等保与安全讲座

关于等保与安全讲座第一页，共六十七页，编辑于2023年，星期三常见名词黑客（Hacker的音译）。源于动词Hack，其引申意义是指“干了一件非常漂亮的事”。在业界是指精通计算机的网络、系统、外设以及软硬件技术的人。因为网络安全问题的出现，我们通常把喜欢搞网络攻击的人称为黑客。骇客（Cracker，破坏者），就是运用自己的知识去做出有损他人权益的事情，就称这种人为骇客。漏洞：指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误。后门：后门就是留在计算机系统中，供某位特殊使用者通过某种特殊方式控制计算机系统的途径。端口：每一台电脑都可以打开65535个端口，不同的端口开放不同的服务，如浏览网页用80号端口，电子邮件用25号端口，远程登录用23号端口等。肉鸡：是指中了木马，或者留了后门，可以被远程操控的机器。第二页，共六十七页，编辑于2023年，星期三网络安全知识/常识1、网络安全的兴起2、网络安全的概念和特点3、网络安全风险4、网络攻击后果5、网络安全的目的第三页，共六十七页，编辑于2023年，星期三2023/3/244网络安全的兴起Internet技术迅猛发展和普及有组织、有目的地网络攻击－Hacker出现企业内部安全隐患有限的安全资源和管理专家第四页，共六十七页，编辑于2023年，星期三复杂程度网络安全的兴起InternetEmailWeb浏览Intranet

电子商务电子政务电子交易时间Internet技术迅猛发展和普及第五页，共六十七页，编辑于2023年，星期三网络安全的兴起黑客的出现及常用的工具和手段扫描类软件远程监控类软件病毒和蠕虫系统攻击和密码破解舰艇类软件第六页，共六十七页，编辑于2023年，星期三黑客攻击的发展趋势目前，黑客攻击有如下发展趋势：（1）攻击工具的简单化：目前，黑客工具的技术性越来越高，使用越来越简单，并且大多是图形化界面，容易操作。（2）攻击目标针对化：黑客攻击的目标越来越有针对性，并主要是针对意识形态和商业活动，如Yahoo事件。（3）攻击方式系统化：黑客在攻击方式、时间、规模等方面一般都进行了长时间的准备和部署，系统地进行攻击。（4）攻击时间持续化：由于网络协议的漏洞和追踪力量的薄弱，黑客肆无忌惮地对目标进行长时间的攻击。例如，网站曾承受过DDoS长达40余天的攻击。第七页，共六十七页，编辑于2023年，星期三黑客攻击的一般过程1.踩点黑客确定了攻击目标后，一般要收集被攻击者的信息：目标机的类型、IP地址、所在网络的类型；操作系统的类型、版本；系统管理人员的名字、邮件地址；……。第八页，共六十七页，编辑于2023年，星期三黑客攻击的一般过程2.扫描系统的漏洞会为攻击提供机会和入口。在踩点获得信息的基础上，黑客常编写或收集适当的工具，在对目标系统进行扫描，进一步确定攻击对象的漏洞。漏洞扫描就是自动检测计算机网络系统在安全方面存在的可能被黑客利用的脆弱点。漏洞扫描技术通过安全扫描程序实现。扫描包含了非破坏性原则，即不对网络造成任何破坏。在实施策略上可以采用被动式和主动式两种策略。第九页，共六十七页，编辑于2023年，星期三黑客攻击的一般过程3.查点查点就是搜索特定系统上用户、用户组名、路由表、SNMP信息、共享资源、服务程序及旗标等信息。 查点采用的技术依操作系统而定。第十页，共六十七页，编辑于2023年，星期三黑客攻击的一般过程4.模拟攻击进行模拟攻击，测试对方反应，找出毁灭入侵证据的方法。5.获取访问权 获取访问权是入侵的正式开始。（1）Windows系统上的主要技术NetBIOS-SMB密码猜测；窃听LM及NTLM认证散列攻击IISWeb服务器远程缓冲区溢出第十一页，共六十七页，编辑于2023年，星期三黑客攻击的一般过程6.权限提升黑客一旦获取了访问权，就会试图将自己的普通用户权限提升至超级用户权限，以对系统进行完全控制。权限提升主要的技术是口令破解、利用漏洞以及不当配置等进行。常用口令破解工具有：JohnTheRIPper。可以得到管理员权限的工具有：lc_message、getadmin、sechole、Invisible、Keystroke、Logger（/iksnt.htm）。第十二页，共六十七页，编辑于2023年，星期三黑客攻击的一般过程7.窃取窃取就是对一些敏感数据的篡改、添加、删除和复制，以及通过对敏感数据的分析，为进一步攻击应用系统做准备。

