網站安全監測與防護方案
背景需求
近些年(nián)來,随着互聯網技術的(de)發展以及電子(zǐ)商(shāng)務和(hé)電子(zǐ)政務的(de)普及,各企事業單位、黨政機(jī)關面臨的(de)網站安全問題也随之凸顯出來。為(wèi)了繼續發揮互聯網經濟産生效益和(hé)優勢,需要我們(men)必須積極應對網站安全問題。 目前,國(guó)內(nèi)安全形勢非常嚴峻,網站面臨的(de)安全問題大量湧現。首先,網站系統需要應對和(hé)處置的(de)安全隐患持續增長(cháng),需要企業和(hé)機(jī)構進一(yī)步加強隐患的(de)管理(lǐ)和(hé)控制。據CNCERT發布的(de)《2015年(nián)中國(guó)互聯網網絡安全報告》顯示,2015年(nián)CNVD共收錄了安全漏洞8080個,其中高(gāo)危漏洞收錄數量高(gāo)達2909個,該數字較2014年(nián)增長(cháng)21.5%。其次,網站安全事故頻發,據CNCERT發布的(de)《2015年(nián)中國(guó)互聯網網絡安全報告》顯示,2015年(nián),CNCERT/CC共接收境內(nèi)/外報告的(de)網絡安全事件126916起,平均每天發生安全事件347起,數量非常驚人,其中有(yǒu)24550個網站被篡改,40782個境內(nèi)主機(jī)被植入木馬或僵屍程序。最後,與網站相關的(de)重大安全事故也頻頻發生,國(guó)內(nèi)外各知名企業相繼發生數起重大安全事故。其中,京東商(shāng)城洩露12G用戶數據、雅虎洩露5億用戶資料、LinkedIn旗下的(de)在線學(xué)習網站Lynda.com被竊取950萬賬号信息等事件都直接導緻公衆個人信息的(de)洩露。與此同時,國(guó)家對網站安全問題越來越重視(shì),并且不斷加大網站安全的(de)監管力度。中央網絡安全和(hé)信息化領導小組成立後,發布的(de)第一(yī)個文件就是《關于加強黨政機(jī)關網站安全管理(lǐ)的(de)通知》,該文就各級黨政機(jī)關及企事業單位開展網站安全管理(lǐ)提出若幹條指導意見。另一(yī)方面,國(guó)家各級主管部門加大檢查力度,近幾年(nián)多次開展重要保障活動及安全專項檢查工作,并且每次重要保障任務和(hé)專項檢查工作的(de)重點都包括對互聯網網站檢測和(hé)治理(lǐ)。
問題和(hé)困難
當前,各企業在網站安全管理(lǐ)上存在的(de)問題主要集中在網站的(de)資産管理(lǐ)、漏洞管理(lǐ)、威脅管理(lǐ)、事件管理(lǐ)四個方面。 在資産管理(lǐ)方面,問題主要體現在企業缺乏有(yǒu)效的(de)手段對網站等資産的(de)變更進行(xíng)監測和(hé)管理(lǐ),導緻新上線的(de)網站或變更的(de)網站在未經安全檢查和(hé)采取防護措施的(de)前提下直接暴露在互聯網上。通常這些網站存在大量安全隐患,非常容易被攻擊者所利用。
在漏洞管理(lǐ)方面,企業所面臨的(de)困難主要是未能對網站漏洞及隐患進行(xíng)定期排查和(hé)處置,導緻未發現、未處置的(de)漏洞數量越來越多。通常有(yǒu)兩方面原因導緻漏洞數量的(de)增加,一(yī)方面是用戶網站內(nèi)容變更可(kě)能會引入的(de)新漏洞,另一(yī)方面是先前網站建設過程中引入的(de)第三方代碼會被不斷發現存在新漏洞。
在威脅管理(lǐ)方面,企業面臨的(de)主要問題在于缺乏專職人員對安全防護設備及其防護策略進行(xíng)維護,使得安全設備檢測效能逐步降低(dī)。效能降低(dī)主要體現在兩個方面,一(yī)方面是監測和(hé)防護新威脅的(de)安全策略不能及時得到應用;另外一(yī)方面是網站業務系統的(de)不斷變更導緻原先的(de)防護規則逐步失效。在事件管理(lǐ)方面,企業面臨的(de)主要問題是缺乏有(yǒu)效手段及時發現安全事故,使得安全事故造成影響和(hé)損失不斷增加。
方案介紹
網站安全監測與防護解決方案能夠通過事前漏洞分析與預防、事中威脅監測與防護、事後安全事件監測與響應,迎接國(guó)家合規檢查、抵禦外部威脅、降低(dī)安全風險。
網站安全監測與防護解決方案,主要由網站安全管理(lǐ)系統、網站安全監測引擎以及網站安全防護引擎構成。網站安全管理(lǐ)系統能夠為(wèi)用戶提供在線的(de)、可(kě)視(shì)化的(de)管理(lǐ)工具,幫助用戶查看和(hé)處置網站安全相關的(de)資産事件、漏洞事件、威脅事件和(hé)安全事故。網站安全監測引擎可(kě)以幫助用戶監測網站變更的(de)情況、網站存在安全漏洞以及發生的(de)安全事故。網站安全防護引擎采用Web應用防火牆産品,部署在用戶側,用于各類web應用攻擊的(de)檢測和(hé)阻斷。 網站安全監測與防護解決方案是通過以下方式來幫助用戶完成網站的(de)資産管理(lǐ)、漏洞管理(lǐ)、威脅管理(lǐ)以及事件管理(lǐ)。 在資産管理(lǐ)方面,網站安全監測與防護解決方案主要通過監測引擎為(wèi)指定的(de)IP網段進行(xíng)資産掃描,通過與現有(yǒu)資産比對發現新上線的(de)網站及變更的(de)網站系統,并及時向用戶通告。在用戶确認資産變更內(nèi)容後,更新現有(yǒu)資産列表并将變更的(de)資産納入到安全監測與防護體系中,以便及時發現漏洞、威脅及事故。 在漏洞管理(lǐ)方面,主要通過網站安全監測引擎進行(xíng)定期漏洞掃描,對暴露在公網上的(de)所有(yǒu)網站進行(xíng)Web漏洞及系統漏洞掃描工作。此後,由自(zì)動化驗證系統對于掃描發現的(de)高(gāo)中危漏洞進行(xíng)漏洞驗證,将具有(yǒu)危害性的(de)高(gāo)中危漏洞信息通過網站安全管理(lǐ)系統和(hé)漏洞掃描報告直接推送用戶,用戶可(kě)以根據各類交付物中所羅列的(de)漏洞詳情以及解決方案進行(xíng)漏洞的(de)整改加固。如(rú)果Web漏洞修複周期較長(cháng),用戶還可(kě)以通過網站安全管理(lǐ)系統委托進行(xíng)漏洞預防工作。