Linux操作系统加固
1. 账号和口令
1.1 禁用或删除无用账号
减少系统无用账号,降低安全风险。
操作步骤
- 使用命令
userdel <用户名>删除不必要的账号。 - 使用命令
passwd -l <用户名>锁定不必要的账号。 - 使用命令
passwd -u <用户名>解锁必要的账号。
1.2 检查特殊账号
检查是否存在空口令和root权限的账号。
操作步骤
1.查看空口令和root权限账号,确认是否存在异常账号:
使用命令 awk -F: '($2=="")' /etc/shadow 查看空口令账号。
使用命令 awk -F: '($3==0)' /etc/passwd 查看UID为零的账号
2.加固空口令账号:
使用命令 passwd <用户名> 为空口令账号设定密码。
确认UID为零的账号只有root账号。
1.3 添加口令策略
加强口令的复杂度等,降低被猜解的可能性。
操作步骤
1.使用命令 vi /etc/login.defs 修改配置文件。
PASS_MAX_DAYS 90 #新建用户的密码最长使用天数
PASS_MIN_DAYS 0 #新建用户的密码最短使用天数
PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数
2.使用chage命令修改用户设置。
例如,chage -m 0 -M 30 -E 2000-01-01 -W 7 <用户名>表示将此用户的密码最长使用天数设为30,最短使用天数设为0,密码2000年1月1日过期,过期前七天警告用户。
3.设置连续输错三次密码,账号锁定五分钟。
使用命令 vi /etc/pam.d/common-auth修改配置文件,在配置文件中添加 auth required pam_tally.so onerr=fail deny=3 unlock_time=300。
1.4 限制用户su
限制能su到root的用户。
使用命令 vi /etc/pam.d/su修改配置文件,在配置文件中添加行。例如,只允许test组用户su到root,则添加 auth required pam_wheel.so group=test。
1.5 禁止root用户直接登录
限制root用户直接登录。
操作步骤
1.创建普通权限账号并配置密码,防止无法远程登录;
2.使用命令 vi /etc/ssh/sshd_config修改配置文件将PermitRootLogin的值改成no,并保存,然后使用service sshd restart重启服务。
2. 服务
2.1 关闭不必要的服务
关闭不必要的服务(如普通服务和xinetd服务),降低风险。
操作步骤
使用命令systemctl disable <服务名>设置服务在开机时不自动启动。
说明:
对于部分老版本的Linux操作系统(如CentOS 6),可以使用命令chkconfig --level <服务名> off设置服务在指定init级别下开机时不自动启动。
2.2 SSH服务安全
对SSH服务进行安全加固,防止暴力破解成功。
操作步骤
使用命令 vim /etc/ssh/sshd_config 编辑配置文件。
- 不允许root账号直接登录系统。
设置 PermitRootLogin 的值为 no。 - 修改SSH使用的协议版本。
设置 Protocol 的版本为 2。 - 修改允许密码错误次数(默认6次)。
设置 MaxAuthTries 的值为 3。
配置文件修改完成后,重启sshd服务生效。
3. 文件系统
3.1 设置umask值
设置默认的umask值,增强安全性。
操作步骤
使用命令 vi /etc/profile 修改配置文件,添加行 umask 027, 即新创建的文件属主拥有读写执行权限,同组用户拥有读和执行权限,其他用户无权限。
3.2 设置登录超时
设置系统登录后,连接超时时间,增强安全性。
操作步骤
使用命令 vi /etc/profile 修改配置文件,将以 TMOUT= 开头的行注释,设置为TMOUT=180,即超时时间为三分钟。
4. 日志
4.1 syslogd日志
启用日志功能,并配置日志记录。
操作步骤
Linux系统默认启用以下类型日志:
系统日志(默认)/var/log/messages
cron日志(默认)/var/log/cron
安全日志(默认)/var/log/secure
注意:部分系统可能使用syslog-ng日志,配置文件为:/etc/syslog-ng/syslog-ng.conf。
您可以根据需求配置详细日志。
4.2 记录所有用户的登录和操作日志
通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查。
操作步骤
1.运行 [root@xxx /]# vim /etc/profile打开配置文件。
2.在配置文件中输入以下内容:
history
USER=`whoami`
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]; then
USER_IP=`hostname`
fi
if [ ! -d /var/log/history ]; then
mkdir /var/log/history
chmod 777 /var/log/history
fi
if [ ! -d /var/log/history/${LOGNAME} ]; then
mkdir /var/log/history/${LOGNAME}
chmod 300 /var/log/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"`
export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"
chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null
3.运行 [root@xxx /]# source /etc/profile 加载配置生效。
注意: /var/log/history 是记录日志的存放位置,可以自定义。
通过上述步骤,可以在 /var/log/history 目录下以每个用户为名新建一个文件夹,每次用户退出后都会产生以用户名、登录IP、时间的日志文件,包含此用户本次的所有操作(root用户除外)。
Windows操作系统安全加固
1. 账户管理和认证授权
1.1 账户
默认账户安全
- 禁用Guest账户。
- 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除。)
- 操作步骤:
打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 > 用户 中,双击 Guest 帐户,在属性中选中 帐户已禁用,单击 确定。
按照用户分配帐户
按照用户分配帐户。根据业务要求,设定不同的用户和用户组。例如,管理员用户,数据库用户,审计用户,来宾用户等。
操作步骤
打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 中,根据您的业务要求设定不同的用户和用户组,包括管理员用户、数据库用户、审计用户、来宾用户等
定期检查并删除与无关帐户
定期删除或锁定与设备运行、维护等与工作无关的帐户。
操作步骤
打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 中,删除或锁定与设备运行、维护等与工作无关的帐户。
不显示最后的用户名
配置登录登出后,不显示用户名称。
操作步骤:
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,双击 交互式登录:不显示最后的用户名,选择 已启用 并单击 确定。
1.2 口令
密码复杂度
密码复杂度要求必须满足以下策略:
最短密码长度要求八个字符。
-
启用本机组策略中密码必须符合复杂性要求的策略。
即密码至少包含以下四种类别的字符中的两种:
- 英语大写字母 A, B, C, … Z
- 英语小写字母 a, b, c, … z
- 西方阿拉伯数字 0, 1, 2, … 9
- 非字母数字字符,如标点符号,@, #, $, %, &, *等
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 密码策略 中,确认 密码必须符合复杂性要求 策略已启用。
密码最长留存期
对于采用静态口令认证技术的设备,帐户口令的留存期不应长于90天。
操作步骤打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 密码策略 中,配置 密码最长使用期限 不大于90天。
帐户锁定策略
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10次后,锁定该用户使用的帐户。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 帐户锁定策略 中,配置 帐户锁定阈值 不大于10次。
配置样例:
1.3 授权
远程关机
在本地安全设置中,从远端系统强制关机权限只分配给Administrators组。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 从远端系统强制关机 权限只分配给Administrators组。
本地关机
在本地安全设置中关闭系统权限只分配给Administrators组。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 关闭系统 权限只分配给Administrators组。
用户权限指派
在本地安全设置中,取得文件或其它对象的所有权权限只分配给Administrators组。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 取得文件或其它对象的所有权 权限只分配给Administrators组。
