信息安全等级保护二级
一、机房方面的安全措施需求(二级标准)如下:
二、主机和网络安全层面需要部署的安全产品如下:
三、应用及数据安全层面需要部署的安全产品如下:
信息安全等级保护三级
一、机房方面的安全措施需求(三级标准)如下:
二、主机和网络安全层面需要部署的安全产品如下:
三、应用及数据安全层面需要部署的安全产品如下:
二级等保(基础版)规划设计
NGFW【必配】:融合传统防火墙安全策略、入侵防御、防病毒功能、VPN功能。解决安全区域边界、通信网络加密传输要求
【主机杀毒软件】【必配】:解决安全计算环境要求
【日志审计系统】【必配】:解决安全管理中心要求 【数据库审计】【必配】:解决安全管理中心审计要求
三级等保(基础版)规划设计
【接入边界NGFW】【必配】:融合防火墙安全策略、访问控制功能。解决安全区域边界要求,并开启AV模块功能;配置网络接入控制功能(802.1X);配置SSL VPN功能;
【分区边界NGFW 】【必配】:用于解决安全分区边界的访问控制问题;
【主机杀毒软件】【必配】:解决安全计算环境要求;
【日志审计系统】【必配】:解决安全管理中心要求;
【堡垒机】【必配】:解决集中管控、安全审计要求;
【数据库审计】【必选】:解决数据库操作行为和内容等进行细粒度的审计和管理,需要根据系统内是否包含数据库业务系统选择;
【漏洞扫描】【必配】;
【上网行为管理】【必选】; 【WAF】【选配】。
三级等保(增强版)规划设计
【NGFW】(必选);开启VPN,AV特性;
【IPS】(必选);解决区域边界入侵防御;
【Anti-DDoS】【必选】;
【APT沙箱】【必选】:新型网络攻击行为
【上网行为管理】【必选】;
【日志审计系统】(必选);
【数据库审计系统】(必选);
【漏洞扫描】(必选);
【主机杀毒软件】(必选);
【态势感知】【必选】;
【WAF应用防火墙】【必选】;
【运维堡垒机】【必选】;
【网络准入控制系统】【必选】;
【认证服务器】【必选】;
【网页防篡改】【可选】;
【主机入侵防御HIPS】【可选】;
【DLP数据防泄漏】【可选】;
【IAM身份鉴别平台】【可选】;
【态势感知探针】【可选】:可复用NGFW的能力
三级等保(豪华版)规划设计
多网架构,内网和外网物理隔离,通过网闸互通,其余规划同上。
等保2级技术要点
等保技术要求 | 子项 | 主要内容 | 对应 产品 |
网络架构 | 网络架构 | 分区分域,隔离技术 | ngfw |
通信传输 | 采用校验技术保证通信过程中数据的完整性 | ngfw(ipsec&ssl vpn) | |
可信验证 | 基于可信根对通信设备的系统引导程序,系统程序,重要配置参数和通信,应用程序等进行可信验证,并将验证结果形成审计记录送至安全管理中心 | 设备自身可信启动机制 | |
安全区域边界 | 边界防护 | 跨越边界的访问和数据流通过边界设备提供的受控接口进行通信 | ngfw |
访问控制 | 基于五元组的会话状态进行访问控制,策略优化 | ngfw | |
入侵防范 | 在关键网络节点处监视网络攻击行为 | ngfw(ips) | |
恶意代码防范 | 恶意代码检测和清除,防护机制支持升级和更新 | ngfw(av) | |
安全审计 | 用户行为审计,安全事件审计 | 日志审计系统 | |
可信验证 | 边界设备基于可信根对系统进行可信引导 | 设备自身可信启动机制 | |
安全计算环境 | 身份鉴别 | 身份唯一性,鉴别信息复杂度定期更换,登录失败处理功能,远程管理过程中防鉴别信息被窃听 | 主机安全加固,堡垒机+vpn |
访问控制 | 用户权限管理,管理用户权限最小化 | 主机安全加固 | |
安全审计 | 用户行为审计 | 日志审计系统 | |
入侵防范 | 检测入侵行为,非使用端口关闭,管理终端限制,发现已知漏洞 | ngfw(ips),漏洞扫描 | |
恶意代码防范 | 安装防恶意代码软件,防护机制支持升级和更新 | 主机杀毒软件 | |
可信验证 | 计算设备基于可信根对系统进行可信引导 | 设备自身可信启动机制 | |
数据完整性 | 数据防篡改 | ngfw(vpn),waf | |
数据备份恢复 | 数据本地备份和恢复,批量数据异地实时备份 | 本地备份设备,异地备份方案 | |
