等保適配解決方案

1、等保適配解決方案產(chǎn)品運(yùn)營中心 構(gòu) 建 可 控 的 互 聯(lián) 世 界目 錄CONTENTS01方案價值及優(yōu)勢等級保護(hù)2.0背景典型配置說明0304銷售推廣話術(shù)05等保2.0對標(biāo)方案02等保2.0發(fā)布背景傳統(tǒng)IT向新一代IT轉(zhuǎn)變需要企業(yè)構(gòu)建基于等保2.0的安全防御體系原等保1.0系列標(biāo)準(zhǔn)已不適應(yīng)新一代IT技術(shù)發(fā)展新一代關(guān)鍵基礎(chǔ)設(shè)施需要遵從等保2.0發(fā)揮可信體系在企業(yè)安全建設(shè)的關(guān)鍵作用隨著數(shù)字化經(jīng)濟(jì)發(fā)展，云計算、物聯(lián)網(wǎng)、人工智能、移動互聯(lián)網(wǎng)、大數(shù)據(jù)等新一代IT技術(shù)在各行各業(yè)廣泛應(yīng)用，現(xiàn)有1.0標(biāo)準(zhǔn)已經(jīng)不適用快速發(fā)展的信息技術(shù)，1.0在適用性、時效性、可操作性等方面存在缺陷；為適應(yīng)IT轉(zhuǎn)變，國際推遲27

2、000系列，美國推出NIST800-53系列，歐洲推出GDPR等新標(biāo)準(zhǔn)，我國仍在使用2008年的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全法明確國家采取等級保護(hù)制度，但等保1.0對網(wǎng)絡(luò)安全覆蓋不全面，不適應(yīng)云計算、移動互聯(lián) 、物聯(lián)網(wǎng)、工控等領(lǐng)域。移動互聯(lián)、物聯(lián)網(wǎng)等新業(yè)務(wù)大勢所趨，新IT面臨新威脅，傳統(tǒng)安全防護(hù)無法有效應(yīng)對，需按等保2.0指導(dǎo)思想重構(gòu)整體、主動、動態(tài)、精準(zhǔn)的安全防御體系，并實(shí)現(xiàn)三同步；等保2.0要求覆蓋通用設(shè)施、云計算、物聯(lián)網(wǎng)、工控、移動互聯(lián)等所有保護(hù)對象，并要求關(guān)鍵設(shè)施實(shí)施重點(diǎn)保護(hù)；關(guān)鍵基礎(chǔ)設(shè)施單位必須應(yīng)對用戶彈性接入、物理部署分散、通訊/計算/網(wǎng)絡(luò)等環(huán)境變化，從終端+網(wǎng)絡(luò)+業(yè)務(wù)數(shù)據(jù)三個維度出發(fā)，構(gòu)建“一中

3、心,三重防護(hù)”安全體系。網(wǎng)絡(luò)安全法明確支持推廣安全可信產(chǎn)品和服務(wù)；現(xiàn)有防護(hù)采用找漏洞、打補(bǔ)丁等傳統(tǒng)方式無法確保安全，必須落實(shí)安全可信，主動免疫，做到攻不進(jìn)去、非授權(quán)拿不到信息、竊密信息看不懂、系統(tǒng)和信息改不了、系統(tǒng)不癱瘓、攻擊行為賴不掉。安全通信網(wǎng)絡(luò)可信、安全區(qū)域邊界可信、安全計算環(huán)境可信。等保2.0標(biāo)準(zhǔn)架構(gòu)信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求第二部分云計算安全擴(kuò)展要求第三部分移動互聯(lián)安全擴(kuò)展要求第四部分物聯(lián)網(wǎng)安全擴(kuò)展要求第五部分工業(yè)控制系統(tǒng)擴(kuò)展要求大數(shù)據(jù)應(yīng)用擴(kuò)展要求第一部分安全通用要求等級一等級二等級三等級四安全通用要求為所有擴(kuò)展要求的基本原則，所有擴(kuò)展要求都是在通用要求基礎(chǔ)上的升華；云計

4、算使用范圍為“采用了云計算技術(shù)的信息系統(tǒng)”，云服務(wù)方、云租戶作為不同的定級對象分別定級；移動互聯(lián)使用范圍為“采用移動技術(shù)的信息系統(tǒng)”，主要包括移動終端、移動應(yīng)用、無線網(wǎng)絡(luò)以及相關(guān)應(yīng)用系統(tǒng)等；物聯(lián)網(wǎng)要求作為一個整體對象定級，主要包括感知層、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層等要素；工業(yè)控制主要由生產(chǎn)管理層、現(xiàn)場設(shè)備層、現(xiàn)場控制層和過程控制層組成，要求將設(shè)備層、現(xiàn)場層、過程監(jiān)控層作為一個整體定級，對于大型工業(yè)控制系統(tǒng)，可根據(jù)系統(tǒng)功能、控制對象、生產(chǎn)廠商等因素劃分多個定級對象；大數(shù)據(jù)擴(kuò)展要求為“資料性附錄”，即該標(biāo)準(zhǔn)并未正式實(shí)施，使用范圍為“采用了大數(shù)據(jù)技術(shù)的信息系統(tǒng)”，要求作為一個整體對象定級，或?qū)⑵渑c責(zé)任主

5、體相同的相關(guān)支撐平臺統(tǒng)一定級；等保2.0標(biāo)準(zhǔn)變化1243561.標(biāo)準(zhǔn)名稱及架構(gòu)的變化等級保護(hù)2.0將原信息安全等級保護(hù)改為網(wǎng)絡(luò)安全等級保護(hù)，與網(wǎng)絡(luò)安全法的相關(guān)法律條文保持一致。等保2.0技術(shù)層面以“一個中心，三重防護(hù)”，管理以“三個要素、兩項(xiàng)活動”依據(jù)劃分.2.標(biāo)準(zhǔn)內(nèi)容的變化等級保護(hù)2.0將等級保護(hù)基本要求橫向調(diào)整為安全通用要求、云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工控等五部分，并明確了關(guān)鍵基礎(chǔ)設(shè)施需要在滿足通用要求的基礎(chǔ)上，需要滿足擴(kuò)展要求；縱向擴(kuò)展了網(wǎng)絡(luò)安全等級保護(hù)測評技術(shù)指南、網(wǎng)絡(luò)安全保護(hù)安全管理中心技術(shù)要求、網(wǎng)絡(luò)安全等級測評機(jī)構(gòu)能力要求和評估規(guī)范等。3.定級流程的完善相比等級保護(hù)1.0增加自主定

6、級、專家評審、主管部門評審和公安機(jī)關(guān)備案審查定級工作一般流程，同時等保2.0對定級對象進(jìn)行了明確的規(guī)定，如在云計算環(huán)境中明確需將云服務(wù)方側(cè)的云計算平臺和云租戶側(cè)的等級保護(hù)對象作為不同的定級對象分別定級等4.安全保護(hù)等級定義的變化安全等級保護(hù)三級定義修改為：等級保護(hù)對象遭受破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害，或者對社會持續(xù)和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。6.標(biāo)準(zhǔn)控制點(diǎn)和要求項(xiàng)變化等保2.0在控制點(diǎn)要求上并沒有明顯增加，通過合并整合后相對舊標(biāo)準(zhǔn)略有縮減和優(yōu)化。由60分及格，提升到75分幾個，存在一票否決項(xiàng)，對技術(shù)人員提出更高要要求。5.控制措施分類機(jī)構(gòu)的變化

7、等級保護(hù)2.0基本要求仍是10個分類，包括技術(shù)要求和管理要求兩部分，其中技術(shù)要求包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心；管理要求包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。等保2.0測評內(nèi)容變化-整體注意：1、滿分100分，等保1.0符合是60分，等保2.0是75分2、每一個測評項(xiàng)的分?jǐn)?shù)最高是53、測評項(xiàng)的對象平均分*測評項(xiàng)全重/測評項(xiàng)權(quán)重之和*20=測評得分4、不符合的測評項(xiàng)需要減分等保測評內(nèi)容變化-技術(shù)要求變化分類測評內(nèi)容變化情況安全物理環(huán)境機(jī)房出入口必須配置電子門禁系統(tǒng)；機(jī)房必須設(shè)置并啟用防盜報警或設(shè)有專人值守的視頻監(jiān)控系統(tǒng)

