網(wǎng)站安全監測與防護方案
背景需求
近些年來(lái),随着互聯(lián)網(wǎng)技術的發(fā)展以及電子商務(wù)和電子政務(wù)的普及,各企事業(yè)單位、黨政機關面臨的網(wǎng)站安全問(wèn)題也随之凸顯出來(lái)。爲了繼續發(fā)揮互聯(lián)網(wǎng)經(jīng)濟產(chǎn)生效益和優勢,需要我們必須積極應對網(wǎng)站安全問(wèn)題。 目前,國内安全形勢非常嚴峻,網(wǎng)站面臨的安全問(wèn)題大量湧現。首先,網(wǎng)站系統需要應對和處置的安全隐患持續增長(cháng),需要企業(yè)和機構進(jìn)一步加強隐患的管理和控制。據CNCERT發(fā)布的《2015年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》顯示,2015年CNVD共收錄了安全漏洞8080個(gè),其中高危漏洞收錄數量高達2909個(gè),該數字較2014年增長(cháng)21.5%。其次,網(wǎng)站安全事故頻發(fā),據CNCERT發(fā)布的《2015年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》顯示,2015年,CNCERT/CC共接收境内/外報告的網(wǎng)絡安全事件126916起,平均每天發(fā)生安全事件347起,數量非常驚人,其中有24550個(gè)網(wǎng)站被篡改,40782個(gè)境内主機被植入木馬或僵屍程序。最後,與網(wǎng)站相關的重大安全事故也頻頻發(fā)生,國内外各知名企業(yè)相繼發(fā)生數起重大安全事故。其中,京東商城洩露12G用戶數據、雅虎洩露5億用戶資料、LinkedIn旗下的在線(xiàn)學(xué)習網(wǎng)站Lynda.com被竊取950萬(wàn)賬号信息等事件都直接導緻公衆個(gè)人信息的洩露。與此同時(shí),國家對網(wǎng)站安全問(wèn)題越來(lái)越重視,并且不斷加大網(wǎng)站安全的監管力度。中央網(wǎng)絡安全和信息化領(lǐng)導小組成立後,發(fā)布的第一個(gè)文件就是《關于加強黨政機關網(wǎng)站安全管理的通知》,該文就各級黨政機關及企事業(yè)單位開(kāi)展網(wǎng)站安全管理提出若幹條指導意見(jiàn)。另一方面,國家各級主管部門(mén)加大檢查力度,近幾年多次開(kāi)展重要保障活動(dòng)及安全專(zhuān)項檢查工作,并且每次重要保障任務(wù)和專(zhuān)項檢查工作的重點都包括對互聯(lián)網(wǎng)網(wǎng)站檢測和治理。
問(wèn)題和困難
當前,各企業(yè)在網(wǎng)站安全管理上存在的問(wèn)題主要集中在網(wǎng)站的資產(chǎn)管理、漏洞管理、威脅管理、事件管理四個(gè)方面。 在資產(chǎn)管理方面,問(wèn)題主要體現在企業(yè)缺乏有效的手段對網(wǎng)站等資產(chǎn)的變更進(jìn)行監測和管理,導緻新上線(xiàn)的網(wǎng)站或變更的網(wǎng)站在未經(jīng)安全檢查和采取防護措施的前提下直接暴露在互聯(lián)網(wǎng)上。通常這些網(wǎng)站存在大量安全隐患,非常容易被攻擊者所利用。
在漏洞管理方面,企業(yè)所面臨的困難主要是未能對網(wǎng)站漏洞及隐患進(jìn)行定期排查和處置,導緻未發(fā)現、未處置的漏洞數量越來(lái)越多。通常有兩方面原因導緻漏洞數量的增加,一方面是用戶網(wǎng)站内容變更可能會(huì)引入的新漏洞,另一方面是先前網(wǎng)站建設過(guò)程中引入的第三方代碼會(huì)被不斷發(fā)現存在新漏洞。
在威脅管理方面,企業(yè)面臨的主要問(wèn)題在于缺乏專(zhuān)職人員對安全防護設備及其防護策略進(jìn)行維護,使得安全設備檢測效能逐步降低。效能降低主要體現在兩個(gè)方面,一方面是監測和防護新威脅的安全策略不能及時(shí)得到應用;另外一方面是網(wǎng)站業(yè)務(wù)系統的不斷變更導緻原先的防護規則逐步失效。在事件管理方面,企業(yè)面臨的主要問(wèn)題是缺乏有效手段及時(shí)發(fā)現安全事故,使得安全事故造成影響和損失不斷增加。
方案介紹
網(wǎng)站安全監測與防護解決方案能夠通過(guò)事前漏洞分析與預防、事中威脅監測與防護、事後安全事件監測與響應,迎接國家合規檢查、抵禦外部威脅、降低安全風(fēng)險。
網(wǎng)站安全監測與防護解決方案,主要由網(wǎng)站安全管理系統、網(wǎng)站安全監測引擎以及網(wǎng)站安全防護引擎構成。網(wǎng)站安全管理系統能夠爲用戶提供在線(xiàn)的、可視化的管理工具,幫助用戶查看和處置網(wǎng)站安全相關的資產(chǎn)事件、漏洞事件、威脅事件和安全事故。網(wǎng)站安全監測引擎可以幫助用戶監測網(wǎng)站變更的情況、網(wǎng)站存在安全漏洞以及發(fā)生的安全事故。網(wǎng)站安全防護引擎采用Web應用防火牆產(chǎn)品,部署在用戶側,用于各類(lèi)web應用攻擊的檢測和阻斷。 網(wǎng)站安全監測與防護解決方案是通過(guò)以下方式來(lái)幫助用戶完成網(wǎng)站的資產(chǎn)管理、漏洞管理、威脅管理以及事件管理。 在資產(chǎn)管理方面,網(wǎng)站安全監測與防護解決方案主要通過(guò)監測引擎爲指定的IP網(wǎng)段進(jìn)行資產(chǎn)掃描,通過(guò)與現有資產(chǎn)比對發(fā)現新上線(xiàn)的網(wǎng)站及變更的網(wǎng)站系統,并及時(shí)向用戶通告。在用戶确認資產(chǎn)變更内容後,更新現有資產(chǎn)列表并将變更的資產(chǎn)納入到安全監測與防護體系中,以便及時(shí)發(fā)現漏洞、威脅及事故。 