授权帐户登录
在本地安全设置中,配置指定授权用户允许本地登录此计算机。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 允许本地登录 权限给指定授权用户。
授权帐户从网络访问
在本地安全设置中,只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 从网络访问此计算机 权限给指定授权用户。
2. 日志配置操作
2.1 日志配置
审核登录
设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核登录事件。
审核策略
启用本地安全策略中对Windows系统的审核策略更改,成功和失败操作都需要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核策略更改。
审核对象访问
启用本地安全策略中对Windows系统的审核对象访问,成功和失败操作都需要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核对象访问。
审核事件目录服务访问
启用本地安全策略中对Windows系统的审核目录服务访问,仅需要审核失败操作。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核目录服务器访问。
审核特权使用
启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核特权使用。
审核系统事件
启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核系统事件。
审核帐户管理
启用本地安全策略中对Windows系统的审核帐户管理,成功和失败操作都要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核帐户管理。
审核过程追踪
启用本地安全策略中对Windows系统的审核进程追踪,仅失败操作需要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核进程追踪
日志文件大小
设置应用日志文件大小至少为 8192 KB,可根据磁盘空间配置日志文件大小,记录的日志越多越好。并设置当达到最大的日志尺寸时,按需要轮询记录日志。
操作步骤
打开 控制面板 > 管理工具 > 事件查看器,配置 应用日志、系统日志、安全日志 属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。
3. IP协议安全配置
3.1 IP协议安全
启用SYN攻击保护
启用SYN攻击保护。
- 指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。
- 指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500。
- 指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。
操作步骤
打开 注册表编辑器,根据推荐值修改注册表键值。
- Windows Server 2012
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
推荐值:2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
推荐值:500 - Windows Server 2008
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect
推荐值:2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted
推荐值:5
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen
推荐值:500
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried
推荐值:400
4. 文件权限
4.1 共享文件夹及访问权限
关闭默认共享 非域环境中,关闭Windows硬盘默认共享,例如C,D 。
操作步骤
打开 注册表编辑器,根据推荐值修改注册表键值。
注意:
Windows Server 2012版本已默认关闭Windows硬盘默认共享,且没有该注册表键值。 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer 推荐值: 0
共享文件夹授权访问
每个共享文件夹的共享权限,只允许授权的帐户拥有共享此文件夹的权限。
操作步骤 每个共享文件夹的共享权限仅限于业务需要,不要设置成为 Everyone。打开 控制面板 > 管理工具 > 计算机管理,在 共享文件夹 中,查看每个共享文件夹的共享权限。
5. 服务安全
5.1 禁用TCP/IP上的NetBIOS
禁用TCP/IP上的NetBIOS协议,可以关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口。
操作步骤
1.在 计算机管理 > 服务和应用程序 > 服务 中禁用 TCP/IP NetBIOS Helper 服务。
2.在网络连接属性中,双击 Internet协议版本4(TCP/IPv4),单击 高级。在 WINS 页签中,进行如下
设置:
禁用不必要的服务
禁用不必要的服务,请参考:
6.2 禁用未登录前关机
服务器默认是禁止在未登录系统前关机的。如果启用此设置,服务器安全性将会大大降低,给远程连接的黑客造成可乘之机,强烈建议禁用未登录前关机功能。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,禁用 关机: 允许系统在未登录前关机 策略。
开启时间
设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟。
操作步骤
启用屏幕保护程序,设置等待时间为 5分钟,并启用 在恢复时使用密码保护。
7.3 限制远程登录空闲断开时间
对于远程登录的帐户,设置不活动超过时间15分钟自动断开连接。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,设置 Microsoft网络服务器:暂停会话前所需的空闲时间数量 属性为15分钟。
7.4 操作系统补丁管理
安装最新的操作系统Hotfix补丁。安装补丁时,应先对服务器系统进行兼容性测试。
操作步骤
安装最新的操作系统Hotfix补丁。安装补丁时,应先对服务器系统进行兼容性测试。
注意:对于实际业务环境服务器,建议使用通知并自动下载更新,但由管理员选择是否安装更新,而不是使用自动安装更新,防止自动更新补丁对实际业务环境产生影响。
第三方应用软件提权
第三方软件 Serv-u提权
Serv-U FTP Server,是一种被广泛运用的FTP服务器端软件,支持3x/9x/ME/NT/2K等全Windows系列。可以设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小等
Serv-U提权分两种
1.有修改权限
2.无权限修改
第一种情况时
0.判断是否安装serv-u
serv-u的默认端口是43958 可以用nmap 扫描确认
1.检查是否有可写权限
通过修改配置文件提权
首先找配置文件
一般安装目录 c:\Program Files\Serv-u\SerUDaemon.ini
修改配置文件,最后提交,成功添加一个新用户,有权限的系统管理员
复制一个 修改名字
password 密码格式 是 gw+md5 我从https://www.cmd5.com/ 把gw123456 加密 注意gw是他的 属于密码规则
把加密完的密码去替换复制的密码 password=gw+md5(gw123456)
maintenance=system 是代表系统权限 user=你命名的用户
找到安装目录,将文件添加一个有修改权限
成功添加系统管理员
密码用cmd5解密,=后面两位不用管,直接解密后面就ok
成功添加用户后,我们可以通过工具FlashFXP进行连接
也可以用cmd.exe连接
cmd访问 ftp 连接 ip 输入你刚刚添加的用户密码
输入
quote site exec net user username password /add
quote site exec net localgroup administrators username /add
利用ftp命令quote site exec 添加用户 加入administrators 权限组
打开3389连接
第二种情况无修改权限
1.利用md5 直接去解密(ini 文件密码在ftp连)
2.默认密码,默认用户
账户:LocalAdministrator ,密码:#l@$ak#.lk;0@P
命令cmd /c net user DisKill /add & net localgroup administrators DisKill /add
3.不是默认密码时 直接把SerUAdmin.exe 下载下来 进行查看密码
直接
记住这里选an字符串
. 后面就是密码 把它替换到
这也叫溢出提权
FlashFXP 替换文件漏洞提权
0x01 前言
介绍
FlashFXP是一个功能强大的 FXP/FTP 软件,融合了一些其他优秀 FTP软件的优点,如像 CuteFTP 一样可以比较文件夹,支持彩色文字显示;像 BpFTP 支持多文件夹选择文件,能够缓存文件夹;像 LeapFTP 一样的外观界面,甚至设计思路也差相仿佛。支持上传、下载及第三方文件续传;可以跳过指定的文件类型,只传送 需要的文件;可以自定义不同文件类型的显示颜色;可以缓存远端文件夹列表,支持FTP代理及 Socks 3&4;具有避免空闲功能,防止被站点踢出
用途
FlashFXP可用于:
• 发布和维护你的网站。
• 上传和下载文件,照片,视频,音乐和更多!
