网络安全等级保护测评规划与设计

笔者单位网络结构日益复杂,应用不断增多,使信息系统面临更多的风险。同时,网络攻防技术发展迅速,攻击的技术门槛随着自动化攻击工具的应用也在不断降低,勒索病毒等未知威胁也开始泛滥。基于此,笔者单位拟进行网络安全等级保护测评,根据等保2.0的相关标准要求,以“一个中心,三重防护”为核心理念,以安全技术保障、安全管理运营、安全监测预警、安全应急响应为路线,开展等保2.0的定级、备案、建设整改、测评工作,切实保障单位网络安全。

网络安全等级保护测评现状分析

笔者单位虽然已采取了安全措施,但仍存在各种安全隐患,例如:外部入侵;非授权访问;冒充合法用户;破坏数据完整性;网页篡改与数据丢失;来自内部人员的威胁;安全管理比较薄弱;未定期进行安全风险评估。考虑到目前的实际情况,建议采用渗透测试、漏洞扫描、上线前安全检测、安全事件应急处置、管理制度完善、等保咨询等服务。

网络安全等级保护测评设计原则和设计内容

以等保2.0的“一个中心,三重防护”思想为核心,构建集管控、防护、检测、响应、恢复和可信验证等于一体的信息安全保障体系。

“综合防范、整体安全”:坚持管理与技术并重,从人员、管理、安全技术手段等多方面着手,建立综合防范机制,实现整体安全。

“分域保护、务求实效”:科学划分系统安全区域,在完善已有安全配置基础上,制定适度安全策略,整体提高信息安全保障的有效性。

“同步建设”:安全保障体系规划与系统建设同步、协调发展,将安全保障体系建设融入到信息化建设的规划、建设、运行和维护的全过程中。

“纵深防御,集中管理”:构建从外到内、功能互补的纵深防御体系,对资产、安全事件、风险以及访问行为等进行集中统一分析与监管的管控中心。

“设计先进、扩展容易”:设计并采用的技术具有良好的可扩展性,充分保护当前的投资和利益,保障安全体系措施实现可持续发展。

以等保2.0相应等级防护要求为依据,在利用现有安全设备基础上,采用必要的安全服务,全面识别单位重要信息系统在技术层面和管理层面存在的不足和差距。增加必要的安全产品,设计合理的安全管理制度,建立科学的结构化的信息安全保障框架(如图1所示),建立“可信、可控、可管”的安全防护体系,保障相关业务系统安全稳定运行。具体设计内容如下:对相关系统进行整体安全风险评估,及时发现现有系统存在的风险;按照等保2.0相关要求进行安全建设整改,达到国家相关标准的要求。

图片

图1  安全体系总体框架图

等级保护三级系统实施

1.安全技术体系实施

建立系统安全管理中心,总体架构如图2所示。大数据安全分析平台采用ElasticSearch、Hadoop等开源数据存储和索引引擎,保证数据不被绑定,便于将来对数据的二次应用;采用B/S架构,支持全中文Web管理界面,支持SSL加密模式访问;支持针对网络中各类安全产品、网络设备、服务器、中间件、数据库等产品进行日志收集和标准化,通过探针进行流量数据采集,通过大数据综合分析提供安全风险分析和问题定位能力。

图片

图2  安全管理中心总体架构

安全通信网络主要从通信网络审计、通信网络数据传输完整性保护、通信网络数据传输保密性保护、可信连接验证方面进行防护。通过在外网边界安全域部署防火墙、在各个安全域边界部署防火墙,实现各个安全域的边界隔离和划分,在防火墙上配置访问控制策略。防火墙可根据会话状态信息,对源地址、目的地址、源端口、目的端口和协议等进行访问控制,做到允许/拒绝访问,控制力度可以为端口级。采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护。采用 SSL、IPSEC VPN 等产品或技术措施,实现整个报文或会话的保密性保护。采用身份认证系统、终端准入、VPN 等产品或技术措施,实现整个通信网络的设备真实可信,通过集中管理平台进行安全审计。

安全区域边界主要从区域边界访问控制、区域边界包过滤、区域边界安全审计、区域完整性保护、可信验证方面进行防护。根据区域边界安全控制策略,检查数据包的源地址、目的地址、传输层协议和请求的服务等,确定是否允许该数据包进出该区域边界。采用防火墙、Web应用防护系统、入侵防护、抗拒绝服务系统或者具有同等功能的产品,实现边界数据包过滤。设置自主和强制访问控制机制,对源及目标计算节点的身份、地址、端口和应用协议等进行可信验证,对进出安全区域边界的数据信息进行控制,阻止非授权访问。采用防火墙、身份认证、行为管理、入侵防护系统或同等功能的产品,实现对该区域网络数据包的出入控制。在安全域边界部署入侵检测及防御系统,及时识别由外到内和由内到外的入侵行为,并进行告警和阻断。部署下一代防火墙(开启病毒和垃圾邮件过滤功能),保证网络的高可用性,定期升级更新恶意代码库,降低被恶意代码攻击的风险。

