等級(jí)保護(hù)2.0安全架構(gòu)
等級(jí)保護(hù)2.0安全架構(gòu)介紹
基于“動(dòng)態(tài)安全”體系架構(gòu)設(shè)計(jì),構(gòu)筑“網(wǎng)絡(luò)+安全”穩(wěn)固防線“等級(jí)保護(hù)2.0解決方案”,基于“動(dòng)態(tài)安全”架構(gòu),將網(wǎng)絡(luò)與安全進(jìn)行融合,以合規(guī)為基礎(chǔ),面對用戶合規(guī)和實(shí)際遇到的安全挑戰(zhàn),將場景化安全理念融入其中,為用戶提供“一站式”的安全進(jìn)化。
國家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作進(jìn)入2.0時(shí)代
國家《網(wǎng)絡(luò)安全法》于2017年6月1日正式施行,所有了網(wǎng)絡(luò)運(yùn)營者和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者均有義務(wù)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求對系統(tǒng)進(jìn)行安全保護(hù)。隨著2019年5月13日《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》標(biāo)準(zhǔn)的正式發(fā)布,國家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作正式進(jìn)入2.0時(shí)代。
等級(jí)保護(hù)2.0關(guān)鍵變化
“信息安全”→“網(wǎng)絡(luò)安全”
引入移動(dòng)互聯(lián)、工控、物聯(lián)網(wǎng)等新領(lǐng)域
等保2.0充分體現(xiàn)了“一個(gè)中心三重防御“的思想。一個(gè)中心指“安全管理中心”,三重防御指“安全計(jì)算環(huán)境、安全區(qū)域邊界、安全網(wǎng)絡(luò)通信”,同時(shí)等保2.0強(qiáng)化可信計(jì)算安全技術(shù)要求的使用。
被動(dòng)防御→主動(dòng)防御
等級(jí)保護(hù)2.0解決方案拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)
安全管理中心
建設(shè)要點(diǎn)
對安全進(jìn)行統(tǒng)一管理與把控
集中分析與審計(jì)
定期識(shí)別漏洞與隱患
安全通信網(wǎng)絡(luò)
- 下一代防火墻
- VPN
- 路由器
- 交換機(jī)
建設(shè)要點(diǎn)
構(gòu)建安全的網(wǎng)絡(luò)通信架構(gòu)
保障信息傳輸安全
安全區(qū)域邊界
-
下一代防火墻
(防病毒+垃圾郵件) - 入侵檢測/防御
- 上網(wǎng)行為管理
- 安全沙箱
- 動(dòng)態(tài)防御系統(tǒng)
- 身份認(rèn)證管理
- 流量探針
- WEB應(yīng)用防護(hù)
建設(shè)要點(diǎn)
強(qiáng)化安全邊界防護(hù)及入侵防護(hù)
優(yōu)化訪問控制策略
安全計(jì)算環(huán)境
- 入侵檢測/防御
- 數(shù)據(jù)庫審計(jì)
- 動(dòng)態(tài)防御系統(tǒng)
- 網(wǎng)頁防篡改
-
漏洞風(fēng)險(xiǎn)評估
(滲透+漏掃服務(wù)) - 殺毒軟件
建設(shè)要點(diǎn)
強(qiáng)調(diào)系統(tǒng)及應(yīng)用安全
加強(qiáng)身份鑒別機(jī)制與入侵防范
安全通信網(wǎng)絡(luò):建設(shè)要點(diǎn)(等保三級(jí))
等保要求 |
控制點(diǎn) |
對應(yīng)產(chǎn)品或方案 |
安全通信網(wǎng)絡(luò) |
網(wǎng)絡(luò)架構(gòu) |
防火墻、路由器、交換機(jī)、網(wǎng)絡(luò)規(guī)劃與配置優(yōu)化、關(guān)鍵設(shè)備/鏈路/服務(wù)器冗余 |
通信傳輸 |
VPN |
|
可信驗(yàn)證 |
可信計(jì)算機(jī)制 |
主干網(wǎng)絡(luò)鏈路及設(shè)備均采用冗余部署
基于業(yè)務(wù)管理和安全需求劃分出
有明確邊界的網(wǎng)絡(luò)區(qū)域
采用VPN或HTTPS等加密手段保護(hù)業(yè)務(wù)應(yīng)用
安全區(qū)域邊界:建設(shè)要點(diǎn)(等保三級(jí))
等保要求 |
控制點(diǎn) |
對應(yīng)產(chǎn)品或方案 |
安全區(qū)域邊界 |
邊界防護(hù) |
防火墻、身份認(rèn)證與準(zhǔn)入系統(tǒng)、無線控制器 |
訪問控制 |
第二代防火墻、WEB應(yīng)用防火墻、行為管理系統(tǒng) |
|
入侵防范 |
入侵檢測與防御、未知威脅防御、日志管理系統(tǒng) |
|
惡意代碼和垃圾郵件防范 |
防病毒網(wǎng)關(guān)、垃圾郵件網(wǎng)關(guān),或第二代防火墻 |
|
安全審計(jì) |
行為審計(jì)系統(tǒng)、身份認(rèn)證與準(zhǔn)入系統(tǒng)、日志管理系統(tǒng) |
|
可信驗(yàn)證 |
可信計(jì)算機(jī)制 |
