网络安全等级保护测评规划与设计

news2024/11/16 2:54:42

笔者单位网络结构日益复杂,应用不断增多,使信息系统面临更多的风险。同时,网络攻防技术发展迅速,攻击的技术门槛随着自动化攻击工具的应用也在不断降低,勒索病毒等未知威胁也开始泛滥。基于此,笔者单位拟进行网络安全等级保护测评,根据等保2.0的相关标准要求,以“一个中心,三重防护”为核心理念,以安全技术保障、安全管理运营、安全监测预警、安全应急响应为路线,开展等保2.0的定级、备案、建设整改、测评工作,切实保障单位网络安全。

网络安全等级保护测评现状分析

笔者单位虽然已采取了安全措施,但仍存在各种安全隐患,例如:外部入侵;非授权访问;冒充合法用户;破坏数据完整性;网页篡改与数据丢失;来自内部人员的威胁;安全管理比较薄弱;未定期进行安全风险评估。考虑到目前的实际情况,建议采用渗透测试、漏洞扫描、上线前安全检测、安全事件应急处置、管理制度完善、等保咨询等服务。

网络安全等级保护测评设计原则和设计内容

以等保2.0的“一个中心,三重防护”思想为核心,构建集管控、防护、检测、响应、恢复和可信验证等于一体的信息安全保障体系。

“综合防范、整体安全”:坚持管理与技术并重,从人员、管理、安全技术手段等多方面着手,建立综合防范机制,实现整体安全。

“分域保护、务求实效”:科学划分系统安全区域,在完善已有安全配置基础上,制定适度安全策略,整体提高信息安全保障的有效性。

“同步建设”:安全保障体系规划与系统建设同步、协调发展,将安全保障体系建设融入到信息化建设的规划、建设、运行和维护的全过程中。

“纵深防御,集中管理”:构建从外到内、功能互补的纵深防御体系,对资产、安全事件、风险以及访问行为等进行集中统一分析与监管的管控中心。

“设计先进、扩展容易”:设计并采用的技术具有良好的可扩展性,充分保护当前的投资和利益,保障安全体系措施实现可持续发展。

以等保2.0相应等级防护要求为依据,在利用现有安全设备基础上,采用必要的安全服务,全面识别单位重要信息系统在技术层面和管理层面存在的不足和差距。增加必要的安全产品,设计合理的安全管理制度,建立科学的结构化的信息安全保障框架(如图1所示),建立“可信、可控、可管”的安全防护体系,保障相关业务系统安全稳定运行。具体设计内容如下:对相关系统进行整体安全风险评估,及时发现现有系统存在的风险;按照等保2.0相关要求进行安全建设整改,达到国家相关标准的要求。

图片

图1  安全体系总体框架图

等级保护三级系统实施

1.安全技术体系实施

建立系统安全管理中心,总体架构如图2所示。大数据安全分析平台采用ElasticSearch、Hadoop等开源数据存储和索引引擎,保证数据不被绑定,便于将来对数据的二次应用;采用B/S架构,支持全中文Web管理界面,支持SSL加密模式访问;支持针对网络中各类安全产品、网络设备、服务器、中间件、数据库等产品进行日志收集和标准化,通过探针进行流量数据采集,通过大数据综合分析提供安全风险分析和问题定位能力。

图片

图2  安全管理中心总体架构

安全通信网络主要从通信网络审计、通信网络数据传输完整性保护、通信网络数据传输保密性保护、可信连接验证方面进行防护。通过在外网边界安全域部署防火墙、在各个安全域边界部署防火墙,实现各个安全域的边界隔离和划分,在防火墙上配置访问控制策略。防火墙可根据会话状态信息,对源地址、目的地址、源端口、目的端口和协议等进行访问控制,做到允许/拒绝访问,控制力度可以为端口级。采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护。采用 SSL、IPSEC VPN 等产品或技术措施,实现整个报文或会话的保密性保护。采用身份认证系统、终端准入、VPN 等产品或技术措施,实现整个通信网络的设备真实可信,通过集中管理平台进行安全审计。

安全区域边界主要从区域边界访问控制、区域边界包过滤、区域边界安全审计、区域完整性保护、可信验证方面进行防护。根据区域边界安全控制策略,检查数据包的源地址、目的地址、传输层协议和请求的服务等,确定是否允许该数据包进出该区域边界。采用防火墙、Web应用防护系统、入侵防护、抗拒绝服务系统或者具有同等功能的产品,实现边界数据包过滤。设置自主和强制访问控制机制,对源及目标计算节点的身份、地址、端口和应用协议等进行可信验证,对进出安全区域边界的数据信息进行控制,阻止非授权访问。采用防火墙、身份认证、行为管理、入侵防护系统或同等功能的产品,实现对该区域网络数据包的出入控制。在安全域边界部署入侵检测及防御系统,及时识别由外到内和由内到外的入侵行为,并进行告警和阻断。部署下一代防火墙(开启病毒和垃圾邮件过滤功能),保证网络的高可用性,定期升级更新恶意代码库,降低被恶意代码攻击的风险。

