等保三级关注点

《GB∕T 22239-2019 信息安全技术网络安全等级保护基本要求》三级更加关注以下几点:

1. 在技术层面,更关注物理方面的安全性:

(1)在防盗和防破坏方面,机房防盗报警系统或专人值守视频监控系统。

(2)在防雷方面,设置防雷保安器或过压保护装置等。

(3)在防火方面,机房划区管理,区域和区域之间设置隔离防火措施。

(4)在防水和防潮方面,要求有对水敏感的检测仪表或元件,对机房进行防水检测和报警。

(5)在防静电方面,要求采用静电消除器、佩戴防静电手环等。

(6)在电力供应方面,设置冗余或并行的电力电缆线路;

(7)在电磁屏蔽方面,应对关键设备实施电磁屏蔽。

2. 在技术层面,更加关注访问控制的管控;

(1)限制非法内联、非法外联,以及无线网络的使用;

(2)限制对进出网络的数据流实现基于应用协议和应用内容的访问。

(3)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

(4)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

3. 在技术层面,更加关注网络攻击的主动防御;

(1)在关键网络节点检测、防止或限制从内、外部发起的网络攻击行为;

(2)采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。

(3)当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警;

(4)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。。

(5)垃圾邮件的检测和防护,并维护垃圾邮件防护机制的升级和更新

4. 在技术层面,更加关注业务的连续性;

(1)高可用,业务处理能力和带宽需要满足业务高峰期的需要;

(2)冗余,包括关键设备(网络设备、计算设备)、线路的冗余等;

(3)备份,且异地备份;

5. 在技术层面,更加关注数据的安全性,强调密码技术;

(1)传输和存储过程中需校验技术或密码技术来确保数据的完整性和保密性;

(2)身份鉴别过程中需要双因素来验证,其中一种鉴别技术应使用密码技术来实现;

6. 在技术层面,更加关注安全管理和集中管控方面;

(1)安全管理中心,二级只有系统管理和审计管理方面;

(2)对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;

(3)对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间为6个月;

(4)对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。

7. 在管理层面,更加关注管理制度的体系化,并得到高层的支持;

(1)成立网络安全领导小组,其最高领导由单位主管领导担任或授权;

(2)形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系;

(3)配备专职安全管理员,不可兼任。

VPN、零信任、SDP间的区别?

VPN、零信任安全和软件定义边界(SDP),这是企业网络安全的三个不同元素,其共同目标是保护公司资源。

VPN、零信任和SDP定义

VPN代表虚拟专用网。该技术对公司网络和授权终端用户设备之间的隧道进行加密。通过VPN,远程员工可以像在办公室一样访问网络资源,并直接连接到公司网络。VPN为员工提供安全的远程访问,无论他们的物理位置如何。
如果一个企业有大量的远程用户,或者如果它有多个员工需要安全访问的公司资源位置,则可以部署VPN技术。然而,VPN的缺点包括缺乏对需要网络访问的各种现代设备(如物联网和移动设备)的支持。

零信任是一种高级网络安全策略,它将每个用户和设备视为威胁,限制横向移动并默认拒绝访问请求。零信任模型支持最少特权原则,这意味着用户和被管理设备只有访问他们工作所需的应用程序、服务和系统的权限。零信任还意味着用户和设备在整个IT环境中移动时必须持续进行身份验证,即使他们是以前访问过给定资源的内部用户。
零信任考虑上下文,以及身份。例如,零信任网络访问(zero-trust network access, ZTNA)技术,将零信任原则应用于远程访问架构,可能会拒绝一个授权用户,比如该用户通常在上午9点到下午5点之间在纽约登录一个应用程序,但突然试图在凌晨3点从阿拉斯加登录。
由于它是一种哲学或策略而不是单一的架构、技术或产品,实现零信任可能是具有挑战性和复杂性的。由于零信任策略依赖于身份和访问控制,因此团队还必须确保用户权限和授权始终是最新且准确的。
处理高度机密或敏感数据的企业从零信任方法中获益最多,尽管专家表示,每个人都可以从中受益。

SDP是一种应用零信任概念实现安全远程访问的网络架构。它是一个覆盖网络,一个位于另一个网络之上的网络,通过虚拟或逻辑链路连接,它将网络资源隐藏在一个边界内。攻击者和非法用户无法看到或访问隐藏的资源,因为SDP作为云或隐形斗篷来保护网络资源。
SDP使用控制器根据身份策略对授权用户进行身份验证,并通过安全网关将其连接到企业网络资源或应用程序,而不管资源位于何处,私有数据中心、云等等。企业可以部署SDP技术来减少基于网络的攻击,包括拒绝服务或中间人攻击。

VPN与零信任对比
VPN和零信任功能存在于网络安全频谱的两端。VPN采用全有或全无的方法,允许经过身份验证的用户在整个网络中广泛漫游,为横向攻击奠定了基础。换句话说,如果坏人可以越过护城河或VPN,那么他们就可以控制城堡或公司网络。
另一方面,零信任安全在严格的基础上,甚至允许授权和身份验证的用户对资源进行有限的访问。如果攻击者设法进入IT环境,零信任微分段限制了他们横向移动和访问敏感数据的能力。