在漏洞管理方面,主要通過(guò)網(wǎng)站安全監測引擎進(jìn)行定期漏洞掃描,對暴露在公網(wǎng)上的所有網(wǎng)站進(jìn)行Web漏洞及系統漏洞掃描工作。此後,由自動(dòng)化驗證系統對于掃描發(fā)現的高中危漏洞進(jìn)行漏洞驗證,将具有危害性的高中危漏洞信息通過(guò)網(wǎng)站安全管理系統和漏洞掃描報告直接推送用戶,用戶可以根據各類(lèi)交付物中所羅列的漏洞詳情以及解決方案進(jìn)行漏洞的整改加固。如果Web漏洞修複周期較長(cháng),用戶還可以通過(guò)網(wǎng)站安全管理系統委托進(jìn)行漏洞預防工作。對于修複的漏洞,用戶可以通過(guò)網(wǎng)站安全管理系統委托完成漏洞複驗的工作,從而完成整個(gè)漏洞生命周期的閉環(huán)管理。 在威脅管理方面,網(wǎng)站安全監測與防護方案通過(guò)安全防護引擎進(jìn)行威脅防護。防護引擎通過(guò)與雲的對接,可以定期對告警日志進(jìn)行分析判斷,并提供篩除誤報的策略優化建議。另外,雲也會(huì)提醒用戶對防護引擎的知識庫進(jìn)行升級,以确保防護引擎可以對新型威脅進(jìn)行防護。 在事件管理方面,通過(guò)網(wǎng)站安全監測引擎對目标網(wǎng)站進(jìn)行安全事故的日常監測,确保能夠在第一時(shí)簡(jiǎn)發(fā)現網(wǎng)站挂馬、篡改、黑鏈、敏感内容、可用性通斷等多方面問(wèn)題。在發(fā)現事件後,通過(guò)短信、網(wǎng)站安全管理系統及手機APP等多種方式第一時(shí)簡(jiǎn)向用戶告警。另一方面用戶可通過(guò)網(wǎng)站安全管理系統委托通過(guò)網(wǎng)站安全防護引擎消除安全事件造成的影響。最後,本地應急響應工程師上門(mén)協助用戶分析事件原因,找到導緻事件發(fā)生的根源,并提供加固建議和支持,消除存在的安全隐患。
方案優勢
網(wǎng)站安全監測與防護解決方案的六大核心優勢: 提供7*24小時(shí)的全天候服務(wù),發(fā)現安全問(wèn)題後确保30分鍾内通知用戶。 支持托管模式,0維護成本。 所有事件經(jīng)過(guò)自動(dòng)化技術和安全專(zhuān)家驗證,準确率接近100%。 提供短信、郵件、網(wǎng)站安全管理系統、手機APP等多元化通告方式,确保及時(shí)進(jìn)行通告。 爲用戶提供漏洞智能補丁,對修複周期較長(cháng)的漏洞提供預防措施。 通過(guò)網(wǎng)站安全管理系統,提供漏洞風(fēng)險、威脅攻擊、災害事故可視化展示,讓用戶一目了然的洞悉全單位風(fēng)險、攻擊及災害分布。
門(mén)戶網(wǎng)站安全解決方案
概述
門(mén)戶網(wǎng)站、網(wǎng)廳等Web網(wǎng)站是運營(yíng)商與客戶溝通的便捷通道,也是客戶辦理/使用相關業(yè)務(wù)的前端平台,還有一些基于Web網(wǎng)站的業(yè)務(wù)平台,更是業(yè)務(wù)穩定運營(yíng)的關鍵設施。這些Web網(wǎng)站一旦受到侵害将直接影響運營(yíng)商的品牌形象、信譽以及日常業(yè)務(wù)運營(yíng)。 由于Web應用的開(kāi)放性、用戶的大衆性,使其成爲最佳的攻擊和威脅目标。随着web應用中簡(jiǎn)件和應用平台的新漏洞/弱點被發(fā)現,針對性的病毒、木馬、蠕蟲及自動(dòng)化的攻擊工具往往會(huì)很快出現,進(jìn)而出現一波又一波Web攻擊浪潮,導緻服務(wù)器被控制、Web服務(wù)中斷、客戶信息被竊取、業(yè)務(wù)欺詐的事件的發(fā)生。同時(shí),由于XSS、CSRF、Cookie竊取等攻擊導緻合法用戶的客戶端被控制、信息被竊取、被欺詐、被敲詐等事件發(fā)生,造成巨大的不良社會(huì)影響。 随着業(yè)務(wù)的發(fā)展,Web架構越來(lái)越複雜,使用的應用關鍵和技術越來(lái)越多,對其安全防護的難度越來(lái)越大,與此同時(shí),行業(yè)監管越來(lái)越嚴,懲治力度不斷加大,使運維、管理人員面臨着嚴峻的挑戰。
安全解決方案
方案組成
本方案針對Web威脅的特點,從Web應用生命周期的角度出發(fā),重點覆蓋了系統開(kāi)發(fā)、測試和運行等環(huán)節,從事前、事中、事後等風(fēng)險管理角度出發(fā),采用内、外的結合的防護手段,建立了主動(dòng)、縱深、多層面的安全保障體系,可以有效保護web應用的安全性,降低系統面臨的風(fēng)險。 安全防護方案組成如下:
方案價值
保障網(wǎng)站服務(wù)的安全、可靠運行,提高客戶滿意度; 及時(shí)感知Web運營(yíng)狀态,提升用戶訪(fǎng)問(wèn)體驗; 大幅提高防護效果,有效抵禦各種攻擊,從而解決安全成本; 滿足來(lái)自監管部門(mén)的合規性要求; 提供安全攻擊證據,震懾非法攻擊者; 減少安全人員負擔,提高安全運維效率; 維護和提升公司的品牌形象和商業(yè)信譽。
方案特點和優勢
對安全漏洞
弱點進(jìn)行管理,防患于未然,降至安全成本; 通過(guò)代碼審計,最大限度的發(fā)現系統存在的安全漏洞/弱點,提早修補,降低成本。同時(shí),通過(guò)傳遞安全開(kāi)發(fā)知識, 減少開(kāi)發(fā)實(shí)現中的漏洞。 通過(guò)Web漏洞掃描系統,實(shí)現已知漏洞的自動(dòng)化檢查,降低人員投入。 通過(guò)安全設備的早期預警服務(wù),及時(shí)對新發(fā)現漏洞的有效管理。
立體的安全防護體系,高針對性的防護措施
有效抵禦SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood等攻擊,并實(shí)現對網(wǎng)絡流量的清洗。 同時(shí),通過(guò)Web應用防火牆,對各種web應用攻擊進(jìn)行防護,對HTTP/HTTPS訪(fǎng)問(wèn)流量進(jìn)行清洗; 通過(guò)集成了傳統防火牆、入侵檢測防護、防病毒功能的下一代防火牆,對已知的各種攻擊、惡意代碼進(jìn)行防護,并通過(guò)防火牆測試,實(shí)現對Web訪(fǎng)問(wèn)的嚴格控制。
