等級保護建設思路及H3C解決方案V10

1、等級保護建設思路及H3C解決方案密級：公開日期：2008年4月15日信息安全等級保護政策H3C等級保護建設思路H3C等級保護解決方案H3C安全產(chǎn)品線簡介信息安全等級保護政策簡介信息安全等級化保護（以下簡稱等保）定義等保是指國家通過制訂統(tǒng)一的標準，根據(jù)信息系統(tǒng)不同重要程度，有針對性開展保護工作，分等級對信息系統(tǒng)進行保護，國家對不同等級的信息系統(tǒng)實行不同強度的監(jiān)督管理。等保將信息系統(tǒng)的安全等級分為5級，1級最低，5級最高。目前已經(jīng)確定等級的為電子政務內(nèi)網(wǎng)要達到4級保護要求，外網(wǎng)要達到3級保護要求。等保工作的重要性信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。是信息安全保障工作中

2、國家意志的體現(xiàn)。引自2007年7月20日公安部、國務院信息辦等4部門在北京聯(lián)合召開“全國重要信息系統(tǒng)安全等級保護定級工作電視電話會議”上公安部代表的講話。信息安全等級保護政策的發(fā)展歷程中華人民共和國計算機信息系統(tǒng)安全保護條例發(fā)布1994199920012004計算機信息系統(tǒng)安全保護等級劃分準則 GB17859-1999發(fā)布國家發(fā)改委“計算機信息系統(tǒng)安全保護等級評估體系及互聯(lián)網(wǎng)絡電子身份管理與安全保護平臺建設項目”（1110）工程實施7月22日，國家信息化領(lǐng)導小組召開了第三次會議，專門討論了信息安全問題。會議審議通過了關(guān)于加強信息安全保障工作的意見，并經(jīng)由中央辦公廳、國務院辦公廳頒布(中辦發(fā)【2

3、003】 27號文件)公安部、國家保密局、國家密碼管理局和國信辦聯(lián)合簽發(fā)了關(guān)于信息安全等級保護工作的實施意見 （公通字【2004】66號）信息系統(tǒng)安全保護等級定級指南 (20051231)信息系統(tǒng)安全等級保護基本要求（）信息系統(tǒng)安全等級保護測評準則（）信息系統(tǒng)安全等級保護實施指南（）2006公安部、國家保密局、國家密碼管理局和國信辦聯(lián)合簽發(fā)了信息系統(tǒng)安全等級保護管理辦法（試行）（公通字【2006】7號)2006年3月1日執(zhí)行2003等級保護的政策文件與技術(shù)演進2003年9月中辦國辦頒發(fā)關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）2004年11月四部委會簽關(guān)于信息安全等級保護工作的實施

4、意見（公通字200466號）2005年9月國信辦文件 關(guān)于轉(zhuǎn)發(fā)電子政務信息安全等級保護實施指南的通知 （國信辦200425號）2005年 公安部標準等級保護安全要求等級保護定級指南等級保護實施指南等級保護測評準則總結(jié)成一種安全工作的方法和原則最先作為“適度安全”的工作思路提出確認為國家信息安全的基本制度，安全工作的根本方法形成等級保護的基本理論框架，制定了方法，過程和標準等級保護的5個監(jiān)管等級等級合法權(quán)益社會秩序和公共利益國家安全損害嚴重損害損害嚴重損害特別嚴重損害損害嚴重損害特別嚴重損害一級二級三級四級五級不同級別之間保護能力的區(qū)別總體來看，各級系統(tǒng)應對威脅的能力不同，即能夠?qū)瓜到y(tǒng)面臨的威

5、脅的程度以及在遭到威脅破壞后，系統(tǒng)能夠恢復之前的各種狀態(tài)的能力是不同的。一級具有15個技術(shù)目標，16個管理目標；二級具有29個技術(shù)目標，25個管理目標；三級具有36個技術(shù)目標，27個管理目標；四級具有41個技術(shù)目標，28個管理目標。技術(shù)要求的變化包括：安全要求的增加安全要求的增強管理要求的變化包括：管理活動控制點的增加，每個控制點具體管理要求的增多管理活動的能力逐步加強，借鑒能力成熟度模型（CMM）決定等級的主要因素分析信息系統(tǒng)所屬類型業(yè)務數(shù)據(jù)類別信息系統(tǒng)服務范圍業(yè)務處理的自動化程度業(yè)務重要性業(yè)務數(shù)據(jù)安全性業(yè)務處理連續(xù)性業(yè)務依賴性基于業(yè)務的重要性和依賴性分析關(guān)鍵要素，確定業(yè)務數(shù)據(jù)安全性和業(yè)務處

6、理連續(xù)性要求。業(yè)務數(shù)據(jù)安全性業(yè)務處理連續(xù)性信息系統(tǒng)安全保護等級根據(jù)業(yè)務數(shù)據(jù)安全性和業(yè)務處理連續(xù)性要求確定安全保護等級。安全控制定級指南過程方法確定系統(tǒng)等級啟動采購/開發(fā)實施運行/維護廢棄確定安全需求設計安全方案安全建設安全測評監(jiān)督管理運行維護暫不考慮特殊需求等級需求基本要求產(chǎn)品使用選型監(jiān)督管理測評準則流程方法監(jiān)管流程應急預案應急響應等級保護定義的信息安全建設過程等級保護工作對應完整的信息安全建設生命周期等保建設主要階段的詳細工作系統(tǒng)定級階段安全規(guī)劃設計階段產(chǎn)品采購和工程實施階段運行管理和狀態(tài)監(jiān)控階段系統(tǒng)調(diào)查和描述子系統(tǒng)劃分子系統(tǒng)定級子系統(tǒng)邊界設定等級化風險評估分級保護模型化處理安全策略規(guī)劃安全

