客户困惑
究竟该怎么进行整改?等级保护的标准怎么用?
系统目前存在哪些问题?与等保要求差距多少?
国家标准的普适性较强,但不针对具体行业,如何突出行业特点?
整改中如何突出重点?第一级、第二级、第三级、第四级系统的整改工作是否同时进行?
整改工作如何把握?
对不同级别的系统,整改的措施是否一样?
解决方案
网络风险评估服务和安全建设咨询服务;
分析最新的国家等级保护相关政策精神及要求;
分析客户的组织架构、业务要求、行业特点、信息系统特点;
对信息系统现在进行全面的风险评估;
按照等级保护及网络安全建设现状,逐条对比分析
客户制定适合自身特点的行业等保基本要求(可选服务);
按照国家政策文件和标准制定整改方案;
协助客户落实安全要求,完成系统整改。
安全建设整改是指在符合等级保护的要求的基础上,对新建或已经建的信息系统进行建设和整改。目的是使确定了等级的信息系统能够达到相应等级的基本的保护水平和满足自身需求的安全保护能力。安全建设整改工作是开展等级保护工作的核心和落脚点,无论是定级、测评还是监督检查工作最终都要服从和服务于安全建设整改工作。
信息系统安全建设整改工作具体实施可以根据实际情况,将安全管理和安全技术整改内容一并或者分步实施,做到技术为基础,管理是关键,服务做支撑。具体安全建设整改工作可以分为五步进行,具体流程图如下:
下面我们以一个典型网络结构举例说明:
中间两个是核心交换机
下级纵向接入区:类似市局接的下面区县的公安局的网络
业务和数据区:放服务器的
出口区:向上连接的,类似市局连接省公安厅
联网区:这里应该把防火墙换成网闸比较好
信息系统安全技术建设
技术整改思路
◆ 等级保护2.0对于等级保护对象技术的设计,要求需要考虑建设“可信”、“可控”、“可管”的安全防护体系;
◆ 安全保护模型由相应级别的安全计算环境、安全区域边界、安全通信网络和安全管理中心组成:
1、安全物理环境-机房环境可靠
2、安全通信网络-各网络传输点
3、安全区域边界-边界安全措施
4、安全计算环境-服务器和数据中心
5、安全管理中心-安全策略统一管理平台
技术安全-安全物理环境
从趋势来看,物理安全会重点针对一些大型云IDC和云服务提供商。对于普通甲方和乙方来说,概念会越来越模糊,而对于大型IDC的运维和管理人员,物理安全依旧重要,是等级保护标准中的重点内容。
◆ 物理位置选择:
1、机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
2、机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
◆ 物理访问控制:
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
◆ 防盗窃和防破坏:
1、应将设备或主要部件进行固定,并设置明显的不易除去的标识;
2、应将通信线缆铺设在隐蔽安全处;
3、应设置机房防盗报警系统或设置有专人值守的视频监控系统。
◆ 防雷击:
1、应将各类机柜、设施和设备等通过接地系统安全接地;
2、应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。
◆ 防火:
1、机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
2、机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
3、机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
◆ 防水和防潮:
1、应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
2、应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
3、应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
◆ 防静电:
1、主要设备应采用必要的接地防静电措施;
2、机房应采用防静电地板。
◆ 温湿度控制:
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
◆ 电力供应:
1、应在机房供电线路上配置稳压器和过电压防护设备;
2、应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;
3、应设置冗余或并行的电力电缆线路为计算机系统供电。
◆ 电磁防护:
1、电源线和通信线缆应隔离铺设,避免互相干扰;
2、应对关键设备实施电磁屏蔽。
技术安全-安全通信网络
◆ 按规定划分不同的网络区,并在边界处部署防火墙设备保障边界安全;
◆ 按规定关键节点采用硬件冗余;
◆ 在核心区部署上网行为管理,实现操作行为安全审计;
◆ 在业务和数据区域部署数据库审计系统,实现核心数据库操作审计;
