等级保护专题 > 解决方案

网络安全等级保护安全解决方案

作者:启明星辰 2020-09-04

安全方案建设思想

网络安全等级保护安全解决方案安全保护体系从安全技术、安全管理和安全运营三个维度进行设计。基于《网络安全等级保护安全设计技术要求》(GB/T 25070-2019)安全防护理念,构建“纵深防御+主动防御+持续监测”安全防护体系。

1.png

图1 安全技术防护体系

1) 纵深防御体系

“一个中心,三重防护”的纵深防御体系,即安全技术从安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面进行构建。

2) 主动防御体系

从整个等级保护对象全局的角度出发,对不同保护等级、不同安全区域的信息系统实施统一的安全管理,即建立全网集中的统一安全管理平台。结合IAWPDR2模型构建自主评估、风险驱动、实时预警、动态防护、安全检测、及时响应于一体的主动防御闭环防护体系。同时对整个等级保护对象安全状况持续监测,及时感知安全态势。

 2.png

 

3.png

注“+”代表需要此项安全能力。

总体安全方案框架

本方案网络安全等级保护防护框架由技术体系、安全管理体系和安全运营体系三部分组成。安全技术体系建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系;安全管理体系包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五部分;在安全管理中心基础上,建立安全运营中心(安全运营体系),协调信息系统各个环节所采用的安全防护措施和安全管理要素,形成相互关联、高度融合的安全防护平台,实现对安全事件的态势感知、实时监测、及时响应和综合防护,对网络系统安全防护体系的动态更新,降低安全风险,提升的信息安全监管能力。

 

4.png

网络架构设计


5.png

安全解决方案设计

安全技术方案

1) 安全通信网络

安全通信网络设计思路及主要考虑的内容:

▶ 清晰定义安全区域,划分出明确边界的网络区域;

▶ 主要网络设备和链路冗余部署;

▶ 通信传输加密。

安全控制点安全产品技术措施
网络架构上网行为管理平台 1、干路设备、边界设备、汇聚层以上的设备、安全设备等设备性能冗余空间充足(路由器、交换机和防火墙提供网络通信功能的设备);
2、带宽在设计要求上满足需求上要有一定比例的冗余;
3、划分VLAN,合理分配IP;
4、关键网络设备及安全设备要求冗余配置。
负载均衡
通信传输新一代VPN综合网关(SAG)客户端到服务器、服务器到服务器之间要使用VPN等通信。
商用密码机(国密)(SJJ)


2) 安全区域边界

安全通信网络设计思路及主要考虑的内容:

▶ 明确区域间的安全边界;

▶ 强化边界安全防策略;

▶ 明确边界安全防护设备;

▶ 边界防护设备策略恰当配置。

安全控制点对标产品技术措施
边界防护防火墙、安全网关 物理设备端口级访问控制。
1)网络接入控制系统(NAC)1、控制非法联入内网(可使用安全设备满足或技术措施如MAC绑定);
2、控制非法联入外网;
3、无线网络通过受控的边界设备接入内部网络。
2)内网安全风险管理与审计系统
3)网络非法接入检查系统
4)无线安全产品
访问控制1)防火墙(FW)1、边界访问控制策略(网闸、防火墙、路由器和交换机等提供访问控制功能的设备);
2、对进出网络的数据流实现基于应用协议和应用内容的访问控制。
2)软件定义防火墙
3)NGFW
4)USG一体化安全网关
入侵防范1)异常流量管理与抗拒绝服务系统(ADM)关键网络节点双向(外部发起攻击和内部发起攻击行为)网络攻击行为检测、防止或限制。
2)入侵防御系统(NGIPS)
3)入侵检测与管理系统(IDS)
4)USG一体化安全网关
高级持续性威胁检测系统(APT)实现对网络攻击特别是新型网络攻击行为的分析。
1)USG一体化安全网关检测到攻击行为时记录攻击信息,通过详细的攻击信息对攻击行为进行深度分析,及时作出响应。
2)入侵分析中心(DAC)
恶意代码和垃圾邮件防范1)入侵检测与管理系统(IDS)防御网络恶意代码。
2)高级持续性威胁检测系统(APT)
3)USG一体化安全网关
邮件安全管理系统垃圾邮件进行检测和防护。
安全审计网络综合审计系统(CA&GE)1、综合安全审计系统启用日志功能;
2、对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖;
3、对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
新一代日志审计系统(SA)


