网络安全
2024-06-26 09:44:03 29 举报AI智能生成
网络资料整理
作者其他创作
大纲/内容
网络系统
核心网
安全
内部威胁
通过非法接入网元传递信息(信令、媒体)进行机密性、完整性破坏
服务器终端感染病毒、蠕虫、木马
对OMC系统非授权访问
外部威胁
病毒、蠕虫、非授权访问对计费、网管、支撑系统接口威胁
病毒、蠕虫、黑客对网络威胁
GP接口威胁其他PLMN违反运营商协约的数据流
智能终端:垃圾流量对网络带宽占用
安全措施
划分安全域
同一系统内具有相同的防护需求、等级,相互信任,并且具有相同的安全访问控制和边界策略控制的子网或网络
各安全域原则上相互独立
域间设置安全访问控制
域间业务开放最小化
如果域间通信在边界点配置安全策略或设备
安全域内部可以根据系统安全的重要性、安全需求进一步划分安全子域,并可以采用划分VLAN等方式进行数据流的相对隔离
数据中心、核心生产区服务器(红区):白名单原则需采取访问控制、补丁管理、账号口令和权限管理来区域内部隔离。完善的访问审批流程,整体数据安全可视化。防止APT和恶意代码
日常办公区:防病毒、漏洞补丁、口令管理,同时加强终端的安全管理,实现终端标准化,统一管理监控
第三方区(绿):接入控制、ip/mac地址绑定、账号口令、访问控制、防火墙
网络接入区:单向同步数据,有限访问。入侵检测、病毒防护、防火墙,与内网实施物理隔离
承载网
控制平面
路由信息泄露
仿冒攻击
篡改攻击
路由干扰
路由过载
软件漏洞
数据平面
网络封闭性
管理平面非法入侵修改设备配置
逻辑网络隔离的安全性
管理平面
协议本身访问权限漏洞
大客户设备对PE的管理接口攻击
带内网管时,网络拥塞造成的远程管理失败
业务网
流控
DPI
深度合成
IDC/ISP
支撑网
计费接口
网管接口
越权访问
安全措施
网管信息与计费信息的采集通过带外方式进行
在核心网与支撑系统的互联边界部署防火墙等基本安全设备,限制流量
专线接入时采用ACL实现访问控制,严格权限控制
物联网
感知层
传感器
控制器
网络层
接入网
核心网
应用层
数据处理
中间件
云计算
业务支撑
管理系统
网络设备
安全工具
用户:人员权限,访问控制
识别类
防护类
4A
操作审计
ACG(上网行为管理)深信服 科莱 任子行
上网行为管理是指帮助互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。
部署在核心交换机的上层,防火墙的下层,需要并入到网络架构中,最好不要旁挂。
部署在核心交换机的上层,防火墙的下层,需要并入到网络架构中,最好不要旁挂。
监测类
终端:终端防病毒及接入控制
识别类
防护类
防病毒
终端DLP
监测类
数据:备份、数据防泄漏、数据溯源
识别类
安全合规检测
敏感数据识别
防护类
文档加密授权
监测类
数据流转检测
应用:网页防篡改、应用漏洞防护
识别类
源代码审计
WEB漏扫
防护类
网页防篡改
应用防外挂
监测类
网页篡改监测
APP危胁监测
系统:中间件防护,主机合规检查等
识别类
漏洞扫描 绿盟
CGI漏扫
弱口令漏扫
操作系统漏扫
数据库漏扫
端口扫描
逐个尝试与TCP/UDP端口连接,然后根据端口与服务的对应关系,结合服务器的反馈,推断目标系统是否运行了某项服务。
完全连接扫描
三次握手
半连接扫描/SYN扫描
前两次握手
ID头信息扫描
需要dumb主机配合
隐蔽扫描
绕过IDS\防火墙和监视系统
SYN/ACK扫描
发送SYN/ACK数据包,会报错返回RST,端口开放(listening)不返回信息
FIN扫描
发送FIN,看是否返回RESET
ACK扫描
先发FIN,查看返回的TTL和WIN,开放端口TTL小于64,WIN大于0.
