文档章节

安全等级划分依据与应急响应流程

指尖的乐律
 指尖的乐律
发布于 2015/01/02 00:31
字数 2285
阅读 21
收藏 0

查看等保要求及相关安全建设视频(郑歆炜cnhawk:企业安全那些事 – 应急响应http://open.freebuf.com/live/181.html)后整理,不成熟处还望指正。

安全等级划分:(是在平时对网络环境的评估)

1,  依据不同业务系统受到不同侵害时将造成的损失(即业务系统的重要性)见表一

2,  进行基于物理安全,网络安全,主机安全,应用安全,数据安全五方面评估(即在等保的基础上根据实际情况作相应修改) 见表二

综合以上两点,对整个网络进行安全评估

                     表一 业务系统侵害等级

 

受侵害程度

轻微(工作无影响体现)

一般(工作可正常进行)

严重(工作受到一定影响,如响应速度缓慢,发生丢弃现象等)

危险(无法工作)

业务系统A

A级

B级

C级

D级

业务系统B

B级

C级

D级

E级

业务系统C

C级

D级

E级

F级

注:侵害程度根据及等级需根据具体情况制定

                 

一级只是从“身份鉴别”、“自主访问控制”、简单的“恶意代码防范”这些控制点切入检测系统是否达到一级标准要求。二级除过一级中的控制点以外增加“安全审计”、“系统保护”、“剩余信息保护”、“资源控制”这些控制点的检测,同时对每一个控制点的检测深度高于一级标准。三级包括二级所有检测控制点,同时加入“强制访问控制”项目的测试,满足三级安全保护能力标准;四级为最高评测级别,对所有检测点进行深入的扫描评定,适合于高级涉密计算机系统的安全评估。

 表二 等保概况

 

物理安全(物理位置,物理访问,防破环,防自然灾害,机房布置)

网络安全(结构安全,访问控制,安全审计,边界设置等)

主机安全(身份鉴别,访问控制,安全审计,入侵防护,恶意代码,资源控制)

应用安全(身份鉴别,访问控制,安全审计,恶意代码,资源控制,通信相关性能)

数据安全(数据安全性及备份及恢复)

第一级

机房出入控制及自然灾害防御)

相关设备的业务处理能力;设备访问控制,登陆身份)

包括主机登陆限制、身份鉴别,权限设置,操作系统补丁及应用安装)

该应用的本身漏洞及通信的安全

重要信息数据通信的完整性及保密性;

重要信息备份及恢复

第二级

防震防风防雨,

进出审核记录,

防水防潮,温、湿度控制;

短期电力备用;

电源,通信线隔离

+冗余空间,接入网络和核心网路的带宽满足业务高峰;

子网划分,网段地址分配按便于控制原则;

网络边界启用访问控制(网段级);用户和系统间的控制粒度为单个用户;限制拨号权限用户数;

对设备,流量,行为进行审计与记录;边界完整性检测;网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等,设备登陆要实现单点登陆

操作系统及数据库的用户权限分离;身份鉴别及口令强度及更新,登陆限制措施,用户名唯一性

+审计覆盖服务器上每个用户;并保证不受到非预期的删改

+升级服务器机制

+恶意代码防护统一管理

 

+身份鉴别用户唯一标记,访问控制对文件、数据表的访问,安全审计覆盖到每个用户;保证无法删改

+通信过程中的完整性(MD5或哈希)

+通信限制(系统并发数量,单用户多重会话数;双方无回音最短时间)

 

+重要业务数据的完整性及保密性

+关键设备、业务的容灾备份

第三级 

 

+避免将重要网段布置在边界、直连外部信息系统,并与其它系统隔离;

按业务重要性确定带宽分配优先级

+控制粒度为端口级; 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制; 应在会话处于非活跃一定时间或会话结束后终止网络连接;   应限制网络最大流量数及网络连接数;   重要网段应采取技术手段防止地址欺骗;生成审计报表;记录攻击行为

 

+最小权限分配;

审计覆盖到用户;

存储重分配前确保删除干净;

资源监控及最小分配

 

+生成报表;

通信加密(会话验证,报文或会话加密);

接受,发送抗抵赖

资源限制:+时间段内并发会话数,进程资源最小分配,设置服务及进程的优先级

+数据完整性检验及受损恢复,

对重要业务数据加密;

完全数据备份至少每天一次;

存储介质场外存放;异地数据备份;传输冗余,避免单点故障

第四级

防自然灾害及人类灾害,温度湿度控制;进出审核,重要系统物理隔离,电子门禁

+电磁屏蔽

 

访问控制(用户级或进程级),网络边界安全设置;安全审计(细粒度,大数据);恶意代码防范及自动处理机制

至少一种不可伪造的身份鉴别

+不允许数据带通用协议协议通过;根据敏感标记过滤信息;不开放远程拨号访问;

集中审计,时钟同步

主机登陆限制、至少一种身份鉴别信息不可伪造,权限设置,操作系统补丁及应用安装,病毒防护情况,恶意代码防范(主机与网络不同恶意代码库);入侵防护,病毒库即使更新;资源使用限制;