8、；如果機(jī)房在樓頂或地下室，必須安裝水敏檢測裝置；通信電纜鋪設(shè)在隱蔽安全處，如橋架中；必須有防雷擊措施，如接地處理、防雷設(shè)施等；必須有機(jī)房防火設(shè)施，如自動消系統(tǒng)、耐火材料等；機(jī)房分區(qū)域進(jìn)行管理，區(qū)域之間設(shè)置隔離防火措施；機(jī)房必須防靜電，如防靜電地板、接地防靜電、佩戴防靜電手環(huán)等；機(jī)房必須考慮溫濕度控制，如專用空調(diào)，溫度度是否在允許范圍等；機(jī)房電力供應(yīng)要求，必須有穩(wěn)壓和過壓防護(hù)設(shè)備、UPS等后備電源、冗余或并行電纜。降低物理位置選擇要求，機(jī)房可設(shè)置在建筑樓頂或地下室，但需要加強(qiáng)相應(yīng)的防水防潮措施；降低了物理對訪問控制要求，不再要求人員值守出入口；降低了電力供應(yīng)的要求，不再要求必須配備后備發(fā)電機(jī)；安

9、全通信網(wǎng)路應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余；采用校驗(yàn)碼或密碼技術(shù)保證通信過程中數(shù)據(jù)完整性；采用密碼技術(shù)保證通信過程中書保密性；新增可信驗(yàn)證，對應(yīng)用程序關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，并將審計記錄送至安全管理中心。強(qiáng)化了網(wǎng)絡(luò)可用性、保密性和完整性的要求；新增了可信驗(yàn)證的要求；降低了帶寬控制的要求，不再要求必須進(jìn)行QOS控制；降低了安全訪問路徑、網(wǎng)絡(luò)會話控制、地址欺騙防范、撥號訪問權(quán)限限制等控制要求。安全區(qū)域邊界1）應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)；2）默認(rèn)情況下除允許通信的受控端口外拒絕所有通信；3）刪除多

10、余或無效的訪問控制規(guī)則，保證訪問控制規(guī)則列表數(shù)量最小化；4）采取技術(shù)措施能夠?qū)π滦途W(wǎng)絡(luò)攻擊行為進(jìn)行分析；5）對關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)、垃圾郵件進(jìn)行檢測和防護(hù)；6)對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為單獨(dú)進(jìn)行審計和數(shù)據(jù)分析；7)對應(yīng)用程序關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，并將審計記錄送至安全管理中心。強(qiáng)化了網(wǎng)絡(luò)訪問控制策略的控制要求，包括采用白名單方式、訪問控制策略數(shù)量最小化；強(qiáng)化了對個人網(wǎng)絡(luò)行為審計的要求；新增了無線網(wǎng)絡(luò)的使用要求；新增了對網(wǎng)絡(luò)攻擊，特別是對新型網(wǎng)絡(luò)攻擊行為的檢測分析要求；新增了對垃圾郵件的檢測和防護(hù)要求；新增了可信驗(yàn)證的要求。安全計算環(huán)境對應(yīng)用程序關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，并將審

11、計記錄送至安全管理中心；采用校驗(yàn)碼或密碼技術(shù)保障數(shù)據(jù)在傳輸和存儲過程中的保密性和完整性；要求提供實(shí)時異地備份，利用通信網(wǎng)絡(luò)實(shí)時備份至備份場地；應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余；應(yīng)僅采集和保存業(yè)務(wù)必須的用戶個人信息；應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息。新增了可信驗(yàn)證的要求；新增了數(shù)據(jù)完整性、數(shù)據(jù)保密性相關(guān)的要求；加強(qiáng)了對異地備份的要求；加強(qiáng)了重要系統(tǒng)可用性的要求；新增了個人信息保護(hù)方面的要求。等保測評內(nèi)容變化-技術(shù)要求變化分類測評內(nèi)容變化情況安全物理環(huán)境機(jī)房出入口必須配置電子門禁系統(tǒng)；機(jī)房必須設(shè)置并啟用防盜報警或設(shè)有專人值守的視頻監(jiān)控系統(tǒng)；如果機(jī)房在樓頂或地下室，必須安裝水敏檢測裝置；通信電纜

12、鋪設(shè)在隱蔽安全處，如橋架中；必須有防雷擊措施，如接地處理、防雷設(shè)施等；必須有機(jī)房防火設(shè)施，如自動消系統(tǒng)、耐火材料等機(jī)房分區(qū)域進(jìn)行管理，區(qū)域之間設(shè)置隔離防火措施；機(jī)房必須防靜電，如防靜電地板、接地防靜電、佩戴防靜電手環(huán)等機(jī)房必須考慮溫濕度控制，如專用空調(diào)，溫度度是否在允許范圍等機(jī)房電力供應(yīng)要求，必須有穩(wěn)壓和過壓防護(hù)設(shè)備、UPS等后備電源、冗余或并行電力線纜。降低物理位置選擇要求，機(jī)房可設(shè)置在建筑樓頂或地下室，但需要加強(qiáng)相應(yīng)的防水防潮措施；降低了物理對訪問控制要求，不再要求人員值守出入口；降低了電力供應(yīng)的要求，不再要求必須配備后備發(fā)電機(jī)；安全通信網(wǎng)路提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計算設(shè)備的硬件冗

13、余；采用校驗(yàn)碼或密碼技術(shù)保證通信過程中數(shù)據(jù)完整性；采用密碼技術(shù)保證通信過程中書保密性；新增可信驗(yàn)證，對應(yīng)用程序關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，并將審計記錄送至安全管理中心。強(qiáng)化了網(wǎng)絡(luò)可用性、保密性和完整性的要求；新增了可信驗(yàn)證的要求；降低了帶寬控制的要求，不再要求必須進(jìn)行QOS控制；降低了安全訪問路徑、網(wǎng)絡(luò)會話控制、地址欺騙防范、撥號訪問權(quán)限限制等控制要求。安全區(qū)域邊界應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)；默認(rèn)情況下除允許通信的受控端口外拒絕所有通信；刪除多余或無效的訪問控制規(guī)則，保證訪問控制規(guī)則列表數(shù)量最小化；采取技術(shù)措施能夠?qū)π滦途W(wǎng)絡(luò)攻擊行為進(jìn)行分析；對關(guān)鍵網(wǎng)絡(luò)節(jié)

14、點(diǎn)、垃圾郵件進(jìn)行檢測和防護(hù)；對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為單獨(dú)進(jìn)行審計和數(shù)據(jù)分析；對應(yīng)用程序關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，并將審計記錄送至安全管理中心。強(qiáng)化了網(wǎng)絡(luò)訪問控制策略的控制要求，包括采用白名單方式、訪問控制策略數(shù)量最小化；強(qiáng)化了對個人網(wǎng)絡(luò)行為審計的要求；新增了無線網(wǎng)絡(luò)的使用要求；新增了對網(wǎng)絡(luò)攻擊，特別是對新型網(wǎng)絡(luò)攻擊行為的檢測分析要求；新增了對垃圾郵件的檢測和防護(hù)要求；新增了可信驗(yàn)證的要求。安全計算環(huán)境對應(yīng)用程序關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，并將審計記錄送至安全管理中心；采用校驗(yàn)碼或密碼技術(shù)保障數(shù)據(jù)在傳輸和存儲過程中的保密性和完整性；要求提供實(shí)時異地備份，利用通信網(wǎng)絡(luò)實(shí)時備

15、份至備份場地；應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余；應(yīng)僅采集和保存業(yè)務(wù)必須的用戶個人信息；應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息。新增了可信驗(yàn)證的要求；新增了數(shù)據(jù)完整性、數(shù)據(jù)保密性相關(guān)的要求；加強(qiáng)了對異地備份的要求；加強(qiáng)了重要系統(tǒng)可用性的要求；新增了個人信息保護(hù)方面的要求。等保測評內(nèi)容變化-管理要求變化分類測評內(nèi)容變化情況安全管理中心明確“三元分離“的要求，對系統(tǒng)管理、審計管理、安全管理工作進(jìn)行明確劃分；劃分特定的管理區(qū)域，建立安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安全設(shè)備和安全組件進(jìn)行管控；對網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器等運(yùn)行狀況進(jìn)行集中監(jiān)控；對分散在各個設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總、分析，保證留

