¿Está bien esperar hasta el nivel 3 de protección sin realizar una copia de seguridad externa?
1. Seguridad física:
La sala de ordenadores debe dividirse en dos partes: la sala de ordenadores principal y la zona de monitorización.
La sala de ordenadores debe estar equipada con un sistema de control de acceso electrónico, un sistema de alarma antirrobo y un sistema de monitorización;
La sala de ordenadores no debe tener ventanas y debe estar equipada con fuego de gas especial. extinción y generadores de respaldo;
2. Seguridad de la red:
Se debe trazar un diagrama de topología coherente con el funcionamiento actual;
La configuración de switches, firewalls y otros equipos deben cumplir requisitos, como división de Vlan y aislamiento lógico de Vlan, estrategia de control de tráfico Qos, estrategia de control de acceso, enlace IP/MAC de servidores y dispositivos de red importantes, etc.
Se deben equipar equipos de auditoría de red, detección de intrusiones o equipos de prevención;
Los mecanismos de autenticación de conmutadores y firewalls deben cumplir los mismos requisitos de seguridad, como políticas de complejidad de nombre de usuario y contraseña. acceso de inicio de sesión Mecanismo de manejo de fallas, roles de usuario y control de permisos, etc.
Los enlaces de red, los equipos de red central y los dispositivos de seguridad deben proporcionar diseños redundantes.
3. Seguridad del host:
La configuración propia del servidor debe cumplir con los requisitos, como mecanismo de autenticación de identidad, mecanismo de control de acceso, mecanismo de auditoría de seguridad, antivirus, etc. Si es necesario, puede comprar hosts de terceros y equipos de auditoría de bases de datos;
Los servidores (servidores de aplicaciones y bases de datos) deben ser redundantes, como respaldo activo en dos máquinas o implementación en clúster;
Es necesario escanear y evaluar las vulnerabilidades de los servidores y equipos de red importantes antes de conectarse, y no debe haber vulnerabilidades intermedias o superiores (como vulnerabilidades del sistema Windows, apache y otras vulnerabilidades de middleware, vulnerabilidades del software de bases de datos, otro software del sistema y vulnerabilidades de puertos, etc.);
Se debe equipar un servidor de registro dedicado para guardar los registros de auditoría del host y la base de datos.
4. Seguridad de la aplicación:
Las funciones de la propia aplicación deben cumplir los mismos requisitos de seguridad, como mecanismos de autenticación de identidad, registros de auditoría, cifrado de comunicación y almacenamiento, etc.
El departamento de aplicaciones debe considerar implementar equipos antimanipulación de páginas web;
La evaluación de seguridad de la aplicación (incluido el escaneo de seguridad de la aplicación, las pruebas de penetración y la evaluación de riesgos) no debe contener las vulnerabilidades mencionadas anteriormente. riesgo medio y alto (como inyección SQL, secuencias de comandos entre sitios, malware de sitios web, manipulación de páginas web, filtración de información confidencial, contraseñas débiles y adivinación de contraseñas, gestión de vulnerabilidades en segundo plano);
Registros generados por el sistema de la aplicación debe almacenarse en un servidor de registro dedicado superior.
5. Seguridad de los datos:
Se debe proporcionar un mecanismo de copia de seguridad local para los datos, del cual se debe hacer una copia de seguridad local todos los días y almacenarse fuera del sitio;
Si existe es un núcleo en el sistema. Para datos críticos, se debe proporcionar una función de copia de seguridad de datos remota para transmitir los datos a una ubicación remota para realizar una copia de seguridad a través de la red;