華為三級系統(tǒng)等級保護安全解決方案適用于制造業(yè)

1、華為等級保護三級系統(tǒng)安全解決方案Description文檔名稱華為等級保護三級系統(tǒng)安全解決方案目標提供三級系統(tǒng)安全保護方案目標客戶等級保護要求范圍下的中央企業(yè)客戶，可以擴展到政府，金融，電力等行業(yè)客戶關(guān)鍵信息等級保護基本信息簡介等級保護三級系統(tǒng)安全保護方案成功故事修訂記錄版本/日期修改描述作者/工號審核/工號部門V1.0_20110807文檔創(chuàng)建張迎慧/00126124賈照坤/90005009盧 熔/90006144MTS國內(nèi)銷服咨詢服務(wù)部宣講前請刪除此頁等級保護現(xiàn)狀等級保護需求分析華為等級保護安全方案成功案例目錄Page 4政府金融電力企業(yè)2011年1月建行一周四曝系統(tǒng)安全安全性遭疑，儲戶不

2、滿2010年11月上交所交易系統(tǒng)出現(xiàn)技術(shù)故障，導(dǎo)致主機系統(tǒng)癱瘓3小時2009年8月 XX政府建設(shè)廳網(wǎng)站被惡意掛馬2009年9月 XX政府科技廳網(wǎng)站被惡意篡改2003年4月 外國工程調(diào)式設(shè)備將病毒帶至電網(wǎng)調(diào)度系統(tǒng)，造成大面積癱瘓2006年7月 XX電網(wǎng)XX機密信息提前泄露2011年7月 77% 企業(yè)機構(gòu)數(shù)據(jù)遭泄密行業(yè)信息安全事件等級保護背景介紹-發(fā)展歷程信息安全等級保護是基本制度、基本國策、基本方法信息安全等級保護是黨中央國務(wù)院決定在信息系統(tǒng)安全領(lǐng)域?qū)嵤┑幕緡咝畔踩燃壉Ｗo是國家信息安全保障工作的基本制度信息安全等級保護是國家信息安全保障工作的基本方法Page 5中華人民共和國計算機信息系

3、統(tǒng)安全保護條例 (1994年2月18日中華人民共和國國務(wù)院令147號發(fā)布)2003年9月中辦國辦頒發(fā)關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）2004年11月四部委會簽關(guān)于信息安全等級保護工作的實施意見（公通字200466號）2005年9月國信辦文件 關(guān)于轉(zhuǎn)發(fā)電子政務(wù)信息安全等級保護實施指南的通知 （國信辦200425號）2006年1月四部委會簽 關(guān)于印發(fā)信息安全等級保護管理辦法的通知 （公通字20067號）2007年6月公安部、保密局、國密局、國信辦聯(lián)合印發(fā)信息安全等級保護管理辦法（公通字200743號 ）2007年7月關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知 （公信安

4、2007861號）2008年發(fā)布GB/T 222392008 信息系統(tǒng)安全等級保護基本要求、GB/T 222402008 信息系統(tǒng)安全等級保護定級指南2009年公安部發(fā)文關(guān)于開展信息系統(tǒng)等級保護安全建設(shè)整改工作的指導(dǎo)意見（公信安20091429號）2010年3月公安部發(fā)文關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知（公信安303號）起步階段發(fā)展階段推行階段Page 6整改金融：生產(chǎn)系統(tǒng)和重要管理系統(tǒng)：3級辦公系統(tǒng) 2級電力：實時調(diào)度系統(tǒng)：4級信息管理系統(tǒng)：3級信息委：政務(wù)專網(wǎng)數(shù)據(jù)系統(tǒng)：3級政務(wù)專網(wǎng)辦公系統(tǒng)：2級央企：國資委 2010定級國資委關(guān)于進一步推進中央企業(yè)信息安全等級保

5、護工作的通知 信息委，稅務(wù)、金融，電力整改完畢，測評檢查中定級等級保護建設(shè)社保，廣電，教育整改進行中測評檢查行業(yè)等級保護整改現(xiàn)狀等級保護安全建設(shè)參考政策和標準Page 7中華人民共和國計算機信息系統(tǒng)安全保護條例(國務(wù)院147號令)國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見(中辦發(fā)200327 號)關(guān)于信息安全等級保護工作的實施意見（公通字200466號）信息安全等級保護管理辦法（公通字200743號)關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知（公信安2007861號）信息安全等級保護備案實施細則（公信安20071360號）公安機關(guān)信息安全等級保護檢查工作規(guī)范（公信安2008736

6、號）關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知（發(fā)改高技20082071號）關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見(公信安20091429號)等級保護政策要求計算機信息系統(tǒng) 安全等級保護劃分準則信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南信息安全技術(shù) 信息系統(tǒng)安全保護等級定級指南信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求等級保護技術(shù)標準物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)

7、運維管理等級保護基本要求框架等級保護安全建設(shè)思路Page 9選擇測評機構(gòu)系統(tǒng)等級測評第四步：等級測評安全管理建設(shè)安全技術(shù)建設(shè)第三步：安全實施建設(shè)方案設(shè)計建設(shè)方案評審第二步：方案設(shè)計差距分析風(fēng)險分析第一步：需求分析等級保護現(xiàn)狀等級保護需求分析華為等級保護安全方案成功案例目錄等級保護安全建設(shè)需求來源Page 11信息系統(tǒng)定級 差距分析 識別關(guān)鍵信息資產(chǎn) 識別威脅識別信息系統(tǒng)弱點 風(fēng)險分析信息系統(tǒng)安全風(fēng)險等級保護基本要求安全建設(shè)需求企業(yè)IT架構(gòu)面臨的主要安全風(fēng)險Page 12外聯(lián)前置系統(tǒng)核心業(yè)務(wù)系統(tǒng)一般業(yè)務(wù)系統(tǒng)網(wǎng)管系統(tǒng)外聯(lián)網(wǎng)普通業(yè)務(wù)終端核心業(yè)務(wù)終端外聯(lián)單位對外服務(wù)系統(tǒng)Internet病毒、蠕蟲、木馬

8、、后門、間諜軟件等惡意代碼非授權(quán)訪問資源、篡改網(wǎng)絡(luò)配置信息網(wǎng)絡(luò)探測、漏洞探測和信息采集拒絕服務(wù)、系統(tǒng)運行的控制和破壞用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞互聯(lián)網(wǎng)邊界風(fēng)險系統(tǒng)內(nèi)部的病毒，通過內(nèi)部網(wǎng)絡(luò)、U盤等的傳播，影響系統(tǒng)的完整性及可用性濫用權(quán)限過度使用系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)維護錯誤、操作失誤安全管理風(fēng)險病毒、蠕蟲、木馬、后門、間諜軟件等惡意代碼非授權(quán)訪問資源、篡改網(wǎng)絡(luò)配置信息、篡改安全配置信息、篡改用戶身份信息、篡改業(yè)務(wù)數(shù)據(jù)信息網(wǎng)絡(luò)探測、漏洞探測、信息采集、嗅探（帳號、口令、敏感數(shù)據(jù)等）系統(tǒng)運行的控制和破壞、內(nèi)部信息泄露濫用權(quán)限過度使用系統(tǒng)資源、濫用權(quán)限非正常修改系

