1、.,1,等級保護 基礎安全防護技術概覽,網神信息技術（北京）股份有限公司 肖 寒 CISP、PMP、北京市安全服務高級工程師,內部資料 請勿外泄,.,2,大 綱,2,.,3,1.1等級保護基本概念-定義,是指對信息安全實行等級化保護和等級化管理。 根據信息系統應用業務重要程度及其實際安全需求，實行分級、分類、分階段實施保護，保障信息安全和系統安全正常運行，維護國家利益、公共利益和社會穩定。 等級保護的核心是對信息系統特別是對業務應用系統安全分等級、按標準進行建設、管理和監督。國家對信息安全等級保護工作運用法律和技術規范逐級加強監管力度。突出重點，保障重要信息資源和重要信息系統的安全。,.,4,

2、1.1等級保護基本概念-深入理解,信息安全等級保護是指： 對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統實行分等級實行安全保護； 對信息系統中使用的信息安全產品實行按等級管理； 對信息系統中發生的信息安全事件實行分等級響應、處置。,.,5,等級保護政策體系,1.2等級保護基本概念-政策體系,.,6,1.3級保護基本概念-相關標準,.,7,1.4等級保護基本概念-安全保護等級,全國的信息系統（包括網絡）按照重要性和受破壞后的危害性分成五個安全保護等級,.,8,1.5等級保護基本概念-系統等級分類,.,9,定級：明確責任主體、自主定級、專家審核、上級

3、主管單位審批； 備案：定級系統須在上級主管單位及屬地公安機關備案； 建設整改：根據基本要求進行安全加固與改進； 等級測評：邀請具有等級測評資質的測評機構進行安全等級測評； 監督檢查：通過安全檢查的方式持續改進系統安全。,1.6等級保護基本概念-規定動作,.,10,不同信息系統的安全保護等級相同，但其內在安全需求可能會有所不同，業務信息安全和系統服務安全保護等級也可能不同。 （5個等級，25種組合） 保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改的信息安全類要求（簡記為S）；保護系統連續正常的運行，免受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求（簡記為A）；通用安

4、全保護類要求（簡記為G）。,1.7等級保護基本概念- 系統等級與安全要求對應關系,.,11,以安全保發展 發展中求安全,1.8等級保護基本概念-基本要求,.,12,電力供應,電磁防護,安全審計,身份鑒別,訪問控制,結構安全,訪問控制,身份鑒別,安全審計,訪問控制,入侵防范,備份和恢復,完整性,保密性,1.9等級保護基本概念-實施步驟- 差距分析,.,13,應用層,SQL注入,身份 冒用,溢出 攻擊,數據竊取,傳輸 竊聽,數據重放,主機層,弱口令,系統漏洞,病毒入侵,資源占用,黑客攻擊,網絡層,帶寬資源濫用,非法接入,非法外聯,區域混亂,協議攻擊,中間人攻擊,信息泄露,物理層,斷電,物理攻擊,非

5、法進出,盜竊,火災,數據層,篡改,非法訪問,丟失,泄露,不可用,計算環境,區域邊界,網絡通信,安全管理,缺乏組織,缺乏流程,人員安全意識不足,缺乏過程控制,缺乏專業技能,缺乏安全監控,管理不到位,1.9等級保護基本概念-實施步驟- 差距分析,1.9等級保護基本概念-實施步驟- 方案編寫,.,15,依據信息安全技術-信息系統安全等級保護基本要求 參照信息安全技術-信息系統等級保護安全設計技術要求 引入“安全域”的概念，強化訪問控制 安全技術控制策略 安全管理控制策略,1.9等級保護基本概念-實施步驟- 方案編寫,1.9等級保護基本概念-實施步驟- 設計策略,.,17,業務風險控制,業務,應用,主

