一、等保相关问题
1 什么是等保
答:全称是“网络安全等级保护”,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,将全国的信息系统按照信息系统的业务信息和系统服务被破坏后,对受侵害客体的侵害程度分成五个安全保护等级,主要内容如下:
1对信息系统分等级进行安全保护和监督;
2对信息安全产品分等级进行管理,
3 对信息安全事件分等级进行响应和处置。
像等级越高,进行保护和监管制度越高,响应和处置等级就越高。
2 为什么要做等保
答:1通过做等保测评,可以发现系统网络内外部分存在的安全风险,通过测评整改提高防护水平
2广电,教育,电力等行业是由上而下有发布文件展开工作,不做就会被问责
3基本国策,17年6月1日颁布的网络安全法二十一条明确规定了等保制度的建立和实行。
3 不做等保会有什么影响?
答
:《中华人民共和国网络安全法》第五十九条:
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
4 公安部门要求什么时间完成等保测评?
答
:根据公安文件要求的时间开展测评工作,如果还没有定级则根据定级要求和流程,先向公安递交定级备案文件,预算纳入下一年度工作计划,在经费未落实前,可以先进行系统了解,系统加固配合工作。
定级专家评审时间:每季度或每半年,由公安组织专家评审。
5 什么是等保2.0?
答:随着信息技术的发展和网络安全形势的变化,等保1.0要求已无法有效应对新的安全风险和新技术应用所带来的新威胁,等保1.0被动防御为主的防御无法满足当前发展要求,因此急需建立一套主动防御体系。
等保2.0全称【网络安全等级保护2.0制度】是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
6 等保1.0和等保2.0最重要的一些区别。
答:1.标准依据的变化
从条例法规提升到法律层面。等保1.0的最高国家政策是国务院147号令,而等保2.0标准的最高国家政策是网络安全法,其中《中华人民共和国网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条规定的网络安全保护义务的,由有关主管部门给予处罚。因此不开展等级保护等于违法。
2.标准要求变化
等级2.0在1.0基本上进行了优化,同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。且针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
通用要求方面,等保2.0标准的核心是优化。删除了过时的测评项,对测评项进行合理改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
扩展要求扩展了云计算、物联网、移动互联网、工业控制、大数据。
3.安全体系变化
等保2.0相关标准依然采用“一个中心、三重防护”的理念,从等保1.0被动防御的安全体系向事前防御、事中相应、事后审计的动态保障体系转变。建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
4.等级规定动作
保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保2.0进行了优化和调整。
1)定级对象的变化
等保1.0定级的对象是信息系统,等保2.0的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。
2)定级级别的变化
公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0的第二级调整到了第三级。
3)定级流程的变化
等保2.0标准不再自主定级,二级及以上系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
4)测评合格要求提高
相较于等保1.0,等保2.0测评的标准发生了变化,以前4级系统半年要测评一次,现在3级及以上系统每年做一次。1.0里60分以上算及格,2.0中测评结论分为:优、良、中、差,70分以上才算基本符合要求,基本分调高了,测评要求更加严格。
7 网络安全工作由谁监管?
答
:国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
8 为什么要找浩基做等保?
答:湖南浩基是经湖南省信息安全等级保护工作协调小组办公室推荐,公安部信息安全等级保护评估中心审批,湖南省公安厅批准成立的湖南省内具备等级测评资质和能力的测评机构。
9 浩基主要做什么
答:湖南浩基致力于帮助全国重要信息系统运营单位提升系统安全防护能力,为用户提供等级测评、可信众测、渗透测试、风险评估、安全运维、安全巡检、安全培训、安全加固、应急响应等一站式服务。 公司已为全国300余家金融、政府、电力、运营商、医疗、教育、广电、互联网等行业用户持续输出安全能力,并见证了用户系统安全防护能力等级逐步提升的过程。
10 等保测评内容
答:等级测评主要包括安全物理环境、安全区域边界、安全通信网络、安全计算环境、安全管理中心和安全管理六个层面。
11 等保定级对象
答:等保1.0定级的对象是信息系统,等保2.0的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,主要对象如下:
1起支撑,传输作用的基础网络,像内外网,专网和网管系统
2用于生产,调度,管理,作业,指挥,办公的应用系统
3对外发布业务主要平台
4云计算、物联网、移动互联、大数据等平台。
12 等保怎么定级
答
:安全保护等级初步确定为第二级及以上的等级保护对象,其运营使用单位应当依据《网络安全等级保护定级指南》进行初步定级、专家评审、主管部门审批、公安机关备案审查,最终确定其安全保护等级。
等级保护对象的级别由两个定级要素决定,按照受侵害和攻击的客体对社会和国家危害程度定级,总共1-5个级别:
a) 受侵害的客体;
b) 对客体的侵害程度。定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级也应由业务信息安全和系统服务安全两方面确定,根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级;根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级;由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全,比如一些企业的门户网站,中小企业的一些对外办公网站等等。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,如果涉及到科研成果,社会,国家等方面的系统。比如铁路网站,医保,社保等系统。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
13 实际操作中如何定级?区别?
答:第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级信息系统:一半适用于地市级以上国家机关、企事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省联接的网络系统等。
在实际操作中,可参考备案单位自主定级分类指南。
14 《定级报告》一般都包括哪些部分?
答
:1、定级依据
包括与本次信息系统定级相关的法规、标准、规范和文件等,例如《管理办法》、《定级指南》、本行业的安全管理规定等确定信息系统安全保护等级所需依据的文件。
2、信息系统划分
详细描述信息系统的管理机构和管理职责、网络结构和对外边界、承载业务种类、处理的主要信息等。如果定级范围内划分出多个作为定级对象的信息系统,应描述划分结果、划分方法和理由。
3、 信息系统描述
描述定级信息系统的边界,包括外部边界和与其他系统相连的内部边界,定级系统的边界设备,系统内的主要设备,系统承载的业务应用。
15 专家评审对象是什么?哪些系统无需专家评审的?
答:二级及二级以上的信息系统需要专家评审,但下列情况可无需专家评审:
1、信息系统运营使用单位有上级主管部门,且对信息系统的安全保护等级有定级指导意见或审核批准的,可无需再进行等级专家评审。
2、主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。
16 整个测评周期是多长?其中现场测评时间多久?
