Level 1——愣头青百万人:会使用安全工具,只能简单扫描、破译密码
Level 2——系统管理员上万人:善用安全工具,特别熟悉系统及网络
Level 3——大公司的开发人员或核心安全公司大牛几千人:对 *** 作系统特别熟悉,开始开发代码,写自己的扫描器
Level 4——能找到并利用漏洞几百人:自己能找漏洞、自己找0day并且写exp利用漏洞的;对系统做挖掘漏洞的协议测试
Level 5——高水平少于百人:防御和构建系统的人
Level 6——精英级几十人到十几人:对 *** 作系统的理解很深入
Level 7——大牛牛寥寥无几:马克·扎克伯格、艾伯特·爱因斯坦等改变世界的人2018年6月27日,公安部正式发布《网络安全等级保护条例(征求意见稿)》(以下称“《等保条例》”),标志着《网络安全法》(以下称“《网安法》”)第二十一条所确立的网络安全等级保护制度有了具体的实施依据与有力抓手。《等保条例》共八章七十三条,包括总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任和附则。相较于2007年实施的《信息安全等级保护管理办法》(以下称“《管理办法》”)所确立的等级保护10体系,《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善,适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求,标志着等级保护正式迈入20时代。
《等保条例》的具体规定
《管理办法》由公安部、国家保密局、国家密码管理局、国务院信息工作办公室共同发布,作为等保10体系的核心规定,其法律效力为部门规范性文件。另根据《管理办法》第一条规定,其制定依据为国务院行政法规《计算机信息系统安全保护条例》。
《等保条例》虽尚在征求意见稿阶段,根据《行政法规制定程序条例》第五条,行政法规的名称一般称“条例”,国务院各部门和地方人民政府制定的规章不得称“条例”,因此,《等保条例》应当属于行政法规范畴。此外,《等保条例》第一条规定了其制定依据为《网安法》与《保守国家秘密法》。
综上可知,《管理办法》为依据行政法规制定的部门规范性文件,而《等保条例》则属于依据国家法律制定的行政法规,显然,无论是自身法律效力亦或法律依据的效力位阶,等保20均优于等保10。
等级保护的适用范围
对于适用范围,《等保条例》概括性地规定为适用于网络运营者在我国境内建设、运营、维护、使用网络,开展网络安全等级保护以及监督管理工作,而个人及家庭自建自用的网络除外,内容较为简略。2018年1月19日,全国信息安全标准化技术委员会发布了《信息安全技术网络安全等级保护定级指南20(征求意见稿)》(以下称“《定级指南20》”),为等保的具体适用提供了指引。
等保10体系中,《管理办法》在第十条明确提到信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》(以下称“《定级指南10》”)确定信息系统的安全保护等级。因此,《定级指南20》的出台很大程度上得益于《定级指南10》的已有规定。
相比《定级指南10》将等级保护的对象笼统地定义为信息安全等级保护工作直接作用的具体的信息和信息系统,《定级指南20》细化了网络安全等级保护制度定级对象的具体范围,主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。另外,作为定级对象的网络还应当满足三个基本特征:第一,具有确定的主要安全责任主体;第二,承载相对独立的业务应用;第三,包含相互关联的多个资源
根据《定级指南20》,定级对象在满足上述基本特征后仍需遵循相关要求。对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象,而跨省业务专网既可以作为一个整体定级,也可根据区域划分为若干对象定级。对于工业控制系统,应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,而生产管理要素可以单独定级。对于云计算平台,则应区分为服务提供方与租户方,各自分别作为定级对象。对于物联网,虽然其包括感知、网络传输和处理应用等多种特征因素,但仍应将以上要素作为一个整体的定级对象,各要素并不单独定级。采用移动互联技术的网络与物联网类似,应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。对于大数据,除安全责任主体相同的平台和应用可以整体定级外,应单独定级。
网络等级
《等保条例》继受了《管理办法》所确立的五级安全保护等级体系,但进一步强化了对公民、法人和其他组织合法权益的保护。《管理办法》并未在主文中规定当遭受破坏后会对公民、法人和其他组织合法权益产生特别严重损害的信息系统应当如何定级,《定级指南10》仅在之后定级要素与安保等级关系的表格中显示上述信息系统应列为第二级,而《等保条例》则进行了相应修改,当等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害时,相应系统应当定为第三级保护对象。具体等级划分请参照以下表格:
网络安全保护义务
《管理办法》第五条规定信息系统的运营、使用单位应当依照该办法及其相关标准规范履行信息安全等级保护的义务和责任,但并未明确对应的义务。作为《网安法》配套法规的《等保条例》则沿袭了《网安法》已有的规定,就网络运营者的一般和特殊安全保护义务、网络产品和服务采购、应急预案制定等进行了详细的规定。
对于安全保护义务,除《网安法》第二十一条已经明确的内容外,一般网络运营者还应:一、建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;二、落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定 *** 作规范和工作流程;三、在收集使用和处理个人信息时采取保护措施防止其泄露、损毁、篡改、窃取、丢失和滥用;四、落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;五、落实违法信息发现、阻断、消除等措施,防范违法信息大量传播和违法犯罪证据的灭失。第三级以上的网络运营者除上述义务外,还应当着重落实网络安全管理负责人、关键岗位技术人员的安全背景审查和持证上岗制度,同时定期开展等级测评工作。
