丁锋大连理工大学博士中国产业安全研究中心博士后课程要点信息系统常见的安全问题第一部分信息系统防护技术与整改实施2020/3/102信息系统安全等级保护第二部分高校网站频遭攻击据瑞星“云安全”系统统计,仅2012年5月份就有4,368,100人次网民遭到网页挂马攻击,在瑞星截获的615,494个挂马网址中,教育类的网站就高达30%以上,诸如山东交通学院、华中师范大学考研网、中南大学商学院、华中农业大学普通本科招生网、北航附中、上海市三林中学等网站都频繁遭遇挂马。感染病毒/蠕虫/木马程序/恶意代码等、未授权访问或拒绝服务攻击(DOS)、网页篡改等三方面是校园网安全威胁重点。2020/3/103信息系统安全等级保护信息系统常见的安全问题2020/3/104一、系统与软件二、网络与通讯三、物理环境信息系统安全等级保护信息系统常见的安全问题一、系统与软件典型问题1:获取文件和源代码信息获取重要信息2020/3/105信息系统安全等级保护信息系统常见的安全问题一、系统与软件典型问题2:上传木马页面2020/3/106控制服务器信息系统安全等级保护信息系统常见的安全问题一、系统与软件典型问题3:页面被篡改2020/3/107信息系统安全等级保护发布信息混淆视听信息系统常见的安全问题一、系统与软件典型问题4:获取系统控制权2020/3/108获取管理员用户名/口令信息系统安全等级保护信息系统常见的安全问题一、系统与软件典型问题5:默认用户名/口令、弱口令,口令猜解(瑞星)中国用户最常用的十大简单密码是:abc123、123456、xiaoming、12345678、iloveyou、admin、qq123456、taobao、root、wang1234。(360)国内网民常用的25个弱密码包括:000000、111111、11111111、112233、123123、123321、123456、12345678、654321、666666、888888、abcdef、abcabc、abc123、a1b2c3、aaa111、123qwe、qwerty、qweasd、admin、password、p@ssword、passwd、iloveyou、5201314。(360)国外网民常用的25个弱密码包括:password、123456、12345678、qwerty、abc123、monkey、1234567、letmein、trustno1、dragon、baseball、111111、iloveyou、master、sunshine、ashley、bailey、passw0rd、shadow、123123、654321、superman、qazwsx、michael、football。2020/3/109信息系统安全等级保护信息系统常见的安全问题一、系统与软件典型问题6:扫描器发现的系统安全补丁漏洞2020/3/1010系统遭受攻击/感染病毒信息系统安全等级保护信息系统常见的安全问题一、系统与软件典型问题7:数据库没有启用网络传输和监听程序的强制加密2020/3/1011数据的部分内容因介质失窃或丢失而造成损失传输都是明文,包括密码、数据库内容信息系统安全等级保护信息系统常见的安全问题一、系统与软件典型问题8:数据库没有开启日志审计功能审计系统能对网络安全进行实时监控。及时发现整个网络动态,发现网络入侵和违规行为。忠实记录,提供取证手段。2020/3/1012信息系统安全等级保护信息系统常见的安全问题一、系统与软件典型问题9:数据库安全配置默认攻击者利用数据库平台软件的漏洞将普通用户的访问权限提升为管理员的特权。登录账户易被篡改,获取数据信息。2020/3/1013信息系统安全等级保护信息系统常见的安全问题二、网络与通讯典型问题1:非授权终端可以随意接入网络2020/3/1014外来终端随意接入IP&MAC未绑定闲置端口未关闭无内网管理系统······信息系统安全等级保护给恶意攻击者入侵系统提供便利信息系统常见的安全问题二、网络与通讯典型问题2:网络中截获通讯数据2020/3/1015获取重要数据,甚至用户密码信息系统安全等级保护信息系统常见的安全问题二、网络与通讯典型问题3:没有专用安全审计系统2020/3/1016无法追查安全事件信息系统安全等级保护信息系统常见的安全问题二、网络与通讯典型问题4:没有部署相应IDS设备2020/3/1017无法发现各种攻击企图、攻击行为或者攻击结果信息系统安全等级保护信息系统常见的安全问题二、网络与通讯典型问题5:没有根据各部门的工作职能、重要性和涉及信息的重要程度等因素划分不同子网或网段2020/3/1018易传播蠕虫病毒或遭受ARP攻击信息系统安全等级保护信息系统常见的安全问题二、网络与通讯典型问题6:所采用的身份鉴别单一2020/3/1019单一口令机制认证信息截取网络数据流窃听穷举尝试字典攻击窥探信息系统安全等级保护信息系统常见的安全问题二、网络与通讯典型问题7:未实现设备特权用户的权限分离2020/3/1020普通用户特权信息最少的服务+最小的权限=最大的安全信息系统安全等级保护信息系统常见的安全问题二、网络与通讯典型问题8:安全设置全部使用默认设置,审核策略未做设置,未设置账户登陆失败次数,密码复杂性,时效性要求。