安全資訊

一、等保2.0 三級信息系統 70-80 分套餐：

1、等保2.0 三級信息系統 70-80分 拓撲圖：

2、設備清單：下一代防火墻（含IPS、AV）+綜合日志審計系統+堡壘機+數據庫審計系統+殺毒軟件。

其他參考方案：

• 【接入邊界NGFW】【必配】：融合防火墻安全策略、訪(fǎng)問(wèn)控制功能。解決安全區域邊界要求，并開(kāi)啟AV模塊功能；配置網(wǎng)絡(luò )接入控制功能（802.1X）；配置SSL VPN功能；

• 【分區邊界NGFW 】【必配】：用于解決安全分區邊界的訪(fǎng)問(wèn)控制問(wèn)題；

• 【主機殺毒軟件】【必配】：解決安全計算環(huán)境要求；

• 【日志審計系統】【必配】：解決安全管理中心要求；

• 【堡壘機】【必配】：解決集中管控、安全審計要求；

• 【數據庫審計】【必選】：解決數據庫操作行為和內容等進(jìn)行細粒度的審計和管理，需要根據系統內是否包含數據庫業(yè)務(wù)系統選擇；

• 【漏洞掃描】【必配】;

• 【上網(wǎng)行為管理】【必選】；

• 【W(wǎng)AF】【選配】。

  
  

3、詳解:

       第三級要求與第二級相比，主要區別在于多了關(guān)鍵設備及鏈路需要冗余、對重要區域重點(diǎn)保護需要防入侵防病毒、對遠程訪(fǎng)問(wèn)及互聯(lián)網(wǎng)用戶(hù)的上網(wǎng)行為進(jìn)行審計、運維人員的所有操作審計、對數據庫的所有操作審計等要求，所以在應用服務(wù)器邊界部署一組下一代防火墻、在互聯(lián)網(wǎng)出口部署一臺防火墻和上網(wǎng)行為管理用作內外網(wǎng)隔離及應用級的管控與審計，在安全管理區部署堡壘機和數據庫審計系統對各方面的操作進(jìn)行審計并保護審計日志，滿(mǎn)足網(wǎng)絡(luò )安全法的存儲時(shí)間要求。，如果有互聯(lián)網(wǎng)發(fā)布系統還需增加web防火墻來(lái)對系統進(jìn)行防入侵、防篡改，在應用系統遠程管理傳輸時(shí)還需使用HTTPS協(xié)議保護數據的完整性和保密性，總之涉及互聯(lián)網(wǎng)系統或需求的就需增加WEB應用防火墻、上網(wǎng)行為管理和HTTPS來(lái)保證系統的安全。

二、等保2.0 三級信息系統 80-90分 套餐：

1、等保2.0 三級信息系統 80-90分 拓撲圖：

2、設備清單：下一代防火墻（含IPS、AV）+綜合日志審計系統+堡壘機+數據庫審計系統+殺毒軟件+數據備份系統+網(wǎng)絡(luò )準入+VPN+入侵檢測+漏洞掃描系統+HTTPS。

其他參考方案：

• 【NGFW】（必選）；開(kāi)啟VPN，AV特性；

• 【IPS】（必選）；解決區域邊界入侵防御；

• 【Anti-DDoS】【必選】;

• 【APT沙箱】【必選】：新型網(wǎng)絡(luò )攻擊行為

• 【上網(wǎng)行為管理】【必選】；

• 【日志審計系統】（必選）；

• 【數據庫審計系統】（必選）；

• 【漏洞掃描】（必選）；

• 【主機殺毒軟件】（必選）；

• 【態(tài)勢感知】【必選】;

• 【W(wǎng)AF應用防火墻】【必選】；

• 【運維堡壘機】【必選】；

• 【網(wǎng)絡(luò )準入控制系統】【必選】；

• 【認證服務(wù)器】【必選】；

• 【網(wǎng)頁(yè)防篡改】【可選】；

• 【主機入侵防御HIPS】【可選】；

• 【DLP數據防泄漏】【可選】；

• 【IAM身份鑒別平臺】【可選】；

• 【態(tài)勢感知探針】【可選】：可復用NGFW的能力

3、詳解

     在70-80分套餐上增加一套數據備份系統用于實(shí)時(shí)自動(dòng)備份，在網(wǎng)絡(luò )部署一套網(wǎng)絡(luò )準入系統對業(yè)務(wù)終端、服務(wù)器做接入限制，配合準入客戶(hù)端還可對違規內、外聯(lián)進(jìn)行管控審計，為了讓遠程運維人員能夠安全的接入到內部網(wǎng)絡(luò )進(jìn)行運維，架設一臺VPN設備對傳輸通道進(jìn)行加密保護鑒別數據的完整性和保密性，安全管理中心部署一臺IDS設備，對所有經(jīng)過(guò)核心交換機的流量進(jìn)行檢測，保證內網(wǎng)的發(fā)起的網(wǎng)絡(luò )攻擊能夠被檢測阻斷，安全漏洞掃描系統定期對內部網(wǎng)絡(luò )的服務(wù)器、數據庫、應用系統、網(wǎng)絡(luò )設備等進(jìn)行安全漏洞掃描，以及時(shí)發(fā)現問(wèn)題并修復。

