【ネットワークセキュリティ】均等保証評価シリーズのウォーミングアップ
序文
1. 階層型保護とは何ですか?
同等のセキュリティは、ネットワーク セキュリティ レベルの保護と呼ばれます。中国における情報セキュリティレベルの保護
広義には、階層的保護の概念に基づいて、規格、製品、システム、情報などのセキュリティ業務を指します。
狭義には、一般的に情報システム(APP)のセキュリティレベルの保護を指します。
2. なぜ保険を待つ必要があるのですか?
(1) 「ネットワークセキュリティ法」では、情報システム運営者や利用者がネットワークセキュリティレベル保護制度の要求事項に従った安全保護義務を履行することが法令に明記されており、履行を拒否した場合には罰則が科せられます。それに応じて。
第 21 条: 国は、ネットワーク セキュリティの段階的保護システムを導入します。ネットワーク事業者は、ネットワークセキュリティレベル保護制度の要件に従い、以下のセキュリティ保護義務を履行し、ネットワークを干渉、破壊、不正アクセスから保護し、ネットワークデータの漏洩、盗難、改ざんを防止しなければなりません。
(2) 業界の要件
金融、電力、ラジオおよびテレビ、医療、教育などの業界では、管轄当局は、実務者の情報システム (APP) が階層的保護を実行することを明確に要求しています。
(3) 企業システムのセキュリティ要件
情報システムの運用者や利用者は、階層的な保護作業を通じてシステム内の潜在的な安全上の危険や欠陥を発見し、セキュリティ修正を通じてシステムのセキュリティ保護機能を向上させ、攻撃を受けるリスクを軽減できます。
3. 通行人 A に質問がありますか?
• 政府ユーザー: 要求された段階的保護評価に合格しましたが、ネットワーク セキュリティに問題はありませんか?
•大学のユーザー: 法律に違反しないように、セキュリティを通過するために多くの安全装置を追加しましたが、現在、運用と保守がほぼ忙しい状態ですが、セキュリティはそれほど複雑ですか?
●病院ユーザー:病院のシステムはたくさんあり、頻繁に変更されますが、保守のために各システムを評価する必要はありますか?「チケット」を受け取らないようにするにはどうすればよいですか、方法を教えていただけますか?
一連の均等保証評価を追加し、一定期間経過後は均等保証評価に重点を置きます
| シリアルナンバー | シリーズ内容 |
|---|---|
| 01 | 安全な物理環境 |
| 02 | 安全な通信ネットワーク |
| 03 | 安全領域の境界 |
| 04 | 安全なコンピューティング環境 |
| 05 | セキュリティ管理センター |
| 06 | 安全管理体制 |
| 07 | 安全管理庁 |
| 08 | 保安管理者 |
| 09 | 安全施工管理 |
| 10 | セキュリティ運用保守管理 |
| 11 | クラウド コンピューティングのセキュリティ拡張要件 |
| 12 | モバイル インターネット セキュリティ拡張機能の要件 |
| 13 | IoT セキュリティ拡張機能の要件 |
| 14 | 産業用制御システムのセキュリティ拡張要件 |
1. 保証テスト
侵入テストは保証の一部です。まず侵入テストのプロセスを理解しましょう
ペネトレーションテストの作業内容:
1.自己企业直招的安全工程,针对自身企业业务的安全维护加固
2.乙方公司:测评机构,安全厂商,针对甲方企业进行安全防护测试(大部分)
3.撰写报告
1. 侵入テストのプロセス
明確な目標
情報収集
脆弱性の検出
脆弱性の検証
情報分析
必要なものを手に入れる
情報照合
フォームレポート
甲はプロジェクト設立会議を開催し、目標や情報を決定する
1.1 明確な目標
1. 範囲を決定します: テストの対象範囲、IP、ドメイン名、内部および外部ネットワーク
2. ルールを決める
渗透测试和黑客入侵区别?
渗透测试:以黑客角度,模拟攻击,更全面的发现测试对象的安全隐患
黑客:不择手段进行攻击,获取非法收益
ルールの内容:
能渗透到什么程度?
确定攻击时间?
可以采取哪些攻击手段?
3. ニーズを判断する
Webアプリケーションの脆弱性?
ビジネスロジックの抜け穴?
人事管理権限に脆弱性?
1.2 情報収集
攻撃方法:
アクティブスキャン?
検索を開きますか?