2.安全管理体系实施

安全管理体系主要从安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理方面进行设计,由安全策略、管理制度、操作规程等构成全面的信息安全管理制度体系。

安全管理机构:明确系统管理员、网络管理员和安全管理员等岗位的岗位职责,将信息安全管理制度落实到人。

安全管理人员:在人员录用方面,要对新录用人员进行信息安全技术技能考核,从事关键岗位的人员在入职前还要签署岗位安全协议;针对即将离职和调离关键岗位的人员,制度上必须明确要求其承担的保密义务,必要时签署岗位保密协议,办理严格的调离手续后才能被允许离开;定期对各岗位的管理人员进行安全技能及安全认知考核,并对考核结果进行记录和保存;建立信息安全培训制度,定期组织信息安全培训;建立外部人员访问管理制度,对外部人员允许访问的区域、系统、设备、信息等内容进行书面的规定。

安全建设管理:制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则;委托第三方测试单位对系统进行安全性测试,并出具安全性测试报告;发布《信息化管理指导意见》制度;建立完善的系统交付管理制度,对系统交付的控制方法和人员行为准则进行书面规定。

安全运维管理:加强对办公环境的保密性管理,规范办公环境人员行为,包括不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等;完善资产清单,确定资产责任部门、重要程度,根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。对信息分类与标识方法做出规定,并对信息的使用、传输和存储等进行规范化管理。

3.安全服务体系实施

渗透测试:专业安全服务工程师模拟黑客攻击方式对用户信息系统进行非破坏性安全测试,发现深层次的安全隐患,验证现有安全措施的防护效果,及时了解其被入侵的可能性,提出整改建议。

安全事件处置:通过远程或现场的方式帮助客户对突发性安全事件进行安全处理,协助客户快速定位问题,分析判断安全事件原因,提供有效的解决建议,帮助用户将损失及影响降到最低。

信息安全管理制度建设:以风险评估、合规性分析结果为依据,按照相关行业要求,制定安全管理框架,明确管理方针、策略,以及相应的规定、操作规程、业务流程和记录表单,建立信息安全管理制度。

结语

随着网络技术的快速发展和数字化转型的推进,网络安全工作将面临更多挑战。网络安全三级等保测评对于网络安全具有深远的影响。通过测评,能够全面了解其网络安全状况,发现并解决存在的安全问题,提高网络安全防护能力。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/625141.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

一篇文章带你搞懂多线程面试相关的一些问题

目录 1.Callable接口 1.1使用Callable接口来创建线程 1.1相关面试题: 介绍下 Callable 是什么 2.JUC常见的类(java.util,concurrent) 2.1ReentrantLock ReentrantLock和sychronized的区别 3.信号量 4.CountDownLatch 5.线程安全的集合类 5.1多线…

yolov7_Obb环境安装

下载obb代码之后,除了安装python和pytorch环境,由于还需要编译nms部分的c代码,因此还需要安装Visual Studio. 这里推荐安装Visual Studio2019版本。 然后在系统环境中配置环境变量 C:\Program Files (x86)\Microsoft Visual Studio\2019\Co…

案例127:基于微信小程序的预约挂号系统

文末获取源码 开发语言:Java 框架:SSM JDK版本:JDK1.8 数据库:mysql 5.7 开发软件:eclipse/myeclipse/idea Maven包:Maven3.5.4 小程序框架:uniapp 小程序开发软件:HBuilder X 小程序…

文件按名称分类,批量归类到指定文件夹

我们的生活中充满了各种各样的文件:工作报告、家庭照片、旅行纪念品等,然而文件管理却是一个让人头疼的问题。你是否也曾在寻找某些文件名的重要文件,却因为文件混乱无章的堆放而感到烦躁不安?现在,有了我们【文件批量…

HTML--JavaScript--引入方式

啊哈~~~基础三剑看到第三剑,JavaScript HTML用于控制网页结构 CSS用于控制网页的外观 JavaScript用于控制网页的行为 JavaScript引入方式 引入的三种方式: 外部JavaScript 内部JavaScript 元素事件JavaScript 引入外部JavaScript 一般情况下网页最好…

积极参与建设“一带一路”,川宁生物与微构工场达成战略合作

2024年1月12日,北京微构工场生物技术有限公司(以下简称“微构工场”)与伊犁川宁生物技术股份有限公司(“川宁生物”)宣布签订战略合作协议,双方将共同出资设立合资公司,加速生物制造产业化落地&…