6、機,組件,應用平臺,網絡,業務安全需求,安全功能實現,數據庫,功能組件,支撐安全 功能實現,安全 軟件環境,安全邊界 安全傳輸通道,業務風險 保護策略,信息系統 保護策略,整體 保護策略,程序安全,組件安全,主機安全,網絡安全,“業務+系統”安全=整體安全策略,1.9等級保護基本概念-實施步驟- 設計策略,結合實際，部署實施安全措施,1.9等級保護基本概念-實施步驟- 實施措施,.,19,信息安全領導小組,信息安全主管（部門）,安全管理員,安全審計員,系統管理員,網絡管理員,數據庫管理員,決策、監督,應用系統管理員,管理,執行,落實信息安全責任制,建立安全組織（舉例）,1.9等級保護基本概念-

7、實施步驟- 建立安全組織,.,20,方針策略 信息安全工作的綱領性文件。,制度辦法 在安全策略的指導下，制定的各項安全管理和技術制度、辦法和準則，用來規范各部門處室安全管理工作。,流程細則 細化的實施細則、管理技術標準等內容，用來支撐第二層對應的制度與管理辦法的有效實施。,記錄表單 記錄活動實行以符合等級1,2,和3的文件要求的客觀證據，闡明所取得的結果或提供完成活動的證據,編寫安全管理制度,1.9等級保護基本概念-實施步驟- 完善管理制度,.,21,1.9等級保護基本概念-實施步驟- 完善管理制度,“三個體系、一個中心、三重防護”,整改方案的技術路線,1.9等級保護基本概念-實施步驟- 總體

8、思路,.,23,定級：明確責任主體、自主定級、專家審核、上級主管單位審批； 備案：定級系統須在上級主管單位及屬地公安機關備案； 建設整改：根據基本要求進行安全加固與改進； 等級測評：邀請具有等級測評資質的測評機構進行安全等級測評； （測評機構） 監督檢查：通過安全檢查的方式持續改進系統安全。 （公安部、工信部、直屬領導單位等）,2.0等級保護基本概念-規定動作,.,24,大 綱,24,.,25,傻根在外地打工掙了錢，隨身攜帶著10萬元錢坐上了一輛混雜著很多小偷的長途火車回家。 傻根把錢就放在了普通的布質書包里。傻根沒有坐軟臥包廂，而是坐在擠滿了上百人的硬座車廂。有時候累了，就坐著打個瞌睡。 一

9、路上，葛優等小偷團伙頻頻出手，嘗試著偷這10萬元錢。但是在好心人劉德華和劉若英等的保護下，葛優等小偷團伙未能得逞。 好險啊，如果這錢被偷走了，傻根就娶不上媳婦了。,天下無賊,2.1什么是安全防護-“小故事”,1、核心是-錢,2、攻擊-賊,3、防護-賊,.,26,身份及憑證,認證,授權,審計,通信安全,2.2真實世界的信息安全,.,27,A、信息： 信息是一種資產，像其他重要的業務資產一樣，對組織具有價值，因此需要妥善保護。 B、信息安全： 信息安全主要指信息的保密性、完整性和可用性的保持。即指通過采用計算機軟硬件技術、網絡技術、密鑰技術等安全技術和各種組織管理措施，來保護信息在其生命周期內的產

10、生、傳輸、交換、處理和存儲的各個環節中，信息的保密性、完整性和可用性不被破壞。 C、信息系統： 計算機信息系統是由計算機及其相關的和配套的設備、設施(含網絡)構成的，按照一定的應用目標 和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。,2.3等保安全防護技術-名詞解釋,.,28,安全需求是驅動；安全威脅是風險；安全技術是手段；安全產品來執行；安全狀態是結果。 威脅：可能導致對系統或組織危害的不希望事故潛在起因。,安全 需求,安全 目標,安全 威脅,安全 技術,安全 產品,安全 狀態,安全傳導鏈,2.4需求如何來滿足,2.5信息系統覆蓋內容,電力供應,非法進入,環境威脅,電力中斷

