文章目录
分别从两个厂商的角度理解等保2.0三级解决方案,上先讲锐捷 等级保护背景介绍(引子) 为什么做等保
等级保护建设的必要性:等级保护成为网络安全法的基础建设,受国家法律约束。
什么是等保?等保划分标准?
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,其目的就是对信息系统安全防护体系能力的分析与确认,发现存在的安全隐患,帮助运营使用单位认识不足,及时改进,有效提升其信息安全防护水平。
注意2.0中等级划分对公民、法人和其他组织的合法权益产生特别严重损害,改为三级保护。
等保建设法律依据和标准
《网络安全法》在第21条、第31条明确规定了网络运营者和关键信息基础设施运营者都应该按等级保护要求对系统进行安全保护,以法律的形式确定等级保护工作为国家网络安全的基本国策,并在法律层面确立了其在网络安全领域的基础、核心地位。在第59条明确规定不履行安全保护的相关处罚规定。
等级保护主要标准:
《信息安全技术信息系统安全等级保护基本要求》(GB/-2008);
《信息安全技术信息系统安全等级保护定级指南》(GB/-2008);
《信息安全技术信息系统安全等级保护实施指南》(GB/-2010);
《信息安全技术网络安全等级保护测评要求》(GB/-2019)。
《信息安全技术网络安全等级保护测评过程指南》(GB/-2018)。
《信息安全技术网络安全等级保护设计技术要求》(GB/T 25070-2019)
等级保护配套标准:
《计算机信息系统安全保护等级划分准则》(-1999);
《信息系统通用安全技术要求》(GB/);
《网络基础安全技术要求》(GB/);
《操作系统安全技术要求》(GB/);
《数据库管理系统安全技术要求》(GB/);
《终端计算机系统安全等级技术要求》(GA/T671);
《信息系统安全管理要求》(GB/);
《信息系统安全工程管理要求》(GB/)。
等保的发展阶段
等保2.0演进变化
等级保护相关标准在调整中,等保2.0新标准落地(2019年5月13日),除了传统信息系统的安全防护外,新标准增加了云计算、移动互联、物联网、工业控制等新兴领域的安全要求。
等保2.0小结
信息系统安全变为网络安全,适应网络安全法
充分体现一个中心,三重防御的思想(所谓“一个中心三重防护”,就抄是针对安全管理中心和计算环境安全、区域边界安全、通信网知络安全的安全合规进行方案设计,建立以计算环境安全为基础,以区域边界安全、通道信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系。)
充分强化可信计算技术使用的要求
各个级别和层面增加了可信验证控制点
增加“安全管理中心”技术要求
主动防御的安全理念的应用和体现
安全扩展要求(云计算、移动互联网、物联网、工业控制、大数据)
政策需求 公安
公安部关于印发《公安信息网安全管理规定(试行)》的通知2017
第三章建设安全
第八条 公安机关应当按照公安信息网安全保密策略和技术规范,建设本级公安信息网的边界接入、物理安全、网络安全、应用安全、数据安全、保密监督管理等技术防护手段。
第九条 公安信息网及其网上的应用系统应当执行国家网络安全等级保护管理制度,开展定级备案、等级测评、安全建设等工作。
第十条 公安信息网上的应用系统应当具备用户管理、权限管理、日志审计等安全功能,不得留有后门程序或者绕过安全机制。重要应用系统应采用公安信息网数字证书进行身份认证和授权访问。重要应用系统应将软件源代码留存备案。
公安信息网及下一代公安信息网均按照等保三级来进行建设。(公安大数据中心、各级专网)
检察院
