【网络安全】等保测评系列预热

news2024/11/24 7:04:03

【网络安全】等保测评系列预热

  • 前言
    • 1. 什么是等级保护?
    • 2. 为什么要做等保?
    • 3. 路人甲疑问?
  • 一、等保测试
    • 1. 渗透测试流程
      • 1.1 明确目标
      • 1.2 信息搜集
      • 1.3 漏洞探索
      • 1.4 漏洞验证
      • 1.5 信息分析
      • 1.6 获取所需
      • 1.7 信息整理
      • 1.8 形成报告
    • 2. 等保概述
      • 2.1 发展历程
      • 2.2 等保2.0和等保1.0区别
        • 2.2.1 名称修改
        • 2.2.2 定级对象变化
        • 2.2.3 安全监督结构变化
        • 2.2.4 等保义务性变化
      • 2.3 做等保原因
      • 2.4 关键性角色
        • 2.4.1 公安机关网监部门
        • 2.4.2 测评机构
        • 2.4.3 被测评角色
        • 2.4.4 集成商、实施商、安全厂商
    • 3. 等保流程
      • 3.1 定级备案
      • 3.2 差距评估
      • 3.3 安全整改
      • 3.4 等级评估


前言

1. 什么是等级保护?

等保全称网络安全等级保护。在中国,信息安全等级保护

广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作

狭义上一般指信息系统(APP)安全等级保护

2. 为什么要做等保?

(1)法律法规要求《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

(2)行业要求
在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统(APP)要开展等级保护工作。

在这里插入图片描述

(3)企业系统安全的需求
信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。

3. 路人甲疑问?

•某政府用户:按照要求过了等级保护测评,网络安全是不是没什么问题了?

•某高校用户:为了不违法,为了过等保,我们加了很多安全设备,现在运维都快忙死了,过等保这么复杂吗?

•某医院用户:医院系统这么多,还经常变更,是不是每个系统都要做等保测评?到底怎么做才能不会收到“罚单”,能否指条明路?

新增等保测评系列,之后一段时间以等保测评为主

序列号系列内容
01安全物理环境
02安全通信网络
03安全区域边界
04安全计算环境
05安全管理中心
06安全管理制度
07安全管理机构
08安全管理人员
09安全建设管理
10安全运维管理
11云计算安全扩展需求
12移动互联安全扩展要求
13物联网安全扩展要求
14工业控制系统安全扩展要求

一、等保测试

渗透测试是等保的一部分,我们先来了解渗透测试的流程

渗透测试工作内容:

1.自己企业直招的安全工程,针对自身企业业务的安全维护加固
2.乙方公司:测评机构,安全厂商,针对甲方企业进行安全防护测试(大部分)
3.撰写报告

1. 渗透测试流程

明确目标

信息搜集

漏洞探测

漏洞验证

信息分析

获取所需

信息整理

形成报告

甲方开立项会议,确定目标和信息

1.1 明确目标

1、确定范围:测试的目标范围,IP,域名,内外网

2、确定规则

渗透测试和黑客入侵区别?

渗透测试:以黑客角度,模拟攻击,更全面的发现测试对象的安全隐患
黑客:不择手段进行攻击,获取非法收益

规则内容:

能渗透到什么程度?
确定攻击时间?
可以采取哪些攻击手段?

3、确定需求

web应用漏洞?

业务逻辑漏洞?

人员管理权限漏洞?

1.2 信息搜集

攻击方式:

​ 主动扫描?

​ 开放式搜索?

甲方会给到的信息

1、基础信息: IP,业务架构,域名,端口
2、各种系统以来的版本信息
3、应用信息:涉及到的服务信息,各应用逻辑

1.3 漏洞探索

通过扫描器,结合漏洞在db查利用

1.4 漏洞验证

1、自动化验证:通过工具验证

2、手动验证:利用公开的资源验证

3、暴力破解

1.5 信息分析

为下一步实施渗透做准备

进准打击,绕过机制,攻击代码

1.6 获取所需

进行攻击,脱库,持续性存在(后门),清理痕迹

1.7 信息整理

整理整个渗透过程中工具,收集的结果信息,漏洞信息

1.8 形成报告

核心内容:

1、提出漏洞存在信息

2、漏洞出现原理

3、通过什么方式可以利用

4、给出整改建议

渗透测试是等保的一部分

2. 等保概述

等级保护

2.1 发展历程

1994 国家首次提出等保概念

1999 针对信息系统保护有法律依据

2007 颁布等保1.0措施

2017 立法《网络安全法》

2019 颁布等保2.0

2.2 等保2.0和等保1.0区别

2.2.1 名称修改

信息安全技术信息等级保护要求

修改为

信息安全基础网络安全等级保护(和网络安全法一致)