9、統(tǒng)配置或數(shù)據(jù)維護錯誤、操作失誤內(nèi)網(wǎng)服務(wù)器側(cè)風(fēng)險外聯(lián)網(wǎng)邊界風(fēng)險內(nèi)網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施風(fēng)險設(shè)備硬件故障，影響網(wǎng)絡(luò)設(shè)備的可用性蠕蟲通過系統(tǒng)內(nèi)部網(wǎng)絡(luò)及U盤等傳播，導(dǎo)致網(wǎng)絡(luò)擁塞甚至癱瘓，影響網(wǎng)絡(luò)可用性嗅探獲取明文傳輸?shù)挠脩裘?、口令及敏感?shù)據(jù)內(nèi)部人員登陸網(wǎng)絡(luò)設(shè)備，修改配置及網(wǎng)絡(luò)安全，影響網(wǎng)絡(luò)的可用性內(nèi)部維護人員操作時輸入錯誤指令或路由配置錯誤，影響配置的完整性及網(wǎng)絡(luò)的可用性病毒、蠕蟲、木馬、后門、間諜軟件等惡意代碼網(wǎng)絡(luò)探測、漏洞探測和信息采集用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞等級保護安全建設(shè)要求-技術(shù)Page 13物理安全應(yīng)用安全網(wǎng)絡(luò)安全主機安全數(shù)據(jù)安全對機房分區(qū)域管理，出入由專用設(shè)施進行控制，具備

10、監(jiān)控、防盜報警設(shè)施具備防雷設(shè)施，自動檢測火災(zāi)、水災(zāi)發(fā)生并報警，有適當(dāng)?shù)臏缁鹪O(shè)備具備接地、防靜電地板等防靜電措施和自動調(diào)控溫濕度的設(shè)施配備不間斷電源和備份供電系統(tǒng)，設(shè)備的電磁屏蔽進行安全域劃分，邊界處具備防火墻、惡意代碼防護、邊界完整性保護、入侵檢測等控制措施對網(wǎng)絡(luò)設(shè)備運行、網(wǎng)絡(luò)流量等基本情況進行記錄、分析，并形成報表，保護審計記錄不被刪除和篡改設(shè)備登錄雙因素驗證，特權(quán)用戶權(quán)限分離對用戶行為、系統(tǒng)異常情況等進行記錄、分析，并形成報表，保護審計記錄不被刪除和篡改系統(tǒng)安裝遵循最小授權(quán)原則、設(shè)置服務(wù)器及時更新，對入侵行為進行檢測、報警和記錄對惡意代碼進行統(tǒng)一管理，與網(wǎng)絡(luò)處的惡意代碼防范產(chǎn)品異構(gòu)設(shè)備登錄

11、雙因素驗證，限制用戶對系統(tǒng)資源的訪問，實現(xiàn)不同系統(tǒng)用戶的權(quán)限分離，用戶的權(quán)限最小化系統(tǒng)登錄雙因素驗證，實現(xiàn)用戶的權(quán)限最小化對用戶行為、安全事件進行記錄，并能夠統(tǒng)計、分析、并生成報表對存放鑒別信息、文件、記錄等存儲空間進行重新使用前的清除確保數(shù)據(jù)的完整性，通信過程整個報文或會話過程信息加密限制單個用戶或單位時間會話數(shù)量、最大并發(fā)會話數(shù)量保證鑒別信息、重要業(yè)務(wù)數(shù)據(jù)、系統(tǒng)管理數(shù)據(jù)的傳輸完整性，能檢測，能恢復(fù)保證系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸和存儲的保密性本地完全數(shù)據(jù)備份，重要數(shù)據(jù)異地備份具備冗余網(wǎng)絡(luò)拓撲等級保護安全建設(shè)要求-管理Page 14安全管理制度系統(tǒng)建設(shè)管理安全管理機構(gòu)人員安全管

12、理系統(tǒng)運維管理特定部門制定信息安全管理制度，包括：總體方針、安全策略、操作規(guī)程等對制度的文件格式、發(fā)布范圍、方式進行控制定期對管理制度進行評審成立安全領(lǐng)導(dǎo)小組、設(shè)置信息安全職能部門和專職安全管理員明確授權(quán)和審批職責(zé)、審批形式和規(guī)程，并進行記錄和審查與相關(guān)機構(gòu)內(nèi)部門及外界組織進行溝通建立安全檢查制度，明確檢查周期、內(nèi)容、負責(zé)人、流程、結(jié)果處理等對錄用人員背景、身份、專業(yè)等進行審查，并對技能進行考核，與全部員工簽署保密協(xié)議規(guī)范離崗過程，對離崗人員進行設(shè)備歸還和權(quán)限中止人員定期進行技能考核，并進行后續(xù)處置建立培訓(xùn)制度，對不同崗位人員進行安全培訓(xùn)建立外部人員訪問制度，要求得到書面授權(quán)和審批，并有人員全

13、程陪同對信息系統(tǒng)定級并論證，對安全建設(shè)進行規(guī)劃和設(shè)計，且通過論證和批準，產(chǎn)品采購進行選型測試信息系統(tǒng)要及時備案和測評工程實施、驗收和系統(tǒng)交付管理制度化，工程驗收委托第三方測試選擇那些已獲得國家的相關(guān)規(guī)定服務(wù)商，并簽訂相關(guān)的安全協(xié)議安全檢查、安全事件處置、惡意代碼管理、備份和恢復(fù)、密碼使用、系統(tǒng)變更、介質(zhì)管理、設(shè)備使用過程，機房出入管理，辦公環(huán)境保密，資產(chǎn)管理，帶離設(shè)備控制規(guī)范化、制度化；建立安全管理中心，對各種安全事項和監(jiān)測結(jié)果進行集中監(jiān)控和管理等級保護安全建設(shè)需求Page 1531542等保安全建設(shè)需求完善基礎(chǔ)安全技術(shù)措施安全域劃分建設(shè)安全管理中心建立安全組織完善安全制度等級保護現(xiàn)狀等級保護

14、需求分析華為等級保護安全方案成功案例目錄安全策略信息安全組織資產(chǎn)管理訪問控制人力資源安全物理和環(huán)境安全通信和操作安全信息系統(tǒng)獲取開發(fā)和維護信息安全事件管理業(yè)務(wù)連續(xù)性管理符合型華為等級保護解決方案主要思想Page 17咨詢服務(wù)Text in hereText in here保障業(yè)務(wù)完整性，可用性，機密性符合等級保護法規(guī)的要求方案產(chǎn)品一級二級三級四級五級安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理物理安全網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全安全管理中心邊界安全通信網(wǎng)絡(luò)安全計算環(huán)境安全等級保護技術(shù)方案 框架設(shè)計思想Page 18安全管理中心安全邊界通信網(wǎng)絡(luò)計算環(huán)境核心信息資產(chǎn)通信網(wǎng)絡(luò)安全

