安数云综合安全检查评估系统技术白皮书.docx
- 文档编号:11110722
- 上传时间:2023-05-29
- 格式:DOCX
- 页数:37
- 大小:1.07MB
安数云综合安全检查评估系统技术白皮书.docx
《安数云综合安全检查评估系统技术白皮书.docx》由会员分享,可在线阅读,更多相关《安数云综合安全检查评估系统技术白皮书.docx(37页珍藏版)》请在冰点文库上搜索。
安数云综合安全检查评估系统技术白皮书
安数云综合安全检查评估系统
技术白皮书
北京安数云信息技术有限公司
二〇一七年三月
版本控制
时间
版本
说明
修改人
2017-10-25
V1
首次提交
常帅
1背景介绍
随着互联网技术的迅猛发展,利用漏洞进行攻击的网络安全事件不断增加,且呈日趋严重的趋势。
2012年至2016年,CNVD(国家信息安全漏洞共享平台)共收录了42743个漏洞,其中高危漏洞为14495个。
CNVD近五年发布的漏洞数量和高危漏洞数按年度统计如图所示,高危漏洞数量的比例有所上升。
根据影响对象的类型,漏洞可分为:
应用程序漏洞、WEB应用漏洞、操作系统漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、和安全产品漏洞(如防火墙、入侵检测系统等)。
如下图所示,在CNVD2016年度收录的漏洞信息中,应用程序漏洞占60%,WEB应用漏洞占17.0%,操作系统漏洞占13%,网络设备漏洞占6.0%,数据库漏洞占2.0%,安全产品漏洞占2.0%。
随着企业规模和各项业务的不断扩展和信心化建设的持续深入,IT信息系统越来越复杂,设备的种类、品牌、型号越来越多,IT基础架构越发的庞大。
由于系统的不安全配置引发的漏洞也越来越多。
安全配置漏洞并不是由协议或软件本身问题造成的,而是由系统、软件和服务的不正确部署和配置造成的。
大多数系统管理员并没有意识到进行安全配置的重要性,随着业务系统的网络结构越来越复杂,重要应用和服务器的数量和种类日益增多,人工对系统进行安全配置检查变的越来越困难,对检查人员的技能和经验要求也越来越高。
传统的人工对安全配置检测,存在效率低下、配置情况反映不真实等多种问题,根据IT咨询公司EnterpriseManagementAssociates的数据,多达80%的网络问题都可以归结为配置错误,如下图:
因此,如何有效发现应用程序、操作系统、WEB应用、数据库、网络设备以及安全设备中存在的安全漏洞及不安全配置给网络管理员、系统管理员、信息安全主管们带来了新的挑战。
2安全漏洞
2.1系统安全漏洞
2.1.1缓冲区溢出漏洞
缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。
利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。
更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。
其原理是通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令,以达到攻击的目的。
造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。
在计算机安全领域,缓冲区溢出就好比给自己的程序开了个后门,这种安全隐患是致命的。
缓冲区溢出在各种操作系统、应用软件中广泛存在。
而利用缓冲区溢出漏洞实施的攻击就是缓冲区溢出攻击。
缓冲区溢出攻击,可以导致程序运行失败、系统关机、重新启动,或者执行攻击者的指令,比如非法提升权限。
在当前网络与分布式系统安全中,被广泛利用的50%以上都是缓冲区溢出,其中最著名的例子是1988年利用fingerd漏洞的蠕虫。
而缓冲区溢出中,最为危险的是堆栈溢出,因为入侵者可以利用堆栈溢出,在函数返回时改变返回程序的地址,让其跳转到任意地址,带来的危害一种是程序崩溃导致拒绝服务,另外一种就是跳转并且执行一段恶意代码,比如得到shell,然后为所欲为。
2.1.2拒绝服务攻击漏洞
拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。
其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。
拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为网络协议本身的安全缺陷,从而拒绝服务攻击也成为了攻击者的终极手法。
攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:
一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把非法用户的连接复位,影响合法用户的连接。
如果操作系统或者应用软件由于某些漏洞,攻击者发送特定的数据包即可照成拒绝服务攻击漏洞。
2.1.3弱口令漏洞
弱口令(weakpassword)没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。
设置密码通常遵循以下原则:
1)不使用空口令或系统缺省的口令,这些口令众所周之,为典型的弱口令。
2)口令长度不小于8个字符。
3)口令不应该为连续的某个字符(例如:
AAAAAAAA)或重复某些字符的组合(例如:
.)。
4)口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。
每类字符至少包含一个。
如果某类字符只包含一个,那么该字符不应为首字符或尾字符。
5)口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。
6)口令不应该为用数字或符号代替某些字母的单词。
7)口令应该易记且可以快速输入,防止他人从你身后很容易看到你的输入。
8)至少90天内更换一次口令,防止未被发现的入侵者继续使用该口令。
如果没有遵循这些规则,密码被别人猜到,可能导致你的服务器被别人恶意操控。
2.2WEB应用漏洞
2.2.1可用性
网站可用性主要指网站运行状况、响应时间、服务器运行状况等,网站可用性是网站安全监控最根本且最重要的部分,网站不可用不仅给站长及企业带来巨大的经济损失,更影响了企业的品牌形象,快速的发现网站故障、提高网站、服务器安全会减少损失和降低影响。
2.2.2安全漏洞
2.2.2.1SQL注入攻击
当一个攻击者通过在查询语句中插入一系列的SQL语句来将数据写入到应用程序中,这种方法就可以定义成SQL注入。
SQL注入攻击就其本质而言,它利用的工具是SQL的语法,针对的是应用程序开发者编程过程中的漏洞,当攻击者能够操作数据,往应用程序中插入一些SQL语句时,SQL注入攻击就发生了。
实际上,SQL注入是存在于常见的多连接的应用程序中一种漏洞,攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的任意查询。
这类应用程序一般是网络应用程序(WebApplication),它允许用户输入查询条件,并将查询条件嵌入SQL请求语句中,发送到与该应用程序相关联的数据库服务器中去执行。
通过构造一些畸形的输入,攻击者能够操作这种请求语句去获取预先未知的结果。
在风险方面SQL注入攻击是位居前列的,与缓冲区溢出等漏洞基本相当。
而且如果要实施缓冲区溢出攻击,攻击者必须首先能绕过站点的防火墙;而对于SQL注入攻击,由于防火墙为了使用户能访问网络应用程序,必须允许从Internet到Web服务器的正向连接,因此一旦网络应用程序有注入漏洞,攻击者就可以直接访问数据库进而甚至能够获得数据库所在的服务器的访问权,因此在某些情况下,SQL注入攻击的风险要高于所有其他漏洞。
2.2.2.2SQL盲注攻击
很多安全文档都认为SQL注入攻击需要通过错误信息收集信息,有些甚至声称缺乏详细的错误信息则不能完成,这使很多安全专家形成一种观念,即注入攻击在缺乏详细错误的情况下不能实施。
而实际上,屏蔽错误信息是在服务端处理完毕之后进行补救,攻击其实已经发生,只是企图阻止攻击者知道攻击的结果而已。
SQL盲注就是网站在进行错误信息屏蔽的情况下仍能使攻击者获得所需的信息,尽管错误信息本身已被屏蔽,网络应用程序仍然具有能区分正确请求和错误请求的能力,攻击者可继续实施注入攻击。
也就是说使没有详细的错误信息,对于攻击者来说,判断是否存在SQL注入漏洞仍然是一个非常简单的任务。
即使已经采取了很多措施来隐藏和掩饰返回给用户的信息,很多应用程序仍然可以被注入利用。
应用程序级别的漏洞,仅仅依靠对服务器的基本设置做一些改动是不能够解决的,必须从提高应用程序的开发人员的安全意识入手,加强对代码安全性的控制,在服务端正式处理之前对每个被提交的参数进行合法性检查,以从根本上解决注入问题。
2.2.2.3XPath注入攻击
它利用了XPath解析器的松散输入和容错特性,让心怀不满的人能够在URL、表单或其他方法上附带恶意的XPath查询以获得权限信息的访问权并更改这些信息。
一般说来,大多数Web应用程序使用关系数据库存储和检索信息。
