信息安全-终端检测响应平台EDR解决方案
第一章概述
二十一世纪以计算机和网络通信为代表的信息化技术迅速发展,现代政府部门、金融机构、企事业单位和商业等组织的日常办公对信息系统以及计算机终端愈发依赖,信息技术几乎渗透到了世界的各行各业及工作生活的方方面面。组织机构的正常运行高度依赖于信息系统,而针对其所承载的服务和数据的安全保护就显得尤为重要,如数据的安全性、完整性,终端计算机的可靠性、可用性等方面出现缺陷,将会给组织机构带来不可计量的损失。而如今,全球化的互联网使得组织机构不仅依赖信息系统,还不可避免地通过计算机与外部的信息系统建立密切联系。面对来自外部以及内部的威胁,对信息系统及系统终端的保护需求则更为突出。
面对日益严峻的安全风险,大部分组织机构通过以边界安全网关类设备为基础构建信息系统安全防护体系,并在一定程度上抵御来自外部的攻击,然而内部信息系统是不断变化发展的,系统环境在任何时刻都会呈现开放、共享等特点,不应以孤岛形式存在,外部威胁只是安全风险的一部分,作为办公环境的重要组成,开放的信息系统及办公计算机终端环境将面临更为严峻的内部威胁挑战。正因如此,终端的安全性显得格外重要且又是容易被忽略的安全薄弱环节。
XX终端计算机具有点数多、覆盖面大、难管理等特点,加之XX信息安全人员人手有限,终端分布环境复杂,威胁风险事件较多,使信息安全人员对终端安全工作处于被动状态。在终端安全方面,一旦出现病毒感染、恶意破坏传播、数据丢失等事件,将会给XX造成严重损失,后果不堪设想。现由于XX各部门及员工对计算机的合规使用、对终端安全以及病毒防范的意识和能力参差不齐,已严重影响到计算机信息系统安全性。正因如此,全方位做好XX信息系统的终端安全防护工作,在XX建设一套终端安全检测与响应系统,以确保XX的日常办公安全、稳定、高效运行。
第二章应用场景与风险分析
2.1防病毒应用概况
信息化飞速发展,组织内部人员的正常办公,与计算机终端密不可分,它为使用者带来便利同时,亦产生了层出不穷的安全威胁。这其中就以计算机病毒最
为致命,它具有破坏性强、传播途径多样等特点,一旦感染将会给XX造成巨大损失。针对于此,XX在现有信息系统中通过部署**防病毒产品,用以防御已知威胁,这在一定程度上确实能够提升终端安全防护水平,但就目前信息化技术发展来说,如勒索病毒大范围感染传播事件,攻击者的免杀技术不断升级,传统防病毒产品已无法及时有效的应对新的高级威胁。
2.1.1现状及风险分析
2.1.1.1人工运维加剧威胁防御成本
传统终端安全产品以策略、特征为基础,辅以组织规定以及人员操作制度驱动威胁防御,勒索病毒等高级威胁一旦产生,将会在内部不可控的感染传播。信息系统的恢复工作,需要逐台逐点完成,大量人工成本呈几何增长态势。
另外针对新型病毒而言,需要充分研究其技术特点,以针对性的防御措施进行加固,这就对企业运维人员的专业性要求极高,那么面对层出不穷的新型威胁,现阶段以传统防病毒产品为基础进行有效应对难度较大。
2.1.1.2基于特征匹配杀毒无法有效抵御新型病毒
已有防病毒产品基于病毒特征库方式进行杀毒,在高级威胁持续产生的大环境下,呈现被动、后知后觉等检测特点,无法及时有效防御新型病毒,如WannaCry 勒索病毒。另外,本地特征库数量受存储、性能、资源等多方面影响,现有本地特征库文件规模无法满足已知病毒的查杀需求。
2.1.1.3病毒特征库数量增长加重主机运算资源
伴随着已知病毒样本的不断增加,本地病毒特征库数量日益增多,现已严重加剧终端存储、运算资源成本,查杀病毒过程会出现卡顿、假死等现象,严重影响用户日常办公。而信息系统环境亦会伴随着信息技术更新而迭代,现有防病毒产品已无法适配如云化等新的特定场景。
2.1.1.4杀毒处置方式落后无法适应病毒新的传播方式与环境
如信息系统内某台终端发现病毒,防病毒产品将采取基于文件隔离的方式进
行处置,此种方式相对落后,如文件隔离失败情况产生,单点威胁将快速辐射到面,因此传统防毒产品已经无法适应新的病毒传播方式及环境。
2.2终端间访问控制应用概况
一直以来,企业广泛的采用纵深防御技术(defensin depth)和最小权限逻辑(least privilege)来进行企业网络安全管理。而隔离是实现这两个理念的基本方式,例如传统安全管理中,通过边界部署防火墙来实现可信网络与外部网络的隔离,内部不同安全级别间划分安全域,域间通过防火墙实现隔离,并通过设置安全策略按需赋予访问权限。
2.2.1现状及风险分析
2.2.1.1终端间缺少基本的访问控制体系
从近年来的安全事件我们可以看到,攻击者从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的高级可持续攻击。无论从著名的Lockheed Martin Cyber Kill Chain(洛克希德-马丁公司提出的网络攻击杀伤链),还是近年名声大噪的勒索病毒、挖矿病毒,这些攻击都有一些显著特点,一旦边界的防线被攻破或绕过,攻击者就可以在数据中心内部横向移动,而中心内部基本没有安全控制的手段可以阻止攻击。这也突出了传统安全的一个主要弱点,复杂的安全策略、巨大的资金和技术都用于了边界防护,而同样的安全级别并不存在于内部。
2.2.1.2终端间访问关系无法有效可视
对终端间访问关系的梳理必不可少,若通过路由表单等静态报表很难看到每个业务域内部各个终端的访问关系展示以及访问记录,也无法通过可视化的方式看到每个业务域之间的访问关系展示以及每个业务域的流量状态、访问趋势、流量排行
2.3设备联动应用现状
XX网络的建设伊始及后续应用,就与外部网络存在密不可分的连通性,资料查阅、信息交流、数据共享等行为普遍存在,这使得XX办公人员大大增加了工作便捷性。然而,网络化办公增加工作效率同时,由此产生的外部威胁、非法操
作行为即随之而来,正因如此,XX在现有信息系统中通过部署深信服下一代防火墙AF、行为管控AC、安全感知平台SIP等设备,以便达到抵御外部攻击威胁、规范化组织用户上网行为、感知网络威胁等效果,这些技术措施的良好运用,有效增强了信息系统安全性。然而安全体系的建设应呈现一体化形态,各安全设备分散应用、各自为战,无法有效实现安全防护工作的进一步增值,病毒威胁一旦感染至终端,前期所做一切工作将形同虚设。
2.3.1现状及风险分析
2.3.1.1未构成整体安全防护体系
传统安全防护工作的建立,必然与各安全设备形成密不可分的关系,但术业有专攻,目前各安全设备只可达到职责范围内的对应防护效果,即各系统只可对其涉及的对象进行安全管理,查看相应信息、检测对应流量、收集安全日志,各系统的功能及信息均呈现分散特点,未有效整合安全防御能力,并形成整体化的安全防护体系。
2.3.1.2缺乏设备间有效联动机制
安全威胁的产生不会因为防御技术的升级而终止,面对层出不穷的威胁,诸多安全设备各司其职、各自为战,安全设备间未形成有效的联动机制,威胁一旦在某点爆发将快速影响到面,然而现阶段,有效应对及响应手段只可依靠人工。
2.3.1.3安全防护能力不可延伸至端点
前期已建设的深信服AC、AF、SIP等系统,在安全防护能力方面,更多偏重于网络层面,无法延伸至端点。然而就终端而言,其有效使用与XX用户日常工作密不可分,终端作为安全防护工作的最后一公里,重要程度不言而喻,新型勒索病毒等威胁一旦出现,将不可控的感染至终端,而此时维护工作量大、恢复难度高、感染覆盖面广等等问题均全面暴露,给XX造成不可预估的损失。
第三章建设思路
综上所述,XX已在信息系统内部建立防病毒、防火墙、上网行为管理、安全感知的系统,但以新型威胁、终端安全等角度为出发点,仍存在诸多不足。本方案将设计通过深信服终端检测与响应系统(以下简称“EDR”)进行XX终端安全防护项目建设,EDR是深信服公司提供的一套综合性终端安全解决方案,方案由轻量级的端点安全软件和管理平台软件共同组成。EDR以具有自主知识产权的创新型SAVE人工智能引擎为核心,通过预防、防御、检测、响应赋予终端更为精准、持续的检测、快速处置能力,应对高级威胁同时实施联动协同、威胁情报共享、智能响应机制,可以实现威胁快速检测、有效处置终端一系列安全问题,构建全新智能化的下一代终端安全系统,为XX提供行之有效的整体安全防御体系。
