网络安全等级保护测评规划与设计
笔者单位网络结构日益复杂,应用不断增多,使信息系统面临更多的风险。同时,网络攻防技术发展迅速,攻击的技术门槛随着自动化攻击工具的应用也在不断降低,勒索病毒等未知威胁也开始泛滥。基于此,笔者单位拟进行网络安全等级保护测评,根据等保2.0的相关标准要求,以“一个中心,三重防护”为核心理念,以安全技术保障、安全管理运营、安全监测预警、安全应急响应为路线,开展等保2.0的定级、备案、建设整改、测评工作,切实保障单位网络安全。
网络安全等级保护测评现状分析
笔者单位虽然已采取了安全措施,但仍存在各种安全隐患,例如:外部入侵;非授权访问;冒充合法用户;破坏数据完整性;网页篡改与数据丢失;来自内部人员的威胁;安全管理比较薄弱;未定期进行安全风险评估。考虑到目前的实际情况,建议采用渗透测试、漏洞扫描、上线前安全检测、安全事件应急处置、管理制度完善、等保咨询等服务。
网络安全等级保护测评设计原则和设计内容
以等保2.0的“一个中心,三重防护”思想为核心,构建集管控、防护、检测、响应、恢复和可信验证等于一体的信息安全保障体系。
“综合防范、整体安全”:坚持管理与技术并重,从人员、管理、安全技术手段等多方面着手,建立综合防范机制,实现整体安全。
“分域保护、务求实效”:科学划分系统安全区域,在完善已有安全配置基础上,制定适度安全策略,整体提高信息安全保障的有效性。
“同步建设”:安全保障体系规划与系统建设同步、协调发展,将安全保障体系建设融入到信息化建设的规划、建设、运行和维护的全过程中。
“纵深防御,集中管理”:构建从外到内、功能互补的纵深防御体系,对资产、安全事件、风险以及访问行为等进行集中统一分析与监管的管控中心。
“设计先进、扩展容易”:设计并采用的技术具有良好的可扩展性,充分保护当前的投资和利益,保障安全体系措施实现可持续发展。
以等保2.0相应等级防护要求为依据,在利用现有安全设备基础上,采用必要的安全服务,全面识别单位重要信息系统在技术层面和管理层面存在的不足和差距。增加必要的安全产品,设计合理的安全管理制度,建立科学的结构化的信息安全保障框架(如图1所示),建立“可信、可控、可管”的安全防护体系,保障相关业务系统安全稳定运行。具体设计内容如下:对相关系统进行整体安全风险评估,及时发现现有系统存在的风险;按照等保2.0相关要求进行安全建设整改,达到国家相关标准的要求。
图1 安全体系总体框架图
等级保护三级系统实施
1.安全技术体系实施
建立系统安全管理中心,总体架构如图2所示。大数据安全分析平台采用ElasticSearch、Hadoop等开源数据存储和索引引擎,保证数据不被绑定,便于将来对数据的二次应用;采用B/S架构,支持全中文Web管理界面,支持SSL加密模式访问;支持针对网络中各类安全产品、网络设备、服务器、中间件、数据库等产品进行日志收集和标准化,通过探针进行流量数据采集,通过大数据综合分析提供安全风险分析和问题定位能力。
图2 安全管理中心总体架构
安全通信网络主要从通信网络审计、通信网络数据传输完整性保护、通信网络数据传输保密性保护、可信连接验证方面进行防护。通过在外网边界安全域部署防火墙、在各个安全域边界部署防火墙,实现各个安全域的边界隔离和划分,在防火墙上配置访问控制策略。防火墙可根据会话状态信息,对源地址、目的地址、源端口、目的端口和协议等进行访问控制,做到允许/拒绝访问,控制力度可以为端口级。采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护。采用 SSL、IPSEC VPN 等产品或技术措施,实现整个报文或会话的保密性保护。采用身份认证系统、终端准入、VPN 等产品或技术措施,实现整个通信网络的设备真实可信,通过集中管理平台进行安全审计。
