技術干貨 | 等保 2.0：安全架構介紹 + 建設要點

基于“動態安全”體系架構設計，構筑“網絡+安全”穩固防線“等級保護2.0解決方案”，基于“動態安全”架構，將網絡與安全進行融合，以合規為基礎，面對用戶合規和實際遇到的安全挑戰，將場景化安全理念融入其中，為用戶提供“一站式”的安全進化。

國家《網絡安全法》于2017年6月1日正式施行，所有了網絡運營者和關鍵信息基礎設施運營者均有義務按照網絡安全等級保護制度的要求對系統進行安全保護。隨著2019年5月13日《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》標準的正式發布，國家網絡安全等級保護工作正式進入2.0時代。

等級保護2.0關鍵變化

• “信息安全”→“網絡安全”

• 引入移動互聯、工控、物聯網等新領域

• 等保2.0充分體現了“一個中心三重防御“的思想。一個中心指“安全管理中心”，三重防御指“安全計算環境、安全區域邊界、安全網絡通信”，同時等保2.0強化可信計算安全技術要求的使用。

• 被動防御→主動防御

• 等級保護2.0解決方案拓撲結構設計

1、安全管理中心

• 大數據安全
  

• IT運維管理

• 堡壘機

• 漏洞掃描

• WMS

• 等保建設咨詢服務

建設要點

對安全進行統一管理與把控

集中分析與審計

定期識別漏洞與隱患

2、安全通信網絡

• 下一代防火墻

• VPN

• 路由器

• 交換機

建設要點

構建安全的網絡通信架構

保障信息傳輸安全

3、安全區域邊界

• 下一代防火墻
  

• 入侵檢測/防御

• 上網行為管理

• 安全沙箱

• 動態防御系統

• 身份認證管理

• 流量探針

• WEB應用防護

建設要點

強化安全邊界防護及入侵防護

優化訪問控制策略

4、安全計算環境

• 入侵檢測/防御

• 數據庫審計

• 動態防御系統

• 網頁防篡改

• 漏洞風險評估
  

• 殺毒軟件

建設要點

強調系統及應用安全

加強身份鑒別機制與入侵防范

安全通信網絡：建設要點（等保三級）

主干網絡鏈路及設備均采用冗余部署

基于業務管理和安全需求劃分出

有明確邊界的網絡區域

采用VPN或HTTPS等加密手段保護業務應用

安全區域邊界：建設要點（等保三級）

區域邊界部署必要的應用層安全設備，啟用安全過濾策略

建立基于用戶的身份認證與準入機制，啟用安全審計策略

采用行為模型分析等技術防御

新型未知威脅攻擊

采集并留存不少于半年的關鍵網絡、安全及服務器設備日志

安全區域邊界：建設要點（等保三級）

安全管理中心：建設要點（等保三級）

系統管理員、審計管理員、安全管理員

權責清晰，三權分立

設置獨立安全管理區，采集全網

安全信息，實施分析預警管理

借力專業安服人員，提供滲透測試等

高技術要求安全服務

等級保護2.0解決方案特色總結：1+N 全網安全

等保2.0標準名稱《網絡安全等級保護》，明確強調了安全體系的建設必須要跟網絡架構設計緊密結合

完整的等保安全產品品類

1. 提供基于SDN技術的網絡安全支撐體系

2. 全系列無線產品，形成有線無線全網統一安全體系

3. 用戶身份+應用鑒權

4. IT運維管理的可靠支撐

5. 等級保護2.0推薦配置方案