8.掩盖踪迹掩盖踪迹，即清除自己所有的入侵痕迹。主要工作有：禁止系统审计、隐藏作案工具、清空事件日志（使用zap、wzap、wted等）、替换系统常用操作命令等。

第十三页，共六十七页，编辑于2023年，星期三黑客攻击的一般过程9.创建后门创建后门是为了以后的入侵打开一个缺口，使入侵者能卷土重来，以特权用户身份控制整个系统。主要工作有：创建具有特权用户权限的虚假用户账号；安装批处理或远程控制工具；使用木马程序替换系统程序；安装监控程序；感染启动文件。第十四页，共六十七页，编辑于2023年，星期三黑客攻击的一般过程10.拒绝服务攻击拒绝服务是指利用协议或不同系统实现的漏洞，使目标服务器资源耗尽或过载、没有能力向外提供服务的攻击。第十五页，共六十七页，编辑于2023年，星期三网络安全的概念、特点及特性网络安全的概念网络安全是指保护计算机网络中的硬件、软件和数据不因偶然或恶意原因遭到破坏、更改、泄漏，保障系统连续正常运行，网络服务不中断。网络安全从整体上可分为两大部分，网络本身的安全和网络中的信息安全。保护网络中的信息安全是最终目的。第十六页，共六十七页，编辑于2023年，星期三网络安全的概念、特点及特性网络安全的特点网络安全是一个系统概念，需要一整套完善的安全保障体系。网络安全是多层次的，不同层次的网络服务是不同的，需要采用不同的手段进行分层防护。网络安全是动态变化的，需要相应的网络安全技术支持。网络安全是相对的，安全技术并不能杜绝所有的对网络的侵扰和破坏，其作用仅在于最大限度的防范，以及在受到攻击后将损失尽量降低。第十七页，共六十七页，编辑于2023年，星期三网络安全的概念、特点及特性网络安全的特性可靠性可用性保密性完整性不可抵赖性可控性第十八页，共六十七页，编辑于2023年，星期三网络安全风险网络结构的安全风险操作系统的安全风险应用的安全风险管理的安全风险第十九页，共六十七页，编辑于2023年，星期三网络攻击的后果影响行使工作职能导致业务能力下降导致财产损失造成社会不良影响引起法律纠纷对其他组织和个人造成损失第二十页，共六十七页，编辑于2023年，星期三黑客入侵1995年8月21日，设防严密的花旗银行（CITYBANK）被前苏联克格勃人员通过Internet侵入，损失现金高达1160万美元。而为了弄清真相并防止入侵者故伎重演，花旗银行又不得不出资580万美元的现金让入侵者讲述入侵秘密和详细步骤。据美国五角大楼的一个研究小组称，美国国防部一年中遭受到的攻击就达25万次之多。1997年由于黑客入侵美国空军防务系统，迫使五角大楼把防务网络关闭24小时。1996年8月17日，黑客入侵美国司法部，将“美国司法部”的主页改成了“美国不公正部”，将司法部部长的照片换成了阿道夫·希特勒，将司法部的徽章换成了纳粹党的党徽，并加上一张色情女郎的图片作为司法部长的助手。同年的9月18日，黑客们又将美国“中央情报局”主页改成了“中央愚蠢局”。第二十一页，共六十七页，编辑于2023年，星期三黑客入侵1999年4月26日，台湾大同工学院资讯工程系学生陈盈豪制造的“CIH”病毒发作，震撼了全球，据保守的估计至少有6000万部电脑受害。2000年2月5日夜晚，国际著名的Yahoo、CNN（电子港湾）、亚马逊、微软网络等五大网站在DDoS（DistributedDenialofService，分布式拒绝服务）有组织地攻击下相继落马。在2月7，8，9三天里，它使这些著名网站的损失高达10亿美元，其中仅营业和广告收入一项就达1亿美元。2000年5月4日，开始发作的“ILoveYou”病毒如野火般地肆虐美国，进而袭击全球，至少造成100亿美元的损失。第二十二页，共六十七页，编辑于2023年，星期三黑客入侵(2012网摘)据英媒报道，因不满英国政府坚持将“维基解密”创始人朱利安·阿桑齐引渡到瑞典的决定，黑客组织“匿名者”8月22日攻击了英司法部、内政部等多个政府部门网站。

在厄瓜多尔首都基多举行的第二届网络安全大会上，拉美国家代表称拉美国家已成为全球黑客入侵的高危地区，该地区平均每天有5000个网站遭黑客攻击，攻击次数约为35万次，对银行系统的攻击高达5.8万次，2011年因黑客干扰造成的银行业经济损失高达9300万美元。