16、存時間符合法律要求；對安全策略、惡意代碼、補(bǔ)丁升級等事項(xiàng)進(jìn)行集中管理；對網(wǎng)絡(luò)中的安全時間進(jìn)行識別、報警和分析明確了三員分離的要求；加強(qiáng)集中管控的要求加強(qiáng)了對安全設(shè)備獨(dú)立分區(qū)管理的要求。安全管理制度將記錄表單納入信息安全管理制度體系中；刪除了關(guān)于制度中統(tǒng)一格式，版本控制、收發(fā)文管理等方面的要求；制度的評審和審核不再制定必須由信息安全領(lǐng)導(dǎo)小組組織開展。加強(qiáng)了對記錄表單的要求；降低了對安全管理制度的管理要求，如版本控制、收發(fā)文管理等；不再要求必須由信息安全領(lǐng)導(dǎo)小組組織制度的審定。安全管理機(jī)構(gòu)對于部門和崗位職責(zé)、分工以及技能要求等不再需要出臺制度，進(jìn)行實(shí)質(zhì)性要求；不再強(qiáng)調(diào)要求聘請信息安全專家作為常年信

17、息安全顧問；全面安全檢查不再要求必須由內(nèi)部人員或上級單位組織。降低了部門和崗位職責(zé)、分工和技能的實(shí)質(zhì)性要求；降低了對聘請信息安全專家方面的要求；降低了全面安全檢查的要求。安全管理人員外部人員進(jìn)入受控網(wǎng)絡(luò)訪問系統(tǒng)前先提出書面申請，批準(zhǔn)后由專人開設(shè)賬戶、分配權(quán)限，并登記備案；外部人員離場后及時清除其所有的訪問權(quán)限；獲得系統(tǒng)訪問授權(quán)的外部人員應(yīng)簽署保密協(xié)議，不得進(jìn)行非授權(quán)操作，不得復(fù)制和泄露任何敏感信息。加強(qiáng)了外部人員管理的要求安全建設(shè)管理要求保護(hù)對象根據(jù)自身等級及其保護(hù)對象之間的關(guān)系，進(jìn)行整體安全規(guī)劃和安全方案設(shè)計，設(shè)計中必須包含密碼技術(shù)相關(guān)內(nèi)容，最終形成配套文件；保證軟件開發(fā)過程中進(jìn)行安全性測試

18、，在安裝前進(jìn)行惡意代碼檢測；要求開發(fā)人員必須為專職人員，開發(fā)活動被控制、監(jiān)視、審查。開發(fā)人員不能同時擔(dān)任測試工作；必須通過第三方建立控制項(xiàng)目的實(shí)施過程；系統(tǒng)上線前必須開展安全性測試，測試內(nèi)容必須包含密碼應(yīng)用安全性測試，并出具報告。加強(qiáng)了系統(tǒng)整體安全規(guī)劃的要求；新增了密碼技術(shù)和密碼應(yīng)用安全測試的要求；加強(qiáng)了對于軟件開發(fā)人員的管控；新增了必須通過第三方監(jiān)理控制項(xiàng)目過程的要求。安全運(yùn)維管理應(yīng)定期開展安全測評，形成安全測評報告，采取措施應(yīng)對發(fā)現(xiàn)的安全漏洞；所有設(shè)備的配置信息保存在配置庫，配置信息的變更納入系統(tǒng)變更范疇，并及時更新配置庫；系統(tǒng)變更、系統(tǒng)新運(yùn)維工具的使用、遠(yuǎn)程維護(hù)、外部互聯(lián)等行為必須保存不

19、可更改的審計記錄；定期檢查外部連接、遠(yuǎn)程運(yùn)維以及無線上網(wǎng)行為是否已被審批和授權(quán)；明確要求外包運(yùn)維單位按照等級保護(hù)測評的要求開展工作，并在協(xié)議中明確其具備的能力。加強(qiáng)了對定期組織安全測評的要求，必須形成測評報告；新增了配置庫的相關(guān)要求；加強(qiáng)了重要系統(tǒng)運(yùn)維工作審計記錄的要求；加強(qiáng)了網(wǎng)絡(luò)中外部連接、無線上網(wǎng)等行為的管控；加強(qiáng)了對外包運(yùn)維管理的要求。目 錄CONTENTS01方案價值及優(yōu)勢等級保護(hù)2.0背景典型配置說明0304銷售推廣話術(shù)05等保2.0對標(biāo)方案02安全區(qū)域邊界-網(wǎng)絡(luò)接入控制VPN無線Portal接入802.1x接入HUB接入HUB接入EOU接入控制EOU接入控制EOU接入控制移動接入移

20、動終端筆記本臺式機(jī)桌面終端打印機(jī)遠(yuǎn)程分支機(jī)構(gòu)VPN接入筆記本臺式機(jī)基于應(yīng)用會話的安全接入LeagView后臺服務(wù)器備Radius移動接入網(wǎng)關(guān)準(zhǔn)入策略身份認(rèn)證源AD/LDAP主Radius無線802.1x接入NACC準(zhǔn)入網(wǎng)關(guān)網(wǎng)絡(luò)接入控制：UniNAC不但能夠?qū)Ψ鞘跈?quán)設(shè)備私自連接到內(nèi)部網(wǎng)絡(luò)得行為進(jìn)行檢查或限制，還提供802.1X、NACC、PORTAL等多種接入控制技術(shù)，適應(yīng)有線、無線、VPN等各種復(fù)雜網(wǎng)絡(luò)環(huán)境。高可用性設(shè)計：提供多重高可用設(shè)計，可大幅提升系統(tǒng)可靠性。等保三、四級：明確要求應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制 。安全區(qū)域邊界-非授權(quán)外聯(lián)端口管控網(wǎng)絡(luò)連接與監(jiān)測移動存

21、儲管理外設(shè)網(wǎng)絡(luò)設(shè)備移動設(shè)備光驅(qū)藍(lán)牙紅外有線無線互聯(lián)網(wǎng)智能設(shè)備U盤光驅(qū) 聯(lián)軟科技提供得非授權(quán)外聯(lián)控制功能可對內(nèi)部用戶非授權(quán)連接到外部網(wǎng)絡(luò)得行為進(jìn)行檢查、預(yù)警和阻斷。監(jiān)控外聯(lián)設(shè)備非法連接外網(wǎng)，如連接到互聯(lián)網(wǎng)、連接到其他網(wǎng)絡(luò)、連接到未安裝客戶端電腦、有線無線同時使用雙網(wǎng)卡。違規(guī)終端外聯(lián)阻斷、斷網(wǎng)、重啟、告警，如WiFi熱點(diǎn)移動存儲管理：禁用、授權(quán)使用、未授權(quán)拒絕使用等保三、四級要求：明確要求能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制。安全區(qū)域邊界-移動接入控制VPN無線Portal接入802.1x接入HUB接入HUB接入EOU接入控制EOU接入控制EOU接入控制移動接入移動終端筆記本臺式機(jī)

22、桌面終端打印機(jī)遠(yuǎn)程分支機(jī)構(gòu)VPN接入筆記本臺式機(jī)基于應(yīng)用會話的安全接入LeagView后臺服務(wù)器備Radius移動接入網(wǎng)關(guān)準(zhǔn)入策略身份認(rèn)證源AD/LDAP主Radius無線802.1x接入NACC準(zhǔn)入網(wǎng)關(guān)移動接入控制：聯(lián)軟科技UniEMM可針對移動終端，不但實(shí)現(xiàn)客戶端和服務(wù)端雙向認(rèn)證，并可保證跨界的訪問僅可通過安全網(wǎng)關(guān)受控接口進(jìn)行通信，并采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性和保密性。等保二、三、四級要求：明確要求有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)邊界之間的訪問和數(shù)據(jù)流通過無線接入網(wǎng)關(guān)設(shè)備，同時對數(shù)據(jù)傳輸保密性和完整性提出要求。安全區(qū)域邊界-資源訪問控制UniNAC準(zhǔn)入可聯(lián)動所有主流網(wǎng)絡(luò)設(shè)備動態(tài)下發(fā)訪問控制策

23、略，僅允許受控端口通信拒絕其他所有；UniEMM邊界網(wǎng)關(guān)支持動態(tài)訪問控制策略，僅允許受控接口通信，拒絕其他所有通信。端口級準(zhǔn)入控制： UniNAC和UniEMM訪問控制策略，用戶可自主設(shè)定源地址、目的地址、源端口、目的端口、協(xié)議等相關(guān)配置參數(shù)，可允許或拒絕數(shù)據(jù)包進(jìn)出。VPN無線Portal接入802.1x接入HUB接入HUB接入EOU接入控制EOU接入控制EOU接入控制移動接入移動終端筆記本臺式機(jī)桌面終端打印機(jī)遠(yuǎn)程分支機(jī)構(gòu)VPN接入筆記本臺式機(jī)基于應(yīng)用會話的安全接入LeagView后臺服務(wù)器備Radius移動接入網(wǎng)關(guān)準(zhǔn)入策略身份認(rèn)證源AD/LDAP主Radius無線802.1x接入NACC準(zhǔn)入

