报告预览

等级保护制度实施的技术支撑与解决之道.pdf

编号：92654

PDF 23页 2.66MB 下载积分：VIP专享

下载报告请您先登录！

等级保护制度实施的技术支撑与解决之道.pdf

1、360企业安全等级保护制度实施的技术支撑与解决之道陈洪波目录新形势新挑战新时代新等保新思路新能力新形势新挑战新的攻防态势改变业务安全保护模式互联网带来日新月异的变化，业务应用面临瞬息万变的局势互联网时代，信息安全运营模式和管理机制需要突破创新新形势下的攻防态势改变了保护模式传统现在动机技术兴趣政治经济利益范围外部威胁内外配合威胁手段渗透入侵木马僵尸网络源头静态固定移动动态变化威胁拒绝服务信息数据泄漏风险风险可控风险很大失控个人威胁黑客团体威胁经济犯罪威胁恐怖主义及国家级威胁业务网络安全风险有组织有目的的网络犯罪互联网业务系统安全漏洞僵尸、木马、病毒、蠕虫移动信息风险DDoS攻击网络钓鱼

2、APT攻击信息泄露外包风险内控风险内网系统安全问题内网重要系统“高级攻击”87%的攻击发现源自外部报告应用架构挑战：虚拟化、云计算、移动应用等技术引入，改变了传统的IT架构，带来管理便捷的同时，也引入了新的安全威胁。从基础设施的保护到应用系统的安全，需要多层次，分重点的防护体系管理制度挑战：管理制度也需要对应变化。已有的组织机构设置和人员队伍逐渐难以满足业务需求，信息安全标准规范建设急需加强，信息安全文化建设和意识强化培训需要持续扩展威胁变化挑战：随着新技术的不断发展，攻击者的手段和攻击也在不断发展变化，传统的监测技术相对固化，越来越难以有效地识别攻击，也就难以防御和应对。近期发生一系列信息安

3、全事件也表明了这一挑战的严重性运营能力挑战：内外部的安全形势变化，导致了安全运维的工作内容和工作量都在快速变化。大量的重复性运维工作需要自动化手段支持，未知攻击泛滥需要快速获取外部专家支持，业务需求的提高需要相应提高响应速度，都是对运营能力的挑战。业务信息安全面临新的安全挑战Gartner:2017年11大顶尖信息安全技术1.云平台负载安全保护（CWPP）2.远程浏览器技术(Remote Browser)3.欺骗技术(Deception)4.终端检测和响应（EDR）5.网络流量分析（NTA）6.管理检测和响应（MDR）用户和实体行为分析（UEBA）7.微分段(Micro segmentatio

4、n)8.软件定义边界（SDP）9.云访问安全代理（CASB）10.OSS安全扫描和软件组成分析技术11.容器安全(Containersecurity)重点行业态势严峻丨平均每天泄露110万条金融数据丨97%的大型企业遭受业务安全攻击2016年因为业务安全问题带来的损失比上年增加18%$4450亿政府网站成为被篡改/挂暗链的高危对象新时代新等保新时代的等级保护2.0提出了更高要求新时代，新等保物理和环境安全网络和通信安全网络架构访问控制安全审计入侵防范恶意代码防范设备和计算安全身份鉴别访问控制安全审计入侵防范恶意代码防范资源控制应用和数据安全身份鉴别访问控制安全审计软件容错资源控制数据完整性

5、数据保密性数据备份恢复个人信息保护技术要求安全策略和管理制度安全策略制定和发布评审和修订管理要求人员录用安全意识教育培训外部人员访问管理人员离岗安全管理机构和人员岗位设置授权和审批审核和检查人员配备沟通和合作安全建设管理定级备案自行软件开发外包软件开发安全方案设计产品采购和使用工程实施系统备案测试验收系统交付服务商供应商选择安全运维管理环境管理设备维护管理漏洞和风险管理资产管理介质管理网络和系统安全管理密码管理变更管理恶意代码防范管理备份与恢复管理安全事件处置应急预案管理边界防护通信传输集中管控剩余信息保护管理制度配置管理外包运维管理移动终端管控数据完整性镜像与快照保护接口安全网络设备防护应用

6、管控软件审核与检测应用软件来源管理监控和审计管理无线使用控制无线使用控制移动应用软件开发云服务商选择供应链管理等级保护2.0全新升级，对云计算、移动互联、物联网、工业控制等重要系统提出了新要求云计算安全扩展要求移动互联安全扩展要求工业控制系统安全扩展要求新形势下等级保护的能力建设思路等级保护2.0是一套新形态下的体系化要求以积极防御思想落实符合等级保护要求的安全保护和运营体系依赖进化信息安全规划安全管理体系安全域划分安全加固补丁管理安全防护措施纵深防御体系缩小攻击面消耗攻击资源迟滞攻击不依赖人持续检测响应深度威胁分析追踪溯源响应处置人的对抗能力数据收集情报挖掘情报分析验

