版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
要搞定钞票,我们需要....要获取到信息,我们仅需要....一个商业间谍或黑客一个U盘不可估量的敏感数据和客户信息过于依赖厂家!!!信息安全基本概念常见的网络安全产品详解国标22239技术要求详解定义什么是信息安全?完整性信息安全等级保护的定义信息安全等级保护制度是我国信息安全工作保障的基本制度和基本国策,是开展信息安全工作的基本方法,是促进信息化、维护国家信息安全的基本保障。等级对象第一级一般系统第二级第三级第四级第五级极端重要系统侵害客体侵害程度监管程度指导损害损害第二级第三级国标22239基本概念GB22239-2019信息安全技术网络安全等级保护基本要求Informationsecuritytechnology一Baselineforclassifiedprotetionofgbersecurity2019-05-10发布国家市场监督管理总局中国国家标准化管理委员会发布技术要求管理要求安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理等保2级&等保3级相关产品等保2级相关产品口防火墙口防病毒口数据库审计口运维堡垒机口漏洞扫描系统等保3级相关产品口防火墙口运维堡垒机口备份一体机口数据库审计口态势感知探针+感知平台口终端准入控制口漏洞扫描系统□邮件安全网关产品分类数据及应用安全数据及应用安全安全管理防火墙基本定义防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外将内外部网络隔离开来,最终监控审计络使用数据,当用户出现可疑动作时,防火墙便会发挥它的产品概述能基本围绕着识别和阻断病毒而设计,如对不同类防火墙的防护重点在于控制非法授权访问,能对经过设备的数据流进行细粒度且严格的控制,并识别多种类型的攻击行为,除此之外,还能对内部不同业务网络进行安全等级划分和隔离,实施内网管控防病毒软件防火墙端从准入-注册-监控-修复的全周期的安全管理。SSL协议位于TCP/IP协议与各种应用层VPN(虚拟专用网络)在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地SSLVPN采用SSL协议来实现远程接入的一种新型VPN技术。它USBKEY认证CA认证动态令牌认证密码认证短信认证安全管理网络安全数据及应用安全安全管理数据库审计备份一体机邮件安全网关数据及应用安全——数据库审计数据库数据库是按照数据结构来组织、在计算机内的、有组织的、可共享的、统—管理的大量数据存储和管理数据的仓库。它是一个长期存储的集合。数据库审计以安全事件为中心,以全面审计和精确审计为基础,实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行实时告警。备份概述将电子计算机存储设备中的数据复制到磁盘等大容量存储设备份一体机简单来说备份一体机是一款将备份软件、备份服务器以虚拟镜像转换功能异构环境支持持续数据保护备份一体机数据库备份虚拟化备份挂截功能管理功能支持域内垃圾邮件过滤检测、域内发信行为管控和告警,确保钓鱼邮件、病毒邮件、垃圾邮件精准拦截,异常发信行为及时发现,以保障邮件系统不受恶意邮件威胁堡垒机态势感知探针堡垒机的概念堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处身份认证及授权管理2.针对平台中创建的运维用户可以支持静态口令、动态口令、数字证书等多种认证方式时间)等组合的授权功能,实现细粒度授权功能,满足用户实际授权的需求。运维人员的事中控制实时监控正在运维的信息,对违规操作提供实时告警和阻断运维人员的事后控制备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响《网络安全等级保护基本要求》(GB/T22239-2019)中规定:二到四级需要对网络、主机、应用安全三部分进行日志审计,留存日志需符合日志监控日志采集日志检索日志储存日志分析日志转发日志事件告警日志报警管理安全管理——态势感知探针+感知平台态势感知探针网络安全态势感知平台·是一种网络安全设备,用于监控、分析和报告网络环境中的事件和行为。它通常部·网络安全态势感知系统通常是集合了防病横向威胁可视大屏2018-03-01至2018-03-0712018-03-0702:17:59模向威胁趋势攻击源TOP5模向威胁趋势威胁类型分布被访问业务TOPs安全态势感知平台——应用场景威胁检测与响应高级持续性威胁防御安全态势感知自动化与编排网络流量监控与分析云安全与混合IT环境保护通过收集、分析和整合各种来源的安全数据,帮助企业实时发现异常行为、潜在威胁和攻击模式,并生成警报以供安全团队采取行动利用先进的分析技术,识别和应对复杂的网络攻击,例如针对企业关键资产的高级持续性威胁提供实时的安全态势感知,使安全团队能够通过可视化界面了解网络环境的安全状况,并根据最新的威胁情报调整防御策略。