網站安(ān)全監測與防護方案
背景需求
近些年來,随着互聯網技(jì )術的發展以及電(diàn)子商(shāng)務(wù)和電(diàn)子政務(wù)的普及,各企事業單位、黨政機關面臨的網站安(ān)全問題也随之凸顯出來。為(wèi)了繼續發揮互聯網經濟産(chǎn)生效益和優勢,需要我們必須積極應對網站安(ān)全問題。 目前,國(guó)内安(ān)全形勢非常嚴峻,網站面臨的安(ān)全問題大量湧現。首先,網站系統需要應對和處置的安(ān)全隐患持續增長(cháng),需要企業和機構進一步加強隐患的管理(lǐ)和控制。據CNCERT發布的《2015年中(zhōng)國(guó)互聯網網絡安(ān)全報告》顯示,2015年CNVD共收錄了安(ān)全漏洞8080個,其中(zhōng)高危漏洞收錄數量高達2909個,該數字較2014年增長(cháng)21.5%。其次,網站安(ān)全事故頻發,據CNCERT發布的《2015年中(zhōng)國(guó)互聯網網絡安(ān)全報告》顯示,2015年,CNCERT/CC共接收境内/外報告的網絡安(ān)全事件126916起,平均每天發生安(ān)全事件347起,數量非常驚人,其中(zhōng)有(yǒu)24550個網站被篡改,40782個境内主機被植入木(mù)馬或僵屍程序。最後,與網站相關的重大安(ān)全事故也頻頻發生,國(guó)内外各知名(míng)企業相繼發生數起重大安(ān)全事故。其中(zhōng),京東商(shāng)城洩露12G用(yòng)戶數據、雅虎洩露5億用(yòng)戶資料、LinkedIn旗下的在線(xiàn)學(xué)習網站Lynda.com被竊取950萬賬号信息等事件都直接導緻公(gōng)衆個人信息的洩露。與此同時,國(guó)家對網站安(ān)全問題越來越重視,并且不斷加大網站安(ān)全的監管力度。中(zhōng)央網絡安(ān)全和信息化領導小(xiǎo)組成立後,發布的第一個文(wén)件就是《關于加強黨政機關網站安(ān)全管理(lǐ)的通知》,該文(wén)就各級黨政機關及企事業單位開展網站安(ān)全管理(lǐ)提出若幹條指導意見。另一方面,國(guó)家各級主管部門加大檢查力度,近幾年多(duō)次開展重要保障活動及安(ān)全專項檢查工(gōng)作(zuò),并且每次重要保障任務(wù)和專項檢查工(gōng)作(zuò)的重點都包括對互聯網網站檢測和治理(lǐ)。
問題和困難
當前,各企業在網站安(ān)全管理(lǐ)上存在的問題主要集中(zhōng)在網站的資産(chǎn)管理(lǐ)、漏洞管理(lǐ)、威脅管理(lǐ)、事件管理(lǐ)四個方面。 在資産(chǎn)管理(lǐ)方面,問題主要體(tǐ)現在企業缺乏有(yǒu)效的手段對網站等資産(chǎn)的變更進行監測和管理(lǐ),導緻新(xīn)上線(xiàn)的網站或變更的網站在未經安(ān)全檢查和采取防護措施的前提下直接暴露在互聯網上。通常這些網站存在大量安(ān)全隐患,非常容易被攻擊者所利用(yòng)。
在漏洞管理(lǐ)方面,企業所面臨的困難主要是未能(néng)對網站漏洞及隐患進行定期排查和處置,導緻未發現、未處置的漏洞數量越來越多(duō)。通常有(yǒu)兩方面原因導緻漏洞數量的增加,一方面是用(yòng)戶網站内容變更可(kě)能(néng)會引入的新(xīn)漏洞,另一方面是先前網站建設過程中(zhōng)引入的第三方代碼會被不斷發現存在新(xīn)漏洞。
在威脅管理(lǐ)方面,企業面臨的主要問題在于缺乏專職人員對安(ān)全防護設備及其防護策略進行維護,使得安(ān)全設備檢測效能(néng)逐步降低。效能(néng)降低主要體(tǐ)現在兩個方面,一方面是監測和防護新(xīn)威脅的安(ān)全策略不能(néng)及時得到應用(yòng);另外一方面是網站業務(wù)系統的不斷變更導緻原先的防護規則逐步失效。在事件管理(lǐ)方面,企業面臨的主要問題是缺乏有(yǒu)效手段及時發現安(ān)全事故,使得安(ān)全事故造成影響和損失不斷增加。
方案介紹
網站安(ān)全監測與防護解決方案能(néng)夠通過事前漏洞分(fēn)析與預防、事中(zhōng)威脅監測與防護、事後安(ān)全事件監測與響應,迎接國(guó)家合規檢查、抵禦外部威脅、降低安(ān)全風險。
網站安(ān)全監測與防護解決方案,主要由網站安(ān)全管理(lǐ)系統、網站安(ān)全監測引擎以及網站安(ān)全防護引擎構成。網站安(ān)全管理(lǐ)系統能(néng)夠為(wèi)用(yòng)戶提供在線(xiàn)的、可(kě)視化的管理(lǐ)工(gōng)具(jù),幫助用(yòng)戶查看和處置網站安(ān)全相關的資産(chǎn)事件、漏洞事件、威脅事件和安(ān)全事故。網站安(ān)全監測引擎可(kě)以幫助用(yòng)戶監測網站變更的情況、網站存在安(ān)全漏洞以及發生的安(ān)全事故。網站安(ān)全防護引擎采用(yòng)Web應用(yòng)防火牆産(chǎn)品,部署在用(yòng)戶側,用(yòng)于各類web應用(yòng)攻擊的檢測和阻斷。 網站安(ān)全監測與防護解決方案是通過以下方式來幫助用(yòng)戶完成網站的資産(chǎn)管理(lǐ)、漏洞管理(lǐ)、威脅管理(lǐ)以及事件管理(lǐ)。 在資産(chǎn)管理(lǐ)方面,網站安(ān)全監測與防護解決方案主要通過監測引擎為(wèi)指定的IP網段進行資産(chǎn)掃描,通過與現有(yǒu)資産(chǎn)比對發現新(xīn)上線(xiàn)的網站及變更的網站系統,并及時向用(yòng)戶通告。在用(yòng)戶确認資産(chǎn)變更内容後,更新(xīn)現有(yǒu)資産(chǎn)列表并将變更的資産(chǎn)納入到安(ān)全監測與防護體(tǐ)系中(zhōng),以便及時發現漏洞、威脅及事故。 在漏洞管理(lǐ)方面,主要通過網站安(ān)全監測引擎進行定期漏洞掃描,對暴露在公(gōng)網上的所有(yǒu)網站進行Web漏洞及系統漏洞掃描工(gōng)作(zuò)。此後,由自動化驗證系統對于掃描發現的高中(zhōng)危漏洞進行漏洞驗證,将具(jù)有(yǒu)危害性的高中(zhōng)危漏洞信息通過網站安(ān)全管理(lǐ)系統和漏洞掃描報告直接推送用(yòng)戶,用(yòng)戶可(kě)以根據各類交付物(wù)中(zhōng)所羅列的漏洞詳情以及解決方案進行漏洞的整改加固。如果Web漏洞修複周期較長(cháng),用(yòng)戶還可(kě)以通過網站安(ān)全管理(lǐ)系統委托進行漏洞預防工(gōng)作(zuò)。對于修複的漏洞,用(yòng)戶可(kě)以通過網站安(ān)全管理(lǐ)系統委托完成漏洞複驗的工(gōng)作(zuò),從而完成整個漏洞生命周期的閉環管理(lǐ)。 在威脅管理(lǐ)方面,網站安(ān)全監測與防護方案通過安(ān)全防護引擎進行威脅防護。防護引擎通過與雲的對接,可(kě)以定期對告警日志(zhì)進行分(fēn)析判斷,并提供篩除誤報的策略優化建議。另外,雲也會提醒用(yòng)戶對防護引擎的知識庫進行升級,以确保防護引擎可(kě)以對新(xīn)型威脅進行防護。 在事件管理(lǐ)方面,通過網站安(ān)全監測引擎對目标網站進行安(ān)全事故的日常監測,确保能(néng)夠在第一時間發現網站挂馬、篡改、黑鏈、敏感内容、可(kě)用(yòng)性通斷等多(duō)方面問題。在發現事件後,通過短信、網站安(ān)全管理(lǐ)系統及手機APP等多(duō)種方式第一時間向用(yòng)戶告警。另一方面用(yòng)戶可(kě)通過網站安(ān)全管理(lǐ)系統委托通過網站安(ān)全防護引擎消除安(ān)全事件造成的影響。最後,本地應急響應工(gōng)程師上門協助用(yòng)戶分(fēn)析事件原因,找到導緻事件發生的根源,并提供加固建議和支持,消除存在的安(ān)全隐患。
