【网络安全】等保测评系列预热

【网络安全】等保测评系列预热

  • 前言
    • 1. 什么是等级保护?
    • 2. 为什么要做等保?
    • 3. 路人甲疑问?
  • 一、等保测试
    • 1. 渗透测试流程
      • 1.1 明确目标
      • 1.2 信息搜集
      • 1.3 漏洞探索
      • 1.4 漏洞验证
      • 1.5 信息分析
      • 1.6 获取所需
      • 1.7 信息整理
      • 1.8 形成报告
    • 2. 等保概述
      • 2.1 发展历程
      • 2.2 等保2.0和等保1.0区别
        • 2.2.1 名称修改
        • 2.2.2 定级对象变化
        • 2.2.3 安全监督结构变化
        • 2.2.4 等保义务性变化
      • 2.3 做等保原因
      • 2.4 关键性角色
        • 2.4.1 公安机关网监部门
        • 2.4.2 测评机构
        • 2.4.3 被测评角色
        • 2.4.4 集成商、实施商、安全厂商
    • 3. 等保流程
      • 3.1 定级备案
      • 3.2 差距评估
      • 3.3 安全整改
      • 3.4 等级评估


前言

1. 什么是等级保护?

等保全称网络安全等级保护。在中国,信息安全等级保护

广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作

狭义上一般指信息系统(APP)安全等级保护

2. 为什么要做等保?

(1)法律法规要求《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

(2)行业要求
在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统(APP)要开展等级保护工作。

在这里插入图片描述

(3)企业系统安全的需求
信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。

3. 路人甲疑问?

•某政府用户:按照要求过了等级保护测评,网络安全是不是没什么问题了?

•某高校用户:为了不违法,为了过等保,我们加了很多安全设备,现在运维都快忙死了,过等保这么复杂吗?

•某医院用户:医院系统这么多,还经常变更,是不是每个系统都要做等保测评?到底怎么做才能不会收到“罚单”,能否指条明路?

新增等保测评系列,之后一段时间以等保测评为主

序列号系列内容
01安全物理环境
02安全通信网络
03安全区域边界
04安全计算环境
05安全管理中心
06安全管理制度
07安全管理机构
08安全管理人员
09安全建设管理
10安全运维管理
11云计算安全扩展需求
12移动互联安全扩展要求
13物联网安全扩展要求
14工业控制系统安全扩展要求

一、等保测试

渗透测试是等保的一部分,我们先来了解渗透测试的流程

渗透测试工作内容:

1.自己企业直招的安全工程,针对自身企业业务的安全维护加固
2.乙方公司:测评机构,安全厂商,针对甲方企业进行安全防护测试(大部分)
3.撰写报告

1. 渗透测试流程

明确目标

信息搜集

漏洞探测

漏洞验证

信息分析

获取所需

信息整理

形成报告

甲方开立项会议,确定目标和信息

1.1 明确目标

1、确定范围:测试的目标范围,IP,域名,内外网

2、确定规则

渗透测试和黑客入侵区别?

渗透测试:以黑客角度,模拟攻击,更全面的发现测试对象的安全隐患
黑客:不择手段进行攻击,获取非法收益

规则内容:

能渗透到什么程度?
确定攻击时间?
可以采取哪些攻击手段?

3、确定需求

web应用漏洞?

业务逻辑漏洞?

人员管理权限漏洞?

1.2 信息搜集

攻击方式:

​ 主动扫描?

​ 开放式搜索?

甲方会给到的信息

1、基础信息: IP,业务架构,域名,端口
2、各种系统以来的版本信息
3、应用信息:涉及到的服务信息,各应用逻辑

1.3 漏洞探索

通过扫描器,结合漏洞在db查利用

1.4 漏洞验证

1、自动化验证:通过工具验证

2、手动验证:利用公开的资源验证

3、暴力破解

1.5 信息分析

为下一步实施渗透做准备

进准打击,绕过机制,攻击代码

1.6 获取所需

进行攻击,脱库,持续性存在(后门),清理痕迹

1.7 信息整理

整理整个渗透过程中工具,收集的结果信息,漏洞信息

1.8 形成报告

核心内容:

1、提出漏洞存在信息

2、漏洞出现原理

3、通过什么方式可以利用

4、给出整改建议

渗透测试是等保的一部分

2. 等保概述

等级保护

2.1 发展历程

1994 国家首次提出等保概念

1999 针对信息系统保护有法律依据

2007 颁布等保1.0措施

2017 立法《网络安全法》

2019 颁布等保2.0

2.2 等保2.0和等保1.0区别

2.2.1 名称修改

信息安全技术信息等级保护要求

修改为

信息安全基础网络安全等级保护(和网络安全法一致)