■“十三五”时期科技强检规划纲要
强化检察涉密网络安全防护,全面通过分级保护测评。按照非涉密信息系统等级保护要求,开展相应系统定级、备案、设计、实施、测评、整改工作。
■全国检察机关智慧检务行动指南(2018-2020年)
全面构建以安全可靠为基础的智慧检务支撑层生态。
大力推进检察工作网建设;全面加强音视频技术应用;加强信息网络安全体系建设;大力开展标准体系建设;完善国家检察大数据中心基础设施。
■检察工作网安全保障系统建设指导意见
高检院统筹规划检察工作网网络安全保障系统,实施“以等级保护三级为安全基线,各级网络节点内部分域管理”的安全策略。
法院
司法
网络平台安全技术要求
14.1部级、省(区、市)级网络平台安全技术要求符合GB/-2008 第三级网络安全 相关要求。
14.2地(市、州)级、监狱、戒毒所网络平台安全技术要求符合GB/-2008 第三级网络安全 相关要求。
14.3县(市、区)级网络平台安全技术要求县(市、区)级网络平台安全技术要求可根据实际情况确定等级保护级别。
9.1信息安全
9.1.1非涉密信息系统信息安全应符合GB/ 等级保护第三级 的规定,涉密信息系统应符合分级保护的要求。
9.1.2信息安全应建立技术服务管理平台,实现对购买的社会化专业技术服务全流程监管和服务内容知识库管理。
9.1.3信息安全应建立全域动态监测、分析和预警机制。
9.1.4应建立应急响应技术服务保障专家库,定期演练。
9.1.5信息安全应实现各信息系统重要数据的各份功能,应充分考虑各份存储介质的使用、管理的安全性,直跨省实现互建容灾备份。
等保解决之道(重点) 等保实施过程
整改建设前期工作
■定级
资产调查
信息系统分析
等级确定(将网络系统按照重要性和遭受损坏后的危害性分成五个安全保护等级。)
编制定级报告
专家评审(三级及以上系统需要)
定级一般由客户自主定级,或遵守上级主管部门指导意见(如有)
■备案
到当地公安机关的网安大队或安支队进行备案(第二级(含)以上信息系统)。
需提供“定级报告、备案表”(如是三级系统还需要提供:拓扑图、组织结构图、系统安全方案、网络安全设备列表及销售许可证等)。
公安机关审核后颁发备案证明。
解决之道
■客户需求
需要定级备案咨询
■客户困惑
·如何从复杂、庞大的信息系统中分解出定级对象
·如何对各个系统进行合理的定级
·不了解定级工作流程、难点和工作量
·缺少专业技术人员的指导
·不清楚提交哪些文档
■解决方案
网络信息系统定级咨询服务
·分析最新的国家等级保护相关政策精神及要求;
·分析客户的组织架构、业务要求、信息系统等特点,确定并分析定级对象;
·综合以上信息,创建信息系统安全保护等级定级指南(可选服务);
·针对定级对象,基于定级指南协助系统负责人确定信息系统的等级,编写《定级报告》;
·协助提交备案材料。
·协助定级备案。
风险评估,差距分析,安全规划
■风险评估
资产评估
威胁评估
脆弱性评估
安全措施评估
综合风险分析
■技术体系设计
安全物理环境
安全通信网络
安全区域边界
安全计算环境
安全管理中心
■差距分析
技术差距分析
管理差距分析
■管理体系设计
安全管理制度
安全管理机构
安全管理人员
安全建设管理
安全运维管理
解决之道-分析和咨询
■客户需求
需要如何整改积安全建设咨询
■客户困惑
·究竟该怎么进行整改?等级保护的标准怎么用?
·系统目前存在哪些问题?与等保要求差距多少?
·国家标准的普适性较强,但不针对具体行业,如何突出行业特点?
·在整改中如何突出重点?第一级、第二级、第三级、第四级系统的整改工作是否同时进行?
·整改工作如何把握?
·对不同级别的系统,整改的措施是否一样?
