文章目錄
分別從兩個廠商的角度理解等保2.0三級解決方案,上先講銳捷
等級保護背景介紹(引子)
爲什麼做等保
等級保護建設的必要性:等級保護成爲網絡安全法的基礎建設,受國家法律約束。
什麼是等保?等保劃分標準?
信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作,其目的就是對信息系統安全防護體系能力的分析與確認,發現存在的安全隱患,幫助運營使用單位認識不足,及時改進,有效提升其信息安全防護水平。
注意2.0中等級劃分對公民、法人和其他組織的合法權益產生特別嚴重損害,改爲三級保護。
等保建設法律依據和標準
《網絡安全法》在第21條、第31條明確規定了網絡運營者和關鍵信息基礎設施運營者都應該按等級保護要求對系統進行安全保護,以法律的形式確定等級保護工作爲國家網絡安全的基本國策,並在法律層面確立了其在網絡安全領域的基礎、核心地位。在第59條明確規定不履行安全保護的相關處罰規定。
等級保護主要標準:
《信息安全技術信息系統安全等級保護基本要求》(GB/T22239-2008);
《信息安全技術信息系統安全等級保護定級指南》(GB/T22240-2008);
《信息安全技術信息系統安全等級保護實施指南》(GB/T25058-2010);
《信息安全技術網絡安全等級保護測評要求》(GB/T28448-2019)。
《信息安全技術網絡安全等級保護測評過程指南》(GB/T28449-2018)。
《信息安全技術網絡安全等級保護設計技術要求》(GB/T 25070-2019)
等級保護配套標準:
《計算機信息系統安全保護等級劃分準則》(GB17859-1999);
《信息系統通用安全技術要求》(GB/T20271);
《網絡基礎安全技術要求》(GB/T20270);
《操作系統安全技術要求》(GB/T20272);
《數據庫管理系統安全技術要求》(GB/T20273);
《終端計算機系統安全等級技術要求》(GA/T671);
《信息系統安全管理要求》(GB/T20269);
《信息系統安全工程管理要求》(GB/T20282)。
等保的發展階段
等保2.0演進變化
等級保護相關標準在調整中,等保2.0新標準落地(2019年5月13日),除了傳統信息系統的安全防護外,新標準增加了雲計算、移動互聯、物聯網、工業控制等新興領域的安全要求。
等保2.0小結
信息系統安全變爲網絡安全,適應網絡安全法
充分體現一箇中心,三重防禦的思想(所謂“一箇中心三重防護”,就抄是針對安全管理中心和計算環境安全、區域邊界安全、通信網知絡安全的安全合規進行方案設計,建立以計算環境安全爲基礎,以區域邊界安全、通道信網絡安全爲保障,以安全管理中心爲核心的信息安全整體保障體系。)
充分強化可信計算技術使用的要求
各個級別和層面增加了可信驗證控制點
增加“安全管理中心”技術要求
主動防禦的安全理念的應用和體現
安全擴展要求(雲計算、移動互聯網、物聯網、工業控制、大數據)
政策需求
公安
公安部關於印發《公安信息網安全管理規定(試行)》的通知2017
第三章建設安全
第八條 公安機關應當按照公安信息網安全保密策略和技術規範,建設本級公安信息網的邊界接入、物理安全、網絡安全、應用安全、數據安全、保密監督管理等技術防護手段。
第九條 公安信息網及其網上的應用系統應當執行國家網絡安全等級保護管理制度,開展定級備案、等級測評、安全建設等工作。
第十條 公安信息網上的應用系統應當具備用戶管理、權限管理、日誌審計等安全功能,不得留有後門程序或者繞過安全機制。重要應用系統應採用公安信息網數字證書進行身份認證和授權訪問。重要應用系統應將軟件源代碼留存備案。
公安信息網及下一代公安信息網均按照等保三級來進行建設。(公安大數據中心、各級專網)
