優(yōu)等小偷團(tuán)伙頻頻出手，嘗試著偷這10萬(wàn)元錢(qián)。但是在好心人劉德華和劉若英等的保護(hù)下，葛優(yōu)等小偷團(tuán)伙未能得逞。 好險(xiǎn)啊，如果這錢(qián)被偷走了，傻根就娶不上媳婦了。,天下無(wú)賊,2.1什么是安全防護(hù)-“小故事”,1、核心是-錢(qián),2、攻擊-賊,3、防護(hù)-賊,.,26,身份及憑證,認(rèn)證,授權(quán),審計(jì),通信安全,2.2真實(shí)世界的信息安全,.,27,A、信息： 信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn)一樣，對(duì)組織具有價(jià)值，因此需要妥善保護(hù)。 B、信息安全： 信息安全主要指信息的保密性、完整性和可用性的保持。即指通過(guò)采用計(jì)算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，來(lái)保護(hù)信息在其生命周期內(nèi)的產(chǎn)

10、生、傳輸、交換、處理和存儲(chǔ)的各個(gè)環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞。 C、信息系統(tǒng)： 計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo) 和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。,2.3等保安全防護(hù)技術(shù)-名詞解釋,.,28,安全需求是驅(qū)動(dòng)；安全威脅是風(fēng)險(xiǎn)；安全技術(shù)是手段；安全產(chǎn)品來(lái)執(zhí)行；安全狀態(tài)是結(jié)果。 威脅：可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因。,安全 需求,安全 目標(biāo),安全 威脅,安全 技術(shù),安全 產(chǎn)品,安全 狀態(tài),安全傳導(dǎo)鏈,2.4需求如何來(lái)滿足,2.5信息系統(tǒng)覆蓋內(nèi)容,電力供應(yīng),非法進(jìn)入,環(huán)境威脅,電力中斷

11、電壓不穩(wěn),火災(zāi)、水災(zāi),盜竊、破壞,物理安全威脅,安全防護(hù)手段,UPS、冗余電路,滅火器、防水門(mén)窗,門(mén)禁系統(tǒng)、專人值守,2.5.1物理安全的威脅及防護(hù),電力供應(yīng),非法進(jìn)入,環(huán)境威脅,電力中斷 電壓不穩(wěn),火災(zāi)、水災(zāi),盜竊、破壞,物理安全威脅,視頻監(jiān)控,溫濕度監(jiān)控,電壓、負(fù)載監(jiān)控,安全監(jiān)控手段,2.5.1物理安全的監(jiān)控,網(wǎng)絡(luò)攻擊,惡意代碼,漏洞探測(cè),非授權(quán)訪問(wèn),外部威脅,防火墻,防病毒網(wǎng)關(guān),入侵防御,SSL VPN,內(nèi)部威脅,防病毒網(wǎng)關(guān),防火墻,2.5.2網(wǎng)絡(luò)安全的威脅及防護(hù),其他威脅,區(qū)域劃分不合理,中間人攻擊,信息泄露,運(yùn)行日志,報(bào)警日志,巡檢記錄,綜合分析,設(shè)備監(jiān)控,攻擊監(jiān)控 病毒監(jiān)控,綜合分

12、析,設(shè)備巡檢,2.5.2網(wǎng)絡(luò)安全的監(jiān)控,惡意代碼,非法訪問(wèn),主機(jī)故障,互聯(lián)網(wǎng)服務(wù)器,內(nèi)網(wǎng)服務(wù)器,辦公網(wǎng)計(jì)算機(jī),辦公用戶使用的個(gè)人計(jì)算機(jī),內(nèi)網(wǎng)的應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器,向互聯(lián)網(wǎng)提供服務(wù)的網(wǎng)站、郵件等服務(wù)器,網(wǎng)絡(luò)防病毒,網(wǎng)絡(luò)防病毒,網(wǎng)絡(luò)防病毒,主機(jī)核心防護(hù),主機(jī)核心防護(hù),服務(wù)器冗余,服務(wù)器冗余,2.5.3主機(jī)安全的威脅及防護(hù),用戶,數(shù)據(jù)庫(kù),應(yīng)用服務(wù)器,1,2,3,4,訪問(wèn)請(qǐng)求,查詢數(shù)據(jù)庫(kù),返回查詢結(jié)果,返回請(qǐng)求內(nèi)容,非授權(quán)訪問(wèn),通信竊聽(tīng),漏洞攻擊,非法操作,攻擊應(yīng)用,攻擊數(shù)據(jù)庫(kù),竊聽(tīng)通信數(shù)據(jù),CA認(rèn)證系統(tǒng),應(yīng)用安全加固,數(shù)據(jù)傳輸加密,2.5.4應(yīng)用安全的威脅及防護(hù),數(shù)據(jù)處理端,數(shù)據(jù)存儲(chǔ)端,數(shù)據(jù)傳