NULL扫描
将ACK,FIN,RST,SYN,URG,PSH全部覆空,返回RST则端口关闭
XMAX扫描
将ACK,FIN,RST,SYN,URG,PSH全部置1,返回RST则端口关闭
基于ICMP
ICMP ECHO
ICMP Sweep
broadcast ICMP
NON-ECHO ICMP
形式
基于主机和服务器间
基于外网和DMZ间
防护类
主机防护
监测类
数据库流量审计
网络边界:公网和内网威胁监测、防护
识别类
防火墙策略审计
防护类
防火墙
功能:包过滤、应用代理、NAT、虚拟专网
优点:
1.访问控制
2.监视网络安全情况,对异常信息报警
3.利用NAT技术,缓解网络空间地址问题
优点:
1.访问控制
2.监视网络安全情况,对异常信息报警
3.利用NAT技术,缓解网络空间地址问题
静态包过滤防火墙
第一代防火墙,又称为网络层防火墙,在每一个数据包传送到源主机时都会在网络层进行过滤,对于不合法的数据访问,防火墙会选择阻拦以及丢弃。
过滤规则基于IP包头信息设置,包括TCP/UDP的源或目的端口号、协议类型:TCP、UDP、ICMP等、源或目的的IP地址以及数据包的入接口和出接口
过滤规则基于IP包头信息设置,包括TCP/UDP的源或目的端口号、协议类型:TCP、UDP、ICMP等、源或目的的IP地址以及数据包的入接口和出接口
优点:不用改动客户机或主机上的应用程序,仅仅审核数据包,不监控应用程序,处理速度远高于代理型防火墙
缺点:仅涉及TCP层不能区分好包坏包,需要制定大量规则限制网络访问,创建时间非常耗时,规则增加后路由器吞吐率会下降。不能防范大多数的IP地址欺骗
缺点:仅涉及TCP层不能区分好包坏包,需要制定大量规则限制网络访问,创建时间非常耗时,规则增加后路由器吞吐率会下降。不能防范大多数的IP地址欺骗
状态/动态检测防火墙
状态/动态检测防火墙,可以跟踪通过防火墙的网络连接和包,这样防火墙就可以使用一组附加的标准,以确定该数据包是允许或者拒绝通信。
WAF防火墙
应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反,它是接受来自内部网络特定用户应用程序的通信,然后建立于公共网络服务器单独的连接。
通过特征提取和分块检索技术进行模式匹配来达到过滤,分析,校验网络请求包的目的,在保证正常网络应用功能的同时,隔绝或者阻断无效或者非法的攻击请求
通过特征提取和分块检索技术进行模式匹配来达到过滤,分析,校验网络请求包的目的,在保证正常网络应用功能的同时,隔绝或者阻断无效或者非法的攻击请求
SQL注入漏洞,跨站脚本XSS,文件包含和安全配置错误等漏洞
网络代理:应用层能够检查进出的数据包,通过网关复制传递的数据,防止在受信任服务器和客户机与不受信任主机间直接联系
NAT功能:
1.解决IP地址短缺
2.隐藏内部地址
3.网络负载均衡(共享带宽)
1.解决IP地址短缺
2.隐藏内部地址
3.网络负载均衡(共享带宽)
远程管理:Telnet协议、SSH安全外壳协议、WEB
衡量防火墙性能的5大指标:
吞吐量:在不丢包的情况下单位时间内通过的数据包数量
时延:数据包第一个比特进入防火墙到随后一个比特从防火墙输出的时间间隔
丢包率:通过防火墙时所丢失数据包数量占所发送数据包的比率
并发连接数:防火墙能够同时处理的点对点连接的最大数目
新建连接数:在不丢包的情况下每秒可以建立的最大连接数
吞吐量:在不丢包的情况下单位时间内通过的数据包数量
时延:数据包第一个比特进入防火墙到随后一个比特从防火墙输出的时间间隔
丢包率:通过防火墙时所丢失数据包数量占所发送数据包的比率
并发连接数:防火墙能够同时处理的点对点连接的最大数目
新建连接数:在不丢包的情况下每秒可以建立的最大连接数
入侵检测与防御IDS/IPS
网络层防护
传统防火墙作用在2-4层,对4层以上的防护作用很小(4层以上需要拆数据包,而拆数据包会影响速率),病毒软件工作在5-7层,这样中间4-5层属于空挡,所以IPS是作为病毒软件和防火墙的补充,作用在4-5层,比IDS多了防御
缺点:IPS的防护方式一般以阻断受保护源和外界的联系为主,这样带来的一个弊端就是,网络资源被保护了,但是同时该网络资源的对外提供的服务也被阻断或者削弱
CIDF入侵检测框架
事情产生器
目的是从整个计算环境中获得时间,并向系统其他部件提供此问题
事件分析器
经过分析得到数据并产生结果
响应单元
可以切断连接、改变文件属性,报警
事件数据库
功能
监控、分析用户和系统活动
审计系统的配置和弱点
识别攻击的活动模式
检查关键系统和数据文件的完整性
对反常行为模式的统计分析
类型
基于主机
基于网络
抗DDOS
VPN 深信服
SIEM(安全信息和事件管理)
