《跟我一起学“网络安全”》——等保风评加固应急响应

等保风评加固应急响应

一、安全加固

背景
随着IP技术的飞速发展，一个组织的信息系统经常会面临内部和外部威胁的风险，网络安全已经成为影响信息系统的关键问题。
虽然传统的防火墙等各类安全产品能提供外围的安全防护，但并不能真正彻底的消除隐藏在信息系统上的安全漏洞隐患。
信息系统上的各种网络设备、操作系统、数据库和应用系统，存在大量的安全漏洞， 比如安装、配置不符合安全需求，参数配置错误，使用、维护不符合安全需求，被注入木马程序，安全漏洞没有及时修补，应用服务和应用程序滥用，开放不必要的端口和服务等等。这些漏洞会成为各种信息安全问题的隐患。一旦漏洞被有意或无意地利用，就会对系统的运行造成不利影响，如信息系统被攻击或控制，重要资料被窃取，用户数据被篡改，隐私泄露乃至金钱上的损失，网站拒绝服务。
面对这样的安全隐患，该如何办呢？安全加固就是一个比较好的解决方案。
安全加固就像是给一堵存在各种裂缝的城墙进行加固，封堵上这些裂缝，使城墙固若金汤。
实施安全加固就是消除信息系统上存在的已知漏洞，提升关键服务器、核心网络设备等重点保护对象的安全等级。
安全加固主要是针对网络与应用系统的加固，是在信息系统的网络层、主机层和应用层等层次上建立符合安全需求的安全状态。
安全加固一般会参照特定系统加固配置标准或行业规范，根据业务系统的安全等级划分和具体要求，对相应信息系统实施不同策略的安全加固，从而保障信息系统的安全。
加固服务
安全加固服务是指是根据专业安全评估结果，制定相应的系统加固方案，针对不同目标系统，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强。
加固目标
（1）确保对象满足安全基线要求；
（2）优化配置，安装适用的安全软件等加强对象的安全性能；
（3）从实践角度检验安全策略的有效性；
加固原则
（1）标准性原则
（2）整体性原则
（3）规范性原则
（4）最小影响原则
（5）可控性原则
（6）保密原则
加固内容
（1）操作系统加固：
通过全面了解服务器操作系统运行状况和安全状况，采取补丁修补，并优化和加强账号口令、日志审核、网络性能、文件系统、权限控制、服务和进程等的安全性能。
包括各种操作系统：Windows、Linux、各种Unix等；
（2）数据库加固
通过了解数据库系统的运行状况，采取补丁修补，并优化和加强账号口令、日志审核、网络属性、相关文件、数据库配置（存储过程）等的安全性能。包括各种数据库系统：SqlServer、MySQL、DB2、oracle等
（3）网络服务加固
通过了解常见网络服务的运行状况和安全状况，采取补丁修补，并优化和加强网络属性、日志审核、目录和相关文件等的安全性能。这些网络服务包括：www、mail、DNS以及其他的常见网络服务
（4）网络设备加固
通过了解各种网络设备的运行状况和安全状况，采取升级，并优化和加强访问控制、账号口令、网络属性、服务等的安全性能。这些网络设备包括各个厂商的路由器、交换机、防火墙等
信息安全加固流程
加固事项
安全加固操作是有一定风险的，这些可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。
这些风险一般是由于系统运行状况调查不清导致，也可能是因为加固方案的不完善或者实施过程中的误操作引起。

