等保风评加固应急响应一、安全加固背景随着IP技术的飞速发展一个组织的信息系统经常会面临内部和外部威胁的风险网络安全已经成为影响信息系统的关键问题。虽然传统的防火墙等各类安全产品能提供外围的安全防护但并不能真正彻底的消除隐藏在信息系统上的安全漏洞隐患。信息系统上的各种网络设备、操作系统、数据库和应用系统存在大量的安全漏洞比如安装、配置不符合安全需求参数配置错误使用、维护不符合安全需求被注入木马程序安全漏洞没有及时修补应用服务和应用程序滥用开放不必要的端口和服务等等。这些漏洞会成为各种信息安全问题的隐患。一旦漏洞被有意或无意地利用就会对系统的运行造成不利影响如信息系统被攻击或控制重要资料被窃取用户数据被篡改隐私泄露乃至金钱上的损失网站拒绝服务。面对这样的安全隐患该如何办呢安全加固就是一个比较好的解决方案。安全加固就像是给一堵存在各种裂缝的城墙进行加固封堵上这些裂缝使城墙固若金汤。实施安全加固就是消除信息系统上存在的已知漏洞提升关键服务器、核心网络设备等重点保护对象的安全等级。安全加固主要是针对网络与应用系统的加固是在信息系统的网络层、主机层和应用层等层次上建立符合安全需求的安全状态。安全加固一般会参照特定系统加固配置标准或行业规范根据业务系统的安全等级划分和具体要求对相应信息系统实施不同策略的安全加固从而保障信息系统的安全。加固服务安全加固服务是指是根据专业安全评估结果制定相应的系统加固方案针对不同目标系统通过打补丁、修改安全配置、增加安全机制等方法合理进行安全性加强。加固目标1确保对象满足安全基线要求2优化配置安装适用的安全软件等加强对象的安全性能3从实践角度检验安全策略的有效性加固原则1标准性原则2整体性原则3规范性原则4最小影响原则5可控性原则6保密原则加固内容1操作系统加固通过全面了解服务器操作系统运行状况和安全状况采取补丁修补并优化和加强账号口令、日志审核、网络性能、文件系统、权限控制、服务和进程等的安全性能。包括各种操作系统Windows、Linux、各种Unix等2数据库加固通过了解数据库系统的运行状况采取补丁修补并优化和加强账号口令、日志审核、网络属性、相关文件、数据库配置存储过程等的安全性能。包括各种数据库系统SqlServer、MySQL、DB2、oracle等3网络服务加固通过了解常见网络服务的运行状况和安全状况采取补丁修补并优化和加强网络属性、日志审核、目录和相关文件等的安全性能。这些网络服务包括www、mail、DNS以及其他的常见网络服务4网络设备加固通过了解各种网络设备的运行状况和安全状况采取升级并优化和加强访问控制、账号口令、网络属性、服务等的安全性能。这些网络设备包括各个厂商的路由器、交换机、防火墙等信息安全加固流程加固事项安全加固操作是有一定风险的这些可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致也可能是因为加固方案的不完善或者实施过程中的误操作引起。二、等级保护信息安全等级保护信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作。1对信息系统分等级进行安全保护和监管2对信息安全产品的使用实行分等级管理3信息安全事件实行分等级响应、处置的制度注将涉密系统按照涉密程度分为绝密级、机密级、秘密级实行分级保护等级保护制度的地位和作用1是国家信息安全保障工作的基本制度、基本国策2是开展信息安全工作的基本方法3是促进信息化、维护国家信息安全的根本保障为什么要实施信息安全等级保护1信息安全形式严峻①.敌对势力的入侵、攻击、破坏②.针对基础信息信息网络和重要信息系统的违法犯罪持续上升③.基础信息网络和重要信息系统安全隐患严重2是维护国家安全的需求①.基础信息网络与重要信息系统已成为国家关键基础设施②.信息安全是国家的重要组成部分③.