方案優勢
網站安(ān)全監測與防護解決方案的六大核心優勢: 提供7*24小(xiǎo)時的全天候服務(wù),發現安(ān)全問題後确保30分(fēn)鍾内通知用(yòng)戶。 支持托管模式,0維護成本。 所有(yǒu)事件經過自動化技(jì )術和安(ān)全專家驗證,準确率接近100%。 提供短信、郵件、網站安(ān)全管理(lǐ)系統、手機APP等多(duō)元化通告方式,确保及時進行通告。 為(wèi)用(yòng)戶提供漏洞智能(néng)補丁,對修複周期較長(cháng)的漏洞提供預防措施。 通過網站安(ān)全管理(lǐ)系統,提供漏洞風險、威脅攻擊、災害事故可(kě)視化展示,讓用(yòng)戶一目了然的洞悉全單位風險、攻擊及災害分(fēn)布。
門戶網站安(ān)全解決方案
概述
門戶網站、網廳等Web網站是運營商(shāng)與客戶溝通的便捷通道,也是客戶辦(bàn)理(lǐ)/使用(yòng)相關業務(wù)的前端平台,還有(yǒu)一些基于Web網站的業務(wù)平台,更是業務(wù)穩定運營的關鍵設施。這些Web網站一旦受到侵害将直接影響運營商(shāng)的品牌形象、信譽以及日常業務(wù)運營。 由于Web應用(yòng)的開放性、用(yòng)戶的大衆性,使其成為(wèi)最佳的攻擊和威脅目标。随着web應用(yòng)中(zhōng)間件和應用(yòng)平台的新(xīn)漏洞/弱點被發現,針對性的病毒、木(mù)馬、蠕蟲及自動化的攻擊工(gōng)具(jù)往往會很(hěn)快出現,進而出現一波又(yòu)一波Web攻擊浪潮,導緻服務(wù)器被控制、Web服務(wù)中(zhōng)斷、客戶信息被竊取、業務(wù)欺詐的事件的發生。同時,由于XSS、CSRF、Cookie竊取等攻擊導緻合法用(yòng)戶的客戶端被控制、信息被竊取、被欺詐、被敲詐等事件發生,造成巨大的不良社會影響。 随着業務(wù)的發展,Web架構越來越複雜,使用(yòng)的應用(yòng)關鍵和技(jì )術越來越多(duō),對其安(ān)全防護的難度越來越大,與此同時,行業監管越來越嚴,懲治力度不斷加大,使運維、管理(lǐ)人員面臨着嚴峻的挑戰。
安(ān)全解決方案
方案組成
本方案針對Web威脅的特點,從Web應用(yòng)生命周期的角度出發,重點覆蓋了系統開發、測試和運行等環節,從事前、事中(zhōng)、事後等風險管理(lǐ)角度出發,采用(yòng)内、外的結合的防護手段,建立了主動、縱深、多(duō)層面的安(ān)全保障體(tǐ)系,可(kě)以有(yǒu)效保護web應用(yòng)的安(ān)全性,降低系統面臨的風險。 安(ān)全防護方案組成如下:
方案價值
保障網站服務(wù)的安(ān)全、可(kě)靠運行,提高客戶滿意度; 及時感知Web運營狀态,提升用(yòng)戶訪問體(tǐ)驗; 大幅提高防護效果,有(yǒu)效抵禦各種攻擊,從而解決安(ān)全成本; 滿足來自監管部門的合規性要求; 提供安(ān)全攻擊證據,震懾非法攻擊者; 減少安(ān)全人員負擔,提高安(ān)全運維效率; 維護和提升公(gōng)司的品牌形象和商(shāng)業信譽。
方案特點和優勢
對安(ān)全漏洞
弱點進行管理(lǐ),防患于未然,降至安(ān)全成本; 通過代碼審計,最大限度的發現系統存在的安(ān)全漏洞/弱點,提早修補,降低成本。同時,通過傳遞安(ān)全開發知識, 減少開發實現中(zhōng)的漏洞。 通過Web漏洞掃描系統,實現已知漏洞的自動化檢查,降低人員投入。 通過安(ān)全設備的早期預警服務(wù),及時對新(xīn)發現漏洞的有(yǒu)效管理(lǐ)。
立體(tǐ)的安(ān)全防護體(tǐ)系,高針對性的防護措施
有(yǒu)效抵禦SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood等攻擊,并實現對網絡流量的清洗。 同時,通過Web應用(yòng)防火牆,對各種web應用(yòng)攻擊進行防護,對HTTP/HTTPS訪問流量進行清洗; 通過集成了傳統防火牆、入侵檢測防護、防病毒功能(néng)的下一代防火牆,對已知的各種攻擊、惡意代碼進行防護,并通過防火牆測試,實現對Web訪問的嚴格控制。
有(yǒu)效地監控、備份與恢複措施,徹底保障網站的完整性 在Web服務(wù)器上部署基于主機的Web防護系統,有(yǒu)效檢測和阻斷各種web網頁(yè)、圖片、程序等資源的篡改攻擊; 對網站内容進行備份,一旦檢測到系統完整性受損,可(kě)以自動化進行系統恢複。
7*24小(xiǎo)時外部安(ān)全監控和一流的外部專家支持 7*24小(xiǎo)時對系統進行漏洞檢查、挂馬檢查、網頁(yè)篡改檢測、内容檢查,及時洞察系統的安(ān)全态勢; 在全國(guó)範圍内,模拟用(yòng)戶對系統進行訪問平穩度、可(kě)用(yòng)性檢測,保障用(yòng)戶體(tǐ)驗。 一流的安(ān)全專家支持,協助用(yòng)戶處理(lǐ)各種疑難雜症。
防護措施間的關聯互動,大幅提升防護效果 網站安(ān)全檢測服務(wù)或Web漏洞掃描系統與Web應用(yòng)防火牆進行聯動,一旦發現問題,自動化啓動相應的防護策略。 虛拟補丁技(jì )術提升了安(ān)全防護水平,規避了補丁管理(lǐ)中(zhōng)的各種問題。
全面的網站健康檢查,防止帶病上崗、帶病投保; 上線(xiàn)前評估和滲透測試,發現系統存在的結構性問題、集成性問題、安(ān)全配置問題,以及各種潛在的業務(wù)邏輯錯誤,并進行全面的安(ān)全加固,防止帶病上崗。 通過安(ān)全檢查,評估系統是否已經受到了侵害,是否含有(yǒu)惡意代碼,防止帶病投保。 通過Web安(ān)全掃描系統,對新(xīn)版系統進行檢查,防止引入新(xīn)漏洞。
可(kě)靠的安(ān)全審計措施,可(kě)供事件追溯和取證。 對Web網站的不良内容進行安(ān)全檢測; 對各種用(yòng)戶的Web訪問行為(wèi)進行審計,并通過行為(wèi)基線(xiàn),自動化發現各種潛在一場行為(wèi); 對重要的數據庫操作(zuò)行為(wèi)進行審計,發現各種非法行為(wèi)。 對各種攻擊行為(wèi)進行審計,便于進行事件追溯和定位,對事件處理(lǐ)提供有(yǒu)效支持。 支持法律取證。
統一安(ān)全管理(lǐ) 統一設備與日志(zhì)管理(lǐ)平台,提供可(kě)視化的安(ān)全管理(lǐ)界面; 對安(ān)全設備的策略的統一管理(lǐ)和下發; 對日志(zhì)數據的統一存儲,便于進行各種統計分(fēn)析; 提供豐富的報告分(fēn)析; 降低企業安(ān)全運維成本.