區(qū)域邊界部署必要的應(yīng)用層安全設(shè)備,
啟用安全過濾策略
建立基于用戶的身份認(rèn)證與準(zhǔn)入機(jī)制,
啟用安全審計(jì)策略
采用行為模型分析等技術(shù)防御
新型未知威脅攻擊
采集并留存不少于半年的關(guān)鍵網(wǎng)絡(luò)、
安全及服務(wù)器設(shè)備日志
安全區(qū)域邊界:建設(shè)要點(diǎn)(等保三級(jí))
等保要求 |
控制點(diǎn) |
對應(yīng)產(chǎn)品或方案 |
安全計(jì)算環(huán)境 |
身份鑒別 |
身份認(rèn)證與準(zhǔn)入系統(tǒng)、堡壘機(jī)、安全加固服務(wù) |
訪問控制 |
身份認(rèn)證與準(zhǔn)入系統(tǒng)、安全加固服務(wù) |
|
安全審計(jì) |
堡壘機(jī)、數(shù)據(jù)庫審計(jì)、日志管理系統(tǒng) |
|
入侵防范 |
入侵檢測防御、未知威脅防御、日志管理系統(tǒng)、滲透測試/漏洞掃描/安全加固服務(wù) |
|
惡意代碼防范 |
殺毒軟件、沙箱 |
|
可信驗(yàn)證 |
可信計(jì)算機(jī)制 |
|
數(shù)據(jù)完整性 |
VPN、防篡改系統(tǒng) |
|
數(shù)據(jù)保密性 |
VPN、SSL等應(yīng)用層加密機(jī)制 |
|
數(shù)據(jù)備份恢復(fù) |
本地?cái)?shù)據(jù)備份與恢復(fù)、異地?cái)?shù)據(jù)備份、重要數(shù)據(jù)系統(tǒng)熱備 |
|
剩余信息保護(hù) |
敏感信息清除 |
|
個(gè)人信息保護(hù) |
個(gè)人信息保護(hù) |
安全管理中心:建設(shè)要點(diǎn)(等保三級(jí))
等保要求 |
控制點(diǎn) |
對應(yīng)產(chǎn)品 |
安全管理中心 |
系統(tǒng)管理 |
堡壘機(jī) |
審計(jì)管理 |
堡壘機(jī) |
|
安全管理 |
堡壘機(jī) |
|
集中管控 |
VPN、IT運(yùn)維管理系統(tǒng)、安全態(tài)勢感知平臺(tái)、日志管理系統(tǒng) |
|
安全建設(shè)管理 |
測試驗(yàn)收 |
上線前安全檢測服務(wù) |
安全運(yùn)維管理 |
漏洞和風(fēng)險(xiǎn)管理 |
滲透測試服務(wù)、漏洞掃描服務(wù) |
系統(tǒng)管理員、審計(jì)管理員、安全管理員
權(quán)責(zé)清晰,三權(quán)分立
設(shè)置獨(dú)立安全管理區(qū),采集全網(wǎng)
安全信息,實(shí)施分析預(yù)警管理
借力專業(yè)安服人員,提供滲透測試等
高技術(shù)要求安全服務(wù)
等級(jí)保護(hù)2.0解決方案特色總結(jié):1+N 全網(wǎng)安全
等保2.0標(biāo)準(zhǔn)名稱《網(wǎng)絡(luò)安全等級(jí)保護(hù)》,明確強(qiáng)調(diào)了安全體系的建設(shè)必須要跟網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)緊密結(jié)合
完整的等保安全產(chǎn)品品類
1提供基于SDN技術(shù)的網(wǎng)絡(luò)安全支撐體系
2全系列無線產(chǎn)品,形成有線無線全網(wǎng)統(tǒng)一安全體系
3用戶身份+應(yīng)用鑒權(quán)
4IT運(yùn)維管理的可靠支撐
5等級(jí)保護(hù)2.0推薦配置方案
序號(hào) |
等保所需產(chǎn)品與服務(wù) |
必備/可選(等保二級(jí)) |
必備/可選(等保三級(jí)) |
對產(chǎn)品或服務(wù)名稱 |
1 |
防火墻 |
必備 |
必備 |
下一代防火墻 |
2 |
必備 |
必備 |
入侵防御系統(tǒng) |
|
3 |
日志審計(jì)與集中管理 |
必備 |
必備 |
綜合日志審計(jì)系統(tǒng) |
4 |
滲透測試服務(wù) |
必備 |
必備 |
滲透測試服務(wù) |
5 |
漏洞掃描服務(wù) |
必備 |
必備 |
漏洞掃描 |
6 |
堡壘機(jī) |
可選 |
必備 |
堡壘機(jī) |
7 |
上網(wǎng)行為管理 |
可選 |
必備 |
上網(wǎng)行為管理系統(tǒng) |
8 |
WAF應(yīng)用防火墻 |
可選 |
必備 |
waf應(yīng)用防火墻 |
9 |
終端準(zhǔn)入系統(tǒng) |
可選 |
必備 |
終端準(zhǔn)入 |
10 |
數(shù)據(jù)庫審計(jì) |
可選 |
可選 |
數(shù)據(jù)庫審計(jì) |
11 |
等級(jí)保護(hù)建設(shè)咨詢 |
可選 |
可選 |
等級(jí)保護(hù)建設(shè)咨詢 |
12 |
安全事件處置服務(wù) |
可選 |
可選 |
安全事件處置 |
13 |
網(wǎng)站防篡改 |
可選 |
可選 |
上網(wǎng)行為管理 |
14 |
機(jī)房運(yùn)維管理軟件 |
可選 |
可選 |
綜合運(yùn)維管理平臺(tái) |
15 |
未知威脅防御 |
可選 |
可選 |
態(tài)勢感知 |
16 |
APT |
可選 |
可選 |
終端防護(hù) |
17 |
網(wǎng)絡(luò)版殺毒軟件 |
必備 |
必備 |
終端殺毒 |