搜索
安全运营讲师姓名机构名称版本:4.0课程内容2安全运营知识域知识子域安全运维业务连续性管理灾难备份内容安全大数据安全知识子域:安全运维安全运维管理对象了解安全运维的作用及主要对象;漏洞评估了解安全漏洞的概念和产生的原因;理解漏洞管理的重要性及漏洞扫描、漏洞评估等相关概念;安全补丁了解补丁的基本概念;了解补丁分类及修复时应注意的问题;理解补丁管理的主要步骤;3安全运维的作用及对象安全运维作用安全运维是信息系统运维工作的重要组成部分,同时也是组织机构信息安全保障的基础。安全运维对象基础设施IT设备系统与数据管理工具相关人员4安全漏洞的概念什么是安全漏洞(Vulnerability)也被称为脆弱性,计算机系统天生的类似基因的缺陷,在使用和发展过程中产生意想不到的问题(冯•诺依曼)漏洞是存在于评估对象(TOE)中的,在一定的环境条件下可能违反安全功能要求的弱点(ISO/IEC15408)安全漏洞的范畴漏洞本身随着信息技术的发展而具有不同的含义与范畴基于访问控制的定义逐步发展到涉及系统安全流程、设计、实施、内部控制等全过程的定义5漏洞的理解从生命周期的角度出发,信息技术、信息产品和信息系统在需求、设计、实现、配置、维护和使用等过程中,有意或无意产生的缺陷,这些缺陷一旦被恶意主体所利用,就会造成对信息产品或系统的安全损害,从而影响构建于信息产品或系统之上正常服务的运行,危害信息产品或系统及信息的安全属性。6安全漏洞产生的原因技术原因软件系统复杂性提高,质量难于控制,安全性降低公用模块的使用引发了安全问题经济原因“柠檬市场”效应环境原因从传统的封闭、静态和可控变为开放、动态和难控攻易守难安全缺陷安全性缺陷是信息系统或产品自身“与生俱来”的特征,是其的固有成分7安全漏洞的分类分类的目的准确的区分和描述不同的漏洞有助于漏洞的发布、存储和查询漏洞分类实例NVD:代码注入等21种类型CNNVD:根据漏洞形成分成22种类型……8漏洞管理的重要性为什么需要漏洞管理漏洞是信息系统中必然存在的安全问题,对漏洞进行管理是保障信息系统安全的重要工作漏洞管理工作漏洞扫描漏洞评估9安全补丁安装补丁是漏洞消减的技术手段之一及时安装有效补丁可避免约95%的信息安全损失补丁安装中需要注意的问题:可靠来源补丁测试备份及应急措施10安全补丁的分类从文件类型以源代码形式存在以二进制形式存在从内存角度文件补丁(冷补丁)内存补丁(热补丁)11补丁管理的主要步骤基本意义有效的补丁管理程序能够确保系统安装当前最新的补丁。主要步骤评估补丁(较为重要)测试补丁(较为关键)批准补丁(常与变更管理联动)部署补丁(人工、自动)验证补丁(伴随跟进的过程)12知识子域:安全运维安全审计理解网络安全审计的概念及审计的对象;理解网络安全审计的基本类型与功能;掌握网络安全审计的范畴及有效实施方法;13网络安全审计概念14什么网络安全审计按照一定的安全策略,利用记录系统活动和用户活动等信息进行检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程审计目的针对事后认定违反安全规则行为进行详细分析,重点检测违反安全规则、准确发现系统发生的事件以及对事件发生的事后影响。网络安全审计的基本要素及类型15基本要素控制目标安全漏洞控制措施控制测试基本类型系统级审计应用级审计用户级审计安全审计的作用和目标安全审计的作用和目标1)记录系统被访问的过程以及系统保护机制的运行状态;2)发现试图绕过保护机制的行为;3)及时发现用户身份的变化;4)报告并阻碍绕过保护机制的行为并纪录相关过程,为灾难恢复提供信息。安全审计的目标安全审计的目标必须提供足够的信息使得安全人员能够进行风险控制16安全审计的范畴17系统日志审计数据库审计内容安全审计ACB系统日志审计18根据网络安全级别及强度要求,选择记录部分或全部的系统操作。主要目的大量的记录日志信息中找到与系统安全相关的数据,并分析系统运行情况主要任务潜在威胁分析异常行为检测简单攻击探测复杂攻击探测数据库审计19能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。主要目的帮助用户事后生成合规报告、事故追根溯源主要作用多层业务关联审计细粒度数据库审计精准化行为回溯全方位风险控制操作过程回放内容审计20通过采取一定的技术手段,监管网络中不良文本、图片、视频等各类信息的传播行为,以保证网络所传播的各类信息内容的健康性、合法性,提供干净的网络信息环境。主要作用在应用层对信息内容进行审计分析,发现可疑行为并对这些行为采取相应的措施,如记录、报警和阻断等,实现对网络信息内容的检测与控制主要技术网络信息内容的获取网络内容还原分析知识子域:安全运维应急响应理解信息安全事件和应急响应的基本概念理解我国信息安全事件分类、分级方法理解信息安全应急预案的基本作用与响应流程掌握信息安全应急演练的分类与操作流程掌握准备、检测、遏制、根除等应急响应阶段的主要工作内容掌握信息安全应急响应计划编制方法了解计算机取证的概念和目的了解计算机取证的基本步骤21应急响应的概念信息安全事件是指影响一个系统正常工作的情况。这里的情况包括主机范畴内的问题,也包括网络范畴内的问题,例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。应急响应:组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施。