内網準入解決方案
對企業而言最大的變革是企業經營和管理(lǐ)方式的變革,信息化革命深刻影響着企業的經營方式,任何一個企業都離不開這種變革,必須把信息化建設當成企業獲取競争優勢的最終選擇。因此,企業集團對信息技(jì )術的依賴程度越來越大,信息技(jì )術風險成為(wèi)了企業集團運營中(zhōng)所要考慮的重要方面。
面臨的挑戰
用(yòng)戶信息未知:企業集團辦(bàn)公(gōng)、生産(chǎn)大多(duō)較為(wèi)分(fēn)散,人員複雜,随意或不受限制接入網絡現象頻發,内部用(yòng)戶信息缺乏有(yǒu)效登記手段,人員審計困難。
終端位置未知:企業内網終端數量、終端類型、終端分(fēn)布情況複雜,管理(lǐ)者無法對時間進行事件定位;
資産(chǎn)信息未知:企業信息資産(chǎn)的數量随着企業不斷發展大量增加,如何對這些大量的信息資産(chǎn)進行有(yǒu)效的管理(lǐ),是企業集團安(ān)全管理(lǐ)面臨的巨大挑戰;
數據洩露風險:内網數據信息可(kě)通過移動介質(zhì)外傳,容易發生信息洩密事件。
終端安(ān)全風險:終端系統自身安(ān)全性會嚴重影響内網安(ān)全,如病毒傳播、系統漏洞、弱口令破解等。
内網準入解決方案
用(yòng)戶信息登記:采用(yòng)豐富的實名(míng)制入網模式,内部、外部、臨時用(yòng)戶分(fēn)别進行人性化的入網注冊登記,并結合管理(lǐ)員審核、審批,确保内網用(yòng)戶安(ān)全可(kě)靠。
網絡安(ān)全透視:盈高科(kē)技(jì )産(chǎn)品提供衛星地圖般的設備搜索和定位方式,使網絡中(zhōng)的各種設備狀态不再是孤立的展現,而是作(zuò)為(wèi)一個整體(tǐ)進行把控。
資産(chǎn)安(ān)全管控:全面收集内網軟硬件資産(chǎn),全方位監控、展示資産(chǎn)變動情況,提升管理(lǐ)部門對信息設備相關信息資産(chǎn)的統計管理(lǐ)能(néng)力。
移動介質(zhì)加密:人性化的移動介質(zhì)注冊、審核機制,硬件級的安(ān)全加密技(jì )術,靈活的策略控制,在不影響用(yòng)戶安(ān)全使用(yòng)的前提下确保數據無從洩露。
終端安(ān)全加固:通過對網内終端的安(ān)全狀況量化,并提供“一鍵式”智能(néng)修複功能(néng)對有(yǒu)潛在安(ān)全風險的終端進行強制隔離和引導修複,從根本上杜絕安(ān)全隐患。
方案價值
1、對外來人員進行有(yǒu)效的管理(lǐ),防止其接入單位網絡訪問重要的服務(wù)器,竊取單位的重要資料;另外,内網安(ān)全事件發生時,可(kě)追溯至責任人。
2、提高運維工(gōng)作(zuò)效率,精(jīng)确定位故障點,及時排查問題,成為(wèi)管理(lǐ)人員提高管理(lǐ)效率的有(yǒu)效手段;
3、規範移動存儲設備的安(ān)全使用(yòng),明确工(gōng)作(zuò)U盤和私人U盤的使用(yòng)界限,減少文(wén)檔流失和病毒的進入;
4、提高終端設備的安(ān)全性和穩定性,減少漏洞攻擊事件的發生,避免系統漏洞、惡意軟件引發的安(ān)全事件;
5、有(yǒu)效地對公(gōng)司終端的it資産(chǎn)和軟件資産(chǎn)進行審計,當發生變化時及時進行報警;
超融合架構解決方案
超融合架構解決方案概述
超融合架構解決方案,融合了:計算、網絡、存儲和安(ān)全四大模塊,通過全虛拟化的方式構建IT架構資源池。所有(yǒu)的模塊資源均可(kě)以按需部署,靈活調度,動态擴展。通過超融合一體(tǐ)機或者超融合操作(zuò)系統能(néng)夠在最短的時間内,充分(fēn)利舊現有(yǒu)硬件基礎架構,将業務(wù)系統安(ān)全、穩定、高效的遷移到超融合平台中(zhōng),并且為(wèi)後期邁向私有(yǒu)雲平台奠定基礎,從而能(néng)夠實現多(duō)租戶的管理(lǐ)及計費審計等功能(néng)。
超融合架構解決方案軟件架構主要包含三大組件(服務(wù)器虛拟化aSV、網絡虛拟化aNet、存儲虛拟化aSAN)和一個管理(lǐ)平台(虛拟化管理(lǐ)平台VMP)。硬件架構上,可(kě)以通過一體(tǐ)機的方式實現開機即用(yòng),也可(kě)以采用(yòng)通用(yòng)X86服務(wù)器實現基礎架構的承載。配合傳統的園區(qū)網交換機(背闆帶寬和交換容量夠用(yòng)即可(kě))即可(kě)完成整個平台的搭建,無需各種功能(néng)複雜、價格昂貴的數據中(zhōng)心級交換機。
超融合架構層
超融合架構層以服務(wù)器虛拟化為(wèi)底層架構,擴展出網絡虛拟化和存儲虛拟化,通過所畫即所得的方式能(néng)夠快速的構建出業務(wù)邏輯,實現虛拟資源的動态調度和靈活擴展,同時全網流量可(kě)視,配置簡易直觀,運維靈活便捷
服務(wù)器虛拟化(aSV)
aSV虛拟化平台作(zuò)為(wèi)介于硬件和操作(zuò)系統之間的軟件層,采用(yòng)裸金屬架構的X86虛拟化技(jì )術,實現對服務(wù)器物(wù)理(lǐ)資源的抽象,将CPU、内存、I/O等服務(wù)器物(wù)理(lǐ)資源轉化為(wèi)一組可(kě)統一管理(lǐ)、調度和分(fēn)配的邏輯資源,并基于這些邏輯資源在單個物(wù)理(lǐ)服務(wù)器上構建多(duō)個同時運行、相互隔離的虛拟機執行環境,實現更高的資源利用(yòng)率,同時滿足應用(yòng)更加靈活的資源動态分(fēn)配需求,譬如提供熱遷移、HA等高可(kě)用(yòng)特性,實現更低的運營成本、更高的靈活性和更快速的業務(wù)響應速度。
網絡虛拟化(aNET)
網絡虛拟化aNet,通過提供全新(xīn)的網絡運營方式,解決了傳統硬件網絡的衆多(duō)管理(lǐ)和運維難題,并且幫助數據中(zhōng)心操作(zuò)員将敏捷性和經濟性提高若幹數量級。