它可以为IDS/IPS提供更深入的了解,减少误报,漏报等情况;自动警报;
它通常会从所有类型的联网系统日志中提取安全数据,用来汇总确保了所有相关日志都会被包含在内以便提供一种整体视角。同时关联确保相关事件被放在合适的环境中。
时间同步,所有类型的联网服务器与SIEM时间同步;
删除重复事件,减少安全员处理数据的困难度;
一次写入多次读取,保护SIEM的日志安全,防止黑客删除。
它通常会从所有类型的联网系统日志中提取安全数据,用来汇总确保了所有相关日志都会被包含在内以便提供一种整体视角。同时关联确保相关事件被放在合适的环境中。
时间同步,所有类型的联网服务器与SIEM时间同步;
删除重复事件,减少安全员处理数据的困难度;
一次写入多次读取,保护SIEM的日志安全,防止黑客删除。
监测类
APT监测
僵木蠕
云计算
服务模式
IAAS
计算资源
云主机
云主机备份
存储资源
云存储
网盘
弹性块存储、备份、快照
网络资源
弹性负载均衡
带宽出租
弹性公网IP
SDN/VPC
VPN
CDN
DNS
安全资源
web应用防护
WEB漏洞检测
日志留存分析
抗D
系统漏洞扫描检测
网站木马后门检测
异地登陆检测
防暴力破解
PAAS
服务组件
运行环境
API
SAAS
应用配置
应用模块
应用逻辑
部署模型
私有云
公有云
混合云
监控服务
物理资源监控
虚拟资源监控
网络监控
运营平台监控
用户操作监控
安全服务
安全告警
流程管理
漏洞管理
安全资产管理
作业任务管理
运营管理平台
变更管理
单点登录
统计分析
故障告警
云原生
容器
编排系统
微服务
网络攻击常见技术方法
口令破解
以破解弱口令作为突破口
暴力破解
缓冲区溢出
向缓冲区写入超长、预设的内容,导致缓冲区溢出,覆盖其他正常的程序或数据,然后让计算机运行预设的程序
恶意代码
病毒
蠕虫
具有复制传播功能: 震网,红色代码
木马
控制主机
后门
逻辑炸弹
僵尸网络
DDOS(D Denial of service)
恶意消耗系统资源(CPU、内存、硬盘、网络带宽)导致不能为正常用户提供服务
同步包风暴(SYN Flood)
发送大量伪造的TCP连接请求,但不进行第三次握手,占满队列空间使系统挂起,耗内存
UDP Flood
持续发送海量UDP报文,消耗目标网络带宽
Smurf攻击
实际流量小,危害不大
垃圾邮件
发送垃圾信息,耗硬盘
消耗CPU和内存
算法漏洞,Hash DOS
PING of Death
故意发送大于65535字节的IP数据包给对方,使内存溢出并导致TCP/IP堆栈崩溃,死机 已不存在
泪滴
分布式DDOS
winnuke
Land
伪造三次握手,让被攻击主机自己连接自己
APT(advanced persistent threat 高级持续性威胁)
1.技术高级
2.持续时间长,长期信息搜集监控 渗透入侵
3.威胁性大
2.持续时间长,长期信息搜集监控 渗透入侵
3.威胁性大
防范措施:通过安全沙箱,安全大数据和态势感知平台,联动全网安全设备,进行统一分析,及时检测和预防,定期数据备份,漏洞扫描
SQL注入
代理技术
DDOS攻击跳板
数据加密
会话劫持
TCP会话劫持
网络窃听
将网卡设置成混杂模式
网络钓鱼
社会工程学
电子监听
监视电磁波的传送过程
等保
流程
定级
首要环节
备案
必要流程
测评
整改
监督
发展历程
2007年6月 等保开始
2017年6月 网络安全法实施,法律上明确了国家实施网络安全等级保护制度
2019年5月13日 等保基本要求正式发布
等级保护级别
第五级:访问验证保护级
第四级:结构化
1.0和2.0的区别
1.0直接作用于具体信息和信息系统
由计算机或其他信息终端及其
由计算机或其他信息终端及其
漏洞
CWE
CWE-787:越界写入
CWE-79:网页生成期间输入的不正确中和 (跨站点脚本”)
CWE-89:SQL命令中使用的特殊元素的不正确中和 (SQL 注入”)
CWE-20:输入验证不当
CWE-125:越界读取
CWE-78:操作系统命令中便用的特殊元素的不正确中和 (“操作系统命令注入“)
CWE-416:免费后使用
CWE-22:路径名对受限目录的不当限制(“路径遍历”)
CWE-352:跨站请求伪造(CSRF)
CWE-434:无限制上传危险类型文件
CWE-476:NULL 指针取消引用
CWE-502:不可信数据的反序列化
CWF-190:整数溢出或环绕
CWE-287:身份验证不当
CWE-798:使用硬编码凭证
CWE-862:缺少授权
CWE-77:命令中使用的特殊元素的不正确中和 (“命令注入”)
CWE-306:缺少关键功能的身份验证
CWE-119:内存缓冲区范围内的操作限制不当
CWE-276:不正确的默认权限
