等級保護

基礎安全防護技術概覽網神信息技術（北京）股份有限公司肖寒

CISP、PMP、北京市安全服務高級工程師內部資料請勿外泄1大綱221.1等級保護基本概念-定義是指對信息安全實行等級化保護和等級化管理。根據信息系統應用業務重要程度及其實際安全需求，實行分級、分類、分階段實施保護，保障信息安全和系統安全正常運行，維護國家利益、公共利益和社會穩定。等級保護的核心是對信息系統特別是對業務應用系統安全分等級、按標準進行建設、管理和監督。國家對信息安全等級保護工作運用法律和技術規范逐級加強監管力度。突出重點，保障重要信息資源和重要信息系統的安全。31.1等級保護基本概念-深入理解信息安全等級保護是指：對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統實行分等級實行安全保護；對信息系統中使用的信息安全產品實行按等級管理；對信息系統中發生的信息安全事件實行分等級響應、處置。4等級保護政策體系頒布時間文件名稱文號頒布機構內容及意義1994年2月18日《中華人民共和國計算機信息系統安全保護條例》國務院147號令國務院第一次提出信息系統要實行等級保護，并確定了等級保護的職責單位。2003年9月7日《國家信息化領導小組關于加強信息安全保障工作的意見》中辦國辦發[2003]27號中共中央辦公廳國務院辦公廳等級保護工作的開展必須分步驟、分階段、有計劃的實施。明確了信息安全等級保護制度的基本內容。2004年9月15日《關于信息安全等級保護工作的實施意見》公通字[2004]66號公安部國家保密局國家密碼管理委員會辦公室（國家密碼管理局）國務院信息化工作辦公室將等級保護從計算機信息系統安全保護的一項制度提升到國家信息安全保障的一項基本制度。2007年6月22日《信息安全等級保護管理辦法》公通字[2007]43號明確了信息安全等級保護制度的基本內容、流程及工作要求，明確了信息系統運營使用單位和主管部門、監管部門在信息安全等級保護工作中的職責、任務。2007年7月16日《關于開展全國重要信息系統安全等級保護定級工作的通知》公信安[2007]861號就定級范圍、定級工作主要內容、定級工作要求等事項進行了通知。2007年10月26日《信息安全等級保護備案實施細則》（公信安[2007]1360號）公安部網絡安全保衛局規定了公安機關受理信息系統運營使用單位信息系統備案工作的內容、流程、審核等內容2008年6月10日《公安機關信息安全等級保護檢查工作規范（試行）》（公信安[2008]736號）公安部網絡安全保衛局規定了公安機關開展信息安全等級保護檢查工作的內容、程序、方式以及相關法律文書等，使檢查工作規范化、制度化。2008年8月6日《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》（發改高技[2008]2071號）發改委公安部國家保密局明確了項目驗收條件：公安機關頒發的信息系統安全等級保護備案證明、等級測評報告和風險評估報告。2009年10月27日《關于開展信息系統等級保護安全建設整改工作的指導意見》（公信安[2009]1429號）公安部明確了安全建設整改工作的目標、內容、流程和要求2009年11月6日《信息系統安全等級測評報告模版（試行）》的通知（公信安[2009]1487號）公安部網絡安全保衛局文件明確了等級測評的內容、方法和測評報告格式等內容，用以規范等級測評活動2010年3月12日《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安[2010]303號）公安部要求在全國部署開展信息安全等級保護測評體系建設和開展等級測評相關工作。2010年9月1日《關于開展信息安全等級保護專項監督檢查工作的通知》（公信安[2010]1175號）公安部明確了公安機關網絡安全保衛部門開展信息安全等級保護專項監督檢查工作的目的、內容、檢查方法和進度安排。1.2等級保護基本概念-政策體系5序號標準編號標準分類名稱1GB17859-1999信息安全技術計算機信息系統安全保護等級劃分準則2GB/T22240-2008信息安全技術信息系統安全保護等級定級指南3GB/T22239-2008信息安全技術信息系統安全等級保護基本要求4GB/T24856-2009信息安全技術信息系統等級保護安全設計技術要求5GB/T25058-2010信息安全技術信息系統等級保護實施指南6信息系統安全保護等級測評過程指南7信息系統等級保護測評指南序號標準編號標準分類名稱1GB/T20271-2006信息安全技術信息系統通用安全技術要求2GB/T21052-2006信息安全技術信息系統物理