答:整个测评周期包括前期调研、现场测评、后期报告编写等,一般情况下一个二级系统会占用3-4周,一个三级系统会占用4-5周;
其中现场测评的时间根据系统的数量而定:一般一个二级系统会占用3-4个工作日,一个三级系统会占用5-6个工作日。
17 等级保护有哪些规范标准?
答:等级保护涉及面广,相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个:
GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南
GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求
GB/T 28448-2019信息安全技术 网络安全等级保护测评要求
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 22240-2020信息安全技术 信息系统安全等级保护定级指南
GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求
18 做了等保再出安全问题可以免责吗?
答:网络安全工作是一件专业性很强的工作,需要持续进行开展。安全也没有绝对的安全,但是作为甲方,自己该做的工作都需要及时做到,在自己力所能及的情况下开展好网络安全工作,再出了事自己这块的工作首先肯定是做到位的,即使还需要进行承担的话,也不会承担主要责任。比如单位内部人员蓄意把内部资料泄露出去,那么这个责任肯定是由泄露出的人去承担。
19 等保流程?
答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:信息系统定级、是信息系统备案、是系统安全建设、是信息系统开始等级测评、主管单位定期开展监督检查。
20 等级保护测评结论不符合是不是等级保护工作白做了?
答:不是。等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。
21 已经上了很多设备了,为什么要做等保?
信息系统安全是一个动态的工程,不能指望上一项技术,一个产品,一个方案就能一劳永逸的永远解决系统安全问题。而且,在国家没有出台信息系统安全标准前,对信息系统安全没有一个基本标准,基本方法,各单位完全是按照各个厂商或各个公司的标准来建设信息系统安全,我们不能被厂商引导
22 能不能把我们单位几个系统定级成一个系统,我们经费有限
答:等保定级后我们会对现有系统测评,测评报告有严格要求,如果要求多系统合一做成报告,在专家评审阶段无法通过,最终无法通过公安机关审核。
23 我的系统已经上云或者系统托管到其他地方,系统就不归我管了,就不用做等保了?
背景:系统上云的情况越来越多,不论是公有云还是各类私有云或者就是直接托管到IDC机房,一些客户认为系统已经不在自己机房了,所以系统的相应安全运维就不归自己管了,自然等保工作就不需要做了。
答:根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
扩展:系统上云或托管后,并不是安全责任主体转移,只是系统所在机房地址的变更,当然在公有云模式下,Iaas、Paas、Saas不同模式相应的安全责任会有些区别,但是并不是没有责任。
24 系统定完级就有人来管了
背景:一些客户会觉得系统定了级以后相关主管单位就会不时地来安全检查了,给自己的工作增加了麻烦,被人管的感觉很不好。
答:所有非涉密系统都属于等级保护范畴,没有定级不代表不需要被监管,相反如果没有被纳入监管,反而会比较危险,哪天出了事就比较难收拾残局。定级后或者被监管,主管单位会在重点时刻对我们的重要信息系统进行一定扫描及保护,会及时告知发现的一些问题,避免发生网络安全攻击事件;同时一些重要的政策要求或者行业会议,也会通知你们过来参会,方便大家及时了解最新的网络安全形势,有利于大家开展好网络安全工作。
扩展:做了等保后,主管单位并不一定会对你们单位做相关安全检查,单位很多,重要的系统很多,主管单位也有自己的一些统一安排,到底会不会对你们检查取决于很多因素,但是一般单位可以不需要有这些顾虑。来检查是好事,可以及时发现问题,督促指导大家开展好网络安全工作。
25 等级保护工作就是做个测评就可以?
背景:一些人以为等级保护工作主要就是对系统进行定级备案,然后做个测评就可以了。
答:等级保护工作不仅是一个测评而是包含:定级、备案、测评、建设整改和监督审查五项内容,测评只是其中一项。
扩展:测评只是开始,更重要的是我们通过测评寻找出差距,分析出目前我们的系统存在的风险,及时查漏补缺,进行安全建设整改,提高信息系统的安全防护能力,降低系统受到攻击破坏的概率。
26 等保测评做过一次就可以了,以后随便做不做?
背景:一些客户以为等保测评只要做过一次就行了,以后就不用做了。把等保工作当成一个形式当成应付工程去做。
答:等保工作是一个持续的工作,等保测评也是一个周期性的工作,三级系统要求每年做一次,四级系统每半年做一次,二级系统部分行业明确要求每两年做一次,没有明确要求的行业建议大家两年做一次测评。
扩展:做等保测评不应当抱着应付的心态去做,如果大家的系统真能按照等级保护的要求去做好,那么你的系统安全防护水平还是很高的。做了等保,一方面是合规,更多的是切切实实协助我们做好单位的网络安全工作。
27 不做等保没关系,只要不出事就行?
背景:一些用户以为做不做等保不要紧,关揵的是不要出网络安全事件,只要不出事都没问题。
答:《中华人民共和国网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:法律、行政法规规定的其他义务。不做等保就属于第五个行为,国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例。所以等保及时去做,不要等。
扩展:网络安全技术发展日新月异,什么叫安全?买什么产品做什么服务就能安全?绝对的安全是不可能的,我们不能百分百保证我们的系统是安全的,但是我们得把我们能做的工作及时做到位,该做的工作做到了,自然也就相对安全了。
28 系统在内网,就不需要做等保了?
背景:不少用户的系统都在单位内网或者专网中,觉得系统不对外相对安全,所以就可以不做等保了。
答:首先所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;其次在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒不浅。所以不论系统在内网还是外网都得及时开展等保工作。
扩展:内网不代表安全,而且现在纯粹的物理内网很少了,大部分或多或少都与互联网有些连接。内网一旦中毒,扩散很快,而且很难清除,因为很多技术措施都没有,几乎在裸奔状态,一旦中毒很容易就跨了。
29 给我们单位整体做一个等保测评?
背景:一些用户或者同行搞不清等保到底是个什么情况,以为是按照整个单位去做,天真地认为一个单位做一个等保测评就可以。
答:等保测评是按照信息系统来的,以一个信息系统为测评整体,并不是按照一个单位去做的。
扩展:一个完整的信息系统包括承载其的物理机房、服务器、主机、应用、数据库、网络设备及安全设备等,测评除了这些具体的实体对象,还包括相对应的安全管理制度。
30 你们怎么测评的?
