企業(yè)的安全等級防護建設(shè)可以提升信息系統(tǒng)的信息安全防護能力，為企業(yè)的業(yè)務(wù)發(fā)展提供安全保障。那么，企業(yè)如何做好網(wǎng)絡(luò)安全工作，達到等保三級要求？以下12個難點需要了解。

1、安全區(qū)域如何劃分？劃分的原則是什么？

為了實現(xiàn)信息系統(tǒng)的等級劃分與保護，需要依據(jù)等級保護的相關(guān)原則規(guī)劃與區(qū)分不同安全保障對象，并根據(jù)保障對象設(shè)定不同業(yè)務(wù)功能及安全級別的安全區(qū)域，以根據(jù)各區(qū)域的重要性進行分等級的安全管理。

某局網(wǎng)絡(luò)承載信息系統(tǒng)，信息系統(tǒng)是進行等級保護管理的最終對象，為體現(xiàn)重點保護重要信息系統(tǒng)安全，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級保護原則，在進行信息系統(tǒng)的劃分時應(yīng)考慮以下幾個方面：

1.相同的管理機構(gòu)

信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)在同一個管理機構(gòu)的管理控制之下，可以保證遵循相同的安全管理策略；

2.相似的業(yè)務(wù)類型

信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)具有相同的業(yè)務(wù)類型，安全需求相近，可以保證遵循相同的安全策略；

3.相同的物理位置或相似的運行環(huán)境
信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)具有相同的物理位置或相似的運行環(huán)境意味著系統(tǒng)所面臨的威脅相似，有利于采取統(tǒng)一的安全保護；

4.相似安全控制措施

信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)因面臨相似的安全威脅，因此需采用相似的安全控制措施來保證業(yè)務(wù)子系統(tǒng)的安全。

2、怎樣實現(xiàn)區(qū)域邊界訪問控制？

區(qū)域邊界的訪問控制防護可以通過利用各區(qū)域邊界交換機設(shè)置ACL（訪問控制列表）實現(xiàn)，但該方法不便于維護管理，并且對于訪問控制的粒度把控的效果較差。從便于管理維護及安全性的角度考慮，通過在關(guān)鍵網(wǎng)絡(luò)區(qū)域邊界部署防火墻，實現(xiàn)對區(qū)域邊界的訪問控制。訪問控制措施滿足以下功能需求：

a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；

b)應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；

c)應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；

d)應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；

e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；

f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；

各安全區(qū)域針對自身業(yè)務(wù)特點設(shè)定訪問控制策略。

3、等保三級對網(wǎng)絡(luò)安全審計系統(tǒng)有哪些功能上的要求？

安全審計是等級保護第三級要求建設(shè)的重要內(nèi)容，有必要在網(wǎng)絡(luò)層做好對網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等要素的審計工作。審計系統(tǒng)需具備以下功能：

a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；

b)審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；

c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；

d)應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等。

綜合日志審計系統(tǒng)是運維管理的重要組成部分，通過部署日志審計系統(tǒng)，能夠?qū)崿F(xiàn)等級保護第三級要求的網(wǎng)絡(luò)安全審計標準，保護日志記錄，并對日志進行分析以生成審計報表，能夠?qū)υO(shè)備的運行情況和用戶行為進行全面記錄，有效提高對安全運行和事件的監(jiān)控能力和追溯能力。

4、如何做好邊界完整性檢查？

第三級信息系統(tǒng)應(yīng)在區(qū)域邊界部署檢測設(shè)備實現(xiàn)探測非法外聯(lián)和非法內(nèi)聯(lián)的行為，完成對區(qū)域邊界的完整性保護。檢測需具備以下功能：

a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷；

b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷。

通過部署桌面終端安全管理系統(tǒng)和安全準入網(wǎng)關(guān)，可有效實現(xiàn)以下邊界完整性檢查功能：

1.終端設(shè)備接入管理

• 對網(wǎng)絡(luò)中的終端的進行注冊管理，根據(jù)設(shè)定的安全策略允許/禁止終端接入網(wǎng)絡(luò)，采集硬件設(shè)備信息、位置信息；

