文章来源:天億网络安全
声明
本文内容是作者多年等保测评项目及工作经验总结,内容方案仅供参考,不代表行业标准答案。
供稿:李青根
一、等保2.0 二级信息系统 70-80 分套餐:
1、等保2.0 二级信息系统 70-80分 拓扑图:
2、设备清单:下一代防火墙(含IPS、AV)+综合日志审计系统+杀毒软件。
3、详解
第二级要求主要是需要在网络区域边界处需要有访问控制措施来限制外部网络直接连接到内部网络,并且根据业务需求只开放必须提供的服务、IP和端口等,所以在互联网出口与内部网络之间部署一台下一代防火墙进行过滤及控制,并且在防火墙上开启入侵防御功能和防病毒功能模块来对进出流量进行入侵行为的检测和阻断,确保进入内网的所有流量是经过过滤后的有效访问,在网络中还需部署日志审计系统对网络中的设备日志进行集中收集、定期备份保护日志的可用性,并且存储时间满足网络安全法6个月的要求;在办公网的业务终端和管理终端上同时需安装杀毒软件进行安全防护,避免因下载及内部转发时被钓鱼、植入木马等,降低安全风险。满足以上四大要求,在技术方面基本可以达到要求。
二、等保2.0 二级信息系统 80-90分 套餐:
1、等保2.0 二级信息系统 80-90分 拓扑图:
2、设备清单:下一代防火墙(含IPS、AV)+综合日志审计系统+杀毒软件+服务器区防火墙+堡垒机+数据备份系统+上网行为管理+HTTPS。
3、详解:
在70-80分套餐上增加服务器区的防火墙,对应用系统所在网络区域进行重点保护,同时开防火墙开启入侵防御功能、防病毒功能对入侵行为和恶意代码进行检测和阻断,在安全管理中心增加一台堡垒机进行统一的安全运维和审计,保证运维人员的所有操作可溯源,为了保护数据在安全管理中心还增加了一台数据备份系统,对应用系统进行实时的数据备份保护数据丢失和被攻击,有条件的还可购买应用级的灾备一体机进行数据备份。应用方面如果是互联网发布的系统,在远程管理时还需使用HTTPS加密协议来保证数据的完整性和保密性,在办公网里有上网需求的还需部署上网行为管理系统来对终端的上网行为和访问的内容进行审计阻断。
三、等保2.0 二级信息系统 90分以上 套餐:
1、等保2.0 二级信息系统90分以上拓扑图:
2、设备清单:下一代防火墙(含IPS、AV)+综合日志审计系统+杀毒软件+服务器区防火墙+堡垒机+数据备份系统+上网行为管理+HTTPS+WAF+核心交换机+网络准入系统+漏洞扫描系统+数据库审计系统。
3、详解
在80-90分套餐基础上增加一台WAF对DMZ区的应用系统进行防护,在核心交换区增加一台核心交换机来做设备堆叠,保证核心交换设备的处理性能和高可用性,在安全管理区新曾一套网络准入系统,对内部所有接入内网人员进行强身份认证及接入条件限制,确保来源及来源环境可信可控,部署一台漏洞扫描设备定期对内部的服务器、网络设备及应用系统进行漏洞扫描及时发现漏洞并及时修复,在数据库方面部署一台数据库审计设备对所有数据库操作进行审计及分析,防止管理员人员或是恶意攻击者对数据库的误操作、恶意操作及破坏等行为无法追溯。
联系/合作/投稿邮箱:[email protected]
本文始发于微信公众号(安全365):等保2.0 二级 拓扑图+设备套餐+详解
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论