+访问控制为进程级和字段级

+集中审计

+至少一种不可伪造的身份鉴别信息

+安装、启用安全标记

+禁止默认账户访问

+在身份鉴别、会话时先建立可信安全的通信路径

+集中审计

+硬件化加密及密钥管理

+自动恢复功能

+对重要通信使用专用协议或https,避免来自基于协议的通信攻击破坏数据完整性及保密性

+异地实时备份,无缝切换

注:可以根据实际情况对等级详情做修改 ,然后针对要达到的等级进行部署

平时可以在部署改善后通过渗透测试,模拟攻击(与后面的演习配合)等来发现,解决安全问题

 

以上是在平时对网络环境安全进行评估和改善的依据,在受到攻击时的应急需要另外的应对措施,整个体系分为事前、事中、事后;

事前:

确定人员职责,事件等级,上报体系,升级机制

对受到的攻击进行事件等级划分:

事件等级

影响

备注

一级

部分或全部用户/员工,对资产有损失

如:关键业务系统被拒绝服务攻击,用户无法访问、网站首页感染恶意代码、生产服务器被入侵

核心用户被入侵,

关键系统被攻击

二级

少量用户或员工,

如:基于web的管理系统被入侵,但权限小只能获得少量信息

边缘业务被攻击,

普通用户被入侵

三级

个别用户或员工

如:单台web服务器被攻击,无法访问,但不影响整个应用

普通服务器被攻击,无损失

注:根据公司具体业务要点制定

 

制定预案:

1,  根据事件(攻击类型)进行预案分类:DDOS,网站入侵,DNS安全等

2,  根据受攻击设备:生产服务器,web服务器等

分析判断:监控发现、流量分析、日志查看

处理流程、方法:(根据攻击流量大小、不同应用)

处理人员联系

演习:检验预案,对各种状况可以尽可能预料

 

事中:

发现事件并上报

协调调度

根据事件的情形(攻击的类型),按相应预案处理

 

事后分析:

分析起因,确定优化,改进项目,落实

 

 

以上为我的学习记录和自己的一些想法,有不成熟的地方或大家有建议的欢迎指正和交流,谢谢大家!

© 著作权归作者所有

指尖的乐律
粉丝 0
博文 10
码字总数 6713
作品 0
私信 提问
阿里云肖力:为什么云上比云下更安全? ——企业必须知道的4个云安全核心优势

互联网服务深入大众生活,全球范围黑客攻击事件屡见不鲜。银行账户余额被盗取、住宅供热控制系统被停用影响社会稳定和安全,对企业和数据网络的非法攻击可能导致数十亿美元的经济损失。今天黑...

阿里云头条
2018/07/10
0
0
等级保护二、三、四级内容及对比

一、等级保护内容框架 技术要求:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复 管理要求:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理 二、等级...

老鹰a
2018/07/27
0
0
当攻击威胁遭遇金刚狼 亚信安全为网络空间打造“自愈之身”

2018 C3安全峰会日前在成都召开,今年已经是C3连续第三年举办,作为一名扎根在网络安全圈多年的媒体人能够明显感受到代表峰会的主办方亚信安全所表现出的生机与活力,它的成长速度有目共睹。...

技术小能手
2018/06/01
0
0
国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1 技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑...

foodon
2014/12/23
4.8K
0
阿里云安全肖力:安全基础建设是企业数字化转型的基石

企业在享受数字化转型带来利好的同时,其面临的安全问题也愈发复杂。一方面,外部威胁不断升级,近期利用海量移动设备发起DDoS攻击的案例表明,黑灰产作案手法也在随着时代的发展而不断演进;...

云安全专家
04/22
0
0

没有更多内容

加载失败,请刷新页面

加载更多

将key=value转成对象形式

var params = {};testParan.split(',').forEach(item =>{ var tmpArr = item.split('='); Vue.set(params, tmpArr[0].trim(), tmpArr[1].trim());});Vue.set(params, 'sql', sql);......

沉迷代码我爱学习
15分钟前
1
0
什么是分立器件

  分立器件被广泛应用到消费电子、计算机及外设、网络通信,汽车电子、led显示屏等领域。   半导体产业中有两大分支:集成电路和分立器件。   集成电路   集成电路(integrated circ...

仙溪
25分钟前
3
0
kibana rpm安装

https://www.elastic.co/guide/en/kibana/6.2/rpm.html 下载对应的版本wget https://artifacts.elastic.co/downloads/kibana/kibana-6.2.4-x86_64.rpm 安装 rpm -ivh kibana-6.2.4-x86_64......

看的最远的地方
28分钟前
2
0
高防CDN相比较于高防服务器,为何更加稳定?

对于DDoS攻击,那些已经做过网站、平台的人应该知道,DDoS攻击是非常可怕的,因为这种攻击本质上不能防御,或者DDoS攻击只能被减轻,不能完全消除。DDoS,意思是“分布式拒绝服务”。它是一种...

云漫网络Ruan
29分钟前
3
0
线程SuspendThread() ResumeThread()的使用

SuspendThread():挂起线程 If the function succeeds, the return value is the thread's previous suspend count; otherwise, it is (DWORD) -1. ResumeThread():启动线程 If the functio......

rainbowcode
29分钟前
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部