信息系统安全等级保护建设培训方案

2023/12/14信息系统平安等级保护建设培训2涉及到电子政务安全的几件大事--《CNCERT》2013年度报告引子3

据CNCERT监测，2021年，我国境内被篡改网站数量为24034个，较2021年增长46.7%，其中政府网站被篡改数量为2430个，较2021年增长34.9%；我国境内被植入后门的网站数量为76160个，较2021年增长45.6%，其中政府网站2425个，较2021年下降19.6%。在被篡改和植入后门的政府网站中，超过90%是省市级以下的地方政府网站，超过75%的篡改方式是在网站首页植入广告黑链。政府网站面临威胁依然严重，地方政府网站成为“重灾区〞引子

新型社交网络的连通性成为黑客攻击和网络犯罪的新途径云平台的应用普及加大信息泄露风险和事件处置难度移动支付平安和移动终端漏洞成为移动互联网开展的新挑战分布式反射拒绝效劳攻击规模呈持续增大趋势微软停止对WindowsXP系统的效劳支持可能导致零日漏洞攻击增多设备智能化促使网络平安威胁向物联网延伸2021的可见威胁引子我们的平安防范思维又如何？技术执行力理论思维模式安全服务纠错能力新型信息安全信任体系6新型信任体系如何建立？电子政务外网网站三级等保特殊要求网站三级等保产品部署案例实战三级等保信任体系的维持与纠错1238?国家电子政务外网平安等级保护根本要求??党政机关门户网站系统平安等级保护指南?电子政务外网网站三级等保特殊技术要点1主要网络设备的业务处理能力至少为历史峰值的2倍主用与备用的核心网络设备应放置在不同物理位置的机房应采用物理路由别离的两条骨干链路来提供1+1的全网保护方式，两条链路在技术和性能等方面应保持一致9?国家电子政务外网平安等级保护根本要求??党政机关门户网站系统平安等级保护指南?电子政务外网网站三级等保特殊技术要点1应根据需要采用有效的QoS和流量管理策略，保证管理和控制信息具有较高的优先级公用网络区与互联网区等区域之间的数据交换，应通过平安隔离设备，并对交换数据进行病毒扫描和审计等保三级党政机关门户网站能够实时监控网站运行状态、挂马情况和暗链情况10电子政务外网网站三级等保特殊要求网站三级等保产品部署案例实战三级等保信任体系的维持与纠错12311实战1在XX省人社厅互联网XX系统的规划中，横向上覆盖各个政府相关部门以及其他相关单位的边界接口，纵向上覆盖到各个市级平台，包括区县单位的边界。从平安技术选择方面，本方案以保障网络平安、数据平安和管理平安为重点，实现手段以平安产品为重点，对平安效劳局部作为建议性描述。2工程背景网站三级等保产品部署案例实战12接入网平安区：涵盖ISP接入边界平安局部。网站核心运行平安区：涵盖根本的接入防护体系、数据接收、存储、互联网数据交换反响与呈现、WEB网站应用以及多数据库局部。网站运维平安区：涵盖网站平台软硬件局部的整体运维，整体优化及人机信息输入输出局部。存储与备份平安区：涵盖网上数据与应用效劳平安域中的数据冗余平安局部，以满足系统在性能、容量、扩展、管理等诸多方面具有较大的灵活性以适应变化和开展的需要网站三级等保产品部署案例实战2划分平安区13作为整个系统的外延，接入网平安区我们首先需要考虑的是性能上保障网站首页的访问响应时间不超过6秒，网站主要栏目页面的访问响应时间不超过4秒的政府网站访问根本要求。满足等级保护三级要求中关于边界访问控制的技术要求。满足等级保护三级要求中关于数据流过滤、允许与拒绝访问的能力的技术要求。网站三级等保产品部署案例实战2接入网平安区14满足等级保护三级要求中关于应在网络边界处监视端口扫描、强力攻击、木马后门攻击、拒绝效劳攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等各类攻击并进行报警的技术要求。满足等级保护三级要求中关于网络边界处进行恶意代码防护的技术要求。满足等级保护三级要求中关于对网络操作行为等进行平安审计的技术要求。满足网站效劳器整体平安性以及运行要求。满足网页发布内容正确性及权威性要求。网站核心运行平安区网站三级等保产品部署案例实战215数据库暴库的风险网站三级等保产品部署案例实战2听说现在上网可以查到开房记录...16网站三级等保产品部署案例实战2数据库暴库的风险17通过微博查任意qq号，再通过qq群关系数据库，查更多信息。找到名字再通过12306、开房的库查到身份证号……网站三级等保产品部署案例实战2关联性灾难轨迹数据库暴库的风险黑客脱裤网站三级等保产品部署案例实战2数据库暴库的风险19满足等级保护三级要求中关于主机平安的技术要求。满足等级保护三级要求中关于边界访问控制的技术要求。满足等级保护三级要求中关于对网络操作行为以及数据库操作行为等进行抗抵赖以及平安审计的技术要求。满足等级保护三级要求中关于应建立平安管理中心，对设备状态、恶意代码、补丁升级、平安审计等平安相关事项进行集中管理的技术要求。网站运维平安区网站三级等保产品部署案例实战220网站三级等保产品部署案例实战2来自内部PC的风险21满足等级保护三级要求中关于应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放的技术要求。满足等级保护三级要求中关于应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地的技术要求。