CWE-918:服务器端请求伪造(SSRF)
CWE-362:使用不正确同步的共享资源并发执行 (”竞争条件”)
CWE-400:不受控制的资源消耗
CWE-611:XML 外部实体引用的不当限制
CWE-94:代码生成控制不当(”代码注入”)
CWE-79:网页生成期间输入的不正确中和 (跨站点脚本”)
CWE-89:SQL命令中使用的特殊元素的不正确中和 (SQL 注入”)
CWE-20:输入验证不当
CWE-125:越界读取
CWE-78:操作系统命令中便用的特殊元素的不正确中和 (“操作系统命令注入“)
CWE-416:免费后使用
CWE-22:路径名对受限目录的不当限制(“路径遍历”)
CWE-352:跨站请求伪造(CSRF)
CWE-434:无限制上传危险类型文件
CWE-476:NULL 指针取消引用
CWE-502:不可信数据的反序列化
CWF-190:整数溢出或环绕
CWE-287:身份验证不当
CWE-798:使用硬编码凭证
CWE-862:缺少授权
CWE-77:命令中使用的特殊元素的不正确中和 (“命令注入”)
CWE-306:缺少关键功能的身份验证
CWE-119:内存缓冲区范围内的操作限制不当
CWE-276:不正确的默认权限
CWE-918:服务器端请求伪造(SSRF)
CWE-362:使用不正确同步的共享资源并发执行 (”竞争条件”)
CWE-400:不受控制的资源消耗
CWE-611:XML 外部实体引用的不当限制
CWE-94:代码生成控制不当(”代码注入”)
OWASP
序号 OWASP TOP10 描述 解决方案
1 访问控制失效 用户可以访问没有权限的内容
2 加密失败(敏感数据暴露) 在数据传输的过程中窃取数据 创建一个安全的信息传输通道,在所有页面强制执行TLS
3 注入 利用该类漏洞诱使系统执行允许其通过API提供的非正常命令
4 不安全设计 没有威胁建模、安全设计模式和原则以及参考体系结构的设计
5 安全配置错误 不必要的开放端口、默认帐户和密码
6 脆弱过时组件 漏扫
7 识别与认证失败 身份验证实施不当,使攻击者获得访问权限并冒充另一用户的身份
8 软件和数据完整性故障 不安全的反序列化 不接受来自不受信任源的序列化对象,并在应用程序中限制使用序列化对象
9 安全日志与监测失败
10 服务端请求伪造
1 访问控制失效 用户可以访问没有权限的内容
2 加密失败(敏感数据暴露) 在数据传输的过程中窃取数据 创建一个安全的信息传输通道,在所有页面强制执行TLS
3 注入 利用该类漏洞诱使系统执行允许其通过API提供的非正常命令
4 不安全设计 没有威胁建模、安全设计模式和原则以及参考体系结构的设计
5 安全配置错误 不必要的开放端口、默认帐户和密码
6 脆弱过时组件 漏扫
7 识别与认证失败 身份验证实施不当,使攻击者获得访问权限并冒充另一用户的身份
8 软件和数据完整性故障 不安全的反序列化 不接受来自不受信任源的序列化对象,并在应用程序中限制使用序列化对象
9 安全日志与监测失败
10 服务端请求伪造
新技术
XDR(Extended Detection and Response):一个可集成、关联来自多个安全防御、检测与响应组件的数据与告警,并将其情景化的平台
零信任(理念)
前言:目前零信任安全的发展仍处于早期阶段,从营销概念演化为向实际应用落地探索的过程中。本质是基于身份、建立策略驱动的自适应动态访问控制体系。 企业在开展零信任安全建设时,需要面对海量的权限梳理和资产识别工作,涉及企业各个业务系统、认证系统、终端设备以及访问协议的对接,因此很多零信任项目建设都要面对建设周期长、运维压力大、投入产出低的挑战。还应将用户体验放在首位,如果员工认为复杂的零信任方案阻碍了正常业务工作开展,就会设法绕过流程中包含的安全防护环节,不能真正实现零信任安全建设的预期目标。
五个关键步骤
界定保护范围、映射事务流、构建零信任架构、制定零信任策略以及监控和维护网络
三大技术
软件定义边界(SDP)
理念:以身份认证为中心,以信任为基础,默认一切参与因素不受信;最小权限原则,动态访问控制和授权,持续的安全防护。
组件
发起主机(客户端)
接受主机(服务端)
SDP 控制器
功能特点
网络隐身
利用安全接入网关单包授权认证,收敛隐藏企业服务资源(IP、端口),以及零信任控制中心、安全网关的端口,减小暴露面,防扫描,防DDos攻击。
利用安全接入网关单包授权认证,收敛隐藏企业服务资源(IP、端口),以及零信任控制中心、安全网关的端口,减小暴露面,防扫描,防DDos攻击。
统一接入
支持TCP/UDP以上协议的企业Web服务、API服务、数据服务及API级别的的统一接入、反向代理、流量卸载、协议检测、协议转换、灰度发布、熔断机制。
