安全資訊

企業(yè)的安全等級防護建設可以提升信息系統的信息安全防護能力，為企業(yè)的業(yè)務(wù)發(fā)展提供安全保障。那么，企業(yè)如何做好網(wǎng)絡(luò )安全工作，達到等保三級要求？以下12個(gè)難點(diǎn)需要了解。

1、安全區域如何劃分？劃分的原則是什么？

為了實(shí)現信息系統的等級劃分與保護，需要依據等級保護的相關(guān)原則規劃與區分不同安全保障對象，并根據保障對象設定不同業(yè)務(wù)功能及安全級別的安全區域，以根據各區域的重要性進(jìn)行分等級的安全管理。

某局網(wǎng)絡(luò )承載信息系統，信息系統是進(jìn)行等級保護管理的最終對象，為體現重點(diǎn)保護重要信息系統安全，有效控制信息安全建設成本，優(yōu)化信息安全資源配置的等級保護原則，在進(jìn)行信息系統的劃分時(shí)應考慮以下幾個(gè)方面：

1.相同的管理機構

信息系統內的各業(yè)務(wù)子系統在同一個(gè)管理機構的管理控制之下，可以保證遵循相同的安全管理策略；

2.相似的業(yè)務(wù)類(lèi)型

信息系統內的各業(yè)務(wù)子系統具有相同的業(yè)務(wù)類(lèi)型，安全需求相近，可以保證遵循相同的安全策略；

3.相同的物理位置或相似的運行環(huán)境
信息系統內的各業(yè)務(wù)子系統具有相同的物理位置或相似的運行環(huán)境意味著(zhù)系統所面臨的威脅相似，有利于采取統一的安全保護；

4.相似安全控制措施

信息系統內的各業(yè)務(wù)子系統因面臨相似的安全威脅，因此需采用相似的安全控制措施來(lái)保證業(yè)務(wù)子系統的安全。

2、怎樣實(shí)現區域邊界訪(fǎng)問(wèn)控制？

區域邊界的訪(fǎng)問(wèn)控制防護可以通過(guò)利用各區域邊界交換機設置ACL（訪(fǎng)問(wèn)控制列表）實(shí)現，但該方法不便于維護管理，并且對于訪(fǎng)問(wèn)控制的粒度把控的效果較差。從便于管理維護及安全性的角度考慮，通過(guò)在關(guān)鍵網(wǎng)絡(luò )區域邊界部署防火墻，實(shí)現對區域邊界的訪(fǎng)問(wèn)控制。訪(fǎng)問(wèn)控制措施滿(mǎn)足以下功能需求：

a)應在網(wǎng)絡(luò )邊界部署訪(fǎng)問(wèn)控制設備，啟用訪(fǎng)問(wèn)控制功能；

b)應能根據會(huì )話(huà)狀態(tài)信息為數據流提供明確的允許/拒絕訪(fǎng)問(wèn)的能力，控制粒度為端口級；

c)應對進(jìn)出網(wǎng)絡(luò )的信息內容進(jìn)行過(guò)濾，實(shí)現對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；

d)應在會(huì )話(huà)處于非活躍一定時(shí)間或會(huì )話(huà)結束后終止網(wǎng)絡(luò )連接；

e)應限制網(wǎng)絡(luò )最大流量數及網(wǎng)絡(luò )連接數；

f)重要網(wǎng)段應采取技術(shù)手段防止地址欺騙；

各安全區域針對自身業(yè)務(wù)特點(diǎn)設定訪(fǎng)問(wèn)控制策略。

3、等保三級對網(wǎng)絡(luò )安全審計系統有哪些功能上的要求？

安全審計是等級保護第三級要求建設的重要內容，有必要在網(wǎng)絡(luò )層做好對網(wǎng)絡(luò )設備運行狀況、網(wǎng)絡(luò )流量、用戶(hù)行為等要素的審計工作。審計系統需具備以下功能：