深信服網絡虛拟化aNet方案通過和服務(wù)器虛拟化aSV相結合,在虛拟機和物(wù)理(lǐ)網絡之間,提供了一整套完整的邏輯網絡設備、連接和服務(wù),包括分(fēn)布式虛拟交換機aSwitch、虛拟路由器aRouter、虛拟下一代防火牆vNGAF、虛拟應用(yòng)交付vAD、虛拟vSSL VPN、虛拟廣域網優化vWOC等虛拟網絡、安(ān)全設備;然後,還可(kě)以支持VXLAN等增強網絡協議,實現和物(wù)理(lǐ)網絡的無縫對接,簡化網絡的配置管理(lǐ);此外,還可(kě)以通過虛拟化管理(lǐ)平台,實現網絡拓撲部署、網絡故障探測等網絡管理(lǐ)功能(néng)。
從而,aNet虛拟網絡可(kě)以快速完成不同應用(yòng)系統的網絡部署,網絡配置的自動化調整,網絡故障排查等工(gōng)作(zuò),提升網絡的管理(lǐ)運維效率,提升網絡就緒、擴展速度,降低數據中(zhōng)心物(wù)理(lǐ)網絡的建設成本。
存儲虛拟化(aSAN)
深信服存儲虛拟化aSAN,基于集群設計,将服務(wù)器上的硬盤存儲空間組織起來形成一個統一的虛拟共享存儲資源池,即ServerSAN分(fēn)布式存儲系統,進行數據的高可(kě)靠、高性能(néng)存儲。分(fēn)布式存儲系統在功能(néng)上與獨立共享存儲完全一緻;一份數據會同時存儲在多(duō)個不同的物(wù)理(lǐ)服務(wù)器硬盤上,提升數據可(kě)靠性;此外,再通過SSD緩存,可(kě)以大幅提升服務(wù)器硬盤的IO性能(néng),實現高性能(néng)存儲。同時,由于存儲與計算完全融合在一個硬件平台上,用(yòng)戶無需像以往那樣購(gòu)買連接計算服務(wù)器和存儲設備的SAN網絡設備(FC SAN或者iSCSI SAN)。
網絡功能(néng)虛拟化(NFV)
當前軟件定義網絡成為(wèi)了技(jì )術發展的趨勢,深信服也率先在國(guó)内推出全系列的數據中(zhōng)心安(ān)全、優化産(chǎn)品(NGAF下一代防火牆、SSL VPN、AD應用(yòng)交付、WOC廣域網優化)軟件虛拟化解決方案。這些過去需要以專用(yòng)硬件方式部署的産(chǎn)品,不再需要依賴專用(yòng)的硬件,可(kě)以以軟件鏡像的方式,完美支持在Vmware、KVM、XEN等服務(wù)器虛拟化環境下的部署。從而極大的簡化政務(wù)雲數據中(zhōng)心網絡的架構,為(wèi)各個租戶的虛拟應用(yòng)按需、靈活的虛拟擴展出各種安(ān)全和優化方案,同時還便于劃分(fēn)清楚各方的運維職責。
深信服超融合架構的優勢
1、提供更加完整的IT基礎架構虛拟化方案,涵蓋網絡、安(ān)全、存儲、計算
2、管理(lǐ)運維更加便捷、簡單,零學(xué)習成本,讓IT架構所畫即所得
3、整體(tǐ)擁有(yǒu)成本更低,無需特殊、專用(yòng)的網絡、服務(wù)器設備即可(kě)實現
4、國(guó)産(chǎn)化,提供多(duō)樣、豐富的L2-L7安(ān)全和優化功能(néng),更好的滿足合規要求
超融合架構最佳實踐
超融合架構可(kě)以應用(yòng)到數據中(zhōng)心涉及的衆多(duō)業務(wù)系統的領域,尤其是應用(yòng)開發測試環境、新(xīn)業務(wù)系統上線(xiàn)和非關鍵業務(wù)系統改造是特别适合部署超融合架構。
以下為(wèi)深信服超融合架構的三個實際應用(yòng)案例分(fēn)享
某汽車(chē)制造業
背景:應用(yòng)開發部門每周至少要測試一套業務(wù)系統,給網絡運維部門帶來很(hěn)大的工(gōng)作(zuò)量。每次測試都要改變網絡架構和相應的部署環境
解決之道:在數據中(zhōng)心劃分(fēn)了一個獨立的區(qū)域,用(yòng)5台超融合一體(tǐ)機,搭建了一套專用(yòng)的測試環境。利用(yòng)計算、網絡和存儲虛拟化模拟出4個測試拓撲模闆,
超融合方案價值:其中(zhōng)模拟出一個在隊列深度為(wèi)1的情況下實現了IOPS高達2萬的模闆,測試上線(xiàn)周期縮短,運維工(gōng)作(zuò)量減少,無需大量硬件支撐
等保三級整改一站式方案
等保整改方案五步走
1. 安(ān)全域劃分(fēn)
做等級保護的整改,第一步一定是要明确安(ān)全域。下面是經典安(ān)全域劃分(fēn)方案:
業務(wù)服務(wù)器域:客戶的業務(wù)服務(wù)器和存儲的安(ān)全區(qū)域
用(yòng)戶終端域:用(yòng)戶終端,一些完全不重要的服務(wù)器
安(ān)全管理(lǐ)域:安(ān)全管理(lǐ)中(zhōng)心,包括網管系統服務(wù)器啊,終端安(ān)全管理(lǐ)的服務(wù)器等用(yòng)來做網絡和安(ān)全運維管理(lǐ)的這些設備
互聯網出口域:互聯網出口的網絡和安(ān)全設備
2. 互聯網出口
在互聯網出口部署防火牆、入侵防禦、病毒過濾、上網行為(wèi)管理(lǐ)、鏈路負載;
3. 安(ān)全域互訪隔離
所有(yǒu)的安(ān)全域之間必須通過防火牆才能(néng)互聯互通;
4. Web安(ān)全防護
web服務(wù)器前部署web防火牆;
5. 安(ān)全管理(lǐ)中(zhōng)心
在安(ān)全管理(lǐ)中(zhōng)心要有(yǒu)這些東西:漏洞掃描系統、數據庫審計系統、終端安(ān)全管理(lǐ)系統、網管系統、應用(yòng)性能(néng)管理(lǐ)系統、SSL VPN、防病毒系統、運維堡壘主機;
以上五個步驟完成,設備整改完成。
疑難問題解答(dá)
是不是上面這些設備都部署,才能(néng)通過三級等保? 回答(dá):不是。上面是比較理(lǐ)想的情況,實際情況根據客戶預算和客戶實際需求來進行,部署70-80%的設備即可(kě)。
安(ān)全域隔離防火牆,很(hěn)多(duō)客戶利用(yòng)交換機的ACL做,測評中(zhōng)心也認可(kě)。 回答(dá):對。等保要求進行訪問控制,沒要求必須用(yòng)防火牆,交換機ACL也是訪問控制手段,但用(yòng)防火牆是最專業的訪問控制設備,其專業性智能(néng)型運維容易程度都遠(yuǎn)遠(yuǎn)強于交換機ACL,而且交換機ACL損耗交換機性能(néng)嚴重,交換機是交換設備,不是專業的安(ān)全設備。
是不是做了這些就可(kě)以通過等保測評了?
