网络安全等级保护建设思路和设计要求

admin 2024年11月4日10:18:28评论10 views字数 4870阅读16分14秒阅读模式

安小圈

第537期

网络安全  等保建设

网络安全等级保护建设思路和设计要求
网络安全等级保护建设思路和设计要求

听说最近要考试,无论真假,题库已经给大家准备好,希望对大家有点小用,点击上面小程序就可以使用。

体系化防护思路

可信:针对计算资源(软硬件)构建保护环境,以可信计算基(TCB)为基础,层层扩充,对计算资源进行保护,确保系统服务安全
可控:针对信息资源(数据及应用)构建业务流程控制链,以访问控制为核心,实行主体(用户)按策略规则访问客体(信息资源),确保业务信息安全
可管 :保证资源安全必须实行科学管理,强调最小权限管理,高等级系统实行三权分离管理体制,不许设超级用户
等级保护安全设计技术要求及安全建设总体设计:信息系统的安全设计应基于业务流程自身特点,建立“可信、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。
可信以可信计算技术为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了业务系统安全可信。
可控以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的方式进行资源访问,保证了系统的信息安全可控。
可管通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建了一个工作平台,使其可以借助于本平台对系统进行更好的管理,从而弥补了我国现在重机制、轻管理的不足,保证信息系统安全可管。
全面感——全天候全方位感知安全态势:对网络进行全面持续性安全监控和安全数据采集,综合利用安全知识、专家经验、分析模型、机器算法等进行数据分析挖掘,及时发现网络中存在的安全问题和潜藏的安全威胁。
情报结合——应用威胁情报的检测和防御:利用威胁情报填补安全检测系统对攻击者、攻击方式等情况的了解不足,帮助安全防御系统进行动态策略调整,提高对未知、新型威胁的检测、防御、追踪和预警能力。
联动防护——人机协同联动的响应和处置:通过良好定义的安全运营流程将安全人员、安全集中管控平台及各类安全产品有机地连接起来,协同联动,形成常态化能力,实现对网络攻击的快速响应和对安全事件的有效处置。

等级保护安全技术设计

网络安全等级保护建设思路和设计要求
  • 网络区域划分
  • 安全通信网络
  • 安全区域边界
  • 安全计算环境
  • 安全管理中心
  • 可信验证系统
通用安全设计 – 网络区域划分
网络安全等级保护建设思路和设计要求
网络安全等级保护建设思路和设计要求

通用安全设计 - 安全通信网络

网络安全等级保护建设思路和设计要求

安全通信网络建设要点

  • 路由器、交换机、防火墙等网络设备的业务处理能力满足业务高峰期需要;
  • 网络带宽满足业务高峰期需要;
  • 提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性;
  • 重要网络区域与其他网络区域之间采取可靠的技术隔离手段;
  • 采用密码技术保证通信过程中数据的保密性及完整性。

通用安全设计 - 安全区域边界

网络安全等级保护建设思路和设计要求

安全区域边界建设要点

  • 对非授权设备私自连到内部网络的行为进行控制;
  • 对内部用户非授权联到外部网络的行为进行控制;
  • 对进出网络的数据流实现基于应用协议和应用内容的访问控制;
  • 在关键网络节点处检测和/或防御从外部/内部发起的网络攻击行为;
  • 对网络攻击特别是新型网络攻击行为进行检测分析,事件告警;
  • 对垃圾邮件进行检测和防护,并及时升级和更新;
  • 对用户的远程访问行为、互联网访问行为等进行审计和数据分析。

通用安全设计 - 安全计算环境

网络安全等级保护建设思路和设计要求

安全计算环境建设要点

  • 采用口令或生物技术结合密码技术对用户进行身份鉴别;
  • 采用基于角色/属性或安全标记的访问控制技术对操作系统、数据库、应用用户进行权限管理;
  • 对重要的用户行为和重要安全事件进行集中审计;
  • 采用漏洞检测、终端管理结合补丁管理、终端威胁防御、主动免疫可信验证、主机加固等技术保障终端及服务器等计算资源的安全;
  • 采用密码技术、容灾备份技术等保障重要数据的完整性、保密性、可用性;
  • 网页防篡改;
  • 敏感数据和个人信息保护。