答:信息系统单元测评主要从安全技术测评和安全管理测评两个方面来进行,这两个方面分别以A业务服务保障性,S业务信息安全性,G通用安全性三个指标来进行。其中安全技术测评分为安全物理环境,安全通信网络,安全区域边界,安全计算环境,安全管理中心五个层面。安全管理分为安全管理制度,安全管理机构,安全人员管理,安全系统建设,安全运维管理五个层面。
31 等级测评未通过,是不是就等于白做了?
答:等保首次测评不通过,不代表等级保护白做了,因为贵单位参与了等保测评,表明您已经有在履行网络安全等级保护的义务,这比不按照要求的开展等保工作的单位还是有区别的。
但是,等保测评不符合表示被测评对象还需要整改,提升网络安全的防御和应急能力。所以测评不通过的企业,请一定要抓紧时间整改。否则一旦发生网络安全问题,并且是由于这些等保测评不符合部分导致的,仍需承担相关责任。
32 等级测评通过了,是不是就绝对安全了?
答:等保测评是评分制工作,目前有四种结论分别是优、中、良、差,结论为良及以上即认为本次测评通过,非优结论的测评系统仍需要进行整改,即使为优或者满分的系统,也仅证明该系统具备对应等级的安全防护能力,在面对更高级的恶意破坏时,仍存在安全风险。
所以等级测评通过了,不意味着绝对的安全,万万不可掉以轻心,毕竟安全无小事!
33 等保测评多久做一次?
答:四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。
34 三级系统一年测一次,是不是一次管一年?
答:当然不是,等级测评是仅针对被测信息系统当前现状进行测试评估,也意味着此份测评报告仅对被测系统当前现状负责。
但是测评通过了,也就意味着至少咱们系统当前的安全防护能力是符合相关国家标准的,在当前情况下是具备防护对应威胁的能力。
35 下级单位业务系统是上级单位统一建设的,下级单位仅通过终端访问业务系统,请问下级单位是否需要做测评。
答:如果该系统已通过等保测评,并且本地无数据留存的情况下,下级单位仅需做好本地网络安全防护工作即可,不需进行测评。
如该系统未通过等保测评,根据谁运营谁主管的原则,应由上级单位负责该系统的安全及等保测评工作。
36 “等保”与“关保”有什么区别?
答:指等级保护与关键信息基础设施保护,“关保”是在网络安全等级保护制度的基础上,实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。
目前《信息安全技术 关键信息基础设施网络安全保护基本要求》正在报批中,相关试点工作已启动。
37 等保2.0安全设计技术要求的设计思想是什么?
答:等保2.0的《信息安全技术 网络安全等级保护安全设计技术要求》的设计思想是以PPDR为核心思想,以可信认证为基础、访问控制为核心,构建可信-可控-可管的立体化纵深防御体系。
可信
以可信计算技术为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了业务系统安全可信。
可控
以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的方式进行资源访问,保证了系统的信息安全可控。
可管
通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建了一个工作平台,使其可以借助于本平台对系统进行更好的管理,从而弥补了我国现在重机制、轻管理的不足,保证信息系统安全可管。
38 如何推动等保工作的展开?
答
:1、政策驱动:2017年6月1日起《中华人民共和国网络安全法》正式施行,明确了网络安全等级保护的法律地位,要求各行业各单位重要业务系统必须满足等级保护要求。
2、业务驱动:通过等保工作的展开,可以发现单位业务系统存在的安全风险及时修复安全漏洞,提供单位人员信息化水平以及安全意识。
3、政绩驱动:等保工作可以作为年度汇报材料上交,是单位领导信息化工作的体现,也能增加KPI考核分数。
39 满足三级等保需要上哪些安全产品?
答
:互联网出口区域:下一代防火墙、链路负载均衡、上网行为管理。注意:等保三级要求关键网络设备冗余,出口区域设备要求冗余部署。
安全运维区域:日志审计、数据库审计、运维审计、主机安全、安全感知平台、检测探针、漏洞扫描、基线核查、终端安全管理。
核心业务区域:Web防火墙、下一代防火墙、服务器负载均衡。
40 满足二级等保需要上哪些安全产品?
答
:互联网出口区域:下一代防火墙、上网行为管理。
安全运维区域:日志审计、运维审计、主机安全、终端安全管理。
核心业务区域:Web防火墙。
41 等保工作中对数据备份有什么要求?
答
:对容灾要求较高的三级系统,如金融、医疗卫生、社会保障等行业系统建议进行异地备份;对数据处理可用性要求较高的三级系统建议对重要服务器及重要数据库热冗余。
42 如何才能保证网络的物理安全?
答: 物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故:是指系统所在环境的安全,主要是场地与机房;设备安全:主要指设备的防盗、防毁、防电磁信息辐射、泄露、防止线路截获、抗电磁干扰及电源保护等);介质安全:包括媒体的数据的安全及媒体本身的安全。
1.场地安全
为了有效合理地对计算机机房进行保护,应对计算机机房划分出不同的安全等级,把应地提供不同的安全保护措施,根据GB9361-1988,计算机机房的安全等级分为A类、B类、C类三个基本类别。
A级机房:对计算机机房的安全有严格的要求,有完善的计算机计算机安全措施,具有最高的安全性和可靠性。
B级机房:对计算机机房的安全有严格的要求,有较完善的计算机计算机安全措施,安全性和可靠性介于A、C级之间。
C级机房:对计算机机房的安全有基本的要求,有基本的计算机计算机安全措施,C级机房具有最低限度的安全性和可靠性。
在实际的应用中,可根据使用的具体情况进行机房等级的设置,同一机房也可以对不同的设备设置不同的级别。
2.设备安全
设备安全包括设备的防盗和防毁,防止电磁信息泄露,前置线路截获、抗电磁干扰一级电源的保护。其主要内容包括:
设备防盗。
可以使用一定的防盗手段设备防毁
一是对抗自然力的破坏,如使用接地保护等措施保护计算机信息系统设备和部件。二是对抗人为的破坏,如使用防砸外壳等措施。
防止电磁信息泄露
为防止计算机信息系统中的电磁信息油露,提高系统内敏感信息的安全性,通常使用防止电磁信息泄露的各种涂料、材料和设备等。
防止线路截获
主要防止对计算机信息系统通信线路的截获与干扰。重要技术可归纳为4 个方面:预防线路截获;扫描线路截获;定位线路截获;对抗线路截获。
抗电磁干扰
防止对计算机信息系统的电磁干扰,从而保护系统内部的信息。
电源保护
计算机信息系统设备的可靠运行提供能源保障,可归纳为两个方面:对工作电源的工作连续性的保护和对工作电源的工作稳定性的保护。
3.介质安全
介质安全是指介质数据和介质本身的安全。介质安全目的是保护存储在介质上的信息。包括介质的前盗:介质的防毁,如防霉和防砸等。
介质数据的安全是指对介质数据的保护。介质数据的安全删除和介质的安全销毁是为了前止被删除或销毁的敏感数据被他人恢复。包括介质数据的防盗;介质数据的销毁,包括介质的物理销毁和介质数据的彻底销毁,防止介质数据删除或销毁后被他人恢复而准露信息:介质数据的防毁,防止意外或故意的破坏使介质数据丢失。
43 如何保证网络拓扑结构和系统的安全?
