1、网络与信息安全基础知识安徽移动网络部2013年5月(一)基础知识1、网络与信息安全概念及重要原则2、通信网络安全防护要求(交换、传输、短彩信等重要系统)3、网络安全防护知识(系统、服务器、终端)(二)规章制度1、中国移动网络与信息安全总纲2、安徽移动网络与信息安全相关管理制度3、安全技术规范引言作为认证凭证的密码安全吗?中国版弱密码 TOP25abc123a1b2c3aaa111123qweqwertyqweasdadminpasswordpsswordpasswdiloveyou520131400000011111111111111112233123123123321123456123456
2、78654321666666888888abcdefabcabc 不在弱密码中?密码字典 通常人们使用的密码都具有一些共同的规律,例如姓名缩写配数字,生日配手机号等等,密码字典根据这个规律来猜测密码。个人密码不是弱密码,企业设备呢?国家计算机网络与信息安全管理中心(CNCERT)对中国移动统计风险中弱密码占60%为什么办公密码要定期修改?为什么原则上不能使用无线网络接入网管网?为什么公司禁止使用无线键盘?.目录p网络与信息安全基础知识网络与信息安全基础知识p信息安全基础信息安全基础p攻击方法p防护手段p网络与信息安全规章制度提要什么是安全?什么是安全?国际标准化组织(ISO)引用ISO7498
3、2文献中对安全的定义是这样的,安全就是最大安全就是最大程度地减少数据和资源被攻击的可能性。程度地减少数据和资源被攻击的可能性。对于我们而言,安全的关键或者说安全计划的目的是保护公司和个人的财产。安全的基本原则安全的基本原则 可用性(availability)保证经过认证的用户能够对数据和资源进行适时和可靠的访问。完整性(integrity)是指保证信息和系统的准确性和可靠性,并禁止对数据的非授权的修改。机密性(confidentiality)提供了保证在每一个数据处理和防止未经授权的信息泄漏的交叉点上都能够加强必要的安全级别的能力。安全的基本原则安全的基本原则 可用性 防止服务和工作能力的崩溃
4、。完整性 防止对系统和信息进行未经授权的修改。机密性 防止未经授权而透露某些敏感信息。简称AIC安全三原则:可用性(availability)、完整性(integrity)和机密性(confidentiality)AIC安全三原则安全对象安全对象可用性可用性完整性完整性机密性机密性信息安全是将数据的可用性、完整性、机密性作为保护对象。对信息安全的认识经历了数据安全阶段(强调保密通信)、网络信息安全时代(强调网络环境)和目前信息保障时代(强调不能被动地保护,需要有保护检测反应恢复四个环节)。信息安全各要素之间的关系信息安全各要素之间的关系威胁因素威胁因素威胁威胁脆弱性脆弱性风险风险暴露暴露资产资
5、产安全措施安全措施引起引起利用利用导致导致可以破坏可以破坏并引起一个并引起一个能够被预防,通过能够被预防,通过直接作用到直接作用到信息安全自顶向下的设计方法信息安全自顶向下的设计方法 安全策略是公司安全计划的蓝图,为上层建筑提供了必要的基础。如果安全计划以一个坚实的基础开头,并且随着时间的推移向着预定的目标发展,那么公司就不必在中间作出大的改动。应用安全 感知能力网络安全内容安全 基础安全安全标准安全标准规范体系规范体系安全目标体系安全目标体系组织机构组织机构人才培养人才培养安全责任安全责任安全需求安全需求安全建设安全建设安全规划安全规划安全设计安全设计安全准入安全准入安全运维安全运维安全研发
6、安全研发创新体系创新体系技术支持体系技术支持体系业务连续性(业务连续性(BCPBCP)入侵防范与恶意代码防护入侵防范与恶意代码防护应用程序安全应用程序安全不良信息治理不良信息治理信息防泄漏信息防泄漏信息安全专项工作支撑固化入侵感知入侵感知综合预警综合预警风险展示风险展示安全监控安全监控应急响应与事应急响应与事件处理件处理合规支撑合规支撑安全评估安全评估安全检查考核安全检查考核控制能力管理能力业务逻辑安全业务逻辑安全业务合规管理业务合规管理信息备份信息备份入侵防范与恶入侵防范与恶意代码防护意代码防护网络报文识别网络报文识别与控制与控制网络路由、信网络路由、信令、协议安全令、协议安全设备认证、授设