◆ 按规定关键节点采用硬件冗余;
◆ 在横向、纵向、办公接入网络中部署防火墙或VPN设备,对政务外网、互联网、关联 单位网络进行逻辑隔离和加密隧道传输。
技术安全-安全区域边界
◆ 在与上级出口部署高性能下一代防火墙(具备AV、流控功能、防病毒)、入侵检测防御,在出口实现边界防护、访问控制、入侵防范及边界完整性保;
◆ 各网络区互联边界,部署高性能下一代防火墙(具备AV、流控功能),在区域边界实现边界访问控制安全审计和可信验证;
◆ 在互联网出口处部署高性能下一代防火墙(具备AV、流控功能、防病毒)及入侵检测防御,在出口实现边界访问控制及恶意代码和病毒防护;
◆ 在核心数据区部署数据库审计,在核心区部署上网行为管理,对用户访问外网及访问核心业务进行安全审计;
◆ 在核心区部署动态防御系统DDP和沙箱Sandbox,实现对网络攻击特别是新型网络攻击行为及未知攻击行为的分析。
技术安全-安全技术环境
安全计算环境在1.0叫主机安全,主要是指防护服务器安全:
◆ 在业务和数据区域前部署WAF,对政务业务系统进行安全防护,防止SQL注入、XSS攻击;
◆ 在核心区部署漏洞扫描,及时发现系统漏洞,并进行修补和防范;
◆ 在业务和数据区域部署数据库审计,实现对核心业务访问的安全审计;
◆ 在运维区不是通过部署准入系统,实现对各用户接入网络的身份鉴别及可信验证;
◆ 在运维区部署日志审计系统,实现对所有用户和事件的审计对攻击和漏洞的主动检测和防御;
◆ 在业务和数据区部署防火墙,实现对重要业务和数据的进行访问,安全防范和数据保密性。
技术安全-安全管理中心
◆ 通过部署堡垒机,实现当前网络中的网络设备、服务器等进行维护的命令及操作界面进行审计;
◆ 部署准入系统和审计系统对网络资源访问进行统一授权,部署安全运维中心对整网网络安全日志进行统一审计分析,对安全态势进行预警;
◆ 通过部署运维系统,对网络中的设备及链路进行集中管控,并对各类安全和故障事件进行告警和分析。
信息系统安全管理建设
管理安全-安全管理制度与机构
◆ 安全管理制度:
包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。
◆ 解决方案:
安全管理咨询服务:帮助用户建立全面的信息安全管理制度体系,包括制定安全策略、管理制度和操作规程等,并协助用户对管理制度进行发布、评审和修订。
◆ 安全管理机构:
在单位的内部结构上,建立一整套从单位最高管理层到执行管理层以及业务运营层的管理结构,来约束和保证各项安全管理措施的执行。
◆ 解决方案:
安全管理咨询服务:帮助用户建立全面的安全管理组织机构,包括在岗位设置、人员配备、职责定义等方面提供合理建议。
管理安全-安全管理人员
◆ 安全管理人员:
人员安全管理,主要涉及两方面:对内部人员的安全管理和对外部人员的安全管理。
◆ 解决方案:
安全管理咨询服务:协助用户建立人员安全管理制度,涵盖人员录用、离岗、考核、教育,以及对外部来访人员进行合理管理等各个方面。
安全培训服务:为用户的各类人员提供安全意识教育、岗位安全操作技能培训和相关安全技术培训等。
管理安全-安全建设管理
◆ 安全建设管理:
分别从定级、设计建设实施、软件开发、验收交付、测评等方面考虑,关注各项安全管理活动。
◆ 解决方案:
系统定级咨询服务
等级保护规划咨询服务:按照安全保护等级对信息系统进行总体安全规划和详细方案设计等级保护安全集成服务;为用户提供安全产品供货、安全系统集成(工程实施、测试验收、系统交付)等服务。
安全管理咨询服务:帮助用户指定软件开发和外包管理制度。
等级保护辅助测评服务:包括备案材料准备、等级测评技术支撑等服务;签订安全服务合同。
管理安全-安全运维管理
安全运维管理
系统运维管理涉及日常管理、变更
管理、制度化管理、安全事件处置、
应急预案管理和安管中心等。
◆ 解决方案:
安全管理咨询服务:协助用户制定并落实相关运维管理制度,如:对环境、资产、介质、设备进行安全管理;对恶意代码防范的管理;对密码使用的管理;对变更的管理,以及对变更失败后的恢复过程进行必要的演练;对备份与恢复的管理、数据备份和恢复策略、数据备份和恢复流程,以及对恢复流程进行必要的测试;对安全事件报告和处置的管理、安全事件报告和响应处理流程;对安全应急预案的管理,并进行必要的培训和演练;对网络安全的管理;对系统安全管理制度、流程和人员职责。
恶意代码防范服务:对用户信息系统恶意代码防护情况进行定期检查和报告,对新发现的病毒或恶意代码进行及时分析和处置。
安全应急响应服务:对用户信息系统中发生的安全相关事件提供及时的响应和处理。边界完整性检查:采用终端安全管理系统提供的网络准入控制功能(防火墙联动、802.1X准入)和非法外联监控功能。
安全检测评估:从风险管理角度,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,提出有针对性的防护对策和整改措施。