7、建設規(guī)劃安全建設詳細方案設計安全產(chǎn)品采購安全控制開發(fā)安全控制集成測試與驗收安全等級測評運行批準系統(tǒng)備案操作管理和控制配置管理和控制變更管理和控制安全狀態(tài)監(jiān)控安全事件處理和應急預案監(jiān)督和檢查持續(xù)改進定級結(jié)果文檔化等級保護工作的實施指南中對主要階段的工作細化等級保護建設的一般過程整改評估定級評測確定系統(tǒng)或者子系統(tǒng)的安全等級依據(jù)等級要求，對現(xiàn)有技術(shù)和管理手段的進行評估，并給出改進建議針對評估過程中發(fā)現(xiàn)的不滿足等保要求的地方進行整改評測機構(gòu)依據(jù)等級要求，對系統(tǒng)是否滿足要求進行評測，并給出結(jié)論監(jiān)管對系統(tǒng)進行周期性的檢查，以確定系統(tǒng)依然滿足等級保護的要求信息安全等級保護政策H3C等級保護建設思路H3C等級

8、保護解決方案H3C安全產(chǎn)品線簡介正確理解等級保護思想系統(tǒng)重要程度系統(tǒng)保護要求安全基線安全基線安全基線一級二級三級四級等級保護思想的基礎是分級管理思想。即通過分級管理對不同安全需求的系統(tǒng)進行安全保護，從而實現(xiàn)對整個信息系統(tǒng)的適當?shù)陌踩Ｗo和管理，避免對系統(tǒng)保護過渡或者保護不足。等級保護的核心是為受管理的系統(tǒng)明確定義所需最低的安全保護能力。這個能力可以認為是一個最基本的安全基線。結(jié)論：滿足需求的能力基線是最低要求，根據(jù)實際業(yè)務的需要和發(fā)展，信息系統(tǒng)的所有者和使用者有必要自行定義所需的安全基線，并不斷修正。信息安全基線的產(chǎn)生信息安全基線可滿足當前信息安全建設需求的各個方面內(nèi)部需求滿足知識產(chǎn)品保護機密

9、信息保護脆弱性保護合規(guī)需求滿足等級保護規(guī)范薩班斯方案行業(yè)安全規(guī)范信息安全基線Integrity完整性Availability可用性Confidentiality保密性滿足當前需求，確保業(yè)務的連續(xù)性、減少業(yè)務損失并且使投資和商務機會獲得最大的回報等級保護技術(shù)要求和管理要求分析某級系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡安全主機安全應用安全數(shù)據(jù)安全安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理等級保護的技術(shù)要求和管理要求只是具體的目標，而不強調(diào)實現(xiàn)的方法。這就強調(diào)了信息系統(tǒng)的所有者和使用者在信息安全建設中的主體地位。等保的技術(shù)要求部分不包含技術(shù)框架的搭建，其技術(shù)目標的實現(xiàn)也不固定要求

10、對應到某一種或者某一類安全產(chǎn)品中。事實上，具體的安全產(chǎn)品和解決方案可以橫跨多個安全要求大項，實現(xiàn)多個安全目標。結(jié)論：進行等級保護建設的主體是信息系統(tǒng)的所有者和使用者，由信息系統(tǒng)的所有者和使用者根據(jù)自身的特點，自行規(guī)劃、設計和實現(xiàn)。H3C等級保護建設思路治理架構(gòu)等級保護規(guī)范ISO27000薩班斯法案法規(guī)遵從機密信息保護知識產(chǎn)權(quán)保護內(nèi)部驅(qū)動核心計算環(huán)境人機交互環(huán)境系統(tǒng)外部環(huán)境技術(shù)框架管理框架以ISO 27000系列為基礎建立ISMS（Information Security Management System，信息安全管理體系 ），在符合性方面滿足法規(guī)遵從要求以統(tǒng)一安全策略為基礎，綜合運用技術(shù)策略

11、與管理策略最佳實踐：H3C安全建設方案ISO 27000系列標準具有完整的規(guī)范體系，覆蓋要求、最佳實踐、實施指南、風險管理等各個方面以ISO 27000為框架可以指導建設滿足等級保護要求的信息安全架構(gòu)ISO 27000系列標準和術(shù)語定義ISO 27001信息安全管理體系要求 ISMS Requirements ISO 27002信息安全管理實踐準則ISO 27003實施指南ISMS Implementation guidelines ISO 27004度量指標與衡量ISMS Metrics and measurement ISO 27006災難恢復和服務指南 ISO 27005風險管理指南Ri

12、sk Management基于ISO 27000建立信息安全架構(gòu)安全需求隨業(yè)務需求演進安全滯后業(yè)務需求安全滿足現(xiàn)狀業(yè)務需求更新阻礙安全領(lǐng)先牽引安全IT基礎架構(gòu)業(yè)務現(xiàn)狀業(yè)務發(fā)展業(yè)務需求是無法超越的，但安全建設是可以先行的基于PDCA模型推動安全架構(gòu)演進部門工具企業(yè)工具戰(zhàn)略工具核心競爭力信息化發(fā)展歷程數(shù)字化IT產(chǎn)品化 IT系統(tǒng)化 IT集中化 IT集成化 IT資源化 主要矛盾：非授權(quán)訪問主要矛盾：業(yè)務不穩(wěn)定主要矛盾：資料丟失主要矛盾：跨域訪問主要矛盾：動態(tài)業(yè)務PDCA的演進發(fā)起者：系統(tǒng)用戶解決方案：主機防病毒發(fā)起者：網(wǎng)絡管理員解決方案：網(wǎng)絡防病毒防火墻系統(tǒng)入侵檢測發(fā)起者：技術(shù)主管解決方案：分域防護入

