防骗防诈网络安全科普手册——企业篇Word下载.docx
《防骗防诈网络安全科普手册——企业篇Word下载.docx》由会员分享,可在线阅读,更多相关《防骗防诈网络安全科普手册——企业篇Word下载.docx(25页珍藏版)》请在冰豆网上搜索。
网络安全事件应急预案及安全风险处置
对网络运营者而言,当发生网络安全事件时,如果有可供执行应急预案,并能够积极处置安全风险,那么可能就会很大程度地降低网络安全事件造成的损害,因而网络安全法第25条明确了网络运营者应当制定网络安全事件应急预案,并且需要及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。
企业违反前述规定的,主管部门将依据网络安全法第59条1款进行处罚,处罚方式包括责令整改、警告及罚款等。
持续安全维护
网络产品和服务提供者就其提供的产品和服务进行持续安全维护,原本属于提供者和购买者之间的合同义务,但网络安全法第22条第2款基于保障网络运行安全的角度考虑,将这一义务法定化,要求网络产品、服务的提供者应当为其产品、服务持续提供安全维护,并在法律规定或者当事人约定的期限内,不得终止提供安全维护。
同时还在第60条中设定了具体的法律责任,包括警告和罚款等。
禁止从事或协助实施危害网络安全活动
网络安全法第27条规定,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;
不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;
明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
二、个人信息保护责任
保护公民的合法权益,是网络安全法的主要立法目的之一,落实到具体内容中,其核心便是个人信息保护制度。
网络安全法第四章详尽地规定了企业在个人信息保护方面需承担的责任。
企业需认真评估和应对网络安全法在个人信息保护方面的要求,并采取积极、主动的措施应对要求。
对照自查
确认企业是否属于网络安全法适用对象,是否属于网络运营者?
确认企业是否或即将搜集、使用、存储公民的个人信息?
确认企业拥有的或者正在使用的信息系统是否属于关键信息基础设施?
如果是,建议企业先应尽快盘点已搜集、使用、存储的个人信息类型、个人信息对应的容器和载体、内部访问、处理、分析、使用这些个人信息对应的人员岗位、存储这些个人信息的信息系统情况(例如系统后台数据库的物理位置等)、这些个人信息是否会被内部人员或者系统后台接口的方式披露、传输给外部第三方。
对标评估
基于第一步信息搜集的结果,企业应评估当时业务操作与系统操作的现状是否能满足网络安全法中的法规要求
落实整改
根据影响程度、整改成本等尽快明确整改策略、整改计划与具体执行方案。
持续改进
基于企业业务、管理、信息系统的不断变化,其个人信息搜集、使用、存储的范围、生命周期的管理方式也随之变化。
因此企业需要考虑建立一套可持续的、完整的个人信息保护管理框架。
企业从治理层包括目标战略、治理组织;
管理层包括岗位职责、个人信息保护流程、个人信息保护教育培训、个人信息保护评估与改进机制等维度完善企业个人信息保护的框架。
从而不仅实现某个时间点上的合法合规(MakeClean),更要实现可持续性的合规(StayClean)并最终赢得企业消费者和客户的认可、信任和期望。
三、协助和报告责任
除前述网络安全运行责任和个人信息保护责任外,对于企业而言,网安法还涉及到一个较为重要的责任,就是协助和报告责任。
在安全缺陷、漏洞报告方面,发现网络产品、服务存在安全缺陷、漏洞等风险时,应当及时向有关主管部门报告;
在网安事件报告方面,发生危害网络安全的事件时,按照规定向有关主管部门报告。
在用户违法信息报告方面,加强对其用户发布的信息的管理,发现禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告;
在协助侦查犯罪方面,应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助;
在配合监督检查方面,对网信部门和有关部门依法实施的监督检查,应当予以配合。
※企业网站上云安全指南
随着信息化建设的高速发展,越来越多的企业开始选择将业务迁移至云上,云计算是所有数字经济的基石,传统的安全边界正在失效!