• 本地和远程文件传输或备份。
• 共享您的文件与您的朋友和同事使用功能强大的站点管理器。
• 我们强大的传输调度安排和自动化文件传输。
特点
1) 基于官方便携安装版破解打包,去后续检测更新提示
2) 集成密钥文件,启动即为已授权版
3) 禁止联网验证注册信息,后续不反弹
4) 补充汉化翻译了官方简体中文语言,默认启动为中文,删多语言、帮助文档 4.x
FlashFXP 中的“FXP” 是什么意思? **
FXP是指在两台服务之间的直线传输。也可以称为“站到站传输”(Site to Site Transfers)。
**注:**FXP过程需要服务两台服务器均支持方可进行。它利用服务器之间的高速连接,实现文件的高效传输,几乎不会占用本机的带宽资源。
FlashFXP 的不足?
FlashFXP 无法像CuteFTP那样实现的多窗功能,CuteFTP 可在一个窗口中打开多个站点。此外,FlashFXP 尚不支持多进程传输,所有的下载和上传任务均是以单线程进行。
0x02 环境配置
操作系统:windows 2003 企业版
FTP服务:使用serv-u服务器,常规提权方法均失效
权限情况:其他常规方法都无法提权
使用工具:ASP、. NET版本Shell一个
0x03 FlashFXP 提权思维导图
提权思路:利用FlashFXP替换文件漏洞,可以读取管理员链接过的站点账号密码。
思路扩展:通过社会工程学猜测其他的密码同样如此,借此机会扩大权限
0x04 操作演示
**1. **首先获取WebShell,我们可以利用大马或菜刀,将quick.dat下载下来(因为链接的账号密码都保存在quick.dat这个文件中)
注:falshfxp默认安装目录:C:\Program Files\flashfxp
**2. **接下来打开我们拿到的webshell,下载quick.dat这个文件,下载后,打开我们本机的FlashFTP把原先的文件提换掉,打开本机软件,查看历史记录,可以看到受害者主机quick.dat 文件里的服务器、用户名、密码等信息,如果想要获取密码,可下载星号密码查看工具查看暗文。
**星号密码查看工具地址:**[https://www.arpun.com/soft/8153.html](https://www.arpun.com/soft/8153.html)
参考链接:
[http://m.mamicode.com/info-detail-1385885.html](http://m.mamicode.com/info-detail-1385885.html)
[https://www.docin.com/p-434258776.html](https://www.docin.com/p-434258776.html)
Gene6 FTP提权
Gene6 FTP Server这个FTP软件简略易用,比SU的保险性高的多.
他的默认管理端口是8021,只容许本机盘算机连接.外部计算机即便你得到管理帐,你也不能登陆进去.
这一点和我们的SU一样,SU的管理端口是43958.
Gene6 FTP Server的帐户配置文件在:C:\Program Files\Gene6 FTP Server\RemoteAdmin\Remote.ini;在配置文件中找到md5加密的密码
那么我们只能通过webshell上传lcx.exe 把端口转发,如:lcx.exe –tran 600 127.0.0.1 8021 接通过另外一台机器安装一个gene6远程连接600端口创建一个域再创建一个有权限的帐号,注意Gene6可单独定义SITE命令调用执行文件文件可以通过webshell上传
上传为这样还不能提权.这里到了我们最核心的一步.
1.写一个能执行命令的批处理文件,并上传到目标主机.
@echo off
net user hack hack /add
net localgroup administrators hack /add
2.然后在SITE COMMANDS那个地方再进行配置.
COMMAND那输入你的命令执行的名字.我写的是HACK DESCRIPTTION这个是写描述的.这里随便你写什么都可以的.
EXECUTE这里输入你的BAT的命令执行文件的路径.也就是你刚上传的那个文件的路径.点OK就可以了.现在我们来看下我们本地的帐号情况.
只有两个帐号.
现在我们登陆FTP进行提权操作.输入提权命令 .
quote site hack
200 Command executed 命令成功执我们来看下加上帐号没有.
已经多了一个HACK的帐号,权限为管理权限.提升权限已经成功.,通过quote site exec 执行就行
PCanyWhere提权
PCAnyWhere简介
PcAnyWhere是一款远程控制软件,它出现的目的是为了方便网管人员管理服务器。安装之后默认监听5631端口。它可以将电脑当成主控端去控制远方的另外一台同样安装有PcAnyWhere的电脑(被控端),实现互传文件,内建FIPS 140-2验证AES 256位元加密,可以确保阶段作业的安全性。
提权原理
PcAnyWhere提权的原理是PcAnyWhere在建立被控端后,会在服务器上产生一个配置文件“pca.***.cif”,这个文件所在的目录并非在安装目录中,而是在“C:\Document and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts”中。
在配置文件中保存着加密后的链接账户信息,当攻击者下载到这个文件之后,就可以对这个文件进行解密,之后即可获得用户名与密码,之后再使用本地的PcAnyWhere进行登录链接即可获得远程控制。
提权操作演示
环境部署
首先下载PcAnyWhere到本地,之后分别在靶机(Windows Server 2003 R2)、攻击主机Windows XP 中进行安装,之后再Windows Server 2003 R2中建立被控制端程序,设置用户名:hps 密码:*************,之后我们可以发现在“C:\Document and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts”中
存在一个用于记录该用户的文件:
我们最终的目的就是通过在Windows Server 2003 R2上的WEBshell来下载该文件到攻击主机上,之后再进行破解,最后再使用攻击主机上的PcAnyWhere进行连接!下面进行具体操作!
在Windows XP中使用菜刀连接一句话木马
之后进入C:\Document and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts\下,下载文件
之后可以使用明小子、通天门来对该文件进行解密,获得最后的用户名与密码,之后在本地创建PcAnyWhere的控制端进行连接即可!
实现远控,提权!
