20 元
下载资源

信息系统安全等级保护建设培训

上传人:21****df 文档编号:245332080 上传时间:2024-10-08 格式:PPTX 页数:56 大小:8.35MB
返回 下载 相关 举报
信息系统安全等级保护建设培训_第1页
第1页 / 共56页
信息系统安全等级保护建设培训_第2页
第2页 / 共56页
信息系统安全等级保护建设培训_第3页
第3页 / 共56页
点击查看更多>>
资源描述
*,四川无声信息技术有限公司,*,*,单击此处编辑母版文本样式,第二级,单击此处编辑母版标题样式,信息,系,系统,安,安全,等,等级,保,保护,建,建设,培,培训,2022/11/3,涉及到电子政务安全的几件大事,-CNCERT2013,年度报告,引子,2,据,CNCERT,监测,,,,,2013,年,,我,我国,境,境内,被,被篡,改,改网,站,站数,量,量为,24034,个,,较,较,2012,年增,长,长,46.7%,,其,中,中政,府,府网,站,站被,篡,篡改,数,数量,为,为,2430,个,,较,较,2012,年增长,34.9%,;,我,我国,境,境内,被,被植,入,入后,门,门的,网,网站,数,数量,为,为,76160,个,,较,较,2012,年增,长,长,45.6%,,其,中,中政,府,府网,站,站,2425,个,,较,较,2012,年下,降,降,19.6%,。在,被,被篡,改,改和,植,植入,后,后门,的,的政,府,府网,站,站中,,,,超过,90%,是省,市,市级,以,以下,的,的地,方,方政,府,府网,站,站,超,过,过,75%,的篡,改,改方,式,式是,在,在网,站,站首,页,页植,入,入广,告,告黑,链,链。,政府,网,网站,面,面临,威,威胁,依,依然,严,严重,,,,地,方,方政,府,府网,站,站成,为,为“,重,重灾,区,区”,引子,3,新型社交,网,网络,的,的连,通,通性成为,黑,黑客,攻,攻击,和,和网,络,络犯,罪,罪的,新,新途,径,径,云平,台,台的,应,应用,普,普及,加,加大,信,信息,泄,泄露,风,风险,和,和事,件,件处置,难,难度,移动支付,安,安全,和,和移,动,动终,端,端漏,洞,洞成为,移,移动,互,互联,网,网发,展,展的,新,新挑,战,战,分布,式,式反射,拒,拒绝,服,服务,攻,攻击规模,呈,呈持,续,续增,大,大趋,势,势,微软,停,停止,对,对,WindowsXP,系统,的,的服,务,务支,持,持可,能,能导,致,致零,日,日漏,洞,洞攻,击,击增,多,多,设备,智,智能,化,化促,使,使网,络,络安全,威,威胁,向,向物,联,联网,延,延伸,2015,的可,见,见威,胁,胁,引子,我们,的,的安,全,全防,范,范思,维,维又,如,如何,?,?,技术,执行力,理论思维模式,安全服务纠错能力,新型信息安全信任体系,新型,信,信任,体,体系,如,如何,建,建立,?,?,6,电子,政,政务,外,外网,网,网站,三,三级,等,等保,特,特殊,要,要求,网,站,站,三,三,级,级,等,等,保,保,产,产,品,品,部,部,署,署,案,案,例,例,实,实,战,战,三,级,级,等,等,保,保,信,信,任,任,体,体,系,系,的,的,维,维,持,持,与,与,纠,纠,错,错,1,2,3,国,家,家,电,电,子,子,政,政,务,务,外,外,网,网,安,安,全,全,等,等,级,级,保,保,护,护,基,基,本,本,要,要,求,求,党,政,政,机,机,关,关,门,门,户,户,网,网,站,站,系,系,统,统,安,安,全