安全技術要求3GB/T20270-2006信息安全技術網絡基礎安全技術要求4GB/T20272-2006信息安全技術操作系統安全技術要求5GB/T20273-2006信息安全技術數據庫管理系統安全技術要求6GB/T21028-2006信息安全技術服務器技術要求7GA/T671-2006信息安全技術終端計算機系統安全等級技術要求8GB/T20269-2006信息安全技術信息系統安全管理要求9GB/T20282-2006信息安全技術信息系統安全工程管理要求1.3級保護基本概念-相關標準6信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。信息系統受到破壞后，會對國家安全造成特別嚴重損害。第五級第四級第三級第二級第一級1.4等級保護基本概念-安全保護等級全國的信息系統（包括網絡）按照重要性和受破壞后的危害性分成五個安全保護等級7系統等級信息系統類型示例二級地市級以上國家機關、企事業單位內部一般的信息系統。非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。三級地市級以上國家機關、企業、事業單位內部重要的信息系統。涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統；跨省或全國聯網運行的用于生產、調度、管理、指揮、作業、控制等方面的重要信息系統；中央各部委、省（區、市）門戶網站和重要網站；跨省聯接的網絡系統等。四級國家重要領域、部門中涉及國計民生、國家利益、國家安全，影響社會穩定的核心系統。電力生產控制系統銀行核心業務系統電信骨干傳輸網鐵路客票系統列車指揮調度系統等。1.5等級保護基本概念-系統等級分類8定級：明確責任主體、自主定級、專家審核、上級主管單位審批；備案：定級系統須在上級主管單位及屬地公安機關備案；建設整改：根據《基本要求》進行安全加固與改進；等級測評：邀請具有等級測評資質的測評機構進行安全等級測評；監督檢查：通過安全檢查的方式持續改進系統安全。系統定級系統備案建設整改等級測評監督檢查1.6等級保護基本概念-規定動作9不同信息系統的安全保護等級相同，但其內在安全需求可能會有所不同，業務信息安全和系統服務安全保護等級也可能不同。（5個等級，25種組合）保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改的信息安全類要求（簡記為S）；保護系統連續正常的運行，免受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求（簡記為A）；通用安全保護類要求（簡記為G）。安全保護等級信息系統基本保護要求的組合第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五級S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G51.7等級保護基本概念-系統等級與安全要求對應關系10信息系統安全管理建設信息系統安全技術建設開展信息系統安全自查和等級測評信息系統安全保護現狀分析信息系統安全建設整改工作規劃和工作部署確定安全策略，制定安全建設整改方案物理安全網絡安全主機安全應用安全數據安全安全管理機構安全管理制度人員安全管理系統建設管理系統運維管理以安全保發展發展中求安全1.8等級保護基本概念-基本要求11電力供應電磁防護物理機房Internet互聯網區應用存儲區辦公網區辦公終端應用存儲服務器互聯網服務器安全審計身份鑒別訪問控制結構安全訪問控制身份鑒別安全審計訪問控制入侵防范存儲數據傳輸數據處理數據備份和恢復完整性保密性1.9等級保護基本概念-實施步驟-差距分析12應用層SQL注入身份冒用溢出攻擊數據竊取傳輸竊聽數據重放主機層弱口令系統漏洞病毒入侵資源占用黑客攻擊網絡層帶寬資源濫用非法接入非法外聯區域混亂協議攻擊中間人攻擊信息泄露物理層斷電物理攻擊非法進出盜竊火災數據層篡改非法訪問丟失泄露不可用計算環境區域邊界網絡通信安全管理缺乏組織缺乏流程人員安全意識不足缺乏過程控制缺乏專業技能缺乏安全監控管理不到位1.9等級保護基本概念-實施步驟-差距分析131.9等級保護基本概念-實施步驟-方案編寫依據《信息安全技術-信息系統安全等級保護基本要求》參照《信息安全技術-信息系統等級保護安全設計技術要求》引入“安全域”的概念，強化訪問控制安全技術控制策略安全管理控制策略1.9等級保護基本概念-實施步驟-方案編寫151.9等級保護基本概念-實施步驟-設計策略業務風險控制業務應用主機組件應用平臺網絡業務安全需求安全功能實現數據庫

