等级保护2.0安全架构介绍
等级保护2.0安全架构介绍
等级保护2.0安全架构介绍
基于“动态安全”体系架构设计,构筑“⽹络+安全”稳固防线“等级保护2.0解决⽅案”,基于“动态安全”架构,将⽹络与安全进⾏融合,以合规为基础,⾯对⽤户合规和实际遇到的安全挑战,将场景化安全理念融⼊其中,为⽤户提供“⼀站式”的安全进化。
国家⽹络安全等级保护⼯作进⼊2.0时代
国家《⽹络安全法》于2017年6⽉1⽇正式施⾏,所有了⽹络运营者和关键信息基础设施运营者均有义务按照⽹络安全等级保护制度的要求对系统进⾏安全保护。随着2019年5⽉13⽇《GB/T 22239-2019 信息安全技术 ⽹络安全等级保护基本要求》标准的正式发布,国家⽹络安全等级保护⼯作正式进⼊2.0时代。
等级保护2.0关键变化
“信息安全”→“⽹络安全”
引⼊移动互联、⼯控、物联⽹等新领域
等保2.0充分体现了“⼀个中⼼三重防御“的思想。⼀个中⼼指“安全管理中⼼”,三重防御指“安全计算环境、安全区域边界、安全⽹络通信”,同时等保2.0强化可信计算安全技术要求的使⽤。
被动防御→主动防御
等级保护2.0解决⽅案拓扑结构设计
安全管理中⼼
⼤数据安全
(流量+⽇志)
IT运维管理
堡垒机
漏洞扫描
WMS
等保建设咨询服务
建设要点
对安全进⾏统⼀管理与把控
集中分析与审计
定期识别漏洞与隐患
安全通信⽹络
下⼀代防⽕墙
VPN
路由器
交换机
建设要点
构建安全的⽹络通信架构
保障信息传输安全
安全区域边界
下⼀代防⽕墙
(防病毒+垃圾邮件)
⼊侵检测/防御
上⽹⾏为管理
安全沙箱
动态防御系统
⾝份认证管理
流量探针
WEB应⽤防护
建设要点
强化安全边界防护及⼊侵防护
优化访问控制策略
安全计算环境
⼊侵检测/防御
数据库审计
动态防御系统
⽹页防篡改
漏洞风险评估
(渗透+漏扫服务)
杀毒软件
建设要点
强调系统及应⽤安全
加强⾝份鉴别机制与⼊侵防范
安全通信⽹络:建设要点(等保三级)
等保要求 控制点 对应产品或⽅案
安全通信⽹络 ⽹络架构 防⽕墙、路由器、交换机、⽹络规划与配置优化、关键设备/链路/服务器冗余通信传输 VPN
可信验证 可信计算机制
主⼲⽹络链路及设备均采⽤冗余部署
基于业务管理和安全需求划分出
有明确边界的⽹络区域
web应用防护系统采⽤VPN或HTTPS等加密⼿段保护业务应⽤
安全区域边界:建设要点(等保三级)
等保要求 控制点 对应产品或⽅案
安全区域边界 边界防护 防⽕墙、⾝份认证与准⼊系统、⽆线控制器
访问控制 第⼆代防⽕墙、WEB应⽤防⽕墙、⾏为管理系统
⼊侵防范 ⼊侵检测与防御、未知威胁防御、⽇志管理系统
恶意代码和垃圾邮件防范 防病毒⽹关、垃圾邮件⽹关,或第⼆代防⽕墙
安全审计 ⾏为审计系统、⾝份认证与准⼊系统、⽇志管理系统
可信验证 可信计算机制
区域边界部署必要的应⽤层安全设备,
启⽤安全过滤策略
建⽴基于⽤户的⾝份认证与准⼊机制,
启⽤安全审计策略
采⽤⾏为模型分析等技术防御
新型未知威胁攻击
采集并留存不少于半年的关键⽹络、
安全及服务器设备⽇志
安全区域边界:建设要点(等保三级)
等保要求 控制点 对应产品或⽅案
安全计算环境 ⾝份鉴别 ⾝份认证与准⼊系统、堡垒机、安全加固服务
访问控制 ⾝份认证与准⼊系统、安全加固服务
安全审计 堡垒机、数据库审计、⽇志管理系统
⼊侵防范 ⼊侵检测防御、未知威胁防御、⽇志管理系统、渗透测试/漏洞扫描/安全加固服务
恶意代码防范 杀毒软件、沙箱
可信验证 可信计算机制
数据完整性 VPN、防篡改系统
数据保密性 VPN、SSL等应⽤层加密机制
数据备份恢复 本地数据备份与恢复、异地数据备份、重要数据系统热备
剩余信息保护 敏感信息清除
个⼈信息保护 个⼈信息保护
安全管理中⼼:建设要点(等保三级)
等保要求 控制点 对应产品
安全管理中⼼ 系统管理 堡垒机
审计管理 堡垒机
安全管理 堡垒机
集中管控 VPN、IT运维管理系统、安全态势感知平台、⽇志管理系统
安全建设管理 测试验收 上线前安全检测服务
安全运维管理 漏洞和风险管理 渗透测试服务、漏洞扫描服务
系统管理员、审计管理员、安全管理员
权责清晰,三权分⽴
设置独⽴安全管理区,采集全⽹
安全信息,实施分析预警管理
借⼒专业安服⼈员,提供渗透测试等
⾼技术要求安全服务
等级保护2.0解决⽅案特⾊总结:1+N 全⽹安全
等保2.0标准名称《⽹络安全等级保护》,明确强调了安全体系的建设必须要跟⽹络架构设计紧密结合
完整的等保安全产品品类
1
提供基于SDN技术的⽹络安全⽀撑体系
2
全系列⽆线产品,形成有线⽆线全⽹统⼀安全体系
3
⽤户⾝份+应⽤鉴权
4
IT运维管理的可靠⽀撑
5
等级保护2.0推荐配置⽅案
序号 等保所需产品与服务 必备/可选(等保⼆级) 必备/可选(等保三级) 对应锐捷产品或服务名称
1 防⽕墙 必备 必备 RG-WALL
2 ⼊侵防御 必备 必备 RG-IDP
3 ⽇志审计与集中管理 必备 必备 RG-BDS
4 渗透测试服务 必备 必备 渗透测试
5 漏洞扫描服务 必备 必备 漏洞扫描
6 堡垒机 可选 必备 RG-OAS
7 上⽹⾏为管理 可选 必备 RG-UAC
8 WAF应⽤防⽕墙 可选 必备 RG-WG
9 终端准⼊系统 可选 必备 SMP系列
10 数据库审计 可选 可选 RG-DBS
11 等级保护建设咨询 可选 可选 等级保护建设咨询
12 安全事件处置服务 可选 可选 安全事件处置
13 ⽹站防篡改 可选 可选 RG-Wlock
14 机房运维管理软件 可选 可选 RIIL
15 未知威胁防御 可选 可选 RG-DDP
16 APT 可选 可选 RG-SandBox
17 ⽹络版杀毒软件 必备 必备 ⽕绒终端安全(战略合作)