《等保建设交流深信服ppt课件.pptx》由会员分享,可在线阅读,更多相关《等保建设交流深信服ppt课件.pptx(66页珍藏版)》请在三一办公上搜索。
1、信息安全等级保护建设,等级保护政策介绍和建设思路等级保护政策介绍等级保护政策解读等级保护建设思路探讨等保建设方案统一规划等保项目注意事项,目录,信息安全等级保护制度,信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。,等保的5个监管等级,等保采用分系统定级的方法,当拥有多个信息系统时,需要分别进行定级,并分别进行保护。在五个监管等级中,三级与四级系统为监管的重点,也是建设的重点。,决定等级的主要因素分析
2、,信息系统所属类型,业务数据类别,信息系统服务范围,业务处理的自动化程度,业务重要性,业务数据安全性,业务处理连续性,业务依赖性,基于业务的重要性和依赖性分析关键要素,确定业务数据安全性和业务处理连续性要求。,业务数据安全性,业务处理连续性,信息系统安全保护等级,根据业务数据安全性和业务处理连续性要求确定安全保护等级。,从等保的定级要求可以看出,等保关注的重点在于业务的可靠性和信息保密性。,不同级别之间保护能力的区别,总体来看,各级系统应对威胁的能力不同,即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后,系统能够恢复之前的各种状态的能力是不同的。一级具有15个技术目标,16个管理目标;二级具
3、有29个技术目标,25个管理目标;三级具有36个技术目标,27个管理目标;四级具有41个技术目标,28个管理目标。技术要求的变化包括:安全要求的增加安全要求的增强管理要求的变化包括:管理活动控制点的增加,每个控制点具体管理要求的增多管理活动的能力逐步加强,借鉴能力成熟度模型(CMM),等级保护定义的信息安全建设过程,等级保护工作对应完整的信息安全建设生命周期,等级保护建设的一般过程,整改,评估,定级,评测,确定系统或者子系统的安全等级,依据等级要求,对现有技术和管理手段的进行评估,并给出改进建议,针对评估过程中发现的不满足等保要求的地方进行整改,评测机构依据等级要求,对系统是否满足要求进行评测
4、,并给出结论,监管,对系统进行周期性的检查,以确定系统依然满足等级保护的要求,等级保护政策介绍和建设思路等级保护政策介绍等级保护政策与技术解读等级保护建设思路探讨等保建设方案统一规划等保分步实施实践,目录,等保的地位和作用,是信息安全工作的基本制度;是信息安全工作的基本国策;是信息安全工作的基本方法;是保护信息化、维护国家信息安全的根本保障,是国家意志的体现;是开展信息安全工作的抓手,也是灵魂。,摘自公安部的领导讲话,等保核心思想:适度安全,信息安全工作中,等保给予用户明确的目标,帮助用户更清晰的认识安全薄弱环节。没有100%的安全,适度安全的核心思想让用户达到投资/收益最佳比。,等保基本保护
5、要求框架,物理安全,安全管理制度,网络安全,系统安全,应用安全,数据安全,安全管理机构,人员安全管理,系统建设管理,系统运维管理,技术要求,管理要求,某级要求,等保不同级别的保护能力的区别,各级系统应对威胁的能力不同,即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后,系统能够恢复之前的各种状态的能力是不同的。,技术要求:安全要求的增加安全要求的增强管理要求:管理活动控制点的增加,每个控制点具体管理要求的增多管理活动的能力逐步加强,借鉴能力成熟度模型(CMM),等级保护技术要求归纳,不同等级保护技术措施要求,不同等级保护技术措施要求,等级保护管理要求,安全管理制度信息安全管理的前提,安全管理机
