[Seguridad de red] Calentamiento de la serie de evaluación de garantía igualitaria
prefacio
1. ¿Qué es la protección jerárquica?
La igualdad de seguridad se denomina protección del nivel de seguridad de la red. En China, protección del nivel de seguridad de la información
En un sentido amplio, se refiere al trabajo de seguridad que involucra los estándares, productos, sistemas, información, etc. del trabajo basado en el concepto de protección jerárquica.
En un sentido estricto, generalmente se refiere al nivel de seguridad de protección del sistema de información (APP)
2. ¿Por qué necesita esperar por el seguro?
(1) Las leyes y reglamentos requieren que la "Ley de Seguridad de la Red" estipule claramente que los operadores y usuarios del sistema de información deben cumplir con las obligaciones de protección de seguridad de acuerdo con los requisitos del sistema de protección del nivel de seguridad de la red. Si se niegan a cumplir, serán sancionados. respectivamente.
Artículo 21: El Estado implementa un sistema de protección graduada de seguridad en la red. Los operadores de red deberán, de acuerdo con los requisitos del sistema de protección del nivel de seguridad de la red, cumplir con las siguientes obligaciones de protección de seguridad, proteger la red de interferencias, destrucción o acceso no autorizado, y evitar que los datos de la red se filtren, roben o alteren.
(2) Requisitos de la industria
En industrias como la financiera, la energía eléctrica, la radio y la televisión, la atención médica y la educación, las autoridades competentes exigen claramente que los sistemas de información (APP) de los profesionales realicen un trabajo de protección jerárquica.
(3) Requisitos para la seguridad del sistema empresarial
Los operadores y usuarios del sistema de información pueden descubrir posibles peligros de seguridad y deficiencias dentro del sistema a través del trabajo de protección jerárquica y pueden mejorar las capacidades de protección de seguridad del sistema a través de la rectificación de seguridad para reducir el riesgo de ser atacado.
3. ¿El transeúnte A tiene una pregunta?
• Un usuario del gobierno: he pasado la evaluación de protección graduada según lo requerido ¿No hay ningún problema con la seguridad de la red?
• Un usuario de una universidad: Para no infringir la ley, hemos agregado muchos equipos de seguridad para pasar la seguridad. Ahora la operación y el mantenimiento están casi ocupados. ¿La seguridad es tan complicada?
•Un usuario de un hospital: Hay tantos sistemas hospitalarios, y con frecuencia se cambian, ¿Cada sistema necesita ser evaluado para mantenimiento? ¿Qué debo hacer para no recibir un "boleto", me puede indicar el camino?
Se agregó una serie de evaluaciones de igual garantía y, después de un período de tiempo, se centrará en las evaluaciones de igual garantía.
| número de serie | Contenido de la serie |
|---|---|
| 01 | entorno físico seguro |
| 02 | red de comunicación segura |
| 03 | límite de área segura |
| 04 | entorno informático seguro |
| 05 | Centro de gestión de seguridad |
| 06 | Sistema de administración segura |
| 07 | agencia de gestión de seguridad |
| 08 | gerente de seguridad |
| 09 | Gestión de la seguridad en la construcción |
| 10 | Gerencia de Operación y Mantenimiento de Seguridad |
| 11 | Requisitos de extensión de seguridad de computación en la nube |
| 12 | Requisitos de extensión de seguridad de Internet móvil |
| 13 | Requisitos de extensión de seguridad de IoT |
| 14 | Requisitos de extensión de seguridad para sistemas de control industrial |
1. Prueba de garantía
Las pruebas de penetración son parte de la garantía, primero comprendamos el proceso de las pruebas de penetración.
Contenido del trabajo de prueba de penetración:
1.自己企业直招的安全工程,针对自身企业业务的安全维护加固
2.乙方公司:测评机构,安全厂商,针对甲方企业进行安全防护测试(大部分)
3.撰写报告
1. Proceso de prueba de penetración
meta clara
recopilación de información
Detección de vulnerabilidades
Verificación de vulnerabilidad
análisis de información
toma lo que necesites
Recopilación de información
informe de formulario
La Parte A celebra una reunión de establecimiento del proyecto para determinar los objetivos y la información.
1.1 Objetivos claros
1. Determinar el alcance: el alcance objetivo de la prueba, IP, nombre de dominio, red interna y externa
2. Determinar las reglas
渗透测试和黑客入侵区别?
渗透测试:以黑客角度,模拟攻击,更全面的发现测试对象的安全隐患
黑客:不择手段进行攻击,获取非法收益
Contenido de la regla:
能渗透到什么程度?
确定攻击时间?
可以采取哪些攻击手段?
3. Determinar las necesidades
vulnerabilidad de la aplicación web?
¿Vacíos en la lógica de negocios?
¿Vulnerabilidad en los permisos de gestión de personal?
1.2 Recopilación de información
Método de ataque:
¿Escaneo activo?
¿Abrir búsqueda?
甲方会给到的信息
1、基础信息: IP,业务架构,域名,端口
2、各种系统以来的版本信息
3、应用信息:涉及到的服务信息,各应用逻辑
1.3 Exploración de vulnerabilidades
A través del escáner, combinado con la vulnerabilidad en la consulta de base de datos.
1.4 Verificación de vulnerabilidades
1. Verificación automatizada: mediante herramienta de verificación
2. Verificación manual: utilice la verificación de recursos públicos
3. Agrietamiento por fuerza bruta
1.5 Análisis de la información
Prepárate para el siguiente paso de penetración.