24、網(wǎng)關(guān)聯(lián)動網(wǎng)絡(luò)設(shè)備下發(fā)ACL等保二、三、四級：明確要求應(yīng)在網(wǎng)絡(luò)邊界根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控端口拒絕所有通信。并可對源地址、目的地址、源端口、目的端口和協(xié)議進(jìn)行檢查，可允許/拒絕數(shù)據(jù)包進(jìn)出。安全區(qū)域邊界-訪問控制列表最小化等保二、三、四級：應(yīng)刪除多余或無效的訪問控制列表，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化。內(nèi)網(wǎng)外網(wǎng)聯(lián)軟安渡病毒查殺內(nèi)容過濾審計審批聯(lián)軟安渡實(shí)時更新安全導(dǎo)入互聯(lián)網(wǎng)控制列表最小化：通過UniNXG數(shù)據(jù)安全擺渡設(shè)備實(shí)現(xiàn)數(shù)據(jù)安全交換，實(shí)現(xiàn)防火墻/網(wǎng)閘訪問控制列表最小化；策略有效性保障：集中管理后臺集中管理訪問控制策略，可在后臺刪除多余/無效的訪

25、問控制列表，確保訪問控制列表排序合理。安全區(qū)域邊界-入侵防御-外部網(wǎng)絡(luò)攻擊行為網(wǎng)絡(luò)智能防御系統(tǒng)外網(wǎng)交換機(jī)內(nèi)網(wǎng)用戶鏡像流量資產(chǎn)風(fēng)險與網(wǎng)關(guān)、防火墻設(shè)備聯(lián)動防御攻擊行為檢測異常流量檢測威脅情報判定主動防御檢測脆弱性檢測系統(tǒng)管理員威脅詳情外部網(wǎng)絡(luò)攻擊行為檢測：UniNID網(wǎng)絡(luò)智能防御系統(tǒng)旁路部署在網(wǎng)絡(luò)匯聚或核心交換等關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處，通過域名、協(xié)議、應(yīng)用數(shù)據(jù)對行為進(jìn)行深度檢測，提取可疑樣本，可及時發(fā)現(xiàn)網(wǎng)絡(luò)掃描、挖礦、漏洞利用、惡意軟件、DDoS攻擊、ShellCode攻擊、特洛伊木馬、蠕蟲、C&C攻擊、視頻協(xié)議漏洞攻擊、暴力破解（RDP等）等多種網(wǎng)絡(luò)攻擊行為外部網(wǎng)絡(luò)攻擊行為控制（看記錄、預(yù)警、阻斷）：U

26、niNID可記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時間等，并向管理員預(yù)警；也可阻斷內(nèi)部失陷主機(jī)橫向攻擊行為；也可與防火墻聯(lián)動阻斷外部網(wǎng)絡(luò)攻擊行為，避免風(fēng)險擴(kuò)散。橫向傳播等保二、三、四級：應(yīng)在所有關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖一處攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等網(wǎng)絡(luò)攻擊行為，確保規(guī)則庫或威脅情報庫更新到最新版本，三、四級明確要求記錄攻擊行為并預(yù)警，同時要求防止或限制從外部發(fā)起得網(wǎng)絡(luò)攻擊行為防火墻攻擊者縱向攻擊全區(qū)域邊界-入侵防御-內(nèi)部網(wǎng)絡(luò)攻擊行為文件服務(wù)器UniNID預(yù)警（SMS/Email）內(nèi)部網(wǎng)絡(luò)攻擊行為檢測：UniNID旁掛在匯聚或核心交換上，有

27、效抓取網(wǎng)絡(luò)流量，對接入、訪問、設(shè)備、流量等數(shù)據(jù)進(jìn)行采集，通過機(jī)器學(xué)習(xí)建模形成設(shè)備畫像，通過行為體征提取聚類、歷史比較等方式，及時發(fā)現(xiàn)視頻設(shè)備仿冒、非授權(quán)外聯(lián)、IP/MAC偽裝連接、異常訪問、異常在線時間、異常接入位置等異常行為：內(nèi)部網(wǎng)絡(luò)攻擊行為控制（含記錄、預(yù)警、阻斷）： UniNID可記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時間等，并向管理員預(yù)警；也可聯(lián)動準(zhǔn)入阻斷內(nèi)部失陷主機(jī)橫向攻擊行為。等保三、四級：明確要求應(yīng)在所有關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從內(nèi)部發(fā)起得網(wǎng)絡(luò)攻擊行為，并確保規(guī)則庫或威脅情報庫是最新版本。阻斷安全區(qū)域邊界-入侵防御-新型網(wǎng)絡(luò)攻擊行為網(wǎng)絡(luò)智能防御設(shè)備Internet幻影設(shè)備

28、或服務(wù)服務(wù)器幻影網(wǎng)絡(luò)三層交換機(jī)防火墻蜜罐12341234位于服務(wù)器或PC上的誘餌信息，腳本自動部署，如共享磁盤、密鑰庫等中等交互陷阱，模擬SSH、SMB、FTP等服務(wù)，轉(zhuǎn)發(fā)黑客行為到高交互蜜罐，獲取惡意文件。高交互陷進(jìn)，構(gòu)建蜜罐網(wǎng)絡(luò)，準(zhǔn)備若干虛擬機(jī)，安裝自有應(yīng)用，放置假數(shù)據(jù)，監(jiān)控攻擊行為隔離被滲透的服務(wù)器或PC微步威脅情報、McAfee、SOC等第三方安全產(chǎn)品集成集中管理平臺PC誘騙訪問流量導(dǎo)入二層交換機(jī)等保三、四級：明確要求應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)攻擊行為進(jìn)行分析，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為得分析。UniNID通過智能欺騙技術(shù)，通過高仿真設(shè)備作為誘餌，捕獲攻擊行為，通過中高交互陷阱對攻

29、擊行為和意圖進(jìn)行分析識別，并可與準(zhǔn)入、防火墻等設(shè)備聯(lián)動阻斷，防止風(fēng)險擴(kuò)散。安全區(qū)域邊界-惡意代碼防范惡意代碼防范：通過UniNXG數(shù)據(jù)安全擺渡設(shè)備可防止外網(wǎng)感染惡意代碼的文件導(dǎo)入內(nèi)網(wǎng)。惡意代碼更新：在確保隔離效果不變的情況下，通過UniNXG可確保惡意代碼庫在線更新，也可通過離線方式完成更新。辦公內(nèi)網(wǎng)辦公外網(wǎng)聯(lián)軟安渡病毒查殺內(nèi)容過濾審計審批聯(lián)軟安渡實(shí)時更新安全導(dǎo)入互聯(lián)網(wǎng)等保二、三、四級：明確要求在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對惡意代碼進(jìn)行檢測和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級和更新。安全區(qū)域邊界-安全審計安全審計：可對本地或遠(yuǎn)程每個接入的用戶進(jìn)行安全接入審計，也可對仿冒接入、非法外聯(lián)、DDOS攻擊等安全事

30、件進(jìn)行審計，審計記錄包括日期事件、用戶、事件類型、事件是否成功等信息，可留存?zhèn)浞萑龣?quán)分立：實(shí)現(xiàn)審計管理員、安全管理員、運(yùn)維管理員三員管理，避免審計記錄被刪除、篡改或覆蓋。你安全嗎身份認(rèn)證不合規(guī)請求接入合法用戶合規(guī)終端拒絕接入強(qiáng)制修復(fù)進(jìn)入隔離區(qū)動態(tài)授權(quán)終端安全外設(shè)管理數(shù)據(jù)保護(hù)你在做什么？你可以做什么？修復(fù)完畢終端安全檢查你是誰按照用戶部門或用戶所屬組設(shè)置訪問權(quán)限非法用戶等保二、三、四級：明確要求應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計，審計覆蓋到每個用戶，對重要行為和重要安全事件進(jìn)行審計，審計記錄包括事件的日期、時間、用戶、事件類型、事件是否成功等，并要求對審計記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、