對于修複的(de)漏洞,用戶可(kě)以通過網站安全管理(lǐ)系統委托完成漏洞複驗的(de)工作,從而完成整個漏洞生命周期的(de)閉環管理(lǐ)。 在威脅管理(lǐ)方面,網站安全監測與防護方案通過安全防護引擎進行(xíng)威脅防護。防護引擎通過與雲的(de)對接,可(kě)以定期對告警日志進行(xíng)分析判斷,并提供篩除誤報的(de)策略優化建議。另外,雲也會提醒用戶對防護引擎的(de)知識庫進行(xíng)升級,以确保防護引擎可(kě)以對新型威脅進行(xíng)防護。 在事件管理(lǐ)方面,通過網站安全監測引擎對目标網站進行(xíng)安全事故的(de)日常監測,确保能夠在第一(yī)時間發現網站挂馬、篡改、黑鏈、敏感內(nèi)容、可(kě)用性通斷等多方面問題。在發現事件後,通過短(duǎn)信、網站安全管理(lǐ)系統及手機(jī)APP等多種方式第一(yī)時間向用戶告警。另一(yī)方面用戶可(kě)通過網站安全管理(lǐ)系統委托通過網站安全防護引擎消除安全事件造成的(de)影響。最後,本地(dì)應急響應工程師上門協助用戶分析事件原因,找到導緻事件發生的(de)根源,并提供加固建議和(hé)支持,消除存在的(de)安全隐患。
方案優勢
網站安全監測與防護解決方案的(de)六大核心優勢: 提供7*24小時的(de)全天候服務,發現安全問題後确保30分鍾內(nèi)通知用戶。 支持托管模式,0維護成本。 所有(yǒu)事件經過自(zì)動化技術和(hé)安全專家驗證,準确率接近100%。 提供短(duǎn)信、郵件、網站安全管理(lǐ)系統、手機(jī)APP等多元化通告方式,确保及時進行(xíng)通告。 為(wèi)用戶提供漏洞智能補丁,對修複周期較長(cháng)的(de)漏洞提供預防措施。 通過網站安全管理(lǐ)系統,提供漏洞風險、威脅攻擊、災害事故可(kě)視(shì)化展示,讓用戶一(yī)目了然的(de)洞悉全單位風險、攻擊及災害分布。
門戶網站安全解決方案
概述
門戶網站、網廳等Web網站是運營商(shāng)與客戶溝通的(de)便捷通道(dào),也是客戶辦理(lǐ)/使用相關業務的(de)前端平台,還有(yǒu)一(yī)些基于Web網站的(de)業務平台,更是業務穩定運營的(de)關鍵設施。這些Web網站一(yī)旦受到侵害将直接影響運營商(shāng)的(de)品牌形象、信譽以及日常業務運營。 由于Web應用的(de)開放性、用戶的(de)大衆性,使其成為(wèi)最佳的(de)攻擊和(hé)威脅目标。随着web應用中間件和(hé)應用平台的(de)新漏洞/弱點被發現,針對性的(de)病毒、木馬、蠕蟲及自(zì)動化的(de)攻擊工具往往會很快出現,進而出現一(yī)波又一(yī)波Web攻擊浪潮,導緻服務器被控制、Web服務中斷、客戶信息被竊取、業務欺詐的(de)事件的(de)發生。同時,由于XSS、CSRF、Cookie竊取等攻擊導緻合法用戶的(de)客戶端被控制、信息被竊取、被欺詐、被敲詐等事件發生,造成巨大的(de)不良社會影響。 随着業務的(de)發展,Web架構越來越複雜,使用的(de)應用關鍵和(hé)技術越來越多,對其安全防護的(de)難度越來越大,與此同時,行(xíng)業監管越來越嚴,懲治力度不斷加大,使運維、管理(lǐ)人員面臨着嚴峻的(de)挑戰。
安全解決方案
方案組成
本方案針對Web威脅的(de)特點,從Web應用生命周期的(de)角度出發,重點覆蓋了系統開發、測試和(hé)運行(xíng)等環節,從事前、事中、事後等風險管理(lǐ)角度出發,采用內(nèi)、外的(de)結合的(de)防護手段,建立了主動、縱深、多層面的(de)安全保障體系,可(kě)以有(yǒu)效保護web應用的(de)安全性,降低(dī)系統面臨的(de)風險。 安全防護方案組成如(rú)下:
方案價值
保障網站服務的(de)安全、可(kě)靠運行(xíng),提高(gāo)客戶滿意度; 及時感知Web運營狀态,提升用戶訪問體驗; 大幅提高(gāo)防護效果,有(yǒu)效抵禦各種攻擊,從而解決安全成本; 滿足來自(zì)監管部門的(de)合規性要求; 提供安全攻擊證據,震懾非法攻擊者; 減少安全人員負擔,提高(gāo)安全運維效率; 維護和(hé)提升公司的(de)品牌形象和(hé)商(shāng)業信譽。
方案特點和(hé)優勢
對安全漏洞
弱點進行(xíng)管理(lǐ),防患于未然,降至安全成本; 通過代碼審計,最大限度的(de)發現系統存在的(de)安全漏洞/弱點,提早修補,降低(dī)成本。同時,通過傳遞安全開發知識, 減少開發實現中的(de)漏洞。 通過Web漏洞掃描系統,實現已知漏洞的(de)自(zì)動化檢查,降低(dī)人員投入。 通過安全設備的(de)早期預警服務,及時對新發現漏洞的(de)有(yǒu)效管理(lǐ)。
立體的(de)安全防護體系,高(gāo)針對性的(de)防護措施
有(yǒu)效抵禦SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood等攻擊,并實現對網絡流量的(de)清洗。 同時,通過Web應用防火牆,對各種web應用攻擊進行(xíng)防護,對HTTP/HTTPS訪問流量進行(xíng)清洗; 通過集成了傳統防火牆、入侵檢測防護、防病毒功能的(de)下一(yī)代防火牆,對已知的(de)各種攻擊、惡意代碼進行(xíng)防護,并通過防火牆測試,實現對Web訪問的(de)嚴格控制。
有(yǒu)效地(dì)監控、備份與恢複措施,徹底保障網站的(de)完整性 在Web服務器上部署基于主機(jī)的(de)Web防護系統,有(yǒu)效檢測和(hé)阻斷各種web網頁、圖片、程序等資源的(de)篡改攻擊; 對網站內(nèi)容進行(xíng)備份,一(yī)旦檢測到系統完整性受損,可(kě)以自(zì)動化進行(xíng)系統恢複。
