安全區域邊界
控制點
3.入侵防範
隨著網路入侵事件的不斷增加和黑客攻擊水平的不斷提高,一方面企業網路感染病毒、遭受攻擊的速度日益加快,新型技術的不斷湧現,等級保護物件與外部網路互聯具有聯結形式多樣性、終端分布不均勻性和網路的開放性、互聯性等特徵,致使網路更易遭受惡意的入侵攻擊,威脅網路資訊的安全;另一方面網路受到攻擊作出響應的時間卻越來越滯後,要維護系統安全,必須進行主動監視,以檢查是否發生了入侵和攻擊。監視入侵和安全事件既包括被動任務也包括主動任務。很多入侵都是在發生攻擊之後,通過檢查日誌檔案才檢測到的。這種攻擊之後的檢測通常稱為被動入侵檢測。只有通過檢查日誌檔案,攻擊才得以根據日誌資訊進行複查和再現。其他入侵嘗試可以在攻擊發生的同時檢測到,這種方法稱為「主動」入侵檢測,它會查詢已知的攻擊模式或命令,並阻止這些命令的執行。
入侵防範主要需要從外部網路發起的攻擊、內部網路發起的攻擊、新型攻擊的防範以及檢測到入侵攻擊時應及時告警幾個方面來綜合考慮,綜合抵禦各種**、各種形式的入侵行為。
a)*
安全要求:應在關鍵網路節點處檢測、防止或限制從外部發起的網路攻擊行為。
要求解讀:要維護系統安全,必須進行主動監視,以檢查是否發生了入侵和攻擊。監視入侵和安全事件既包括被動任務也包括主動任務。很多入侵都是在發生攻擊之後,通過檢查日誌檔案檢測到的。這種攻擊之後的檢測通常稱為被動入侵檢測。只有通過檢查日誌檔案,攻擊得以根據由日誌資訊進行複查和再現。其他入侵嘗試可以在攻擊發生的同時檢測到,這種方法稱為「主動」入侵檢測,它會查詢已知的攻擊模式或命令,並阻止這些命令的執行。
完整的入侵防範應首先實現對事件的特徵分析功能,以發現潛在的攻擊行為。應能發現目前主流的各種攻擊行為,如埠掃瞄、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩衝區溢位攻擊、ip碎片攻擊和網路蠕蟲攻擊等。
目前對入侵防範的實現主要是通過在網路邊界部署包含入侵防範功能的安全裝置,如抗apt攻擊系統、網路回溯系統、威脅情報檢測系統、抗ddos攻擊系統、入侵檢測系統(ids)、入侵防禦系統(ips)、包含入侵防範模組的多功能安全閘道器(utm)等。
為了有效檢測、防止或限制從外部發起的網路攻擊行為,應在網路邊界、核心等關鍵網路節點處部署ips等系統,或在防火牆、utm啟用入侵防護功能。
檢查方法
1.應檢查相關系統或裝置是否能夠檢測從外部發起的網路攻擊行為。
2.應檢查相關系統或裝置的規則庫版本是否已經更新到最新版本。
3.應檢查相關系統或裝置配置資訊或安全策略是否能夠覆蓋網路所有關鍵節點。
4.應測試驗證相關系統或裝置的安全策略是否有效。
測評物件
系統安全策略的有效性
期望結果
1.相關系統或裝置有檢測到外部發起攻擊行為的資訊;
2.相關系統或裝置的規則庫進行了更新,更新時間與測評時間較為接近;
3.配置資訊、安全策略中制定的規則覆蓋系統關鍵節點的ip位址等。
4.監測到的攻擊日誌資訊與安全策略相符。
高風險判定
滿足以下任一條件即可判定為高風險:
(二級及以上系統)
1.二級系統關鍵網路節點無任何網路攻擊行為檢測手段,例如未部署入侵檢測系統;
2.**及以上系統關鍵網路節點對外部發起的攻擊行為無任何防護手段,例如未部署ips入侵防禦手段、應用防火牆、反垃圾郵件、態勢感知系統或抗ddos裝置等;
3.網路攻擊/防護檢測措施的策略庫,規則庫半年及以上未更新,無法滿足防護需求。
補償因素:
主機裝置部署入侵防範產品,且策略庫、規則庫及時更新,能夠對攻擊行為進行檢測、阻斷或限制,可根據實際情況酌情判定風險等級。
(注:策略庫、規則庫的更新週期可根據部署環境、行業或裝置特性縮短或延長。)
(注:所舉例的防護裝置僅為舉例使用,測評過程中,應分析定級物件所面臨的威脅、風險及安全防護需求,並以此為依據檢查是否合理配置了對應的防護裝置。)
b)*
安全要求:應在關鍵網路節點處檢測、防止或限制從內部發起的網路攻擊行為。
要求解讀:為了有效檢測防止或限制從內部起的網路攻擊行為,應在網路邊界、核心等關鍵網路節點處部署ips等系統,或在防火牆、utm啟用入侵防護功能。
檢查方法
1.應檢查相關系統或裝置是否能夠檢測到從內部發起的網路攻擊行為。
2.應檢查相關系統或裝置的規則庫版本是否已經更新到最新版本。
3.應檢查相關系統或裝置配置資訊或安全策略是否能夠覆蓋網路所有關鍵節點。