图3-1 项目建设思路
3.1构建多维度威胁防御体系
通过EDR的全面部署应用,提供全网终端病毒、木马、入侵攻击等威胁防御能力,通过EDR人工智能SAVE引擎、全网信誉库、云查引擎、行为分析等技术,全面应对威胁,有效防御新型未知病毒的感染与传播,解决现有信息系统安全问题,构建百分百多维度威胁防御体系。
3.2建设多平台立体防御壁垒
通过EDR的全面部署应用,提供多安全平台联动机制,EDR可与深信服AC、AF、SIP进行联动,实现威胁情报的共享与接收效果。EDR在收到其他设备发送
的威胁情报时,可第一时间进行隔离处置,有效缩短威胁响应时间,智能化的处置方式,大大减少管理人员维护工作量、提升安全防护水平,并全面形成多平台立体防御壁垒。
3.3设计原则
对于XX网络终端安全防护工作,应当以威胁风险为核心,以重点保护为原则,从使用的角度出发,重点保护信息系统计算机,在项目建设中应当遵循以下的原则。
3.3.1适度安全原则
任何信息系统都不能做到绝对的安全,在进行终端安全防护建设中,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。
适度安全也是项目建设的初衷,因此在进行项目建设的过程中,一方面要严格遵循基本要求,另外也要综合成本的角度,针对XX终端的实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。
3.3.2技术管理并重原则
信息安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的,仅仅通过部署安全产品很难完全覆盖所有的信息安全问题,因此组织机构后续还应制定有效的管理制度,使技术与管理相结合,更有效的保障系统的整体安全性。
3.3.3合规性原则
终端安全防护应当考虑与国家相关标准的符合性,在本次项目建设中,采用的EDR必须满足国家法律法规的标准要求。
3.3.4成熟性原则
采取的安全措施和产品,在技术上是成熟的,是被检验确实能够解决安全问题并在很多项目中有成功应用的;
3.3.5综合治理原则
在本项目中,内网终端的安全保护不仅仅是一个技术问题,各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合,从多角度综合考虑。
3.4建设范围与规模
本项目将为XX信息系统构建全网终端安全防护体系,建设EDR系统,保证内部终端安全、可控、可审计。
本次项目建设的范围包含XX全单位、涉及服务器**点、终端**点。
第四章方案设计
4.1总体架构
综上,结合现状以及方案建设思路,本次项目设计采用EDR系统进行建设,系统主要由基础平台、核心引擎、系统功能三部分组成:
?基础平台:
由主机代理、恶意文件查杀引擎、WEB控制台三部分组成,该平台提供EDR 系统良好运行的基础支撑,提供终端安全防护功能的基本运行环境,负责功能指令以及消息的接收、发送、执行;
?核心引擎:
由人工智能SAVE引擎、云端威胁情报、第三方引擎所组成,用以实现病毒有效检测以及快速响应功能。
?系统功能:
系统功能展现则由预防、防御、检测、响应四部分组成,通过上述四部分功能对终端赋予加固措施,有效抵御病毒木马等威胁,实现安全有效的终端防护效果。
系统总体架构如下图所示:
图4-1 总体架构
4.2产品设计理念
Gartner自适应闭环架构四阶段模型,四个阶段共定义了12个建议项用来完善四阶段模型的各个防护阶段,深信服EDR是业界唯一完全满足12个建议项的终端安全厂商
4.2.1预防阶段
?通过【系统漏洞检测】1来进行【主动风险分析】,明确系统层面的漏洞风险是否为可接受风险
1见漏洞补丁管理功能描述4.8
?通过【人工智能引擎SAVE】2,具有强泛化能力,可以使用半年前引擎模型即可查出最新勒索病毒,【预测变种攻击】
?通过【安全基线核查】3明确等保合规或者【安全基线】是否达到预期
4.2.2防护阶段
?通过【微隔离】4【强化和隔离系统】,细粒度管控终端间访问关系并做到可视化展现?通过【勒索诱饵陷阱】5,当勒索病毒加密诱饵文件可通过进程回溯病毒文件进行查杀,达到【转移攻击】的目的
?通过【一键隔离】6阻止感染终端持续向外扩散,阻止【事件升级】
4.2.3检测阶段
?通过【文件实时监控】7与【主动扫描】持续【检测威胁事件】
?通过【终端围剿式查杀】8和【终端间访问控制】做到一台感染,全网感知,【抑制事件】进一步爆发
?通过【威胁等级分类】9【确认风险优先级】,进一步明确内网安全情况,并按优先级进行处理
4.2.4响应阶段
?通过【文件修复】对受感染文件进行【修复】,当无法修复或修复失败时再进行隔离?通过【云网端协同联动】10对【全网网络安全架构进行设计】,并通过不断完善云网端体系和版本升级进行持续迭代
?通过EDR针对攻击事件进行【溯源分析】进行【调查与取证】,对攻击链条进行重新审视,并针对审视结果
2见AI技术SAVE引擎4.4.1.3
3见安全基线核查4.4.3
4见应用创新为隔离技术的动态防护体系4.5
5见勒索病毒诱捕4.4.2
6见访问关系控制4.5.2
7见基于多维度威胁防御体系4.4
8见终端围剿式查杀4.4.4
9见全网威胁定位4.13
10见网端云协同联动与高效威胁处置4.6
4.3统一管理平台适配全类型资产
适配全类型资产
?桌面云,传统PC,笔记本,私有云,服务器,私有云,公有云全适配
?终端系统兼容性广阔
?与底层虚拟化解耦,适配全部虚拟化底层平台
4.4基于多维度的智能检测技术
4.4.1检测引擎
终端上的安全检测是核心的技术,传统的病毒检测技术使用特征匹配,而特征匹配没有泛化能力或泛化能比较弱,当病毒经过简单的变种,就必须新增加特征规则,因此,随着病毒数量越来越大,病毒特征库也就跟着越来越大,同时运行所占资源也就越来越多。而基于AI技术的查杀引擎,利用深度学习的技术,通过对海量样本数据的学习,提炼出来的高维特征,具备有很强的泛化能力,从而可以应对更多的未知威胁。而这些高维特征数量极少,并且不会随着病毒数同步增长,因此,AI技术具有更好检出效果、更低资源消耗的优点。
当然,仅靠一个AI杀毒引擎是不够的,深信服的 EDR 产品构建了一个多维度、轻量级的漏斗型检测框架,包含文件信誉检测引擎、基因特征检测引擎、AI 技术的 SAVE 引擎、行为引擎、云查引擎等。通过层层过滤,检测更准确、更高效,资源占用消耗更低。
4.4.1.1文件信誉检测引擎
基于传统的文件hash值建立的轻量级信誉检测引擎,主要用于加快检测速度并有更好的检出效果,主要有两种机制:
1.本地缓存信誉检测:对终端主机本地已经检测出来的已知文件检测结果缓存处理,加快二次扫描,优先检测未知文件。
2.全网信誉检测:在管理平台上构建企业全网的文件信誉库,对单台终端上的文件检测结果汇总到平台,做到一台发现威胁,全网威胁感知的效果。并且在企业网络中的检测重点落到对未知文件的分析上,减少对已知文件重复检测的资源开消。
4.4.1.2基因特征检测引擎
深信服EDR的安全运营团队,根据安全云脑和EDR产品的数据运营,对热点事件的病毒家族进行基因特征的提取,洞见威胁本质,使之能应对检测出病毒家族的新变种。相比一般的静态特征,基因特征提取更丰富的特征,家族识别更精准。
4.4.1.3AI技术SAVE引擎
SAVE(Sangfor AI-based Vanguard Engine)是由深信服创新研究院的博士团队联合 EDR 产品的安全专家,以及安全云脑的大数据运营专家,共同打造的人工智能恶意文件检测引擎。该引擎利用深度学习技术对数亿维的原始特征进行分析和综合,结合安全专家的领域知识,最终挑选了数千维最有效的高维特征进行恶意文件的鉴定。