6、构信息安全管理的基础,人员安全管理信息安全管理的保障,系统建设管理围绕安全建设的设计、采购、实施,不断完善信息安全,系统运维管理信息安全管理的核心,安全管理,安全管理的目标是让管理制度切实落地,日常运维是最繁杂的工作。,等级保护政策介绍和建设思路等级保护政策介绍等级保护政策解读等级保护建设思路探讨等保建设方案统一规划等保分步实施实践,目录,建设思路:主动应对,借梯上楼,借梯上楼方法:以等保为契机,统一进行安全规划和建设,加强整个系统的信息安全优点:重整优化IT基础架构有计划地满足等保缺点:改造工作资金投入较大对象:没有针对某安全体系标准进行重整过的,查漏补缺方法:在现有IT架构中收集证据,不满
7、足的地方适当修补优点:改造工作资金投入小缺点:IT架构越补越复杂,最后补不胜补等保满足时间点不可预期对象:已经采用其他安全体系标准的IT系统,例如运营商,等保建设中常见的两种应对思路:借梯上楼是主动的改造思路。对于大多数IT系统,建议采用“借梯上楼”的方法,优化IT架构,满足等保,分责运维,等级保护建设流程建议,分步建设,数据中心,广域网,局域网,数据安全,应用安全,主机安全,网络安全,物理安全,分区分域统一规划,关于统一规划三点建议,分区分域为基础整个IT系统的安全基础在于信息资产的有序排列,排列方法即根据业务对资产分区分域,并针对性地实施安全策略。分模块设计,便于分步建设在分区分域基础上,
8、统一规划,同时针对每个区域模块化设计,每区域可独立实施,方便后期分步建设。注重技术支撑管理规划方案中,管理的方便性做为统一规划的重点“三分技术,七分管理”,通过技术手段,可以减少管理的工作量,让管理制度更好的落地。,公安部等级保护设计要求,公安部信息系统等级保护安全设计技术要求,设计要求从安全威胁角度的划分,高度抽象了安全关注的场景。,等保模块化设计框架,基础网络,数据中心,安全管理,安全监控,安全审计,CDP,远程灾备,应用安全,系统安全,以信息的三种状态为基础,针对等保物理、网络、系统、应用、数据技术方面要求和安全管理要求,划分出可分步实施的局域网、广域网、数据中心、安全管理中心等模块。,
9、重技术、轻管理,或者是重管理、轻技术都是不可取的,技术与管理并重,分责运维:技术支撑管理,通过技术手段,减轻运维中的工作量和复杂度,让管理制度更好落地,等级保护政策介绍和建设思路等保建设方案统一规划区域划分方法分域设计方案等保分步实施实践,目录,分区分域方法,横向分区,纵向分域按照等保要求,业务系统需要保持边界完整性,横向分区保持业务系统隔离纵向根据业务系统的不同角色,划分为数据中心/广域网/局域网虚拟分区,灵活节约多业务系统共用一套物理网络,虚拟分区保障业务系统隔离的同时,节省投资,在增加/变更业务系统时灵活方便,数据中心域,广域网安全域,局域网安全域,纵向分域,横向虚拟分区,分域:控制业务
10、访问流程,按照业务访问流程,将整个网络划分为三个域:数据中心、广域网、局域网域之间进行严格的访问控制,针对攻击进行全面防范域内包含多个业务的情况下,通过分区的方法进行隔离,权限控制攻击防范,资源控制,链路安全攻击防范,广域网优化,局域网,广域网,数据中心,终端,数据,数据备份,行为控制行为审计,终端认证,分区:保持业务系统的独立性,通过分区,各业务系统具有独立的IT环境保持边界完整,满足业务之间隔离需求每套业务系统具有独立资源,更好满足业务连续性要求分区隔离的方法网络改造进行物理隔离,例如涉密内网与其他业务系统结合应用类型采用IPSec或者SSL实现业务系统虚拟划分,局域网,广域网,数据中心,