7、备认证、授权与访问控制权与访问控制设备日志审计设备日志审计网络边界划分网络边界划分与隔离与隔离网络安全策略网络安全策略管理管理网络定位、溯网络定位、溯源与日志审计源与日志审计网络传输安全网络传输安全 策略安全管理策略安全管理设备补丁管理设备补丁管理设备入侵防范设备入侵防范与病毒防护与病毒防护网络流控、质网络流控、质量保障量保障物理环境安全物理环境安全构建国际一流信息安全体系 承担中国移动企业社会责任专项研究专项研究安全整改安全整改重大保障重大保障第三方安全第三方安全信息校验信息校验安全测试安全测试安全终止安全终止安全策略安全组织安全运营安全技术流程运营管理流程运营管理信息安全执行体系信息安全管
8、理机制安全管控与支撑中国移动网络与信息安全实施框架 根据信息安全实施框架,落实系统与网络的信息安全等级保护要求。信息安全基础知识组织内部的安全角色目录p网络与信息安全基础知识网络与信息安全基础知识p信息安全基础p攻击方法攻击方法p防护手段p网络与信息安全规章制度提要什么是攻击行为?什么是攻击行为?基本上任何一种危及到一台机器安全的行为都可以认为是一种攻击行为。危及包括以下几个方面:可以访问 使访问简单化 使一个系统脱机 使敏感信息的敏感度降低 什么是攻击行为?什么是攻击行为?如果有攻击行为,那就必须存在能威胁的弱点。如果没有薄弱环节,那就没有什么好攻击的。所以大多数人说真正安全的系统是没有联网
9、的机器。攻击的步骤 1)被动的侦察2)主动的侦察3)入侵系统4)上传程序5)下载数据6)保持访问7)隐藏踪迹(注意并不是每一步都会执行)常用攻击方法 欺骗 会话劫持 拒绝服务攻击(DoS)、分布式拒绝服务攻击(DDoS)缓冲区溢出攻击欺骗如果攻击者能让计算机或者网络相信他是别人(信任方),他可能能够获得正常情况下不能得到的信息。欺骗的类型:IP欺骗 公司使用其他计算机的IP地址来获得信息或者得到特权。电子邮件欺骗 电子邮件发送方地址的欺骗。Web欺骗 假冒Web网站。如假工商银行网站。1.非IT技术类欺骗 这些类型的攻击把精力集中在攻击公司的人力资源上。如社会工程。会话劫持会话劫持就是接管一个
10、现存的动态会话过程。劫持会话最主要的原因之一就是通过授权过程可以获得进入系统的机会,因为就会话劫持而言,此时用户已经通过提供用户ID和密码,在授权的情况下登录到服务器上。在用户通过了身份验证并获得进入服务器的权利后,只要他与服务器动态连接着,就不再需要重新通过验证。黑客门可以使用各种方式使用户下线然后再代替这个用户,此时他不再需要任何登录行为就可以进入系统了。会话劫持小李小李攻击者攻击者服务器服务器服务器验证小李服务器验证小李小李登录服务器小李登录服务器Die!你好,我是小李你好,我是小李拒绝服务攻击DOS DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称
11、为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。分布式拒绝服务攻击DDOS 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将
12、DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。分布式拒绝服务攻击DDOS攻击者攻击者受害者受害者傀儡机傀儡机远程控制远程控制发起攻击发起攻击缓冲区溢出攻击 攻击者试图在一个不够大的接受器里存储过量的信息就是一次缓冲区溢出攻击。例如,如果一个程序只能接受50个字符,而用户却输入了100个字符,这样由于过多的数据输入到了一个不够大的接受器,该程序将不能控制它,多出部分将写入内存。缓冲区溢出攻击内存内存底部底部
13、内存内存顶部顶部填填充充方方向向缓冲1(局部变量1)返回指针返回指针函数调用的参数函数调用的参数内存内存底部底部内存内存顶部顶部填填充充方方向向缓冲1(局部变量1)返回指针返回指针函数调用的参数函数调用的参数机器代码:exec(/bin/sh)缓冲2(局部变量2)指向exec代码的新指针缓冲缓冲1空间空间被覆盖被覆盖返回指针返回指针被覆盖被覆盖缓冲2(局部变量2)正常情况正常情况缓冲区溢出缓冲区溢出目录p网络与信息安全基础知识网络与信息安全基础知识p信息安全基础p攻击方法p防护手段防护手段p网络与信息安全规章制度提要网络安全防护体系各阶段网络安全的防护事前:网络防火墙、系统漏洞检测、安全配置合
