ToB企服应用市场:ToB评测及商务社交产业平台

标题: 信创安全 | 等保二级和三级建设常用的设备,网络安全零底子入门到精通教程 [打印本页]

作者: 圆咕噜咕噜    时间: 前天 17:58
标题: 信创安全 | 等保二级和三级建设常用的设备,网络安全零底子入门到精通教程
很多小同伴对等级掩护(简称"等保")的评估和测试并不是很熟悉,一起探索一下在二级和三级等保测评中,必要哪些设备。
  信息安全等级掩护二级

一、机房方面的安全措施需求(二级标准)如下:

1、防盗报警体系
2、灭火设备和火警自动报警体系
3、水敏感检测仪及漏水检测报警体系
4、精密空调
5、备用发电机
二、主机和网络安全层面必要部署的安全产品如下:

1、防火墙或者入侵防御体系
2、上网行为管理体系
3、网络准入体系
4、审计平台或者同一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计)
5、防病毒软件
三、应用及数据安全层面必要部署的安全产品如下:

1、VPN
2、网页防篡改体系(针对网站体系)
3、数据异地备份存储设备
4、主要网络设备、通信线路和数据处理体系的硬件冗余(关键设备双机冗余)。
信息安全等级掩护三级

一、机房方面的安全措施需求(三级标准)如下:

1、必要使用彩钢板、防火门等举行地区隔离
2、视频监控体系
3、防盗报警体系
4、灭火设备和火警自动报警体系
5、水敏感检测仪及漏水检测报警体系
6、精密空调
7、除湿装置
8、备用发电机
9、电磁屏蔽柜
我给各人准备了一份全套的《网络安全入门+进阶学习资源包》包罗各种常用工具和黑客技术电子书以及视频教程,必要的小同伴可以扫描下方二维码或链接免费领取~

二、主机和网络安全层面必要部署的安全产品如下:

1、入侵防御体系
2、上网行为管理体系
3、网络准入体系
4、同一监控平台(可满足主机、网络和应用层面的监控需求)
5、防病毒软件
6、堡垒机
7、防火墙
8、审计平台(满足对操作体系、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计)
三、应用及数据安全层面必要部署的安全产品如下:

1、VPN
2、网页防篡改体系(针对网站体系)
3、数据异地备份存储设备
4、主要网络设备、通信线路和数据处理体系的硬件冗余(关键设备双机冗余)。
5、数据加密软件(满足加密存储,且加密算法需获得保密局认可)。
二级等保(底子版)规划计划

NGFW【必配】:融合传统防火墙安全策略、入侵防御、防病毒功能、VPN功能。解决安全地区边界、通信网络加密传输要求


三级等保(底子版)规划计划



三级等保(增强版)规划计划



三级等保(豪华版)规划计划

多网架构,内网和外网物理隔离,通过网闸互通,其余规划同上。
注:内网安全要求比外网高,故安全规划思量更完满。

等保2级技术要点

等保技术要求

子项

主要内容

对应
产品

网络架构
网络架构 
分区分域,隔离技术
 ngfw
通信传输
采用校验技术保证通信过程中数据的完备性
 ngfw(ipsec&ssl vpn)
可信验证
基于可信根对通信设备的体系引导程序,体系程序,告急配置参数和通信,应用程序等举行可信验证,并将验证结果形成审计记载送至安全管理中心
设备自身可信启动机制


安全地区边界
边界防护
跨越边界的访问和数据流通过边界设备提供的受控接口举行通信 
ngfw
访问控制
基于五元组的会话状态举行访问控制,策略优化
ngfw
入侵防范
在关键网络节点处监视网络攻击行为
ngfw(ips)
恶意代码防范
恶意代码检测和清除,防护机制支持升级和更新
ngfw(av)
安全审计 
用户行为审计,安全事件审计
日记审计体系

可信验证
边界设备基于可信根对体系举行可信引导 
设备自身可信启动机制















安全盘算环境

身份鉴别
身份唯一性,鉴别信息复杂度定期更换,登录失败处理功能,长途管理过程中防鉴别信息被窃听
主机安全加固,堡垒机+vpn

访问控制
用户权限管理,管理用户权限最小化
主机安全加固
安全审计
用户行为审计
日记审计体系
入侵防范
检测入侵行为,非使用端口关闭,管理终端限制,发现已知漏洞
ngfw(ips),漏洞扫描