支持自动化处理和响应安全事件,通过编排不同的安全工具和系统,提高安全操作的效率。可以监控、分析和可视化网络流量数据,从而帮助企业识别潜在的数据泄漏、恶意活动和其他风险。可以整合这些不同环境的安全数据,确保企业关键资产在各种场景下得到有效保护物理访问控制物理位置选择物理访问控制温湿度控制防水和防潮温湿度控制机房位置选择要合理,并做好防水机房地面需采用防静电地板、设备要可靠接地火灾报警系统243机房内需配置ups,计算机配电线缆要留有冗余安全通信网络网络架构2.重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;3.应保证网络各个部分的3.应保证网络各个部分的带宽、设备的业务处理能力满足业务高峰期需要;4.应提供通信线路、关键网络设备和关键通信传输过程中数据的完整性;2.应采用密码技术保证通信过程中2.应采用密码技术保证通信过程中数据可验证性1.可基于可信根对通信设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。对应设备网络架构应划分不同的网络区域,为各网络区域分配地址基础级防火墙、路由器、交换机/划分VLAN重要网络区域与其他网络区域之间应采取可靠的技术隔离手段重要网络区域与其他网络区域之间部署了安全设备(如网闸、防火墙)实现了技术隔离应保证网络各个部分的带宽、设备的业务处理能力满足业务高峰期需要设备性能及带宽冗余空间充足\应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保通信传输应采用校验技术或密码技术保证通信过程中数据的完整性;采用加密技术保证数据的完整性和保密性SSL加密技术应采用密码技术保证通信过程中数据的保密性。可验证性可基于可信根对通信设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。网络中部署了可信验证措施\安全区域边界1.非授权设备访问内部网络应进行管控2.内部用户非授权访问外部网络应进行管控3.应对无线网络的使用进行管控访问控制1.应启用有效的访问控制策略2.应对进出网络的数据流实现基于应用协议和应用内容的访问控制入侵防范1.应在关键网络节点处对内部或外部发起的网络攻击进行管控2.采取技术措施对网络行为进行分析3.当检测到攻击行为时,记录并提供报警恶意代码和垃圾邮件防范1.应在关键网络节点处对恶意代码及垃圾邮件进行检测、清除和防护安全审计1.应在网络边界、重要网络节点进行安全审计,并对审计记录进行保护2.审计记录应包括事件的日期和时间用户、事件类理、事件是否成功等3.能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析可信验证1.对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证规范内容对应设备边界防护非授权设备访问内部网络应进行管控部署终端接入控制系统对终端违规内联行为、外联行为进行检查、定位和阻断终端准入控制内部用户非授权访问外部网络应进行管控应对无线网络的使用进行管控无线接入网关实现对终端设备的管理访问控制应启用有效的访问控制策略基础级防火墙、路由器和交换机应启用有效的访问控制策略应对进出网络的数据流实现基于应用协议和应用内容的访问控制入侵防范应在关键网络节点处对内部或外部发起的网络攻击进行管控对网络流量进行采集和分析,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等潜伏威胁探针+感知平台采取技术措施对网络行为进行分析当检测到攻击行为时,记录并提供报警恶意代码和垃圾邮件防范应在关键网络节点处对恶意代码及垃圾邮件进行检测、清除和防护应配置防火墙及邮件网关,对恶意代码及垃圾邮件进行检测、清除和防护防火墙、邮件网关安全审计应在网络边界、重要网络节点进行安全审计,并对审计记录进行保护网络中部署有综合安全审计设备,审计内容及功能需满足规范要求审计记录应包括事件的日期和时间用户、事件类理、事件是否成功等能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析可信验证对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证系统设备部署了可信验证措施\安全计算环境数据完整性访问控制可信验证个人信息保护安全计算环境安全审计技术来实现。的最小权限2.应由授权主体(管理用户)配置访问控制策略,访问控制策略规定主体对客体(用户)的访问规则审计,并对审计记录进行保护高危端口储存过程中的保密性恢复功能个人信息对应设备身份鉴别应对登录的用户进行身份标识和鉴别应用系统采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对管理用户身份进行鉴别。