14、规、病毒防范、网页防篡改等事中:预警、入侵检测、日志取证系统事后:应急响应、事故恢复安全管理支撑手段:安全管控平台(4A)网络防火墙 防火墙是在两个网络之间执行控制策略的系统,目的是不被非法用户侵入。防火墙是内部与外部网连接中的第一道屏障。在内部网络和外部网络之间合理有效地使用防火墙是网络安全的关键。网络防火墙 访问访问控制控制 认证认证 NAT 加密加密 防病毒、内容防病毒、内容过滤过滤 流量管理流量管理系统漏洞扫描和检测系统漏洞检测要求:定期分析有关网络设备的安全性,检查配置文件和日志文件;定期分析系统和应用软件,一旦发现安全漏洞,应该及时修补;检测的方法主要采用安全扫描工具,测试网络系统
15、是否具有安全漏洞和是否抵抗攻击,从而判定系统的安全风险。主机主机/端口扫描端口扫描 漏洞扫描漏洞扫描 检查本地或者远程主机、设备、应用的安全漏洞确定系统存活状态:ping针对目标系统端口,了解端口的分配及提供的服务、软件版本主机/设备Web数据库安全配置合规中国移动设备安全功能和配置系列规范2013年安全配置合规要求。年安全配置合规要求。WAP等等10类高风险系统合规率达到类高风险系统合规率达到85%以上,以上,WLAN等系统合规率达到等系统合规率达到70%以上。以上。通信网络安全防护工信部工业和信息化部关于开展2013年基础电信企业网络安全防护检查工作的通知(工信部保函2013110号)网页
16、防篡改主要网页防篡改系统分类外挂轮巡技术:使用外部的网页读取和检测程序,以轮询方式读出和比对要监控的网页。核心内嵌技术:篡改检测模块内嵌于Web服务器软件,在每一个网页流出时进行完整性检查。事件触发技术:使用操作系统的文件系统/驱动程序接口,网页文件被修改时进行合法性检查。入侵检测 入侵检测系统是实时的网络违规自动识别和响应系统。当发现网络违规模式和未授权的网络访问尝试时,入侵检测系统能够根据系统安全策略作出反应并报警。入侵检测系统 Firewall FirewallInternetInternetServersDMZDMZIDS AgentIntranetIntranet监控中心监控中心ro
17、uter攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警报警报警IDS Agent安全管控平台安全管控平台系统,又称为4A系统是指:认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为安全管理平台解决方案。2013年已完成年已完成WLAN AC等设备接入安全管控,要求各系统安全管控使用率不等设备接入安全管控,要求各系统安全管控使用率不低于低于95%便利性和安全性的矛盾 其实安全性和便利性间的矛盾,并不是什么新的话题。早在远古时期,穴居的人类为了安全而将洞口设计的难于进出,这就是选择牺牲掉便利性。而我们希望能有一个中
18、间地带,既保留有安全性,又兼顾便利性。目录p网络与信息安全基础知识p网络与信息安全规章制度提要网络与信息安全规章制度提要公司制定了信息安全责任管理办法、责任矩阵、考核办法、中国移动基础信息安全检查矩阵、安徽移动基础信安徽移动基础信息安全管理通用要求息安全管理通用要求等系列管理制度。2012年12月28日,全国人大常委会通过了关于加强网络信息保护的决定,明确了网络服务提供者对网络信息保护的义务和责任。工业和信息化部、国务院国有资产监督管理委员会联合印发了关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见(工信部联保2012551号)、工业和信息化部办公厅印发了2013年省级基础电信企业
19、网络与信息安全工作考核要点与评分标准(工信厅保2012247号)对网络安全防护:网络安全防护:重点为“三同步”、定级、备案、风险评估等措施要求;应急保障:应急保障:网络安全事件上报、处置和应急演练。等方面执行考核信息安全管理通用要求信息安全管理通用要求安徽移动基础信息安全管理通用要求第一章第一章总总 则则 第三条第三条 基础信息安全管理遵循“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。信息安全管理通用要求信息安全管理通用要求建设阶段:1.工程建设单位负责提交安全配置资料,维护单位确认符合安全要求后,设备方可与现网进行互联;2.工程建设单位负责组织对系统设备的安全验收,安全验
