企業(yè)的安全等級(jí)防護(hù)建設(shè)可以提升信息系統(tǒng)的信息安全防護(hù)能力，為企業(yè)的業(yè)務(wù)發(fā)展提供安全保障。那么，企業(yè)如何做好網(wǎng)絡(luò)安全工作，達(dá)到等保三級(jí)要求？以下12個(gè)難點(diǎn)需要了解。

1、安全區(qū)域如何劃分？劃分的原則是什么？

為了實(shí)現(xiàn)信息系統(tǒng)的等級(jí)劃分與保護(hù)，需要依據(jù)等級(jí)保護(hù)的相關(guān)原則規(guī)劃與區(qū)分不同安全保障對(duì)象，并根據(jù)保障對(duì)象設(shè)定不同業(yè)務(wù)功能及安全級(jí)別的安全區(qū)域，以根據(jù)各區(qū)域的重要性進(jìn)行分等級(jí)的安全管理。

某局網(wǎng)絡(luò)承載信息系統(tǒng)，信息系統(tǒng)是進(jìn)行等級(jí)保護(hù)管理的最終對(duì)象，為體現(xiàn)重點(diǎn)保護(hù)重要信息系統(tǒng)安全，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級(jí)保護(hù)原則，在進(jìn)行信息系統(tǒng)的劃分時(shí)應(yīng)考慮以下幾個(gè)方面：

1.相同的管理機(jī)構(gòu)

信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)在同一個(gè)管理機(jī)構(gòu)的管理控制之下，可以保證遵循相同的安全管理策略；

2.相似的業(yè)務(wù)類型

信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)具有相同的業(yè)務(wù)類型，安全需求相近，可以保證遵循相同的安全策略；

3.相同的物理位置或相似的運(yùn)行環(huán)境
信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)具有相同的物理位置或相似的運(yùn)行環(huán)境意味著系統(tǒng)所面臨的威脅相似，有利于采取統(tǒng)一的安全保護(hù)；

4.相似安全控制措施

信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)因面臨相似的安全威脅，因此需采用相似的安全控制措施來保證業(yè)務(wù)子系統(tǒng)的安全。

2、怎樣實(shí)現(xiàn)區(qū)域邊界訪問控制？

區(qū)域邊界的訪問控制防護(hù)可以通過利用各區(qū)域邊界交換機(jī)設(shè)置ACL（訪問控制列表）實(shí)現(xiàn)，但該方法不便于維護(hù)管理，并且對(duì)于訪問控制的粒度把控的效果較差。從便于管理維護(hù)及安全性的角度考慮，通過在關(guān)鍵網(wǎng)絡(luò)區(qū)域邊界部署防火墻，實(shí)現(xiàn)對(duì)區(qū)域邊界的訪問控制。訪問控制措施滿足以下功能需求：

a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；

b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)；

c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；

d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；

e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；

f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；

各安全區(qū)域針對(duì)自身業(yè)務(wù)特點(diǎn)設(shè)定訪問控制策略。

3、等保三級(jí)對(duì)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)有哪些功能上的要求？

安全審計(jì)是等級(jí)保護(hù)第三級(jí)要求建設(shè)的重要內(nèi)容，有必要在網(wǎng)絡(luò)層做好對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等要素的審計(jì)工作。審計(jì)系統(tǒng)需具備以下功能：

a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；

b)審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；

c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；

d)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。

綜合日志審計(jì)系統(tǒng)是運(yùn)維管理的重要組成部分，通過部署日志審計(jì)系統(tǒng)，能夠?qū)崿F(xiàn)等級(jí)保護(hù)第三級(jí)要求的網(wǎng)絡(luò)安全審計(jì)標(biāo)準(zhǔn)，保護(hù)日志記錄，并對(duì)日志進(jìn)行分析以生成審計(jì)報(bào)表，能夠?qū)υO(shè)備的運(yùn)行情況和用戶行為進(jìn)行全面記錄，有效提高對(duì)安全運(yùn)行和事件的監(jiān)控能力和追溯能力。

4、如何做好邊界完整性檢查？

第三級(jí)信息系統(tǒng)應(yīng)在區(qū)域邊界部署檢測(cè)設(shè)備實(shí)現(xiàn)探測(cè)非法外聯(lián)和非法內(nèi)聯(lián)的行為，完成對(duì)區(qū)域邊界的完整性保護(hù)。檢測(cè)需具備以下功能：

a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；

b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。

通過部署桌面終端安全管理系統(tǒng)和安全準(zhǔn)入網(wǎng)關(guān)，可有效實(shí)現(xiàn)以下邊界完整性檢查功能：

1.終端設(shè)備接入管理

• 對(duì)網(wǎng)絡(luò)中的終端的進(jìn)行注冊(cè)管理，根據(jù)設(shè)定的安全策略允許/禁止終端接入網(wǎng)絡(luò)，采集硬件設(shè)備信息、位置信息；