安全区域边界主要从区域边界访问控制、区域边界包过滤、区域边界安全审计、区域完整性保护、可信验证方面进行防护。根据区域边界安全控制策略,检查数据包的源地址、目的地址、传输层协议和请求的服务等,确定是否允许该数据包进出该区域边界。采用防火墙、Web应用防护系统、入侵防护、抗拒绝服务系统或者具有同等功能的产品,实现边界数据包过滤。设置自主和强制访问控制机制,对源及目标计算节点的身份、地址、端口和应用协议等进行可信验证,对进出安全区域边界的数据信息进行控制,阻止非授权访问。采用防火墙、身份认证、行为管理、入侵防护系统或同等功能的产品,实现对该区域网络数据包的出入控制。在安全域边界部署入侵检测及防御系统,及时识别由外到内和由内到外的入侵行为,并进行告警和阻断。部署下一代防火墙(开启病毒和垃圾邮件过滤功能),保证网络的高可用性,定期升级更新恶意代码库,降低被恶意代码攻击的风险。
2.安全管理体系实施
安全管理体系主要从安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理方面进行设计,由安全策略、管理制度、操作规程等构成全面的信息安全管理制度体系。
安全管理机构:明确系统管理员、网络管理员和安全管理员等岗位的岗位职责,将信息安全管理制度落实到人。
安全管理人员:在人员录用方面,要对新录用人员进行信息安全技术技能考核,从事关键岗位的人员在入职前还要签署岗位安全协议;针对即将离职和调离关键岗位的人员,制度上必须明确要求其承担的保密义务,必要时签署岗位保密协议,办理严格的调离手续后才能被允许离开;定期对各岗位的管理人员进行安全技能及安全认知考核,并对考核结果进行记录和保存;建立信息安全培训制度,定期组织信息安全培训;建立外部人员访问管理制度,对外部人员允许访问的区域、系统、设备、信息等内容进行书面的规定。
安全建设管理:制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则;委托第三方测试单位对系统进行安全性测试,并出具安全性测试报告;发布《信息化管理指导意见》制度;建立完善的系统交付管理制度,对系统交付的控制方法和人员行为准则进行书面规定。
安全运维管理:加强对办公环境的保密性管理,规范办公环境人员行为,包括不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等;完善资产清单,确定资产责任部门、重要程度,根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。对信息分类与标识方法做出规定,并对信息的使用、传输和存储等进行规范化管理。
3.安全服务体系实施
渗透测试:专业安全服务工程师模拟黑客攻击方式对用户信息系统进行非破坏性安全测试,发现深层次的安全隐患,验证现有安全措施的防护效果,及时了解其被入侵的可能性,提出整改建议。
安全事件处置:通过远程或现场的方式帮助客户对突发性安全事件进行安全处理,协助客户快速定位问题,分析判断安全事件原因,提供有效的解决建议,帮助用户将损失及影响降到最低。
信息安全管理制度建设:以风险评估、合规性分析结果为依据,按照相关行业要求,制定安全管理框架,明确管理方针、策略,以及相应的规定、操作规程、业务流程和记录表单,建立信息安全管理制度。
结语
随着网络技术的快速发展和数字化转型的推进,网络安全工作将面临更多挑战。网络安全三级等保测评对于网络安全具有深远的影响。通过测评,能够全面了解其网络安全状况,发现并解决存在的安全问题,提高网络安全防护能力。
相关文章:
网络安全等级保护测评规划与设计
笔者单位网络结构日益复杂,应用不断增多,使信息系统面临更多的风险。同时,网络攻防技术发展迅速,攻击的技术门槛随着自动化攻击工具的应用也在不断降低,勒索病毒等未知威胁也开始泛滥。基于此,笔者单位拟进…...