答:网络安全系统主要依靠防火墙、网络防病毒系统等技术在网络层构筑一道安全屏障,并通过把不同的产品集成在同一个安全管理平台上实现网络层的统一、集中的安全管理。
1、网络层安全平台
选择网络层安全平台时主要考虑这个安全平台能否与其他相关的网络安全产品集成,能否对这些安全产品进行统一的管理,包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。
一个完善的网络安全平台至少需要部署以下产品:
防火墙、网络的安全核心提供边界安全防护和访问权限控制;
网络防病毒系统、杜绝病毒传播提供全网同步的病毒更新和策略设置提供全网杀毒。
2、安全网络拓扑结构划分
防火墙主要是防范不同网段之间的攻击和非法访问。由于攻击的对象主要是各类计算机,所以要科学地划分计算机的类别来细化安全设计。在整个内网当中,根据用途可以将计算机划分为三类:内部使用的工作站与终端、对外提供服务的应用服务器以及重要数据服务器。这三类计算机的作用不同,重要程度不同,安全需求也不同。
第一、重点保护各种应用服务器特别是要保证数据库服务的代理服务器的绝对安全不能允许用户直接访问。对应用服务器则要保证用户的访问是受到控制的要能够限制能够访问该服务器的用户范围使其只能通过指定的方式进行访问。
第二、数据服务器的安全性要大于对外提供多种服务的WWW服务器、E-mail服务器等应用服务器。所以数据库服务器在防火墙定义的规则上要严于其他服务器。
第三、内部网络有可能会对各种服务器和应用系统的直接的网络攻击,所以内部办公网络也需要和代理服务器、对外服务器、WWW、E-mail等隔离开。
第四、不能允许外网用户直接访问内部网络。
上述安全需求需要通过划分出安全的网络拓扑结构,并通过VLAN划分、安全路由器配置和防火墙网关的配置来控制不同网段之间的访问控制。划分网络拓扑结构时,一方面要保证网络的安全;另一方面不能对原有网络结构做太大的更改。为此建议采用以防火墙为核心的支持非军事化区的三网段安全网络拓扑结构。
二、信息安全基础知识
1 什么是信息安全?
答:信息安全是指信息系统不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。也就是通过各种计算机、网络、密钥技术,保证在各种系统和网络中传输、交换和存储的信息的机密性、完整性和可用性。
2 什么是系统漏洞?
系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个电脑,从而窃取您电脑中的重要资料和信息,甚至破坏您的系统。
3 产生信息安全风险的原因是?
答:信息化发展与安全投入、安全意识和安全手段的不平衡。
4 信息安全的基本特征?
答:完整性
指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征。
保密性
指信息按给定要求不泄漏给非授权的个人、实体或过程,或提供其利用的特性,即杜绝有用信息泄漏给非授权个人或实体,强调有用信息只被授权对象使用的特征。
可用性
指网络信息可被授权实体正确访问,并按要求能正常使用或在非正常情况下能恢复使用的特征,即在系统运行时能正确存取所需信息,当系统遭受攻击或破坏时,能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。
不可否认性
指通信双方在信息交互过程中,确信参与者本身,以及参与者所提供的信息的真实同一性,即所有参与者都不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。
可控性
指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性,即网络系统中的任何信息要在一定传输范围和存放空间内可控。除了采用常规的传播站点和传播内容监控这种形式外,最典型的如密码的托管政策,当加密算法交由第三方管理时,必须严格按规定可控执行。
5 信息安全的三要素是什么?
答:保密性:保证信息不泄露给未经授权的用户。
完整性:保证信息从真实的发信者传送到真实的收信者手中,传送过程中没有被非法用户添加、删除、替换等。
可用性:保证授权用户能对数据进行及时可靠的访问。
6 信息、信息化、信息安全概念分别是什么?
答:信息是指任何能够传达有价值内容的资料。
信息化就是将有价值内容的资料数字化,能够在计算机网络中进行共享,使用和挖掘的过程。
信息安全是指防止网络自身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,确保经过网络传输的信息不被截获、不被破译,也不被篡改,并且能被控制和合法使用。
7 企业信息安全最重要的方向是?
答:企业信息安全最重要的方面是安全意识的提高,关于信息安全,人员是最薄弱的环节,定期对相关人员开展信息安全培训尤为重要,毕竟信息安全关系到公司的每一位员工。
三、个人安全防护问题
1 个人如何在日常生活中如何保护自身信息安全?
答:在日益复杂的网络空间中,提高保护个人信息的意识,才是应对网络威胁的终极大法。
那么在日常生活中如何保护自身合法权益不受到侵害呢,以下给出几点建议:
对于陌生的连接点,不要好奇去点击
在下载应用程序时选择官方渠道进行下载。
自己使用的智能终端及时安装相关的杀毒软件。
避免使用小众的电商平台。
注册各类应用账号时,留意敏感个人信息勿随意填入,填入时应判断是否为必要行为。
注重公共WiFi安全问题,勿随意接入陌生WiFi。
加强个人账户的口令复杂强度。
2 个人如何预防钓鱼网站?