11、局域网,广域网,数据中心,局域网,广域网,数据中心,业务A,业务B,业务C,IPSec,SSL,生产分区,物理资源,办公分区,Internet分区,虚拟化分区,在一套物理资源上,采用VPN技术为多个业务系统虚拟出隔离的IT环境虚拟化分区具有独立的逻辑资源:带宽、计算、策略数、管理员、QoS,虚拟化分区:节省投资,等级保护政策介绍和建设思路等保建设方案统一规划区域划分方法分域设计方案等保分步实施实践,目录,VPN,路由器,SG,Internet,AD,等保分域设计方案,SSL/NGAF/AD,MPLS,数据中心区域,图例,局域网区域,广域网区域,安全管理中心,GAP,WOC,NGAF,BM,NG
12、AF,AD,Internet,NGAF,NGAF,NGAF,NGAF,WOC,NGAF,金融行业,某政府行业,等级保护政策介绍和建设思路等保建设方案统一规划区域划分方法分域设计方案等保分步实施实践,目录,三大区域的核心技术措施要求,措施解读1:身份鉴别和自主访问控制,应用访问控制 网站访问 言论发布 文件传输 邮件收发 IM/P2P等应用 控制与提醒,要求1:身份鉴别和自主访问控制(1),需求描述:针对互联网业务鉴别用户身份,对不同用户进行不同权限下发,控制其可访问的资源。技术方案:通过AC或者SG针对用户互联网访问完成多维度的自主访问控制,认证服务器,AC/SG,要求1:身份鉴别和自主访问控
13、制(2),需求描述:对关键业系统的访问,可进行身份鉴别并根据鉴别结果设置细粒度的访问权限。技术方案:通过SSL VPN,结合多种认证方式,控制内/外部用户的访问权限。,角色细粒度授权,URL级别授权主从账号绑定服务器地址伪装、资源隐藏基于客户端安全级别的授权,应用权限控制,身份鉴别,局域网,广域网,数据中心,终端,系统,SSL,措施解读2:强制访问控制,措施解读3:安全审计,要求3:安全审计,需求描述:覆盖网络、安全、应用的行为进行审计。技术方案:网络中旁挂或者在线部署审计系统,审计所有流量,分析网络/主机/应用行为,提供丰富的审计报表,定期自动发送。,局域网,广域网,数据中心,终端,系统,S
14、SL,NGAF,AC,NGAF,要求3:安全审计(补充),针对数据库、设备操作、主机等方面的审计我们暂不涉及,收集&分析,Syslog,审计网关,操作日志,主机系统,SOC,系统事件,网络事件,行为事件,数据库事件,数据库系统,SNMP,网络系统,安全事件,防火墙/IPS,行为日志,措施解读4:完整性和保密性保护,要求4:完整性和保密性,需求描述:通过加密技术、完整性校验技术保障。技术方案:采用SSL 或者 IPSec VPN的方式,对内/外部访问内容加密实现。,外部数据中心,接入点,移动用户,分支/机构,SSL VPN,IPSec VPN,IPSec/WOC/AC,EasyConn,SSL
15、VPN,分支/机构,EasyConn,内部数据中心,IPSec/SSL二合一,业务A,业务B,SSL VPN,引导虚拟门户,针对不同等级业务系统进行隔离,引导主从绑定、国密算法、精细控制,措施解读5:边界保护,要求5:边界保护,需求描述:保持边界完整性,业务系统之间隔离。技术方案:采用NGAF+VPN,构造2-7层的全面隔离体系。,如何定义边界:通俗来说就是在各个安全域之间,可以有内部边界、外部边界等等。内部边界:数据中心内部、数据中心与广域网、广域网与局域网外部边界:外联区与互联网、局域网与互联网、终端拨号,措施解读6:资源控制,要求5:入侵防范和恶意代码防范,需求描述:保护终端和服务器不受
16、入侵/病毒的攻击。技术方案:采用NGAF/AC及网络版防病毒软件,实现从终端到应用系统的端到端防护,保障特征库的即时升级。,终端安全 终端安全检查 URL过滤 过滤脚本、插件 危险流量封堵 查杀木马、病毒,系统安全 服务器隐藏 Web防护 漏洞防护 抗DDoS 查杀木马、病毒,局域网,广域网,数据中心,终端,系统,措施解读7:入侵防范和恶意代码防范,要求6:资源控制,需求描述:保护服务器、带宽等资源的合理分配。技术方案:网络资源控制,部署广域网优化WOC,为广域网传输过程中的关键业务提供带宽保障。服务器资源控制,部署应用交付AD设备,限制访问者及其连接数,提升服务器的响应速度和计算性能,节省服