三、等保2.0 三級信息系統 90分以上 套餐：

1、等保2.0 三級信息系統90分以上拓撲圖：

2、設備清單：下一代防火墻（含IPS、AV）+綜合日志審計系統+堡壘機+數據庫審計系統+殺毒軟件+數據備份系統+網(wǎng)絡(luò )準入+VPN+入侵檢測+漏洞掃描系統+HTTPS+負載均衡+防火墻+安全隔離網(wǎng)閘+APT+蜜罐+CA認證系統+態(tài)勢感知平臺+云安全防護平臺。

其他參考方案：

• 【NGFW】（必選）；開(kāi)啟VPN，AV特性；

• 【IPS】（必選）；解決區域邊界入侵防御；

• 【Anti-DDoS】【必選】;

• 【APT沙箱】【必選】：新型網(wǎng)絡(luò )攻擊行為

• 【上網(wǎng)行為管理】【必選】；

• 【日志審計系統】（必選）；

• 【數據庫審計系統】（必選）；

• 【漏洞掃描】（必選）；

• 【主機殺毒軟件】（必選）；

• 【態(tài)勢感知】【必選】;

• 【W(wǎng)AF應用防火墻】【必選】；

• 【運維堡壘機】【必選】；

• 【網(wǎng)絡(luò )準入控制系統】【必選】；

• 【認證服務(wù)器】【必選】；

• 【網(wǎng)頁(yè)防篡改】【可選】；

• 【主機入侵防御HIPS】【可選】；

• 【DLP數據防泄漏】【可選】；

• 【IAM身份鑒別平臺】【可選】；

• 【態(tài)勢感知探針】【可選】：可復用NGFW的能力

多網(wǎng)架構，內網(wǎng)和外網(wǎng)物理隔離，通過(guò)網(wǎng)閘互通，其余規劃同上。

注：內網(wǎng)安全要求比外網(wǎng)高，故安全規劃考慮更完善。

3、詳解

       在互聯(lián)網(wǎng)出口的增加一臺防火墻保證出口防火墻的高可用性，在ISP運營(yíng)商接入處部署一臺負載均衡用于鏈路負載，保證鏈路的高可用性，在DMZ區部署一臺網(wǎng)閘用于內部數據的擺渡及白名單訪(fǎng)問(wèn)控制，在核心交換機旁路部署一臺APT或威脅情報分析系統來(lái)替換傳統的入侵檢測系統，對新型的網(wǎng)絡(luò )攻擊進(jìn)行檢測和分析攻擊者的路徑、來(lái)源和身份等信息；安全管理區部署蜜罐系統將出口流量引至該系統中來(lái)虛擬應用環(huán)境誘捕攻擊者、鎖定攻擊路徑固定證據，此系統在每年的專(zhuān)項行動(dòng)和HW行動(dòng)中可以發(fā)揮出最大效益，部署CA認證系統對內部人員的賬戶(hù)、證書(shū)統一管理實(shí)現強身份認證，同時(shí)還滿(mǎn)足雙因素認證要求，態(tài)勢感知平臺將所有設備日志匯總到平臺進(jìn)行匯總，利用計算模型、搜索引擎和大數據算法等技術(shù)手段分析出網(wǎng)絡(luò )安全威脅，進(jìn)而提前發(fā)現即將發(fā)生的安全事件進(jìn)行預警，當然還有一個(gè)關(guān)鍵點(diǎn)是可以統一風(fēng)險展示，界面酷炫，可視化高，同時(shí)我們的數據安全才是重中之重，數據是一個(gè)企業(yè)的核心資產(chǎn)、是命脈，但是最大的安全威脅往往來(lái)自?xún)炔?，所以在預算充足的情況還建議部署一臺數據防泄露系統（DLP）來(lái)對所有流經(jīng)出去的核心數據做標記、做策略來(lái)限制數據被非法轉移、刪除、拖庫等行為，最大程度的保證數據的安全，也能滿(mǎn)足正在起草的數據安全法中的一些基本要求。

最后在這里啰嗦一下，以往大家都是購買(mǎi)一堆設備部署到網(wǎng)絡(luò )中，各種設備只是在運行然而并沒(méi)有很好的或是最大化利用起來(lái)，導致設備的資源浪費沒(méi)有產(chǎn)生效果達不到企業(yè)的預期，所以在有的單位領(lǐng)導眼里安全就是看不見(jiàn)，摸不著(zhù)的東西，產(chǎn)生不了效益，其實(shí)最根本原因還是網(wǎng)絡(luò )安全人才的缺乏，沒(méi)有專(zhuān)業(yè)的人員跟蹤、維護、分析及配置策略，在這種情況下企業(yè)還是要從采購傳統設備向采購安全服務(wù)及產(chǎn)品化服務(wù)的觀(guān)念進(jìn)行轉變，才能應對當下網(wǎng)絡(luò )安全激流勇進(jìn)的形勢，滿(mǎn)足企業(yè)的網(wǎng)絡(luò )安全需求。