2.2.2 定级对象变化

1.0 针对物理安全,网络,主机,应用,数据安全

2.0 在基础上增加了物联网,云产品,移动互联网等

2.2.3 安全监督结构变化

1、技术上2.0新增物联网等等

2、管理上:制度立项数量更多

2.2.4 等保义务性变化

1.0 可以不做等保,自己负责即可

2.0 尤其国家基础性设备,具有等级保护法律义务

比如基站,必须做等保

2.3 做等保原因

不做等保出问题后,算人祸,需要背负责任但不多,

不做等保,出了问题,用户将承担主要责任,必要时网监部门会直接进行处罚

做等保后出问题,算天灾

做等保后会进行责任分担

完成等保意味着得到公安机关的安全认可,出了问题公安机关会分担责任

为了实现国家安全体系化的建设(国家战略的一步)

2.4 关键性角色

2.4.1 公安机关网监部门

主要承担等级保护过程中的监督检查工作,负责管理测评机构,各测评机构都需要在当地进行备案

网络安全等级保护网
http://www.djbh.net/webdev/web/HomeWebAction.do?p=init

图片.png

2.4.2 测评机构

各省大概分布3-6个公安备案测评机构,主要负责根据当地网监部门的要求开展测评工作

2.4.3 被测评角色

根据网监部门要求,配合等保相关工作

2.4.4 集成商、实施商、安全厂商

被测评企业需要根据整改方案进行修改,大量涉及到安全设备的采购和应用

3. 等保流程

定级备案-----差距评估-----整改建设------等级评测

等保没有证书,但是可以在相应网监部门查询到备案记录

通常需要5个步骤:

1.定级(企业自主定级-专家评审-主管部门审核-公安机关审核)
2.备案(企业提交备案材料-公安机关审核-发放备案证明)
3.测评(等级测评-三级每年测评一次)
4.建设整改(安全建设-安全整改)
5.监督检查(公安机关每年监督检查)

在这里插入图片描述

3.1 定级备案

梳理信息系统情况,确定等级(国家根据业务范围确定)

提定级报告和备案表到当地网监部门

等级分类

图片.png

一级(医院)

二级(金融机构)

三级(云厂商、政府系统)

四级(阿里云)

五级(军工企业)

安全要求

图片.png

对整个公司进行审核

包括管理制度、安全管理机构、人员方面、系统建设和系统运维

企业在做完三级四级等保后,公安机关会经常来检查

3.2 差距评估

测评人员需要提交差距评估报告、整改建议、渗透测试报告

3.3 安全整改

对每个模块都有整改建议

系统安全,网络安全,数据安全

3.4 等级评估

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/848871.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

HEIF—— 1、vs2017编译Nokia - heif源码

HEIF(高效图像文件格式) 一种图片有损压缩格式,它的后缀名通常为".heic"或".heif"。 HEIF 是由运动图像专家组 (MPEG) 标准化的视觉媒体容器格式,用于存储和共享图像和图像序列。它基于著名的 ISO 基本媒体文件格式 (ISOBMFF) 标准。HEIF读写器引擎…

NAT及其实验(eNSP,细致易懂)

目录 NAT产生背景 NAT概述NAT(Network Address Translation),网络地址转换 NAT工作规则 标准NAT技术 NAPT[网络地址端口转换[Port-->传输层-端口编号]] Easy IP——最简单的PAT NAT Server 静态NAT实验 动态NAT实验 NAPT实验 N…

Ajax 笔记(一)

笔记目录 1. Ajax 入门1.1 Ajax 概念1.2 axios 使用1.2.1 URL1.2.2 URL 查询参数1.2.3 小案例-查询地区列表1.2.4 常用请求方法和数据提交1.2.5 错误处理 1.3 HTTP 协议1.3.1 请求报文1.3.2 响应报文 1.4 接口文档1.5 案例1.5.1 用户登录(主要业务)1.5.2…

用MiCoNE工具对16S序列数据进行共现网络分析

谷禾健康 微生物群通常由数百个物种组成的群落,这些物种之间存在复杂的相互作用。绘制微生物群落中不同物种之间的相互关系,对于理解和控制其结构和功能非常重要。 微生物群高通量测序的激增导致创建了数千个包含微生物丰度信息的数据集。这些丰度可以转…

umi黑科技:把静态文件打包进静态网页中:P

为了能够跨平台通用,我现在很多工具都需要用JS进行开发。 比如我之前研究了半天的JS版本的报表工具。 但是这其中有个问题我没办法解决,就是有一些设置信息或者是模板文件需要一起打包进静态的页面中。 今天解决了这个问题,记录一下方法。 1…

Android 13 Launcher——屏蔽长按非icon区域出现弹窗

目录 一.背景 二.屏蔽此功能 一.背景 长按Launcher非icon区域也是会有弹窗的,会显示小组件等信息,定制开发要求长按非icon区域不要弹窗,我们来实现此功能,先看下未修改前的长按非icon区域的效果 如上图可以看出长按功能显示出壁…