17、务器资源。,负荷80,负荷80,负荷80,广域网,控制服务器最大连接数控制单用户新建连接、并发连接、超时连接提升服务器对用户请求的响应速度,根据用户、业务类别,分配不同的带宽资源提供数据、链路、应用的全面优化,提升广域网访问速度,应用交付AD,广域网优化WOC,措施解读10:安全管理平台,需求10:安全管理平台设置,需求描述:集中策略部署,集中审计,集中响应。技术方案:数据中心的安全事件必须及时上报道安全管理平台,且接受管理平台统一的策略部署。,支持将所有产品的安全事件支持统一上报SOC,由安全管理中心进行联动分析,SOC,措施解读11:备份与恢复,需求10:备份与恢复,需求描述:数据及时备份
18、,发生威胁时可快速恢复业务。技术方案:通过CDP及WSAN技术,提供实时远程的备份恢复功能。,FC磁盘阵列,虚拟化,虚拟化,IPSAN系列,灾备,生产卷C,生产卷A,生产卷B,可达秒级的最佳数据恢复技术自动连续快照保护,预防软灾难支持小带宽的广域网备份,实时在线备份与恢复,NAS,其他技术要求,等保方案设计数据中心对内服务区,SSL VPN,业务A,业务B,业务C,核心交换,汇聚交换,NGAF,资源优化与控制,安全加固,安全管理平台,方案描述,NGAF:有效防范27层攻击,进行应用访问控制AD:限制单用户资源分配,提升服务器响应速度和处理能力,提供SSL加密SSL VPN:保证链路安全性,实现
19、业务系统间的安全隔离和精细化控制,并进行访问审计APM:针对业务连续性提供监测依据,异地备份恢复中心,AD,APM,Internet,外网NGAF,托管区边界FW,互联网接口,DMZ区,服务托管区,内网区,AD,AD,链路分担,NGAF,等保方案设计数据中心对外服务区,网银WEB,网银APP网银DB,数据中心核心层交换机,服务器分担 AD,SSL VPN,NGAF,等保方案设计骨干链路,网络核心交换区,IPSec VPN,CE,IPSec+MPLS 隧道,数据中心业务系统2,业务系统1访问者区域,IPSec+MPLS 隧道,业务系统2访问者区域,WOC,核心分布式部署,NGAF,数据中心业务系
20、统1,二合一方案IPSec VPNWOCNGAF,深信服产品部署图,VPN,路由器,SG,Internet,AD,SSL/NGAF/AD,MPLS,数据中心区域,图例,局域网区域,广域网区域,安全管理中心,GAP,WOC,NGAF,BM,NGAF,AD,Internet,NGAF,NGAF,NGAF,NGAF,WOC,NGAF,数据中心身份鉴别和自主访问控制安全审计完整性和保密性保护边界保护资源控制入侵防范和恶意代码防范安全管理平台设置备份与恢复强制访问控制可信路径设置系统防渗透措施密码技术应用环境与设施安全,局域网身份鉴别和自主访问控制安全审计完整性和保密性保护边界保护资源控制入侵防范和恶意代码防范密码技术应用环境与设施安全,安全管理中心,广域网身份鉴别和自主访问控制安全审计完整性和保密性保护边界保护环境与设施安全,等保需求覆盖总图,深信服产品与基本要求的对应,等级保护政策介绍和建设思路等保建设方案统一规划注意事项,目录,注意事项,三个重点重点通过VPN实现不同级别系统之间的隔离重点通过NGAF实现不同区域边界之间的隔离重点通过AC实现互联网访问的审计和控制两个结合结合在进行的IT系统改造项目,充分考虑等级保护的要求结合各行业的等保落地规范要求,如证券、运营商等一个认证关注各省保密局或网监要求的安全设备入围认证要求,