SDP与零信任对比

零信任安全是一种高级安全哲学或策略,SDP和ZTNA属于广泛的零信任保护伞。
SDP和ZTNA架构将零信任原则和策略应用于远程网络访问。这些平台使用信任代理(基于身份和上下文执行身份验证的软件)来控制用户对应用程序、服务和系统的访问。
作为较新的网络安全策略,SDP和ZTNA在企业中的使用时间比传统VPN短,但它们也提供了更多创新的防御机制。随着网络攻击的数量和复杂性的增加,零信任原则通过SDP和ZTNA技术的应用可以帮助企业更好、更可靠地保护他们的网络免受内部和外部威胁。
零信任模式可能会塑造企业网络安全的未来。

5款日志管理工具

1、日志管理工具Graylog
Graylog是一个强大的开源日志管理和分析工具,旨在帮助组织轻松地收集、存储、分析和可视化日志数据。在功能上来说,它和 ELK类似,但又比 ELK要简单轻量许多。依靠着更加简洁,高效,部署和使用简单的优势。
Graylog的核心组件包括:
Graylog Server:日志数据的中央存储和分析引擎。
Elasticsearch:用于高效存储和检索日志数据。
MongoDB:存储配置数据和元数据。
Web界面:提供用户友好的搜索、警报和仪表板功能。

主要特点:
强大的搜索和过滤功能:Graylog提供了强大的搜索语言和过滤器,使您可以轻松地查找关键信息。
高级警报和通知功能:您可以设置警报规则,以便在特定事件发生时及时通知团队。
用户友好的仪表板和可视化:Graylog的仪表板使您能够可视化数据,监视系统性能和趋势。

2、日志管理工具LogDNA
LogDNA是一种现代的云原生日志管理和分析解决方案,旨在简化日志管理。
它为开发人员和运维团队提供了一个云原生、易于使用的平台,用于轻松地收集、分析和监视分布式应用程序的日志数据。
主要特点
云原生,易于部署:LogDNA的云原生架构使其易于部署和扩展,无需繁重的基础设施管理。
即时搜索和实时分析:您可以实时搜索和分析日志数据,无需等待批处理作业。
高度可扩展:LogDNA支持高度可扩展的架构,适应不断增长的日志数据。
高级的协作和团队功能:LogDNA提供了协作和‍‍团队功能,使团队能够协同工作并共享洞察

3、日志管理工具ELK Stack
ELK Stack(Elasticsearch、Logstash和Kibana)是一个流行的开源日志管理和分析平台,由Elastic公司维护。它提供了强大的搜索和可视化工具,适用于大型和分布式环境。
ELK Stack的核心组件包括:
Elasticsearch:用于高效存储和检索日志数据。
Logstash:用于数据采集、处理和传输。
Kibana:提供数据可视化和仪表板功能。

主要特点:
开源:ELK Stack的核心组件是开源的,允许用户进行自定义和扩展。
高度可扩展性:它适应不断增长的数据需求,可在大规模环境中运行。
强大的搜索和可视化功能:Kibana提供了直观的仪表板和可视化工具,帮助用户理解数据。

4、日志管理工具Loki
Loki 是一个受Prometheus启发的水平可扩展、高可用、多租户日志聚合系统。Loki 与 Prometheus 的不同之处在于,它关注日志而不是指标,并通过推送而不是拉取来收集日志。
Loki 的设计非常经济高效且具有高度可扩展性。与其他日志系统不同,Loki 不会对日志内容进行索引,而只会对有关日志的元数据进行索引,作为每个日志流的一组标签。
日志流是一组共享相同标签的日志,标签可帮助 Loki 在数据存储中查找日志流,因此拥有一组高质量的标签是高效执行查询的关键。
主要特点:
开源:Loki是一个开源项目,社区支持。
与Prometheus紧密集成:它与Prometheus紧密集成,适用于监视和日志的一体化解决方案。
高效的日志查询和存储:Loki采用了标签索引的方式,提供高效的日志查询性能。

5、日志管理工具Splunk
Splunk 是一款功能完善、强大的数据和日志分析平台,涵盖机器数据收集、索引、搜索、监控、分析、可视化、告警等功能。
Splunk经过多年的发展,功能已经十分强大且灵活。它允许用户在其上自定义应用(App),目前提供的官方和非官方应用多达数百个,且大多数均可以免费下载并使用。同时,Splunk还提供了强大API集,开发人员可以使用Python、Java、JavaScript、Ruby、PHP、C# 编程语言开发应用程序。
主要特点:
强大的搜索和可视化工具:Splunk提供了高级搜索语言和可视化工具,用于查找和理解日志数据。
安全和合规性功能:它具备强大的安全和合规性功能,适用于敏感数据和合规性要求的环境。
可扩展性和集成能力:Splunk可以与各种其他工具和系统集成,提供了广泛的扩展性。