13、侵抵御終端控制發(fā)起者：CIO解決方案：統(tǒng)一規(guī)劃統(tǒng)一管理風險控制發(fā)起者：CEO解決方案：機構(gòu)戰(zhàn)略決策生命周期管理機構(gòu)內(nèi)部控制執(zhí)行計劃檢查行動安全建設規(guī)律 安全基線更新安全基線更新安全基線更新安全基線更新信息安全等級保護政策H3C等級保護建設思路H3C等級保護解決方案H3C安全產(chǎn)品線簡介H3C在等級保護建設過程中能夠參與的工作安全控制過程方法確定系統(tǒng)等級安全規(guī)劃設計實施運行/維護確定安全需求設計安全方案安全建設安全測評運行監(jiān)控維護響應特殊需求等級需求基本要求產(chǎn)品使用選型系統(tǒng)監(jiān)控測評準則流程方法監(jiān)控流程應急預案應急響應PlanDoCheckAction等保建設過程：基于PDCA、遵從公安部信息安全等

14、級保護規(guī)范！ 應急響應評估咨詢方案設計周期性檢測H3C SecCare安全服務體系安全三要素人流程技術(shù)培訓咨詢評估安全咨詢以ISO 17799/27001、GB/T 17859等級保護規(guī)范為基礎，以安全最佳實踐為模板，提供一種切實可行的安全建設的思路。風險評估以ISO 17799/27001、GB/T 17859等級保護規(guī)范為標準，遵循GB/T 20984-2007信息安全風險評估規(guī)范，對信息安全建設現(xiàn)狀進行評價。安全培訓提供針對CIO/信息主管、主要工程師和一般用戶的不同的培訓課程，全面提高安全意識和技術(shù)能力。應急響應對信息系統(tǒng)出現(xiàn)的緊急安全事件進行響應，包括電話支持、遠程支持以及現(xiàn)場支持等

15、形式。H3C SecCare 安全服務體系網(wǎng)絡安全技術(shù)體系iSPN局部安全全局安全智能安全端到端安全解決方案X86ASICNPFPGAMulti-core萬兆安全平臺FW/VPN/UTM/IPS/.EAD/Anti-Virus.SecCenter/SecBlade/ACG.CRMERPOASCMP2PWEB2.0.IT 應用遠程安全接入邊界防護安全統(tǒng)一管理平臺內(nèi)網(wǎng)控制行為監(jiān)管數(shù)據(jù)中心保護五大解決方案SecCenter大型分支SecPath 防火墻中小型分支IPSec VPNIPSec+GRE VPN移動用戶BIMSSSL VPN合作伙伴IPSec VPN內(nèi)部網(wǎng)InternetVPN Manag

16、erSecPath 防火墻SecPath 防火墻SecPath 防火墻SecPath 防火墻安全管理平臺 VPN是成本最低、應用最廣泛的接入技術(shù)，預計2008年14億人民幣空間-計世資訊H3C遠程安全接入解決方案方案描述SecPath系列防火墻：實現(xiàn)大型分支、中小型分支/合作伙伴、移動用戶不同安全接入需求SecCenter ：實現(xiàn)全網(wǎng)安全統(tǒng)一管理BIMS/VPN Manager ：實現(xiàn)全網(wǎng)VPN部署和監(jiān)控。等保滿足性可滿足的一級技術(shù)目標O1-6. 應具有對傳輸和存儲數(shù)據(jù)進行完整性檢測的能力O1-8. 應具有合理使用和控制系統(tǒng)資源的能力O1-9. 應具有設計合理、安全網(wǎng)絡結(jié)構(gòu)的能力O1-14.

17、應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行控制的能力O1-15. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行控制的能力O1-16. 應具有對用戶進行標識和鑒別的能力O1-17. 應具有保證鑒別數(shù)據(jù)傳輸和存儲保密性的能力等保滿足性可滿足的二級技術(shù)目標O2-11. 應具有對傳輸和存儲數(shù)據(jù)進行完整性檢測的能力O2-12. 應具有對硬件故障產(chǎn)品進行替換的能力O2-13. 應具有系統(tǒng)軟件、應用軟件容錯的能力O2-14. 應具有軟件故障分析的能力O2-15. 應具有合理使用和控制系統(tǒng)資源的能力O2-16. 應具有記錄用戶操作行為的能力O2-22. 應具有對傳輸和存儲中的信息進行保密性保護的能力O2-24. 應具有限制

18、網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O2-25. 應具有能夠檢測對網(wǎng)絡的各種攻擊并記錄其活動的能力O2-27. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行控制的能力O2-28. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行控制的能力O2-29. 應具有對資源訪問的行為進行記錄的能力O2-30. 應具有對用戶進行唯一標識的能力O2-31. 應具有對用戶產(chǎn)生復雜鑒別信息并進行鑒別的能力O2-35. 應具有保證鑒別數(shù)據(jù)傳輸和存儲保密性的能力O2-37. 應具有非活動狀態(tài)一段時間后自動切斷連接的能力O2-38. 應具有網(wǎng)絡邊界完整性檢測能力等保滿足性可滿足的三級技術(shù)目標O3-14. 應具有監(jiān)測通信線路傳輸狀況的能

19、力O3-15. 應具有及時恢復正常通信的能力O3-16. 應具有對傳輸和存儲數(shù)據(jù)進行完整性檢測和糾錯的能力O3-17. 應具有系統(tǒng)軟件、應用軟件容錯的能力O3-18. 應具有軟件故障分析的能力O3-19. 應具有軟件狀態(tài)監(jiān)測和報警的能力O3-20. 應具有自動保護當前工作狀態(tài)的能力O3-21. 應具有合理使用和控制系統(tǒng)資源的能力O3-22. 應具有按優(yōu)先級自動分配系統(tǒng)資源的能力O3-33. 應具有使重要通信線路及時恢復的能力O3-34. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O3-35. 應具有合理分配、控制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源的能力O3-36. 應具有能夠檢測、分析、響應對