,全,等,等,级,级,保,保,护,护,指,指,南,南,电,子,子,政,政,务,务,外,外,网,网,网,网,站,站,三,三,级,级,等,等,保,保,特,特,殊,殊,技,技,术,术,要,要,点,点,1,主,要,要,网,网,络,络,设,设,备,备,的,的,业,业,务,务,处,处,理,理,能,能,力,力,至,至,少,少,为,为,历,历,史,史,峰,峰,值,值,的,的,2,倍,主,用,用,与,与,备,备,用,用,的,的,核,核,心,心,网,网,络,络,设,设,备,备,应,应,放,放,置,置,在,在,不,不,同,同,物,物,理,理,位,位,置,置,的,的,机,机,房,房,应,采,采,用,用,物,物,理,理,路,路,由,由,分,分,离,离,的,的,两,两,条,条,骨,骨,干,干,链,链,路,路,来,来,提,提,供,供,1+1,的全,网,网保,护,护方,式,式,,两,两,条,条链,路,路在,技,技术,和,和性,能,能等,方,方面,应,应保,持,持一,致,致,8,国家,电,电子,政,政务,外,外网,安,安全,等,等级,保,保护,基,基本,要,要求,党政,机,机关,门,门户,网,网站,系,系统,安,安全,等,等级,保,保护,指,指南,电子,政,政务,外,外网,网,网站,三,三级,等,等保,特,特殊,技,技术,要,要点,1,应根,据,据需,要,要采,用,用有,效,效的,QoS,和流,量,量管,理,理策,略,略,,保,保,证,证管,理,理和,控,控制,信,信息,具,具有,较,较高,的,的优,先,先级,公用,网,网络,区,区与,互,互联,网,网区,等,等区,域,域之,间,间的,数,数据,交,交换,,,,应,通,通过,安,安全,隔,隔离,设,设备,,,,并,对,对交,换,换数,据,据进,行,行病,毒,毒扫,描,描和,审,审计,等保,三,三级,党,党政,机,机关,门,门户,网,网站,能,能够,实,实时,监,监控,网,网站,运,运行,状,状态,、,、挂,马,马情,况,况和,暗,暗链,情,情况,9,电子,政,政务,外,外网,网,网站,三,三级,等,等保,特,特殊,要,要求,网站,三,三级,等,等保,产,产品,部,部署,案,案例,实,实战,三级,等,等保,信,信任,体,体系,的,的维,持,持与,纠,纠错,1,2,3,10,实战,1,在,XX,省人,社,社厅,互,互联,网,网,XX,系统,的,的规,划,划中,,,,横,向,向上,覆,覆盖,各,各个,政,政府,相,相关,部,部门,以,以及,其,其他,相,相关,单,单位,的,的边,界,界接,口,口,,纵,纵向,上,上覆,盖,盖到,各,各个,市,市级,平,平台,,,,包,括,括区,县,县单,位,位的,边,边界,。,。,从安,全,全技,术,术选,择,择方,面,面,,本,本方,案,案以,保,保障,网,网络,安,安全,、,、数,据,据安,全,全和,管,管理,安,安全,为,为重,点,点,,实,实现,手,手段,以,以安,全,全产,品,品为,重,重点,,,,对,安,安全,服,服务,部,部分,作,作为,建,建议,性,性描,述,述。,2,项目,背,背景,网站,三,三级,等,等保,产,产品,部,部署,案,案例,实,实战,11,接入,网,网安,全,全区,:,:,涵盖,ISP,接入,边,边界,安,安全,部,部分,。,。,网站,核,核心,运,运行,安,安全,区,区:,涵盖,基,基本,的,的接,入,入防,护,护体,系,系、,数,数据,接,接收,、,、存,储,储、,互,互联,网,网数,据,据交,换,换反,馈,馈与,呈,呈现,、,、,WEB,网站,应,应用,以,以及,多,多数,据,据库,部,部分,。