7*24小時外部安全監控和(hé)一(yī)流的(de)外部專家支持 7*24小時對系統進行(xíng)漏洞檢查、挂馬檢查、網頁篡改檢測、內(nèi)容檢查,及時洞察系統的(de)安全态勢; 在全國(guó)範圍內(nèi),模拟用戶對系統進行(xíng)訪問平穩度、可(kě)用性檢測,保障用戶體驗。 一(yī)流的(de)安全專家支持,協助用戶處理(lǐ)各種疑難雜症。
防護措施間的(de)關聯互動,大幅提升防護效果 網站安全檢測服務或Web漏洞掃描系統與Web應用防火牆進行(xíng)聯動,一(yī)旦發現問題,自(zì)動化啓動相應的(de)防護策略。 虛拟補丁技術提升了安全防護水平,規避了補丁管理(lǐ)中的(de)各種問題。
全面的(de)網站健康檢查,防止帶病上崗、帶病投保; 上線前評估和(hé)滲透測試,發現系統存在的(de)結構性問題、集成性問題、安全配置問題,以及各種潛在的(de)業務邏輯錯誤,并進行(xíng)全面的(de)安全加固,防止帶病上崗。 通過安全檢查,評估系統是否已經受到了侵害,是否含有(yǒu)惡意代碼,防止帶病投保。 通過Web安全掃描系統,對新版系統進行(xíng)檢查,防止引入新漏洞。
可(kě)靠的(de)安全審計措施,可(kě)供事件追溯和(hé)取證。 對Web網站的(de)不良內(nèi)容進行(xíng)安全檢測; 對各種用戶的(de)Web訪問行(xíng)為(wèi)進行(xíng)審計,并通過行(xíng)為(wèi)基線,自(zì)動化發現各種潛在一(yī)場行(xíng)為(wèi); 對重要的(de)數據庫操作行(xíng)為(wèi)進行(xíng)審計,發現各種非法行(xíng)為(wèi)。 對各種攻擊行(xíng)為(wèi)進行(xíng)審計,便于進行(xíng)事件追溯和(hé)定位,對事件處理(lǐ)提供有(yǒu)效支持。 支持法律取證。
統一(yī)安全管理(lǐ) 統一(yī)設備與日志管理(lǐ)平台,提供可(kě)視(shì)化的(de)安全管理(lǐ)界面; 對安全設備的(de)策略的(de)統一(yī)管理(lǐ)和(hé)下發; 對日志數據的(de)統一(yī)存儲,便于進行(xíng)各種統計分析; 提供豐富的(de)報告分析; 降低(dī)企業安全運維成本.
內(nèi)網準入解決方案
對企業而言最大的(de)變革是企業經營和(hé)管理(lǐ)方式的(de)變革,信息化革命深刻影響着企業的(de)經營方式,任何一(yī)個企業都離(lí)不開這種變革,必須把信息化建設當成企業獲取競争優勢的(de)最終選擇。因此,企業集團對信息技術的(de)依賴程度越來越大,信息技術風險成為(wèi)了企業集團運營中所要考慮的(de)重要方面。
面臨的(de)挑戰
用戶信息未知:企業集團辦公、生産大多較為(wèi)分散,人員複雜,随意或不受限制接入網絡現象頻發,內(nèi)部用戶信息缺乏有(yǒu)效登記手段,人員審計困難。
終端位置未知:企業內(nèi)網終端數量、終端類型、終端分布情況複雜,管理(lǐ)者無法對時間進行(xíng)事件定位;
資産信息未知:企業信息資産的(de)數量随着企業不斷發展大量增加,如(rú)何對這些大量的(de)信息資産進行(xíng)有(yǒu)效的(de)管理(lǐ),是企業集團安全管理(lǐ)面臨的(de)巨大挑戰;
數據洩露風險:內(nèi)網數據信息可(kě)通過移動介質外傳,容易發生信息洩密事件。
終端安全風險:終端系統自(zì)身安全性會嚴重影響內(nèi)網安全,如(rú)病毒傳播、系統漏洞、弱口令破解等。
內(nèi)網準入解決方案
用戶信息登記:采用豐富的(de)實名制入網模式,內(nèi)部、外部、臨時用戶分别進行(xíng)人性化的(de)入網注冊登記,并結合管理(lǐ)員審核、審批,确保內(nèi)網用戶安全可(kě)靠。
網絡安全透視(shì):盈高(gāo)科(kē)技産品提供衛星地(dì)圖般的(de)設備搜索和(hé)定位方式,使網絡中的(de)各種設備狀态不再是孤立的(de)展現,而是作為(wèi)一(yī)個整體進行(xíng)把控。
資産安全管控:全面收集內(nèi)網軟硬件資産,全方位監控、展示資産變動情況,提升管理(lǐ)部門對信息設備相關信息資産的(de)統計管理(lǐ)能力。
移動介質加密:人性化的(de)移動介質注冊、審核機(jī)制,硬件級的(de)安全加密技術,靈活的(de)策略控制,在不影響用戶安全使用的(de)前提下确保數據無從洩露。
終端安全加固:通過對網內(nèi)終端的(de)安全狀況量化,并提供“一(yī)鍵式”智能修複功能對有(yǒu)潛在安全風險的(de)終端進行(xíng)強制隔離(lí)和(hé)引導修複,從根本上杜絕安全隐患。
方案價值
1、對外來人員進行(xíng)有(yǒu)效的(de)管理(lǐ),防止其接入單位網絡訪問重要的(de)服務器,竊取單位的(de)重要資料;另外,內(nèi)網安全事件發生時,可(kě)追溯至責任人。
2、提高(gāo)運維工作效率,精确定位故障點,及時排查問題,成為(wèi)管理(lǐ)人員提高(gāo)管理(lǐ)效率的(de)有(yǒu)效手段;
3、規範移動存儲設備的(de)安全使用,明确工作U盤和(hé)私人U盤的(de)使用界限,減少文檔流失和(hé)病毒的(de)進入;
4、提高(gāo)終端設備的(de)安全性和(hé)穩定性,減少漏洞攻擊事件的(de)發生,避免系統漏洞、惡意軟件引發的(de)安全事件;
5、有(yǒu)效地(dì)對公司終端的(de)it資産和(hé)軟件資産進行(xíng)審計,當發生變化時及時進行(xíng)報警;
超融合架構解決方案
超融合架構解決方案概述
超融合架構解決方案,融合了:計算、網絡、存儲和(hé)安全四大模塊,通過全虛拟化的(de)方式構建IT架構資源池。所有(yǒu)的(de)模塊資源均可(kě)以按需部署,靈活調度,動态擴展。通過超融合一(yī)體機(jī)或者超融合操作系統能夠在最短(duǎn)的(de)時間內(nèi),充分利舊(jiù)現有(yǒu)硬件基礎架構,将業務系統安全、穩定、高(gāo)效的(de)遷移到超融合平台中,并且為(wèi)後期邁向私有(yǒu)雲平台奠定基礎,從而能夠實現多租戶的(de)管理(lǐ)及計費審計等功能。