二、等级保护

信息安全等级保护
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作。
（1）对信息系统分等级进行安全保护和监管
（2）对信息安全产品的使用实行分等级管理
（3）信息安全事件实行分等级响应、处置的制度
注：将涉密系统按照涉密程度分为绝密级、机密级、秘密级，实行分级保护
等级保护制度的地位和作用
（1）是国家信息安全保障工作的基本制度、基本国策
（2）是开展信息安全工作的基本方法
（3）是促进信息化、维护国家信息安全的根本保障
为什么要实施信息安全等级保护
（1）信息安全形式严峻
①.敌对势力的入侵、攻击、破坏
②.针对基础信息信息网络和重要信息系统的违法犯罪持续上升
③.基础信息网络和重要信息系统安全隐患严重
（2）是维护国家安全的需求
①.基础信息网络与重要信息系统已成为国家关键基础设施
②.信息安全是国家的重要组成部分
③.信息安全是非传统安全，信息安全本质是信息对抗、技术对抗
实施等级保护制度的主要目的
(1)明确重点、突出重点、保护重点
(2)有利于同步建设、协调发展
(3)优化信息安全资源的配置
(4)明确信息安全责任
(5)推动信息安全产业发展
(6)国家发展改革部门、财政部门、科技部门、公安机关对重要信息系统在政策上给予支持
等级保护各方职责
等级保护发展历程
等级保护实施流程
等级保护五个级别
部分公安部要求示例
（1）《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）
（2）《信息安全技术信息安全风险评估实施指南》（GBT 31509-2015）
（3）《信息安全技术网络安全等级保护基本要求》（GB/T 17859-1999）
（4）《信息安全等级保护管理办法》（公通字[2007]43号）
（5）《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）
（6）《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2020）
（7）《信息安全技术信息系统安全等级保护实施指南》（GB/T 25058-2010）
（8）《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）
（9）《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018）
测评目标
等级测评是指由公安部等级保护评估中心授权的等级保护测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
通过信息安全等级测评机构对已完成的等级保护建设的信息系统定期进行等级测评，确保信息系统的安全保护措施符合相应等级的安全要求。
注意：三级每年一次，四级半年一次，二级两年一次
测评的内容
不同级别系统要求项的差异
测评机构不得从事下列活动
（1）影响被测评信息系统正常运行，危害被测评信息系统安全；
（2）泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密；
（3）故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告；
（4）未按规定格式出具等级测评报告；
（5）非授权占有、使用等级测评相关资料及数据文件；
（6）分包或转包等级测评项目；
（7）信息安全产品开发、销售和信息系统安全集成；
（8）限定被测评单位购买、使用其指定的信息安全产品；
（9）其他危害国家安全、社会秩序、公共利益以及被测评单位利益的活动。

三、风险评估

安全服务的定义
“由供应商、组织机构或人员所执行的一个安全过程或任务。” —— ISO/IEC TR 15443-1: 2005《信息技术、安全技术、IT安全保障框架》
安全服务内容
风险评估术语
风险
风险是特定的威胁利用资产的脆弱性从而对组织造成的一种潜在损害。风险的严重程度与资产价值的损害程度及威胁发生的频度成正比。
资产
任何对组织有价值的事务。包括：信息、软件、硬件、服务、人员、其它等。
威胁
非预期事件的潜在原因，这些事件可能对系统或组织造成损害。
脆弱点/脆弱性
可能被一个或多个威胁利用的一个或一组资产的弱点。
风险评估
信息安全风险是指在信息化建设中，各类应用系统及其赖以运行的基础网络、处理的数据和信息，由于其可能存在的软硬件缺陷、系统集成缺陷等，以及信息安全管理中潜在的薄弱环节，而导致的不同程度的安全风险。
信息安全风险评估是从风险管理的角度，运用科学的手段，系统的分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，为防范和化解信息安全风险，或者将风险控制在可以接受的水平，制定有针对性的抵御威胁的防护对策和整改措施以最大限度的保障网络和信息安全提供科学依据。
风险评估目的
风险评估各要素
风险评估实施流程
风险评估准备
（1）确定风险评估的目标
（2）确定风险评估的范围
（3）组建适当的评估管理与实施团队
（4）进行系统调研
（5）确定评估依据和方法
（6）制定风险评估方案
（7）获得最高管理者对风险评估工作的支持
漏洞扫描流程
风险分析方法
风险计算原理-相乘法计算

四、小结

至此，《跟我一起学“网络安全”》的系列篇章已圆满落幕。我深知，我所分享的仅仅是网络安全领域的冰山一角，最基础、最浅显的知识点。网络安全作为计算机科学中一座巍峨的山峰，其深度和广度都远超我的笔墨所能触及。我的系列文章，旨在为大家揭开这神秘领域的面纱，提供一个初窥门径的机会，或许尚不足以称之为真正的入门。
然而，若你们怀揣着对网络安全深入研究的热忱，我诚挚地建议你们：积极参与护网行动，投身于靶场实践，不断锤炼技能，总结得失。只有在实战中磨砺，才能在这条充满挑战与机遇的道路上越走越远，直至攀登至网络安全领域的巅峰。愿你们在未来的探索之旅中，收获满满，成就非凡！