很多小伙伴对等级保护(简称"等保")的评估和测试并不是很熟悉,一起探索一下在二级和三级等保测评中,需要哪些设备。
信息安全等级保护二级
一、机房方面的安全措施需求(二级标准)如下:
二、主机和网络安全层面需要部署的安全产品如下:
三、应用及数据安全层面需要部署的安全产品如下:
信息安全等级保护三级
一、机房方面的安全措施需求(三级标准)如下:
二、主机和网络安全层面需要部署的安全产品如下:
三、应用及数据安全层面需要部署的安全产品如下:
二级等保(基础版)规划设计
NGFW【必配】:融合传统防火墙安全策略、入侵防御、防病毒功能、VPN功能。解决安全区域边界、通信网络加密传输要求
-
【主机杀毒软件】【必配】:解决安全计算环境要求
-
【日志审计系统】【必配】:解决安全管理中心要求 -
【数据库审计】【必配】:解决安全管理中心审计要求
三级等保(基础版)规划设计
-
【接入边界NGFW】【必配】:融合防火墙安全策略、访问控制功能。解决安全区域边界要求,并开启AV模块功能;配置网络接入控制功能(802.1X);配置SSL VPN功能;
-
【分区边界NGFW 】【必配】:用于解决安全分区边界的访问控制问题;
-
【主机杀毒软件】【必配】:解决安全计算环境要求;
-
【日志审计系统】【必配】:解决安全管理中心要求;
-
【堡垒机】【必配】:解决集中管控、安全审计要求;
-
【数据库审计】【必选】:解决数据库操作行为和内容等进行细粒度的审计和管理,需要根据系统内是否包含数据库业务系统选择;
-
【漏洞扫描】【必配】;
-
【上网行为管理】【必选】; -
【WAF】【选配】。
三级等保(增强版)规划设计
-
【NGFW】(必选);开启VPN,AV特性;
-
【IPS】(必选);解决区域边界入侵防御;
-
【Anti-DDoS】【必选】;
-
【APT沙箱】【必选】:新型网络攻击行为
-
【上网行为管理】【必选】;
-
【日志审计系统】(必选);
-
【数据库审计系统】(必选);
-
【漏洞扫描】(必选);
-
【主机杀毒软件】(必选);
-
【态势感知】【必选】;
-
【WAF应用防火墙】【必选】;
-
【运维堡垒机】【必选】;
-
【网络准入控制系统】【必选】;
-
【认证服务器】【必选】;
-
【网页防篡改】【可选】;
-
【主机入侵防御HIPS】【可选】;
-
【DLP数据防泄漏】【可选】;
-
【IAM身份鉴别平台】【可选】;
-
【态势感知探针】【可选】:可复用NGFW的能力
三级等保(豪华版)规划设计
多网架构,内网和外网物理隔离,通过网闸互通,其余规划同上。
等保2级技术要点
等保技术要求 |
子项 |
主要内容 |
对应 产品 |
网络架构 |
网络架构 |
分区分域,隔离技术 |
ngfw |
通信传输 |
采用校验技术保证通信过程中数据的完整性 |
ngfw(ipsec&ssl vpn) |
|
可信验证 |
基于可信根对通信设备的系统引导程序,系统程序,重要配置参数和通信,应用程序等进行可信验证,并将验证结果形成审计记录送至安全管理中心 |
设备自身可信启动机制 |
|
安全区域边界 |
边界防护 |
跨越边界的访问和数据流通过边界设备提供的受控接口进行通信 |
ngfw |
访问控制 |
基于五元组的会话状态进行访问控制,策略优化 |
ngfw |
|
入侵防范 |
在关键网络节点处监视网络攻击行为 |
ngfw(ips) |
|
恶意代码防范 |
恶意代码检测和清除,防护机制支持升级和更新 |
ngfw(av) |
|
安全审计 |
用户行为审计,安全事件审计 |
日志审计系统 |
|
可信验证 |
边界设备基于可信根对系统进行可信引导 |
设备自身可信启动机制 |
|
安全计算环境 |
身份鉴别 |
身份唯一性,鉴别信息复杂度定期更换,登录失败处理功能,远程管理过程中防鉴别信息被窃听 |
主机安全加固,堡垒机+vpn |
访问控制 |
用户权限管理,管理用户权限最小化 |
主机安全加固 |
|
安全审计 |
用户行为审计 |
日志审计系统 |
|
入侵防范 |
检测入侵行为,非使用端口关闭,管理终端限制,发现已知漏洞 |
ngfw(ips),漏洞扫描 |
|
恶意代码防范 |
安装防恶意代码软件,防护机制支持升级和更新 |
主机杀毒软件 |
|
可信验证 |
计算设备基于可信根对系统进行可信引导 |
设备自身可信启动机制 |
|
数据完整性 |
数据防篡改 |
ngfw(vpn),waf |
|
数据备份恢复 |