11、電壓不穩,火災、水災,盜竊、破壞,物理安全威脅,安全防護手段,UPS、冗余電路,滅火器、防水門窗,門禁系統、專人值守,2.5.1物理安全的威脅及防護,電力供應,非法進入,環境威脅,電力中斷 電壓不穩,火災、水災,盜竊、破壞,物理安全威脅,視頻監控,溫濕度監控,電壓、負載監控,安全監控手段,2.5.1物理安全的監控,網絡攻擊,惡意代碼,漏洞探測,非授權訪問,外部威脅,防火墻,防病毒網關,入侵防御,SSL VPN,內部威脅,防病毒網關,防火墻,2.5.2網絡安全的威脅及防護,其他威脅,區域劃分不合理,中間人攻擊,信息泄露,運行日志,報警日志,巡檢記錄,綜合分析,設備監控,攻擊監控 病毒監控,綜合分

12、析,設備巡檢,2.5.2網絡安全的監控,惡意代碼,非法訪問,主機故障,互聯網服務器,內網服務器,辦公網計算機,辦公用戶使用的個人計算機,內網的應用服務器和數據庫服務器,向互聯網提供服務的網站、郵件等服務器,網絡防病毒,網絡防病毒,網絡防病毒,主機核心防護,主機核心防護,服務器冗余,服務器冗余,2.5.3主機安全的威脅及防護,用戶,數據庫,應用服務器,1,2,3,4,訪問請求,查詢數據庫,返回查詢結果,返回請求內容,非授權訪問,通信竊聽,漏洞攻擊,非法操作,攻擊應用,攻擊數據庫,竊聽通信數據,CA認證系統,應用安全加固,數據傳輸加密,2.5.4應用安全的威脅及防護,數據處理端,數據存儲端,數據傳

13、輸線路,數據傳輸被竊聽、破壞,數據存儲被竊取、破壞,數據傳輸加密,數據存儲加密,2.5.5數據安全的威脅及防護,.,37,信息安全技術縱深防御,.,38,2.6 總體防護策略,分區分域結構劃分，形成“縱深防御體系”。 基于“一個中心、三重防護”的設計思路，從計算環境、區域邊界、網絡通信和統一安全監控管理等幾方面設計。 重點以等級保護3級為防護要求基線，部分防護環節根據威脅和脆弱程度會適當高于或低于等級保護3級基本要求。,38,.,39,2.7 基礎安全防護體系,安全產品,安全目標,2.6信息安全技術產品,.,41,大 綱,41,42,3.1ISO 7498.2 安全架構三維體系結構圖,.,43

14、,三級： 73個控制點 290控制項,參考,安全產品對照（參考）,3.1安全產品對照,.,44,參考,安全產品對照（參考）,3.1安全產品對照,.,45,3.2 基礎安全防護結構中的安全產品,45,46,1、VPN 13、WAF 2、防火墻（FW） 14、抗DDOS 3、防毒墻 4、安全審計類 5、入侵檢測系統（IDS） 6、入侵防御系統（IPS） 7、UTM 8、漏洞掃描設備 9、認證系統 10、運維審計、安全管理平臺（SOC） 11、網閘 12、終端安全管理,常用安全產品介紹,47,VPN的作用： 取締專用網絡，通過TCP/IP分組交換方式傳遞數據，連接連接隧道，進而保證數據傳輸的安全性和

15、完整性。 VPN的基本功能： 加密數據 信息認證和身份認證 提供訪問控制 VPN的分類： 按協議層次：二層VPN，三層VPN、四層VPN和應用層VPN； 按應用范圍：遠程訪問VPN、內聯網VPN和外聯網VPN 按體系結構：網關到網關VPN、主機到網關VPN和主機到主機VPN 常見的VPN：IPSec VPN 和 SSL VPN,VPN,48,防火墻的作用： 在網絡間（內部/外部網絡、不同信息級別）提供安全連接的設備； 用于實現和執行網絡之間通信的安全策略 防火墻的功能： 控制進出網絡的信息流向和數據包，過濾不安全的服務； 隱藏內部IP地址及網絡結構的細節； 提供使用和流量的日志和審計功能； 部

