等级保护专题 > 深度解读

等保2.0高风险判定系列 | 入侵防范

作者:启明星辰 2020-08-27

在网络安全等级保护基本要求中,“入侵防范”提到了22次,从等保一级到四级均有相关内容的要求。在测评高风险判定指引中,“入侵防范”提到了9次,涵盖了安全区域边界和安全计算环境中的多个方面。由此可见入侵防范在等保建设中所承担的重要角色。

什么是入侵防范?

入侵防范是一种可识别潜在的威胁并迅速地做出应对的网络安全防范办法。入侵防范技术作为一种积极主动的安全防护技术,提供了对外部攻击、内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。

常见的几种入侵防范技术

● 基于特征签名的入侵防范技术:基于特征签名的入侵防范技术就是在网络通信报文中匹配特征签名以查找已知的漏洞攻击或恶意程序。

● 基于白名单的入侵防范技术:基于白名单的入侵防范技术就是通过对网络通信流量的学习建立白名单和流量基线模型,然后通过模型识别网络攻击或违规操作。

● 基于威胁情报的入侵防范技术:基于威胁情报的入侵防范技术就是将网络通信流量中采集的数据同威胁情报数据匹配来识别漏洞攻击或恶意程序。

● 基于沙箱的入侵防范技术:基于沙箱的入侵防范技术,就是通过模拟各类虚拟资源,让疑似恶意代码或病毒文件的可疑行为在虚拟环境中充分展开,通过对运行过程中的行为信息提取判断来识别漏洞攻击或恶意程序。

● 基于EDR的入侵防范技术:基于EDR(Endpoint Detection and Response,终端检测和响应)的入侵防范技术,通过记录终端和网络事件(例如用户、文件、进程、注册表、内存和网络事件),并把这些信息保存在终端或者集中数据库中,然后使用已知的攻击指示器、行为分析和机器学习技术识别攻击威胁,并对这些威胁做出快速响应。

高风险判定指引中的入侵防范

● 安全区域边界

①对应要求:应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。

判例内容:关键网络节点(如互联网边界处)未采取任何防护措施,无法检测、阻止或限制互联网发起的攻击行为,可判定为高风险。

②对应要求:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。

判例内容:关键网络节点(如核心服务器区与其他内部网络区域边界处)未采取任何防护措施,无法检测、阻止或限制从内部发起的网络攻击行为,可判定为高风险。

● 安全计算环境

①对应要求:应关闭不需要的系统服务、默认共享和高危端口。

判例内容:网络设备、安全设备、操作系统等存在多余系统服务/默认共享/高危端口存在,且存在可被利用的高危漏洞或重大安全隐患,可判定为高风险。

②对应要求:应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。

判例内容:通过不可控网络环境远程管理的网络设备、安全设备、操作系统、数据库等,未采取技术手段对管理终端进行限制,可判定为高风险。

③对应要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。(网络设备、安全设备、主机设备等已知重大漏洞修补)

判例内容:对于一些互联网直接能够访问到的网络设备、安全设备、操作系统、数据库等,如存在外界披露的重大漏洞,未及时修补更新,无需考虑是否有POC攻击代码,可判定为高风险。

④对应要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。(网络设备、安全设备、主机设备等测试发现漏洞修补)

判例内容:通过验证测试或渗透测试能够确认并利用的,可对网络设备、安全设备、操作系统、数据库等造成重大安全隐患的漏洞(包括但不限于缓冲区溢出、提权漏洞、远程代码执行、严重逻辑缺陷、敏感数据泄露等),可判定为高风险。

⑤对应要求:应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。

判例内容:由于校验机制缺失导致的应用系统存在如SQL注入、跨站脚本、上传漏洞等高风险漏洞,可判定为高风险。

⑥对应要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。(应用系统已知重大漏洞修补)

判例内容:应用系统所使用的环境、框架、组件等存在可被利用的高风险漏洞,导致敏感数据泄露、网页篡改、服务器被入侵等安全事件的发生,可能造成严重后果的,可判定为高风险。

⑦对应要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。(应用系统测试发现漏洞修补)

判例内容:如应用系统的业务功能(如密码找回功能等)存在高风险安全漏洞或严重逻辑缺陷,可能导致修改任意用户密码、绕过安全验证机制非授权访问等情况,可判定为高风险。

启明星辰安全解决方案

微信图片_20200827143722.jpg

● 安全产品侧

①在互联网边界区部署下一代防火墙和入侵防御,在核心交换区部署高级威胁检测,检测阻止互联网发起的攻击行为,达到外部网络攻击防御的效果。

②在核心交换区部署入侵检测,内部网络区域边界处部署边界防火墙,对内部发起的攻击行为进行检测、阻断或限制,达到内部网络攻击防御的效果。

③在安全管理中心部署终端管理服务器对通过网络进行管理的管理终端进行限制,达到管理终端管控的效果。

④在安全管理中心部署漏洞扫描,定期对设备进行漏扫,达到漏洞发现及修补的效果。

⑤在服务器区部署Web防火墙,防止因应用导致的敏感数据泄露、网页篡改和服务器被入侵等安全事件,达到应用系统入侵防范的效果。

● 安全服务侧

①启明星辰安全加固服务结合客户业务实际对不必要的操作系统服务进行处置减少安全隐患,降低安全风险。

②启明星辰漏洞扫描服务和渗透测试服务可以发现系统和应用中可能存在的漏洞并给出专业的修补建议并修补,降低安全隐患。

③启明星辰代码审计服务可以发现应用系统由于逻辑设计不严谨和编码不规范导致的漏洞并给出专业的代码修改建议,提升应用系统的安全性。

方案收益

①从网络、终端、系统、应用等多个维度实现了入侵防范,有效降低了来自内部和外部遭受网络入侵的安全风险;

②即满足了网络安全等级保护的要求,同时避免了测评高风险项的出现,为顺利通过网络安全等级保护测评奠定了坚实的基础;

③满足了网络安全法中关于防范网络攻击、网络入侵等内容的相关规定,保障信息系统建设的安全合规。

上一篇 下一篇

服务热线

400-624-3900

客服电话:400-624-3900

周一至周五 9:00-17:30