12 绿盟BVSS安全核查 13 安恒综合日志管理DAS-200 14 绿盟WSMS网站检测 15 绿盟运维审计SASNX3-H600C 16 绿盟入侵检测NIDS N1000A 17 无线AC 18 启明星辰防火墙USG-FW-2010D 19 启明星辰天榕电子文档安全系统 20 绿盟堡垒机 21 华为Esigh网管系统 22 虚拟化移动OA (四)其他安全措施 1、 设备管理权限
1 1 1 1 1 1 1 500 1 1 500 台 网络安全审计; 台 网络安全审计; 台 网络安全审计; 台 网络安全审计; 台 网络安全审计; 台 无线网络控制管理; 台 服务器区安全防护; 点 终端数据防泄漏; 台 安全运维管理; 套 网络设备运维管理(仅限华为设备); 点 移动办公信息防泄漏; a) 专线路由器和楼层交换机通过ACL控制,只允许管理员的IP地址登陆设备,并且创建不同级别的用户权限,超级管理员拥有所有权限,一般管理员只有访问权限不可修改;
b) 根据部门划分VLAN,不同VLAN不能互访;
c) 安全设备没有对登陆设备的源IP进行限制,创建不同级别权限的用户,网络管理员拥有最高权限,普通管理员只允许查看; 2、 内外网访问设备途径;
a) 管理员统一通过绿盟堡垒机登录设备进行网管;
b) 管理员在公司以外的地方需要管理设备的时候,首先登录公司深信服VPN设备,然后登录堡垒机对设备进行网管;
3、 每月月初根据IPS日志,汇总上月入侵防护事件,形成安全月报(专人负责); 4、 内部用户上网,通过深信服行为管理实现上网认证,认证方式用户名加密码和短信认证;
5、 网络入口和出口各部署一台深信服链路负载均衡设备,入口联通20M,电信20M;出口联通40M,电信40M;
6、 网络入口负载均衡主要负责智能DNS和网络地址转换,有效隐藏内部服务器
的IP地址;网络出口负载均衡主要负责针对内部员工上网进行地址转换和链路负载均衡;
7、 通过网络入口防火墙,允许内部用户对DMZ区资源的访问,控制粒度为用户加端口;
8、 通过内部服务器区防火墙,允许内部用户对内部服务器区资源的访问,控制粒度为用户加端口;
9、 深信服上网行为管理的外置数据中心可以记录用户6个月内的上网行为; 10、 11、 12、 13、
现有网络中,Esigh网管软件只能对华为设备的运行状况产生日志,不支IPS可以对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区IPS可以记录攻击源IP、攻击类型、攻击目的、攻击时间,在发送严重入IPS和VPN有专人负责策略下发和资源控制。
持第三方设备;
溢出攻击、IP碎片攻击和网络蠕虫攻击等进行进行告警并有效阻断; 侵事件时应提供报警;
2.3 等保三级安全要求
《计算机信息系统安全保护等级划分准则》(GB17859-1999)(以下简称为“《等级划分准则》”)中定义三级信息系统安全防护等级为安全标记保护级。安全标记保护级的计算机信息系统可信计算基具有系统审计保护级的所有功能。此外,还需提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,具有准确地标记输出信息的能力;消除通过测试发现的任何错误。
《等级划分准则》中规定,信息系统需要具备以下安全特性以保证相应的安全等级:
?
自主访问控制
计算机信息系统可信计算基定义和控制系统中命名用户对命名客体地访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。
?
强制访问控制
计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足:仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能读客体;仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含于客体安全级中的非等级类别,主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据,鉴别用户的身份,并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。
?
标记
计算机信息系统可信计算基应维护与主体及其控制的存储客体(例如:进程、文件、段、设备)相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数据,计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别,且可由计算机信息系统可信计算基审计。
?
身份鉴别
计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,而且,计算机信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统可信计算基使用这些数据鉴别用户身份,并使用保护机制(例如:口令)来鉴别用户的身份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。
?
客体重用
在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配一个主体之前,撤消客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。
? 审计
计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输出记号的能力。
对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。
?
数据完整性
计算机信息系统可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏感信息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。
2.3.1 《基本要求》三级要求
《信息安全技术 信息系统等级保护安全设计技术要求》(GB/T25070-2010)(以下简称为“《基本要求》”)。《基本要求》中规定三级安全防护能力应能够在统一安全策略下防护系统免受来自内部操作性攻击和外部有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、较严重的技术故障等)所造成的主要资源损害并能够检测到此类威胁,并在威胁发生造成损害后,能够较快恢复绝大部分功能。
相关推荐:
loading