功能組件支撐安全功能實現安全軟件環境安全邊界安全傳輸通道業務風險保護策略信息系統保護策略整體保護策略程序安全組件安全主機安全網絡安全“業務+系統”安全=整體安全策略1.9等級保護基本概念-實施步驟-設計策略17結合實際，部署實施安全措施1.9等級保護基本概念-實施步驟-實施措施信息安全領導小組信息安全主管（部門）安全管理員安全審計員系統管理員網絡管理員數據庫管理員決策、監督應用系統管理員管理執行落實信息安全責任制建立安全組織（舉例）1.9等級保護基本概念-實施步驟-建立安全組織19方針策略信息安全工作的綱領性文件。

制度辦法在安全策略的指導下，制定的各項安全管理和技術制度、辦法和準則，用來規范各部門處室安全管理工作。流程細則細化的實施細則、管理技術標準等內容，用來支撐第二層對應的制度與管理辦法的有效實施。記錄表單記錄活動實行以符合等級1,2,和3的文件要求的客觀證據，闡明所取得的結果或提供完成活動的證據運行記錄方針策略實施細則與流程制度與管理辦法編寫安全管理制度1.9等級保護基本概念-實施步驟-完善管理制度20

一級二級三級四級安全管理機構崗位說明書崗位說明書崗位說明書崗位說明書

安全組織體系文件安全組織體系文件

安全檢查管理規定安全檢查管理規定安全管理制度

安全方針安全方針

安全策略安全策略

安全管理制度體系文件安全管理制度體系文件

安全管理制度編寫及維護規范安全管理制度編寫及維護規范

保密安全管理規定人員安全人員安全管理規定人員安全管理規定人員安全管理規定人員安全管理規定

安全考核管理規定安全考核管理規定

安全培訓教育管理規定安全培訓教育管理規定安全培訓教育管理規定

第三人員安全管理規定第三人員安全管理規定第三人員安全管理規定系統建設管理等級保護安全管理規范等級保護安全管理規范等級保護安全管理規范等級保護安全管理規范風險評估管理規范風險評估管理規范風險評估管理規范風險評估管理規范軟件開發管理規定軟件開發管理規定軟件開發管理規定軟件開發管理規定IT外包管理規定IT外包管理規定IT外包管理規定IT外包管理規定

工程安全管理規定工程安全管理規定

產品采購安全管理規定產品采購安全管理規定產品采購安全管理規定服務商安全管理規定服務商安全管理規定服務商安全管理規定服務商安全管理規定運維管理機房管理制度機房管理制度機房管理制度機房管理制度

辦公環境安全管理規定辦公環境安全管理規定辦公環境安全管理規定

資產安全管理制度資產安全管理制度資產安全管理制度設備安全管理規定設備安全管理規定設備安全管理規定設備安全管理規定介質安全管理規定介質安全管理規定介質安全管理規定介質安全管理規定運行維護安全管理規范運行維護安全管理規范運行維護安全管理規范運行維護安全管理規范網絡安全管理規定網絡安全管理規定網絡安全管理規定網絡安全管理規定系統安全管理規定系統安全管理規定系統安全管理規定系統安全管理規定防病毒安全管理規定防病毒安全管理規定防病毒安全管理規定防病毒安全管理規定密碼使用管理制度密碼使用管理制度密碼使用管理制度密碼使用管理制度變更管理制度變更管理制度變更管理制度變更管理制度備份與恢復管理規定備份與恢復管理規定備份與恢復管理規定備份與恢復管理規定安全事件管理制度安全事件管理制度安全事件管理制度安全事件管理制度