超融合架構解決方案軟件架構主要包含三大組件(服務器虛拟化aSV、網絡虛拟化aNet、存儲虛拟化aSAN)和(hé)一(yī)個管理(lǐ)平台(虛拟化管理(lǐ)平台VMP)。硬件架構上,可(kě)以通過一(yī)體機(jī)的(de)方式實現開機(jī)即用,也可(kě)以采用通用X86服務器實現基礎架構的(de)承載。配合傳統的(de)園區網交換機(jī)(背闆帶寬和(hé)交換容量夠用即可(kě))即可(kě)完成整個平台的(de)搭建,無需各種功能複雜、價格昂貴的(de)數據中心級交換機(jī)。
超融合架構層
超融合架構層以服務器虛拟化為(wèi)底層架構,擴展出網絡虛拟化和(hé)存儲虛拟化,通過所畫即所得的(de)方式能夠快速的(de)構建出業務邏輯,實現虛拟資源的(de)動态調度和(hé)靈活擴展,同時全網流量可(kě)視(shì),配置簡易直觀,運維靈活便捷
服務器虛拟化(aSV)
aSV虛拟化平台作為(wèi)介于硬件和(hé)操作系統之間的(de)軟件層,采用裸金屬架構的(de)X86虛拟化技術,實現對服務器物理(lǐ)資源的(de)抽象,将CPU、內(nèi)存、I/O等服務器物理(lǐ)資源轉化為(wèi)一(yī)組可(kě)統一(yī)管理(lǐ)、調度和(hé)分配的(de)邏輯資源,并基于這些邏輯資源在單個物理(lǐ)服務器上構建多個同時運行(xíng)、相互隔離(lí)的(de)虛拟機(jī)執行(xíng)環境,實現更高(gāo)的(de)資源利用率,同時滿足應用更加靈活的(de)資源動态分配需求,譬如(rú)提供熱遷移、HA等高(gāo)可(kě)用特性,實現更低(dī)的(de)運營成本、更高(gāo)的(de)靈活性和(hé)更快速的(de)業務響應速度。
網絡虛拟化(aNET)
網絡虛拟化aNet,通過提供全新的(de)網絡運營方式,解決了傳統硬件網絡的(de)衆多管理(lǐ)和(hé)運維難題,并且幫助數據中心操作員将敏捷性和(hé)經濟性提高(gāo)若幹數量級。
深信服網絡虛拟化aNet方案通過和(hé)服務器虛拟化aSV相結合,在虛拟機(jī)和(hé)物理(lǐ)網絡之間,提供了一(yī)整套完整的(de)邏輯網絡設備、連接和(hé)服務,包括分布式虛拟交換機(jī)aSwitch、虛拟路由器aRouter、虛拟下一(yī)代防火牆vNGAF、虛拟應用交付vAD、虛拟vSSL VPN、虛拟廣域網優化vWOC等虛拟網絡、安全設備;然後,還可(kě)以支持VXLAN等增強網絡協議,實現和(hé)物理(lǐ)網絡的(de)無縫對接,簡化網絡的(de)配置管理(lǐ);此外,還可(kě)以通過虛拟化管理(lǐ)平台,實現網絡拓撲部署、網絡故障探測等網絡管理(lǐ)功能。
從而,aNet虛拟網絡可(kě)以快速完成不同應用系統的(de)網絡部署,網絡配置的(de)自(zì)動化調整,網絡故障排查等工作,提升網絡的(de)管理(lǐ)運維效率,提升網絡就緒、擴展速度,降低(dī)數據中心物理(lǐ)網絡的(de)建設成本。
存儲虛拟化(aSAN)
深信服存儲虛拟化aSAN,基于集群設計,将服務器上的(de)硬盤存儲空間組織起來形成一(yī)個統一(yī)的(de)虛拟共享存儲資源池,即ServerSAN分布式存儲系統,進行(xíng)數據的(de)高(gāo)可(kě)靠、高(gāo)性能存儲。分布式存儲系統在功能上與獨立共享存儲完全一(yī)緻;一(yī)份數據會同時存儲在多個不同的(de)物理(lǐ)服務器硬盤上,提升數據可(kě)靠性;此外,再通過SSD緩存,可(kě)以大幅提升服務器硬盤的(de)IO性能,實現高(gāo)性能存儲。同時,由于存儲與計算完全融合在一(yī)個硬件平台上,用戶無需像以往那樣購買連接計算服務器和(hé)存儲設備的(de)SAN網絡設備(FC SAN或者iSCSI SAN)。
網絡功能虛拟化(NFV)
當前軟件定義網絡成為(wèi)了技術發展的(de)趨勢,深信服也率先在國(guó)內(nèi)推出全系列的(de)數據中心安全、優化産品(NGAF下一(yī)代防火牆、SSL VPN、AD應用交付、WOC廣域網優化)軟件虛拟化解決方案。這些過去(qù)需要以專用硬件方式部署的(de)産品,不再需要依賴專用的(de)硬件,可(kě)以以軟件鏡像的(de)方式,完美支持在Vmware、KVM、XEN等服務器虛拟化環境下的(de)部署。從而極大的(de)簡化政務雲數據中心網絡的(de)架構,為(wèi)各個租戶的(de)虛拟應用按需、靈活的(de)虛拟擴展出各種安全和(hé)優化方案,同時還便于劃分清楚各方的(de)運維職責。
深信服超融合架構的(de)優勢
1、提供更加完整的(de)IT基礎架構虛拟化方案,涵蓋網絡、安全、存儲、計算
2、管理(lǐ)運維更加便捷、簡單,零學(xué)習成本,讓IT架構所畫即所得
3、整體擁有(yǒu)成本更低(dī),無需特殊、專用的(de)網絡、服務器設備即可(kě)實現
4、國(guó)産化,提供多樣、豐富的(de)L2-L7安全和(hé)優化功能,更好的(de)滿足合規要求
超融合架構最佳實踐
超融合架構可(kě)以應用到數據中心涉及的(de)衆多業務系統的(de)領域,尤其是應用開發測試環境、新業務系統上線和(hé)非關鍵業務系統改造是特别适合部署超融合架構。
以下為(wèi)深信服超融合架構的(de)三個實際應用案例分享
某汽車制造業
背景:應用開發部門每周至少要測試一(yī)套業務系統,給網絡運維部門帶來很大的(de)工作量。每次測試都要改變網絡架構和(hé)相應的(de)部署環境
解決之道(dào):在數據中心劃分了一(yī)個獨立的(de)區域,用5台超融合一(yī)體機(jī),搭建了一(yī)套專用的(de)測試環境。利用計算、網絡和(hé)存儲虛拟化模拟出4個測試拓撲模闆,
超融合方案價值:其中模拟出一(yī)個在隊列深度為(wèi)1的(de)情況下實現了IOPS高(gāo)達2萬的(de)模闆,測試上線周期縮短(duǎn),運維工作量減少,無需大量硬件支撐
