3.3 防范威胁,控制风险
由网络安全意识定义可知,网络安全意识还应该表现为预防网络安全威胁的能力,要了解、掌握并灵活运用已知的相关网络安全技术应对潜在风险。
全球信息化已成为世界发展大趋势,网络安全的命运共同体表现也越来越突出,为进一步实现网络强国战略,我国需要进一步加强网络安全技术、人才培养等网络安全基础建设。国家层面应对网络安全风险,需要进一步完善顶层设计,鼓励和创新网络安全服务体系规划,需要进一步建设网络身份体系,创建可信网络空间;需要进一步提升核心技术自主研发能力,形成自主可控的网络安全产业生态体系;需要进一步加强网络攻防能力,构建攻防兼备的网络安全防御体系;需要进一步加强网络空间国际化合作,逐步提升网络空间国际话语权。
除了需要国家层面给予一定程度的网络安全政策和战略支持,对于个人而言,关键是面对网络风险应当如何采取安全技术进行预防,从而规避风险。网络安全意识,归根结底是人员的网络安全意识。预防或控制威胁的能力,归根结底是人员对于网络威胁的安全处置能力,所以,对于网络公民而言,不仅要知道网络安全风险,更需要具备一定的网络安全技术处置能力。由于不同职业的民众面对的网络安全风险威胁不一致,对于网络安全意识层次的要求也有高有低,普通民众可能只需要掌握基础的安全防护知识和技能,而长期从事IT的白领或者网络安全工程师则需要掌握一定高度的知识和技能。为方便读者交流、学习,本节将阐述典型的网络安全应对技术。
3.3.1 网络安全技术
1.身份认证技术
身份认证技术就是对通信双方进行真实身份鉴别,是网络信息资源的第一道安全屏障,目的就是验证、辨识使用网络信息的用户的身份是否具有真实性和合法性。如果是合法用户将给予授权,使其能访问系统资源,如果用户不能通过识别,则无法访问资源。由此可知,身份认证在安全管理中是重要的、基础的安全服务。
随着可信计算的研究与发展,身份认证技术将不断提高其安全性、稳定性、效率性和实用性,认证终端向小型化发展。其发展方向可以归纳为以下几个方面。
(1)生物认证技术。生物特征指的是人体自带的生理属性特征和行为属性特征。因为每个人的生物特征都具有唯一性,以此对用户进行验证,具有可靠、稳定等特点,是安全性较高的身份认证方法。但是,截至目前没有任何一种生物认证的方法可以保证完全正确。因此,提高识别算法和硬件水平,以保证高正确率的生物认证技术是网络安全技术的重中之重。
(2)非生物认证技术。非生物认证一般是采用密码认证方式,现在传统的身份认证技术就是使用密码认证。密码认证方法具有简单、可操作性强等特点。认证者首先需要拥有用户使用的账号,还需要保证使用账号在用户数据库里是唯一的。密码认证方式一般分为两种:一种是动态密码,即用户在使用网络安全系统时,需要输入的密码是变化的,这样,即便某一次输入的密码被他人获得,也无法再次使用相同的密码获得认证;另一种是静态密码,静态密码一经设置,便在指定时间内不发生任何变化。静态密码可以长期使用,虽然不如动态密码安全,但胜在操作简单。
(3)多因素认证。多因素认证是指综合利用各类认证技术,增强认证的安全性。常用的手机短信认证和Web密码认证等就是多因素认证,这两种方式已经得到广泛应用,在一定程度上提高了网络安全性,但同时存在一定的安全问题,比如说A捡到了B的手机,A通过手机短信认证甚至可以获取更多B的权限。
2.访问控制技术
访问控制(Access Control),是指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的方法,通常被系统管理员用来控制用户对服务器、目录、文件等网络资源的访问。访问控制是保证系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一。
访问控制的主要目的是限制主体对客体的访问,从而保障数据资源在合法范围内得到有效使用和管理。访问控制需要完成两个任务:识别和确认访问系统的用户、决定该用户对某一系统资源进行何种类型的访问。
1)访问控制的三要素:主体、客体和控制策略
(1)主体S(Subject):提出访问资源具体请求,是某一操作动作的发起者,但不一定是动作的执行者,可以是某一用户,也可以是用户启动的进程、服务和设备等。