VNC提权
VNC(Virtual Network Computing,虚拟网络计算)是一套由英国剑桥大学AT&T实验
室在2002年开发的轻量型跨平台远程控制计算机软件, “vnc的默认端口是5901使用端口扫描如果有便安装了vnc
我们可以通过脚本大马读注册表获取密码如果不行利用菜刀上传一个cmd.exe到有读写权限的目录然后setp c:\路径...\cmd.exe #切换至上传的cmd来执行命令
Cmd/c"regedit/ec:\123.reg"HKEY_LOCAL_MACHINE\software\RealVNC\WinVNC4" "
获取的密码
将得出的十进制数去掉第一个数其他转换成16进制
破解16进制数得到密码
vncx.exe -W 回车
输入16进制数
连接vnc
读取
vncx4.exe -w 8个数 自动破解密码
然后使用我们vnc工具连接
Radmin提权
一款远控工具
端口扫描 4899 端口
上传 radmin.asp 木马读取 radmin的加密密文
下载radmin工具连接
或者
Radmin安装方法直接把server.exe 和admdll.dll放在vm里面,cmd下运行server.exe /setup 设置密码及输入注册信息就ok了;
安装完之后可以通过C:>cmd /c "regedit /e c:\123.reg "HKEY_LOCAL_MACHINE\system\RAdmin\v2.0\Server
Parameters""导出hash值,再通过hash版Radmin连接就可
cmd/c"regedit/ed:\IFEO.reg"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options""
cmd/c"regedit/ed:\123.reg"HKEY_LOCAL_MACHINE\system\RAdmin\v2.0\Server\Parameters""
网络安全等级保护定级及备案实践
前面介绍了国家为什么要施行网络安全等级保护制度,让大家都有所了解国家的安全监管要求,接下来主要讲解企业如何进行网络安全等级保护定级及备案实践的相关内容。
网络安全等级保护实施,他有五个规定动作,分别是定级、备案、整改建设、等级测评和监督检查(CSDN学院搜索:网络安全等级保护2.0实践体系课程)。这节课主要是讲定级及备案两个动作,内容讲述如下:
(一)系统如何定级? 先看最新的网络安全等级保护定级指南
依据《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》内容,具体如下:
1、安全保护等级
目前需要进行定级备案,分别是二级、三级和四级,五级在等保基本要求未进行内容描述,一级不需要定级备案。相关安全保护等级如下:
2、定级要素
定级要素包括两个方面,分别为:
受侵害的客体:
(1)公民、法人和其他组织的合法权益;
(2)社会秩序、公共利益;
(3)国家安全。
对客体侵害的程度:
(1)造成一般损坏;
(2)造成严重损坏;
(3)造成特别严重损坏。
3、定级流程
等级保护对象一般定级流程,如下:
保护等级初步定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核、最终确定其安全保护等级。(注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者依据本标准自行确定安全保护定级,可不进行专家评审、主管部门核准和备案审核。)
4、确定等级对象
1)作为定级对象的信息系统具有如下基本特征(三个):
a)具有确定的主要安全责任体;
b)承载相对独立的业务应用;
c)包含相互关联的多个资源。
2)哪些系统属于强制定级备案范畴
一类:云计算平台/系统
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式(IASS、PASS和SAAS)将云计算平台/系统划分为不同的定级对象。对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分不同的定级对象。
二类:物联网
通常是以系统为单位,将所有边缘设备和应用统一起来,作为一个整体来定级。(比如某些智能家居系统,就要以整体平台作为定级对象,不能以不同家庭或不同区域作为定级对象)。
三类:工业控制系统
不同于其他行业,《指南》要求对于工业控制系统,将现场、过程控制要素作为一个整体定级,而生产管理要素单独再作为一个定级对象。也就是一个工业控制系统,最终会分成两个对象定级备案。对于大型工控系统,类似大型云计算平台要求,根据功能、主体、控制对象和生产厂商等因素划分多个定级对象。这里《指南》并不是建议,而是要求,也就是说大型工控系统会进行拆分定级。
四类:采用移动互联技术的系统
这类系统进行了简要描述,即包括移动终端(手机、平板、笔记本)、移动应用和无线网络等特征要素的系统。将所有移动技术整合,作为一个整体来定级。
五类:通信网络设施
对于电信网、广播电视传输网等通信网络设施,宜根据案情责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。跨省的行业或单位的专用通信网科作为一个整体对象定级,或分区域划分为若干个定级对象。
六类: 数据资源
数据资源可以独立定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级
5、定级方法描述
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全(机密性和完整性)和系统服务安全(可用性)两方面确定。定级方法流程图如下:
确定受侵害的客体时,首先判断是否侵害国家安全(三级),然后判断是否侵害社会秩序或公共利益(看严重程度定级级别),最后判断是否侵害公民、法人和其他组织的合法权益(一级或二级)。侵害客体的影响分类如下:
一类:侵害国家安全的事项影响包括:
a)影响国家政权稳固和领土主权、海洋权益完整;
b)影响国家统一、民族团结和社会稳定;
c)影响国家社会主义市场经济秩序和文化实力;
d)其他影响国家安全的事项。
二类:侵害社会秩序的事项包括以下方面:
a)影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;
b)影响公共场所的活动秩序、公共交通秩序;
c)影响人们群众的生活秩序;
d)其他影响社会秩序的事项。
三类:侵害公共利益的事项包括以下方面:
a)影响社会成员使用公共设施;
b)影响社会成员获取公开数据资源;
c)影响社会成员接受公共服务等方面;
d)其他影响公共利益的事项。
业务信息安全和系统服务安全受到破坏后,可能产生以下侵害后果:
a)影响行使工作职能;
b)导致业务能力下降;
c)引起法律纠纷;
d)导致财产损失;
e)造成社会不良影响;
f)对其他组织和个人造成损失;
g)其他影响。
不同侵害后果的三种侵害程度描述如下:
a)一般损害:
工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;
b)严重损害:
工作职能受到严重影响,业务能力显著下降且严重影响主要功能的执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较高损害;
c)特别严重损害:
工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且功能无法执行,出现极其严重的法律问题,极高的财产损失,较大范围的社会不良影响,对其他组织和个人造成非常高损害;
6、初步确定等级
根据业务信息安全被破坏时所侵害的客体以及对应的侵害程度,可得到业务信息安全保护等级:
根据系统服务安全被破坏时所侵害的客体以及对应的侵害程度,可得到系统服务安全保护等级:
定级对象的初步安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
8、确定安全保护等级
初步定为第二级及以上的对象,网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。有行业主管(监管)部门的,还需将定级结果给行业主管(监管)部门核准,并出具核准意见。然后把定级报告、备案表相关材料报送公安机关进行备案审核(目前广州市可以在线申请备案)。公安机关审核通过会颁发备案证,不同过,网络运营者需组织重新定级。
9、等级变更
当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据《定级指南》重新确定定级对象和安全保护等级。如机房位置发生变化、线下系统迁移到云平台、业务或功能发生较大变化等都需要重新确定等级。
10、定级及备案实践
目前广州市都是网上受理等保备案材料,地址:http://gaj.gz.gov.cn/wlaqjc/各单位在网上注册、上传材料即可,备案的时候需要提供哪些材料如下:
一类:二级系统需提供以下材料
a)信息系统安全等级保护备案表(一份,里面有总体内容和分项内容填写) b)信息系统安全等级保护定级报告(一个信息系统一份) c)授权经办人身份证复印件(一份) d)授权委托证明书(一份)
二类:三级及三级以上的系统需提供以下材料
除了二级所提供的材料之外,还需要提供以下材料:
备案相关材料需购买视频之后才能提供,请谅解,学习视频(CSDN学院搜索:网络安全等级保护2.0实践体系课程)。
什么是等保?
