《等保整改一站式解决方案》由会员分享,可在线阅读,更多相关《等保整改一站式解决方案(5页珍藏版)》请在金锄头文库上搜索。
1、等保整改一站式解决方案Revised by Petrel at 2021等保三级整改一站式方案一、典型等级保护用户整改参考图(建设目标)二、等保整改方案五步走1. 安全域划分做等级保护的整改,第一步一定是要明确安全域。下面是经典安全域划分方案:业务服务器域:客户的业务服务器和存储的安全区域用户终端域:用户终端,一些完全不重要的服务器安全管理域:安全管理中心,包括网管系统服务器啊,终端安全管理的服务器等用来做网络和安全运维管理的这些设备互联网出口域:互联网出口的网络和安全设备2. 互联网出口在互联网出口部署防火墙、入侵防御、病毒过滤、上网行为管理、链路负载;3. 安全域互访隔离所有的安全域之间必
2、须通过防火墙才能互联互通;4. Web安全防护web服务器前部署web防火墙;5. 安全管理中心在安全管理中心要有这些东西:漏洞扫描系统、数据库审计系统、终端安全管理系统、网管系统、应用性能管理系统、SSLVPN.防病毒系统、运维堡垒主以上五个步骤完成,设备整改完成。三、涉及产品列表,红色为我司可提供的产品产品名称部署位置产品作用满足政策要求互联网 出 口防火墙互联网出口隔离互联网和内部网络网络安全-访问控 制入侵防御互联网出口防范网络入侵攻击网络安全-入侵防 范防病毒 模块互联网出口网络层恶意代码过滤网络安全-恶意代 码过滤上网行 为管理互联网出口内部员工访问互联网的安全 审计;流量管理与控
3、制;内部非法无线热点发现;网络安全-结构安 全网络安全-安全审 计网络安全-边界完 整性负载均 衡互联网出口链路负载均衡;应用负载均衡;网络安全-结构安 全数据备份与恢复- 避免单点故障安全域 隔离防火墙安全管理 区的外联 口隔离安全管理区和其他区域网络安全-访问控 制Web 网站防 护Web防火墙业务服务 区的外联 口隔离业务服务器区和其他区 域,并防范web层的网络 攻击网络安全-访问控 制网络安全-入侵防 范安应用性 能管理安全管理 区域网络设备、服务器、应用系 统监控;网络安全-资源控 制全管理中心资源阈值告警和预警;主机安全-资源控 制应用安全-资源控 制SSLVPN安全管理 区域远
4、程用户接入的身份认证和 加密数据安全-通信保 密性防病毒 系统安全管理 区域主机防病毒服务器,同时在 终端安装病毒软件主机安全-恶意代 码过滤数据库 审计系 统安全管理 区域数据库访问的审计主机安全-安全审 it漏洞扫 描系统安全管理 区域漏洞扫描主机安全-入侵防 范终端安 全管理 系统安全管理 区域终端安全审计、终端端口管 理、终端防火墙入侵防御 等;主机安全-安全审 it主机安全-访问控 制主机安全-入侵防 范网络安全-非法外 联运维堡 垒主机安全管理 区域运维审计网路安全-网络设 备防护四、疑难问题解答1.是不是上面这些设备都部署,才能通过三级等保?回答:不是。上面是比较理想的情况,实际
5、情况根据客户预算和客户实际需求来进行,部署70-80%的设备即可。2.安全域隔离防火墙,很多客户利用交换机的ACL做,测评中心也认可。回答:对。等保要求进行访问控制,没要求必须用防火墙,交换机ACL也是访问控制手段,但用防火墙是最专业的访问控制设备,其专业性智能型运 维容易程度都远远强于交换机ACL,而且交换机ACL损耗交换机性能严 重,交换机是交换设备,不是专业的安全设备。3是不是做了这些就可以通过等保测评了 ?回答:设备层面足够了。还需要做一些安全加固和管理制度文档整理。安全加固指的是把服务器、数据库、网络设备、安全设备、业务系统的一些 安全策略调整到符合等保的规定,比如你服务器密码都是666,现在开启服 务器的密码强度要求这个策略,就是安全加固。文档整理主要是安全管理制 度,以及测评申请书。4. 了解到客户情况后,怎么给客户做整改方案?回答:上面整改五步走,每一步都说明了需要什么,缺少的设备就是需要整改的。安全加固和安全制度是肯定需要整改的。
