基础合规
最高性价比(最少设备)优先解决组织等保主要不合规项或测评权重较高要求项,基本满足通过测评要求;
改进提高
在基础合规前提下,针对性进行安全加固,从而构建相对完善的安全保障体系,提高测评分数。
持续安全
在满足等保合规及建立了相对完善的业务运行安全保障体系下,可通过整体安全规划和“技术+管
理+服务”持续完善,达到组织业务更高的安全需求目标,建立了系统的信息安全防护体系。
用户已有部分安全产品,需要按照等保的思路进行等保加固建设;
已完成预测评或差距评估,需要对测评不符合项进行加固整改;
资金预算不足,等保建设前期只为满足合规要求,后期可以持续优化提高。
基础合规(必选产品)
依据“分区分域”原则进行安全域划分,在区域边界处部署下一代防火墙满足等保“边界防护”、“访问控制”“入侵防御”和“恶意代码防范”,等安全控制要求,其中技术要点中安全区域边界-入侵防范中要求“关键网络节点双向(外部发起攻击和内部发起攻击行为)网络攻击行为检测、防止或限制”、安全区域边界-访问控制中要求“关键网络节点双向(外部发起攻击和内部发起攻击行为)网络攻击行为检测、防止或限制”等要求传统的防火墙无法满足,必须使用下一代防火墙(或支持应用协议检测及双向检测功能的设备)。运维管理域部署日志审计系统,满足等保安全区域边界、安全计算环境、安全管理中心中所有对“安全审计”和“审计管理“的技术要求,同时满足《网络安全法》中“留存相关的网络日志不少于六个月”的法律要求。
终端和服务器安装相应的网络版杀毒软件,同时在运维管理域的防病毒服务器对所有杀毒软件进行统一管理及策略、特征库的统一升级,满足等保中“恶意代码防范”要求及“集中管控”部分要求。
互联网出口域部署AC设备,保证网络各个部分带宽满足业务高峰期需要,对用户上网行为进行可视、可控。满足等保中“边界防护”“网络
架构”“访问控制”、“入侵防范”“个人信息保护”等相关要求。
核心业务域(三级系统域)部署数据库审计系统,满足等保技术要求中“安全审计”的要求,同时三级系统中数据库审计系统在等保测评时是重要的检查指标。
改进提高(根据实际需求场景建议选择的安全产品或服务)
组织有远程访问或管理的需求(移动办公;分支机构网络互联协同等),建议部署VPN设备,满足身份安全、终端安全、传输安全、应用权限安全及安全审计等多种安全需求,同时满足等保技术要求中“通讯传输”、“身份鉴别”和“数据保密性”等要求。
组织资产多、运维管理人员少,建议在安全运维区部署堡垒机,提供安全的信息传输路径,实现了对网络中的安全设备或安全组件进行管理,满足等保技术要求中“安全审计“、”身份鉴别“、“集中管控”要求,同时堡垒机的部署简化了组织的安全运维工作,方便了对运维操作的
审计,降低了因违规操作发生安全事件的风险。
组织有多条链路,同时对应用的高可用、保障并提升业务的交付性能有要求,建议在互联网出口部署链路负载均衡,在服务器边界部署服务器负载均衡,保障链路和计算设备的高可用性,满足等保技术要求中“网络架构”等要求。
组织有互联网业务,对系统挂马、暗链及可用性需要进行实时监测,建议采购互联网业务安全托管服务,融合线上和线下安全专家的专业能力,以SAAS+人工的方式为用户的互联网业务构建一套持续评估、持续加固、主动响应的闭环安全托管体系,保障互联网业务安全稳定运行。
检测探针+安全感知平台应能对网络中发生的各类安全事件进行识别、报警和分析。既满足了等保“入侵防御”“集中管控”等技术要求,又对满足《网络安全法》中对“监测预警与应急处置”的安全要求。同时检测探针+安全感知平台可以与深信服下一代防火墙、上网行为管理、数据库审计等设备进行联动,赋予用户“安全可视”、“动态感知持续检测”“ 协同防御,多级联动”三种安全能力。
运维管理域部署基线核查系统,定期对设备进行安全基线核查,并对网络中的资产进行漏洞扫描,找出不安全配置项进行整改加固,保障设备安全策略的有效性。
组织有互联网邮件系统,根据公安部、工业和信息化部、国家保密局联合下发了《关于印发<党政机关事业单位和国有企业互联网电子邮件系统安全专项整治行动方案>的通知等文件要求,需要加强互联网电子邮件系统安全防护,并按照网络安全等级保护制度要求,进行定级备案、安全整改建设及等级测评工作。邮件系统服务器前端部署邮件网关,满足邮件安全防护及等保网络和通信安全要求中“恶意代码防范” 中对垃圾邮件进行检测和防护要求。
持续安全(其他可选产品或服务)
部署广域网优化设备WOC,通过链路、数据、应用等多维度的优化技术,提升带宽利用率以及分支访问业务应用的速度。
风险评估安全服务:理清有效资产,识别评估方向;异常状态检查,缺陷路径发现;业务安全脆弱性评估,边界安全脆弱性评估;安全脆弱性修复,风险应对及建议。
渗透测试服务:利用主流的攻击技术对目标网络、系统、数据库进行模拟攻击测试,将发现的安全漏洞进行整
理,给出详细说明,并针对每一个安全漏洞提供相应的解决方法。
应急响应及应急演练服务:发生安全事件时快速响应,查清入侵来源,对事件进行分析报告,消除入侵隐患,
提高整个系统安全等级;协助用户建立应急体系、完善应急预案、应急实战演练。
技术要求其它安全配置
机房配置要求
机房配备电子门禁系统、UPS、机房精密空调、防盗报警系统或有人值守的视频监控系统、火灾自动消防系统
、防雷、防水、防潮措施;
机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施;
核心数据库服务器、关键磁介质等关键设备放置在屏蔽机房或电子屏蔽容器内(屏蔽柜、屏蔽机房)电源线和通信线缆应隔离铺设;通信线缆铺设在隐蔽安全处;
主机配置项加固措施
设备设置登录认证功能;用户名不易被猜测,口令复杂度达到强密码要求,不能为空密码或默认密码,密码要
定期更换;
主机设备配置并启用了登录失败处理功能,限制非法登录达到一定次数后实现账户锁定功能,启用了远程登录连接超时并自动退出功能;
重命名或删除默认账户,修改默认账户的默认口令;
删除或停用多余的、过期的账户,避免共享账户的存在;
应遵循最小安装的原则,仅安装需要的组件和应用程序;
关闭不需要的系统服务、默认共享和高危端口;
限制单个用户或进程对系统资源的最大使用限度。
应用配置项加固措施
对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;
提供并启用登录失败处理功能,多次登录失败后应采取必要的保护措施;
强制用户首次登录时修改初始口令;采用两种或两种以上组合的鉴别技术对用户身份进行鉴别(三级系统);
重命名或删除默认账户,修改默认账户的默认口令;删除或停用多余的、过期的账户,避免共享账户的存在;
当通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
对系统的最大并发会话连接数进行限制;对单个账户的多重并发会话进行限制。
网络安全等级保护(等保2.0)解决方案 网络安全等级保护(等保2.0)解决方案
技术要求其它安全配置
其他加固项措施描述
按照备份策略定期进行备份
应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性;(三级及以上系统要求)
提供异地实时备份功能,并通过网络将重要配置数据、重要业务数据实时备份至备份场地;(三级及以上系统要求)
应提供重要数据处理系统的热冗余,保证系统的高可用性;(三级及以上系统要求)