4.應測試驗證相關系統或裝置的安全策略是否有效。
測評物件
系統/裝置安全策略、配置資訊
期望結果
1.相關系統或裝置有檢測到內部發起攻擊行為的資訊。
2.相關系統或裝置的規則庫進行了更新,更新時間與測評時間較為接近。
3.配置資訊、安全策略中制定的規則覆蓋系統關鍵節點的ip位址等。
4.監測到的攻擊日誌資訊與安全策略相符。
高風險判定
滿足以下任一條件即可判定為高風險:
1.關鍵網路節點對內部發起的攻擊行為無任何檢測、防護手段,例如未部署入侵檢測系統、ips入侵防禦裝置、態勢感知系統;
2.網路攻擊/防護檢測措施的策略庫,規則庫半年及以上未更新,無法滿足防護需求。
補償因素:
1.對於主機裝置部署入侵防範產品的情況,可從策略庫、規則庫更新情況,對攻擊行為的防護能力等角度進行綜合風險分析,酌情判定風險等級。
2.對於重要網路區域與其他內部網路之間部署防火牆等控制訪問裝置,且對訪問的目標位址、目標埠、源位址、源埠、訪問協議等有嚴格限制的情況,可從現有措施能否對內部網路攻擊起到限制作用等角度進行綜合分析,酌情判定風險等級。
3.對於與網際網路完全物理隔離或強邏輯隔離的系統,可從網路、終端採取管控,攻擊源進入內部網路的可能性等角度進行綜合分析,酌情判定風險等級。
c)**
安全要求:應採取技術措施對網路行為進行分析,實現對網路攻擊特別是新型網路攻擊行為的分析。
要求解讀:部署網路回溯系統或抗apt攻擊系統等實現對新型網路攻擊行為進行檢測和分析。
檢查方法
1.應檢查是否部署網路回溯系統或抗apt攻擊系統等,實現對新型網路攻擊進行檢測和分析。
2.應檢查相關系統或裝置的規則庫版本是否已經更新到最新版本。
3.應測試驗證是否對網路行為進行分析,實現對網路攻擊特別是未知的新型網路攻擊的檢測和分析。
測評物件
1.網路回溯系統
2.相關系統或裝置的規則庫版本
期望結果
1.系統內部署了網路回溯系統或抗apt攻擊系統,系統內包含對新型網路攻擊檢測和分析的功能。
2.網路回溯系統或者抗apt攻擊系統的規則庫進行了更新,更新時間與測評時間較為接近。
3.經測試驗證系統可對網路行為進行分析,且能夠進行對未知新型網路攻擊的檢測和分析。
d)
安全要求:當檢測到攻擊行為時,記錄攻擊源ip、攻擊型別、攻擊目標、攻擊時間,在發生嚴重入侵事件時應提供報警。
要求解讀:為了保證系統受到攻擊時能夠及時準確地記錄攻擊行為並進行安全應急響應,當檢測到攻擊行為時,應對攻擊源ip、攻擊型別、攻擊目標和攻擊時間等資訊進行日誌記錄。通過這些日誌記錄,可以對攻擊行為進行審計分析。當發生嚴重入侵事件時,應能夠及時向有關人員報警,報**式包括簡訊、郵件等。
檢查方法
1.訪談網路管理員和檢視網路拓撲結構,檢視在網路邊界處是否部署了包含入侵防範功能的裝置。如果部署了相應裝置,則檢查裝置的日誌記錄,檢視是否記錄了攻擊源ip、攻擊型別、攻擊目的和攻擊時間等資訊,檢視裝置採用何種方式進行報警。
2.應測試驗證相關系統或裝置的報警策略是否有效。
測評物件
1.網路管理員、入侵防範裝置/記錄文件
2.系統/裝置的報警策略
期望結果
1.相關具有入侵防範功能的裝置日誌記錄了攻擊源ip、攻擊型別、攻擊目標、攻擊時間等資訊。
2.裝置的報警功能已開啟且處於正常使用狀態。
安全區域邊界 (五)安全審計
安全區域邊界 控制點 5.安全審計 安全審計是指針對等級保護物件中與安全活動相關的資訊進行識別 記錄 儲存和分析的整個過程。安全審計功能可確保使用者對其行為負責,證實安全政策得以實施,並可用作調查工具。通過檢查審計記錄結果可以判斷發生了哪些安全相關活動以及哪個使用者要對這些活動負責。另外安全審計可協...
iOS iphonex底部安全區域
問題出在哪,不是你的iphone x是假的,是真的獲取不到。只有在vc的 void viewdidlayoutsubviews這個方法裡,你獲取到的才是,所以在這方法裡面才能獲取到self.view.safeareainsets.bottom的值。為什麼會出現這種情況,下面說明vc中的兩個方法 1....
譯文 GC 安全點 和安全區域
根引用 root references 乙個例項死了,意味著它變得無用。只用程式設計師知道乙個例項是否已經無用。為了讓程式知道乙個例項是否已經無用,我們可以使用編譯器分析,引用計數,或者 可達性分析。可達性分析假設只要乙個例項是可達的,它就是活著的。如果乙個例項的引用直接包含在當前函式棧的乙個槽 s...