网络安全信息系统等级保护
等级保护目的是保护信息系统免受一般性质的侵害。
1、为什么要做等级保护?
因为等级保护是国家规定的法律,不做等级保护工作,就属于违法行为。一旦出事,会受到法律的惩罚以及予以警告,拒不整改者停机整顿。
2、等级保护分为五个流程,五个流程分别是:
定级备案、建设整改、等级测评、监督检查。
定级:其中定级又分为五个等级,五个等级为:自主保护(1级)、指导保护(2)级、监督保护(3级)、强制保护(4级)、专控保护(5级)。
定级的要素:受到侵害后,对受侵害客体的侵害程度。
受侵害的客体分为三类:公民、法人、其他组织等;公共秩序、公共利益;国家安全。
对受侵害客体的侵害程度:
第一级:等级保护对象受到破坏后,会对公民、法人、其他组织的合法权益造成损害,但不危害国家安全、公共秩序和公共利益;
第二级:等级保护对象受到破坏后,会对公民、法人、其他组织的合法权益造成严重损害,或者对公共秩序和公共利益造成危害,但不危害国家安全;
第三级:等级保护对象受到破坏后,会对公共秩序和公共利益造成严重危害,或者对国家安全造成危害;
第四级:等级保护对象受到破坏后,会对公共秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;
第五级:等级保护对象受到破坏后,会对国家安全造成特别严重危害。
3、侵害程度分类:
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成比较严重损害。
特别严重损害:工作职能受到严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
4、定级的流程:
1.确定定级对象
2.初步确定定级对象
3.专家评审
4.主管部门核准
5.备案审核
5、作为定级对象的信息系统应具有如下基本特征:
具有确定的主要安全责任主体;
承载具有相对独立的业务应用
包含相互关联的多个资源
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。
其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。
对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
6、等级保护就像人要做体检一样。
有的人偶尔做一次体检,有的人一年、两年、三年、甚至五年做一次,你不能说人做的频率越高出现问题的几率越多吧,肯定是做的频率越高出现问题的几率越小。这就涉及到不同的人对身体的健康要求一样。
对应的三级业务系统等保测评每年做一次,二级业务系统测评每两年做一次。
这和对网络安全性要求特别高、极高、较高、一般、较差是一样的,体检的多了,及时发现问题,及早解决问题。
然后,体检的时候我们肯定会查心肝脾肺肾对应着我们等保的物理、应用、数据、主机、网络等,你不能说这些不重要吧,所以重要程度可想而知。
7、为什么要做等保?这和你为什么要体检是一样的道理。
你担心自己的身体出问题,所以你要花钱主动体检。那等保呢,等保是国家明文规定你要进行体检,不体检就是违反法律,违反法律就是要受处罚,处罚完还是要去进行体检。
工作流程:预约挂号(预测评前期工作)---见到医生描述清楚症状特征(信息系统整理)----医生根据描述判断症状(专家评审环节)----有什么问题去哪哪做检查(测评机构看看问题出在哪里)---建立病历(出局测评报告)----是否要住院观察(差距整改阶段)-------出院(复评阶段)。
8、通过等保后会有一个年度测评备案证
从某年某月某天至某年某月某天对某单位2级或者3级信息系统进行年度等级测评
测评结论为基本符合(公安部盖章)
备案证和年度测评备案证有公安部盖章,个人无法在网上查询自己的备案及测评情况。只能委托测评公司进行查询。
网闸性能较差,替代方案通过防火墙做双nat进行隔离
ddos、流量清洗设备(大单位)
邮件安全系统(邮件安全网关设备)
无线安全网关(无线区域边界安全)
综合日志审计(审重要设备的审计,过多的设备,可能承载不了)
APT 高级威胁分析
探针 搜集恶意流量
集中管理防病毒(分服务端、客户端),服务端需要有服务器
如果是集成平台,需要考虑服务器的点位来进行防护。
医疗:
医疗内网无线需要考虑安全设备、无线准入认证。mac地址绑定。
c/s架构可用waf旁挂。
胖AP瘦AP客户端
前置机服务器需要加防火墙
9、等级保护是什么?
