信息安全
  • 网络安全等级保护
  • 安全态势感知平台
  • 流量清洗-DDoS
  • 云安全平台
  • WEB防护
  • 综合日志审计
  • 数据库审计

网络安全等级保护(等保2.0)解决方案

 

背景介绍

信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。

在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。

根据信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。


等保2.0新标准解读

控制大项有原来的8项扩展到10项,网络安全拆分为安全通信网络和安全区域边界两个部分,主机安全、应用安全和数据及备份合并到安全计算环境中,新增安全管理中心控制项,经过2次改版后,最终是现在的结构。


image.png

 

image.png



安全体系框架

等级保护从由1.0到2.0是被动防御变成主动防御的变化。也就是说,以前被动防御,要求防火墙、杀病毒、IPS,要上升到了主动防护,做到整体防御、分区隔离;积极防护、内外兼防;纵深防御、技管并重。

以“一个中心、三重防护、三个体系”为核心指导思想,构建集识别、防护、检测、响应于一体的全面的安全保障体系。

image.png


 

解决方案


类别

要求

三级解决方案

铭瀚解决方案

网络安全

结构安全

在二级基础上,合理规划路由,避免将重要网段直接连接外部系统,在业务终端与业务服务器之间建立安全路径、带宽优先级管理

带宽管理、SSL   VPN/IPSec VPN、路由器、交换机、负载均衡、网管软件、上网行为管理

访问控制

防火墙配置包括:端口级的控制粒度;常见应用层协议命令过滤;会话控制;流量控制;连接数控制;防地址欺骗等策略

防火墙、IPS、流控、Web应用防火墙

安全审计

部署网络安全审计系统;部署日志服务器进行审计记录的保存

网络行为审计(上网行为管理)、日志审计、运维审计

边界完整性检查

部署终端安全管理系统,在进行非法外联和安全准入检测的同时要进行有效阻断

终端安全管理、准入控制、外联监控

入侵防范

部署入侵检测系统;配置入侵检测系统的日志模块

IDS/IPS、APT检测、Web应用防火墙

恶意代码防范

部署下一代防火墙或AV、IPS

防病毒网关、反垃圾邮件

网络设备防护

对主要网络设备实施双因素认证手段进行身份鉴别

配置管理、运维审计(配USB-KEY或令牌)

主机安全

身份鉴别

对主机管理员登录时进行双因素身份鉴别(USBkey+密码)

主机核心防护、服务器加固系统、主机身份认证(USB-KEY或令牌)、堡垒机(配USB-KEY或令牌)

访问控制

管理员进行分级权限控制,重要设定访问控制策略进行访问控制

主机防护、服务器加固

安全审计

部署主机审计系统审计,范围扩大到重要客户端;同时能够生成审计报表

主机审计(桌面管理)、运维审计(针对服务器)、数据库审计系统、日志审计

剩余信息保护

通过对操作系统及数据库系统进行安全加固配置,及时清除剩余信息的存储空间

数据清除软件、硬盘销毁设备

入侵防范

部署网络入侵检测系统;
部署主机入侵检测系统;
部署终端安全管理系统;
进行补丁及时分发

主机核心防护、主机入侵检测、桌面管理(补丁管理模块)、网页防篡改

恶意代码防范

部署终端防恶意代码软件

网络防病毒软件、防木马软件

资源控制

部署应用安全管理系统进行资源监控、检测报警

网管系统、桌面管理、服务器加固

应用安全

身份鉴别

进行双因素认证或采用CA系统进行身份鉴别

令牌或USB-KEY、PKI/CA、单点登录(SSO)

安全审计

应用系统开发应用审计功能;
部署数据库审计系统

业务审计、日志审计、数据库审计、网络审计

数据安全

数据保密性

应用系统针对存储开发加密功能,利用VPN实现传输保密性

文档加密、SSH、VPN、MD5等

备份与恢复

本地备份与异地备份;
关键设备线路冗余设计

本地备份、异地备份、备份软件或硬件


image.png