■解决方案
网络风险评估服务和安全建设咨询服务
·分析最新的国家等级保护相关政策精神及要求;
·分析客户的组织架构、业务要求、行业特点、信息系统特点;
·对信息系统现在进行全面的风险评估;
·按照等级保护及网络安全建设现状,逐条对比分析
·客户制定适合自身特点的行业等保基本要求(可选服务);
·按照国家政策文件和标准制定整改方案;
·协助客户落实安全要求,完成系统整改
安全整改
■安全技术整改
安全物理环境
安全通信网络
安全区域边界
安全计算环境
安全管理中心
■安全管理整改
安全管理制度
安全管理机构
安全管理人员
安全建设管理
安全运维管理
典型网络结构
中间两个是核心交换机
下级纵向接入区:类似市局接的下面区县的公安局的网络
业务和数据区:放服务器的
出口区:向上连接的,类似市局连接省公安厅
联网区:这里应该把防火墙换成网闸比较好
技术整改思路
等级保护2.0对于等级保护对象技术的设计,要求需要考虑建设“可信”、“可控”、“可管”的安全防护体系
安全保护模型由相应级别的安全计算环境、安全区域边界、安全通信网络和安全管理中心组成:
安全物理环境-机房环境可靠
安全通信网络-各网络传输点
安全区域边界-边界安全措施
安全计算环境-服务器和数据中心
安全管理中心-安全策略统一管理平台
技术安全-物理安全
技术安全-安全通信网络
1.按规定划分不同的网络区,并在边界处部署防火墙设备保障边界安全。
2.按规定关键节点采用硬件冗余。
3.在核心区部署上网行为管理,实现操作行为安全审计;
4.在业务和数据区域部署数据库审计系统,实现核心数据库操作审计;
5.在在横向、纵向、办公接入网络中部署防火墙或VPN设备,对政务外网、互联网、关联单位网络进行逻辑隔离和加密隧道传输。
技术安全-安全区域边界
1.在与上级出口部署高性能下一代防火墙(具备AV、流控功能、防病毒)、入侵检测防御,在出口实现边界防护、访问控制、入侵防范及边界完整性保护。
2.各网络区互联边界,部署高性能下一代防火墙(具备AV、流控功能),在区域边界实现边界访问控制安全审计和可信验证。
3.在互联网出口处部署高性能下一代防火墙(具备AV、流控功能、防病毒)及入侵检测防御,在出口实现边界访问控制及恶意代码和病毒防护。
4.在核心数据区部署数据库审计,在核心区部署上网行为管理,对用户访问外网及访问核心业务进行安全审计。
5.在核心区部署动态防御系统DDP和沙箱,实现对网络攻击特别是新型网络攻击行为及未知攻击行为的分析。
技术安全-安全计算环境
安全计算环境在1.0叫主机安全,主要是指防护服务器安全
1.在业务和数据区域前部署WAF,对政务业务系统进行安全防护,防止SQL注入、XSS攻击。
2.在核心区部署漏洞扫描,及时发现系统漏洞,并进行修补和防范。
3.在业务和数据区域部署数据库审计,实现对核心业务访问的安全审计。
4.在运维区不是通过部署准入系统,实现对各用户接入网络的身份鉴别及可信验证。
5.在运维区部署日志审计系统,实现对所有用户和事件的审计对攻击和漏洞的主动检测和防御。
6.在业务和数据区部署防火墙,实现对重要业务和数据的进行访问,安全防范和数据保密性。
技术安全-安全管理中心
1.通过部署堡垒机,实现当前网络中的网络设备、服务器等进行维护的命令及操作界面进行审计。
2.部署准入系统和审计系统对网络资源访问进行统一授权,部署安全运维中心对整网网络安全日志进行统一审计分析,对安全态势进行预警。
3.通过部署运维系统,对网络中的设备及链路进行集中管控,并对各类安全和故障事件进行告警和分析。
管理安全 管理安全-安全管理制度和机构
■安全管理制度
包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。
■解决方案
安全管理咨询服务:
帮助用户建立全面的信息安全管理制度体系,包括制定安全策略、管理制度和操作规程等等保三级,并协助用户对管理制度进行发布、评审和修订。
■安全管理机构
在单位的内部结构上,建立一整套从单位最高管理层到执行管理层以及业务运营层的管理结构,来约束和保证各项安全管理措施的执行。
■解决方案
安全管理咨询服务:
帮助用户建立全面的安全管理组织机构,包括在岗位设置、人员配备、职责定义等方面提供合理建议。
管理安全-安全管理人员
■安全管理人员
人员安全管理,主要涉及两方面:对内部人员的安全管理和对外部人员的安全管理。
■解决方案
安全管理咨询服务:
协助用户建立人员安全管理制度,涵盖人员录用、离岗、考核、教育,以及对外部来访人员进行合理管理等各个方面。
安全培训服务:
为用户的各类人员提供安全意识教育、岗位安全操作技能培训和相关安全技术培训等。
管理安全-安全建设管理
■安全建设管理
分别从定级、设计建设实施、软件开发、验收交付、测评等方面考虑,关注各项安全管理活动。
■解决方案
系统定级咨询服务
等级保护规划咨询服务:
按照安全保护等级对信息系统进行总体安全规划和详细方案设计等级保护安全集成服务:
为用户提供安全产品供货、安全系统集成(工程实施、测试验收、系统交付)等服务。
安全管理咨询服务:
帮助用户指定软件开发和外包管理制度。
等级保护辅助测评服务:
包括备案材料准备、等级测评技术支撑等服务。
签订安全服务合同
管理安全-安全运维管理
■安全运维管理
系统运维管理涉及日常管理、变更
管理、制度化管理、安全事件处置、
应急预案管理和安管中心等
■解决方案
安全管理咨询服务:协助用户制定并落实相关运维管理制度,如:对环境、资产、介质、设备进行安全管理;对恶意代码防范的管理;对密码使用的管理;对变更的管理,以及对变更失败后的恢复过程进行必要的演练;对备份与恢复的管理、数据备份和恢复策略、数据备份和恢复流程,以及对恢复流程进行必要的测试;对安全事件报告和处置的管理、安全事件报告和响应处理流程;对安全应急预案的管理,并进行必要的培训和演练;对网络安全的管理;对系统安全管理制度、流程和人员职责。
恶意代码防范服务:对用户信息系统恶意代码防护情况进行定期检查和报告,对新发现的病毒或恶意代码进行及时分析和处置。
安全应急响应服务:对用户信息系统中发生的安全相关事件提供及时的响应和处理。边界完整性检查:采用终端安全管理系统提供的网络准入控制功能(防火墙联动、802.1X准入)和非法外联监控功能。
安全检测评估:从风险管理角度,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,提出有针对性的防护对策和整改措施。
安全整改后工作
■等级测评
测评内容
技术安全测评、管理安全测评
测评方法
配置检查、人员访谈、文档审查、实地查看
■安全运维
·安全巡检、检查与加固、设备维护、应急保障、安全培训、安全监控
解决之道-测评
■客户需求
测评需求:完成自主定级,并报相应公安机关审核备案,并完成安全整改和建设的第二、三、四级信息系统。
■客户困惑
·国家测评机构的测评流程是什么?·测评人员要对哪些方面进行测评?
·针对测评,应提前准备哪些文档资料?
·现场测评过程,需要哪些配合?
·所有测评项都应该满足吗?
·测评中如何发现不符合项如何处理?
■解决方案
网络信息系统测评咨询服务分析最新的国家等级保护相关政策精神及要求;通过文档审阅、人员访谈、测试等方式,获得客户现有控制措施与等级基本要求之间的差距;协助准备测评需要的资料;协助测评工作
解决之道-安全运维
■客户需求
安全运维:完成等保测评后,保持等保效果,保证下次测评顺利通过。
■客户困惑
·如何保持等保效果?·如何发现风险隐患?
·如何加固系统安全服务?