13、輸線路,數(shù)據(jù)傳輸被竊聽(tīng)、破壞,數(shù)據(jù)存儲(chǔ)被竊取、破壞,數(shù)據(jù)傳輸加密,數(shù)據(jù)存儲(chǔ)加密,2.5.5數(shù)據(jù)安全的威脅及防護(hù),.,37,信息安全技術(shù)縱深防御,.,38,2.6 總體防護(hù)策略,分區(qū)分域結(jié)構(gòu)劃分，形成“縱深防御體系”。 基于“一個(gè)中心、三重防護(hù)”的設(shè)計(jì)思路，從計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)通信和統(tǒng)一安全監(jiān)控管理等幾方面設(shè)計(jì)。 重點(diǎn)以等級(jí)保護(hù)3級(jí)為防護(hù)要求基線，部分防護(hù)環(huán)節(jié)根據(jù)威脅和脆弱程度會(huì)適當(dāng)高于或低于等級(jí)保護(hù)3級(jí)基本要求。,38,.,39,2.7 基礎(chǔ)安全防護(hù)體系,安全產(chǎn)品,安全目標(biāo),2.6信息安全技術(shù)產(chǎn)品,.,41,大 綱,41,42,3.1ISO 7498.2 安全架構(gòu)三維體系結(jié)構(gòu)圖,.,43

14、,三級(jí)： 73個(gè)控制點(diǎn) 290控制項(xiàng),參考,安全產(chǎn)品對(duì)照（參考）,3.1安全產(chǎn)品對(duì)照,.,44,參考,安全產(chǎn)品對(duì)照（參考）,3.1安全產(chǎn)品對(duì)照,.,45,3.2 基礎(chǔ)安全防護(hù)結(jié)構(gòu)中的安全產(chǎn)品,45,46,1、VPN 13、WAF 2、防火墻（FW） 14、抗DDOS 3、防毒墻 4、安全審計(jì)類 5、入侵檢測(cè)系統(tǒng)（IDS） 6、入侵防御系統(tǒng)（IPS） 7、UTM 8、漏洞掃描設(shè)備 9、認(rèn)證系統(tǒng) 10、運(yùn)維審計(jì)、安全管理平臺(tái)（SOC） 11、網(wǎng)閘 12、終端安全管理,常用安全產(chǎn)品介紹,47,VPN的作用： 取締專用網(wǎng)絡(luò)，通過(guò)TCP/IP分組交換方式傳遞數(shù)據(jù)，連接連接隧道，進(jìn)而保證數(shù)據(jù)傳輸?shù)陌踩院?/p>

15、完整性。 VPN的基本功能： 加密數(shù)據(jù) 信息認(rèn)證和身份認(rèn)證 提供訪問(wèn)控制 VPN的分類： 按協(xié)議層次：二層VPN，三層VPN、四層VPN和應(yīng)用層VPN； 按應(yīng)用范圍：遠(yuǎn)程訪問(wèn)VPN、內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN 按體系結(jié)構(gòu)：網(wǎng)關(guān)到網(wǎng)關(guān)VPN、主機(jī)到網(wǎng)關(guān)VPN和主機(jī)到主機(jī)VPN 常見(jiàn)的VPN：IPSec VPN 和 SSL VPN,VPN,48,防火墻的作用： 在網(wǎng)絡(luò)間（內(nèi)部/外部網(wǎng)絡(luò)、不同信息級(jí)別）提供安全連接的設(shè)備； 用于實(shí)現(xiàn)和執(zhí)行網(wǎng)絡(luò)之間通信的安全策略 防火墻的功能： 控制進(jìn)出網(wǎng)絡(luò)的信息流向和數(shù)據(jù)包，過(guò)濾不安全的服務(wù)； 隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)； 提供使用和流量的日志和審計(jì)功能； 部

