信息系统等级保护安全服务 建设思路
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全-边界完整性
负载均衡 互联网出口
链路负载均衡; 应用负载均衡;
网络安全-结构安全 数据备份与恢复-避免单
点故障
信息安全设备在项目中的部署
产品名称 防火墙
部署位置
安全管理区 的外联口
产品作用 隔离安全管理区和其他区域
满足政策要求 网络安全-访问控制
Web防火墙
业务服务区 隔离业务服务器区和其他区域,并
资产评估 现场评估 生成评估报告
准备差距分析表 现场差距分析 生成差距分析报告 确认差距分析结果 建设目标沟通确认 形成等保安全建设方案 方案汇报评审 修订并定稿
安全集成建设阶段
(辅助)测评阶段 验收阶段
安全运维阶段
项目管理与质量控制 安全技术体系建设 安全管理体系建设 安全加固 安全培训
协助测评前准备 协助现场测评 项目工作成果确认 整体项目终验阶段 风险评估 安全加固 安全巡检 应急响应 安全预警和通告 重大节日安全值守
依照标准执行 依照标准执行 依照标准执行
依照标准执行
依照标准执行
依照标准执行
应急预案与定期演练
项目可研、立项
系统定级
风险评估 差距分析
方案设计 集成实施 协助测评
等保项目集成实施阶段的主要工作:
1.缺少的信息安全设备的采购与实施; 2.业务系统的安全漏洞整改; 3.安全加固,包括:服务器、数据库、网络设备、中间件等; 4.信息安全管理制度整理; 5.测评申请书以及相关测评资料准备;
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
协助测评
类别
要求
网络安全 结构安全
解决方案
中心网络分为二个区域,分别用一、二两级防火墙进行隔 离,保证重要网段与其他网段之间进行可靠的隔离; 核心交换设备和接入设备采用双机冗余配置方式,同时互 联网出口链路、内部服务域、安全服务域、安全用户域等 主要安全域均采用双机冗余部署; 互联网出口处部署流量管理系统; 重要业务系统服务器部署服务器负载均衡系统;
主机安全-安全审计 主机安全-访问控制 主机安全-入侵防范 网络安全-非法外联
运维堡垒主机 安全管理区域
运维审计
网路安全-网络设备防护
典型案例:中纪委
典型案例:东湖开发区
初步调研内容:
1. 共有几个系统 2. 级别 3. 设备数量(服务器、网络设备、安全设备等) 4. 物理部署地点 5. 除测评外,咨询服务的具体内容 6. 其他要求
安全管理 制定
要求
管理制度
制定与发布
评审与修订
制度制定 制度制定与执行
解决方案
制度制定与执行
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
协助测评
类别
安全管理 机构
要求
岗位设置
人员配置
授权与审批 沟通和合作
审核与检查
制度制定与执行 制度制定与执行
解决方案
制度制定与执行 制度制定与执行
网络设备防护
根据基本要求配置网络设备自身的身份鉴别与权限控 制;对网络设备进行安全加固。
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
协助测评
类别 主机安全
要求
身份鉴别
访问控制
安全审计 剩余信息保护
入侵防范
恶意代码防范 资源控制
安全加固配置
解决方案
管理员进行分级权限控制,重要设定访问控制策略进 行访问控制
谢谢!
方案设计集成实施
协助测评
类别
系统建设 管理
要求
系统定级
安全方案设计
依照标准执行 依照标准执行
解决方案
产品采购和使用
自行软件开发 外包软件开发 工程实施 测试验收 系统交付 系统备案 等级测评 安全服务商选择
依照标准执行 依照标准执行 依照标准执行 依照标准执行 依照标准执行
项目立项,招标
系统定级
风险评估 差距分析
方案设计
集成实施
协助测评
• 项目的可行性研究(内部立项) • 项目的初步设计,报发改委 (外部立项) • 立项通过后,需要进行招标 • 整个项目建设的需要符合国家 发改委的55号令 • 安全建设达标的硬性指标为需 要通过等级保护的测评
项目可研、立项
系统定级
部署终端安全管理系统,进行主机审计
通过对操作系统及数据库系统进行安全加固配置,及 时清除剩余信息的存储空间 部署vsp虚拟安全桌面,实现虚拟桌面退出时及时清 除剩余信息 部署终端安全管理系统进行补丁及时分发
部署终端防恶意代码软件
进行安全加固配置,进行资源监控、检测报警
项目可研、立项
系统定级
风险评估 差距分析
入侵防御 互联网出口 防病毒模块 互联网出口
产品作用 隔离互联网和内部网络
防范网络入侵攻击 网络层恶意代码过滤
满足政策要求 网络安全-访问控制 网络安全-入侵防范 网络安全-恶意代码过滤
内部员工访问互联网的安全审计; 网络安全-结构安全
上网行为管理 互联网出口
流量管理与控制;
网络安全-安全审计
内部非法无线热点发现;
项目可研、立项
系统定级
风险评估 差距分析
方案设计
集成实施协助测评
如何协助客户进行测评?