16、署NAT（Network Address Translation，網絡地址轉換）； 邏輯隔離內部網段，對外提供WEB和FTP； 實現集中的安全管理； 提供VPN功能。 防火墻的分類：軟件防火墻、硬件防火墻 防火墻的發展：包過濾、應用代理、狀態檢測,防火墻（FW）,49,防火墻的弱點和局限性： 防火墻防外不防內； 防火墻難于管理和配置，易造成安全漏洞； 很難為用戶在防火墻內外提供一致的安全策略； 防火墻只實現了粗粒度的訪問控制； 對于某些攻擊防火墻也無能為力。 選擇防火墻需考慮的要素： 形態 性能 適用性 可管理性 完善及時的售后服務體系,防火墻,50,病毒方面我們面臨的威脅： 根據國際著名病毒

17、研究機構ICSA（國際計算機安全聯盟，International Computer Security Association）的統計，目前通過磁盤傳播的病毒僅占7%，剩下93%的病毒來自網絡，其中包括Email、網頁、QQ和MSN等傳播渠道。 防毒墻的作用：識別和阻斷各類病毒攻擊。 網絡版殺毒軟件的局限性：1、操作系統本身的穩定性以及是否存在漏洞都對網絡版殺毒軟件的使用有一定影響；2、它并不能對網絡病毒進行有效防護。 防毒墻：網絡版殺毒軟件+防火墻：,防毒墻,51,計算機網絡安全審計（Audit）是指按照一定的安全策略，利用記錄、系統活動和用戶活動等信息，檢查、審查和檢驗操作事件的環境及活動，

18、從而發現系統漏洞、入侵行為或改善系統性能的過程。也是審查評估系統安全風險并采取相應措施的一個過程。 主要作用和目的： （1）對可能存在的潛在攻擊者起到威懾和警示作用，核心是風險評估。 （2）測試系統的控制情況，及時進行調整，保證與安全策略和操作規程協調一致。 （3）對已出現的破壞事件，做出評估并提供有效的災難恢復和追究責任的依據。 （4）對系統控制、安全策略與規程中的變更進行評價和反饋，以便修訂決策和部署。 （5）協助系統管理員及時發現網絡系統入侵或潛在的系統漏洞及隱患。,安全審計技術,52,根據對象類型： 1）系統級審計 系統級審計主要針對系統的登入情況、用戶識別號、登入嘗試的日期和具體時間

19、、退出的日期和時間、所使用的設備、登入后運行程序等事件信息進行審查。典型的系統級審計日志還包括部分與安全無關的信息，如系統操作、費用記賬和網絡性能。這類審計卻無法跟蹤和記錄應用事件，也無法提供足夠的細節信息。 2）應用級審計 應用級審計主要針對的是應用程序的活動信息，如打開和關閉數據文件，讀取、編輯、刪除記錄或字段的等特定操作，以及打印報告等。 3）用戶級審計 用戶級審計主要是審計用戶的操作活動信息，如用戶直接啟動的所有命令，用戶所有的鑒別和認證操作，用戶所訪問的文件和資源等信息。,安全審計,53,產品分類： 1、上網行為審計 2、主機審計 3、數據庫審計 等,安全審計,54,入侵檢測系統的作

20、用： 克服某些傳統的防御機制的限制； 在“深度防御”的基礎上成為安全框架的一部分； 在整個組織的網絡中能夠識別入侵或違反安全策略的行為，并能夠做出回應。 入侵檢測系統的功能： 自動檢測入侵行為； 監視網絡流量（Network IDS)和主機(Host IDS)中的操作； 分析入侵行為：基于特征、基本異常 按預定的規則做出響應：阻止指定的行為。 入侵檢測系統的分類： 按檢測方法：異常檢測、特征檢測 按地點：基于主機、基于網絡、基于網絡節點 按比較/分類方法：基于規則、統計分析、神經網絡、模式匹配、狀態轉換分析,入侵檢測系統（IDS）,55,選擇IDS需考慮的要素： Porras等給出了評價入侵檢

