【网络安全】等保测评系列预热

【网络安全】等保测评系列预热

  • 前言
    • 1. 什么是等级保护?
    • 2. 为什么要做等保?
    • 3. 路人甲疑问?
  • 一、等保测试
    • 1. 渗透测试流程
      • 1.1 明确目标
      • 1.2 信息搜集
      • 1.3 漏洞探索
      • 1.4 漏洞验证
      • 1.5 信息分析
      • 1.6 获取所需
      • 1.7 信息整理
      • 1.8 形成报告
    • 2. 等保概述
      • 2.1 发展历程
      • 2.2 等保2.0和等保1.0区别
        • 2.2.1 名称修改
        • 2.2.2 定级对象变化
        • 2.2.3 安全监督结构变化
        • 2.2.4 等保义务性变化
      • 2.3 做等保原因
      • 2.4 关键性角色
        • 2.4.1 公安机关网监部门
        • 2.4.2 测评机构
        • 2.4.3 被测评角色
        • 2.4.4 集成商、实施商、安全厂商
    • 3. 等保流程
      • 3.1 定级备案
      • 3.2 差距评估
      • 3.3 安全整改
      • 3.4 等级评估


前言

1. 什么是等级保护?

等保全称网络安全等级保护。在中国,信息安全等级保护

广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作

狭义上一般指信息系统(APP)安全等级保护

2. 为什么要做等保?

(1)法律法规要求《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

(2)行业要求
在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统(APP)要开展等级保护工作。

在这里插入图片描述

(3)企业系统安全的需求
信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。

3. 路人甲疑问?

•某政府用户:按照要求过了等级保护测评,网络安全是不是没什么问题了?

•某高校用户:为了不违法,为了过等保,我们加了很多安全设备,现在运维都快忙死了,过等保这么复杂吗?

•某医院用户:医院系统这么多,还经常变更,是不是每个系统都要做等保测评?到底怎么做才能不会收到“罚单”,能否指条明路?

新增等保测评系列,之后一段时间以等保测评为主

序列号系列内容
01安全物理环境
02安全通信网络
03安全区域边界
04安全计算环境
05安全管理中心
06安全管理制度
07安全管理机构
08安全管理人员
09安全建设管理
10安全运维管理
11云计算安全扩展需求
12移动互联安全扩展要求
13物联网安全扩展要求
14工业控制系统安全扩展要求

一、等保测试

渗透测试是等保的一部分,我们先来了解渗透测试的流程

渗透测试工作内容:

1.自己企业直招的安全工程,针对自身企业业务的安全维护加固
2.乙方公司:测评机构,安全厂商,针对甲方企业进行安全防护测试(大部分)
3.撰写报告

1. 渗透测试流程

明确目标

信息搜集

漏洞探测

漏洞验证

信息分析

获取所需

信息整理

形成报告

甲方开立项会议,确定目标和信息

1.1 明确目标

1、确定范围:测试的目标范围,IP,域名,内外网

2、确定规则

渗透测试和黑客入侵区别?渗透测试:以黑客角度,模拟攻击,更全面的发现测试对象的安全隐患
黑客:不择手段进行攻击,获取非法收益

规则内容:

能渗透到什么程度?
确定攻击时间?
可以采取哪些攻击手段?

3、确定需求

web应用漏洞?

业务逻辑漏洞?

人员管理权限漏洞?

1.2 信息搜集

攻击方式:

​ 主动扫描?

​ 开放式搜索?

甲方会给到的信息1、基础信息: IP,业务架构,域名,端口
2、各种系统以来的版本信息
3、应用信息:涉及到的服务信息,各应用逻辑

1.3 漏洞探索

通过扫描器,结合漏洞在db查利用

1.4 漏洞验证

1、自动化验证:通过工具验证

2、手动验证:利用公开的资源验证

3、暴力破解

1.5 信息分析

为下一步实施渗透做准备

进准打击,绕过机制,攻击代码

1.6 获取所需

进行攻击,脱库,持续性存在(后门),清理痕迹

1.7 信息整理

整理整个渗透过程中工具,收集的结果信息,漏洞信息

1.8 形成报告

核心内容:

1、提出漏洞存在信息

2、漏洞出现原理

3、通过什么方式可以利用

4、给出整改建议

渗透测试是等保的一部分

2. 等保概述

等级保护

2.1 发展历程

1994 国家首次提出等保概念

1999 针对信息系统保护有法律依据

2007 颁布等保1.0措施

2017 立法《网络安全法》

2019 颁布等保2.0

2.2 等保2.0和等保1.0区别

2.2.1 名称修改

信息安全技术信息等级保护要求修改为信息安全基础网络安全等级保护(和网络安全法一致)