16、署NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）； 邏輯隔離內(nèi)部網(wǎng)段，對(duì)外提供WEB和FTP； 實(shí)現(xiàn)集中的安全管理； 提供VPN功能。 防火墻的分類：軟件防火墻、硬件防火墻 防火墻的發(fā)展：包過(guò)濾、應(yīng)用代理、狀態(tài)檢測(cè),防火墻（FW）,49,防火墻的弱點(diǎn)和局限性： 防火墻防外不防內(nèi)； 防火墻難于管理和配置，易造成安全漏洞； 很難為用戶在防火墻內(nèi)外提供一致的安全策略； 防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制； 對(duì)于某些攻擊防火墻也無(wú)能為力。 選擇防火墻需考慮的要素： 形態(tài) 性能 適用性 可管理性 完善及時(shí)的售后服務(wù)體系,防火墻,50,病毒方面我們面臨的威脅： 根據(jù)國(guó)際著名病毒

17、研究機(jī)構(gòu)ICSA（國(guó)際計(jì)算機(jī)安全聯(lián)盟，International Computer Security Association）的統(tǒng)計(jì)，目前通過(guò)磁盤(pán)傳播的病毒僅占7%，剩下93%的病毒來(lái)自網(wǎng)絡(luò)，其中包括Email、網(wǎng)頁(yè)、QQ和MSN等傳播渠道。 防毒墻的作用：識(shí)別和阻斷各類病毒攻擊。 網(wǎng)絡(luò)版殺毒軟件的局限性：1、操作系統(tǒng)本身的穩(wěn)定性以及是否存在漏洞都對(duì)網(wǎng)絡(luò)版殺毒軟件的使用有一定影響；2、它并不能對(duì)網(wǎng)絡(luò)病毒進(jìn)行有效防護(hù)。 防毒墻：網(wǎng)絡(luò)版殺毒軟件+防火墻：,防毒墻,51,計(jì)算機(jī)網(wǎng)絡(luò)安全審計(jì)（Audit）是指按照一定的安全策略，利用記錄、系統(tǒng)活動(dòng)和用戶活動(dòng)等信息，檢查、審查和檢驗(yàn)操作事件的環(huán)境及活動(dòng)，

18、從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過(guò)程。也是審查評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)并采取相應(yīng)措施的一個(gè)過(guò)程。 主要作用和目的： （1）對(duì)可能存在的潛在攻擊者起到威懾和警示作用，核心是風(fēng)險(xiǎn)評(píng)估。 （2）測(cè)試系統(tǒng)的控制情況，及時(shí)進(jìn)行調(diào)整，保證與安全策略和操作規(guī)程協(xié)調(diào)一致。 （3）對(duì)已出現(xiàn)的破壞事件，做出評(píng)估并提供有效的災(zāi)難恢復(fù)和追究責(zé)任的依據(jù)。 （4）對(duì)系統(tǒng)控制、安全策略與規(guī)程中的變更進(jìn)行評(píng)價(jià)和反饋，以便修訂決策和部署。 （5）協(xié)助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)入侵或潛在的系統(tǒng)漏洞及隱患。,安全審計(jì)技術(shù),52,根據(jù)對(duì)象類型： 1）系統(tǒng)級(jí)審計(jì) 系統(tǒng)級(jí)審計(jì)主要針對(duì)系統(tǒng)的登入情況、用戶識(shí)別號(hào)、登入嘗試的日期和具體時(shí)間