通用安全设计 - 安全管理中心

网络安全等级保护建设思路和设计要求

安全管理中心建设要点

  • 划分不同管理角色,并提供集中的身份鉴别、访问授权和操作审计;
  • 对网络和信息基础设施的运行状况进行集中监控;
  • 对分散在网络中的审计数据进行收集汇总和集中分析;
  • 对安全策略、恶意代码、补丁升级等进行集中管理;
  • 部署态势感知和安全运营平台,支撑安全监测、分析、预警、响应、处置、追溯等安全管理和运维工作。

通用安全设计 - 可信验证系统

网络安全等级保护建设思路和设计要求

可信验证系统建设要点

基于可信根对网络设备、计算设备及安全设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
安全管理员负责配置可信验证策略。 

通用安全设计 - 总结

网络安全等级保护建设思路和设计要求

  • 依据通用安全要求,实现 “一个中心,三重保护”的动态、纵深网络安全综合防御体系;
  • 实现对网络设备、计算设备及安全设备的可信验证,并对验证失败事件进行告警和日志上报;
  • 实现系统管理、审计管理、安全管理的权限分离,并通过IT运维管理、集中日志审计、堡垒机、态势感知和安全运营管理等技术平台支撑管理工作的实际落地。

云计算安全设计

网络安全等级保护建设思路和设计要求
网络安全等级保护建设思路和设计要求

移动互联安全设计

网络安全等级保护建设思路和设计要求

工业控制系统安全设

网络安全等级保护建设思路和设计要求

网络安全等级保护建设思路和设计要求

大数据系统安全设计

网络安全等级保护建设思路和设计要求

满足等保要求的安全产品

通用:NGFW、IDS、VPN、抗DDoS、APT监测、终端威胁防御、数据防泄漏、安全审计、堡垒机、安全管理、态势感知等可高度覆盖基本要求的各类软硬件产品
云计算:安全资源池、分布式虚拟化防火墙、云工作负载、虚机威胁防御等核心产品
移动互联:移动终端管控、移动APP漏洞扫描与加固平台、VPN移动安全接入等移动安全产品
物联网:安全标识系统、物联网安全管控平台、物联网应用防火墙、物联网网关、物联网密钥管理系统等优势产品
工业控制系统:工业防火墙、工业网闸、工业行为审计、工业主机白名单、工业漏扫等产品
大数据系统:大数据安全网关、大数据安全管控系统等产品

等级保护能力

网络安全等级保护建设思路和设计要求

等级保护第三级通用安全产品推荐

等保三级基本要求与对应产品
使用范围
基本要求
产品类型举例
安全通信网络
网络架构
NGFW(下一代防火墙)、TopRules(安全隔离与信息交换系统)、TopApp(负载均衡系统)等
通信传输
网络加密机(IPSEC/SSLVPN综合安全网关系统)或NGFW内置VPN功能模块(国密)

安全区域边界

边界防护

NGFW(下一代防火墙)、TopNAC(网络准入系统)、TopDesk(终端管理系统)、无线接入网关等

访问控制
NGFW(下一代防火墙)、TopRules(安全隔离与信息交换系统)、TopGate(应用安全网关)等
入侵防范

TopWAF(web应用安全防护系统/网页防篡改系统)、TopIDP(入侵防御系统)、TopSentry(入侵检测系统)、TopADS(异常流量管理与抗拒绝服务系统)、TopFilter(防毒墙)、TopAPT(高级威胁监测系统)、TopSA(网络安全态势感知系统)等

恶意代码和垃圾邮件防范
TopFilter(防毒墙)、TopSMG(安全邮件网关系统)等
安全审计
TA-NET(网络审计系统)、TopNTA(网络流量分析系统)、TA-DB(数据库审计系统)、TopACM(上网行为管理系统)、大数据分析平台等
等保三级基本要求与对应产品
使用范围
基本要求
产品类型举例

安全计算环境

身份鉴别
TopUTS(集中身份管理系统)、数字证书系统、TDSM-DBGW(数据库安全网关系统)、TopSAG(运维安全审计系统)等
访问控制
TopSAG(运维安全审计系统)、TDSM-DBFW(数据库安全网关)、TopScanner(脆弱性扫描与管理系统)、主机核心加固系统
安全审计
TopDesk(主机监控与审计系统)、TA-DB(数据库审计系统)、TopSAG(运维安全审计系统)等
入侵防范
TopNAC(网络准入系统)、TopScanner(脆弱性扫描与管理系统)、TopWAF(web应用安全防护系统)、TopSentry(入侵检测系统)、主机核心加固系统
恶意代码防范
TopEDR(终端威胁防御系统)
数据完整性、保密性