第二十三页，共六十七页，编辑于2023年，星期三黑客入侵(2012网摘)9月11日赛门铁克公司发布了《2012年诺顿网络安全报告》。该报告对包括中国在内的全球24个国家和地区的1.3万成年网络用户展开调查，旨在研究网络新技术下的网络犯罪对个人用户安全意识的影响。报告称，2011年7月至2012年7月，全球网络犯罪造成的直接经济损失高达1100亿美元。其中，中国约有2.57亿网民不同程度地遭受过网络犯罪侵害，直接经济损失高达人民币2890亿元，居全球之首。

据外媒报道，9月11日，世界第一大域名注册商GoDaddy发生系统宕机事故，致使全球数百万家网站无法正常访问。第二十四页，共六十七页，编辑于2023年，星期三

网络安全的目的

保护信息的安全保护信息交互、传输的安全保护信息系统的正常运行第二十五页，共六十七页，编辑于2023年，星期三

网络安全的目的

进不来拿不走改不了跑不了可审查看不懂第二十六页，共六十七页，编辑于2023年，星期三防火墙防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合和信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力，是提供信息安全服务，实现网络和信息安全的基础设施。InternetFileServerClientMailServerClientClientClientFTPServer防火墙第二十七页，共六十七页，编辑于2023年，星期三28防火墙功能IP包检测Internet内容过滤网络地址转换(NAT)攻击检测日志审计/报警应用层控制用户认证管理控制网络内容行为（NEW!）第二十八页，共六十七页，编辑于2023年，星期三入侵监测系统第二十九页，共六十七页，编辑于2023年，星期三2023/3/2430防病毒网关的特性防病毒网关是对病毒等恶意软件进行防御的硬件网络防护设备，具有如下特性：强劲的恶意软件防护功能适应于复杂的核心网络灵活的网络安全概念集中管理，全局控制细致入微的系统日志和审计功能

第三十页，共六十七页，编辑于2023年，星期三网络安全的主要技术1、密码技术2、计算机病毒防治技术3、信息泄露防护技术4、鉴别、授权和身份认证技术5、防火墙技术6、VPN安全网关/信息网关技术7、弱点漏洞分析/渗透式分析技术8、监测、预警与响应技术9、内容安全技术第三十一页，共六十七页，编辑于2023年，星期三网络安全的主要技术10、应用安全技术11、系统安全技术12、数据库安全技术13、安全路由器（具有防火墙的功能，提供某些地址和服务的过滤机制，可以在一定程度上限制访问。还有带信息加密的路由器（成对使用）；14、物理隔离技术15、灾难恢复与备份技术第三十二页，共六十七页，编辑于2023年，星期三网络系统现状潜在的安全风险安全需求与目标安全体系安全解决方案分析后得出提出依照风险制定出进行安全集成/应用开发安全服务安全方案设计建立相应的网络安全整体设计流程第三十三页，共六十七页，编辑于2023年，星期三信息安全等级保护等保建设/整改的依据和标准定位定级备案建设与整改等级测评监督检查第三十四页，共六十七页，编辑于2023年，星期三等级保护建设/整改的依据等级保护建设/整改的依据《关于开展信息安全等级保护安全建设整改工作的指导意见》公信安[2009]1429号，提出等保建设工作：开展信息安全等级保护安全管理制度建设，提高信息系统安全管理水平开展信息安全等级保护安全技术措施建设，提高信息系统安全保护能力开展信息系统安全等级测评，使信息系统安全保护状态逐步达到等级保护要求。第三十五页，共六十七页，编辑于2023年，星期三等级保护建设/整改的依据《信息系统安全等级保护基本要求》是信息系统安全建设//整改的依据《信息系统安全等级保护实施指南》等标准用于指导等级保护建设//整改第三十六页，共六十七页，编辑于2023年，星期三标准定位一级：能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。二级：能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。三级：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。四级：安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。第三十七页，共六十七页，编辑于2023年，星期三一、定级—如何进行定级定级对象确定受侵害客体的分析侵害程度的分析关键技术环节定级依据：《GB/T22240-2008信息安全技术信息系统安全等级保护定级指南》第三十八页，共六十七页，编辑于2023年，星期三定级对象的三个条件第三十九页，共六十七页，编辑于2023年，星期三侵害客体第四十页，共六十七页，编辑于2023年，星期三受到破坏后可能产生的危害后果第四十一页，共六十七页，编辑于2023年，星期三定级要素与等级的关系侵害客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级第四十二页，共六十七页，编辑于2023年，星期三业务信息安全保护等级矩阵表系统服务安全保护等级矩阵表系统安全保护等级矩阵表等级确定矩阵第四十三页，共六十七页，编辑于2023年，星期三二、备案第四十四页，共六十七页，编辑于2023年，星期三调整等级保护定级怎么处理？信息系统安全保护措施动态调整第四十五页，共六十七页，编辑于2023年，星期三等级调整因素：卫生行业在政策和管理方面的特殊要求；预测业务数据可能会随着时间变化从量变转化为质变；随着信息系统所承载的业务不断完善和稳定，各种业务的取消或合并；信息系统服务范围随着业务的发展，将会有较大的变化。第四十六页，共六十七页，编辑于2023年，星期三“指导意见”针对定级备案的要求1、其中要求以下重要卫生信息系统安全保护等级原则上不低于第三级：

