1、2022-3-26信息系統安全等級保護建設培訓2涉及到電子政務安全的幾件大事-CNCERT2013年度報告引子3 u據 CNCERT 監測， 2013年，我國境內被篡改網站數量為 24034 個，較 2012 年增長 46.7%，其中政府網站被篡改數量為 2430 個，較 2012 年增長 34.9%； 我國境內被植入后門的網站數量為 76160 個，較 2012 年增長 45.6%，其中政府網站 2425 個，較 2012 年下降 19.6%。在被篡改和植入后門的政府網站中，超過 90%是省市級以下的地方政府網站，超過75%的篡改方式是在網站首頁植入廣告黑鏈。政府網站面臨威脅依然嚴重，地方政

2、府網站成為“重災區”引子 u新型社交網絡的連通性成為黑客攻擊和網絡犯罪的新途徑u云平臺的應用普及加大信息泄露風險和事件處置難度u移動支付安全和移動終端漏洞成為移動互聯網發展的新挑戰u分布式反射拒絕服務攻擊規模呈持續增大趨勢u微軟停止對 Windows XP 系統的服務支持可能導致零日漏洞攻擊增多u設備智能化促使網絡安全威脅向物聯網延伸2015的可見威脅引子我們的安全防范思維又如何？技術執行力理論思維模式安全服務糾錯能力新型信息安全信任體系6新型信任體系如何建立？電子政務外網網站三級等保特殊要求網站三級等保產品部署案例實戰三級等保信任體系的維持與糾錯1238國家電子政務外網安全等級保護基本要求黨

3、政機關門戶網站系統安全等級保護指南電子政務外網網站三級等保特殊技術要點1l主要網絡設備的業務處理能力至少為歷史峰值的 2 倍l主用與備用的核心網絡設備應放置在不同物理位置的機房l應采用物理路由分離的兩條骨干鏈路來提供 1+1 的全網保護方式， 兩條鏈路在技術和性能等方面應保持一致9國家電子政務外網安全等級保護基本要求黨政機關門戶網站系統安全等級保護指南電子政務外網網站三級等保特殊技術要點1l應根據需要采用有效的 QoS 和流量管理策略， 保證管理和控制信息具有較高的優先級l公用網絡區與互聯網區等區域之間的數據交換，應通過安全隔離設備，并對交換數據進行病毒掃描和審計l等保三級黨政機關門戶網站能夠

4、實時監控網站運行狀態、掛馬情況和暗鏈情況10電子政務外網網站三級等保特殊要求網站三級等保產品部署案例實戰三級等保信任體系的維持與糾錯12311實戰1 在XX省人社廳互聯網XX系統的規劃中，橫向上覆蓋各個政府相關部門以及其他相關單位的邊界接口，縱向上覆蓋到各個市級平臺，包括區縣單位的邊界。 從安全技術選擇方面，本方案以保障網絡安全、數據安全和管理安全為重點，實現手段以安全產品為重點，對安全服務部分作為建議性描述。2項目背景網站三級等保產品部署案例實戰12l接入網安全區：涵蓋ISP接入邊界安全部分。l網站核心運行安全區：涵蓋基本的接入防護體系、數據接收、存儲、互聯網數據交換反饋與呈現、WEB網站應

5、用以及多數據庫部分。l網站運維安全區：涵蓋網站平臺軟硬件部分的整體運維，整體優化及人機信息輸入輸出部分。l存儲與備份安全區：涵蓋網上數據與應用服務安全域中的數據冗余安全部分，以滿足系統在性能、容量、擴展、管理等諸多方面具有較大的靈活性以適應變化和發展的需要 網站三級等保產品部署案例實戰2 劃分安全區13 作為整個系統的外延，接入網安全區我們首先需要考慮的是性能上保障網站首頁的訪問響應時間不超過6秒，網站主要欄目頁面的訪問響應時間不超過4秒的政府網站訪問基本要求。l滿足等級保護三級要求中關于邊界訪問控制的技術要求。l滿足等級保護三級要求中關于數據流過濾、允許與拒絕訪問的能力的技術要求。網站三級等

6、保產品部署案例實戰2 接入網安全區14l滿足等級保護三級要求中關于應在網絡邊界處監視端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等各類攻擊并進行報警的技術要求。l滿足等級保護三級要求中關于網絡邊界處進行惡意代碼防護的技術要求。l滿足等級保護三級要求中關于對網絡操作行為等進行安全審計的技術要求。l滿足網站服務器整體安全性以及運行要求。l滿足網頁發布內容正確性及權威性要求。 網站核心運行安全區網站三級等保產品部署案例實戰215數據庫暴庫的風險網站三級等保產品部署案例實戰2聽說現在上網可以查到開房記錄.16網站三級等保產品部署案例實戰2數據庫暴庫的風險1