云化给用户带来便利的同时,相应的安全问题也开始浮现,而云平台基本不提供安全措施,业务上云后处于裸奔状态,从而导致安全问题时有发生。
网络安全面临着高危态势,面临了0day爆发、DDOS、篡改、信息泄露、扫描/爬虫等多种攻击威胁,给社会政治和经济产生极大的影响。
暗链(含非法广告)为网站被入侵后发生比例最高的安全事件,近几年城市牛皮癣开始向互联网发展,通过2018年针对330万ICP备案网站数据抽样(仅对首页检测)分析,共发现56295个网站存在暗链。
可以通过在事前做好安全体检,事中做好防护和监测来提高,云上系统的网络安全防护能力。
一、安全漏洞检测
通过定期对目标网站进行全面的安全漏洞扫描手段,发现系统存在的各类安全隐患,并持续跟踪漏洞修复情况。
具体包括以下类型的漏洞:
Ø
常见的Web应用漏洞,支持OWASPTOP10等主流安全漏洞,以及各种挂马方式的网页木马如Iframe、CSS、JS、SWF、ActiveX等;
系统层漏洞,支持windows扫描、linux扫描(CentOS、ubuntu、Debian等)、类unix扫描、CVE漏洞扫描等。
二、服务质量监测
网站服务质量实时监测提供目标站点的域名解析可用性、网站服务可用性、以及网站内容可用性监测,能够较为全面的实时了解网站可用性状况。
对于实时性要求比较高的重点网站,采用分布式节点进行数据监测,以多链路多点监测形式,发现在不同区域内网站系统的多线路访问可用性情况。
三、落实防攻击措施
做好DDoS防护
可通过云端海量DDoS防护资源针对各类业务系统发起的DDoS攻击进行流量清洗,采用3-4层清洗模块针对大流量DDOS、syn-flood、ack-flood、udp-flood、icmp-flood、NTP攻击进行清洗,保障在线业务系统的可用性和连续性。
做好CC防护
CC攻击通常具备访问频率高、集中度高等特点,通过CC多重检测算法,根据用户访问频率、用户访问集中度、用户访问行为、QPS限流等多种方式进行过滤,紧急情况下可通过区域级封锁和挑战模式进行极限防护。
扫描攻击通常具备单IP访问频率高、响应错误率高、访问资源固定等特点,可采用云端web安全防护手段,先对扫描器进行指纹识别过滤,再针对客户端的响应错误分布率、资源访问分布率、触发攻击概率等多种行为进行分析匹配,1分钟内完成扫描器识别并进行封锁,可拦截市面上大部分扫描器。
爆破撞库和CC攻击手法非常类似,可采用同样的防护手段进行拦截。
做好WEB入侵防护
四、做好网页防篡改
通过网页防篡改技术,对网站加以防护,同时借助防篡改引擎,实现对篡改行为的监测。
网页通常有静态文件和动态文件组成,对于动态文件的保护通过在站点嵌入Web防攻击模块,通过设定关键字、IP、时间过滤规则,对扫描、非法访问请求等操作进行拦截;
静态文件保护在站点内部通过防篡改模块进行静态页面锁定和静态文件监控,发现有对网页进行修改,删除等非法操作时,进行保护并告警。
五、做好安全事件监测及处置
对网站进行页面资源与指纹信息的分析,通过采用html标签域比对技术,对网站进行初始化采样建立监测基准,并对基准内容进行泛格式化处理,解析出html的相关标签作为后续比对的基准,对各类安全事件进行全面分析感知,包括网马、暗链、敏感言论、网站可用性、健壮性等;
并向相关部门和人员进行定向安全通报。
※勒索病毒应急响应处置指南
勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播,利用各种非对称加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
勒索病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
勒索病毒文件一旦进入本地,就会自动运行。
接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&