■解决方案
渗透测试
漏洞扫描
安全事件处置
专家安全分析
安全监测及现状分析
分析最新的国家等级保护相关政策精神及要求;
通过渗透测试提前发现系统安全隐患,通过漏洞扫描及时发现系统或设备存在漏洞。
通过安全监测评估和安全事件处置,对系统安全事件进行深度分析,快速定位安全问题,提供有效解决方案。
方案特色 方案特色一动态安全体系3
变静态为动态,化被动为主动
■智能进化层:为“执行采集层”和“动态分析层”提供安全能力的持续增强,达成整网安全能力的可持续演进
■动态分析层:对“执行采集层”提供的数据和信息进行分析,持续给出动态安全威胁和风险评估,让用户掌握整网最新安全状况等保三级,让“安全看的见”,必要时下发安全策略
■执行采集层:执行网络所需的安全策略;采集各类日志、流量、文件等数据和信息供“动态分析层”分析
方案特色一真正的下一代防火墙
产品特点:
单机实现复杂组网、多重安全防御
简化部署,一机多用,减少投资
全网可视化,掌握风险精准预警
CPU+ASIC融合硬件架构,CPU处理连接的新建与维护等功能,多组ASIC芯片处理应用识别和安全检查。在应用层防护功能全部开启的情况下,CPU利用率依然保持正常范围,不影响网络层安全的处理性能保证系统的稳定性和处理性能
方案特色一动态防御系统DDP(蜜罐)
第一时间发现攻击者异常侦查跟踪行为,预防与处理
工作原理:
模拟大量虚拟终端,且IP动态变化
·在日常业务访问流量中,正常流量不会访问虚拟终端(正常广播类或探测类业务可纳入白名单),访问虚拟终端的高概率是病毒或攻击
·攻击者在找到真正资产和漏洞前就被虚拟终端捕获,先行定位(如串联部署则可阻断)
方案特色一安全沙箱RG-
基于流量检测和虚拟客户机模拟运行,支持独立部署、设备联动、网络共享和手动提交
方案特色一BDS流量探针
1、配合BDS大数据平台,实现流量维度的深度分析,包括协议及会话的重组及保存
2、具备深度攻击检测功能,依托于威胁情报检测、攻击特征检测、动态域名检测等实现对深度攻击的分析
3、重组会话、攻击检测分析等原始结果实时同步到BDS平台,和其它日志进行深度关联分析
核心价值:
·流量维度发现安全设备漏报的安全问题
·摆脱部分设备日志无法接入或定制开发
方案特色一安全大数据平台
整合四大维度主动安全分析能力,实现主动防御,及时发现未知威胁
方案特色一RIIL自动化运维平台
小结
等保价值优势(总结) 全流程覆盖
专业的安全服务体系
全系产品支持
■最低配置套餐
1、防火墙(防毒,入侵检测)
2、上网行为管理
3、网络版杀毒软件(企业版)
4、安全管理中心(BDS-A)
5、漏扫(设备或服务)
6、web应用防火墙WG
7、准入SMP
■标准配置套餐
1、防火墙
2、上网行为管理
3、网络版杀毒软件(企业版)
4、安全管理中心(BDS-A)
5、漏扫(设备或服务)
6、web应用防火墙WG
7、准入SMP
8、堡垒机
9、IDP
10、数据审计DBS
11、流量探针
■升级版配置套餐
1、防火墙
2、上网行为管理
3、网络版杀毒软件(企业版)
4、安全管理中心(BDS-A)
5、漏扫(设备或服务)
6、web应用防火墙WG
7、准入SMP
8、堡垒机
9、IDP
10、数据审计DBS
11、流量探针
12、RG-DDP
13、RG-
14、RIIL
15、渗透测试、风险评估、安全事件处置
价值汇总
■全
产品和服务全,满足等保建设所需所有硬件设备和安全服务。
解决方案全,提供等保建设前、等保建设中、等保建设后全流程解决方案。
■专
专业的安服体系,提供技术安全和管理安全全方位安全服务。专业的技术背景,在等保建设、信息安全方面具有经验丰富。专业的技术团队,公司拥有CISP、CISSP、信息安全应急处理、信息安全风险评估、计算机信息系统集成项目经理、PMP认证等信息安全认证资质。
■规
安全合规,专业技术团队深度解读等保建设相关文件,保证解决方案符合政策文件要求。
产品资质合规,等保所提供安全设备均具备合规销售许可。
■稳
安全全线产品和服务、全流程的解决方案、专业的团队和服务体系、专业的测评机构合作伙伴,保证用户顺利通过安全等保测评。
等保经典成功案例(展示)略