例如,如果您的Web站点需要身份验证,那么您可能拥有一个users表,其中包含惟一ID、登录名、密码。
如果系统存在注入漏洞时,攻击者输入查询的内容:
Select*fromuserswhereloginID=''or1=1andpassword=''or1=1
攻击者就进入系统。
但是,假设您拥有的不是一个users表,而是一个XML文件,XPath注入的原理大体类似。
匹配SQL查询的XPath语句为
//users/user[loginID/text()='abc'andpassword/text()='test123']
执行类似的攻击以绕过身份验证。
2.2.2.4XSS跨站脚本攻击
XSS(Cross-SiteScripting)即跨站脚本攻击,这类攻击发生在客户端,是恶意的攻击者将恶意代码注入到Web客户端,从而影响到其他浏览此Web界面的用户。
注入的恶意代码包括危险的HTML标签,客户端脚本。
大多数网站都广泛存在这样的漏洞,XSS包括三种:
(1)非持久型跨站:
反射型跨站漏洞,是目前最普遍的跨站类型。
跨站代码一般存在于链接中,请求这样的链接时,跨站代码经过服务端反射回来,这类跨站的代码不存储到服务端(比如数据库中)。
(2)持久型跨站:
这是危害最大的跨站类型,跨站代码存储于服务端(比如数据库中),所以是持久的。
(3)DOM跨站(DOMXSS):
其实就是一种发生在客户端本地跨站漏洞,是一种基于DOM的跨站,这是客户端脚本自身的问题。
比如上面提到的DHTML技术,发生在客户端的交互技术。
不同浏览器对跨站代码的支持并不都一样。
比如在CSS(层叠样式表)中进行的跨站,现在仅在IE浏览器得到支持,如使用expression(IE8已经不支持这种方式),使用url中的伪协议javascript或者vbscript:
(IE7已经不支持伪协议这种方式)。
不过这些现存的不兼容跨站方式还是很有用的,至少IE浏览器的使用率还非常的高。
XSS能做什么:
钓鱼欺骗、挂马、盗取用户Cookie、Spam垃圾信息、DDOS攻击、针对性攻击、劫持用户Web行为、甚至爆发Web2.0蠕虫。
2.2.2.5目录遍历
目录遍历是Http所存在的一个安全漏洞,它使得攻击者能够访问受限制的目录,并在Web服务器的根目录以外执行命令。
利用这个漏洞,攻击者能够走出服务器的根目录,从而访问到文件系统的其他部分,譬如攻击者就能够看到一些受限制的文件,或者更危险的,攻击者能够执行一些造成整个系统崩溃的指令。
利用Web服务器进行目录遍历攻击的实例:
例如,如下的一个URL请求,它使用了IIS的脚本目录来移动目录并执行指令:
+dir+c:
\
这个请求会返回C:
\目录下所有文件的列表,它使通过调用然后再用dirc:
\来实现的,%5c是web服务器的转换符,用来代表一些常见字符,这里表示的是“\”。
新版本的Web服务器软件会检查这些转换符并限制它们通过,但对于一些老版本的服务器软件仍然存在这个问题。
2.2.2.6源代码泄露
攻击者使用源代码泄露攻击尝试获得服务器端应用程序的源代码。
Web服务器的基本作用是作为客户要求的文件。
文件可以是静态的,图像和HTML文件,或动态,如ASP,JSP和PHP文件,如。
当浏览器请求一个动态文件,Web服务器首先执行该文件,然后返回结果到浏览器。
因此,动态文件其实是执行的代码在Web服务器上。
使用源代码泄露攻击,攻击者可以检索服务器端脚本的源代码,如ASP,PHP和JSP。
获取服务器端脚本的源代码赠款背后攻击者的逻辑更深入地了解Web应用程序,应用程序如何处理请求和它们的参数,数据库的结构,代码和源代码注释中的漏洞。
拥有源代码,并可能重复的应用程序进行测试,可以帮助攻击者编写一个应用程序的攻击。
2.2.3篡改
如果网站或者安装WEB服务的系统存在一些高危的漏洞,可能导致网站页面被篡改,导致页面被嵌入了敏感内容、网马、暗链等。
2.2.4敏感内容
网站如果被篡改,在网站页面添加了一些带有敏感政治倾向(或反执政党倾向)、暴力倾向、不健康色彩的词或不文明语、博彩等的敏感内容,将影响企业的品牌形象,严重的可能照成经济损失。
2.2.5网马、暗链
网页挂马是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。
浏览者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的服务器端程序,进而控制浏览者的主机。
通俗点说就是将网页木马这样的攻击程序放在网页上,浏览这个网页的人,不需要任何点击动作就会中毒。
常见的网页挂马实现方式:
1)iframe框架嵌入式挂马
2)JS文件调用挂马
3)JS文件加密变形
4)JavaScript脚本挂马
5)Body挂马等。
“暗链”就是看不见的网站链接,“暗链”在网站中的链接做得非常隐蔽,短时间内不易被搜索引擎察觉。
它和友情链接有相似之处,可以有效地提高PR值。
但要注意一点PR值是对单独页面,而不是整个网站。
如果网站被挂马或被写入暗链,对于网站的运营来说是非常不利的,他会影响搜索引擎的排名、被降权,同时网站的数据也有可能被泄露。
同时,还会篡改网站标题、网站内容,添加大量垃圾链接,导致网站面目全非。
因此,解决网站被挂马问题、暗链问题是必要的。
3安全基线
随着业务开展对IT系统依赖度的不断增强,业务人员的安全意识和安全技能也在逐步提高。
传统以安全事件和新兴安全技术为主要驱动的安全建设模式,已经逐渐演进为以业务安全需求为主要驱动的主动式安全建设模式。
从典型的信息安全建设过程来看,是由业务需求导出的安全需求在驱动着安全建设的全过程。
所以,如何获取准确全面的安全需求以指导未来的安全建设并为业务发展服务,是每一个信息化主管所面临的共同挑战。
以获取业务驱动的安全需求为主要目标的安全评估是一个行之有效的方法。
安全评估从早期简单的漏洞扫描、人工检查、渗透测试等纯技术操作,逐步演进为以业务目标为出发点、以安全威胁为触发标志、以技术加管理和运营等多方面存在的安全脆弱性为主要诱因的综合评估方法及操作模型。
当前安全评估在实施的过程中,实施质量比较依赖实施人员的经验,缺乏明确统一的操作衡量标准,技术操作过程需要投入大量的人员来进行实施。
3.1安全评估的重要意义
安全评估是依据有关信息安全技术与管理标准,对信息系统以及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。
它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,并针对依据安全评估结果进行的后续风险管理措施提出具体的安全建议。
对信息系统而言,存在风险并不意味着不安全,而安全体系的建设也不是为了安全而安全,只要把风险控制在可接受的范围内,就可以达到系统稳定运行的目的。
安全评估的结果为保障信息系统的持续、稳定、高效运行提供了技术参考。
安全评估是进行网络和系统安全建设的有力工具和手段,安全体系各阶段的建设都应在安全评估和风险分析的基础上进行。
充分进行系统安全评估才能保证安全建设有的放矢、重点突出,才能达到以最小的成本获得最大安全保障,安全评估能保证安全控制措施应用在具有最大风险的区域。
在系统的规划与设计阶段,安全评估的结果是安全需求的来源,为信息系统的安全建设提供依据;在系统运行维护阶段,由于信息系统的动态性,需要定期地进行安全评估,以了解、掌握系统安全状态,是保证系统安全的动态措施。
同时,安全评估也是信息安全等级保护工作的一项不可或缺的工具和手段。
3.2基于业务的安全评估
全面、系统地分析业务系统面临的风险,能很好的为设计符合业务特点的安全方案打下良好基础,但基于业务实施安全评估历来是一个难点——如何将业务的安全需求转换为对技术、组织、管理方面的安全需求。
而解决这个难点的关键就在于业务系统的识别,即对业务流程的梳理和分析。
业务系统的识别,首先需要以业务系统为中心,梳理系统的架构,包括逻辑架构和物理架构,而物理架构还有可能是在多个地方分布,因此都需要进行考虑。
接着是调研系统中的资产,分析组成架构,也就是我们常提的各种软件资产、硬件资产、数据资产等,再定位到各自资产的功能和作用,比如说有业务系统服务器、中间件服务器、后台数据库服务器、接口服务器、测试服务器、应用平台等,以及构建网络的路由器、交换机等。
待分析完系统的组成架构和各自功能后,即可开始对系统的相关业务进行梳理和分析了。
通过对业务系统的梳理和分析,能将业务系统的主要流程进行重现,然后对这个流程中存在的安全威胁进行识别,分析出在业务系统各个层面的安全风险。
并以风险管理为核心、围绕业务系统,确定各个环节中的安全策略要求、人员岗位要求、技术手段要求,逐步形成网络与信息安全的运维体系、组织体系、技术体系,构建相适应的安全保障体系。
在基于业务的安全评估的基础上,参考国内外的标准、规范,可以设计出针对业务系统的基线安全模型。
3.3安全基线的建立和应用
3.3.1安全基线定义
字典上对“基线”的解释是:
一种在测量、计算或定位中的基本参照。
如海岸基线,是水位到达的水位线。
类比于“木桶理论”,可以认为安全基线是安全木桶的最短板,或者说,是最低的安全要求。
安全基线的元素包括:
服务和应用程序设置,例如:
只有指定用户才有权启动服务或运行应用程序;操作系统组件的配置,例如:
Internet信息服务(IIS)自带的所有样本文件必须从计算机上删除;权限和权利分配,例如:
只有管理员才有权更改操作系统文件;管理规则,例如:
计算机上的administrator密码每30天换一次。
安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求。
信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡,而安全基线正是这个平衡的合理的分界线。
不满足系统最基本的安全需求,也就无法承受由此带来的安全风险,而非基本安全需求的满足同样会带来超额安全成本的付出,所以构造信息系统安全基线己经成为系统安全工程的首要步骤,同时也是进行安全评估、解决信息系统安全性问题的先决条件。
3.3.2安全基线的建立
建立安全基线首先需要对业务系统进行识别和梳理,然后结合基线安全模型分析业务系统的功能架构,再将功能架构细化到系统层面的不同模块。
在此基础上,就是针对业务系统特性,分析可能存在的安全威胁,并将针对威胁的应对措施逐层分解到系统实现层。
系统实现层中安全基线要求主要是由安全漏洞方面、安全配置方面,以及异常事件等方面的脆弱性检查项构成,这些检查项的覆盖面、有效性就成为了基线安全实现的关键。
3.3.3安全基线的应用
在系统实现层中可以对目标系统展开合规安全检查,以找出不符合的项并选择和实施安全措施来控制安全风险。
根据业界通行的一些安全风险评估方法及运营商日常安全维护经验,我们将安全基线的内容分为三个方面:
1)系统状态的检查;
2)系统存在的安全漏洞;
3)系统配置的脆弱性;
4)安全异常活动。
系统状态:
包含系统端口状态、进程、账号以及重要文件变化的监控。
这些内容反映了系统当前所处环境的安全状况,有助于我们了解业务系统运行的动态情况。
安全配置:
通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。
安全漏洞:
通常是属于系统自身的问题引起的安全风险,一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等,反映了系统自身的安全脆弱性。
安全异常活动:
上面两个方面主要都是来自于设备或系统自身,而安全异常活动主要是来自于外部的各种因素导致,比如非法登陆尝试、木马后门等都属于安全异常活动,反映了系统当前所处环境的安全状况,有助于我们对安全配置基线和安全漏洞基线进行动态的改进。
业务系统的安全基线建立起来后,可以形成针对不同系统的详细操作指南(或规范),为标准化的技术安全操作提供了框架和标准。
其应用范围非常广泛,主要包括新业务系统的上线安全检查、第三方入网安全检查、安全合规性检查、日常安全检查等。
4等级保护
4.1等保定义
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
4.2等保工作内容
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。
信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。
因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
4.3等保等级划分
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
[1] 国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
4.4等保建设意义
实行信息安全等级保护制度,能够有效提高我国信息和信息系统安全建设的整体水平。
有利于在进行信息化建设的同时建设新的安全设施,保障信息安全和信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化安全资源的配置,有利于保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面重要信息系统的安全等。
通过开展信息安全等级保护工作,可以有效解决我国信息安全面临的威胁和存在的主要问题,充分体现“适度安全、重点保护”的目的。
信息安全等级保护是国家意志的体现,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安数云 综合 安全检查 评估 系统 技术 白皮书