●基于人工智能技术,拥有强大的泛化能力,能够识别未知病毒或者已知病毒的新变种;
●对勒索病毒检测效果达到业界领先,包括影响广泛的 WannaCry、BadRabbit等病毒。2018
年 10 月新发现的 GandCrab5.0.3、Rapid、GandCrab5.0.4、KrakenCryptor2.0.7 勒索病毒,使用 9 月已经合入产品并发布的 SAVE1.0.0可以全部检出和查杀。对非勒索病毒也有较好的检出效果;
●云+边界设备+端联动,依托于深信服安全云脑海量的安全数据,SAVE 能够持续进化,
不断更新模型并提升检测能力,从而形成传统引擎、人工智能检测引擎和云端检测引擎的完美结合,构成了深信服的安全云脑+安全网关AF/SIP/AC+终端安全 EDR 的整体解决方案。
4.4.1.4行为引擎
传统静态引擎,是基于静态文件的检测方式,对于加密和混淆等代码级恶意对抗,轻易就被绕过。而基于行为的检测技术,实际上是让可执行程序运行起来,“虚拟沙盒”捕获行为链数据,通过对行为链的分析而检测出威胁。因此,不管使用哪种加密或混淆方法,都无法绕过检测。最后,执行的行为被限制在“虚拟沙盒”中,检测完毕即被无痕清除,不会真正影响到系统环境。
行为引擎在分层漏斗检测系统结构中,与云查引擎处于最低层,仅有少量的文件到达该层进行鉴定,因此,总体资源消耗较少。
4.4.1.5云查引擎
针对最新未知的文件,使用IOC特征(文件hash、dns、url、ip等)的技术,进行云端查询。云端的安全云脑中心,使用大数据分析平台,基于多维威胁情报、云端沙箱技术、多引擎扩展的检测技术等,秒级响应未知文件的检测结果。
4.4.2勒索病毒诱捕
装载在终端系统上的EDR客户端,在系统关键目录及随机目录放置诱饵文件,当病毒调用加密进程对终端文件加密,当加密到诱饵文件时,诱饵文件将加密进程反馈至EDR客户端,EDR客户端立即杀掉加密进程阻止加密,并根据调用进程的病毒源文件进行查杀,有效阻止勒索病毒对关键目录文件的进一步的加密和扩散
4.4.3终端安全基线核查
图4-4 安全合规审查
终端的安全合规性是重中之重,信息系统中终端一旦不合规将产生不可预知的安全风险,正因如此,无论是国家法律法规,还是组织内部的规章指引,对于主机方面都具有明确的安全要求,本方案将通过全面部署应用深信服终端检测与响应系统,对内部终端进行安全合规审查,依据等级保护的主机安全要求进行设计,对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查,满足企业建设等级保护系统的主机安全要求。
4.4.4全网终端围剿式查杀
当某一台终端发现病毒文件,基于文件信誉引擎立即将此病毒文件的md5特征值进行全网通报,做到一台发现,全网感知,在全网进行围剿式查杀
4.5应用创新微隔离技术的动态防护体系
4.5.1创新微隔离技术
EDR微隔离方案提出了一种基于安全域应用角色之间的流量访问控制解决方法,系统可实现基于主机应用角色之间的访问控制,做到可视化的安全访问策略配置,简单高效地对应用服务之间访问进行隔离控制。优先对所有的服务器进行业务安全域的逻辑划域隔离,并对业务区域内的服务器提供的服务进行应用角色划分,对不同应用角色之间服务访问进行控制配置,减少了非法人员对物理、虚拟服务器攻击机会,集中统一管理服务器的访问控制策略。并且基于安装轻量级主机Agent软件的微隔离访问控制,不受虚拟化平台、物理机器和虚拟机器影响。另一方面,微隔离功能的应用,可在发生病毒感染情况下,将威胁放置在可控范围内,从而有效提升安全防护水平。
4.5.2终端间访问关系控制
在东西向访问关系控制上,优先对所有的服务器进行业务安全域的逻辑划域隔离,并对业务区域内的服务器提供的服务进行应用角色划分,对不同应用角色之间服务访问进行访问控制配置,减少了对物理、虚拟的服务器被攻击的机会,集中统一管理服务器的访问控制策略。并且基于安装轻量级主机 Agent 软件的访问控制,不受虚拟化平台的影响,不受物理机器和虚拟机器的影响。
通过全面部署应用深信服终端检测与响应系统,可全面解决信息系统内部网络互访不可控问题,规范化主机、业务等网内不同对象的网络访问行为。
利用应用角色之间的主机流量访问控制的技术,提供对业务安全域之间、业务安全域内不同应用角色之间、业务安全域内相同应用角色之间的访问控制策略配置,提供简单可视化的安全访问策略配置,提高安全管理效率。
表4-1 微隔离角色访问控制
例如门户网站业务域的WEB应用角色服务器组提供Apache应用服务,策略动作允许门户网站业务域内所有主机的访问,而DB应用角色服务器组提供的MySQL应用服务,策略动作只允许门户网站业务域内的WEB应用角色服务器组的访问。
门户网站业务域内WEB应用角色之间的主机,由于没有访问需求,配置为隔离拒绝策略。
4.5.3终端访问关系可视化
在访问关系可视化中,采用统一管理的方式对终端的网络访问关系进行图形化展示,可以看到每个业务域内部各个终端的访问关系展示以及访问记录,也可以看到每个业务域之间的访问关系展示以及每个业务域的流量状态、访问趋势、流量排行,同时可以根据每个访问关系会生成访问关系控制策略,让用户决定是否启用该策略,减少了手动新增策略的工作量,提高了安全管理的效率
创新微隔离技术,有效应对高级威胁快速传播,将病毒遏制在指定范围之内,使信息系统环境可控性大大提高。
4.6网端云协同联动
深信服EDR 产品能与NGAF(下一代防火墙)、AC(上网行为管理)、SIP(态势感知)、安全云脑等产品进行协同联动响应,形成涵盖云、边界、端点上中下立体防御架构,内外部威胁情报可实时共享。EDR产品可与安全云脑协同响应,关联在线数十万台安全设备的云反馈威胁情报数据,以及第三方合作伙伴交换的威胁情报数据,智能分析精准判断,超越传统的黑白名单和静态特征库,为已知/未知威胁检测提供有力支持。可与防火墙NGAF、SIP 产品进行关联检测、取证、响应、溯源等防护措施,与AC 产品进行合规认证审查、安全事件响应等防护措施,形成应对威胁的云管端立体化纵深防护闭环体系。
4.6.1深信服下一代防火墙与EDR终端检测响应平台
深信服认为网络及终端的安全要从整体来建设才会充分保障业务的价值,网络与终端要进行充分联动,基于网络及终端各自的优势,网络可通过恶意流量特征进行深度检测与防御,而终端有丰富的威胁上下文信息,两者协同联动可充分定位泛化的恶意威胁。优势互补,信息共享,深度解析,快速闭环,最终为用户交付最佳的威胁防御能力。
4.6.1.1全面威胁防御
网端纵深防御:
通过网络域和终端域的安全防御全覆盖,构建系统化防御能力抵御不同介入点风险,构建由端点到网络的纵深防御能力
全面的风险可视化能力:
对威胁的完整可见,通过边界安全设备对贯穿网络的南北向恶意内容进行检测与防御,同时对终端的东西横向威胁进行检测与防御,构建基于主机的横向及外联攻击画像,提供全面完整的风险可视化能力
4.6.1.2快速处置闭环
热点攻击处置:
基于网络域及端点域威胁上下文的深度关联有效改变企业安全现状,网络流量层分析威胁的特征,在端点上实现恶意载体的深度行为分析、取证,威胁可在网络、端点的威胁信息共享下实现二次确认,精准定位诸如无文件攻击、勒索病毒、挖矿病毒等热点攻击
威胁处置闭环:
策略级细粒度集成,一个安全域识别到的威胁可以动态调整另一个安全域的安全配置,增强整体防御能力,有效抵御威胁,如在流量层发现恶意流量,可以溯源攻击主机,并向该域发起全局扫描、分析、取证、闭环处置的系列动作;在终端域发生远控行为,可以在流量层对远控主机进行网络域的联动封锁
4.6.1.3便捷运维管理
统一管理提升运维效率:
相对于网络与终端割裂式的部署及各自为政的管理方式,在威胁来临时依然各自为战,构建网端一体化统一管理平台,全局预警有效防御、降低管理开销及安全能力的拥有成本
安全风险一键处置:
网端智能协同,当发生威胁时,可通过统一管理平台的一键处置,将终端域风险迅速隔离,并在网络域自动生成联动封锁规则,全面封锁恶意威胁
4.6.1深信服安全感知平台与EDR终端检测响应平台
深信服安全感知平台基于大数据关联分析与深度挖掘技术快速定位出内网失陷主机和高级威胁,对于来自于互联网或边界的攻击行为,通过联动深信服EDR终端检测响应平台下发安全策略,及时阻断相应的攻击行为。对于服务器与终端的失陷主机,通过联动EDR管理平台下发一键扫描策略,快速查杀恶意程序,并利用EDR客户端的微隔离功能,封堵主机的攻击行为,防止威胁的进一步扩散。
4.6.1.1网端溯源分析,精准的高级威胁检测
SIP和EDR内置轻量级人工智能的检测引擎SAVE,通过创新人工智能无特征技术,准确检测勒索病毒。未知病毒检出率高达97.8%,对已知病毒检出率高于99%。Wannacry、Badrabit 、Globelmposter及其变种99.9%检出查杀。
通过SIP对流量侧
4.6.1.2智能的闭环响应体系
方案通过SIP智能联动EDR实现协同响应,并提供专业的安全响应服务,从而实现威胁发现到处置的闭环安全效果。
4.6.1.3全网安全监测预警能力
方案采集全网流量和系统日志,对整体网络安全进行有效检测,快速梳理资产信息,实时监
商密网和信息安全综合防护系统运行管理办法
中电投伊犁能源化工有限责任公司伊犁分公司 商密网和信息安全综合防护系统 运行管理办法 第一章总则 第一条为规范中电投伊犁能源化工有限责任公司伊犁分公司(以下简称伊犁分公司)商密网和信息安全综合防护系统运行管理工作,建立健全信息安全工作长效机制,提升伊犁分公司敏感信息管控水平,特制定本办法。 第二条本办法所称的商密网和信息安全综合防护系统是指包括商密网络、终端安全管理系统、防病毒系统、身份认证系统的所有硬件和软件及相关链路。 第三条商密网和信息安全综合防护系统管理是指对涉及商业秘密信息的电子文件的商密网络平台,其中包含终端安全管理系统、防病毒系统、文档安全管理系统;公司及所属分支机构中办公网部署终端安全管理系统,身份认证系统两项。通过实施网络隔离和综合防护措施对网络信息安全加以强化管理,已达到网络隔离、终端专用、集中管控的多层次安全防护架构。 第二章管理职责 第四条伊犁分公司综合管理部(科信)是伊犁分公司商密网和信息安全综合防护系统的归口管理部门,主要职责如下:(一)负责起草、修订并执行伊犁分公司的商密网和信息安全综合防护系统管理办法。 (二)负责履行公司对终端安全系统发布策略的遵守、执行。 (三)负责向公司提交伊犁分公司商密网和信息安全综合防护项目的新、改、扩建工程审批、备案程序。
(四)负责建立伊犁分公司商密信息系统资产台帐,详细记录系统名称、系统版本、投运时间、放置位置、使用部门、使用人等信息,对于商密终端、商密移动存储介质、数字证书、商密打印机的使用管理、资产管理应做到责任到人。 (五)负责建立商密设备IP地址登记表,详细记录商密终端、商密网服务器、商密打印机等各入网设备的IP地址、Mac地址。 (六)负责商密网和信息安全综合防护系统服务器、网络设备及通道维护。 第五条商密网使用部门履行如下职责: (一)负责履行使用商密终端通过广域网登陆集团公司总部公文传输系统进行商密公文的发送、收取、流转处理;负责以文档加密系统为电子文件手动加密存储;负责加强商密移动存储介质管理,谨防泄密事件发生。 (二)负责保管所属的商密网设备资产,保证不被无关人员进入商密终端进行涉密文件拷贝等违规操作,避免泄密事故发生。 第三章规范标准及权限控制 第六条按照目前集团公司商密网及终端安全防护部署要求,伊犁分公司在机要室部署一台商密终端,并在办公网中部署终端安全管理系统,暂不部署身份认证系统。 第七条伊犁分公司商密网和信息安全综合防护项目建设包 括商密网络建设、商密终端配发、终端安全管理系统部署、防病毒系统部署等内容。 第八条伊犁分公司商密网络应与现有办公网络采用物理隔离,不得采取无线技术组建商密网络。
信息安全管理系统
信息安全管理系统 一、产品聚焦 1、随着企业信息化进程的不断推进,信息安全问题日益凸显。信息技术水平不断在提升的同时,为何信息泄露,信息安全事件仍然时有发生 2、对于信息安全事件为何我们不能更多的在“事前”及时的发现并控制,而是在“事后”进行补救 3、信息安全管理工作“三分技术、七分管理”的原因何在 4、信息安全管理工作种类繁多,安全管理人员疲于应付,是否有合适的管理手段对其归类,有的放矢,加强针对性、提升工作效率是否需要有持续提升信息安全意识和增强知识学习的管理体系 二、产品简介 该产品通过与企业信息安全管理的现状紧密结合,融合国际主流及先进的风险管理方法、工具、设计理念,有效结合国内外对信息安全管理工作提出的相关安全标准体系要求,通过建立企业信息安全风险全生命周期、全面风险来源、全目标管理的全方位风险管理模型,以监测预警防风险、风险流程查隐患、风险应对控事态、监督评价促改进、保障体系提意识,保证信息安全风险管理在企业的落地生效。 三、产品特点 1、业务的无缝集成 无缝集成企业终端防护类安全系统、边界防护类安全系统、系统防护类安全系统、数据防护类安全系统、综合监管类安全管理系统以及相关的基础认证和授权平台等,实现对信息安全事件引发因素的全面监测和智能分析,有的放矢的对信息安全工作进行管理。 2、“上医未病,自律慎独”的风险管理体系 目标鲜明、方法合理、注重实效,为企业信息化进程保驾护航。基于企业现有管理制度和安全防御体系构建,实现系统的行之有效、行之有依。 3、合理的改进咨询建议 通过系统建设对企业信息安全管理现状进行梳理和分析,提供合理有效的改进咨询建议。 4、创新实用的管理工具 蝴蝶结模型、风险矩阵、风险热图等主流风险管理模型的实用化创新应用;德尔菲打分法、层次分析法、灰色评价法等科学分析方法的灵活嵌入;正态分布、泊松分布等概率模型的预测分析,致力于提升风险管理工作的精细度和准确度。 5、预置的信息安全风险事件库 由信息安全及风险管理专家组成的专家团队结合国内外的相关信息安全管理标准梳理的风险事件库基础信息,可在系统建设初期提供有力的业务数据支持。 6、持续渐进的信息安全知识管理 信息安全风险知识管理不仅仅是信息安全相关知识的积累和技术的提升、还在于信息安全管理意识的提升,通过信息安全知识管理体系的建立,提升全员的信息安全管理意识,并提供最新的信息安全知识储备。 四、应用效果 对信息安全风险管理全过程的数据、重点关注的风险主题进行全方位的数据分析,采用科学合理的数据分析模型,以灵活多样化的图表进行展现以辅助决策。 五、产品功能 1、目标管理 维护企业信息安全战略目标、不同层级风险管理目标、目标预警指标、目标风险等。以目标为龙头开展企业信息安全风险管理工作。 2、风险识别 利用层次分析法逐层分析,识别企业信息安全工作中包含的资产、资产脆弱性和面临的威胁,全面辨识风险源并制定相应的防控措施,并针对风险事件制定缓解措施。 3、风险评估 创新利用科学合理的风险评估方法对威胁发生概率、严重程度进行评估,量化风险指数,借助评估工具得出防范风险优先级并对风险分布进行展示。 4、监测预警 依托企业现有的信息安全防范体系架构,设置风险监控点,以风险管理视角对各重要的信息安全指标进行实时的数据监控,发挥信息系统“摄像头”的职能,针对信息安全关注的重大风险进行实时预警提示,确保风险的提前警示和预先处理。
终端信息安全管理规定
XXXX信息中心 终端信息安全管理规定 信息中心 年月
