网络安全等级基础培训资料

微信扫码，打开到小程序

网络安全基础培训资料 等保 悍匪若干 要搞定钞票，我们需要…… 要获取到信息，我们仅需要…… 一个商业间谍或黑客 一个 U 盘 不可估量的敏感数据和客户信息 引 言 我们的信息比我们的钞票更脆弱 信息安全基础概念薄弱 过于依赖厂家！！！ 01 信息安全基本概念 02 常见的网络安全产品详解 03 国标 22239 技术要求详解 CONTENTS 目 录 信息安全基本概念 01 A 定 义 B 等 级 划 分 、 定 级 C 国 标 2 2 2 3 9 基 本 概 念 C 等 保 2 & 3 级 相 关 产 品 什 么 是 信 息 安 全 ？ 保密性 完整性 可用性 信息资产 安全漏洞 被黑客利用 实施攻击 定 义 信 息 安 全 等 级 保 护 的 定 义 信息安全等级保护制度是我国信息安全工作保障的基本制度和基本国策，是开展信息安全工作的基本方法，是促进信息化、维护国家信 息安全的基本保障。 等 级 划 分 、 定 级 等级 对象 侵害客体 侵害程度 监管程度 第一级 一般系统 公民、法人和其他组 织合法权益 损害 自主保护 第二级 公民、法人和其他组 织合法权益 严重损害 指导 社会秩序和公共利益 损害 第三级 重要系统 社会秩序和公共利益 严重损害 监督检查 国家安全 损害 第四级 社会秩序和公共利益 特别严重损害 强制监督检查 国家安全 严重损害 第五级 极端重要系统 国家安全 特别严重损害 专门监督检查 非涉及工作秘密、商业秘密、敏感信息的办公 系统和管理系统等。 省级门户网站和地市级及以上重要的业务网站需 要定为三级，地市级及以上内部涉及到工作秘密、敏 感信息、重要信息的办公系统。 第二级 第三级 《信息安全技术—网络安全等级保护基本要求》（ GB/T 22239- 2019 ）规定了网络安全等级保护的第一级到第四级等级保护对象的安全通 用要求和安全扩展要求。 国 标 22 2 3 9 基 本 概 念 安全物理环境 安全通信传输 安全区域边界 安全计算环境 安全管理中心 技术要求 管理要求 安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全运维管理 等保 2 级相关产品 等保 3 级相关产品  防火墙  日志审计系统  防病毒  备份一体机  WEB 应用防护  数据库审计  SSL VPN  运维堡垒机  终端准入控制系  漏洞扫描系统  防火墙  日志审计系统  运维堡垒机  防病毒  备份一体机  数据库审计  WEB 应用防护  态势感知探针 + 感知平台  SSL VPN  终端准入控制  漏洞扫描系统  邮件安全网关 等 保 2 级 & 等 保 3 级 相 关 产 品 常见的网络安全产品详解 02 A 网 络 安 全 B 数 据 及 应 用 安 全 C 安 全 管 理 01 02 03 网络安全 防火墙 防病毒软件 网络准入系统 SSL VPN 安全管理 数据及应用安全 产 品 分 类 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、 外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。 防火墙基本定义 网络安全的屏障 防火墙能够对经过的网络存取 和访问进行记录，同时提供网 络使用数据，当用户出现可疑 动作时，防火墙便会发挥它的 监控审计作用、发出报警，并 提供网络被攻击的详细信息。 防止信息外泄 网 络 安 全 — — 防 火 墙 防火墙通过划分内部网络，可 以实现重点网段的隔离，从而 将内外部网络隔离开来，最终 有效防止内部信息外泄。 监视、检查进出的流量，最终 过滤掉不安全的服务、降低被 侵害的风险。 监控审计 请看 VCR 网 络 安 全 — — 防 火 墙 防火墙动画演示 网 络 安 全 — — 防 病 毒 软 件 防病毒软件是一种计算机程序，可进行检测、防护，并采取行动来解除或删除恶意软件程序，如病毒和蠕虫。 产品概述 防病毒软件的防护重点在于病毒过滤，其具备的功能 基本围绕着识别和阻断病毒而设计，如对不同类型文 件病毒的识别、病毒特征库的快速更新等 防病毒软件 防火墙的防护重点在于控制非法授权访问，能 对经过设备的数据流进行细粒度且严格的控制，并识 别多种类型的攻击行为，除此之外，还能对内部不同 业务网络进行安全等级划分和隔离，实施内网管控 防火墙 VS 根据用户身份严格控 制用户对内部网络访问范围， 确保企业内网资源安全。 