等保2.0安全架构介绍+建设要点
2020-08-06
来源: e安在线
基于“动态安全”体系架构设计,构筑“网络+安全”稳固防线“等级保护2.0解决方案”,基于“动态安全”架构,将网络与安全进行融合,以合规为基础,面对用户合规和实际遇到的安全挑战,将场景化安全理念融入其中,为用户提供“一站式”的安全进化。
国家网络安全等级保护工作进入2.0时代
国家《网络安全法》于2017年6月1日正式施行,所有了网络运营者和关键信息基础设施运营者均有义务按照网络安全等级保护制度的要求对系统进行安全保护。随着2019年5月13日《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》标准的正式发布,国家网络安全等级保护工作正式进入2.0时代。
等级保护2.0关键变化
“信息安全”→“网络安全”
引入移动互联、工控、物联网等新领域
等保2.0充分体现了“一个中心三重防御”的思想。一个中心指“安全管理中心”,三重防御指“安全计算环境、安全区域边界、安全网络通信”,同时等保2.0强化可信计算安全技术要求的使用。
被动防御→主动防御
等级保护2.0解决方案拓扑结构设计
1、安全管理中心
大数据安全(流量+日志)
IT运维管理
堡垒机
漏洞扫描
WMS
等保建设咨询服务
符号列表
建设要点:对安全进行统一管理与把控;集中分析与审计;定期识别漏洞与隐患。
2、安全通信网络
下一代防火墙
VPN
路由器
交换机
建设要点:构建安全的网络通信架构;保障信息传输安全
3、安全区域边界
下一代防火墙(防病毒+垃圾邮件)
入侵检测/防御
上网行为管理
安全沙箱
动态防御系统
身份认证管理
流量探针
WEB应用防护
建设要点:强化安全边界防护及入侵防护;优化访问控制策略
4、安全计算环境
入侵检测/防御
数据库审计
动态防御系统
网页防篡改
漏洞风险评估(渗透+漏扫服务)
杀毒软件
建设要点:强调系统及应用安全;加强身份鉴别机制与入侵防范
安全通信网络:建设要点(等保三级)
主干网络链路及设备均采用冗余部署
基于业务管理和安全需求划分出
有明确边界的网络区域
采用VPN或HTTPS等加密手段保护业务应用
安全区域边界:建设要点(等保三级)
区域边界部署必要的应用层安全设备;
启用安全过滤策略;
建立基于用户的身份认证与准入机制;
启用安全审计策略;
采用行为模型分析等技术防御;
新型未知威胁攻击;
采集并留存不少于半年的关键网络;
安全及服务器设备日志;
安全区域边界:建设要点(等保三级)
安全管理中心:建设要点(等保三级)
系统管理员、审计管理员、安全管理员
权责清晰,三权分立
设置独立安全管理区,采集全网
安全信息,实施分析预警管理
借力专业安服人员,提供渗透测试等
高技术要求安全服务
等级保护2.0解决方案特色总结:1+N 全网安全
等保2.0标准名称《网络安全等级保护》,明确强调了安全体系的建设必须要跟网络架构设计紧密结合
完整的等保安全产品品类
1、提供基于SDN技术的网络安全支撑体系
2、全系列无线产品,形成有线无线全网统一安全体系
3、用户身份+应用鉴权
4、IT运维管理的可靠支撑
5、等级保护2.0推荐配置方案