XXXX信息中心 终端信息安全管理规定 注:XXXX代表单位名称,XX代表单位简称,xxxx代表系统名称,**代表部门名称。 第一章总则 第一条为规范XXXX信息中心(以下简称“中心”)员工在使用计算机终端过程中的行为,提高计算机终端的安全性,确保员工安全使用计算机终端,特制定本规定。 第二条本规定适用于在XX使用计算机终端的所有员工,包括内部终端和外部终端,信息中心及其他部门员工。 第三条本规定所指的计算机终端包括员工在XX网络中用于办公用途的台式计算机、便携式计算机。 第二章台式计算机安全管理 第一节硬件使用相关规定 第四条台式计算机由XX(单位简称)**(部门名称)部门统一配发,员工领到台式计算机后,应妥善保管台式计算机的主机、显示器以及附带的所有附件(包括各种线缆、 光盘、说明书等)。 第五条质保期内员工不得自行拆卸台式计算机,以免影响台式计算机厂商的售后服务。第六条未经许可,严禁将非XX配发的台式计算机接入XX局域网。 第七条未经员工所在部门批准,员工不得自行变更台式计算机的硬件配置。 第八条因工作岗位变动不再需要使用台式计算机时,应及时办理资产转移或清退手续。台式计算机做资产转移或清退时,应删除机内的敏感和重要数据。 第二节系统使用相关规定 第九条台式计算机的IP地址由XX统一分配,员工不得自行变更,否则会造成台式计算机无法正常连接网络。 第十条各部门应记录和管理IP地址相关的设备使用情况,对打印机、复印机等设备应及
时记录设备使用情况。 第十一条接收来自外部的软件或资料时,应首先进行防病毒处理。 第十二条禁止在没有采用安全保护机制的台式计算机上存储重要数据,在存储重要数据的台式计算机至少应该有开机口令、登录口令、数据库口令、屏幕保护等防护 措施。 第十三条员工应设置台式计算机的开机密码,有关密码设置按照《帐号口令权限安全管理规定》执行。 第十四条员工离开自己台式计算机时,应将台式计算机屏幕锁定;员工完成应用系统的操作或离开工位时,应及时退出系统。 第十五条所有的台式计算机系统设备必须有一个台式计算机可读的设备属性标签,以便于查询和统计。 第十六条存放台式计算机系统设备的区域必须保持适当的工作温度和湿度,相关要求参见产品说明。 第十七条必须明确所有台式计算机的使用者,台式计算机上不得放盛有饮料等液体的容器。 第十八条根据信息安全管理员的通知进行所使用台式计算机的病毒防治产品的升级版本检查,是否升级完成。 第十九条定期对所使用台式计算机进行病毒的检测和清除。如果发现病毒,将检测和清除的结果报安全管理员进行备案。 第二十条对于外来的(例如从网络上下载)程序和文档,在运行或打开前必须进行计算机病毒的检测和清除。 第二十一条对于电子邮件附件所带的程序和文档在确认来自可信的发件人之前不得运行或打开,并且在运行或打开前必须进行计算机病毒的检测和清除。 第二十二条不得进行计算机病毒的制作和传播。 第三章便携式计算机安全管理 第二十三条便携式计算机的硬件使用、系统使用安全管理规定参照台式计算机相关条款执行。
信息安全服务(终端安全)项目
信息安全服务(终端安全)项目 技术需求 电子税务管理中心 二○一五年七月
第一章项目基本情况 1.1项目背景 税务系统自2005年起,部署实施了瑞星防病毒软件和北信源桌面安全管理系统,覆盖了税务系统超过50万终端计算机,初步实现了病毒木马防治和计算机资源管理,但也存在多个客户端软件运行资源占用较大,统一管理难度大等问题。 为此,税务总局于2013年7月起试点实施了基于云的桌面终端安全管理项目,为终端提供病毒木马查杀、桌面安全管理、补丁管理、网络准入、移动存储管理等安全防护能力。截至目前,桌面管理系统软件已定制开发完毕,并在六个试点省国税局(内蒙、山西、山东、河南、广东、重庆)进行了部署实施,部署终端总数95000余台。 根据工作安排,税务总局决定启动国税系统其他30个单位桌面管理系统的推广实施、售后服务等工作。 1.2软件概况 税务桌面管理系统为税务系统定制开发软件,通过部署一套安全产品,解决终端的桌面安全、准入、防毒杀毒等多种安全需求。通过采用C/S、B/S混合模式,实现了税务私有云模式下的两级部署、多级管理。 1.2.1系统总体框架 整个系统将由以下5个模块组成: 1.私有云模块 私有云模块为系统核心,包含云查杀子模块和云存储子模块。由两个异地互备的计算、存储平台和各省虚拟化平台组成,主要负责绝大部份终端计算任务的执行(如病毒检查、恶意代码检查、终端安全性状况的计算等)和绝大部份的存储任务(如云端病毒库、黑白名单等)。 2.终端安全模块 终端安全子模块是终端安全的本地程序,负责终端信息的搜集、安全策略、防控任务、网络准入的本地响应与控制,同时在云计算平台或本地网络出现异常的情况下,负责临时
企业信息安全管理办法
信息安全管理办法 第一章总则 第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。 第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。 第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。 第五条本办法适用于公司总部、各企事业单位及其全体员工。 第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。 第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。 第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
网络和信息安全管理平台的设计与实现
龙源期刊网 https://www.360docs.net/doc/b210871924.html, 网络和信息安全管理平台的设计与实现 作者:宫正 来源:《科学与信息化》2020年第13期 摘要随着现代计算机通信技术和现代网络通信技术的不断发展,互联网在现代人们的日常社会经济生活中一直占据着重要的应用地位,网络通信技术的不断成熟等也使得它被人们逐渐了解和重视。对网络用户信息和保护个人隐私的进行保护就显得非常的重要,然而在现代我国的网络和信息安全管理平台中,仍然存在一些问题。因此,本文通过针对当前网络安全环境下的信息安全存在问题,分析了网络安全信息管理服务平台实现系统的不断完善和快速发展,建立一个不断完善的企业网络安全信息管理服务平台。希望能够起到一定的借鉴作用。 关键词信息网络;安全信息管理;平台;设计;实现 引言 随着国民经济的不断快速发展和国家信息化体系建设的进一步深入发展,互联网的应用规模也随之不断扩大,信息网络安全事件层出不穷。为了有效应对网络信息安全上的威胁,网络和信息安全管理平台系统可以通过及时检测安全系统漏洞以及扫描应用程序中存在的病毒和下载装有安全防火、的安全杀毒防护软件等多种措施来有效保证当前网络信息系统的安全。然而,许多安全防护产品在实际使用后仍然产生了一系列安全问题。例如,网络经济信息安全产品由于功能分散,尚未基本形成统一规范的网络安全信息管理体系。其次,各种安全防护产品之间往往缺乏统一的沟通管理和联合调度工作机制,难以相互支持、系统开展工作。因此,相应类型的网络安全技术产品的应用很难及时得到有效性的发挥。不同安全设备的风险管理和安全控制系统平台功能有很大不同。安全设备管理人员在网络设备的日常使用和安全管理方法中,通过使用相应的安全管理服务平台进而实现对所有网络安全设备、系统和网络用户的安全管理这种情况,非常不方便。因此,建立了一个标准化的网络安全信息综合管理服务平台非常的重要。本文通过对网络和信息安全管理平台的主要功能,网络安全信息管理平台的系统框架和网络信息安全管理平台的设计与实践进行了一定的分析,希望可以起到借鉴作用[1]。 1 网络安全综合管理服务平台的主要功能 1.1 提高管理服务能力 网络安全信息系统管理可以根据网络拓扑图和数据树形图分别显示网络区域内安全系统管理和网络设备间的部署、运行系统状态以及管理的各种相关基本信息。 1.2 具有战略经营管理领导能力
终端安全重要性