网络准入概念 通过 WEB 方式对企业内部网络的安全管理，强化网络管理员对计算机 终端从准入－注册－监控－修复的全周期的安全管理。 NO.1 用户身份认 证 通过身份认证的用户还 必须通过终端完整性检查，查 看是否具有潜在安全隐患。 NO.2 终端完整性检查 对通过身份认证但不满足安 全检查的终端不予以网络接入，并 强制引导移至隔离修复区 NO.3 终端安全隔离与修补 能及时发现并阻止未授权 终端对内网资源的访问，降低非 法终端对内网的安全威胁 NO.4 非法终端网络阻 断 支持几乎所有的网络接入 强制技术，实现从网络层到系 统层接入的全面、深度控制 NO.5 接入强制技术 网 络 安 全 — — 网络准入系统 网 络 安 全 — — SSL V PN 在公用网络上建立专用网络，进行加 密通讯。在企业网络中有广泛应用。 VPN 网关通过对数据包的加密和数据包目标地 址的转换实现远程访问。 VPN （虚拟专用网 络） SSL 协议位于 TCP/IP 协议与各种应用层 协议之间，为数据通讯提供安全支持。 SSL （数据安全协议） 采用 SSL 协议来实现远程接入的一种新型 VPN 技术。它包括：服务器认证， 客户认证、 SSL 链路上的数据完整性和 SSL 链路上的数据保密性。 SSL VPN USB KEY 认证 CA 认证 动态令牌认证 密码认证 短信认证 …… 01 02 03 网络安全 安全管理 数据及应用安全 数据库审计 备份一体机 邮件安全网关 产 品 分 类 数据库是按照数据结构来组织、在计算机内的、有组织的、可共享的、统一管理的大量数据存储和管理数 据的仓库。它是一个长期存储的集合。 数据库审计以安全事件为中心，以全面审计和精确审计为基础，实时记录网络上的数据库活动，对数据库 操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行实时告警。 ” ” ” ” 数 据 及 应 用 安 全 — — 数 据 库 审 计 数 据 库 数 据 库 审 计 《网络安全法》第二十一条中，明确 要求：“采取监测、记录网络运行状态、 网络安全事件的技术措施，并留存网络日 志不少于六个月”。另在等保 2.0 等国家规 定中对于数据审计也有明确的要求。 实时的数据库运行状态监控：例如 针对数据库访问流量、并发吞吐量、解析 语句量、语句归类模板量、 SQL 语句的 响应速度进行专项的界面分析 03 提供数据库风险告警能力，对于外 部发起的数据库漏洞攻击、恶意的 SQL 注入行为、非法的业务登录、高危的 SQL 操作和批量的数据下载，提供实时的风险 告警。 对数据库访问行为进行周期性对比， 帮助用户快速定位异常点和异常行为，帮 助用户追溯风险来源 数 据 库 审 计 — — 应 用 场 景 及时发现各类数据操作 违规事件或攻击事件 01 安全合规要求 02 实时掌握数据库 运行状况 04 数据违规事件溯源 数 据 及 应 用 安 全 — — 备 份 一 体 机 简单来说备份一体机是一款将备份软件、备份服务器以 及磁盘 ( 存储介质 ) 整合到一个架构中而形成的一个设备，最 终用户可以像操作备份软件一样来操作这个设备。 备份一体机 为应付文件、数据丢失或损坏等可能出现的意外情况， 将电子计算机存储设备中的数据复制到磁盘等大容量存储设 备中。 备份概述 备份 一体机 虚拟镜像转 换功能 数据库备份 功能 虚拟化备份 功能 CDM 数据 管理功能 CDP 系统 卷挂截功能 持续数据保 护 异构环境支 持 支持域内垃圾邮件过滤检测、域内发信行为管控和告警，确保钓鱼邮件、病毒 邮件、垃圾邮件精准拦截，异常发信行为及时发现，以保障邮件系统不受恶意邮件 威胁 01 有效拦截垃圾邮件 02 03 04 05 06 实时过滤病毒邮件 反勒索 防钓鱼 避免经济损失 防内部滥发 邮件正文防泄密 防邮件盗号 数 据 及 应 用 安 全 — — 邮件安全网关 01 02 03 网络安全 安全管理 堡垒机 日志审计系统 态势感知探针 态势感知平台 数据及应用安全 产 品 分 类 · 堡垒机，即在一个特定的网络环境下，为了 保障网络和数据不受来自外部和内部用户的入侵 和破坏，而运用各种技术手段监控和记录运维人 员对网络内的服务器、网络设备、安全设备、数 据库等设备的操作行为，以便集中报警、及时处 理及审计定责。 1. 运维人员的集中账号管理 2. 针对平台中创建的运维用户可以支持静态口令、动态口令、数字证书等多 种认证方式 3. 