Error: Cannot find module ‘vue-template-compiler‘ 问题解决
启动Vuepress项目时报了如下错误:Error: Cannot find module vue-template-compiler Error: Cannot find module vue-template-compiler Require stack: - /usr/local/lib/node_modules/vuepress/node_modules/vue-loader/lib/compiler.js - /usr/local/lib/node_…...
华为认证云计算专家(HCIE-Cloud Computing)--练习题
华为认证云计算专家(HCIE-Cloud Computing)–练习题 1.(判断题)华为云stack支持鲲鹏架构,业务可从X86过渡到鲲鹏。 正确答案:正确 2.(判断题)业务上云以后,安全方面由云服务商负责,客户自己不需要做任何防…...
【MATLAB】【数字信号处理】产生系统的单位冲激响应h(t)与H(z)零极点分布
一、实验目的与要求 产生h(t) 与H(z) 零极点分布 二、实验仪器 微机,仿真软件MATLAB 2022a 三、实验内容与测试结果 1.已知描述连续系统的微分方程为y(t)5y(t)6y(t)2x(t)8x(t) ,计算系统的单位冲激响应h(t) 程序如下: clear all; ts0;…...
实验五:动态路由配置
实验五:动态路由配置 1.RIP 配置 【实验名称】 RIP 路由协议配置 【实验目的】掌握路由器 RIP 路由协议的基本配置 【实验设备】路由器( 2 台)、计算机( 2 台)、配置电缆( 1 根)、 V…...
苍穹外卖学习----出错记录
1.微信开发者工具遇到的问题: 1.1appid消失报错: {errMsg: login:fail 系统错误,错误码:41002,appid missing [20240112 16:44:02][undefined]} 1.2解决方式: appid可在微信开发者官网 登录账号后在开发栏 找到 复制后按以下步骤粘贴即…...
如何实现图片压缩
文章目录 1、canvas实现图片压缩2、其他 1、canvas实现图片压缩 canvas 实现图片压缩,主要是使用 canvas 的drawImage 方法 具体思路 拿到用户上传的文件转成base64创建一个 Image,主要是获取到这个图片的宽度和高度创建一个 2D 的画布,画布…...
机器学习算法实战案例:时间序列数据最全的预处理方法总结
文章目录 1 缺失值处理1.1 统计缺失值1.2 删除缺失值1.3 指定值填充1.4 均值/中位数/众数填充1.5 前后项填充 2 异常值处理2.1 3σ原则分析2.2 箱型图分析 3 重复值处理3.1 重复值计数3.2 drop_duplicates重复值处理 3 数据归一化/标准化3.1 0-1标准化3.2 Z-score标准化 技术交…...
MongoDB高级集群架构设计
两地三中心集群架构设计 容灾级别 RPO & RTO RPO(Recovery Point Objective):即数据恢复点目标,主要指的是业务系统所能容忍的数据丢失量。RTO(Recovery Time Objective):即恢复时间目标&…...
C++中JSON与string格式互转
1、JSON-》string 操作步骤: 1、在C中新建一个json对象并赋值,然后将其转给char *data。 2、在使用 #include <json.h> 头文件时,通常是使用第三方库 jsoncpp。由于它不是标准库的一部分,所以需要从官网http://jsoncpp.sou…...
2023一带一路暨金砖国家技能发展与技术创新大赛 【企业信息系统安全赛项】国内赛竞赛样题
2023一带一路暨金砖国家技能发展与技术创新大赛 【企业信息系统安全赛项】国内赛竞赛样题 2023一带一路暨金砖国家技能发展与技术创新大赛 【企业信息系统安全赛项】国内赛竞赛样题第一阶段: CTF 夺旗项目1. CTF 夺旗任务一 命令注入任务二 SQL 注入 项目2. 序列化漏…...
【BBuf的CUDA笔记】十二,LayerNorm/RMSNorm的重计算实现
带注释版本的实现被写到了这里:https://github.com/BBuf/how-to-optim-algorithm-in-cuda/tree/master/apex 由于有很多个人理解,读者可配合当前文章谨慎理解。 0x0. 背景 我也是偶然在知乎的一个问题下看到这个问题,大概就是说在使用apex的…...
