· 送手机是骗局(海融天宇公告) · 网巡NetPatrolPatrol上网行为管 · 中国驻美使馆谈网络安全:诉诸麦 · 中央网络安全和信息化领导小组第 · 2015中国网络安全论坛召开 中央
当前位置:主页 > 新闻 >

企业等保建设解决方案2.0

等级保护2.0安全解决方案

等级保护2.0安全解决方案
 
 
1994
 
国务院147号令
首次提出“安全等级保护”
第九条: 计算机信息系统实行安全等级保护
 
2004
公通字66号文
确立信息安全等级保护制度
信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。
 
2017
网络安全法
等级保护上升为国家法律要求
第二十一条:国家实行网络安全等级保护制度。
 
网络安全等级保护条例
2003
 
全面推动信息安全等级保护
二、实行信息安全等级保护
重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。
 
2007
 
正式进入等级保护1.0建设阶段
第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准, 组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
 
2018
 
等级保护工作正式迈入2.0时代
 
开启等级保护2.0时代
 
国家高度重视网络安全问题,国家成立了中央网络安全和信息化领导小组。 中共中央总书记、国家主席习近平亲自担任组长;李克强、刘云山任副组长。习近平总书记指出:“没有网络安全,就没有国家安全”。
2014年2月27日
 
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求, 履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改…..
第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
2016年11月7日发布,自2017年6月1日起实施
 
等级保护2.0核心政策和标准体系
•《中华人民共和国网络安全法》(2017年6月1日正式施行)
•《网络安全等级保护条例》(2018年6月27日征求意见稿)
•《计算机信息系统安全保护等级划分准则》GB 17859-1999(上位标准)
•《信息安全技术 网络安全等级保护实施指南》GB/T 25058(修订中)
•《信息安全技术 网络安全等级保护定级指南》GB/T 22240(修订中)
•《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019
•《信息安全技术 网络安全等级保护安全设计技术要求》GB/T 25070-2019
•《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019
•《信息安全技术 网络安全等级保护测评过程指南》GB/T 28449-2018
 
网络安全等级保护的概念
 
网络安全等级保护对象范围
 
l在中华人民共和国境内建设、运营、维护、使用的网络(个人及家庭自建自用的网络除外)。
l包括基础信息网络(电信网、广播电视传输网、互联网、业务专网等)、信息系统(采用传统技术的和新兴技术的)以及数据资源(传统电子数据及大数据)。
l工商企业、公众服务平台、互联网企业(如P2P金融、游戏等)也被纳入。
 
 
 
 一般损害 严重损害 特别严重损害
公民、法人和其它组织的合法权益 第一级 第二级 第三级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
 
新兴场景重点防护
 
•云服务商侧的云计算平台(不应低于云租户保护等级)
•云服务客户(云租户)侧的业务系统
•大型云计算平台的运营、运维系统
 
•移动终端、移动应用、无线网络、相关有线网络业务系统
 
•感知、网络传输和处理应用
 
 
•现场采集/执行、现场控制和过程监控系统
•生产管理系统
 
•安全责任主体相同的大数据、大数据平台和
 
 
 
 
第二部分 等级保护解决方案
1.总体思路
2.通用安全
3.云计算安全
4.移动互联安全
5.物联网安全
6.工业控制系统安全
7.大数据系统安全
 
体系化防护思路
 
 
可信可控可管主动防御
 
动态防御 纵深防御
 
安全体系设计思路和总体框架
现状梳理
差距分析
风险评估
网络安全等级保护
行业或领域安全要求 方
案设
安全目标:具备等级保护第三级安全保护能力,确保业务稳定、可靠、安全运行。 计
改进完善
 
建设实施
运行维护
测评检查
等级保护安全解决方案
 
 
 
等级保护安全技术设计
 
 
l网络区域划分
l安全通信网络
l安全区域边界
l安全计算环境
l安全管理中心
l可信验证系统
 
通用安全设计 – 网络区域划分
 
基于防护等级 基于业务类型 基于网络功能
 
 
目标是确立业务系统各业务模块安全等级。
 
区分业务等 级安全强度, 对相同等级 进行整合。
 
结合资产赋值、安全等级划分,建立不同安全等级监控机制。
 
目标是保证 业务的可靠 性、连续性。
 
充分认知业务对象,严谨定位业务范围。
 
结合业务自身特性,准确识别和分析业务数据流。
 
充分识别业务风险,明确业务防护需求。
 
目标是复杂的业务网络结构化、简单化。
 
细化分解业务模块,便于使用、利于防护、利于管理。
 
整体结构、 安全域之间、功能和边界 的简化、简 洁。
 
通用安全设计 - 安全通信网络
 
 
安全通信网络建设要点
•路由器、交换机、防火墙等网络设备的业务处理能力满足业务高峰期需要;
•网络带宽满足业务高峰期需要;
•提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性;
•重要网络区域与其他网络区域之间采取可靠的技术隔离手段;
•采用密码技术保证通信过程中数据的保密性及完整性。
 
通用安全设计 - 安全区域边界
 
安全区域边界建设要点
•对非授权设备私自联到内部网络的行为进行控制;
•对内部用户非授权联到外部网络的行为进行控制;
•对进出网络的数据流实现基于应用协议和应用内容的访问控制;
•在关键网络节点处检测和/或防御从外部/内部发起的网络攻击行为;
•对网络攻击特别是新型网络攻击行为进行检测分析,事件告警;
•对垃圾邮件进行检测和防护,并及时升级和更新;
•对用户的远程访问行为、互联网访问行为等进行审计和数据分析。
 