2020/3/1021高风险信息系统安全等级保护信息系统常见的安全问题二、网络与通讯典型问题9:无专业的流量管理和流量控制设备2020/3/1022信息系统安全等级保护信息系统常见的安全问题三、物理环境典型问题1:机房缺乏备用的柴油发电机和冗余市电供电线路2020/3/1023一旦停电设备将无法运行信息系统安全等级保护信息系统常见的安全问题三、物理环境典型问题2:关键设备未采用静电消除器等装置2020/3/1024设备机柜上容易产生静电信息系统安全等级保护信息系统常见的安全问题三、物理环境典型问题3:机房本身没有防雷接地措施2020/3/1025信息系统安全等级保护雷击对机房造成损害信息系统常见的安全问题三、物理环境典型问题4:机房部分区域工作照明不符合要求2020/3/1026灯光亮度不够,导致操作不便信息系统安全等级保护信息系统常见的安全问题三、物理环境典型问题5:无监控报警系统2020/3/1027无法及时报警并第一时间采取措施信息系统安全等级保护信息系统常见的安全问题三、物理环境典型问题6:机房进出控制措施不到位2020/3/1028无法避免人为破坏信息系统安全等级保护信息系统常见的安全问题三、物理环境典型问题7:机房物理位置选择位于建筑物顶层2020/3/1029日积月累容易造成屋顶漏水,影响设备正常运行机房安装强电、弱电线槽和管线存在安全隐患信息系统安全等级保护信息系统常见的安全问题三、物理环境典型问题8:没有对重要设备和磁介质实施电磁屏蔽2020/3/1030外界电磁干扰影响设备正常运行信息系统安全等级保护信息系统常见的安全问题三、物理环境典型问题9:机房不满足标准温、湿度要求2020/3/1031信息系统安全等级保护问题分析系统安全设计存在缺陷系统开发人员安全意识不足运维人员对安全标准内容不熟悉缺少发现问题的手段安全管理不到位······2020/3/1032信息系统安全等级保护等级保护建设实施目标通过落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,提高信息系统安全管理水平,增强安全保护能力,减少安全隐患和安全事故明显,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益。2020/3/1033管理制度建设技术措施建设落实各项基本要求提高安全管理水平增强安全保护能力减少安全隐患事件信息系统安全等级保护第二级信息系统建设整改目标第二级信息系统:经过安全建设整改,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。2020/3/1034信息系统安全等级保护第三级信息系统建设整改目标第三级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。2020/3/1035信息系统安全等级保护依据《信息系统安全等级保护基本要求》落实信息安全责任制,建立并落实各类安全管理制度。落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。2020/3/1036信息系统安全等级保护2020/3/1037指标类技术/管理层面类数量项数量S类(3级)A类(3级)G类(3级)小计小计安全技术物理安全1181032网络安全106733主机安全313732应用安全522931数据安全21038安全管理安全管理制度N/A311安全管理机构520人员安全管理516系统建设管理1145系统运维管理1360合计73类290项信息系统安全等级保护物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。物理安全具体包括:10个控制点物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。2020/3/1038信息系统安全等级保护2020/3/1039信息系统安全等级保护物理位置的选择高层、地下室物理访问控制基本出入控制分区域管理在机房中的活动电子门禁防盗窃和防破坏监控报警系统防雷击设备防雷防火自动消防系统区域隔离措施防静电主要设备防静电地板电力供应主要设备冗余/并行线路备用供电系统电磁防护接地防干扰电磁屏蔽防水和防潮温湿度控制基本防护能力存放位置、标记标识建筑防雷、机房接地灭火设备、自动报警关键设备稳定电压、短期供应线缆隔离2020/3/1040物理位置选择物理访问控制防盗窃和防破坏防雷击、防火、防水和防潮、防静电、温湿度控制电力供应信息系统安全等级保护网络安全主要关注的方面包括:网络结构、网络边界以及网络设备自身安全等。网络安全具体包括:7个控制点结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。2020/3/1041信息系统安全等级保护2020/3/1042结构安全关键设备冗余空间主要设备冗余空间访问控制访问控制设备(用户、网段)应用层协议过滤拨号访问限制会话终止安全审计审计报表边界完整性检查非授权设备私自外联子网/网段控制核心网络带宽整体网络带宽重要网段部署路由控制带宽分配优先级端口控制最大流量数及最大连接数防止地址欺骗审计记录的保护定位及阻断入侵防范记录、报警恶意代码防范网络边界处防范网络设备防护组合鉴别技术特权用户的权限分离日志记录内部的非法联出检测常见攻击基本的登录鉴别2020/3/1042信息系统安全等级保护2020/3/1043结构安全访问控制安全审计边界完整性检查入侵防范恶意代码防范网络设备防护信息系统安全等级保护主机系统安全是包括服务器、终端、工作站等在内的计算机设备在操作系统及数据库系统层面的安全。主机安全具体包括:7个控制点身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制。2020/3/1044信息系统安全等级保护2020/3/1045身份鉴别访问控制安全策略管理用户的权限分离特权用户的权限分离安全审计审计报表剩余信息保护空间释放及信息清除组合鉴别技术敏感标记的设置及操作审计记录的保护入侵