之前說了網(wǎng)絡(luò)安全等級(jí)保護(hù)2級(jí)信息系統(tǒng)在安全架構(gòu)設(shè)計(jì)方面的一些內(nèi)容,等保3級(jí)在2級(jí)的基礎(chǔ)上增加了許多的要求����,在安全物理環(huán)境、安全管理��、安全設(shè)備等等方面都做了許多要求����,例如安全物理環(huán)境在物理訪問控制,第二級(jí)可以配置人員或者安裝電子門禁����,對(duì)進(jìn)出機(jī)房人員進(jìn)行鑒別�,而等保三級(jí)要求只要求配置電子門禁�。按照第三級(jí)安全保護(hù)能力:應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊�����、較為嚴(yán)重的自然災(zāi)難�,以及其他相當(dāng)危害程度的威脅所造成的主要資源損害,能夠及時(shí)發(fā)現(xiàn)���、監(jiān)測(cè)攻擊行為和處置安全事件���,在自身遭到損害后,能夠較快恢復(fù)絕大部分功能��。那么根據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)的要求���,第三級(jí)信息系統(tǒng)安全防護(hù)設(shè)計(jì)如下:
安全設(shè)備:增加安全運(yùn)維審計(jì)(堡壘機(jī))����、安全管理中心���、數(shù)據(jù)庫審計(jì)系統(tǒng)����、web應(yīng)用防火墻(部分防火墻集成了web防火墻)
堡壘機(jī)主要是將服務(wù)器入口進(jìn)行納管�����,統(tǒng)一到一個(gè)入口���,同時(shí)對(duì)運(yùn)維人員的操作進(jìn)行審計(jì)��,滿足安全審計(jì)的要求��。數(shù)據(jù)庫審計(jì)通過在核心交換機(jī)中鏡像mirror流量到數(shù)據(jù)庫審計(jì)�,對(duì)數(shù)據(jù)庫的操作進(jìn)行審計(jì)����,同時(shí)對(duì)DROP、delete等高危操作進(jìn)行攔截����。
安全管理中心滿足8.1.5.4章節(jié)中關(guān)于集中管控的要求,將安全設(shè)備�、網(wǎng)絡(luò)設(shè)備集中到一個(gè)平臺(tái)上,監(jiān)視其運(yùn)行狀態(tài),同時(shí)監(jiān)控網(wǎng)絡(luò)鏈路狀態(tài)��。
web應(yīng)用防火墻主要攔截針對(duì)網(wǎng)站的惡意攻擊����,例如SQL注入、XSS����、CSRF等等,如果預(yù)算不足����,可以只購買一臺(tái),通過在核心交換機(jī)中做策略路由方式將訪問web服務(wù)器的流量引入到web應(yīng)用防火墻檢測(cè)后再放行��。如果預(yù)算充足并且web訪問流量較大的情況下����,可以購買兩臺(tái)串聯(lián)進(jìn)主干鏈路中。網(wǎng)絡(luò)架構(gòu):相比第二級(jí)對(duì)鏈路冗余做了考慮����,從路由器到核心交換機(jī)形組成雙鏈路,滿足8.1.2.1中關(guān)于“應(yīng)提供通信線路���、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余����,保證系統(tǒng)的可用性”�。
業(yè)務(wù)系統(tǒng)方面:增加了備份一體機(jī),在8.1.4.9章節(jié)中明確要求應(yīng)提供數(shù)據(jù)備份和恢復(fù)功能�,并且要提供異地實(shí)時(shí)備份,在實(shí)際的等保測(cè)評(píng)工作中�,如果用戶在本地有閑置的服務(wù)器或者多余的硬盤,進(jìn)行本地的數(shù)據(jù)備份也是可行����,可以進(jìn)行降危,但是備份措施是一定要有的����,不能完全沒有備份措施。
運(yùn)維管理區(qū)防火墻只是我在設(shè)計(jì)中加入的����,在等保3級(jí)中可以不用設(shè)置這個(gè)防火墻,當(dāng)然如果預(yù)算足夠��,還是可以加上的��,對(duì)運(yùn)維管理區(qū)到業(yè)務(wù)區(qū)、安全管理區(qū)的流量進(jìn)行限制�。以上安全架構(gòu)規(guī)劃只設(shè)計(jì)了網(wǎng)絡(luò)和網(wǎng)絡(luò)安全架構(gòu),機(jī)房的物理環(huán)境建設(shè)和安全管理方面不做考慮�。
閱讀原文:原文鏈接
該文章在 2025/9/16 11:57:01 編輯過
400 186 1886