15、關(guān)鍵設(shè)備與鏈路冗余傳輸信息加密計算環(huán)境安全系統(tǒng)加固補丁管理病毒，木馬防護安全管理中心全網(wǎng)設(shè)備統(tǒng)一管理海量日志分析，風(fēng)險預(yù)警安全事件快速響應(yīng)All phrases can be replaced with your own text.安全邊界互聯(lián)網(wǎng)邊界安全內(nèi)網(wǎng)安全域邊界安全參考信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計 技術(shù)要求物理環(huán)境物理安全域及子域建設(shè)方案及措施物理位置的選擇物理位置選址及樓層的選擇。物理訪問控制進行人員配備，制定管理制度。對進出人員采用陪同或監(jiān)控設(shè)備進行限制和監(jiān)控。劃分機房區(qū)域，加強對區(qū)域的管理和重要區(qū)域控制力度。防盜竊和防破壞進行制定防盜竊防破壞相關(guān)管理制度。進行光、電技術(shù)防盜

16、報警系統(tǒng)的配備。防雷擊進行設(shè)置防雷保安器，防止感應(yīng)雷。防火進行消防、耐火、隔離等措施建設(shè)。防水和防潮進行防水檢測儀表的安裝使用。防靜電按照基本要求進行建設(shè)。安裝防靜電地板。溫濕度控制配備空調(diào)系統(tǒng)。電力供應(yīng)配備穩(wěn)壓器和過電壓防護設(shè)備；配備UPS系統(tǒng)設(shè)置冗余或并行的電力電纜線路，建立備用供電系統(tǒng)；電磁防護按照基本要求進行接地，暫時無需電磁屏蔽措施。物理安全計算環(huán)境安全安全管理中心通信網(wǎng)絡(luò)安全邊界安全物理安全安全服務(wù)計算環(huán)境安全外聯(lián)前置系統(tǒng)核心業(yè)務(wù)系統(tǒng)一般業(yè)務(wù)系統(tǒng)普通業(yè)務(wù)終端核心業(yè)務(wù)終端對外服務(wù)系統(tǒng)核心業(yè)務(wù)區(qū)普通業(yè)務(wù)區(qū)外聯(lián)前置區(qū)DMZ區(qū)SACG網(wǎng)管區(qū)CA中心E1000E-X標準的安全域劃分，控制風(fēng)險

17、范圍；CA認證中心雙因素身份認證管理；Norton防病毒軟件防止終端感染病毒，木馬；Norton病毒庫自動更新抵御零日攻擊；TSM補丁分發(fā)系統(tǒng)簡化系統(tǒng)安全更新流程；iSoc收集服務(wù)器，數(shù)據(jù)庫操作上傳日志審計；Norton防病毒軟件防止終端感染病毒，木馬；Norton病毒庫自動更新抵御零日攻擊；TSM安全策略檢查確保終端最佳安全狀態(tài)；TSM補丁分發(fā)系統(tǒng)簡化系統(tǒng)安全更新流程；防病毒，補丁服務(wù)器2、終端計算環(huán)境安全1、服務(wù)器計算環(huán)境安全計算環(huán)境安全安全管理中心通信網(wǎng)絡(luò)安全邊界安全物理安全服務(wù)器、工作站配置差距分析和加固；數(shù)據(jù)庫配置差距分析和加固；應(yīng)用配置差距分析和加固；系統(tǒng)滲透測試；安全漏洞掃描；3

18、、服務(wù)器計算環(huán)境安全加固安全服務(wù)計算環(huán)境安全外聯(lián)前置系統(tǒng)核心業(yè)務(wù)系統(tǒng)一般業(yè)務(wù)系統(tǒng)普通業(yè)務(wù)終端核心業(yè)務(wù)終端對外服務(wù)系統(tǒng)核心業(yè)務(wù)區(qū)普通業(yè)務(wù)區(qū)外聯(lián)前置區(qū)DMZ區(qū)SACG網(wǎng)管區(qū)CA中心E1000E-X標準的安全域劃分，控制風(fēng)險范圍；CA認證中心雙因素身份認證管理；Norton防病毒軟件防止終端感染病毒，木馬；Norton病毒庫自動更新抵御零日攻擊；TSM補丁分發(fā)系統(tǒng)簡化系統(tǒng)安全更新流程；iSoc收集服務(wù)器，數(shù)據(jù)庫操作上傳日志審計；Norton防病毒軟件防止終端感染病毒，木馬；Norton病毒庫自動更新抵御零日攻擊；TSM安全策略檢查確保終端最佳安全狀態(tài)；TSM補丁分發(fā)系統(tǒng)簡化系統(tǒng)安全更新流程；防病毒，

19、補丁服務(wù)器2、終端計算環(huán)境安全1、服務(wù)器計算環(huán)境安全計算環(huán)境安全安全管理中心通信網(wǎng)絡(luò)安全邊界安全物理安全服務(wù)器、工作站配置差距分析和加固；數(shù)據(jù)庫配置差距分析和加固；應(yīng)用配置差距分析和加固；系統(tǒng)滲透測試；安全漏洞掃描；3、服務(wù)器計算環(huán)境安全加固安全服務(wù)計算環(huán)境安全安全管理中心通信網(wǎng)絡(luò)安全邊界安全物理安全通信網(wǎng)絡(luò)Page 22外聯(lián)前置區(qū)SACGE1000E-X全網(wǎng)設(shè)備冗余，鏈路冗余全面提升可靠性，保障業(yè)務(wù)連續(xù)性；E1000E-X 建立 IP-SEC VPN隧道防止傳出信息被偵聽；SVN 2000 提供SSL VPN遠程安全接入和訪問；E1000E-X 流量分析和控制，凈化網(wǎng)絡(luò)流量，提升帶寬利用率；

20、通信網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備配置差距分析和加固；安全漏洞掃描；安全加固DMZ區(qū)網(wǎng)管區(qū)普通業(yè)務(wù)區(qū)核心業(yè)務(wù)區(qū)終端接入?yún)^(qū)InternetSSL VPNIP-SEC VPN流量分析與控制安全服務(wù)計算環(huán)境安全安全管理中心通信網(wǎng)絡(luò)安全邊界安全物理安全安全邊界：域邊界防護Page 23外聯(lián)前置系統(tǒng)核心業(yè)務(wù)系統(tǒng)一般業(yè)務(wù)系統(tǒng)普通業(yè)務(wù)終端核心業(yè)務(wù)終端對外服務(wù)系統(tǒng)核心業(yè)務(wù)區(qū)邊界普通業(yè)務(wù)區(qū)邊界外聯(lián)前置區(qū)邊界DMZ區(qū)邊界入侵檢測防御NIP系列準入控制網(wǎng)關(guān)SACG網(wǎng)管區(qū)UTM+USG系列標準的安全域劃分，控制風(fēng)險范圍UTM+ USG系列提供首層網(wǎng)絡(luò)訪問控制IPS NIP系列為核心業(yè)務(wù)區(qū)邊界提供二層應(yīng)用防護數(shù)據(jù)中心域邊界安全安全設(shè)

