首页 > 代码库 > 安全等级划分依据与应急响应流程

安全等级划分依据与应急响应流程

查看等保要求及相关安全建设视频(郑歆炜cnhawk:企业安全那些事 – 应急响应http://open.freebuf.com/live/181.html)后整理,不成熟处还望指正。

安全等级划分:(是在平时对网络环境的评估)

1,  依据不同业务系统受到不同侵害时将造成的损失(即业务系统的重要性)见表一

2,  进行基于物理安全,网络安全,主机安全,应用安全,数据安全五方面评估(即在等保的基础上根据实际情况作相应修改) 见表二

综合以上两点,对整个网络进行安全评估

                     表一 业务系统侵害等级

 

受侵害程度

轻微(工作无影响体现)

一般(工作可正常进行)

严重(工作受到一定影响,如响应速度缓慢,发生丢弃现象等)

危险(无法工作)

业务系统A

A级

B级

C级

D级

业务系统B

B级

C级

D级

E级

业务系统C

C级

D级

E级

F级

注:侵害程度根据及等级需根据具体情况制定

                 

一级只是从“身份鉴别”、“自主访问控制”、简单的“恶意代码防范”这些控制点切入检测系统是否达到一级标准要求。二级除过一级中的控制点以外增加“安全审计”、“系统保护”、“剩余信息保护”、“资源控制”这些控制点的检测,同时对每一个控制点的检测深度高于一级标准。三级包括二级所有检测控制点,同时加入“强制访问控制”项目的测试,满足三级安全保护能力标准;四级为最高评测级别,对所有检测点进行深入的扫描评定,适合于高级涉密计算机系统的安全评估。

 表二 等保概况

 

物理安全(物理位置,物理访问,防破环,防自然灾害,机房布置)

网络安全(结构安全,访问控制,安全审计,边界设置等)

主机安全(身份鉴别,访问控制,安全审计,入侵防护,恶意代码,资源控制)

应用安全(身份鉴别,访问控制,安全审计,恶意代码,资源控制,通信相关性能)

数据安全(数据安全性及备份及恢复)

第一级

机房出入控制及自然灾害防御)

相关设备的业务处理能力;设备访问控制,登陆身份)

包括主机登陆限制、身份鉴别,权限设置,操作系统补丁及应用安装)

该应用的本身漏洞及通信的安全

重要信息数据通信的完整性及保密性;

重要信息备份及恢复

第二级

防震防风防雨,

进出审核记录,

防水防潮,温、湿度控制;

短期电力备用;

电源,通信线隔离

+冗余空间,接入网络和核心网路的带宽满足业务高峰;

子网划分,网段地址分配按便于控制原则;

网络边界启用访问控制(网段级);用户和系统间的控制粒度为单个用户;限制拨号权限用户数;

对设备,流量,行为进行审计与记录;边界完整性检测;网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等,设备登陆要实现单点登陆

操作系统及数据库的用户权限分离;身份鉴别及口令强度及更新,登陆限制措施,用户名唯一性

+审计覆盖服务器上每个用户;并保证不受到非预期的删改

+升级服务器机制

+恶意代码防护统一管理

 

+身份鉴别用户唯一标记,访问控制对文件、数据表的访问,安全审计覆盖到每个用户;保证无法删改

+通信过程中的完整性(MD5或哈希)

+通信限制(系统并发数量,单用户多重会话数;双方无回音最短时间)

 

+重要业务数据的完整性及保密性

+关键设备、业务的容灾备份

第三级 

 

+避免将重要网段布置在边界、直连外部信息系统,并与其它系统隔离;

按业务重要性确定带宽分配优先级

+控制粒度为端口级; 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制; 应在会话处于非活跃一定时间或会话结束后终止网络连接;   应限制网络最大流量数及网络连接数;   重要网段应采取技术手段防止地址欺骗;生成审计报表;记录攻击行为

 

+最小权限分配;

审计覆盖到用户;

存储重分配前确保删除干净;

资源监控及最小分配

 

+生成报表;

通信加密(会话验证,报文或会话加密);

接受,发送抗抵赖

资源限制:+时间段内并发会话数,进程资源最小分配,设置服务及进程的优先级

+数据完整性检验及受损恢复,

对重要业务数据加密;

完全数据备份至少每天一次;

存储介质场外存放;异地数据备份;传输冗余,避免单点故障

第四级

防自然灾害及人类灾害,温度湿度控制;进出审核,重要系统物理隔离,电子门禁

+电磁屏蔽

 

访问控制(用户级或进程级),网络边界安全设置;安全审计(细粒度,大数据);恶意代码防范及自动处理机制

至少一种不可伪造的身份鉴别

+不允许数据带通用协议协议通过;根据敏感标记过滤信息;不开放远程拨号访问;

集中审计,时钟同步

主机登陆限制、至少一种身份鉴别信息不可伪造,权限设置,操作系统补丁及应用安装,病毒防护情况,恶意代码防范(主机与网络不同恶意代码库);入侵防护,病毒库即使更新;资源使用限制;

+访问控制为进程级和字段级

+集中审计

+至少一种不可伪造的身份鉴别信息

+安装、启用安全标记

+禁止默认账户访问

+在身份鉴别、会话时先建立可信安全的通信路径

+集中审计

+硬件化加密及密钥管理

+自动恢复功能

+对重要通信使用专用协议或https,避免来自基于协议的通信攻击破坏数据完整性及保密性

+异地实时备份,无缝切换

注:可以根据实际情况对等级详情做修改 ,然后针对要达到的等级进行部署

平时可以在部署改善后通过渗透测试,模拟攻击(与后面的演习配合)等来发现,解决安全问题

 

以上是在平时对网络环境安全进行评估和改善的依据,在受到攻击时的应急需要另外的应对措施,整个体系分为事前、事中、事后;

事前:

确定人员职责,事件等级,上报体系,升级机制

对受到的攻击进行事件等级划分:

事件等级

影响

备注

一级

部分或全部用户/员工,对资产有损失

如:关键业务系统被拒绝服务攻击,用户无法访问、网站首页感染恶意代码、生产服务器被入侵

核心用户被入侵,

关键系统被攻击

二级

少量用户或员工,

如:基于web的管理系统被入侵,但权限小只能获得少量信息

边缘业务被攻击,

普通用户被入侵

三级

个别用户或员工

如:单台web服务器被攻击,无法访问,但不影响整个应用

普通服务器被攻击,无损失

注:根据公司具体业务要点制定

 

制定预案:

1,  根据事件(攻击类型)进行预案分类:DDOS,网站入侵,DNS安全等

2,  根据受攻击设备:生产服务器,web服务器等

分析判断:监控发现、流量分析、日志查看

处理流程、方法:(根据攻击流量大小、不同应用)

处理人员联系

演习:检验预案,对各种状况可以尽可能预料

 

事中:

发现事件并上报

协调调度

根据事件的情形(攻击的类型),按相应预案处理

 

事后分析:

分析起因,确定优化,改进项目,落实

 

 

以上为我的学习记录和自己的一些想法,有不成熟的地方或大家有建议的欢迎指正和交流,谢谢大家!

安全等级划分依据与应急响应流程