等保(一)——简单介绍
目录
行业概述
等保萌芽期2004年。2017年前称信息安全,2017年后称网络安全。
等保测评全称是信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
国内外网络安全大事件
恐惧是痛点,痛点是需求,需求是钱(提升对话高端的能力,是和高端客户交流的谈资)
1、伊朗震网事件与震网病毒
震网病毒是一种蠕虫病毒(2010年诞生)
- 特点:自我繁殖能力特别强,具有破坏性
- 攻击目标:工业上使用的可编程逻辑控制器(PLC)
- 传播途径:U盘传播
- 危害:通过修改控制器的一些控制代码,去修改离心机的转速
- 影响:网络安全升级到工控安全,网络空间安全
对普通电脑没什么危害,只会感染西门子公司的PLC控制文件,会周期性的修改控制器的配置文件,在2009.11-2010.01,摧毁1000多台离心机
2、海康威视视频弱口令事件
2014年提交的漏洞,内容是存在root弱口令和web后台弱口令,通过弱口令进入管理员界面,可以对摄像头进行操控。
3、mirai病毒与视频安全
Mirai通过感染那些自身存在安全漏洞或内置有默认密码的IOT设备,操控它们针对目标网络系统发起定向攻击,网络监控摄像头、DVR、路由器等其他家用网络设备都有可能会被感染。
4、摄像头自身存在的安全漏洞
摄像头系统的弱口令
替换摄像头为终端设备(摄像头有连接网线,会被拔出来连接终端设备,可以访问到内部网段相同的设备,进行扫描)
存在不必要的远程服务
系统组件和应用程序漏洞
常见摄像头防护设备
- 华三——鹰视
- 锐捷——ISG(视频安全防护)
- 迪普——视频安全接入网关
可以对前端摄像头做准入 ,防外连--- mac地址绑定
5、乌克兰变电站事件
2015年12月
钓鱼邮件 → 下载恶意软件,作为跳板机 → 控制到配置区的设备,下达断电指示 → 发起DDOS攻击,阻拦其他人与发电站的通信
6、委内瑞拉变电站事件
2019年3月
- 直接:炸电厂
- 间接:炸能源
- 现在:黑客破坏电厂
比较愿意花钱做安全的公司
金融证券行业,政府,中国烟草,电力电网,公安,涉密军队
7、某图纸泄密事件
屏蔽双绞线 --- 锡箔,防止内部磁场外泄
非屏蔽双绞线使用屏蔽机柜
目前一般是使用光纤,无磁场
8、某网站被黑事件
网站防护措施:WAF
数据库审计
9、斯诺登事件
2013年
《第四公民》:介绍了斯诺登事件
……
等保制度
等保五个步骤
信息安全等级保护的五个步骤是:定级、备案、建设整改、等级测评和监督检查。具体如下:
- 1. 定级:根据信息系统的重要性、安全风险等因素,确定信息系统的安全等级。
- 2. 备案:将信息系统的安全等级、安全保障措施等情况进行备案,并接受主管部门的监督和管理
- 3. 建设整改:根据信息系统的安全等级和安全保障要求,制定相应的安全建设方案和整改措施,并进行实施。
- 4. 等级测评:对已经完成建设整改的信息系统进行安全等级测评,评估其安全保障能力和实际安全状况。
- 5. 监督检查:主管部门对信息系统的安全等级、安全保障措施等进行监督检查,发现问题及时进行纠正和处理,确保信息系统的安全性和可靠性。
(注意,这里整改和测评的顺序可以灵活调整顺序,无固定要求)
分级保护
信息的重要程度决定级别,分为三个级别秘密级,机密级,绝密级。由国家保密局负责。
等级保护
等保是指信息安全等级保护,是指对国家重要信息系统、关键信息基础设施和重要信息资源进行的安全等级保护。等保等级分为五级,分别为一级、二级、三级、四级和五级。
1、定级流程
等保定级的主要依据是信息系统在国家安全和经济社会发展中所处的地位、作用和价值,以及信息系统的安全风险和安全保障能力等因素。具体的等保定级流程包括以下几个步骤:
- 1. 确定定级对象:确定需要进行等保的信息系统或信息资源。
- 2. 确定定级单位:确定负责组织实施等保工作的单位。
- 3. 确定定级依据:确定等保定级的依据和标准,包括国家法律法规、政策文件、标准规范等。
- 4. 进行风险评估:对信息系统进行全面的风险评估,确定其安全风险等级和安全保障能力。
- 5. 确定等保等级:根据风险评估结果和等保依据,确定信息系统的等保等级。
- 6. 备案和公示:将信息系统的等保等级和保护措施等信息进行备案和公示,接受社会监督。
等保定级的目的是为了保障国家安全和社会稳定,防止信息系统被黑客攻击、病毒感染等安全威胁,保护国家重要信息资源和关键信息基础设施的安全。
2、等级保护内容