2.2.2 定级对象变化

1.0 针对物理安全,网络,主机,应用,数据安全

2.0 在基础上增加了物联网,云产品,移动互联网等

2.2.3 安全监督结构变化

1、技术上2.0新增物联网等等

2、管理上:制度立项数量更多

2.2.4 等保义务性变化

1.0 可以不做等保,自己负责即可

2.0 尤其国家基础性设备,具有等级保护法律义务

比如基站,必须做等保

2.3 做等保原因

不做等保出问题后,算人祸,需要背负责任但不多,

不做等保,出了问题,用户将承担主要责任,必要时网监部门会直接进行处罚

做等保后出问题,算天灾

做等保后会进行责任分担

完成等保意味着得到公安机关的安全认可,出了问题公安机关会分担责任

为了实现国家安全体系化的建设(国家战略的一步)

2.4 关键性角色

2.4.1 公安机关网监部门

主要承担等级保护过程中的监督检查工作,负责管理测评机构,各测评机构都需要在当地进行备案

网络安全等级保护网
http://www.djbh.net/webdev/web/HomeWebAction.do?p=init

图片.png

2.4.2 测评机构

各省大概分布3-6个公安备案测评机构,主要负责根据当地网监部门的要求开展测评工作

2.4.3 被测评角色

根据网监部门要求,配合等保相关工作

2.4.4 集成商、实施商、安全厂商

被测评企业需要根据整改方案进行修改,大量涉及到安全设备的采购和应用

3. 等保流程

定级备案-----差距评估-----整改建设------等级评测

等保没有证书,但是可以在相应网监部门查询到备案记录

通常需要5个步骤:

1.定级(企业自主定级-专家评审-主管部门审核-公安机关审核)
2.备案(企业提交备案材料-公安机关审核-发放备案证明)
3.测评(等级测评-三级每年测评一次)
4.建设整改(安全建设-安全整改)
5.监督检查(公安机关每年监督检查)

在这里插入图片描述

3.1 定级备案

梳理信息系统情况,确定等级(国家根据业务范围确定)

提定级报告和备案表到当地网监部门

等级分类

图片.png

一级(医院)

二级(金融机构)

三级(云厂商、政府系统)

四级(阿里云)

五级(军工企业)

安全要求

图片.png

对整个公司进行审核

包括管理制度、安全管理机构、人员方面、系统建设和系统运维

企业在做完三级四级等保后,公安机关会经常来检查

3.2 差距评估

测评人员需要提交差距评估报告、整改建议、渗透测试报告

3.3 安全整改

对每个模块都有整改建议

系统安全,网络安全,数据安全

3.4 等级评估

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/71884.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【Linux 网络】网络层协议之IP协议

IP协议 IP协议所处的位置网络层要解决的问题IP协议格式分片与组装网段划分特殊的IP地址IP地址的数量限制私网IP地址和公网IP地址路由 IP协议所处的位置 IP指网际互连协议,Internet Protocol的缩写,是TCP/IP体系中的网络层协议。 网络层要解决的问题 网络…

对于git功能的探索与研究

读前提示 注意: 本文只是面向初学者或者之前并未接触过git而想学习如何初步使用git的读者,如果您很擅长使用git,并善于维护远程仓库,那么不建议您看此篇文章,这会浪费您的时间。 当然,这篇文章还是能很好地…

WinForm内嵌Unity3D

Unity3D可以C#脚本进行开,使用vstu2013.msi插件,可以实现在VS2013中的调试。在开发完成后,由于项目需要,需要将Unity3D嵌入到WinForm中。WinForm中的UnityWebPlayer Control可以载入Unity3D。先看效果图。 一、为了能够动态设置ax…

用chatGPT从左右眼图片生成点云数据

左右眼图片 需求 需要将左右眼图像利用视差生成三维点云数据 先问问chatGPT相关知识 进一步问有没有现成的软件 chatGPT提到了OpenCV,我们让chatGPT用OpenCV写一个程序来做这个事情 当然,代码里面会有一些错误,chatGPT写的代码并不会做模…

并发编程--------JUC集合

并发集合 一、ConcurrentHashMap 1.1 存储结构 ConcurrentHashMap是线程安全的HashMap ConcurrentHashMap在JDK1.8中是以CASsynchronized实现的线程安全 CAS:在没有hash冲突时(Node要放在数组上时) synchronized:在出现hash…

案例12 Spring MVC入门案例

网页输入http://localhost:8080/hello&#xff0c;浏览器展示“Hello Spring MVC”。 1. 创建项目 选择Maven快速构建web项目&#xff0c;项目名称为case12-springmvc01。 2.配置Maven依赖 <?xml version"1.0" encoding"UTF-8"?><project xm…

Nacos AP架构集群搭建(Windows)

手写SpringCloud项目地址&#xff0c;求个star github:https://github.com/huangjianguo2000/spring-cloud-lightweight gitee:https://gitee.com/huangjianguo2000/spring-cloud-lightweigh 目录&#xff1a; 一&#xff1a;初始化MySQL 二&#xff1a;复制粘贴三份Nacos文…

vue2 封装 webSocket 开箱即用

第一步&#xff1a; 下载 webSocket npm install vue-native-websocket --save 第二步&#xff1a; 需要在 main.js 中 引入 import websocket from vue-native-websocket; Vue.use(websocket, , {connectManually: true, // 手动连接format: json, // json格式reconnection:…