檢察院
■“十三五”時期科技強檢規劃綱要
強化檢察涉密網絡安全防護,全面通過分級保護測評。按照非涉密信息系統等級保護要求,開展相應系統定級、備案、設計、實施、測評、整改工作。
■全國檢察機關智慧檢務行動指南(2018-2020年)
全面構建以安全可靠爲基礎的智慧檢務支撐層生態。
大力推進檢察工作網建設;全面加強音視頻技術應用;加強信息網絡安全體系建設;大力開展標準體系建設;完善國家檢察大數據中心基礎設施。
■檢察工作網安全保障系統建設指導意見
高檢院統籌規劃檢察工作網網絡安全保障系統,實施“以等級保護三級爲安全基線,各級網絡節點內部分域管理”的安全策略。
法院
司法
網絡平臺安全技術要求
14.1部級、省(區、市)級網絡平臺安全技術要求符合GB/T22239-2008 第三級網絡安全 相關要求。
14.2地(市、州)級、監獄、戒毒所網絡平臺安全技術要求符合GB/T22239-2008 第三級網絡安全 相關要求。
14.3縣(市、區)級網絡平臺安全技術要求縣(市、區)級網絡平臺安全技術要求可根據實際情況確定等級保護級別。
9.1信息安全
9.1.1非涉密信息系統信息安全應符合GB/T22239 等級保護第三級 的規定,涉密信息系統應符合分級保護的要求。
9.1.2信息安全應建立技術服務管理平臺,實現對購買的社會化專業技術服務全流程監管和服務內容知識庫管理。
9.1.3信息安全應建立全域動態監測、分析和預警機制。
9.1.4應建立應急響應技術服務保障專家庫,定期演練。
9.1.5信息安全應實現各信息系統重要數據的各份功能,應充分考慮各份存儲介質的使用、管理的安全性,直跨省實現互建容災備份。
等保解決之道(重點)
等保實施過程
整改建設前期工作
■定級
資產調查
信息系統分析
等級確定(將網絡系統按照重要性和遭受損壞後的危害性分成五個安全保護等級。)
編制定級報告
專家評審(三級及以上系統需要)
定級一般由客戶自主定級,或遵守上級主管部門指導意見(如有)
■備案
到當地公安機關的網安大隊或安支隊進行備案(第二級(含)以上信息系統)。
需提供“定級報告、備案表”(如是三級系統還需要提供:拓撲圖、組織結構圖、系統安全方案、網絡安全設備列表及銷售許可證等)。
公安機關審覈後頒發備案證明。
解決之道
■客戶需求
需要定級備案諮詢
■客戶困惑
·如何從複雜、龐大的信息系統中分解出定級對象
·如何對各個系統進行合理的定級
·不瞭解定級工作流程、難點和工作量
·缺少專業技術人員的指導
·不清楚提交哪些文檔
■解決方案
網絡信息系統定級諮詢服務
·分析最新的國家等級保護相關政策精神及要求;
·分析客戶的組織架構、業務要求、信息系統等特點,確定並分析定級對象;
·綜合以上信息,創建信息系統安全保護等級定級指南(可選服務);
·針對定級對象,基於定級指南協助系統負責人確定信息系統的等級,編寫《定級報告》;
·協助提交備案材料。
·協助定級備案。
風險評估,差距分析,安全規劃
■風險評估
資產評估
威脅評估
脆弱性評估
安全措施評估
綜合風險分析
■技術體系設計
安全物理環境
安全通信網絡
安全區域邊界
安全計算環境
安全管理中心
■差距分析
技術差距分析
管理差距分析
■管理體系設計
安全管理制度
安全管理機構
安全管理人員
安全建設管理
安全運維管理
解決之道-分析和諮詢
■客戶需求
需要如何整改積安全建設諮詢
■客戶困惑
·究竟該怎麼進行整改?等級保護的標準怎麼用?
·系統目前存在哪些問題?與等保要求差距多少?
·國家標準的普適性較強,但不針對具體行業,如何突出行業特點?
·在整改中如何突出重點?第一級、第二級、第三級、第四級系統的整改工作是否同時進行?
·整改工作如何把握?
·對不同級別的系統,整改的措施是否一樣?