系统提供基于用户、运维协议、目标主机、运维时间段（年、月、日、周、 时间）等组合的授权功能，实现细粒度授权功能，满足用户实际授权的需求。 实时监控正在运维的信息，对违规操作提供实时告警和阻断 1 2 3 堡 垒 机 的 概 念 身份认证及授权管理 运维人员的事中控制 运维人员的事后控制 1. 对常见协议能够记录完整的会话过程 2. 详尽的会话审计与回放 3. 丰富的审计报表功能 安 全 管 理 — — 堡 垒 机 日志分析 日志转发 日志事件告警 日志报警管理 日志采集 日志检索 日志储存 日志监控 安 全 管 理 — — 日 志 审 计 系 统 日志审计系统是用于全面收集企业 IT 系统中常见的安全设备、网络 设备、数据库、服务器、应用系统、主机等设备所产生的日志（包括运行、 告警、操作、消息、状态等）并进行存储、监控、审计、分析、报警、响 应和报告的系统。 日志审计系统概念 《网络安全等级保护基本要求》（ GB T 22239-2019 ∕ ）中规定：二 到四级需要对网络、主机、应用安全三部分进行日志审计，留存日志需符 合法律法规规定。 日志审计系统应用场景 态势感知探针 • 是一种网络安全设备，用于监控、分析和 报告网络环境中的事件和行为。它通常部 署在网络节点上，以便捕获并分析流经该 点的数据。 网络安全态势感知平台 • 网络安全态势感知系统通常是集合了防病 毒软件、防火墙、入侵监测系统、安全审 计系统等多个数据信息系统，将这些系统 整合起来，对目前的整个网络情况进行评 估，以及预测未来的变化趋势。 安 全 管 理 — — 态势感知探针 + 感知平台 流量监控 协议分析 数据收集与整合 入侵检测与防御 安全报警 高级分析 安全情报 自动化与编排 可视化与报告 安全态势感知平台 通过收集、分析和整合各种来源的安全数据，帮助企业实 时发现异常行为、潜在威胁和攻击模式，并生成警报以供 安全团队采取行动 利用先进的分析技术，识别和应对复杂的网络攻击，例如 针对企业关键资产的高级持续性威胁 支持自动化处理和响应安全事件，通过编排不同的安全工 具和系统，提高安全操作的效率。 可以监控、分析和可视化网络流量数据，从而帮助企业识 别潜在的数据泄漏、恶意活动和其他风险。 可以整合这些不同环境的安全数据，确保企业关键资产在 各种场景下得到有效保护 威胁检测与响应 高级持续性威胁防御 自动化与编排 网络流量监控与分析 云安全与混合 IT 环境保护 提供实时的安全态势感知，使安全团队能够通过可视化界 面了解网络环境的安全状况，并根据最新的威胁情报调整 防御策略。 安全态势感知 安全态势感知平台——应用场景 国标 22239 技术要求详 解 03 A B 通 信 网 络 区 域 边 界 C 物 理 环 境 计 算 环 境 D 管 理 中 心 E 物 理 环 境 物理位置选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应 电磁保护 1 3 2 4 机房位置选择要合理，并做好防水 防潮措施 机房要配置门禁、入侵报警系统、 火灾报警系统 机房地面需采用防静电地板、设备 要可靠接地 机房内需配置 ups ，计算机配电线 缆要留有冗余 物 理 环 境 — — 设 计 内 容 安 全 通 信 网 络 1. 应划分不同的网络区域，为各网络区域 分配地址； 2. 重要网络区域与其他网络区域之间应采 取可靠的技术隔离手段； 网络架构 1. 应采用校验技术或密码技术保证通信 过程中数据的完整性； 通信传输 1. 可基于可信根对通信设备的系统引导 程序、系统程序等进行可信验证，并在 检测到其可信性受到破坏后进行报警。 可验证性 3. 应保证网络各个部分的带宽、设备的业 务处理能力满足业务高峰期需要； 4. 应提供通信线路、关键网络设备和关键 计算设备的硬件冗余，保证系统的可用性。 2. 应采用密码技术保证通信过程中数据 的保密性。 规范内容 设计内容 对应设备 网络架构 应划分不同的网络区域，为各网络区域分配地址 基础级防火墙、路由器、交换机 / 划 分 VLAN 防火墙 重要网络区域与其他网络区域之间应采取可靠的技术隔离手段 重要网络区域与其他网络区域之间部 署了安全设备（如网闸、防火墙）实 现了技术隔离 应保证网络各个部分的带宽、设备的业务处理能力满足业务高峰 期需要 设备性能及带宽冗余空间充足 \ 应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保 证系统的可用性。 