终端安全的重要性 1.信息安全发展趋势 (1)安全需求由单纯防外向内外兼防转化 近年来,随着信息化建设的不断深入及不断发展,信息安全正面临日益严峻的挑战。外部风险的日益增高,网络攻击事件频发,而相应的防范技术与设备也越来越明细,如防火墙、IDS等等,在这里就不做过多的解释。对比之下,内部风险控制则急待加强。受个人经济利益诱惑,内部人员在系统开发和维护过程中,越权访问,窃取敏感信息或者侵吞公共利益,也包括大家在网上经常可以看到的私家侦探等等,这些各种形式的诱惑,使我们清晰地认识到内部威胁正在逐渐加大。 根据国际安全界的统计,每年全球计算机网络遭受的攻击和破坏70%是内部人员所为。来自内部的数据失窃和破坏所造成的危害远远高于外部黑客的攻击。传统的网络安全产品如防火墙和防病毒系统等,对于内部用户攻击和威胁事件则往往无能为力。 在第十七次中国计算机安全年会上,专家同样指出大部分网络风险和威胁是来自内部,建立和加强“内部人”网络行为监控与审计并进行责任认定,是网络安全建设重点内容之一。最近,美国《信息周刊》联合《电脑商情报》等全球合作伙伴进行“全球信息安全调研”,全球40多个国家的7000多名IT专业人士参加了本次调研。调研结果表明:信息系统受到攻击的最大总量来自恶意代码和与企业有密切联系的个人的非法使用。中国在电子邮件、资源使用和电话使用中对内部人的监测都不及北美。资料显示:中国只有11%的网络注重对内部网络行为的监控与审计,而且多为制度监管。而在美国这一数值达到23%,并多为技术监管。起到完整的责任认定体系和绝大部分授权功能的审计监控体系对控制“内部人”风险起到有效的防范作用,是未来安全市场发展的主流。 (2)国家对信息安全有明显的政策导向 国家注重信息安全产业的发展等政策的倾斜,对产业的引导促进作用日益显著,一是产业政策与标准先行:国家先认识到信息安全的重要性,制定了等级保护标准和关于促进信息安全产业的办法等政策,问题驱动和政策驱动使得产业获得了良好的政策环境和清晰的产业方向。二是需求与专项推动:各级政府在政府采购、专项支出方面,都就信息安全产业尤其是自有知识产权产品都给予了很多政策倾斜。
移动终端信息安全浅析
移动终端信息安全浅析 随着移动通信业务的发展,移动终端设备的功能也随之发生了巨大的变化。3G技术的普及改变了以往移动终端单一的业务模式。从最初的语音传输,发展成短消息业务和Web浏览,后来扩展成多媒体短信业务及各种无线增值业务,移动终端也从简单的通话工具逐渐成为集合PDA、MP3、视频、游戏、拍照、GPS、视频通话等功能的移动多媒体终端,演变成集通话、身份代表、信息获取、电子支付等为一体的手持终端工具。伴随着移动终端用户规模的继续扩大和用户对移动终端技术的了解,移动终端正面临着越来越多的安全威胁。 1、移动终端的几种典型的安全威胁: ?移动终端身份识别码的删除和篡改等 由于IMEI号可用来统计用户的终端类型、限制被盗终端在移动网内的重新使用等用途,所以IMEI号应该具有一定的保护措施。 ?终端操作系统非法修改和刷新等 由于非法操作系统可能会影响用户使用并干扰正常网络运行,因此操作系统应当阻止一切非法的修改和刷新等。 ?个人隐私数据的非法读取访问等 移动终端内部可能会存有用户的电话簿、短信、银行账号、口令等用户隐私信息,如果这些信息被他人非法获得,很可能给用户造成直接的经济损失。 ?病毒和恶意代码的破坏 病毒和恶意代码很可能会破坏移动终端的正常使用,还可能会将用户的隐私信息不知不觉地传给他人。 ?移动终端被盗等 目前移动终端被盗现象极其严重,终端被盗给用户带来直接经济损失,更严重的是用户隐私数据的泄漏等。 总之,移动终端存在的安全隐患可能会威胁到个人隐私、私有财产甚于国家安全。尽管移动终端面临着许多的安全威胁,但目前其安全问题仍是整个移动运营网络中的一个安全盲点。虽然目前面市的一些终端号称信息安全终端,采用了
企业信息安全系统管理系统问题研究
实用标准文档录目 I要 ............................................................................................................... 摘....................................................................................................... 1 一、绪论....................................................................... 1 .(一)研究背景和意义....................................................................................... 1 研究背景 1........................................................................................ 3 研究意义 2............................................................................. 4 (二)国外研究综述....................................................................................... 4 国外研究1.2.国研究 . (4) 二、企业信息安全管理现状 (5) 三、企业信息安全管理存在的问题及原因分析 (6) (一)存在问题 (6) 1.企业信息安全意识淡薄 (6) 2.信息安全技术不够先进 (7) 3.企业信息安全相关法律法规不够完善 (7) (二)原因分析 (7) 1.需要提升企业信息安全意识 (7) 2.需要提升信息安全技术 (8) 3.需要落实现有企业信息安全相关法律法规 (8)
信息安全管理学习资料
一、信息安全管理 1、什么是信息安全管理,为什么需要信息安全管理? 国际标准化组织对信息安全的定义是:“在技术上和管理上维数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂,其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁,信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术? 密码技术、访问控制和鉴权;物理安全技术;网络安全技术;容灾与数据备份。 3、信息安全管理的主要内容有哪些? 信息安全管理从信息系统的安全需求出发,结合组织的信息系统建设情况,引入适当的技术控制措施和管理体系,形成了综合的信息安全管理架构。 4、什么是信息安全保障体系,它包含哪些内容? 5、信息安全法规对信息安全管理工作意义如何? 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面: 1.为人们从事在信息安全方面从事各种活动提供规范性指导; 2.能够预防信息安全事件的发生; 3.保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段。 二、信息安全风险评估 1、什么是信息安全风险评估?它由哪些基本步骤组成? 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。 2、信息资产可以分为哪几类?请分别举出一两个例子说明。 可以分为数据、软件、硬件、文档、人员、服务。例如:软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些?其常见表现形式分别是什么?
