1等保三级整改一站式方案一、典型等级保护用户整改参考图(建设目标)二、等保整改方案五步走1.安全域划分做等级保护的整改,第一步一定是要明确安全域。下面是经典安全域划分方案:业务服务器域:客户的业务服务器和存储的安全区域用户终端域:用户终端,一些完全不重要的服务器安全管理域:安全管理中心,包括网管系统服务器啊,终端安全管理的服务器等用来做网络和安全运维管理的这些设备互联网出口域:互联网出口的网络和安全设备2.互联网出口在互联网出口部署防火墙、入侵防御、病毒过滤、上网行为管理、链路负载;3.安全域互访隔离2所有的安全域之间必须通过防火墙才能互联互通;4.Web安全防护web服务器前部署web防火墙;5.安全管理中心在安全管理中心要有这些东西:漏洞扫描系统、数据库审计系统、终端安全管理系统、网管系统、应用性能管理系统、SSLVPN、防病毒系统、运维堡垒主机;以上五个步骤完成,设备整改完成。三、涉及产品列表,红色为我司可提供的产品产品名称部署位置产品作用满足政策要求互联网出口防火墙互联网出口隔离互联网和内部网络网络安全-访问控制入侵防御互联网出口防范网络入侵攻击网络安全-入侵防范防病毒模块互联网出口网络层恶意代码过滤网络安全-恶意代码过滤上网行为管理互联网出口内部员工访问互联网的安全审计;流量管理与控制;内部非法无线热点发现;网络安全-结构安全网络安全-安全审计网络安全-边界完整性负载均衡互联网出口链路负载均衡;应用负载均衡;网络安全-结构安全数据备份与恢复-避免单点故障安全域隔离防火墙安全管理区的外联口隔离安全管理区和其他区域网络安全-访问控制Web网站防护Web防火墙业务服务区的外联口隔离业务服务器区和其他区域,并防范web层的网络攻击网络安全-访问控制网络安全-入侵防范安全管理中心应用性能管理安全管理区域网络设备、服务器、应用系统监控;资源阈值告警和预警;网络安全-资源控制主机安全-资源控制应用安全-资源控制SSLVPN安全管理区域远程用户接入的身份认证和加密数据安全-通信保密性防病毒系统安全管理区域主机防病毒服务器,同时在终端安装病毒软件主机安全-恶意代码过滤数据库审计系统安全管理区域数据库访问的审计主机安全-安全审计漏洞扫安全管理区漏洞扫描主机安全-入侵防范3描系统域终端安全管理系统安全管理区域终端安全审计、终端端口管理、终端防火墙入侵防御等;主机安全-安全审计主机安全-访问控制主机安全-入侵防范网络安全-非法外联运维堡垒主机安全管理区域运维审计网路安全-网络设备防护四、疑难问题解答1.是不是上面这些设备都部署,才能通过三级等保?回答:不是。上面是比较理想的情况,实际情况根据客户预算和客户实际需求来进行,部署70-80%的设备即可。2.安全域隔离防火墙,很多客户利用交换机的ACL做,测评中心也认可。回答:对。等保要求进行访问控制,没要求必须用防火墙,交换机ACL也是访问控制手段,但用防火墙是最专业的访问控制设备,其专业性智能型运维容易程度都远远强于交换机ACL,而且交换机ACL损耗交换机性能严重,交换机是交换设备,不是专业的安全设备。3.是不是做了这些就可以通过等保测评了?回答:设备层面足够了。还需要做一些安全加固和管理制度文档整理。安全加固指的是把服务器、数据库、网络设备、安全设备、业务系统的一些安全策略调整到符合等保的规定,比如你服务器密码都是666,现在开启服务器的密码强度要求这个策略,就是安全加固。文档整理主要是安全管理制度,以及测评申请书。4.了解到客户情况后,怎么给客户做整改方案?回答:上面整改五步走,每一步都说明了需要什么,缺少的设备就是需要整改的。安全加固和安全制度是肯定需要整改的。