(2)客体O(Object):被访问资源的实体。所有被操作的信息、资源、对象等都可以是客体。客体可以是信息、文件、记录等集合体,也可以是网络上硬件设施、无线通信的终端,甚至可以包含另外一个客体。
(3)控制策略A(Attribution):主体对客体的相关访问规则的集合,即属性集合。访问策略体现了一种授权行为,也是客体对主体某些操作行为的默认。
2)访问控制的功能及原理
访问控制的主要功能包括保证合法用户访问受保护的网络资源,防止非法主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。访问控制首先需要对用户身份的合法性进行验证,并利用控制策略进行选用和管理工作;在对用户身份和访问权限进行验证之后,还需要对越权操作进行监控。因此,访问控制的内容包括认证、控制策略和安全审计。
(1)认证:包括主体对客体的识别及客体对主体的检验确认。
(2)控制策略:通过合理地设定控制规则集合,确保用户对信息资源在授权范围内的合法使用。既要确保授权用户的合理使用,又要防止非法用户侵权进入系统,泄露重要信息资源。同时,合法用户也不能越权使用权限以外的功能及访问范围。
(3)安全审计:系统可以自动根据用户的访问权限,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并做出相应评价与审计。
3)访问控制类型
访问控制有自主访问控制、强制访问控制、基于角色的访问控制和综合性访问控制策略等类型。
(1)自主访问控制。自主访问控制(Discretionary Access Control,DAC)是指由客体的属主对自己的客体进行管理,由属主决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是自主的。也就是说,在自主访问控制下,用户可以按自己的意愿有选择地与其他用户共享文件资源等。用户有权对自身所创建的文件、数据表等对象进行访问,并可将其访问权授予其他用户或收回访问权限。允许访问对象的属主制定针对该对象访问的控制策略,通常可通过访问控制列表来限定针对客体可执行的操作。
DAC提供了适合多种系统环境的灵活方便的数据访问方式,是一种应用广泛的访问控制策略。然而,它所提供的安全性可被非法用户绕过,授权用户在获得访问某资源的权限后,可能传送给其他用户,这是因为在自主访问控制策略中用户获得访问文件的权限后并没有限制对该文件信息的操作,即不限制数据信息的分发。所以,DAC安全性相对较低,无法对系统资源提供严格保护。
(2)强制访问控制。强制访问控制(Mandatory Access Control,MAC)是系统强制主体服从的访问控制策略,是由系统对用户所创建的对象,按照规定的规则控制用户权限及操作对象的访问。强制访问控制的主要特征是对所有主体及其所控制的进程、文件、设备等客体实施强制访问控制。在MAC中,每个用户及文件都被赋予一定的安全级别,只有系统管理员才可确定用户和组的访问权限,用户不能改变自身或任何客体的安全级别。系统通过比较用户和访问文件的安全级别,决定用户是否可以访问该文件。此外,MAC不允许通过进程生成共享文件,避免通过共享文件在进程中传递信息。MAC可通过使用敏感标签对所有用户和资源强制执行安全策略,一般采用3种方法,即限制访问控制、过程控制和系统控制。MAC常用于多级安全军事系统,对专用或简单系统比较有效,但对大型系统或通用型系统的效果并不好。
MAC的安全级别常定义为四大级别,分别是绝密级、机密级、秘密级和公开,所有系统中的主体(用户、进程)和客体(文件、数据)都分配安全标签,以标识等级。
在实际应用中,我们通常将MAC和DAC相结合,并实施一些附加的、高强度的访问控制。一个主体只有通过自主与强制性访问限制检查后才可以访问其客体。用户可利用DAC防范其他用户对本客体的攻击,由于用户不能直接改变强制访问控制属性,因此,强制访问控制提供了一个不可逾越的安全保护层。
(3)基于角色的访问控制。角色,一般是指完成一项任务必须访问的资源及相应操作的权限集合。角色作为一个用户和权限的代理层,表示为权限和用户的关系,所有的授权应该给角色,而并非直接给用户或用户组。
