日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
等保2.0高風(fēng)險(xiǎn)項(xiàng)之安全的區(qū)域邊界

隨著等保2.0正式生效以來(lái),各行各業(yè)都在為了過(guò)每年等保測(cè)評(píng)操碎了心。很多單位安全負(fù)責(zé)人以為買幾臺(tái)安全設(shè)備就可以大搖大擺的通過(guò)等保測(cè)評(píng),殊不知過(guò)等保2.0的要求是具有相應(yīng)的安全防護(hù)能力或措施,尤其是一些高壓線條例,更是要求實(shí)打?qū)嵉臐M足。

借著最近在研究等保高風(fēng)險(xiǎn)項(xiàng)說(shuō)明《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引》,我給大家分享一下我對(duì)等保2.0中高危項(xiàng)的理解。本次介紹的安全的區(qū)域邊界,共分為邊界防護(hù)、訪問(wèn)控制、入侵防范、惡意代碼和垃圾郵件、安全審計(jì)以及可信驗(yàn)證。

邊界防護(hù)

(1) 互聯(lián)網(wǎng)邊界安全管控

  • 要求:針對(duì)所有級(jí)別的系統(tǒng),對(duì)于互聯(lián)網(wǎng)邊界側(cè)的安全防護(hù)設(shè)備,如果無(wú)任何安全控制措施或配置錯(cuò)誤的策略(例如允許所有流量交互)、無(wú)法及時(shí)管理訪問(wèn)控制設(shè)備并且根據(jù)安全需求及時(shí)更新策略,可判定為高風(fēng)險(xiǎn)。
  • 高風(fēng)險(xiǎn)原因:互聯(lián)網(wǎng)充滿了安全威脅與不確定性,出口側(cè)缺少防御措施,將導(dǎo)致內(nèi)部網(wǎng)絡(luò)直接系統(tǒng)暴露在互聯(lián)網(wǎng)中,極易成為被攻擊的目標(biāo)。
  • 解決方案:采用具有訪問(wèn)控制的產(chǎn)品或技術(shù)(ACL控制),可使用防火墻、交換機(jī)、路由器等產(chǎn)品實(shí)現(xiàn)。
  • 個(gè)人補(bǔ)充:邊界安全,尤其是互聯(lián)網(wǎng)出口邊界安全是安全建設(shè)的重點(diǎn)之一。在給用戶做規(guī)劃時(shí),除了考慮訪問(wèn)控制措施之外,更需要關(guān)注策略的細(xì)粒度化與動(dòng)態(tài)化,太粗的策略以及萬(wàn)年不變的策略往往也是網(wǎng)絡(luò)的安全隱患。

(2) 非法內(nèi)聯(lián)&非法外聯(lián)

  • 要求:對(duì)于三級(jí)以上物理環(huán)境、網(wǎng)絡(luò)環(huán)境不可控的系統(tǒng),非授權(quán)的外部設(shè)備可訪問(wèn)內(nèi)部的重要的服務(wù)或業(yè)務(wù)并且未采用任何限制措施;內(nèi)部重要服務(wù)器、業(yè)務(wù)端可以連接至外部網(wǎng)絡(luò)并且未采用任何限制措施;內(nèi)部人員可以繞過(guò)控制設(shè)備訪問(wèn)外網(wǎng)并且未采用任何限制措施,有上面三種之一的可判定為高風(fēng)險(xiǎn)。
  • 高風(fēng)險(xiǎn)原因:內(nèi)部重要資產(chǎn)與外部之間的互聯(lián)互通,都會(huì)導(dǎo)致這臺(tái)主機(jī)暴露在風(fēng)險(xiǎn)中,輕則主機(jī)相關(guān)信息被不法分子通過(guò)掃描工具、爬蟲(chóng)軟件獲取,重則通過(guò)主機(jī)漏洞獲取權(quán)限、投放病毒,甚至通過(guò)這臺(tái)主機(jī)作為跳板,從而橫向攻擊同區(qū)域內(nèi)其他業(yè)務(wù)系統(tǒng)。
  • 解決方案:部署檢測(cè)、阻斷非法外聯(lián)或內(nèi)聯(lián)的產(chǎn)品,例如準(zhǔn)入控制、非法內(nèi)聯(lián)/外聯(lián)掃描等,此外,做好物理、網(wǎng)絡(luò)環(huán)境管控(例如嚴(yán)格限制機(jī)房出入、IP-MAC綁定)、終端安全管理(USB接口、無(wú)線網(wǎng)卡限制)都可以降低風(fēng)險(xiǎn)等級(jí)。
  • 個(gè)人補(bǔ)充:未經(jīng)允許下的內(nèi)外網(wǎng)互訪不能單單依靠技術(shù)措施來(lái)實(shí)現(xiàn)防護(hù),建議結(jié)合管理、運(yùn)維等措施來(lái)實(shí)現(xiàn),管理上例如采用預(yù)防(做好安全意識(shí)培訓(xùn),多用故事嚇唬嚇唬)、威脅(發(fā)現(xiàn)非法外聯(lián)警告、罰款)等,運(yùn)維上及時(shí)發(fā)現(xiàn)異常連接記錄、及時(shí)處置。