回答(dá):設備層面足夠了。還需要做一些安(ān)全加固和管理(lǐ)制度文(wén)檔整理(lǐ)。
安(ān)全加固指的是把服務(wù)器、數據庫、網絡設備、安(ān)全設備、業務(wù)系統的一些安(ān)全策略調整到符合等保的規定,比如你服務(wù)器密碼都是666,現在開啓服務(wù)器的密碼強度要求這個策略,就是安(ān)全加固。文(wén)檔整理(lǐ)主要是安(ān)全管理(lǐ)制度,以及測評申請書。
了解到客戶情況後,怎麽給客戶做整改方案? 回答(dá):上面整改五步走,每一步都說明了需要什麽,缺少的設備就是需要整改的。安(ān)全加固和安(ān)全制度是肯定需要整改的。
雲計算安(ān)全解決方案
業務(wù)挑戰
目前,許多(duō)組織已經将業務(wù)系統遷移到雲平台上,雲平台已經成為(wèi)組織重要的IT基礎設施。雲計算技(jì )術給傳統的IT基礎設施、應用(yòng)、數據以及運營管理(lǐ)都帶來了革命性改變,對于安(ān)全管理(lǐ)來說,既是挑戰,也是機遇。首先,雲計算引入了新(xīn)的威脅和風險,進而也影響和打破了傳統的信息安(ān)全保障體(tǐ)系設計、實現方法和運維管理(lǐ)體(tǐ)系;其次,雲計算的資源彈性、按需調配、高可(kě)靠性及資源集中(zhōng)化等都間接增強或有(yǒu)利于安(ān)全防護,同時也給安(ān)全措施改進和升級、安(ān)全應用(yòng)設計和實現、安(ān)全運維和管理(lǐ)等帶來了問題和挑戰。 根據調研數據,雲計算安(ān)全風險是客戶所關注的重點,雲計算安(ān)全已經成為(wèi)組織規劃、設計、建設和使用(yòng)雲計算系統所急需解決的重大問題之一。
解決方案
雲計算安(ān)全防護方案設計遵循以業務(wù)為(wèi)中(zhōng)心,風險為(wèi)導向的,基于安(ān)全域的縱深主動防護思想,綜合考慮雲平台安(ān)全威脅、需求特點和相關要求,對安(ān)全防護體(tǐ)系架構、内容、實現機制及相關産(chǎn)品組件進行了優化設計。 雲計算安(ān)全方案主要由安(ān)全資源池、安(ān)全子平台、安(ān)全運營管理(lǐ)平台和安(ān)全應用(yòng)等組成。 安(ān)全資源池:支持物(wù)理(lǐ)安(ān)全設備、虛拟化安(ān)全設備、SaaS安(ān)全服務(wù)等各種安(ān)全資源,接受各安(ān)全子平台的管理(lǐ),對外提供相應的安(ān)全能(néng)力。 安(ān)全運營管理(lǐ)平台:與安(ān)全子平台配合,提供安(ān)全産(chǎn)品開通、調度、服務(wù)編排,以及安(ān)全運維功能(néng),并實現與雲管理(lǐ)平台和SDN控制器的對接。安(ān)全運營平台包含了雲安(ān)全運營的一些共性功能(néng)模塊和一些提供特定安(ān)全能(néng)力的子平台。 安(ān)全子平台:管理(lǐ)安(ān)全資源,提供安(ān)全策略管理(lǐ)、配置管理(lǐ)、安(ān)全能(néng)力管理(lǐ)、安(ān)全日志(zhì)管理(lǐ)等與特定安(ān)全應用(yòng)密切相關的功能(néng)。根據應用(yòng)場景的不同,可(kě)靈活配置和擴展。 安(ān)全應用(yòng):基于安(ān)全子平台提供的安(ān)全能(néng)力,提供管理(lǐ)、控制、分(fēn)析、呈現功能(néng)的組件。用(yòng)戶可(kě)根據需要靈活選配。
方案亮點
适應性廣,安(ān)全功能(néng)多(duō) 支持VMWare、OpenStack雲平台,以及基于KVM、Xen的各種定制化雲平台。同時,可(kě)以支持物(wù)理(lǐ)的、虛拟化、SaaS化的安(ān)全資源類型,提供多(duō)種安(ān)全能(néng)力。
模塊化架構,可(kě)靈活擴展 系統采用(yòng)模塊化架構,根據應用(yòng)場景和需求的不同,可(kě)以選擇和部署相應的安(ān)全資源、安(ān)全子平台、安(ān)全應用(yòng),滿足經濟性、合規性要求。
彈性資源,收放自如 通過資源池化技(jì )術、負載均衡技(jì )術、熱遷移技(jì )術,以及通過安(ān)全子平台的能(néng)力,可(kě)以對外提供安(ān)全、彈性的安(ān)全功能(néng),自如的進行擴容、縮容。
全程自動化,可(kě)快速部署 運用(yòng)SDN、NFV技(jì )術,用(yòng)戶通過安(ān)全運營平台可(kě)以按需、自助的進行安(ān)全能(néng)力的開通、安(ān)全APP的下載、安(ān)裝(zhuāng)和使用(yòng)。同時,可(kě)以根據業務(wù)需要,實現多(duō)種安(ān)全設備的協同防護,抵禦各類安(ān)全攻擊事件。
安(ān)全策略的動态跟随 對于雲計算系統安(ān)全域邊界的動态變化,通過區(qū)域子網劃分(fēn)、安(ān)全隔離、SDN、分(fēn)布式交換等技(jì )術,可(kě)以做到邊界防護策略的持續有(yǒu)效,保障雲平台的安(ān)全。
應用(yòng)場景 适用(yòng)于私有(yǒu)雲、公(gōng)有(yǒu)雲、混合雲等各類雲平台的安(ān)全防護。既适用(yòng)于原生服務(wù)器虛拟化、雲平台的場景,也可(kě)以應用(yòng)于采納SDN和NFV技(jì )術的軟件定義數據中(zhōng)心場景。
私有(yǒu)雲
構建私有(yǒu)雲
利用(yòng)軟件定義的數據中(zhōng)心體(tǐ)系結構構建和運行基于虛拟化的私有(yǒu)雲。交付虛拟化基礎架構服務(wù)以及高度可(kě)用(yòng)的應用(yòng)和服務(wù)。
超越服務(wù)器虛拟化
服務(wù)器虛拟化可(kě)在提高業務(wù)敏捷性的同時,使 CAPEX 和 OPEX 成本削減 50%* 以上。現在,您可(kě)以對數據中(zhōng)心的其餘部分(fēn)進行虛拟化,以使所有(yǒu) IT 服務(wù)都能(néng)像虛拟機一樣調配和管理(lǐ)起來既經濟,又(yòu)便捷。軟件定義的數據中(zhōng)心體(tǐ)系結構可(kě)将抽象化、池化和自動化延展到其餘的數據中(zhōng)心資源,包括計算、網絡和存儲。可(kě)以基于任意雲計算基礎架構部署您的虛拟化基礎架構并實現跨平台管理(lǐ)。