【网络编程】万字详解||一个简单TCP服务器(TCP、线程池、守护进程)源码+介绍

TCP服务器 锁&#xff1a;Lock.hpp代码介绍 守护进程&#xff1a;daemonize.hpp代码说明 日志文件&#xff1a;log.hpp代码说明 任务处理 Task.hpp代码说明 线程池 ThreadPool.hpp代码说明 客户端 TCPClient.cc代码说明 服务器 TCPServer.cc代码说明 头文件包 util.hpp代码 Mak…

从源码层面深度剖析Spring循环依赖 | 京东云技术团队

以下举例皆针对单例模式讨论 图解参考 https://www.processon.com/view/link/60e3b0ae0e3e74200e2478ce 1、Spring 如何创建Bean&#xff1f; 对于单例Bean来说&#xff0c;在Spring容器整个生命周期内&#xff0c;有且只有一个对象。 Spring 在创建 Bean 过程中&#xff0…

Python Opencv实践 - 图像平移

import numpy as np import matplotlib.pyplot as pltimg cv.imread("../SampleImages/pomeranian.png", cv.IMREAD_COLOR)#图像平移 #cv.warpAffine(src, M, dsize[, dst[, flags[, borderMode[, borderValue]]]]) # M是仿射变换矩阵&#xff0c;对于平移来说M是一…

如何撰写一份清晰有效的说明文档

如何撰写一份清晰有效的说明文档 文章目录 导语1.明确读者群体&#xff1a;2.明确文档目的&#xff1a;3.提供清晰的结构&#xff1a;4.使用简洁明了的语言&#xff1a;5.提供具体的示例&#xff1a;6.注意文档格式和风格&#xff1a;7.接受反馈并更新文档&#xff1a;结语 导语…

如何使用Markdown编辑器?详细做法

这里写自定义目录标题 欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题&#xff0c;有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants 创建一个自定义列表如何创建一个…

原生JS手写扫雷小游戏

场景 实现一个完整的扫雷游戏需要一些复杂的逻辑和界面交互。我将为你提供一个简化版的扫雷游戏示例&#xff0c;帮助你入门。请注意&#xff0c;这只是一个基本示例&#xff0c;你可以根据自己的需求进行扩展和改进。 思路 创建游戏板&#xff08;Grid&#xff09;&#xff1…

网络基础——网络的由来与发展史

作者&#xff1a;Insist-- 个人主页&#xff1a;insist--个人主页 作者会持续更新网络知识和python基础知识&#xff0c;期待你的关注 目录 一、网络的由来 二、计算机网络的发展史 1、第一阶段 2、第二阶段 3、第三阶段 前言 每天都是使用网络&#xff0c;那么你知道网络…

StringBuilder的基本操作

1、为什么要学习StringBuilder? 1.1、String拼接100万次 String对象做字符串拼接&#xff0c;字符串直接拼接100万次&#xff0c;运行速度非常非常的慢&#xff0c;当数据量比较大的时候&#xff0c;一般不用字符串直接拼接 package stringdemo;public class StringTest {publ…

Spring Boot 项目应用消息服务器RabbitMQ(简单介绍)

一、背景 本章讲述的是在用户下单环节&#xff0c;消息服务器RabbitMQ 的应用 1.1 消息服务器的应用 在写一个电商项目的小demo&#xff0c;在电商项目中&#xff0c;消息服务器的应用&#xff1a; 1、订单状态通知&#xff1a;当用户下单、支付成功、订单发货、订单完成等…

SpringBoot3集成Quartz

标签&#xff1a;Quartz.Job.Scheduler&#xff1b; 一、简介 Quartz由Java编写的功能丰富的开源作业调度框架&#xff0c;可以集成到几乎任何Java应用程序中&#xff0c;并且能够创建多个作业调度&#xff1b; 在实际的业务中&#xff0c;有很多场景依赖定时任务&#xff0c…

谈谈什么是云计算?以及它的应用

作者&#xff1a;Insist-- 个人主页&#xff1a;insist--个人主页 作者会持续更新网络知识和python基础知识&#xff0c;期待你的关注 目录 ​编辑 一、什么是云计算 二、云计算的优势与劣势&#xff1f; 1、云计算的优势 ①提高资源利用率 ②提升效率 ③降低成本 2、云…

opencv带GStreamer之Windows编译

目录 1、下载GStreamer和安装2. GSTReamer CMake配置3. 验证是否配置成功 1、下载GStreamer和安装 下载地址如下&#xff1a; gstreamer-1.0-msvc-x86_64-1.18.2.msi gstreamer-1.0-devel-msvc-x86_64-1.18.2.msi 安装目录无要求&#xff0c;主要是安装完设置环境变量 xxx\1…