等保,即网络安全等级保护标准。
2007年我国信息安全等级保护制度正式实施,通过十余年的时间的发展与实践,成为了我国非涉密信息系统网络安全建设的重要标准。
等保标准具有很强的实用性:
它是监管部门合规执法检查的依据,是我国诸多网络信息安全标准制度的重要参考体系架构,是行业主管部门对于下级部门网络安全建设的指引标准的重要依据和参考体系
由此标准衍生了诸多行业标准:
例如人社行业等保标准、金融行业等保标准、能源行业(电力)等保标准、教育行业等保标准等行业标准。总的来说,等保制度是网络安全从业者开展网络安全工作的重要指导体系和制度。
什么是等保1.0?
2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这部法规被称为等保1.0。经过10余年的实践,等保1.0为保障我国信息安全打下了坚实的基础
什么是等保2.0?
等保2.0相关国家标准于2019年5月10日正式发布。2019年12月1日开始实施。这是我国实行网络安全等级保护制度过程中的一件大事,具有里程碑意义。
等保2.0相比等保1.0有哪些区别/进步?
等保1.0主要强调物理主机、应用、数据、传输,而2.0版本增加了对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的全覆盖。
相较于等保1.0,等保2.0发生了以下主要变化:
第一,名称变化。等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。
第二,定级对象变化。等保1.0的定级对象是信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
第三,安全要求变化。基本要求的内容,由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。
第四,控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度。
在技术上,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;
在管理上,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
第五,内容变化。从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作,变更为五个规定动作+新的安全要求(增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。)。
第六,法律效力不同。《网络安全法》第21条规定“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”。落实网络安全等级保护制度上升为法律义务。
等保2.0的实施对企业有哪些影响?
根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者成为等级保护的责任主体,如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。
等保2.0有5个运行步骤:定级备案、差距评估、建设和整改、等级测评、检查。同时,也分5个等级,即信息系统按重要程度由低到高分为5个等级,并分别实施不同的保护策略。
一级系统简单,不需要备案,影响程度很小,因此不作为重点监管对象;
二级系统大概50万个左右;
三级系统大概5万个;
四级系统量级较大,比如支付宝、银行总行系统、国家电网系统,有1000个左右;
五级系统属国家级、国防类的系统,比如核电站、军用通信系统。
网络安全等级保护常见注意事项
1、等级测评并非安全认证
很多人容易把等保测评等同于安全认证。等保测评并非相当于ISO 20000系列的信息技术服务管理认证,也并非于ISO27000系列的信息安全管理体系认证。等级保护制度是国家信息安全管理的制度,是国家意志的体现。落实等级保护制度为了国家法律法规的合规需求。
等级保护测评没有相应的证书,如何才能证明信息系统已经符合等级保护安全要求了呢?目前这主要是由公安部授权委托的全国一百多家测评机构,对信息系统进行安全测评,测评通过后出具《等级保护测评报告》,拿到了符合等保安全要求的测评报告就证明该信息系统符合了等级保护的安全要求。
2、等保制度只是基本要求
等保制度只是基线的要求,通过测评、整改,落实等级保护制度,确实可以规避大部分的安全风险。但就目前的测评结果来看,几乎没有任何一个被测系统能全部满足等保要求。一般情况下,目前等级保护测评过程中,只要没发现高危安全风险,都可以通过测评。注意如果有高危漏洞,立刻不合格
但是,安全是一个动态而非静止的过程,而不是通过一次测评,就可以一劳永逸的。 企业通过落实等保安全要求,并严格执行各项安全管理的规章制度,基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。
3、内网系统也需要做等级测评
首先,所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;《网络安全法》规定,等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此,不管是内网还是外网系统,都需要符合等级保护安全的要求。
其次,在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒不浅。2017年肆虐全球的永恒之蓝勒索病毒攻击,导致了大量内网系统瘫痪,这提醒我们内网系统的安全防护同样不能马虎。所以不论系统在内网还是外网都得及时开展等保工作。
4、系统上云或者托管在其他地方就也需做等级测评
目前,比较多的小型企业客户偏向于把系统部署在云平台与IDC机房。这些云平台、IDC机房一般都通过了等级测评。不过,根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,系统责任主体仍然还是属于网络运营者自己,所以,还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
部署在云平台的系统还需要购买云平台的安全服务或者第三方安全服务,部署在IDC机房的系统还需要购买相应的安全设备以满足等保安全要求。
在云计算环境中,将云计算平台作为基础设施、云租户系统作为信息系统,分别作为定级对象进行定级。对于大型云计算平台,当运管平台共用时,可将云计算基础设施与运管平台系统分开定级,责任分离,分别定级、各自备案。云计算基础设施的安全保护等级不低于其所支撑的业务系统的最高等级。
针对私有云用户,也要按照云平台和云租户信息系统,分别进行定级。并且云平台的安全等级不低于其所支撑的业务系统的最高等级。
对于云计算平台和云租户信息系统,则分别依据等保2.0基本要求中的通用要求和云计算安全扩展要求来开展等级保护工作。对于私有云,定级流程为云平台先定级测评,再将已定级应用系统向云平台迁移。(云平台等级必须高于等于系统等级)
5、不可根据自己的主观意愿来定级
目前的等级保护对象(信息系统)的安全级别分为五个等级:1级为最低级别,5级为最高级别(5级为预留级别,市面上已定级的系统最高为4级)。
如果定了1级,不需要做等级测评,自主进行保护即可。定2级以上就需要进行等级测评。
系统级别的确定需要根据系统的重要性进行决定。如果定高了,有可能造成投资的浪费;定低了则有可能造成重要信息系统得不到应有的保护,应该谨慎定级。
等保1.0的要求是自主定级,有主管部门的需要主管部门审核,最终报送公安机关进行审核。等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节,这样定级过程将会变得更加规范,定级也会更加准确。
6、系统备案场所
《信息安全等级保护管理办法》规定,等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商,而是最终的用户方。
目前有些单位的注册地跟运营地不一致,正常情况下需要去运营地区的网安部门办理备案手续。比如客户注册地在北京海淀区,运营部门在北京朝阳区,需要到北京朝阳区办理定级备案手续,当然,前提是北京朝阳区必须有正规办公地址。
有些单位的系统部署在云平台,云平台的实际物理地址往往和云系统网络运营者不在同一地址。而且,有些单位的运维团队和注册经营地址也不一致。这种情况下,云系统应当在系统实际运维团队所在地市网安部门进行系统备案,因为这样会方便属地公安对系统进行监管。
所以,大部分情况下,还是需要到系统的运维人员实际所在地进行定级备案。当然也有一些特殊行业的要求,比如一些涉及到金融安全的行业,比如互联网金融系统、支付系统需要属地化管理,这些系统需要在注册地办理定级备案手续,以满足本地的监管要求。
7、等保测评做完不一定需要花很多钱去整改
整改花多少钱取决于你的信息系统等级、系统现有的安全防护措施状况以及网络运营者对测评分数的期望值,不一定要花很多钱甚至不花钱。
整改的内容大体分为:安全制度完善、安全加固等安全服务以及安全设备的添置。在安全制度及安全加固上网络运营者自己可以做很多整改工作或者委托系统集成方进行加固,往往这是不需要额外付费的或者是包含在你和系统集成方合同约定中的,这两块内容整改好,加上你有一定的安全技术措施,基本上是可以达到基本符合的结论的。所以花多少钱看你怎么去做或者你的期望值是多少。
8、单位如何开展等级保护建设的相关工作?