2.2.2 定级对象变化

1.0 针对物理安全,网络,主机,应用,数据安全

2.0 在基础上增加了物联网,云产品,移动互联网等

2.2.3 安全监督结构变化

1、技术上2.0新增物联网等等

2、管理上:制度立项数量更多

2.2.4 等保义务性变化

1.0 可以不做等保,自己负责即可

2.0 尤其国家基础性设备,具有等级保护法律义务

比如基站,必须做等保

2.3 做等保原因

不做等保出问题后,算人祸,需要背负责任但不多,

不做等保,出了问题,用户将承担主要责任,必要时网监部门会直接进行处罚

做等保后出问题,算天灾

做等保后会进行责任分担

完成等保意味着得到公安机关的安全认可,出了问题公安机关会分担责任

为了实现国家安全体系化的建设(国家战略的一步)

2.4 关键性角色

2.4.1 公安机关网监部门

主要承担等级保护过程中的监督检查工作,负责管理测评机构,各测评机构都需要在当地进行备案

网络安全等级保护网
http://www.djbh.net/webdev/web/HomeWebAction.do?p=init

图片.png

2.4.2 测评机构

各省大概分布3-6个公安备案测评机构,主要负责根据当地网监部门的要求开展测评工作

2.4.3 被测评角色

根据网监部门要求,配合等保相关工作

2.4.4 集成商、实施商、安全厂商

被测评企业需要根据整改方案进行修改,大量涉及到安全设备的采购和应用

3. 等保流程

定级备案-----差距评估-----整改建设------等级评测

等保没有证书,但是可以在相应网监部门查询到备案记录

通常需要5个步骤:

1.定级(企业自主定级-专家评审-主管部门审核-公安机关审核)
2.备案(企业提交备案材料-公安机关审核-发放备案证明)
3.测评(等级测评-三级每年测评一次)
4.建设整改(安全建设-安全整改)
5.监督检查(公安机关每年监督检查)

在这里插入图片描述

3.1 定级备案

梳理信息系统情况,确定等级(国家根据业务范围确定)

提定级报告和备案表到当地网监部门

等级分类

图片.png

一级(医院)

二级(金融机构)

三级(云厂商、政府系统)

四级(阿里云)

五级(军工企业)

安全要求

图片.png

对整个公司进行审核

包括管理制度、安全管理机构、人员方面、系统建设和系统运维

企业在做完三级四级等保后,公安机关会经常来检查

3.2 差距评估

测评人员需要提交差距评估报告、整改建议、渗透测试报告

3.3 安全整改

对每个模块都有整改建议

系统安全,网络安全,数据安全

3.4 等级评估

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/28240.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Nginx代理接口访问返回404

Nginx代理接口访问返回404 一、背景 因为不同业务系统间有接口调用,存在跨域问题,为了解决同源策略,需要将接口通过nginx去转发,但是配置完后通过postman请求一直存在访问404的问题。 访问地址:https://a.test.com/n…

元宇宙3D数字虚拟客服打造年轻化、数字化营销新品牌

融合了元宇宙、AI和云计算等技术的虚拟数字人,成为元宇宙数字内容交互的载体,将现实世界中的人与虚拟数字世界的场景、模型及产品链接起来,特别是为电力企业打造的电力元宇宙平台,带来营销宣传多重好处的同时,树立了数…

TOPIAM 社区版 1.0.0 发布,开源 IAM/IDaaS 企业身份管理平台

文章目录 产品概述系统架构功能列表管理端门户端 技术架构后续规划相关地址 ​Hi,亲爱的朋友们,今天是传统 24 节气中的立秋,秋天是禾谷成熟、收获的季节。经过长时间优化和迭代,TOPIAM 企业身份管控平台也迎来了当下的成长和收获…

现代C++中的从头开始深度学习:【5/8】卷积

一、说明 在上一个故事中,我们介绍了机器学习的一些最相关的编码方面,例如 functional 规划、矢量化和线性代数规划。 现在,让我们通过使用 2D 卷积实现实际编码深度学习模型来开始我们的道路。让我们开始吧。 二、关于本系列 我们将学习如何…

第17章-Spring AOP经典应用场景

文章目录 一、日志处理二、事务控制三、参数校验四、自定义注解五、AOP 方法失效问题1. ApplicationContext2. AopContext3. 注入自身 六、附录1. 示例代码 AOP 提供了一种面向切面操作的扩展机制,通常这些操作是与业务无关的,在实际应用中,可…

Netty框架自带类DefaultEventExecutorGroup的作用,用来做业务的并发

一、DefaultEventExecutorGroup的用途 DefaultEventExecutorGroup 是 Netty 框架中的一个类,用于管理和调度事件处理器(EventExecutor)的组。在 Netty 中,事件处理是通过多线程来完成的,EventExecutor 是处理事件的基…

数据结构 二叉树(一篇基本掌握)