剩余信息保护 | 监别信息存储空间清除 | 应用自身保障 | |
个人信息保护 | 个人信息最小采集原则,授权使用 | 应用自身保障 | |
安全管理中心 | 系统管理 | 应对系统管理员进行身份鉴别,应通过系统管理员对系统的资源和运行进行配置,控制和管理 | 网络管理系统,堡垒机 |
审计管理 | 应对安全审计员进行身份监别,应通过安全审计员对审计记录应进行分析并根据分析结果进行处理 | 日志审计系统 |
*黄色是等保2.0相比1.0点型增加
等保3级技术要点
等保技术要求 | 子项 | 主要内容 | 对应产品 |
安全通信网络 | 网络架构g | 选型合理,分区隔离,凡余架构,高峰可用 | ngfw, 防ddos |
通信传输g | 采用校验技术/密码技术保证通信过程中数据的完整性和保密性和保密性 | ngfw(ipsec&sslvpn) | |
可信验证s | 基于可信根对通信设备的系统引导,应用关键点动态验证,可报警,可审计 | 设备可信启动机制 | |
安全区域边界 | 边界防护g | 跨边界控制,内联设备,外联行为监测,无线网限制 | ngfw,网络准入控制 |
访问控制g | 五元组过滤,内容过滤,策略优化,基于应用协议和应用内容的访问控制 | ngfw,安全控制器 | |
入侵防范g | 防外部攻击防内部攻击,防新型未知网络攻击 | ps/ids,探针,沙箱,nta | |
恶意代码防范g | 网络防病毒,垃圾邮件过滤 | ngfw(av),ngfw(防 垃圾邮件) | |
安全审计g | 用户行为,安全事件审计,远程用户行为,访问互联网用户行为单独审计和数据分析 | 堡垒机,上网行为管理,综合日志审计系统 | |
可信验证s | 基于可信根对区域设备的系统引导,应用关键点可动态验证,可报警,可审计 | 设备可信启动机制 | |
安全计算环境 | 身份鉴别s | 身份唯一性,鉴别信息复杂度,口令,密码技术,生物技术等双因子及以上认证且其中一种必须为密码技术 | 堡垒机,认证服务器 |
访问控制s | 用户权限管理,管理用户权限最小化 访问控制的粒度应达到主体为用户级或进程级,客体为文件, 数据库表级 | 访问控制平台,api网关 | |
安全审计g | 用户行为审计,对审计进程保护 | 网行为管理,日志审计系统 | |
入侵防范g | 检测入侵行为,非使用端口关闭,管理终端限制,发现已知漏洞 | ips,漏洞扫描 | |
恶意代码防范 g | 安装防恶意代码软件或免疫可信验证机制,防护机制支持升级和更新 | ngfw(av),主机防病毒软件 | |
可信验证s | 基于可信根对计算设备的系统引导,应用关键点动态验证,可报警,可审计 | 设备可信启动机制保障 | |
数据完整性s | 数据防篡改;应采用校验技术或密码技术保证重要数据在传输/存储过程中的完整性 | ngfw,vpn,waf,网页防篡改,加密机 | |
数据备份恢复a | 数据本地备份和恢复,提供异地实时备份功能,数据处理系统热冗余 | 多活数据中心 | |
剩余信息保护s | 鉴别信息,敏感信息缓存清除 | 应用自身机制 | |
个人信息保护 s | 个人信息最小采集原则,访问控制 | 应用自身机制 | |
安全管理中心 | 系统管理g | 应对系统管理员进行身份鉴别,应通过系统管理员对系统的资源和运行进行配置,控制和管理 | 网管系统,堡垒机 |
审计管理g | 应对安全审计员进行身份鉴别,应通过安全审计员对审计记录,应进行分析,并根据分析结果进行处理 | 堡垒机,综合日志审计系统、数据库审计 | |
集中管控g | 特定管理分区,统一网管和检测,日志采集和集中分析,安全事件识别告警和分析,策略补丁升级集中管理 | 网管系统,安全控制器,态势感知系统,补丁服务器 | |
安全管理g | 应对安全管理员进行身份鉴别,应通过安全审计员对审计记录应进行分析,并根据分析结果进行处理 | 堡垒机,日志审计系统 |
*蓝色是等保2.0相对于2级的递增
*黄色是等保2.0相比1.0点型增加
安全产品/服务全景图
内容来源: 安全狗、网络安全等级保护测评中心、NIS研究院、网络工程师俱乐部
由信创之路编辑排版,如有侵权请联系删除
END
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...