2.安全管理体系实施

安全管理体系主要从安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理方面进行设计,由安全策略、管理制度、操作规程等构成全面的信息安全管理制度体系。

安全管理机构:明确系统管理员、网络管理员和安全管理员等岗位的岗位职责,将信息安全管理制度落实到人。

安全管理人员:在人员录用方面,要对新录用人员进行信息安全技术技能考核,从事关键岗位的人员在入职前还要签署岗位安全协议;针对即将离职和调离关键岗位的人员,制度上必须明确要求其承担的保密义务,必要时签署岗位保密协议,办理严格的调离手续后才能被允许离开;定期对各岗位的管理人员进行安全技能及安全认知考核,并对考核结果进行记录和保存;建立信息安全培训制度,定期组织信息安全培训;建立外部人员访问管理制度,对外部人员允许访问的区域、系统、设备、信息等内容进行书面的规定。

安全建设管理:制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则;委托第三方测试单位对系统进行安全性测试,并出具安全性测试报告;发布《信息化管理指导意见》制度;建立完善的系统交付管理制度,对系统交付的控制方法和人员行为准则进行书面规定。

安全运维管理:加强对办公环境的保密性管理,规范办公环境人员行为,包括不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等;完善资产清单,确定资产责任部门、重要程度,根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。对信息分类与标识方法做出规定,并对信息的使用、传输和存储等进行规范化管理。

3.安全服务体系实施

渗透测试:专业安全服务工程师模拟黑客攻击方式对用户信息系统进行非破坏性安全测试,发现深层次的安全隐患,验证现有安全措施的防护效果,及时了解其被入侵的可能性,提出整改建议。

安全事件处置:通过远程或现场的方式帮助客户对突发性安全事件进行安全处理,协助客户快速定位问题,分析判断安全事件原因,提供有效的解决建议,帮助用户将损失及影响降到最低。

信息安全管理制度建设:以风险评估、合规性分析结果为依据,按照相关行业要求,制定安全管理框架,明确管理方针、策略,以及相应的规定、操作规程、业务流程和记录表单,建立信息安全管理制度。

结语

随着网络技术的快速发展和数字化转型的推进,网络安全工作将面临更多挑战。网络安全三级等保测评对于网络安全具有深远的影响。通过测评,能够全面了解其网络安全状况,发现并解决存在的安全问题,提高网络安全防护能力。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1387034.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

c语言嵌套循环

c语言嵌套循环 c语言嵌套循环 c语言嵌套循环一、c语言嵌套循环类型二、嵌套循环案例九九惩罚口诀 一、c语言嵌套循环类型 for(初始值;表达式;表达式) {for(初始值;表达式;表达式){代码} }int main() {for (…

报错消息号M3318:数字***没有定义对于物料类型原材料***

消息号M3318:数字***没有定义对于物料类型原材料*** 报错说明自定的物料编码,不在编码范围内,外部给号不在后台配置的范围内。MMNR可以查看后台定义的范围。 消息号:M3565对于物料类型,外部物料数一定不能只包含数量 …

获取本地IP网卡信息

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一、获取本地IP,以及全部网卡信息总结 前言 一、获取本地IP,以及全部网卡信息 const os require(node:os) function getIPAdress(){/…

十三、Three场景物体增加发光特效

物体发光效果非常炫酷,本期来讲three场景内物体自带发光效果怎么来实现。本次使用的是threejs138版本,在vue3+vite+ant的项目中使用。 下面来看看实现的效果。绿色罐体有了明显的发光效果。 实现步骤 增加composer.js import { UnrealBloomPass } from three/examples/jsm/po…

C++ | 四、指针、链表

指针 指针用来储存地址定义方式,int *ptr;,使用*来表示所定义的变量是指针取地址符,ptr &a;,通过&来取得一个普通变量的地址,并储存到指针中取值(解引用),想要取得一个指针…

软件测试|Beautiful Soup库详细使用指南

简介 Beautiful Soup是一款强大的Python库,广泛用于解析HTML和XML文档,从中提取数据并进行处理。它的灵活性和易用性使得数据抽取变得简单,本文将详细介绍Beautiful Soup库的基本用法和示例。 安装Beautiful Soup 首先,需要确保…

一文详解JAVA的字节流,BufferedReader和BufferedWriter

目录 一、什么是Java的字节流 二、BufferedReader介绍 三、BufferedWriter介绍 一、什么是Java的字节流 Java的字节流是一种用于处理二进制数据的输入输出流。在Java中,字节流以字节为单位进行读取和写入操作。字节流分为输入字节流和输出字节流。 输入字节流&…

springCloude中Eureka模拟搭建集群

开三个不同端口号的服务, 而且还得模拟出三个不同的ip,由于时本机,所以只能去做三个本地域名,不要乱来,弄不好会出事的! eureka8886.com eureka8887.com eureka8888.com 这个是eureka的集群模块。 提供模块&#xff0…