,。,网站,运,运维,安,安全,区,区:,涵盖,网,网站,平,平台,软,软硬,件,件部,分,分的,整,整体,运,运维,,,,整,体,体优,化,化及,人,人机,信,信息,输,输入,输,输出,部,部分,。,。,存储,与,与备,份,份安,全,全区,:,:,涵盖,网,网上,数,数据,与,与应,用,用服,务,务安,全,全域,中,中的,数,数据,冗,冗余,安,安全,部,部分,,,,以,满,满足,系,系统,在,在性,能,能、,容,容量,、,、扩,展,展、,管,管理,等,等诸,多,多方,面,面具,有,有较,大,大的,灵,灵活,性,性以,适,适应,变,变化,和,和发,展,展的,需,需要,网站,三,三级,等,等保,产,产品,部,部署,案,案例,实,实战,2,划分,安,安全,区,区,12,作为,整,整个,系,系统,的,的外,延,延,,接,接入,网,网安,全,全区,我,我们,首,首先,需,需要,考,考虑,的,的是,性,性能,上,上保,障,障网,站,站首,页,页的,访,访问,响,响应,时,时间,不,不超,过,过,6,秒,,网,网站,主,主要,栏,栏目,页,页面,的,的访,问,问响,应,应时,间,间不,超,超过,4,秒的,政,政府,网,网站,访,访问,基,基本,要,要求,。,满足,等,等级,保,保护,三,三级,要,要求,中,中关,于,于边,界,界访,问,问控,制,制的,技,技术,要,要求,。,。,满足,等,等级,保,保护,三,三级,要,要求,中,中关,于,于数,据,据流,过,过滤,、,、允,许,许与,拒,拒绝,访,访问,的,的能,力,力的,技,技术,要,要求,。,。,网站,三,三级,等,等保,产,产品,部,部署,案,案例,实,实战,2,接入,网,网安,全,全区,13,满足,等,等级,保,保护,三,三级,要,要求,中,中关,于,于应,在,在网,络,络边,界,界处,监,监视,端,端口,扫,扫描,、,、强,力,力攻,击,击、,木,木马,后,后门,攻,攻击,、,、拒,绝,绝服,务,务攻,击,击、,缓,缓冲,区,区溢,出,出攻,击,击、,IP,碎片,攻,攻击,和,和网,络,络蠕,虫,虫攻,击,击等,各,各类,攻,攻击,并,并进,行,行报,警,警的,技,技术,要,要求,。,。,满足,等,等级,保,保护,三,三级,要,要求,中,中关,于,于网,络,络边,界,界处,进,进行,恶,恶意,代,代码,防,防护,的,的技,术,术要,求,求。,满足,等,等级,保,保护,三,三级,要,要求,中,中关,于,于对,网,网络,操,操作,行,行为,等,等进,行,行安,全,全审,计,计的,技,技术,要,要求,。,。,满足,网,网站,服,服务,器,器整,体,体安,全,全性,以,以及,运,运行,要,要求,。,。,满足,网,网页,发,发布,内,内容,正,正确,性,性及,权,权威,性,性要,求,求。,网站,核,核心,运,运行,安,安全,区,区,网站,三,三级,等,等保,产,产品,部,部署,案,案例,实,实战,2,14,数据,库,库暴,库,库的,风,风险,网站,三,三级,等,等保,产,产品,部,部署,案,案例,实,实战,2,听说,现,现在,上,上网,可,可以,查,查到,开,开房,记,记录.,15,网站,三,三级,等,等保,产,产品,部,部署,案,案例,实,实战,2,数据,库,库暴,库,库的,风,风险,16,通过,微,微博,查,查任,意,意,qq,号,,再,再通,过,过,qq,群关,系,系数,据,据库,,,,查,更,更多,信,信息,。,。