19、、退出的日期和時(shí)間、所使用的設(shè)備、登入后運(yùn)行程序等事件信息進(jìn)行審查。典型的系統(tǒng)級(jí)審計(jì)日志還包括部分與安全無(wú)關(guān)的信息，如系統(tǒng)操作、費(fèi)用記賬和網(wǎng)絡(luò)性能。這類審計(jì)卻無(wú)法跟蹤和記錄應(yīng)用事件，也無(wú)法提供足夠的細(xì)節(jié)信息。 2）應(yīng)用級(jí)審計(jì) 應(yīng)用級(jí)審計(jì)主要針對(duì)的是應(yīng)用程序的活動(dòng)信息，如打開(kāi)和關(guān)閉數(shù)據(jù)文件，讀取、編輯、刪除記錄或字段的等特定操作，以及打印報(bào)告等。 3）用戶級(jí)審計(jì) 用戶級(jí)審計(jì)主要是審計(jì)用戶的操作活動(dòng)信息，如用戶直接啟動(dòng)的所有命令，用戶所有的鑒別和認(rèn)證操作，用戶所訪問(wèn)的文件和資源等信息。,安全審計(jì),53,產(chǎn)品分類： 1、上網(wǎng)行為審計(jì) 2、主機(jī)審計(jì) 3、數(shù)據(jù)庫(kù)審計(jì) 等,安全審計(jì),54,入侵檢測(cè)系統(tǒng)的作

20、用： 克服某些傳統(tǒng)的防御機(jī)制的限制； 在“深度防御”的基礎(chǔ)上成為安全框架的一部分； 在整個(gè)組織的網(wǎng)絡(luò)中能夠識(shí)別入侵或違反安全策略的行為，并能夠做出回應(yīng)。 入侵檢測(cè)系統(tǒng)的功能： 自動(dòng)檢測(cè)入侵行為； 監(jiān)視網(wǎng)絡(luò)流量（Network IDS)和主機(jī)(Host IDS)中的操作； 分析入侵行為：基于特征、基本異常 按預(yù)定的規(guī)則做出響應(yīng)：阻止指定的行為。 入侵檢測(cè)系統(tǒng)的分類： 按檢測(cè)方法：異常檢測(cè)、特征檢測(cè) 按地點(diǎn)：基于主機(jī)、基于網(wǎng)絡(luò)、基于網(wǎng)絡(luò)節(jié)點(diǎn) 按比較/分類方法：基于規(guī)則、統(tǒng)計(jì)分析、神經(jīng)網(wǎng)絡(luò)、模式匹配、狀態(tài)轉(zhuǎn)換分析,入侵檢測(cè)系統(tǒng)（IDS）,55,選擇IDS需考慮的要素： Porras等給出了評(píng)價(jià)入侵檢

21、測(cè)系統(tǒng)性能的三個(gè)因素： 準(zhǔn)確性（Accuracy） 處理性能（Performance） 完備性（Completeness） Debar等增加了兩個(gè)性能評(píng)價(jià)測(cè)度 容錯(cuò)性（Fault Tolerance） 及時(shí)性（Timeliness）,入侵檢測(cè)技術(shù),56,IPS的定義：是一種集入侵檢測(cè)和防御于一體的安全產(chǎn)品。簡(jiǎn)單地理解，可認(rèn)為IPS就是防火墻加上入侵檢測(cè)系統(tǒng)。 入侵防御系統(tǒng)的功能： 識(shí)別對(duì)網(wǎng)絡(luò)和主機(jī)的惡意攻擊，并實(shí)時(shí)進(jìn)行阻斷； 向管理控制臺(tái)發(fā)送日志信息； 集成病毒過(guò)濾、帶寬管理和URL過(guò)濾等功能； IPS與IDS的區(qū)別： IPS采用In-line的透明模式接入網(wǎng)絡(luò)，IDS并聯(lián)在網(wǎng)絡(luò)中，接入交換機(jī)