31、修改或覆蓋。安全計算環(huán)境-PC終端安全-身份鑒別、默認(rèn)賬號禁止、惡意代碼防護(hù)等保二、三、四級：明確要求在安全計算環(huán)境中實(shí)現(xiàn)身份驗(yàn)證、默認(rèn)賬戶管理和惡意代碼防護(hù)身份鑒別：可以對終端登錄的用戶進(jìn)行身份標(biāo)識和鑒別，可確保終端登錄用戶身份標(biāo)識唯一性，并可對身份鑒別信息進(jìn)行復(fù)雜度檢查和加密傳輸防竊聽，另外還可對登錄失敗進(jìn)行處理，如登錄達(dá)多少次后鎖定、登錄連接超時退出等默認(rèn)賬戶管理：可檢查是否存在默認(rèn)賬戶和默認(rèn)賬戶的默認(rèn)口令，并協(xié)助管理員刪除默認(rèn)賬戶和修改默認(rèn)賬戶的默認(rèn)口令。惡意代碼防護(hù)：可檢查終端是否安裝了防惡意代碼軟件，并定級進(jìn)行升級和更新惡意代碼庫，可檢查識別入侵和病毒行為并將其有效阻斷。通過Uni

32、Access安全檢查可對賬戶身份進(jìn)行驗(yàn)證，發(fā)現(xiàn)系統(tǒng)中是否存在默認(rèn)賬戶，并禁止或刪除默認(rèn)賬戶。同時UniAccess安全檢查可對終端上的惡意軟件進(jìn)行檢查，發(fā)現(xiàn)其惡意代碼庫是否有效和保持更新。等保二、三、四級：明確要求在安全計算環(huán)境中實(shí)現(xiàn)安全審計功能?？梢愿采w每個客戶，可對用戶郵件外發(fā)、打印、拷貝等重要行為和重要事件進(jìn)行審計，審計記錄包括日期事件、用戶、事件類型、事件是否成功等相關(guān)信息，并可對審計記錄進(jìn)行保護(hù)，可定期備份，避免受到未預(yù)期的刪除、修改和覆蓋等。外設(shè)網(wǎng)絡(luò)移動存儲打印機(jī)藍(lán)牙紅外有線無線互聯(lián)網(wǎng)智能設(shè)備U盤光盤安全計算環(huán)境-PC終端安全-安全審計通過UniAccess對終端各種外發(fā)通道可實(shí)現(xiàn)

33、管控、審計、阻攔。同時UniDLP更可發(fā)現(xiàn)外發(fā)通道中傳輸?shù)拿舾行畔?，針對敏感信息的傳輸做更進(jìn)一步的操作并留存審計記錄。等保二、三、四級：明確要求在安全計算環(huán)境中實(shí)現(xiàn)入侵防范功能。可檢查終端是否遵循最小安裝原則，僅安裝需要的組件或應(yīng)用程序，可協(xié)助管理員檢查并并關(guān)閉終端系統(tǒng)不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口，可對管理終端地址范圍等進(jìn)行限制。安全計算環(huán)境-PC終端安全-入侵防范通過UniAccess終端標(biāo)準(zhǔn)化管理可對終端的軟件進(jìn)行卸載或安裝，服務(wù)、端口、共享禁用，可管理終端IP地址，防止用戶或黑客程序修改IP和MAC.等保二、三、四級：明確要求在安全計算環(huán)境中實(shí)現(xiàn)可信驗(yàn)證功能;基于可信根對計算機(jī)的

34、系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要參數(shù)和應(yīng)用程序進(jìn)行可信驗(yàn)證，驗(yàn)證結(jié)果可以上傳至集中管理平臺。安全計算環(huán)境-PC終端安全-可信驗(yàn)證Win10防火墻Win7Win8可信模板機(jī)區(qū)域（僅管理員UinAccess具有訪問權(quán)限）系統(tǒng)管理員UinAccess管理服務(wù)器堡壘機(jī)辦公網(wǎng)區(qū)域程序目錄程序提取MD5碼非法程序驗(yàn)證MD5禁止運(yùn)行存入MD5庫通過UniAccess可對可信區(qū)域模板機(jī)提取程序、程序目錄下所有文件、程序安裝過程中產(chǎn)生文件的MD5值，并存儲在管理服務(wù)器上，終端計算機(jī)僅能運(yùn)行MD5庫中經(jīng)過驗(yàn)證的程序。安全計算環(huán)境-PC終端安全-個人信息保護(hù)等保二、三、四級：明確要求在安全計算環(huán)境中實(shí)現(xiàn)個人信息保護(hù)功能

35、;可禁止未授權(quán)訪問和非法使用用戶個人信息。通過UniDLP數(shù)據(jù)防泄露可禁止未授權(quán)訪問和非法使用用戶個人信息。不因失竊等泄露個人信息和機(jī)密信息?？刂聘鞣N客戶信息、業(yè)務(wù)敏感數(shù)據(jù)等多種泄露途徑，從而防止數(shù)據(jù)外泄；安全計算環(huán)境-移動終端安全-邊界防護(hù)移動端云端加密傳輸聯(lián)軟APN管道端雙向證書校驗(yàn)非授權(quán)應(yīng)用非授權(quán)應(yīng)用等保 二、三、四級：明確要求對移動終端的接入安全要做到在邊界部署接入網(wǎng)關(guān)，對通過無線接入的終端進(jìn)行雙向接入認(rèn)證，并實(shí)現(xiàn)動態(tài)資源訪問控制。 安全計算環(huán)境-移動終端安全-入侵防范等保 二、三、四級：明確要求對移動終端的接入，能夠發(fā)現(xiàn)非授權(quán)移動終端的接入行為，并能夠阻斷非授權(quán)移動終端接入；另外，能

36、夠檢測無線接入設(shè)備SSID廣播、WPS等搞風(fēng)險功能的開啟狀態(tài)，并可關(guān)閉這些存在的高風(fēng)險功能。 安全計算環(huán)境-移動終端安全-移動終端管控 等保 二、三、四級：明確要求對移動終端的管控，可檢查并強(qiáng)制移動終端安裝、注冊并運(yùn)行移動終端客戶端軟件，并可對移動終端進(jìn)行遠(yuǎn)程控制及設(shè)備全生命周期管理，如遠(yuǎn)程鎖定、遠(yuǎn)程數(shù)據(jù)擦除等 安全計算環(huán)境-移動終端安全-移動應(yīng)用管控 輕應(yīng)用H5原生應(yīng)用應(yīng)用發(fā)布灰度發(fā)布應(yīng)用商店管理統(tǒng)一應(yīng)用權(quán)限管理（IAM） 按需安裝 靜默安裝應(yīng)用黑白名單等保 二、三、四級：明確要求對移動終端的應(yīng)用管控，要能通過應(yīng)用商店可選擇用戶需要的應(yīng)用安裝并運(yùn)行；可在移動終端只允許指定證書簽名的應(yīng)用軟件安

37、裝和運(yùn)行；提供軟件白名單功能，通過白名單功能控制應(yīng)用軟件安裝和運(yùn)行。 安全計算環(huán)境-移動終端安全-安全建設(shè)管理 等保 二、三、四級：明確要求對移動業(yè)務(wù)安全建設(shè)的管理，可以通過后臺發(fā)布軟件，確保軟件來自可靠分發(fā)渠道；可確保軟件由指定的開發(fā)者開發(fā)；可對應(yīng)用軟件開發(fā)者進(jìn)行資格審查，審查通過后軟件簽名發(fā)布，管理平臺可確保簽名證書合法性； 安全計算環(huán)境-移動終端安全-安全運(yùn)維管理 等保 二、三、四級：明確要求對移動業(yè)務(wù)的安全進(jìn)行運(yùn)維管理，管理員可建立無線接入設(shè)備和合法移動設(shè)備配置庫，并通過配置庫識別非法設(shè)備； 安全計算環(huán)境-服務(wù)器安全-身份鑒別/默認(rèn)帳號管理等保二、三、四級：明確要求在安全計算環(huán)境中實(shí)現(xiàn)

38、身份驗(yàn)證、默認(rèn)賬戶管理身份鑒別：可以對終端登錄的用戶進(jìn)行身份標(biāo)識和鑒別，可確保終端登錄用戶身份標(biāo)識唯一性默認(rèn)賬戶管理：可檢查是否存在默認(rèn)賬戶和默認(rèn)賬戶的默認(rèn)口令，并協(xié)助管理員刪除默認(rèn)賬戶和修改默認(rèn)賬戶的默認(rèn)口令。弱口令檢查暴力破解檢測策略合規(guī)檢查帳號梳理實(shí)時識別無用帳號/隱藏帳號定期檢測策略設(shè)置是否合規(guī)定期檢測是否存在弱口令實(shí)時監(jiān)控是否有暴力破解行為，帳號安全性安全檢查通過基線檢查、弱口令檢測功能，可以對服務(wù)器登錄的用戶進(jìn)行身份標(biāo)識和鑒別，可確保服務(wù)器登錄用戶身份標(biāo)識唯一性，并可對身份鑒別信息進(jìn)行復(fù)雜度檢查，通過帳號清單功能，能夠幫助用戶查找默認(rèn)帳號通過弱口令檢查功能，查找默認(rèn)賬戶的默認(rèn)口令安

