需求與挑戰(zhàn)

         國家政策：2018年6月27日，公安部會同中央網(wǎng)信辦、國家保密局、國家密碼管理局起草發(fā)布《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》（簡稱“《等保條例》”）。作為《網(wǎng)絡(luò)安全法》的重要配套法規(guī)，“等保條例”為等保建設(shè)建設(shè)提出了更加具體、操作性也更強(qiáng)的要求，為開展等級保護(hù)工作提供了重要的法律支撐。

等保2.0解讀：

        網(wǎng)絡(luò)安全等級保護(hù)基本要求之整體框架——

技術(shù)框架——

管理框架——

等保2.0三級通用要求解讀：

等保2.0解決方案

安全通用要求：技術(shù)方案總體框架

（1）安全物理環(huán)境

• 物理訪問控制

機(jī)房出入口應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員

• 防盜竊和防破壞

應(yīng)設(shè)置機(jī)房防盜報警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)

• 防火

機(jī)房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情，自動報警，并自動滅火，

 

• 溫濕度控制

應(yīng)設(shè)置溫濕度自動調(diào)節(jié)設(shè)施，使機(jī)房溫濕度的變化在設(shè)備運行所允許的范圍之內(nèi)，

• 電力供應(yīng)

應(yīng)提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情況下的正常運行要求。

應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機(jī)系統(tǒng)供電

（2）安全通信網(wǎng)絡(luò)

• 選型合理

保證各個部分的路由器、交換機(jī)、防火墻等設(shè)備業(yè)務(wù)處理能力和各個部分網(wǎng)絡(luò)帶寬滿足業(yè)務(wù)高峰期需要；

• 分區(qū)分域（①所用設(shè)備）

劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段；

• 加密通信（②所用設(shè)備）

采用校驗技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性及保密性

• 冗余架構(gòu)

提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余。

• 可信驗證：

基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)，應(yīng)用關(guān)鍵點動態(tài)驗證，可報警、可審計。

 

（3）安全區(qū)域邊界

• 訪問控制（①所用設(shè)備）

跨邊界、非授權(quán)設(shè)備接入、非授權(quán)用戶外聯(lián)、無線設(shè)備接入、聯(lián)接行為檢查、應(yīng)用協(xié)議和內(nèi)容檢查，優(yōu)化訪問控制規(guī)則。

• 入侵防范：（②所用設(shè)備）

內(nèi)/外部發(fā)起的攻擊，對網(wǎng)絡(luò)行為進(jìn)行分析，未知的新型網(wǎng)絡(luò)攻擊；

• 惡意代碼和垃圾郵件（③所用設(shè)備）

在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對 惡意代碼/垃圾郵件,進(jìn)行檢測和清除，并維護(hù)其升級和更新；

• 安全審計（④所用設(shè)備）

覆蓋到用戶，審計用戶行為，重要安全事件，記錄需備份，重要內(nèi)網(wǎng)用戶、遠(yuǎn)程訪問用戶、訪問互聯(lián)網(wǎng)用戶行為審計和數(shù)據(jù)分析；

• 可信驗證：

基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)，應(yīng)用關(guān)鍵點動態(tài)驗證，可報警、可審計

 

（4）安全計算環(huán)境

• 身份鑒別（①所用設(shè)備）

應(yīng)對登錄的用戶進(jìn)行身份唯一性鑒別；遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；采用口令、密碼技術(shù)、生物技術(shù)等組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別

• 訪問控制

用戶權(quán)限管理、管理用戶權(quán)限最小化（應(yīng)用自身實現(xiàn)）

• 安全審計（②所用設(shè)備）

應(yīng)對審計進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的訪問

• 入侵防范（③所用設(shè)備）

檢測入侵行為、非使用端口關(guān)閉、管理終端限制、發(fā)現(xiàn)已知漏洞（滲透測試）

• 惡意代碼防范（④所用設(shè)備）

應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機(jī)制及時識別入侵和病毒行為，并將其有效阻斷。

• 可信驗證

可基于可信根對計算設(shè)備的系統(tǒng)引導(dǎo)，應(yīng)用關(guān)鍵點動態(tài)驗證，可報警、可審計

• 數(shù)據(jù)完整性（⑤所用設(shè)備）

采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲過程中的完整性、防篡改

• 數(shù)據(jù)保密性（⑥所用設(shè)備）

采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲過程中的保密性

• 數(shù)據(jù)備份恢復(fù)

數(shù)據(jù)本地備份和恢復(fù)、提供異地實時備份功能、數(shù)據(jù)處理系統(tǒng)熱冗余（災(zāi)備或多活數(shù)據(jù)中心）

• 剩余信息保護(hù)

鑒別信息、敏感信息緩存清除（應(yīng)用自身實現(xiàn)）

• 個人信息保護(hù)

個人信息最小采集存儲原則、訪問控制（應(yīng)用自身實現(xiàn)）           

（5）安全管理中心

• 系統(tǒng)管理（①所用設(shè)備）

應(yīng)對系統(tǒng)管理員進(jìn)行身份鑒別、應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運行進(jìn)行配置、控制和管理

• 審計管理（②所用設(shè)備）

應(yīng)對安全審計員進(jìn)行身份鑒別、應(yīng)通過安全審計員對審計記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理

• 集中管控（③所用設(shè)備）

特定管理分區(qū)、統(tǒng)一網(wǎng)管和檢測、日志采集和集中分析、安全事件識別告警和分析（態(tài)勢感知）、安全策略集中管理

• 安全管理（④所用設(shè)備）

應(yīng)對安全管理員進(jìn)行身份鑒別、應(yīng)通過安全審計員對審計記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理

通用產(chǎn)品清單

注意：

1. 防火墻可以通過license控制IPS功能，因此可單獨配置硬件IPS設(shè)備或開通防火墻IPS功能滿足該要求
2. 防火墻或者IPS設(shè)備上可以通過license控制AV功能，任一設(shè)備開啟均可滿足要求

方案價值：

• 滿足合法合規(guī)要求，落實網(wǎng)絡(luò)安全保護(hù)義務(wù)，合理規(guī)避風(fēng)險。
• 明確組織整體目標(biāo)，改變以往單點防御方式，讓安全建設(shè)更加體系化。
• 提高人員安全意識，樹立等級化防護(hù)思想，合理分配網(wǎng)絡(luò)安全投資
• 以等保為契機(jī)，加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，源于等保，不止于等保，滿足自身業(yè)務(wù)安全需求