从威胁、目标和能力分析等级保护的安全整改和运维

领航信息安全启明星辰安全技术最佳实践广州分公司邓景云deng_jingyun@venustech.com.cn•从威胁、目标和能力分析等保•落实等保安全整改和运维的解决方案•等保相关案例介绍及总结3信息安全存在的问题•偏重产品，忽视体系和管理。•重视外部攻击与入侵，忽视内部的非法行为•缺乏信息安全风险意识，安全投入盲目•一劳永逸的错误观念，忽视信息安全是个动态的过程•威胁趋势愈演愈烈4等级保护之为什么Why•1994年，《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。•1995年2月18日人大12次会议通过并实施的《中华人民共和国警察法》第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。——法律依据。•1999年，强制性国家标准－《计算机信息系统安全保护等级划分准则》GB17859）•2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。•2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》（66号文件）•2006年1月，公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法》（公通字[2006]7号）•……5信息安全标准•AS/NZS4360:1999风险管理标准•ISO/IEC13335IT安全管理指南•ISO/IEC17799:2005信息安全管理最佳实践指南•ISO/IEC27001:2005信息安全管理体系规范•ISO/IEC15408/GB18336CC•IATF信息保障技术框架•SSE-CMM系统安全工程能力成熟度模型•公安部等级保护指南–《信息系统安全等级保护定级指南》参考ISO13335–《信息系统安全等级保护实施指南》参考ISO13335、IATF、SSE-CMM–《信息系统安全等级保护基本要求》参考ISO15408、7799参考–《信息系统安全等级保护测评准则》6ISO13335中的风险管理模型威胁漏洞资产价值需求控制风险利用存在抵御引发增加增加增加拥有需要7最精简的风险管理３要素三要素风险模型：R3-AST资产和业务Asset保障措施Safeguard威胁Threat定级保护轮廓技术体系管理体系不同级别威胁不同8风险立方体-RiskCube资产威胁措施（安全能力）安全目标9风险立方体中的安全工作资产威胁措施（安全能力）电子客票系统社保网上系统（2级）互联网攻击互联网防入侵FW,IDS,IPS,防SQL注入安全目标O2-25.应具有能够检测对网络的各种攻击并记录其活动的能力O2-26.应具有发现所有已知漏洞并及时修补的能力O2-27.应具有对网络、系统和应用的访问进行控制的能力10风险立方体中的安全工作资产威胁措施（安全能力）硬件设备网络线路机房（2级）自然灾难电子屏蔽室、防火器、避雷设备火警装置等安全目标O2-2.应具有防止雷击事件导致重要设备被破坏的能力O2-3.应具有防水和防潮的能力O2-4.应具有灭火的能力O2-5.应具有检测火灾和报警的能力11等级保护之五级监管等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查12威胁分类安全威胁的来源非人为安全威胁人为安全威胁自然灾难技术局限性外部威胁内部威胁地震火灾水灾···系统漏洞软件缺陷配置缺陷硬件缺陷敌对势力犯罪团伙黑客恐怖组织管理人员供应商服务商合法用户•不同级别对抗的威胁的种类不同；•对于同类威胁，不同级别对抗的具体威胁的破坏能力也不同。•安全目标不同。13威胁和目标•等保三级：–1）防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等)，拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难以及其他相当危害程度的威胁（内部人员的恶意威胁，设备较为严重的故障）所造成的主要资源损害。–2）能够及时发现安全漏洞和安全事件；–3）在系统遭到损害后，能够较快恢复绝大部分功能。•等保二级：–1）小型组织、少量资源（个人能力、公开可获得或特定开发的工具）、一般自然灾难、以及其它相当危害程度（无意失误、设备故障等）。–2）能够发现；–3）一段时间内恢复部分内容。14基本要求的保障措施某级系统物理安全基本技术要求基本管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理15从风险立方体分析落实等保资产威胁措施（安全能力）安全目标二级信息系统对抗能力2恢复能力2威胁形态2安全目标2基本要求2•从威胁、目标和能力分析等保•落实等保安全整改和运维的解决方案•等保相关案例介绍及总结17等级保护之怎么How定级定级测评改进测评持续改进18落实等保整改、运维的解决方案阶段一：安全评估，建立等保保护轮廓，提供整改依据阶段二：安全域改造，满足等保基本要求，建设保障框架阶段三：平台建设，等保长期持续监控，建立运维体系19第一阶段：安全评估•意义：2003年7月,中办发[2003]27号文件对开展信息安全风险评估工作提出了明确的要求。