請問信息安全等級保護一到三級涉及到的網路安全設備有哪些,分別是根據要求中的哪一條內容?謝謝!?
一級現在基本沒人會去提及,所以我這裡主要說下等級保護二級和三級的詳細要求及差異分析,總共分為五大項:物理安全,網路安全,主機安全,應用安全,數據安全;管理制度這裡沒有說明,如有需要可以繼續做相關提問;
格式說明
(等保要求:等保二級解決方案;等保三級解決方案;差異分析)
例: 入侵防範:部署入侵檢測系統;部署入侵檢測系統配置入侵檢測系統的日誌模塊;三級相對二級要求配置入侵檢測系統的日誌模塊,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間等相關信息,並通過一定的方式進行告警
物理安全
物理位置的選擇:機房和辦公場地應選擇具有防震、防風和防雨等能力;應避免設在建築物的高層或地下室,以及用水設備的下層或隔壁;三級要求進行樓層的選擇。
物理訪問控制:按照基本要求進行人員配備,制定管理制度;同時對機房進行區域管理,設置過度區域、安裝門禁;三級要求加強對區域的管理和重要區域控制力度。
防盜竊和防破壞:按照基本要求進行建設。制定防盜竊防破壞相關管理制度;按照基本要求進行建設配置光、電等防盜報警系統;三級根據要求進行光、電技術防盜報警系統的配備。
防雷擊:按照基本要求進行建設;設置防雷保安器;三級根據要求設置防雷保安器,防止感應雷
防火:設置滅火設備和火災自動報警系統;消防、耐火、隔離等措施;三級根據要求進行消防、耐火、隔離等措施
防水和防潮:採取措施防止雨水滲透、機房內水蒸氣;安裝防水測試儀器;三級根據要求進行防水檢測儀錶的安裝使用
防靜電:採用必要的接地防靜電;安裝防靜電地板;三級根據要求安裝防靜電地板
溫濕度控制:配備空調系統.
電力供應:配備穩壓器和過電壓防護設備,配備UPS系統;配備穩壓器、UPS、冗餘供電系統;三級根據要求設置冗餘或並行的電力電纜線路,建立備用供電系統
電磁防護:電源線和通信線纜隔離鋪設;接地、關鍵設備和磁介質實施電磁屏蔽;三級根據要求進行接地,關鍵設備和介質的電磁屏蔽
網路安全
結構安全:關鍵設備選擇高端設備,處理能力具備冗餘空間,合理組網,繪製詳細網路拓撲圖;在二級基礎上,合理規劃路由,避免將重要網段直接連接外部系統,在業務終端與業務伺服器之間建立安全路徑、帶寬優先順序管理;三級根據要求在以下方面進行加強設計:主要網路設備的處理能力滿足高峰需求,業務終端與業務伺服器之間建立安全路徑、重要網段配置ACL策略帶寬優先順序
訪問控制:防火牆,制定相應的ACL策略;防火牆配置配置包括:埠級的控制粒度,常見應用層協議命令過濾,會話控制,流量控制,連接數控制,防地址欺騙等策略;三級在配置防火牆設備的策略時提出了更高的要求
安全審計:部署網路安全審計系統;部署網路安全審計系統部署日誌伺服器進行審計記錄的保存;三級對審計日誌保存提出更高要求,需要採用日誌伺服器進行審計記錄的保存
邊界完整性檢查:部署終端安全管理系統,啟用非法外聯監控以及安全准入功能;部署終端安全管理系統,在進行非法外聯和安全准入檢測的同時要進行有效阻斷;三級相對2級要求在檢測的同時要進行有效阻斷
入侵防範:部署入侵檢測系統;部署入侵檢測系統配置入侵檢測系統的日誌模塊;三級相對2級要求配置入侵檢測系統的日誌模塊,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間等相關信息,並通過一定的方式進行告警
惡意代碼防範:無要求;部署UTM或AV、IPS;三級系統 要求具備網關處惡意代碼的檢測與清除,並定期升級惡意代碼庫
網路設備防護:配置網路設備自身的身份鑒別與許可權控制;對主要網路設備實施雙因素認證手段進身份鑒別;三級對登陸網路設備的身份認證提出了更高要求,需要實施雙因素認證,設備的管理員等特權用戶進行不同許可權等級的配置
主機安全
身份鑒別:對操作系統和資料庫系統配置高強度用戶名/口令啟用登陸失敗處理、傳輸加密等措施;對主機管理員登錄時進行雙因素身份鑒別(USBkey+密碼);三級要求採用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別
訪問控制:根據基本要求進行主機訪問控制的配置;管理員進行分級許可權控制,重要設定訪問控制策略進行訪問控制;三級根據要求對管理員進行分級許可權控制,對重要信息(文件、資料庫等)進行標記
安全審計:部署主機審計系統;部署主機審計系統審計範圍擴大到重要客戶端;同時能夠生成審計報表;三級要求能將審計範圍擴大到重要客戶端;同時能夠生成審計報表