找,到,到名,字,字再,通,通过,12306,、开,房,房的,库,库查,到,到身,份,份证,号,号,网站,三,三级,等,等保,产,产品,部,部署,案,案例,实,实战,2,关联性灾难轨迹,数据库暴库,的,的风险,17,黑客脱裤,网站三级等,保,保产品部署,案,案例实战,2,数据库暴库,的,的风险,满足等级保,护,护三级要求,中,中关于主机,安,安全的技术,要,要求。,满足等级保,护,护三级要求,中,中关于边界,访,访问控制的,技,技术要求。,满足等级保,护,护三级要求,中,中关于对网,络,络操作行为,以,以及数据库,操,操作行为等,进,进行抗抵赖,以,以及安全审,计,计的技术要,求,求。,满足等级保,护,护三级要求,中,中关于应建,立,立安全管理,中,中心,对设,备,备状态、恶,意,意代码、补,丁,丁升级、安,全,全审计等安,全,全相关事项,进,进行集中管,理,理的技术要,求,求。,网站运维安,全,全区,网站三级等,保,保产品部署,案,案例实战,2,19,网站三级等,保,保产品部署,案,案例实战,2,来自内部,PC,的风险,20,满足等级保,护,护三级要求,中,中关于应提,供,供本地数据,备,备份与恢复,功,功能,完全,数,数据备份至,少,少每天一次,,,,备份介质,场,场外存放的,技,技术要求。,满足等级保,护,护三级要求,中,中关于应提,供,供异地数据,备,备份功能,,利,利用通信网,络,络将关键数,据,据定时批量,传,传送至备用,场,场地的技术,要,要求。,存储与备份,安,安全区,网站三级等,保,保产品部署,案,案例实战,2,21,22,实战,2,某地国土电,子,子政务外网,新,新建网上交,易,易平台,总基线,需求:国土,内,内网与国土,外,外网的高冗,余,余式网络结,构,构,方案:基础,信,信息安全设,备,备均为双机,热,热备式部署,规,规划,网站三级等,保,保产品部署,案,案例实战,2,项目背景,23,需求:国土,内,内网与国土,外,外网的安全,域,域(安全区,),)划分,方案:将,WEB,服务器群及,CA,认证服务器,规,规划到国土,外,外网安全域,,,,其余部分,规,规划到国土内,网,网安全域。,网站三级等,保,保产品部署,案,案例实战,2,划分安全区,24,需求:国土,内,内网与国土,外,外网的访问,控,控制与安全,隔,隔离,方案:在国,土,土内网、外,网,网分别部署,接,接入层防火,墙,墙、及数据,中,中心防火墙,,,,建立良好的分级,访,访问控制与,安,安全隔离,网站三级等,保,保产品部署,案,案例实战,2,访问控制与,安,安全隔离,25,需求:国土,内,内网与国土,外,外网的正常,数,数据交换管,理,理,方案:在国,土,土内网与国,土,土外网之间,部,部署网闸,,对,对跨安全域,的,的访问请求,及,及数据内容进行隔,离,离审查与传,输,输控制。,网站三级等,保,保产品部署,案,案例实战,2,安全区间数,据,据交换体系,26,需求:国土,内,内网木马病,毒,毒防御机制,方案:在国,土,土内网刀片,服,服务器部署,企,企业版杀毒,软,软件,对联,网,网终端进行,整,整体性的木马病毒,查,查杀管理,需求:国土,内,内网联网终,端,端的主机监,控,控与审计安,全,全管理,方案:在国,土,土内网刀片,服,服务器部署,主,主机监控与,审,审计安全管,理,理服务器,,在,在联网终端部署主,机,机监控与审,计,计终端,提,升,升联网终端,的,的安全管理,级,级别,网站三级等,保,保产品部署,案,案例实战,2,木马病毒防,御,御机制,终端安全管,理,理,27,需求:对访,问,问国土内网,服,服务器群的,流,流量进行负,荷,荷分担,方案:在国,土,土内网服务,器,器群的旁路