等保2.0 三級 拓?fù)鋱D+設(shè)備套餐+詳解
一、等保2.0 三級信息系統(tǒng) 70-80 分套餐:
1、等保2.0 三級信息系統(tǒng) 70-80分 拓?fù)鋱D:
2、設(shè)備清單:下一代防火墻(含IPS、AV)+綜合日志審計系統(tǒng)+堡壘機+數(shù)據(jù)庫審計系統(tǒng)+殺毒軟件。
其他參考方案:
-
【接入邊界NGFW】【必配】:融合防火墻安全策略、訪問控制功能。解決安全區(qū)域邊界要求,并開啟AV模塊功能;配置網(wǎng)絡(luò)接入控制功能(802.1X);配置SSL VPN功能;
-
【分區(qū)邊界NGFW 】【必配】:用于解決安全分區(qū)邊界的訪問控制問題;
-
【主機殺毒軟件】【必配】:解決安全計算環(huán)境要求;
-
【日志審計系統(tǒng)】【必配】:解決安全管理中心要求;
-
【堡壘機】【必配】:解決集中管控、安全審計要求;
-
【數(shù)據(jù)庫審計】【必選】:解決數(shù)據(jù)庫操作行為和內(nèi)容等進行細(xì)粒度的審計和管理,需要根據(jù)系統(tǒng)內(nèi)是否包含數(shù)據(jù)庫業(yè)務(wù)系統(tǒng)選擇;
-
【漏洞掃描】【必配】;
-
【上網(wǎng)行為管理】【必選】;
-
【W(wǎng)AF】【選配】。
3、詳解:
第三級要求與第二級相比,主要區(qū)別在于多了關(guān)鍵設(shè)備及鏈路需要冗余、對重要區(qū)域重點保護需要防入侵防病毒、對遠程訪問及互聯(lián)網(wǎng)用戶的上網(wǎng)行為進行審計、運維人員的所有操作審計、對數(shù)據(jù)庫的所有操作審計等要求,所以在應(yīng)用服務(wù)器邊界部署一組下一代防火墻、在互聯(lián)網(wǎng)出口部署一臺防火墻和上網(wǎng)行為管理用作內(nèi)外網(wǎng)隔離及應(yīng)用級的管控與審計,在安全管理區(qū)部署堡壘機和數(shù)據(jù)庫審計系統(tǒng)對各方面的操作進行審計并保護審計日志,滿足網(wǎng)絡(luò)安全法的存儲時間要求。,如果有互聯(lián)網(wǎng)發(fā)布系統(tǒng)還需增加web防火墻來對系統(tǒng)進行防入侵、防篡改,在應(yīng)用系統(tǒng)遠程管理傳輸時還需使用HTTPS協(xié)議保護數(shù)據(jù)的完整性和保密性,總之涉及互聯(lián)網(wǎng)系統(tǒng)或需求的就需增加WEB應(yīng)用防火墻、上網(wǎng)行為管理和HTTPS來保證系統(tǒng)的安全。
二、等保2.0 三級信息系統(tǒng) 80-90分 套餐:
1、等保2.0 三級信息系統(tǒng) 80-90分 拓?fù)鋱D:
2、設(shè)備清單:下一代防火墻(含IPS、AV)+綜合日志審計系統(tǒng)+堡壘機+數(shù)據(jù)庫審計系統(tǒng)+殺毒軟件+數(shù)據(jù)備份系統(tǒng)+網(wǎng)絡(luò)準(zhǔn)入+VPN+入侵檢測+漏洞掃描系統(tǒng)+HTTPS。
其他參考方案:
-
【NGFW】(必選);開啟VPN,AV特性;
-
【IPS】(必選);解決區(qū)域邊界入侵防御;
-
【Anti-DDoS】【必選】;
-
【APT沙箱】【必選】:新型網(wǎng)絡(luò)攻擊行為
-
【上網(wǎng)行為管理】【必選】;
-
【日志審計系統(tǒng)】(必選);
-
【數(shù)據(jù)庫審計系統(tǒng)】(必選);
-
【漏洞掃描】(必選);
-
【主機殺毒軟件】(必選);
-
【態(tài)勢感知】【必選】;
-
【W(wǎng)AF應(yīng)用防火墻】【必選】;
-
【運維堡壘機】【必選】;
-
【網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)】【必選】;
-
【認(rèn)證服務(wù)器】【必選】;
-
【網(wǎng)頁防篡改】【可選】;
-
【主機入侵防御HIPS】【可選】;
-
【DLP數(shù)據(jù)防泄漏】【可選】;
-
【IAM身份鑒別平臺】【可選】;
-
【態(tài)勢感知探針】【可選】:可復(fù)用NGFW的能力
3、詳解
在70-80分套餐上增加一套數(shù)據(jù)備份系統(tǒng)用于實時自動備份,在網(wǎng)絡(luò)部署一套網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)對業(yè)務(wù)終端、服務(wù)器做接入限制,配合準(zhǔn)入客戶端還可對違規(guī)內(nèi)、外聯(lián)進行管控審計,為了讓遠程運維人員能夠安全的接入到內(nèi)部網(wǎng)絡(luò)進行運維,架設(shè)一臺VPN設(shè)備對傳輸通道進行加密保護鑒別數(shù)據(jù)的完整性和保密性,安全管理中心部署一臺IDS設(shè)備,對所有經(jīng)過核心交換機的流量進行檢測,保證內(nèi)網(wǎng)的發(fā)起的網(wǎng)絡(luò)攻擊能夠被檢測阻斷,安全漏洞掃描系統(tǒng)定期對內(nèi)部網(wǎng)絡(luò)的服務(wù)器、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備等進行安全漏洞掃描,以及時發(fā)現(xiàn)問題并修復(fù)。