20、網(wǎng)絡和重要主機的各種攻擊的能力O3-38. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格控制的能力O3-39. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制的能力O3-44. 應具有保證鑒別數(shù)據(jù)傳輸和存儲保密性的能力O3-45. 應具有對用戶進行唯一標識的能力O3-51. 應具有對傳輸和存儲中的信息進行保密性保護的能力O3-52. 應具有防止加密數(shù)據(jù)被破解的能力O3-53. 應具有路由選擇和控制的能力O3-54. 應具有信息源發(fā)的鑒別能力O3-55. 應具有通信數(shù)據(jù)完整性檢測和糾錯能力O3-57. 應具有持續(xù)非活動狀態(tài)一段時間后自動切斷連接的能力O3-58. 應具有基于密碼技術(shù)的抗抵賴能力O3-5

21、9. 應具有防止未授權(quán)下載、拷貝軟件或者文件的能力O3-61. 應具有切斷非法連接的能力O3-62. 應具有重要數(shù)據(jù)和程序進行完整性檢測和糾錯能力O3-66. 應具有保證重要業(yè)務系統(tǒng)及時恢復運行的能力等保滿足性可滿足的四級技術(shù)目標O4-15. 應具有監(jiān)測通信線路傳輸狀況的能力O4-21. 應具有合理使用和控制系統(tǒng)資源的能力O4-22. 應具有按優(yōu)先級自動分配系統(tǒng)資源的能力O4-23. 應具有對傳輸和存儲數(shù)據(jù)進行完整性檢測和糾錯的能力O4-36. 應具有使重要通信線路及時恢復的能力O4-37. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O4-38. 應具有能夠檢測、集中分析、響應、阻止對網(wǎng)

22、絡和所有主機的各種攻擊的能力O4-39. 應具有合理分配、控制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源的能力O4-41. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格控制的能力O4-42. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制的能力O4-47. 應具有保證鑒別數(shù)據(jù)傳輸和存儲保密性的能力O4-48. 應具有對用戶進行唯一標識的能力O4-49. 應具有對同一個用戶產(chǎn)生多重鑒別信息，其中一個是不可偽造的鑒別信息并進行多重鑒別的能力O4-53. 應具有對傳輸和存儲中的信息進行保密性保護的能力O4-55. 應具有防止加密數(shù)據(jù)被破解的能力O4-56. 應具有路由選擇和控制的能力O4-57. 應具有信息源發(fā)的鑒別能

23、力O4-59. 應具有持續(xù)非活動狀態(tài)一段時間后自動切斷連接的能力O4-60. 應具有基于密碼技術(shù)的抗抵賴能力O4-61. 應具有防止未授權(quán)下載、拷貝軟件或者文件的能力O4-63. 應具有切斷非法連接的能力O4-64. 應具有重要數(shù)據(jù)和程序進行完整性檢測和糾錯能力O4-68. 應具有保證通信不中斷的能力O4-69. 應具有保證業(yè)務系統(tǒng)不中斷的能力方案涉及產(chǎn)品與等級保護對應關(guān)系產(chǎn)品等保一級等保二級等保三級等保四級防火墻/VPN網(wǎng)關(guān)必選必選必選必選SecKey身份認證令牌推薦必選必選必選BIMS/VPN Manager網(wǎng)管推薦推薦必選必選SecCenter安全管理中心推薦推薦推薦推薦安全管理平臺Se

24、cCenterSecPath防火墻交換機DMZ路由器SecPath IPSSecPath防火墻數(shù)據(jù)中心SecBlade FW/IPS方案描述SecPath/SecBlade防火墻：提供2-4層包過濾、狀態(tài)檢測等技術(shù)實現(xiàn)邊界隔離SecPath/SecBlade IPS ： 提供4-7層安全防護SecCenter：對部署的防火墻、IPS以及其他不同廠商的產(chǎn)品進行統(tǒng)一安全管理。外聯(lián)單位H3C邊界防護解決方案等保滿足性可滿足的一級技術(shù)目標O1-8. 應具有合理使用和控制系統(tǒng)資源的能力O1-9. 應具有設計合理、安全網(wǎng)絡結(jié)構(gòu)的能力O1-13. 應具有發(fā)現(xiàn)網(wǎng)絡協(xié)議、操作系統(tǒng)、應用系統(tǒng)等重要漏洞并及時修補的

25、能力O1-14. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行控制的能力O1-15. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行控制的能力O1-16. 應具有對用戶進行標識和鑒別的能力O1-17. 應具有保證鑒別數(shù)據(jù)傳輸和存儲保密性的能力O1-18. 應具有對惡意代碼的檢測、阻止和清除能力等保滿足性可滿足的二級技術(shù)目標O2-15. 應具有合理使用和控制系統(tǒng)資源的能力O2-16. 應具有記錄用戶操作行為的能力O2-25. 應具有能夠檢測對網(wǎng)絡的各種攻擊并記錄其活動的能力O2-26. 應具有發(fā)現(xiàn)所有已知漏洞并及時修補的能力O2-27. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行控制的能力O2-28. 應具有對數(shù)據(jù)、文件