,部,部署服务器,负,负载均衡,,对,对访问国土,内,内网服务器群的,流,流量进行,高,高效的疏,导,导,避免,单,单链路承,载,载过重而,导,导致的网,络,络拥塞及其他隐,患,患,网站三级,等,等保产品,部,部署案例,实,实战,2,服务器流,量,量疏导机,制,制,28,需求:国,土,土内网的,漏,漏洞扫描,体,体系、入,侵,侵检测体,系,系以及网,络,络及数据,库,库行为审,计,计体系的需,求,求,方案:以,旁,旁挂的形,式,式部署漏,洞,洞扫描系,统,统、入侵,检,检测系统,以,以及网络,/,数据库行,为,为审计系统,以,以解决辅,助,助性信息,安,安全需求,。,。,网站三级,等,等保产品,部,部署案例,实,实战,2,管理性安,全,全需求,29,需求:国,土,土内网数,据,据库服务,器,器群的异,地,地备份需,求,求,方案:从,数,数据库服,务,务器群上,行,行交换机,以,以专线的,形,形式级联,到,到异地机,房,房,以建,立,立异地备份,平,平台,保,障,障数据安,全,全,需求:国,土,土外网,WEB,服务器群,不,不需要随,时,时通过网,闸,闸读取内,网,网数据库,服,服务器数据,减小,干,干路流量,压,压力,提,升,升网络冗,余,余空间。,方案:在,WEB,服务器群,旁,旁挂专用,于,于发布的,数,数据库服,务,务器,,WEB,服务器的,数,数据来源指向,发,发布数据,库,库服务器,,,,同时配,置,置网闸使,得,得发布服,务,务器以一,定,定的触发条件同,步,步内网数,据,据库服务,器,器数据,,减,减小干路,流,流量压力,,,,提升整,体,体网络冗余空间,网站三级,等,等保产品,部,部署案例,实,实战,2,异地备份,WEB,服务器群,数,数据交换,30,需求:国,土,土外网网,上,上交易平,台,台身份认,证,证机制,,建,建立良好,的,的可控的,网,网上交易,安,安全接口。,方案:在,国,国土外网,旁,旁挂,VPN,网关以及,专,专用的,CA,认证服务,器,器,形成,完,完善的,PKI,认证体系,,,,全面提,高,高用户网,络,络的安全,等,等级,在,建,建立良好,与,与可控的,网,网上,交,交易安全,接,接口的同,时,时,对交,易,易人所持,之,之,KEY,也能良好,的,的进行扩,容,容管理,网站三级,等,等保产品,部,部署案例,实,实战,2,网上信息,交,交互身份,认,认证,31,网站三级,等,等保产品,部,部署案例,实,实战,2,来自交互,的,的风险,3,月,22,日晚,一,家,家名叫“,乌,乌云”的,网,网站漏洞,报,报告平台,发,发布公告,,,,称在线,票,票务服务,公,公司携程,网,网存在支,付,付漏洞,,在,在携程网,用,用信用卡,支,支付,顾,客,客姓名、,身,身份证信,息,息 、银,行,行卡卡号,、,、,CVV2,码等信息,都,都会被保,存,存在携程,网,网本地服,务,务器,且,有,有可能被,泄,泄露,给,客,客户信用,卡,卡盗刷埋,下,下隐患。,3,月,23,日携程网,为,为漏洞信,息,息致歉,,称,称事发后,两,两小时内,已,已经修复,漏,漏洞,发,现,现,93,名顾客信,息,息疑似泄,露,露,并承,诺,诺若用户,出,出现损失,将,将全额赔,付,付。,32,携程将用,于,于处理用,户,户支付的,服,服务接口,开,开启了调,试,试功能,,使,使部分向,银,银行验证,持,持卡所有,者,者接口传,输,输的数据,包,包均直接,保,保存在本,地,地服务器,,,,有可能,被,被黑客所,读,读取,网站三级,等,等保产品,部,部署案例,实,实战,2,来自交互,的,的风险,33,需求:国,土,土外网,WEB,服务器群,的,的网络攻,击,击防范体,系,系。