1 項目建設(shè)目標(biāo)、內(nèi)容及建設(shè)周期
1.1總體目標(biāo)
本次根據(jù)不同定級體系安全目標(biāo),在建設(shè)完成后,需具備以下能力:
具有抵御小規(guī)模、較弱強(qiáng)度惡意攻擊的能力,抵抗一樣平常天然災(zāi)難的能力,以及提防一樣平常性計算機(jī)病毒和惡意代碼危害的能力;具有檢測常見的攻擊舉動,并對安全事件進(jìn)行記錄的能力;體系遭到損害后,具有回復(fù)體系正常運行狀況的能力(二級體系目標(biāo))。
要求在同一的安全防護(hù)策略下具有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力,抵抗較為緊張的天然災(zāi)難的能力,以及提防計算機(jī)病毒和惡意代碼危害的能力;具有檢測、發(fā)現(xiàn)、報警及記錄入侵舉動的能力;具有對安全事件進(jìn)行相應(yīng)處置,并能夠追蹤安全責(zé)任的能力;在體系遭受損害后,具有能夠較快恢復(fù)正常運行狀況的能力;對于服務(wù)保障性要求高的體系,應(yīng)能快速恢復(fù)正常運行狀況;具有對體系資源、用戶、安全機(jī)制等進(jìn)行集中管控的能力(三級體系目標(biāo))。
通過本次開展的安全建設(shè)整改工作,達(dá)到以下5個方面的目標(biāo):
(1) 安全管理水平顯明進(jìn)步;
(2) 安全提防能力顯明加強(qiáng);
(3) 安全隱患和安全事故顯明削減;
(4) 有用保障信息化健康發(fā)展;
(5) 有用維護(hù)國家安全、社會秩序和公眾利益。
2.2建設(shè)內(nèi)容
依據(jù)《網(wǎng)絡(luò)安全等級珍愛基本要求》,落實物理與環(huán)境安全、網(wǎng)絡(luò)與通訊安全、設(shè)備與計算安全和應(yīng)用與數(shù)據(jù)安全等安全保障措施;落實信息安全責(zé)任制,建立并落實各類安全管理策略和制度、設(shè)立安全管理機(jī)構(gòu)和人員、安全建設(shè)管理和安全運維管理的工作。詳細(xì)內(nèi)容如下:
2 總體設(shè)計路線
2.1系統(tǒng)化設(shè)計方法
以等保珍愛安全框架為依據(jù)和參考,在知足國家法律法規(guī)和標(biāo)準(zhǔn)系統(tǒng)的前提下通過一中間三防護(hù)的安全設(shè)計,形成網(wǎng)絡(luò)安全綜合防護(hù)系統(tǒng)。系統(tǒng)化的進(jìn)行安全方案設(shè)計,周全知足等級珍愛安全需求及單位網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo)。等級珍愛安全框架如下:
2.2等級化設(shè)計方法
等級珍愛政策、標(biāo)準(zhǔn)、指南等文件要求,對珍愛對象進(jìn)行區(qū)域劃分和定級,對不同的珍愛對象從物理和環(huán)境防護(hù)、通信網(wǎng)絡(luò)安全防護(hù)、網(wǎng)絡(luò)邊界安全防護(hù)、主機(jī)設(shè)備安全防護(hù)及應(yīng)用和數(shù)據(jù)安全防護(hù)等各方面進(jìn)行不同級別的的安全防護(hù)設(shè)計。同時同一的安全管理中間保障了安全管理措施和防護(hù)的有用協(xié)同及一體化管理,保障了安全措施及管理的有用運行和落地。
3 等級珍愛2.0框架
結(jié)合等級珍愛2.0相干標(biāo)準(zhǔn)和要求以及國內(nèi)外最新的安全防護(hù)系統(tǒng)模型,從保障用戶營業(yè)安全高效運舉動根本出發(fā)點,建設(shè)以下框架:
以“一個中間、三重防護(hù)”為基本模型進(jìn)行分級分域設(shè)計,保障設(shè)計方案的合規(guī)性。
疊加安全可視、動態(tài)感知、協(xié)同防御三種安萬能力構(gòu)建自動防御系統(tǒng),提供持續(xù)安全珍愛。
通過集中運維、安全可視等人性化的技術(shù)手段,讓安全運維管理更簡單高效,帶給組織不止合規(guī)的價值