26、或其他資源的訪問進行控制的能力O2-32. 應具有對惡意代碼的檢測、阻止和清除能力O2-33. 應具有防止惡意代碼在網(wǎng)絡中擴散的能力O2-34. 應具有對惡意代碼庫和搜索引擎及時更新的能力O2-38. 應具有網(wǎng)絡邊界完整性檢測能力等保滿足性可滿足的三級技術(shù)目標O3-21. 應具有合理使用和控制系統(tǒng)資源的能力O3-34. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O3-35. 應具有合理分配、控制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源的能力O3-36. 應具有能夠檢測、分析、響應對網(wǎng)絡和重要主機的各種攻擊的能力O3-37. 應具有發(fā)現(xiàn)所有已知漏洞并及時修補的能力O3-38. 應具有對網(wǎng)絡、系統(tǒng)和應用

27、的訪問進行嚴格控制的能力O3-39. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制的能力O3-40. 應具有對資源訪問的行為進行記錄、分析并響應的能力O3-41. 應具有對惡意代碼的檢測、阻止和清除能力O3-42. 應具有防止惡意代碼等在網(wǎng)絡中擴散的能力O3-43. 應具有對惡意代碼庫和搜索引擎及時更新的能力O3-53. 應具有路由選擇和控制的能力O3-54. 應具有信息源發(fā)的鑒別能力O3-59. 應具有防止未授權(quán)下載、拷貝軟件或者文件的能力O3-60. 應具有網(wǎng)絡邊界完整性檢測能力O3-61. 應具有切斷非法連接的能力等保滿足性可滿足的四級技術(shù)目標O4-21. 應具有合理使用和控制系統(tǒng)資源

28、的能力O4-22. 應具有按優(yōu)先級自動分配系統(tǒng)資源的能力O4-37. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O4-38. 應具有能夠檢測、集中分析、響應、阻止對網(wǎng)絡和所有主機的各種攻擊的能力O4-39. 應具有合理分配、控制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源的能力O4-40. 應具有發(fā)現(xiàn)所有已知漏洞并及時修補的能力O4-41. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格控制的能力O4-42. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制的能力O4-44. 應具有對惡意代碼的檢測、集中分析、阻止和清除能力O4-45. 應具有防止惡意代碼在網(wǎng)絡中擴散的能力O4-46. 應具有對惡意代碼庫和搜索引

29、擎及時更新的能力O4-47. 應具有保證鑒別數(shù)據(jù)傳輸和存儲保密性的能力O4-56. 應具有路由選擇和控制的能力O4-57. 應具有信息源發(fā)的鑒別能力O4-61. 應具有防止未授權(quán)下載、拷貝軟件或者文件的能力O4-62. 應具有網(wǎng)絡邊界完整性檢測能力O4-63. 應具有切斷非法連接的能力方案涉及產(chǎn)品與等級保護對應關(guān)系產(chǎn)品等保一級等保二級等保三級等保四級防火墻必選必選必選必選IPS必選必選必選必選SecCenter安全管理中心推薦推薦推薦推薦H3C內(nèi)網(wǎng)控制解決方案組成SecPath 防火墻EADEADEADSecPath IPSSecBlade服務器區(qū)安全管理中心SecCenter智能網(wǎng)管中心iM

30、C安全管理平臺H3C內(nèi)網(wǎng)控制解決方案方案描述終端接入軟件EAD：進行身份認證和和終端安全狀態(tài)評估安全防護設備防火墻/IPS：阻斷內(nèi)網(wǎng)攻擊，同時上報安全管理平臺，并與之聯(lián)動安全管理SecCenter/iMC：對網(wǎng)絡和安全設備統(tǒng)一管理，并提供整網(wǎng)審計報告等保滿足性可滿足的一級技術(shù)目標O1-13. 應具有發(fā)現(xiàn)網(wǎng)絡協(xié)議、操作系統(tǒng)、應用系統(tǒng)等重要漏洞并及時修補的能力O1-14. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行控制的能力O1-15. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行控制的能力O1-16. 應具有對用戶進行標識和鑒別的能力O1-18. 應具有對惡意代碼的檢測、阻止和清除能力等保滿足性可滿足的二級技

31、術(shù)目標O2-15. 應具有合理使用和控制系統(tǒng)資源的能力O2-16. 應具有記錄用戶操作行為的能力O2-17. 應具有對用戶的誤操作行為進行檢測和報警的能力O2-24. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O2-25. 應具有能夠檢測對網(wǎng)絡的各種攻擊并記錄其活動的能力O2-26. 應具有發(fā)現(xiàn)所有已知漏洞并及時修補的能力O2-27. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行控制的能力O2-28. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行控制的能力O2-29. 應具有對資源訪問的行為進行記錄的能力O2-30. 應具有對用戶進行唯一標識的能力O2-31. 應具有對用戶產(chǎn)生復雜鑒別信息并進行鑒別的能

32、力O2-32. 應具有對惡意代碼的檢測、阻止和清除能力O2-33. 應具有防止惡意代碼在網(wǎng)絡中擴散的能力O2-34. 應具有對惡意代碼庫和搜索引擎及時更新的能力等保滿足性可滿足的三級技術(shù)目標O3-19. 應具有軟件狀態(tài)監(jiān)測和報警的能力O3-21. 應具有合理使用和控制系統(tǒng)資源的能力O3-22. 應具有按優(yōu)先級自動分配系統(tǒng)資源的能力O3-24. 應具有記錄用戶操作行為和分析記錄結(jié)果的能力O3-34. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O3-35. 應具有合理分配、控制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源的能力O3-36. 應具有能夠檢測、分析、響應對網(wǎng)絡和重要主機的各種攻擊的能力O3-37