,方案:在,国,国土外网,WEB,服务器群,上,上行交换,机,机旁挂,WEB,防火墙(,WAF,),以反向代理模,式,式实现网,页,页防篡改,、,、防,SQL,注入攻击,、,、防跨站,脚,脚本攻击,、,、抗拒绝服务攻,击,击等网络,攻,攻击防范,手,手段,全,面,面提,WEB,服务器群,抗,抗网络攻,击,击行为的安全等,级,级。,网站三级,等,等保产品,部,部署案例,实,实战,2,网上交易,平,平台,WEB,防范,34,需求:国,土,土外网为,多,多,ISP,运营商接,入,入模式,,需,需要对来,自,自每个运,营,营商的不,同,同路由访问请求,进,进行流量,疏,疏导、链,路,路均衡,,同,同时还需,要,要降低多,ISP,运营商高,并,并发访问量出,现,现之时的,非,非设备处,理,理能力造,成,成的互联,网,网访问拥,塞,塞。,方案:部,署,署应用交,付,付系统,,智,智能地均,衡,衡流量并,达,达到最优,的,的利用率,;,;为不同,级,级别的应用,实,实现差异,化,化服务,,实,实现有效,合,合理的带,宽,宽控制与,管,管理,解,决,决多,ISP,运营商高,并,并发访问,量,量出现时,的,的数据丢,包,包、,TCP,延迟等问,题,题。,网站三级,等,等保产品,部,部署案例,实,实战,2,多,ISP,运营商链,路,路的流量,负,负载及访,问,问优化,35,需,求,求,:,:,对,对,国,国,土,土,内,内,网,网,、,、,外,外,网,网,所,所,有,有,网,网,络,络,设,设,备,备,进,进,行,行,整,整,体,体,性,性,管,管,理,理,方,案,案,:,:,建,建,立,立,基,基,于,于,安,安,全,全,域,域,的,的,专,专,用,用,运,运,维,维,管,管,理,理,区,区,(,(,逻,逻,辑,辑,),),,,,,直,直,接,接,级,级,联,联,至,至,(,(,内,内,网,网,、,、,外,外网,),),核,核,心,心,交,交,换,换,机,机,,,,,以,以,保,保,障,障,对,对,国,国,土,土,(,(,内,内,网,网,、,、,外,外,网,网,),),网,网,络,络,设,设,备,备,进,进,行,行,整,整,体,体,性,性,管,管理,网,站,站,三,三,级,级,等,等,保,保,产,产,品,品,部,部,署,署,案,案,例,例,实,实,战,战,2,运维管,理,理区(,内,内网、,外,外网),36,37,电子政,务,务外网,网,网站三,级,级等保,特,特殊要,求,求,网站三,级,级等保,产,产品部,署,署案例,实,实战,三级等,保,保信任,体,体系的,维,维持与,纠,纠错,1,2,3,38,三级等,保,保信任,体,体系的,维,维持与,纠,纠错,3,安全短,板,板,技术进,步,步,管理失,位,位,信息的,安,安全就,像,像一个,木桶,,整,体,体的安,全,全性取,决,决于最,薄,薄弱的,一,一个环,节,节(短,板,板),,否,否则即,使,使其它,方,方面做,得,得再强,,,,但在,某,某一方,面,面留下,一,一个漏,洞,洞,也,可,可能被,他,他人利,用,用,导,致,致信息,的,的失窃,攻击技,术,术在不,断,断的发,展,展和进,化,化,而,安,安全产,品,品的更,新,新永远,落,落后于,攻,攻击技,术,术的发,展,展,仅,仅,仅使用,安,安全产,品,品已经,不,不能提,供,供全面,的,的信息,安,安全,,必,必须与,业,业内的,安,安全专,家,家紧密,的,的沟通,,,,才能,对