7、7通過微博查任意qq號，再通過qq群關系數據庫，查更多信息。找到名字再通過12306、開房的庫查到身份證號網站三級等保產品部署案例實戰2關聯性災難軌跡數據庫暴庫的風險黑客脫褲網站三級等保產品部署案例實戰2數據庫暴庫的風險19l滿足等級保護三級要求中關于主機安全的技術要求。l滿足等級保護三級要求中關于邊界訪問控制的技術要求。l滿足等級保護三級要求中關于對網絡操作行為以及數據庫操作行為等進行抗抵賴以及安全審計的技術要求。l滿足等級保護三級要求中關于應建立安全管理中心，對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理的技術要求。 網站運維安全區網站三級等保產品部署案例實戰220網站

8、三級等保產品部署案例實戰2來自內部PC的風險21l滿足等級保護三級要求中關于應提供本地數據備份與恢復功能，完全數據備份至少每天一次，備份介質場外存放的技術要求。l滿足等級保護三級要求中關于應提供異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至備用場地的技術要求。 存儲與備份安全區網站三級等保產品部署案例實戰22223實戰2某地國土電子政務外網新建網上交易平臺總基線需求：國土內網與國土外網的高冗余式網絡結構方案：基礎信息安全設備均為雙機熱備式部署規劃 網站三級等保產品部署案例實戰2項目背景24需求：國土內網與國土外網的安全域（安全區）劃分方案：將WEB服務器群及CA認證服務器規劃到國土外網

9、安全域，其余部分規 劃到國土內網安全域。網站三級等保產品部署案例實戰2 劃分安全區25需求：國土內網與國土外網的訪問控制與安全隔離方案：在國土內網、外網分別部署接入層防火墻、及數據中心防火墻，建立良好的分級訪問控制與安全隔離 網站三級等保產品部署案例實戰2 訪問控制與安全隔離26需求：國土內網與國土外網的正常數據交換管理方案：在國土內網與國土外網之間部署網閘，對跨安全域的訪問請求及數據內容進行隔離審查與傳輸控制。網站三級等保產品部署案例實戰2 安全區間數據交換體系27需求：國土內網木馬病毒防御機制方案：在國土內網刀片服務器部署企業版殺毒軟件，對聯網終端進行整體性的木馬病毒查殺管理 需求：國土內

10、網聯網終端的主機監控與審計安全管理方案：在國土內網刀片服務器部署主機監控與審計安全管理服務器，在聯網終端部署主機監控與審計終端，提升聯網終端的安全管理級別 網站三級等保產品部署案例實戰2 木馬病毒防御機制 終端安全管理28需求：對訪問國土內網服務器群的流量進行負荷分擔方案：在國土內網服務器群的旁路部署服務器負載均衡，對訪問國土內網服務器群的流量進行高效的疏導，避免單鏈路承載過重而導致的網絡擁塞及其他隱患 網站三級等保產品部署案例實戰2 服務器流量疏導機制29需求：國土內網的漏洞掃描體系、入侵檢測體系以及網絡及數據庫行為審計 體系的需求方案：以旁掛的形式部署漏洞掃描系統、入侵檢測系統以及網絡/數

11、據庫行為 審計系統以解決輔助性信息安全需求。網站三級等保產品部署案例實戰2 管理性安全需求30需求：國土內網數據庫服務器群的異地備份需求方案：從數據庫服務器群上行交換機以專線的形式級聯到異地機房，以建立 異地備份平臺，保障數據安全 需求：國土外網WEB服務器群不需要隨時通過網閘讀取內網數據庫服務器數 據，減小干路流量壓力，提升網絡冗余空間。方案：在WEB服務器群旁掛專用于發布的數據庫服務器，WEB服務器的數據 來源指向發布數據庫服務器，同時配置網閘使得發布服務器以一定的觸 發條件同步內網數據庫服務器數據，減小干路流量壓力，提升整體網絡 冗余空間 網站三級等保產品部署案例實戰2 異地備份 WEB

12、服務器群數據交換31需求：國土外網網上交易平臺身份認證機制，建立良好的可控的網上交易安 全接口。方案：在國土外網旁掛VPN網關以及專用的CA認證服務器，形成完善的PKI認證體系，全面提高用戶網絡的安全等級，在建立良好與可控的網上 交易安全接口的同時，對交易人所持之KEY也能良好的進行擴容管理網站三級等保產品部署案例實戰2 網上信息交互身份認證32網站三級等保產品部署案例實戰2來自交互的風險3月22日晚，一家名叫“烏云”的網站漏洞報告平臺發布公告，稱在線票務服務公司攜程網存在支付漏洞，在攜程網用信用卡支付，顧客姓名、身份證信息 、銀行卡卡號、CVV2碼等信息都會被保存在攜程網本地服務器，且有可能

13、被泄露，給客戶信用卡盜刷埋下隱患。3月23日攜程網為漏洞信息致歉，稱事發后兩小時內已經修復漏洞，發現93名顧客信息疑似泄露，并承諾若用戶出現損失將全額賠付。33攜程將用于處理用戶支付的服務接口開啟了調試功能，使部分向銀行驗證持卡所有者接口傳輸的數據包均直接保存在本地服務器，有可能被黑客所讀取網站三級等保產品部署案例實戰2來自交互的風險34需求：國土外網WEB服務器群的網絡攻擊防范體系。方案：在國土外網WEB服務器群上行交換機旁掛WEB防火墻（WAF），以反向代理模式實現網頁防篡改、防SQL注入攻擊、防跨站腳本攻擊、抗拒絕服務攻擊等網絡攻擊防范手段，全面提WEB服務器群抗網絡攻擊行為 的安全等級