通信传输 应采用校验技术或密码技术保证通信过程中数据的完整性； 采用加密技术保证数据的完整性和保 密性 SSL 加密技术 应采用密码技术保证通信过程中数据的保密性。 可验证性 可基于可信根对通信设备的系统引导程序、系统程序等进行可信 验证，并在检测到其可信性受到破坏后进行报警。 网络中部署了可信验证措施 \ 安 全 通 信 网 络 — — 设 计 内 容 1. 应在关键网络节点处对恶意代码及垃圾邮件 进行检测、清除和防护 恶意代码和垃圾邮件防范 1. 应在网络边界、重要网络节点进行安全审计， 并对审计记录进行保护 2. 审计记录应包括事件的日期和时间用户、事 件类理、事件是否成功等 3. 能对远程访问的用户行为、访问互联网的用 户行为等单独进行行为审计和数据分析 安全审计 1. 对边界设备的系统引导程序、系统程序、重 要配置参数和边界防护应用程序等进行可信验 证，并在应用程序的关键执行环节进行动态可 信验证 可信验证 1. 非授权设备访问内部网络应进行管控 2. 内部用户非授权访问外部网络应进行管控 3. 应对无线网络的使用进行管控 边界防护 1. 应启用有效的访问控制策略 2. 应对进出网络的数据流实现基于应用协议和 应用内容的访问控制 访问控制 1. 应在关键网络节点处对内部或外部发起 的网络攻击进行管控 2. 采取技术措施对网络行为进行分析 3. 当检测到攻击行为时，记录并提供报警 入侵防范 安 全 区 域 边 界 规范内容 设计内容 对应设备 边界防护 非授权设备访问内部网络应进行管控 部署终端接入控制系统对终端违规内联行为、外联行为 进行检查、定位和阻断 终端准入控制 内部用户非授权访问外部网络应进行管控 应对无线网络的使用进行管控 无线接入网关实现对终端设备的管理 访问控制 应启用有效的访问控制策略 基础级防火墙、路由器和交换机应启用有效的访问控制 策略 防火墙 应对进出网络的数据流实现基于应用协议和应用内容的访问控制 入侵防范 应在关键网络节点处对内部或外部发起的网络攻击进行管控 对网络流量进行采集和分析，对全网流量实现全网业务 可视化、威胁可视化、攻击与可疑流量可视化等 潜伏威胁探针 + 感知 平台 采取技术措施对网络行为进行分析 当检测到攻击行为时，记录并提供报警 恶意代码 和垃圾邮 件防范 应在关键网络节点处对恶意代码及垃圾邮件进行检测、清除和防护 应配置防火墙及邮件网关，对恶意代码及垃圾邮件进行 检测、清除和防护 防火墙、邮件网关 安全审计 应在网络边界、重要网络节点进行安全审计，并对审计记录进行保 护 网络中部署有综合安全审计设备，审计内容及功能需满 足规范要求 日志审计系统 审计记录应包括事件的日期和时间用户、事件类理、事件是否成功 等 能对远程访问的用户行为、访问互联网的用户行为等单独进行行为 审计和数据分析 可信验证 对边界设备的系统引导程序、系统程序、重要配置参数和边界防护 应用程序等进行可信验证，并在应用程序的关键执行环节进行动态 可信验证 系统设备部署了可信验证措施 \ 安 全 区 域 边 界 — — 设 计 内 容 安 全 计 算 环 境 01 身份鉴别 02 访问控制 03 安全审计 04 入侵防范 05 恶意代码防范 06 可信验证 07 数据完整性 09 数据备份恢复 08 数据保密性 10 剩余信息保护 11 个人信息保护 01 身份鉴别 1. 应对登录的用户进行身份标识和鉴别 2. 应采用口令、密码技术、生物技术等两种 或两种以上组合的鉴别技术对用户进行身份 鉴别，且其中一种鉴别技术至少应使用密码 技术来实现。 02 访问控制 1. 应对登录的用户分配账户和权限，及时删 除或停用多余的账户，管理用户仅授予所需 的最小权限 2. 应由授权主体（管理用户）配置访问控制 策略，访问控制策略规定主体对客体（用 户）的访问规则 3. 应对重要主体和客体设置安全标记，并控 制主体对有安全标记信息资源的访问 03 安全审计 1. 应启用安全审计功能，审计覆盖到每个用 户，对重要的用户行为和重要安全事件进行 审计，并对审计记录进行保护 2. 应对审计进程进行保护，防止未经授权的 中断。 04 入侵防范 1. 系统内未安装多余的软件和组件 2. 应关闭不需要的系统服务、默认共享和 高危端口 3. 应用系统应具备数据有效性检验功能 4. 能够检测到对重要节点进行入侵的行为， 并在发生严重入侵事件时提供报警 05 恶意代码 防范 1. 应安装及时识别入侵和病毒行为，并将 其有效