應急預案管理制度應急預案管理制度應急預案管理制度1.9等級保護基本概念-實施步驟-完善管理制度21“三個體系、一個中心、三重防護”整改方案的技術路線1.9等級保護基本概念-實施步驟-總體思路定級：明確責任主體、自主定級、專家審核、上級主管單位審批；備案：定級系統須在上級主管單位及屬地公安機關備案；建設整改：根據《基本要求》進行安全加固與改進；等級測評：邀請具有等級測評資質的測評機構進行安全等級測評；（測評機構）監督檢查：通過安全檢查的方式持續改進系統安全。（公安部、工信部、直屬領導單位等）系統定級系統備案建設整改等級測評監督檢查2.0等級保護基本概念-規定動作23大綱2424傻根在外地打工掙了錢，隨身攜帶著10萬元錢坐上了一輛混雜著很多小偷的長途火車回家。傻根把錢就放在了普通的布質書包里。傻根沒有坐軟臥包廂，而是坐在擠滿了上百人的硬座車廂。有時候累了，就坐著打個瞌睡。一路上，葛優等小偷團伙頻頻出手，嘗試著偷這10萬元錢。但是在好心人劉德華和劉若英等的保護下，葛優等小偷團伙未能得逞。好險啊，如果這錢被偷走了，傻根就娶不上媳婦了。天下無賊2.1什么是安全防護-“小故事”1、核心是-錢2、攻擊-賊3、防護-賊25身份及憑證認證授權審計通信安全2.2真實世界的信息安全26A、信息：信息是一種資產，像其他重要的業務資產一樣，對組織具有價值，因此需要妥善保護。B、信息安全：信息安全主要指信息的保密性、完整性和可用性的保持。即指通過采用計算機軟硬件技術、網絡技術、密鑰技術等安全技術和各種組織管理措施，來保護信息在其生命周期內的產生、傳輸、交換、處理和存儲的各個環節中，信息的保密性、完整性和可用性不被破壞。C、信息系統：計算機信息系統是由計算機及其相關的和配套的設備、設施(含網絡)構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。2.3等保安全防護技術-名詞解釋27安全需求是驅動；安全威脅是風險；安全技術是手段；安全產品來執行；安全狀態是結果。威脅：可能導致對系統或組織危害的不希望事故潛在起因。安全需求安全目標安全威脅安全技術安全產品安全狀態安全傳導鏈2.4需求如何來滿足28物理機房Internet互聯網區應用存儲區辦公網區辦公終端應用存儲服務器互聯網服務器存儲數據傳輸數據處理數據2.5信息系統覆蓋內容電力供應非法進入環境威脅物理機房電力中斷電壓不穩火災、水災盜竊、破壞物理安全威脅安全防護手段UPS、冗余電路滅火器、防水門窗門禁系統、專人值守2.5.1物理安全的威脅及防護電力供應非法進入環境威脅物理機房電力中斷電壓不穩火災、水災盜竊、破壞物理安全威脅視頻監控溫濕度監控電壓、負載監控安全監控手段2.5.1物理安全的監控互聯網接入區物理機房內網服務器區辦公區Internet網絡攻擊惡意代碼漏洞探測非授權訪問外部威脅防火墻防病毒網關入侵防御SSLVPN內部威脅蠕蟲病毒非授權訪問防病毒網關防火墻2.5.2網絡安全的威脅及防護其他威脅區域劃分不合理中間人攻擊信息泄露運行日志報警日志巡檢記錄綜合分析設備監控攻擊監控病毒監控互聯網服務區物理機房內網服務器區辦公區Internet綜合分析設備巡檢2.5.2網絡安全的監控惡意代碼非法訪問主機故障互聯網服務器內網服務器辦公網計算機辦公用戶使用的個人計算機內網的應用服務器和數據庫服務器向互聯網提供服務的網站、郵件等服務器網絡防病毒網絡防病毒網絡防病毒主機核心防護主機核心防護服務器冗余服務器冗余2.5.3主機安全的威脅及防護用戶數據庫應用服務器1234訪問請求查詢數據庫返回查詢結果返回請求內容非授權訪問通信竊聽漏洞攻擊非法操作攻擊應用攻擊數據庫竊聽通信數據CA認證系統應用安全加固數據傳輸加密2.5.4應用安全的威脅及防護數據處理端數據存儲端數據傳輸線路數據傳輸被竊聽、破壞數據存儲被竊取、破壞數據傳輸加密數據存儲加密2.5.5數據安全的威脅及防護信息安全技術—縱深防御372.6總體防護策略分區分域結構劃分，形成“縱深防御體系”。基于“一個中心、三重防護”的設計思路，從計算環境、區域邊界、網絡通信和統一安全監控管理等幾方面設計。重點以等級保護3級為防護要求基線，部分防護環節根據威脅和脆弱程度會適當高于或低于等級保護3級基本要求。38382.7基礎安全防護體系39安全產品安全目標技術策略技術框架3G安全IPSec……日志采集審計分析令牌技術認證協議強制訪問控制ACL網絡流量控制數據防泄漏匿名技術數據系統網絡補丁管理威脅檢測對稱密碼技術非對稱密碼技術安全功能實現實現實現安全技術2.6信息安全技術產品大綱41413.1ISO