20、收材料齐全设备方可入网割接。安徽移动项目网络与信息安全三同步管理办法与系统下线信息安全管理要求,把握系统生命周期立项、建设、验收关键控制点。立项阶段:计划部负责组织安全专家对项目进行安全评审定级与备案情况审核。维护阶段:维护部门需充分考虑安全评审与验收阶段提出的风险点和备忘,持续做好安全维护工作。下线阶段:需按要求做好相关数据清理、销毁,方可实施退网。第一章第一章总总 则则 第四条第四条 基础信息安全防护工作遵循“同步规划,同步建设,同步运行”的原则(“三同步”原则),覆盖IT系统与网络全生命周期的各个环节。第二章第二章组织与职责组织与职责 第九条第九条 涉及基础信息安全的生产单位职责:落实基
21、础信息安全管理的各项要求;做好基础信息安全防护、安全运维、开发测试、安全审核、合规性检查、风险评估和加固工作;细化完善安全管理制度、技术规范、作业流程和检查细则;定期开展信息安全演练,及时上报安全事件等。信息安全管理通用要求信息安全管理通用要求 第三章第三章 安全运营管理要求安全运营管理要求 第一节第一节 安全预警安全预警 第十三条第十三条 各单位接到预警信息后,应依据上级主管部门要求落实,及时跟踪预警项进展,对安全补丁类预警,应根据设备所处位置和重要性采取不同的加载策略。在设备没打补丁期间,要采取相应的加固措施,保证设备不易被攻击。第二节第二节 安全监控安全监控 第十六条第十六条 各单位要组
22、织开展对IT系统与网络的安全监控工作,建立和完善安全监控的管理制度、操作流程与支撑手段。信息安全管理通用要求信息安全管理通用要求第三章第三章安全运营管理要求安全运营管理要求第三节第三节 访问控制访问控制第二十六条第二十六条 内网接入安全要求内网接入安全要求(二)严禁任何设备以双网卡方式同时连接互联网和公司内网;严禁向任何未经防火墙隔离的对外网站等互联网系统分配公司内网IP地址;(六)原则上不应采用无线AP方式接入内网,如遇特殊情况,依据“谁接入、谁负责”的原则,管理上必须经主管领导审批授权,技术上必须采用采用MAC地址绑定,强安全认证,强地址绑定,强安全认证,强加密算法保护的安全传输,配置隐藏
23、加密算法保护的安全传输,配置隐藏SSID,保证,保证AP口令强度口令强度等配置等配置;(七)各单位要维护一份已使用内网维护一份已使用内网IP地址清单地址清单,清单内容包括但不限于每个IP地址的使用单位、设备用途、责任人(使用人)和联系方式等信息。信息安全管理通用要求信息安全管理通用要求 第二十七条第二十七条 远程接入远程接入(二)各单位要制定远程接入的实施细则、远程接入审批和授权流程,规范帐号权限的申请、变更与删除等工作,审批与授权记录应予以归档留存;(四)远程接入帐号只能授予内部员工,厂家人员需要使用远程维护时,按次授权,用毕收回;信息安全管理通用要求信息安全管理通用要求第二十八条第二十八条
24、 防火墙配置管理防火墙配置管理(五)内网不同区域之间的边界防火墙对于维护管理、数据库服务端口仅允许配置点对点访问策略,严禁开放大段IP地址的访问策略;信息安全管理通用要求信息安全管理通用要求第二十九条第二十九条 第三方访问控制管理第三方访问控制管理 第三方是指与中国移动在业务上具有合作关系,或是向中国移动提供开发、维护等服务的公司及其员工;严格禁止第三方人员拥有重要系统管理员权限,创建系统帐号权限,查询客户敏感信息或者超出工作范围的高级权限的帐号。各单位应至少每3个月对第三方的帐号权限进行一次审核清理。信息安全管理通用要求信息安全管理通用要求第三十二条第三十二条 各单位要以年为单位,对各网络与
25、系统制定或更新安全维护作业计划及配套的实施指南。第三十五条第三十五条 遵循职责分离的原则,负责安全审核的人员不能是该系统维护人员。第三十六条第三十六条 安全维护作业计划按照执行频率,分为日、周、月、季度、年和触发性作业计划。信息安全管理通用要求信息安全管理通用要求第四节第四节 安全维护作业计划安全维护作业计划第五节第五节 安全分析安全分析第三十八条第三十八条 各单位要建立安全分析制度,定期对基础信息安全工作情况进行分析通报。第六节第六节 安全合规性检查安全合规性检查第四十一条第四十一条 各级信息安全归口管理部门要制定合规性检查制度,配备必要的检查工具,建立内部检查机制。信息安全管理通用要求信息
