等保安全设备推荐配置
01
三级等保安全设备推荐配置套餐
|
套餐 |
安全设备 |
说明 |
|
最低配置 |
防火墙 |
这是在没有高危风险的情况下,想通过等保三级至少要有的安全设备,不能再少了,比这还少,最后还基本符合的,一定是测评机构放水了;这个是在经费非常紧张的情况下的不得已配置。 |
|
IDS |
||
|
网络版杀毒软件 |
||
|
日志审计 |
||
|
基本配置 |
最低配置套餐+ |
这个套餐属于相对比较全的,能满足等保里相关要求条款,设备不一定所有的都要买,如防火墙带入侵检测或防毒墙功能,那么入侵检测和防毒墙就可以不用买,不过建议大家不要说我有了一个UTM或者下一代防火墙就其他防护类设备都不要了,这样不安全,不可靠,实际使用效果不一定好。最关键的还是要结合自身需求去合理设计。 |
|
防毒墙 |
||
|
数据库审计 |
||
|
堡垒机 |
||
|
WAF(有WEB应用的话) |
||
|
桌面管理软件/安全准入接入系统 |
||
|
数据备份系统 |
||
|
豪华配置 |
基本配置套餐+ |
在三级里有一个明确的要求:应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。这点一般我们只能通过SOC去做集中管理,数据分析并做出合理的主动防护措施。在上一版本里没有把SOC放在豪华配置套餐里,因为SOC确实太贵了,上百万是轻轻松松的事,如果牵涉到个性化开发费用更多,所以落地很难。但是目前不得不等通过对SOC产品市场的了解,发现目前已经有部分厂家可以把SOC控制在30万以内,这样可以满足很大一部分用户的需求,所以在这里把SOC优先级提前了一级。能做到这样的客户经费是相对比较充足的,对网络安全也很重视,希望同志们都力争把信息系统做到这样的一个安全配置。 |
|
SOC |
||
|
双因素认证 |
||
|
IP地址管理设备 |
||
|
机房运维管理软件 |
||
|
加密软件 |
||
|
上网行为管理/流量控制设备 |
||
|
应用容灾 |
||
|
超豪华配置套餐 |
豪华配置套餐+ |
配置成这样的客户,你必须要好好珍惜,拥有一个是多么的幸福,这应该可以进土豪榜的优质用户。此处加了一个流量回溯,这个产品可以帮助用户事后对问题进行分析判断,故障定位,数字取证等。另外将漏洞扫描从无敌至尊套餐提前到超豪华配置套餐里,优先级提升了一级,定期进行漏洞扫描是个好习惯。 |
|
流量回溯 |
||
|
漏洞扫描 |
||
|
服务器负载均衡 |
||
|
链路负载均衡 |
||
|
网闸 |
||
|
异地应用容灾 |
||
|
无敌至尊 |
超豪华配置套餐+ |
这种用户对安全一定是非常非常重视,且他们数据很重要,安全的这些投入相对于他们的应用和数据来说非常有必要。这样的用户可以进胡润全国排行榜。请必须好好珍惜对待他们。 |
|
抗DDOS |
||
|
APT |
||
|
态势感知 |
||
|
大数据分析 |
||
|
各种新奇特技术 |
02
二级等保安全设备推荐配置套餐
|
套餐 |
安全设备 |
说明 |
|
最低配置 |
防火墙 |
这是在没有高危风险的情况下,想通过等保二级至少要有的安全技术措施;这个是在经费非常紧张的情况下的不得已配置。为什么要求是网络版杀软,在主机安全恶意代码防范中要求应支持防恶意代码软件的统一管理。 |
|
网络版杀毒软件 |
||
|
优先配置 |
最低配置套餐+ |
这个套餐属于相对比较全的,一方面能满足等保里相关要求条款要求,另一方面也有很高的实用性。WAF要不要取决于你的系统是不是WEB应用类的,如果是,强烈建议大家要上WAF。数据备份也是一个刚性需求,当数据丢失时,有备份是一件多么幸福的事。为什么在这里把日志审计放在这而没放数据库审计,因为在等保主机安全和应用安全里对安全审计分别提了这样的要求:避免受到未预期的删除、修改或覆盖等和应保证无法删除、修改或覆盖审计记录。 |
|
IDS |
||
|
日志审计 |
||
|
数据备份系统 |
||
|
WAF(有WEB应用的话) |
||
|
不烦恼配置 |
优先配置套餐+ |
网络安全建设能做到这样基本是方方面面都考虑到了,从身份可信验证到安全接入,到防病毒、防入侵,再到相应的数据库操作审计,日志审计,运维审计,最后到应用的容灾。基本从事前、事中、事后三个角度对安全都做了一定的措施,做到这样出了问题,也不用太烦恼了,基本该做的都做了,还能怎么办?资金充足的用户力争都做到这样的一个安全配置。 |
|
安全准入 |
||
|
数据库审计 |
||
|
双因素认证 |
||
|
堡垒机 |
||
|
机房运维管理软件 |
||
|
应用容灾 |
||
|
不差钱配置套餐 |
不烦恼配置套餐+ |
配置成这样的客户,一个字“豪”,不差钱。当然做成这样后效果也是杠杆的。 |
|
漏洞扫描 |
||
|
服务器负载均衡 |
||
|
链路负载均衡 |
||
|
网闸 |
||
|
抗DDOS |
||
|
APT |
||
|
异地应用容灾 |
03
推荐套餐后的话
套餐里一些内容可以根据单位的实际应用需求进行优先级调整,如网闸,如果单位有内外网数据交互的,完全可以放在基本配置套餐;如果是互联网用户,抗DDOS设备可以提前;如对链路链接要求高的可以将链路负载均衡放在优先级更高的套餐里去建设。
最后不得不等建议大家网络安全技术措施整改到位了,还要统筹考虑采购一定量的网络安全服务,这是对系统日常安全运维的一个有效补充。在等保管理制度里有要求:我们要定期对系统风险进行评估,要对发现的漏洞及时进行加固,要有应急预案,但是这些我们可能做的都不到位,需要专业的安全服务公司通过安全服务形式把我们这块短板补齐。总之,我们的安全整改方案是在等保测评后根据发现的实际问题并结合单位业务需求而制定出的一套适合自己的安全配置套餐。网络安全建设是一个持续过程,网络安全工作从来都没有终点。积跬步可以成千里,但我们得一直在积,而不能坐以待毙,我们得增强网络安全防御能力和威慑能力。