答: 目前钓鱼网站的伪装性高、欺骗性强,即使面对专业的安全技术从业人员来说也无法轻易识别,对于广大网民而言,浏览器自带的危险网站识别功能是目前最有效也是最普遍的一种安全防护措施。
建议在日常生活中,对个人所使用的电脑操作系统、安全软件做到定期更新,不明网址链接不能随意点击。
3 如何防止个人密码被盗取?
答:经常更改你的密码,使用包含字母和数字的七位数的密码,从而干扰黑客利用软件程序来搜寻最常用的密码。不要使用与自己相关的资料作为个人密码,如自己或男朋友的生日,电话号码,身份证号码,门牌号,姓名简写,这样很容易被熟悉你的人猜出。不要死守一个密码,要经常更换,特别是遇到可疑情况的时候。
4 如何安全浏览网页
答:采用匿名方式浏览,你在登录网站时会产生一种叫cookie的信息存储器,许多网站会利用cookie跟踪你在互联网上的活动。你可以在使用浏览器的时候在参数选项中选择关闭计算机接收cookie的选项。
5 哪些习惯容易导致信息被非授权访问?
答:将涉秘文件、记录放在办公桌面,会被接触到你办公桌的人员有意或无意的看到;
将涉秘电子文件放在电脑桌面,容易被电脑附近的人看到;
人离开时涉秘纸质文件未锁在柜子里或电脑未使用屏幕保护;
使用移动介质存储涉秘文档,容易因介质丢失导致数据被非授权访问
6 等保2.0新增个人信息防护在不同级别之间有哪些变化?
答:在等保2.0中新增个人信息保护要求,二级以上系统中要求应仅采集和保存业务必需的用户个人信息,应禁止未授权访问和非法使用用户个人信息,且二级以上个人信息防护要求没有变化。
四、信息安全产品问题
1 什么是防火墙?
答:防火墙也被称为防护墙,它是一种位于内部网络与外部网络之间的网络安全系统,通常,防火墙可以保护内部/私有局域网免受外部攻击,并防止重要数据泄露。在没有防火墙的情况下,路由器会在内部网络和外部网络之间盲目传递流量且没有过滤机制,而防火墙不仅能够监控流量,还能够阻止未经授权的流量。防火墙可以对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信,提升网络边界防护能力。
2 什么是入侵防御系统?
答:入侵防御系统是电脑网络安全设施,是对防病毒软件和防火墙的补充。 入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
3 什么是安全管理中心?
答:等保2.0提出“一个中心,三重防护”的信息安全防护框架,其中一个中心即是“安全管理中心”,市面上合格的安全管理中心产品至少满足以下功能要求:
安全防护管理:负责安全网络设备的管理与基础安全体系的运营,制定的各种安全策略并下发到相关的安全设备。
监控预警中心:对安全事件综合分析、实时监控资产性能,根据威胁程度进行预警,并对各种事件做出及时的应对反应。
审计管理平台:事件的取证与重现、安全合规性审计、审计日志集中采集与分析、历史数据挖掘回溯。
4 什么是入侵检测系统?
答:入侵检测系统是一种对网络活动进行实时监测的专用系统。该系统处于防火墙之后,可以和防火墙及路由器配合工作,用来检查一个LAN网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进入的恶意活动。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析,并通过集中控制台来管理、检测。
5 防火墙和网闸有什么区别?
答:从硬件架构来说,网闸是双主机+隔离硬件,防火墙是单主机系统,系统自身的安全性网闸要高得多;
网闸工作在应用层,而大多数防火墙工作在网络层,对内容检查控制的级别低;虽然有代理型防火墙能够做到一些内容级检查,但是对应用类型支持有限,基本上只支持浏览、邮件功能;同时网闸具备很多防火墙不具备的功能,数据库、文件同步、定制开发接口;
在数据交换机理上也不同,防火墙是工作在路由模式,直接进行数据包转发,网闸工作在主机模式,所有数据需要落地转换,完全屏蔽内部网络信息;
最后,防火墙内部所有的TCP/IP会话都是在网络之间进行保持,存在被劫持和复用的风险;网闸上不存在内外网之间的会话,连接终止于内外网主机。
在对内/外部网络环境隔离进行严格要求的应用系统中,通常网闸更能胜任。
6 什么是SSL VPN?
答:采用 SSL协议的一种 VPN技术,相比 IPSEC VPN使用起来要更加方便,SSL VPN使用浏览器即可使用。随着移动办公的快速发展,SSL VPN的使用也越来越多,除了移动办公使用,通过浏览器登录SSLVPN连接到其他网络也十分方便, IPSEC VPN更倾向网络接入,而 SSL VPN更倾向对应用发布。
SSL VPN的部署一般采用旁路部署方式,在不改变用户网络的状况下实现移动办公等功能。
7 什么是WAF?
答:名称就可以看出,WAF的防护方面是 web应用,防护的对象是网站及 B/S 结构的各类系统。针对 HTTP/HTTPS协议进行分析,对 SQL注入攻击、XSS攻击 Web攻击进行防护,并具备基于 URL 的访问控制;HTTP协议合规;Web敏感信息防护;文件上传下载控制;Web 表单关键字过滤。网页挂马防护,Webshell 防护以及 web应用交付等功能。
通常部署在 web应用服务器前进行防护,IPS 也能检测出部分web攻击,但没有WAF针对性强,所以根据防护对象不同选用不同设备,效果更好。
8 日志审计系统的功能?
答:日志审计系统是用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志并进行存储、监控、审计、分析、报警、响应和报告的系统。
国家的政策法规、行业标准等都明确对日志审计提出了要求,日志审计已成为企业满足合规内控要求所必须的一项基本要求。 2017年6月1日起施行的《中华人民共和国网络安全法》中规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
《网络安全等级保护基本要求》中规定:二到四级需要对网络、主机、应用安全三部分进行日志审计,留存日志需符合法律法规规定。
9 运维审计系统的功能?
答
:运维审计系统,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
10 数据库审计系统的功能?
答:数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为。审计对数据库的各类操作,精确到每一条 SQL命令,并有强大的报表功能。采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。
11 什么是上网行为管理?
答
:是指帮助互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。
五、信息安全技术问题
1 木马的组成部分有哪些?
答:一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。
硬件部分:建立木马连接所必须的硬件实体。控制端:对服务端进行远程控制的一方。服务端:被控制端远程控制的一方。INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
软件部分:实现远程控制所必须的软件程序。控制端程序:控制端用以远程控制服务端的程序。木马程序:潜入服务端内部,获取其操作权限的程序。木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
2 什么是防火墙技术?