《GB/T24363-2009信息安全应急响应计划规范》22信息安全事件分类分级分类信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件7个基本类别分级参考要素:信息系统的重要程度、系统损失和社会影响四级•特别重大事件(I级)•重大事件(II级)•较大事件(III级)•一般事件(IV级)23系统损失社会影响信息系统的重要程度我国信息安全事件分类方法基本类别有害程序事件:病毒、蠕虫、木马等网络攻击事件:DOS、后门攻击、扫描、钓鱼等信息破坏事件:信息被篡改、假冒、窃取等信息内容安全事件:危害国家安全、社会稳定等设备设施故障:软硬件自身故障和人为非技术破坏等灾害性事件:自然灾害、战争等其他信息安全事件:不能归为以上6个类别的事件24我国信息安全事件分级方法25我国信息安全事件分级方法GB/Z2098626特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:•会使特别重要信息系统遭受特别严重的系统损失•产生特别重大的社会影响重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:•会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失•产生重大的社会影响较大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:•会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失,一般信息系统遭受特别严重的系统损失•产生较大的社会影响一般事件是指不满足以上条件的信息安全事件,包括以下情况:•会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失•产生一般的社会影响特别重大事件重大事件较大事件一般事件1级2级3级4级我国信息安全事件分级方法GB/Z2098627应急响应工作方式应急预案:“凡事预则立,不预则废”在分析网络与信息系统突发事件后果和应急能力的基础上,针对可能发生的重大网络与信息系统突发事件,预先制定的行动计划或应急对策。28类别描述典型示例基础环境类具有通用性的面向机房、场地、设备、通讯等的物理方面的安全保障预案《机房电力中断专项应急预案》《网络中断专项应急预案》《机房灾害专项应急预案》业务系统类面向业务保障的应急预案,以业务类别划分,可依据等级保护进行定级,并指导重点业务系统应急响应《XX业务系统中断专项应急预案》安全事件类某一类安全事件可能影响所有或大多数业务系统,造成较大的损害。依据不同的安全事件编写应对该事件的专项应急预案《蠕虫病毒传播专项应急预案》《网络攻击应急预案》《信息泄露事件应急预案》其他类针对特殊情况可制定专门的应急预案,将此类情况应急预案归为其他类专项应急预案《数据错误处置应急预案》国家政策要求和相关标准《关于加强信息安全保障工作的意见》(中办发『2003』27号文)指出:“信息安全保障工作的要点在于,实行信息安全等级保护制度,建设基于密码技术的网络信任体系,建设信息安全监控体系,重视信息安全应急处理工作,推动信息安全技术研发与产业发展,建设信息安全法制与标准”GB/T24363-2009《信息安全应急响应计划规范》GB/T20988-2007《信息系统灾难恢复规范》GB/Z20985-2007《信息安全事件管理指南》GB/Z20986-2007《信息安全事件分类分级指南》29应急响应组织架构30应急响应领导小组应急响应日常运行小组应急响应技术保障小组应急响应实施小组外部组织或机构实施应急响应计划上级有关单位或部门组织外信息通报应急响应专家小组提供建议咨询信息反馈协助应急提供建议咨询提供建议支持协助应急信息上报信息安全应急演练的操作流程31主要包含以下五个方面:应急事件通报确定应急事件优先级应急响应启动实施应急响应时间后期运维更新现有应急预案应急响应六阶段第一阶段:准备——让我们严阵以待第二阶段:检测——对情况综合判断第三阶段:遏制——制止事态的扩大第四阶段:根除——彻底的补救措施第五阶段:恢复——系统恢复常态第六阶段:跟踪总结——还会有第二次吗32第一阶段—准备工作目标确定重要资产和风险,实施针对风险的防护措施;编制和管理应急响应计划•应急响应计划的编制准备•编制应急响应计划•应急响应计划的测试、培训演练和维护为响应组织和准备相关资源人力资源(应急响应组织)财力资源、物质资源、技术资源和社会关系资源等33准备检测遏制根除恢复跟踪总结第二阶段—检测工作目标检测并确认事件的发生确定事件性质和影响工作内容进行监测、报告及信息收集确定事件类别和级别指定事件处理人,进行初步响应评估事件的影响范围事件通告(信息通报、信息上报、信息披露)34准备检测遏制根除恢复跟踪总结第三阶段—遏制工作目标限制事件影响的范围、损失工作内容启动应急响应计划确定适当的响应方式实施遏制行动要求用户按应急行为规范要求配合遏制工作35准备检测遏制根除恢复跟踪总结第四阶段—根除工作目标避免问题再次发生的长期的补救措施工作内容详细分析,确定原因实施根除措施,消除原因36准备检测遏制根除恢复跟踪总结第五阶段—恢复工作目标恢复系统至正常状态工作内容根据破坏程度决定是在原系统还是备份系统中恢复按恢复优先顺序恢复系统和业务运行37准备检测遏制根除恢复跟踪总结第六阶段—跟踪总结工作目标回顾并汇总所发生事件的相关信息工作内容关注系统恢复以后的安全状况,记录跟踪结果评估损失、响应措施效果分析和总结经验、教训重新评估和修改安全策略、措施和应急响应计划对进入司法程序的事件,进行进一步调查,打击违法犯罪活动编制并提交应急响应报告38准备检测遏制根除恢复跟踪总结计算机取证的概念什么是计算机取证使用先进的技术和工具,按照标准规程全面地检查计算机系统,以提取和保护有关计算机犯罪的相关证据的活动原则合法原则、充分授权原则、优先保护证据原则、全程监督原则取证流程39准备保护提取分析提交计算机取证-准备获取授权取证工作获得明确的授权(授权书)目标明确对取证的目的有清晰的认识工具准备对取证环境的了解及需要准备的工具软件准备对取证的软件进行过