,对抗新,的,的安全,威,威胁,即便再,好,好的安,全,全设备,、,、系统,和,和技术,,,,若没,有,有有效,地,地贯穿,于,于信息,流,流通与,信,信息活,动,动中的,安,安全管,理,理工作,,,,也是,无,无法真,正,正实现,信,信息安,全,全的,如何维,持,持与纠,错,错?,39,三级等,保,保信任,体,体系的,维,维持与,纠,纠错,3,1,2,通过,咨询,制定核心安全管理流程,建立有效的信息安全体系、完善信息安全架构,通过,培训,来增强客户的安全意识,减少和避免人为因素造成的安全事件的发生,通过,渗透测试,、,代码审核,等服务帮助客户了解自身(系统)的安全性,3,通过,安全评估,了解安全现状与所面临的威胁,获得从业务面到技术面的整合需求,4,通过,安全加固,来持续增强信息系统自身的安全性,通过,应急响应,及时有效地处理重大的安全事件,最大限度的减少安全事件的影响,6,借助,安全通告,对安全威胁提前预警,对行业新增安全威胁防范风险于未然,7,维持与,纠,纠错的,7,个维度,5,40,三级等,保,保信任,体,体系的,维,维持与,纠,纠错,3,例,1,:网站,远,远程渗,透,透测试,纠,纠错,41,三级等,保,保信任,体,体系的,维,维持与,纠,纠错,3,远程渗,透,透测试,纠,纠错,网站,/,业务系,统,统开发,厂,厂商思,考,考的问,题,题,用户的,功,功能需,求,求是什,么,么?,如何去,实,实现这,些,些功能,?,?,如何在,实,实现功,能,能的同,时,时减少,开,开发量,?,?,如何在,最,最快时,间,间内上,线,线?,42,三级等,保,保信任,体,体系的,维,维持与,纠,纠错,3,远程渗,透,透测试,纠,纠错,网站,/,业务系,统,统用户,关,关心的,问,问题,黑客能,攻,攻得进,来,来吗?,网站,/,系统有,危,危险漏,洞,洞吗?,网站,/,系统的,数,数据会,泄,泄漏吗,?,?,网站,/,系统会,遭,遭到篡,改,改吗?,43,三级等,保,保信任,体,体系的,维,维持与,纠,纠错,3,远程渗,透,透测试,纠,纠错,功能有,了,了,逻,辑,辑结构,不,不严谨,,,,经常,出,出错,开发过,程,程中安,全,全考虑,的,的太少,,,,存在,诸,诸多漏,洞,洞,没有经,过,过正规,安,安全测,试,试,无,法,法证明,安,安全性,后期的,安,安全完,善,善成了,用,用户自,己,己的事,情,情,错位的,问题,/,用户实,际,际面临,的,的安全,问,问题,44,三级等,保,保信任,体,体系的,维,维持与,纠,纠错,3,远程渗,透,透测试,纠,纠错,委托受,理,理,相关协,议,议,初步分,析,析,测试,/,应急方,案,案,分析测,试,试,权限提,升,升,存在漏,洞,洞,*,控制目,标,标,权限回,退,退,数据收,集,集,*,破坏测,试,试,撰写报,告,告,45,三级等,保,保信任,体,体系的,维,维持与,纠,纠错,3,远程渗,透,透测试,纠,纠错,black,黑盒测试,white,白盒测试,grey,灰盒测试,望闻问,切,切,量体裁,衣,衣,46,三级等,保,保信任,体,体系的,维,维持与,纠,纠错,3,例,2,:实时,监,监控与,告,告警纠,错,错,47,三级等,保,保信任,体,体系的,维,维持与,纠,纠错,3,实时监,控,控及告,警,警纠错,被监控,网,网站,/,系统,通过不,同,同监测,引,引擎获,取,取检测,结,结果,可用性监控,漏洞扫描,挂马监控,篡改监测,实时监,测,测,/,监控,技术接,口,口人,下达任,务,务单,支撑团队,用户,调度,定期综,合,合报告,即时告,警,警、电,话,话通知,检测,爬虫,“,XX,实施监,控,控及告,警,警中心,”,”,Internet,敏感内容,暗链监测,。