三级信息系统等保测评分
二级和三级安全建设整改套餐之前已经写过,但是平时还是会遇到一些朋友包括客户想了解,如果测评结果想达到70分大概需要上哪些设备,其实这是个不规范的说法,不是说设备上的设备多分数就肯定越高。我们知道等保测评大的是分管理和技术两部分测评,管理主要是各类管理制度加上操作记录文件等的测评,我们假设在管理部分测评整体失分不多的前提下去考虑如何通过技术手段(安全设备)去增加分数,今天不得不等就整理一个三级系统等保得分套餐,仅供参考,不作为标准和唯一答案。
1、65分套餐(Score:60-65分)
安全设备:防火墙+IDS+网络版杀毒软。
这是在没有高危风险的情况下,想通过等保三级至少要有的安全设备,不能再少了,这个是在经费非常紧张的情况下的不得已配置。
2、70分套餐(Score:66-70分)
安全设备:套餐1+日志审计设备。
这是在65分套餐里增加了日志审计,在三级系统主机安全、应用安全以及网络安全里对日志审计都提了这样的要求:应能够根据记录数据进行分析,并生成审计报表;应保护审计进程,避免受到未预期的中断,无法删除、修改或覆盖审计记录;所以单靠主机、应用及网络及安全设备自带的日志功能肯定无法满足这些要求;另外《网络安全法》里也明确日志要保留6个月以上;最后要知道我们现在保护对象是三级系统,重要性不言而喻,出了问题事后追查如果没有相关日志的话,很难有一个中肯的结论。再结合各地网安处罚的违法案例,很多单位都是没有对日志保存6个月。所以在此建议大家日志审计尽量早点先上,于公于私理由都很充分。
3、75分套餐(Score:71-75分)
安全设备:套餐2+防毒墙+数据库审计+waf(有WEB应用的话)+桌面管理软件或安全准入接入系统+数据备份系统。
这个套餐属于相对比较全的,能满足等保里相关要求条款,设备不一定所有的都要买,如防火墙带入侵检测或防毒墙功能,那么入侵检测和防毒墙就可以不用买,不过建议大家不要说我有了一个UTM或者下一代防火墙就其他防护类设备都不要了,这样不安全,不可靠,实际使用效果也不一定好,在资金允许的前提下,可以单独购买各个网络安全设备。
4、80分套餐(Score:76-83分)
安全设备:套餐3+堡垒机+双因素认证+IP地址管理设备+机房运维管理软件+加密软件+上网行为管理/流量控制设备+应用容灾。
在80分的套餐里主要是增加了双因素认证以及对运维的管理,另外就是将备份变成了应用容灾,保证了系统的可靠性。其实我们现在很多时候对双因素认证不够重视,但是双因素身份验证却是一个很简单但很有效的解决身份安全问题的方式。系统被攻击,身份被冒用,用户密码口令被暴力破解,服务器权限被拿下,很多时候就是因为我们的身份验证只是通过用户名加密码的方式进行验证,要知道实际情况下很多用户都是默认的密码或者简单的密码,破解起来难度并不高。入口问题解决好了,我们会少了很多麻烦。
5、85分套餐(Score:86-92)
安全设备:套餐4+SOC+流量回溯+漏洞扫描+服务器负载均衡+链路负载均衡+网闸+异地应用容灾。
这个套餐里主要增加了SOC和漏洞扫描,另外就是将应用容灾变成了异地应用容灾。在三级里有一个明确的要求:应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。这点一般我们只能通过SOC去做集中管理,数据分析并做出合理的主动防护措施。一提SOC,大家第一印象就是SOC太贵了,买不起,一个SOC卖个上百万是轻轻松松的事,如果牵涉到个性化开发费用更多,所以落地很难。但是目前不得不等通过对SOC产品市场的了解,发现目前已经有部分厂家可以把SOC控制在30万以内,这样可以满足很大一部分用户的需求,所以非定制的SOC也是可以考虑的,这个价格还是可以接受的。能做到这样的客户经费是相对比较充足的,对网络安全也很重视,希望同志们都力争把信息系统做到这样的一个安全配置。服务器和链路负载均衡要不要完全根据自己的系统规模和网络状况,符合条件的该上的就上,甚至在80分之前的套餐就上。包括网闸也是,不一定非要等到85分套餐再上,有内外网数据交换的,完全可以在65分套餐就上。
6、90分套餐(Score:88-95分)
安全设备:套餐5+抗DDOS+APT+态势感知+大数据分析+各种新奇特技术。
这种用户对安全一定是非常非常重视,且他们数据很重要,安全的这些投入相对于他们的应用和数据来说非常有必要。这样的用户资金已经不是考虑的第一要素了,安全才是最重要的。请必须好好珍惜对待他们。
注意点:套餐里一些内容可以根据单位的实际应用需求进行优先级调整,不要生搬硬套,如互联网用户,抗DDOS设备可以提前,在70套餐里就可以考虑。所以我们的安全整改方案是在等保测评后根据发现的实际问题并结合单位业务需求而制定出的一套适合自己的安全配置套餐。安全建设是一个持续过程,积跬步可以成千里,但我们得一直在行动,而不能一直在等待。 另外所有得分的前提是在没有高危风险的情况下,否则结论肯定不符合,得分在60以下。同时也要考虑不同测评机构的把控尺度不一样,所以在相同套餐下得分也会有上下浮动。最后不得不等建议大家网络安全技术措施整改到位了,还要统筹考虑采购一定量的网络安全服务,这是对系统日常安全运维的一个有效补充。大家要明白很多安全设备在黑客的眼里都是摆设而已,他们都是NO CARE的。