33、. 應具有發(fā)現(xiàn)所有已知漏洞并及時修補的能力O3-38. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格控制的能力O3-39. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制的能力O3-40. 應具有對資源訪問的行為進行記錄、分析并響應的能力O3-41. 應具有對惡意代碼的檢測、阻止和清除能力O3-42. 應具有防止惡意代碼等在網(wǎng)絡中擴散的能力O3-43. 應具有對惡意代碼庫和搜索引擎及時更新的能力O3-45. 應具有對用戶進行唯一標識的能力O3-46. 應具有對同一個用戶產(chǎn)生多重鑒別信息并進行多重鑒別的能力O3-47. 應具有對硬件設備進行唯一標識的能力O3-48. 應具有對硬件設備進行合法身份確定的

34、能力O3-49. 應具有檢測非法接入設備的能力O3-54. 應具有信息源發(fā)的鑒別能力O3-58. 應具有基于密碼技術(shù)的抗抵賴能力O3-59. 應具有防止未授權(quán)下載、拷貝軟件或者文件的能力O3-61. 應具有切斷非法連接的能力等保滿足性可滿足的四級技術(shù)目標O4-21. 應具有合理使用和控制系統(tǒng)資源的能力O4-22. 應具有按優(yōu)先級自動分配系統(tǒng)資源的能力O4-25. 應具有記錄用戶操作行為和分析記錄結(jié)果的能力O4-27. 應具有安全機制失效的自動檢測和報警能力O4-28. 應具有檢測到安全機制失效后恢復安全機制的能力O4-37. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O4-38. 應具有

35、能夠檢測、集中分析、響應、阻止對網(wǎng)絡和所有主機的各種攻擊的能力O4-39. 應具有合理分配、控制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源的能力O4-40. 應具有發(fā)現(xiàn)所有已知漏洞并及時修補的能力O4-41. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格控制的能力O4-42. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制的能力O4-43. 應具有對資源訪問的行為進行記錄、集中分析并響應的能力O4-44. 應具有對惡意代碼的檢測、集中分析、阻止和清除能力O4-45. 應具有防止惡意代碼在網(wǎng)絡中擴散的能力O4-46. 應具有對惡意代碼庫和搜索引擎及時更新的能力O4-47. 應具有保證鑒別數(shù)據(jù)傳輸和存儲保密性的能力O

36、4-48. 應具有對用戶進行唯一標識的能力O4-49. 應具有對同一個用戶產(chǎn)生多重鑒別信息，其中一個是不可偽造的鑒別信息并進行多重鑒別的能力O4-50. 應具有對硬件設備進行唯一標識的能力O4-51. 應具有對硬件設備進行合法身份確定的能力O4-52. 應具有檢測非法接入設備的能力O4-56. 應具有路由選擇和控制的能力O4-57. 應具有信息源發(fā)的鑒別能力O4-61. 應具有防止未授權(quán)下載、拷貝軟件或者文件的能力O4-63. 應具有切斷非法連接的能力方案涉及產(chǎn)品與等級保護對應關(guān)系產(chǎn)品等保一級等保二級等保三級等保四級EAD端點準入系統(tǒng)必選必選必選必選防火墻必選必選必選必選IPS推薦推薦必選必選

37、SecCenter安全管理中心推薦必選必選必選SecBlade AFCSecBlade IPSWEB 區(qū)應用區(qū)數(shù)據(jù)庫區(qū)SecPath ASE核心交換匯聚交換SecBlade 防火墻應用優(yōu)化安全防護SecCenter安全管理平臺iMCCampusWAN/MANInternet數(shù)據(jù)中心保護解決方案方案描述SecBlade AFC：徹底清除DDoS攻擊SecBlade防火墻/IPS：有效防范27層攻擊SecPath ASE：510倍提升服務器響應速度和處理能力SecCenter/iMC：實現(xiàn)服務器、設備的統(tǒng)一安全管理等保滿足性可滿足的一級技術(shù)目標O1-13. 應具有發(fā)現(xiàn)網(wǎng)絡協(xié)議、操作系統(tǒng)、應用系統(tǒng)等

38、重要漏洞并及時修補的能力O1-14. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行控制的能力O1-15. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行控制的能力O1-18. 應具有對惡意代碼的檢測、阻止和清除能力等保滿足性可滿足的二級技術(shù)目標O2-15. 應具有合理使用和控制系統(tǒng)資源的能力O2-24. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O2-25. 應具有能夠檢測對網(wǎng)絡的各種攻擊并記錄其活動的能力O2-26. 應具有發(fā)現(xiàn)所有已知漏洞并及時修補的能力O2-27. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行控制的能力O2-28. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行控制的能力O2-32. 應具有對惡意代碼

39、的檢測、阻止和清除能力O2-33. 應具有防止惡意代碼在網(wǎng)絡中擴散的能力O2-34. 應具有對惡意代碼庫和搜索引擎及時更新的能力等保滿足性可滿足的三級技術(shù)目標O3-34. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O3-35. 應具有合理分配、控制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源的能力O3-36. 應具有能夠檢測、分析、響應對網(wǎng)絡和重要主機的各種攻擊的能力O3-37. 應具有發(fā)現(xiàn)所有已知漏洞并及時修補的能力O3-38. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格控制的能力O3-39. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制的能力O3-40. 應具有對資源訪問的行為進行記錄、分析并響應的能

40、力O3-41. 應具有對惡意代碼的檢測、阻止和清除能力O3-42. 應具有防止惡意代碼等在網(wǎng)絡中擴散的能力O3-43. 應具有對惡意代碼庫和搜索引擎及時更新的能力等保滿足性可滿足的四級技術(shù)目標O4-37. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O4-38. 應具有能夠檢測、集中分析、響應、阻止對網(wǎng)絡和所有主機的各種攻擊的能力O4-39. 應具有合理分配、控制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源的能力O4-40. 應具有發(fā)現(xiàn)所有已知漏洞并及時修補的能力O4-41. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格控制的能力O4-42. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制的能力O4-44. 應

