干貨丨等保三級的三個必備知識
2019-03-27 16:00:00 來源:本站 瀏覽:198

信息系統處理能力和連接能力在不斷的提高。同時,基于網絡連接的安全問題也日益突出,整體的網絡安全主要表現在以下幾個方面:網絡的物理安全、網絡拓撲結構安全、網絡系統安全、應用系統安全和網絡管理的安全等。


如何才能保證網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷,需要做到保證網絡的物理安全,保證網絡拓撲結構和系統的安全。


以下內容由主要來自社區專家doc在交流活動“你的網絡安全嗎?能達到等保三級嗎?”中的分享

一.如何才能保證網絡的物理安全?

物理安全是保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故(如電磁污染等〉及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞。物理安全是整個計算機信息系統安全的前提。為了獲得完全的保護,物理安全措施是計算系統中必需的。


物理安全主要包括三個方面:場地安全(環境安全):是指系統所在環境的安全,主要是場地與機房;設備安全:主要指設備的防盜、防毀、防電磁信息輻射、泄露、防止線路截獲、抗電磁干擾及電源保護等);介質安全(媒體安全):包括媒體的數據的安全及媒體本身的安全。


1.場地安全

為了有效合理地對計算機機房進行保護,應對計算機機房劃分出不同的安全等級,把應地提供不同的安全保護措施,根據GB9361-1988,計算機機房的安全等級分為A類、B類、C類三個基本類別。

A級機房:對計算機機房的安全有嚴格的要求,有完善的計算機計算機安全措施,具有最高的安全性和可靠性。

B級機房:對計算機機房的安全有嚴格的要求,有較完善的計算機計算機安全措施,安全性和可靠性介于A、C級之間。

C級機房:對計算機機房的安全有基本的要求,有基本的計算機計算機安全措施,C級機房具有最低限度的安全性和可靠性。

在實際的應用中,可根據使用的具體情況進行機房等級的設置,同一機房也可以對不同的設備(如電源、主機)設置不同的級別。

2.設備安全

設備安全包括設備的防盜和防毀,防止電磁信息泄露,前止線路截獲、抗電磁干擾一級電源的保護。其主要內容包括:

(1)設備防盜

可以使用一定的防盜手段(如移動報警器、數字探測報警和部件上鎖保護計算機系統設備和部件,以提高計算機信息系統設備和部件的安全性。

(2)設備防毀

一是對抗自然力的破壞,如使用接地保護等措施保護計算機信息系統設備和部件。二是對抗人為的破壞,如使用防砸外殼等措施。

(3)防止電磁信息泄露

為防止計算機信息系統中的電磁信息油露,提高系統內敏感信息的安全性,通常使用防止電磁信息泄露的各種涂料、材料和設備等。

(4)防止線路截獲

主要防止對計算機信息系統通信線路的截獲與干擾。重要技術可歸納為4個方面:預防線路截獲(使線路截獲設備無法正常工作);掃描線路截獲(發現線路截獲并報警);定位線路截獲(發現線路截獲設備工作的位置);對抗線路截獲(阻止線路截獲設備的有效使用)。

(5)抗電磁干擾

防止對計算機信息系統的電磁干擾,從而保護系統內部的信息。

(6)電源保護

計算機信息系統設備的可靠運行提供能源保障,可歸納為兩個方面:對工作電源的工作連續性的保護(如使用不間斷電源)和對工作電源的工作穩定性的保護。

3.介質安全

介質安全是指介質數據和介質本身的安全。介質安全目的是保護存儲在介質上的信患。包括介質的前盜:介質的防毀,如防霉和防砸等。

介質數據的安全是指對介質數據的保護。介質數據的安全刪除和介質的安全銷毀是為了前止被刪除或銷毀的敏感數據被他人恢復。包括介質數據的防盜(如防止介質數據被非法復制);介質數據的銷毀,包括介質的物理銷毀(如介質粉碎等)和介質數據的徹底銷毀(如消磁等),防止介質數據刪除或銷毀后被他人恢復而準露信息:介質數據的防毀,防止意外或故意的破壞使介質數據丟失。

二.如何保證網絡拓樸結構和系統的安全?

網絡安全系統主要依靠防火墻、網絡防病毒系統等技術在網絡層構筑一道安全屏障,并通過把不同的產品集成在同一個安全管理平臺上實現網絡層的統一、集中的安全管理。

網絡層安全平臺

選擇網絡層安全平臺時主要考慮這個安全平臺能否與其他相關的網絡安全產品集成,能否對這些安全產品進行統一的管理,包括配置各相關安全產品的安全策略、維護相關安全產品的系統配置、檢查并調整相關安全產品的系統狀態等。

一個完善的網絡安全平臺至少需要部署以下產品:

防火墻、網絡的安全核心提供邊界安全防護和訪問權限控制;

網絡防病毒系統、杜絕病毒傳播提供全網同步的病毒更新和策略設置提供全網殺毒。


安全網絡拓撲結構劃分

防火墻主要是防范不同網段之間的攻擊和非法訪問。由于攻擊的對象主要是各類計算機,所以要科學地劃分計算機的類別來細化安全設計。在整個內網當中,根據用途可以將計算機劃分為三類:內部使用的工作站與終端、對外提供服務的應用服務器以及重要數據服務器。這三類計算機的作用不同,重要程度不同,安全需求也不同。