22、的接口需要做鏡像； IDS是一種檢測(cè)技術(shù)，而IPS是一種阻斷技術(shù)，只不過(guò)后者阻斷攻擊的依據(jù)是檢測(cè)；,入侵防御系統(tǒng)（IPS）,57,UTM（United Threat Management）意為統(tǒng)一威脅管理，是在2004年9月由IDC提出的信息安全概念。IDC將防病毒、防火墻和入侵檢測(cè)等概念融合到被稱為統(tǒng)一威脅管理的新類別中，該概念引起了業(yè)界的廣泛重視，并推動(dòng)了以整合式安全設(shè)備為代表的市場(chǎng)細(xì)分的誕生。 UTM的功能： 傳統(tǒng)的防火墻功能； 入侵防御（IPS）功能； 防病毒功能； 端到端的IPSec VPN功能； 動(dòng)態(tài)路由功能； 內(nèi)容過(guò)濾功能。 缺點(diǎn)： 網(wǎng)關(guān)集中防御對(duì)內(nèi)部安全防護(hù)不足 過(guò)度集成帶來(lái)的

23、風(fēng)險(xiǎn) 性能和穩(wěn)定性,UTM（統(tǒng)一威脅管理系統(tǒng)）,58,漏洞的初步分類： A、按漏洞可能對(duì)系統(tǒng)造成的直接威脅：遠(yuǎn)程管理員權(quán)限、本地管理員權(quán)限、普通用戶訪問(wèn)權(quán)限、權(quán)限提升、讀取受限文件、遠(yuǎn)程拒絕服務(wù)、本地拒絕服務(wù)、遠(yuǎn)程非授權(quán)文件存取、口令恢復(fù)、欺騙、服務(wù)器信息泄露等 B、按漏洞的成因：輸入驗(yàn)證錯(cuò)誤、訪問(wèn)驗(yàn)證錯(cuò)誤、競(jìng)爭(zhēng)條件、意外情況處置錯(cuò)誤、設(shè)計(jì)錯(cuò)誤、配置錯(cuò)誤、環(huán)境錯(cuò)誤 C、對(duì)漏洞嚴(yán)重性的分級(jí)：低、中、高 D、對(duì)漏洞被利用方式的分類：物理接觸、主機(jī)模式、客戶機(jī)模式 漏洞掃描設(shè)備，將被動(dòng)攻擊，提升到了主動(dòng)防御的階段，更多體現(xiàn)了人在信息安全建設(shè)中的作用。 相對(duì)需要高技術(shù)人員，才能準(zhǔn)確解析并做出合理的處置

24、判斷。,漏洞掃描設(shè)備,59,關(guān)鍵技術(shù)： 公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure-PKI）技術(shù)是以公開(kāi)密鑰密碼技術(shù)為基礎(chǔ)構(gòu)建的信息安全基礎(chǔ)設(shè)施，PKI以數(shù)字證書(shū)為手段，結(jié)合現(xiàn)代密碼技術(shù)理論，將用戶、部門(mén)、設(shè)備標(biāo)識(shí)、公鑰、私鑰簽名等信息組織在一起，并通過(guò)自動(dòng)管理密鑰和證書(shū)，為用戶創(chuàng)建一個(gè)安全、可信的網(wǎng)絡(luò)運(yùn)行環(huán)境。它可以是用戶在不同的網(wǎng)絡(luò)應(yīng)用環(huán)境下方便地使用密碼技術(shù)來(lái)完成身份認(rèn)證和數(shù)字簽名等操作，進(jìn)而保護(hù)所傳輸信息的安全性。 PKI作為一種安全基礎(chǔ)信任結(jié)構(gòu)，提供多種安全服務(wù)：認(rèn)證服務(wù)、數(shù)據(jù)完整性服務(wù)、數(shù)據(jù)保密性服務(wù)、不可否認(rèn)性服務(wù)、公正服務(wù)等。,認(rèn)證系統(tǒng),60,產(chǎn)品原型功能