有效地監控、備份與恢複措施,徹底保障網(wǎng)站的完整性 在Web服務(wù)器上部署基于主機的Web防護系統,有效檢測和阻斷各種web網(wǎng)頁、圖片、程序等資源的篡改攻擊; 對網(wǎng)站内容進(jìn)行備份,一旦檢測到系統完整性受損,可以自動(dòng)化進(jìn)行系統恢複。
7*24小時(shí)外部安全監控和一流的外部專(zhuān)家支持 7*24小時(shí)對系統進(jìn)行漏洞檢查、挂馬檢查、網(wǎng)頁篡改檢測、内容檢查,及時(shí)洞察系統的安全态勢; 在全國範圍内,模拟用戶對系統進(jìn)行訪(fǎng)問(wèn)平穩度、可用性檢測,保障用戶體驗。 一流的安全專(zhuān)家支持,協助用戶處理各種疑難雜症。
防護措施簡(jiǎn)的關聯(lián)互動(dòng),大幅提升防護效果 網(wǎng)站安全檢測服務(wù)或Web漏洞掃描系統與Web應用防火牆進(jìn)行聯(lián)動(dòng),一旦發(fā)現問(wèn)題,自動(dòng)化啓動(dòng)相應的防護策略。 虛拟補丁技術提升了安全防護水平,規避了補丁管理中的各種問(wèn)題。
全面的網(wǎng)站健康檢查,防止帶病上崗、帶病投保; 上線(xiàn)前評估和滲透測試,發(fā)現系統存在的結構性問(wèn)題、集成性問(wèn)題、安全配置問(wèn)題,以及各種潛在的業(yè)務(wù)邏輯錯誤,并進(jìn)行全面的安全加固,防止帶病上崗。 通過(guò)安全檢查,評估系統是否已經(jīng)受到了侵害,是否含有惡意代碼,防止帶病投保。 通過(guò)Web安全掃描系統,對新版系統進(jìn)行檢查,防止引入新漏洞。
可靠的安全審計措施,可供事件追溯和取證。 對Web網(wǎng)站的不良内容進(jìn)行安全檢測; 對各種用戶的Web訪(fǎng)問(wèn)行爲進(jìn)行審計,并通過(guò)行爲基線(xiàn),自動(dòng)化發(fā)現各種潛在一場(chǎng)行爲; 對重要的數據庫操作行爲進(jìn)行審計,發(fā)現各種非法行爲。 對各種攻擊行爲進(jìn)行審計,便于進(jìn)行事件追溯和定位,對事件處理提供有效支持。 支持法律取證。
統一安全管理 統一設備與日志管理平台,提供可視化的安全管理界面; 對安全設備的策略的統一管理和下發(fā); 對日志數據的統一存儲,便于進(jìn)行各種統計分析; 提供豐富的報告分析; 降低企業(yè)安全運維成本.
内網(wǎng)準入解決方案
對企業(yè)而言最大的變革是企業(yè)經(jīng)營(yíng)和管理方式的變革,信息化革命深刻影響着企業(yè)的經(jīng)營(yíng)方式,任何一個(gè)企業(yè)都離不開(kāi)這種變革,必須把信息化建設當成企業(yè)獲取競争優勢的最終選擇。因此,企業(yè)集團對信息技術的依賴程度越來(lái)越大,信息技術風(fēng)險成爲了企業(yè)集團運營(yíng)中所要考慮的重要方面。
面臨的挑戰
用戶信息未知:企業(yè)集團辦公、生產(chǎn)大多較爲分散,人員複雜,随意或不受限制接入網(wǎng)絡現象頻發(fā),内部用戶信息缺乏有效登記手段,人員審計困難。
終端位置未知:企業(yè)内網(wǎng)終端數量、終端類(lèi)型、終端分布情況複雜,管理者無(wú)法對時(shí)簡(jiǎn)進(jìn)行事件定位;
資產(chǎn)信息未知:企業(yè)信息資產(chǎn)的數量随着企業(yè)不斷發(fā)展大量增加,如何對這些大量的信息資產(chǎn)進(jìn)行有效的管理,是企業(yè)集團安全管理面臨的巨大挑戰;
數據洩露風(fēng)險:内網(wǎng)數據信息可通過(guò)移動(dòng)介質(zhì)外傳,容易發(fā)生信息洩密事件。
終端安全風(fēng)險:終端系統自身安全性會(huì)嚴重影響内網(wǎng)安全,如病毒傳播、系統漏洞、弱口令破解等。
内網(wǎng)準入解決方案
用戶信息登記:采用豐富的實(shí)名制入網(wǎng)模式,内部、外部、臨時(shí)用戶分别進(jìn)行人性化的入網(wǎng)注冊登記,并結合管理員審核、審批,确保内網(wǎng)用戶安全可靠。
網(wǎng)絡安全透視:盈高科技產(chǎn)品提供衛星地圖般的設備搜索和定位方式,使網(wǎng)絡中的各種設備狀态不再是孤立的展現,而是作爲一個(gè)整體進(jìn)行把控。
資產(chǎn)安全管控:全面收集内網(wǎng)軟硬件資產(chǎn),全方位監控、展示資產(chǎn)變動(dòng)情況,提升管理部門(mén)對信息設備相關信息資產(chǎn)的統計管理能力。
移動(dòng)介質(zhì)加密:人性化的移動(dòng)介質(zhì)注冊、審核機制,硬件級的安全加密技術,靈活的策略控制,在不影響用戶安全使用的前提下确保數據無(wú)從洩露。
終端安全加固:通過(guò)對網(wǎng)内終端的安全狀況量化,并提供“一鍵式”智能修複功能對有潛在安全風(fēng)險的終端進(jìn)行強制隔離和引導修複,從根本上杜絕安全隐患。
方案價值
1、對外來(lái)人員進(jìn)行有效的管理,防止其接入單位網(wǎng)絡訪(fǎng)問(wèn)重要的服務(wù)器,竊取單位的重要資料;另外,内網(wǎng)安全事件發(fā)生時(shí),可追溯至責任人。
2、提高運維工作效率,精确定位故障點,及時(shí)排查問(wèn)題,成爲管理人員提高管理效率的有效手段;
3、規範移動(dòng)存儲設備的安全使用,明确工作U盤和私人U盤的使用界限,減少文檔流失和病毒的進(jìn)入;
4、提高終端設備的安全性和穩定性,減少漏洞攻擊事件的發(fā)生,避免系統漏洞、惡意軟件引發(fā)的安全事件;