安装Mac提示安装无法继续,因为安装器已损坏
目录 事件起因报错原因 事件起因 有两台电脑,由于电脑1下载镜像文件很快,于是我先用电脑1下载这个大文件,然后安装openresty,电脑2用http链接下载这个大文件。电脑2安装中途就报安装无法继续,因为安装器已损坏。 报错原因 不知…...
脚本编程游戏引擎会遇到哪些问题
在游戏开发中,脚本编程已经成为了一种非常常见的方式,用来实现游戏逻辑和功能。但是脚本编程游戏引擎也可能会面临一些挑战和问题。下面简单的探讨一下都会遇到哪些问题,并且该如果做。 性能问题 脚本语言通常需要运行时解释执行࿰…...
什么软件可以做报表?
数据报表,是商业领域中不可或缺的一部分,它通过表格、图表等形式,将复杂的数据进行整理、分析并呈现出来,帮助用户更好地理解数据的趋势和关系。数据报表不仅展示了业务现状和趋势,还支持多种数据分析和挖掘功能&#…...
数据结构学习 jz39 数组中出现次数超过一半的数字
关键词:排序 摩尔投票法 摩尔投票法没学过所以没有想到,其他的都自己想。 题目:库存管理 II 方法一: 思路: 排序然后取中间值。因为超过一半所以必定在中间值是我们要的结果。 复杂度计算: 时间复杂度…...
基于Linux的Flappy bird游戏开发
项目介绍 主要是使用C语言实现,开启C项目之旅。 复习巩固C语言、培养做项目的思维。 功能: 按下空格键小鸟上升,不按下落; 显示小鸟需要穿过的管道; 小鸟自动向右飞行;(管道自动左移和创建&a…...
排序算法6---快速排序(非递归)(C)
回顾递归的快速排序,都是先找到key中间值,然后递归左区间,右区间。 那么是否可以实现非递归的快排呢?答案是对的,这里需要借助数据结构的栈。将右区间左区间压栈(后进先出),然后取出…...
【Verilog】期末复习——设计带异步清零且高电平有效的4位循环移位寄存器
系列文章 数值(整数,实数,字符串)与数据类型(wire、reg、mem、parameter) 运算符 数据流建模 行为级建模 结构化建模 组合电路的设计和时序电路的设计 有限状态机的定义和分类 期末复习——数字逻辑电路分…...
银行网络安全实战对抗体系建设实践
文章目录 前言一、传统攻防演练面临的瓶颈与挑战(一)银行成熟的网络安全防护体系1、缺少金融特色的演练场景设计2、资产测绘手段与防护体系不适配3、效果评价体系缺少演练过程维度相关指标 二、实战对抗体系建设的创新实践(一)建立…...
SwiftUI之深入解析Alignment Guides的超实用实战教程
一、Alignment Guide 简介 Alignment guides 是一个强大的布局工具,但通常未被充分利用。在很多情况下,它们可以帮助我们避免更复杂的选项,比如锚点偏好。如下所示,对对齐的更改也可以自动(并且容易地)动画…...
java获取视频文件的编解码器
java获取视频文件的编解码器 引入jar包: <dependency><groupId>org.bytedeco</groupId><artifactId>javacv-platform</artifactId><version>1.5.9</version></dependency>测试类 package com.jd.brand.approve.…...
动态规划Day06(完全背包)
完全背包 有N件物品和一个最多能背重量为W的背包。第i件物品的重量是weight[i],得到的价值是value[i] 。每件物品都有无限个(也就是可以放入背包多次),求解将哪些物品装入背包里物品价值总和最大。 完全背包和01背包问题唯一不同…...
selenium之框架之窗口
...