剩餘信息保護:無要求;通過對操作系統及資料庫系統進行安全加固配置,及時清除剩餘信息的存儲空間;三級要求對剩餘信息進行保護,通過安全服務方式進行
入侵防範:部署網路入侵檢測系統部署終端安全管理系統;部署網路入侵檢測系統部署主機入侵檢測系統部署終端安全管理系統進行補丁及時分發;三級要求對重要伺服器進行入侵的行為,對重要程序進行代碼審查,去除漏洞,配置主機入侵檢測以及終端管理軟體進行完整性檢測
惡意代碼防範:部署終端防惡意代碼軟體;部署終端防惡意代碼軟體;三級要求終端防惡意代碼軟體與邊界處的網關設備進行異構部署
資源控制:部署應用安全管理系統進行資源監控;部署應用安全管理系統進行資源監控、檢測報警;三級要求通過安全加固,對重要伺服器進行監視,包括監視伺服器的CPU、硬碟、內存、網路等資源的使用情況,對系統服務相關閾值進行檢測告警
應用安全
身份鑒別:根據基本要求配置高強度用戶名/口令;進行雙因素認證或採用CA系統進行身份鑒別;三級根據要求進行雙因素認證或採用CA系統進行身份鑒別
訪問控制:根據基本要求提供訪問控制功能;通過安全加固措施制定嚴格用戶許可權策略,保證賬號、口令等符合安全策略;三級根據要求根據系統重要資源的標記以及定義的安全策略進行嚴格的訪問控制
安全審計:應用系統開發應用審計功能部署資料庫審計系統;應用系統開發應用審計功能部署資料庫審計系統;三級要求不僅生成審計記錄,還要對審計記錄數據進行統計、查詢、分析及生成審計報表
剩餘信息保護:無要求;通過對操作系統及資料庫系統進行安全加固配置,及時清除剩餘信息的存儲空間;二級無要求
通信完整性:採用校驗碼技術保證通信過程中數據的完整性;採用PKI體系中的完整性校驗功能進行完整性檢查,保障通信完整性;三級要求密碼技術
通信保密性:應用系統自身開發數據加密功能,採用VPN或PKI體系的加密功能;應用系統自身開發數據加密功能,採用VPN或PKI體系的加密功能保障通信保密性;三級要求對整個報文或會話過程進行加密
抗抵賴:無要求;PKI系統;2級無要求
軟體容錯:代碼審核;代碼審核;三級根據要求系統具備自動保護功能設計,故障後可以恢復
資源控制:部署應用安全管理系統;部署應用安全管理系統;三級要求細化加固措施,對並發連接、資源配額、系統服務相關閾值、系統服務優先順序等進行限制和管理
數據安全
數據完整性:數據校驗傳輸採用VPN ;配置存儲系統傳輸採用VPN ;三級要求在傳輸過程增加對系統管理數據的檢測與恢復,配置存儲系統
數據保密性:應用系統針對鑒別信息的存儲開發加密功能;應用系統針對存儲開發加密功能,利用VPN實現傳輸保密性;三級要求實現管理數據、鑒別信息和重要業務數據傳輸過程的保密性
備份與恢復:重要信息進行定期備份關鍵設備線路冗餘;本地備份與異地備份關鍵設備線路冗餘設計;三級要求進行每天數據備份且要求實現異地備份
希望對您有幫助。
等級保護涉及的行業有:
1、國家重要信息系統和本地其他第三級以上重要信息系統;
2、電力、通信、交通、水利、環保、醫療等16個重點領域以及水氣暖、軌道交通等市政領域的工業控制類系統;
3、省、市黨政機關、事業單位和國有企業網站、大型互聯網企業門戶網站。
測評等級內容:
等級保護三級的測評項有:
相關處罰措施有:
《網路安全法》第五十九條規定:
網路運營者不履行義務的:由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
關鍵信息基礎設施的運營者不履行義務的 :由有關主管部門責令改正,給予警告; 拒不改正或者導致危害網路安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
劃重點:用戶單位不做等級保護測評,用戶單位需要被罰款1萬-100萬;主管人員需要被罰款5000-10萬。
創宇盾幫助企業雲淡風輕過等保:
為了幫助企業用戶快速滿足等保合規的要求,知道創宇整合了創宇盾產品的技術優勢,為您的等保測評提供關鍵服務。
歡迎訪問我們:
創宇盾
知道創宇雲安全
今天跟大家科普一下等保
1、最低配置套餐
安全設備:防火牆+IDS+網路版殺毒軟體,這是在沒有高危風險的情況下,想通過等保三級至少要有的安全設備,不能再少了,比這還少,最後還基本符合的,一定是測評機構放水了;這個是在經費非常緊張的情況下的不得已配置。
2、基本配置套餐