三、等保2.0 三級信息系統(tǒng) 90分以上 套餐:
1、等保2.0 三級信息系統(tǒng)90分以上拓?fù)鋱D:
2、設(shè)備清單:下一代防火墻(含IPS、AV)+綜合日志審計系統(tǒng)+堡壘機+數(shù)據(jù)庫審計系統(tǒng)+殺毒軟件+數(shù)據(jù)備份系統(tǒng)+網(wǎng)絡(luò)準(zhǔn)入+VPN+入侵檢測+漏洞掃描系統(tǒng)+HTTPS+負(fù)載均衡+防火墻+安全隔離網(wǎng)閘+APT+蜜罐+CA認(rèn)證系統(tǒng)+態(tài)勢感知平臺+云安全防護平臺。
其他參考方案:
-
【NGFW】(必選);開啟VPN,AV特性;
-
【IPS】(必選);解決區(qū)域邊界入侵防御;
-
【Anti-DDoS】【必選】;
-
【APT沙箱】【必選】:新型網(wǎng)絡(luò)攻擊行為
-
【上網(wǎng)行為管理】【必選】;
-
【日志審計系統(tǒng)】(必選);
-
【數(shù)據(jù)庫審計系統(tǒng)】(必選);
-
【漏洞掃描】(必選);
-
【主機殺毒軟件】(必選);
-
【態(tài)勢感知】【必選】;
-
【W(wǎng)AF應(yīng)用防火墻】【必選】;
-
【運維堡壘機】【必選】;
-
【網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)】【必選】;
-
【認(rèn)證服務(wù)器】【必選】;
-
【網(wǎng)頁防篡改】【可選】;
-
【主機入侵防御HIPS】【可選】;
-
【DLP數(shù)據(jù)防泄漏】【可選】;
-
【IAM身份鑒別平臺】【可選】;
-
【態(tài)勢感知探針】【可選】:可復(fù)用NGFW的能力
多網(wǎng)架構(gòu),內(nèi)網(wǎng)和外網(wǎng)物理隔離,通過網(wǎng)閘互通,其余規(guī)劃同上。
注:內(nèi)網(wǎng)安全要求比外網(wǎng)高,故安全規(guī)劃考慮更完善。
3、詳解
在互聯(lián)網(wǎng)出口的增加一臺防火墻保證出口防火墻的高可用性,在ISP運營商接入處部署一臺負(fù)載均衡用于鏈路負(fù)載,保證鏈路的高可用性,在DMZ區(qū)部署一臺網(wǎng)閘用于內(nèi)部數(shù)據(jù)的擺渡及白名單訪問控制,在核心交換機旁路部署一臺APT或威脅情報分析系統(tǒng)來替換傳統(tǒng)的入侵檢測系統(tǒng),對新型的網(wǎng)絡(luò)攻擊進行檢測和分析攻擊者的路徑、來源和身份等信息;安全管理區(qū)部署蜜罐系統(tǒng)將出口流量引至該系統(tǒng)中來虛擬應(yīng)用環(huán)境誘捕攻擊者、鎖定攻擊路徑固定證據(jù),此系統(tǒng)在每年的專項行動和HW行動中可以發(fā)揮出最大效益,部署CA認(rèn)證系統(tǒng)對內(nèi)部人員的賬戶、證書統(tǒng)一管理實現(xiàn)強身份認(rèn)證,同時還滿足雙因素認(rèn)證要求,態(tài)勢感知平臺將所有設(shè)備日志匯總到平臺進行匯總,利用計算模型、搜索引擎和大數(shù)據(jù)算法等技術(shù)手段分析出網(wǎng)絡(luò)安全威脅,進而提前發(fā)現(xiàn)即將發(fā)生的安全事件進行預(yù)警,當(dāng)然還有一個關(guān)鍵點是可以統(tǒng)一風(fēng)險展示,界面酷炫,可視化高,同時我們的數(shù)據(jù)安全才是重中之重,數(shù)據(jù)是一個企業(yè)的核心資產(chǎn)、是命脈,但是最大的安全威脅往往來自內(nèi)部,所以在預(yù)算充足的情況還建議部署一臺數(shù)據(jù)防泄露系統(tǒng)(DLP)來對所有流經(jīng)出去的核心數(shù)據(jù)做標(biāo)記、做策略來限制數(shù)據(jù)被非法轉(zhuǎn)移、刪除、拖庫等行為,最大程度的保證數(shù)據(jù)的安全,也能滿足正在起草的數(shù)據(jù)安全法中的一些基本要求。
最后在這里啰嗦一下,以往大家都是購買一堆設(shè)備部署到網(wǎng)絡(luò)中,各種設(shè)備只是在運行然而并沒有很好的或是最大化利用起來,導(dǎo)致設(shè)備的資源浪費沒有產(chǎn)生效果達不到企業(yè)的預(yù)期,所以在有的單位領(lǐng)導(dǎo)眼里安全就是看不見,摸不著的東西,產(chǎn)生不了效益,其實最根本原因還是網(wǎng)絡(luò)安全人才的缺乏,沒有專業(yè)的人員跟蹤、維護、分析及配置策略,在這種情況下企業(yè)還是要從采購傳統(tǒng)設(shè)備向采購安全服務(wù)及產(chǎn)品化服務(wù)的觀念進行轉(zhuǎn)變,才能應(yīng)對當(dāng)下網(wǎng)絡(luò)安全激流勇進的形勢,滿足企業(yè)的網(wǎng)絡(luò)安全需求。