Redis图形界面闪退/错误2系统找不到指定文件/windows无法启动Redis/不是内部或外部命令,也不是可运行的程序

Redis图形界面闪退/错误2系统找不到指定文件/windows无法启动Redis/不是内部或外部命令,也不是可运行的程序 我遇到了以上的问题。 其实,最重要的原因是我打开不了another redis desktop mannager,就是我安装了之后,无法打开它…

FFmpeg解决视频播放加载卡顿问题(FFmpeg+M3U8分片)

FFmpeg解决视频播放加载卡顿问题(FFmpegM3U8分片) 在这静谧的时光里,我们能够更清晰地审视自己,思考未来的方向。每一步的坚实,都是对勇气的拥抱,每一个夜晚的努力,都是对未来的信仰。不要害怕独行,因为正是…

机器学习算法实战案例:时间序列数据最全的预处理方法总结

文章目录 1 缺失值处理1.1 统计缺失值1.2 删除缺失值1.3 指定值填充1.4 均值/中位数/众数填充1.5 前后项填充 2 异常值处理2.1 3σ原则分析2.2 箱型图分析 3 重复值处理3.1 重复值计数3.2 drop_duplicates重复值处理 3 数据归一化/标准化3.1 0-1标准化3.2 Z-score标准化 技术交…

使用Openssl生成Https免费证书以及Nginx配置

1 证书和私钥的生成 1.创建服务器证书密钥文件 server.key: openssl genrsa -des3 -out server.key 2048 输入密码,确认密码,自己随便定义,但是要记住,后面会用到。 2.创建服务器证书的申请文件 server.csr openssl r…

外包干了4年,废了···

有一说一,外包没有给很高的薪资,是真不能干呀! 先说一下自己的情况,大专生,19年通过校招进入湖南某软件公司,干了接近4年的功能测试,今年年初,感觉自己不能够在这样下去了&#xff0…

Linux的基础命令学习

pwd - 显示当前工作目录的路径 cd - 切换工作目录,ls - 列出当前目录的文件和子目录 rm - 删除文件或目录 mkdir - 创建新目录 rm - 删除目录 nano/vi - 编辑文本文件,按Enter键进入 之后按i键就可以进入写入模式 之后输入文字以后按Esc键与:q就不保…

【设计模式-05】Facade门面Mediator调停者 | Decorator装饰器 | Chain Of Responsibility责任链

Facade门面Mediator调停者 1、Facade门面图解 2、Mediator调停者 一般是系统内部相互交错,比如消息中间件(MQ)就是这种设计模式,对各个功能或系统之间进行解耦。 Decorator装饰器 1、问题 2、解决方案 Chain Of Responsibility责任链 一、例子场景 业…

(Java企业 / 公司项目)JMeter接口压测使用(保姆式手把手教会)

一. JMeter简介认识(重点是下面的使用方法) JMeter是一个开源的Java应用程序,由Apache软件基金会开发和维护,可用于性能测试、压力测试、接口测试等。 1. 原理 JMeter的基本原理是模拟多用户并发访问应用程序,通过发…

手把手教你如何搭建Spring本地编译环境

大家好,我是极客涛,不知道小伙伴有没有和我一样的情况,在阅读Spring源码时,只通过静态的代码阅读很难有更深刻的理解,所以建议通过写测试类进行debug的方式,对核心的代码进行运行时的状态调试,这…

2024年腾讯云服务器活动价格整理汇总,5年和三年选择

腾讯云服务器租用价格表:轻量应用服务器2核2G3M价格62元一年、2核2G4M价格118元一年,540元三年、2核4G5M带宽218元一年,2核4G5M带宽756元三年、轻量4核8G12M服务器446元一年、646元15个月,云服务器CVM S5实例2核2G配置280.8元一年…

TLS握手流程分析

1.SSL/TLS 历史 HTTP 是明文传输的协议,可能受到第三方的攻击,非常不安全。因此才诞生 “HTTPS”。 这个 “S” 表示 SSL/TLS 协议,用公式说明:HTTPS HTTP SSL(TLS)。 其中 SSL 即安全套接层(Secure Sockets Layer&…

【开发篇】四、MAT堆内存分析(Memory Analyzer Tool)

文章目录 1、使用2、报错3、MAT支配树4、MAT内存泄漏的检测原理5、导出运行中系统的内存快照6、补充 1、使用 内存溢出后,分析泄露的思路是: 在OOM前,将整个堆内存保存成一个hprof文件MAT打开hprof文件,MAT自行分析可疑对象 添…