电力系统智能终端信息安全防护技术研究框架
电力系统智能终端信息安全防护技术研究框架 摘要:科学技术迅速发展极大的带动了我国电力行业的快速发展。近几年随着 中国电网“三型两网”泛在电力物联网发展目标的提出,电力系统智能终端广泛互联、泛在接入,电力系统网络终端更易成为攻击电网的主要入口。在此背景下,围绕电 力系统智能终端安全互联和安全运行的需求,对电力系统智能终端安全防护挑战及 防护技术框架进行了阐述。 关键词:电力系统智能终端;信息安全防护技术 引言 我国经济的迅速发展使我国各行业有了新的发展空间和发展机遇。随着社会 科学技术、信息通讯技术、计算机技术以及人工智能技术的进步,我国在电网通 信系统实现了飞速发展。当前,各种移动无线设备充斥人们的周围,并起着重要 作用。在电力通信系统中引入移动通信和无线网络技术,可进一步推进电力系统 通讯技术的应用。 1电力系统智能终端信息安全风险 1.1芯片层:目前电力系统智能终端芯片自主可控性和安全性不足,在非受控环 境下面临后门漏洞被利用风险。2018年Intel芯片漏洞事件,爆出Intel芯片存在融 毁漏洞以及幽灵漏洞,利用该漏洞进行攻击,可获取用户的账号密码、个人资料等 信息。因此,电力系统智能终端芯片同样面临漏洞、后门隐患的巨大问题。同时,随着电力系统智能终端的开放性逐渐增强,与外界交互范围逐渐扩大,电力系统智 能终端芯片安全性的不足将逐渐凸显,其主要表现在电力系统智能终端芯片自主可 控程度低、芯片安全设计不足,导致当前电力系统智能终端存在“带病”运行,漏洞隐患易被攻击利用造成安全事件。为此,需要在芯片层面提高电力系统智能终端芯片 的安全性,从芯片层面提高电网的安全防护能力。 1.2终端层:电力系统智能终端计算及安装环境安全保证不足,存在终端被恶意 控制破坏的风险。据数据统计表明,目前中国电网已部署各类型电力系统智能终端 总数超4亿,规划至2030年接入各类保护、采集、控制终端设备数量将达到20亿。电力系统中的智能终端设备将全方位覆盖“发电、输电、变电、配电、用电、调度”等各个环节,其形态各异且业务逻辑差异巨大。终端复杂多样的嵌入式硬件计算环境、异构的软件应用环境和多类型私有通信协议等特性,使得其安全防护尚未形成 统一标准。各类终端安全防护措施和水平亦参差不齐,在面对病毒、木马等网络攻 击时整体安全防护能力薄弱。同时,电力系统智能终端在研发、生产、制造等环节 无法避免的漏洞后门隐患也存在被攻击者利用的巨大安全风险。随着电力系统智 能化水平的不断升级,各类型电力系统智能终端越来越多地承载了大量异构封闭、 连续运行的电力生产运营应用。电力系统智能终端一旦遭受恶意网络攻击,将可能 导致终端生产监测信息采集失真,甚至造成终端误动作引发停电风险,传统事后响 应型的终端被动防护技术无法满足电力安全防护的需要。因此,确保电力系统智能 终端软硬件计算环境安全的标准化防护技术,以及事前防御型的主动防御技术研究 需求迫切。 1.3交互层:电力系统智能终端广泛互联互通导致网络开放性扩大,引入网络攻 击渗透破坏风险。泛在电力物联网的建设,其核心目标是将电力用户及其设备、电 网企业及其设备、发电企业及其设备、供应商及其设备,以及人和物连接起来,产 生共享数据,为用户、电网、发电、供应商和政府社会服务。以电网为枢纽,发挥 平台和共享作用,为全行业和更多市场主体发展创造更大机遇,提供价值服务。因
公司信息安全管理制度
鑫欧克公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发
大数据安全保障措施
(一)数据产生/采集环节的安全技术措施 从数据安全角度考虑,在数据产生/采集环节需要实现的技术能力主要是元数据安全管理、数据类型和安全等级打标,相应功能需要内嵌入后台运维管理系统,或与其无缝对接,从而实现安全责任制、数据分级分类管理等管理制度在实际业务流程中的落地实施 1、元数据安全管理 以结构化数据为例,元数据安全管理需要实现的功能,包括数据表级的所属部门、开发人、安全责任人的设置和查询,表字段的资产等级、安全等级查询,表与上下游表的血缘关系查询,表访问操作权限申请入口。完整的元数据安全管理功能应可以显示一个数据表基本情况,包括每个字段的类型、具体描述、数据类型、安全等级等,同时显示这个数据表的开发人、负责人、安全接口人、所属部门等信息,并且可以通过这个界面申请对该表访问操作权限。2、数据类型、安全等级打标 建议使用自动化的数据类型、安全等级打标工具帮助组织内部实现数据分级分类管理,特别是在组织内部拥有大量数据的情况下,能够保证管理效率。打标工具根据数据分级分类管理制度中定义的数据类型、安全等级进行标识化,通过预设判定规则实现数据表字段级别的自动化识别和打标。下图是一个打标工具的功能示例,显示了一个数据表每个字段的数据类型和安全等级,在这个示例中,“C”表示该字段的数据类型,“C”后面的数字表示该字段的安全等级。 数据类型、安全等级标识示例 (二)数据传输存储环节的安全技术措施 数据传输和存储环节主要通过密码技术保障数据机密性、完整性。在数据传输环节,可以通过HTTPS、VPN 等技术建立不同安全域间的加密传输链路,也可以直接对数据进行加密,以密文形式传输,保障数据传输过程安全。在数据存储环节,可以采取数据加密、硬盘加密等多种技术方式保障数据存储安全。 (三)数据使用环节的安全技术措施 数据使用环节安全防护的目标是保障数据在授权范围内被访问、处理,防止数据遭窃取、泄漏、损毁。为实现这一目标,除了防火墙、入侵检测、防病
终端安全管理规定
终端安全管理规定 TPMK standardization office【 TPMK5AB- TPMK08- TPMK2C- TPMK18】
终端安全管理规定 主导部门:IT部 支持部门:N/A 审批:IT部 文档编号:IT-V01 生效日期:
终端安全管理规定1.目的
终端安全管理规定的目的是为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在公司安全体系框架下(准入系统),本规定加强公司终端的管理,规范公司终端的配置和使用,降低由于个人对终端的使用不当而给公司造成的风险,提高公司终端标准化程度。 2.范围 本规定适用于公司所有使用终端的员工以及管理终端的系统管理员。 3.定义 3.1终端 终端泛指一切可以接入网络的计算设备,如笔记本电脑、台式电脑、智能手机、 平板电脑等。 3.2用户账号 用户账号是用户用于访问公司信息系统的唯一的身份标识,包括用户名和密码。 用户账号分为终端账号、AD账号、业务系统账号、VPN账号,以及后台管理账 号。 3.3办公终端 办公终端指用户办公目的,连接办公系统的终端。 4.职责和权限
阐述本规定涉及的部门(角色)职责与权限。 4.1IT部的职责和权限 公司IT部门负责终端安全策略的统一规划,制定终端的技术安全规范,定期检 查公司终端的安全情况。 4.2IT系统Infra组和CIM组的职责和权限 IT系统Infra组负责办公终端安全的具体工作,ITCIM组负责生产终端安全的具 体工作,要求各系统进行终端区域的划分,定期检查各系统终端的安全使用情 况。 4.3系统管理员的职责和权限 各系统的管理员应根据要求严格执行终端的安全操作规范。 5.内容 5.1生产终端安全要求 公司生产终端系统安全配置应该遵循以下原则: 5.1.1应划分专用的生产终端接入网络区域,生产终端应根据接入区域的配置要求 进行接入。 5.1.2各系统生产终端都应统一部署系统安全配置策略,并对系统信息配置信息进 行备案登记。
信息管理与信息安全管理程序.docx
. . 1目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制 造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应, 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策, 定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况, 协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门,主要职责: a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口; d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
LanSecS信息安全等级保护综合管理系统
LanSecS信息安全等级保护综合管理系统 北京圣博润高新技术股份有限公司 2012-6-14
1.系统简介 “LanSecS信息安全等级保护综合管理系统”是一套适用于信息安全等级保护工作业务管理的综合信息管理平台。作为信息安全等级保护工作的常态化管理工具,该系统紧密结合我国信息安全等级保护政策,实现了对信息安全等级保护工作中定级备案、安全建设整改、等级测评、风险评估和安全检查等各个工作环节信息与数据的集中管理和工作流程管理。 2.系统定位