■解決方案
網絡風險評估服務和安全建設諮詢服務
·分析最新的國家等級保護相關政策精神及要求;
·分析客戶的組織架構、業務要求、行業特點、信息系統特點;
·對信息系統現在進行全面的風險評估;
·按照等級保護及網絡安全建設現狀,逐條對比分析
·客戶制定適合自身特點的行業等保基本要求(可選服務);
·按照國家政策文件和標準制定整改方案;
·協助客戶落實安全要求,完成系統整改
安全整改
■安全技術整改
安全物理環境
安全通信網絡
安全區域邊界
安全計算環境
安全管理中心
■安全管理整改
安全管理制度
安全管理機構
安全管理人員
安全建設管理
安全運維管理
典型網絡結構
中間兩個是核心交換機
下級縱向接入區:類似市局接的下面區縣的公安局的網絡
業務和數據區:放服務器的
出口區:向上連接的,類似市局連接省公安廳
聯網區:這裏應該把防火牆換成網閘比較好
技術整改思路
等級保護2.0對於等級保護對象技術的設計,要求需要考慮建設“可信”、“可控”、“可管”的安全防護體系
安全保護模型由相應級別的安全計算環境、安全區域邊界、安全通信網絡和安全管理中心組成:
安全物理環境-機房環境可靠
安全通信網絡-各網絡傳輸點
安全區域邊界-邊界安全措施
安全計算環境-服務器和數據中心
安全管理中心-安全策略統一管理平臺
技術安全-物理安全
技術安全-安全通信網絡
1.按規定劃分不同的網絡區,並在邊界處部署防火牆設備保障邊界安全。
2.按規定關鍵節點採用硬件冗餘。
3.在覈心區部署上網行爲管理,實現操作行爲安全審計;
4.在業務和數據區域部署數據庫審計系統,實現核心數據庫操作審計;
5.在在橫向、縱向、辦公接入網絡中部署防火牆或VPN設備,對政務外網、互聯網、關聯單位網絡進行邏輯隔離和加密隧道傳輸。
技術安全-安全區域邊界
1.在與上級出口部署高性能下一代防火牆(具備AV、流控功能、防病毒)、入侵檢測防禦,在出口實現邊界防護、訪問控制、入侵防範及邊界完整性保護。
2.各網絡區互聯邊界,部署高性能下一代防火牆(具備AV、流控功能),在區域邊界實現邊界訪問控制安全審計和可信驗證。
3.在互聯網出口處部署高性能下一代防火牆(具備AV、流控功能、防病毒)及入侵檢測防禦,在出口實現邊界訪問控制及惡意代碼和病毒防護。
4.在覈心數據區部署數據庫審計,在覈心區部署上網行爲管理,對用戶訪問外網及訪問核心業務進行安全審計。
5.在覈心區部署動態防禦系統DDP和沙箱Sandbox,實現對網絡攻擊特別是新型網絡攻擊行爲及未知攻擊行爲的分析。
技術安全-安全計算環境
安全計算環境在1.0叫主機安全,主要是指防護服務器安全
1.在業務和數據區域前部署WAF,對政務業務系統進行安全防護,防止SQL注入、XSS攻擊。
2.在覈心區部署漏洞掃描,及時發現系統漏洞,並進行修補和防範。
3.在業務和數據區域部署數據庫審計,實現對核心業務訪問的安全審計。
4.在運維區不是通過部署准入系統,實現對各用戶接入網絡的身份鑑別及可信驗證。
5.在運維區部署日誌審計系統,實現對所有用戶和事件的審計對攻擊和漏洞的主動檢測和防禦。
6.在業務和數據區部署防火牆,實現對重要業務和數據的進行訪問,安全防範和數據保密性。
技術安全-安全管理中心
1.通過部署堡壘機,實現當前網絡中的網絡設備、服務器等進行維護的命令及操作界面進行審計。
2.部署准入系統和審計系統對網絡資源訪問進行統一授權,部署安全運維中心對整網網絡安全日誌進行統一審計分析,對安全態勢進行預警。
3.通過部署運維繫統,對網絡中的設備及鏈路進行集中管控,並對各類安全和故障事件進行告警和分析。
管理安全
管理安全-安全管理制度和機構
■安全管理制度
包括信息安全工作的總體方針、策略、規範各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程。
