信息化觀察網(wǎng)

自《網(wǎng)絡(luò)安全法》于2017年6月1日正式實施之后，部分政府、企事業(yè)單位的信息中心領(lǐng)導(dǎo)或單位一把手不再拒絕針對網(wǎng)絡(luò)安全的建設(shè)，甚至積極主動的向安全廠商尋求規(guī)劃建設(shè)方案。為何會引起如此大的反差呢？

正是因為《網(wǎng)絡(luò)安全法》中的相關(guān)內(nèi)容。網(wǎng)安法中第21條明確指出：國家的實行網(wǎng)絡(luò)安全等級保護制度。第21條是等級保護工作的鮮明旗幟，是從國家層面對等級保護工作的法律認可，是網(wǎng)絡(luò)安全法關(guān)于等級保護工作最重要的一條，簡單點就是單位不做等級保護工作就是違法。

等級保護建設(shè)分為5個步驟：定級、備案、整改、測評、監(jiān)督檢查。其中整改建設(shè)是以《信息安全-信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）中的相應(yīng)等級要求內(nèi)容進行。整改部分又分為：技術(shù)要求 和 管理要求，本文以整改建設(shè)中的技術(shù)要求，簡單介紹一下整改思路。

簡單的說，技術(shù)要求就是增加部署相應(yīng)的網(wǎng)絡(luò)安全產(chǎn)品或相關(guān)策略，以技術(shù)手段來滿足等保的要求。而常見的等保涉及技術(shù)手段分為：訪問控制、入侵防御、漏洞防護、安全審計、抗拒絕攻擊、病毒防護等。通常情況下，達到這些技術(shù)防護手段，等級保護建設(shè)通過測評問題不大。這些技術(shù)防護手段對應(yīng)的安全產(chǎn)品分別為：防火墻、入侵防御IPS、漏洞掃描、網(wǎng)絡(luò)審計（或上網(wǎng)行為管理）、數(shù)據(jù)庫審計、日志審計、web應(yīng)用防火墻、防篡改、防病毒網(wǎng)關(guān)、殺毒軟件。

下面重點介紹一下以上安全產(chǎn)品的等保建設(shè)。

建設(shè)拓撲圖見下圖：

等級保護網(wǎng)絡(luò)安全設(shè)計拓撲

1、首先結(jié)合單位自身的網(wǎng)絡(luò)情況，將網(wǎng)絡(luò)劃分為多個安全區(qū)域，如：等保三級服務(wù)器區(qū)域（等保三級的業(yè)務(wù)服務(wù)器均部署于此區(qū)域，下同）、等級二級服務(wù)器區(qū)域、終端PC區(qū)域（該區(qū)域均為非涉密的辦公人員）、運維管理區(qū)域、核心交換區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)等。

2、在互聯(lián)網(wǎng)接入?yún)^(qū)域邊界部署防火墻、入侵防御IPS、病毒防護網(wǎng)關(guān)產(chǎn)品，對進出網(wǎng)絡(luò)的流量進行識別、判斷和阻止異常數(shù)據(jù)包。

3、在核心交換區(qū)域的核心交換機旁路（或串接）部署網(wǎng)絡(luò)審計（或上網(wǎng)行為管理）和數(shù)據(jù)庫審計，對訪問業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的流量進行識別、判斷，并對異常行為進行告警。

4、在運維管理區(qū)域旁路部署日志審計、網(wǎng)絡(luò)版殺毒系統(tǒng)、漏洞掃描系統(tǒng)。日志審計將接收網(wǎng)絡(luò)中所有的設(shè)備，包含網(wǎng)絡(luò)設(shè)備（如：路由器、交換機等）、安全設(shè)備（如：防火墻、入侵防御等）、服務(wù)器（如：windows、linux等）等設(shè)備所產(chǎn)生的所有日志并記錄分析，判斷，對異常日志進行告警。網(wǎng)絡(luò)版殺毒系統(tǒng)應(yīng)與病毒防護網(wǎng)關(guān)所包含的殺毒引擎和病毒庫不同品牌，即需要異構(gòu)，可有效的避免同一品牌病毒規(guī)則庫無法查殺某個病毒的情況。漏洞掃描系統(tǒng)可定時或周期性掃描網(wǎng)絡(luò)中存在的漏洞，并在掃描完成后提供漏洞風險分析報告，管理人員可及時發(fā)現(xiàn)并在非法入侵前修補漏洞。

5、在服務(wù)器區(qū)域邊界部署web應(yīng)用防火墻，在重點的服務(wù)器上部署防篡改系統(tǒng)，在有效保障業(yè)務(wù)系統(tǒng)不受SQL注入、XSS攻擊、CC攻擊等各類攻擊的同時，還可以保證在服務(wù)器被入侵后無法對業(yè)務(wù)系統(tǒng)進行非法篡改，有效保障網(wǎng)站業(yè)務(wù)系統(tǒng)的內(nèi)容完整性。

6、在終端PC區(qū)域內(nèi)的所有電腦上安裝網(wǎng)絡(luò)版殺毒系統(tǒng)的客戶端，并保持更新病毒庫，同時安裝最新的系統(tǒng)補丁。

總結(jié)：在通常的等級保護技術(shù)整改的建設(shè)中，將涉及以下安全產(chǎn)品：防火墻、入侵防御IPS、病毒防護網(wǎng)關(guān)、網(wǎng)絡(luò)審計（或上網(wǎng)行為管理）、數(shù)據(jù)庫審計、漏洞掃描、日志審計、網(wǎng)絡(luò)版殺毒系統(tǒng)、web應(yīng)用防火墻、防篡改產(chǎn)品。