运维堡垒机应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技访问控制应对登录的用户分配账户和权限,及时删除或停用多余的网络设备、安全设备、服务器、应用系统配置项访问规则应满足规范要求终端准入系统应由授权主体(管理用户)配置访问控制策略,访问控制策略规定主体对客体(用户)的访问规则应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问安全审计应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计,并对审计记录进行保护系统提供并启用了安全审计功能,且满足规范要求日志审计系统、堡垒机应对审计进程进行保护,防止未经授权的中断。对应设备入侵防范系统内未安装多余的软件和组件网络设备、安全设备、服务器配置项/操作系统遵循最小安装原则\应关闭不需要的系统服务、默认共享和高危端口应用系统应具备数据有效性检验功能通过防火墙或其他网络设备做限制能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警漏洞扫描和渗透测试未发现高风险漏洞态势感知探针恶意代码防范应安装及时识别入侵和病毒行为,并将其有效阻断安装防恶意代码软件,及时更新恶意代码库防病毒软件数据完整性应采用校验技术或密码技术保证重要数据在传输、储存过程中的完整性采用加密技术保证数据的完整性SSL加密技术数据保密性应采用密码技术保证重要数据在传输、储存过程中的保密性采用加密技术保证数据的保密性对应设备数据备份恢复应提供重要数据的本地数据备份与恢复功能备份一体机功能应满足规范要求备份一体机应提供异地实时备份功能应提供重要数据处理系统的热冗余剩余信息保护应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除1.禁止在本地文件中存储鉴别信息或用户登录状态2.禁止在本地文件中存储敏感数据\应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除个人信息保护仅采集和保存业务必需的用户个人信息应用系统仅采集了业务应用必需的用户信息应禁止未授权访问和非法使用用户个人信息审计管理集中控制系统管理审计管理集中控制系统管理安全管理安全管理中心1.应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计2.应通过系统管理员对系统的资源和运行进行配置、控制和管理应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;2应通过安全管理员对系统中的安全策略进行1.应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计2.应通过审计管理员对审计记录进行分析,并根据分析结果进行处理1.应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测2.应对分散在各个设备上的审计数据进行收集汇总和集中分析3.应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理对应设备系统管理应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计堡垒机、安全感知平台的功能需满足规范要求堡垒机、安全态势感知平台应通过系统管理员对系统的资源和运行进行配置、控制和管理审计管理应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计堡垒机、日志审计系统、数据库审计系统的功能需满足规范要求数据库审计应通过审计管理员对审计记录进行分析,并根据分析结果进行安全管理应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;堡垒机、安全感知平台的功能需满足规范要求堡垒机、安全态势感知平台应通过安全管理员对系统中的安全策略进行配置集中管理应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测安全管理中心部署了安全态势感知系统,实现对设备的集中观测,集中收集信息并进行分析,集中审计,完成对设备实现集安全态势感知平台应对分散在各个设备上的审计数据进行收集汇总和集中分析应对安全策略、恶意代码、补丁升级等安全相关事项进行集中产品关联控制项关联高风险关联分数说明产品关联控制项关联高风险关联分数说明用防护安全区域边界-入侵防范(1项)安全计算环境-入侵防范(2项)安全计算环境-入侵防范(2项)1项三倍扣分、2项二倍扣分(假设3项都不符合,每项扣1分,那么基准分共扣7分:1*3+2*2=7)数据库审安全管理中心-审计管理(2项)高风险项仅存在安全计算环境数据库的审计项二倍扣分、1项一倍扣分(假设2项都不符合,每项扣1分,那么基准分共扣3分1*2+1*1=3)SSLVPN/aTrust安全通信网络-通信传输(1项)安全计算环境-身份鉴别(1项)、数据完整性(1项)安全计算环境-身份鉴别(1项)1项三倍扣分、2项二倍扣分(假设3项都不符合,每项扣1分,那么基准分共扣7分1*3+2*2=7)运维堡垒机安全区域