本节主要讲解等级保护2.0安全通用要求技术部分要求及重点措施
GB/T22239
交付规范?不同安全设备的配置是什么?等保规范要求的详解是什么?
安全通用要求技术部分要求项主要增强变化
四个分类:一个中心,三个防护。
| 分类 |
|
|---|---|
| 安全通信网络 | 通信传输:强化采用密码技术保证通信过程中数据的完整性和保密性 |
| 安全区域边界 | 边界防护:提出无线网络的要求,无线网络通过受控的边界设备接入内部网络。 访问控制:提出应用内容过滤管理,对进出网络的数据流实现基于应用协议和应用内容的访问控制。 入侵防范:明确提出从内到外的攻击检测,新型网络攻击行为的分析。 恶意代码和垃圾邮件防范:从网络边界增到到关键网络节点,以及对垃圾邮件的防范。 安全审计:对远程访问和访问互联网的用户行为单独进行审计和分析。 |
| 安全计算环境 | 身份鉴别:双因素的使用,其中一种鉴别技术至少使用密码技术。 强制访问控制:基于标记的强制访问控制。 恶意代码防范:采用免受恶意代码攻击的技术措施或主动免疫可信验证机制。 数据完整性和数据保密性:采用密码技术保证重要数据传输和存储的完整性和保密性。 数据备份恢复:二级以上均要求异地备份;三级明确要求系统冗余集中强调“剩余信息保护”和“个人信息保护” 。 |
| 安全管理中心 | 集中管控:集中监测、集中审计、集中(安全策略、恶意代码、补丁升级等)管理、集中事件分析 |
等保2.0建设重点措施(技术部分)详解
如果有些高危防护无法做到,那么可以做一些补偿措施,减少丢分。
| 重点措施 | 高危隐患判定条件 | 补偿措施 | |
| 安全通信网络 | 互联网边界访问控制 | 互联网出口无任何访问控制措施;配置不当有较大安全隐患;配置措施失效无法起到访问控制功能 | 部署访问控制设备并合理配置,确保控制措施有效 |
| 传输保密性 | 口令、密钥等重要敏感信息在网络中明文传输。 | 相关设备开启SSH或HTTPS协议或创建加密通道,通过这些加密方式传输敏感信息。 | |
| 安全区域边界 | 内联检查措施 | 非授权设备能够直接接入重要网络区域, 如服务器区、管理网段等,且无任何告警、限制、阻断等措施。 | 部署能够对非法内联行为进行检查、定位和阻断 的安全准入产品。 |
| 外联检查措施 | 核心重要服务器设备、重要核心管理终端,如无法对非授权联到外部网络的行为进行检查或限制,或内部人员可旁路、绕过边界访问控制设备私自外联互联网。 | 部署能够对非法外联行为进行检查、定位和阻断的安全管理产品。 | |
| 内部网络攻击防御 | 关键网络节点(如核心服务器区与其他内部网络区域边界处)未采取任何防护措施,无法检测、阻止或限制从内部发起的网络攻击行为。 | 部署相关的防护设备,检测、防止或限制从内部发起的网络攻击行为。 | |
| 外部网络攻击防御 | 关键网络节点(如互联网边界处)未采取任何防护措施,无法检测、阻止或限制互联网发起的攻击行为。 | 在关键网络节点(如互联网边界处)部署入侵防御、WAF等对可攻击行为进行检测、阻断或限制的设备,或购买云防等外部抗攻击服务。 | |
| 恶意代码防范 | 主机和网络层均无任何恶意代码检测和清除措施的。 | 在关键网络节点处部署恶意代码检测和清除产品,且与主机层恶意代码防范产品形成异构模式,有效检测及清除可能出现的恶意代码攻击。 | |
| 网络安全审计措施 | 在网络边界、重要网络节点无任何安全审计措施,无法对重要的用户行为和重要安全事件进行日志审计。 | 建议在网络边界、重要网络节点,对重要的用户行为和重要安全事件进行日志审计,便于对相关事件或行为进行追溯。 | |
| 安全计算环境 | 网络设备、安全设备、应用系统双因素认证 | 重要核心设备、操作系统等未采用两种或两种以上鉴别技术对用户身份进行鉴别。 | 增加除用户名/口令以外的身份鉴别技术,如密码/令牌、生物鉴别方式等,实现双因子身份鉴别,增强身份鉴别的安全力度 |
| 安全设备、应用系统安全审计 | 重要核心网络设备、安全设备、操作系统、数据库、应用系统等未开启任何审计功能,无法对重要的用户行为和重要安全事件进行审计,也无法对事件进行溯源。 | 重要核心设备、安全设备、操作系统、数据库性能允许的前提下,开启用户操作类、安全事件类和重要用户操作、行为操作审计策略或使用第三方日志审计工具。 | |
