您的位置:360文档中心› 安全基线与配置核查技术与方法概述.

安全基线与配置核查技术与方法概述.

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

3
国内外信息安全评估标准演化视图
4
什么是安全基线
目录
企业面临的困惑与运维挑战 如何建立一套基线管理体系 安全基线检查的技术方法 举例
5
安全运维的困境一
我又不是安全专家,我怎 么知道哪些是安全的? 这么多的设备,难道要我 一台一台手工来查吗?
漏洞、配置、端口,进程、 文件,账号口令,这些都 怎么查啊?
目标业务系统
支持业务所需要的支撑系统及应用软件,例如: Tomcat、weblogic、IIS、Apache、Oracle、 Mysql
操作系统及一些设备,例如:Windows Linux、交换路由设备、防火墙设备
安全基线与漏洞的区别
相同点
同属于扫描类产品,同属主动安全范畴,主动安全的核心是 弱点管理,弱点有两类: •漏洞:系统自身固有的安全问题,软硬件BUG •配置缺陷:也叫暴露,一般是配置方面的错误,并会被攻击者利用
安全管理
系统建设管理
系统运维管理
安全基线与配置核查
安全基线(BaseLine)是保持信息系统安全的 机密性、完整性、可用性的最小安全控制,是系 统的最小安全保证,最基本的安全要求。 安全基线包含配置核查,是人员、技术、组织、 标准的综合的最低标准要求,同时也还涵盖管理 类和技术类两个层面。 配置核查是业务系统及所属设备在特定时期内, 根据自身需求、部署环境和承载业务要求应满足 的基本安全配置要求合集。
不同点
来源不同 • 漏洞:系统自身固有的安全问题,软硬件BUG,是供应商的 技术问题,用户是无法控制的,与生俱来的 • 配置缺陷:配置是客户自身的管理问题,配置不当,主要包括 了账号、口令、授权、日志、IP通信等方面内容 检查方式不同 漏洞:黑盒扫描 配置缺陷:白盒扫描
安全基线能给烟草用户带来什么
•能够及时发现 当前业务应用 系统所面临的 安全问题并可 以提供有效的 解决办法 • 可以成为用户 对业务系统进 行等级合规的 有力检查和合 规工具,出具 符合国家局要 求的合规检查 报告 • 依据等保和 “三全”的要 求进行自动化 检查(71个指 标项的检查要 求,35个技术 指标,36个管 理类,共计 380项)
何处开始,有什么工具 能帮助我吗?
安全运维的困境二
老大,这是上个月的报告。 系统有X个高危漏洞,Y个配置问题。
• 当前的系统到底是安全还是不安全 呢? • 最近一次的安全整改到底有没有效 果呢? • 安全状况同比和环比有什么变化呢? • 以上问题我们通过什么方式验证呢?
问题分析
何处下手,怎 么查 怎么衡量安全 与否 如何呈现安全 效果
• 如何保证 效率 • 如何保证 质量
• 安全业务 数据价值 • 为安全决 策提供支 持
• 体系安全 工作效果 • 安全成果 的可视化
我们忽略了什么
为了保证业务安全,信息系统及数 据安全,我们部署了很多安全设备 ,防火墙、入侵检测、网络设备、 审计系统、安全平台等等,那么这 目前我们的关注点是保证业务安全、数 据安全,但所有系统平台的支撑最终还 是落实到设备上,设备安全了,业务支 撑才安全
物理安全
网络安全
安全技术 主机安全
应用安全
数据安全 及备份恢复
物理位置的选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应 电磁防护 结构安全 访问控制 安全审计 入侵防范 恶意代码防范 网络设备防护 身份鉴别 访问控制 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 身份鉴别 访问控制 安全审计 剩余信息保护 通信完整性 通信保密性 抗抵赖 软件容错 资源控制 数据完整性 数据保密性 备份和恢复
些安全设备的自身安全谁来管理呢
,端口、进程、帐号安全? 数据库、中间件是支持业务的重要 组件,是不是都按照默认配置,使 用出厂设置,这些配置是否适用于 我们企业的安全要求,如何发现潜 在的风险呢?
谁来关注它 们的安全
-目前我们的关注点是保证业务安全、数 据安全,但所有系统平台的支撑最终还 是落实到设备上,设备安全了,业务支 撑才安全
安全基线与配置核查 技术与方法
公安部第一研究所
2014年5月
什么是安全基线
目录
企业面临的困惑与运维挑战 如何建立一套基线管理体系 安全基线检查的技术方法 举例
2
安全基线的发展历程
• 最早的安全基线
– 安全基线最早可以追溯到上个实际的六十年代《美国军服保密制度》,九 十年代初期等级保护立法成为国家法律。
安全管理制度
安全管理机构
人员安全管理
Leabharlann Baidu
管理制度 制订和发布 评审和修订 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 人员录用 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 系统定级 安全方案设计 产品采购和使用 软件开发 工程实施 测试验收 系统交付 系统备案 等级测评 环境管理 资产管理 介质管理 设备管理 监控管理和安全管理中 心 网络安全管理 系统安全管理 恶意代码防范管理 计算机应用管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理
• 1991年欧共体发布了信息安全评估标准(ITSEC),1999年正式列为 国际标准系列
– ITSEC主要提出了资产的CIA三性:机密性、完整性、可用性的安全属性 ,对国际信息安全研发产生了重要影响,并一直沿用至今。
• 国内的安全基线发展
– 1994年,我国首次颁布《中华人民共和国计算机信息系统安全保护条例》 – 1999年推出《计算机信息系统安全保护等级划分准则》 – 2007年,《信息安全等级保护管理办法》,GB/T22239-2008“基本要求 ”和GB/T28448-2012“测评要求” – 2010年,公安部发布《关于推动信息安全等级保护测评体系建设和开展等 级测评工作的通知》,觉得在全国部署开展信息安全等保测评工作。
什么是安全基线
目录
企业面临的困惑与运维挑战 如何建立一套基线管理体系 安全基线检查的技术方法 举例
13
什么是安全基线工具
安全基线 的根本目的是保障业务系统的安全,使业务系统的风险维持在可控范围内,为了
避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险,而制定安全检 查标准,并且采取必要的安全检查措施,使业务系统达到相对的安全指标要求。安全基线 检查工具是采用技术手段,自动完成安全配置检查的产品,并提供详尽的解决方案。
相关文档
最新文档