• 支持對客戶端MAC和IP地址的綁定管理，IP和主機名綁定，任意其中一個發(fā)生改變，系統(tǒng)將自動報警，報警后自動恢復(fù)原有IP配置；

• 支持對合法計算機IP地址使用的保護機制，對新接入設(shè)備占用他人IP地址的行為進行自動斷網(wǎng)，不影響合法計算機在網(wǎng)絡(luò)中的正常使用；

• 支持內(nèi)網(wǎng)完整性管理，對網(wǎng)絡(luò)中計算機的接入、帶出行為進行報警，并能夠自動阻斷違規(guī)行為。

2.非法外聯(lián)管理

• 支持監(jiān)控網(wǎng)絡(luò)中客戶端的非法外聯(lián)行為，實時檢測內(nèi)部網(wǎng)絡(luò)（包括物理隔離和邏輯隔離網(wǎng)絡(luò)）用戶通過調(diào)制解調(diào)器、ADSL、雙網(wǎng)卡等設(shè)備非法外聯(lián)互聯(lián)網(wǎng)行為，并遠程告警或斷網(wǎng)；

• 支持監(jiān)控已注冊的設(shè)備網(wǎng)絡(luò)連接行為，如改變網(wǎng)絡(luò)地址接入其它網(wǎng)絡(luò)，根據(jù)接入網(wǎng)絡(luò)環(huán)境因素判定其是否非法接入其它網(wǎng)絡(luò)；

• 客戶端非法外聯(lián)支持詳細記錄非法上網(wǎng)計算機的名稱、單位、上網(wǎng)方式，可以在報警平臺和報警查詢中獲知信息，并且可以對客戶端進行提示信息，自動關(guān)機，斷網(wǎng)等處理；

• 支持是否允許使用代理服務(wù)器上網(wǎng)的控制。

5、如何做好網(wǎng)絡(luò)設(shè)備的防護？

第三級信息系統(tǒng)要求對設(shè)備的遠程登錄使用雙因子認證方式，需要符合如下管理要求：

a)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；

b)應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；

c)網(wǎng)絡(luò)設(shè)備用戶的標識應(yīng)唯一；

d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；

e)身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；

f)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡(luò)登錄連接超時自動退出等措施；

g)當對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

h)應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。

6、面對入侵和不可預(yù)測的侵入，該如何防范？

防護入侵主要有兩種：入侵防御設(shè)備和入侵檢測設(shè)備，他們根據(jù)自身的特征庫對入侵行為進行判斷并連動防火墻做出相應(yīng)的阻斷或禁止的動作，從而起到網(wǎng)絡(luò)防護入侵的目的。

7、多個子公司的網(wǎng)絡(luò)安全如何管理？

多個子公司的網(wǎng)絡(luò)安全通常采用帶vpn功能的防火墻做邊界防護，實現(xiàn)總公司與分公司之間的vpn專線點對點互聯(lián)，并且數(shù)據(jù)采用加密方式傳輸，密文傳輸?shù)臄?shù)據(jù)即使被非法獲取也是無法查看內(nèi)容的。

8、企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)如何打通，邊界需要布署什么安全防護設(shè)備？

首先從企業(yè)內(nèi)部來看互聯(lián)網(wǎng)應(yīng)用的數(shù)據(jù)庫最好保存在內(nèi)網(wǎng)上通過網(wǎng)閘供外網(wǎng)應(yīng)用服務(wù)器訪問，這樣可以提高數(shù)據(jù)的安全性，對于企業(yè)外部的用戶通過互聯(lián)網(wǎng)訪問這些應(yīng)用需要通過usbkey和密碼的雙重驗證，驗證通過后才允許訪問。

9、針對服務(wù)器區(qū)域如何做好安全防護網(wǎng)絡(luò)策略？

服務(wù)器托管在IDC機房，采購了入侵檢測硬件設(shè)備但是沒有完全利用起來，操作系統(tǒng)有windows，linux系統(tǒng)。請問：不只是在入侵檢測設(shè)備做策略，包括服務(wù)器操作系統(tǒng)，軟件怎么做安全策略？

服務(wù)器區(qū)需要劃到安全區(qū)域中來，通過防火墻做訪問控制，web墻保護網(wǎng)站，同時啟動網(wǎng)頁防篡改功能，服務(wù)器操作系統(tǒng)要定期更新補釘，安裝殺毒軟件，服務(wù)器通過專用的運維主機訪問，訪問方式采用雙因子認證，同時服務(wù)器要加入日志審計功能和數(shù)據(jù)庫審計。