等级保护是对业务系统或者说是系统服务所处的网络环境做等级保护。总的来说重要的信息系统重点保护。
明确一个观点等级保护不分内外网,无论业务系统或者系统服务处于哪种网络都要做等级保护。涉密网络除外,涉密网络需要做分级保护。
分级保护分3个级别:秘密级、机密级、绝密级。
分级保护与等级保护对应关系:秘密级对应三级、机密级对应四级、绝密级对应五级。
分级保护是由国家保密局发起的,推广带有强制性的。等级保护是公安部门发起的,执行力相对分保要弱一点。
等级保护的主管部门:
1. 公安机关:等级保护工作的主管部门,负责信息安全等级保护工作的监督、检查、指导
2. 国家保密工作部门、国家密码管理部门:负责等级保护工作中有关保密工作和密码工作的监督、检查、指导
3. 国信办及地方信息化领导小组办事机构:负责等级保护工作部门间的协调,涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责
分级保护的主管部门:
1. 国家保密局及地方各级保密局:监督,检查,指导
2. 中央和国家机关(本部门):主管和指导
3. 建设使用单位:具体实施。
网络环境包括:
物理环境:物理环境的选择,具备防风、防雨、抗震、抗静电、灭火、电力供应、电磁防护、访问控制(门禁)和机房访问人员登记表。
等级保护有五个流程,定级、备案、整改、等级测评、监督检查。
如果系统数量比较庞大,那么优先选择重要系统做等级保护。
10、定级是根据信息系统遭到破坏后产生的影响来进行判断的?
1、内网、外网(物理隔离(完全隔离,不接触)、逻辑隔离(有设备联接))外网常见的都是防火墙或者路由器作为出口设备。(网络设备:路由器、交换机)
2、接入层、汇聚层、核心层
3、办公区、服务器区(数据中心)、呼叫中心 可以理解为公司的财务部、综合部、业务部职能部门。
4、设备在拓扑图中的表示方法。(NGFW、FW)交换机(接口比较多)业务系统的名称、几级、安全设备的名称。
5、设备功能的简介:
日志审计(对关键设备的日志进行审计,网络设备、安全设备)
数据库审计(对数据库操作的日志进行审计,常常会遇到客户说自己的数据库服务器可以保存日志,为什么还要有一台专门的数据库服务器呢,可以这么回答。我们的数据库服务器有可能是两到三个人来维护,中间万一出现些问题,维护人员可以直接从数据库日志中删除日志,追溯不到源头,不知道是谁。数据库审计抗抵赖性)
下一代防火墙(信任区、非信任区、DMZ区(非军事化区))
web应用防火墙(B/S架构,访问方式:通过浏览器访问服务)
堡垒机(先登录堡垒机输入账号密码,通过验证后再去输入服务器的账户密码,登录到堡垒机后堡垒机会对用户进行日志记录,也会对用户行为进行监控、录屏等。)
终端准入控制系统(终端需要安装客户端才能上网,安装客户端的工作量是单位人数,人数多量大)
网络准入(对ip地址和mac地址做管控)
IPS(入侵防御系统)
IDS(入侵检测系统)
主机防病毒(网络版)个人版对勒索病毒防范不强,病毒库不够强大。
态势感知 对未知威胁事件发生做识别、分析、预警、防御。
网闸(物理隔离,只允许自己设定的协议通过)
SSL VPN(在外出差的人员,有想获取公司内部文件或者资料时使用)
上网行为管理(员工上网的行为做一个管理,比如上班时间不能炒股,玩网页游戏等,通过策略去做管控)
二级:主机防病毒、堡垒机、下一代防火墙、IPS、日志审计、终端准入控制或者网络准入控制
三级:主机防病毒、堡垒机、下一代防火墙、IPS、日志审计、终端准入控制或者网络准入控制、waf(B/S根据业务系统架构来定)、上网行为管理、态势感知、无线控制器、数据库审计、IDS、抗ddos、网闸。
在网络规划与实施中应注意老化的链路和设备是否可以进行迁移、关机等工作,避免带来不必要的风险。
前期预测评应根据客户实际情况来进行规划设计、如医疗、教育、政府、能源应严格根据等级保护基本要求进行网络规划设计;普通行业:如企业、地级市应根据实际预算去考虑到基本防护。
11、混合云:应判定客户的业务系统属于以下哪种情况?
业务在云,本地也有相关业务存在:考虑两套防护措施,云上一套、物理机房一套。
业务全部在云,本地只是起到备份的作用:只需要在云上进行防护,本地配置基本防护即可(下一代防火墙、主机防病毒)。
IAAS基础设施及服务 将基础设施
PAAS平台及服务 无需关注底层
SAAS软件及服务 无需关注硬件设施、软件平台等,不需要投入人员进行开发、维护。
基本要求+扩展要求,基本要求就是技术+管理,扩展要求就是云平台、物联网、移动互联网、大数据。