等保建设方案
等级保护发展历程
国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。等级保护制度适用于在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,个人及家庭自建自用的网络除外。
等保工作流程
等保角色分工
网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个流程。在等级保护全流程中,涉及到四个不同的角色,分别是:运营使用单位、公安机关、安全厂商、安全服务商、测评机构。等级保护各工作流程内容及角色分工如下:
等级保护通用方案设计思路
《等保组网示意图&等保设备清单列表》
| 系统分类 | 二级系统 | 三级系统 | ||
| 等保要求 | 相关设备 | 等保要求 | 相关设备 | |
| 物理安全 | 主机房应安装必要的防盗报警设施 | 防盗报警系统 | 应利用光、电等技术设置机房防盗报警设施 | 光电报警器 |
| 应对机房设置监控报警系统 | 视频监控系统 | |||
| 应设置防雷保安器,防止感应雷 | 防雷保安器 | |||
| 机房应设置灭火设备和火灾自动报警系统 | 灭火器、火灾自动报警系统 | 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火 | 灭火器、火灾自动消防系统 | |
| 应安装对水敏感的检查仪表或元件,对机房进行防水检测和报警 | 水浸短信报警系统 | |||
| 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 | 空调 | 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 | 空调 | |
| 应在机房供电线路上配置稳压器和过电压防护设备 | 稳压器、过电压防护设备 | 应在机房供电线路上配置稳压器和过电压防护设备 | 稳压器、过电压防护设备 | |
| 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求 | UPS电源、蓄电池 | 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求 | UPS电源、蓄电池 | |
| 应建立备用供电系统 | 备用供电系统 | |||
| 网络安全 | 应在网络边界部署访问控制设备 | 防火墙 | 应在网络边界部署访问控制设备 | 防火墙 |
| 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制 | IDS、入侵防御系统、网页防篡改系统 | |||
| 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 | 日志审计系统、网管系统 | 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 | 日志审计系统、网管系统 | |
| 应能够根据记录数据进行分析,并生成审计报表 | 审计系统、日志服务器 | |||
| 应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断 | 终端管理系统 | |||
| 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等 | 防火墙、IPS | 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等 | 防火墙、IPS | |
| 应在网络边界处对恶意代码进行检测和清除 | 防毒墙、恶意代码防范系统 | |||
| 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别 | 身份认证系统、动态口令卡系统 | |||
| 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补 | 漏洞扫描设备 | 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补 | 漏洞扫描设备 | |
| 主机安全 | 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户 | 日志审计系统 | 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别 | 身份认证系统、动态口令卡系统 |
| 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户 | 审计系统 | |||
| 应能够根据记录数据进行分析,并生成审计报表 | 审计系统 | |||
| 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警 | IDS系统 | |||
| 通过设置升级服务器等方式保持系统补丁及时得到更新 | 补丁系统 | 通过设置升级服务器等方式保持系统补丁及时得到更新 | 补丁系统 | |
| 应支持防恶意代码软件的统一管理 | 防病毒系统 | 应支持防恶意代码软件的统一管理 | 防病毒服务器 | |
| 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况 | 网管系统 | |||
| 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警 | 网管系统 | |||
| 应用安全 | 无 | 无 | 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别 | 身份认证系统、动态口令卡系统 |
| 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能 | 审计系统 | |||
| 数据安全 | 应能够对重要信息进行备份和恢复 | 备份软件系统 | 应提供本地和异地数据备份功能 | 备份软件系统 |
| 备注 | 另外还有流量监控系统、负载均衡设备、网络交换机、网络路由器等。 | |||