信息安全是非传统安全信息安全本质是信息对抗、技术对抗实施等级保护制度的主要目的(1)明确重点、突出重点、保护重点(2)有利于同步建设、协调发展(3)优化信息安全资源的配置(4)明确信息安全责任(5)推动信息安全产业发展(6)国家发展改革部门、财政部门、科技部门、公安机关对重要信息系统在政策上给予支持等级保护各方职责等级保护发展历程等级保护实施流程等级保护五个级别部分公安部要求示例1《信息安全技术信息安全风险评估规范》GB/T 20984-20072《信息安全技术 信息安全风险评估实施指南》GBT 31509-20153《信息安全技术 网络安全等级保护基本要求》GB/T 17859-19994《信息安全等级保护管理办法》公通字[2007]43号5《信息安全技术 网络安全等级保护基本要求》GB/T 22239-20196《信息安全技术 信息系统安全等级保护定级指南》GB/T 22240-20207《信息安全技术 信息系统安全等级保护实施指南》GB/T 25058-20108《信息安全技术 网络安全等级保护测评要求》GB/T 28448-20199《信息安全技术 网络安全等级保护测评过程指南》GB/T 28449-2018测评目标等级测评是指由公安部等级保护评估中心授权的等级保护测评机构依据国家信息安全等级保护制度规定按照有关管理规范和技术标准对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。通过信息安全等级测评机构对已完成的等级保护建设的信息系统定期进行等级测评确保信息系统的安全保护措施符合相应等级的安全要求。注意三级每年一次四级半年一次二级两年一次测评的内容不同级别系统要求项的差异测评机构不得从事下列活动1影响被测评信息系统正常运行危害被测评信息系统安全2泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密3故意隐瞒测评过程中发现的安全问题或者在测评过程中弄虚作假未如实出具等级测评报告4未按规定格式出具等级测评报告5非授权占有、使用等级测评相关资料及数据文件6分包或转包等级测评项目7信息安全产品开发、销售和信息系统安全集成8限定被测评单位购买、使用其指定的信息安全产品9其他危害国家安全、社会秩序、公共利益以及被测评单位利益的活动。三、风险评估安全服务的定义“由供应商、组织机构或人员所执行的一个安全过程或任务。” —— ISO/IEC TR 15443-1: 2005《信息技术、安全技术、IT安全保障框架》安全服务内容风险评估术语风险风险是特定的威胁利用资产的脆弱性从而对组织造成的一种潜在损害。风险的严重程度与资产价值的损害程度及威胁发生的频度成正比。资产任何对组织有价值的事务。包括信息、软件、硬件、服务、人员、其它等。威胁非预期事件的潜在原因这些事件可能对系统或组织造成损害。脆弱点/脆弱性可能被一个或多个威胁利用的一个或一组资产的弱点。风险评估信息安全风险是指在信息化建设中各类应用系统及其赖以运行的基础网络、处理的数据和信息由于其可能存在的软硬件缺陷、系统集成缺陷等以及信息安全管理中潜在的薄弱环节而导致的不同程度的安全风险。信息安全风险评估是从风险管理的角度运用科学的手段系统的分析网络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度为防范和化解信息安全风险或者将风险控制在可以接受的水平制定有针对性的抵御威胁的防护对策和整改措施以最大限度的保障网络和信息安全提供科学依据。风险评估目的风险评估各要素风险评估实施流程风险评估准备1确定风险评估的目标2确定风险评估的范围3组建适当的评估管理与实施团队4进行系统调研5确定评估依据和方法6制定风险评估方案7获得最高管理者对风险评估工作的支持漏洞扫描流程风险分析方法风险计算原理-相乘法计算四、小结至此《跟我一起学“网络安全”》的系列篇章已圆满落幕。我深知我所分享的仅仅是网络安全领域的冰山一角最基础、最浅显的知识点。网络安全作为计算机科学中一座巍峨的山峰其深度和广度都远超我的笔墨所能触及。我的系列文章旨在为大家揭开这神秘领域的面纱提供一个初窥门径的机会或许尚不足以称之为真正的入门。然而若你们怀揣着对网络安全深入研究的热忱我诚挚地建议你们积极参与护网行动投身于靶场实践不断锤炼技能总结得失。只有在实战中磨砺才能在这条充满挑战与机遇的道路上越走越远直至攀登至网络安全领域的巅峰。愿你们在未来的探索之旅中收获满满成就非凡