科技實現夢想 可信賴的IT專家
-
6月1日《網絡安全法》正式實施,安全等級保護制度成為衡量“安全預防做得是否到位”的重要衡量指標。對于企業來說,等保是一個安全管理的“必過標桿”。您可能會認為過等保是一個非常艱巨,需要各方溝通的過程。但其實,“過等保”,并沒有想象中那么難。
《網絡安全等級保護基本要求》重點解讀
一、網絡與通信安全
網絡架構:應劃分不同的網絡區域,并按照方便管理和控制的原則為各網絡區域分配地址;
訪問控制:應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信;應能根據會話狀態信息為進出數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級。
通信傳輸:應采用校驗碼技術或加解密技術保證通信過程中數據的完整性;
邊界防護:應保證跨越邊界的訪問和數據流通過邊界防護設備提供的受控接口進行通信;
入侵防范:應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為;當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時應提供報警;
安全審計:應在網絡邊界、重要網絡節點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。
條款解讀:
1. 根據服務器角色和重要性,對網絡進行安全域劃分;
2. 在內外網的安全域邊界設置訪問控制策略,并要求配置到具體的端口;
3. 在網絡邊界處應當部署入侵防范手段,防御并記錄入侵行為;
4. 對網絡中的用戶行為日志和安全事件信息進行記錄和審計。
易網科技針對放在內部網絡環境下的業務系統,過等保的應對策略:
推薦使用深信服的下一代防火墻和上網行為管理對網絡進行安全域劃分并進行合理的訪問控制。
1.推薦使用深信服的下一代防火墻(NGAF)來防范網絡入侵,過濾DDoS等病毒入侵威脅,實現主動積極的檢測和發現威脅,在短時間內通報和預警,實現全網攔截防御;
2.使用深信服的上網行為管理(AC)對用戶行為日志和安全事件進行記錄分析和審計;通過對用戶/終端、應用和內容、流量的可視可控,讓組織的上網行為合規無憂;
3.使用深信服的安全感知系統,對全網流量實現全網業務可視化、威脅可視化、攻擊與可疑流量可視化等,幫助客戶在高級威脅入侵之后,損失發生之前及時發現威脅。
易網科技針對放在互聯網環境下的業務系統,過等保的應對策略:
推薦使用深信服云盾,將數據中心按照不同安全等級進行區域劃分,實現層次化、重點化、全面化的保護和訪問控制。
在用戶、行為、業務等維度實現更多元素的可視,并對可視數據進行綜合分析,實現風險定位及圖形化威脅展示。同時針對黑客攻擊鏈所有環節均可持續檢測,利用云沙盒技術和大數據威脅情報分析平臺,可以及時、準確的響應安全事件,將威脅影響面降到最低。
二、設備與計算安全
身份鑒別:應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性;
訪問控制:應根據管理用戶的角色建立不同賬戶并分配權限,僅授予管理用戶所需的最小權限,實現管理用戶的權限分離;
安全審計:應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;
入侵防范:應能夠檢測到對重要節點進行入侵的行為,并在發生嚴重入侵事件時提供報警;
惡意代碼防范:應采用免受惡意代碼攻擊的技術措施或采用可信計算技術建立從系統到應用的信任鏈,實現系統運行過程中重要程序或文件完整性檢測,并在檢測到破壞后進行恢復。
條款解讀:
1. 避免賬號共享、記錄和審計運維操作行為是最基本的安全要求;
2. 必要的安全手段保證系統層安全,防范服務器入侵行為。
易網科技針對放在內部網絡環境下的業務系統,過等保的應對策略:
1.推薦使用堡壘機、數據庫審計對服務器和數據的操作行為進行審計,同時為每個運維人員建立獨立的堡壘機賬號,避免賬號共享;
2.使用數據庫審計對服務器進行完整的漏洞管理、基線檢查和入侵防御。
易網科技針對放在互聯網環境下的業務系統,過等保的應對策略:
推薦使用深信服云盾,利用網絡功能虛擬化技術,給每位用戶一套獨享防護模塊,實現專屬防護;基于黑客攻擊過程的完整WEB系統安全防護,通過威脅情報共享機制全球聯動封鎖攻擊源,有效避免出現第二個受害者。