支持TCP/UDP以上协议的企业Web服务、API服务、数据服务及API级别的的统一接入、反向代理、流量卸载、协议检测、协议转换、灰度发布、熔断机制。
最小授权
基于身份进行细粒度的访问控制,只赋予用户完成特定工作所需的最小访问权限,以应对越来越严峻的越权横向移动风险。
基于身份进行细粒度的访问控制,只赋予用户完成特定工作所需的最小访问权限,以应对越来越严峻的越权横向移动风险。
持续评估
用户访问过程中,持续采集用户终端的系统风险、网络环境,持续对用户信任等级进行评分。
用户访问过程中,持续采集用户终端的系统风险、网络环境,持续对用户信任等级进行评分。
实时认证
登录时的身份验证,登录后访问业务系统过程中,也会对每个请求进行实时检测、威胁定级、或者再次发起身份认证。
登录时的身份验证,登录后访问业务系统过程中,也会对每个请求进行实时检测、威胁定级、或者再次发起身份认证。
动态策略
根据用户的登陆习惯变化(如时间、地理位置、网络等),并结合终端检测分析及用户访问行为,动态调整用户授权策略。
根据用户的登陆习惯变化(如时间、地理位置、网络等),并结合终端检测分析及用户访问行为,动态调整用户授权策略。
服务隔离
业务服务间访问流量采集、业务访问关系拓扑图绘制、业务访问控制策略管理、流量日志审计。
业务服务间访问流量采集、业务访问关系拓扑图绘制、业务访问控制策略管理、流量日志审计。
身份识别与访问管理(IAM)
零信任最核心的部分;让对的人在对的时间以对的理由访问对的资源
认证:通过确认实体(包含人与设备等)的身份,建立信任,其中包括多因素认证等。
访问控制:确定实体通过认证之后,匹配怎样的权限,访问怎样的系统。
身份治理:对实体在整个生命周期内(如员工入职、转正、调岗、离职等身份变更过程)进行身份管理,匹配正确的权限。
特权身份管理:是对管理员等权限较高的账户等进行进一步管理。
微隔离(MSG)
微隔离的实现方式是将数据中心内部所有的业务按照特定的原则划分为数个微小的网络节点,根据动态策略分析对这些节点执行访问控制,在逻辑上将这些节点隔离开,限制用户横向移动
三种主流技术路线
基于agent客户端实现微隔离
这种模式需要每个服务器的操作系统上装一个agent。Agent调用主机自身的防火墙或内核自定义防火墙来做服务器间的访问控制。这种模式就是NIST的用微隔离实现零信任的模式。
优点:与底层无关,支持容器,支持多云。
缺点:必须在每个服务器上安装agent客户端。会担心资源占用问题,担心影响现有业务。
基于云原生能力实现微隔离
使用云平台基础架构中虚拟化设备自身的防火墙功能来做访问控制。这种在虚拟化平台提供者中比较常见,在虚拟化平台、laas、hypervisor或者基础设施中提供,比如阿里云、VMware NSX等。
优点: 隔离功能与基础架构都是云提供的,所以两者兼容性更好,操作界面也类似。
缺点: 无法跨越多个云环境进行统一管控。
基于第三方防火墙实现微隔离
主要是基于第三方防火墙供应商提供的虚拟化防火墙。这种方案的优势在于具备丰富的安全能力,如:入侵检测、防病毒等功能,能集成IPS、av等功能,与防火墙配置逻辑一致,普遍支持自动化编排。
优点:网络人员很熟悉,有入侵检测、防病毒等功能。
缺点:需要与虚拟化平台做对接,费用高,且有性能损耗。
零信任安全架构核心包括两大平面和三大逻辑组件:控制平面和数据平面将策略与资源访问时的数据交互进行分离;策略引擎、控制引擎和安全代理逻辑组件协作,实现资源访问的信任评估和权限授予,控制访问主体和被访问资源间的连接建立与否
延伸技术:隐私计算(在保证数据提供方不泄露敏感数据的前提下,对数据进行分析计算并能验证计算结果)
可信计算
核心思想是以可信硬件为载体,提供硬件级强安全隔离和通用计算环境(包括操作系统及其标准安全机制、计算机硬件、物理位置、网络资源和规定的程序),在完善的密码服务加持下形成“密室”,数据仅在“密室”内才进行解密并计算,除此之外任何其他方法都无法接触到数据明文内容。数据在离开“密室”之前又会被自动加密,从而实现“可用不可见”。
多方计算
安全多方计算、同态加密、零知识证明等技术都是属于这一范畴。其核心思想是设计特殊的加密算法和协议,从而支持在加密数据之上(即不接触数据明文内容)直接进行计算,得到所需的计算结果
联邦训练
联邦学习本质上是一种分布式机器学习技术,或机器学习框架,其目标是在保证数据隐私安全及合法合规的基础上,进行数据联合训练,建立共享的机器学习模型
主要驱动因素有:技术、政策和事件。技术方面,新的技术催生新的应用场景和安全需求;政策方面,行业法规政策不断,等保 2.0 的实施将进一步催化需求加速落地,攻防演练成为常规合规项目利好空间释放;事件方面,安全事件频发引发的内生的需求增量.