等级保护工作是一个系统性工程,根据网络安全等级保护相关标准,等级保护工作总共分五个阶段,分别为:系统定级、系统备案、建设整改、等级测评、监督检查。
(1)系统定级
对拟定为第二级及以上的对象,其运营者应当组织专家评审;有行业主管部门的,应当在专家定级评审后报请主管部门核准;跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。
(2)系统备案
定级对象的运营使用单位应准备定级备案材料,材料包括:定级报告、等级保护备案表、单位基本情况、信息系统情况等材料。第二级以上网络运营者应当在定级对象安全保护等级确定后10个工作日内,到县级以上公安机关备案。
公安机关在接到备案材料后,于10个工作日内完成材料审查,并对定级对象安全等级进行初步审核,并出具网络安全等级保护备案证明。
(3)建设整改
对于新建的等级保护对象,要按照等级保护相关标准,撰写等级保护建设方案,并根据建设方案组织集成实施。
对于已有的等级保护对象,等级保护对象运营使用单位负责对其进行风险评估和整改建设工作, 重要等级保护对象的运营使用单位应形成等级保护整改建设方案,并根据整改方案组织集成建设。
对于三级以上的等级保护对象建设整改方案,要组织专家进行评审,形成专家评审意见,并最终形成等级保护整改建设方案。
(4)等级测评
等级保护对象的运营使用单位应落实等级测评资金保障工作,同时开展等级测评工作。
等级保护对象建设完成后,运营使用单位或者其主管部门应当选择符合资质要求的第三方测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对等级保护对象开展等级测评。第三级及以上定级对象应当每年至少进行一次等级测评(等保1.0标准里面等级保护四级系统需要每半年一次,现在调整为每年一次),第五级定级对象应当依据特殊安全需求进行等级测评。
9、对于工业控制系统如何开展等级保护工作?
依据等保基本要求中的安全通用要求和工控扩展要求来对工业控制系统开展等级保护工作。
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。
对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
工控扩展要求保护主要包括:室外控制设备防护、工业控制系统、网络架构安全、拨号使用控制无线使用控制、控制设备安全、漏洞和风险管理、恶意代码防范管理等方面内容。
工业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求,其他层次使用安全通用要求条款,对工业控制系统的保护需要根据实际情况使用基本要求。
网络安全等级保护2
等保介绍
等保发展历程
1994
国务院147号令
第一次提出等级保护概念,要求对信息系统分等级进行保护
1999
GB17859
国家强制标准发布,信息系统等级保护必须遵循的法规
2005
公安部四大标准
基本要求》 《定级指南》《实施指南》 《测评标准》
2007
公通字[2007]43号
等级保护管理办法发布,明确如何建设、如何监管以及如何选择服务商等
2015
工作要点
中央网信领导小组2015年工作要求、落实国家信息安全等级保护制度
2017
《网络安全法》
第二十一条“国家实行网络安全等级保护制度”。该法是深化网络安全等级保护制度重要举措,2017年6月1日起施行。
2019
《信息安全技术网络安全等级保护基本要求》
等保2.0在2019年12月1日正式实施
为什么要做等级保护——免责
做了,出事,是天灾(没有绝对的安全),不做出事,是人祸
注意,渗透测试只是等保的一小块
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件,用户单位将承担主要责任,网监部门会直接进行比较严厉的处罚。
安全建设体系化(自身安全预防)
以等级保护为标准开展安全建设,可以让单位自身安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
如何做等级保护-相关标准
基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999
《信息系统安全等级保护实施指南》 GB/T25058-2010
应用类
定级:《信息系统安全保护等级定级指南》GB/T 22240-2008
建设:《信息系统安全等级保护基本要求》GB/T 22239-2008
《信息系统通用安全技术要求》GB/T 20271-2006
《信息系统等级保护安全设计技术要求》
测评:《信息系统安全等级保护测评要求》 GB/T28448-2012
《信息系统安全等级保护测评过程指南》 GB/T28449-2012
管理:《信息系统安全管理要求》GB/T 20269-2006
《信息系统安全工程管理要求》GB/T 20282-2006
等级保护建设中的角色
首先是公安部门老大哥
测评机构可以在等保网站查询
一到三级都是测评机构做,四五级都是公安做
用户单位就是我们常说的甲方
厂商
卖设备,提供修改 ,升级服务
互相之间不能涉及对方业务
等级保护工作大概流程
定级备案 差距评估 整改建设 等级测评
前面介绍了国家为什么要施行网络安全等级保护制度,让大家都有所了解国家的安全监管要求,接下来主要讲解企业如何进行网络安全等级保护定级及备案实践的相关内容。
网络安全等级保护实施,他有五个规定动作,分别是定级、备案、整改建设、等级测评和监督检查(CSDN学院搜索:网络安全等级保护2.0实践体系课程)。这节课主要是讲定级及备案两个动作,内容讲述如下:
(一)系统如何定级? 先看最新的网络安全等级保护定级指南
依据《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》内容,具体如下:
1、安全保护等级
目前需要进行定级备案,分别是二级、三级和四级,五级在等保基本要求未进行内容描述,一级不需要定级备案。相关安全保护等级如下:
2、定级要素
定级要素包括两个方面,分别为:
受侵害的客体:
(1)公民、法人和其他组织的合法权益;
(2)社会秩序、公共利益;
(3)国家安全。
对客体侵害的程度:
(1)造成一般损坏;
(2)造成严重损坏;
(3)造成特别严重损坏。
3、定级流程
等级保护对象一般定级流程,如下:
保护等级初步定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核、最终确定其安全保护等级。(注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者依据本标准自行确定安全保护定级,可不进行专家评审、主管部门核准和备案审核。)
前面介绍了国家为什么要施行网络安全等级保护制度,让大家都有所了解国家的安全监管要求,接下来主要讲解企业如何进行网络安全等级保护定级及备案实践的相关内容。
网络安全等级保护实施,他有五个规定动作,分别是定级、备案、整改建设、等级测评和监督检查(CSDN学院搜索:网络安全等级保护2.0实践体系课程)。这节课主要是讲定级及备案两个动作,内容讲述如下:
(一)系统如何定级? 先看最新的网络安全等级保护定级指南
依据《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》内容,具体如下:
1、安全保护等级
目前需要进行定级备案,分别是二级、三级和四级,五级在等保基本要求未进行内容描述,一级不需要定级备案。相关安全保护等级如下:
2、定级要素
定级要素包括两个方面,分别为:
受侵害的客体:
(1)公民、法人和其他组织的合法权益;
(2)社会秩序、公共利益;
(3)国家安全。
对客体侵害的程度:
(1)造成一般损坏;
(2)造成严重损坏;
(3)造成特别严重损坏。
3、定级流程
等级保护对象一般定级流程,如下:
保护等级初步定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核、最终确定其安全保护等级。(注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者依据本标准自行确定安全保护定级,可不进行专家评审、主管部门核准和备案审核。)
4、确定等级对象
1)作为定级对象的信息系统具有如下基本特征(三个):
a)具有确定的主要安全责任体;
b)承载相对独立的业务应用;
c)包含相互关联的多个资源。
2)哪些系统属于强制定级备案范畴?