39、全計算環(huán)境-服務(wù)器安全-入侵防范等保二、三、四級：明確要求在安全計算環(huán)境中實(shí)現(xiàn)入侵防范功能。可檢查終端是否遵循最小安裝原則，僅安裝需要的組件或應(yīng)用程序，可協(xié)助管理員檢查并并關(guān)閉終端系統(tǒng)不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。識別開啟高危端口（如445）的機(jī)器列表設(shè)備名稱設(shè)備IP本地端口協(xié)議WIN-V7BO4GL9HEQ39445TCPWIN-NPBB7CBMMAM6445TCPWIN-7QLAB35D1070445TCPWIN-R2BJSSH2VPL3445TCPWIN-VJKFP88TJPA25445TCPWIN-3ACP24E5BMS75445TCPWIN-S9QBP4L3B6K06445T

40、CPWIN-C85UV793FO108445TCPWIN-4JRVK4P0DE86445TCPjtcdfscvc11323030445TCPjtcdfscvc11323131445TCPWIN-4BC98SIH8DR33445TCPWIN-V7BO4GL9HEQ39445TCP勒索病毒風(fēng)險識別445端口共享服務(wù)KB補(bǔ)丁WIN2008KB4012598WIN2008R2KB4012212KB4012215WIN2012KB4012213KB4012214KB4012216KB4012217找到具有風(fēng)險的設(shè)備設(shè)備名稱設(shè)備IP服務(wù)名稱服務(wù)狀態(tài)啟動類型服務(wù)描述WIN-V7BO4GL9HEQ39Serv

41、er正在運(yùn)行禁用支持此計算機(jī)通過網(wǎng)絡(luò)的文件、打印、和命名管道共享。如果服務(wù)停止，這些功能不可用。如果服務(wù)被禁用，任何直接依賴于此服務(wù)的服務(wù)將無法啟動。WIN-NPBB7CBMMAM6Server正在運(yùn)行禁用WIN-7QLAB35D1070Server正在運(yùn)行禁用WIN-R2BJSSH2VPL3Server正在運(yùn)行禁用WIN-VJKFP88TJPA25Server正在運(yùn)行禁用WIN-3ACP24E5BMS75Server正在運(yùn)行禁用WIN-S9QBP4L3B6K06Server正在運(yùn)行禁用WIN-C85UV793FO108Server正在運(yùn)行禁用WIN-4JRVK4P0DE86Server正在運(yùn)

42、行禁用YYYXNYYZC105225Server未知禁用YYYXNYYZC104110Server未知禁用jtcdfscvc11323030Server正在運(yùn)行禁用WIN-V7BO4GL9HEQ39Server正在運(yùn)行禁用找到445端口服務(wù)狀態(tài)正在運(yùn)行的機(jī)器通過基線檢查功能，檢查服務(wù)器是否遵循最小按照原則，并能檢查出服務(wù)器不需要的系統(tǒng)服務(wù)、默認(rèn)端口和高危端口資產(chǎn)探測及漏洞檢測-安全計算環(huán)境-訪問控制/入侵防范（星云）訪問控制：等保二、三、四級要求，應(yīng)重命名或刪除默認(rèn)賬號，修改默認(rèn)賬戶的默認(rèn)口令星云SaaS 和私有化部署兩種模式。針對互聯(lián)網(wǎng)資產(chǎn)和內(nèi)網(wǎng)資產(chǎn)，執(zhí)行弱口令檢測掃描，識別出操作系統(tǒng)、網(wǎng)絡(luò)

43、設(shè)備、安全設(shè)備、數(shù)據(jù)庫、中間件等系統(tǒng)存在的默認(rèn)口令（弱口令賬戶），及時整改；入侵防范：等保二、三、四級要求，應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補(bǔ)漏洞。星云SaaS 和私有化部署兩種模式。針對互聯(lián)網(wǎng)資產(chǎn)和內(nèi)網(wǎng)資產(chǎn)，執(zhí)行資產(chǎn)探測、端口服務(wù)識別，發(fā)現(xiàn)目標(biāo)系統(tǒng)開放的不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。通過漏洞掃描功能，發(fā)現(xiàn)可能存在的已知漏洞，并提供漏洞結(jié)果的POC驗(yàn)證信息，協(xié)助安全人員確認(rèn)漏洞的真實(shí)性，為整改提供幫助。漏洞社區(qū)開源社區(qū)全球DNS數(shù)據(jù)第三方指紋庫自動化上線前安全評估資產(chǎn)發(fā)現(xiàn)與漏洞監(jiān)控掃描能力服務(wù)化Web管理平臺動態(tài)掃描

44、節(jié)點(diǎn)第三方掃描工具星云私有化部署控制引擎互聯(lián)網(wǎng)內(nèi)網(wǎng)發(fā)現(xiàn)星云SaaS資產(chǎn)探測及漏洞檢測-安全管理機(jī)構(gòu)-審核和檢查（星云）等保二、三、四級明確要求，應(yīng)定期進(jìn)行常規(guī)安全檢查：檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。掃描任務(wù)記錄掃描結(jié)果報告針對互聯(lián)網(wǎng)資產(chǎn)，星云SaaS服務(wù)執(zhí)行周期性掃描檢測任務(wù)。針對內(nèi)網(wǎng)資產(chǎn)，可由用戶自主執(zhí)行周期性掃描任務(wù)?？蓪?dǎo)出數(shù)據(jù)、生成風(fēng)險掃描報告，留存以備等級保護(hù)測評檢查。資產(chǎn)探測及漏洞檢測-安全建設(shè)管理-測試驗(yàn)收（星云）等保二、三、四級要求：明確要求在系統(tǒng)上線前，進(jìn)行上線前的安全性測試，并出具安全測試報告，安全測試報告應(yīng)包含密碼應(yīng)用安全性測試相關(guān)內(nèi)容（三、四級要求）

45、上線前掃描測試開發(fā)在開發(fā)測試區(qū)域，部署星云私有化版的掃描節(jié)點(diǎn)。利用星云的系統(tǒng)掃描功能、集成掃描能力（需集成測試環(huán)境使用的系統(tǒng)掃描或應(yīng)用掃描引擎），統(tǒng)一調(diào)度上線前安全性測試的掃描任務(wù)，進(jìn)行上線前的系統(tǒng)層和Web應(yīng)用層漏洞掃描，并出具安全測試報告。通過系統(tǒng)對接，可將安全掃描與開發(fā)測試過程無縫對接，實(shí)現(xiàn)安全測試的自動化與安全工作內(nèi)嵌。資產(chǎn)探測及漏洞檢測-安全運(yùn)維管理-漏洞和風(fēng)險管理（星云）全量資產(chǎn)，摸清家底常規(guī)檢查，風(fēng)險整改安全預(yù)警，快速排查漏洞應(yīng)急，準(zhǔn)確定位狀態(tài)跟蹤，閉環(huán)管理基于資產(chǎn)的漏洞和風(fēng)險管理：通過建立周期性的掃描任務(wù)，完善最新全量資產(chǎn)庫。執(zhí)行常規(guī)漏洞檢測可識別已知安全漏洞，并推動修補(bǔ)整改。

46、在高危漏洞爆發(fā)/重大安全威脅時，可根據(jù)漏洞/安全情報，執(zhí)行快速排查和POC掃描檢測，完成精準(zhǔn)識別，協(xié)助修改。漏洞跟蹤與閉環(huán)管理：管理員可以通過持續(xù)掃描，跟蹤漏洞修復(fù)進(jìn)度、更新狀態(tài)，實(shí)現(xiàn)閉環(huán)管理。等保二、三、四級明確要求：應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補(bǔ)漏洞。定期開展安全測評，形成安全測評報告，采取措施應(yīng)對發(fā)現(xiàn)的安全問題。目 錄CONTENTS01方案價值及優(yōu)勢等級保護(hù)2.0背景典型配置說明0304銷售推廣話術(shù)05等保2.0對標(biāo)方案02安全區(qū)域邊界等保合規(guī)適應(yīng)復(fù)雜網(wǎng)絡(luò)環(huán)境網(wǎng)絡(luò)安全可視化接入安全管理且可擴(kuò)展非授權(quán)內(nèi)聯(lián)檢查限制非授權(quán)外聯(lián)檢查限制移動接入控制端口級資源訪問控