21、備配置差距分析和加固；安全漏洞掃描；安全加固終端接入邊界TSM按照部門劃分區(qū)域，并設(shè)定不同準入控制和資源訪問策略；TSM網(wǎng)絡(luò)準入控制確保可信接入訪問TSM終端行為管理控制用戶內(nèi)網(wǎng)行為控制非法外聯(lián)等；接入?yún)^(qū)域邊界安全安全服務(wù)安全邊界：互聯(lián)（外聯(lián)）網(wǎng)邊界Page 24外聯(lián)網(wǎng)外聯(lián)單位InternetUTM+ USG系列入侵檢測防御NIP系列入侵檢測防御NIP系列UTM+ USG系列DDOS流量清洗網(wǎng)關(guān)ADI/G系列內(nèi)網(wǎng)終端側(cè)內(nèi)網(wǎng)服務(wù)器側(cè)SSL VPN網(wǎng)關(guān)SVN系列DDOS ADI/G系列流量清洗-保障業(yè)務(wù)永續(xù)UTM+ USG系列提供精細的網(wǎng)絡(luò)準入控制直路部署，秒級檢測和清洗，第一時間啟動防御；七層防

22、御架構(gòu)，抵擋網(wǎng)絡(luò)層泛洪和應(yīng)用層流量攻擊續(xù)性VPN隧道防止傳出信息被偵聽；多核CPU硬件處理架構(gòu)+基于DPI技術(shù)的軟件架構(gòu)，提供業(yè)務(wù)無延遲準入控制和防御；基于文件級的病毒掃描，使病毒無處可藏；IPS NIP系列智能檢測引擎抵御各種應(yīng)用層攻擊基于漏洞的簽名技術(shù)為內(nèi)網(wǎng)系統(tǒng)提供虛擬補??；智能檢測引擎抵御針對WEB應(yīng)用，瀏覽器木馬和攻擊；應(yīng)用識別和管控凈化網(wǎng)絡(luò)流量，提高帶寬利用率；外聯(lián)邊界Internet邊界計算環(huán)境安全安全管理中心通信網(wǎng)絡(luò)安全邊界安全物理安全安全管理中心Page 25網(wǎng)管區(qū)VSMiSocCA認證中心業(yè)界最佳 天威誠信 合作，提供高可靠，高安全，高擴展，高兼容的數(shù)據(jù)認證體系；全網(wǎng)統(tǒng)一的身

23、份管理（CA）單點登錄，不同用戶分配不同管理權(quán)限，最小授權(quán)；全面運維代理，有效保護網(wǎng)內(nèi)設(shè)備；操作審計與回放，符合法規(guī)要求；統(tǒng)一安全運維（UMA）全網(wǎng)設(shè)備統(tǒng)一管理，減輕運維負擔(dān)；全網(wǎng)日志收集和審計，符合法規(guī)要求；海量日志過濾與關(guān)聯(lián)分析，風(fēng)險預(yù)警呈現(xiàn)，防患于未然；安全事件報警，第一時間響應(yīng)，減少安全損失；全網(wǎng)安全管理與審計（VSM，iSoc）UMA安全管理員服務(wù)器，數(shù)據(jù)庫網(wǎng)絡(luò)設(shè)備主機，終端軟件安全設(shè)備計算環(huán)境安全安全管理中心通信網(wǎng)絡(luò)安全邊界安全物理安全Page 26華為三級信息系統(tǒng)等級保護解決方案整體部署圖外聯(lián)前置系統(tǒng)核心業(yè)務(wù)系統(tǒng)一般業(yè)務(wù)系統(tǒng)普通業(yè)務(wù)終端核心業(yè)務(wù)終端對外服務(wù)系統(tǒng)核心業(yè)務(wù)區(qū)普通業(yè)務(wù)區(qū)

24、外聯(lián)前置區(qū)DMZ區(qū)入侵（檢測）防御NIP系列準入控制網(wǎng)關(guān)網(wǎng)管區(qū)CA中心防火墻USG系列防病毒，補丁服務(wù)器外聯(lián)網(wǎng)外聯(lián)單位Internet入侵（檢測）防御NIP系列防火墻USG系列Anti-DDOSADI/G系列防火墻USG系列VPNSVN系列入侵（檢測）防御NIP系列終端安全管理代理防病毒軟件Norton網(wǎng)管和安全管理中心：iSoc & VSM內(nèi)控堡壘主機：UMA安全服務(wù)安全加固服務(wù)漏洞掃描服務(wù)滲透測試服務(wù)Page 27等級保護安全建設(shè)技術(shù)體系：網(wǎng)絡(luò)終端NAC防火墻IPS/IDS系統(tǒng)安全掃描文件加密技術(shù)內(nèi)容加密技術(shù)補丁管理物理分區(qū)門禁監(jiān)控攝像環(huán)境監(jiān)控建筑安全機房安全終端監(jiān)控審計應(yīng)用安全審計終端補

25、丁管理硬件防病毒網(wǎng)關(guān)本地數(shù)據(jù)備份郵件防病毒惡意代碼過濾應(yīng)用備份和復(fù)制鑒別和認證訪問控制內(nèi)容安全監(jiān)控和審計備份和恢復(fù)應(yīng)用系統(tǒng)物理口令、數(shù)字證書統(tǒng)一認證管理統(tǒng)一身份管理流量控制/QOS傳輸安全/VPN惡意代碼防范系統(tǒng)安全審計主機入侵檢測網(wǎng)絡(luò)安全掃描網(wǎng)絡(luò)安全檢測網(wǎng)絡(luò)安全審計應(yīng)用安全掃描數(shù)據(jù)庫備份恢復(fù)遠程數(shù)據(jù)備份安全策略信息安全組織資產(chǎn)管理訪問控制人力資源安全物理和環(huán)境安全通信和操作安全信息系統(tǒng)獲取開發(fā)和維護信息安全事件管理業(yè)務(wù)連續(xù)性管理符合型華為等級保護解決方案主要思想Page 28咨詢服務(wù)Text in hereText in here保障業(yè)務(wù)完整性，可用性，機密性符合等級保護法規(guī)的要求方案產(chǎn)品一