存储与备份平安区网站三级等保产品部署案例实战22223实战2某地国土电子政务外网新建网上交易平台总基线需求：国土内网与国土外网的高冗余式网络结构方案：根底信息平安设备均为双机热备式部署规划网站三级等保产品部署案例实战2工程背景24需求：国土内网与国土外网的平安域〔平安区〕划分方案：将WEB效劳器群及CA认证效劳器规划到国土外网平安域，其余局部规 划到国土内网平安域。网站三级等保产品部署案例实战2划分平安区25需求：国土内网与国土外网的访问控制与平安隔离方案：在国土内网、外网分别部署接入层防火墙、及数据中心防火墙，建立 良好的分级访问控制与平安隔离网站三级等保产品部署案例实战2访问控制与平安隔离26需求：国土内网与国土外网的正常数据交换管理方案：在国土内网与国土外网之间部署网闸，对跨平安域的访问请求及数据 内容进行隔离审查与传输控制。网站三级等保产品部署案例实战2平安区间数据交换体系27需求：国土内网木马病毒防御机制方案：在国土内网刀片效劳器部署企业版杀毒软件，对联网终端进行整体性 的木马病毒查杀管理需求：国土内网联网终端的主机监控与审计平安管理方案：在国土内网刀片效劳器部署主机监控与审计平安管理效劳器，在联网 终端部署主机监控与审计终端，提升联网终端的平安管理级别网站三级等保产品部署案例实战2

木马病毒防御机制终端平安管理28需求：对访问国土内网效劳器群的流量进行负荷分担方案：在国土内网效劳器群的旁路部署效劳器负载均衡，对访问国土内网服 务器群的流量进行高效的疏导，防止单链路承载过重而导致的网络拥塞 及其他隐患网站三级等保产品部署案例实战2效劳器流量疏导机制29需求：国土内网的漏洞扫描体系、入侵检测体系以及网络及数据库行为审计 体系的需求方案：以旁挂的形式部署漏洞扫描系统、入侵检测系统以及网络/数据库行为 审计系统以解决辅助性信息平安需求。网站三级等保产品部署案例实战2管理性平安需求30需求：国土内网数据库效劳器群的异地备份需求方案：从数据库效劳器群上行交换机以专线的形式级联到异地机房，以建立 异地备份平台，保障数据平安需求：国土外网WEB效劳器群不需要随时通过网闸读取内网数据库效劳器数 据，减小干路流量压力，提升网络冗余空间。方案：在WEB效劳器群旁挂专用于发布的数据库效劳器，WEB效劳器的数据 来源指向发布数据库效劳器，同时配置网闸使得发布效劳器以一定的触 发条件同步内网数据库效劳器数据，减小干路流量压力，提升整体网络 冗余空间网站三级等保产品部署案例实战2

异地备份WEB效劳器群数据交换31需求：国土外网网上交易平台身份认证机制，建立良好的可控的网上交易安 全接口。方案：在国土外网旁挂VPN网关以及专用的CA认证效劳器，形成完善的PKI认证体系，全面提高用户网络的平安等级，在建立良好与可控的网上交易平安接口的同时，对交易人所持之KEY也能良好的进行扩容管理网站三级等保产品部署案例实战2

网上信息交互身份认证32网站三级等保产品部署案例实战2来自交互的风险3月22日晚，一家名叫“乌云〞的网站漏洞报告平台发布公告，称在线票务效劳公司携程网存在支付漏洞，在携程网用信用卡支付，顾客姓名、身份证信息、银行卡卡号、CVV2码等信息都会被保存在携程网本地效劳器，且有可能被泄露，给客户信用卡盗刷埋下隐患。3月23日携程网为漏洞信息致歉，称事发后两小时内已经修复漏洞，发现93名顾客信息疑似泄露，并承诺假设用户出现损失将全额赔付。33携程将用于处理用户支付的效劳接口开启了调试功能，使局部向银行验证持卡所有者接口传输的数据包均直接保存在本地效劳器，有可能被黑客所读取网站三级等保产品部署案例实战2来自交互的风险34需求：国土外网WEB效劳器群的网络攻击防范体系。方案：在国土外网WEB效劳器群上行交换机旁挂WEB防火墙〔WAF〕，以反 向代理模式实现网页防篡改、防SQL注入攻击、防跨站脚本攻击、抗拒 绝效劳攻击等网络攻击防范手段，全面提WEB效劳器群抗网络攻击行为 的平安等级。网站三级等保产品部署案例实战2

