三级等保测评项目需要购置一些设备以确保顺利通过等保。上一篇我们讲解对照《网络安全等级保护测评高风险判定指引》(T/ISEAA 001-2020),围绕高危风险项进行建设整改,通过聚焦于核心防护能力建设,可以显著提升网络整体防护能力,往往可以做到安全投入和产出的平衡。
本篇我们同时结合测评要求中安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个层面,来分析一个三级等保项目大概需要哪些设备。
一、安全物理环境(一般指机房)方面的安全措施需求:
1、电子门禁系统。(如果无电子门禁,要有机房进出管理其他配套管理,比如视频监控以及进出签字记录表)
2、消防灭火设备和火灾自动报警系统。(至少配备有效期内的灭火设备)
3、UPS或者备用发电机、备用供电线路。(至少要满足其中一个条件)
4、机房防盗报警系统或设置有专人值守的视频监控系统(三级增加要求)
二、安全通信网络需要部署的安全措施如下:
1、路由器、交换机:路由器和三层交换机都可以隔离不同网络区域。
2、防火墙:用以隔离不同网络区域。新一代防火墙为佳,利旧防火墙更适合系统内部的纵深隔离。
3、保障网络层面数据传输过程中的完整性和保密性相关产品,如VPN、加密机、数字证书等产品:用于保障重要数据、用户鉴权信息在传输过程中的完整性和保密性。(如存在远距离网络访问的场景,类似分公司人员访问总部系统资源、记者远程往记者站存放采访素材的应用场景,需要配置VPN访问;应用层面C/S架构数据库配置SSL访问,B/S架构配置HTTPS访问,网络层面或应用层面至少需要满足其中一项)
4、通讯线路、路由器和交换机、关键服务器等重要设备要有冗余。(高可用性三级系统增加要求)
三、安全区域边界需要部署的设备如下:
1、新一代防火墙(包含入侵检测或入侵防御模块、防病毒模块等):要求网络边界处安全设备的防护检测措施的策略厍、规则库更新周期保持在半年以内。恶意代码库更新周期保持在一个月以内。如果是利旧防火墙,建议部署在被定级的系统内部用于区域隔离,比如在运维管理区和核心服务区之间。
2、防病毒网关:如果防火墙利旧,没有新一代防火墙,或者防火墙无内置防病毒组件模块,那么需要部署防病毒网关。
3、入侵检测或者入侵防御设备:如果防火墙利旧,没有新一代防火墙,或者防火墙无内置防病毒组件需要购置入侵检测/防御设备对网络关键节点进行检测、防止或限制从外部发起的网络攻击行为。
4、安全审计系统:启用重要安全设备和网络设备本身的审计功能,将其产生的日志纳入统一审计。(为了减少各个层面上购置审计系统,最大化节省成本,购置的审计系统尽量同时需满足主机、网络和一些中间件应用层面的监控需求)
5、网闸:如果核心业务网络与其他网络需要数据交换,但又不是很频繁,可以部署网闸对核心业务网络区域和其他网络进行隔离。(非刚需,视业务是否敏感重要,是否需要尽量减少与互联网的数据交换)
其中防病毒网关、IDS/IPS设备是否需要配置得视新一代防火墙是否配备相关组件模块,如果配备了新一代防火墙,包含病毒防范和IDS/IPS模块,保持了最新版本升级而且进行了有效配置。那么防病毒网关和入侵检测或者入侵防御设备可以不再单独购置。
四、安全计算环境需要部署的设备如下:
1、网络版防病毒软件:集中防病毒软件或EDR等;主机、服务器要配备防病毒组件。
2、web应用防火墙/防篡改系统:如果系统对外提供网站访问类似的服务,再配置WAF/防篡改系统可以更好地确保web服务器的安全。
3、安全审计系统:如系统较小,可以与安全网络边界的安全审计系统共用一个。
4、数据库审计系统:实现加强内外部数据库网络行为的监控与审计,提高数据资产安全。(可以通过安全审计系统实现数据库审计,但最好使用专用的数据库审计系统)