甲方会给到的信息
1、基础信息: IP,业务架构,域名,端口
2、各种系统以来的版本信息
3、应用信息:涉及到的服务信息,各应用逻辑
1.3 脆弱性の調査
スキャナーを介して、データベース クエリの脆弱性と組み合わせて
1.4 脆弱性の検証
1. 自動検証: ツール検証による
2. 手動検証: 公開リソース検証を使用する
3. ブルートフォースクラッキング
1.5 情報分析
浸透の次のステップの準備をする
高度な攻撃、バイパスメカニズム、攻撃コード
1.6 必要なものを入手する
攻撃、ライブラリ外、永続的な存在(バックドア)、痕跡のクリーンアップ
1.7 情報の照合
侵入プロセス全体でツール、収集された結果情報、脆弱性情報を整理します。
1.8 レポートの作成
コアコンテンツ:
1. 脆弱性の存在に関する情報を公表する
2. 脆弱性の原理
3. どのように使用できますか
4. 修正の提案をする
侵入テストは保証の一部です
2. 保証の概要
クラスの保護
2.1 開発の歴史
1994 年に国は初めて保証の概念を提唱しました。
1999 年 情報システム保護の法的根拠
2007 年にクラス保証の 1.0 尺度を公布
2017年法律「サイバーセキュリティ法」
2019 年に公布された適格保証 2.0
2.2 MLPS 2.0 と MLPS 1.0 の違い
2.2.1 名前の変更
信息安全技术信息等级保护要求
修改为
信息安全基础网络安全等级保护(和网络安全法一致)
2.2.2 評価対象の変更
物理セキュリティ、ネットワーク、ホスト、アプリケーション、データ セキュリティの 1.0
2.0 では、モノのインターネット、クラウド製品、モバイル インターネットなどが追加されます。
2.2.3 安全監視体制の変更
1. 技術的には、2.0 にはモノのインターネットなどが追加されます。
2. 経営面では、組織的なプロジェクトの数が増加しています。
2.2.4 保証義務の変更
1.0 保険を待つ必要はありません。自分で責任を持ってください。
2.0 特に国家基本装備には階層的保護の法的義務がある
たとえば、基地局は保護される必要があります。
2.3 保険を待つ理由
それをせずに何か問題が起こるまで待っていると、それは人災とみなされ、責任を負わなければなりませんが、それほど多くはありません。
不做等保,出了问题,用户将承担主要责任,必要时网监部门会直接进行处罚
保険を待って問題があればそれは自然災害です
責任分担は保険加入を待ってから行います
完成等保意味着得到公安机关的安全认可,出了问题公安机关会分担责任
国家安全保障体制の確立(国家戦略の一歩)を実現するために
2.4 主要な役割
2.4.1 公安機関インターネット監視課
等級保護過程における監督・検査業務を主に担当し、評価機関の管理を担当し、すべての評価機関は現地申告を行う必要がある
网络安全等级保护网
http://www.djbh.net/webdev/web/HomeWebAction.do?p=init
2.4.2 評価機関
各州にはおよそ 3 ~ 6 の公安申告および評価機関が配置されており、主に地元のネットワーク監視部門の要件に従って評価作業を実施する責任を負っています。
2.4.3 評価される役割
ネットワーク監視部門の要求に従い、セキュリティ関連業務に協力します。
2.4.4 インテグレータ、実装者、およびセキュリティ ベンダー
評価された企業は是正計画に従って修正する必要があり、これには多くのセキュリティ機器の調達と適用が含まれます。
3. 保険手続き待ち
グレーディングとファイリング-----ギャップ評価-----修正と構築-----レベル評価
その他の保証については証明書はありませんが、該当するネットワーク監督部門の申請記録を確認できます。
通常、次の 5 つの手順が必要です。
1. 格付け(企業による独自の格付け - 専門家審査 - 所管部門による審査 - 公安機関による審査)
2. 記録(企業による提出資料の提出 - 公安機関による審査 - 記録証明書の発行)
3. 評価(年1回の等級評価~3段階評価)
4. 工事是正(安全工事~安全是正)
5. 監督検査(年1回、公安機関による監督検査)
3.1 グレーディングとファイリング
情報システムの状況を整理し、レベルを決定(事業内容に応じて国が決定)
グレーディングレポートと提出フォームをローカルネットワーク監視部門に提出します。
分類
レベル I (病院)
Tier2(金融機関)
レベル 3 (クラウド ベンダー、政府システム)
レベル 4 (アリババクラウド)
レベル 5 (軍事企業)
セキュリティ要件
会社全体を監査する
管理体制、安全管理組織、人材、システム構築、システム運用保守を含む
企業が第3段階と第4段階の保証を完了すると、公安機関が頻繁に検査に来ます。
3.2 ギャップ評価
評価者はギャップ評価レポート、修正提案、侵入テストレポートを提出する必要があります
3.3 セキュリティの修正
各モジュールには修正案があります
システムセキュリティ、ネットワークセキュリティ、データセキュリティ