10、對于中小型企業(yè)來說，沒有專職的搞安全的維護人員，如何做好網(wǎng)絡(luò)安全維護工作？

隨著云計算、大數(shù)據(jù)的高速發(fā)展，數(shù)據(jù)中心在規(guī)模、密度和復(fù)雜性上都有所增長，企業(yè)都在尋找更有效的工具來降低成本，同時希望提高工作效率，減少能耗。傳統(tǒng)功能單一的數(shù)據(jù)中心基礎(chǔ)設(shè)施管理系統(tǒng)(DCIM)已難以應(yīng)付紛繁多變的網(wǎng)絡(luò)環(huán)境，動力環(huán)境，成本壓力，企業(yè)內(nèi)部管理和運維效率的優(yōu)化。因此，我們除了要有一款ODCC,CDCC和DCA所定義的 DCIM應(yīng)該有的功能外，我們還需要有一款能夠幫助數(shù)據(jù)中心或其他大型信息中心的管理者、經(jīng)營者和運維人員提高管理效率、資源利用率和工作流程，以及業(yè)務(wù)狀況的綜合管理系統(tǒng)。

11、網(wǎng)絡(luò)區(qū)域是否需要劃分DMZ區(qū)，如果去掉會有哪些影響？

劃分DMZ區(qū)以后，一般只允許內(nèi)網(wǎng)或者外網(wǎng)訪問DMZ區(qū)，一旦DMZ區(qū)的服務(wù)器被攻擊，不會通過DMZ攻擊到內(nèi)網(wǎng)。

還有就是內(nèi)網(wǎng)的防護，放到DMZ區(qū)以后，內(nèi)網(wǎng)訪問DMZ區(qū)的服務(wù)器時可以做相應(yīng)的安全策略，比如只允許普通用戶訪問正常業(yè)務(wù)端口，而管理員可以訪問遠程桌面、ssh、telnet等服務(wù)。

傳統(tǒng)的防火墻很大的一個意義就在于DMZ區(qū)，用來為網(wǎng)站設(shè)置一個安全區(qū)域來保證內(nèi)外網(wǎng)的訪問問題。

但是現(xiàn)在的情況又了一些變化，傳統(tǒng)防火墻的訪問列表只能限制到IP .端口以及協(xié)議，無法限制訪問行為。而現(xiàn)在更多的黑客攻擊都是針對80，25等這些業(yè)務(wù)端口實現(xiàn)的，所以傳統(tǒng)防火墻的規(guī)則很難應(yīng)對這些攻擊。一般都是建議針對WEB服務(wù)來添加WEB防火墻。或者下一代防火墻來進行行為防護。

另外，DMZ區(qū)域在現(xiàn)在的這種情況，個人覺得還是保留的好。作為網(wǎng)站服務(wù)的一個獨立區(qū)域。避免從內(nèi)網(wǎng)直接開通映射到外網(wǎng) 。還是會減少一些安全的風(fēng)險和管理上的麻煩的。

總結(jié)起來說。DMZ并不能完全解決現(xiàn)有的針對WEB的攻擊問題。但DMZ區(qū)有助于網(wǎng)絡(luò)的管理和規(guī)劃，也可以避免一些基礎(chǔ)的安全問題。比如病毒爆發(fā)等。

12、等保三級的安全怎樣做到安全與成本的兼顧？

等保三級要求的很多。不單單是設(shè)備的投入，還有整個管理流程。操作規(guī)范等等。而且對硬件的要求也比較明確。確實不太容易降低成本。

不過這種所謂的成本投入其實是相對的。很多企業(yè)之前欠缺了太多的安全設(shè)備、審計、歸檔、備份，因為之前沒有，所以才覺得到了等保三級要投入很高。其實這些東西對于系統(tǒng)安全本就應(yīng)該有的。

等保三級測評合格是60分，這時成本是最低的，如果要做到100分成本一定是最高的，即使是60分也要做好以下的工作：

1、安全區(qū)域劃分

2、網(wǎng)絡(luò)架構(gòu)設(shè)計方案

3、區(qū)域邊界訪問控制

4、網(wǎng)絡(luò)安全審計

5、邊界完整性檢查

6、入侵防范

7、網(wǎng)絡(luò)設(shè)備防護

8、系統(tǒng)運維管理