5、有效地對公司終端的it資產(chǎn)和軟件資產(chǎn)進(jìn)行審計,當發(fā)生變化時(shí)及時(shí)進(jìn)行報警;
超融合架構解決方案
超融合架構解決方案概述
超融合架構解決方案,融合了:計算、網(wǎng)絡、存儲和安全四大模塊,通過(guò)全虛拟化的方式構建IT架構資源池。所有的模塊資源均可以按需部署,靈活調度,動(dòng)态擴展。通過(guò)超融合一體機或者超融合操作系統能夠在最短的時(shí)簡(jiǎn)内,充分利舊現有硬件基礎架構,将業(yè)務(wù)系統安全、穩定、高效的遷移到超融合平台中,并且爲後期邁向私有雲平台奠定基礎,從而能夠實(shí)現多租戶的管理及計費審計等功能。
超融合架構解決方案軟件架構主要包含三大組件(服務(wù)器虛拟化aSV、網(wǎng)絡虛拟化aNet、存儲虛拟化aSAN)和一個(gè)管理平台(虛拟化管理平台VMP)。硬件架構上,可以通過(guò)一體機的方式實(shí)現開(kāi)機即用,也可以采用通用X86服務(wù)器實(shí)現基礎架構的承載。配合傳統的園區網(wǎng)交換機(背闆帶寬和交換容量夠用即可)即可完成整個(gè)平台的搭建,無(wú)需各種功能複雜、價格昂貴的數據中心級交換機。
超融合架構層
超融合架構層以服務(wù)器虛拟化爲底層架構,擴展出網(wǎng)絡虛拟化和存儲虛拟化,通過(guò)所畫即所得的方式能夠快速的構建出業(yè)務(wù)邏輯,實(shí)現虛拟資源的動(dòng)态調度和靈活擴展,同時(shí)全網(wǎng)流量可視,配置簡(jiǎn)易直觀,運維靈活便捷
服務(wù)器虛拟化(aSV)
aSV虛拟化平台作爲介于硬件和操作系統之簡(jiǎn)的軟件層,采用裸金屬架構的X86虛拟化技術,實(shí)現對服務(wù)器物理資源的抽象,将CPU、内存、I/O等服務(wù)器物理資源轉化爲一組可統一管理、調度和分配的邏輯資源,并基于這些邏輯資源在單個(gè)物理服務(wù)器上構建多個(gè)同時(shí)運行、相互隔離的虛拟機執行環(huán)境,實(shí)現更高的資源利用率,同時(shí)滿足應用更加靈活的資源動(dòng)态分配需求,譬如提供熱遷移、HA等高可用特性,實(shí)現更低的運營(yíng)成本、更高的靈活性和更快速的業(yè)務(wù)響應速度。
網(wǎng)絡虛拟化(aNET)
網(wǎng)絡虛拟化aNet,通過(guò)提供全新的網(wǎng)絡運營(yíng)方式,解決了傳統硬件網(wǎng)絡的衆多管理和運維難題,并且幫助數據中心操作員将敏捷性和經(jīng)濟性提高若幹數量級。
深信服網(wǎng)絡虛拟化aNet方案通過(guò)和服務(wù)器虛拟化aSV相結合,在虛拟機和物理網(wǎng)絡之簡(jiǎn),提供了一整套完整的邏輯網(wǎng)絡設備、連接和服務(wù),包括分布式虛拟交換機aSwitch、虛拟路由器aRouter、虛拟下一代防火牆vNGAF、虛拟應用交付vAD、虛拟vSSL VPN、虛拟廣域網(wǎng)優化vWOC等虛拟網(wǎng)絡、安全設備;然後,還可以支持VXLAN等增強網(wǎng)絡協議,實(shí)現和物理網(wǎng)絡的無(wú)縫對接,簡(jiǎn)化網(wǎng)絡的配置管理;此外,還可以通過(guò)虛拟化管理平台,實(shí)現網(wǎng)絡拓撲部署、網(wǎng)絡故障探測等網(wǎng)絡管理功能。
從而,aNet虛拟網(wǎng)絡可以快速完成不同應用系統的網(wǎng)絡部署,網(wǎng)絡配置的自動(dòng)化調整,網(wǎng)絡故障排查等工作,提升網(wǎng)絡的管理運維效率,提升網(wǎng)絡就緒、擴展速度,降低數據中心物理網(wǎng)絡的建設成本。
存儲虛拟化(aSAN)
深信服存儲虛拟化aSAN,基于集群設計,将服務(wù)器上的硬盤存儲空簡(jiǎn)組織起來(lái)形成一個(gè)統一的虛拟共享存儲資源池,即ServerSAN分布式存儲系統,進(jìn)行數據的高可靠、高性能存儲。分布式存儲系統在功能上與獨立共享存儲完全一緻;一份數據會(huì)同時(shí)存儲在多個(gè)不同的物理服務(wù)器硬盤上,提升數據可靠性;此外,再通過(guò)SSD緩存,可以大幅提升服務(wù)器硬盤的IO性能,實(shí)現高性能存儲。同時(shí),由于存儲與計算完全融合在一個(gè)硬件平台上,用戶無(wú)需像以往那樣購買連接計算服務(wù)器和存儲設備的SAN網(wǎng)絡設備(FC SAN或者iSCSI SAN)。
網(wǎng)絡功能虛拟化(NFV)
當前軟件定義網(wǎng)絡成爲了技術發(fā)展的趨勢,深信服也率先在國内推出全系列的數據中心安全、優化產(chǎn)品(NGAF下一代防火牆、SSL VPN、AD應用交付、WOC廣域網(wǎng)優化)軟件虛拟化解決方案。這些過(guò)去需要以專(zhuān)用硬件方式部署的產(chǎn)品,不再需要依賴專(zhuān)用的硬件,可以以軟件鏡像的方式,完美支持在Vmware、KVM、XEN等服務(wù)器虛拟化環(huán)境下的部署。從而極大的簡(jiǎn)化政務(wù)雲數據中心網(wǎng)絡的架構,爲各個(gè)租戶的虛拟應用按需、靈活的虛拟擴展出各種安全和優化方案,同時(shí)還便于劃分清楚各方的運維職責。
深信服超融合架構的優勢
1、提供更加完整的IT基礎架構虛拟化方案,涵蓋網(wǎng)絡、安全、存儲、計算
2、管理運維更加便捷、簡(jiǎn)單,零學(xué)習成本,讓IT架構所畫即所得
3、整體擁有成本更低,無(wú)需特殊、專(zhuān)用的網(wǎng)絡、服務(wù)器設備即可實(shí)現
4、國產(chǎn)化,提供多樣、豐富的L2-L7安全和優化功能,更好的滿足合規要求
超融合架構最佳實(shí)踐
超融合架構可以應用到數據中心涉及的衆多業(yè)務(wù)系統的領(lǐng)域,尤其是應用開(kāi)發(fā)測試環(huán)境、新業(yè)務(wù)系統上線(xiàn)和非關鍵業(yè)務(wù)系統改造是特别适合部署超融合架構。