5、保障应用层面数据传输和存储的完整性和保密性相关产品,如VPN、加密机、数字证书等产品:用于保障重要数据、用户鉴权信息在传输和存储过程中的完整性和保密性。(如存在远距离网络访问的场景,类似分公司人员访问总部系统资源、记者远程往记者站存放采访素材的应用场景,需要配置VPN访问;应用层面C/S架构数据库配置SSL访问,B/S架构配置HTTPS访问,网络层面或应用层面至少需要满足其中一项)。
6、设备和应用系统的双因素鉴别设备。(三级系统增加要求,双因素识别一般有USB Key、手机短信验证码、手机动态令牌、Radius验证等,常见有几种方案,密码和硬件令牌:用户需要提供正确的用户名和密码,并搭配使用硬件令牌生成的动态验证码来完成身份验证。密码和短信验证码:用户需要输入正确的用户名和密码,并收到手机短信中的一次性验证码,用于验证身份。密码和手机APP验证码:类似于硬件令牌,用户在输入用户名和密码后,通过APP生成的动态验证码来完成身份验证。指纹识别和密码:用户需要提供正确的指纹识别信息和密码来进行身份验证)。
7、终端安全管控系统:用于设备准入管理、关闭不必要的服务、端口等、监控终端外设接口、外联设备及使用,从而减少终端使用非法接入、U口滥用等造成的风险。(三级系统增加要求,管理方面要求对设备外联进行管控,保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为,终端安全管控系统可以满足准入控制的要求)。
五、安全管理中心需要部署的设备如下:
1、堡垒机:可分权限管理路由器、核心交换机、重要服务器和终端、数据库。
2、安全审计系统:分权限可查看路由器、核心交换机、重要服务器和终端、数据库等审计信息。
3、IT运维类管理系统、网管系统:实现对网络链路、安全设备、网络设备和服务器等的运行状况的监控。(高可用性三级系统增加要求,要有类似zabbix的IT运维类管理软件对设备状态和网络链路进行实时监控)。
六、总结
我们最后从三级等保测评要求项,以构建“一个中心,三重防护”的多级防护体系为目标,总结梳理一个三级等保项目需要的设备清单如下:(表中红色为强烈推荐配置刚需产品)
以下g表示安全通用类要求,s表示业务信息安全保证类要求,a表示系统服务安全保证类要求。
ngfw是新一代防火墙;acl访问控制列表;av是病毒防范;ips是入侵防御;ids是入侵检测;edr是端点检测与响应;waf是web防火墙;vpn是虚拟专网。
| 等保技术要求 | 子项 | 主要内容 | 对应产品 |
|---|---|---|---|
| 安全通信网络 | 网络架构g | 选型合理,分区隔离,凡余架构,高峰可用 | ngfw,防ddos,具备acl功能的路由器、交换机 |
| 通信传输g | 采用校验技术/密码技术保证通信过程中数据的完整性和保密性和保密性 | ngfw(ipsec&sslvpn)、vpn设备 | ngfw(含vpn模块),vpn设备 |
| 可信验证s | 基于可信根对通信设备的系统引导,应用关键点动态验证,可报警,可审计 | 设备可信启动机制 | |
| 安全区域边界 | 边界防护g | 跨边界控制,内联设备,外联行为监测,无线网限制 | ngfw,网络准入控制、终端安全管控 |
| 访问控制g | 五元组过滤,内容过滤,策略优化,基于应用协议和应用内容的访问控制 | ngfw | ngfw |
| 入侵防范g | 防外部攻击防内部攻击,防新型未知网络攻击 | ips/ids,edr/态势感知探针,沙箱,nta网络流量分析 | ngfw(含ips、ids模块)或ips、ids、态势感知、沙箱等 |
| 恶意代码防范g | 网络防病毒,垃圾邮件过滤 | ngfw(av),ngfw(防垃圾邮件) | ngfw(av)、或者网络防病毒网关 |
| 安全审计g | 用户行为,安全事件审计,远程用户行为,访问互联网用户行为单独审计和数据分析 | 堡垒机,上网行为管理,综合日志审计系统 | 综合日志审计系统 |
