自《网络安全法》于2017年6月1日正式实施之后,部分政府、企事业单位的信息中心领导或单位一把手不再拒绝针对网络安全的建设,甚至积极主动的向安全厂商寻求规划建设方案。为何会引起如此大的反差呢?
正是因为《网络安全法》中的相关内容。网安法中第21条明确指出:国家的实行网络安全等级保护制度。第21条是等级保护工作的鲜明旗帜,是从国家层面对等级保护工作的法律认可,是网络安全法关于等级保护工作最重要的一条,简单点就是单位不做等级保护工作就是违法。
等级保护建设分为5个步骤:定级、备案、整改、测评、监督检查。其中整改建设是以《信息安全-信息系统安全等级保护基本要求》(GB/T 22239-2008)中的相应等级要求内容进行。整改部分又分为:技术要求 和 管理要求,本文以整改建设中的技术要求,简单介绍一下整改思路。
简单的说,技术要求就是增加部署相应的网络安全产品或相关策略,以技术手段来满足等保的要求。而常见的等保涉及技术手段分为:访问控制、入侵防御、漏洞防护、安全审计、抗拒绝攻击、病毒防护等。通常情况下,达到这些技术防护手段,等级保护建设通过测评问题不大。这些技术防护手段对应的安全产品分别为:防火墙、入侵防御IPS、漏洞扫描、网络审计(或上网行为管理)、数据库审计、日志审计、web应用防火墙、防篡改、防病毒网关、杀毒软件。
下面重点介绍一下以上安全产品的等保建设。
建设拓扑图见下图:
等级保护网络安全设计拓扑
1、首先结合单位自身的网络情况,将网络划分为多个安全区域,如:等保三级服务器区域(等保三级的业务服务器均部署于此区域,下同)、等级二级服务器区域、终端PC区域(该区域均为非涉密的办公人员)、运维管理区域、核心交换区、互联网接入区等。
2、在互联网接入区域边界部署防火墙、入侵防御IPS、病毒防护网关产品,对进出网络的流量进行识别、判断和阻止异常数据包。
3、在核心交换区域的核心交换机旁路(或串接)部署网络审计(或上网行为管理)和数据库审计,对访问业务系统和数据库系统的流量进行识别、判断,并对异常行为进行告警。
4、在运维管理区域旁路部署日志审计、网络版杀毒系统、漏洞扫描系统。日志审计将接收网络中所有的设备,包含网络设备(如:路由器、交换机等)、安全设备(如:防火墙、入侵防御等)、服务器(如:windows、linux等)等设备所产生的所有日志并记录分析,判断,对异常日志进行告警。网络版杀毒系统应与病毒防护网关所包含的杀毒引擎和病毒库不同品牌,即需要异构,可有效的避免同一品牌病毒规则库无法查杀某个病毒的情况。漏洞扫描系统可定时或周期性扫描网络中存在的漏洞,并在扫描完成后提供漏洞风险分析报告,管理人员可及时发现并在非法入侵前修补漏洞。
5、在服务器区域边界部署web应用防火墙,在重点的服务器上部署防篡改系统,在有效保障业务系统不受SQL注入、XSS攻击、CC攻击等各类攻击的同时,还可以保证在服务器被入侵后无法对业务系统进行非法篡改,有效保障网站业务系统的内容完整性。
6、在终端PC区域内的所有电脑上安装网络版杀毒系统的客户端,并保持更新病毒库,同时安装最新的系统补丁。
总结:在通常的等级保护技术整改的建设中,将涉及以下安全产品:防火墙、入侵防御IPS、病毒防护网关、网络审计(或上网行为管理)、数据库审计、漏洞扫描、日志审计、网络版杀毒系统、web应用防火墙、防篡改产品。
