如何才能担保网络系统的硬件、软件及其系统中的数据受到保护,不因有时的或者恶意的缘故原由而遭受到毁坏、变动、透露,系统连续可靠正常地运行,网络做事不中断,须要做到担保网络的物理安全,担保网络拓扑构造和系统的安全。
01如何才能担保网络的物理安全?
物理安全是保护打算机网络设备、举动步伐以及其他媒体免遭地震、水灾、失火等环境事件(如电磁污染等〉及人为操作失落误或缺点及各种打算机犯罪行为导致的毁坏。物理安全是全体打算机信息系统安全的条件。为了得到完备的保护,物理安全方法是打算系统中必需的。
物理安全紧张包括三个方面:园地安全(环境安全):是指系统所在环境的安全,紧张是园地与机房;设备安全:紧张指设备的防盗、防毁、防电磁信息辐射、透露、防止线路截获、抗电磁滋扰及电源保护等);介质安全(媒体安全):包括媒体的数据的安全及媒体本身的安全。
1.园地安全
为了有效合理地对打算机机房进行保护,应对打算机机房划分出不同的安全等级,把应地供应不同的安全保护方法,根据GB9361-1988,打算机机房的安全等级分为A类、B类、C类三个基本种别。
A级机房:对打算机机房的安全有严格的哀求,有完善的打算机打算机安全方法,具有最高的安全性和可靠性。
B级机房:对打算机机房的安全有严格的哀求,有较完善的打算机打算机安全方法,安全性和可靠性介于A、C级之间。
C级机房:对打算机机房的安全有基本的哀求,有基本的打算机打算机安全方法,C级机房具有最低限度的安全性和可靠性。
在实际的运用中,可根据利用的详细情形进行机房等级的设置,同一机房也可以对不同的设备(如电源、主机)设置不同的级别。
2.设备安全
设备安全包括设备的防盗和防毁,防止电磁信息透露,前止线路截获、抗电磁滋扰一级电源的保护。其紧张内容包括:
(1)设备防盗。
可以利用一定的防盗手段(如移动报警器、数字探测报警和部件上锁〉保护打算机系统设备和部件,以提高打算机信息系统设备和部件的安全性。
(2)设备防毁
一是对抗自然力的毁坏,如利用接地保护等方法保护打算机信息系统设备和部件。二是对抗人为的毁坏,如利用防砸外壳等方法。
(3)防止电磁信息透露
为防止打算机信息系统中的电磁信息油露,提高系统内敏感信息的安全性,常日利用防止电磁信息透露的各种涂料、材料和设备等。
(4)防止线路截获
紧张防止对打算机信息系统通信线路的截获与滋扰。主要技能可归纳为4 个方面:预防线路截获(使线路截获设备无法正常事情);扫描线路截获(创造线路截获并报警);定位线路截获(创造线路截获设备事情的位置);对抗线路截获(阻挡线路截获设备的有效利用)。
(5)抗电磁滋扰
防止对打算机信息系统的电磁滋扰,从而保护系统内部的信息。
(6)电源保护
打算机信息系统设备的可靠运行供应能源保障,可归纳为两个方面:对事情电源的事情连续性的保护(如利用不间断电源)和对事情电源的事情稳定性的保护。
3.介质安全
介质安全是指介质数据和介质本身的安全。介质安全目的是保护存储在介质上的信患。包括介质的前盗:介质的防毁,如防霉和防砸等。
介质数据的安全是指对介质数据的保护。介质数据的安全删除和介质的安全销毁是为了前止被删除或销毁的敏感数据被他人规复。包括介质数据的防盗(如防止介质数据被造孽复制);介质数据的销毁,包括介质的物理销毁(如介质粉碎等)和介质数据的彻底销毁(如消磁等),防止介质数据删除或销毁后被他人规复而准露信息:介质数据的防毁,防止意外或故意的毁坏使介质数据丢失。
02如何担保网络拓朴构造和系统的安全?网络安全系统紧张依赖防火墙、网络防病毒系统等技能在网络层构筑一道安全樊篱,并通过把不同的产品集成在同一个安全管理平台上实现网络层的统一、集中的安全管理。
网络层安全平台
选择网络层安全平台时紧张考虑这个安全平台能否与其他干系的网络安全产品集成,能否对这些安全产品进行统一的管理,包括配置各干系安全产品的安全策略、掩护干系安全产品的系统配置、检讨并调度干系安全产品的系统状态等。
一个完善的网络安全平台至少须要支配以下产品:
防火墙、网络的安全核心供应边界安全防护和访问权限掌握;
网络防病毒系统、杜绝病毒传播供应全网同步的病毒更新和策略设置供应全网杀毒。
安全网络拓扑构造划分
防火墙紧张是戒备不同网段之间的攻击和造孽访问。由于攻击的工具紧张是各种打算机,以是要科学地划分打算机的种别来细化安全设计。在全体内网当中,根据用场可以将打算机划分为三类:内部利用的事情站与终端、对外供应做事的运用做事器以及主要数据做事器。这三类打算机的浸染不同,主要程度不同,安全需求也不同。
第一、重点保护各种运用做事器特殊是要担保数据库做事的代理做事器的绝对安全不能许可用户直接访问。对运用做事器则要担保用户的访问是受到掌握的要能够限定能够访问该做事器的用户范围使其只能通过指定的办法进行访问。
第二、数据做事器的安全性要大于对外供应多种做事的WWW做事器、E-mail做事器等运用做事器。以是数据库做事器在防火墙定义的规则上要严于其他做事器。
第三、内部网络有可能会对各种做事器和运用系统的直接的网络攻击,以是内部办公网络也须要和代理做事器、对外做事器、WWW、E-mail等隔离开。
第四、不能许可外网用户直接访问内部网络。
上述安全需求须要通过划分出安全的网络拓扑构造,并通过VLAN划分、安全路由器配置和防火墙网关的配置来掌握不同网段之间的访问掌握。划分网络拓扑构造时,一方面要担保网络的安全;另一方面不能对原有网络构造做太大的变动。为此建议采取以防火墙为核心的支持非军事化区的三网段安全网络拓扑构造。
03关于等级保护及干系问题为了提高信息安全保障能力和水平,掩护国家安全、社会稳定和公共利益,保障和促进信息化培植,在信息系统培植过程中,运营、利用单位应该按照《打算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本哀求》等技能标准,参照《信息安全技能 信息系统通用安全技能哀求》(GB/T20271-2006)、《信息安全技能 网络根本安全技能哀求》(GB/T20270-2006)、《信息安全技能 操作系统安全技能哀求》(GB/T20272-2006)、《信息安全技能 数据库管理系统安全技能哀求》(GB/T20273-2006)、《信息安全技能 做事器技能哀求》、《信息安全技能 终端打算机系统安全等级技能哀求》(GA/T671-2006)等技能标准同步培植符合该等级哀求的信息安全举动步伐。
1.如何去判断和定义自己的网络分级?