基于角色的访问控制(Role-Based Access Control,RBAC)是实施面向企业安全策略的一种有效的访问控制方式。其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只需分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。
RBAC支持3个著名的安全原则:最小权限原则、责任分离原则和数据抽象原则。最小权限原则之所以被RBAC所支持,是因为RBAC可以将其角色配置成其完成任务所需要的最小的权限集。责任分离原则可以通过调用相互独立互斥的角色来共同完成敏感的任务而体现,比如要求一个记账员和一名财务管理员共同参与对账工作。数据抽象原则可以通过权限的抽象来体现,如财务操作用借款、存款等抽象权限,而不用操作系统提供的典型的读、写、执行权限。这些原则必须通过RBAC各部件的详细配置才能得以体现。
RBAC有许多部件(BUCU),这使得RBAC的管理多面化。尤其是,我们要分割这些问题来讨论:用户与角色的指派、角色与权限的指派、为定义角色的继承进行的角色与角色的指派。这些活动都要求把用户和权限联系起来。然而在很多情况下它们最好由不同的管理员或管理角色来做。对角色指派权限是典型的应用管理者的职责。在银行应用中,把借款、存款操作权限指派给出纳角色,把批准贷款操作权限指派给经理角色。而将具体人员指派给相应的出纳角色和管理者角色是人事管理的范畴。角色与角色的指派包含用户与角色的指派、角色与权限的指派的一些特点。一般来说,角色与角色的关系体现了更广泛的策略。
(4)综合性访问控制。综合性访问控制集成了多种主流访问控制技术的优点,有效解决了网络空间安全领域的访问控制问题,保护了数据的保密性和完整性,保证授权主体能够访问客体并拒绝非授权访问。综合性访问控制策略具有良好的灵活性、可维护性、可管理性和更细粒度的访问控制性,主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监控和锁定控制、网络端口和节点的安全控制等。
4)访问控制应用
网络访问控制的典型应用是防火墙。目前市场主流的“统一认证系统”、用于内部网络管理的“上网行为管理/流控”、用于网络隔离的“网闸”、可在公用网络上建立专用网络的VPN等都属于防火墙产品。除实体产品外,交换机上的VLAN、微软的“域控”技术等软性技术其实也是防火墙的一种。
3.入侵检测技术
入侵检测是指“通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。IDS可被定义为对计算机和网络资源的恶意使用行为进行识别、监控、检测,发现可疑数据并及时采取相应处理措施的系统。IDS通过对网络数据流的分析,发现对网络系统产生威胁的数据,然后进行检测和排除,从而在计算机网络中对网络数据流进行深度检测、实时分析,对网络中的攻击行为进行主动防御。IDS主要是对应用层的数据流进行深度分析,动态地保护来自内部和外部网络攻击行为的网关设备。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,查看网络中是否存在违反安全策略的行为和遭到攻击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测(持续进行监控与检测),从而为内部攻击、外部攻击和误操作提供实时保护。
1)异常检测
异常检测,又称为基于行为的检测,其基本假设是入侵者的活动异于正常主体的活动,而且认为这种差异性是可以区分的。根据这一理论建立主体正常活动的档案,将当前主体的活动状况与活动档案相比对,一旦违反其统计规律,该活动会被认为是入侵行为。但是,并不能奢望入侵者的攻击行为同正常主体使用资源之间存在明显清晰的界限,甚至在某些方面存在重合。异常检测的难点在于如何构建正常主体的活动档案,设计统计算法,避免将正常操作判定为入侵行为,或忽略了真实的入侵行为。
2)特征检测
特征检测,又称为基于知识的检测和违规检测。这一检测的基本假设是具有能够精确地按某种方式编码的攻击,可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。入侵者活动通过入侵模式来表示,入侵模式说明了那些导致安全风险或其他违规事件中的特征、条件、排列和事件间的关系。入侵检测系统的目标就是检测主体活动是否符合这些模式,一个不完整的模式可能表明存在入侵的企图,它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。特征检测有多种模式构造方法,难点在于如何设计模式,使之既能够表达入侵现象又不包含正常的活动。