7、证攻击溯源法律手段对抗措施自我防卫行为架构安全被动防御积极防御威胁情报进攻反制架构设计纵深防御分析响应掌握敌情先发制人新形势下等级保护的能力建设思路敏感业务数据的全生命周期控制与审计敏感数据的集中管理（文件集散）重要敏感数据的保护以数据安全为核心以防线失守为假设以应用安全为重点以威胁情报为手段外部合作共建威胁情报系统利用威胁情报系统提前化解威胁利用威胁情报系统全面溯源攻击构建基于威胁情报的网络攻击防御体系将业务应用作为安全的入口与第一道防线构建并利用业务应用的白名单系统对重点/危险业务应用采用沙箱隔离等技术手段对业务应用可访问的数据与权限进行限制与监控迅速发现已经

8、被攻破的设备迅速控制并处置被渗透的设备回查攻击全过程，并总结经验聚焦等保护2.0的核心安全能力新思路新能力构建等级保护2.0下的创新型安全运营能力对数据的深度分析是安全运营的灵魂建设基于安全运营的创新型能力安全分析终端威胁数据全流量网络数据网络出入口管控数据安全管理数据网络终端/主机应用数据分析工具云端威胁情报数据数据分析互联网资产梳理重要析产梳理异常资产持续监测资产画像资产安全数据分析漏洞验证安全隐患深挖（找线头）威胁情报分析/追踪溯源数据分析实时监控安全态势感知数据通报安全事件安全事件释疑安全监控日常安全分析报告安全事件协同处置安全专项协同处置行业信息安全通报协同处置数据是提升安全运

9、营能力的关键要素网络和通信：基于用户行为梳理资产互联网资产梳理互联网资产暴露面扫描互联网域名梳理网站可访问情况梳理建立互利网暴露资产信息列表内部重要资产梳理新增资产监测内部网络资产信息收集和整理建立内部重要资产列表资产画像(基于流量采集)基于互联网梳理资产边界，针对新增资产进行监测和报警网络和通信：基于大数据检测内部威胁攻击面管控主动发现组织内部攻击面，并对攻击面进行识别，找出不当暴露和非法暴露的攻击面。违规操作发现并定位违规拷贝数据、越权访问、非法业务查询等操作事件内部攻击发现并识别来自内部的扫描、恶意探测、密码尝试破解等攻击行为。漏洞管理发现未知漏洞、修复漏洞、漏洞的持续管理攻击面漏洞内部

10、攻击违规操作内部威胁攻击面管控：正常暴露、非法暴露、不当暴露、供应链暴露漏洞管理内部攻击：非法扫描、恶意探测、暴力破解等违规操作：越权访问、非法业务数据查询、违规拷贝/复制数据等跨越网络边界与访问控制的全链路分析持续监控与分析终端行为数据，并结合外部威胁情报的数据，分析组织内部已经被攻陷的终端设备和计算：基于威胁情报检测终端失陷主机上有Web shellRedis成功爆破行为反弹shell通过注入非法获取数据发现服务器上存在Tunnel内部失陷主机whoamiid.bash_historyifconfigunamepasswdcmd_bannerver发现特征socksteamvi

11、ewIRCHTTP Proxy与文件传输关联，排除404与重复URL，内置SQLMAP回扫内置危险存储过程写Shell内部执行发现爆破行为后，记录该爆破IP是否存在成功登陆行为。Wheather：判断应用系统是否遭到入侵（是否）When：什么时间入侵了应用系统（时间）Who：是谁入侵了应用系统（攻击源）How：应用系统如何被入侵（手段）Why：攻击者在入侵后做了什么（目的）What：安全事件带来的损失（后果）基于全流量的深度分析风险应用和数据：业务应用系统安全客户端程序安全进程安全敏感信息安全密码软键盘安全组件安全安全策略网络通信安全服务器安全业务逻辑安全中间件安全WEB安全静态分析工具反编

12、译工具：apktool 静态分析：IDA，jeb，Hopper 砸壳工具：dumpdecrypted动态分析工具数据包分析：WireShark，BurpSuite 调试工具：Jdb，IDA，debugserver，lldb，libimobiledevice 内存搜索：MemSpector，Memscan 注入工具：InjectSo，Cycript 界面劫持：HijackActivity Hook框架：Xposed，Theos 代理工具：Drony面向业务应用系统服务、移动终端APP（IOS/安卓），深度分析业务应用潜在漏洞。安全开发小组QA工程过程小组EPG架构组信息安全管理投产管理组安全成

