一
政策法规下的等级保护
“没有网络安全就没有国家安全,没有信息化就没有现代化。”
在2017年6月1日,我国开始全面实行《网络安全法》,其中第二十一条规定了“国家实行网络安全等级保护制度”。此外,在2019年5月13日,发布了等级保护2.0的一系列标准,其中包括《信息安全技术 - 网络安全等级保护基本要求》、《信息安全技术 - 网络安全等级保护测评要求》和《信息安全技术 - 网络安全等级保护安全设计技术要求》等。
这些标准于2019年12月1日开始实施,适用于传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象,要求企业用户必须按照等级保护要求进行建设。
二
信息化建设下的“安全同行”
01
信息化建设
某单位随着其公信力的不断增强、品牌影响力的不断扩大,项目数量和金额逐年增长,该单位急需通过信息化建设为其办公和业务处理带来更多的便利性,以此提高办事效率。然而,该单位业务系统存放有大量敏感业务信息,所以在其进行信息化建设的同时,也要求该单位需同步进行网络安全建设,提升信息化办公的安全性,保障应用系统的持续稳定运行。
02
不满足等保合规要求
目前,该单位在安全域划分和边界防护较为完善,但与相关法律法规的要求仍存在一定差距,主要表现在网络安全监测及防护能力薄弱,可能存在安全风险隐患。因此,该单位需根据网络安全法、等级保护等安全技术及安全管理相关要求进行相应安全规划建设整改。
03
现状分析
通过该拓扑可以发现,整体网络架构为单链路链路结构,区域划分为边界接入区、DMZ区、核心交换区、服务器区和办公区。其中,本地网络边界有一台下一代防火墙,DMZ区应用发布服务器前部署有WAF,服务器区与核心交换区之间部署有一台防火墙用于边界防护及访问控制。
04
差距分析
(1)安全通信网络
网络安全等级保护第三级安全建设在网络架构设计相关的规定:
-
应保证网络设备的业务处理能力满足业务高峰期需要;
-
应保证网络各个部分的带宽满足业务高峰期需要;
-
应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
-
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;
-
应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
(2)安全区域边界
-
应提供网络边界的访问控制及防护,通过严格的安全规则对流经网络边界的数据包进行过滤。
-
应提供边界入侵检测与防御,有效发现并阻断来自内外部的数据攻击以及垃圾数据流的泛滥。
-
应提供边界威胁检测分析,在发生严重入侵事件时提供报警。
-
应提供边界恶意代码防范,防止病毒从其他区域传播到内部其他安全域中,截断病毒的传播途径,净化网络流量。
-
应提供上网行为管理,为管理员提供精细、多维度、多角度的管理手段。
(3)安全计算环境
-
主机入侵监测及恶意代码防范。主机承载着重要的业务系统及核心数据,是安全防护中最为核心的部分,要求能够针对主机进行有效的安全管理,具备主机安全管理、入侵防范、恶意代码防范、安全监控、漏洞管理等能力,全面提升主机的自身安全防护能力。
-
应提供数据库安全审计,助管理人员事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源。
-
应提供数据备份恢复机制,防止由于操作失误、系统故障等人为因素或意外原因导致数据丢失。
(4)安全管理中心
-
应提供安全运维审计设备,避免运维过程中的高权限账号滥用、系统共享账号安全隐患、违规行为无法控制等风险。
-
应提供日志安全管理设备,解决日志分散、格式不统一、日志量巨大的问题,并根据法律法规的要求留存日志。
-
应对各类安全事件进行集中安全管理,确保相关安全事件得到及时发现,及时处置。
三
安全狗等级保护解决方案
为了帮助用户单位落实相关等保要求,严格执行各项安全管理的制度,确保系统安全稳定运行,安全狗推出的全新合规产品矩阵,能满足用户合法要求、体系化安全建设、建立全面的等级防护等安全需求,助力用户单位通过“等保大考”。
01
实施过程
A
主机侧:服务器端部署云眼主机入侵监测及安全防护系统,提供了包含安全体检、资产管理、漏洞风险管理、入侵威胁管理、安全监控、安全防护、合规基线、安全报表、安全告警等功能。提供多个层面的安全监控和安全防护,快速识别和阻断黑客攻击。
B
DMZ区:新增1套网页防篡改系统,云固防篡改系统可实现网站安全运行保护,有效协助维护政府和企业形象,保障互联网业务的正常运营,彻底解决网站被非法修改的问题。 网络攻击者通常会利用被攻击网站中存在的漏洞,通过在网页中植入非法暗链对网页内容进行篡改等方式,进行非法牟利或者恶意商业攻击等活动。
安全狗云固可实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。
C
边界管理区:新增1台下一代防火墙,2台上网行为管理。
D
核心交换区:新增1台核心交换机,1台威胁流量分析系统,并将原服务器区防火墙切换为核心防火墙。
E
安全管理中心:新增1台安全运维审计系统,1套数据备份与恢复系统,1台数据库审计系统,1台日志审计系统。
02
建设效果
在经过此次三级信息安全等级保建设,该单位新增了不少优势,整体安全应对能力得到改善。
从国家政策角度来看,建立和落实信息安全等级保护制度是形势所迫、国情所需,我国信息安全保障工作要求坚持“积极防御、综合防范”的方针,全面提高信息安全防护能力。从企业自身业务发展来看,信息安全等级保护建设帮助企业建立完善的信息安全管理体系,保障业务数据的机密性、完整性和可用性,避免因为信息泄露等原因导致业务中断或者无法正常运作的问题。通过建立完善的系统安全防护和管理体系,防范系统黑客攻击和病毒感染等安全威胁,保证系统的稳定运行,提升业务的连续性和可靠性。规范业务流程和操作流程,同时增强外部合作伙伴对企业的信任度,提升企业在市场竞争中的优势,从而更好的拓展业务范围和领域。
综上所述,完成三级信息安全等级保护建设项目后,可以帮助企业有效地提升业务运作的安全性和可靠性,从而为企业的长期发展提供保障。
