1、设备清单:下一代防火墙(含IPS、AV)+综合日志审计系统+杀毒软件。
2、详解
2.1 第二级要求主要是需要在网络区域边界处需要有访问控制措施来限制外部网络直接连接到内部网络,并且根据业务需求只开放必须提供的服务、IP和端口等,所以在互联网出口与内部网络之间部署一台下一代防火墙进行过滤及控制,并且在防火墙上开启入侵防御功能和防病毒功能模块来对进出流量进行入侵行为的检测和阻断,确保进入内网的所有流量是经过过滤后的有效访问;
2.2 网络中还需部署日志审计系统对网络中的设备日志进行集中收集、定期备份保护日志的可用性,并且存储时间满足网络安全法6个月的要求;
2.3 在业务系统服务器终端和办公网的终端上同时需安装杀毒软件进行安全防护,避免因下载及内部转发时被钓鱼、植入木马等,降低安全风险。满足以上四大要求,在技术措施方面基本可以达到要求。
1、设备清单:下一代防火墙(含IPS、AV)+综合日志审计系统+杀毒软件+服务器区防火墙+堡垒机+数据备份系统+上网行为管理+HTTPS。
2、详解:
2.1 在70-80分套餐上增加服务器区的防火墙,对应用系统所在网络区域进行重点保护,同时防火墙开启入侵防御功能、防病毒功能对入侵行为和恶意代码进行检测和阻断;
2.2 在安全管理中心增加一台堡垒机进行统一的安全运维和审计,保证运维人员的所有操作可溯源;
2.3 为了保护数据在安全管理中心还增加了一台数据备份系统,对应用系统进行实时的数据备份保护数据丢失和被攻击,有条件的还可购买应用级的灾备一体机进行数据备份;
2.4 应用方面如果是互联网发布的系统,在远程管理时还需使用HTTPS加密协议来保证数据的完整性和保密性;
2.5 在办公网里有上网需求的还需部署上网行为管理系统来对终端的上网行为和访问的内容进行审计阻断。
1、设备清单:下一代防火墙(含IPS、AV)+综合日志审计系统+杀毒软件+服务器区防火墙+堡垒机+数据备份系统+上网行为管理+HTTPS+WAF+核心交换机+网络准入系统+漏洞扫描系统+数据库审计系统。
2、详解
2.1 在80-90分套餐基础上增加一台WAF对DMZ区的应用系统进行防护;
2.2 在核心交换区增加一台核心交换机来做设备堆叠,保证核心交换设备的处理性能和高可用性;
2.3 在安全管理区新曾一套网络准入系统,对内部所有接入内网人员进行强身份认证及接入条件限制,确保来源及来源环境可信可控;
2.4 部署一台漏洞扫描设备定期对内部的服务器、网络设备及应用系统进行漏洞扫描及时发现漏洞并及时修复;
2.5 在数据库方面部署一台数据库审计设备对所有数据库操作进行审计及分析,防止管理员人员或是恶意攻击者对数据库的误操作、恶意操作及破坏等行为无法追溯。
四、方案设计
在方案设计阶段,弘沿科技以《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》等国家标准文件为基准,结合行业特性要求、监管单位要求、用户提出的额外安全需求进行系统性方案设计。在满足相应等级安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心及管理部分要求基础上,最大程度发挥安全措施的保护。
1、设备清单:下一代防火墙(含IPS、AV)+综合日志审计系统+杀毒软件。
2、详解
2.1 第二级要求主要是需要在网络区域边界处需要有访问控制措施来限制外部网络直接连接到内部网络,并且根据业务需求只开放必须提供的服务、IP和端口等,所以在互联网出口与内部网络之间部署一台下一代防火墙进行过滤及控制,并且在防火墙上开启入侵防御功能和防病毒功能模块来对进出流量进行入侵行为的检测和阻断,确保进入内网的所有流量是经过过滤后的有效访问;
2.2 网络中还需部署日志审计系统对网络中的设备日志进行集中收集、定期备份保护日志的可用性,并且存储时间满足网络安全法6个月的要求;
2.3 在业务系统服务器终端和办公网的终端上同时需安装杀毒软件进行安全防护,避免因下载及内部转发时被钓鱼、植入木马等,降低安全风险。满足以上四大要求,在技术措施方面基本可以达到要求。
1、设备清单:下一代防火墙(含IPS、AV)+综合日志审计系统+杀毒软件+服务器区防火墙+堡垒机+数据备份系统+上网行为管理+HTTPS。
2、详解:
2.1 在70-80分套餐上增加服务器区的防火墙,对应用系统所在网络区域进行重点保护,同时防火墙开启入侵防御功能、防病毒功能对入侵行为和恶意代码进行检测和阻断;
2.2 在安全管理中心增加一台堡垒机进行统一的安全运维和审计,保证运维人员的所有操作可溯源;
2.3 为了保护数据在安全管理中心还增加了一台数据备份系统,对应用系统进行实时的数据备份保护数据丢失和被攻击,有条件的还可购买应用级的灾备一体机进行数据备份;
2.4 应用方面如果是互联网发布的系统,在远程管理时还需使用HTTPS加密协议来保证数据的完整性和保密性;
2.5 在办公网里有上网需求的还需部署上网行为管理系统来对终端的上网行为和访问的内容进行审计阻断。
1、设备清单:下一代防火墙(含IPS、AV)+综合日志审计系统+杀毒软件+服务器区防火墙+堡垒机+数据备份系统+上网行为管理+HTTPS+WAF+核心交换机+网络准入系统+漏洞扫描系统+数据库审计系统。
2、详解
2.1 在80-90分套餐基础上增加一台WAF对DMZ区的应用系统进行防护;
2.2 在核心交换区增加一台核心交换机来做设备堆叠,保证核心交换设备的处理性能和高可用性;
2.3 在安全管理区新曾一套网络准入系统,对内部所有接入内网人员进行强身份认证及接入条件限制,确保来源及来源环境可信可控;
2.4 部署一台漏洞扫描设备定期对内部的服务器、网络设备及应用系统进行漏洞扫描及时发现漏洞并及时修复;
2.5 在数据库方面部署一台数据库审计设备对所有数据库操作进行审计及分析,防止管理员人员或是恶意攻击者对数据库的误操作、恶意操作及破坏等行为无法追溯。
四、方案设计
在方案设计阶段,弘沿科技以《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》等国家标准文件为基准,结合行业特性要求、监管单位要求、用户提出的额外安全需求进行系统性方案设计。在满足相应等级安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心及管理部分要求基础上,最大程度发挥安全措施的保护。