计算机安全防范措施包括防火墙、病毒防护软件、入侵检测系统(IDS)、加密技术和用户教育。
现代人不再提及一级保护
我主要讨论了二级和三级保护的具体要求及差异分析,涵盖了物理安全、网络安全、主机安全、应用安全和数据安全五个项目,如果需要进一步探讨管理系统的问题,欢迎提问。
格式说明
等保要求:等保二级解决方案;等保三级解决方案;差异分析
物理安全
物理位置的选择:机房和办公空间应具备防震、防风、防雨的能力;避免设置在建筑物的高层或地下室,以及用水设备的下层或隔壁;楼层的选择需三级。
物理访问控制:根据基本要求配备人员,制定管理制度;对机房进行区域管理,设置过度区域和安装门禁;三级要求加强区域管理和重要区域控制。
防盗、防损坏:按基本要求施工,制定防盗、防损坏相关管理制度;根据基本要求建设配置光、电等防盗报警系统;三级配备光、电技术防盗报警系统。
防雷:按基本要求施工;设置防雷安全装置;三级防雷安全装置按要求设置,防止感应雷。
消防:设置消防设备和消防自动报警系统;消防、耐火、隔离等措施;三级消防、耐火、隔离等措施按要求执行。
防水防潮:采取措施防止雨水渗透和机房内水蒸气;安装防水试验仪器;三级防水试验仪器按要求安装使用。
防静电:必要的接地防静电;安装防静电地板;三级防静电地板按要求安装。
温湿度控制:配备空调系统。
电源:配备稳压器和过电压防护设备,配备UPS系统,配备稳压器,UPS、冗余供电系统;三级根据要求设置冗余或平行的电力电缆线路,建立备用供电系统。
电磁保护:电源线与通信电缆隔离敷设;电磁屏蔽、接地、关键设备和磁介质;三级电磁屏蔽按要求接地,关键设备和介质。
网络安全
结构安全:关键设备选择高端设备,处理能力有冗余空间,合理网络,绘制详细的网络拓扑图;在二级基础上,合理规划路由,避免重要网段与外部系统直接连接,在业务终端与业务服务器之间建立安全路径和带宽优先管理;三级加强设计:主要网络设备的处理能力满足高峰需求,ACL战略带宽优先级建立业务终端与业务服务器之间的安全路径。
访问控制:防火墙,制定相应的ACL策略;防火墙配置包括:端口级控制粒度、常用应用层协议命令过滤、会话控制、流量控制、连接数控制、防地址欺诈等策略;三级对防火墙设备配置策略提出了更高的要求。
安全审计:部署网络安全审计系统;部署网络安全审计系统,部署日志服务器保存审计记录;三级对审计日志保存提出更高的要求,需要使用日志服务器保存审计记录。
边界完整性检查:部署终端安全管理系统,启用非法外联监控和安全准入功能;部署终端安全管理系统,在进行非法外联和安全准入检测的同时有效阻断;三级相对二级要求在检测时有效阻断。
入侵预防:部署入侵检测系统;部署入侵检测系统配置入侵检测系统的日志模块;入侵检测系统的日志模块应配置在三级和二级,以记录攻击源IP、攻击类型、攻击目的、攻击时间等相关信息,并以某种方式报警。
恶意代码预防:无要求;部署UTM或AV;、IPS;三级系统 检测和清除网关处的恶意代码,并定期升级恶意代码库。
网络设备保护:配置网络设备本身的身份识别和权限控制;识别主要网络设备的双因素认证手段;三级对登录网络设备的身份认证提出了更高的要求,需要实施双因素认证、设备管理员等特权用户的配置。
主机安全
身份识别:操作系统和数据库系统配置高强度用户名/密码登录失败处理、传输加密等措施;登录主机管理员时识别双因素身份(USBkey+密码);三级要求管理用户采用两种或两种以上组合的识别技术进行身份识别。
访问控制:根据基本要求配置主机访问控制;管理员进行分级权限控制,重要设置访问控制策略进行访问控制;管理员按要求进行分级权限控制,标记重要信息(文件、数据库等)。
安全审计:部署主机审计系统;将主机审计系统的审计范围扩大到重要客户端;生成审计报表;将审计范围扩大到重要客户端;并生成审计报表。
剩余信息保护:无要求;通过安全加固操作系统和数据库系统,及时清除剩余信息的存储空间;三级要求通过安全服务保护剩余信息。
入侵预防:部署网络入侵检测系统部署终端安全管理系统;部署网络入侵检测系统部署主机入侵检测系统部署终端安全管理系统补丁及时分发;三级要求重要服务器入侵、重要程序代码审查、消除漏洞、配置主机入侵检测和终端管理软件进行完整性检测。
恶意代码预防:部署终端防恶意代码软件;部署终端防恶意代码软件;三级要求终端防恶意代码软件和边界网关设备异构部署。
资源控制:部署应用安全管理系统进行资源监控;部署应用安全管理系统进行资源监控、检测和报警;三级要求监控重要服务器,包括监控服务器的CPU、对于硬盘、内存、网络等资源的使用,对系统服务的相关阈值进行检测和报警。
应用安全
识别:根据基本要求配置高强度用户名/密码;双因素认证或CA系统识别;三级根据要求进行双因素认证或CA系统识别;
访问控制:根据基本要求提供访问控制功能;通过安全加固措施制定严格的用户权限策略,确保账户和密码符合安全策略;三级根据系统重要资源的标记和安全策略进行严格的访问控制
安全审计:应用程序系统开发应用程序审计功能部署数据库审计系统;应用程序系统开发应用程序审计功能部署数据库审计系统;三级要求不仅生成审计记录,而且统计、查询、分析和生成审计记录数据
剩余信息保护:无要求;通过安全加固操作系统和数据库系统,及时清除剩余信息的存储空间;二级无要求
通信完整性:采用验证码技术,确保通信过程中数据的完整性;采用PKI系统中的完整性验证功能,确保通信完整性;三级要求密码技术
通信保密性:应用系统本身开发数据加密功能,采用VPN或PKI系统的加密功能;应用系统本身开发数据加密功能,采用VPN或PKI系统的加密功能,保证通信保密性;三级要求加密整个报纸或会话过程
抵抗:无要求;PKI系统;2级无要求;
软件容错:代码审核;代码审核;三级系统按要求设计自动保护功能,故障后可恢复
资源控制:部署应用安全管理系统;部署应用安全管理系统;三级要求细化加固措施,限制和管理并发连接、资源配额、系统服务阈值、系统服务优先级等
数据安全
数据完整性:VPNN用于数据验证和传输 ;配置存储系统传输采用VPNN ;三级要求在传输过程中增加系统管理数据的检测和恢复,并配置存储系统
数据保密性:应用系统存储和开发识别信息的加密功能;应用系统利用VPN传输存储和开发的加密功能;三级要求管理数据、识别信息和重要业务数据传输过程的保密性
备份与恢复:定期备份重要信息的关键设备线路冗余;本地备份和异地备份的关键设备线路冗余设计;三级要求每天备份数据,实现异地备份
希望这些修订能帮助您更好地理解和应用计算机安全防范措施,如果有任何疑问,请随时提出!