某单位业务项目上线需要符合国家等保三级的要求,遂提出需要做网络整改:
整改前网络结构:可以看到几乎无法达到等保三级的要求。
整改后的网络结构如下图:
以下通过几点来稍微说明下等保相关的几个点:
分区分域:
等保三级的相关规定和核查内容:
8.1.2.1.3 测评单元(L3-CNS1-03)
该测评单元包括以下要求:
a)测评指标:应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
b)测评对象:路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件;
c)测评实施包括以下内容:
1)应核查是否依据重要性、部门等因素划分不同的网络区域;
2)应核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。
d)单元判定:如果1)-2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
改造后的网络分区截图:
分区后,方便划分边界,并针对边界做网络安全防护。
第二点:
8.1.2.1.4 测评单元(L3-CNS1-04)
该测评单元包括以下要求:
a)测评指标:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;
b)测评对象:网络拓扑;
c)测评实施包括以下内容:
1)应核查网络拓扑图是否与实际网络运行环境一致;
2)应核查重要网络区域是否未部署在网络边界处;
3)应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等。
d)单元判定:如果1)-3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
分区域后就需要做访问控制,流量检测和过滤了
具体如下图:其中边界1-4 的流量都是过二代墙做了访问控制和流量过滤,边界5,使用交换机ACL做访问控制,也能达到要求。
第三点:
8.1.2.1.5 测评单元(L3-CNS1-05)
该测评单元包括以下要求:
a)测评指标:应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性;
b)测评对象:网络管理员和网络拓扑;
c)测评实施:应核查是否有关键网络设备、安全设备和关键计算设备的硬件冗余(主备或双活等)和通信线路冗余;
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
主要要考虑业务系统冗余,比如服务器采用主备,虚拟化;其次是关键网络设备和安全设备,比如防火墙,核心交换机;链路冗余主要是上下行链路冗余,包括服务器链路冗余,ISP链路冗余等等。
当然也会因为旧网所限等原因存在部分设备冗余缺失的情况,可以做个豁免声明
第四点:
8.1.3.3 入侵防范
8.1.3.3.1 测评单元(L3-ABS1-10)
该测评单元包括以下要求:
a)测评指标:应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
b)测评对象:抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件;
c)测评实施包括以下内容:
1)应核查相关系统或组件是否能够检测从外部发起的网络攻击行为;
2)应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本;
3)应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点;
4)应测试验证相关系统或组件的配置信息或安全策略是否有效。
d)单元判定:如果1)-4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
8.1.3.3.2 测评单元(L3-ABS1-11)
该测评单元包括以下要求:
a)测评指标:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
b)测评对象:抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件;
c)测评实施包括以下内容:
1)应核查相关系统或组件是否能够检测到从内部发起的网络攻击行为;
2)应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本;
3)应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点;
4)应测试验证相关系统或组件的配置信息或安全策略是否有效。
d)单元判定:如果1)-4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
8.1.3.3.3 测评单元(L3-ABS1-12)
该测评单元包括以下要求:
a)测评指标:应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
b)测评对象:抗APT攻击系统、网络回溯系统和威胁情报检测系统或相关组件;
c)测评实施包括以下内容:
1)应核查是否部署相关系统或组件对新型网络攻击进行检测和分析;
2)应测试验证是否对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析。
d)单元判定:如果1)- 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
关于入侵防范:主要通过防火墙,EDR和ATP 通过检测边界,内部流量和主机日志来综合防范,此次部署的二代防火墙,EDR平台和APT可以做到上述要求,如果能够结合IPS则效果会更加好,但是资金有限,只能部署一个APT
第五点:
关于审计,备份,异地灾备,终端安全,密码安全,登录访问,安全管理中心我用一张截图稍作说明,其中防火墙的作用是最重要的,建议挑选性能好,接口多的防火墙,在部分场景下能够做虚拟防火墙,减少投资;此外部分功能例如外网访问控制和审计也是通过防火墙来做了,资金充裕的情况下可以考虑使用上网行为管理来做;此外这是一个通用的,简化的安全模型,仅从必要的网络配置和必要的安全设备方面考虑,还需要综合考虑主机基线安全,防火墙安全策略细化,交换机ACL细化,主机防火墙安全策略细化,堡垒机配合交换机ACL做访问控制,堡垒机双因子认证,EDR策略细化,备份策略,安全演练,漏洞扫描和修复,现场资料搜集整理,人员的培训和机房管理,业务性能监测和日志审查等诸多方面来真正落实国家等级保护针对政企业务系统安全的要求。
硬件的堆砌更多的只是一个引子和一个基础的开头而已。
今天算是割接完成了,割接过程中也发现部分问题,比如
1、防火墙和交换机的管理网段需要和业务网段分开,否则直连路由优先级会大于静态路由,造成路由层面流量不通。换句话说,就是防火墙的管理口也好,逻辑了接口也好,都不要去配置和现网路由冲突的带外管理ip,最好是一个非常罕见的ip地址。而日常管理则是通过互联口或者逻辑接口ip地址去管理。
2、此外交换机对接防火墙做二层链路聚合只能是on模式,而不能用lacp 动态协商。因为安全设备和交换机不同,没有那么多参数选择,而on模式就直接限制了处理平面down机检测能力,这方面大多数安全厂商设备是无法做动态协商的。
3、防火墙的转发逻辑是先路由再做全局nat,数据包做完路由后,匹配出接口,再做nat,这个逻辑非常好。
4、目前大多数防火墙安全策略写untrust到trust访问控制策略,写的都是dnat映射前的服务器端口号,更加符合用户的思维。
5、关于交换机密码过期策略,为了符合等保要求,可能对方会要求密码过期策略小于90天,但是部分业主很少登录设备,这就造成管理员用户无法登录设备,最好的方案是等测评结束去掉该限制,如果说必须要有这个限制,那么建议console认证方式就改为密码认证,而不是本地用户账户认证,保留了一个逃生通道。因为console基本上是一个物理安全机制,正常情况也很难进入机房去接console口。最后这个配置必须要等做完ntp,等设备联网同步完时间后,再做设置,否则会完成交换机同步完时间后,用户密码过期。
扫一扫
9万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