边界-安全审计(1项)安全计算环境-身份鉴别(1项)安全审计(3项)、入侵防范(1项安全管理中心-系统管理(2项)、审计管理(2项)共5项安全区域边界-安全审计(1项)安全计算环境-身份鉴别(1项)、安全审计(2项)、入侵防范(1项)1项三倍扣分、5项二倍扣分、4项一倍扣分(假设10项都不符合,每项扣1分那么基准分共扣17分:1*3+5*2+4*1=17)全网行为管理/终端准入控制系统安全区域边界-安全审计(3项)安全计算环境-安全审计(3项)、入侵防范(1项)安全管理中心-审计管理(2项)安全区域边界-安全审计(1项)安全计算环境-安全审计(2项)入侵防范(1项)4项二倍扣分、5项一倍扣分(假设9项都不符合,每项扣1分,那么基准分共扣13分4*2+5*1=13)云镜(漏洞扫描系统)安全计算环境-入侵防范(1项)安全计算环境-入侵防范(1项)1项二倍扣分(假设该项不符合,基准分共扣2分1*2=2)产品关联控制项关联高风险关联分数说明下一代防火墙(基础级/增强级/防病毒)安全通信网络-网络架构(2项)安全区域边界-边界防护(1项)、访问控制(4项),入侵防范(1项)恶意代码防范和垃圾邮件防范(1项)安全计算环境-入侵防范(2项)安全通信网络-网络架构(2项)安全区域边界-访问控制(1项)恶意代码防范和垃圾邮件防范(1项)安全计算环境-入侵防范(2项)3项三倍扣分、7项二倍扣分项一倍扣分(假设11项都不符合,每项扣1分,那么基准分共扣25分:3*3+7*2+1*1=25)日志审计系安全区域边界-安全审计(3项)安全计算环境-安全审计(3项)安全管理中心-审计管理(2项)安全区域边界-安全审计(1项)安全计算环境-安全审计(2项)3项二倍扣分、5项一倍扣分(假设8项都不符合,每项扣1分,那么基准分共扣11分:3*2+5*1=11)网络版防病安全计算环境-入侵防范(1项)、恶意代码防范(1项)安全计算环境-入侵防范(1项)2项二倍扣分(假设2项都不符合,每项扣1分,那么基准分共扣4分:2*2=4)EDS安全备份集群/备份一体机安全计算环境-数据备份恢复(2项)安全计算环境-数据备份恢复(1项)项三倍扣分、1项二倍扣分(假设2项都不符合,每项扣1分,那么基准分共扣5分*3+1*2=5)产品关联控制项关联高风险关联分数说明产品关联控制项关联高风险关联分数说明用防护安全区域边界-访问控制(1项)、入侵防范(3项)安全计算环境-入侵防范(3项)共4项安全区域边界-入侵防范(2项)安全计算环境-入侵防范(2项)1项三倍扣分、5项二倍扣分1项一倍扣分(假设7项都不符合,每项扣1分,那么基准分共扣14分*3+5*2+1*1=14)潜伏威胁探针感知平共12项安全区域边界-入侵防范(4项)安全计算环境-入侵防范(1项)安全管理中心-系统管理(2项)、安全管理(2项)、集中管控(3项)安全区域边界-入侵防范(2项)安全管理中心-集中管控(2项)1项三倍扣分、8项二倍扣分3项一倍扣分(假设12项都不符合,每项扣1分,那么基准分共扣22分1*3+8*2+3*1=22)SSLVPN/aTrust安全通信网络-通信传输(2项)安全区域边界-安全审计(1项)安全计算环境-身份鉴别(1项)、数据完整性(1项)、数据保密性(1项)安全管理中心-集中管控(1项)安全通信网络-通信传输(2项)安全计算环境-身份鉴别(1项)数据完整性(1项)数据保密性(1项)4项三倍扣分、3项二倍扣分(假设7项都不符合,每项扣1分,那么基准分共扣18分4*3+3*2=18)全网行为管理/终端准入控制系统安全通信网络-网络架构(1项)安全区域边界-边界防护(3项)、访问控制(1项)、安全审计(4项)安全计算环境-安全审计(4项)、入侵防范(1项)安全管理中心-审计管理(2项)安全通信网络-网络架构(1项安全区域边界-安全审计(1项)安全计算环境-安全审计(2项)入侵防范(1项)10项二倍扣分、6项一倍扣分(假设16项都不符合,每项扣1分,那么基准分共扣26分10*2+6*1=26)云镜(漏洞扫描系安全计算环境-入侵防范(1项)安全计算环境-入侵防
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 健康促进医院工作计划
- 幼儿园大班班级学期计划
- 妇产医院检验科某年工作计划
- 人教版四年级美术上册教学工作计划人教版四年级上册
- 学年度第一学期三年级班主任工作计划
- 计划生育半年度总结报告
- 行政后勤工作计划怎么写2022范文样本
- 小学信息技术学科工作计划
- 学校意识形态的工作计划
- 四年级数学下学期教学计划
- 通用横版企业报价单模板
- 冀人版小学科学三年级上册教学课件 5.18《摩擦力》
- 企业会计准则之资产减值与资产评估
- 溃疡性结肠炎护理查房ppt课件
- 电网技术改造工程预算定额【线路】
- 六年级数学简便计算易错题
- 工程造价咨询公司质量控制制度
- 《常用医学检查》PPT课件.ppt
- 双层罐技术要求内容
- 最新精品小学语文德育案例《草原》教学设计
- TerminationAgreement合同终止协议
评论
0/150
提交评论