4 總體網(wǎng)絡(luò)架構(gòu)設(shè)計
5 安全域劃分說明
(1) 互聯(lián)網(wǎng)出口域
在網(wǎng)絡(luò)出口需提供多鏈路負(fù)載并主動匹配最優(yōu)線路,保障網(wǎng)絡(luò)可用性的同時實現(xiàn)快速接入;需在互聯(lián)網(wǎng)出口邊界進(jìn)行隔離和訪問控制,珍愛內(nèi)部網(wǎng)絡(luò),從2-7層對攻擊進(jìn)行防護(hù),實現(xiàn)對入侵事件的監(jiān)控、阻斷,珍愛團(tuán)體網(wǎng)絡(luò)各個安全域免受外網(wǎng)常見惡意攻擊;需對互聯(lián)網(wǎng)出口流量進(jìn)行識別并對流量進(jìn)行管控,進(jìn)步帶寬行使率的同時保障用戶上網(wǎng)體驗;行使網(wǎng)絡(luò)防病毒,自動掃描web和電子郵件流量、阻止惡意軟件到達(dá)并感染網(wǎng)絡(luò)上主機(jī)等防護(hù)功能。
(2) 對外服務(wù)器域
該安全域內(nèi)重要承載對外提供服務(wù)的服務(wù)器等,包括門戶網(wǎng)站前端服務(wù)器、Web營業(yè)服務(wù)器等。需在DMZ區(qū)域邊界設(shè)置訪問控制策略,并具備應(yīng)用層攻擊檢測與防護(hù)能力。
(3) 外聯(lián)域
與對端專網(wǎng)數(shù)據(jù)對接,需識別專網(wǎng)之間流量中的威脅,實現(xiàn)對流量中入侵舉動的檢測與阻斷。
(4) 終端接入域
安全域內(nèi)的終端上需具備防惡意代碼的能力,并對接入內(nèi)網(wǎng)的用戶終端進(jìn)行訪問控制,明確訪問權(quán)限以及可訪問的網(wǎng)絡(luò)范圍。
(5) 二級體系域
該安全域內(nèi)重要承載OA辦公、考勤體系等單位較緊張的營業(yè)信息體系,需對這些營業(yè)信息體系提供2-7層安全威脅識別及阻斷攻擊舉動的能力。
(6) 三級體系域
該安全域內(nèi)重要承載單位核心營業(yè)信息體系,包含本次需過等級珍愛測評的XX信息體系,需對這些營業(yè)信息體系提供2-7層安全威脅識別及阻斷攻擊舉動的能力,如SQL注入、XSS(跨站腳本攻擊)、CSRF(跨站請求偽造攻擊)、cookie篡改等;需對存儲營業(yè)信息體系產(chǎn)生的數(shù)據(jù)訪問權(quán)限進(jìn)行劃分,并對數(shù)據(jù)的相干操作進(jìn)行審計;需對敏感或緊張數(shù)據(jù)進(jìn)行備份。
(7) 其他服務(wù)器域
該安全域內(nèi)重要承載郵件服務(wù)、文件服務(wù)、文件共享等一樣平常營業(yè)信息體系,需對這些營業(yè)信息體系提供2-7層安全威脅識別及阻斷攻擊舉動的能力。
(8) 運維管理域
該區(qū)域說明如下:該安全域?qū)I業(yè)環(huán)境下的網(wǎng)絡(luò)操作舉動進(jìn)行集中管理與細(xì)粒度審計;用于監(jiān)控內(nèi)網(wǎng)安全域之間的流量,對流量中的威脅進(jìn)行實時檢測并同一呈現(xiàn)。
6 安全可視輔助決策簡化運維
網(wǎng)絡(luò)安全必要“看見”。只有看得見的安全才是真正的安全,通過網(wǎng)絡(luò)風(fēng)險可視化,將安全狀態(tài)直觀地呈現(xiàn)出來,實現(xiàn)更精準(zhǔn)的風(fēng)險分析及判斷,更高效的安全運維和風(fēng)險處置。
可視是安全的基礎(chǔ),要求提供全程可視:風(fēng)險的可視、珍愛過程和效果的可視,而非碎片化的攻擊可視。
提供可視化風(fēng)險展示功能,夠?qū)z測識別到的針對網(wǎng)站營業(yè)和接入用戶的安全風(fēng)險以圖形化報表實時分類展示出來,如入侵風(fēng)險、實時漏洞風(fēng)險、數(shù)據(jù)風(fēng)險和黑鏈風(fēng)險等,才是一個可視的網(wǎng)絡(luò)安全平臺。
這種簡單易懂、可視化的安全展示方法,解決了傳統(tǒng)安全設(shè)備的日志多、日志展示體例過于技術(shù)化,用戶無法快速搞懂組織真實安全近況的題目。