13、果审计安全开发流程定义安全开发健康检查安全开发流程改进共享安全开发专家库产品中具体安全架构技术研究产品安全架构与产品线安全架构的符合性安全开发环境管理知识产权数据保护投产方案安全评审投产技术基线安全开发管理安全开发过程开始获取和开发执行操作与维护发布阶部署段培训需求设计实施测试发布响应微软 SDL设计验证渗透测试安全开发流程安全开发工具安全开发安全需求威胁建模安全设计CSDLOWASP TOP 10通过评估风险改进业务应用全生命周期安全代码安全分析云计算：主动发现的云端业务安全云端访问流向图VPCVPCVRvFWvIPSvAVvSwitchvWAFWEB1WEB2APP1APP2DB1DB2行

14、为记录HAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGVRvFWvIPSvAVvSwitchvWAFWEB1WEB2APP1APP2DB1DB2行为记录HAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGWEB访问本地APPAPP访问本地DB安全行为分析安全行为分析WEB访问异地APPAPP访问本地DBVDC以攻防视角分析云计算环境下的业务安全云安全分析工程师第0层现场设备层第1层现场控制层第2层过程监

15、控层第3层生产管理层生产数据、设备状态算法策略生产数据设备状态控制逻辑工程师工程师操作员值班员工程师调度员操作员工程师人机交互、权限审计生产数据设备状态配置文件控制逻辑配置文件下装报表、历史数据、人机交互、权限审计调度指令计划指令工艺指令重要生产信息统计数据以太网232/485/总线/以太网用户数据网络以太网软硬件MES系统：计划排产系统、生产调度系统等SCADA、HMI等PLC、DCS控制单元和RTU等传感器和执行器等异常监测分析重点监测：工控系统通信网数据异常、失陷主机探测深度分析：工控系统安全隐患及暴露面分析、数据流异常分析闭环管控：工控系统风险管控、安全处置工控系统：数据流异常监测分

16、析监测分析人员基于等级保护网络和通信、设备和计算、应用和数据要求的整体安全分析基于数据分析的安全运营漏洞SQL/反序列攻击反序列化Web shell违规访问反弹shell钓鱼邮件僵尸木马内部扫描基于域名攻击隧道非法攻击面内部威胁内部失陷外部攻击数据安全分析内部威胁分析内部失陷分析外部攻击分析通过风险分析，发现内部存在的不合理的暴露面、漏洞、违规访问和内部攻击等威胁，实现精细内部威胁管控，提升单位内部安全基线基于全流量数据，分析资产异常行为、服务器高危行为、非常规服务、数据库危险操作、邮件内容安全、服务器非法外联、账户风险、WEB攻击威胁等方面，发现单位内部已经感染的主机和终端。通过全流量数据分

17、析，及时发现来自外部的攻击，并结合威胁情报大数据对疑似的攻击事件进行定位和定性，支持对事件进行调查和溯源。全流量风险分析事件分析处置研判对可疑的安全事件和失陷主机结合云端威胁情报大数据进行分析、研判、追踪和溯源，协助单位完成安全威胁的深度处置。基于数据分析的安全运营Text in here数据工具流程人新型的安全岗位：安全监控岗：实时监控，安全预警通报；数据分析岗：数据分析、验证和解释；云端追踪溯源岗：云端情报分析，深挖问题，追踪溯源；事件处置岗：各类安全事件技术处置；信息通报岗：行业信息安全事件通报；资产情报漏洞情报威胁情报安全事件风险趋势工具脚本告警规则威胁情报引入分析计算协助通报资产情报报告漏洞验证结果安全数据分析报告溯源分析报告安全事件协同处置信息安全通报输出安全运营岗位及分析流程基于数据分析的安全运营安全监控岗数据分析岗信息通报岗事件处置岗溯源分析岗以积极防御思想构筑符合等级保护2.0要求的安全运营体系，打造合规要求与核心安全能力的完美融合积极防御的等级保护2.0等级保护标准体系定级指南基本要求设计要求测评要求安全通用要求工控系统安全扩展要求云计算安全扩展要求移动互联安全扩展要求大数据安全扩展要求物联网安全扩展要求谢谢

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（等级保护制度实施的技术支撑与解决之道.pdf）为本站（云闲）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。

上海品茶

等级保护制度实施的技术支撑与解决之道.pdf

等级保护制度实施的技术支撑与解决之道.pdf