(3) 無(wú)線網(wǎng)絡(luò)管理

  • 要求:對(duì)于三級(jí)以上的系統(tǒng),無(wú)線網(wǎng)絡(luò)與核心網(wǎng)絡(luò)互通,并且缺乏有效的訪問(wèn)控制、身份鑒別策略,存在非授權(quán)接入的隱患,可判定為高風(fēng)險(xiǎn)。
  • 高風(fēng)險(xiǎn)原因:無(wú)線因其便捷性,用戶可以在任意位置、任意時(shí)間通過(guò)無(wú)線接入網(wǎng)絡(luò)內(nèi),如果缺乏有效的身份認(rèn)證、操作授權(quán)措施,將無(wú)法確保接入人員的可靠性,導(dǎo)致安全風(fēng)險(xiǎn)。
  • 解決方案:可通過(guò)無(wú)線準(zhǔn)入控制產(chǎn)品實(shí)現(xiàn)人員的安全接入,例如NAC,也可以限制無(wú)線的范圍或者接入的認(rèn)證強(qiáng)度、訪問(wèn)控制。
  • 個(gè)人補(bǔ)充:不同于以往有線場(chǎng)景下的接入點(diǎn)可控,無(wú)線的引入導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)邊界模糊,這種情況下更需要注重對(duì)人員身份管控、權(quán)限分配、日志溯源,有點(diǎn)“零信任”那味兒了。

訪問(wèn)控制

(1) 互聯(lián)網(wǎng)邊界訪問(wèn)控制

  • 要求:針對(duì)所有系統(tǒng),在互聯(lián)網(wǎng)出口邊界處未采取訪問(wèn)控制策略或配置錯(cuò)誤的策略(例如業(yè)務(wù)全通策略),可判定為高風(fēng)險(xiǎn)
  • 高風(fēng)險(xiǎn)原因:互聯(lián)網(wǎng)充滿了安全威脅與不確定性,出口側(cè)缺少防御措施,將導(dǎo)致內(nèi)部網(wǎng)絡(luò)直接系統(tǒng)暴露在互聯(lián)網(wǎng)中,極易成為被攻擊的目標(biāo)。
  • 解決方案:采用具有訪問(wèn)控制的產(chǎn)品或技術(shù)(ACL控制),可使用防火墻、交換機(jī)、路由器等產(chǎn)品實(shí)現(xiàn)。
  • 個(gè)人補(bǔ)充:《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引》多次強(qiáng)調(diào)互聯(lián)網(wǎng)邊界安全控制,可見(jiàn)其重要程度。