同時網(wǎng)絡(luò)安全等級珍愛解決方案給用戶帶來全網(wǎng)安全可視、預(yù)警及相應(yīng),高效感知內(nèi)部高級安全風(fēng)險;在外部,通過大量的外部威脅情報,輔助高級安全事件的分析;在網(wǎng)絡(luò)內(nèi)部,在各個子域的關(guān)鍵節(jié)點上,通過探針或安全設(shè)備,精準(zhǔn)的采集有用檢測信息。將外部威脅情報和內(nèi)部真實流量信息匯總到一路,通過舉動分析、機(jī)器學(xué)習(xí)等算法對各類隱蔽到網(wǎng)絡(luò)內(nèi)部的高級威脅進(jìn)行檢測,并通過可視化的體例,最終讓我們感知到我們?nèi)缃袷欠癜踩??哪里不安全?造成什么危害,并如何處置?/span>
7 動態(tài)感知持續(xù)檢測
基于業(yè)界領(lǐng)先信息安全理念,采用業(yè)界領(lǐng)先的大數(shù)據(jù)、人工智能技術(shù)安全,建立了安全感知平臺,在安全事件發(fā)生前就能夠及時發(fā)現(xiàn)并采用有用安全策略,從而降低企業(yè)安全風(fēng)險。態(tài)勢感知必要從“來源提取”,“檢測分析”,“交付可視”,與“處置相應(yīng)”四個方面來構(gòu)建安全系統(tǒng)。
技術(shù)架構(gòu)圖
(1) 資產(chǎn)的新增或變更感知
通過營業(yè)識別引擎自動識別新增營業(yè)資產(chǎn)或變更新的營業(yè)資產(chǎn)。
發(fā)現(xiàn)資產(chǎn)變更后,主動對“變動資產(chǎn)”進(jìn)行增量評估。削減新漏洞在網(wǎng)上暴露時間。
(2) 隱蔽威脅及風(fēng)險感知
實時匯集漏洞掃描信息,感知漏洞分別及危害情況,對繞過邊界防御的進(jìn)入到內(nèi)網(wǎng)的攻擊進(jìn)行檢測,以填補靜態(tài)防御的不足。
(3) 安全事件感知
對內(nèi)部緊張營業(yè)資產(chǎn)已發(fā)生的安全事件進(jìn)行持續(xù)檢測,第臨時間發(fā)現(xiàn)已發(fā)生的安全事件。
(4) 非常舉動感知
對內(nèi)部用戶、營業(yè)資產(chǎn)的非常舉動進(jìn)行持續(xù)的檢測,發(fā)現(xiàn)潛在風(fēng)險以降低可能的損失。
網(wǎng)絡(luò)安全等級珍愛解決方案給用戶帶來動態(tài)感知和持續(xù)檢測的能力,可不間斷的感知營業(yè)風(fēng)險。首先從營業(yè)維度展示安全近況,然后,從攻擊鏈的角度,讓客戶看到資產(chǎn)的失陷狀況。接下來,對失陷資產(chǎn)進(jìn)行細(xì)致的舉證,讓用戶看到威脅的緣故原由、危害,并為客戶提供專殺工具會處置建議。最后,我們要讓客戶看到這個威脅的影響面有多大,讓客戶看到內(nèi)部的非常訪問關(guān)系,是誰攻擊了我,我攻擊了誰?同時對失陷資產(chǎn)進(jìn)行橫向舉動和外聯(lián)舉動的畫像。
8 協(xié)同防御,多級聯(lián)動
在曩昔的安全系統(tǒng),每個安全節(jié)點各自為戰(zhàn),沒有實質(zhì)性的聯(lián)動。而假如這些安全環(huán)節(jié)能協(xié)同作戰(zhàn)、互補不足,則會帶來更好的防御結(jié)果。等級珍愛2.0架構(gòu)幫忙用戶構(gòu)建多級聯(lián)動安全防御系統(tǒng),形成威脅的防御、檢測、相應(yīng)和展望,形成閉環(huán),應(yīng)對各種攻擊。同時,以智能集成聯(lián)動的體例工作,應(yīng)對高級威脅。我們可以聯(lián)動下一代防火墻一鍵阻斷木馬與黑客的通訊;可以聯(lián)動舉動管理,發(fā)生安全事件可及時在用戶端告警;可以通過病毒發(fā)現(xiàn)聯(lián)動,實現(xiàn)內(nèi)網(wǎng)終端病毒掃描和查殺;還可以聯(lián)動數(shù)據(jù)庫審計,做防泄密的分析和追蹤等等。
(1) 動多級相應(yīng)與聯(lián)動機(jī)制
下一條:4.2 分支及移動互聯(lián)應(yīng)用解決方案