47、制訪問控制列表最小化外部網(wǎng)絡(luò)攻擊行為發(fā)現(xiàn)控制內(nèi)部網(wǎng)絡(luò)攻擊行為發(fā)現(xiàn)控制新型網(wǎng)絡(luò)攻擊行為發(fā)現(xiàn)控制邊界文件傳輸通道（惡意代碼發(fā)現(xiàn)控制等）網(wǎng)絡(luò)安全審計各種網(wǎng)絡(luò)接入場景：支持802.1x、Portal、NACC網(wǎng)關(guān)等多種準(zhǔn)入控制技術(shù)，適用于LAN、WLAN、VPN、NAT、分支機(jī)構(gòu)接入等各類復(fù)雜環(huán)境多種部署模式：支持有代理、無代理終端部署模式，兼容各廠商網(wǎng)絡(luò)設(shè)備，準(zhǔn)入實(shí)施經(jīng)驗(yàn)豐富產(chǎn)品可靠性高：技術(shù)成熟穩(wěn)定，通過五重冗余保障技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入的高可用性，金融、企業(yè)、運(yùn)營商等各行各業(yè)案例多資產(chǎn)可視化：自動發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)，識別高價值資產(chǎn)，可視化展現(xiàn)資產(chǎn)的狀態(tài)、類型、位置、使用者等信息行為可視化：自動識別設(shè)備與用戶

48、行為，可視化展現(xiàn)訪問關(guān)系和使用習(xí)慣；攻擊可視化：智能識別網(wǎng)絡(luò)攻擊，可視化展現(xiàn)攻擊入侵路徑、橫向移動過程、攻擊方式等終端安全合規(guī)控制：強(qiáng)制式與自助引導(dǎo)式結(jié)合，根據(jù)終端安全基線要求智能引導(dǎo)用戶按步驟安全的接入網(wǎng)絡(luò)真正的最小授權(quán)：直接與網(wǎng)絡(luò)設(shè)備聯(lián)動，自動下發(fā)VLAN和ACL，安全控制粒度細(xì)，與安全助手結(jié)合可感知應(yīng)用類別，實(shí)現(xiàn)資源訪問控制主動防御安全對抗：生成大批量的幻影設(shè)備，并通過主動誘捕技術(shù)將攻擊行為引誘到幻影設(shè)備上一體化平臺：同一管控中心、同一Agent、統(tǒng)一管控策略、統(tǒng)一賬號管理、統(tǒng)一流程管理擴(kuò)展性強(qiáng)：可在同一平臺擴(kuò)展終端安全、數(shù)據(jù)防泄密、移動安全等功能模塊，支持未來大容量網(wǎng)絡(luò)審計數(shù)據(jù)查詢及分

49、析開放集成：提供第三方功能擴(kuò)展開發(fā)接口，可與用戶OA、AD、SOC、上網(wǎng)行為管理等系統(tǒng)集成聯(lián)動安全計算環(huán)境-PC終端安全等保合規(guī)安全可控程序可信數(shù)據(jù)保護(hù)終端安全審計終端身份鑒別終端賬號管理惡意代碼防護(hù)入侵防范程序可信驗(yàn)證個人信息保護(hù)多種安全技術(shù)實(shí)現(xiàn)終端的安全可控：采取主機(jī)防火墻、系統(tǒng)保護(hù)、應(yīng)用控制、身份鑒別、外設(shè)控制、終端安全檢查、終端標(biāo)準(zhǔn)化等防護(hù)措施，實(shí)現(xiàn)終端的安全可控。建立安全基線，提高整體的安全水準(zhǔn)；采取全過程的管理控制措施，確保終端“可信”。建立應(yīng)用、程序、文件的可信MD5庫對終端上啟動的應(yīng)用進(jìn)行驗(yàn)證，并確保無論終端在線、離線都受到管理和控制；防范惡意程序、病毒傳播對終端造成破壞和數(shù)據(jù)

50、竊取?？山刮词跈?quán)訪問和非法使用用戶個人信息。不因失竊等泄露個人信息和機(jī)密信息，；控制各種客戶信息、業(yè)務(wù)敏感數(shù)據(jù)等多種泄露途徑，從而防止數(shù)據(jù)外泄；對終端上敏感數(shù)據(jù)進(jìn)行安全隔離保護(hù)，數(shù)據(jù)外發(fā)需審批或加密處理；對敏感數(shù)據(jù)提供了水印和隱藏標(biāo)簽的多種追溯手段?？梢曰谏a(chǎn)網(wǎng)中的數(shù)據(jù)量級（行數(shù)、字?jǐn)?shù)、嵌套、圖片張數(shù)等）進(jìn)行數(shù)據(jù)的保護(hù)安全計算環(huán)境-移動終端安全等保合規(guī)邊界安全應(yīng)用數(shù)據(jù)安全安全業(yè)務(wù)融合接入控制傳輸加密入侵防范移動終端管控移動應(yīng)用管控安全建設(shè)管理安全運(yùn)維管理避免移動應(yīng)用直接開放給互聯(lián)網(wǎng)訪問端口，避免黑客攻擊，降低安全運(yùn)維成本數(shù)據(jù)存儲安全、數(shù)據(jù)復(fù)制、拍照等行為管控雙向訪問控制，且訪問者和資源之間

51、建立動態(tài)和細(xì)粒度的“業(yè)務(wù)訪問隧道”，所有業(yè)務(wù)只對可信的用戶和設(shè)備開放，建立基于應(yīng)用級的安全隧道，把網(wǎng)絡(luò)中未被授權(quán)的陌生訪問在TCP鏈接建立階段就是完全被屏蔽和拒絕的，將業(yè)務(wù)系統(tǒng)對非法用戶完全屏蔽，來減小網(wǎng)絡(luò)的被攻擊面統(tǒng)一入口，統(tǒng)一認(rèn)證，統(tǒng)一開發(fā)框架，提高業(yè)務(wù)部署效率，減少用戶開發(fā)工作量，實(shí)現(xiàn)終端自助管理，提升管理運(yùn)維效率安全計算環(huán)境-服務(wù)器安全可視化持續(xù)合規(guī)及時報警閉環(huán)管理資產(chǎn)、風(fēng)險、報警信息可視化展示，全面深入了解主機(jī)健康狀況定制化安全基線，持續(xù)化的合規(guī)檢查，讓不合規(guī)項(xiàng)第一時間暴露出來，不用再為安全檢查而慌亂第一時間精準(zhǔn)發(fā)現(xiàn)入侵攻擊行為，全面幫助客戶發(fā)現(xiàn)系統(tǒng)內(nèi)存在的安全風(fēng)險系統(tǒng)體系化安全運(yùn)維

52、流程，讓每一個問題都能分配給相關(guān)責(zé)任人，讓每個一問題都能得到閉環(huán)，降低對人的要求安全計算環(huán)境-資產(chǎn)探測及漏洞檢測等保合規(guī)SaaS-互聯(lián)網(wǎng)掃描私有化-內(nèi)網(wǎng)掃描其他優(yōu)勢默認(rèn)、弱口令檢測掃描共享和高危端口發(fā)現(xiàn)系統(tǒng)漏洞檢查上線前安全測試漏洞和風(fēng)險管理資產(chǎn)清晰，風(fēng)險掌控作業(yè)任務(wù)，閉環(huán)管理分布掃描，彈性擴(kuò)展基礎(chǔ)數(shù)據(jù)，上層治理摸清家底，持續(xù)監(jiān)控專家支持，及時整改特殊時期，重保無憂掃描場景：可適應(yīng)互聯(lián)網(wǎng)、大規(guī)模內(nèi)部網(wǎng)絡(luò)、工控網(wǎng)絡(luò)部署能力：掃描節(jié)點(diǎn)分布式部署，可快速擴(kuò)展掃描能力，不受硬件盒子的性能瓶頸制約檢測能力：資產(chǎn)指紋3000+，POC插件900+掃描速度：掃描引擎容器化，具備很強(qiáng)的大規(guī)模網(wǎng)絡(luò)掃描適應(yīng)能力用