一类:云计算平台/系统
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式(IASS、PASS和SAAS)将云计算平台/系统划分为不同的定级对象。对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分不同的定级对象。
二类:物联网
通常是以系统为单位,将所有边缘设备和应用统一起来,作为一个整体来定级。(比如某些智能家居系统,就要以整体平台作为定级对象,不能以不同家庭或不同区域作为定级对象)。
三类:工业控制系统
不同于其他行业,《指南》要求对于工业控制系统,将现场、过程控制要素作为一个整体定级,而生产管理要素单独再作为一个定级对象。也就是一个工业控制系统,最终会分成两个对象定级备案。对于大型工控系统,类似大型云计算平台要求,根据功能、主体、控制对象和生产厂商等因素划分多个定级对象。这里《指南》并不是建议,而是要求,也就是说大型工控系统会进行拆分定级。
四类:采用移动互联技术的系统
这类系统进行了简要描述,即包括移动终端(手机、平板、笔记本)、移动应用和无线网络等特征要素的系统。将所有移动技术整合,作为一个整体来定级。
五类:通信网络设施
对于电信网、广播电视传输网等通信网络设施,宜根据案情责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。跨省的行业或单位的专用通信网科作为一个整体对象定级,或分区域划分为若干个定级对象。
六类: 数据资源
数据资源可以独立定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级
5、定级方法描述
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全(机密性和完整性)和系统服务安全(可用性)两方面确定。定级方法流程图如下:
确定受侵害的客体时,首先判断是否侵害国家安全(三级),然后判断是否侵害社会秩序或公共利益(看严重程度定级级别),最后判断是否侵害公民、法人和其他组织的合法权益(一级或二级)。侵害客体的影响分类如下:
一类:侵害国家安全的事项影响包括:
a)影响国家政权稳固和领土主权、海洋权益完整;
b)影响国家统一、民族团结和社会稳定;
c)影响国家社会主义市场经济秩序和文化实力;
d)其他影响国家安全的事项。
二类:侵害社会秩序的事项包括以下方面:
a)影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;
b)影响公共场所的活动秩序、公共交通秩序;
c)影响人们群众的生活秩序;
d)其他影响社会秩序的事项。
三类:侵害公共利益的事项包括以下方面:
a)影响社会成员使用公共设施;
b)影响社会成员获取公开数据资源;
c)影响社会成员接受公共服务等方面;
d)其他影响公共利益的事项。
业务信息安全和系统服务安全受到破坏后,可能产生以下侵害后果:
a)影响行使工作职能;
b)导致业务能力下降;
c)引起法律纠纷;
d)导致财产损失;
e)造成社会不良影响;
f)对其他组织和个人造成损失;
g)其他影响。
不同侵害后果的三种侵害程度描述如下:
a)一般损害:
工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;
b)严重损害:
工作职能受到严重影响,业务能力显著下降且严重影响主要功能的执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较高损害;
c)特别严重损害:
工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且功能无法执行,出现极其严重的法律问题,极高的财产损失,较大范围的社会不良影响,对其他组织和个人造成非常高损害;
6、初步确定等级
根据业务信息安全被破坏时所侵害的客体以及对应的侵害程度,可得到业务信息安全保护等级:
根据系统服务安全被破坏时所侵害的客体以及对应的侵害程度,可得到系统服务安全保护等级:
定级对象的初步安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
8、确定安全保护等级 初步定为第二级及以上的对象,网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。有行业主管(监管)部门的,还需将定级结果给行业主管(监管)部门核准,并出具核准意见。然后把定级报告、备案表相关材料报送公安机关进行备案审核(目前广州市可以在线申请备案)。公安机关审核通过会颁发备案证,不同过,网络运营者需组织重新定级。 9、等级变更 当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据《定级指南》重新确定定级对象和安全保护等级。如机房位置发生变化、线下系统迁移到云平台、业务或功能发生较大变化等都需要重新确定等级。 10、定级及备案实践 目前广州市都是网上受理等保备案材料,地址:http://gaj.gz.gov.cn/wlaqjc/各单位在网上注册、上传材料即可,备案的时候需要提供哪些材料如下: 一类:二级系统需提供以下材料 a)信息系统安全等级保护备案表(一份,里面有总体内容和分项内容填写) b)信息系统安全等级保护定级报告(一个信息系统一份) c)授权经办人身份证复印件(一份) d)授权委托证明书(一份)
二类:三级及三级以上的系统需提供以下材料 除了二级所提供的材料之外,还需要提供以下材料:
备案相关材料需购买视频之后才能提供,请谅解,学习视频(CSDN学院搜索:网络安全等级保护2.0实践体系课程)。
在开发大型系统时,涉及安全机制时,请学习本课程。内容:加密、解密、签名、校验相关的算法的使用。
数据转换算法: 将不可显示的数据转换为可打印文本。用于将任意的数据转成文本形式来表示。( base64算法 / 16进制编码 )
校验算法: 用于检查数据的完整性。当接收到一段数据后,如果不确定该数据中间是否有损失,可以采用校验类算法。( CRC, MD5, SHA1)
对称加密算法: 加密和解密过程可逆,采用相同的密码。加密算法的特点是,其算法是公开的,而密钥就是所有的秘密。 (DES/3DES/AES)
对非对称加密算法: 加密和解密采用不同的密钥(公钥和私钥),这是商务领域的高级别加密算法。例发,HTTPS协议就是采用了非对称加密算法。
数字签名: 收到一份数据后,用于确认此数据是否被篡改。(HMAC-SHA1 )
DES加密
什么是DES
DES: 全称Data Encryption Standard 是一种对称加密算法
特点:
- 加密和解密的密钥相同
- 分组加密,每8字节一组,密钥也是8字节
密钥的特殊性
DES密钥是8个字节,但每个字节的最低位(bit0) 不参与运算。