• 支持對(duì)客戶端MAC和IP地址的綁定管理，IP和主機(jī)名綁定，任意其中一個(gè)發(fā)生改變，系統(tǒng)將自動(dòng)報(bào)警，報(bào)警后自動(dòng)恢復(fù)原有IP配置；

• 支持對(duì)合法計(jì)算機(jī)IP地址使用的保護(hù)機(jī)制，對(duì)新接入設(shè)備占用他人IP地址的行為進(jìn)行自動(dòng)斷網(wǎng)，不影響合法計(jì)算機(jī)在網(wǎng)絡(luò)中的正常使用；

• 支持內(nèi)網(wǎng)完整性管理，對(duì)網(wǎng)絡(luò)中計(jì)算機(jī)的接入、帶出行為進(jìn)行報(bào)警，并能夠自動(dòng)阻斷違規(guī)行為。

2.非法外聯(lián)管理

• 支持監(jiān)控網(wǎng)絡(luò)中客戶端的非法外聯(lián)行為，實(shí)時(shí)檢測(cè)內(nèi)部網(wǎng)絡(luò)（包括物理隔離和邏輯隔離網(wǎng)絡(luò)）用戶通過調(diào)制解調(diào)器、ADSL、雙網(wǎng)卡等設(shè)備非法外聯(lián)互聯(lián)網(wǎng)行為，并遠(yuǎn)程告警或斷網(wǎng)；

• 支持監(jiān)控已注冊(cè)的設(shè)備網(wǎng)絡(luò)連接行為，如改變網(wǎng)絡(luò)地址接入其它網(wǎng)絡(luò)，根據(jù)接入網(wǎng)絡(luò)環(huán)境因素判定其是否非法接入其它網(wǎng)絡(luò)；

• 客戶端非法外聯(lián)支持詳細(xì)記錄非法上網(wǎng)計(jì)算機(jī)的名稱、單位、上網(wǎng)方式，可以在報(bào)警平臺(tái)和報(bào)警查詢中獲知信息，并且可以對(duì)客戶端進(jìn)行提示信息，自動(dòng)關(guān)機(jī)，斷網(wǎng)等處理；

• 支持是否允許使用代理服務(wù)器上網(wǎng)的控制。

5、如何做好網(wǎng)絡(luò)設(shè)備的防護(hù)？

第三級(jí)信息系統(tǒng)要求對(duì)設(shè)備的遠(yuǎn)程登錄使用雙因子認(rèn)證方式，需要符合如下管理要求：

a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；

b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；

c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；

d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；

e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；

f)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；

g)當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

h)應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。

6、面對(duì)入侵和不可預(yù)測(cè)的侵入，該如何防范？

防護(hù)入侵主要有兩種：入侵防御設(shè)備和入侵檢測(cè)設(shè)備，他們根據(jù)自身的特征庫(kù)對(duì)入侵行為進(jìn)行判斷并連動(dòng)防火墻做出相應(yīng)的阻斷或禁止的動(dòng)作，從而起到網(wǎng)絡(luò)防護(hù)入侵的目的。

7、多個(gè)子公司的網(wǎng)絡(luò)安全如何管理？

多個(gè)子公司的網(wǎng)絡(luò)安全通常采用帶vpn功能的防火墻做邊界防護(hù)，實(shí)現(xiàn)總公司與分公司之間的vpn專線點(diǎn)對(duì)點(diǎn)互聯(lián)，并且數(shù)據(jù)采用加密方式傳輸，密文傳輸?shù)臄?shù)據(jù)即使被非法獲取也是無法查看內(nèi)容的。

8、企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)如何打通，邊界需要布署什么安全防護(hù)設(shè)備？

首先從企業(yè)內(nèi)部來看互聯(lián)網(wǎng)應(yīng)用的數(shù)據(jù)庫(kù)最好保存在內(nèi)網(wǎng)上通過網(wǎng)閘供外網(wǎng)應(yīng)用服務(wù)器訪問，這樣可以提高數(shù)據(jù)的安全性，對(duì)于企業(yè)外部的用戶通過互聯(lián)網(wǎng)訪問這些應(yīng)用需要通過usbkey和密碼的雙重驗(yàn)證，驗(yàn)證通過后才允許訪問。

9、針對(duì)服務(wù)器區(qū)域如何做好安全防護(hù)網(wǎng)絡(luò)策略？

服務(wù)器托管在IDC機(jī)房，采購(gòu)了入侵檢測(cè)硬件設(shè)備但是沒有完全利用起來，操作系統(tǒng)有windows，linux系統(tǒng)。請(qǐng)問：不只是在入侵檢測(cè)設(shè)備做策略，包括服務(wù)器操作系統(tǒng)，軟件怎么做安全策略？

服務(wù)器區(qū)需要?jiǎng)澋桨踩珔^(qū)域中來，通過防火墻做訪問控制，web墻保護(hù)網(wǎng)站，同時(shí)啟動(dòng)網(wǎng)頁(yè)防篡改功能，服務(wù)器操作系統(tǒng)要定期更新補(bǔ)釘，安裝殺毒軟件，服務(wù)器通過專用的運(yùn)維主機(jī)訪問，訪問方式采用雙因子認(rèn)證，同時(shí)服務(wù)器要加入日志審計(jì)功能和數(shù)據(jù)庫(kù)審計(jì)。