7498.2安全架構三維體系結構圖42等級保基本要求與安全產品對應關系等級保護要求控制要求等保三級所需產品實現機制物理安全位置、物理訪問控制、防盜、防破壞、防雷擊、防火、防潮、防靜電、溫濕度控制、電力供應、電磁防護門禁監控報警系統避雷裝置消防水敏感檢測儀防靜電設施雙路供電電磁屏蔽機房建設物理安全策略網絡安全結構安全帶寬管理、SSLVPN/IPSecVPN路由器、交換機、負載均衡網絡、安全集成安全域網絡安全策略網絡安全配置實施（限制IP地址）訪問控制防火墻、IPS/IDS安全審計網絡安全審計日志審計邊界完整性檢查終端安全管理入侵防范IDS惡意代碼防范防病毒系統、防病毒網關網絡設備防護

網絡設備安全配置三級：73個控制點290控制項參考安全產品對照（參考）3.1安全產品對照43等級保基本要求與安全產品對應關系等級保護要求控制要求等保三級所需產品實現機制主機安全身份鑒別主機核心防護

包括數據庫安全訪問控制主機核心防護主機、數據庫安全加固安全審計終端、服務器、數據審計系統剩余信息保護數據庫審計系統（NBA）入侵防范主機核心防護、主機入侵檢測惡意代碼防范防病毒資源控制網管系統應用安全身份鑒別動態令牌、CA應用開發編碼規范、安全編碼應用安全功能安全審計應用系統日志審計訪問控制、剩余信息保護通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制主要功能需要應用系統開發商解決數據與備份安全數據完整性網頁防篡改異地備份和恢復策略數據保密性

