網絡安全等級保護(等保2.0)解決方案
背景介紹
信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種信息安全領域的工作。
在中國,信息安全等級保護廣義上為涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作;狹義上一般指信息系統安全等級保護。
根據信息系統在國家安全、經濟建設、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度;將信息系統劃分為不同的安全保護等級并對其實施不同的保護和監管。
等保2.0新標準解讀
控制大項有原來的8項擴展到10項,網絡安全拆分為安全通信網絡和安全區域邊界兩個部分,主機安全、應用安全和數據及備份合并到安全計算環境中,新增安全管理中心控制項,經過2次改版后,最終是現在的結構。
安全體系框架
等級保護從由1.0到2.0是被動防御變成主動防御的變化。也就是說,以前被動防御,要求防火墻、殺病毒、IPS,要上升到了主動防護,做到整體防御、分區隔離;積極防護、內外兼防;縱深防御、技管并重。
以“一個中心、三重防護、三個體系”為核心指導思想,構建集識別、防護、檢測、響應于一體的全面的安全保障體系。
解決方案
類別 | 要求 | 三級解決方案 | 銘瀚解決方案 |
網絡安全 | 結構安全 | 在二級基礎上,合理規劃路由,避免將重要網段直接連接外部系統,在業務終端與業務服務器之間建立安全路徑、帶寬優先級管理 | 帶寬管理、SSL VPN/IPSec VPN、路由器、交換機、負載均衡、網管軟件、上網行為管理 |
訪問控制 | 防火墻配置包括:端口級的控制粒度;常見應用層協議命令過濾;會話控制;流量控制;連接數控制;防地址欺騙等策略 | 防火墻、IPS、流控、Web應用防火墻 | |
安全審計 | 部署網絡安全審計系統;部署日志服務器進行審計記錄的保存 | 網絡行為審計(上網行為管理)、日志審計、運維審計 | |
邊界完整性檢查 | 部署終端安全管理系統,在進行非法外聯和安全準入檢測的同時要進行有效阻斷 | 終端安全管理、準入控制、外聯監控 | |
入侵防范 | 部署入侵檢測系統;配置入侵檢測系統的日志模塊 | IDS/IPS、APT檢測、Web應用防火墻 | |
惡意代碼防范 | 部署下一代防火墻或AV、IPS | 防病毒網關、反垃圾郵件 | |
網絡設備防護 | 對主要網絡設備實施雙因素認證手段進行身份鑒別 | 配置管理、運維審計(配USB-KEY或令牌) | |
主機安全 | 身份鑒別 | 對主機管理員登錄時進行雙因素身份鑒別(USBkey+密碼) | 主機核心防護、服務器加固系統、主機身份認證(USB-KEY或令牌)、堡壘機(配USB-KEY或令牌) |
訪問控制 | 管理員進行分級權限控制,重要設定訪問控制策略進行訪問控制 | 主機防護、服務器加固 | |
安全審計 | 部署主機審計系統審計,范圍擴大到重要客戶端;同時能夠生成審計報表 | 主機審計(桌面管理)、運維審計(針對服務器)、數據庫審計系統、日志審計 | |
剩余信息保護 | 通過對操作系統及數據庫系統進行安全加固配置,及時清除剩余信息的存儲空間 | 數據清除軟件、硬盤銷毀設備 | |
入侵防范 | 部署網絡入侵檢測系統; | 主機核心防護、主機入侵檢測、桌面管理(補丁管理模塊)、網頁防篡改 | |
惡意代碼防范 | 部署終端防惡意代碼軟件 | 網絡防病毒軟件、防木馬軟件 | |
資源控制 | 部署應用安全管理系統進行資源監控、檢測報警 | 網管系統、桌面管理、服務器加固 | |
應用安全 | 身份鑒別 | 進行雙因素認證或采用CA系統進行身份鑒別 | 令牌或USB-KEY、PKI/CA、單點登錄(SSO) |
安全審計 | 應用系統開發應用審計功能; | 業務審計、日志審計、數據庫審計、網絡審計 | |
數據安全 | 數據保密性 | 應用系統針對存儲開發加密功能,利用VPN實現傳輸保密性 | 文檔加密、SSH、VPN、MD5等 |
備份與恢復 | 本地備份與異地備份; | 本地備份、異地備份、備份軟件或硬件 |
版權所有 ? 廣州銘瀚信息科技有限公司 | 粵ICP備17137924號-1 | |