等保2.0高風險判定系列 | 入侵防范
作者:啟明星辰
2020-08-27
在網絡安全等級保護基本要求中���,“入侵防范”提到了22次���,從等保一級到四級均有相關內容的要求����。在測評高風險判定指引中�����,“入侵防范”提到了9次�,涵蓋了安全區域邊界和安全計算環境中的多個方面�。由此可見入侵防范在等保建設中所承擔的重要角色���。
什么是入侵防范?
入侵防范是一種可識別潛在的威脅并迅速地做出應對的網絡安全防范辦法����。入侵防范技術作為一種積極主動的安全防護技術����,提供了對外部攻擊�、內部攻擊和誤操作的實時保護����,在網絡系統受到危害之前攔截和響應入侵����。
常見的幾種入侵防范技術
● 基于特征簽名的入侵防范技術:基于特征簽名的入侵防范技術就是在網絡通信報文中匹配特征簽名以查找已知的漏洞攻擊或惡意程序�。
● 基于白名單的入侵防范技術:基于白名單的入侵防范技術就是通過對網絡通信流量的學習建立白名單和流量基線模型��,然后通過模型識別網絡攻擊或違規操作��。
● 基于威脅情報的入侵防范技術:基于威脅情報的入侵防范技術就是將網絡通信流量中采集的數據同威脅情報數據匹配來識別漏洞攻擊或惡意程序����。
● 基于沙箱的入侵防范技術:基于沙箱的入侵防范技術���,就是通過模擬各類虛擬資源���,讓疑似惡意代碼或病毒文件的可疑行為在虛擬環境中充分展開��,通過對運行過程中的行為信息提取判斷來識別漏洞攻擊或惡意程序����。
● 基于EDR的入侵防范技術:基于EDR(Endpoint Detection and Response��,終端檢測和響應)的入侵防范技術�,通過記錄終端和網絡事件(例如用戶�����、文件��、進程��、注冊表�����、內存和網絡事件)�����,并把這些信息保存在終端或者集中數據庫中����,然后使用已知的攻擊指示器���、行為分析和機器學習技術識別攻擊威脅�,并對這些威脅做出快速響應�����。
高風險判定指引中的入侵防范
● 安全區域邊界
①對應要求:應在關鍵網絡節點處檢測�、防止或限制從外部發起的網絡攻擊行為��。
判例內容:關鍵網絡節點(如互聯網邊界處)未采取任何防護措施����,無法檢測����、阻止或限制互聯網發起的攻擊行為�,可判定為高風險�。
②對應要求:應在關鍵網絡節點處檢測��、防止或限制從內部發起的網絡攻擊行為�。
判例內容:關鍵網絡節點(如核心服務器區與其他內部網絡區域邊界處)未采取任何防護措施��,無法檢測��、阻止或限制從內部發起的網絡攻擊行為�,可判定為高風險��。
● 安全計算環境
①對應要求:應關閉不需要的系統服務����、默認共享和高危端口�。
判例內容:網絡設備��、安全設備�、操作系統等存在多余系統服務/默認共享/高危端口存在���,且存在可被利用的高危漏洞或重大安全隱患��,可判定為高風險���。
②對應要求:應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制����。
判例內容:通過不可控網絡環境遠程管理的網絡設備��、安全設備�����、操作系統�����、數據庫等���,未采取技術手段對管理終端進行限制�,可判定為高風險����。
③對應要求:應能發現可能存在的已知漏洞�,并在經過充分測試評估后���,及時修補漏洞��。(網絡設備��、安全設備�����、主機設備等已知重大漏洞修補)
判例內容:對于一些互聯網直接能夠訪問到的網絡設備����、安全設備�����、操作系統��、數據庫等�����,如存在外界披露的重大漏洞�����,未及時修補更新��,無需考慮是否有POC攻擊代碼�,可判定為高風險���。
④對應要求:應能發現可能存在的已知漏洞�,并在經過充分測試評估后��,及時修補漏洞����。(網絡設備����、安全設備�����、主機設備等測試發現漏洞修補)
判例內容:通過驗證測試或滲透測試能夠確認并利用的���,可對網絡設備�、安全設備����、操作系統�����、數據庫等造成重大安全隱患的漏洞(包括但不限于緩沖區溢出���、提權漏洞��、遠程代碼執行���、嚴重邏輯缺陷�、敏感數據泄露等)��,可判定為高風險��。
⑤對應要求:應提供數據有效性檢驗功能�,保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求���。
判例內容:由于校驗機制缺失導致的應用系統存在如SQL注入�、跨站腳本�����、上傳漏洞等高風險漏洞��,可判定為高風險��。
⑥對應要求:應能發現可能存在的已知漏洞����,并在經過充分測試評估后�,及時修補漏洞��。(應用系統已知重大漏洞修補)
判例內容:應用系統所使用的環境��、框架�、組件等存在可被利用的高風險漏洞�����,導致敏感數據泄露���、網頁篡改�、服務器被入侵等安全事件的發生�����,可能造成嚴重后果的�,可判定為高風險�。
⑦對應要求:應能發現可能存在的已知漏洞����,并在經過充分測試評估后�,及時修補漏洞�。(應用系統測試發現漏洞修補)
判例內容:如應用系統的業務功能(如密碼找回功能等)存在高風險安全漏洞或嚴重邏輯缺陷��,可能導致修改任意用戶密碼�����、繞過安全驗證機制非授權訪問等情況����,可判定為高風險�����。
啟明星辰安全解決方案
● 安全產品側
①在互聯網邊界區部署下一代防火墻和入侵防御���,在核心交換區部署高級威脅檢測�����,檢測阻止互聯網發起的攻擊行為��,達到外部網絡攻擊防御的效果�����。
②在核心交換區部署入侵檢測���,內部網絡區域邊界處部署邊界防火墻�����,對內部發起的攻擊行為進行檢測���、阻斷或限制�,達到內部網絡攻擊防御的效果��。
③在安全管理中心部署終端管理服務器對通過網絡進行管理的管理終端進行限制���,達到管理終端管控的效果����。
④在安全管理中心部署漏洞掃描����,定期對設備進行漏掃��,達到漏洞發現及修補的效果��。
⑤在服務器區部署Web防火墻�����,防止因應用導致的敏感數據泄露����、網頁篡改和服務器被入侵等安全事件���,達到應用系統入侵防范的效果����。
● 安全服務側
①啟明星辰安全加固服務結合客戶業務實際對不必要的操作系統服務進行處置減少安全隱患����,降低安全風險�����。
②啟明星辰漏洞掃描服務和滲透測試服務可以發現系統和應用中可能存在的漏洞并給出專業的修補建議并修補����,降低安全隱患��。
③啟明星辰代碼審計服務可以發現應用系統由于邏輯設計不嚴謹和編碼不規范導致的漏洞并給出專業的代碼修改建議�����,提升應用系統的安全性���。
方案收益
①從網絡����、終端���、系統��、應用等多個維度實現了入侵防范�����,有效降低了來自內部和外部遭受網絡入侵的安全風險���;
②即滿足了網絡安全等級保護的要求�����,同時避免了測評高風險項的出現�,為順利通過網絡安全等級保護測評奠定了堅實的基礎���;
③滿足了網絡安全法中關于防范網絡攻擊���、網絡入侵等內容的相關規定�����,保障信息系統建設的安全合規���。
京公網安備11010802024551號