3)文件完整性检查
文件完整性检查,系统地检查计算机中自上次检查后文件是否存在变化情况。这一检查系统保存每个文件的数字文摘数据库,每次检查时,它重新计算文件的数字文摘并将它与数据库中的值进行比对,如果数值不同,则表明文件已被修改,如果数值相同,则表明文件未发生变化。文件的数字文摘通过Hash函数计算,它的Hash函数计算结果是一个固定长度的数字。与加密算法不同,Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法,如使用MD5加密和SHA加密时,两个不同的文件几乎不可能得到相同的Hash结果。因此,文件一旦被修改,就能够被检测出来。
入侵检测系统和防火墙是两种完全独立的安全网关设备。防火墙更多的是进行细粒度的访问控制,同时提供网络地址转换、应用服务代理和身份准入控制等功能。入侵检测系统重点关注网络攻击行为,尤其是对应用层协议进行分析,并主动阻断攻击行为。防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包,而入侵防护系统则倾向于提供主动防护,预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。
入侵检测系统以旁路方式部署,被动监听网络上所有实时传输数据。虽然很多IDS设备可以和防火墙进行策略联动,在IDS发现攻击行为后,通知防火墙生成阻断规则或者以TCP Reset方式对攻击行为进行防护,但这些方式都存在滞后性。在更多的情况下,IDS通常为用户提供全面的信息展现,为改善用户网络的风险控制环境提供决策依据,同时对网络中所发生的攻击事件进行事后审计。在实际部署中,企业可以根据网络环境,充分发挥防火墙和入侵防护系统各自的技术优势,进行混合部署。
4.监控审计技术
监控审计技术通过监视网络活动、审计系统的配置和安全漏洞、分析网络用户和系统的行为,并定期进行统计和分析,进而评估网络的安全性和敏感数据的完整性,发现潜在的安全威胁,识别攻击行为,并对异常行为进行统计,对违反安全法规的行为进行报警,使系统管理员可以有效地管理和评估系统。系统通过对网络数据的采样和分析,实现了对网络用户的行为监测,并通过对主机日志和代理服务器日志等审计,对危害系统安全的行为进行记录并报警,以此提高网络安全防护水平。
通俗地讲,网络安全审计就是在一个特定的网络环境下(如企业网络),为了保障网络和数据不受来自外网和内网用户的入侵和破坏,运用技术手段实时收集、监控网络环境中每一个组成部分的系统状态、安全事件,以便集中分析处理。
目前常用的安全审计技术有以下几类:
(1)日志审计:目的是收集日志,通过SNMP、SYSLOG、OPSEC或者其他日志接口从各种网络设备、服务器、用户计算机、数据库、应用系统和网络安全设备中收集日志进行统一管理、分析和报警。
(2)主机审计:通过在服务器、用户计算机或其他审计对象中安装客户端的方式来进行审计,审计安全漏洞、审计合法和非法行为(包括入侵检测、监控上网行为和内容、拷贝文件)、监控用户非工作行为等。事实上,主机审计在某种程度上已经包括了日志审计、主机漏洞扫描、主机防火墙和主机IDS/IPS的安全审计功能、主机上网和上机行为监控等功能。
(3)网络审计:通过旁路和串接的方式实现对网络数据包的捕获,进行协议分析和还原,可达到审计服务器、用户计算机、数据库、应用系统,审计安全漏洞、审计非法的入侵操作、监控上网行为和内容、监控用户非工作行为等目的。根据该定义,网络审计包括网络漏洞扫描、防火墙和IDS/IPS中的安全审计功能、互联网行为监控等功能。
5.蜜罐技术
蜜罐技术是一种保障网络安全的重要手段。蜜罐包括两层含义:首先,要引诱攻击者,使其能够较为容易地找到网络漏洞,一个不易被攻击的蜜罐是没有意义的。其次,蜜罐不修补攻击所造成的损伤,从而最大可能地获得攻击者的信息。蜜罐在整个系统中扮演情报采集员的角色,故意引诱攻击,当入侵者得逞后,蜜罐会对攻击者进行详细分析。