C服务器,进而上传本机信息并下载加密公钥,利用加密公钥对文件进行加密。
除了拥有解密私钥的攻击者本人,其他人是几乎不可能解密。
加密完成后,通常还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。
勒索病毒变种类型非常快,对常规的杀毒软件都具有免疫性。
攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
勒索过程如下:
通过应用本手册,在不同阶段及时做出响应,尽可能避免或降低损失。
一、监测预警
从攻击者渗透进入内部网络的某一台主机到执行加密行为往往有一段时间,如果在这段时间能够做出响应,完全可以避免勒索事件的发生。
如果有以下情况,可能是处于感染未加密状态:
监测设备告警
如果使用了监测系统进行流量分析、威胁监测,系统产生大量告警日志,例如“SMB远程溢出攻击”、“弱口令爆破”等,可能是病毒在尝试扩散。
资源占用异常
病毒会伪装成系统程序,释放攻击包、扫描局域网络445端口等占用大量系统资源,当发现某个疑似系统进程的进程在长期占用CPU或内存,有可能是感染病毒。
感染已加密
如果已经感染勒索病毒,文件夹下文件变成如下统一异常不可用后缀,并且会在系统明显位置如桌面上留下文件提示,或将勒索图片更改为桌面,说明已经感染并被加密。
二、应急处置
某台主机在感染勒索病毒后,除了自身会被加密,勒索病毒往往还会利用这台主机去攻击同一局域网内的其他主机,所以当发现一台主机已被感染,应尽快采取响应措施,以下基础措施即使不是专业的人员也可以进行操作,以尽可能减少损失。
隔离中毒主机
1物理隔离
断网,拔掉网线或禁用网卡,笔记本也要禁用无线网络。
2逻辑隔离
访问控制、关闭端口、修改密码。
访问控制可以由防火墙等设备来设置,禁止已感染主机与其他主机相互访问;
视情况关闭135、139、445、3389等端口,避免漏洞被或RDP(远程桌面服务)被利用(关闭端口可参考:
8个字符,至少包含以下四类字符中的三类:
大小写字母、数字、特殊符号,不能是人名、计算机名、用户名等。
排查其他主机
隔离已感染主机后,应尽快排查业务系统与备份系统是否受到影响,确定病毒影响范围,准备事后恢复。
如果存在备份系统且备份系统是安全的,就可以将损失降到最低,也可以最快的恢复业务。
主机加固
主机感染病毒一般都是由未修复的系统漏洞、未修复的应用漏洞或者弱口令导致,所以在已知局域网内已有主机感染并将之隔离后,应检测其他主机是否有上述的问题存在。
1.系统漏洞可以使用免费的安全软件检测并打补丁;
2.应用漏洞可以使用免费的漏扫产品(AWVS、APPScan等)检测并升级或采用其他方式修复;
3.弱口令应立即修改,密码长度不少于8个字符,至少包含以下四类字符中的三类:
三、已加密系统的处理办法
备份还原
备份可以是本机、异机或异地(云端)备份,通常勒索病毒会遍历所有磁盘并加密文件,同时删除Windows的阴影卷,删除备份历史快照,所以本机备份恢复的可能性很低。
异机备份如果是通过本地磁盘到共享磁盘进行文件或者数据拷贝的方式实现,勒索病毒同样有可能加密了备份文件。
与感染病毒的主机不在同一局域网内的异地备份系统最能在此时发挥作用。
进行备份还原前,要确保原主机上病毒已彻底清除,应进行磁盘格式化并重装系统。
日常进行合理的数据备份,是最有效的灾难恢复方法。
解密工具
大部分勒索病毒使用128位密钥的AES(对称加密算法)加密文件,再将AES的密钥使用2048位密钥的RSA(非对称加密算法)加密,通过暴力破解来解密是不科学的,所以通常的解密工具是通过已公开的密钥来解密。
而密钥来源有三种途径:
l一是破解勒索程序得到,前提是勒索程序本身存在漏洞,但此概率极低;
l二是勒索者对受害人感到愧疚、同情等极端情况而公开密钥;
l三是执法机构获得勒索者的服务器,同时服务器上存储着密钥且执法机构选择公开。
除了付费解密的工具,还可尝试国际刑警组织反勒索病毒网站(https:
//www.nomoreransom.org/zh/index.html)提供的解密工具。
数据恢复
一部分勒索病毒加密文件的时候直接加密原文件,还有一部分勒索病毒是加密原文件副本再删除原文件,而原文件有些会用随机数覆盖,有些并没有。
原文件没有被覆盖的情况就可以通过数据恢复的方式进行恢复。
除了收费的专业数据恢复可以尝试使用DiskGenius(
专业代付
在早期勒索病毒基本都是勒索不同数额的比特币,但是随时虚拟货币市场的发展,勒索病毒勒索的内容也不单单围绕比特币。
例如2018年1月首次出现的Gandcrab家族勒索的就是更能隐藏用户信息达世币。
通常来说支付赎金只会让网络犯罪分子确认勒索软件是有效的,并不能保证得到所需的解锁密钥。
但当数据十分重要且上述其他方法都无法恢复,需要支付赎金时,也应联系专业人员进行代付。
勒索信通常是英文,犯罪分子在境外的几率也更高,绝大部分支付方式不是传统的交易方式,购买与支付虚拟货币是一个较为复杂的过程,自行购买并支付是存在一定风险的,所以当需要支付赎金时务必联系专业人员进行代付,避免再造成不必要的损失。
重装系统
当使用上述方法恢复数据后或不需要解密文件,原本的中毒主机都需要重装系统后再使用。
确保主机上没有可用数据后进行格式化并重装系统,格式化是保证不会有残余的病毒文件,当格式化之后将无法再进行数据恢复。
重装系统后要打好补丁,软件应确保使用最新版本或打好补丁,避免漏洞被利用。
口令也应符合上文中提到过的强口令要求。
如何做好勒索病毒的事前防护会在第4章会详述。
※企业网络安全检查、自查指南
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
信息系统安全等级保护制度已实施多年,并且已经进入等保2.0时代。
在此大背景下《网络安全法》的实施,标志着等级保护制度已经由原来的网络安全基本制度、基本国策,上升到了法律层面。
在《网络安全法》中:
第二十一条国家实行网络安全等级保护制度。
网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(数据安全)
(五)法律、行政法规规定的其他义务。
第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
两个条款均强调了网络安全等级保护制度的重要性,要求网络运营者必须按照等级保护制度进行系统安全建设。
一、检查前的准备
检查前准备
l明确被检查系统的结构信息
检查前明确信息系统的部署方式、部署平台信息、所处网络环境、信息系统架构(浏览器/服务,客户端/服务)。
查看已有的网络拓扑结构图,关注本次需要检查的目标信息系统相关的服务器及相关网络与安全设备。
l抽取关键点设备检查对象
关键点检查对象包括与被检查信息系统相关的应用发布服务器、数据库服务器、备份服务器、网络边界防火墙、网络交换机。
对于虚拟化主机设备还应该对宿主机进行检查,检查形式按照Linux或者windows主机检查即可。
其他设备考虑检查需求与时间控制可酌情进行抽查。
对于公用的一些网络设备,应当按照与设备相关的等级最高的信息系统等级进行要求。
l确定关键点技术检查内容及检查方法
如网站应用应检查恶意代码以及网站漏洞。
Windows服务器需要进行系统漏洞扫描、配置扫描、病毒及木马扫描、弱口令扫描。
对于检查工具无法检查的内容一般采用手动检查的检查方式,形成检查表进行填写。
工具准备
若采用工具检查,则需准备一套信息系统安全检查工具。
对主机、通信网络、网络边界、应用、数据等实现自动化快速检查。
推荐使用网络安全检查工具箱进行检查。
二、检查方法及步骤
目前对在用网络的网络拓扑排查可以使用人工手动排查和利用检查工具进行自动排查两种方式。
工具检查:
适用于系统对实时性要求不高,且由完备的恢复方法与手段。
手动检查:
适用于系统对实时性要求比较高,且无完备的恢复方法。