a)應對網(wǎng)絡(luò )系統中的網(wǎng)絡(luò )設備運行狀況、網(wǎng)絡(luò )流量、用戶(hù)行為等進(jìn)行日志記錄；

b)審計記錄應包括：事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計相關(guān)的信息；

c)應能夠根據記錄數據進(jìn)行分析，并生成審計報表；

d)應對審計記錄進(jìn)行保護，避免受到未預期的刪除、修改或覆蓋等。

綜合日志審計系統是運維管理的重要組成部分，通過(guò)部署日志審計系統，能夠實(shí)現等級保護第三級要求的網(wǎng)絡(luò )安全審計標準，保護日志記錄，并對日志進(jìn)行分析以生成審計報表，能夠對設備的運行情況和用戶(hù)行為進(jìn)行全面記錄，有效提高對安全運行和事件的監控能力和追溯能力。

4、如何做好邊界完整性檢查？

第三級信息系統應在區域邊界部署檢測設備實(shí)現探測非法外聯(lián)和非法內聯(lián)的行為，完成對區域邊界的完整性保護。檢測需具備以下功能：

a)應能夠對非授權設備私自聯(lián)到內部網(wǎng)絡(luò )的行為進(jìn)行檢查，準確定出位置，并對其進(jìn)行有效阻斷；

b)應能夠對內部網(wǎng)絡(luò )用戶(hù)私自聯(lián)到外部網(wǎng)絡(luò )的行為進(jìn)行檢查，準確定出位置，并對其進(jìn)行有效阻斷。

通過(guò)部署桌面終端安全管理系統和安全準入網(wǎng)關(guān)，可有效實(shí)現以下邊界完整性檢查功能：

1.終端設備接入管理

• 對網(wǎng)絡(luò )中的終端的進(jìn)行注冊管理，根據設定的安全策略允許/禁止終端接入網(wǎng)絡(luò )，采集硬件設備信息、位置信息；

• 支持對客戶(hù)端MAC和IP地址的綁定管理，IP和主機名綁定，任意其中一個(gè)發(fā)生改變，系統將自動(dòng)報警，報警后自動(dòng)恢復原有IP配置；

• 支持對合法計算機IP地址使用的保護機制，對新接入設備占用他人IP地址的行為進(jìn)行自動(dòng)斷網(wǎng)，不影響合法計算機在網(wǎng)絡(luò )中的正常使用；

• 支持內網(wǎng)完整性管理，對網(wǎng)絡(luò )中計算機的接入、帶出行為進(jìn)行報警，并能夠自動(dòng)阻斷違規行為。

2.非法外聯(lián)管理

• 支持監控網(wǎng)絡(luò )中客戶(hù)端的非法外聯(lián)行為，實(shí)時(shí)檢測內部網(wǎng)絡(luò )（包括物理隔離和邏輯隔離網(wǎng)絡(luò )）用戶(hù)通過(guò)調制解調器、ADSL、雙網(wǎng)卡等設備非法外聯(lián)互聯(lián)網(wǎng)行為，并遠程告警或斷網(wǎng)；

• 支持監控已注冊的設備網(wǎng)絡(luò )連接行為，如改變網(wǎng)絡(luò )地址接入其它網(wǎng)絡(luò )，根據接入網(wǎng)絡(luò )環(huán)境因素判定其是否非法接入其它網(wǎng)絡(luò )；

• 客戶(hù)端非法外聯(lián)支持詳細記錄非法上網(wǎng)計算機的名稱(chēng)、單位、上網(wǎng)方式，可以在報警平臺和報警查詢(xún)中獲知信息，并且可以對客戶(hù)端進(jìn)行提示信息，自動(dòng)關(guān)機，斷網(wǎng)等處理；