21、測系統性能的三個因素： 準確性（Accuracy） 處理性能（Performance） 完備性（Completeness） Debar等增加了兩個性能評價測度 容錯性（Fault Tolerance） 及時性（Timeliness）,入侵檢測技術,56,IPS的定義：是一種集入侵檢測和防御于一體的安全產品。簡單地理解，可認為IPS就是防火墻加上入侵檢測系統。 入侵防御系統的功能： 識別對網絡和主機的惡意攻擊，并實時進行阻斷； 向管理控制臺發送日志信息； 集成病毒過濾、帶寬管理和URL過濾等功能； IPS與IDS的區別： IPS采用In-line的透明模式接入網絡，IDS并聯在網絡中，接入交換機

22、的接口需要做鏡像； IDS是一種檢測技術，而IPS是一種阻斷技術，只不過后者阻斷攻擊的依據是檢測；,入侵防御系統（IPS）,57,UTM（United Threat Management）意為統一威脅管理，是在2004年9月由IDC提出的信息安全概念。IDC將防病毒、防火墻和入侵檢測等概念融合到被稱為統一威脅管理的新類別中，該概念引起了業界的廣泛重視，并推動了以整合式安全設備為代表的市場細分的誕生。 UTM的功能： 傳統的防火墻功能； 入侵防御（IPS）功能； 防病毒功能； 端到端的IPSec VPN功能； 動態路由功能； 內容過濾功能。 缺點： 網關集中防御對內部安全防護不足 過度集成帶來的

23、風險 性能和穩定性,UTM（統一威脅管理系統）,58,漏洞的初步分類： A、按漏洞可能對系統造成的直接威脅：遠程管理員權限、本地管理員權限、普通用戶訪問權限、權限提升、讀取受限文件、遠程拒絕服務、本地拒絕服務、遠程非授權文件存取、口令恢復、欺騙、服務器信息泄露等 B、按漏洞的成因：輸入驗證錯誤、訪問驗證錯誤、競爭條件、意外情況處置錯誤、設計錯誤、配置錯誤、環境錯誤 C、對漏洞嚴重性的分級：低、中、高 D、對漏洞被利用方式的分類：物理接觸、主機模式、客戶機模式 漏洞掃描設備，將被動攻擊，提升到了主動防御的階段，更多體現了人在信息安全建設中的作用。 相對需要高技術人員，才能準確解析并做出合理的處置

24、判斷。,漏洞掃描設備,59,關鍵技術： 公鑰基礎設施（Public Key Infrastructure-PKI）技術是以公開密鑰密碼技術為基礎構建的信息安全基礎設施，PKI以數字證書為手段，結合現代密碼技術理論，將用戶、部門、設備標識、公鑰、私鑰簽名等信息組織在一起，并通過自動管理密鑰和證書，為用戶創建一個安全、可信的網絡運行環境。它可以是用戶在不同的網絡應用環境下方便地使用密碼技術來完成身份認證和數字簽名等操作，進而保護所傳輸信息的安全性。 PKI作為一種安全基礎信任結構，提供多種安全服務：認證服務、數據完整性服務、數據保密性服務、不可否認性服務、公正服務等。,認證系統,60,產品原型功能

25、： 以PKI技術為基礎的安全認證體系主要功能是實現數字證書生命周期的管理。安全認證體系主要包括：證書簽發中心（CA）、證書注冊審核中心（RA）、密鑰管理中心（KMC）、證書在線狀態驗證系統（OCSP）、時間戳（TSA）、目錄服務（LDAP）等。 證書簽發模塊（CA）：主要負責數字證書生命周期管理； 密鑰管理模塊（KMC）：主要對用戶加密密鑰的生命周期實施管理，主要包括密鑰的產生、密鑰的存儲、密鑰的歸檔等，并在需要時提供相關的司法取證功能。 注冊審核模塊（RA）：屬于證書簽發模塊向用戶提供證書服務的窗口，為人員提供證書申請、下載、注銷、更新等各項業務的服務。 時間戳服務模塊（TSA）：基于國家權