通用安全设计 - 安全计算环境
安全计算环境建设要点
•采用口令或生物技术结合密码技术对用户进行身份鉴别;
•采用基于角色/属性或安全标记的访问控制技术对操作系统、数据库、应用用户进行权限管理;
•对重要的用户行为和重要安全事件进行集中审计;
•采用漏洞检测、终端管理结合补丁管理、终 端威胁防御、主动免疫可信验证、主机加固 等技术保障终端及服务器等计算资源的安全;
•采用密码技术、容灾备份技术等保障重要数据的完整性、保密性、可用性;
•网页防篡改;
•敏感数据和个人信息保护。
 
通用安全设计 - 安全管理中心
安全管理中心建设要点
•划分不同管理角色,并提供集中的身份鉴别、访问授权和操作审计;
•对网络和信息基础设施的运行状况进行集中监控;
•对分散在网络中的审计数据进行收集汇总和集中分析;
•对安全策略、恶意代码、补丁升级等进行集中管理;
•部署态势感知和安全运营平台,支撑安全监测、分析、预警、响应、处置、追溯等安全管理和运维工作。
 
通用安全设计 - 可信验证系统
可信验证系统建设要点
基于可信根对网络设备、计算设备 及安全设备的系统引导程序、系统程序、 重要配置参数和应用程序等进行可信验证, 并在应用程序的关键执行环节进行动态可 信验证,在检测到其可信性受到破坏后进 行报警,并将验证结果形成审计记录送至 安全管理中心。
安全管理员负责配置可信验证策略。
 
 
可信计算硬件和软件
 
通用安全设计 - 总结
 
•依据通用安全要求,实现 “一个中心,三重保护”的动态、纵深网络安全综合防御体系;
•实现对网络设备、计算设备及安全设备的可信验证,并对验证失败事件进行告警和日志上报;
•实现系统管理、审计管理、安全管理的权限分离,并通过IT运维管理、集中日志审计、堡垒机、态势感知和安全运营管理等技术平台支撑管理工作的实际落地。
 
云计算安全设计
移动互联安全设计
无线入侵检测和防御无线接入设备
移动接入认证移动通信安全
 
POE交换机
运营商网络公共/专用WiFi
无线接入网关
Internet
网络传输加密
APP漏扫加固APP安全防护
边界访问控制网络威胁防御
移动终端管控移动应用管控
ERP
统一身份管理 多因素身份认证
物联网安全设计
应用层
物联网安全中心
泛在电力
平台层
智能家居
智慧农业
平台/业务安全子系统
 
 
TID 身份管理系统
网络层
安全边缘计算 分布式虚拟防火墙 大数据安全
 
物联云平台数据安全防护
 
物联网安全态势感知
 
物联网安全检测
 
Policy DDoS
 
边缘/网络安全子系统
 
 
物联网应用防火墙IAF
感知层
传感器
ACL
 
物联安全网关ISG
VPN 分布式物联网应用防火墙
控制器
传感器传感器
物联接入网关IAG
蜂窝终端
感知安全子系统
传感器 …
安全身份标识TID
APP安全
IoT密钥管理IoT数字影子
 
安全设备配置 资产信息、策略和与管理  元数据
安 全 分 析 威胁自动响应
工业控制系统安全设计
大数据系统安全设计
应用系统 管理员 运维 普通用户 数据挖掘
大数据应用
接口 接口
大数据安全防护
配置管理
资源管理
安全策略 审计
密钥 风险管理
管 用户管理
层 应用管理
资源管理
 
资源目录资源检索数据置标
 
访 问 控 制 安全防护策略
标记管理
 
操作审计运维审计接口审计
 
密钥管理证书管理
 
安全信息统计数据流向分析安全事件管理
数据梳理
平台防护 防护手段 访问控制
行为检测
审计管理
防 数据识别
漏洞扫描 数据发现
集中认证
属地限制
检测策略
操作日志
护 分类分级层
入侵防范
动态脱敏
账号鉴权
数据擦除
响应策略
API日志
数据基线
险代码检测 静态脱敏
身份认证 ……
溯源审计
告警规则
平台适配能力
HIVE接口
HBASE接口 HDFS接口
Spark接口 Yarn接口
API接口
大数据平台
满足等保要求的安全产品
通用
▸ NGFW、IDS、VPN、抗DDoS、APT监测、终端威胁防御、数据防泄漏、安全审计、堡垒机、安全管理、态势感知等可高度覆盖基本要求的各类软硬件产品
1 云计算
2 ▸ 安全资源池、分布式虚拟化防火墙、云工作负载、虚机威胁防御等核心产品
移动互联
 
海 等保能力
3 ▸ 移动终端管控、移动APP漏洞扫描与加固平台、VPN移动安全接入等移动安全产
  品
物联网
▸ 安全标识系统、物联网安全管控平台、物联网应用防火墙、物联网网关、物联网密
4 钥管理系统等优势产品
 
 
5 工业控制系统
6 ▸ 工业防火墙、工业网闸、工业行为审计、工业主机白名单、工业漏扫等产品
大数据系统
▸ 大数据安全网关、大数据安全管控系统等产品
 
风险评估服务
安 全 规 划
威 胁/脆弱性
 
规划设计服务 - 等级保护方案设计框架
 
安全管理制度设计安全管理机构设计
管理
安全管理人员设计 方案
安全建设管理设计安全运维管理设计
 
网络区域划分
安全通信网络设计
技术 安全区域边界设计
安全计算环境设计安全管理中心设计
 
   符合等保法规,保障业务,防范风险
 
整改集成实施服务
 
第一步(立项):制定信息系统安全建设整改工作规划,对信息系统安全建设整改工作进行总体部署;
第二步(需求分析):开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求;
第三步(方案设计):确定安全保护策略,制定信息系统安全建设整改方案;
第四步(方案实施):开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施;
第五步(工程验收和等级测评验收):开展安全自查和等级测评, 及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设 整改工作
 
等级保护能力