14、。網站三級等保產品部署案例實戰2 網上交易平臺WEB防范35需求：國土外網為多ISP運營商接入模式，需要對來自每個運營商的不同路由訪問請求進行流量疏導、鏈路均衡，同時還需要降低多ISP運營商高并發訪問量出現之時的非設備處理能力造成的互聯網訪問擁塞。方案：部署應用交付系統，智能地均衡流量并達到最優的利用率；為不同級別的應用實現差異化服務，實現有效合理的帶寬控制與管理，解決多ISP運營商高并發訪問量出現時的數據丟包、TCP延遲等問題。網站三級等保產品部署案例實戰2多ISP運營商鏈路的流量負載及訪問優化36需求：對國土內網、外網所有網絡設備進行整體性管理方案：建立基于安全域的專用運維管理區（邏輯），

15、直接級聯至（內網、外網）核心交換機，以保障對國土（內網、外網）網絡設備進行整體性管理 網站三級等保產品部署案例實戰2運維管理區（內網、外網）3738電子政務外網網站三級等保特殊要求網站三級等保產品部署案例實戰三級等保信任體系的維持與糾錯12339三級等保信任體系的維持與糾錯3安全短板技術進步管理失位l信息的安全就像一個木桶，整體的安全性取決于最薄弱的一個環節（短板），否則即使其它方面做得再強，但在某一方面留下一個漏洞，也可能被他人利用，導致信息的失竊l攻擊技術在不斷的發展和進化，而安全產品的更新永遠落后于攻擊技術的發展，僅僅使用安全產品已經不能提供全面的信息安全，必須與業內的安全專家緊密的溝通

16、，才能對抗新的安全威脅l即便再好的安全設備、系統和技術，若沒有有效地貫穿于信息流通與信息活動中的安全管理工作，也是無法真正實現信息安全的如何維持與糾錯？40三級等保信任體系的維持與糾錯312通過咨詢制定核心安全管理流程，建立有效的信息安全體系、完善信息安全架構通過培訓來增強客戶的安全意識，減少和避免人為因素造成的安全事件的發生通過滲透測試、代碼審核等服務幫助客戶了解自身（系統）的安全性3通過安全評估了解安全現狀與所面臨的威脅，獲得從業務面到技術面的整合需求4通過安全加固來持續增強信息系統自身的安全性通過應急響應及時有效地處理重大的安全事件，最大限度的減少安全事件的影響6借助安全通告對安全威脅提

17、前預警，對行業新增安全威脅防范風險于未然7維持與糾錯的7個維度541三級等保信任體系的維持與糾錯3例1：網站遠程滲透測試糾錯42三級等保信任體系的維持與糾錯3遠程滲透測試糾錯網站/業務系統開發廠商思考的問題用戶的功能需求是什么？如何去實現這些功能？如何在實現功能的同時減少開發量？如何在最快時間內上線？43三級等保信任體系的維持與糾錯3遠程滲透測試糾錯網站/業務系統用戶關心的問題黑客能攻得進來嗎？網站/系統有危險漏洞嗎？網站/系統的數據會泄漏嗎？網站/系統會遭到篡改嗎？44三級等保信任體系的維持與糾錯3遠程滲透測試糾錯功能有了，邏輯結構不嚴謹，經常出錯開發過程中安全考慮的太少，存在諸多漏洞沒有經

18、過正規安全測試，無法證明安全性后期的安全完善成了用戶自己的事情錯位的問題/用戶實際面臨的安全問題45三級等保信任體系的維持與糾錯3遠程滲透測試糾錯委托受理相關協議初步分析測試/應急方案分析測試權限提升存在漏洞*控制目標權限回退數據收集*破壞測試撰寫報告46三級等保信任體系的維持與糾錯3遠程滲透測試糾錯black黑盒測試white白盒測試grey灰盒測試望聞問切量體裁衣47三級等保信任體系的維持與糾錯3例2：實時監控與告警糾錯48三級等保信任體系的維持與糾錯3實時監控及告警糾錯被監控網站/系統通過不同監測引擎獲取檢測結果可用性監控漏洞掃描掛馬監控篡改監測實時監測/監控技術接口人下達任務單支撐團隊用戶調度調度定期綜合報告定期綜合報告即時告警、電話通知檢測檢測爬蟲爬蟲“XX實施監控及告警中心”Internet敏感內容暗鏈監測。49三級等保信任體系的維持與糾錯3實時監控及告警糾錯價值體現 實時糾錯 主動糾錯 專業糾錯 客觀糾錯 直觀的掌握信息系統當前綜合安全狀態和安全趨勢 主動、及時地安全事件預警，為規避風險爭取了反應時間 安全事件自動響應、任務處理和流轉，降低運維人員工作強度、提高了工作效率 統一調度、協