绪论 雄关漫道真如铁,而今迈步从头越。 本章将开始学习二叉树(全文共一万两千字),二叉树相较于前面的数据结构来说难度会有许多的攀升,但只要跟着本篇博客深入的学习也可以基本的掌握基础二叉树。 话不多说安全带系好&…

Clickhouse 优势与部署

一、clickhouse简介 1.1 clickhouse介绍 ClickHouse的背后研发团队是俄罗斯的Yandex公司,2011年在纳斯达克上市,它的核心产品是搜索引擎。我们知道,做搜索引擎的公司营收非常依赖流量和在线广告,所以做搜索引擎的公司一般会并行推…

QT图形视图系统 - 使用一个项目来学习QT的图形视图框架 - 终篇

QT图形视图系统 - 终篇 接上一篇,我们需要继续完成以下的效果; 先上个效果图: 修改背景,使之整体适配 上一篇我们绘制了标尺,并且我们修改了放大缩小和对应的背景,整体看来,我们的滚动条会和…

fastadmin自定义键值组件Fieldlist

需求场景: 后台设置前端的固定话费充值金额。编辑时要求能够增删改,给到前端的数据,是要根据金额正序排列,用fastadmin的键值组件(Fieldlist),使用Art-Template模板语法自定义模板。 最终效果如下图所示: …

SpringBoot+MyBatis多数据源配置

1.先在配置文件application.yml中配置好数据源 spring:datasource:type: com.alibaba.druid.pool.DruidDataSourcedb1:driver-class-name: com.mysql.cj.jdbc.Driverusername: rootpassword: rootjdbc-url: jdbc:mysql://192.168.110.128:3306/CampusHelp?useUnicodeyes&…

vscode extension 怎么区分dev prod

开发模式注入环境变量 使用vsode 提供的api

WebRTC | 音视频直播客户端框架

端到端通信互动技术可分解为以下几个技术难点:客户端技术、服务器技术、全球设备网络适配技术和通信互动质量监控与展示技术。 一、音视频直播 音视频直播可分成两条技术路线:一条是以音视频会议为代表的实时互动直播;另一条是以娱乐直播为代…

在工作中使用ChatGPT需要担心泄密问题吗?

​OpenAI的ChatGPT可以通过自动简化繁琐的任务,针对挑战性问题的提供创造性的解决方案来提高员工的生产力。但随着这项技术被整合到人力资源平台和其他工作场所中,它给各个企业带来了巨大的挑战。苹果、Spotify、Verizon和三星等大公司已禁止或限制员工在…

Java分布式微服务1——注册中心(Eureka/Nacos)

文章目录 基础知识注册中心Eureka注册中心与Ribbon负载均衡1、Eureka注册中心2、Eureka的搭建3、Eureka服务注册4、复制服务实例5、拉取服务6、Ribbon负载均衡的流程及Eureka规则调整:7、Ribbon负载均衡饥饿加载 Nacos注册中心1、服务端Nacos安装与启动2、客户端Nac…

【如何构建自己的基于Arduino的Scara 机器人】

【如何构建自己的基于Arduino的Scara 机器人】 1. 概述2. Scara机器人3D模型3. 3D打印机器人零件4. 组装机器人5. SCARA机器人电路图6. 完成装配7. SCARA机器人的工作原理8. 对 SCARA 机器人进行编程 – Arduino 和处理代码9. 总结在本教程中,我们将学习如何构建基于 Arduino …

明年,HarmonyOS不再兼容Android应用!

2023年华为开发者大会,不知道各位老铁们是否观看了,一个震撼的消息就是,首次公开了HarmonyOS NEXT的概念,简而言之就是,这是一款专为开发者打造的预览版操作系统,旨在提供"纯正鸿蒙操作系统"的体…

【前端实习生备战秋招】—HTML 和 CSS面试题总结(三)

【前端实习生备战秋招】—HTML 和 CSS面试题总结(三) 1.行内元素有哪些?块级元素有哪些? 空(void)元素有那些? CSS 规范规定,每个元素都有 display 属性,确定该元素的类型,每个元素…

体验自制免费开源闯关学SQL

文章目录 前言mac安装nodejs启动体验 前言 sql是常用必不可少的一种语言,我们都或有各种各样的学习经历,最近看鱼皮大佬开源了一款自制的闯关学SQL项目,该项目是纯前端语言,不需要太多依赖以及前置知识,直接下载就可以…

pg实现月累计

获取每月累计数据: ​​​ SELECT a.month, SUM(b.total) AS total FROM ( SELECT month, SUM(sum) AS total FROM ( SELECT to_char(date("Joinin"),YYYY-MM) AS month , COUNT(*) AS sum FROM "APP_HR_Staff_Basic_Info" GROUP BY month ) …