26、威時間源和數字簽名技術，為業務系統提供精確可信的時間戳，保證處理數據在某一時間（之前）的存在性及相關操作的相對時間順序，為業務處理的不可抵賴性和可審計性提供有效支持。 證書在線狀態查詢模塊（OCSP）：主要為業務系統提供實時的、在線的證書狀態查詢服務。 目錄服務模塊：主要負責數字證書和黑名單的存儲和發布，并根據策略將相關信息發布到對應的下級目錄服務節點上，是整個PKI基礎設施建設的基礎支撐性部件。,認證系統,61,概念： SOC（Security Operations Center）是一個外來詞。而在國外，SOC這個詞則來自于NOC（Network Operation Center，即網絡運行

27、中心）。NOC強調對客戶網絡進行集中化、全方位的監控、分析與響應，實現體系化的網絡運行維護。 維基百科也只有基本的介紹：SOC（Security Operations Center）是組織中的一個集中單元，在整個組織和技術的高度處理各類安全問題。 一般地，SOC被定義為：以資產為核心，以安全事件管理為關鍵流程，采用安全域劃分的思想，建立一套實時的資產風險模型，協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。 本質上，SOC不是一款單純的產品，而是一個復雜的系統，他既有產品，又有服務，還有運維（運營），SOC是技術、流程和人的有機結合。,運維審計-安全管理平臺（SOC

28、）,62,功能： 收集各種防火墻、IDS、IPS等網絡設備的信息； 對安全事件進行收集、過濾、合并和查詢； 分析可能存在的風險，發出告警信息； SOC2.0：SOC2.0是一個以業務為核心的、一體化的安全管理系統。SOC2.0從業務出發，通過業務需求分析、業務建模、面向業務的安全域和資產管理、業務連續性監控、業務價值分析、業務風險和影響性分析、業務可視化等各個環節，采用主動、被動相結合的方法采集來自企業和組織中構成業務系統的各種IT資源的安全信息，從業務的角度進行歸一化、監控、分析、審計、報警、響應、存儲和報告。SOC2.0以業務為核心，貫穿了信息安全管理系統建設生命周期從調研、部署、實施到運

29、維的各個階段。,運維審計-安全管理平臺（SOC）,63,定義：網閘（GAP）全稱安全隔離網閘。安全隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接，并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。 組成：安全隔離網閘是由軟件和硬件組成。 隔離網閘分為兩種架構，一種為雙主機的2+1結構，另一種為三主機的三系統結構。2+1的安全隔離網閘的硬件設備由三部分組成:外部處理單元、內部處理單元、隔離安全數據交換單元。安全數據交換單元不同時與內外網處理單元連接，為2+1的主機架構。隔離網閘采用SU-Gap安全隔離技術，創建一個內、外網物理斷開的環境。三系統的安全隔離網閘的硬件

30、也由三部分組成：外部處理單元（外端機）、內部處理單元（內端機）、仲裁處理單元（仲裁機），各單元之間采用了隔離安全數據交換單元。,網閘（GAP）,.,64,網閘對請求數據進行合法性檢查，剝離原有協議成裸數據，進行內容檢查，然后重組,對收到外網的數據進行病毒檢查、解析、過濾和重組等處理,網閘將重組的數據還原為標準通訊協議，回傳到內網,將重組的數據還原為標準通訊協議，向外網發送,專用隔離硬件、 專用通訊協議,專用隔離硬件、 專用通訊協議,網閘（GAP）的工作流程,.,65,網閘（GAP）應用數據處理流程,.,66,性能指標： 1、系統數據交換速率：小于等于120Mbps 2、硬件切換時間：小于等于5

31、ms 主要功能： 1、安全隔離、內核防護、協議轉換、病毒查殺、訪問控制、安全審計、身份認證； 2、防止未知和已知木馬攻擊； 3、具有防病毒措施。,網閘（GAP）的性能和功能指標,.,67,Web應用防護系統（也稱：網站應用級入侵防御系統。英文：Web Application Firewall，簡稱： WAF）。利用國際上公認的一種說法：Web應用防火墻是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。,Web應用防護系統(WAF),.,68,分布式拒絕服務攻擊防護系統,DDOS 即 分布式拒絕服務攻擊 。 分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代