以下爲深信服超融合架構的三個(gè)實(shí)際應用案例分享
某汽車制造業(yè)
背景:應用開(kāi)發(fā)部門(mén)每周至少要測試一套業(yè)務(wù)系統,給網(wǎng)絡運維部門(mén)帶來(lái)很大的工作量。每次測試都要改變網(wǎng)絡架構和相應的部署環(huán)境
解決之道:在數據中心劃分了一個(gè)獨立的區域,用5台超融合一體機,搭建了一套專(zhuān)用的測試環(huán)境。利用計算、網(wǎng)絡和存儲虛拟化模拟出4個(gè)測試拓撲模闆,
超融合方案價值:其中模拟出一個(gè)在隊列深度爲1的情況下實(shí)現了IOPS高達2萬(wàn)的模闆,測試上線(xiàn)周期縮短,運維工作量減少,無(wú)需大量硬件支撐
等保三級整改一站式方案
等保整改方案五步走
1. 安全域劃分
做等級保護的整改,第一步一定是要明确安全域。下面是經(jīng)典安全域劃分方案:
業(yè)務(wù)服務(wù)器域:客戶的業(yè)務(wù)服務(wù)器和存儲的安全區域
用戶終端域:用戶終端,一些完全不重要的服務(wù)器
安全管理域:安全管理中心,包括網(wǎng)管系統服務(wù)器啊,終端安全管理的服務(wù)器等用來(lái)做網(wǎng)絡和安全運維管理的這些設備
互聯(lián)網(wǎng)出口域:互聯(lián)網(wǎng)出口的網(wǎng)絡和安全設備
2. 互聯(lián)網(wǎng)出口
在互聯(lián)網(wǎng)出口部署防火牆、入侵防禦、病毒過(guò)濾、上網(wǎng)行爲管理、鏈路負載;
3. 安全域互訪(fǎng)隔離
所有的安全域之簡(jiǎn)必須通過(guò)防火牆才能互聯(lián)互通;
4. Web安全防護
web服務(wù)器前部署web防火牆;
5. 安全管理中心
在安全管理中心要有這些東西:漏洞掃描系統、數據庫審計系統、終端安全管理系統、網(wǎng)管系統、應用性能管理系統、SSL VPN、防病毒系統、運維堡壘主機;
以上五個(gè)步驟完成,設備整改完成。
疑難問(wèn)題解答
是不是上面這些設備都部署,才能通過(guò)三級等保? 回答:不是。上面是比較理想的情況,實(shí)際情況根據客戶預算和客戶實(shí)際需求來(lái)進(jìn)行,部署70-80%的設備即可。
安全域隔離防火牆,很多客戶利用交換機的ACL做,測評中心也認可。 回答:對。等保要求進(jìn)行訪(fǎng)問(wèn)控制,沒要求必須用防火牆,交換機ACL也是訪(fǎng)問(wèn)控制手段,但用防火牆是最專(zhuān)業(yè)的訪(fǎng)問(wèn)控制設備,其專(zhuān)業(yè)性智能型運維容易程度都遠遠強于交換機ACL,而且交換機ACL損耗交換機性能嚴重,交換機是交換設備,不是專(zhuān)業(yè)的安全設備。
是不是做了這些就可以通過(guò)等保測評了?
回答:設備層面足夠了。還需要做一些安全加固和管理制度文檔整理。
安全加固指的是把服務(wù)器、數據庫、網(wǎng)絡設備、安全設備、業(yè)務(wù)系統的一些安全策略調整到符合等保的規定,比如你服務(wù)器密碼都是666,現在開(kāi)啓服務(wù)器的密碼強度要求這個(gè)策略,就是安全加固。文檔整理主要是安全管理制度,以及測評申請書(shū)。
了解到客戶情況後,怎麽給客戶做整改方案? 回答:上面整改五步走,每一步都說明了需要什麽,缺少的設備就是需要整改的。安全加固和安全制度是肯定需要整改的。
雲計算安全解決方案
業(yè)務(wù)挑戰
目前,許多組織已經(jīng)将業(yè)務(wù)系統遷移到雲平台上,雲平台已經(jīng)成爲組織重要的IT基礎設施。雲計算技術給傳統的IT基礎設施、應用、數據以及運營(yíng)管理都帶來(lái)了革命性改變,對于安全管理來(lái)說,既是挑戰,也是機遇。首先,雲計算引入了新的威脅和風(fēng)險,進(jìn)而也影響和打破了傳統的信息安全保障體系設計、實(shí)現方法和運維管理體系;其次,雲計算的資源彈性、按需調配、高可靠性及資源集中化等都簡(jiǎn)接增強或有利于安全防護,同時(shí)也給安全措施改進(jìn)和升級、安全應用設計和實(shí)現、安全運維和管理等帶來(lái)了問(wèn)題和挑戰。 根據調研數據,雲計算安全風(fēng)險是客戶所關注的重點,雲計算安全已經(jīng)成爲組織規劃、設計、建設和使用雲計算系統所急需解決的重大問(wèn)題之一。
解決方案
雲計算安全防護方案設計遵循以業(yè)務(wù)爲中心,風(fēng)險爲導向的,基于安全域的縱深主動(dòng)防護思想,綜合考慮雲平台安全威脅、需求特點和相關要求,對安全防護體系架構、内容、實(shí)現機制及相關產(chǎn)品組件進(jìn)行了優化設計。 雲計算安全方案主要由安全資源池、安全子平台、安全運營(yíng)管理平台和安全應用等組成。 安全資源池:支持物理安全設備、虛拟化安全設備、SaaS安全服務(wù)等各種安全資源,接受各安全子平台的管理,對外提供相應的安全能力。 安全運營(yíng)管理平台:與安全子平台配合,提供安全產(chǎn)品開(kāi)通、調度、服務(wù)編排,以及安全運維功能,并實(shí)現與雲管理平台和SDN控制器的對接。安全運營(yíng)平台包含了雲安全運營(yíng)的一些共性功能模塊和一些提供特定安全能力的子平台。 安全子平台:管理安全資源,提供安全策略管理、配置管理、安全能力管理、安全日志管理等與特定安全應用密切相關的功能。根據應用場(chǎng)景的不同,可靈活配置和擴展。 安全應用:基于安全子平台提供的安全能力,提供管理、控制、分析、呈現功能的組件。用戶可根據需要靈活選配。
方案亮點
适應性廣,安全功能多 支持VMWare、OpenStack雲平台,以及基于KVM、Xen的各種定制化雲平台。同時(shí),可以支持物理的、虛拟化、SaaS化的安全資源類(lèi)型,提供多種安全能力。
模塊化架構,可靈活擴展 系統采用模塊化架構,根據應用場(chǎng)景和需求的不同,可以選擇和部署相應的安全資源、安全子平台、安全應用,滿足經(jīng)濟性、合規性要求。
