等级保护2.0安全架构介绍
等级保护2.0安全架构介绍
基于“动态安全”体系架构设计,构筑“网络+安全”稳固防线“等级保护2.0解决方案”,基于“动态安全”架构,将网络与安全进行融合,以合规为基础,面对用户合规和实际遇到的安全挑战,将场景化安全理念融入其中,为用户提供“一站式”的安全进化。
国家网络安全等级保护工作进入2.0时代
国家《网络安全法》于2017年6月1日正式施行,所有了网络运营者和关键信息基础设施运营者均有义务按照网络安全等级保护制度的要求对系统进行安全保护。随着2019年5月13日《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》标准的正式发布,国家网络安全等级保护工作正式进入2.0时代。
等级保护2.0关键变化
“信息安全”→“网络安全”
引入移动互联、工控、物联网等新领域
等保2.0充分体现了“一个中心三重防御“的思想。一个中心指“安全管理中心”,三重防御指“安全计算环境、安全区域边界、安全网络通信”,同时等保2.0强化可信计算安全技术要求的使用。
被动防御→主动防御
等级保护2.0解决方案拓扑结构设计
安全管理中心
- 大数据安全
(流量+日志) - IT运维管理
- 堡垒机
- 漏洞扫描
- WMS
- 等保建设咨询服务
建设要点
对安全进行统一管理与把控
集中分析与审计
定期识别漏洞与隐患
安全通信网络
- 下一代防火墙
- VPN
- 路由器
- 交换机
建设要点
构建安全的网络通信架构
保障信息传输安全
安全区域边界
- 下一代防火墙
(防病毒+垃圾邮件) - 入侵检测/防御
- 上网行为管理
- 安全沙箱
- 动态防御系统
- 身份认证管理
- 流量探针
- WEB应用防护
建设要点
强化安全边界防护及入侵防护
优化访问控制策略
安全计算环境
- 入侵检测/防御
- 数据库审计
- 动态防御系统
- 网页防篡改
- 漏洞风险评估
(渗透+漏扫服务) - 杀毒软件
建设要点
强调系统及应用安全
加强身份鉴别机制与入侵防范
安全通信网络:建设要点(等保三级)
| 等保要求 |
控制点 |
对应产品或方案 |
| 安全通信网络 |
网络架构 |
防火墙、路由器、交换机、网络规划与配置优化、关键设备/链路/服务器冗余 |
| 通信传输 |
VPN |
|
| 可信验证 |
可信计算机制 |
主干网络链路及设备均采用冗余部署
基于业务管理和安全需求划分出
有明确边界的网络区域
采用VPN或HTTPS等加密手段保护业务应用
安全区域边界:建设要点(等保三级)
| 等保要求 |
控制点 |
对应产品或方案 |
| 安全区域边界 |
边界防护 |
防火墙、身份认证与准入系统、无线控制器 |
| 访问控制 |
第二代防火墙、WEB应用防火墙、行为管理系统 |
|
| 入侵防范 |
入侵检测与防御、未知威胁防御、日志管理系统 |
|
| 恶意代码和垃圾邮件防范 |
防病毒网关、垃圾邮件网关,或第二代防火墙 |
|
| 安全审计 |
行为审计系统、身份认证与准入系统、日志管理系统 |
|
| 可信验证 |
可信计算机制 |
区域边界部署必要的应用层安全设备,
启用安全过滤策略
建立基于用户的身份认证与准入机制,
启用安全审计策略
采用行为模型分析等技术防御
新型未知威胁攻击
采集并留存不少于半年的关键网络、
安全及服务器设备日志
安全区域边界:建设要点(等保三级)
| 等保要求 |
控制点 |
对应产品或方案 |
| 安全计算环境 |
身份鉴别 |
身份认证与准入系统、堡垒机、安全加固服务 |
| 访问控制 |
身份认证与准入系统、安全加固服务 |
|
| 安全审计 |
堡垒机、数据库审计、日志管理系统 |
|
| 入侵防范 |
入侵检测防御、未知威胁防御、日志管理系统、渗透测试/漏洞扫描/安全加固服务 |
|
| 恶意代码防范 |
杀毒软件、沙箱 |
|
| 可信验证 |
可信计算机制 |
|
| 数据完整性 |
VPN、防篡改系统 |
|
| 数据保密性 |
VPN、SSL等应用层加密机制 |
|
| 数据备份恢复 |
本地数据备份与恢复、异地数据备份、重要数据系统热备 |
|
| 剩余信息保护 |
敏感信息清除 |
|
| 个人信息保护 |
个人信息保护 |
安全管理中心:建设要点(等保三级)
| 等保要求 |
控制点 |
对应产品 |
| 安全管理中心 |
系统管理 |
堡垒机 |
| 审计管理 |
堡垒机 |
|
| 安全管理 |
堡垒机 |
|
| 集中管控 |
VPN、IT运维管理系统、安全态势感知平台、日志管理系统 |
|
| 安全建设管理 |
测试验收 |
上线前安全检测服务 |
| 安全运维管理 |
漏洞和风险管理 |
渗透测试服务、漏洞扫描服务 |
系统管理员、审计管理员、安全管理员
权责清晰,三权分立
设置独立安全管理区,采集全网
安全信息,实施分析预警管理
借力专业安服人员,提供渗透测试等
高技术要求安全服务
等级保护2.0解决方案特色总结:1+N 全网安全
等保2.0标准名称《网络安全等级保护》,明确强调了安全体系的建设必须要跟网络架构设计紧密结合
完整的等保安全产品品类
1
提供基于SDN技术的网络安全支撑体系
2
全系列无线产品,形成有线无线全网统一安全体系
3
用户身份+应用鉴权
4
IT运维管理的可靠支撑
5
等级保护2.0推荐配置方案
| 序号 |
等保所需产品与服务 |
必备/可选(等保二级) |
必备/可选(等保三级) |
对应锐捷产品或服务名称 |
| 1 |
防火墙 |
必备 |
必备 |
RG-WALL |
| 2 |
入侵防御 |
必备 |
必备 |
RG-IDP |
| 3 |
日志审计与集中管理 |
必备 |
必备 |
RG-BDS |
| 4 |
渗透测试服务 |
必备 |
必备 |
渗透测试 |
| 5 |
漏洞扫描服务 |
必备 |
必备 |
漏洞扫描 |
| 6 |
堡垒机 |
可选 |
必备 |
RG-OAS |
| 7 |
上网行为管理 |
可选 |
必备 |
RG-UAC |
| 8 |
WAF应用防火墙 |
可选 |
必备 |
RG-WG |
| 9 |
终端准入系统 |
可选 |
必备 |
SMP系列 |
| 10 |
数据库审计 |
可选 |
可选 |
RG-DBS |
| 11 |
等级保护建设咨询 |
可选 |
可选 |
等级保护建设咨询 |
| 12 |
安全事件处置服务 |
可选 |
可选 |
安全事件处置 |
| 13 |
网站防篡改 |
可选 |
可选 |
RG-Wlock |
| 14 |
机房运维管理软件 |
可选 |
可选 |
RIIL |
| 15 |
未知威胁防御 |
可选 |
可选 |
RG-DDP |
| 16 |
APT |
可选 |
可选 |
RG-SandBox |
| 17 |
网络版杀毒软件 |
必备 |
必备 |
火绒终端安全(战略合作) |