网络与信息安全体系
安全建设路径
网络与信息安全体系架构分为安全管理平台及安全措施手段,安全管理平台现网部署4A管理平台,网络部ISMP,信息技术部SDP等平台,实现对现网系统设备的安全事件管理、安全基础设施管理、安全态势分析及安全威胁处置。
安全措施手段分为网络安全手段与信息安全手段。网络安全主要关注基础设施、应用系统安全,安全防护体系包括事前检测与防护,事中监测及事后应急处置四个方面。
安全检测:是对基础设施、应用及APP的脆弱性进行安全评估,发现潜在安全漏洞、配置弱点、弱口令、木马后门及网络访问控制策略设置不当等问题。
安全防护:是对基础设施、应用及APP的脆弱性进行防护,防范已知攻击,防护手段上主要有两种。一种是在基础设施上部署嵌入式防护软件,防范病毒、木马和系统漏洞攻击,自动更新安全补丁,进行网络访问控制;另一种是在网络层部署防护设备,防范系统攻击,如网络防火墙、数据库防护墙等。
安全监测:主要是对WEB、APP、系统层APT攻击行为进行监测分析,为防护和应急处置提供参考依据。
应急处置:是指当发生安全事件时,通过各种安全手段的联动,及时有效的对攻击行为进行拦截封堵,遏制事态扩大。
信息安全手段主要为2/3/4G核心网信令及媒体端口,IDC互联网出口及自由业务平台提供日志分析留存,现网包括日志留存系统、互联网信息安全管控、骚扰电话机垃圾短信等不良信息监控系统。
(一)安全管理平台同步接入
(1)系统应划分安全域,做好边界隔离,网络访问策略支持授权最小化原则,支持系统内部划分为核心生产区、互联网接口区、内部互联接口区和核心交换区、安全管理区等安全子域。
(2)新入网的设备均需要接入到全省集中设置的4A系统,方便运维人员进行管理与维护。4A系统可以实现对运维人员的账号管理、认证管理、授权管理和审计管理,保证对设备访问和操作的安全性,并能够实现追踪和溯源,防止数据泄露、破坏网络等恶意行为。
(3)新入网的设备通过4A系统接入,由现网ISMP平台进行安全管理,通过调用现网安全监测、检测、防护及处置等工具,对现网设备进行入侵态势分析、漏洞扫描、弱口令管理、网页篡改应急、域名劫持应急等安全措施,进行态势感知呈现等安全服务。
(4)依靠于现网威胁监测平台,通过在公网出口部署全省统一的流量采集设备,通过平台对其流量进行入侵检测分析、APT监测分析、异常流量分析等各种行为分析,为针对性防护和处置提供依据和奠定基础。
(5)依靠于现网集中扫描平台,该平台通过集中调用绿盟、安恒等扫描器进行系统层、应用层漏洞。
(6)一键处置平台,实现对网页篡改的处置、实现对入侵攻击的处置、实现对恶意程序URL的处置、实现对DNS劫持的处置等。
(二)基础安全工具同步部署
(1)系统与互联网出口侧需通过设置网络防火墙实现IP层的安全防护,主要负责安全策略的执行和用户接入许可策略等。
(2)在省网出口处部署僵木蠕监测系统,对僵木蠕行为的深度检测告警并实现处置;
(3)在CMNET省网、地市城域网和各IDC出口部署DDOS流量清洗设备,如发现有DDOS攻击行为,对DDOS流量进行清洗;
(4)针对网页及互联网电视系统暴露面设备的防护应加载防篡改软件;
(5)在WINDOWS操作系统上部署防病毒软件。
(6)通过公网访问公司内部网络,需通过现网部署的SSL VPN进行访问,实现对公网远程登录内网区域运维的安全性。
(7)针对重要和核心数据库,需要部署数据库防火墙、数据溯源等工具,实现重要数据的安全防护;
(8)针对敏感的数据库,部署数据库脱敏工具或系统,对敏感数据根据一定的规则进行自动脱敏等操作。
(9)新部署的服务器及虚拟机等设备需安装EDR探针,探针记录大量主机和网络事件,并将这些数据发送到EDR管理平台,然后由管理平台进行全面的安全分析,根据已知攻击指示器(IOC)、行为分析和机器学习等技术来检测安全攻击行为,并对这些攻击做出快速的响应动作。
(10)对于核心网信令类及媒体类端口,同步部署DPI探针、防火墙前置机的设备进行上网日志分析及留存。