高度可(kě)用(yòng)的應用(yòng)和服務(wù)
利用(yòng)軟件定義的數據中(zhōng)心 (SDDC) 體(tǐ)系結構,基于 超融合架構的私有(yǒu)雲可(kě)為(wèi)通過标準化和整合的數據中(zhōng)心實現高度可(kě)用(yòng)的應用(yòng)和服務(wù)奠定基礎。借助私有(yǒu)雲,還可(kě)實現安(ān)全、合規的 IT,對 IT 運維進行智能(néng)控制,以及快速調配應用(yòng)并實現持續監管。
網絡信息安(ān)全整體(tǐ)解決方案
背景
随着近年來INTERNET接入的普及和寬帶的增加,各行業分(fēn)布全國(guó)乃至全球的用(yòng)戶群體(tǐ),信息化應用(yòng)系統對網絡的依賴性也越來越強,業務(wù)對網絡的依賴程度也越來越大,信息安(ān)全的重要性也在不斷提升,用(yòng)戶所面臨的各種問題也變得越來越複雜,來自不同層面的安(ān)全威脅也越來越多(duō)。如何确保網絡和應用(yòng)的連續高可(kě)用(yòng)、網絡安(ān)全防範、應用(yòng)訪問安(ān)全分(fēn)權接入、智能(néng)終端無縫接入、内部網絡高效管理(lǐ)、數據存儲的完整和高可(kě)用(yòng)、運維操作(zuò)的管理(lǐ),以及如何對數據庫系統的訪問和管理(lǐ)進行合理(lǐ)的審計分(fēn)析已經成為(wèi)企業迫切需要關注的問題。
解決方案
通過互聯網出口部署負載均衡設備解決鏈路流量分(fēn)配不合理(lǐ),對多(duō)條鏈路健康狀況實時監控和智能(néng)負載;對所有(yǒu)應用(yòng)系統實現持續監測健康狀态合理(lǐ)調度,一旦服務(wù)系統集群内單台服務(wù)器故障實現智能(néng)切換到其他(tā)正常服務(wù)器系統上,保證應用(yòng)服務(wù)訪問的持久穩定。
通過在互聯網出口、内部專線(xiàn)網絡入口、服務(wù)器區(qū)域等部署應用(yòng)層防火牆,不僅能(néng)夠實現原有(yǒu)區(qū)域安(ān)全隔離的效果,還能(néng)夠實現IPS入侵防禦、AV病毒防護、DOS/DDOS等安(ān)全功能(néng);針對WEB應用(yòng)的WAF防護,能(néng)防止黑客利用(yòng)web應用(yòng)程序及各類B/S業務(wù)的應用(yòng)程序漏洞進行的各種攻擊,實現雙向數據的訪問過濾。桌面端部署網絡版防護軟件及數據加密管理(lǐ)系統,解決客戶最後一公(gōng)裏的安(ān)全問題,确保企業内部數據的安(ān)全可(kě)控。
通過在服務(wù)器區(qū)部署SSL VPN産(chǎn)品,将服務(wù)器與外界進行邏輯隔離,使所有(yǒu)來自外部的訪問請求都經過SSL VPN的認證才能(néng)安(ān)全接入訪問;在接入後進行嚴格的控制訪問權限,使人員與資源相關聯,防止越權訪問。
通過部署專業的存儲備份系統,對所有(yǒu)的應用(yòng)服務(wù)器采用(yòng)網絡備份方式,通過局域網或專用(yòng)的備份局域網絡,對應用(yòng)服務(wù)器的數據進行備份,将數據通過備份服務(wù)器寫入到磁帶庫或磁盤陣列中(zhōng),确保數據的安(ān)全和完整。
通過運維審計系統對企業内部的主要信息系統、網絡系統等遠(yuǎn)程運維操作(zuò)進行綜合審計,針對核心數據資産(chǎn)的違規訪問和操作(zuò)得到有(yǒu)效監管。 通過數據審計系統的旁路監聽方式采集,分(fēn)析處理(lǐ),記錄數據庫服務(wù)器的所有(yǒu)操作(zuò),提供監測報警策略設置、數據庫服務(wù)器負擔狀況統計分(fēn)析、數據庫客戶端訪問操作(zuò)統計分(fēn)析以及數據庫客戶端訪問排名(míng)等功能(néng),實現對數據庫服務(wù)器應用(yòng)(包括數據庫系統操作(zuò),數據操作(zuò))的實時監測、報警、記錄和審計。
方案價值
實現了多(duō)台服務(wù)器(服務(wù)器集群)合理(lǐ)利用(yòng),為(wèi)企業業務(wù)的擴充和系統規模的提高創造有(yǒu)利的條件。 實現了多(duō)條鏈路合理(lǐ)利用(yòng),另外豐富的報表功能(néng),提供鏈路負載統計、商(shāng)業決策分(fēn)析、穩定性統計報表等幫助企業了解鏈路使用(yòng)情況,從而為(wèi)企業提供網絡優化和改造的依據,為(wèi)企業業務(wù)運營計劃,提供商(shāng)業決策的依據。
應用(yòng)層防火牆多(duō)個安(ān)全功能(néng)模塊,多(duō)核并行處理(lǐ)技(jì )術保障,不僅能(néng)替代原有(yǒu)傳統防火牆的所有(yǒu)功能(néng),且穩定性好;特别針對應用(yòng)層安(ān)全風險提供完整的應用(yòng)安(ān)全加固技(jì )術,幫助客戶實現全面的安(ān)全防護,防護來自内外網的各個層面的安(ān)全風險。解決了用(yòng)戶網絡安(ān)全管理(lǐ)難題,彌補了現有(yǒu)傳統安(ān)全體(tǐ)系針對應用(yòng)層防護的不足,有(yǒu)效阻止了來之應用(yòng)層的各類攻擊,實現了廣域網流量清洗的效果。
實現了“三合一”的WEB安(ān)全 事前,快速的進行風險掃描,幫助用(yòng)戶快速定位安(ān)全風險并智能(néng)更新(xīn)防護策略; 事中(zhōng),有(yǒu)效防止了引起網頁(yè)篡改問題、網頁(yè)挂馬問題、敏感信息洩漏問題、無法響應正常服務(wù)問題及“拖庫”、“暴庫”問題的web攻擊、漏洞攻擊、系統掃描等攻擊; 事後,對服務(wù)器外發内容進行安(ān)全檢測,防止攻擊繞過安(ān)全防護體(tǐ)系,對Web業務(wù)産(chǎn)生的網站篡改、數據洩漏問題。