26、級二級三級四級五級安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理物理安全網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全安全管理中心邊界安全通信網(wǎng)絡(luò)安全計算環(huán)境安全華為等級保護管理框架設(shè)計Page 29安全策略信息安全組織資產(chǎn)管理訪問控制人力資源安全物理和環(huán)境安全通信和操作安全信息系統(tǒng)獲取開發(fā)和維護信息安全事件管理業(yè)務(wù)連續(xù)性管理符合型安全管理制度安全管理機構(gòu)人員安全管理安全建設(shè)管理安全運維管理建立安全組織Page 30安全組織安全制度宣傳推廣1.負責(zé)安全建設(shè)方針與安全策略的審批。2.負責(zé)安全規(guī)劃與建設(shè)重大事項的決策。3.負責(zé)跨部門安全工作的協(xié)調(diào)和溝通。4.負責(zé)安全規(guī)劃和建設(shè)的資源保障。1.負責(zé)安

27、全策略、運行和技術(shù)體系建設(shè)。2.負責(zé)推進安全建設(shè)工作的開展。3.負責(zé)監(jiān)督、運行和技術(shù)體系的執(zhí)行。4.負責(zé)領(lǐng)導(dǎo)安全突發(fā)事件的響應(yīng)和處理。5.負責(zé)推進安全相關(guān)人員培訓(xùn)和考核。6.負責(zé)對系統(tǒng)安全進行審計1.負責(zé)安全管理層布置的任務(wù)，參與安全策略、運行和技術(shù)體系的建設(shè)。2.負責(zé)安全日常運維工作，監(jiān)控安全總體狀況。3.負責(zé)及時向安全管理層報告IT安全事件，并及時處理，參與重大突發(fā)安全事件的應(yīng)急響應(yīng)。4.負責(zé)對系統(tǒng)安全進行檢查、分析。完善安全制度Page 31記錄、日志、表格等作業(yè)指導(dǎo)書、操作規(guī)范方針制度、規(guī)定、流程做了沒有？做得怎樣？ 怎么去做 做什么事情 目標是什么全面的文件化的管理制度體系 1.在整

28、體方針指導(dǎo)下，從制度層面覆蓋所有IT管理流程活動和安全要點2.與已有文件制度的融合,包容已有管理要求3.層級落實，責(zé)任到人4.意識推廣，考核跟進5.關(guān)鍵的一些文件：信息安全方針信息資產(chǎn)安全管理規(guī)定風(fēng)險評估管理程序各流程管理制度信息事件管理程序業(yè)務(wù)連續(xù)性BCP/DRP安全組織安全制度宣傳推廣安全制度推廣Page 32安全組織安全制度宣傳推廣等級保護解決方案總結(jié)Page 33物理安全主機安全應(yīng)用安全數(shù)據(jù)安全物理位置的選擇（G3）物理訪問控制（G3）防盜竊和破壞（G3）防雷/火/水（G3）溫濕度控制（G3）電力供應(yīng)（A3）防靜電（G3）電磁防護（S3）身份鑒別（S3）安全標記（S3）訪問控制（S3）

29、可信路徑（S3）安全審計（G3）剩余信息保護（S3）入侵防范（G3）資源控制（A3）惡意代碼防范（G3）身份鑒別（S3）剩余信息保護（S3）安全標記（S3）訪問控制（S3）可信路徑（S3）安全審計（G3）通信完整性（S3）通信保密性（S3）抗抵賴（G3）軟件容錯（A3）資源控制（A3）數(shù)據(jù)完整性（S3）數(shù)據(jù)保密性（S3）備份與恢復(fù)（A3）網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G3）訪問控制（G3）安全審計（G3）邊界完整性檢查（S3）入侵防范（G3）惡意代碼防范（G3）網(wǎng)絡(luò)設(shè)備防護（G3）技術(shù)要求-物理安全-安全域劃分與邊界整合UTM+ USG系列IPS NIP系列網(wǎng)絡(luò)入侵與惡意代碼防范-Norton防病毒軟件T

30、SM終端安全管理-VSM & iSoc集中監(jiān)控及審計iSoc & VSM提供安全管理中心-兩地三中心備份中心災(zāi)備中心-CA/PKI統(tǒng)一身份認證管理安全加固服務(wù)漏洞掃描服務(wù)滲透測試服務(wù)安全服務(wù)等級保護解決方案總結(jié)Page 34安全管理制度安全管理機構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理人員錄用（G3）人員離崗（G3）人員考核（G3）安全意識教育培訓(xùn)（G3）外部人員訪問管理（G3）管理制度（G3）制訂和發(fā)布（G3）評審和修訂（G3）崗位設(shè)置（G3）人員配備（G3）授權(quán)和審批（G3）溝通和合作（G3）審核和檢查（G3）系統(tǒng)定級（G3）工程實施（G3）安全方案設(shè)計（G3）產(chǎn)品采購和使用（G3）自行軟件

31、開發(fā)（G3）外包軟件開發(fā)（G3）驗收測試（G3）系統(tǒng)交付（G3）安全服務(wù)商選擇（G3）系統(tǒng)備案（G3）等級測評（G3）環(huán)境管理（G3）網(wǎng)絡(luò)安全管理（G3）資產(chǎn)管理（G3）介質(zhì)管理（G3）設(shè)備管理（G3）監(jiān)控管理和安全管理中心（G3）系統(tǒng)安全管理（G3）惡意代碼防范管理（G3）備份與恢復(fù)管理（G3）安全事件處置（G3）密碼管理（G3）變更管理（G3）應(yīng)急預(yù)案管理（G3）管理要求-建立安全組織-完善安全管理制度-安全管理制度宣傳推廣-安全意識/技能培訓(xùn)安全服務(wù)安全服務(wù)安全服務(wù)安全服務(wù)Page 35客戶價值：致力保護客戶業(yè)務(wù)完整性，可用性，機密性立體的防御體系豐富的實踐經(jīng)驗專業(yè)的安全保障領(lǐng)先的硬件架

32、構(gòu)（多核）無業(yè)務(wù)延遲抵御網(wǎng)絡(luò)流量型攻擊；漏洞，攻擊等簽名技術(shù)準確識別應(yīng)用層攻擊、病毒、木馬等并進行阻斷；多種VPN技術(shù)保護機密信息；化繁為簡、可信安全業(yè)界最佳的攻擊，病毒庫，精確防御各種安全威脅；全球威脅感知系統(tǒng)抵御最新的病毒威脅；400+的安全團隊提供7X24小時的安全保障；華為精細化信息安全管理最佳實踐；豐富的政府、電信、金融、電力等行業(yè)咨詢與服務(wù)實施經(jīng)驗；端到端解決方案統(tǒng)一管理，統(tǒng)一維護，減輕IT管理員負擔(dān)；合理分區(qū)，重點防御核心信息系統(tǒng)，節(jié)省企業(yè)安全投資；最佳的TCOPage 36安全設(shè)備&安全咨詢服務(wù)部署位置管理安全咨詢服務(wù)安全評估、差距分析與加固完善管理制度和安全組織技術(shù)方案安全管