数据本地备份和恢复,批量数据异地实时备份 |
本地备份设备,异地备份方案 |
|
剩余信息保护 |
监别信息存储空间清除 |
应用自身保障 |
|
个人信息保护 |
个人信息最小采集原则,授权使用 |
应用自身保障 |
|
安全管理中心 |
系统管理 |
应对系统管理员进行身份鉴别,应通过系统管理员对系统的资源和运行进行配置,控制和管理 |
网络管理系统,堡垒机 |
审计管理 |
应对安全审计员进行身份监别,应通过安全审计员对审计记录应进行分析并根据分析结果进行处理 |
日志审计系统 |
*黄色是等保2.0相比1.0点型增加
等保3级技术要点
等保技术要求 |
子项 |
主要内容 |
对应产品 |
安全通信网络 |
网络架构g |
选型合理,分区隔离,凡余架构,高峰可用 |
ngfw, 防ddos |
通信传输g |
采用校验技术/密码技术保证通信过程中数据的完整性和保密性和保密性 |
ngfw(ipsec&sslvpn) |
|
可信验证s |
基于可信根对通信设备的系统引导,应用关键点动态验证,可报警,可审计 |
设备可信启动机制 |
|
安全区域边界 |
边界防护g |
跨边界控制,内联设备,外联行为监测,无线网限制 |
ngfw,网络准入控制 |
访问控制g |
五元组过滤,内容过滤,策略优化,基于应用协议和应用内容的访问控制 |
ngfw,安全控制器 |
|
入侵防范g |
防外部攻击防内部攻击,防新型未知网络攻击 |
ps/ids,探针,沙箱,nta |
|
恶意代码防范g |
网络防病毒,垃圾邮件过滤 |
ngfw(av),ngfw(防 垃圾邮件) |
|
安全审计g |
用户行为,安全事件审计,远程用户行为,访问互联网用户行为单独审计和数据分析 |
堡垒机,上网行为管理,综合日志审计系统 |
|
可信验证s |
基于可信根对区域设备的系统引导,应用关键点可动态验证,可报警,可审计 |
设备可信启动机制 |
|
安全计算环境 |
身份鉴别s |
身份唯一性,鉴别信息复杂度,口令,密码技术,生物技术等双因子及以上认证且其中一种必须为密码技术 |
堡垒机,认证服务器 |
访问控制s |
用户权限管理,管理用户权限最小化 访问控制的粒度应达到主体为用户级或进程级,客体为文件, 数据库表级 |
访问控制平台,api网关 |
|
安全审计g |
用户行为审计,对审计进程保护 |
网行为管理,日志审计系统 |
|
入侵防范g |
检测入侵行为,非使用端口关闭,管理终端限制,发现已知漏洞 |
ips,漏洞扫描 |
|
恶意代码防范 g |
安装防恶意代码软件或免疫可信验证机制,防护机制支持升级和更新 |
ngfw(av),主机防病毒软件 |
|
可信验证s |
基于可信根对计算设备的系统引导,应用关键点动态验证,可报警,可审计 |
设备可信启动机制保障 |
|
数据完整性s |
数据防篡改;应采用校验技术或密码技术保证重要数据在传输/存储过程中的完整性 |
ngfw,vpn,waf,网页防篡改,加密机 |
|
数据备份恢复a |
数据本地备份和恢复,提供异地实时备份功能,数据处理系统热冗余 |
多活数据中心 |
|
剩余信息保护s |
鉴别信息,敏感信息缓存清除 |
应用自身机制 |
|
个人信息保护 s |
个人信息最小采集原则,访问控制 |
应用自身机制 |
|
安全管理中心 |
系统管理g |
应对系统管理员进行身份鉴别,应通过系统管理员对系统的资源和运行进行配置,控制和管理 |
网管系统,堡垒机 |
审计管理g |
应对安全审计员进行身份鉴别,应通过安全审计员对审计记录,应进行分析,并根据分析结果进行处理 |
堡垒机,综合日志审计系统、数据库审计 |
|
集中管控g |
特定管理分区,统一网管和检测,日志采集和集中分析,安全事件识别告警和分析,策略补丁升级集中管理 |
网管系统,安全控制器,态势感知系统,补丁服务器 |
|
安全管理g |
应对安全管理员进行身份鉴别,应通过安全审计员对审计记录应进行分析,并根据分析结果进行处理 |
堡垒机,日志审计系统 |
*蓝色是等保2.0相对于2级的递增
*黄色是等保2.0相比1.0点型增加
安全产品/服务全景图
内容来源: 安全狗、网络安全等级保护测评中心、NIS研究院、网络工程师俱乐部
由信创之路编辑排版,如有侵权请联系删除
原文始发于微信公众号(HACK之道):等保二级和三级建设常用的设备
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论