3.系统架构 图1系统架构示意图 LanSecS信息安全等级保护综合管理系统的架构分为业务管理层、基础数据层和接口层三层。业务管理层提供包括等级保护工作管理、日常办公管理、数据统计与分析等管理功能。基础数据层维护等级保护工作所需的各类基础信息与数据。接口层负责与其它安全运维管理系统或等级保护备案管理系统的数据共享和交互。 4.系统功能 4.1.定级备案管理 “定级备案管理”主要完成重要信息系统的定级备案信息维护与管理,包括备案信息填报、备案信息查询、备案信息统计、备案信息表的导出和导入、备案附件信息管理、备案数据采集工具等。
4.2.安全建设整改管理 “安全建设整改管理”主要完成已备案信息系统安全建设整改活动的管理。系统将安全建设整改分为工作部署、现状分析、整改方案设计、整改实施、整改结果分析五个工作步骤,实现了安全建设整改活动的全程监控。 4.3.等级测评管理 等级测评管理模块主要负责由第三方测评机构主导实施的等级测评活动的组织和管理。包括测评机构管理、测评流程管理、测评结果汇总与记录、测评活动监控等功能。 4.4.安全检查管理 “安全检查管理”提供对安全自查、主管部门检查和公安机关检查等安全检查活动情况的跟踪记录管理。包括监督检查制度管理、安全自查管理、主管部门检查管理、监督检查信息记录、监督检查数据查询与统计、监督检查数据导入导出等功能。 4.5.风险评估管理 “风险评估管理”主要负责对信息系统风险评估活动相关信息的维护管理,规范风险评估活动工作流程,对风险评估活动过程中的各种数据进行汇总记录,并可对当前正在进行的风险评估项目的执行情况进行监控。 4.6.日常办公管理 “日常办公管理”为等级保护工作人员提供了一个日常的等级保护工作办公平台,由待办事项,办结事项,任务管理,工作考核四个部分组成。 4.7.统计分析 “统计分析管理”主要提供等级保护相关信息与数据的统计及分析功能,包括信息系统统计、安全事件统计、工作事项统计、资产统计、安全机构统计、安
信息安全保护制度
信息安全保护制度 (一)总则 1.为了保护医院信息系统安全,促进医院信息系统的应用和发展,保障医院信息工程建设的顺利进行,特制定本规则。 2.本规则所称的信息系统,是由计算机及其相关配套的设备设施构成的,按照系统应用标和规则对医院信息进行采集、加工存储、传输、检索等处理的人机系统(即现在医院建设 和应用中的信息工程)。 3.信息系统的安全保护,是保障计算机及配套的设备、设施的安全,运行环境的安全,保障信息的安全,保障医院信息管理系统功能的正常发挥,以维护信息系统的安全运行。 4.信息系统的安全保护,重点是维护信息系统中数据信息和网络上一切设备的安全。 5.医院信息系统内全部上网运行计算机的安全保护都适 用本规则。 6.信息中心主管全院信息系统的安全保护工作。 7.任何单位或者个人,不得利用上网计算机从事危害医院利益的活动,不得危害信息系统的安全。 8.各级各类医院根据本规则,结合医院不同的功能任务和医院信息系统规模大小,参照以下内容制定适宜于本医院的运行与应用保障制度。
(二)安全保护制度 1.信息系统、建设和应用,应遵守医院信息系统管理规则、医院行政法规和其他有关规定。 2.信息系统实行安全等级保护和用户使用权限划分。安全等级和用户使用权限以及用户口令密码的划分、设珞由信息中心负责制定和实施。 3.信息中心机房应当符合国家标准和国家规定。 4.在信息系统设施附近营房维修、改造及其他活动,不得危害信息系统的安全。如无法避免而影响信息系统设施安全的作业,须事先通知信息中心,经中心负责人同意并采取保护措施后,方可实施作业。 5.信息系统的使用单位和个人,都必须遵守计算机安全使用规则,以及有关的操作规程和规定制度。 6.对信息系统中发生的问题,有关使用单位负责人应当立即向 7.对计算机病毒和危害网络系统安全的其他有害数据信 息的防治工作,由计算机中心负责处理。 8.对信息系统软件、设备、设施的安裝、调试、排除故障等由计算机工程技术人员负责。其他任何单位或个人不得自行拆卸、安装任何软、硬件设施。 9.所有上网计算机绝对禁止进行国际联网或与院外其他 公共网络联接。
9、终端安全管理规定
终端安全管理规定 主导部门:IT部 支持部门:N/A 审批:IT部 文档编号:IT-V01 生效日期:
版本发布日期发布原因生效日期Version Issuance Date Reasons of Issuance Effective Date 1.0 新版本发布 会签批准人签名签署日期 Approval(s) Signatures Date Signed 起草人 Editor IT经理 IT Manager IT总监(VP) IT Director
终端安全管理规定 1. 目的 终端安全管理规定的目的是为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在公司安全体系框架下(准入系统),本规定加强公司终端的管理,规范公司终端的配置和使用,降低由于个人对终端的使用不当而给公司造成的风险,提高公司终端标准化程度。 2. 范围 本规定适用于公司所有使用终端的员工以及管理终端的系统管理员。 3. 定义 3.1 终端 终端泛指一切可以接入网络的计算设备,如笔记本电脑、台式电脑、智能手机、平板电脑等。 3.2 用户账号 用户账号是用户用于访问公司信息系统的唯一的身份标识,包括用户名和密码。用户账号分为终端账号、AD账号、业务系统账号、VPN账号,以及后台管理账号。 3.3 办公终端 办公终端指用户办公目的,连接办公系统的终端。 4. 职责和权限 阐述本规定涉及的部门(角色)职责与权限。 4.1 IT部的职责和权限 公司IT部门负责终端安全策略的统一规划,制定终端的技术安全规范,定期检查公司终端的安全情况。 4.2 IT系统Infra组和CIM组的职责和权限 IT系统Infra组负责办公终端安全的具体工作,IT CIM组负责生产终端安全的具体工作,要求各系统进行终端区域的划分,定期检查各系统终端的安全使用情况。 4.3 系统管理员的职责和权限 各系统的管理员应根据要求严格执行终端的安全操作规范。
企业信息安全管理制度(试行)
XX公司信息安全管理制度(试行) 第一章总则 第一条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。 第二条本制度适用于XX公司以及所属单位的信息系统安全管理。 第二章职责 第三条相关部门、单位职责: 一、信息中心 (一)负责组织和协调XX公司的信息系统安全管理工作; (二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理; (三)负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理; (四)对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任; (五)负责XX公司网络边界、网络拓扑等全局性的信息安全管理。 二、人力资源部 (一)负责人力资源安全相关管理工作。 (二)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。 三、各部门 (一)负责本部门信息安全管理工作。 (二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。 四、所属各单位 (一)负责组织和协调本单位信息安全管理工作。 (二)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。
第三章信息安全策略的基本要求 第四条信息系统安全管理应遵循以下八个原则: 一、主要领导人负责原则; 二、规范定级原则; 三、依法行政原则; 四、以人为本原则; 五、注重效费比原则; 六、全面防范、突出重点原则; 七、系统、动态原则; 八、特殊安全管理原则。 第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。 第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。 第七条信息安全策略主要包括以下内容: 一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略; 二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞; 三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞; 四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略; 五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。 第八条公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。 第九条根据“谁主管、谁负责”的原则,公司建立信息安全分级责任制,各层级落实信息系统安全责任。 第四章人力资源安全管理 第十条信息系统相关岗位设置应满足以下要求: 一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。 二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。 三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管