VPN系统(IPSEC VPN/SSL VPN)、TDSM-DBGW(数据库安全网关系统)、

TDSM-DSM(文档安全管理系统)等

数据备份恢复
TDSM-SBU(存储备份一体机)、TDSM-SBU(容灾一体机)
个人信息保护

TopDLP(数据防泄漏系统)、TopDM(数据脱敏系统)、TDSM-DBS(数据库透明加密系统)等

等保三级基本要求与对应产品
使用范围
基本要求
产品类型举例
安全管理中心
系统管理
TA-L(日志收集和分析系统)、TopSAG(运维安全审计系统)、TopUTS(集中身份管理系统)、数字证书系统、网络管理系统
审计管理
安全管理
集中管控
TA-L(日志收集和分析系统)、TSM-TopPolicy(安全策略管理系统)、TSM-TopAnalyzer(安全管理系统)、TopSA(网络安全态势感知系统)、TopDesk(主机监控与审计系统)等
可信验证
可信芯片、可信UKey、可信插卡、可信主板、可信验证系统、基于可信计算的应用程序白名单管理系统等

原文来源于运维星火燎原

网络安全等级保护建设思路和设计要求【原文来源:  网络安全与等保测评

网络安全等级保护建设思路和设计要求网络安全等级保护建设思路和设计要求网络安全等级保护建设思路和设计要求

网络安全等级保护建设思路和设计要求

网络安全等级保护建设思路和设计要求

【连载】等保2.0测评 |《实用手册》:

1、windows

Windows安全审计

Windows访问控制

Windows访问控制结果记录描述

Windows入侵防范

Windows身份鉴别

Windows身份鉴别结果记录描述(上)

Windows身份鉴别结果记录描述(下)
2、CentOS 安全审计

CentOS访问控制(上)
CentOS访问控制(下)
CentOS入侵防范(上)
CentOS入侵防范(下)
3、SQLServer
SQLServer安全审计
SQLServer操作超时
SQLServer访问控制(上)
SQLServer访问控制(下)
SQLServer身份鉴别(上)

SQLServer身份鉴别(下)

4、Oracle
Oracle安全审计(上)
Oracle安全审计(下)
Oracle身份鉴别(上)
Oracle身份鉴别(中)
Oracle身份鉴别(下)
5、MySQL
MySQL安全审计
MySQL访问控制
MySQL身份鉴别(上)
MySQL身份鉴别(下)
6、其他数据库

PostgreSQL数据库(上)

PostgreSQL数据库(中)

PostgreSQL数据库(下)

Redis 数据库配置

7、应用
应用安全审计
应用访问控制
应用入侵防范
应用身份鉴别(上)
应用身份鉴别(下)
应用数据完整性
8、其他
Apache Tomcat中间件(上)
Apache Tomcat中间件(下)
VCenter通用测评
VMware ESXI(上)
VMware ESXI(下)

网络安全等级保护建设思路和设计要求

    连载

等保2.0 深入理解测评— Linux操作系统(一)
等保2.0 深入理解测评— Linux操作系统(二)
等保2.0 深入理解测评— Linux操作系统(三)
等保2.0 深入理解测评— Linux操作系统(四)
等保2.0 深入理解测评— Linux操作系统(五)
等保2.0 深入理解测评— Linux操作系统(六)
等保2.0 深入理解测评— Linux操作系统(七)
等保2.0 深入理解测评— Linux操作系统(八)
等保2.0 深入理解测评— Linux操作系统(九)
等保2.0 深入理解测评— Linux操作系统(十)
等保2.0 深入理解测评— Linux操作系统(完)

基于等级保护的个人信息分类与安全等级评估

【新】

等保测评认证技术规范宣贯要点来啦!
合规】等保2.0之密码技术解读

【(专题)-网络安全等级保护

等级保护确定定级对象
等级保护的定级原理
【(等保)专题连载】
网络安全等级保护建设思路和设计要求

——物联网安全扩展

——移动互联安全扩展
——云计算安全扩展
——工业控制系统安全扩展
——安全建设管理
——安全运维管理

——安全管理机构

——安全管理人员

——安全管理制度
——安全管理中心
——安全计算环境

——安全区域边界

——网络安全通信

——安全物理环境

网络安全等级保护建设思路和设计要求

原文始发于微信公众号(安小圈):网络安全等级保护建设思路和设计要求

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月4日10:18:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全等级保护建设思路和设计要求https://cn-sec.com/archives/3352284.html

发表评论

匿名网友 填写信息