答:防火墙是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡来自外部的网络入侵。
3 什么是信息加密技术?
答:信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。数据加密技术主要分为数据存储加密和数据传输加密,数据传输加密主要是对传输中的数据流进行加密。加密是一种主动安全防御策略,用很小的代价即可为信息提供相当大的安全保护,是一种限制网络上传输数据访问权的技术
4 什么是身份认证技术?
答:身份认证是系统核查用户身份证明的过程,其实质是查明用户是否具有它所请求资源的使用权。身份识别是指用户向系统出示自己身份证明的过程。身份认证至少应包括验证协议和授权协议。当前身份认证技术,除传统的静态密码认证技术以外,还有动态密码认证技术、IC卡技术、数字证书、指纹识别认证技术等。
六、云计算安全技术问题
1 云平台安全责任如何划分?
答
:云平台的安全责任问题一方面来自于监管部门对云平台服务商的责任要求,另一方面则是云平台服务商与云平台用户之间的责任划分。
云平台主要涉及的四个安全风险域为系统安全、应用安全、数据安全、内容安全。在不同的云平台安全风险域下,云平台服务商和用户所承担的责任不同。
根据《信息安全技术 网络安全等级保护基本要求》附录D,云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后,云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。
2 自建的云计算平台如何开展等级保护工作?
答
:在云计算环境中,将云计算平台作为基础设施,云客户业务系统作为信息系统,分别作为定级对象进行定级。对于大型云计算平台,当运管平台共用时,可将云计算基础设施与运管平台系统分开定级。责任分离,分别定级,各自备案。云计算基础设施的安全保护等级不低于其所支撑的业务系统的等级。
针对私有云用户,也要按照云平台和云业务系统,分别进行定级。并且云平台的安全等级不低于其所支撑的业务系统的等级。
对于云计算平台和云业务系统,则分别依据等保基本要求中的云扩展要求和安全通用要求来开展等级保护工作。对于私有云,定级流程为云平台先定级测评,再将已定级应用系统向云平台迁移。
3 部署在公有云上的信息系统如何开展等级保护工作?
答:依据等保2.0,在对公有云环境下开展等级保护工作应遵循如下原则:
应确保云计算平台不承载高于其安全保护等级的业务应用系统。
应确保云计算基础设施位于中国境内。
云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定。
云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。
1、公有云开展等级保护一般分为两个部分:
是云平台本身,在等保2.0里面明确提出:对于公有云定级流程为云平台先定级测评,再提供云服务。
是云租户信息系统,比如政府单位门户网站系统,在迁入公有云平台后,还需要对这个门户网站独立定级备案、进行等保测评。其中,涉及云平台部分的内容可以不重复测评,测评结论直接引用即可。
2、不同云计算服务模式需要采取不同职责划分方式:
对于IaaS模式,云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责范围包括操作系统、中间件和应用数据。
对于PaaS模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的职责范围为应用和数据。
对于SaaS模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责。
4 云服务商要满足哪些要求才可以对外提供云服务?
答
:首先云服务商提供的云基础设施必须位于中国境内;其次云服务商的安全防护等级必须高于上云业务系统的安全防护等级;最后云服务商必须通过三级等保测评,通过监管机构允许获得相应证书才可对外提供服务。
七、工控安全技术问题
1 什么是工控安全?
答:工控安全和工业互联网安全是两个不同的类型,工控安全指的是工厂生产实际应用的相关智能设备和相关内网连接的相关设备的安全应用。最常见的就是如何把内网的这些应用和外网也就是所谓的互联网连接在一起。内网控制,也就是我们理解为独立的,一个工厂内部的所有机器连接,无需建立互联网;但许多的集团或者大公司,为了进一步的加强管理,他们会去连接专用的通道,也就是联网,连了互联网之后,就会有一些安全存在;其中台电的内网被控制,就是属于工控安全事件。所以我们可以理解为工控安全指的是工业生产安全的控制。
2 对于工业控制系统如何开展等级保护工作?
答:依据等保基本要求中的安全通用要求和工控扩展要求来对工业控制系统开展等级保护工作。 工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。 对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。 工控扩展要求保护主要包括:室外控制设备防护、工业控制系统、网络架构安全、拨号使用控制无线使用控制、控制设备安全、漏洞和风险管理、恶意代码防范管理等方面内容。 工业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求,其他层次使用安全通用要求条款,对工业控制系统的保护需要根据实际情况使用基本要求。
3 工业控制系统有哪些特殊性?
1.我国绝大部分工控系统的建设过程中,大型系统集成项目都由国外厂商参与实施,并且其中集成的实现细节不予公布。目前我国工控产品的核心技术受制于国外,不排除进口的电子设备、制造设备、工控开发软件等工控产品中留有后门、木马的可能性,在未来的信息战中潜在风险巨大。
2. 据ICS-CERT及DHS CSSP对工控软件脆弱性进行的评测分析,工业控制系统软件的安全脆弱性主要涉及了错误输入验证、密码管理、越权访问、不适当的认证、系统配置等方面,这些脆弱性对工业控制系统的正常运行具有极大威胁。
3. 大多数工控协议在设计之初,主要关注效率以支持经济需求,关注实时性以支持精确需求,关注可靠性以支持操作需求,并会为了这些需求而放弃一些并不是绝对必须的特征或功能,如认证、授权和不可抵赖等需增加开销的安全特征和功能。但是,如果恶意代码进入工控系统便可利用这些协议漏洞进行破坏。
4. 2011年的工信部160号文《关于加快推进信息化与工业化深度融合的若干意见》明确了两化融合不仅应加快步伐,而且需进行深度融合。随着两化深度融合的推进,来自互联网空间的安全威胁将逐步成为工控系统所面临的最大安全威胁。因为两化融合在满足需求和管理方便的同时,工控系统接入范围不仅扩展到了企业网,而且也可能间接扩展到了互联网。
5. 两化融合过程中,工控系统向工业以太网结构发展,开放性越来越强。基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。在工控系统中,由于工业系统集成和使用的便利性,使用工业以太网和OPC通信协议进行了工控系统的集成;同时也大量的使用了PC服务器和终端产品,操作系统和数据库也大量的使用了通用的系统。虽然提高了整体运行效率,但也更很容易遭到来自企业管理网或互联网的蠕虫、木马、黑客的攻击。
4 工控测评市场怎么样?