| 已知重大漏洞修补 | 对于一些互联网直接能够访问到的网络设备、安全设备、操作系统、数据库等,如存在外界披露的重大汤洞,未及时修补更新;应用系统所使用的环境、框架、组件等存在可被利用的高风险漏洞,导致敏感数据泄露、网页篡改、服务器被入侵等安全事件的发生,可能造成严重后果的。 | 订阅安全厂商漏洞推送或本地安装安全软件,及时了解漏洞动态,在充分测试评估的基础上,弥补严安全漏洞;定期对应用系统进行漏洞扫描,对可能存在的已知漏洞,在重复测试评估后及时进行修补,降低安全隐患。 | |
| 数据备份措施 | 应用系统未提供任何数据备份措施,一旦遭受数据破坏,无法进行数据恢复的。 | 建立备份恢复机制,定期对重要数据进行备份以及恢复测试,确保在出现数据破坏时,可利用备份数据进行恢复。 | |
| 异地备份措施 | 对系统、数据容灾要求较高的系统,如金融、医疗卫生、社会保障等行业系统,如无异地数据灾备措施,或异地备份机制无法满足业务需要。 | 设置异地灾备机房,并利用通信网络将重要数据实时备份至备份场地。 | |
| 安全管理中心 | 运行监控措施 | 对可用性要求较高的系统,若没有任何监测措施,发生故障时难以及时对故障进行定位和处理。 | 对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 |
| 日志集中收集存储 | 相关设备日志留存不满足法律法规相关要求。 | 部署日志服务器,统一收集备设备的审计数据,进行集中分析,并根据法律法规的要求留存日志。 | |
| 安全事件发现处置措施 | 未部署相关安全设备,识别网络中发生的安全事件,并对重要安全事件进行报警。 | 部署相关专业防护设备,对网络中发生的各类安全事件进行识别、报警和分析,确保相关安全事件得到及时发现,及时处置。 |
等级保护2.0通用方案设计思路
第一步:分区分域
| 二级等保安全产品(服务)列表 | ||
| 必选 | 建议 | 可选 |
| 下一代防火墙 | SSL VPN | 数据库审计 |
| 杀毒软件 | 上网行为管理 | 堡垒机 |
| 日志审计系统 | 检测探针+感知平台 | 云端安全服务 |
| 风险评估服务 | ||
| 三级等保安全产品(服务)列表 | ||
| 必选 | 建议 | 可选 |
| 下一代防火墙 | SSL VPN | 广域网优化设备 |
| 杀毒软件 | 上网行为管理 | 风险评估服务 |
| 日志审计系统 | 检测探针+感知平台 | 测试渗透服务 |
| 上网行为管理 | 负载均衡 | 应急响应服务 |
| 数据库审计 | 基线核查系统 | 应急演练服务 |
| 云端安全服务 | ||
| 邮件网关 | ||
安全通信网络数据完整性和保密性传输
合规要求
等级保护(三级)安全通用要求:
通信传输:加密传输、数据的完整性、数据的保密性。
边界防护:外网非授权用户的接入控制。
安全审计:远程访问的用户行为审计和数据分析。
方案设计
远程安全接入:核心业务系统安全加固;双网隔离。
移动办公:在家、出差办公接入;第三方人员接入。
总部分支组网:总部和分支机构隧道加密组网,通信传输加密。
远程应用发布:应用发布、加速;数据防泄密;解决兼容性问题。
安全区域边界功能设计与实现
合规要求
等级保护三级安全通用要求
边界防护:安全策略控制。
访问控制:访问控制策略。
入侵防范:入侵检测与防范、新型网络攻击行为的分析。
恶意代码防范:恶意代码检测与清除。
安全审计:网络边界安全审计。
方案设计
云端抗DDoS:防止对数据中心网络的DDoS攻击。
链路负载均衡:实现互联网多出口链路的负载均衡。
下一代防火墙:实现网络访问控制和逻辑隔离,防止非授权访问;开启IPS模块,对异常流量进行检测和阻断;开启防病毒模块,实施网络层恶意代码的安全防护,防止恶意代码在关键网络节点的扩散。
上网行为管理:针对内部网络用户私自访问互联网的用户行为进行行为审计和数据分析。
2964
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