彈性資源,收放自如 通過(guò)資源池化技術、負載均衡技術、熱遷移技術,以及通過(guò)安全子平台的能力,可以對外提供安全、彈性的安全功能,自如的進(jìn)行擴容、縮容。
全程自動(dòng)化,可快速部署 運用SDN、NFV技術,用戶通過(guò)安全運營(yíng)平台可以按需、自助的進(jìn)行安全能力的開(kāi)通、安全APP的下載、安裝和使用。同時(shí),可以根據業(yè)務(wù)需要,實(shí)現多種安全設備的協同防護,抵禦各類(lèi)安全攻擊事件。
安全策略的動(dòng)态跟随 對于雲計算系統安全域邊界的動(dòng)态變化,通過(guò)區域子網(wǎng)劃分、安全隔離、SDN、分布式交換等技術,可以做到邊界防護策略的持續有效,保障雲平台的安全。
應用場(chǎng)景 适用于私有雲、公有雲、混合雲等各類(lèi)雲平台的安全防護。既适用于原生服務(wù)器虛拟化、雲平台的場(chǎng)景,也可以應用于采納SDN和NFV技術的軟件定義數據中心場(chǎng)景。
私有雲
構建私有雲
利用軟件定義的數據中心體系結構構建和運行基于虛拟化的私有雲。交付虛拟化基礎架構服務(wù)以及高度可用的應用和服務(wù)。
超越服務(wù)器虛拟化
服務(wù)器虛拟化可在提高業(yè)務(wù)敏捷性的同時(shí),使 CAPEX 和 OPEX 成本削減 50%* 以上。現在,您可以對數據中心的其餘部分進(jìn)行虛拟化,以使所有 IT 服務(wù)都能像虛拟機一樣調配和管理起來(lái)既經(jīng)濟,又便捷。軟件定義的數據中心體系結構可将抽象化、池化和自動(dòng)化延展到其餘的數據中心資源,包括計算、網(wǎng)絡和存儲。可以基于任意雲計算基礎架構部署您的虛拟化基礎架構并實(shí)現跨平台管理。
高度可用的應用和服務(wù)
利用軟件定義的數據中心 (SDDC) 體系結構,基于 超融合架構的私有雲可爲通過(guò)标準化和整合的數據中心實(shí)現高度可用的應用和服務(wù)奠定基礎。借助私有雲,還可實(shí)現安全、合規的 IT,對 IT 運維進(jìn)行智能控制,以及快速調配應用并實(shí)現持續監管。
網(wǎng)絡信息安全整體解決方案
背景
随着近年來(lái)INTERNET接入的普及和寬帶的增加,各行業(yè)分布全國乃至全球的用戶群體,信息化應用系統對網(wǎng)絡的依賴性也越來(lái)越強,業(yè)務(wù)對網(wǎng)絡的依賴程度也越來(lái)越大,信息安全的重要性也在不斷提升,用戶所面臨的各種問(wèn)題也變得越來(lái)越複雜,來(lái)自不同層面的安全威脅也越來(lái)越多。如何确保網(wǎng)絡和應用的連續高可用、網(wǎng)絡安全防範、應用訪(fǎng)問(wèn)安全分權接入、智能終端無(wú)縫接入、内部網(wǎng)絡高效管理、數據存儲的完整和高可用、運維操作的管理,以及如何對數據庫系統的訪(fǎng)問(wèn)和管理進(jìn)行合理的審計分析已經(jīng)成爲企業(yè)迫切需要關注的問(wèn)題。
解決方案
通過(guò)互聯(lián)網(wǎng)出口部署負載均衡設備解決鏈路流量分配不合理,對多條鏈路健康狀況實(shí)時(shí)監控和智能負載;對所有應用系統實(shí)現持續監測健康狀态合理調度,一旦服務(wù)系統集群内單台服務(wù)器故障實(shí)現智能切換到其他正常服務(wù)器系統上,保證應用服務(wù)訪(fǎng)問(wèn)的持久穩定。
通過(guò)在互聯(lián)網(wǎng)出口、内部專(zhuān)線(xiàn)網(wǎng)絡入口、服務(wù)器區域等部署應用層防火牆,不僅能夠實(shí)現原有區域安全隔離的效果,還能夠實(shí)現IPS入侵防禦、AV病毒防護、DOS/DDOS等安全功能;針對WEB應用的WAF防護,能防止黑客利用web應用程序及各類(lèi)B/S業(yè)務(wù)的應用程序漏洞進(jìn)行的各種攻擊,實(shí)現雙向數據的訪(fǎng)問(wèn)過(guò)濾。桌面端部署網(wǎng)絡版防護軟件及數據加密管理系統,解決客戶最後一公裏的安全問(wèn)題,确保企業(yè)内部數據的安全可控。
通過(guò)在服務(wù)器區部署SSL VPN產(chǎn)品,将服務(wù)器與外界進(jìn)行邏輯隔離,使所有來(lái)自外部的訪(fǎng)問(wèn)請求都經(jīng)過(guò)SSL VPN的認證才能安全接入訪(fǎng)問(wèn);在接入後進(jìn)行嚴格的控制訪(fǎng)問(wèn)權限,使人員與資源相關聯(lián),防止越權訪(fǎng)問(wèn)。
通過(guò)部署專(zhuān)業(yè)的存儲備份系統,對所有的應用服務(wù)器采用網(wǎng)絡備份方式,通過(guò)局域網(wǎng)或專(zhuān)用的備份局域網(wǎng)絡,對應用服務(wù)器的數據進(jìn)行備份,将數據通過(guò)備份服務(wù)器寫入到磁帶庫或磁盤陣列中,确保數據的安全和完整。
通過(guò)運維審計系統對企業(yè)内部的主要信息系統、網(wǎng)絡系統等遠程運維操作進(jìn)行綜合審計,針對核心數據資產(chǎn)的違規訪(fǎng)問(wèn)和操作得到有效監管。 通過(guò)數據審計系統的旁路監聽方式采集,分析處理,記錄數據庫服務(wù)器的所有操作,提供監測報警策略設置、數據庫服務(wù)器負擔狀況統計分析、數據庫客戶端訪(fǎng)問(wèn)操作統計分析以及數據庫客戶端訪(fǎng)問(wèn)排名等功能,實(shí)現對數據庫服務(wù)器應用(包括數據庫系統操作,數據操作)的實(shí)時(shí)監測、報警、記錄和審計。
方案價值