网上交易平台WEB防范35需求：国土外网为多ISP运营商接入模式，需要对来自每个运营商的不同路由 访问请求进行流量疏导、链路均衡，同时还需要降低多ISP运营商高并发 访问量出现之时的非设备处理能力造成的互联网访问拥塞。方案：部署应用交付系统，智能地均衡流量并到达最优的利用率；为不同级 别的应用实现差异化效劳，实现有效合理的带宽控制与管理，解决多ISP 运营商高并发访问量出现时的数据丢包、TCP延迟等问题。网站三级等保产品部署案例实战2多ISP运营商链路的流量负载及访问优化36需求：对国土内网、外网所有网络设备进行整体性管理方案：建立基于平安域的专用运维管理区〔逻辑〕，直接级联至〔内网、外 网〕核心交换机，以保障对国土〔内网、外网〕网络设备进行整体性管 理网站三级等保产品部署案例实战2运维管理区〔内网、外网〕3738电子政务外网网站三级等保特殊要求网站三级等保产品部署案例实战三级等保信任体系的维持与纠错12339三级等保信任体系的维持与纠错3平安短板技术进步管理失位信息的平安就像一个‘木桶’，整体的平安性取决于最薄弱的一个环节〔短板〕，否那么即使其它方面做得再强，但在某一方面留下一个漏洞，也可能被他人利用，导致信息的失窃攻击技术在不断的开展和进化，而平安产品的更新永远落后于攻击技术的开展，仅仅使用平安产品已经不能提供全面的信息平安，必须与业内的平安专家紧密的沟通，才能对抗新的平安威胁即便再好的平安设备、系统和技术，假设没有有效地贯穿于信息流通与信息活动中的平安管理工作，也是无法真正实现信息平安的如何维持与纠错？40三级等保信任体系的维持与纠错312通过咨询制定核心安全管理流程，建立有效的信息安全体系、完善信息安全架构通过培训来增强客户的安全意识，减少和避免人为因素造成的安全事件的发生通过渗透测试、代码审核等服务帮助客户了解自身（系统）的安全性3通过安全评估了解安全现状与所面临的威胁，获得从业务面到技术面的整合需求4通过安全加固来持续增强信息系统自身的安全性通过应急响应及时有效地处理重大的安全事件，最大限度的减少安全事件的影响6借助安全通告对安全威胁提前预警，对行业新增安全威胁防范风险于未然7维持与纠错的7个维度541三级等保信任体系的维持与纠错3例1：网站远程渗透测试纠错42三级等保信任体系的维持与纠错3远程渗透测试纠错网站/业务系统开发厂商思考的问题用户的功能需求是什么？如何去实现这些功能？如何在实现功能的同时减少开发量？如何在最快时间内上线？43三级等保信任体系的维持与纠错3远程渗透测试纠错网站/业务系统用户关心的问题黑客能攻得进来吗？网站/系统有危险漏洞吗？网站/系统的数据会泄漏吗？网站/系统会遭到篡改吗？44三级等保信任体系的维持与纠错3远程渗透测试纠错功能有了，逻辑结构不严谨，经常出错开发过程中平安考虑的太少，存在诸多漏洞没有经过正规平安测试，无法证明平安性后期的平安完善成了用户自己的事情错位的问题/用户实际面临的平安问题45三级等保信任体系的维持与纠错3远程渗透测试纠错委托受理相关协议初步分析测试/应急方案分析测试权限提升存在漏洞*控制目标权限回退数据收集*破坏测试撰写报告46三级等保信任体系的维持与纠错3远程渗透测试纠错black黑盒测试white白盒测试grey灰盒测试渗透结果总结渗透测试报告安全解决建议渗透复查报告渗透成果汇总重大问题告知清除攻击后门中间测试文件测试过程总结渗透成果汇报-测试过程-测试深度-测试结果渗透成果保密结合渗透测试报告和实际网站/业务系统情况给出具有针对性的安全整改方案，供开发商进行整改整改情况复查遗留问题处理望闻问切量体裁衣47三级等保信任体系的维持与纠错3例2：实时监控与告警纠错48三级等保信任体系的维持与纠错3实时监控及告警纠错被监控网站/系统通过不同监测引擎获取检测结果可用性监控漏洞扫描挂马监控篡改监测实时监测/监控技术接口人下达任务单支撑团队用户调度定期综合报告即时告警、通知检测爬虫“XX实施监控及告警中心〞Internet敏感内容暗链监测。。。49三级等保信任体系的维持与纠错3实时监控及告警纠错价值表达实时纠错主动纠错专业纠错客观纠错直观的掌握信息系统当前综合平安状态和平安趋势主动、及时地平安事件预警，为躲避风险争取了反响时间平安事件自动响应、任务处理和流转，降低运维人员工作强度、提高了工作效率统一调度、协调工作、依托大型专业平安机构，建立合理的的平安智囊联动体系客观、科学的运维策略及运行管理有效性的量化评估，增强对信息系统平安状况的掌控能力50回忆几乎所有基于安全层面给出的建议都是基于“信任”这个核心给出的，安全的本质是信任。“除了你自己没谁是真的可信的，然而实施起来缺