,48,三级,等,等保,信,信任,体,体系,的,的维,持,持与,纠,纠错,3,实时,监,监控,及,及告,警,警纠,错,错,价值,体,体现,实时,纠,纠错,主动,纠,纠错,专业,纠,纠错,客观,纠,纠错,直观,的,的掌,握,握信,息,息系,统,统当,前,前综,合,合安,全,全状,态,态和,安,安全,趋,趋势,主动,、,、及,时,时地,安,安全,事,事件,预,预警,,,,为,规,规避,风,风险,争,争取,了,了反,应,应时,间,间,安全,事,事件,自,自动,响,响应,、,、任,务,务处,理,理和,流,流转,,,,降,低,低运,维,维人,员,员工,作,作强,度,度、,提,提高,了,了工,作,作效,率,率,统一,调,调度,、,、协,调,调工,作,作、,依,依托,大,大型,专,专业,安,安全,机,机构,,,,建,立,立合,理,理的,的,的安,全,全智,囊,囊联,动,动体,系,系,客观,、,、科,学,学的,运,运维,策,策略,及,及运,行,行管,理,理有,效,效性,的,的量,化,化评,估,估,,增,增强,对,对信,息,息系,统,统安,全,全状,况,况的,掌,掌控,能,能力,49,回顾,几乎所有基于安全层面给出的建议都是基于“信任”这个核心给出的,安全的本质是信任。“除了你自己没谁是真的可信的,然而实施起来缺困难重重,特别当下业务应用中的交互性信任体系;,信息安全的核心问题即时如何建立针对当下信息安全环境的新型技术信任体系的问题,并且必须要能够很好的持续运转它;,新型信任体系的建立已不是传统安全厂商提供一大堆设备就能够实现的过程,我们不但需要技术、执行力,更需要的是基于理论的思维模式以及迅速的安全服务纠错能力。,50,电子,政,政务,外,外网,等,等保,体,体系,简,简要,建,建设,思,思路,实施,过,过程,1,系统,定,定级,安全,规,规划,设,设计,安全,实,实施,安全,运,运行,定期,检,检查,局部,调,调整,重大,变,变更,实施,过,过程,2,信息,系,系统,安,安全,保,保护,技,技术,现,现状,分,分析,开展,建,建设,整,整改,技,技术,方,方案,详,详细,设,设计,工程,实,实施,及,及验,收,收,等级,测,测评,不符,合,合标,准,准要,求,求,开展,建,建设,整,整改,技,技术,方,方案,论,论证,和,和评,审,审,确定,安,安全,策,策略,,,,开,展,展建,设,设整,改,改技,术,术方,案,案总,体,体设,计,计,网络,安,安全,物理,安,安全,应用,安,安全,边界,安,安全,主机,安,安全,备份,和,和恢,复,复,建设,并,并落,实,实安,全,全技,术,术措,施,施,技术,建,建设,整,整改,工,工作,流,流程,明确主管领导、落实责任部门,落实安全岗位和人员,信息系统安全管理现状分析,&,项目实施方案详细设计,确定安全管理策略、制定安全管理制度,安全自查和调整,系统建设管理,落实安全管理措施,人员安全管理,环境和资产管理,设备和介质管理,日常运行维护,集中安全管理,事件处置和应急响应,灾难备份,安全监测,系统运维管理,管理,建,建设,流,流程,演讲,完,完毕,,,,谢,谢,谢观,看,看!,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业管理 > 营销创新


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!