■解決方案
安全管理諮詢服務:
幫助用戶建立全面的信息安全管理制度體系,包括制定安全策略、管理制度和操作規程等,並協助用戶對管理制度進行發佈、評審和修訂。
■安全管理機構
在單位的內部結構上,建立一整套從單位最高管理層到執行管理層以及業務運營層的管理結構,來約束和保證各項安全管理措施的執行。
■解決方案
安全管理諮詢服務:
幫助用戶建立全面的安全管理組織機構,包括在崗位設置、人員配備、職責定義等方面提供合理建議。
管理安全-安全管理人員
■安全管理人員
人員安全管理,主要涉及兩方面:對內部人員的安全管理和對外部人員的安全管理。
■解決方案
安全管理諮詢服務:
協助用戶建立人員安全管理制度,涵蓋人員錄用、離崗、考覈、教育,以及對外部來訪人員進行合理管理等各個方面。
安全培訓服務:
爲用戶的各類人員提供安全意識教育、崗位安全操作技能培訓和相關安全技術培訓等。
管理安全-安全建設管理
■安全建設管理
分別從定級、設計建設實施、軟件開發、驗收交付、測評等方面考慮,關注各項安全管理活動。
■解決方案
系統定級諮詢服務
等級保護規劃諮詢服務:
按照安全保護等級對信息系統進行總體安全規劃和詳細方案設計等級保護安全集成服務:
爲用戶提供安全產品供貨、安全系統集成(工程實施、測試驗收、系統交付)等服務。
安全管理諮詢服務:
幫助用戶指定軟件開發和外包管理制度。
等級保護輔助測評服務:
包括備案材料準備、等級測評技術支撐等服務。
簽訂安全服務合同
管理安全-安全運維管理
■安全運維管理
系統運維管理涉及日常管理、變更
管理、制度化管理、安全事件處置、
應急預案管理和安管中心等
■解決方案
安全管理諮詢服務:協助用戶制定並落實相關運維管理制度,如:對環境、資產、介質、設備進行安全管理;對惡意代碼防範的管理;對密碼使用的管理;對變更的管理,以及對變更失敗後的恢復過程進行必要的演練;對備份與恢復的管理、數據備份和恢復策略、數據備份和恢復流程,以及對恢復流程進行必要的測試;對安全事件報告和處置的管理、安全事件報告和響應處理流程;對安全應急預案的管理,並進行必要的培訓和演練;對網絡安全的管理;對系統安全管理制度、流程和人員職責。
惡意代碼防範服務:對用戶信息系統惡意代碼防護情況進行定期檢查和報告,對新發現的病毒或惡意代碼進行及時分析和處置。
安全應急響應服務:對用戶信息系統中發生的安全相關事件提供及時的響應和處理。邊界完整性檢查:採用終端安全管理系統提供的網絡准入控制功能(防火牆聯動、802.1X准入)和非法外聯監控功能。
安全檢測評估:從風險管理角度,系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性,提出有針對性的防護對策和整改措施。
安全整改後工作
■等級測評
測評內容
技術安全測評、管理安全測評
測評方法
配置檢查、人員訪談、文檔審查、實地查看
■安全運維
·安全巡檢、檢查與加固、設備維護、應急保障、安全培訓、安全監控
解決之道-測評
■客戶需求
測評需求:完成自主定級,並報相應公安機關審覈備案,並完成安全整改和建設的第二、三、四級信息系統。
■客戶困惑
·國家測評機構的測評流程是什麼?·測評人員要對哪些方面進行測評?
·針對測評,應提前準備哪些文檔資料?
·現場測評過程,需要哪些配合?
·所有測評項都應該滿足嗎?
·測評中如何發現不符合項如何處理?
■解決方案
網絡信息系統測評諮詢服務分析最新的國家等級保護相關政策精神及要求;通過文檔審閱、人員訪談、測試等方式,獲得客戶現有控制措施與等級基本要求之間的差距;協助準備測評需要的資料;協助測評工作
解決之道-安全運維
■客戶需求
安全運維:完成等保測評後,保持等保效果,保證下次測評順利通過。
■客戶困惑
·如何保持等保效果?·如何發現風險隱患?
·如何加固系統安全服務?