华为OD机试 - 最小矩阵宽度(Java JS Python C)
题目描述 给定一个矩阵,包含 N * M 个整数,和一个包含 K 个整数的数组。 现在要求在这个矩阵中找一个宽度最小的子矩阵,要求子矩阵包含数组中所有的整数。 输入描述 第一行输入两个正整数 N,M,表示矩阵大小。 接下来 N 行 M 列表示矩阵内容。 下一行包含一个正整数 K…...
嵌入式linux_C应用学习之API函数
1.文件IO 1.1 open打开文件 #include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> int open(const char *pathname, int flags); int open(const char *pathname, int flags, mode_t mode);pathname:字符串类型,用于标…...
【ubuntu】docker中如何ping其他ip或外网
docker中如何ping其他ip或外网 示例图: 运行下面命令: docker run -it --namehei busybox看情况需要加权限 sudo,即: sudo docker run -it --namehei busyboxping 外网 ping -c 4 www.baidu.comping 内网 ping -c 4 192.168.…...
【Vue3+Ts项目】硅谷甄选 — 品牌管理+平台属性管理+SPU管理+SKU管理
一、品牌管理模块 1.1 静态模块搭建 使用到element-plus的card、button、table、pagination等组件:src/views/product/trademark/index.vue <template><el-card><!-- 卡片顶部添加品牌按钮 --><el-button type"primary" size&quo…...
计算机图形学流体模拟 blender 渲染脚本
做流体模拟的时候,想要复现别人的成果,但是别人的代码都是每帧输出 ply 格式的文件,渲染部分需要自己完成 看了一下,似乎用 blender 是最简单的,于是记录一下过程中用到的代码 Blender 版本 4.0 批量导入 ply 假设…...
二分图带权最大匹配-KM算法详解
文章目录 零、前言一、红娘再牵线二、二分图带权最大完备匹配2.1二分图带权最大匹配2.2概念2.3KM算法2.3.1交错树2.3.2顶标2.3.3相等子图2.3.4算法原理2.3.5算法实现 三、OJ练习3.1奔小康赚大钱3.2Ants 零、前言 关于二分图:二分图及染色法判定-CSDN博客 关于二分…...
南宁市保障住房建设管理服务中心网站/长春头条新闻今天
前言:这是我的第一篇头条文章,由于最近在学习shell编程,所以想把学习中的心得体会分享给大家,而且自己也可以巩固所学到的知识,希望大家可以从中受益。shell是什么?对于我来说也曾经在网上学习过shell的内容…...
娱乐网站设计多少行业/找资源的关键词有哪些
如何开启MySQL的远程帐号-1)首先以 root 帐户登陆 MySQL在 Windows 主机中点击开始菜单,运行,输入“cmd”,进入控制台,然后cd 进入MySQL 的 bin 目录下,然后输入下面的命令。> MySQL -uroot -p123456 …...
阿克苏网站建设/什么软件可以推广自己的产品
概要:最近经常做业务逻辑代码review的工作,发现各种风格的代码,其中有一种是封装和抽象做的非常的多,代码层次非常的深入,表面给人感觉是:牛逼的代码。但是从清晰度和可维护性来说,还是不推荐这…...
可以做渗透的网站/google搜索引擎下载
Date startDate new Date(System.currentTimeMillis()); 在收到设备返回数据之后添加如下语句: Date endDate new Date(System.currentTimeMillis()); long diff endDate.getTime() - startDate.getTime(); 然后在文本框中显示出来: …...
logo免费网站/淘宝客推广平台
该楼层疑似违规已被系统折叠 隐藏此楼查看此楼 所谓网络爬虫,就是一个在网上到处或定向抓取数据的程序,当然,这种说法不够专业,更专业的描述就是,抓取特定网站网页的HTML数据。不过由于一个网站的网页很多,…...
欧美做同志网站空间/页面设计漂亮的网站
摘要: 如何在Web端推送消息?原文:JavaScript是如何工作的: Web推送通知的机制作者:前端小智Fundebug经授权转载,版权归原作者所有。这是专门探索 JavaScript 及其所构建的组件的系列文章的第9篇。如果你错过了前面的章节…...