25、： 以PKI技術(shù)為基礎(chǔ)的安全認(rèn)證體系主要功能是實(shí)現(xiàn)數(shù)字證書(shū)生命周期的管理。安全認(rèn)證體系主要包括：證書(shū)簽發(fā)中心（CA）、證書(shū)注冊(cè)審核中心（RA）、密鑰管理中心（KMC）、證書(shū)在線狀態(tài)驗(yàn)證系統(tǒng)（OCSP）、時(shí)間戳（TSA）、目錄服務(wù)（LDAP）等。 證書(shū)簽發(fā)模塊（CA）：主要負(fù)責(zé)數(shù)字證書(shū)生命周期管理； 密鑰管理模塊（KMC）：主要對(duì)用戶加密密鑰的生命周期實(shí)施管理，主要包括密鑰的產(chǎn)生、密鑰的存儲(chǔ)、密鑰的歸檔等，并在需要時(shí)提供相關(guān)的司法取證功能。 注冊(cè)審核模塊（RA）：屬于證書(shū)簽發(fā)模塊向用戶提供證書(shū)服務(wù)的窗口，為人員提供證書(shū)申請(qǐng)、下載、注銷、更新等各項(xiàng)業(yè)務(wù)的服務(wù)。 時(shí)間戳服務(wù)模塊（TSA）：基于國(guó)家權(quán)

26、威時(shí)間源和數(shù)字簽名技術(shù)，為業(yè)務(wù)系統(tǒng)提供精確可信的時(shí)間戳，保證處理數(shù)據(jù)在某一時(shí)間（之前）的存在性及相關(guān)操作的相對(duì)時(shí)間順序，為業(yè)務(wù)處理的不可抵賴性和可審計(jì)性提供有效支持。 證書(shū)在線狀態(tài)查詢模塊（OCSP）：主要為業(yè)務(wù)系統(tǒng)提供實(shí)時(shí)的、在線的證書(shū)狀態(tài)查詢服務(wù)。 目錄服務(wù)模塊：主要負(fù)責(zé)數(shù)字證書(shū)和黑名單的存儲(chǔ)和發(fā)布，并根據(jù)策略將相關(guān)信息發(fā)布到對(duì)應(yīng)的下級(jí)目錄服務(wù)節(jié)點(diǎn)上，是整個(gè)PKI基礎(chǔ)設(shè)施建設(shè)的基礎(chǔ)支撐性部件。,認(rèn)證系統(tǒng),61,概念： SOC（Security Operations Center）是一個(gè)外來(lái)詞。而在國(guó)外，SOC這個(gè)詞則來(lái)自于NOC（Network Operation Center，即網(wǎng)絡(luò)運(yùn)行

27、中心）。NOC強(qiáng)調(diào)對(duì)客戶網(wǎng)絡(luò)進(jìn)行集中化、全方位的監(jiān)控、分析與響應(yīng)，實(shí)現(xiàn)體系化的網(wǎng)絡(luò)運(yùn)行維護(hù)。 維基百科也只有基本的介紹：SOC（Security Operations Center）是組織中的一個(gè)集中單元，在整個(gè)組織和技術(shù)的高度處理各類安全問(wèn)題。 一般地，SOC被定義為：以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型，協(xié)助管理員進(jìn)行事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。 本質(zhì)上，SOC不是一款單純的產(chǎn)品，而是一個(gè)復(fù)雜的系統(tǒng)，他既有產(chǎn)品，又有服務(wù)，還有運(yùn)維（運(yùn)營(yíng)），SOC是技術(shù)、流程和人的有機(jī)結(jié)合。,運(yùn)維審計(jì)-安全管理平臺(tái)（SOC

28、）,62,功能： 收集各種防火墻、IDS、IPS等網(wǎng)絡(luò)設(shè)備的信息； 對(duì)安全事件進(jìn)行收集、過(guò)濾、合并和查詢； 分析可能存在的風(fēng)險(xiǎn)，發(fā)出告警信息； SOC2.0：SOC2.0是一個(gè)以業(yè)務(wù)為核心的、一體化的安全管理系統(tǒng)。SOC2.0從業(yè)務(wù)出發(fā)，通過(guò)業(yè)務(wù)需求分析、業(yè)務(wù)建模、面向業(yè)務(wù)的安全域和資產(chǎn)管理、業(yè)務(wù)連續(xù)性監(jiān)控、業(yè)務(wù)價(jià)值分析、業(yè)務(wù)風(fēng)險(xiǎn)和影響性分析、業(yè)務(wù)可視化等各個(gè)環(huán)節(jié)，采用主動(dòng)、被動(dòng)相結(jié)合的方法采集來(lái)自企業(yè)和組織中構(gòu)成業(yè)務(wù)系統(tǒng)的各種IT資源的安全信息，從業(yè)務(wù)的角度進(jìn)行歸一化、監(jiān)控、分析、審計(jì)、報(bào)警、響應(yīng)、存儲(chǔ)和報(bào)告。SOC2.0以業(yè)務(wù)為核心，貫穿了信息安全管理系統(tǒng)建設(shè)生命周期從調(diào)研、部署、實(shí)施到運(yùn)