(11)对于短信网管及短信中心,接入到现网垃圾短信平台进行统一信息监控并处置。
(12)对于IDC出口,地市专线出口及政企云出口统一部署EU设备,根据CU的指令实现对相关信息的过滤、封堵等功能,同时产生信安日志和访问日志,留存6个月并提供查询接口。
安全措施手段分为网络安全手段与信息安全手段。网络安全主要关注基础设施、应用系统安全,安全防护体系包括事前检测与防护,事中监测及事后应急处置四个方面。
安全检测:是对基础设施、应用及APP的脆弱性进行安全评估,发现潜在安全漏洞、配置弱点、弱口令、木马后门及网络访问控制策略设置不当等问题。
安全防护:是对基础设施、应用及APP的脆弱性进行防护,防范已知攻击,防护手段上主要有两种。一种是在基础设施上部署嵌入式防护软件,防范病毒、木马和系统漏洞攻击,自动更新安全补丁,进行网络访问控制;另一种是在网络层部署防护设备,防范系统攻击,如网络防火墙、数据库防护墙等。
安全监测:主要是对WEB、APP、系统层APT攻击行为进行监测分析,为防护和应急处置提供参考依据。
应急处置:是指当发生安全事件时,通过各种安全手段的联动,及时有效的对攻击行为进行拦截封堵,遏制事态扩大。
信息安全手段主要为2/3/4G核心网信令及媒体端口,IDC互联网出口及自由业务平台提供日志分析留存,现网包括日志留存系统、互联网信息安全管控、骚扰电话机垃圾短信等不良信息监控系统。
(一)安全管理平台同步接入
(1)系统应划分安全域,做好边界隔离,网络访问策略支持授权最小化原则,支持系统内部划分为核心生产区、互联网接口区、内部互联接口区和核心交换区、安全管理区等安全子域。
(2)新入网的设备均需要接入到全省集中设置的4A系统,方便运维人员进行管理与维护。4A系统可以实现对运维人员的账号管理、认证管理、授权管理和审计管理,保证对设备访问和操作的安全性,并能够实现追踪和溯源,防止数据泄露、破坏网络等恶意行为。
(3)新入网的设备通过4A系统接入,由现网ISMP平台进行安全管理,通过调用现网安全监测、检测、防护及处置等工具,对现网设备进行入侵态势分析、漏洞扫描、弱口令管理、网页篡改应急、域名劫持应急等安全措施,进行态势感知呈现等安全服务。
(4)依靠于现网威胁监测平台,通过在公网出口部署全省统一的流量采集设备,通过平台对其流量进行入侵检测分析、APT监测分析、异常流量分析等各种行为分析,为针对性防护和处置提供依据和奠定基础。
(5)依靠于现网集中扫描平台,该平台通过集中调用绿盟、安恒等扫描器进行系统层、应用层漏洞。
(6)一键处置平台,实现对网页篡改的处置、实现对入侵攻击的处置、实现对恶意程序URL的处置、实现对DNS劫持的处置等。
(二)基础安全工具同步部署
(1)系统与互联网出口侧需通过设置网络防火墙实现IP层的安全防护,主要负责安全策略的执行和用户接入许可策略等。
(2)在省网出口处部署僵木蠕监测系统,对僵木蠕行为的深度检测告警并实现处置;
(3)在CMNET省网、地市城域网和各IDC出口部署DDOS流量清洗设备,如发现有DDOS攻击行为,对DDOS流量进行清洗;
(4)针对网页及互联网电视系统暴露面设备的防护应加载防篡改软件;
(5)在WINDOWS操作系统上部署防病毒软件。
(6)通过公网访问公司内部网络,需通过现网部署的SSL VPN进行访问,实现对公网远程登录内网区域运维的安全性。
(7)针对重要和核心数据库,需要部署数据库防火墙、数据溯源等工具,实现重要数据的安全防护;
(8)针对敏感的数据库,部署数据库脱敏工具或系统,对敏感数据根据一定的规则进行自动脱敏等操作。
(9)新部署的服务器及虚拟机等设备需安装EDR探针,探针记录大量主机和网络事件,并将这些数据发送到EDR管理平台,然后由管理平台进行全面的安全分析,根据已知攻击指示器(IOC)、行为分析和机器学习等技术来检测安全攻击行为,并对这些攻击做出快速的响应动作。
(10)对于核心网信令类及媒体类端口,同步部署DPI探针、防火墙前置机的设备进行上网日志分析及留存。
