随着国家主管机关对网络安全推动力度的加大,以及黑客们日益频繁的网络攻击,更重要的是2017年6月1日《网络安全法》的正式实施,市面上“等级保护”的合规需求日益增强。
但,其实相当多一部分客户并不是学网络安全的,甚至也不是计算机专业毕业的,在这种情况下,单位的等级保护工作怎么做?
于是,从前年底(没记错的话),市面上出现了多个版本的“等级保护套餐”,对于不少客户而言,这的确是一股东风!解决了很多客户对等级保护迷茫、不知所措的问题。
但是,现在也有一些预算不充足,或者对网络安全法、等级保护认识不足的信息系统运营单位,认准了市面上的“等级保护最低配置套餐”,认为这个就能过等级保护测评、多给推荐安全产品或安全服务的都是在忽悠。那么,游侠和大家聊一下,为什么不能全信这个套餐。
举个例子,场景是某市某局某网站:
网上多个版本的三级最低套餐都写的是“防火墙+IDS+网络版杀毒软件”,那么,针对网站这种Web应用,这三样,哪个能防范SQL注入、XSS跨站、文件上传等的攻击?以及Struts2、心脏出血等大杀器的攻击?传统的网络防火墙对应用层攻击就是个打酱油的;IDS纯粹旁路看热闹;多数市局网站也就1-3台服务器,往往还是Linux,请各位认真回答:有几个客户买了网络版Linux杀毒?10%?更低?
在这种场景下,如果成本极度紧张,个人建议装一套EDR(Endpoint Detection and Response,端点检测与响应)就搞定了!功能如下:
1、搞定了防火墙不能防范应用层攻击的问题;
2、化解了IDS不能阻断的尴尬;
3、解决了杀毒软件不擅长系统加固、挖矿防范的纠结。
买套EDR装在服务器上,比买那个“最低配置套餐”省钱多了!部署省心,还有正规厂家服务,管理员可以安心睡觉了是不是?
本来想多写一些的,但是考虑到今天是周末,大家可能都在吃肉、喝酒,就少写一点吧。给大家一点实践中的参考:
如果是内网,切不可像此前想的那样“我内网我安全”,此前永恒之蓝爆发,一些内网用户受损失很大,因为联网的计算机都打了补丁、升级了……但内网就……迷信“我内网我安全”是万万不可的!
如果是Web应用,买Web应用防火墙、EDR、网页防篡改,都比买台防火墙、IDS靠谱!(也许还得算上IPS)。一些下一代防火墙里面的WAF模块?呵呵……当然,比没有还是强一些的。
做等级保护,最重要的还是“根据业务谈加固”,任何不看场景的套餐都是耍流氓。也不要相信一些测评机构“保过”的话,为啥?看看下图:
有多家等级保护测评机构整改,甚至被取消资质!为什么?因为国家主管机构的管理越来越严格,以前找熟悉测评机构喝顿酒,适当给点测评费,就能盖章通过的日子一去不复返了。换种说法就是:市场正规了。
当然,“套餐”的积极作用也是不能抹杀的!游侠自己也经常给一些客户发各种套餐的链接、文章,因为等级保护建设往往具有较大的相似性,可借鉴性较强。
写这篇文章仅仅是为了谴责一小部分不按规则出牌的人。
作者:张百川(网路游侠)www.youxia.org 转载请注明来源!谢谢