| 可信验证s | 基于可信根对区域设备的系统引导,应用关键点可动态验证,可报警,可审计 | 设备可信启动机制 | |
| 安全计算环境 | 身份鉴别s | 身份唯一性,鉴别信息复杂度,口令,密码技术,生物技术等双因子及以上认证且其中一种必须为密码技术 | 堡垒机,双因素认证服务器等 |
| 访问控制s | 用户权限管理,管理用户权限最小化访问控制的粒度应达到主体为用户级或进程级,客体为文件, 数据库表级 | 访问控制平台,api网关等 | |
| 安全审计g | 用户行为审计,对审计进程保护 | 上网行为管理,日志审计系统 | 综合日志审计系统 |
| 入侵防范g | 检测入侵行为,关闭不使用的端口,管理终端限制,发现已知漏洞 | ips,漏洞扫描 | 主机ids或ips软件、终端安全管控系统 |
| 恶意代码防范 g | 安装防恶意代码软件或免疫可信验证机制,防护机制支持升级和更新 | ngfw(av),主机防病毒软件 | 网络版防病毒软件 |
| 可信验证s | 基于可信根对计算设备的系统引导,应用关键点动态验证,可报警,可审计 | 设备可信启动机制保障 | |
| 数据完整性s | 数据防篡改;应采用校验技术或密码技术保证重要数据在传输/存储过程中的完整性 | ngfw,vpn,waf,网页防篡改,加密机 | vpn,waf,网页防篡改,加密机 |
| 数据备份恢复a | 数据本地备份和恢复,提供异地实时备份功能,数据处理系统热冗余 | 多活数据中心 | 本地存储设备、异地备份数据中心 |
| 剩余信息保护s | 鉴别信息,敏感信息缓存清除 | 应用自身机制 | |
| 个人信息保护 s | 个人信息最小采集原则,访问控制 | 应用自身机制 | |
| 安全管理中心 | 系统管理g | 应对系统管理员进行身份鉴别,应通过系统管理员对系统的资源和运行进行配置,控制和管理 | 网管系统,堡垒机 |
| 审计管理g | 应对安全审计员进行身份鉴别,应通过安全审计员对审计记录,应进行分析,并根据分析结果进行处理 | 堡垒机,综合日志审计系统、数据库审计 | 综合日志审计系统、数据库审计 |
| 集中管控g | 特定管理分区,统一网管和检测,日志采集和集中分析,安全事件识别告警和分析,策略补丁升级集中管理 | 网管系统,态势感知系统,补丁服务器 | 网管系统,态势感知系统,补丁服务器 |
| 安全管理g | 应对安全管理员进行身份鉴别,应通过安全审计员对审计记录应进行分析,并根据分析结果进行处理 | 堡垒机,日志审计系统 | 堡垒机,日志审计系统 |
表中红色为强烈推荐配置刚需产品,除了上表所列技术设备。三级系统关注的其他安全防护重点为:
(1)关键线路和关键设备的冗余。(高可用性三级系统,网络线路、路由器和交换机等网络设备、直连的防火墙等安全设备需要实现冗余)
(2)重要数据处理系统要实现热冗余。比如数据库和后台数据处理系统要热冗余部署实现。(数据库热备和处理系统热备,可以采用集群、虚拟化等手段实现,如双机热备份系统、数据库镜像等,存储方面采用RAID独立冗余磁盘阵列等)
(3)对所有应用业务系统产生的重要数据都要在异地进行备份,原则上同城异地机房直接距离不低于为30公里,跨省市异地机房直线距离不低于100公里。
(4)重要数据在通信过程中的完整性和保密性保障措施。(如果存在远距离网络访问的场景,类似分公司人员访问总部系统资源、记者远程往记者站存放采访素材的应用场景,需要配置VPN访问;应用层面C/S架构数据库配置SSL访问,B/S架构配置HTTPS访问,网络层面或应用层面至少要满足一项)
技术支持及选购咨询
微信扫码联系客服
原创文章,作者:lishengli,如若转载,请注明出处:https://www.lishengli.com/lee/3999.html