第一、重點保護各種應用服務器特別是要保證數據庫服務的代理服務器的絕對安全不能允許用戶直接訪問。對應用服務器則要保證用戶的訪問是受到控制的要能夠限制能夠訪問該服務器的用戶范圍使其只能通過指定的方式進行訪問。

第二、數據服務器的安全性要大于對外提供多種服務的WWW服務器、E-mail服務器等應用服務器。所以數據庫服務器在防火墻定義的規則上要嚴于其他服務器。

第三、內部網絡有可能會對各種服務器和應用系統的直接的網絡攻擊,所以內部辦公網絡也需要和代理服務器、對外服務器、WWW、E-mail等隔離開。

第四、不能允許外網用戶直接訪問內部網絡。


上述安全需求需要通過劃分出安全的網絡拓撲結構,并通過VLAN劃分、安全路由器配置和防火墻網關的配置來控制不同網段之間的訪問控制。劃分網絡拓撲結構時,一方面要保證網絡的安全;另一方面不能對原有網絡結構做太大的更改。為此建議采用以防火墻為核心的支持非軍事化區的三網段安全網絡拓撲結構。

三.關于等級保護及相關問題

為了提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,在信息系統建設過程中,運營、使用單位應當按照《計算機信息系統安全保護等級劃分準則》(GB17859-1999)、《信息系統安全等級保護基本要求》等技術標準,參照《信息安全技術 信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術 網絡基礎安全技術要求》(GB/T20270-2006)、《信息安全技術 操作系統安全技術要求》(GB/T20272-2006)、《信息安全技術 數據庫管理系統安全技術要求》(GB/T20273-2006)、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》(GA/T671-2006)等技術標準同步建設符合該等級要求的信息安全設施。

1.如何去判斷和定義自己的網絡分級?

信息系統的安全保護等級分為以下五級:

第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。

第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全,比如一些企業的門戶網站,中小企業的一些對外辦公網站等等。

第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害,如果涉及到科研成果,社會,國家等方面的系統。比如鐵路網站,醫保,社保等系統。

第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。

第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。


2.信息安全等級保護三級的認證流程有哪些?

認證流程是具有等保測評資質的公司(經過相關部門認可的)對要進行等保測評的單位進行定級并測評,測評后提出整改意見并對被測評單位進行整改,就是一個測評整改再測評再整改的過程,最終達到并通過測評,例如等保三級需要每年測評一次。


3.如何有效的利用等保分級來構建自己的安全網絡環境?

等保分級是為規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設的,依據等保分級的具體要求來對現有的網絡進行調整,可以保障網絡環境的安全,網絡安全了數據才能安全。


4.關于三級等保的技術要求

技術要求,包括物理、網絡、主機、應用、數據5個方面:


物理安全部分

1、機房應區域劃分至少分為主機房和監控區兩個部分;

2、機房應配備電子門禁系統、防盜報警系統、監控系統;

3、機房不應該有窗戶,應配備專用的氣體滅火、ups供電系統;


網絡安全部分

1、應繪制與當前運行情況相符合的拓撲圖;

2、交換機、防火墻等設備配置應符合要求,例如應進行Vlan劃分并各Vlan邏輯隔離,應配置Qos流量控制策略,應配備訪問控制策略,重要網絡設備和服務器應進行IP/MAC綁定等;

3、應配備網絡審計設備、入侵檢測或防御設備。

4、交換機和防火墻的身份鑒別機制要滿足等保要求,例如用戶名密碼復雜度策略,登錄訪問失敗處理機制、用戶角色和權限控制等;

5、網絡鏈路、核心網絡設備和安全設備,需要提供冗余性設計。


主機安全部分

1、服務器的自身配置應符合要求,例如身份鑒別機制、訪問控制機制、安全審計機制、防病毒等,必要時可購買第三方的主機和數據庫審計設備;

2、服務器(應用和數據庫服務器)應具有冗余性,例如需要雙機熱備或集群部署等;

3、服務器和重要網絡設備需要在上線前進行漏洞掃描評估,不應有中高級別以上的漏洞(例如windows系統漏洞、apache等中間件漏洞、數據庫軟件漏洞、其他系統軟件及端口漏洞等);

4、 應配備專用的日志服務器保存主機、數據庫的審計日志。


應用安全部分

1、應用自身的功能應符合等保要求,例如身份鑒別機制、審計日志、通信和存儲加密等;

2、應用處應考慮部署網頁防篡改設備;

3、應用的安全評估(包括應用安全掃描、滲透測試及風險評估),應不存在中高級風險以上的漏洞(例如SQL注入、跨站腳本、網站掛馬、網頁篡改、敏感信息泄露、弱口令和口令猜測、管理后臺漏洞等);

4、應用系統產生的日志應保存至專用的日志服務器。


數據安全備份

1、應提供數據的本地備份機制,每天備份至本地,且場外存放;

2、如系統中存在核心關鍵數據,應提供異地數據備份功能,通過網絡等將數據傳輸至異地進行備份;


管理制度要求,應包括以下5方面的制度和記錄:

1、安全管理制度

2、安全管理機構

3、人員安全管理

4、系統建設管理

5、系統運維管理

?版權所有 2011-2015 甘肅安信信息安全技術有限公司 隴ICP備15001871號

Copyright ? 2011-2015 Gansu Anxin information Safe Technology Ltd

聯系地址:甘肅省蘭州市城關區讀者大道東段58號5號樓

黑龙江36选7周即开奖