(2) 通信協(xié)議轉(zhuǎn)換及隔離

  • 要求:針對(duì)四級(jí)以上系統(tǒng),可控網(wǎng)絡(luò)(例如SM網(wǎng))與不可控網(wǎng)絡(luò)(例如普通業(yè)務(wù)網(wǎng))之間數(shù)據(jù)傳輸缺乏通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離(通俗理解就是網(wǎng)絡(luò)線路直連,或者只采用一些弱隔離措施,例如ACL策略等),可判定為高風(fēng)險(xiǎn)。
  • 高風(fēng)險(xiǎn)原因:ACL策略、訪問(wèn)控制策略都是通過(guò)程序、代碼來(lái)實(shí)現(xiàn),當(dāng)分析、掌握代碼內(nèi)容時(shí),就會(huì)存在被繞過(guò)的風(fēng)險(xiǎn),從而導(dǎo)致策略失效,進(jìn)而造成安全隱患。
  • 解決方案:采取強(qiáng)隔離措施,例如網(wǎng)閘、光閘?;蛘咄ㄟ^(guò)專家進(jìn)行論證,相關(guān)業(yè)務(wù)數(shù)據(jù)無(wú)法通過(guò)協(xié)議轉(zhuǎn)換等方式進(jìn)行交互,并且采取了其他安全措施,可降低風(fēng)險(xiǎn)等級(jí)。
  • 個(gè)人補(bǔ)充:真正的安全是完全與外界斷開(kāi)通信,而這也導(dǎo)致業(yè)務(wù)喪失了可用性。對(duì)于正常的業(yè)務(wù)來(lái)講,需要在兩者之間找到一個(gè)平衡點(diǎn),既要實(shí)現(xiàn)可用性,由要確保業(yè)務(wù)的穩(wěn)定、安全。

入侵防范

內(nèi)部&外部攻擊防護(hù):

  • 要求:針對(duì)三級(jí)以上系統(tǒng),關(guān)鍵節(jié)點(diǎn)(互聯(lián)網(wǎng)側(cè)、核心業(yè)務(wù)系統(tǒng)側(cè))無(wú)法識(shí)別、阻止從外部或內(nèi)部發(fā)起的攻擊行為(例如從互聯(lián)網(wǎng)側(cè)發(fā)起的勒索、挖礦攻擊、核心業(yè)務(wù)中毒成為肉雞并作為跳板對(duì)外發(fā)起攻擊)。
  • 高風(fēng)險(xiǎn)原因:傳統(tǒng)ACL、訪問(wèn)控制主要針對(duì)網(wǎng)絡(luò)層、端口層實(shí)現(xiàn)安全防護(hù),卻缺乏應(yīng)用層的威脅識(shí)別,造成勒索、木馬等病毒感染,導(dǎo)致核心業(yè)務(wù)受到影響。
  • 解決方案:在關(guān)鍵節(jié)點(diǎn)采取入侵防御/檢測(cè)/APT防護(hù)等功能,實(shí)現(xiàn)病毒入侵防護(hù);在核心區(qū)域邊界采取嚴(yán)格的訪問(wèn)控制策略,可降低風(fēng)險(xiǎn)。
  • 個(gè)人補(bǔ)充:病毒的防御需要從內(nèi)外網(wǎng)角度考慮,外部主要是因?yàn)榄h(huán)境復(fù)雜未知,攻擊發(fā)起的可能性更高,一般在邊界處采用縱深防御的思路,采用“糖葫蘆”式或多合一的安全產(chǎn)品部署方式。內(nèi)部主要是由于終端側(cè)缺乏有效管控,導(dǎo)致病毒通過(guò)U盤(pán)、外設(shè)等方式傳播入網(wǎng)(例如2010年震網(wǎng)病毒事件),這里可以參考安全的計(jì)算機(jī)環(huán)境相關(guān)技術(shù)要求來(lái)做防護(hù)。

惡意代碼與垃圾郵件防范

惡意代碼防護(hù):