计网实验第三章:UDP

问题集1 问题一 问题参考Wireshark的报文内容字段的显示信息 在这个数据包中,确定每个UDP报头字段的长度(以字节为单位) 答:96 bytes 问题二 长度字段中的值是什么的长度?你可以参考课文 这个答案)。用捕获的UDP数据包验证您的声明。 答&#xff1…

Cesium相机理解

关于cesium相机,包括里面内部原理网上有很多人讲的都很清楚了,我感觉这两个人写的都挺好得: 相机 Camera | Cesium 入门教程 (syzdev.cn) Cesium中的相机—setView&lookAtTransform_cesium setview_云上飞47636962的博客-CSDN博客上面这…

培训报名小程序报名确认开发

目录 1 创建页面2 创建URL参数3 信息展示4 消息订阅5 页面传参6 程序预览总结 我们上一篇介绍了报名功能的开发,在用户报名成功后需要展示报名的确认信息,如果信息无误提示用户支付,在支付之前需要让用户进行授权,允许小程序给用户…

打破传统直播,最新数字化升级3DVR全景直播

导语: 近年来,随着科技的不断创新和发展,传媒领域也正经历着一场前所未有的变革。在这个数字化时代,直播已经不再仅仅是在屏幕上看到一些人的视频,而是将观众带入一个真实世界的全新体验。其中,3DVR全景直…

Windows11右键菜单

刚开始使用Windows11时,新的右键菜单用起来很不习惯。 记录一下修改和恢复Windows11的右键菜单的方法。 1.Win11切换到旧版右键菜单: 方法:WinR打开CMD,运行下面的命令行 添加注册列表重启Windows资源管理器 reg add "HKC…

elevation mapping学习笔记3之使用D435i相机离线或在线订阅点云和tf关系生成高程图

文章目录 0 引言1 数据1.1 D435i相机配置1.2 协方差位姿1.3 tf 关系2 离线demo2.1 yaml配置文件2.2 launch启动文件2.3 数据录制2.4 离线加载点云生成高程图3 在线demo3.1 launch启动文件3.2 CMakeLists.txt3.3 在线加载点云生成高程图0 引言 elevation mapping学习笔记1已经成…

内网穿透:如何通过公网访问本地Web服务器?

文章目录 前言1. 首先安装PHPStudy2.下载一个开源的网页文件3. 选择“创建网站”并将网页内容指向下载好的开源网页文件4. 打开本地网页5. 打开本地cpolar客户端6. 保存隧道设置 生成数据隧道 前言 随着科技进步和时代发展,计算机及互联网已经深深融入我们的生活和…

Activiti7工作流

一、Activiti7概述 官网地址:https://www.activiti.org/ Activiti由Alfresco软件开发,目前最高版本Activiti 7。是BPMN的一个基于java的软件实现,不过 Activiti 不仅仅包括BPMN,还有DMN决策表和CMMN Case管理引擎,并且…

5个最流行的免费AI应用托管平台

完成机器学习项目后,是时候展示你的模型的性能了。 你可以创建前端应用程序或使用 REST API。 随着 Streamlit、Gradio 和 FAST API 的引入,创建前端应用程序变得无忧无虑。 这些 Web 框架需要几行代码来创建交互式用户界面。 与公众分享你的工作有助于你…

0-1搭建vue项目工程

一、下载node.js 简单介绍: Node.js是一个基于V8引擎的JavaScript运行时环境,它允许开发者在服务器端使用JavaScript进行开发。Node.js是一个非常强大的工具,可以帮助开发者构建高性能、可扩展的Web应用程序,并且可以与各种技术…

使用appuploader工具流程(Windows版本)

转载:使用appuploader工具流程(Windows版本) 目录 转载:使用appuploader工具流程(Windows版本) 一.登录apple官网,注册账号 二.下载Appuploader和登录 三.bundle ID 四.设备管理 五.证书管…

【python】 油管外挂字幕下载位srt歌词字幕文本文件

【python】 油管外挂字幕下载位srt文本文件 案例截图 案例代码 # python程序,可以下youtube视频的字幕文件。输入一个视频的url,就会下载它的字幕文件到一个文件夹里。 # Author WeChat:****请私信, # Date:2023-8-2, # Email:ack1024#hotmail.com # 本…

全国首创!法大大助力深圳率先在企业开办领域引入音视频双录签名模式

为了进一步规范市场主体登记行为,提高企业办事便利度,近日深圳引入录音录像双录签名新模式,实现用户无介质全流程快捷申报,进一步降低了开办企业成本,为企业开办注入加速度。 无需法人、监事等企业负责人再到业务办理大…

Python - series和dataframe的关系

目录 1 series和dataframe的关系 2 创建一个df 3 用index过滤不同行 4 用row 过滤 5 用series构建dataframe 1 series和dataframe的关系 类似集合与元素的关系DataFrame中的一行or一列的取值,返回的结果都是series通过几个series,可以创建一个da…