53、戶自定義：支持資產(chǎn)指紋、掃描插件的用戶自定義，可快速適配客戶場景需要目 錄CONTENTS01方案價值及優(yōu)勢等級保護(hù)2.0背景典型配置說明0304銷售推廣話術(shù)05等保2.0對標(biāo)方案02安全區(qū)域邊界配置序號模塊型號可選項(xiàng)數(shù)量使用場景備注1聯(lián)軟安略安全管控平臺專用系統(tǒng)LV-7050、LV7200、LV7500、LV7900、LV-VM-11有代理準(zhǔn)入，一般針對PC、移動終端萬兆光模塊（選配）、非法外聯(lián)（必配）、訪客及外協(xié)人員管理（選配）、網(wǎng)絡(luò)準(zhǔn)入控制客戶端（必配）2UniNID無代理智能接入控制系統(tǒng)UNACC-5020、UNACC-5050、UNACC-5100、UNACC-5200、UNACC-

54、5500、UNACC-59001無代理準(zhǔn)入+輕代理準(zhǔn)入萬兆光模塊（選配）、非法外聯(lián)（必配）、設(shè)備指紋識別（必配）、移動存儲介質(zhì)管理（必配）、統(tǒng)一管理（超過2個節(jié)點(diǎn)配置）3UniEMM應(yīng)用層VPN安全網(wǎng)關(guān)UEMM-VM-1（或一體化）、UAPN-VM-1、UAPN-3005、EMM-Auth-1、EMM-Tunnel-11移動接入，安全傳輸用戶統(tǒng)一認(rèn)證中心模塊（必選）、企業(yè)移動端安全隧道許可（必選）、移動終端設(shè)備管理模塊（必選）、移動終端應(yīng)用管理模塊（必選）、移動終端防病毒模塊（可選）、移動終端數(shù)據(jù)管理模塊（必選）、移動終端安全瀏覽器模塊（可選）、移動終端水印模塊（必選）4聯(lián)軟UniNID網(wǎng)絡(luò)智

55、能防御系統(tǒng)UNACC-5021、UNACC-5101、UNACC-5201、UNACC-5501、UNACC-5901、UNACC-5021S（視頻）、UNACC-5101S、UNACC-5501S1內(nèi)部、外部、新型網(wǎng)絡(luò)攻擊行為檢測、預(yù)警及阻斷內(nèi)網(wǎng)漏洞檢測模塊（可選）、威脅情報庫1年服務(wù)（必選）5數(shù)據(jù)安全安全擺渡UNXG-2005、UNXG-2020、UNXG-2050、UNXG-2050S、UNXG-2100邊界文件傳輸通道UNXG-PatchEx（可選）、UNXG-AV-T（必選）、LS-HW-AV-T（可選）、UNXG-OA-1D（可選）安全計算環(huán)境-PC終端安全配置序號模塊型號可選項(xiàng)數(shù)

56、量使用場景備注1聯(lián)軟安略安全管控平臺專用系統(tǒng)LV-7050、LV7200、LV7500、LV7900、LV-VM-11有代理準(zhǔn)入，一般針對PC、移動終端萬兆光模塊（選配）、非法外聯(lián)（必配）、訪客及外協(xié)人員管理（選配）、網(wǎng)絡(luò)準(zhǔn)入控制客戶端（必配）2UniAccess終端安全管控系統(tǒng)UA-AM-1UA-MDM-1UA-MSP-1UA-SS-1UA-ES-1UA-WinGP-1UA-DevCtrl-11終端安全管理實(shí)現(xiàn)安全自檢、終端標(biāo)準(zhǔn)化、移動終端管理、違規(guī)外聯(lián)控制、組策略、注冊表安全控制等功能3UniDLP數(shù)據(jù)防泄露系統(tǒng)BDP-DLP-1UA-DLP-P-1UA-EmailCtrl-1UA-Scr

57、Ctrl-1UA-WaterPrt-1UA-FileTrace-1UA-BurnAudit1數(shù)據(jù)防泄露實(shí)現(xiàn)數(shù)據(jù)防泄露的敏感文件發(fā)現(xiàn)及各個通道的審計管控：USB、網(wǎng)絡(luò)行為、郵件、打印、文件讀寫操作、水印、文檔追蹤、光驅(qū)刻錄等通道的數(shù)據(jù)防泄露服務(wù)器安全管理序號產(chǎn)品型號可選項(xiàng)數(shù)量使用場景備注1服務(wù)器安全管理系統(tǒng)資產(chǎn)管理和基線管理功能補(bǔ)丁管理功能漏洞管理功能入侵檢測功能1企業(yè)傳統(tǒng)服務(wù)器的安全管理云化環(huán)境下的主機(jī)安全管理本地化部署資產(chǎn)探測及漏洞檢測配置（星云）序號產(chǎn)品型號可選項(xiàng)數(shù)量使用場景備注1互聯(lián)網(wǎng)安全監(jiān)控（星云SaaS）Web集成掃描開源社區(qū)安全監(jiān)控1互聯(lián)網(wǎng)資產(chǎn)安全狀況與風(fēng)險持續(xù)監(jiān)控開源社區(qū)敏感信息

58、泄漏監(jiān)控安全監(jiān)管迎檢自查重大活動安保自查SaaS服務(wù)2星云漏洞掃描系統(tǒng)（星云私有化）被動式掃描模塊1內(nèi)網(wǎng)分布式掃描平臺大型網(wǎng)絡(luò)全網(wǎng)資產(chǎn)探測與風(fēng)險發(fā)現(xiàn)內(nèi)網(wǎng)統(tǒng)一掃描平臺軟件部署目 錄CONTENTS01方案價值及優(yōu)勢等級保護(hù)2.0背景典型配置說明0304銷售推廣話術(shù)05等保2.0對標(biāo)方案02安全區(qū)域邊界1、如何用一句話向客戶介紹安全區(qū)域邊界控制解決方案？答復(fù)：通過聯(lián)軟科技安全區(qū)域邊界控制解決方案可實(shí)現(xiàn)非授權(quán)內(nèi)聯(lián)檢查限制、非授權(quán)外聯(lián)檢查限制、移動接入控制、端口級資源訪問控制、訪問控制列表最小化、外部/內(nèi)部/未知網(wǎng)絡(luò)攻擊行為發(fā)現(xiàn)控制、惡意代碼發(fā)現(xiàn)控制（文件交換通道）、網(wǎng)絡(luò)安全審計等，可全面滿足等保2.

59、0安全區(qū)域邊界合規(guī)控制項(xiàng)需要，且適應(yīng)用戶復(fù)雜網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)接入、入侵行為管控，未來通過同一管控平臺、同一agent實(shí)現(xiàn)終端、數(shù)據(jù)一體化管控。2、如何做等保商機(jī)挖掘與場景匹配？答復(fù)：第一步了解客戶是否有等保場景，如UniNAC/NID內(nèi)外網(wǎng)準(zhǔn)入控制（非授權(quán)內(nèi)聯(lián)檢查限制）、UniEMM移動終端準(zhǔn)入控制（非授權(quán)內(nèi)聯(lián)檢查限制）、UniAcces非授權(quán)外聯(lián)控制模塊（端口管控、網(wǎng)絡(luò)外聯(lián)、移動存儲介質(zhì)管理）、UniNAC/NID資源訪問控制（基于用戶端口級控制）、UniNID外部/內(nèi)部/未知網(wǎng)絡(luò)攻擊行為發(fā)現(xiàn)控制、惡意代碼發(fā)現(xiàn)控制（UniNXG）、LV7000網(wǎng)絡(luò)安全審計；第二步：收集需求，標(biāo)出用戶重點(diǎn)關(guān)注點(diǎn)

60、；第三步確定方案3、話術(shù)關(guān)鍵字參考答復(fù)：與客戶交流時要關(guān)注客戶說的一些關(guān)鍵字，如非授權(quán)設(shè)備私自連接內(nèi)網(wǎng)、內(nèi)部用戶非授權(quán)連接外網(wǎng)或互聯(lián)網(wǎng)、移動終端缺乏接入控制、訪問控制策略無效/難以管理、APT等未知攻擊行為難以發(fā)現(xiàn)、勒索病毒惡意代碼泛濫、內(nèi)部仿冒接入、無法對勒索病毒、掃描等攻擊行為進(jìn)行記錄審計、通過U盤等傳統(tǒng)方式實(shí)現(xiàn)文件交換等4、確定方案時關(guān)鍵注意點(diǎn)答復(fù)：根據(jù)與客戶交流的關(guān)鍵字，選擇合適的場景方案，如用戶關(guān)注非授權(quán)設(shè)備私自連接內(nèi)網(wǎng)，則推薦UniNAC，說明具體功能實(shí)現(xiàn)、價值5、成功案例有那些答復(fù)：根據(jù)選擇的等保場景方案，向用戶講解同行業(yè)的案例，例如，銀行客戶關(guān)注非授權(quán)設(shè)備私自連接內(nèi)網(wǎng)行為，可講