对于网络产品和服务采购,网络运营者应当采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务,第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务,对重要部位使用的网络产品,还应当委托专业测评机构进行专项测试。2017年6月1日生效的《网络关键设备和网络安全专用产品目录(第一批)》与国家认监委等四部门于2018年3月15日发布的《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)》对网络运营者使用的网络产品的要求进行了详细的规定,因此建议网络运营者在采购网络产品和服务要求供应商提供专业机构出具的安全认证或检测证书,以减少运营法律风险。
对于应急预案的制定,第三级以上网络的运营者应当按照国家有关规定,制定网络安全应急预案,定期开展网络安全应急演练。除及时记录并留存事件数据信息,向公安机关和行业主管部门报告外,网络运营者还应当为重大网络安全事件处置和恢复提供支持和协助。根据工信部《公共互联网网络安全突发事件应急预案》,报告网络安全事件信息时,还应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议等。
网络安全保护要求
近年来,随着人工智能、大数据、物联网、云计算等的快速发展,安全趋势和形势的急速变化,2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求》(简称等保10)已经不再适用于当前安全要求。从2015年开始,等级保护的安全要求逐步开始制定20标准,包括5个部分:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求。2017年8月,公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《网络安全等级保护基本要求》一个标准。等保10标准更偏重于对于防护的要求,而等保20标准更适应当前网络安全形势的发展,结合《网安法》中对于持续监测、威胁情报、快速响应类的要求提出了具体的落地措施。SQL注入漏洞
SQL注入漏洞的危害不仅体现在数据库层面,还有可能危及承载数据库的 *** 作系统;如果SQL注入被用来挂马,还可能用来传播恶意软件等,这些危害包括但不限于:
数据库信息泄漏:数据库中存储的用户隐私信息泄露。
网页篡改:通过 *** 作数据库对特定网页进行篡改。
网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。
数据库被恶意 *** 作:数据库服务器被攻击,数据库的系统管理员帐户被窜改。
服务器被远程控制,被安装后门:经由数据库服务器提供的 *** 作系统支持,让黑客得以修改或控制 *** 作系统。
破坏硬盘数据,瘫痪全系统。
XSS跨站脚本漏洞
XSS跨站脚本漏洞的危害包括但不限于:
钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼JavaScript以监控目标网站的表单输入,甚至发起基于DHTML更高级的钓鱼攻击方式。
网站挂马:跨站后利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者d出恶意网站窗口等方式都可以进行挂马攻击。
身份盗用:Cookie是用户对于特定网站的身份验证标志,XSS可以**用户的Cookie,从而利用该Cookie获取用户对该网站的 *** 作权限。如果一个网站管理员用户Cookie被窃取,将会对网站引发巨大的危害。
**网站用户信息:当能够窃取到用户Cookie从而获取到用户身份时,攻击者可以获取到用户对网站的 *** 作权限,从而查看用户隐私信息。
垃圾信息发送:比如在SNS社区中,利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群体。
劫持用户Web行为:一些高级的XSS攻击甚至可以劫持用户的Web行为,监视用户的浏览历史,发送与接收的数据等等。
XSS蠕虫:XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。
信息泄露漏洞
CGI漏洞
CGI漏洞大多分为以下几种类型:信息泄露、命令执行和溢出,因此危害的严重程度不一。信息泄露会暴露服务器的敏感信息,使攻击者能够通过泄露的信息进行进一步入侵;命令执行会对服务器的安全造成直接的影响,如执行任意系统命令;溢出往往能够让攻击者直接控制目标服务器,危害重大。
内容泄露漏洞
内容泄露漏洞,会被攻击者利用导致其它类型的攻击,危害包括但不局限于:
内网ip泄露:可能会使攻击者渗透进入内网产生更大危害。
数据库信息泄露:让攻击者知道数据库类型,会降低攻击难度。
网站调试信息泄露:可能让攻击者知道网站使用的编程语言,使用的框架等,降低攻击难度。
网站目录结构泄露:攻击者容易发现敏感文件。
绝对路径泄露:某些攻击手段依赖网站的绝对路径,比如用SQL注入写webshell。
电子邮件泄露:邮件泄露可能会被垃圾邮件骚扰,还可能被攻击者利用社会工程学手段获取更多信息,扩大危害。
文件泄露漏洞
敏感文件的泄露可能会导致重要信息的泄露,进而扩大安全威胁,这些危害包括但不局限于:
帐号密码泄漏:可能导致攻击者直接 *** 作网站后台或数据库,进行一些可能有危害的 *** 作。
源码泄露:可能会让攻击者从源码中分析出更多其它的漏洞,如SQL注入,文件上传,代码执行等。
系统用户泄露:可能会方便暴力破解系统密码。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)