1.帮客户联系测评中心,并建立良好的商务关系; 2.帮助客户整理所有测评相关的资料; 3.现场测评时,作为客户方的工程师直接应对测评中心的测评师;
整体解决方案
信息安全设备在项目中的部署
产品名称 部署位置 防火墙 互联网出口
安鼎等保安全服务建设思路
等级保护整改和建设阶段
项目可研、立项
系统定级
风险评估 差距分析
方案设计
集成实施
协助测评
阶段名称
主要工作描述
项目准备阶段
定级阶段 风险评估阶段 (可选增值服务) 等保差距分析阶段
方案设计阶段
成立项目工作组织 明确安全建设范围和思路 制定工作计划
确定定级对象 摸底调查与分析 摸底调查与分析 定级报告编写 定级汇报评审 定级备案
的外联口
防范web层的网络攻击
网络安全-访问控制 网络安全-入侵防范
应用性能管理
安全管理区 网络设备、服务器、应用系统监控;
域
资源阈值告警和预警;
网络安全-资源控制 主机安全-资源控制 应用安全-资源控制
SSL VPN
安全管理区 域
远程用户接入的身份认证和加密
数据安全-通信保密性
信息安全设备在项目中的部署
通过对操作系统及数据库系统进行安全加固配置,及时 清除剩余信息的存储空间 部署vsp虚拟安全桌面,实现虚拟桌面退出时及时清除 剩余信息
通信完整性
采用PKI体系中的完整性校验功能进行完整性检查,保 障通信完整性
通信保密性
应用系统自身开发数据加密功能; 采用VPN或PKI体系的加密功能保障通信保密性
制度制定与执行
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
协助测评
类别
人员安全 管理
要求
人员录用
人员离岗
解决方案
制度制定与执行 制度制定与执行
人员考核
制度制定与执行
安全意识教育与培训 制度制定与执行
外部人员访问管理 制度制定与执行
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
协助测评
类别
要求
解决方案
网络安全 边界完整性检查 部署终端安全管理系统,在进行非法外联和安全准入
检测的同时要进行有效阻断
入侵防范 恶意代码防范
区域和第二区域交换机上分别旁路部署IDS入侵检测 系统 互联网出口最外侧部署下一代防火墙 通过漏洞扫描进行主动防范
在互联网边界处部署下一代防火墙并开启AV模块
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
协助测评
类别
系统运维 管理
要求
环境管理 资产管理 介质管理 设备管理
监控管理和安全管理中心
网络安全管理 系统安全管理
恶意代码防范管理 密码管理
变更管理 备份与恢复管理
安全事件处置 应急预案管理
解决方案
对机房进行区域管理,设置过度区域、安装门禁
防盗窃和防破坏 防雷击 防火
按照基本要求进行建设配置光、电等防盗报警系统 设置防雷保安器 消防、耐火、隔离等措施
防水和防潮 防静电 温湿度控制 电力供应 电磁防护
安装防水测试仪器
安装防静电地板 配备空调系统 配备稳压器、UPS、冗余供电系统 本项目暂不需要进行电磁屏蔽
风险评估 差距分析
方案设计
集成实施
协助测评
风险评估 项目可研、立项 系统定级差距分析 方案设计 集成实施 协助测评
✓管理专家参与 ✓参与制定多种管理标准
✓网络专家支持 ✓丰富经验支持
✓精心设计的问卷 ✓访谈内容覆盖面宽 ✓丰富的经验支持
人工检查
评估手段
网络架构 分析
安全访谈
✓检查项的数量超额满足要求 ✓每月更新的检查列表 ✓技术能力强的实施团队
访问控制
部署防火墙,配置包括:端口级的控制粒度;常见应用层 协议命令过滤;会话控制;流量控制;连接数控制;防地 址欺骗等策略
安全审计
在第一区域和第二区域交换机上分别旁路部署网络安全审 计系统 部署日志服务器进行审计记录的保存 互联网出口部署上网行为管理系统
项目可研、立项
系统定级
风险评估 差距分析
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
协助测评
类别
要求
数据安全 数据完整性
数据保密性
备份与恢复
解决方案
配置存储系统 利用VPN保障传输数据完整性
配置应用系统 利用VPN实现传输保密性
本地备份与异地备份
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
协助测评
类别
方案设计集成实施
协助测评
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
协助测评
物理环境
网络区域
人和组织
业务和使命
策略和流程
主机和系统
项目可研、立项
系统定级
ห้องสมุดไป่ตู้风险评估 差距分析
方案设计集成实施
协助测评
类别
要求
解决方案
物理安全
物理位置的选择 物理访问控制
机房选址基本满足要求,对于机房附近的水管线路进 行加固处理
✓黑白相结合的测试方法 ✓安全漏洞挖掘专家的支持 ✓定制工具能力强
漏洞扫描
✓先进的扫描工具 ✓强大的漏洞分析能力
风险评估 项目可研、立项 系统定级差距分析 方案设计 集成实施 协助测评
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
协助测评
全面、广泛
项目可研、立项
系统定级
风险评估 差距分析
方案设计集成实施
协助测评
类别 应用安全
要求
解决方案
身份鉴别
访问控制 安全审计
根据要求进行身份认证模块的开发 采用PKI体系进行统一身份鉴别 采用SSL VPN进行统一身份鉴别
通过安全加固措施制定严格用户权限策略,保证账号、 口令等符合安全策略 应用系统根据要求开发应用审计功能
剩余信息保护
产品名称
部署位置
产品作用
满足政策要求
防病毒系统
安全管理区域
主机防病毒服务器,同时在终端 安装病毒软件
主机安全-恶意代码过滤
数据库审计系 统
安全管理区域
数据库访问的审计
主机安全-安全审计
漏洞扫描系统 安全管理区域
漏洞扫描
主机安全-入侵防范
终端安全管理 系统
安全管理区域
终端安全审计、终端端口管理、 终端防火墙入侵防御等;