3) 安全计算环境

计算环境建设主要针对网络安全设备(管理系统)、服务器(操作系统、数据库、中间件)、业务应用系统、系统管理软件的安全参数配置和安全防护措施。安全参数配置基于安全基线(操作系统安全加固手册、数据库安全加固手册、网络设备安全加固手册)完成,除设备层面的自身安全加固外,安全产品也能够提供一定的安全防护措施。

计算环境相关的安全产品涉及认证授权类、日志审计类和检测防护类。

6.png

安全控制点对标产品技术措施
身份鉴别1)安全加固(配置)1、主机配置项:设备设置登录认证功能;用户名不易被猜测,口令复杂度达到强密码要求(对象:终端和服务器等设备中的操作系统、数据库系统和中间件等系统软件及网络设备和安全设备);
2、主机启用设备自身策略:密码策略、用户管理、登录失败处理功能,启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
3、远程管理时,使用SSH、HTTPS加密;
4、双因素认证(用户名口令、动态口令、USBkey、生物特征等鉴别方式)。
2)安全配置核查管理系统
3)弱口令核查系统
4)运维安全网关(OSM)
5)应用安全管控系统
6)统一安全管控平台(4A)
访问控制1)安全加固(配置)1、主机配置项:登录的用户账户和权限合理分配;
2、重命名或删除默认账户,修改默认账户的默认口令;
3、及时删除或停用多余的、过期的账户,避免共享账户的存在;
4、最小权限,管理用户的权限分离(三权分立);
5、合理分配访问控制策略:访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;设置安全标记。
2)运维安全网关(OSM)
3)应用安全管控系统(ASCG)
4)数据库防火墙(OG)
安全审计1)安全加固(配置)启用安全审计策略。
2)统一安全管控平台(4A)第三方管理软件开启日志审计策略。
3)运维安全网关(OSM)
4)数据库审计系统(DA)通过安全审计类产品,统一对数据库、应用系统、设备的日志进行收集、分析,日志至少保存6个月。
5)业务审计系统(BA)
6)新一代日志审计系统(SA)
入侵防范1)安全加固(配置)1、操作系统遵循最小安装原则,仅安装需要的组件和应用程序
2、关闭不需要的系统服务、默认共享和高危端口
3、配置终端接入方式、网络地址范围
4、系统配置项(如登录对输入框输入的内容进行长度、位数及复杂度验证等)
5、及时发现并修复已知漏洞
6、能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
2)天清 WAG网页防篡改系统/天清汉马USG一体化安全网关
3)脆弱性扫描与管理系统
4)漏洞管理平台(VM)
1)数据库防火墙(OG)
2)Web应用安全网关
天珣端点检测与响应系统(EDR)
恶意代码防范1)网络防病毒系统安全杀毒软件并及时更新库。
2)端点检测与响应系统(EDR)
数据保密性、完整性1)安全加固(配置)业务系统使用HTTPS,SSL。
2)网页防篡改系统(WAG-WS)
3)电子签章系统(电子签章)
4)电子文档安全系统
数据备份恢复1)全量备份、增量备份、实时备份数据备份(本地、异地)
双活热备(三级要求)
2)异地备份
3)实时数据库同步系统(RDS)
剩余信息保护1)安全加固(配置)应用配置项、数据脱敏
残留数据清除
2)数据库脱敏系统
个人信息保护1)安全加固(配置)应用配置项
个人信息保护


4) 安全管理中心

安全管理中心设计思路及主要考虑的内容:

▶ 建立安全管理中心

部署集中管控平台,对系统的软硬件资产、数据资产、审计日志、告警信息、统计报表、统一身份认证和授权等进行集中管理。

▶ 身份统一管理

网络安全设备及计算设备的身份认证功能实现统一的、支持令牌或证书的强身份认证。

▶ 网络(安全)设备级策略统一管理

对网络设备运行状况、性能监控,安全策略、安全事件、补丁升级等安全相关事项进行集中管理。

▶ 日志集中管理

实现对网络安全设备及计算设备的集中审计,对安全事件进行分析、识别、记录和存储,监控内外部活动。

安全控制点对标产品技术措施
身份鉴别统一安全管控平台(4A)1、管理员统一身份认证、授权;
2、安全审计
运维安全网关(OSM)
新一代日志审计系统(SA)
集中管控1)集中监控管理系统(CM)1、划分运维管理域,安全设备或安全组件集中管理;
2、建立一条安全的信息传输路径;
3、对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
4、对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间6个月以上;
5、对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
6、能对网络中发生的各类安全事件进行识别、报警和分析。
2)态势感知系统(CSA)
3)新一代日志审计系统(SA)
4)安全管理平台(USM)
5)漏洞管理平台(VM)


安全管理方案

安全技术措施的有效实施需要安全管理制度的助力,同样,安全管理制度 的落实也常常需要技术措施的支撑,两者是相辅相成,相互关联。网络安全等级保护对于单位安全制度体系的建设要求参照了 ISO 27001 的相关标准,即安全管理制度体系自上而下分为信息安全方针、安全策略、安全管理制度、安全技术规范、操作流程及记录表单,单位需要建设符合单位实际情况的管理制度体系,应覆盖物理、网络、主机系统、数据、应用、建设和运维等管理内容,并对管理人员或操作人员执行的 日常管理操作建立操作规程。

文件级别分类文件内容
一级文件安全策略安全策略总纲
二级文件管理制度管理制度制定、发布、维护方面的管理制度
安全管理机构安全组织及岗位职责管理制度
授权审批类制度
安全审核和检查制度
……
安全管理人员人员录用、离岗、考核等方面的管理制度
人员安全教育和培训方面的管理制度
外部人员管理制度
……
安全建设管理工程实施过程管理方面的管理制度
产品选型、采购方面的管理制度
测试、验收、交付方面的管理制度
软件开发管理制度
代码编写安全规范
外包软件开发管理制度
……
安全运维管理办公环境管理制度
机房安全管理制度
资产安全管理制度
介质安全管理制度
设备安全管理制度
网络系统安全管理制度
恶意代码防范管理制度
密码管理制度
配置管理制度
变更管理制度
备份与恢复管理制度
安全事件管理制度
应急预案管理制度(包括各类专项应急预案)
……
三级文件配置规范网络/安全设备、操作系统、数据库等的配置基线
操作手册应用软件设计程序文件
软件使用指南
源代码说明文档
操作运维手册(流程表单、实施方法)
……
四级文件记录、表单类制度制、修订记录
各类审批记录
培训记录
会议记录
安全检查表、安全检查报告等
安全管理岗位人员信息表
信息安全外联单位沟通合作联系表
保密协议
关键岗位安全协议
人员录用、离职记录
程序资源库的修改、更新、发布进行授权审批记录
工程实施方案
测试验收方案、记录等
安全测试报告
交付清单
服务供应商合同、协议等
对服务供应商的安全考核记录
外部人员访问登记审批表
外部人员访问登记记录表
外部人员保密协议
采购申请审批单
资产清单
等级保护对象资产报废申请表
设备出门条
设备维护记录表
信息安全事件报告表
系统异常事件处理记录
应急处置审批表
漏洞扫描、风险评估报告
恶意代码检测记录、病毒处置记录
数据备份、恢复测试等记录
日常运维表单、记录
系统变更方案、审批记录
应急演练、培训记录
……


下一篇

服务热线

400-624-3900

客服电话:400-624-3900

周一至周五 9:00-17:30