• 支持是否允許使用代理服務(wù)器上網(wǎng)的控制。

5、如何做好網(wǎng)絡(luò )設備的防護？

第三級信息系統要求對設備的遠程登錄使用雙因子認證方式，需要符合如下管理要求：

a)應對登錄網(wǎng)絡(luò )設備的用戶(hù)進(jìn)行身份鑒別；

b)應對網(wǎng)絡(luò )設備的管理員登錄地址進(jìn)行限制；

c)網(wǎng)絡(luò )設備用戶(hù)的標識應唯一；

d)主要網(wǎng)絡(luò )設備應對同一用戶(hù)選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；

e)身份鑒別信息應具有不易被冒用的特點(diǎn)，口令應有復雜度要求并定期更換；

f)應具有登錄失敗處理功能，可采取結束會(huì )話(huà)、限制非法登錄次數和當網(wǎng)絡(luò )登錄連接超時(shí)自動(dòng)退出等措施；

g)當對網(wǎng)絡(luò )設備進(jìn)行遠程管理時(shí)，應采取必要措施防止鑒別信息在網(wǎng)絡(luò )傳輸過(guò)程中被竊聽(tīng)；

h)應實(shí)現設備特權用戶(hù)的權限分離。

6、面對入侵和不可預測的侵入，該如何防范？

防護入侵主要有兩種：入侵防御設備和入侵檢測設備，他們根據自身的特征庫對入侵行為進(jìn)行判斷并連動(dòng)防火墻做出相應的阻斷或禁止的動(dòng)作，從而起到網(wǎng)絡(luò )防護入侵的目的。

7、多個(gè)子公司的網(wǎng)絡(luò )安全如何管理？

多個(gè)子公司的網(wǎng)絡(luò )安全通常采用帶vpn功能的防火墻做邊界防護，實(shí)現總公司與分公司之間的vpn專(zhuān)線(xiàn)點(diǎn)對點(diǎn)互聯(lián)，并且數據采用加密方式傳輸，密文傳輸的數據即使被非法獲取也是無(wú)法查看內容的。

8、企業(yè)內網(wǎng)與互聯(lián)網(wǎng)如何打通，邊界需要布署什么安全防護設備？

首先從企業(yè)內部來(lái)看互聯(lián)網(wǎng)應用的數據庫最好保存在內網(wǎng)上通過(guò)網(wǎng)閘供外網(wǎng)應用服務(wù)器訪(fǎng)問(wèn)，這樣可以提高數據的安全性，對于企業(yè)外部的用戶(hù)通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)這些應用需要通過(guò)usbkey和密碼的雙重驗證，驗證通過(guò)后才允許訪(fǎng)問(wèn)。

9、針對服務(wù)器區域如何做好安全防護網(wǎng)絡(luò )策略？

服務(wù)器托管在IDC機房，采購了入侵檢測硬件設備但是沒(méi)有完全利用起來(lái)，操作系統有windows，linux系統。請問(wèn)：不只是在入侵檢測設備做策略，包括服務(wù)器操作系統，軟件怎么做安全策略？

服務(wù)器區需要劃到安全區域中來(lái)，通過(guò)防火墻做訪(fǎng)問(wèn)控制，web墻保護網(wǎng)站，同時(shí)啟動(dòng)網(wǎng)頁(yè)防篡改功能，服務(wù)器操作系統要定期更新補釘，安裝殺毒軟件，服務(wù)器通過(guò)專(zhuān)用的運維主機訪(fǎng)問(wèn)，訪(fǎng)問(wèn)方式采用雙因子認證，同時(shí)服務(wù)器要加入日志審計功能和數據庫審計。