41、具有對惡意代碼的檢測、集中分析、阻止和清除能力O4-45. 應具有防止惡意代碼在網(wǎng)絡中擴散的能力O4-46. 應具有對惡意代碼庫和搜索引擎及時更新的能力方案涉及產(chǎn)品與等級保護對應關(guān)系產(chǎn)品等保一級等保二級等保三級等保四級防火墻必選必選必選必選IPS必選必選必選必選ASE應用加速引擎推薦推薦必選必選AFC流量清洗推薦推薦必選必選SecCenter安全管理中心推薦必選必選必選控制臺SecCenterSecPath IPSSecPath防火墻交換機數(shù)據(jù)中心內(nèi)部網(wǎng)絡SecPath ACG安全管理平臺方案描述ACG：對P2P應用進行精確識別和控制，保護帶寬資源；ACG：對IM、網(wǎng)絡游戲、炒股、非法網(wǎng)站訪問

42、等行為進行識別和控制，提高工作效率SecCenter：對ACG上報的安全事件進行深入分析并輸出審計報告，對非法行為進行追溯H3C行為監(jiān)管解決方案等保滿足性可滿足的一級技術(shù)目標O1-14. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行控制的能力O1-15. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行控制的能力O1-16. 應具有對用戶進行標識和鑒別的能力等保滿足性可滿足的二級技術(shù)目標O2-15. 應具有合理使用和控制系統(tǒng)資源的能力O2-16. 應具有記錄用戶操作行為的能力O2-24. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O2-25. 應具有能夠檢測對網(wǎng)絡的各種攻擊并記錄其活動的能力O2-27. 應

43、具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行控制的能力O2-28. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行控制的能力O2-29. 應具有對資源訪問的行為進行記錄的能力O2-30. 應具有對用戶進行唯一標識的能力O2-31. 應具有對用戶產(chǎn)生復雜鑒別信息并進行鑒別的能力等保滿足性可滿足的三級技術(shù)目標O3-21. 應具有合理使用和控制系統(tǒng)資源的能力O3-22. 應具有按優(yōu)先級自動分配系統(tǒng)資源的能力O3-24. 應具有記錄用戶操作行為和分析記錄結(jié)果的能力O3-34. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O3-35. 應具有合理分配、控制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源的能力O3-38. 應具有對網(wǎng)絡、系

44、統(tǒng)和應用的訪問進行嚴格控制的能力O3-39. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制的能力O3-40. 應具有對資源訪問的行為進行記錄、分析并響應的能力O3-45. 應具有對用戶進行唯一標識的能力O3-46. 應具有對同一個用戶產(chǎn)生多重鑒別信息并進行多重鑒別的能力O3-59. 應具有防止未授權(quán)下載、拷貝軟件或者文件的能力O3-61. 應具有切斷非法連接的能力等保滿足性可滿足的四級技術(shù)目標O4-21. 應具有合理使用和控制系統(tǒng)資源的能力O4-25. 應具有記錄用戶操作行為和分析記錄結(jié)果的能力O4-37. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O4-39. 應具有合理分配、控制網(wǎng)

45、絡、操作系統(tǒng)和應用系統(tǒng)資源的能力O4-41. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格控制的能力O4-42. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制的能力O4-43. 應具有對資源訪問的行為進行記錄、集中分析并響應的能力O4-48. 應具有對用戶進行唯一標識的能力O4-49. 應具有對同一個用戶產(chǎn)生多重鑒別信息，其中一個是不可偽造的鑒別信息并進行多重鑒別的能力O4-61. 應具有防止未授權(quán)下載、拷貝軟件或者文件的能力O4-63. 應具有切斷非法連接的能力O4-65. 應具有對敏感信息進行標識的能力O4-66. 應具有對敏感信息的流向進行控制的能力方案涉及產(chǎn)品與等級保護對應關(guān)系產(chǎn)品等保一級

46、等保二級等保三級等保四級ACG應用控制網(wǎng)關(guān)推薦推薦必選必選SecCenter安全管理中心推薦推薦必選必選CDP連續(xù)數(shù)據(jù)保護解決方案FC磁盤陣列IX3000 /IX1000系列IV5000IV5000IX5000系列IX3000系列IX1000系列生產(chǎn)卷C快照快照快照備份卷B生產(chǎn)卷A生產(chǎn)卷B快照快照快照備份卷C萬兆千兆快照快照快照備份卷A在線/近線存儲可達秒級的最佳數(shù)據(jù)恢復技術(shù)自動連續(xù)快照保護，預防軟災難完善的數(shù)據(jù)庫一致性技術(shù)備份數(shù)據(jù)立即檢查及恢復驗證支持廣域網(wǎng)保護，可擴展為容災模式等保滿足性可滿足的技術(shù)目標滿足的一級技術(shù)指標O1-19. 應具有重要數(shù)據(jù)恢復的能力滿足的二級技術(shù)指標O2-36.