等保三級整改一(yī)站式方案
等保整改方案五步走
1. 安全域劃分
做(zuò)等級保護的(de)整改,第一(yī)步一(yī)定是要明确安全域。下面是經典安全域劃分方案:
業務服務器域:客戶的(de)業務服務器和(hé)存儲的(de)安全區域
用戶終端域:用戶終端,一(yī)些完全不重要的(de)服務器
安全管理(lǐ)域:安全管理(lǐ)中心,包括網管系統服務器啊,終端安全管理(lǐ)的(de)服務器等用來做(zuò)網絡和(hé)安全運維管理(lǐ)的(de)這些設備
互聯網出口域:互聯網出口的(de)網絡和(hé)安全設備
2. 互聯網出口
在互聯網出口部署防火牆、入侵防禦、病毒過濾、上網行(xíng)為(wèi)管理(lǐ)、鏈路負載;
3. 安全域互訪隔離(lí)
所有(yǒu)的(de)安全域之間必須通過防火牆才能互聯互通;
4. Web安全防護
web服務器前部署web防火牆;
5. 安全管理(lǐ)中心
在安全管理(lǐ)中心要有(yǒu)這些東西:漏洞掃描系統、數據庫審計系統、終端安全管理(lǐ)系統、網管系統、應用性能管理(lǐ)系統、SSL VPN、防病毒系統、運維堡壘主機(jī);
以上五個步驟完成,設備整改完成。
疑難問題解答
是不是上面這些設備都部署,才能通過三級等保? 回答:不是。上面是比較理(lǐ)想的(de)情況,實際情況根據客戶預算和(hé)客戶實際需求來進行(xíng),部署70-80%的(de)設備即可(kě)。
安全域隔離(lí)防火牆,很多客戶利用交換機(jī)的(de)ACL做(zuò),測評中心也認可(kě)。 回答:對。等保要求進行(xíng)訪問控制,沒要求必須用防火牆,交換機(jī)ACL也是訪問控制手段,但用防火牆是最專業的(de)訪問控制設備,其專業性智能型運維容易程度都遠遠強于交換機(jī)ACL,而且交換機(jī)ACL損耗交換機(jī)性能嚴重,交換機(jī)是交換設備,不是專業的(de)安全設備。
是不是做(zuò)了這些就可(kě)以通過等保測評了?
回答:設備層面足夠了。還需要做(zuò)一(yī)些安全加固和(hé)管理(lǐ)制度文檔整理(lǐ)。
安全加固指的(de)是把服務器、數據庫、網絡設備、安全設備、業務系統的(de)一(yī)些安全策略調整到符合等保的(de)規定,比如(rú)你服務器密碼都是666,現在開啓服務器的(de)密碼強度要求這個策略,就是安全加固。文檔整理(lǐ)主要是安全管理(lǐ)制度,以及測評申請書。
了解到客戶情況後,怎麽給客戶做(zuò)整改方案? 回答:上面整改五步走,每一(yī)步都說明了需要什麽,缺少的(de)設備就是需要整改的(de)。安全加固和(hé)安全制度是肯定需要整改的(de)。
雲計算安全解決方案
業務挑戰
目前,許多組織已經将業務系統遷移到雲平台上,雲平台已經成為(wèi)組織重要的(de)IT基礎設施。雲計算技術給傳統的(de)IT基礎設施、應用、數據以及運營管理(lǐ)都帶來了革命性改變,對于安全管理(lǐ)來說,既是挑戰,也是機(jī)遇。首先,雲計算引入了新的(de)威脅和(hé)風險,進而也影響和(hé)打破了傳統的(de)信息安全保障體系設計、實現方法和(hé)運維管理(lǐ)體系;其次,雲計算的(de)資源彈性、按需調配、高(gāo)可(kě)靠性及資源集中化等都間接增強或有(yǒu)利于安全防護,同時也給安全措施改進和(hé)升級、安全應用設計和(hé)實現、安全運維和(hé)管理(lǐ)等帶來了問題和(hé)挑戰。 根據調研數據,雲計算安全風險是客戶所關注的(de)重點,雲計算安全已經成為(wèi)組織規劃、設計、建設和(hé)使用雲計算系統所急需解決的(de)重大問題之一(yī)。
解決方案
雲計算安全防護方案設計遵循以業務為(wèi)中心,風險為(wèi)導向的(de),基于安全域的(de)縱深主動防護思想,綜合考慮雲平台安全威脅、需求特點和(hé)相關要求,對安全防護體系架構、內(nèi)容、實現機(jī)制及相關産品組件進行(xíng)了優化設計。 雲計算安全方案主要由安全資源池、安全子(zǐ)平台、安全運營管理(lǐ)平台和(hé)安全應用等組成。 安全資源池:支持物理(lǐ)安全設備、虛拟化安全設備、SaaS安全服務等各種安全資源,接受各安全子(zǐ)平台的(de)管理(lǐ),對外提供相應的(de)安全能力。 安全運營管理(lǐ)平台:與安全子(zǐ)平台配合,提供安全産品開通、調度、服務編排,以及安全運維功能,并實現與雲管理(lǐ)平台和(hé)SDN控制器的(de)對接。安全運營平台包含了雲安全運營的(de)一(yī)些共性功能模塊和(hé)一(yī)些提供特定安全能力的(de)子(zǐ)平台。 安全子(zǐ)平台:管理(lǐ)安全資源,提供安全策略管理(lǐ)、配置管理(lǐ)、安全能力管理(lǐ)、安全日志管理(lǐ)等與特定安全應用密切相關的(de)功能。根據應用場景的(de)不同,可(kě)靈活配置和(hé)擴展。 安全應用:基于安全子(zǐ)平台提供的(de)安全能力,提供管理(lǐ)、控制、分析、呈現功能的(de)組件。用戶可(kě)根據需要靈活選配。
方案亮(liàng)點
适應性廣,安全功能多 支持VMWare、OpenStack雲平台,以及基于KVM、Xen的(de)各種定制化雲平台。同時,可(kě)以支持物理(lǐ)的(de)、虛拟化、SaaS化的(de)安全資源類型,提供多種安全能力。
模塊化架構,可(kě)靈活擴展 系統采用模塊化架構,根據應用場景和(hé)需求的(de)不同,可(kě)以選擇和(hé)部署相應的(de)安全資源、安全子(zǐ)平台、安全應用,滿足經濟性、合規性要求。
彈性資源,收放自(zì)如(rú) 通過資源池化技術、負載均衡技術、熱遷移技術,以及通過安全子(zǐ)平台的(de)能力,可(kě)以對外提供安全、彈性的(de)安全功能,自(zì)如(rú)的(de)進行(xíng)擴容、縮容。