Ataque avanzado, mecanismo de derivación, código de ataque
1.6 Consigue lo que necesitas
Ataque, fuera de la biblioteca, presencia persistente (puerta trasera), limpieza de rastros
1.7 Recopilación de información
Organice las herramientas, la información de resultados recopilada y la información de vulnerabilidades durante todo el proceso de penetración.
1.8 Formar un informe
contenido central:
1. Presentar información sobre la existencia de vulnerabilidades
2. El principio de la vulnerabilidad
3. ¿Cómo se puede utilizar?
4. Dar sugerencias para la rectificación
La prueba de penetración es parte de la garantía.
2. Resumen de la garantía
Protección de clase
2.1 Historial de desarrollo
En 1994, el Estado planteó por primera vez el concepto de garantía.
1999 Base legal para la protección de los sistemas de información
2007 se promulgan las 1.0 medidas de garantía de clase
2017 Legislación “Ley de Ciberseguridad”
2019 promulgada Garantía Cualificada 2.0
2.2 La diferencia entre MLPS 2.0 y MLPS 1.0
2.2.1 Modificación de nombre
信息安全技术信息等级保护要求
修改为
信息安全基础网络安全等级保护(和网络安全法一致)
2.2.2 Cambios en los objetos de calificación
1.0 para seguridad física, red, host, aplicación, seguridad de datos
2.0 añade el Internet de las Cosas, productos en la nube, Internet móvil, etc.
2.2.3 Cambios en la estructura de vigilancia de la seguridad operacional
1. Técnicamente, 2.0 agrega el Internet de las Cosas, etc.
2. En términos de gestión: el número de proyectos institucionales es más
2.2.4 Cambios en las obligaciones de garantía
1.0 No necesita esperar por el seguro, solo sea responsable de ello usted mismo
2.0 En especial el equipamiento básico nacional, tiene la obligación legal de protección jerárquica
Por ejemplo, las estaciones base deben estar protegidas
2.3 Motivos de espera del seguro
Si no lo hace y espera hasta que algo salga mal, se considera un desastre provocado por el hombre y debe asumir la responsabilidad, pero no mucha.
不做等保,出了问题,用户将承担主要责任,必要时网监部门会直接进行处罚
Si hay un problema después de esperar el seguro, es un desastre natural
La responsabilidad compartida se llevará a cabo después de esperar el seguro.
完成等保意味着得到公安机关的安全认可,出了问题公安机关会分担责任
Para realizar el establecimiento de un sistema de seguridad nacional (un paso en la estrategia nacional)
2.4 Funciones clave
2.4.1 Departamento de Vigilancia en Internet del Órgano de Seguridad Pública
Principalmente responsable del trabajo de supervisión e inspección en el proceso de protección de grado, responsable de la gestión de las instituciones de evaluación, todas las instituciones de evaluación deben realizar la presentación local
网络安全等级保护网
http://www.djbh.net/webdev/web/HomeWebAction.do?p=init
2.4.2 Instituciones de evaluación
Hay aproximadamente 3-6 agencias de registro y evaluación de seguridad pública distribuidas en cada provincia, que son las principales responsables de llevar a cabo el trabajo de evaluación de acuerdo con los requisitos del departamento de monitoreo de la red local.
2.4.3 El rol que se evalúa
De acuerdo con los requisitos del departamento de monitoreo de red, coopere con el trabajo relacionado con la seguridad.
2.4.4 Integradores, implementadores y proveedores de seguridad
Las empresas evaluadas deben modificarse de acuerdo con el plan de rectificación, lo que implica una gran cantidad de adquisición y aplicación de equipos de seguridad.
3. Esperando el proceso del seguro
Clasificación y archivo-----evaluación de brechas-----rectificación y construcción------evaluación de nivel
No existe certificado para otras garantías, pero puede consultar los registros de presentación en el departamento de supervisión de red correspondiente
Por lo general, se requieren 5 pasos:
1. Clasificación (clasificación independiente por parte de la empresa-revisión de expertos-revisión del departamento competente-revisión del órgano de seguridad pública)
2. Registro (presentar los materiales de archivo por parte de la empresa-revisión del órgano de seguridad pública-emitir el certificado de registro)
3. Evaluación (evaluación de grado-evaluación de tres niveles una vez al año)
4. Rectificación de construcción (construcción segura - rectificación de seguridad)
5. Supervisión e inspección (supervisión e inspección anual por parte de los órganos de seguridad pública)
3.1 Clasificación y archivo
Ordenar la situación del sistema de información y determinar el nivel (determinado por el país según el alcance del negocio)
Envíe el informe de calificación y el formulario de archivo al departamento de monitoreo de la red local
Clasificación
Nivel I (Hospital)
Nivel 2 (Instituciones Financieras)
Nivel 3 (proveedores de nube, sistemas gubernamentales)
Nivel 4 (Nube de Alibaba)
Nivel 5 (Empresas Militares)
requerimientos de seguridad
Auditar toda la empresa
Incluyendo sistema de gestión, organización de gestión de seguridad, personal, construcción del sistema y operación y mantenimiento del sistema
Después de que la empresa complete las garantías de tercer y cuarto nivel, los órganos de seguridad pública a menudo vendrán a verificar
3.2 Evaluación de brechas
Los evaluadores deben enviar informes de evaluación de brechas, sugerencias de rectificación e informes de pruebas de penetración.
3.3 Rectificación de seguridad
Hay sugerencias de rectificación para cada módulo.
Seguridad del sistema, Seguridad de la red, Seguridad de datos