實現了終端的“主動防禦”,建立一個覆蓋全網的、可(kě)伸縮、抗打擊的防病毒體(tǐ)系。 實現了數據内部安(ān)全傳輸,确保數據外發的密級保護,建立一個可(kě)控的文(wén)件共享傳輸體(tǐ)系。 實現了精(jīng)細的應用(yòng)控制,有(yǒu)效阻止内部敏感信息外發,并能(néng)提高員工(gōng)工(gōng)作(zuò)效率;全面的安(ān)全防護措施,過濾木(mù)馬惡意鏈接網址,強化分(fēn)支辦(bàn)公(gōng)終端的安(ān)全;細緻的上網行為(wèi)審計,完全滿足公(gōng)安(ān)部門的監管要求;精(jīng)确流量管控,合理(lǐ)的記性流量分(fēn)配;實用(yòng)的智能(néng)分(fēn)析系統,為(wèi)客戶決策出謀劃策。 實現了應用(yòng)的安(ān)全、快速、穩定的業務(wù)接入訪問;便捷的用(yòng)戶體(tǐ)驗,降低了管理(lǐ)工(gōng)作(zuò)量,應用(yòng)程序圖形化的方式呈現于智能(néng)終端之上,實現輕松跨平台訪問,為(wèi)多(duō)元化的終端辦(bàn)公(gōng)提供了快速安(ān)全的途徑。 實現了一體(tǐ)化的備份與恢複,可(kě)為(wèi)各種複雜的環境提供最全面的備份與恢複,就保護公(gōng)司最寶貴的資産(chǎn)數據而言,減少了其中(zhōng)的複雜性及恢複的時效性,确保了數據的安(ān)全和完整。 滿足IT運維合規性要求,順利通過IT審計;實現了對企業IT資源的管理(lǐ);實現了對IT用(yòng)戶的管理(lǐ)、對IT用(yòng)戶的授權管理(lǐ);實現了對運維操作(zuò)日志(zhì)的完整記錄;符合等級保護要求完善了國(guó)家法律法規的要求。 實現了針對所有(yǒu)帳戶對數據庫訪問與操作(zuò)的全面監測審計;加強了對數據庫臨時帳戶的審計監測;加強了針對重要敏感數據的訪問的審計監測;提供了詳細的數據庫審計記錄及分(fēn)類統計;實現了數據庫異常操作(zuò)監測報警;彌補了數據庫系統内置日志(zhì)審計的缺陷。
等級保護測評服務(wù)介紹
等級保護概述
等級保護政策背景
等級保護是國(guó)家信息安(ān)全保障的基本制度、基本策略、基本方針。開展信息安(ān)全等級保護工(gōng)作(zuò)是保護信息化發展、維護國(guó)家信息安(ān)全的根本保障,是信息安(ān)全保障工(gōng)作(zuò)中(zhōng)國(guó)家意志(zhì)的體(tǐ)現。
通過将等級化方法和安(ān)全體(tǐ)系方法有(yǒu)效結合,設計一套等級化的信息安(ān)全保障體(tǐ)系,是适合我國(guó)國(guó)情、系統化地解決大型組織信息安(ān)全問題的一個非常有(yǒu)效的方法。
國(guó)家信息安(ān)全等級保護堅持自主定級、自主保護的原則。信息系統的安(ān)全保護等級應當根據信息系統在國(guó)家安(ān)全、經濟建設、社會生活中(zhōng)的重要程度,信息系統遭到破壞後對國(guó)家安(ān)全、社會秩序、公(gōng)共利益以及公(gōng)民(mín)、法人和其他(tā)組織的合法權益的危害程度等因素确定。
為(wèi)進一步貫徹落實《國(guó)家信息化領導小(xiǎo)組關于加強信息安(ān)全保障工(gōng)作(zuò)的意見》(中(zhōng)辦(bàn)發[2003-27]号)、《關于信息安(ān)全等級保護工(gōng)作(zuò)的實施意見》(公(gōng)通字[2004]66号)、《信息安(ān)全等級保護管理(lǐ)辦(bàn)法》(公(gōng)通字[2007]43号)、《關于開展全國(guó)重要信息系統安(ān)全等級保護定級工(gōng)作(zuò)的通知》(公(gōng)信安(ān)[2007]861号)等文(wén)件的精(jīng)神,提高我國(guó)基礎信息網絡和重要信息系統的信息安(ān)全保護能(néng)力和水平,自2007年開始,從國(guó)家層面開始推動我國(guó)的政府、金融、電(diàn)力、電(diàn)信、交通等基礎行業在全國(guó)範圍内組織開展重要信息系統安(ān)全等級保護定級、備案、測評、整改工(gōng)作(zuò)。
等級保護涉及系統
根據等級保護相關政策要求,需要實施等級保護的信息系統包括:
黨政系統(黨委、政府);
金融系統(銀行、保險、證券)及财稅系統(财政、稅務(wù)、 工(gōng)商(shāng));
經貿系統(商(shāng)業貿易、海關);
電(diàn)信系統(郵電(diàn)、電(diàn)信、廣播、電(diàn)視);
能(néng)源系統(電(diàn)力、熱力、燃氣、煤炭、油料);
交通運輸系統(航空、航天、鐵路、公(gōng)路、水運、海運);
供水系統(水利及水源供給);
社會應急服務(wù)系統(醫(yī)療、消防、緊急救援);
教育科(kē)研系統(教育、科(kē)研、尖端科(kē)技(jì ));
國(guó)防建設系統;
國(guó)有(yǒu)大中(zhōng)型企業系統;
互聯單位、接入單位、重點網站及向公(gōng)衆提供上網服務(wù)場所的計算機信息系統。
等級保護相關标準
我國(guó)現行等級保護工(gōng)作(zuò)主要相關标準如下:
《計算機信息系統安(ān)全保護等級劃分(fēn)準則》(GB 17859-1999)
《信息系統安(ān)全等級保護定級指南》(GB/T 22240-2008)
《信息系統安(ān)全等級保護基本要求》(GB/T 22239-2008)
《信息系統安(ān)全等級保護實施指南》(GB/T 25058-2010)
《信息系統安(ān)全等級保護測評要求》(V2.0(送審稿))
《信息安(ān)全技(jì )術 網絡基礎安(ān)全技(jì )術要求》(GB/T 20270-2006)
《信息安(ān)全技(jì )術 信息系統通用(yòng)安(ān)全技(jì )術要求》(GB/T 20271-2006)
《信息安(ān)全技(jì )術 操作(zuò)系統安(ān)全技(jì )術要求》(GB/T 20272-2006)