全程自(zì)動化,可(kě)快速部署 運用SDN、NFV技術,用戶通過安全運營平台可(kě)以按需、自(zì)助的(de)進行(xíng)安全能力的(de)開通、安全APP的(de)下載、安裝和(hé)使用。同時,可(kě)以根據業務需要,實現多種安全設備的(de)協同防護,抵禦各類安全攻擊事件。
安全策略的(de)動态跟随 對于雲計算系統安全域邊界的(de)動态變化,通過區域子(zǐ)網劃分、安全隔離(lí)、SDN、分布式交換等技術,可(kě)以做(zuò)到邊界防護策略的(de)持續有(yǒu)效,保障雲平台的(de)安全。
應用場景 适用于私有(yǒu)雲、公有(yǒu)雲、混合雲等各類雲平台的(de)安全防護。既适用于原生服務器虛拟化、雲平台的(de)場景,也可(kě)以應用于采納SDN和(hé)NFV技術的(de)軟件定義數據中心場景。
私有(yǒu)雲
構建私有(yǒu)雲
利用軟件定義的(de)數據中心體系結構構建和(hé)運行(xíng)基于虛拟化的(de)私有(yǒu)雲。交付虛拟化基礎架構服務以及高(gāo)度可(kě)用的(de)應用和(hé)服務。
超越服務器虛拟化
服務器虛拟化可(kě)在提高(gāo)業務敏捷性的(de)同時,使 CAPEX 和(hé) OPEX 成本削減 50%* 以上。現在,您可(kě)以對數據中心的(de)其餘部分進行(xíng)虛拟化,以使所有(yǒu) IT 服務都能像虛拟機(jī)一(yī)樣調配和(hé)管理(lǐ)起來既經濟,又便捷。軟件定義的(de)數據中心體系結構可(kě)将抽象化、池化和(hé)自(zì)動化延展到其餘的(de)數據中心資源,包括計算、網絡和(hé)存儲。可(kě)以基于任意雲計算基礎架構部署您的(de)虛拟化基礎架構并實現跨平台管理(lǐ)。
高(gāo)度可(kě)用的(de)應用和(hé)服務
利用軟件定義的(de)數據中心 (SDDC) 體系結構,基于 超融合架構的(de)私有(yǒu)雲可(kě)為(wèi)通過标準化和(hé)整合的(de)數據中心實現高(gāo)度可(kě)用的(de)應用和(hé)服務奠定基礎。借助私有(yǒu)雲,還可(kě)實現安全、合規的(de) IT,對 IT 運維進行(xíng)智能控制,以及快速調配應用并實現持續監管。
網絡信息安全整體解決方案
背景
随着近年(nián)來INTERNET接入的(de)普及和(hé)寬帶的(de)增加,各行(xíng)業分布全國(guó)乃至全球的(de)用戶群體,信息化應用系統對網絡的(de)依賴性也越來越強,業務對網絡的(de)依賴程度也越來越大,信息安全的(de)重要性也在不斷提升,用戶所面臨的(de)各種問題也變得越來越複雜,來自(zì)不同層面的(de)安全威脅也越來越多。如(rú)何确保網絡和(hé)應用的(de)連續高(gāo)可(kě)用、網絡安全防範、應用訪問安全分權接入、智能終端無縫接入、內(nèi)部網絡高(gāo)效管理(lǐ)、數據存儲的(de)完整和(hé)高(gāo)可(kě)用、運維操作的(de)管理(lǐ),以及如(rú)何對數據庫系統的(de)訪問和(hé)管理(lǐ)進行(xíng)合理(lǐ)的(de)審計分析已經成為(wèi)企業迫切需要關注的(de)問題。
解決方案
通過互聯網出口部署負載均衡設備解決鏈路流量分配不合理(lǐ),對多條鏈路健康狀況實時監控和(hé)智能負載;對所有(yǒu)應用系統實現持續監測健康狀态合理(lǐ)調度,一(yī)旦服務系統集群內(nèi)單台服務器故障實現智能切換到其他正常服務器系統上,保證應用服務訪問的(de)持久穩定。
通過在互聯網出口、內(nèi)部專線網絡入口、服務器區域等部署應用層防火牆,不僅能夠實現原有(yǒu)區域安全隔離(lí)的(de)效果,還能夠實現IPS入侵防禦、AV病毒防護、DOS/DDOS等安全功能;針對WEB應用的(de)WAF防護,能防止黑客利用web應用程序及各類B/S業務的(de)應用程序漏洞進行(xíng)的(de)各種攻擊,實現雙向數據的(de)訪問過濾。桌面端部署網絡版防護軟件及數據加密管理(lǐ)系統,解決客戶最後一(yī)公裏的(de)安全問題,确保企業內(nèi)部數據的(de)安全可(kě)控。
通過在服務器區部署SSL VPN産品,将服務器與外界進行(xíng)邏輯隔離(lí),使所有(yǒu)來自(zì)外部的(de)訪問請求都經過SSL VPN的(de)認證才能安全接入訪問;在接入後進行(xíng)嚴格的(de)控制訪問權限,使人員與資源相關聯,防止越權訪問。
通過部署專業的(de)存儲備份系統,對所有(yǒu)的(de)應用服務器采用網絡備份方式,通過局域網或專用的(de)備份局域網絡,對應用服務器的(de)數據進行(xíng)備份,将數據通過備份服務器寫入到磁帶庫或磁盤陣列中,确保數據的(de)安全和(hé)完整。
通過運維審計系統對企業內(nèi)部的(de)主要信息系統、網絡系統等遠程運維操作進行(xíng)綜合審計,針對核心數據資産的(de)違規訪問和(hé)操作得到有(yǒu)效監管。 通過數據審計系統的(de)旁路監聽方式采集,分析處理(lǐ),記錄數據庫服務器的(de)所有(yǒu)操作,提供監測報警策略設置、數據庫服務器負擔狀況統計分析、數據庫客戶端訪問操作統計分析以及數據庫客戶端訪問排名等功能,實現對數據庫服務器應用(包括數據庫系統操作,數據操作)的(de)實時監測、報警、記錄和(hé)審計。
方案價值
實現了多台服務器(服務器集群)合理(lǐ)利用,為(wèi)企業業務的(de)擴充和(hé)系統規模的(de)提高(gāo)創造有(yǒu)利的(de)條件。 實現了多條鏈路合理(lǐ)利用,另外豐富的(de)報表功能,提供鏈路負載統計、商(shāng)業決策分析、穩定性統計報表等幫助企業了解鏈路使用情況,從而為(wèi)企業提供網絡優化和(hé)改造的(de)依據,為(wèi)企業業務運營計劃,提供商(shāng)業決策的(de)依據。