因此,以下密钥是等效的:
"01234567"
"00224466"
"11335577"
由于密钥中只有56位是有效的,所以DES是一个56位的加密算法。
应用
当数据长度大于8个字节时,每组加密,每组8个字节。
当数据长度小于8个字节时,下节课讨论
当密钥长度小于8个字节时,下节课讨论。
填充 Padding
DES是每组8字节的分组加密算法
(1) 如果数据不足8字节。。。
(2) 如果密码不足8字节。。。
当数据不足8字节时,一般不需要特殊处理, 可以填0,可以填其他值。
一般数据本身是携带了长度的,例如 "helloworld"分为2个block
密码的填充
当密码不足8字节时,应该填成8字节。 比如,用户密码为"test",不足8字节 。
有若干种填充方式,只要加密方和解密方事 先约定好即可。 例如,填0
另外一种名叫PKCS#7的填充方法,7是编号
以"test"为例,缺4个字节,则填充值为4
如果密码为"china",则填充值为3
加密模式
(1)ECB模式,Electronic Code Book电子密码本
每一块block的互相独立
先解block1还是先解block2。。。没有影响
其中一个block丢失,其他的block还能解吗?。。 没影响
(2)CBC模式 Cipher Block Chaining 链式加密
由于ECB存在一定的安全缺陷(容易被“重放攻击”?),
发明了CBC模式
CBC模式 c0 = DES_CBC(p0, key, IV);
CRC校验
工程背景
在传送数据时,一段N字节的数据从A传送至B, 在接收到此数据时,如何确信此数据是完整的?
(考虑:以串口传输时,由于传输信道本身 不稳定,存在数据中途出错的可能性) 比如,某位数据是1,传输的过程变成了0)
如果这段数据不敏感,不在乎一两个字节的错误(如,一篇文章),则不用校验。
如果这段数据敏感,即使有一个bit的错误, 也会使整个数据无效(如rar文件),则需要校验.
CRC, Cyclic Redundancy Check 循环冗余校验
digest = CRC ( data ); 它根据一个N字节的数据,生成一个较短的结果,称为校验码。(8bit,16bit,32bit)
校验过程:
发送方:根据data,生成digest
A --(data, digest ) --> B
接收方:根据data,自己生成digest2
检查方法:
① 如果digest != digest2 ,说明数据不完整
② 如果digest == digest2,则近似相信数据是完整的
注:
存在data不一样,但digest相同情况, 但这种情况发生的概率很小。
注:
data的长度不受限制 CRC8,CRC16,CRC32
CRC32的准确性最高,但速度相对CRC8较慢。
**(1)只有一段数据 **
// 生成CRC校验码
AfCrc32 crc;
crc.Restart();
crc.Update(buf, 512);
char digest[4];
crc.Final(digest);
注:每次生成CRC之前,Restart函数需要被调用
(同一个AfCrc32对象可以被使用多次)
内部使用crypto++,见本教程的附录
**(2)多数数据 **
当有多段数据时(一个buf存不下,分成多段了)
AfCrc32 crc;
crc.Restart();
while(1)
{
int n = fread(buf,1,512,fp);
crc.Update(buf, n);
}
char digest[4];
crc.Final(digest);
小结
CRC用于对数据进行校验
如果校验失败,应该要求对方重传
5.2 MD5及SHA1摘要算法
摘要算法
摘要算法和CRC的任务相同,用于检查数据的完整性。
MD2,MD3, MD4, MD5
SHA1, SHA-224, SHA-256, SHA-384,SHA-512
最常用的是: MD5, SHA1
SHA1
SHA1: Secure Hash Algorithm 生成20字节的摘要。
Test Vectors
测试向量:
一组测试数据(data, digest),用于检验算法的正确性。
例如,
data="The quick brown fox jumps over the lazy dog" (43字节)
MD5: 9e107d9d372bb6826bd81d3542a419d6
MD5和SHA1都是常用的摘要算法,但相对来说,
MD5有点过时
6.1 数字签名HMAC-SHA1
工程背景
在传输数据时,使用摘要digest可以解决数据完整性验证的问题。。。
A --[data, digest] B
但是还存在另外一个安全性问题:
"冒名"问题: B如何确认这个消息是A发出来的?而不是某个捣乱的家伙A'发出来的?
假设B是一家银行,A是B的一个客户。
A发消息告诉B,我想要转账: "client=wang&action=transfer&amount=10000&dest=li"
client: 发起方客户id
action: transfer表示转账
amount: 数额
dest: 目标客户id
涉及钱的问题都不是小事,于是,为了保证数据的完整性,需要加上一个digest作为验证字段:"client=...dest=li&digest=XXXXXXX"
蓝色部分:正文
红色部分:SHA1校验码,正文部分的摘要,按十六
进制转成文本(长为40的字符串)
那么现在:银行B可以10000块钱从wang转到li的账户上了吗?
那么现在:银行B可以10000块钱从wang转到li的账户上了吗?
银行肯定不会这么草率。。。这消息是谁发的?
如何确信?
有的同学会说:在把密码附上来,还不能表示A的身份吗?
--可以,但不安全,在明文传输时会被别人肉眼直接观测到。
数字签名
数字签名 Digital Signature
用于解决数据的“真实性”“完整性”两大 问题。
“真实性”:保证这条消息的作者是它
“完整性”:保证这条消息没有被篡改
原理:先做摘要digest,再加密,结果称为 签名Signature。
数字签名算法:HMAC-SHA1
①SHA1: 摘要,得到20字节 digest = SHA1(data);
②HMAC: 加密,结果还是20字节 signature = HMAC(digest, pin);
注:pin,个人密码, personal identity number
HMAC-SHA1可以保证“真实性”和“完整性” , "client=wang&action=transfer&amount=10000&dest=guy&verify=XXXX"
(1)完整性:由SHA1来保证
(2)真实性
假设有人冒名发出这个消息,声称自己是 wang要求转账,但它不知道用户wang的密码。。。
