网络安全等级保护通用三级系统整体拓扑结构分值区间解析

这篇具有很好参考价值的文章主要介绍了网络安全等级保护通用三级系统整体拓扑结构分值区间解析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、等保2.0三级信息系统70-80分拓扑结构:

1.等保2.0 三级信息系统 70-80分 拓扑图:

网络安全等级保护通用三级系统整体拓扑结构分值区间解析,安全,网络,经验分享 

2.设备清单:下一代防火墙(含IPS、AV)+综合日志审计系统+堡垒机+数据库审计系统+杀毒软件。

其他参考方案:

  • 【接入边界NGFW】【必配】:融合防火墙安全策略、访问控制功能。解决安全区域边界要求,并开启AV模块功能;配置网络接入控制功能(802.1X);配置SSL VPN功能;
  • 【分区边界NGFW 】【必配】:用于解决安全分区边界的访问控制问题;
  • 【主机杀毒软件】【必配】:解决安全计算环境要求;
  • 【日志审计系统】【必配】:解决安全管理中心要求;
  • 【堡垒机】【必配】:解决集中管控、安全审计要求;
  • 【数据库审计】【必选】:解决数据库操作行为和内容等进行细粒度的审计和管理,需要根据系统内是否包含数据库业务系统选择;
  • 【漏洞扫描】【必配】;
  • 【上网行为管理】【必选】;
  • 【WAF】【选配】。

3.详解:

第三级要求与第二级相比,主要区别在于多了关键设备及链路需要冗余、对重要区域重点保护需要防入侵和防病毒、对远程访问及互联网用户的上网行为进行审计、运维人员的所有操作审计、对数据库的所有操作审计等要求,所以在应用服务器边界部署一组下一代防火墙、在互联网出口部署一台防火墙和上网行为管理用作内外网隔离及应用级的管控与审计,在安全管理区部署堡垒机和数据库审计系统对各方面的操作进行审计并保护审计日志,满足网络安全法的存储时间要求。,如果有互联网发布系统还需增加web防火墙来对系统进行防入侵、防篡改,在应用系统远程管理传输时还需使用HTTPS协议保护数据的完整性和保密性,总之涉及互联网系统或需求的就需增加WEB应用防火墙、上网行为管理和HTTPS来保证系统的安全。

二、等保2.0 三级信息系统80-90分拓扑结构:

1.等保2.0 三级信息系统 80-90分 拓扑图:

网络安全等级保护通用三级系统整体拓扑结构分值区间解析,安全,网络,经验分享 

2.设备清单:下一代防火墙(含IPS、AV)+综合日志审计系统+堡垒机+数据库审计系统+杀毒软件+数据备份系统+网络准入+VPN+入侵检测+漏洞扫描系统+HTTPS。

其他参考方案:

  • 【NGFW】(必选);开启VPN,AV特性;
  • 【IPS】(必选);解决区域边界入侵防御;
  • 【Anti-DDoS】【必选】;
  • 【APT沙箱】【必选】:新型网络攻击行为
  • 【上网行为管理】【必选】;
  • 【日志审计系统】(必选);
  • 【数据库审计系统】(必选);
  • 【漏洞扫描】(必选);
  • 【主机杀毒软件】(必选);
  • 【态势感知】【必选】;
  • 【WAF应用防火墙】【必选】;
  • 【运维堡垒机】【必选】;
  • 【网络准入控制系统】【必选】;
  • 【认证服务器】【必选】;
  • 【网页防篡改】【可选】;
  • 【主机入侵防御HIPS】【可选】;
  • 【DLP数据防泄漏】【可选】;
  • 【IAM身份鉴别平台】【可选】;
  • 【态势感知探针】【可选】:可复用NGFW的能力

3.详解

在70-80分结构上增加一套数据备份系统用于实时自动备份,在网络部署一套网络准入系统对业务终端、服务器做接入限制,配合准入客户端还可对违规内、外联进行管控审计,为了让远程运维人员能够安全的接入到内部网络进行运维,架设一台VPN设备对传输通道进行加密保护鉴别数据的完整性和保密性,安全管理中心部署一台IDS设备,对所有经过核心交换机的流量进行检测,保证内网的发起的网络攻击能够被检测阻断,安全漏洞扫描系统定期对内部网络的服务器、数据库、应用系统、网络设备等进行安全漏洞扫描,以及时发现问题并修复。

三、等保2.0 三级信息系统90分以上拓扑结构:

1.等保2.0 三级信息系统90分以上拓扑图:网络安全等级保护通用三级系统整体拓扑结构分值区间解析,安全,网络,经验分享

 

2.设备清单:下一代防火墙(含IPS、AV)+综合日志审计系统+堡垒机+数据库审计系统+杀毒软件+数据备份系统+网络准入+VPN+入侵检测+漏洞扫描系统+HTTPS+负载均衡+防火墙+安全隔离网闸+APT+蜜罐+CA认证系统+态势感知平台+云安全防护平台。

其他参考方案:

  • 【NGFW】(必选);开启VPN,AV特性;
  • 【IPS】(必选);解决区域边界入侵防御;
  • 【Anti-DDoS】【必选】;
  • 【APT沙箱】【必选】:新型网络攻击行为
  • 【上网行为管理】【必选】;
  • 【日志审计系统】(必选);
  • 【数据库审计系统】(必选);
  • 【漏洞扫描】(必选);
  • 【主机杀毒软件】(必选);
  • 【态势感知】【必选】;
  • 【WAF应用防火墙】【必选】;
  • 【运维堡垒机】【必选】;
  • 【网络准入控制系统】【必选】;
  • 【认证服务器】【必选】;
  • 【网页防篡改】【可选】;
  • 【主机入侵防御HIPS】【可选】;
  • 【DLP数据防泄漏】【可选】;
  • 【IAM身份鉴别平台】【可选】;
  • 【态势感知探针】【可选】:可复用NGFW的能力