應用層防火牆多個安全功能模塊,多核并行(xíng)處理(lǐ)技術保障,不僅能替代原有(yǒu)傳統防火牆的(de)所有(yǒu)功能,且穩定性好;特别針對應用層安全風險提供完整的(de)應用安全加固技術,幫助客戶實現全面的(de)安全防護,防護來自(zì)內(nèi)外網的(de)各個層面的(de)安全風險。解決了用戶網絡安全管理(lǐ)難題,彌補了現有(yǒu)傳統安全體系針對應用層防護的(de)不足,有(yǒu)效阻止了來之應用層的(de)各類攻擊,實現了廣域網流量清洗的(de)效果。
實現了“三合一(yī)”的(de)WEB安全 事前,快速的(de)進行(xíng)風險掃描,幫助用戶快速定位安全風險并智能更新防護策略; 事中,有(yǒu)效防止了引起網頁篡改問題、網頁挂馬問題、敏感信息洩漏問題、無法響應正常服務問題及“拖庫”、“暴庫”問題的(de)web攻擊、漏洞攻擊、系統掃描等攻擊; 事後,對服務器外發內(nèi)容進行(xíng)安全檢測,防止攻擊繞過安全防護體系,對Web業務産生的(de)網站篡改、數據洩漏問題。
實現了終端的(de)“主動防禦”,建立一(yī)個覆蓋全網的(de)、可(kě)伸縮、抗打擊的(de)防病毒體系。 實現了數據內(nèi)部安全傳輸,确保數據外發的(de)密級保護,建立一(yī)個可(kě)控的(de)文件共享傳輸體系。 實現了精細的(de)應用控制,有(yǒu)效阻止內(nèi)部敏感信息外發,并能提高(gāo)員工工作效率;全面的(de)安全防護措施,過濾木馬惡意鏈接網址,強化分支辦公終端的(de)安全;細緻的(de)上網行(xíng)為(wèi)審計,完全滿足公安部門的(de)監管要求;精确流量管控,合理(lǐ)的(de)記性流量分配;實用的(de)智能分析系統,為(wèi)客戶決策出謀劃策。 實現了應用的(de)安全、快速、穩定的(de)業務接入訪問;便捷的(de)用戶體驗,降低(dī)了管理(lǐ)工作量,應用程序圖形化的(de)方式呈現于智能終端之上,實現輕松跨平台訪問,為(wèi)多元化的(de)終端辦公提供了快速安全的(de)途徑。 實現了一(yī)體化的(de)備份與恢複,可(kě)為(wèi)各種複雜的(de)環境提供最全面的(de)備份與恢複,就保護公司最寶貴的(de)資産數據而言,減少了其中的(de)複雜性及恢複的(de)時效性,确保了數據的(de)安全和(hé)完整。 滿足IT運維合規性要求,順利通過IT審計;實現了對企業IT資源的(de)管理(lǐ);實現了對IT用戶的(de)管理(lǐ)、對IT用戶的(de)授權管理(lǐ);實現了對運維操作日志的(de)完整記錄;符合等級保護要求完善了國(guó)家法律法規的(de)要求。 實現了針對所有(yǒu)帳戶對數據庫訪問與操作的(de)全面監測審計;加強了對數據庫臨時帳戶的(de)審計監測;加強了針對重要敏感數據的(de)訪問的(de)審計監測;提供了詳細的(de)數據庫審計記錄及分類統計;實現了數據庫異常操作監測報警;彌補了數據庫系統內(nèi)置日志審計的(de)缺陷。
等級保護測評服務介紹
等級保護概述
等級保護政策背景
等級保護是國(guó)家信息安全保障的(de)基本制度、基本策略、基本方針。開展信息安全等級保護工作是保護信息化發展、維護國(guó)家信息安全的(de)根本保障,是信息安全保障工作中國(guó)家意志的(de)體現。
通過将等級化方法和(hé)安全體系方法有(yǒu)效結合,設計一(yī)套等級化的(de)信息安全保障體系,是适合我國(guó)國(guó)情、系統化地(dì)解決大型組織信息安全問題的(de)一(yī)個非常有(yǒu)效的(de)方法。
國(guó)家信息安全等級保護堅持自(zì)主定級、自(zì)主保護的(de)原則。信息系統的(de)安全保護等級應當根據信息系統在國(guó)家安全、經濟建設、社會生活中的(de)重要程度,信息系統遭到破壞後對國(guó)家安全、社會秩序、公共利益以及公民、法人和(hé)其他組織的(de)合法權益的(de)危害程度等因素确定。
為(wèi)進一(yī)步貫徹落實《國(guó)家信息化領導小組關于加強信息安全保障工作的(de)意見》(中辦發[2003-27]号)、《關于信息安全等級保護工作的(de)實施意見》(公通字[2004]66号)、《信息安全等級保護管理(lǐ)辦法》(公通字[2007]43号)、《關于開展全國(guó)重要信息系統安全等級保護定級工作的(de)通知》(公信安[2007]861号)等文件的(de)精神,提高(gāo)我國(guó)基礎信息網絡和(hé)重要信息系統的(de)信息安全保護能力和(hé)水平,自(zì)2007年(nián)開始,從國(guó)家層面開始推動我國(guó)的(de)政府、金融、電力、電信、交通等基礎行(xíng)業在全國(guó)範圍內(nèi)組織開展重要信息系統安全等級保護定級、備案、測評、整改工作。
等級保護涉及系統
根據等級保護相關政策要求,需要實施等級保護的(de)信息系統包括:
黨政系統(黨委、政府);
金融系統(銀行(xíng)、保險、證券)及财稅系統(财政、稅務、 工商(shāng));
經貿系統(商(shāng)業貿易、海關);
電信系統(郵電、電信、廣播、電視(shì));
能源系統(電力、熱力、燃氣、煤炭、油料);
交通運輸系統(航空、航天、鐵路、公路、水運、海運);
供水系統(水利及水源供給);
社會應急服務系統(醫療、消防、緊急救援);
教育科(kē)研系統(教育、科(kē)研、尖端科(kē)技);
國(guó)防建設系統;
國(guó)有(yǒu)大中型企業系統;
互聯單位、接入單位、重點網站及向公衆提供上網服務場所的(de)計算機(jī)信息系統。
等級保護相關标準
我國(guó)現行(xíng)等級保護工作主要相關标準如(rú)下:
《計算機(jī)信息系統安全保護等級劃分準則》(GB 17859-1999)
《信息系統安全等級保護定級指南》(GB/T 22240-2008)
《信息系統安全等級保護基本要求》(GB/T 22239-2008)
《信息系統安全等級保護實施指南》(GB/T 25058-2010)
《信息系統安全等級保護測評要求》(V2.0(送審稿))