（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；

（2）国家、省、市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；

（3）三级甲等医院的核心业务信息系统；

（4）卫生部网站系统；

（5）其他经过信息安全技术专家委员会评定为第三级（含）以上的信息系统。第四十七页，共六十七页，编辑于2023年，星期三2、拟定为第三级（含）以上的卫生信息系统，需经信息安全技术专家委员会论证、评审；3、卫生行业各单位在确定信息系统安全保护等级后，应当对第二级（含）以上信息系统向属地公安机关备案，并向属地卫生行政部门报备。第四十八页，共六十七页，编辑于2023年，星期三三、建设与整改

等级保护建设主要包括以下两部分内容：第四十九页，共六十七页，编辑于2023年，星期三建设与整改整改依据：GB《信息系统安全等级保护基本要求》第五十页，共六十七页，编辑于2023年，星期三风险、差距分析风险评估自评估委托评估第五十一页，共六十七页，编辑于2023年，星期三方案设计规划体系设计策略体系设计管理体系设计技术体系设计运维体系设计物理

安全网络

安全主机

安全应用

安全数据

安全管理

安全第五十二页，共六十七页，编辑于2023年，星期三级别技术部分控制点要求项一级2033二级3279三级36136四级40148级别管理部分控制点要求项一级2852二级3496三级37154四级37170级别整体数量控制点要求项一级4885二级66175三级73290四级77868第五十三页，共六十七页，编辑于2023年，星期三级别技术部分物理安全网络安全主机安全应用安全数据安全及备份恢复一级控制点要求项控制点要求项控制点要求项控制点要求项控制点要求项7939464722二级控制点要求项控制点要求项控制点要求项控制点要求项控制点要求项101961861971934三级控制点要求项控制点要求项控制点要求项控制点要求项控制点要求项103273373293138四级控制点要求项控制点要求项控制点要求项控制点要求项控制点要求项10337329361136311第五十四页，共六十七页，编辑于2023年，星期三级别管理部分安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理一级控制点要求项控制点要求项控制点要求项控制点要求项控制点要求项234447920918二级控制点要求项控制点要求项控制点要求项控制点要求项控制点要求项37595119281241三级控制点要求项控制点要求项控制点要求项控制点要求项控制点要求项31152051611451362四级控制点要求项控制点要求项控制点要求项控制点要求项控制点要求项31452051811481370第五十五页，共六十七页，编辑于2023年，星期三基本要求中控制点与要求项各级分布：安全等级控制点要求项第一级79第二级919第三级1032第四级1039物理安全第五十六页，共六十七页，编辑于2023年，星期三基本要求中控制点与要求项各级分布：安全等级控制点要求项第一级39第二级618第三级733第四级732网络安全第五十七页，共六十七页，编辑于2023年，星期三基本要求中控制点与要求项各级分布：安全等级控制点要求项第一级46第二级619第三级732第四级936主机安全第五十八页，共六十七页，编辑于2023年，星期三

数据库安全是主机安全的一个部分，数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。数据安全第五十九页，共六十七页，编辑于2023年，星期三基本要求中控制点与要求项各级分布：安全等级控制点要求项第一级47第二级719第三级931第四级1136应用安全第六十页，共六十七页，编辑于2023年，星期三已建系统等级保护建设流程阶段责任单位信息系统定级总体安全规划1.信息系统分析2.安全保护等级确定安全设计与实施安全运行与维护信息系统终止1.风险评估和等保差距分析2.总体安全规划设计（1）安全需求分析（2）总体安全设计（3）安全建设项目规划1.安全方案详细设计2.安全整改建设（1）编制管理制度、流程等文档（2）实施技术措施，进行安全设备调试和系统集成1.安全运维（1）安全巡检（2）渗透测试、安全加固（3）应急