《信息安(ān)全技(jì )術 數據庫管理(lǐ)系統安(ān)全技(jì )術要求》(GB/T 20273-2006)
《信息安(ān)全技(jì )術 服務(wù)器技(jì )術要求》(GB/T 21028-2007)
《信息安(ān)全技(jì )術 終端計算機系統安(ān)全等級技(jì )術要求》(GA/T 671-2006)
《信息安(ān)全技(jì )術 信息系統安(ān)全管理(lǐ)要求》(GB/T 20269-2006)
《信息安(ān)全技(jì )術 信息系統安(ān)全工(gōng)程管理(lǐ)要求》(GB/T 20282-2006)
《信息安(ān)全技(jì )術 信息安(ān)全事件分(fēn)類分(fēn)級指南》(GB/Z 20986-2007)
《涉及國(guó)家秘密的計算機信息系統分(fēn)級保護技(jì )術要求》 BMB 17-2006
《涉及國(guó)家秘密的信息系統分(fēn)級保護管理(lǐ)規範》 BMB 20-2007
《涉及國(guó)家秘密的計算機信息系統分(fēn)級保護測評指南》 BMB 22-2007
《涉及國(guó)家秘密的計算機信息系統安(ān)全保密測評指南》 BMZ 3-2001
等級保護服務(wù)介紹
信息安(ān)全等級保護工(gōng)作(zuò)流程包括以下幾個階段:系統定級、系統備案、差距測評、系統整改、驗收測評、定期測評等階段。包含的工(gōng)作(zuò)内容如下:
系統定級:信息系統運營使用(yòng)單位按照《信息系統信息安(ān)全等級保護定級指南》,确定信息系統安(ān)全等級。有(yǒu)主管部門的,報主管部門審核批準。
系統備案:已運營的第二級以上信息系統,在安(ān)全保護等級确定後30天内,由其運營、使用(yòng)單位到所在地區(qū)的市級以上安(ān)全機關辦(bàn)理(lǐ)備案手續。第三極以上信息系統,還需要提供相關附件材料。相應安(ān)全機關審核通過後,由公(gōng)安(ān)機關頒發系統等級保護備案證書。
差距測評:選擇有(yǒu)資質(zhì)的等級保護測評機構,進行差距測評,形成等級保護測評報告。
系統整改:根據測評結果,制訂整改方案,按照國(guó)家的相關規範和技(jì )術标準,使用(yòng)符合國(guó)家相關規定,滿足系統等級需求産(chǎn)品,并調試及進行信息系統安(ān)全整改工(gōng)作(zuò)。(備注:一般情況下,為(wèi)保證系統整改的效果,差距測評及系統整改兩個階段由同一家公(gōng)司完成)。
驗收測評:選擇第三方測評機構進行驗收測評,驗收合格後,系統運營、使用(yòng)單位向地級以上市公(gōng)安(ān)機關提交測評報告,審核通過後,由公(gōng)安(ān)機關頒發合格證書。
定期測評:定期選擇第三方測評機構進行測評。三級系統每年至少一次,四級以上系統每半年至少一次。
等級保護測評實施流程
信息系統安(ān)全等級測評分(fēn)為(wèi)四個過程階段:測評準備過程、方案編制過程、測評實施過程、分(fēn)析與報告編制過程。
具(jù)體(tǐ)測評實施流程圖如下所示:
一、測評準備過程:主要是通過訪談的方式了解被測系統的基本情況,包括被測系統的物(wù)理(lǐ)環境,網絡結構和邊界,網絡設備,主機系統,應用(yòng)系統等測評對象情況。
二、方案編制過程:根據被測系統的定級報告和系統自身的情況确定測評指标和對應的測評實施内容、對測評實施中(zhōng)的測試和滲透測試項編制測試方案,細化測試點,測試工(gōng)具(jù),測試對象,測試方法,測試步驟,對現場測評的總體(tǐ)計劃作(zuò)出安(ān)排,根據上述工(gōng)作(zuò)内容編制完成方案,然後測評雙方對測評方案進行确認、審核,并進一步溝通和協調以确定現場測評計劃。
三、測評實施過程:根據雙方确認的測評方案到被測系統現場完成測評工(gōng)作(zuò)。現場測評工(gōng)作(zuò)涉及三類方法:訪談、檢查和測試。訪談是我方測評人員通過與信息系統有(yǒu)關人員(個人/群體(tǐ))進行交流、讨論等活動,獲取證據以證明信息系統安(ān)全防護措施是否有(yǒu)效。檢查是我方測評人員通過對測評對象進行觀察、查驗、分(fēn)析等活動,獲取證據以證明信息系統安(ān)全防護措施是否有(yǒu)效。測試是我方測評人員使用(yòng)預定的方法及工(gōng)具(jù)使測評對象産(chǎn)生特定的行為(wèi),通過查看、分(fēn)析這些行為(wèi)的結果,獲取證據以證明信息系統安(ān)全防護措施是否有(yǒu)效。
四、分(fēn)析與報告編制過程:在完成測評實施過程之後,我方将根據現場測評的記錄進行綜合測評分(fēn)析,包括單項測評結果彙總分(fēn)析,系統整體(tǐ)測評,系統風險分(fēn)析和評價,并最終給出差距分(fēn)析和整體(tǐ)建議。
等級保護測評内容
依據等級保護相關标準要求,對信息系統安(ān)全等級保護狀況進行測評評估,包括以下兩個方面的内容:
一、安(ān)全技(jì )術測評,包括物(wù)理(lǐ)、網絡、主機、數據及應用(yòng)安(ān)全測評;
二、安(ān)全管理(lǐ)測評,包括安(ān)全管理(lǐ)機構、人員安(ān)全管理(lǐ)、安(ān)全管理(lǐ)制度、系統建設管理(lǐ)、系統運維管理(lǐ)測評。
如下圖所示:
等級保護系統整改
東軟将根據等級保護差距測評結果,制訂等級保護整改方案,按照國(guó)家的相關規範和技(jì )術标準,采取符合國(guó)家相關規定、滿足系統等級需求的措施,進行信息系統安(ān)全整改工(gōng)作(zuò)。
3 等級保護服務(wù)客戶收益
滿足國(guó)家信息安(ān)全等級保護相關政策與标準要求。
實現信息系統等級化保護和等級化管理(lǐ)。
解決原有(yǒu)咨詢服務(wù)重視問題發現和提要求而
解決方案實施落實較弱的模式。
提高企業業務(wù)系統信息安(ān)全防護能(néng)力。
縮短從體(tǐ)系設計到體(tǐ)系實現的過程,避免咨詢服務(wù)成果與安(ān)全建設脫節的弊病。