SSH、VPN、MD5等備份和恢復異地備份參考安全產品對照（參考）3.1安全產品對照443.2基礎安全防護結構中的安全產品45451、VPN13、WAF2、防火墻（FW）14、抗DDOS3、防毒墻4、安全審計類5、入侵檢測系統（IDS）6、入侵防御系統（IPS）7、UTM8、漏洞掃描設備9、認證系統10、運維審計、安全管理平臺（SOC）11、網閘12、終端安全管理常用安全產品介紹46VPN的作用：取締專用網絡，通過TCP/IP分組交換方式傳遞數據，連接連接隧道，進而保證數據傳輸的安全性和完整性。VPN的基本功能：加密數據信息認證和身份認證提供訪問控制VPN的分類：按協議層次：二層VPN，三層VPN、四層VPN和應用層VPN；按應用范圍：遠程訪問VPN、內聯網VPN和外聯網VPN按體系結構：網關到網關VPN、主機到網關VPN和主機到主機VPN常見的VPN：IPSecVPN和SSLVPNVPN47防火墻的作用：在網絡間（內部/外部網絡、不同信息級別）提供安全連接的設備；用于實現和執行網絡之間通信的安全策略防火墻的功能：控制進出網絡的信息流向和數據包，過濾不安全的服務；隱藏內部IP地址及網絡結構的細節；提供使用和流量的日志和審計功能；部署NAT（NetworkAddressTranslation，網絡地址轉換）；邏輯隔離內部網段，對外提供WEB和FTP；實現集中的安全管理；提供VPN功能。防火墻的分類：軟件防火墻、硬件防火墻防火墻的發展：包過濾、應用代理、狀態檢測防火墻（FW）48防火墻的弱點和局限性：防火墻防外不防內；防火墻難于管理和配置，易造成安全漏洞；很難為用戶在防火墻內外提供一致的安全策略；防火墻只實現了粗粒度的訪問控制；對于某些攻擊防火墻也無能為力。選擇防火墻需考慮的要素：形態性能適用性可管理性完善及時的售后服務體系防火墻49病毒方面我們面臨的威脅：根據國際著名病毒研究機構ICSA（國際計算機安全聯盟，InternationalComputerSecurityAssociation）的統計，目前通過磁盤傳播的病毒僅占7%，剩下93%的病毒來自網絡，其中包括Email、網頁、QQ和MSN等傳播渠道。防毒墻的作用：識別和阻斷各類病毒攻擊。