33、理中心：iSoc & VSM安全管理中心數(shù)字認證中心：CA CenterCA認證中心統(tǒng)一運維審計：UMA網(wǎng)管中心 2臺數(shù)據(jù)安全咨詢服務(wù)安全評估、差距分析與加固數(shù)據(jù)存儲和傳輸技術(shù)方案文檔安全管理：DSM終端部署應(yīng)用安全咨詢服務(wù)安全評估、差距分析與加固應(yīng)用系統(tǒng)（含滲透測試）技術(shù)方案主機安全咨詢服務(wù)安全評估、差距分析與加固服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫技術(shù)方案終端安全管理：TSM接入終端（5000）網(wǎng)絡(luò)安全咨詢服務(wù)安全評估、差距分析與加固網(wǎng)絡(luò)架構(gòu)、重要網(wǎng)絡(luò)設(shè)備和安全設(shè)備技術(shù)方案防火墻：E1000E-XAV License業(yè)務(wù)系統(tǒng)域邊界 2臺， 網(wǎng)絡(luò)（外聯(lián)，互聯(lián)網(wǎng)）邊界 1臺終端接入邊界 2臺入侵防御系統(tǒng)：N

34、IP 5100業(yè)務(wù)系統(tǒng)域邊界2臺， 網(wǎng)絡(luò)（外聯(lián)，互聯(lián)網(wǎng)）邊界 1臺等級保護解決方案 整體概覽等級保護現(xiàn)狀等級保護需求分析華為等級保護安全方案成功案例目錄深圳市人民政府12345公開電話系統(tǒng)安全建設(shè)項目Page 38面臨的挑戰(zhàn)全程的等保安全建設(shè)包括：定級、備案、差距分析、安全整改、安全測評系統(tǒng)建設(shè)項目驗收要求盡快進行等級保護安全建設(shè)，時間緊、任務(wù)重解決方案等級保護安全建設(shè)與項目建設(shè)同步進行在定級的基礎(chǔ)上進行詳盡的差距分析和安全評估，準確定位系統(tǒng)安全需求掌握安全需求基礎(chǔ)上從管理和技術(shù)兩個方面制定安全建設(shè)方案，并組織相關(guān)專家進行評審，確保安全建設(shè)充分且有效帶來價值遵照計劃順利完成等保安全建設(shè)各階段工

35、作，順利通過測評滿足了合規(guī)性要求，提升了整體安全保護能力，推動了整個項目驗收進程同步規(guī)劃、同步建設(shè)，保證質(zhì)量和安全同時節(jié)約了資金國家超級計算深圳中心網(wǎng)絡(luò)系統(tǒng)面臨的挑戰(zhàn)確保實現(xiàn)對內(nèi)應(yīng)用與運維管理、對外提供可靠服務(wù)的重要子項目。建立高性能、高可靠、高安全、高可控管的信息網(wǎng)絡(luò)系統(tǒng)，確保能夠充分滿足未來三至五年國家超級計算深圳中心的業(yè)務(wù)發(fā)展需求。 解決方案網(wǎng)絡(luò)系統(tǒng)(包括：路由器、交換機、無線接入等網(wǎng)絡(luò)系統(tǒng))；信息安全系統(tǒng)（包括：防火墻、DDoS防御、流量控制、WEB防護、入侵檢測防御、業(yè)務(wù)監(jiān)控、訪問控制、VPN安全接入網(wǎng)關(guān)、集中日志審計、病毒防護、終端安全管理等信息安全系統(tǒng)）；應(yīng)用系統(tǒng)（包括：桌面云系

36、統(tǒng)、在線數(shù)據(jù)存儲備份、統(tǒng)一網(wǎng)管等）；帶來價值華為賽門鐵克通過完整的解決方案和強大的咨詢服務(wù)能力，為深圳超算中心打造了一套技術(shù)先進、高度可靠、可控易管的信息網(wǎng)絡(luò)系統(tǒng)，滿足深圳超算中心在未來幾年內(nèi)快速的業(yè)務(wù)增長需求。為打造國際一流的超算中心保駕護航。無錫云計算中心網(wǎng)絡(luò)安全面臨的挑戰(zhàn)要求實現(xiàn)強大的VPN功能：SSL VPN接入、接入后從IP-SEC VPN出去要求IP-SEC VPN1，2n對應(yīng)不同的SSL VPN接入的用戶，且不能相互介入解決方案采用扁平化設(shè)計，分成核心層、接入層、服務(wù)器、存儲網(wǎng)絡(luò)在Internet接入層部署2臺USG5320高端防火墻，進行網(wǎng)絡(luò)安全防護部署SVN3000 提供IP

37、-SEC VPN和SSL VPN 接入，支持加密算法、文件共享等常用功能，且有網(wǎng)絡(luò)擴展模式，可以在無客戶端情形下實現(xiàn)VPN無錫云計算是中國首個云計算中心，由無錫市政府出資建立，為無錫科技園區(qū)提供IT服務(wù)。帶來價值SVN3000支持虛擬網(wǎng)關(guān)，使得管理更加靈活支持光口，方便部署和未來網(wǎng)絡(luò)的升級靈活全面的VPN管理功能與強大的VPN接入能力為云計算中心的業(yè)務(wù)運營奠定了基礎(chǔ)行業(yè)客戶渠道客戶 電信客戶全球客戶 華為安全100+： 服務(wù)于100多個運營商1000+：服務(wù)于1000多個重要行業(yè)客戶Page 42華為等級保護安全解決方案等級保護基本要求 遵從情況附件物理安全（無）技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安

38、全主機安全應(yīng)用安全數(shù)據(jù)安全安全管理機構(gòu)（無）安全管理制度（無）人員安全管理（無）系統(tǒng)建設(shè)管理（無）系統(tǒng)運維管理等級保護基本要求：網(wǎng)絡(luò)安全 7個控制點結(jié)構(gòu)安全（G）訪問控制（G）安全審計（G）邊界完整性檢查（A）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護（G）等級保護要求等級保護安全策略遵從情況2級要求a, 業(yè)務(wù)處理能力滿足高峰期需要1）主要設(shè)備性能冗余是b, 帶寬滿足高峰期需要2）主要設(shè)備帶寬冗余c, 繪制拓補圖3）咨詢服務(wù)協(xié)助客戶復(fù)制d, 各部門工作職能，重要性等原則劃分子網(wǎng)和網(wǎng)段4）咨詢服務(wù)3級要求e, 業(yè)務(wù)終端和業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑5）咨詢服務(wù)f, 避免重要網(wǎng)段

39、部署在網(wǎng)絡(luò)邊界，重要網(wǎng)段和其他網(wǎng)段采取可靠的技術(shù)隔離6）互聯(lián)網(wǎng)邊界部署DMZ區(qū)7）外聯(lián)網(wǎng)邊界部署外聯(lián)前置區(qū)8）重要網(wǎng)段前部署防火墻進行隔離g, 業(yè)務(wù)的重要次序制定帶寬，保證網(wǎng)絡(luò)發(fā)生擁堵時優(yōu)先保護重要主機9）咨詢服務(wù)（依據(jù)業(yè)務(wù)優(yōu)先級設(shè)定QOS策略）等級保護基本要求：網(wǎng)絡(luò)安全 7個控制點等級保護要求等級保護安全策略遵從情況2級要求a, 網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能1）部署防火墻（互聯(lián)網(wǎng)邊界，外聯(lián)網(wǎng)邊界）啟用ACL訪問控制策略是b, 根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許，拒絕訪問的能力，控制粒度為端口級2）防火墻配置ACL和ASPF訪問控制規(guī)則和策略c, 應(yīng)按用戶和系統(tǒng)之間的允許訪問