10、對于中小型企業(yè)來(lái)說(shuō)，沒(méi)有專(zhuān)職的搞安全的維護人員，如何做好網(wǎng)絡(luò )安全維護工作？

隨著(zhù)云計算、大數據的高速發(fā)展，數據中心在規模、密度和復雜性上都有所增長(cháng)，企業(yè)都在尋找更有效的工具來(lái)降低成本，同時(shí)希望提高工作效率，減少能耗。傳統功能單一的數據中心基礎設施管理系統(DCIM)已難以應付紛繁多變的網(wǎng)絡(luò )環(huán)境，動(dòng)力環(huán)境，成本壓力，企業(yè)內部管理和運維效率的優(yōu)化。因此，我們除了要有一款ODCC,CDCC和DCA所定義的 DCIM應該有的功能外，我們還需要有一款能夠幫助數據中心或其他大型信息中心的管理者、經(jīng)營(yíng)者和運維人員提高管理效率、資源利用率和工作流程，以及業(yè)務(wù)狀況的綜合管理系統。

11、網(wǎng)絡(luò )區域是否需要劃分DMZ區，如果去掉會(huì )有哪些影響？

劃分DMZ區以后，一般只允許內網(wǎng)或者外網(wǎng)訪(fǎng)問(wèn)DMZ區，一旦DMZ區的服務(wù)器被攻擊，不會(huì )通過(guò)DMZ攻擊到內網(wǎng)。

還有就是內網(wǎng)的防護，放到DMZ區以后，內網(wǎng)訪(fǎng)問(wèn)DMZ區的服務(wù)器時(shí)可以做相應的安全策略，比如只允許普通用戶(hù)訪(fǎng)問(wèn)正常業(yè)務(wù)端口，而管理員可以訪(fǎng)問(wèn)遠程桌面、ssh、telnet等服務(wù)。

傳統的防火墻很大的一個(gè)意義就在于DMZ區，用來(lái)為網(wǎng)站設置一個(gè)安全區域來(lái)保證內外網(wǎng)的訪(fǎng)問(wèn)問(wèn)題。

但是現在的情況又了一些變化，傳統防火墻的訪(fǎng)問(wèn)列表只能限制到IP .端口以及協(xié)議，無(wú)法限制訪(fǎng)問(wèn)行為。而現在更多的黑客攻擊都是針對80，25等這些業(yè)務(wù)端口實(shí)現的，所以傳統防火墻的規則很難應對這些攻擊。一般都是建議針對WEB服務(wù)來(lái)添加WEB防火墻?；蛘呦乱淮阑饓?lái)進(jìn)行行為防護。

另外，DMZ區域在現在的這種情況，個(gè)人覺(jué)得還是保留的好。作為網(wǎng)站服務(wù)的一個(gè)獨立區域。避免從內網(wǎng)直接開(kāi)通映射到外網(wǎng) 。還是會(huì )減少一些安全的風(fēng)險和管理上的麻煩的。

總結起來(lái)說(shuō)。DMZ并不能完全解決現有的針對WEB的攻擊問(wèn)題。但DMZ區有助于網(wǎng)絡(luò )的管理和規劃，也可以避免一些基礎的安全問(wèn)題。比如病毒爆發(fā)等。

12、等保三級的安全怎樣做到安全與成本的兼顧？

等保三級要求的很多。不單單是設備的投入，還有整個(gè)管理流程。操作規范等等。而且對硬件的要求也比較明確。確實(shí)不太容易降低成本。

不過(guò)這種所謂的成本投入其實(shí)是相對的。很多企業(yè)之前欠缺了太多的安全設備、審計、歸檔、備份，因為之前沒(méi)有，所以才覺(jué)得到了等保三級要投入很高。其實(shí)這些東西對于系統安全本就應該有的。

等保三級測評合格是60分，這時(shí)成本是最低的，如果要做到100分成本一定是最高的，即使是60分也要做好以下的工作：

1、安全區域劃分

2、網(wǎng)絡(luò )架構設計方案

3、區域邊界訪(fǎng)問(wèn)控制

4、網(wǎng)絡(luò )安全審計

5、邊界完整性檢查

6、入侵防范

7、網(wǎng)絡(luò )設備防護

8、系統運維管理