蜜罐的概念于20世纪90年代初被提出,主要优势在于它能通过诱骗的手段追踪到攻击者。早期的蜜罐采用的都是实际的主机和系统。从1998年开始,随着蜜罐技术的发展,出现了一系列蜜罐产品,这些初期的蜜罐产品可以模拟网络服务和操作系统,跟踪黑客攻击,但虚拟蜜罐工具存在着交互程度低,很容易被黑客识别的缺点。所以,从2000年开始,研究人员倾向使用真实的计算机和操作系统而应用蜜罐技术。但与以前不同的是,在分析攻击者数据来源上加强了整体改革,使被攻击者可以更方便地追踪到入侵的黑客。
蜜罐按照应用平台可分为实系统蜜罐和伪系统蜜罐。
1)实系统蜜罐
实系统蜜罐技术利用一个真实的主机或操作系统来诱骗攻击者,本质上是用计算机固有的系统漏洞做诱饵,让攻击者入侵。一般主机系统不会安装任何补丁,有时甚至会故意在系统中添加漏洞,目的就是让攻击者较容易发现漏洞。相反地,作为黑客而言,对于漏洞过多的计算机系统或者明显不应该存在的漏洞应当心存戒备。当然,这种技术可以准确地分析出攻击者的身份,但因主机采用的是真实的操作系统,所以对系统的威胁性相对也会比较大。
2)伪系统蜜罐
伪系统蜜罐技术并不是使用假的系统,而是将蜜罐建立在一个真实的系统之上,但其最大的特点是“平台与漏洞的非对称性”。当我们在Windows平台下利用伪系统蜜罐技术来分析攻击者时,可以在Windows系统中添加一些其他系统(如Linux、UNIX等)的漏洞,这样当攻击者入侵系统时,驱使其攻击我们所添加的其他系统的漏洞,从而既保证了系统的安全,也获取了攻击者的身份。
蜜罐按照部署目的可分为产品型蜜罐和研究型蜜罐。产品型蜜罐的目的是为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏,同时帮助管理员对攻击做出及时、正确的响应等。研究型蜜罐专门用于对黑客攻击的捕获和分析。部署研究型蜜罐可以对黑客攻击进行追踪和分析,还可以捕获黑客的攻击记录,了解黑客所使用的攻击工具及攻击方法。与产品型蜜罐不同的是,研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作。
蜜罐按照交互度的等级可分为低交互蜜罐和高交互蜜罐。交互度反映了黑客在蜜罐上进行攻击活动的自由度。低交互蜜罐一般只模拟操作系统和网络服务,部署容易且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动有限,因此,通过低交互蜜罐能够搜集的信息有限。另外,低交互蜜罐属于虚拟蜜罐,存在一些容易被黑客识别的指纹信息。产品型蜜罐一般属于低交互蜜罐。高交互蜜罐则完全提供真实的操作系统和网络服务,不采用任何无用的模拟。在高交互蜜罐中,我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客活动自由度的同时,也增加了部署和维护的复杂度及风险。研究型蜜罐一般都属于高交互蜜罐,也有部分产品蜜罐(如Man Trap)属于高交互蜜罐。
3.3.2 网络安全管理常用技术
随着信息技术的不断发展和信息化建设的逐步推进,信息系统已经全面渗透于企业运营中,业务应用、办公系统、商务平台等也被不断推出和投入运行。电信、财政、税务、公安、金融、电力、石油等行业的大中型企业和门户网站都投入了大量设备来运营关键业务,提供电子商务、数据库、运维管理、ERP和协同工作群件等服务,这是一个必然的发展趋势。网络安全意识除了需要具备前述的技术手段预防和保障网络安全外,还应该了解或掌握一定的网络管理技术,做好网络的日常管理,及时发现网络问题,防微杜渐。
从传统意义来讲,网络管理是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作,包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。但对于网络用户而言,网络管理主要是指对自己日常网络服务的监管。网络安全管理是网络安全工作中的重要概念,网络安全管理控制措施与网络安全技术控制措施共同构成了网络安全防护措施的全部。因此,我国将“管理与技术并重”作为网络安全保障的一项基本原则。