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到毁坏后,会对公民、法人和其他组织的合法权柄造成危害,但不危害国家安全、社会秩序和公共利益。
第二级,信息系统受到毁坏后,会对公民、法人和其他组织的合法权柄产生严重危害,或者对社会秩序和公共利益造成危害,但不危害国家安全,比如一些企业的门户网站,中小企业的一些对外办公网站等等。
第三级,信息系统受到毁坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害,如果涉及到科研成果,社会,国家等方面的系统。比如铁路网站,医保,社保等系统。
第四级,信息系统受到毁坏后,会对社会秩序和公共利益造成特殊严重危害,或者对国家安全造成严重危害。
第五级,信息系统受到毁坏后,会对国家安全造成特殊严重危害。
2.信息安全等级保护三级的认证流程有哪些?
认证流程是具有等保测评资质的公司(经由干系部门认可的)对要进行等保测评的单位进行定级并测评,测评后提出整改见地并对被测评单位进行整改,便是一个测评整改再测评再整改的过程,终极达到并通过测评,例如等保三级须要每年测评一次。
3.如何有效的利用等保分级来构建自己的安全网络环境?
等保分级是为规范信息安全等级保护管理,提高信息安全保障能力和水平,掩护国家安全、社会稳定和公共利益,保障和促进信息化培植的,依据等保分级的详细哀求来对现有的网络进行调度,可以保障网络环境的安全,网络安全了数据才能安全。
4.关于三级等保的技能哀求
技能哀求,包括物理、网络、主机、运用、数据5个方面:
物理安全部分
1、机房应区域划分至少分为主机房和监控区两个部分;
2、机房应配备电子门禁系统、防盗报警系统、监控系统;
3、机房不应该有窗户,应配备专用的气体灭火、ups供电系统;
网络安全部分
1、应绘制与当前运行情形相符合的拓扑图;
2、交流机、防火墙等设备配置应符合哀求,例如应进行Vlan划分并各Vlan逻辑隔离,应配置Qos流量掌握策略,应配备访问掌握策略,主要网络设备和做事器应进行IP/MAC绑定等;
3、应配备网络审计设备、入侵检测或防御设备。
4、交流机和防火墙的身份鉴别机制要知足等保哀求,例如用户名密码繁芜度策略,登录访问失落败处理机制、用户角色和权限掌握等;
5、网络链路、核心网络设备和安全设备,须要供应冗余性设计。
主机安全部分
1、做事器的自身配置应符合哀求,例如身份鉴别机制、访问掌握机制、安全审计机制、防病毒等,必要时可购买第三方的主机和数据库审计设备;
2、做事器(运用和数据库做事器)应具有冗余性,例如须要双机热备或集群支配等;
3、做事器和主要网络设备须要在上线提高行漏洞扫描评估,不应有中高等别以上的漏洞(例如windows系统漏洞、apache等中间件漏洞、数据库软件漏洞、其他系统软件及端口漏洞等);
4、 应配备专用的日志做事器保存主机、数据库的审计日志。
运用安全部分
1、运用自身的功能应符合等保哀求,例如身份鉴别机制、审计日志、通信和存储加密等;
2、运用场应考虑支配网页防修改设备;
3、运用的安全评估(包括运用安全扫描、渗透测试及风险评估),应不存在中高等风险以上的漏洞(例如SQL注入、跨站脚本、网站挂马、网页修改、敏感信息透露、弱口令和口令预测、管理后台漏洞等);
4、运用系统产生的日志应保存至专用的日志做事器。
数据安全备份
1、应供应数据确当地备份机制,每天备份至本地,且场外存放;
2、如系统中存在核心关键数据,应供应异地数据备份功能,通过网络等将数据传输至异地进行备份;
管理制度哀求,应包括以下5方面的制度和记录:
1、安全管理制度
2、安全管理机构
3、职员安全管理
4、系统培植管理
5、系统运维管理
后面会分享更多devops和DBA方面的内容,感兴趣的朋友可以关注一下~