40、規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶3）部署終端安全管理，開啟資源訪問策略。FW:V3R1 版本支持基于用戶的策略控制；（Q1 12.2.7日 TR5）d, 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量4）終端安全管理策略，防火墻開啟L2TP/PPOE AAA配置中控制撥號訪問3級要求e, 應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制5）在（互聯(lián)網(wǎng)邊界，外聯(lián)網(wǎng)邊界）開啟應(yīng)用協(xié)議控制f, 應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接6）防火墻會話超時策略g, 限制網(wǎng)絡(luò)最大流量數(shù)和網(wǎng)絡(luò)連接數(shù)8）防火墻配置流

41、量控制和連接限制h, 重要網(wǎng)段采取技術(shù)手段防止地址欺騙9) 在三級系統(tǒng)部署防火墻，并開啟防止地址（防ARP）欺騙策略結(jié)構(gòu)安全（G）訪問控制（G）安全審計（G）邊界完整性檢查（A）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護（G）等級保護基本要求：網(wǎng)絡(luò)安全 7個控制點結(jié)構(gòu)安全（G）訪問控制（G）安全審計（G）邊界完整性檢查（A）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護（G）等級保護要求等級保護安全策略遵從情況2級要求a, 應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄1）部署VSM，iSOC系統(tǒng)，日志審計功能部分 對日志按照要求進行記錄，并可生成審計報表和對日志進行保護（

42、Vsm目前已支持對日志記錄加密/MD5校驗，且所有日志記錄不可以刪掉和更改）是b, 審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息； 3級要求c, 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表d, 應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等等級保護基本要求：網(wǎng)絡(luò)安全 7個控制點結(jié)構(gòu)安全（G）訪問控制（G）安全審計（G）邊界完整性檢查（A）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護（G）等級保護要求等級保護安全策略遵從情況2級要求a, 應(yīng)能夠?qū)λ阶月?lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查;A&C：1、通過802.1X準入控制控制外來終端接入網(wǎng)絡(luò)；Guest

43、VLAN允許訪問小范圍，組網(wǎng)保障；2、SACG準入控制方案，部署位置較高；發(fā)現(xiàn)外來終端，只能掃描方式一天一次（2000個終端， 半個小時一次，對網(wǎng)絡(luò)流量產(chǎn)生影響）；3、準確定出位置，暫時不支持，和網(wǎng)管配合使用，定位交換機端口；B&D:1、TSM終端代理，沒有任何合法途徑上網(wǎng)，可以探測，直接斷網(wǎng)；2、沒有連到內(nèi)網(wǎng)， 準確定出位置，無法確認。 連到內(nèi)網(wǎng)可以結(jié)合VSM實現(xiàn)，但目前不支持；3、允許Proxy上網(wǎng)，但不允許私自外聯(lián)；是b, 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查;3級要求c, 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷； d, 應(yīng)能夠?qū)?/p>

44、內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷;等級保護基本要求：網(wǎng)絡(luò)安全 7個控制點結(jié)構(gòu)安全（G）訪問控制（G）安全審計（G）邊界完整性檢查（A）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護（G）等級保護要求等級保護安全策略遵從情況2級要求a, 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩 沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等； 1）在網(wǎng)絡(luò)邊界（互聯(lián)網(wǎng)邊界，外聯(lián)網(wǎng)邊界）部署IPS系統(tǒng)，并開啟入侵檢測，記錄和報警策略，部署NIP，Nip本身syslog日志，日志可發(fā)送到VSM （V2版本包含elog，NIP manage

45、r功能），由vsm進行日志、郵件、短信等報警功能；VSM V2版本是3級要求b, 當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警。等級保護基本要求：網(wǎng)絡(luò)安全 7個控制點結(jié)構(gòu)安全（G）訪問控制（G）安全審計（G）邊界完整性檢查（A）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護（G）等級保護要求等級保護安全策略遵從情況2級要求無無無3級要求a, 應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；1）在網(wǎng)絡(luò)邊界（互聯(lián)網(wǎng)邊界，外聯(lián)網(wǎng)邊界）防火墻系統(tǒng)開啟防病毒模塊，并開啟自動升級功能是b, 應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新等級保護基本要求：網(wǎng)絡(luò)安全 7個控制

46、點結(jié)構(gòu)安全（G）訪問控制（G）安全審計（G）邊界完整性檢查（A）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護（G）等級保護要求等級保護安全策略遵從情況2級要求a, 應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別； 1）部署UMA統(tǒng)一運維審計系統(tǒng)用戶名加密碼；或者證書加密碼；是b, 應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；2）開啟登錄地址限制控制c, 網(wǎng)絡(luò)設(shè)備用戶的標識應(yīng)唯一； 3）為網(wǎng)絡(luò)設(shè)備用戶分配唯一的標識；（咨詢服務(wù)）d, 身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換； 4）設(shè)定口令復(fù)雜度要求和定期更改要求策略e, 應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄

47、連接超時自動退出等措施；5）設(shè)定登錄失敗策略f, 當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；6）UMA Https 進行安全WEB管理Stelnet/ssh登錄，加密用戶名和密碼3級要求g, 主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；8）使用數(shù)字認證或者USB keyh, 應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。9) 為不同用戶分配不同的管理權(quán)限物理安全（無）技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全安全管理機構(gòu)（無）安全管理制度（無）人員安全管理（無）系統(tǒng)建設(shè)管理（無）系統(tǒng)運維管理等級保護基本要求：主機安全 7個控制點身份

48、鑒別（S）訪問控制（S）安全審計（G）剩余信息保護（S）入侵防范（G）惡意代碼防范（G）資源控制（A）等級保護要求等級保護安全策略遵從情況2級要求a, 應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別； 1）部署CA證書系統(tǒng)2）由UMA統(tǒng)一運維審計系統(tǒng)進行統(tǒng)一登錄和身份驗證是b, 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換2）UMA開啟口令復(fù)雜度要求策略c, 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施3）UMA開啟登錄限制要求策略d, 當(dāng)對服務(wù)器進行遠程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽4）

49、使用Https 進行安全web管理Stelnet/ssh登錄，加密用戶名和密碼e, 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。5）UMA系統(tǒng)實現(xiàn)權(quán)限分離3級要求f, 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。 8）使用數(shù)字認證或者USB key等級保護基本要求：主機安全 7個控制點身份鑒別（S）訪問控制（S）安全審計（G）剩余信息保護（S）入侵防范（G）惡意代碼防范（G）資源控制（A）等級保護要求等級保護安全策略遵從情況2級要求a, 應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；1）TSM資源訪問粒度，控制到ACL粒度，控制到IP地址和端