为方便读者学习,本节所述的网络管理包括对硬件、软件和人力的使用、综合与协调,以便对网络资源进行监视、测试、配置、分析、评价和控制,这些技术主要应用于各大中型企业、机构、政府等,读者可根据实际情况加以学习。网络管理的首要任务是,当网络出现故障时能够及时报告和处理,协调、保持网络系统的高效运行。常用的网络管理技术主要有以下几类。
1.日常运维巡检
日常运维巡检是指以“专业工具+手工检测”的方式,对IT设施的健康状态进行检测,涉及设备自身硬件资源的使用情况、业务应用服务所占用的网络资源情况、端口服务开放情况的变更等内容,并实施必要的安全维护操作。巡检的内容主要包括:设备CPU、内存状态、开放服务检测,日志审计,网站监控,系统故障检查、分析、排除和跟踪等,定期更新安全设备登录用户名及密码,定期备份和维护安全设备配置,做好版本管理,形成工作日志、维护记录单。
2.漏洞扫描
漏洞扫描是指在日常运维、管理过程中,要定期进行安全漏洞扫描,服务的内容主要包括应用漏洞、系统漏洞、木马后门、敏感信息等。针对发现的安全漏洞应及时整改,消除安全隐患,规避安全风险。
3.应用代码审核
应用代码审核是指分析挖掘业务系统源代码中存在的安全缺陷及规范性缺陷,使开发人员了解其开发的应用系统可能会面临的威胁,如API滥用、配置文件缺陷、路径操作错误、密码明文存储、不安全的Ajax调用等。
4.系统安全加固
系统安全加固是指根据设备运行状态的评估结果、配置策略检查、日志行为的分析来制定安全策略配置措施,动态调整设备安全策略,使设备时刻保持合理的安全配置。
5.等级安全测评
等级安全测评主要检测和评估信息系统在安全技术、安全管理等方面是否符合已确定的安全等级的要求。对尚不符合要求的信息系统,分析和评估其潜在威胁、薄弱环节,检查现有安全防护措施,综合考虑信息系统的重要性和面临的安全威胁等因素,提出相应的整改建议,并在系统整改后进行复测确认,确保整改措施符合相应安全等级的基本要求。
6.安全监督检查
安全监督检查是指网络安全主管部门、主管单位等,相关机构定期开展的对各级单位的网络安全监督检查,检查内容如下。
(1)网络安全管理情况:重点检查网络安全主管领导、管理机构和工作人员履职情况,网络安全责任制落实及事故责任追究情况,人员、资产、采购、外包服务等日常安全管理情况,网络安全经费保障情况。
(2)技术防护情况:主要包括技术防护体系建立情况;网络边界防护措施,不同网络或信息系统之间的安全隔离措施,互联网接入安全防护措施,无线局域网安全防护策略等;服务器、网络设备、安全设备等安全策略配置及有效性,应用系统安全功能配置及有效性;终端计算机、移动存储介质安全防护措施;重要数据传输、存储的安全防护措施等。另外,还包括各单位互联网安全介入情况。
(3)应急工作情况:检查网络安全事件应急预案制、修订情况,应急预案演练情况;应急技术支撑队伍、灾难备份与恢复措施建设情况,重大网络安全事件处置及查处情况等。
(4)安全教育培训情况:重点检查网络安全和保密形势宣传教育、领导干部和各级人员网络安全技能培训、网络安全管理和技术人员专业培训情况等。
(5)安全问题整改情况:重点检查以往网络安全检查中发现问题的整改情况,包括整改措施、整改效果及复查情况、类似问题的排查情况等,分析安全威胁和安全风险,进一步评估总体安全状况。
7.应急响应处置
应急响应处置是指针对网络、重要信息系统出现的突发问题,及时遏制突发事件的影响范围,降低问题的严重程度,并在可控的范围内采取措施根除出现的突发问题,恢复网络和重要信息系统的运行。处置完毕,应对出现的突发问题进行总结。
8.安全配置管理
安全配置管理是指应对所有设备的安全配置进行管理,持续收集资产和资源信息记录,以及各种设备的运行状态,通过分析对可能出现的问题进行预警。主要包括以下内容。
(1)资产管理:日常运维中需对硬件资源等资产进行管理。
(2)资源管理:对信息资源进行管理,如服务器的启动、停止、重启等,虚拟机的创建、删除、编辑,虚拟机的启动、停止、重启等操作。
(3)服务目录管理:将计算、网络、存储、应用软件、系统模板等能力抽象为能够提供的服务,并通过服务目录管理模块对这些服务进行管理。
(4)服务请求,服务变更,工作流管理:包括对资源的申请、变更等工作流,还包括运维和管理过程中的工作流,对审核过程进行支持。
(5)监控管理:对硬件资源、虚拟机、存储、网络安全等设备的运行状态进行监控和报警。