26、安全管理通用要求第七节第七节 风险评估风险评估第四十八条第四十八条 各单位要建立风险评估制度,在年初编制风险评估计划,定期组织开展风险评估工作。信息安全管理通用要求信息安全管理通用要求风险评估常规流程风险评估常规流程第八节第八节 安全事件管理安全事件管理 第六十一条第六十一条 安全事件分为特别重大、重大、较大和一般四个级别。系统(含内网系统)安全事件信息分级定义参照互联网网络安全信息通报实施办法规定,及集团相关部门要求。第六十八条第六十八条 重大安全事件发生时,二级管理组织应及时上报集团公司。重大安全事件确认至上报到集团公司不得超过2小时。第六十九条第六十九条 较大或一般安全事件由二级管理组织
27、汇总后于次月5个工作日内报送当地通信管理局和CNCERT/CC当地分中心,并在每月安全报表中向集团公司上报。信息安全管理通用要求信息安全管理通用要求 第九节第九节 人员与资产安全管理人员与资产安全管理 第七十九条第七十九条 各单位应与合作第三方、关键岗位员工单独签订保密协议,在协议中明确其保密责任以及违约罚则。第八十四条第八十四条 各单位应建立完善资产退服管理流程。定期清查盘点,确保退服系统及时下线并移出机房。对于退服设备的数据,要彻底清除。信息安全管理通用要求信息安全管理通用要求第四章第四章基础基础IT设施安全防护要求设施安全防护要求第一节第一节 系统安全系统安全第八十七条第八十七条 生产环
28、境生产环境安全要求安全要求(一)生产环境中的工具软件安装与使用要求1、应对生产环境中工具软件进行统一管理,不得安装与生产无关的软件;2、严禁安装能够穿透防火墙,从互联网访问和控制内网设备的软件,如Teamviewer等;3、除部门领导授权外,任何非安全专用设备严禁安装漏洞扫描、网络嗅探等安全工具;信息安全管理通用要求信息安全管理通用要求(二)移动存储介质使用安全要求1、各单位应完善本单位内移动存储介质使用管理办法,并指定专人负责对存储介质的使用进行指导、监督和检查;2、各单位应明确允许使用移动存储介质的人员、系统与网络范围,对于不允许使用的,应实施控制策略、物理封闭或端口封禁等手段;3、对准许
29、接入系统与网络的存储介质进行严格控制,在接入前必须进行病毒查杀;4、未经授权,严禁使用移动存储设备(如移动硬盘、U盘等)处理涉密数据或文件;5、涉密信息的移动存储介质的管理应按照国家、公司相关保密制度执行。信息安全管理通用要求信息安全管理通用要求(三)应做到办公终端与维护生产终端的专机专用,原则上要求实现两者的物理隔离,严禁采用双网卡(包括无线网卡)跨接不同网络。(四)开发测试系统的安全要求1、开发测试环境应与生产环境隔离,不得在现网生产环境上进行开发与测试;2、开发测试过程中不得使用真实生产数据,仅能使用经过模糊化处理的数据;3、应对开发测试环境采取适当的保护措施,防止被互联网区域渗透。信息
30、安全管理通用要求信息安全管理通用要求第二节第二节 安全域划分安全域划分第九十条第九十条 网管、业务支撑、信息化3大支撑系统应分别依据中国移动支撑系统安全域划分与边界整合技术要求、中国移动业务支撑网安全域划分和边界整合技术要求、中国移动管理信息系统安全域划分技术要求划分安全域;数据业务系统应依据中国移动数据业务系统集中化安全防护技术要求划分安全域。信息安全管理通用要求信息安全管理通用要求第五节第五节 集中安全管控要求集中安全管控要求第九十七条第九十七条 集中安全管控系统(如4A、堡垒主机等方式)是系统运维的统一入口。第九十八条第九十八条 集中安全管控系统要求:(一)重要的支撑系统与网络、业务平台原则上应纳入集中安全管控系统,后台操作必须通过集中安全管控系统登录;(二)集中安全管控系统应实现基于主帐号的强身份认证,保存用户的完整操作日志,能对异常操作告警;(三)应定期审核集中安全管控系统上的帐号、权限与日志,清除过期帐号与权责不相容的权限;(四)禁止在集中管控系统正常运行禁止在集中管控系统正常运行的状况下,绕过该系统直接访问后台系统。信息安全管理通用要求信息安全管理通用要求目录p网络与信息安全基础知识p信息安全基础p攻击方法p防护手段p网络与信息安全规章制度提要思考如果涉及用户信息的新设备应该如何组织测试?