等級保護2.0安全架構介紹
等級保護2.0安全架構介紹
基於“動態安全”體系架構設計,構築“網絡+安全”穩固防線“等級保護2.0解決方案”,基於“動態安全”架構,將網絡與安全進行融合,以合規為基礎,面對用戶合規和實際遇到的安全挑戰,將場景化安全理念融入其中,為用戶提供“一站式”的安全進化。
國家網絡安全等級保護工作進入2.0時代
國家《網絡安全法》於2017年6月1日正式施行,所有了網絡運營者和關鍵信息基礎設施運營者均有義務按照網絡安全等級保護制度的要求對系統進行安全保護。隨着2019年5月13日《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》標准的正式發布,國家網絡安全等級保護工作正式進入2.0時代。
等級保護2.0關鍵變化
“信息安全”→“網絡安全”
引入移動互聯、工控、物聯網等新領域
等保2.0充分體現了“一個中心三重防御“的思想。一個中心指“安全管理中心”,三重防御指“安全計算環境、安全區域邊界、安全網絡通信”,同時等保2.0強化可信計算安全技術要求的使用。
被動防御→主動防御
等級保護2.0解決方案拓撲結構設計
安全管理中心
- 大數據安全
(流量+日志) - IT運維管理
- 堡壘機
- 漏洞掃描
- WMS
- 等保建設咨詢服務
建設要點
對安全進行統一管理與把控
集中分析與審計
定期識別漏洞與隱患
安全通信網絡
- 下一代防火牆
- VPN
- 路由器
- 交換機
建設要點
構建安全的網絡通信架構
保障信息傳輸安全
安全區域邊界
- 下一代防火牆
(防病毒+垃圾郵件) - 入侵檢測/防御
- 上網行為管理
- 安全沙箱
- 動態防御系統
- 身份認證管理
- 流量探針
- WEB應用防護
建設要點
強化安全邊界防護及入侵防護
優化訪問控制策略
安全計算環境
- 入侵檢測/防御
- 數據庫審計
- 動態防御系統
- 網頁防篡改
- 漏洞風險評估
(滲透+漏掃服務) - 殺毒軟件
建設要點
強調系統及應用安全
加強身份鑒別機制與入侵防范
安全通信網絡:建設要點(等保三級)
| 等保要求 |
控制點 |
對應產品或方案 |
| 安全通信網絡 |
網絡架構 |
防火牆、路由器、交換機、網絡規划與配置優化、關鍵設備/鏈路/服務器冗余 |
| 通信傳輸 |
VPN |
|
| 可信驗證 |
可信計算機制 |
主干網絡鏈路及設備均采用冗余部署
基於業務管理和安全需求划分出
有明確邊界的網絡區域
采用VPN或HTTPS等加密手段保護業務應用
安全區域邊界:建設要點(等保三級)
| 等保要求 |
控制點 |
對應產品或方案 |
| 安全區域邊界 |
邊界防護 |
防火牆、身份認證與准入系統、無線控制器 |
| 訪問控制 |
第二代防火牆、WEB應用防火牆、行為管理系統 |
|
| 入侵防范 |
入侵檢測與防御、未知威脅防御、日志管理系統 |
|
| 惡意代碼和垃圾郵件防范 |
防病毒網關、垃圾郵件網關,或第二代防火牆 |
|
| 安全審計 |
行為審計系統、身份認證與准入系統、日志管理系統 |
|
| 可信驗證 |
可信計算機制 |
區域邊界部署必要的應用層安全設備,
啟用安全過濾策略
建立基於用戶的身份認證與准入機制,
啟用安全審計策略
采用行為模型分析等技術防御
新型未知威脅攻擊
采集並留存不少於半年的關鍵網絡、
安全及服務器設備日志
安全區域邊界:建設要點(等保三級)
| 等保要求 |
控制點 |
對應產品或方案 |
| 安全計算環境 |
身份鑒別 |
身份認證與准入系統、堡壘機、安全加固服務 |
| 訪問控制 |
身份認證與准入系統、安全加固服務 |
|
| 安全審計 |
堡壘機、數據庫審計、日志管理系統 |
|
| 入侵防范 |
入侵檢測防御、未知威脅防御、日志管理系統、滲透測試/漏洞掃描/安全加固服務 |
|
| 惡意代碼防范 |
殺毒軟件、沙箱 |
|
| 可信驗證 |
可信計算機制 |
|
| 數據完整性 |
VPN、防篡改系統 |
|
| 數據保密性 |
VPN、SSL等應用層加密機制 |
|
| 數據備份恢復 |
本地數據備份與恢復、異地數據備份、重要數據系統熱備 |
|
| 剩余信息保護 |
敏感信息清除 |
|
| 個人信息保護 |
個人信息保護 |
安全管理中心:建設要點(等保三級)
| 等保要求 |
控制點 |
對應產品 |
| 安全管理中心 |
系統管理 |
堡壘機 |
| 審計管理 |
堡壘機 |
|
| 安全管理 |
堡壘機 |
|
| 集中管控 |
VPN、IT運維管理系統、安全態勢感知平台、日志管理系統 |
|
| 安全建設管理 |
測試驗收 |
上線前安全檢測服務 |
| 安全運維管理 |
漏洞和風險管理 |
滲透測試服務、漏洞掃描服務 |
系統管理員、審計管理員、安全管理員
權責清晰,三權分立
設置獨立安全管理區,采集全網
安全信息,實施分析預警管理
借力專業安服人員,提供滲透測試等
高技術要求安全服務
等級保護2.0解決方案特色總結:1+N 全網安全
等保2.0標准名稱《網絡安全等級保護》,明確強調了安全體系的建設必須要跟網絡架構設計緊密結合
完整的等保安全產品品類
1
提供基於SDN技術的網絡安全支撐體系
2
全系列無線產品,形成有線無線全網統一安全體系
3
用戶身份+應用鑒權
4
IT運維管理的可靠支撐
5
等級保護2.0推薦配置方案
| 序號 |
等保所需產品與服務 |
必備/可選(等保二級) |
必備/可選(等保三級) |
對應銳捷產品或服務名稱 |
| 1 |
防火牆 |
必備 |
必備 |
RG-WALL |
| 2 |
入侵防御 |
必備 |
必備 |
RG-IDP |
| 3 |
日志審計與集中管理 |
必備 |
必備 |
RG-BDS |
| 4 |
滲透測試服務 |
必備 |
必備 |
滲透測試 |
| 5 |
漏洞掃描服務 |
必備 |
必備 |
漏洞掃描 |
| 6 |
堡壘機 |
可選 |
必備 |
RG-OAS |
| 7 |
上網行為管理 |
可選 |
必備 |
RG-UAC |
| 8 |
WAF應用防火牆 |
可選 |
必備 |
RG-WG |
| 9 |
終端准入系統 |
可選 |
必備 |
SMP系列 |
| 10 |
數據庫審計 |
可選 |
可選 |
RG-DBS |
| 11 |
等級保護建設咨詢 |
可選 |
可選 |
等級保護建設咨詢 |
| 12 |
安全事件處置服務 |
可選 |
可選 |
安全事件處置 |
| 13 |
網站防篡改 |
可選 |
可選 |
RG-Wlock |
| 14 |
機房運維管理軟件 |
可選 |
可選 |
RIIL |
| 15 |
未知威脅防御 |
可選 |
可選 |
RG-DDP |
| 16 |
APT |
可選 |
可選 |
RG-SandBox |
| 17 |
網絡版殺毒軟件 |
必備 |
必備 |
火絨終端安全(戰略合作) |