29、維的各個(gè)階段。,運(yùn)維審計(jì)-安全管理平臺(tái)（SOC）,63,定義：網(wǎng)閘（GAP）全稱安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。 組成：安全隔離網(wǎng)閘是由軟件和硬件組成。 隔離網(wǎng)閘分為兩種架構(gòu)，一種為雙主機(jī)的2+1結(jié)構(gòu)，另一種為三主機(jī)的三系統(tǒng)結(jié)構(gòu)。2+1的安全隔離網(wǎng)閘的硬件設(shè)備由三部分組成:外部處理單元、內(nèi)部處理單元、隔離安全數(shù)據(jù)交換單元。安全數(shù)據(jù)交換單元不同時(shí)與內(nèi)外網(wǎng)處理單元連接，為2+1的主機(jī)架構(gòu)。隔離網(wǎng)閘采用SU-Gap安全隔離技術(shù)，創(chuàng)建一個(gè)內(nèi)、外網(wǎng)物理斷開(kāi)的環(huán)境。三系統(tǒng)的安全隔離網(wǎng)閘的硬件

30、也由三部分組成：外部處理單元（外端機(jī)）、內(nèi)部處理單元（內(nèi)端機(jī)）、仲裁處理單元（仲裁機(jī)），各單元之間采用了隔離安全數(shù)據(jù)交換單元。,網(wǎng)閘（GAP）,.,64,網(wǎng)閘對(duì)請(qǐng)求數(shù)據(jù)進(jìn)行合法性檢查，剝離原有協(xié)議成裸數(shù)據(jù)，進(jìn)行內(nèi)容檢查，然后重組,對(duì)收到外網(wǎng)的數(shù)據(jù)進(jìn)行病毒檢查、解析、過(guò)濾和重組等處理,網(wǎng)閘將重組的數(shù)據(jù)還原為標(biāo)準(zhǔn)通訊協(xié)議，回傳到內(nèi)網(wǎng),將重組的數(shù)據(jù)還原為標(biāo)準(zhǔn)通訊協(xié)議，向外網(wǎng)發(fā)送,專用隔離硬件、 專用通訊協(xié)議,專用隔離硬件、 專用通訊協(xié)議,網(wǎng)閘（GAP）的工作流程,.,65,網(wǎng)閘（GAP）應(yīng)用數(shù)據(jù)處理流程,.,66,性能指標(biāo)： 1、系統(tǒng)數(shù)據(jù)交換速率：小于等于120Mbps 2、硬件切換時(shí)間：小于等于5

31、ms 主要功能： 1、安全隔離、內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)換、病毒查殺、訪問(wèn)控制、安全審計(jì)、身份認(rèn)證； 2、防止未知和已知木馬攻擊； 3、具有防病毒措施。,網(wǎng)閘（GAP）的性能和功能指標(biāo),.,67,Web應(yīng)用防護(hù)系統(tǒng)（也稱：網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)。英文：Web Application Firewall，簡(jiǎn)稱： WAF）。利用國(guó)際上公認(rèn)的一種說(shuō)法：Web應(yīng)用防火墻是通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來(lái)專門(mén)為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。,Web應(yīng)用防護(hù)系統(tǒng)(WAF),.,68,分布式拒絕服務(wù)攻擊防護(hù)系統(tǒng),DDOS 即 分布式拒絕服務(wù)攻擊 。 分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代