在等级保护中,不同等级的要求有所不同,以下是一些基本的要求:
- 1.第一级(自主保护级):能够防范个人的、拥有很少资源的威胁源发起的恶意攻击,保护系统的基本功能不被破坏。
- 2.第二级(指导保护级):能够防范来自外部攻击者的攻击,防止系统受到严重的破坏。
- 3.第三级(监督保护级):能够防范内部攻击者的攻击,防止机密信息泄露,保护系统的关键功能不被破坏。
- 4.第四级(强制保护级):能够防范来自国家级攻击者的攻击,防止机密信息被窃取,保护国家安全和社会稳定。
- 5.第五级(专控保护级):能够防范来自敌对势力的高级别攻击,防止国家安全和机密信息被窃取,保护国家安全和社会稳定。
不同等级的要求会随着等级的升高而逐渐增加,包括系统的安全防护措施、安全管理制度、安全技术和安全管理等方面。同时,不同等级的保护对象也有不同的适用范围,例如第一级适用于个人用户和小型企业,第二级适用于中型企业,第三级适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,第四级适用于国家级重要信息系统,第五级则适用于国家安全和机密信息保护的最高级别。
3、测试频率
根据《信息安全等级保护基本要求》,不同等级的信息系统的测评频率有所不同,具体如下:
- 1. 第一级(自主保护级):无需测评。
- 2. 第二级(指导保护级):每两年至少进行一次等级测评。
- 3. 第三级(监督保护级):每年至少进行一次等级测评。
- 4. 第四级(强制保护级):每半年至少进行一次等级测评。
- 5. 第五级(专控保护级):每月至少进行一次等级测评。
需要注意的是,以上测评频率仅适用于等级测评,而不是其他形式的安全检查和监测。对于其他形式的安全检查和监测,例如安全漏洞扫描和安全日志审计等,其频率应该根据实际情况进行调整。同时,还需要根据实际情况和需求,结合安全事件和安全威胁的变化,适时调整安全保护措施和测评频率。
等保测评
等保主要目的机房保护
安全技术测评
包括:安全物理环境(10),安全通信网络(3),安全区域边界(6),安全计算环境(11),安全管理中心(4)
安全管理测评
包括:安全管理制度(4),安全管理机构(5),安全管理人员(4),安全建设管理(10),安全运维管理(14)
高、中、低是什么环节里面的?
- 在报告编制环节里的整体测评里面,安全风险等级分为三个,分别是:高危,中危,低危。
- 怎么定义高危,中危,低危的。详情参考《网络安全等级保护测评高风险判定指引》备案的流程
- 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定
-
优良中差是什么的?
等保优良、中等、较差是对信息系统等保等级的评价结果,是根据等保定级结果的表现来进行评价的。
- 1. 等保优良:表示信息系统等保等级高,安全保障能力强,能够有效防范和应对各种安全威胁和风险。
- 2. 中等:表示信息系统等保等级适中,安全保障能力一般,需要进一步加强安全防护措施和管理。
- 3. 较差:表示信息系统等保等级较低,安全保障能力不足,存在较大的安全风险和隐患,需要尽快采取措施加强安全防护和管理。
等保优良、中等、较差的评价结果是根据信息系统等保等级的实际表现和安全保障能力来确定的,是对信息系统等保工作的一种评价和反馈,有助于指导信息系统等保工作的开展和改进。
优良中差是测评结论里面的。(在报告编制环节里面的形成测评结论,测评结论分为四个等级)
- 0-70(不包含70):差 存在高危风险或者综合评分70以下
- 70-80(包含70):中 无高危风险
- 80-90(包含80):良 无高危风险
- 90-100(包含90):优 无高危风险
等保中关键项和风险项的区别是什么?
- 关键项:关键项是指在信息系统中具有重要性和关键功能的组件、资源或控制措施。这些关键项对于信息系统的正常运行和安全性至关重要。
- 风险项:风险项是指在信息系统中存在潜在安全风险的组件、资源或控制措施。这些风险项可能是由于系统配置不当、漏洞存在、访问控制不完善等原因导致的。风险项可能会被攻击者利用,对信息系统造成损害。对风险项的管理和控制是为了降低安全风险和提高信息系统的安全性。
- 关键项和风险项的区别在于,关键项强调的是信息系统中的重要组件和功能,而风险项强调的是存在潜在安全风险的组件和措施。在等保中,需要对关键项进行重点保护,确保其安全性和可用性;同时,对风险项需要进行风险评估和管理,采取相应的控制措施来降低风险。
等保测评的结果包括哪些?
测评报告、评估结果、等级判定