47、應具有對存儲介質(zhì)中的殘余信息進行刪除的能力O2-39. 應具有重要數(shù)據(jù)恢復的能力滿足的三級技術(shù)指標O3-50. 應具有對存儲介質(zhì)中的殘余信息進行刪除的能力O3-65. 應具有及時恢復重要數(shù)據(jù)的能力O3-66. 應具有保證重要業(yè)務系統(tǒng)及時恢復運行的能力滿足的四級技術(shù)指標O4-54. 應具有對存儲介質(zhì)中的殘余信息進行刪除的能力O4-67. 應具有迅速恢復重要數(shù)據(jù)的能力O4-68. 應具有保證通信不中斷的能力O4-69. 應具有保證業(yè)務系統(tǒng)不中斷的能力視頻監(jiān)控與智能視頻分析系統(tǒng)的集成智能分析系統(tǒng)可以對實時圖像的內(nèi)容進行分析，分析圖像中一個或多個人、物、車輛的移動軌跡，實現(xiàn)對警戒區(qū)闖入、遺留物、受保護

48、物品移動、警戒區(qū)域人員徘徊、人群異常聚集、搶劫搶奪、打架斗毆等的自動檢測。還可以實現(xiàn)視頻診斷、人流統(tǒng)計、事后圖像超清晰處理等增值業(yè)務。智能視頻系統(tǒng)將自動分析結(jié)果反饋給H3C監(jiān)控系統(tǒng)實現(xiàn)各項聯(lián)動功能。機房監(jiān)控功能智能監(jiān)控等保滿足性可滿足的技術(shù)目標滿足的三級技術(shù)指標O3-29. 應具有實時監(jiān)控機房內(nèi)部活動的能力O3-30. 應具有對物理入侵事件進行報警的能力O3-32. 應具有對通信線路進行物理保護的能力O3-33. 應具有使重要通信線路及時恢復的能力滿足的四級技術(shù)指標O4-29. 應具有嚴格控制機房進出的能力O4-30. 應具有防止設備、介質(zhì)等丟失的能力O4-31. 應具有嚴格控制機房內(nèi)人員活動

49、的能力O4-32. 應具有實時監(jiān)控機房內(nèi)部活動的能力O4-33. 應具有對物理入侵事件進行報警的能力O4-34. 應具有控制接觸重要設備、介質(zhì)的能力O4-35. 應具有對通信線路進行物理保護的能力O4-36. 應具有使重要通信線路及時恢復的能力信息安全體系的管理框架基礎網(wǎng)絡核心網(wǎng)可靠性全面的設備可靠性高可靠核心高可靠匯聚匯聚雙歸屬雙機熱備數(shù)據(jù)中心案例文檔庫基礎知識庫地理信息庫事件信息庫模型庫視頻會議圖像接入多媒體中心語音調(diào)度安全保障防火墻IPS接入安全病毒防護統(tǒng)一管理平臺網(wǎng)絡管理數(shù)據(jù)管理用戶管理視訊管理安全管理H3C智能安全管理中心：統(tǒng)一管理 支持近100家主流廠家設備及應用，包括防火墻/VP

50、N、IDS、IPS、防病毒、路由器、交換機、操作系統(tǒng)、數(shù)據(jù)庫等各類IT資源 內(nèi)部包含有各廠家的日志解析解析模塊，轉(zhuǎn)換成統(tǒng)一的日志格式SyslogNetStream二進制日志W(wǎng)MI、APINetflow防火墻日志對應解析程序?qū)馕龀绦驅(qū)馕龀绦驅(qū)馕龀绦驅(qū)馕龀绦驅(qū)馕龀绦?事件統(tǒng)一管理整合各類安全資源為統(tǒng)一的安全聯(lián)動方案H3C智能安全管理中心： 智能聯(lián)動H3C iSPN實現(xiàn)面向業(yè)務的端到端安全保障服務器客戶機桌面安全應用安全技術(shù)平面產(chǎn)品集成智能安全滲透網(wǎng)絡端到端安全保障解決方案L2L7層深度安全技術(shù)安全產(chǎn)品與網(wǎng)絡產(chǎn)品的集成集成了網(wǎng)絡技術(shù)的安全產(chǎn)品集成了安全技術(shù)的網(wǎng)絡產(chǎn)品數(shù)據(jù)中心保護解

51、決方案內(nèi)網(wǎng)控制解決方案邊界防護解決方案遠程安全接入解決方案管理平面智能管理統(tǒng)一基礎安全管理統(tǒng)一用戶認證與授權(quán)統(tǒng)一威脅與策略管理OAA開放應用架構(gòu)CHECKCHECK存儲系統(tǒng)數(shù)據(jù)安全系統(tǒng)安全應用安全用戶認證補丁管理病毒庫管理用戶管理在線備份安全存儲異地容災面向業(yè)務的端到端安全保障行為監(jiān)管解決方案信息安全等級保護政策H3C等級保護建設思路H3C等級保護解決方案H3C安全產(chǎn)品線簡介H3C專業(yè)安全、應用為本H3C已成為IT安全領(lǐng)域的領(lǐng)導者之一市場份額國內(nèi)第二位，銷售增長率國內(nèi)第一IPS產(chǎn)品連續(xù)兩年市場份額第一，IPS技術(shù)和市場的領(lǐng)導者VPN類產(chǎn)品市場占有國內(nèi)第一，承建全國最大VPN網(wǎng)絡中國人壽桌面管理

52、軟件市場占有第一，EAD全國已有超過30萬的用戶安全管理中心市場占有國內(nèi)第一，已有百個以上應用部署案例圖 2004-2007年H3C安全產(chǎn)品銷售數(shù)據(jù)圖 2007年H3C安全產(chǎn)品屢獲殊榮最完整：H3C安全產(chǎn)品和解決方案基于領(lǐng)先的產(chǎn)品和技術(shù)，H3C提出遠程安全接入、邊界防護、內(nèi)網(wǎng)控制、數(shù)據(jù)中心保護、行為監(jiān)管等5大行業(yè)解決方案；流量清洗、流量精細化運營、安全托管等3大運營商解決方案應用控制與優(yōu)化T系列I PS T200-S安全業(yè)務管理SecCenterEADiMCBIMSASE 5000T200-ET1000-ST1000-MT1000-AACG 2000-MSecPathUTMU200-CU200-SU200-MU200-AU2000-S