首页 最新文章网站安全正文

关于网络安全等级(3级)保护备案及测评工作的几点总结

经过近3个月的时间终于完成了网络安全等级(3级)的备案与测评工作

有必要总结一下,一是希望能够作为经验沉淀下来;二是通过梳理加深对网络安全的理解,抓住脉络好做到纲举目张;三是希望为以后的工作提供借鉴。


1、安全的事情可大可小,没出问题都是小事,出了问题就是大事儿,不能为了备案而备案,不菲的测评费一定要让它发挥最大价值。

2、你做的每个安全动作都会形成积累优势,它的作用可能当时没感觉,甚至许多年以后也感觉不到,但一定不是白做的,这次测评我深有体会,因为之前做的很多的安全防护工作是测评工作能够相对顺利完成的主要保证,应了那句话“出来混迟早要还”,曾经的付出也终会有回报,只是或早或晚。

3、云计算的优势凸显了出来,在没有系统管理员,安全工程师等传统企业必须配备的角色的情况下,可以把这些角色的工作承担下来,除了要有承担的决心,重要的是云计算使这种决心的实现成为了可能。

4、历史的问题必须有一个导火索引燃才可能彻底解决,有些问题是早就知道并且也知道解决起来比较棘手,所以总是以对业务影响较大为由搁置了起来,若不是借测评这个契机,恐怕也不会很快的提上日程,这应该归由于侥幸心理,是的,无论是哪个岗位,对安全的态度多是存侥幸心理的,总觉得怎么会发生在自己身上!?殊不知,我们用以日常消遣的发生在别人身上的故事说不定哪一天就成了发生在我们自己身上的事故。

5、最棘手的工作是安全组防火墙的边界的划定,在多年来形成的服务错综复杂,相互调用盘根错节的情况下,快刀斩乱麻是行不通的,因为既需要保证对既有业务的影响降到最低,又要达到安全等级提升的目的,只能采取分阶段、分批次,由易到难,由次到主的策略,边总结经验边实施的策略,只有经过前期问题虽然较多但是影响却较小的阶段,才能确保后期影响虽然较大但是问题变得较少,从而降低对业务的整体影响。

6、借此契机,对安全边界、各应用之间的相互调用,涉及到的端口、服务、配置方式、内外网、交换机、路由器、配置策略,ip网段等相关的知识和底层原理进行了广泛的学习和深入的理解,对此我总结出以下几点关键要素,可以说是安全组设置的葵花宝典,提前掌握了它,几乎不用再走弯路。

    ①同一个VPC专网内的机器所有端口内网都是互联互通的,不需要单独设置。

    ②经典网络之间互通需要单独开放端口,即使在同一个安全组,内网或者外网也需要分别放开。

    ③经典网路和专有网络之间如果使用了classiclink(对应的安全组互相授权),默认所有端口的内网都是互通的,不需要单独设置。

    ④无论是经典网络还是专有网络,如果想通过外网互连,需要单独放开对应的端口和外网ip。

    ⑤若把端口授权给另一个安全组,则另一安全组内的所有服务器可以通过内网访问此端口,外网不行(须单独授权)。

    ⑥不同vpc默认是无法互通的,可以使用云企业网组网实现互通。

    ⑦同一云企业网内的不同vpc默认可ping通(内外网地址均可),但特定端口默认是不通的,可以以安全组为对象进行授权,授权后,两安全组默认内网互通,但外网不通。

7、安全方面投入一般都是巨大的,就跟安全问题可大可小一样,不投入不一定有问题,投入了不一定用得上,也不一定没问题,归根结蒂全在“平衡”二字,在保持适当投入的情况下尽可能的提高安全级别,根据实际的业务场景不求面面俱到,但至少要做到该有的一个也不能少。涉及到花钱方面深有体会,总不自觉的在不同的产品,不同的配置之间比较来比较去,就看哪个更便宜,哪个性价比高,能少花一分是一分,这也算多年养成的习惯吧。

8、安全问题不是一劳永逸的,它是持续的,不断进化的且永无尽头的,是需要时刻保持警惕的,在网络安全、信息安全日益被重视的大背景下,安全防护的压力是日益加大的,但安全问题的价值是隐性的,安全人员的工作是隐秘的,只有成本是实实在在的,但又是不得不花的,否则可能就是在刀刃上跳舞的,做业务就若如履薄冰的。

9、管理制度也是重头戏,我是不爱东拼西凑、抄来抄去的,只有根据需要,根据要求把所思所想落实到一个个条款上,这样既符合实际,又能经得住查验,无论谁问都是一个口径,能确保一致性。

image.png

10、总结就不涉及太具体的技术性问题了吧,更多的还是一些思路和处理方式,毕竟先找对路子、才可能支起摊子,才不至于事倍功半。


是为总结!

#转载请注明出处!

评论

精彩评论
  • 2020-11-09 16:55:45

    文章写的很好啊,赞(ㆆᴗㆆ),每日打卡~~

觉得有用就打赏吧
关注本站公众号,享受更多服务!
联系方式
QQ:########
地址:中国·辽宁
Email:2727987445#qq.com
Copyright ©2015-2021.Powered by 云水客 | 网站地图 | 辽ICP备14000512号-5