答:随着两化深度融合的推进,来自互联网空间的安全威胁将逐步成为工控系统所面临的最大安全威胁,因为两化融合在满足需求和管理方便的同时,工控系统接入范围不仅扩展到了企业网,而且也可能间接扩展到了互联网。同时行业也发布相关政策,要求实现工控安全。
5 视频监控系统是否需要开展等级保护工作?
答:等级20.里面在安全通用技术要求里面,安全物理环境中的防盗窃和防破坏控制项中,明确要求“应设置机房防盗窃报警系统或者设置有专人值守的视频监控系统”。视频监控系统作为等保2.0中安全物理环境中防盗窃和防破坏的技术手段之一,列入等保2.0基本要求的标准之中。
另外一方面,视频监控系统是否需要按照等级保护相关标准要求进行等级保护工作。视频监控系统本身也是重要的信息系统之一,也会存在诸多安全问题,如:弱口令漏洞、权限提升漏洞、拒绝服务漏洞、敏感信息泄露、资源非法利用等等。视频监控系统是否按照等保进行建设、管理和运维,需要看视频监控系统受到攻击或者破坏是是否影响到公民、法人和其他组织的合法权益,社会秩序、公共利益以及国家安全。以及受到攻击或者破坏时,受到何种程度的危害,是造成一般损害,还是造成严重损害,或者造成特别严重损害。
参照等级保护定级指南对公共安全视频监控系统进行安全等级划分。公共安全视频监控系统属于国家“平安城市”的重要组成部分,同时也是保障国家治安防护水平的关键基础设施,并且运行的业务数据包括重要、敏感的公共安全信息和个人隐私信息,如果系统遭受入侵或者破坏会给公共安全、社会秩序和公共利益、公民、法人和相关组织的合法权益造成损害。根据损害程度对公共安全视频监控系统的网络安全防护要求以及测评大致可以参照等级保护中对二级至三级系统的要求。
八、安全服务相关问题
1 安全巡检对象有哪些?
答:信息系统安全巡检的对象主要包括服务器、数据库、中间件和应用。
操作系统; 数据库; 中间件;
网络设备。
各类应用服务账户等。
应用软件。
2 你们的巡检服务与竞争单位有什么优势?
答:我司研发团队研发的一键安全检查小工具可针对永恒之蓝进行检测,数据库、操作系统、snmp、ssh、ftp、telnet 等服务弱口令进行快速扫描,使用简单,方便高效,扫描字典可自定义。我司研发的“智查”,是一款带主动防御功能的安全软件,能主动拦截、查杀 webshell 木马、防止不法分子利用 SQL 注入、XSS 脚本等漏洞攻击 WEB 服务器。通过机器学习,能第一时间发现和删除 WEB 服务器上的特定违法图片,并采取紧急措施防止违法图片信息传播。
3 什么是风险评估服务?
答:信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生所造成的影响。信息安全风险评估,则是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行科学评价的过程,它要评估资产的重要程度、信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
适用场景:
1、客户需要了解系统存在的风险。
2、某些上级单位、行业主管部门有风险评估要求:如运营商、网约车等。
4 安全加固能达到什么效果?
答:减少信息系统安全问题和风险、让安全设备真正起到安全防护效果、增强系统抗攻击能力、提高信息系统安全水平、减少安全事件的发生。
5 做众测有什么好处?
答:一是全面发现安全漏洞:通过可信众测可以全面发现系统的安全问题,提高切实系统的安全防护能力。二是减少安全事件发生:提前发现漏洞,提前修复,提前预防,将安全事件防范于未然;三是保护自己:系统挂在互联网上,不知道安全状况如何,每天提心吊胆,一旦发生安全事件,可能被罚款甚至开除,四是体现安全工作价值:过去,安全工作无法衡量,只要没出事,但领导并不知道你做了多少工作。现在安全工作的价值衡量并不是没出事,而可以通过找到并修复了多少漏洞的量化指标衡量,体现安全管理人员的价值,相反是安全工作做得好的体现。
6 什么是渗透测试服务?
答:渗透测试按照用户的要求,湖南浩基利用各种业内安全扫描器和富有经验的安全测试工程师的人工经验对客户的网站及提交的相关服务器等设备进行非破坏性质的模拟入侵者攻击,目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。由此确定用户系统所存在的安全威胁。并能及时提醒安全管理员完善安全策略,降低安全风险。
渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的误报率,不能发现高层次、复杂的安全问题;渗透测试需要对测试者的专业技能要求很高,但是非常准确,可以发现逻辑性更强、更深层次的弱点。
客户委托是湖南浩基进行渗透测试的必要条件。湖南浩基将尽最大努力做到使客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行。这也是湖南浩基的专业服务与黑客攻击入侵的本质不同。
适用场景:
1、所有对内和对外的网站和应用系统均可以开展渗透测试。
2、客户系统已经上线或即将上线,客户担心应用存在安全风险。
3、客户应用系统被相关单位通报,要求客户整改。
7 通过漏洞扫描器就可以找出所有漏洞?
答:通过漏洞扫描器可以找出一些非常明显的漏洞,但漏洞扫描器毕竟是工具,且依赖漏洞库,很多漏洞工具无法识别,漏报率和误报率都很高。且漏洞扫描器仅能扫描出像 SQL 注入、XSS、文件上传等通用漏洞类型,而与业务相关的业务逻辑漏洞,如越权漏洞、密码重置漏洞、支付漏洞等,是无法通过漏洞扫描器扫描出来的,必须通过人工分析测试,而这些漏洞的危害极大。一般专业的安全公司进行渗透测试都不使用漏洞扫描器,而是通过人工测试,但这对于渗透测试人员的技术水平有很高的要求。
8 找出了漏洞谁来修复?
答:找出漏洞后我们会给出详细的修复建议,一般由原系统的开发人员进行修复。因为开发人员熟悉自己写的代码,在有修复建议的情况下修复漏洞并不是很难的事。
9 我公司己有安全人员,可以进行渗透测试,还需要众测吗?