■解決方案
滲透測試
漏洞掃描
安全事件處置
專家安全分析
安全監測及現狀分析
分析最新的國家等級保護相關政策精神及要求;
通過滲透測試提前發現系統安全隱患,通過漏洞掃描及時發現系統或設備存在漏洞。
通過安全監測評估和安全事件處置,對系統安全事件進行深度分析,快速定位安全問題,提供有效解決方案。
方案特色
方案特色一動態安全體系3
變靜態爲動態,化被動爲主動
■智能進化層:爲“執行採集層”和“動態分析層”提供安全能力的持續增強,達成整網安全能力的可持續演進
■動態分析層:對“執行採集層”提供的數據和信息進行分析,持續給出動態安全威脅和風險評估,讓用戶掌握整網最新安全狀況,讓“安全看的見”,必要時下發安全策略
■執行採集層:執行網絡所需的安全策略;採集各類日誌、流量、文件等數據和信息供“動態分析層”分析
方案特色一真正的下一代防火牆
產品特點:
單機實現複雜組網、多重安全防禦
簡化部署,一機多用,減少投資
全網可視化,掌握風險精準預警
CPU+ASIC融合硬件架構,CPU處理連接的新建與維護等功能,多組ASIC芯片處理應用識別和安全檢查。在應用層防護功能全部開啓的情況下,CPU利用率依然保持正常範圍,不影響網絡層安全的處理性能保證系統的穩定性和處理性能
方案特色一動態防禦系統DDP(蜜罐)
第一時間發現攻擊者異常偵查跟蹤行爲,預防與處理
工作原理:
模擬大量虛擬終端,且IP動態變化
·在日常業務訪問流量中,正常流量不會訪問虛擬終端(正常廣播類或探測類業務可納入白名單),訪問虛擬終端的高概率是病毒或攻擊
·攻擊者在找到真正資產和漏洞前就被虛擬終端捕獲,先行定位(如串聯部署則可阻斷)
方案特色一安全沙箱RG-Sandbox
基於流量檢測和虛擬客戶機模擬運行,支持獨立部署、設備聯動、網絡共享和手動提交
方案特色一BDS流量探針
1、配合BDS大數據平臺,實現流量維度的深度分析,包括協議及會話的重組及保存
2、具備深度攻擊檢測功能,依託於威脅情報檢測、攻擊特徵檢測、動態域名檢測等實現對深度攻擊的分析
3、重組會話、攻擊檢測分析等原始結果實時同步到BDS平臺,和其它日誌進行深度關聯分析
核心價值:
·流量維度發現安全設備漏報的安全問題
·擺脫部分設備日誌無法接入或定製開發
方案特色一安全大數據平臺
整合四大維度主動安全分析能力,實現主動防禦,及時發現未知威脅
方案特色一RIIL自動化運維平臺
小結
等保價值優勢(總結)
全流程覆蓋
專業的安全服務體系
全系產品支持
■最低配置套餐
1、防火牆(防毒,入侵檢測)
2、上網行爲管理
3、網絡版殺毒軟件(企業版)
4、安全管理中心(BDS-A)
5、漏掃(設備或服務)
6、web應用防火牆WG
7、准入SMP
■標準配置套餐
1、防火牆
2、上網行爲管理
3、網絡版殺毒軟件(企業版)
4、安全管理中心(BDS-A)
5、漏掃(設備或服務)
6、web應用防火牆WG
7、准入SMP
8、堡壘機
9、IDP
10、數據審計DBS
11、流量探針
■升級版配置套餐
1、防火牆
2、上網行爲管理
3、網絡版殺毒軟件(企業版)
4、安全管理中心(BDS-A)
5、漏掃(設備或服務)
6、web應用防火牆WG
7、准入SMP
8、堡壘機
9、IDP
10、數據審計DBS
11、流量探針
12、RG-DDP
13、RG-SandBox
14、RIIL
15、滲透測試、風險評估、安全事件處置
價值彙總
■全
產品和服務全,滿足等保建設所需所有硬件設備和安全服務。
解決方案全,提供等保建設前、等保建設中、等保建設後全流程解決方案。
■專
專業的安服體系,提供技術安全和管理安全全方位安全服務。專業的技術背景,在等保建設、信息安全方面具有經驗豐富。專業的技術團隊,公司擁有CISP、CISSP、信息安全應急處理、信息安全風險評估、計算機信息系統集成項目經理、PMP認證等信息安全認證資質。
■規
安全合規,專業技術團隊深度解讀等保建設相關文件,保證解決方案符合政策文件要求。
產品資質合規,等保所提供安全設備均具備合規銷售許可。
■穩
安全全線產品和服務、全流程的解決方案、專業的團隊和服務體系、專業的測評機構合作伙伴,保證用戶順利通過安全等保測評。