•工作内容–行业信息安全保障要求•风险评估/自评估–两个层面、三个纬度•技术层面：网络、系统、应用•管理层面：人员机构、制度流程、物理环境20启明星辰风险评估技术发展漏洞扫描渗透测试控制台审计基于资产的评估ISO17799ISO13335IAS/NZS4360GAONCSC彩虹计划加拿大风险评估指南SSE-CMMPMINIST……Octave评估方法BS7799AS/NZS4360基于应用的评估管理与技术融合……国信证券中国电信IP网银河证券海尔集团天津移动BOSS重庆移动湖北移动上交所央视国际新华网重庆移动IDC人民银行中国电信11省……风险评估管理系统天燕风险控制系统……马来西亚电信广东移动风险评估山东移动风险评估四川移动风险评估福建移动风险评估河南移动风险评估……2000年20012002200320042005第一代技术第二代技术第三代技术第四代技术资产/标准/定量工程/成熟度/规范过程/应用/管理系统化方法与最佳实践风险评估管理系统RAMS产品化安全服务安全管理咨询风险评估生产力……全国人大风险评估湖南移动全网评估博时基金风险评估中兴通讯管理咨询中国民航管理咨询……全国人大风险评估项目、国家统计局网络风险评估中国石油天然气集团信息网络安全风险评估项目中国建设银行总行网上银行服务器安全评估项目中国人民银行评估标准及试点、广东移动安全评估服务200821启明星辰风险评估与管理模型资产评估等标准资产分类，确定分类标准有效安全需求安全建议安全实施、培训与汇报监控与审核沟通与咨询建立评估环境，制定计划，培训人员、设备、场地、资料等威胁及弱点分析ASNZS4360:1999；BS7799；ISO/IEC13335等标准调查、技术性检测威胁分析弱点分析安全风险报告ASNZS4360:1999；BS7799；ISO/IEC13335等标准风险评估管理系统RAMS风险评估报告风险控制安全控制安全影响残余风险定义风险分析风险计算方法风险列表风险评估NISTSP800-30BS7799定性与定量相结合的方法22安全评估预期的效果•四个识别：资产、威胁、保护措施、安全差距–体系设计差距评估–体系执行差距评估23第二阶段：安全域改造•工作内容–安全域划分–网络优化–产品部署–安全域策略部署制定：美国国家安全局（NSA）启明星辰“3＋1”安全域模型24域域资产结构化-安全域安全域方法归根到底就是用结构将微观的大量资产和其他安全要素，有序地展现在宏观层面•广义的安全域概念是–具有相同和相似的安全要求和策略的IT要素的集合。–IT要素包括：物理环境、网络区域、主机和系统、业务和使命、策略和流程、人和组织25电力系统二次安防的思路26安全域的树型结构示意53243253444333534A1223333155544333555I13233331外联网接入区支撑设施域互联网接入区边界接入域核心计算区某行安全域总体设计重要服务区对外服务单元计算环境域网络设施域一般服务区内联网接入区内部网接入区网络管理区安全管理区操作监控区网络接入区网络汇集区网络骨干区边界接入单元内部涉密单元楼层接入单元人行银联单元中间业务单元核心业务单元核心管理单元核心办公单元业务前置单元网银前置单元信息服务单元办公服务单元分行业务接入分行办公接入认证鉴别单元检测响应单元安管中心单元其它服务单元55544333555C1323333143245545527其它企业安全域案例**安全域部署案例**安全域部署案例**安全域部署案例运营商内部信息通信网、网管网、业务支撑系统**安全域部署案例**安全域部署案例**安全域部署案例28安全域改造的预期效果IT系统的公交线路图29等保的成果如何看得见？鸟瞰图30第三阶段：平台建设•工作内容–SOC部署•安全事件采集•安全事件综合分析•资产和域管理•风险监控管理•脆弱性管理•安全域拓扑管理•安全域策略管理•业务数据流管理•安全响应管理•自身安全管理–定制开发办公终端Http,https,ping,telnet,ftp,x-manHttp,ftp,ping,termial3389Http,https,ftp,ping,termial3389DNS/DHCP服务器IP:10.168.*.*Dns,dhcp-relay,termial3389,pingHttp,https,termial3389,ftp,pingOA服务器IP:10.168.0.81-85补丁服务器（sus）IP:10.168.*.*AV服务器IP:10.168.*.*Http，Https，Terminal3389人力资源系统IP：业务数据流向及使用的通讯协议可能存在业务数据流，需要进一步确认HTTP8080/80:TCPport8080/80CA服务器IP:10.168.*.*信息技术部Ip：10.168.0.0/2410.168.1.0/24综合经营分析系统前端10.168.1.*Http,https,FtpHttp,pingSQL143310.168.0.5110.168.0.52Http，Https，Terminal3389Http,https,Ftp审计报告10.168.1.*ping，http处置流程服务前端10.168.1.249Http，ping：10.168.0.49网站DBLink定时Http，Https，Terminal3389（不正常的业务数据流）不正常的业务数据流的几种可能：·1、不包含在正常业务数据流模型内·2、新增的用户（IP）·3、新的通讯协议·4、蠕虫·5、探测对上述几种可能的操作：·1、首先给出报警·2、用不同的颜色表示·3、系统管理人员可以判断该用户（IP）和使用的通讯协议是否合法，如果合法则可以将其添加到业务数据流模型之中，否则拒绝该通讯并放入“黑名单”综合经营分析系统10.168.*.*处置流程10.168.1.*SQL1433审计报告服务前端10.168.1.199SQL143331实时监控的可视化显示•实时监控内容–监控对象、事件类型、风险级别（5级）、发生时间、源地址、目标地址、协议类型、时间间隔等•显示方式–拓扑链