答:安全人员的技术水平是能否找到漏洞的关键因素。为什么既需要自己有安全人员,又需要专业公司来测试。毕竟术业有专攻,一个技术很高的安全工程师年薪几十万,一般企业也不会花这么高的价钱去招聘一个安全工程师,但安全工作也有一些日常的工作要做。而且我们众测是在您已经自己进行过测试的基础上再做测试,而且按照效果付费,没有漏洞是不收费的,是相互补充的关系。
10 找出很多漏洞是不是证明我安全工作做得不好?
答:漏洞的存在是无可避免的,像 BAT 公司、银行、运营商这种安全极别很高的公司,有很大的安全团队,他们仍需要依赖外部力量帮助他们找漏洞。目前,大的安全厂商都自建了 SRC,设立高额奖金鼓励白帽子给他们找漏洞。过去,安全工作无法衡量,只要没出事,但领导并不知道你做了多少工作。现在安全工作的价值衡量并不是没出事,而可以通过找到并修复了多少漏洞的量化指标衡量,体现安全管理人员的价值,相反是安全工作做得好的体现。
11 什么是上线安全测评服务?
答:上线安全检测是针对用户即将上线的系统的一项服务,内容包括漏洞扫描、安全基线检测、渗透测试。对系统进行上线前全面的安全检查,可使用户业务系统处于一个较高的安全高度,保障业务系统上线后的稳定运行。
适用场景:
客户新建信息系统及将上线或功能变更后上线,需要专业机构对系统安全性进行评估。
12 安全检查工作如何开展?
答:1、配合当地公安机关对各行业重要信息系统进行信息安全检查,编写检查报告。
2、通过扫描工具、渗透等手段发现目标客户的安全漏洞,向目标客户发现漏洞预警并向目标客户讲解安全漏洞的危害,结合公司业务提出解决方案。
13 什么是安全运维服务?
答:根据客户现场环境及实际需求安排一名或数名具有丰富工作经验的安全技术人员工作日全日制现场值守。提供7*24的应急服务,提供7*24技术支持热线服务,能电话解答客户的技术问题,服务响应时间≤30分钟,到场时间≤2小时,紧急故障处理在1小时之内赴现场处理。
适用场景:
1、客户信息化较为完善,系统和设备数量众多,急切需要专业人员保障系统安全,提供定期检查及整改建议、完善信息化安全建设,保障信息系统持续稳定运行。
2、省厅级政府单位,省市级电子政务、人社、公积金、国土、运营商、电力、金融、医疗、教育等有重要信息系统的用户。
14 什么是安全培训服务?
答:湖南浩基培训课程主要依据国家信息安全法律、法规、相关标准,结合湖南浩基等级保护的实施和网络攻防经验设计。培训内容分为四大模块,包括网络安全意识模块、网络安全法律法规模块、网络安全等级保护模块、网络安全攻防模块,通过循序渐进的方式,从浅显的网络安全基础知识到网络安全的实战经验,使学员能够更容易的由浅入深掌握网络安全的相关内容。可对信息安全管理人员、信息安全技术人员、单位全员针对性的提供所需掌握网络安全知识和技能的培训方案。
适用场景:
1、信息安全意识培训适用于所有客户。
2、等级保护培训适用大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网、移动互联网、工业控制系统的信息安全主管、安全管理员、其他信息安全管理相关工作的人员。
3、网络攻防培训课程适用单位安全技术人员、安全管理员。
15 什么是网站安全监控服务?
答:湖南浩基利用已部署的网站安全监控预警平台通过互联网对监测目标网站进行远程监测,由湖南浩基网站安全监控服务运营中心专业团队和专业服务进行平台的维护,每天对平台的安全事件数据和漏洞数据进行验证,当监测到安全事件时向网站运营单位交付《网站安全事件通报》并通过邮件、短信、微信、电话等方式及时提醒网站运营单位安全管理员和相关负责人,每月向网站运营单位交付网站安全监控月报。
网站安全监控服务是结合了网站安全预警平台、经验丰富的安全运营团队、成熟的服务管理体系为用户提供的高品质的网站安全运营服务,通过7*24小时的日常安全监控、事件分析、安全预警、事件处理以及应急响应,为用户的信息系统提供全天侯的安全保障。湖南浩基也在网站安全预警平台上给网站运营单位开放特定账号,网站运营单位可随时登录到网站安全平台查看运营网站的安全情况。
适用场景:
1、适用于有外网网站和应用系统的单位和主管部门。
2、重点用户:电子政务、行业主管部门、学校、网信办等。
16 什么是应急演练服务?
答:应急演练是检验、评价和提高应急能力的重要手段之一。通过模拟安全事件应急演练场景,制定应急演练方案,组织用户单位应急工作领导小组对不同安全事件的应急流程,包括事件判断、应急报告、紧急处置措施、事件检测、事件处理、事件根除、事件跟进阶段流程进行培训和演练,在演练过程中做好记录和视频录像,演练后编制应急演练报告。通过演练验证本单位网络信息通信系统应急预案的合理性,演练后应对应急预案演练进行评估,并针对演练过程中发现的问题对相关应急预案提出修订意见。
适用场景:
1、适用于所有单位。
2、重点用户:关键信息基础设施的运营者。《中华人民共和国网络安全法》第三十四条明确规定,关键信息基础设施的运营者还应当履行下列安全保护义务:制定网络安全事件应急预案,并定期进行演练。
17 什么是勒索病毒解密服务?
答:勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,并要求他们支付赎金,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。湖南浩基对目前互联网上流行的勒索病毒、加密方式均具备成熟的解密方案,可提供全面的解密服务,同时湖南浩基承诺履行保密义务。
适用场景:
客户已经被勒索病毒攻击,导致数据被勒索病毒加密。
18 敏感时期安全保障服务
答:敏感时期安全保障是在重大会议和活动前对网站做好全面的安全防护,确保涉及国计民生的重要信息系统、网络和互联网网站的安全运行,最大程度地减少网络与信息安全突发公共事件的危害,将敏感时期发生信息安全事件的概率降到最低。重大会议和活动期间,在全面防护的同时具备全面的信息安全事件监控预警能力,实时监控信息安全态势。发现安全事件,立即进行处置,将影响降到最低。
适用场景:
政府网站和信息系统,尤其是电子政务、党相关的网站运营单位。
