隨著經濟發(fā)展,網絡信息安全的重要性在各個領域得以體現,與此國家頒發(fā)的《中華人民共和國網絡安全法》正式實施后,
明確實行等級保護制度,網絡運營者應按等級保護要求開展網絡安全建設,對關鍵信息基礎措施必須要落實好等級保護制度,并重點保護。
-
信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。為了幫助企業(yè)用戶快速滿足等保合規(guī)的要求,易網科技整合云盾產品的技術優(yōu)勢,建立“等保合規(guī)生態(tài)”,聯合相關合作測評機構、安全咨詢合作廠商,為您提供一站式快捷安全省心的等保服務。
- 網絡與通信安全
-
- 網絡架構:
- 應劃分不同的網絡區(qū)域,并按照方便管理和控制的原則為各網絡區(qū)域分配地址;
- 訪問控制:
- 應在網絡邊界或區(qū)域之間根據訪問控制策略設置訪問控制規(guī)則,默認情況下除允許通信外受控接口拒絕所有通信;應能根據會話狀態(tài)信息為進出數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級。
- 通信傳輸:
- 應采用校驗碼技術或加解密技術保證通信過程中數據的完整性;
- 邊界防護:
- 應保證跨越邊界的訪問和數據流通過邊界防護設備提供的受控接口進行通信;
- 入侵防范:
- 應在關鍵網絡節(jié)點處檢測、防止或限制從外部發(fā)起的網絡攻擊行為;當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發(fā)生嚴重入侵事件時應提供報警;
- 安全審計:
- 應在網絡邊界、重要網絡節(jié)點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。
● 針對放在內部網絡環(huán)境下的業(yè)務系統(tǒng),過等保的應對策略:推薦使用深信服的下一代防火墻和上網行為管理對網絡進行安全域劃分并進行合理的訪問控制。
推薦使用深信服的下一代防火墻(NGAF)來防范網絡入侵,過濾DDoS等病毒入侵威脅,實現主動積極的檢測和發(fā)現威脅,在短時間內通報和預警,實現全網攔截防御;
使用深信服的上網行為管理(AC)對用戶行為日志和安全事件進行記錄分析和審計;通過對用戶/終端、應用和內容、流量的可視可控,讓組織的上網行為合規(guī)無憂;
使用深信服的安全感知系統(tǒng),對全網流量實現全網業(yè)務可視化、威脅可視化、攻擊與可疑流量可視化等,幫助客戶在高級威脅入侵之后,損失發(fā)生之前及時發(fā)現威脅。● 針對放在互聯網環(huán)境下的業(yè)務系統(tǒng),過等保的應對策略:推薦使用深信服云盾,將數據中心按照不同安全等級進行區(qū)域劃分,實現層次化、重點化、全面化的保護和訪問控制。 在用戶、行為、業(yè)務等維度實現更多元素的可視,并對可視數據進行綜合分析,實現風險定位及圖形化威脅展示。同時針對黑客攻擊鏈所有環(huán)節(jié)均可持續(xù)檢測,利用云沙盒技術和大數據威脅情報分析平臺,可以及時、準確的響應安全事件,將威脅影響面降到最低。
- 設備與計算安全
-
- 身份鑒別:
- 應對登錄的用戶進行身份標識和鑒別,身份標識具有 性;
- 訪問控制:
- 應根據管理用戶的角色建立不同賬戶并分配權限,僅授予管理用戶所需的最小權限,實現管理用戶的權限分離;
- 安全審計:
- 應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;
- 入侵防范:
- 應能夠檢測到對重要節(jié)點進行入侵的行為,并在發(fā)生嚴重入侵事件時提供報警;
- 惡意代碼防范:
- 應采用免受惡意代碼攻擊的技術措施或采用可信計算技術建立從系統(tǒng)到應用的信任鏈,實現系統(tǒng)運行過程中重要程序或文件完整性檢測,并在檢測到破壞后進行恢復。
● 針對放在內部網絡環(huán)境下的業(yè)務系統(tǒng),過等保的應對策略:推薦使用堡壘機、數據庫審計對服務器和數據的操作行為進行審計,同時為每個運維人員建立獨立的堡壘機賬號,避免賬號共享;
使用數據庫審計對服務器進行完整的漏洞管理、基線檢查和入侵防御。● 針對放在互聯網環(huán)境下的業(yè)務系統(tǒng),過等保的應對策略:推薦使用深信服云盾,利用網絡功能虛擬化技術,給每位用戶一套獨享防護模塊,實現專屬防護;基于黑客攻擊過程的完整WEB系統(tǒng)安全防護,通過威脅情報共享機制 聯動封鎖攻擊源,有效避免出現第二個受害者。
- 應用和數據安全
-
- 身份鑒別:
- 應對登錄的用戶進行身份標識和鑒別,身份標識具有 性,鑒別信息具有復雜度要求;
- 訪問控制:
- 應授予不同帳戶為完成各自承擔任務所需的最小權限,并在它們之間形成相互制約的關系;
- 安全審計:
- 應提供安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;
- 數據完整性:
- 應采用校驗碼技術或加解密技術保證重要數據在傳輸過程中的完整性和保密性;
- 數據備份恢復:
- 應提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地。
● 針對放在內部網絡環(huán)境下的業(yè)務系統(tǒng),過等保的應對策略:在應用開發(fā)之初,就應當考慮應用本身的身份鑒別、訪問控制和安全審計等功能;
對已經上線的系統(tǒng),通過增加賬號認證、用戶權限區(qū)分和日志審計等功能設計滿足等保要求;
數據的安全,推薦使用深信服SSL VPN 遠程發(fā)布功能,采用3種以上的組合身份認證方式登錄,且詳細記錄接入用戶的訪問行為,確保用戶的訪問過程可追溯,提供多種加密算法選擇,確保數據在傳輸的過程中保持處于加密狀態(tài);
數據備份,推薦使用RDS的異地容災實例自動實現數據備份,亦可以將數據庫備份文件手工同步到其他地區(qū)的服務器。● 針對放在互聯網環(huán)境下的業(yè)務系統(tǒng),過等保的應對策略:推薦使用深信服云盾,可對數據中心安全進行有效補充,解決在設計初期僅規(guī)劃防火墻,缺乏完善的安全防御和檢測技術所帶來的風險。主要包含應用層安全加固、增強安全檢測技術和簡化安全管理三個方面,可以保障在復雜業(yè)務環(huán)境下數據中心信息安全。
攻防專家持續(xù)對抗攻擊調優(yōu)防護策略,保障業(yè)務安全。
- 安全管理策略
-
- 安全策略和管理制度:
- 應形成由安全策略、管理制度、操作規(guī)程、記錄表單等構成的全面的信息安全管理制度體系。
- 安全管理機構和人員:
- 應成立指導和管理信息安全工作的委員會或領導小組,其最高領導由單位主管領導委任或授權。
- 安全建設管理:
- 應根據保護對象的安全保護等級及與其他級別保護對象的關系進行安全整體規(guī)劃和安全方案設計,并形成配套文件;
- 安全運維管理:
- 應采取必要的措施識別安全漏洞和隱患,對發(fā)現的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補;
● 針對放在內部網絡環(huán)境下的業(yè)務系統(tǒng),過等保的應對策略:安全策略、制度和管理層人員,需要客戶管理層根據本企業(yè)的實際情況,進行梳理、準備和落實,并形成專門的文件。
漏洞管理過程中需要用到的技術手段,推薦使用防火墻漏洞掃描,快速發(fā)現服務器存在的系統(tǒng)漏洞,及時處理。● 針對放在互聯網環(huán)境下的業(yè)務系統(tǒng),過等保的應對策略:安全策略、制度和管理層人員,需要客戶管理層根據本企業(yè)的實際情況,進行梳理、準備和落實,并形成專門的文件。
推薦使用深信服云盾的自適應安全防護平臺,融合持續(xù)評估、聯動防護和實時監(jiān)測的安全能力,實時應對風險、攻擊和事件的變化,突破服務周期性問題;分布式掃描系統(tǒng)對上線業(yè)務進行全面評估,對訪問流量實時監(jiān)測,評估資產風險并感知資產變化引入的新風險問題,實現快速適應風險的變化;對安全事件進行7*24H的全面監(jiān)測,實現分鐘級發(fā)現篡改、網馬、黑鏈等安全事件,并及時在線進行響應處置,通過微信告知用戶。
- 安全
可視 -
采用可視化設計,提供多維度安全報表為安全決策提供數據支撐,提升組織安全管理效率。
- 持續(xù)
檢測 -
對企業(yè)核心資產、各類威脅與違規(guī)行為,網絡東西向、南北向流量進行持續(xù)檢測分析。
- 協同
防御 -
通過防御/檢測/響應/云防護/威脅情報的聯動構建本地協同、云端聯動的動態(tài)保護體系。
- 等保
2.0 -
簡單靈活的安全資源池組件,貼合等保2.0要求,解決云環(huán)境下安全問題。
- a.定級備案深信服會依據《定級指南》相關文件要求、結合行業(yè)特點對業(yè)務信息系統(tǒng)提供定級參考建議,并協助客戶完成定級備案工作。
- b.差距評估深信服會協助完成人工檢查、風險評估、漏洞掃描、滲透測試等 工作,為用戶快速精準地完成差距評估工作。
- c.方案設計擁有業(yè)內資深專家,結合豐富的行業(yè)經驗,編寫出針對不同客戶 特點的整體解決方案,滿足合規(guī)性的同時,也體現了用戶的安全 價值。
- d.整改實施整改實施階段,深信服的產品線能夠覆蓋等級保護核心安全產品。
- e.系統(tǒng)測評系統(tǒng)測評階段,深信服會協助客戶配合測評中心完成系統(tǒng)測評工作,能夠幫助用戶順利通過系統(tǒng)測評。
- f.等保運維深信服管到底的等保運維服務,為客戶的系統(tǒng)安全保駕護航,解除 客戶的后顧之憂。
版權所有 ? 2019珠海市易網信息科技有限公司 ?粵ICP備08000052號 I
粵公網安備 44040202000064號