等級保護2.0安全架構介紹

等級保護2.0安全架構介紹
等級保護2.0安全架構介紹
基於“動態安全”體系架構設計，構築“網絡+安全”穩固防線“等級保護2.0解決方案”，基於“動態安全”架構，將網絡與安全進行融合，以合規爲基礎，面對用戶合規和實際遇到的安全挑戰，將場景化安全理念融入其中，爲用戶提供“一站式”的安全進化。
國家網絡安全等級保護工作進入2.0時代

國家《網絡安全法》於2017年6月1日正式施行，所有了網絡運營者和關鍵信息基礎設施運營者均有義務按照網絡安全等級保護制度的要求對系統進行安全保護。隨着2019年5月13日《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》標準的正式發佈，國家網絡安全等級保護工作正式進入2.0時代。
等級保護2.0關鍵變化

“信息安全”→“網絡安全”
引入移動互聯、工控、物聯網等新領域


等保2.0充分體現了“一箇中心三重防禦“的思想。一箇中心指“安全管理中心”，三重防禦指“安全計算環境、安全區域邊界、安全網絡通信”，同時等保2.0強化可信計算安全技術要求的使用。


被動防禦→主動防禦

等級保護2.0解決方案拓撲結構設計

安全管理中心
大數據安全
（流量+日誌）
IT運維管理
堡壘機
漏洞掃描
WMS
等保建設諮詢服務

建設要點
對安全進行統一管理與把控
集中分析與審計
定期識別漏洞與隱患
安全通信網絡
下一代防火牆
VPN
路由器
交換機

建設要點
構建安全的網絡通信架構
保障信息傳輸安全
安全區域邊界
下一代防火牆
（防病毒+垃圾郵件）
入侵檢測/防禦
上網行爲管理
安全沙箱
動態防禦系統
身份認證管理
流量探針
WEB應用防護

建設要點
強化安全邊界防護及入侵防護
優化訪問控制策略
安全計算環境
入侵檢測/防禦
數據庫審計
動態防禦系統
網頁防篡改
漏洞風險評估
（滲透+漏掃服務）
殺毒軟件

建設要點
強調系統及應用安全
加強身份鑑別機制與入侵防範
安全通信網絡：建設要點（等保三級）
等保要求 控制點 對應產品或方案
安全通信網絡 網絡架構 防火牆、路由器、交換機、網絡規劃與配置優化、關鍵設備/鏈路/服務器冗餘
通信傳輸 VPN
可信驗證 可信計算機制

主幹網絡鏈路及設備均採用冗餘部署

基於業務管理和安全需求劃分出
有明確邊界的網絡區域

採用VPN或HTTPS等加密手段保護業務應用

安全區域邊界：建設要點（等保三級）
等保要求 控制點 對應產品或方案
安全區域邊界 邊界防護 防火牆、身份認證與准入系統、無線控制器
訪問控制 第二代防火牆、WEB應用防火牆、行爲管理系統
入侵防範 入侵檢測與防禦、未知威脅防禦、日誌管理系統
惡意代碼和垃圾郵件防範 防病毒網關、垃圾郵件網關，或第二代防火牆
安全審計 行爲審計系統、身份認證與准入系統、日誌管理系統
可信驗證 可信計算機制

區域邊界部署必要的應用層安全設備，
啓用安全過濾策略

建立基於用戶的身份認證與准入機制，
啓用安全審計策略

採用行爲模型分析等技術防禦
新型未知威脅攻擊

採集並留存不少於半年的關鍵網絡、
安全及服務器設備日誌
安全區域邊界：建設要點（等保三級）
等保要求 控制點 對應產品或方案
安全計算環境 身份鑑別 身份認證與准入系統、堡壘機、安全加固服務
訪問控制 身份認證與准入系統、安全加固服務
安全審計 堡壘機、數據庫審計、日誌管理系統
入侵防範 入侵檢測防禦、未知威脅防禦、日誌管理系統、滲透測試/漏洞掃描/安全加固服務
惡意代碼防範 殺毒軟件、沙箱
可信驗證 可信計算機制
數據完整性 VPN、防篡改系統
數據保密性 VPN、SSL等應用層加密機制
數據備份恢復 本地數據備份與恢復、異地數據備份、重要數據系統熱備
剩餘信息保護 敏感信息清除
個人信息保護 個人信息保護
安全管理中心：建設要點（等保三級）
等保要求 控制點 對應產品
安全管理中心 系統管理 堡壘機
審計管理 堡壘機
安全管理 堡壘機
集中管控 VPN、IT運維管理系統、安全態勢感知平臺、日誌管理系統
安全建設管理 測試驗收 上線前安全檢測服務
安全運維管理 漏洞和風險管理 滲透測試服務、漏洞掃描服務

系統管理員、審計管理員、安全管理員
權責清晰，三權分立

設置獨立安全管理區，採集全網
安全信息，實施分析預警管理

借力專業安服人員，提供滲透測試等
高技術要求安全服務
等級保護2.0解決方案特色總結：1+N 全網安全

等保2.0標準名稱《網絡安全等級保護》，明確強調了安全體系的建設必須要跟網絡架構設計緊密結合

完整的等保安全產品品類
1

提供基於SDN技術的網絡安全支撐體系
2

全系列無線產品，形成有線無線全網統一安全體系
3

用戶身份+應用鑑權
4

IT運維管理的可靠支撐
5
等級保護2.0推薦配置方案
序號 等保所需產品與服務 必備/可選(等保二級) 必備/可選(等保三級) 對應銳捷產品或服務名稱
1 防火牆 必備 必備 RG-WALL
2 入侵防禦 必備 必備 RG-IDP
3 日誌審計與集中管理 必備 必備 RG-BDS
4 滲透測試服務 必備 必備 滲透測試
5 漏洞掃描服務 必備 必備 漏洞掃描
6 堡壘機 可選 必備 RG-OAS
7 上網行爲管理 可選 必備 RG-UAC
8 WAF應用防火牆 可選 必備 RG-WG
9 終端准入系統 可選 必備 SMP系列
10 數據庫審計 可選 可選 RG-DBS
11 等級保護建設諮詢 可選 可選 等級保護建設諮詢
12 安全事件處置服務 可選 可選 安全事件處置
13 網站防篡改 可選 可選 RG-Wlock
14 機房運維管理軟件 可選 可選 RIIL
15 未知威脅防禦 可選 可選 RG-DDP
16 APT 可選 可選 RG-SandBox
17 網絡版殺毒軟件 必備 必備 火絨終端安全（戰略合作）