建议在系统闲时进行安全检查。
工具检查方式
工具检查的检查对象主要是采用网络连接或者U盘检查的方式进行,检查对象可归为应用系统检测、数据库检测、服务器检测、防火墙/交换机检测。
当确认系统具备安全检查工具箱接入条件时,可采用工具检查方式进行检查,具体的步骤可按照如下操作:
1设备接入
检查工具一般有在线检查与离线检查两种检查形式。
在线检查一般是指通过网络进行的扫描检查,有漏洞扫描、弱口令检查、在线配置检查等;
离线检查一般是指通过离线工具在被检查端主动运行检查程序执行的检查,有无法在线扫描的配置检查、病毒木马检查、webshell后门检查等。
设备接入点一般为被检查系统所在网络区域的核心交换机,使得检查设备可以在网络上与信息系统相关的设备从网络上可达。
2检查执行
(一)使用安全检查工具箱执行安全检查功能;
l漏洞检查:
包括网站漏洞、主机漏洞、数据库漏洞;
l配置检查:
包括主机配置、服务器配置、网络设备配置、安全设备配置;
l恶意代码检查:
包括主机、服务器恶意代码检查;
l弱口令检查:
包括数据库、终端、服务器。
(二)对于离线检查,检查执行的技术人员需要对主机执行U盘离线检查工具接入的,应使用具备防恶意代码感染能力的安全U盘;
(三)扫描过程中检查执行人员应时刻关注系统运行情况。
如果发生异常,应立即中止检查操作,待恢复操作后,根据现场情况调整检查方案酌情继续检查。
3汇总分析
待手动检查与工具检查结束完毕后,需要将检查结果进行汇总,形成检查汇总报告:
等保检查报告:
以汇总角度分析等级保护各检查层面符合情况。
工具检测记录报告:
汇总所有已导入关联的工具检查结果。
手动检查方式
当系统责任单位的系统不具备安全检查工具箱接入条件时,采用此方式,具体的步骤为:
(一)将待检查内容形成检查表或检查问卷,在检查时由对应的责任人填写,完成检查;
(二)检查基本方式、方法为人员访谈、文档检查。
※工业互联网企业安全指南
一、工业互联网安全挑战
l设备可能存在的安全风险
未经授权的内部人员可以物理访问工业互联网设备并窃取敏感数据,如生产数据和技术信息。
由于操作错误,也可能发生信息泄漏或未经授权的数据传输到其他机器。
恶意程序可能会在维护期间侵入工厂的内部网络并利用工业互联网的漏洞,从而导致数据篡改,数据删除或设备故障。
l网络(LAN)可能存在的安全风险
恶意软件可以进入工业互联网网络并拦截通信数据。
这可能导致生产数据和技术信息的泄漏。
恶意软件可以传播到生产网络并操纵通信数据。
这可能导致分析数据出错,这可能导致操作员误判情况或导致控制系统故障。
工控设备的恶意软件感染可以通过生产网络传播并增加损害。
l服务器可能存在的安全风险
由于未经授权的访问,数据可能被盗或被删除。
恶意软件可能安装在服务器上。
数据可能被更改或程序可能被覆盖,影响工厂的运行。
l外部网络可能存在的安全风险
信息可能会因未经授权从互联网访问工厂内网络而泄露。
与云服务的通信可能会被路由器,防火墙和其他网关设备的DDoS攻击中断
二、业互联网安全建设思路
分层保护对于工业互联网至关重要。
工业互联网设备的功能和容量有限,并且可以在服务设备上进行的再保险措施是有限的。
考虑到工业互联网设备具有生命周期,确保对设备的个人保护不足以降低风险。
分层保护不仅对工控设备有效,而且对工控设备所连接的网络也有效。
许多网络攻击都可以通过保护每个网络层来防止,例如办公网层,工厂内生产网络层和设备层。
保护工业互联网设备
l选择具有安全功能的网络设备
选择具有安全功能的网络设备,因为在系统引入后很难对设备实施安全措施。
l更改默认用户名和密码
设备的默认用户名和密码可以被轻松找到。
它们最有可能出现在供应商和制造商提供的用户手册中,这些手册可以在互联网上找到。
因此,在将设备引入工厂时,必须更改默认凭据。
l管理设备的漏洞
漏洞管理非常重要,因为漏洞可能被利用而导致恶意软件感染或未经授权的访问。
详细考虑漏洞管理,尤
升级会员 