網絡版殺毒軟件的局限性：1、操作系統本身的穩定性以及是否存在漏洞都對網絡版殺毒軟件的使用有一定影響；2、它并不能對網絡病毒進行有效防護。防毒墻：網絡版殺毒軟件+防火墻：防毒墻50計算機網絡安全審計（Audit）是指按照一定的安全策略，利用記錄、系統活動和用戶活動等信息，檢查、審查和檢驗操作事件的環境及活動，從而發現系統漏洞、入侵行為或改善系統性能的過程。也是審查評估系統安全風險并采取相應措施的一個過程。主要作用和目的：（1）對可能存在的潛在攻擊者起到威懾和警示作用，核心是風險評估。（2）測試系統的控制情況，及時進行調整，保證與安全策略和操作規程協調一致。（3）對已出現的破壞事件，做出評估并提供有效的災難恢復和追究責任的依據。（4）對系統控制、安全策略與規程中的變更進行評價和反饋，以便修訂決策和部署。（5）協助系統管理員及時發現網絡系統入侵或潛在的系統漏洞及隱患。安全審計技術51根據對象類型：1）系統級審計系統級審計主要針對系統的登入情況、用戶識別號、登入嘗試的日期和具體時間、退出的日期和時間、所使用的設備、登入后運行程序等事件信息進行審查。典型的系統級審計日志還包括部分與安全無關的信息，如系統操作、費用記賬和網絡性能。這類審計卻無法跟蹤和記錄應用事件，也無法提供足夠的細節信息。2）應用級審計應用級審計主要針對的是應用程序的活動信息，如打開和關閉數據文件，讀取、編輯、刪除記錄或字段的等特定操作，以及打印報告等。3）用戶級審計用戶級審計主要是審計用戶的操作活動信息，如用戶直接啟動的所有命令，用戶所有的鑒別和認證操作，用戶所訪問的文件和資源等信息。安全審計52產品分類：1、上網行為審計2、主機審計3、數據庫審計等安全審計53入侵檢測系統的作用：克服某些傳統的防御機制的限制；在“深度防御”的基礎上成為安全框架的一部分；在整個組織的網絡中能夠識別入侵或違反安全策略的行為，并能夠做出回應。入侵檢測系統的功能：自動檢測入侵行為；監視網絡流量（NetworkIDS)和主機(HostIDS)中的操作；分析入侵行為：基于特征、基本異常按預定的規則做出響應：阻止指定的行為。入侵檢測系統的分類：按檢測方法：異常檢測、特征檢測按地點：基于主機、基于網絡、基于網絡節點按比較/分類方法：基于規則、統計分析、神經網絡、模式匹配、狀態轉換分析入侵檢測系統（IDS）54選擇IDS需考慮的要素：Porras等給出了評價入侵檢測系統性能的三個因素：準確性（Accuracy）處理性能（Performance）完備性（Completeness）Debar等增加了兩個性能評價測度容錯性（FaultTolerance）及時性（Timeliness）入侵檢測技術55IPS的定義：是一種集入侵檢測和防御于一體的安全產品。簡單地理解，可認為IPS就是防火墻加上入侵檢測系統。入侵防御系統的功能：識別對網絡和主機的惡意攻擊，并實時進行阻斷；向管理控制臺發送日志信息；集成病毒過濾、帶寬管理和URL過濾等功能；IPS與IDS的區別：IPS采用In-line的透明模式接入網絡，IDS并聯在網絡中，接入交換機的接口需要做鏡像；IDS是一種檢測技術，而IPS是一種阻斷技術，只不過后者阻斷攻擊的依據是檢測；入侵防御系統（IPS）56UTM（UnitedThreatManagement）意為統一威脅管理，是在2004年9月由IDC提出的信息安全概念。IDC將防病毒、防火墻和入侵檢測等概念融合到被稱為統一威脅管理的新類別中，該概念引起了業界的廣泛重視，并推動了以整合式安全設備為代表的市場細分的誕生。UTM的功能：傳統的防火墻功能；入侵防御（IPS）功能；防病毒功能；端到端的IPSecVPN功能；動態路由功能；內容過濾功能。缺點：網關集中防御對內部安全防護不足過度集成帶來的風險性能和穩定性UTM（統一威脅管理系統）57漏洞的初步分類：A、按漏洞可能對系統造成的直接威脅：遠程管理員權限、本地管理員權限、普通用戶訪問權限、權限提升、讀取受限文件、遠程拒絕服務、本地拒絕服務、遠程非授權文件存取、口令恢復、欺騙、服務器信息泄露等B、按漏洞的成因：輸入驗證錯誤、訪問驗證錯誤、競爭條件、意外情況處置錯誤、設計錯誤、配置錯誤、環境錯誤C、對漏洞嚴重性的分級：低、中、高D、對漏洞被利用方式的分類：物理接觸、主機模式、客戶機模式漏洞掃描設備，將被動攻擊，提升到了主動防御的階段，更多體現了人在信息安全建設中的作用。相對需要高技術人員，才能準確解析并做出合理的處置判斷。漏洞掃描設備58關鍵技術：公鑰基礎設施（PublicKeyInfrastructure-PKI）技術是以公開密鑰密碼技術為基礎構建的信息安全基礎設施，PKI以數字證書為手段，結合現代密碼技術理論，將用戶、部門、設備標識、公鑰、私鑰簽名等信息組織在一起，并通過自動管理密鑰和證書，為用戶創建一個安全、可信的網絡運行環境。它可以是用戶在不同的網絡應用環境下方便地使用密碼技術來完成身份認證和數字簽名等操作，進而保護所傳輸信息的安全性。