恶意代码防范
安装防恶意代码软件,防护机制支持升级和更新 


主机杀毒软件
可信验证
盘算设备基于可信根对体系举行可信引导


设备自身可信启动机制
数据完备性
数据防篡改
ngfw(vpn),waf

数据备份规复
数据本地备份和规复,批量数据异地及时备份
本地备份设备,异地备份方案

剩余信息掩护
监别信息存储空间清除
应用自身保障

个人信息掩护 
个人信息最小收罗原则,授权使用
应用自身保障

安全管理中心
体系管理
应对体系管理员举行身份鉴别,应通过体系管理员对体系的资源和运行举行配置,控制和管理
网络管理体系,堡垒机

审计管理
应对安全审计员举行身份监别,应通过安全审计员对审计记载应举行分析并根据分析结果举行处理
日记审计体系

*色是等保2.0相比1.0点型增长
等保3级技术要点

等保技术要求
子项

主要内容

对应产品

安全通信网络

网络架构g
选型公道,分区隔离,凡余架构,高峰可用
ngfw, 防ddos
通信传输g
采用校验技术/密码技术保证通信过程中数据的完备性和保密性和保密性
ngfw(ipsec&sslvpn)
可信验证s
基于可信根对通信设备的体系引导,应用关键点动态验证,可报警,可审计
设备可信启动机制
安全地区边界

边界防护g
 跨边界控制,内联设备,外联行为监测,无线网限制
ngfw,网络准入控制
访问控制g
五元组过滤,内容过滤,策略优化,基于应用协议和应用内容的访问控制
ngfw,安全控制器
入侵防范g
防外部攻击防内部攻击,防新型未知网络攻击
ps/ids,探针,沙箱,nta
恶意代码防范g
网络防病毒,垃圾邮件过滤
ngfw(av),ngfw(防
垃圾邮件)
安全审计g
用户行为,安全事件审计,长途用户行为,访问互联网用户行为单独审计和数据分析 
堡垒机,上网行为管理,综合日记审计体系
可信验证s
基于可信根对地区设备的体系引导,应用关键点可动态验证,可报警,可审计
设备可信启动机制
安全盘算环境

身份鉴别s 
身份唯一性,鉴别信息复杂度,口令,密码技术,生物技术等双因子及以上认证且此中一种必须为密码技术
堡垒机,认证服务器
访问控制s
用户权限管理,管理用户权限最小化
访问控制的粒度应到达主体为用户级或进程级,客体为文件, 数据库表级
访问控制平台,api网关
安全审计g 
用户行为审计,对审计进程掩护
网行为管理,日记审计体系
入侵防范g
检测入侵行为,非使用端口关闭,管理终端限制,发现已知漏洞
ips,漏洞扫描
恶意代码防范 g
安装防恶意代码软件或免疫可信验证机制,防护机制支持升级和更新 
ngfw(av),主机防病毒软件
可信验证s
基于可信根对盘算设备的体系引导,应用关键点动态验证,可报警,可审计
设备可信启动机制保障
数据完备性s
数据防篡改;应采用校验技术或密码技术保证告急数据在传输/存储过程中的完备性 
ngfw,vpn,waf,网页防篡改,加密机
数据备份规复a
数据本地备份和规复,提供异地及时备份功能,数据处理体系热冗余
多活数据中心
剩余信息掩护s
鉴别信息,敏感信息缓存清除 
应用自身机制
个人信息掩护 s
个人信息最小收罗原则,访问控制
应用自身机制
安全管理中心

体系管理g
应对体系管理员举行身份鉴别,应通过体系管理员对体系的资源和运行举行配置,控制和管理
网管体系,堡垒机
审计管理g 
应对安全审计员举行身份鉴别,应通过安全审计员对审计记载,应举行分析,并根据分析结果举行处理
堡垒机,综合日记审计体系、数据库审计
集中管控g
特定管理分区,同一网管和检测,日记收罗和集中分析,安全事件识别告警和分析,策略补丁升级集中管理
网管体系,安全控制器,态势感知体系,补丁服务器
安全管理g
应对安全管理员举行身份鉴别,应通过安全审计员对审计记载应举行分析,并根据分析结果举行处理
堡垒机,日记审计体系
*蓝色是等保2.0相对于2级的递增
*色是等保2.0相比1.0点型增长
安全产品/服务全景图


网络安全学习资源分享:
给各人分享一份全套的网络安全学习资料,给那些想学习 网络安全的小同伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习发展门路图。可以说是最科学最体系的学习门路,各人跟着这个大的方向学习准没题目。
因篇幅有限,仅展示部门资料,朋友们假如有必要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前去获取






欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4