等保2.0实战：建设整改

作者丨一妹

出品丨等级保护测评

• 究竟该怎么进行整改？等级保护的标准怎么用？

• 系统目前存在哪些问题？与等保要求差距多少？

• 国家标准的普适性较强，但不针对具体行业，如何突出行业特点？

• 整改中如何突出重点？第一级、第二级、第三级、第四级系统的整改工作是否同时进行？

• 整改工作如何把握？

• 对不同级别的系统，整改的措施是否一样？

• 网络风险评估服务和安全建设咨询服务；

• 分析最新的国家等级保护相关政策精神及要求；

• 分析客户的组织架构、业务要求、行业特点、信息系统特点；

• 对信息系统现在进行全面的风险评估；

• 按照等级保护及网络安全建设现状，逐条对比分析

• 客户制定适合自身特点的行业等保基本要求（可选服务）；

• 按照国家政策文件和标准制定整改方案；

• 协助客户落实安全要求，完成系统整改。

下面我们以一个典型网络结构举例说明：

中间两个是核心交换机

下级纵向接入区：类似市局接的下面区县的公安局的网络

业务和数据区：放服务器的

出口区：向上连接的，类似市局连接省公安厅

联网区：这里应该把防火墙换成网闸比较好

技术整改思路

2、安全通信网络-各网络传输点

3、安全区域边界-边界安全措施

4、安全计算环境-服务器和数据中心

5、安全管理中心-安全策略统一管理平台

2、机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

2、应将通信线缆铺设在隐蔽安全处；

3、应设置机房防盗报警系统或设置有专人值守的视频监控系统。

2、机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；

3、机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。

2、应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；

3、应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

2、机房应采用防静电地板。

2、应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求；

3、应设置冗余或并行的电力电缆线路为计算机系统供电。

2、应对关键设备实施电磁屏蔽。

技术安全-安全通信网络

◆ 在横向、纵向、办公接入网络中部署防火墙或VPN设备，对政务外网、互联网、关联  单位网络进行逻辑隔离和加密隧道传输。

◆ 在与上级出口部署高性能下一代防火墙（具备AV、流控功能、防病毒）、入侵检测防御，在出口实现边界防护、访问控制、入侵防范及边界完整性保；

◆ 各网络区互联边界，部署高性能下一代防火墙（具备AV、流控功能），在区域边界实现边界访问控制安全审计和可信验证；

◆ 在互联网出口处部署高性能下一代防火墙（具备AV、流控功能、防病毒）及入侵检测防御，在出口实现边界访问控制及恶意代码和病毒防护；

◆ 在核心数据区部署数据库审计，在核心区部署上网行为管理，对用户访问外网及访问核心业务进行安全审计；

◆ 在核心区部署动态防御系统DDP和沙箱Sandbox，实现对网络攻击特别是新型网络攻击行为及未知攻击行为的分析。

◆ 在核心区部署漏洞扫描，及时发现系统漏洞，并进行修补和防范；

◆ 在业务和数据区域部署数据库审计，实现对核心业务访问的安全审计；

    ◆ 在运维区不是通过部署准入系统，实现对各用户接入网络的身份鉴别及可信验证；

◆ 在运维区部署日志审计系统，实现对所有用户和事件的审计对攻击和漏洞的主动检测和防御；

◆ 在业务和数据区部署防火墙，实现对重要业务和数据的进行访问，安全防范和数据保密性。

◆ 通过部署堡垒机，实现当前网络中的网络设备、服务器等进行维护的命令及操作界面进行审计；

◆ 部署准入系统和审计系统对网络资源访问进行统一授权，部署安全运维中心对整网网络安全日志进行统一审计分析，对安全态势进行预警；

◆ 通过部署运维系统，对网络中的设备及链路进行集中管控，并对各类安全和故障事件进行告警和分析。

◆ 安全管理制度：

◆ 解决方案：

◆ 安全管理机构：

◆ 解决方案：

◆ 安全管理人员：

◆ 解决方案：

◆ 安全建设管理：

◆ 解决方案：

安全运维管理

系统运维管理涉及日常管理、变更

管理、制度化管理、安全事件处置、

应急预案管理和安管中心等。

◆ 解决方案：

恶意代码防范服务：对用户信息系统恶意代码防护情况进行定期检查和报告，对新发现的病毒或恶意代码进行及时分析和处置。

安全应急响应服务：对用户信息系统中发生的安全相关事件提供及时的响应和处理。边界完整性检查：采用终端安全管理系统提供的网络准入控制功能（防火墙联动、802.1X准入）和非法外联监控功能。

安全检测评估：从风险管理角度，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，提出有针对性的防护对策和整改措施。