《信息安全技術 網絡基礎安全技術要求》(GB/T 20270-2006)
《信息安全技術 信息系統通用安全技術要求》(GB/T 20271-2006)
《信息安全技術 操作系統安全技術要求》(GB/T 20272-2006)
《信息安全技術 數據庫管理(lǐ)系統安全技術要求》(GB/T 20273-2006)
《信息安全技術 服務器技術要求》(GB/T 21028-2007)
《信息安全技術 終端計算機(jī)系統安全等級技術要求》(GA/T 671-2006)
《信息安全技術 信息系統安全管理(lǐ)要求》(GB/T 20269-2006)
《信息安全技術 信息系統安全工程管理(lǐ)要求》(GB/T 20282-2006)
《信息安全技術 信息安全事件分類分級指南》(GB/Z 20986-2007)
《涉及國(guó)家秘密的(de)計算機(jī)信息系統分級保護技術要求》 BMB 17-2006
《涉及國(guó)家秘密的(de)信息系統分級保護管理(lǐ)規範》 BMB 20-2007
《涉及國(guó)家秘密的(de)計算機(jī)信息系統分級保護測評指南》 BMB 22-2007
《涉及國(guó)家秘密的(de)計算機(jī)信息系統安全保密測評指南》 BMZ 3-2001
等級保護服務介紹
信息安全等級保護工作流程包括以下幾個階段:系統定級、系統備案、差距測評、系統整改、驗收測評、定期測評等階段。包含的(de)工作內(nèi)容如(rú)下:
系統定級:信息系統運營使用單位按照《信息系統信息安全等級保護定級指南》,确定信息系統安全等級。有(yǒu)主管部門的(de),報主管部門審核批準。
系統備案:已運營的(de)第二級以上信息系統,在安全保護等級确定後30天內(nèi),由其運營、使用單位到所在地(dì)區的(de)市(shì)級以上安全機(jī)關辦理(lǐ)備案手續。第三極以上信息系統,還需要提供相關附件材料。相應安全機(jī)關審核通過後,由公安機(jī)關頒發系統等級保護備案證書。
差距測評:選擇有(yǒu)資質的(de)等級保護測評機(jī)構,進行(xíng)差距測評,形成等級保護測評報告。
系統整改:根據測評結果,制訂整改方案,按照國(guó)家的(de)相關規範和(hé)技術标準,使用符合國(guó)家相關規定,滿足系統等級需求産品,并調試及進行(xíng)信息系統安全整改工作。(備注:一(yī)般情況下,為(wèi)保證系統整改的(de)效果,差距測評及系統整改兩個階段由同一(yī)家公司完成)。
驗收測評:選擇第三方測評機(jī)構進行(xíng)驗收測評,驗收合格後,系統運營、使用單位向地(dì)級以上市(shì)公安機(jī)關提交測評報告,審核通過後,由公安機(jī)關頒發合格證書。
定期測評:定期選擇第三方測評機(jī)構進行(xíng)測評。三級系統每年(nián)至少一(yī)次,四級以上系統每半年(nián)至少一(yī)次。
等級保護測評實施流程
信息系統安全等級測評分為(wèi)四個過程階段:測評準備過程、方案編制過程、測評實施過程、分析與報告編制過程。
具體測評實施流程圖如(rú)下所示:
一(yī)、測評準備過程:主要是通過訪談的(de)方式了解被測系統的(de)基本情況,包括被測系統的(de)物理(lǐ)環境,網絡結構和(hé)邊界,網絡設備,主機(jī)系統,應用系統等測評對象情況。
二、方案編制過程:根據被測系統的(de)定級報告和(hé)系統自(zì)身的(de)情況确定測評指标和(hé)對應的(de)測評實施內(nèi)容、對測評實施中的(de)測試和(hé)滲透測試項編制測試方案,細化測試點,測試工具,測試對象,測試方法,測試步驟,對現場測評的(de)總體計劃作出安排,根據上述工作內(nèi)容編制完成方案,然後測評雙方對測評方案進行(xíng)确認、審核,并進一(yī)步溝通和(hé)協調以确定現場測評計劃。
三、測評實施過程:根據雙方确認的(de)測評方案到被測系統現場完成測評工作。現場測評工作涉及三類方法:訪談、檢查和(hé)測試。訪談是我方測評人員通過與信息系統有(yǒu)關人員(個人/群體)進行(xíng)交流、讨論等活動,獲取證據以證明信息系統安全防護措施是否有(yǒu)效。檢查是我方測評人員通過對測評對象進行(xíng)觀察、查驗、分析等活動,獲取證據以證明信息系統安全防護措施是否有(yǒu)效。測試是我方測評人員使用預定的(de)方法及工具使測評對象産生特定的(de)行(xíng)為(wèi),通過查看、分析這些行(xíng)為(wèi)的(de)結果,獲取證據以證明信息系統安全防護措施是否有(yǒu)效。
四、分析與報告編制過程:在完成測評實施過程之後,我方将根據現場測評的(de)記錄進行(xíng)綜合測評分析,包括單項測評結果彙總分析,系統整體測評,系統風險分析和(hé)評價,并最終給出差距分析和(hé)整體建議。
等級保護測評內(nèi)容
依據等級保護相關标準要求,對信息系統安全等級保護狀況進行(xíng)測評評估,包括以下兩個方面的(de)內(nèi)容:
一(yī)、安全技術測評,包括物理(lǐ)、網絡、主機(jī)、數據及應用安全測評;
二、安全管理(lǐ)測評,包括安全管理(lǐ)機(jī)構、人員安全管理(lǐ)、安全管理(lǐ)制度、系統建設管理(lǐ)、系統運維管理(lǐ)測評。
如(rú)下圖所示:
等級保護系統整改
東軟将根據等級保護差距測評結果,制訂等級保護整改方案,按照國(guó)家的(de)相關規範和(hé)技術标準,采取符合國(guó)家相關規定、滿足系統等級需求的(de)措施,進行(xíng)信息系統安全整改工作。
3 等級保護服務客戶收益
滿足國(guó)家信息安全等級保護相關政策與标準要求。
實現信息系統等級化保護和(hé)等級化管理(lǐ)。
解決原有(yǒu)咨詢服務重視(shì)問題發現和(hé)提要求而
解決方案實施落實較弱的(de)模式。
提高(gāo)企業業務系統信息安全防護能力。
縮短(duǎn)從體系設計到體系實現的(de)過程,避免咨詢服務成果與安全建設脫節的(de)弊病。