(11)对于短信网管及短信中心,接入到现网垃圾短信平台进行统一信息监控并处置。
(12)对于IDC出口,地市专线出口及政企云出口统一部署EU设备,根据CU的指令实现对相关信息的过滤、封堵等功能,同时产生信安日志和访问日志,留存6个月并提供查询接口。
数字化安全体系设计
检测和发现攻击平面
网络安全现场分析报告
失陷主机报告
保护各攻击平面中已知威胁
Internet入口-NGFW
内网威胁
ISFW
数据中心
DDOS+DCFW+IPS+MAIL+WEB+负载均衡
检测未知威胁
端点安全+沙箱
邮件网关安全+沙箱
NGFW+WAF+沙箱
快速响应
NoC/SoC体系建立
主动发现威胁
主动服务
可信度评估
安全等级评估
安全体系有效性评估
应急响应
安全报告
事件级别
事件类型
攻击者IP
攻击时间
攻击路径
攻击画像
数据安全
目标
合规,贴合业务,将数据风险降低至可接受水平,让数据使用更安全。
数据安全治理评估
业务识别
安全责权
业务关系
关键路径
安全偏好
数据识别
风险识别
管理风险
技术风险
运营风险
策略保障
能力目标
策略梳理
策略制定
策略优化
流程优化
管理优化
数据安全组织结构建设
数据安全管理制度建设
数据安全技术保护体系建设
数据安全运营建设
数据安全运维:主要是数据安全措施的使用、运维,驻场或定期对数据安全产品的使用情况进行分析,并结合管理要求,持续进行管控措施策略和配置的优化,并定期输出数据安全运维报告和策略优化建议等;
应急预案与演练:按照相关要求,制定数据安全事件应急预案。并按照制定的应急规划,按照安全事件的危害程度、影响范围等对安全事件建分级,定期进行应急预案演练;
监测预警:围绕数据安全目标,依据相关安全标准,建立数据安全监测预警和安全事件通报制度,收集分析数据安全信息,对安全风险及时上报,包括按需发布数据安全监测预警信息等;
应急处置:相关方按照应急预案,在发生安全事件时,采取应急处置措施,向主管部门上报重大安全事件,定期对应急预案和处置流程优化完善;
灾难恢复:在数据安全事件发生后,根据安全事件的影响和优先级,采取合适的恢复措施,确保信息系统业务流程按照规划目标恢复。
应急预案与演练:按照相关要求,制定数据安全事件应急预案。并按照制定的应急规划,按照安全事件的危害程度、影响范围等对安全事件建分级,定期进行应急预案演练;
监测预警:围绕数据安全目标,依据相关安全标准,建立数据安全监测预警和安全事件通报制度,收集分析数据安全信息,对安全风险及时上报,包括按需发布数据安全监测预警信息等;
应急处置:相关方按照应急预案,在发生安全事件时,采取应急处置措施,向主管部门上报重大安全事件,定期对应急预案和处置流程优化完善;
灾难恢复:在数据安全事件发生后,根据安全事件的影响和优先级,采取合适的恢复措施,确保信息系统业务流程按照规划目标恢复。
数据安全监管建设
法律规范
DSMM
评估内容(DSMM评估以组织为单位,以数据为中心,围绕四个安全能力维度、七个安全过程维度、五个安全能力等级评价组织的数据安全能力。)
四个能力维度
组织建设
制度流程
技术工具
人员能力
七个安全过程
采集
数据分类分级
数据采集安全管理
数据源鉴别及记录
数据质量管理
传输
数据传输加密
网络可用性管理
存储
存储媒体安全
逻辑存储安全
数据备份和恢复
处理
数据脱敏
数据分析安全
数据正当使用
数据处理环境安全
数据导入导出安全
交换
共享安全
发布安全
接口安全
销毁
数据销毁处置
存储媒体销毁处置
通用
策略规划
组织和人员管理
合规管理
资产管理
供应链管理
元数据管理
终端数据安全
监控与审计
鉴别与访问控制
需求分析
安全事件应急
五个安全等级
非正式执行
计划跟踪
充分定义
量化控制
持续优化
DSG
https://mp.weixin.qq.com/s/dop64UvPSsQae7WNIAGLvw
安全服务
安全方案与集成
风险评估
应急响应
攻防实训
渗透测试
安全运维
培训认证
安全意识教育
安全众测
0 条评论
下一页