  • 要求:針對(duì)所有系統(tǒng),在主機(jī)層面與網(wǎng)絡(luò)層面均沒(méi)有惡意代碼清楚措施(如主機(jī)層面的網(wǎng)絡(luò)殺毒軟件、網(wǎng)絡(luò)層面的入侵防御/檢測(cè)),可判定為高風(fēng)險(xiǎn)。
  • 高風(fēng)險(xiǎn)原因:網(wǎng)絡(luò)層面缺乏惡意代碼識(shí)別可能會(huì)導(dǎo)致網(wǎng)絡(luò)中充斥著惡意代碼,主機(jī)層面缺乏惡意代碼識(shí)別可能導(dǎo)致主機(jī)中毒,影響正常業(yè)務(wù)開(kāi)展。
  • 解決方案:主機(jī)層面采用防病毒軟件,網(wǎng)絡(luò)層面采用入侵防御/入侵檢測(cè)。
  • 個(gè)人補(bǔ)充:很多釣魚(yú)郵件、惡意文件內(nèi)有惡意的進(jìn)程或代碼,但無(wú)法通過(guò)病毒特征庫(kù)來(lái)識(shí)別,此時(shí)可以使用動(dòng)態(tài)沙箱模擬終端運(yùn)行環(huán)境,來(lái)判斷底層是否有惡意進(jìn)程會(huì)影響正常的業(yè)務(wù)系統(tǒng)。

安全審計(jì)

網(wǎng)絡(luò)安全審計(jì):

  • 要求:針對(duì)所有系統(tǒng),缺乏對(duì)重要用戶或重要安全事件的記錄與審計(jì),可判定為高風(fēng)險(xiǎn)
  • 高風(fēng)險(xiǎn)原因:發(fā)生網(wǎng)絡(luò)安全事件不可怕,可怕的是不知道為何發(fā)生、怎么發(fā)生。當(dāng)缺乏對(duì)日志、事件的分析,可能會(huì)導(dǎo)致同樣的問(wèn)題一而再、再而三的發(fā)生,造成持續(xù)化的安全防御難以生效。
  • 解決方案:在網(wǎng)絡(luò)邊界、重要節(jié)點(diǎn)采用網(wǎng)絡(luò)、日志等審計(jì)措施,實(shí)現(xiàn)對(duì)事件的記錄、分析,便于溯源。
  • 個(gè)人補(bǔ)充:正所謂“知己知彼、百戰(zhàn)百勝”,網(wǎng)絡(luò)安全其實(shí)就是攻與防雙方之間的博弈對(duì)決,對(duì)敵人更了解,就能根據(jù)敵人的思路采取相應(yīng)的反制措施,例如“殺傷鏈模型”、“ATT&CK模型”就是這一類防御思路,以后有機(jī)會(huì)我也會(huì)與大家一同分享。

可信驗(yàn)證

《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引》目前沒(méi)有關(guān)于可信驗(yàn)證的高風(fēng)險(xiǎn)項(xiàng)。

總結(jié)

總結(jié)一下安全的區(qū)域邊界中避免高風(fēng)險(xiǎn)項(xiàng)的要求:

  • 互聯(lián)網(wǎng)出口一定要做好防御措施,互聯(lián)網(wǎng)出口一定要做好防御措施,互聯(lián)網(wǎng)出口一定要做好防御措施,重要的事情說(shuō)三遍。
  • 邊界防御措施要從物理層、網(wǎng)絡(luò)層、端口層、應(yīng)用層安全出發(fā),應(yīng)用層的安全更多的是依靠特征識(shí)別、模擬環(huán)境判斷,網(wǎng)絡(luò)層與端口層依靠ACL、訪問(wèn)控制等策略來(lái)實(shí)現(xiàn),物理層可以通過(guò)門(mén)禁、監(jiān)控或管理規(guī)范來(lái)實(shí)現(xiàn)。
  • 現(xiàn)在逐漸火起來(lái)零信任的架構(gòu),雖然是強(qiáng)調(diào)去邊界化,但對(duì)于邊界安全的建設(shè)也是不能忽視的。

以上是我對(duì)安全的區(qū)域邊界高風(fēng)險(xiǎn)項(xiàng)的理解,希望能幫助到大家。


網(wǎng)站標(biāo)題:等保2.0高風(fēng)險(xiǎn)項(xiàng)之安全的區(qū)域邊界
網(wǎng)頁(yè)網(wǎng)址:http://m.5511xx.com/article/djjseeg.html