等保 2.0（三級）拓撲與架構設計

01基礎網絡架構

如圖，為基礎網絡架構，最新等保2.0要求“一個中心，三重防護”：安全通信網絡、安全區域邊界、安全計算環境、安全管理中心，故網絡安全規劃設計，也都是圍繞這四個要點展開。

02網絡區域劃分與設計

基于防護等級：把安全等級要求相同或相近的業務或重點，劃分到一個區域，比如典型的內網服務器、還有DMZ服務器等；

基于業務類型：比如Web應用、DB數據庫應用、App應用，可以劃分在不同區域；

基于網絡功能：比如市場部、研發部可以劃分到不同區域。

其實，網絡區域劃分大家平時都在用，用得最廣泛的就是VLAN技術，其次是防火墻邊界隔離。

03安全通信網絡設計

路由器、交換機、防火墻等網絡和安全設備業務處理能力滿足業務高峰期需要（設備選型要夠用）；

通信線路、關鍵網絡設備和關鍵計算設備硬件要冗余，保證系統可用性（雙鏈接雙核心，雙電源雙引擎等）；

重要網絡區域與其他網絡區域之間采取可靠的技術隔離手段（VLAN，防火墻等技術）；

采用密碼技術保證通信過程中數據的保密性及完整性（數據加密，黑客截取也看不懂）。

04安全區域邊界設計

對非授權設備私自聯到內部網絡的行為進行控制（認證，行為審計）；

對內部用戶非授權聯到外部網絡的行為進行控制（行為審計）；

對進出網絡的數據流實現基于應用協議和應用內容的訪問控制（上網行為管理）；

在關鍵網絡節點處檢測和防御從外部/內部發起的網絡攻擊行為（入侵檢測功能）；

對網絡攻擊尤其是新型網絡攻擊行為進行檢測分析，事件告警（APT攻擊）；

對垃圾郵件進行檢測和防護，并及時升級和更新（垃圾郵件防護）；

對用戶的遠程訪問行為、互聯網訪問行為等進行審計和數據分析（日志審計）。

05安全計算環境設計

采用口令或生物技術結合密碼技術對用戶進行身份鑒別（單因子或多因子身份認證）；

采用基于角色/屬性或安全標記的訪問控制技術對操作系統、數據庫、應用用戶進行權限管理（用戶權限訪問控制，可用認證系統或者堡壘機實現）；

對重要的用戶行為和重要安全事件進行集中審計（主機或服務器端的行為審計，常見的是堡壘機/終端安全管理系統）；

采用漏洞檢測、終端管理結合補丁管理、終端威脅防御、主動免疫可信驗證、主機加固等技術保障終端及服務器等計算資源的安全（漏掃、終端安全管理系統、主機加固軟件等）；

采用密碼技術、容災備份技術等保障重要數據的完整性、保密性、可用性（數據加密和容災備份）；

網頁防篡改（常用WAF來保障）；

敏感數據和個人信息保護（等保2.0把個人信息安全也納入其中，常見實現方式為認證和加密）。

06安全管理中心設計

劃分不同管理角色，并提供集中的身份鑒別、訪問授權和操作審計（典型三權分離：管理員、審核員、審計員）；

對網絡和信息基礎設施的運行狀況進行集中監控（網管軟件、運維系統等）；

對分散在網絡中的審計數據進行收集匯總和集中分析（日志審計系統）；

對安全策略、惡意代碼、補丁升級等進行集中管理（終端安全管理、補丁管理、SoC系統）；部署態勢感知和安全運營平臺，支撐安全監測、分析、預警、響應、處置、追溯等安全管理和運維工作（安全態勢感知，目前最火的一個安全系統）。

附：三級等保要求及所需設備