多网架构,内网和外网物理隔离,通过网闸互通,其余规划同上。

注:内网安全要求比外网高,故安全规划考虑更完善。


3.详解

在互联网出口的增加一台防火墙保证出口防火墙的高可用性,在ISP运营商接入处部署一台负载均衡用于链路负载,保证链路的高可用性,在DMZ区部署一台网闸用于内部数据的摆渡及白名单访问控制,在核心交换机旁路部署一台APT或威胁情报分析系统来替换传统的入侵检测系统,对新型的网络攻击进行检测和分析攻击者的路径、来源和身份等信息;安全管理区部署蜜罐系统将出口流量引至该系统中来虚拟应用环境诱捕攻击者、锁定攻击路径固定证据,此系统在每年的专项行动和HW行动中可以发挥出最大效益,部署CA认证系统对内部人员的账户、证书统一管理实现强身份认证,同时还满足双因素认证要求,态势感知平台将所有设备日志汇总到平台进行汇总,利用计算模型、搜索引擎和大数据算法等技术手段分析出网络安全威胁,进而提前发现即将发生的安全事件进行预警,当然还有一个关键点是可以统一风险展示,界面酷炫,可视化高,同时我们的数据安全才是重中之重,数据是一个企业的核心资产、是命脉,但是最大的安全威胁往往来自内部,所以在预算充足的情况还建议部署一台数据防泄露系统(DLP)来对所有流经出去的核心数据做标记、做策略来限制数据被非法转移、删除、拖库等行为,最大程度的保证数据的安全,也能满足正在起草的数据安全法中的一些基本要求。

最后在这里啰嗦一下,以往大家都是购买一堆设备部署到网络中,各种设备只是在运行然而并没有很好的或是最大化利用起来,导致设备的资源浪费没有产生效果达不到企业的预期,所以在有的单位领导眼里安全就是看不见,摸不着的东西,产生不了效益,其实最根本原因还是网络安全人才的缺乏,没有专业的人员跟踪、维护、分析及配置策略,在这种情况下企业还是要从采购传统设备向采购安全服务及产品化服务的观念进行转变,才能应对当下网络安全激流勇进的形势,满足企业的网络安全需求。文章来源地址https://www.toymoban.com/news/detail-734772.html

到了这里,关于网络安全等级保护通用三级系统整体拓扑结构分值区间解析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全等级保护2.0

    信息系统运维安全管理规定(范文)| 资料 等保测评是为了符合国家法律发挥的需求,而不是安全认证(ISO) 一般情况没有高危安全风险一般可以通过,但若发现高位安全风险则一票否决 二级两年一次 三级等保测评每年一次 (收费) 四级每个年一次 内网,外网,上云都要

    2024年02月11日
    浏览(52)
  • 网络安全等级保护测评方案

    网络安全等级保护测评主要涉及以下几个方面: 物理安全:包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护等。 网络安全:包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络

    2024年02月02日
    浏览(52)
  • 网络安全等级保护安全设计技术要求示例解读

    安全服务体系建设主体内容_luozhonghua2000的博客-CSDN博客  在安全服务体系建设涉及到落地技术要求,这篇我们解读需要哪些具体技术要求?又能得到什么工作启发呢 网络安全等级保护安全设计技术要求主要包括 7个层次: 1、管理层:    应以安全策略为基础,明确网络负责人的

    2024年02月03日
    浏览(58)
  • 网络安全等级保护十问十答

    等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理, 对信息系统中发生的信息安全事件分等级响应、处置。 首先《网络安全法》第

    2024年02月08日
    浏览(50)
  • 网络安全等级保护测评规划与设计

    笔者单位网络结构日益复杂,应用不断增多,使信息系统面临更多的风险。同时,网络攻防技术发展迅速,攻击的技术门槛随着自动化攻击工具的应用也在不断降低,勒索病毒等未知威胁也开始泛滥。基于此,笔者单位拟进行网络安全等级保护测评,根据等保2.0的相关标准要

    2024年01月18日
    浏览(78)
  • 网络安全等级保护二级产品清单整理

    目录 一、等级保护二级产品清单 1. 机房防盗报警系统 2. 灭火设备/火灾自动报警系统 3. 机房专用空调 4. UPS 5. 防火墙 6. 准出控制设备 7. IDS/IPS 8. 日志审计系统/日志服务器 9. 网络版杀毒软件 10. 数据备份系统 11. 漏洞扫描设备 防盗窃和防破坏 主机房应安装必要的防盗报警设施

    2024年02月13日
    浏览(44)
  • 网络安全岗位介绍——等级保护测评师

    1、什么是等保? 等保测评”全称是信息安全等级保护测评。是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。 2、为什么要进行等保测评? 等保测

    2024年02月09日
    浏览(59)
  • 网络安全等级保护定级备案流程是什么?

    第一步:确定定级对象 《中华人民共和国网络安全法》第二十一条规定:“国家实行网络安全等级保护制度”,同时明确了未履行网络安全保护义务的网络运营者的法律责任。各行业主管部门、运营使用单位应组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、

    2024年02月07日
    浏览(45)
  • 【等级保护测试】安全通信网络、安全区域边界-思维导图

    网络架构 1)应保证网络设备的业务处理能力满足业务高峰期需要。 2)应保证网络各个部分的带宽满足业务高峰期需要。 3)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。 4)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间

    2024年02月04日
    浏览(49)
  • 【等级保护测试】安全计算环境-网络设备、安全设备-思维导图

    网络设备-路由器-身份鉴别 1)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。 2)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退岀等相关措施。 3)当进行远程管理时,应釆

    2024年01月23日
    浏览(52)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包