Linux操作系统——文件详解

1.文件理解预备知识 首先,当我们在磁盘创建一个空文件时,这个文件会不会占据磁盘空间呢? 答案是当然会占据磁盘空间了,因为文件是空的,仅仅指的是它的内容是空的,但是该文件要有对应的文件名,…

Redis图形界面闪退/错误2系统找不到指定文件/windows无法启动Redis/不是内部或外部命令,也不是可运行的程序

Redis图形界面闪退/错误2系统找不到指定文件/windows无法启动Redis/不是内部或外部命令,也不是可运行的程序 我遇到了以上的问题。 其实,最重要的原因是我打开不了another redis desktop mannager,就是我安装了之后,无法打开它…

【嵌入式学习笔记-02】什么是库文件,静态库的制作和使用,动态库的制作和使用,动态库的动态加载

【嵌入式学习笔记-02】什么是库文件,静态库的制作和使用,动态库的制作和使用,动态库的动态加载 文章目录 什么是库文件?编程模型的发展什么是库文件? 静态库的制作和使用动态库的制作和使用动态库的动态加载 什么是库文…

Docker-01-安装基础命令

Docker-01-安装&基础命令 文章目录 Docker-01-安装&基础命令一、Docker是什么?二、安装Docker①:卸载旧版②:配置Docker的yum库③:安装Docker④:启动和校验⑤:配置镜像加速01:注册阿里云…

SpringBoot知识02

1、快速生成mapper和service (1)(自动生成简单的单表sql) (2)快速生成多表(自动生成常量) 2、springboot配置swagger(路径不用加/api) (1&#…

Mindspore 公开课 - GPT

GPT Task 在模型 finetune 中,需要根据不同的下游任务来处理输入,主要的下游任务可分为以下四类: 分类(Classification):给定一个输入文本,将其分为若干类别中的一类,如情感分类、…

报名活动怎么做_小程序创建线上报名活动最详细攻略

报名活动怎么做:一篇让你掌握活动策划与营销的秘籍 在当今社会,无论是线上还是线下,活动已经成为企业营销和品牌推广的重要手段。但是,如何策划一场成功的活动呢?这篇文章将为你揭示活动策划与营销的秘籍,…

政采网调试要求及常见问题解决方法

登录平台软件环境要求: 操作系统:建议Win10及以上(Win10-64位专业版 版本号17134纯净安装版本) 浏 览 器:IE11浏览器、谷歌120.0.6099.217(64位正式版)浏览器 必要软件:CA互联互通…

Mindspore 公开课 - BERT

BERT BERT模型本质上是结合了 ELMo 模型与 GPT 模型的优势。 相比于ELMo,BERT仅需改动最后的输出层,而非模型架构,便可以在下游任务中达到很好的效果;相比于GPT,BERT在处理词元表示时考虑到了双向上下文的信息&#…

微服务架构设计核心理论:掌握微服务设计精髓

文章目录 一、微服务与服务治理1、概述2、Two Pizza原则和微服务团队3、主链路规划4、服务治理和微服务生命周期5、微服务架构的网络层搭建6、微服务架构的部署结构7、面试题 二、配置中心1、为什么要配置中心2、配置中心高可用思考 三、服务监控1、业务埋点的技术选型2、用户行…

2023年总结:雄关漫道真如铁,而今迈步从头越,今朝得失

2023年悄然离去,感谢大家的帮助、鼓励和陪伴,感谢家人的理解和支持,祝大家新年快乐,阖家幸福,身体健康。像往常一样,今年也会写一篇年终总结,也是自己的第11篇年终总结,题目就叫《雄…

32 二叉树的定义

之前的通用树结构 采用双亲孩子表示法模型 孩子兄弟表示法模型 引出二叉树 二叉树的定义: 满二叉树和完全二叉树 对此图要有印象 满二叉树一定是完全二叉树,但是完全二叉树不一定是满二叉树 小结

Javaweb之SpringBootWeb案例员工管理分页查询的详细解析

3. 员工管理 完成了部门管理的功能开发之后,我们进入到下一环节员工管理功能的开发。 基于以上原型,我们可以把员工管理功能分为: 分页查询(今天完成) 带条件的分页查询(今天完成) 删除员工&…

HNU-算法设计与分析-实验4

算法设计与分析实验4 计科210X 甘晴void 202108010XXX 目录 文章目录 算法设计与分析<br>实验41 回溯算法求解0-1背包问题问题重述想法代码验证算法分析 2 回溯算法实现题5-4运动员最佳配对问题问题重述想法代码验证算法分析 3 分支限界法求解0-1背包问题问题重述想法…