50、口；每種類型用戶劃分VLAN，VLAN配置ACL規(guī)則，ACL規(guī)則可以支撐。 SACG ACL數(shù)目一般可以滿足要求；是b, 應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；2）UMA為操作數(shù)據(jù)庫 系統(tǒng)用戶分配權(quán)限c, 應(yīng)嚴格限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令；3）TSM終端安全管理設(shè)定統(tǒng)一安全策略，包括限制默認賬戶等（TSM限制訪問權(quán)限ok，重命名目前不支持，修改默認口令不支持；取決操作系統(tǒng)賬戶是否有API；）d, 應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。4）TSM終端安全管理設(shè)定安全策略，刪除共享賬戶3級要求e, 應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用

51、戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；8）UMA控制管理用戶的角色，實現(xiàn)最小授權(quán)f, 應(yīng)對重要信息資源設(shè)置敏感標記； TSM終端對重要資源信息進行訪問控制；UMA-SERVER上文件名、訪問路徑控制； DSM 文檔內(nèi)容權(quán)限管控；g,應(yīng)依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作； 等級保護基本要求：主機安全 7個控制點身份鑒別（S）訪問控制（S）安全審計（G）剩余信息保護（S）入侵防范（G）惡意代碼防范（G）資源控制（A）等級保護要求等級保護安全策略遵從情況2級要求a, 審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶； 1）UMA 數(shù)據(jù)庫審計；TSM- TS

52、M server- soc ; 或者TSM - SOC ;TSM審計：非法外聯(lián)、運行進程、訪問網(wǎng)站、U盤拷貝、B。 服務(wù)器： UMA 終端：TSM C. SOC /ELOGD. SOC /ELOG系統(tǒng)及服務(wù)器操作日志記錄，并上傳至soc日志審計系統(tǒng)2）通過SOC 對安全事件關(guān)聯(lián)分析，兼容第三方日志信息；是b, 審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件c, 審計記錄應(yīng)包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；d, 應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等；（送到Soc， 防篡改）3級要求e, 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，

53、并生成審計報表；8）eLog統(tǒng)一生成報表f, 應(yīng)保護審計進程，避免受到未預(yù)期的中斷；9) TSM終端安全管理審計使用兩個進程互相守護；等級保護基本要求：主機安全 7個控制點身份鑒別（S）訪問控制（S）安全審計（G）剩余信息保護（S）入侵防范（G）惡意代碼防范（G）資源控制（A）等級保護要求等級保護安全策略遵從情況3級要求b, 應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；8）c, 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除；9) 等級保護基本要求：主

54、機安全 7個控制點身份鑒別（S）訪問控制（S）安全審計（G）剩余信息保護（S）入侵防范（G）惡意代碼防范（G）資源控制（A）等級保護要求等級保護安全策略遵從情況2級要求a, 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新； 1）TSM終端安全管理統(tǒng)一安全策略(TSM沒有做，理論是可以)，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新；Windows操作系統(tǒng)的補丁，應(yīng)用程序補丁不支持； 是3級要求b, 應(yīng)能夠檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；

55、8）重要服務(wù)器前部署IPS，IPS注重網(wǎng)絡(luò)層；WAFWEB類型內(nèi)容攻擊防護；是c, 應(yīng)能夠?qū)χ匾绦虻耐暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施；應(yīng)保護審計進程，避免受到未預(yù)期的中斷；9) TSM不支持否等級保護基本要求：主機安全 7個控制點身份鑒別（S）訪問控制（S）安全審計（G）剩余信息保護（S）入侵防范（G）惡意代碼防范（G）資源控制（A）等級保護要求等級保護安全策略遵從情況2級要求a, 應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫； 1）賽門鐵克諾頓是b, 應(yīng)支持防惡意代碼的統(tǒng)一管理；2) 賽門鐵克諾頓是3級要求c, 主機防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意

56、代碼產(chǎn)品不同的惡意代碼庫；3）諾頓惡意代碼庫與AV 網(wǎng)關(guān)惡意代碼庫分離是等級保護基本要求：主機安全 7個控制點身份鑒別（S）訪問控制（S）安全審計（G）剩余信息保護（S）入侵防范（G）惡意代碼防范（G）資源控制（A）等級保護要求等級保護安全策略遵從情況2級要求a, 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄； TSM限制內(nèi)網(wǎng)使用WIFI；安全策略控制1、不限制接入方式；2、不允許用WIFI；3、不允許用撥號；4、限制特定環(huán)境（辦公環(huán)境）不允許WIFI和3G撥號；網(wǎng)絡(luò)地址范圍：1、IP和MAC綁定；UMA是b, 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；TSM終端支持屏保設(shè)定策略；U

57、MA是c, 應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度；無否3級要求e, 應(yīng)對重要服務(wù)器進行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；SOC(通過讀業(yè)務(wù)系統(tǒng)日志實現(xiàn)，定制性安裝策略）服務(wù)器安全加固服務(wù)是f, 應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警；是物理安全（無）技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全安全管理機構(gòu)（無）安全管理制度（無）人員安全管理（無）系統(tǒng)建設(shè)管理（無）系統(tǒng)運維管理等級保護基本要求：應(yīng)用安全 7個控制點等級保護要求等級保護安全策略遵從情況2級要求a, 應(yīng)提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別 ； b,

58、應(yīng)提供用戶身份標識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標識，身份鑒別信息不易被冒用；c, 應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；d, 應(yīng)啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)； 3級要求e, 應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；身份鑒別（S）訪問控制（S）安全審計（G）剩余信息保護（S）通信完整性（G）通信保密性（G）軟件容錯（A）抗抵賴（A）資源控制（A）等級保護基本要求：應(yīng)用安全 7個控制點等級保護要求等級保護安全策略遵從情況2級

59、要求a, 應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問； b, 訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；c, 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；d, 應(yīng)由授權(quán)主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權(quán)限; 3級要求e, 應(yīng)具有對重要信息資源設(shè)置敏感標記的功能f, 應(yīng)依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；身份鑒別（S）訪問控制（S）安全審計（G）剩余信息保護（S）通信完整性（G）通信保密性（G）軟件容錯（A）抗抵賴（A）資源控制（A）等級保護基本要求：應(yīng)用安全 7個控制點等級

60、保護要求等級保護安全策略遵從情況2級要求a, 應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計； b, 無法刪除、修改或覆蓋審計記錄；c, 審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；3級要求d, 應(yīng)保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；e, 應(yīng)提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能;身份鑒別（S）訪問控制（S）安全審計（G）剩余信息保護（S）通信完整性（G）通信保密性（G）軟件容錯（A）抗抵賴（A）資源控制（A）等級保護基本要求：應(yīng)用安全 7個控制點等級保護要求等級保護安全策略遵從情況2級要求無3級要求a,