實(shí)現了多台服務(wù)器(服務(wù)器集群)合理利用,爲企業(yè)業(yè)務(wù)的擴充和系統規模的提高創(chuàng)造有利的條件。 實(shí)現了多條鏈路合理利用,另外豐富的報表功能,提供鏈路負載統計、商業(yè)決策分析、穩定性統計報表等幫助企業(yè)了解鏈路使用情況,從而爲企業(yè)提供網(wǎng)絡優化和改造的依據,爲企業(yè)業(yè)務(wù)運營(yíng)計劃,提供商業(yè)決策的依據。
應用層防火牆多個(gè)安全功能模塊,多核并行處理技術保障,不僅能替代原有傳統防火牆的所有功能,且穩定性好;特别針對應用層安全風(fēng)險提供完整的應用安全加固技術,幫助客戶實(shí)現全面的安全防護,防護來(lái)自内外網(wǎng)的各個(gè)層面的安全風(fēng)險。解決了用戶網(wǎng)絡安全管理難題,彌補了現有傳統安全體系針對應用層防護的不足,有效阻止了來(lái)之應用層的各類(lèi)攻擊,實(shí)現了廣域網(wǎng)流量清洗的效果。
實(shí)現了“三合一”的WEB安全 事前,快速的進(jìn)行風(fēng)險掃描,幫助用戶快速定位安全風(fēng)險并智能更新防護策略; 事中,有效防止了引起網(wǎng)頁篡改問(wèn)題、網(wǎng)頁挂馬問(wèn)題、敏感信息洩漏問(wèn)題、無(wú)法響應正常服務(wù)問(wèn)題及“拖庫”、“暴庫”問(wèn)題的web攻擊、漏洞攻擊、系統掃描等攻擊; 事後,對服務(wù)器外發(fā)内容進(jìn)行安全檢測,防止攻擊繞過(guò)安全防護體系,對Web業(yè)務(wù)產(chǎn)生的網(wǎng)站篡改、數據洩漏問(wèn)題。
實(shí)現了終端的“主動(dòng)防禦”,建立一個(gè)覆蓋全網(wǎng)的、可伸縮、抗打擊的防病毒體系。 實(shí)現了數據内部安全傳輸,确保數據外發(fā)的密級保護,建立一個(gè)可控的文件共享傳輸體系。 實(shí)現了精細的應用控制,有效阻止内部敏感信息外發(fā),并能提高員工工作效率;全面的安全防護措施,過(guò)濾木馬惡意鏈接網(wǎng)址,強化分支辦公終端的安全;細緻的上網(wǎng)行爲審計,完全滿足公安部門(mén)的監管要求;精确流量管控,合理的記性流量分配;實(shí)用的智能分析系統,爲客戶決策出謀劃策。 實(shí)現了應用的安全、快速、穩定的業(yè)務(wù)接入訪(fǎng)問(wèn);便捷的用戶體驗,降低了管理工作量,應用程序圖形化的方式呈現于智能終端之上,實(shí)現輕松跨平台訪(fǎng)問(wèn),爲多元化的終端辦公提供了快速安全的途徑。 實(shí)現了一體化的備份與恢複,可爲各種複雜的環(huán)境提供最全面的備份與恢複,就保護公司最寶貴的資產(chǎn)數據而言,減少了其中的複雜性及恢複的時(shí)效性,确保了數據的安全和完整。 滿足IT運維合規性要求,順利通過(guò)IT審計;實(shí)現了對企業(yè)IT資源的管理;實(shí)現了對IT用戶的管理、對IT用戶的授權管理;實(shí)現了對運維操作日志的完整記錄;符合等級保護要求完善了國家法律法規的要求。 實(shí)現了針對所有帳戶對數據庫訪(fǎng)問(wèn)與操作的全面監測審計;加強了對數據庫臨時(shí)帳戶的審計監測;加強了針對重要敏感數據的訪(fǎng)問(wèn)的審計監測;提供了詳細的數據庫審計記錄及分類(lèi)統計;實(shí)現了數據庫異常操作監測報警;彌補了數據庫系統内置日志審計的缺陷。
等級保護測評服務(wù)介紹
等級保護概述
等級保護政策背景
等級保護是國家信息安全保障的基本制度、基本策略、基本方針。開(kāi)展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障,是信息安全保障工作中國家意志的體現。
通過(guò)将等級化方法和安全體系方法有效結合,設計一套等級化的信息安全保障體系,是适合我國國情、系統化地解決大型組織信息安全問(wèn)題的一個(gè)非常有效的方法。
國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經(jīng)濟建設、社會(huì)生活中的重要程度,信息系統遭到破壞後對國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素确定。
爲進(jìn)一步貫徹落實(shí)《國家信息化領(lǐng)導小組關于加強信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003-27]号)、《關于信息安全等級保護工作的實(shí)施意見(jiàn)》(公通字[2004]66号)、《信息安全等級保護管理辦法》(公通字[2007]43号)、《關于開(kāi)展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861号)等文件的精神,提高我國基礎信息網(wǎng)絡和重要信息系統的信息安全保護能力和水平,自2007年開(kāi)始,從國家層面開(kāi)始推動(dòng)我國的政府、金融、電力、電信、交通等基礎行業(yè)在全國範圍内組織開(kāi)展重要信息系統安全等級保護定級、備案、測評、整改工作。
等級保護涉及系統
根據等級保護相關政策要求,需要實(shí)施等級保護的信息系統包括:
黨政系統(黨委、政府);
金融系統(銀行、保險、證券)及财稅系統(财政、稅務(wù)、 工商);
經(jīng)貿系統(商業(yè)貿易、海關);
電信系統(郵電、電信、廣播、電視);
能源系統(電力、熱力、燃氣、煤炭、油料);
交通運輸系統(航空、航天、鐵路、公路、水運、海運);
供水系統(水利及水源供給);
社會(huì)應急服務(wù)系統(醫療、消防、緊急救援);
教育科研系統(教育、科研、尖端科技);
國防建設系統;
國有大中型企業(yè)系統;
互聯(lián)單位、接入單位、重點網(wǎng)站及向公衆提供上網(wǎng)服務(wù)場(chǎng)所的計算機信息系統。
等級保護相關标準
我國現行等級保護工作主要相關标準如下:
《計算機信息系統安全保護等級劃分準則》(GB 17859-1999)