10、對(duì)于中小型企業(yè)來說，沒有專職的搞安全的維護(hù)人員，如何做好網(wǎng)絡(luò)安全維護(hù)工作？

隨著云計(jì)算、大數(shù)據(jù)的高速發(fā)展，數(shù)據(jù)中心在規(guī)模、密度和復(fù)雜性上都有所增長(zhǎng)，企業(yè)都在尋找更有效的工具來降低成本，同時(shí)希望提高工作效率，減少能耗。傳統(tǒng)功能單一的數(shù)據(jù)中心基礎(chǔ)設(shè)施管理系統(tǒng)(DCIM)已難以應(yīng)付紛繁多變的網(wǎng)絡(luò)環(huán)境，動(dòng)力環(huán)境，成本壓力，企業(yè)內(nèi)部管理和運(yùn)維效率的優(yōu)化。因此，我們除了要有一款ODCC,CDCC和DCA所定義的 DCIM應(yīng)該有的功能外，我們還需要有一款能夠幫助數(shù)據(jù)中心或其他大型信息中心的管理者、經(jīng)營(yíng)者和運(yùn)維人員提高管理效率、資源利用率和工作流程，以及業(yè)務(wù)狀況的綜合管理系統(tǒng)。

11、網(wǎng)絡(luò)區(qū)域是否需要?jiǎng)澐諨MZ區(qū)，如果去掉會(huì)有哪些影響？

劃分DMZ區(qū)以后，一般只允許內(nèi)網(wǎng)或者外網(wǎng)訪問DMZ區(qū)，一旦DMZ區(qū)的服務(wù)器被攻擊，不會(huì)通過DMZ攻擊到內(nèi)網(wǎng)。

還有就是內(nèi)網(wǎng)的防護(hù)，放到DMZ區(qū)以后，內(nèi)網(wǎng)訪問DMZ區(qū)的服務(wù)器時(shí)可以做相應(yīng)的安全策略，比如只允許普通用戶訪問正常業(yè)務(wù)端口，而管理員可以訪問遠(yuǎn)程桌面、ssh、telnet等服務(wù)。

傳統(tǒng)的防火墻很大的一個(gè)意義就在于DMZ區(qū)，用來為網(wǎng)站設(shè)置一個(gè)安全區(qū)域來保證內(nèi)外網(wǎng)的訪問問題。

但是現(xiàn)在的情況又了一些變化，傳統(tǒng)防火墻的訪問列表只能限制到IP .端口以及協(xié)議，無法限制訪問行為。而現(xiàn)在更多的黑客攻擊都是針對(duì)80，25等這些業(yè)務(wù)端口實(shí)現(xiàn)的，所以傳統(tǒng)防火墻的規(guī)則很難應(yīng)對(duì)這些攻擊。一般都是建議針對(duì)WEB服務(wù)來添加WEB防火墻?；蛘呦乱淮阑饓磉M(jìn)行行為防護(hù)。

另外，DMZ區(qū)域在現(xiàn)在的這種情況，個(gè)人覺得還是保留的好。作為網(wǎng)站服務(wù)的一個(gè)獨(dú)立區(qū)域。避免從內(nèi)網(wǎng)直接開通映射到外網(wǎng) 。還是會(huì)減少一些安全的風(fēng)險(xiǎn)和管理上的麻煩的。

總結(jié)起來說。DMZ并不能完全解決現(xiàn)有的針對(duì)WEB的攻擊問題。但DMZ區(qū)有助于網(wǎng)絡(luò)的管理和規(guī)劃，也可以避免一些基礎(chǔ)的安全問題。比如病毒爆發(fā)等。

12、等保三級(jí)的安全怎樣做到安全與成本的兼顧？

等保三級(jí)要求的很多。不單單是設(shè)備的投入，還有整個(gè)管理流程。操作規(guī)范等等。而且對(duì)硬件的要求也比較明確。確實(shí)不太容易降低成本。

不過這種所謂的成本投入其實(shí)是相對(duì)的。很多企業(yè)之前欠缺了太多的安全設(shè)備、審計(jì)、歸檔、備份，因?yàn)橹皼]有，所以才覺得到了等保三級(jí)要投入很高。其實(shí)這些東西對(duì)于系統(tǒng)安全本就應(yīng)該有的。

等保三級(jí)測(cè)評(píng)合格是60分，這時(shí)成本是最低的，如果要做到100分成本一定是最高的，即使是60分也要做好以下的工作：

1、安全區(qū)域劃分

2、網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)方案

3、區(qū)域邊界訪問控制

4、網(wǎng)絡(luò)安全審計(jì)

5、邊界完整性檢查

6、入侵防范

7、網(wǎng)絡(luò)設(shè)備防護(hù)

8、系統(tǒng)運(yùn)維管理