PKI作為一種安全基礎信任結構，提供多種安全服務：認證服務、數據完整性服務、數據保密性服務、不可否認性服務、公正服務等。認證系統59產品原型功能：以PKI技術為基礎的安全認證體系主要功能是實現數字證書生命周期的管理。安全認證體系主要包括：證書簽發中心（CA）、證書注冊審核中心（RA）、密鑰管理中心（KMC）、證書在線狀態驗證系統（OCSP）、時間戳（TSA）、目錄服務（LDAP）等。證書簽發模塊（CA）：主要負責數字證書生命周期管理；密鑰管理模塊（KMC）：主要對用戶加密密鑰的生命周期實施管理，主要包括密鑰的產生、密鑰的存儲、密鑰的歸檔等，并在需要時提供相關的司法取證功能。注冊審核模塊（RA）：屬于證書簽發模塊向用戶提供證書服務的窗口，為人員提供證書申請、下載、注銷、更新等各項業務的服務。時間戳服務模塊（TSA）：基于國家權威時間源和數字簽名技術，為業務系統提供精確可信的時間戳，保證處理數據在某一時間（之前）的存在性及相關操作的相對時間順序，為業務處理的不可抵賴性和可審計性提供有效支持。證書在線狀態查詢模塊（OCSP）：主要為業務系統提供實時的、在線的證書狀態查詢服務。目錄服務模塊：主要負責數字證書和黑名單的存儲和發布，并根據策略將相關信息發布到對應的下級目錄服務節點上，是整個PKI基礎設施建設的基礎支撐性部件。認證系統60概念：SOC（SecurityOperationsCenter）是一個外來詞。而在國外，SOC這個詞則來自于NOC（NetworkOperationCenter，即網絡運行中心）。NOC強調對客戶網絡進行集中化、全方位的監控、分析與響應，實現體系化的網絡運行維護。維基百科也只有基本的介紹：SOC（SecurityOperationsCenter）是組織中的一個集中單元，在整個組織和技術的高度處理各類安全問題。一般地，SOC被定義為：以資產為核心，以安全事件管理為關鍵流程，采用安全域劃分的思想，建立一套實時的資產風險模型，協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。本質上，SOC不是一款單純的產品，而是一個復雜的系統，他既有產品，又有服務，還有運維（運營），SOC是技術、流程和人的有機結合。運維審計-安全管理平臺（SOC）61功能：收集各種防火墻、IDS、IPS等網絡設備的信息；對安全事件進行收集、過濾、合并和查詢；分析可能存在的風險，發出告警信息；SOC2.0：SOC2.0是一個以業務為核心的、一體化的安全管理系統。SOC2.0從業務出發，通過業務需求分析、業務建模、面向業務的安全域和資產管理、業務連續性監控、業務價值分析、業務風險和影響性分析、業務可視化等各個環節，采用主動、被動相結合的方法采集來自企業和組織中構成業務系統的各種IT資源的安全信息，從業務的角度進行歸一化、監控、分析、審計、報警、響應、存儲和報告。SOC2.0以業務為核心，貫穿了信息安全管理系統建設生命周期從調研、部署、實施到運維的各個階段。運維審計-安全管理平臺（SOC）62定義：網閘（GAP）全稱安全隔離網閘。安全隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接，并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。組成：安全隔離網閘是由軟件和硬件組成。隔離網閘分為兩種架構，一種為雙主機的2+1結構，另一種為三主機的三系統結構。2+1的安全隔離網閘的硬件設備由三部分組成:外部處理單元、內部處理單元、隔離安全數據交換單元。安全數據交換單元不同時與內外網處理單元連接，為2+1的主機架構。隔離網閘采用SU-Gap安全隔離技術，創建一個內、外網物理斷開的環境。三系統的安全隔離網閘的硬件也由三部分組成：外部處理單元（外端機）、內部處理單元（內端機）、仲裁處理單元（仲裁機），各單元之間采用了隔離安全數據交換單元。網閘（GAP）63

網閘對請求數據進行合法性檢查，剝離原有協議成裸數據，進行內容檢查，然后重組

對收到外網的數據進行病毒檢查、解析、過濾和重組等處理網閘將重組的數據還原為標準通訊協議，回傳到內網

將重組的數據還原為標準通訊協議，向外網發送專用隔離硬件、專用通訊協議專用隔離硬件、專用通訊協議網閘（GAP）的工作流程64郵件過濾SMTP內端機接口病毒掃描POP3FTPHTTP郵件過濾所有其它應用協議剝離協議轉換外端機接口http過濾郵件過濾病毒掃描郵件過濾病毒掃描http過濾病毒掃描所有其它應用SMTPPOP3FTPHTTP文件交換過濾文件交換過濾病毒掃描隔離硬件FTP過濾郵件過濾病毒掃描病毒掃描病毒掃描