安全設備:最低配置套餐+防毒牆+資料庫審計+日誌審計+堡壘機+waf(有WEB應用的話)+桌面管理軟體或安全准入接入系統+數據備份系統。這個套餐屬於相對比較全的,能滿足等保里相關要求條款,設備不一定所有的都要買,如防火牆帶入侵檢測或防毒牆功能,那麼入侵檢測和防毒牆就可以不用買,不過建議大家不要說我有了一個UTM或者下一代防火牆就其他防護類設備都不要了,這樣不安全,不可靠,實際使用效果不一定好。最關鍵的還是要結合自身需求去合理設計。
3、豪華配置套餐
安全設備:基本配置套餐+雙因素認證+IP地址管理設備+機房運維管理軟體+加密軟體+上網行為管理/流量控制設備+應用容災。能做到這樣的客戶基本已經是土豪了,不差錢,安全很重視,我們都力爭把客戶做到這樣的一個安全配置。
4、超豪華配置套餐
安全設備:豪華配置套餐+SOC+伺服器負載均衡+鏈路負載均衡+網閘+異地應用容災。配置成這樣的客戶,你必須要好好珍惜,擁有一個是多麼的幸福,這應該可以進土豪榜的優質用戶。
5、無敵至尊套餐
安全設備:超豪華配置套餐+漏洞掃描+抗DDOS+APT+各種新奇特技術。這種用戶對安全一定是非常非常重視,且他們數據很重要,安全的這些投入相對於他們的應用和數據來說非常有必要。這樣的用戶可以進胡潤全國排行榜。請必須好好珍惜對待他們。
看完這麼多套餐有沒有一點土豪的氣味,就喜歡和無敵至尊套餐用戶做朋友。
了解更多,請點擊:景安網路
免費獲取報告(附360家網路信息安全行業關聯企業介紹)鏈接:
網路信息安全行業研究報告(附360家關聯企業介紹)
本期報告看點梳理
①網路信息安全行業四大產業鏈布局②產業鏈部分關聯企業介紹
③111家公開資本市場狀態企業分布④46家A股上市企業名單⑤知名投資機構布局及地區分布從去年的8.19徐玉玉電信詐騙案到今年的求職少年李文星之死,一次次警醒著網路信息安全問題的嚴峻性。
據不完全統計,2016年我國通過不同渠道泄露的個人信息達65億次,也就是說,平均每個人的信息至少被泄露了5次。
如何在日益複雜的網路中保障個人信息和財產安全?如何在日益多元化的網路中進行有效監管,凈化網路環境?
面對網路信息安全問題,除了自己提高警惕之外,也需要相關企業的不懈努力。
截至2017年10月,參照系優質企業資料庫共收錄網路信息安全行業關聯企業360家。
網路信息安全行業發展現狀
根據權威機構Gartner 的數據,2016 年全球信息安全產品和服務的開支將達到816 億美元,相比2015 年增長7.9%。從全球區域分布來看,以美國為主導的北美市場仍然佔據全球最大的市場份額。在2015 年全球前15 大網路安全公司中,美國公司佔據了9 個席位,表現出強大的國際競爭力。
網路信息安全產品行業包括防火牆、虛擬專用網路、反入侵產品和安全管理四大產業鏈。
防火牆
防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法。
防火牆領域部分關聯企業介紹
虛擬專用網路(VPN)
指在公用網路上建立專用網路,進行加密通訊。虛擬專用網路在企業網路中有廣泛應用,通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。
虛擬專用網路的功能是:在公用網路上建立專用網路,進行加密通訊。
虛擬專用網路領域部分關聯企業介紹
反入侵產品
反入侵產品可分類為:入侵檢測產品和入侵防禦產品。
入侵檢測產品是通過收集和分析網路行為、安全日誌、審計數據、其它網路上可以獲得的信息以及計算機系統中若干關鍵點的信息,檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。
入侵防禦產品是位於防火牆和網路的設備之間,依靠對數據包的檢測進行防禦(檢查入網的數據包,確定數據包的真正用途,然後決定是否允許其進入內網)。
反入侵產品領域部分關聯企業
安全管理
為了有效管理上網行為、發現和防止網路泄密、保證各種網路行為可審計、可溯源而開發的標準化軟體或軟硬體結合產品, 主要功能包括 Web 流過濾、內容安全性檢測以及病毒防禦等。
安全管理領域部分關聯企業介紹
投資動向分析
46家A股上市企業名單
—————————————————————————————————————————
報告數據截止2017年10月
參照系研究院·出品
可以看一下基本要求技術部分的細節
推薦閱讀:
※利用xwizard.exe載入dll
※再談CSV注入攻擊
※中了勒索病毒前期有什麼預兆呢?
※幾個比較重要的更新
※「束手待斃」的德勤!請問你的安全措施真的不是在開玩笑?
TAG:信息安全 |