三、應用和數據安全
身份鑒別:應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,鑒別信息具有復雜度要求;
訪問控制:應授予不同帳戶為完成各自承擔任務所需的最小權限,并在它們之間形成相互制約的關系;
安全審計:應提供安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;
數據完整性:應采用校驗碼技術或加解密技術保證重要數據在傳輸過程中的完整性和保密性;
數據備份恢復:應提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地。
條款解讀:
1. 應用是具體業務的直接實現,不具有網絡和系統相對標準化的特點。大部分應用本身的身份鑒別、訪問控制和操作審計等功能,都難以用第三方產品來替代實現;
2. 數據的完整性和保密性,除了在其他層面進行安全防護以外,加密是最為有效的方法;
3. 數據的異地備份是等保三級區別于二級最重要的要求之一,是實現業務連續最基礎的技術保障措施。
易網科技針對放在內部網絡環境下的業務系統,過等保的應對策略:
1. 在應用開發之初,就應當考慮應用本身的身份鑒別、訪問控制和安全審計等功能;
2. 對已經上線的系統,通過增加賬號認證、用戶權限區分和日志審計等功能設計滿足等保要求;
3. 數據的安全,推薦使用深信服SSL VPN 遠程發布功能,采用3種以上的組合身份認證方式登錄,且詳細記錄接入用戶的訪問行為,確保用戶的訪問過程可追溯,提供多種加密算法選擇,確保數據在傳輸的過程中保持處于加密狀態;
4. 數據備份,推薦使用RDS的異地容災實例自動實現數據備份,亦可以將數據庫備份文件手工同步到其他地區的服務器。
易網科技針對放在互聯網環境下的業務系統,過等保的應對策略:
推薦使用深信服云盾,可對數據中心安全進行有效補充,解決在設計初期僅規劃防火墻,缺乏完善的安全防御和檢測技術所帶來的風險。主要包含應用層安全加固、增強安全檢測技術和簡化安全管理三個方面,可以保障在復雜業務環境下數據中心信息安全。
攻防專家持續對抗攻擊調優防護策略,保障業務安全。
四、安全管理策略
安全策略和管理制度:應形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的信息安全管理制度體系。
安全管理機構和人員:應成立指導和管理信息安全工作的委員會或領導小組,其最高領導由單位主管領導委任或授權。
安全建設管理:應根據保護對象的安全保護等級及與其他級別保護對象的關系進行安全整體規劃和安全方案設計,并形成配套文件;
安全運維管理:應采取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補;
條款解讀:
1. 安全策略、制度和管理層人員,是保證持續安全非常重要的基礎。策略指導安全方向,制度明確安全流程,人員落實安全責任。
2. 等保要求提供了一種方法論和最佳實踐,安全可以按照等保的方法論進行持續的建設和管理。
易網科技針對放在內部網絡環境下的業務系統,過等保的應對策略:
1. 安全策略、制度和管理層人員,需要客戶管理層根據本企業的實際情況,進行梳理、準備和落實,并形成專門的文件。
2. 漏洞管理過程中需要用到的技術手段,推薦使用防火墻漏洞掃描,快速發現服務器存在的系統漏洞,及時處理。
易網科技針對放在互聯網環境下的業務系統,過等保的應對策略:
1.安全策略、制度和管理層人員,需要客戶管理層根據本企業的實際情況,進行梳理、準備和落實,并形成專門的文件。
2.推薦使用深信服云盾的自適應安全防護平臺,融合持續評估、聯動防護和實時監測的安全能力,實時應對風險、攻擊和事件的變化,突破服務周期性問題;分布式掃描系統對上線業務進行全面評估,對訪問流量實時監測,評估資產風險并感知資產變化引入的新風險問題,實現快速適應風險的變化;對安全事件進行7*24H的全面監測,實現分鐘級發現篡改、網馬、黑鏈等安全事件,并及時在線進行響應處置,通過微信告知用戶。
版權所有 ? 2019珠海市易網信息科技有限公司 ?粵ICP備08000052號 I
粵公網安備 44040202000064號