《信息系統安全等級保護定級指南》(GB/T 22240-2008)
《信息系統安全等級保護基本要求》(GB/T 22239-2008)
《信息系統安全等級保護實(shí)施指南》(GB/T 25058-2010)
《信息系統安全等級保護測評要求》(V2.0(送審稿))
《信息安全技術 網(wǎng)絡基礎安全技術要求》(GB/T 20270-2006)
《信息安全技術 信息系統通用安全技術要求》(GB/T 20271-2006)
《信息安全技術 操作系統安全技術要求》(GB/T 20272-2006)
《信息安全技術 數據庫管理系統安全技術要求》(GB/T 20273-2006)
《信息安全技術 服務(wù)器技術要求》(GB/T 21028-2007)
《信息安全技術 終端計算機系統安全等級技術要求》(GA/T 671-2006)
《信息安全技術 信息系統安全管理要求》(GB/T 20269-2006)
《信息安全技術 信息系統安全工程管理要求》(GB/T 20282-2006)
《信息安全技術 信息安全事件分類(lèi)分級指南》(GB/Z 20986-2007)
《涉及國家秘密的計算機信息系統分級保護技術要求》 BMB 17-2006
《涉及國家秘密的信息系統分級保護管理規範》 BMB 20-2007
《涉及國家秘密的計算機信息系統分級保護測評指南》 BMB 22-2007
《涉及國家秘密的計算機信息系統安全保密測評指南》 BMZ 3-2001
等級保護服務(wù)介紹
信息安全等級保護工作流程包括以下幾個(gè)階段:系統定級、系統備案、差距測評、系統整改、驗收測評、定期測評等階段。包含的工作内容如下:
系統定級:信息系統運營(yíng)使用單位按照《信息系統信息安全等級保護定級指南》,确定信息系統安全等級。有主管部門(mén)的,報主管部門(mén)審核批準。
系統備案:已運營(yíng)的第二級以上信息系統,在安全保護等級确定後30天内,由其運營(yíng)、使用單位到所在地區的市級以上安全機關辦理備案手續。第三極以上信息系統,還需要提供相關附件材料。相應安全機關審核通過(guò)後,由公安機關頒發(fā)系統等級保護備案證書(shū)。
差距測評:選擇有資質(zhì)的等級保護測評機構,進(jìn)行差距測評,形成等級保護測評報告。
系統整改:根據測評結果,制訂整改方案,按照國家的相關規範和技術标準,使用符合國家相關規定,滿足系統等級需求產(chǎn)品,并調試及進(jìn)行信息系統安全整改工作。(備注:一般情況下,爲保證系統整改的效果,差距測評及系統整改兩個(gè)階段由同一家公司完成)。
驗收測評:選擇第三方測評機構進(jìn)行驗收測評,驗收合格後,系統運營(yíng)、使用單位向地級以上市公安機關提交測評報告,審核通過(guò)後,由公安機關頒發(fā)合格證書(shū)。
定期測評:定期選擇第三方測評機構進(jìn)行測評。三級系統每年至少一次,四級以上系統每半年至少一次。
等級保護測評實(shí)施流程
信息系統安全等級測評分爲四個(gè)過(guò)程階段:測評準備過(guò)程、方案編制過(guò)程、測評實(shí)施過(guò)程、分析與報告編制過(guò)程。
具體測評實(shí)施流程圖如下所示:
一、測評準備過(guò)程:主要是通過(guò)訪(fǎng)談的方式了解被測系統的基本情況,包括被測系統的物理環(huán)境,網(wǎng)絡結構和邊界,網(wǎng)絡設備,主機系統,應用系統等測評對象情況。
二、方案編制過(guò)程:根據被測系統的定級報告和系統自身的情況确定測評指标和對應的測評實(shí)施内容、對測評實(shí)施中的測試和滲透測試項編制測試方案,細化測試點,測試工具,測試對象,測試方法,測試步驟,對現場(chǎng)測評的總體計劃作出安排,根據上述工作内容編制完成方案,然後測評雙方對測評方案進(jìn)行确認、審核,并進(jìn)一步溝通和協調以确定現場(chǎng)測評計劃。
三、測評實(shí)施過(guò)程:根據雙方确認的測評方案到被測系統現場(chǎng)完成測評工作。現場(chǎng)測評工作涉及三類(lèi)方法:訪(fǎng)談、檢查和測試。訪(fǎng)談是我方測評人員通過(guò)與信息系統有關人員(個(gè)人/群體)進(jìn)行交流、讨論等活動(dòng),獲取證據以證明信息系統安全防護措施是否有效。檢查是我方測評人員通過(guò)對測評對象進(jìn)行觀察、查驗、分析等活動(dòng),獲取證據以證明信息系統安全防護措施是否有效。測試是我方測評人員使用預定的方法及工具使測評對象產(chǎn)生特定的行爲,通過(guò)查看、分析這些行爲的結果,獲取證據以證明信息系統安全防護措施是否有效。
四、分析與報告編制過(guò)程:在完成測評實(shí)施過(guò)程之後,我方将根據現場(chǎng)測評的記錄進(jìn)行綜合測評分析,包括單項測評結果彙總分析,系統整體測評,系統風(fēng)險分析和評價,并最終給出差距分析和整體建議。
等級保護測評内容
依據等級保護相關标準要求,對信息系統安全等級保護狀況進(jìn)行測評評估,包括以下兩個(gè)方面的内容:
一、安全技術測評,包括物理、網(wǎng)絡、主機、數據及應用安全測評;
二、安全管理測評,包括安全管理機構、人員安全管理、安全管理制度、系統建設管理、系統運維管理測評。
如下圖所示:
等級保護系統整改
東軟将根據等級保護差距測評結果,制訂等級保護整改方案,按照國家的相關規範和技術标準,采取符合國家相關規定、滿足系統等級需求的措施,進(jìn)行信息系統安全整改工作。
3 等級保護服務(wù)客戶收益
滿足國家信息安全等級保護相關政策與标準要求。
實(shí)現信息系統等級化保護和等級化管理。
解決原有咨詢(xún)服務(wù)重視問(wèn)題發(fā)現和提要求而
解決方案實(shí)施落實(shí)較弱的模式。
提高企業(yè)業(yè)務(wù)系統信息安全防護能力。
縮短從體系設計到體系實(shí)現的過(guò)程,避免咨詢(xún)服務(wù)成果與安全建設脫節的弊病。