新等保解決方案產(chǎn)品銷(xiāo)售指導(dǎo)

新等保解決方案產(chǎn)品銷(xiāo)售指導(dǎo)正式版V1.0產(chǎn)品與解決方案中心王亮張培蔚2等級(jí)保護(hù)通用要求三級(jí)等保方案介紹方案優(yōu)勢(shì)&價(jià)值典型案例可銷(xiāo)售產(chǎn)品清單等級(jí)保護(hù)有法可依違法必究第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改…第五十九條網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門(mén)責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。等保2.0擴(kuò)展—安全通用要求+五個(gè)擴(kuò)展分冊(cè)GB/T22239.1-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第1部分安全通用要求GB/T22239.2-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第2部分云計(jì)算安全擴(kuò)展要求GB/T22239.3-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第3部分移動(dòng)互聯(lián)安全擴(kuò)展要求GB/T22239.4-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第4部分物聯(lián)網(wǎng)安全擴(kuò)展要求GB/T22239.5-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第5部分工業(yè)控制安全擴(kuò)展要求GB/T22239.6-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第6部分大數(shù)據(jù)安全擴(kuò)展要求三級(jí)安全控制項(xiàng)1.0：290項(xiàng)技術(shù)136管理154技術(shù)要求應(yīng)用和數(shù)據(jù)安全設(shè)備和計(jì)算安全網(wǎng)絡(luò)和通信安全物理和環(huán)境安全管理要求安全策略和管理制度安全管理機(jī)構(gòu)和人員安全建設(shè)管理安全運(yùn)維管理等保三級(jí)安全的控制項(xiàng)技術(shù)要求數(shù)據(jù)安全及備份恢復(fù)應(yīng)用安全主機(jī)安全網(wǎng)絡(luò)安全物理安全管理要求系統(tǒng)運(yùn)維管理系統(tǒng)建設(shè)管理人員安全管理安全管理機(jī)構(gòu)安全管理制度三級(jí)安全控制項(xiàng)2.0：229項(xiàng)技術(shù)116管理113等保2.0控制域控制項(xiàng)變化示例7等級(jí)保護(hù)通用要求三級(jí)等保方案介紹方案優(yōu)勢(shì)&價(jià)值典型案例可銷(xiāo)售產(chǎn)品清單安全運(yùn)維安全產(chǎn)品與等保要求對(duì)應(yīng)情況網(wǎng)絡(luò)技術(shù)要求物理安全網(wǎng)絡(luò)與通信安全設(shè)備和計(jì)算安全應(yīng)用和數(shù)據(jù)安全機(jī)構(gòu)人員數(shù)據(jù)應(yīng)用操作系統(tǒng)虛擬化NGFWAntiDDoS虛擬化安全天擎NACWAF網(wǎng)頁(yè)防篡改鷹眼VPNDB審計(jì)等保咨詢物理環(huán)境CCTV門(mén)禁漏掃管理要求機(jī)構(gòu)人員建設(shè)管理等保集成滲透測(cè)試建設(shè)管理SNINGSOC安全運(yùn)維堡壘機(jī)等級(jí)保護(hù)安全架構(gòu)策略制度等保咨詢策略制度360ID應(yīng)急響應(yīng)駐場(chǎng)保障DLP安全培訓(xùn)ICGIPS天眼防病毒墻防火防水電力保障機(jī)房抗震日志審計(jì)LAS電磁防護(hù)基礎(chǔ)環(huán)境評(píng)估注：物理安全由等保防護(hù)對(duì)象或電信基礎(chǔ)設(shè)施運(yùn)營(yíng)商提供網(wǎng)閘天巡漏掃代碼衛(wèi)士SMAC等保二級(jí)要求等保三級(jí)增加要求CA應(yīng)用改造郵件網(wǎng)關(guān)容災(zāi)備份等保二級(jí)要求等保三級(jí)增加要求第三方設(shè)備：360自有設(shè)備：等級(jí)保護(hù)生命周期安全服務(wù)（等保2.0）定級(jí)備案安全設(shè)計(jì)實(shí)施安全運(yùn)行維護(hù)應(yīng)急響應(yīng)保障總體安全規(guī)劃等保咨詢服務(wù)安全規(guī)劃設(shè)計(jì)服務(wù)等保集成服務(wù)安全運(yùn)維服務(wù)系統(tǒng)調(diào)查系統(tǒng)定級(jí)定級(jí)報(bào)告專(zhuān)家評(píng)審協(xié)助備案安全需求分析安全策略設(shè)計(jì)解決方案設(shè)計(jì)安全建設(shè)規(guī)劃詳細(xì)設(shè)計(jì)技術(shù)實(shí)現(xiàn)管理實(shí)現(xiàn)安全培訓(xùn)運(yùn)行管理服務(wù)商管控等級(jí)測(cè)評(píng)檢測(cè)改進(jìn)基礎(chǔ)環(huán)境評(píng)估服務(wù)現(xiàn)場(chǎng)評(píng)估報(bào)告編制應(yīng)急預(yù)案監(jiān)測(cè)響應(yīng)評(píng)估改進(jìn)應(yīng)急保障安全應(yīng)急服務(wù)行業(yè)/領(lǐng)域主管部門(mén)屬地公安機(jī)關(guān)有等保建設(shè)資質(zhì)的廠商，設(shè)計(jì)院等有等保建設(shè)資質(zhì)的廠商等保用戶專(zhuān)業(yè)安全廠商等保用戶專(zhuān)業(yè)安全廠商10等級(jí)保護(hù)通用要求三級(jí)等保方案介紹方案優(yōu)勢(shì)&價(jià)值典型案例可銷(xiāo)售產(chǎn)品清單1安全風(fēng)險(xiǎn)評(píng)估3安全運(yùn)維2等保咨詢4應(yīng)急響應(yīng)5安全架構(gòu)設(shè)計(jì)安全集成一站式新等保三級(jí)解決方案優(yōu)勢(shì)1--產(chǎn)品覆蓋最全優(yōu)勢(shì)2--公司資質(zhì)最全序號(hào)資質(zhì)名稱(chēng)網(wǎng)神啟明星辰綠盟科技天融信深信服華為東軟藍(lán)盾北信源亞信安恒阿里云認(rèn)定認(rèn)可類(lèi)1計(jì)算機(jī)信息系統(tǒng)集成企業(yè)資質(zhì)（大型一級(jí)為最高級(jí)）二級(jí)二級(jí)二級(jí)二級(jí)×一級(jí)一級(jí)一級(jí)××二級(jí)×2商用密碼產(chǎn)品銷(xiāo)售許可證√√√√√√√×√×××3商用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位證書(shū)√√√√××××√×××4納稅信用A級(jí)企業(yè)√√√√√√√√√√√√5ISO9001:2008質(zhì)量管理體系(包含網(wǎng)神科技)√√√√√√√√√×√×6ISO20000:2011信息技術(shù)服務(wù)管理體系√××√×√√√×√×√7ISO27001:2005信息安全管理體系√√√√×√√√×√√√8ISO14000環(huán)境管理體系認(rèn)證√√×√×√√××√√×9ISO18000職業(yè)健康安全管理體系√××××√√×××××10TL9000電訊業(yè)質(zhì)量管理體系認(rèn)證×××√×√××××××安全服務(wù)類(lèi)1信息安全等級(jí)保護(hù)建設(shè)服務(wù)機(jī)構(gòu)能力評(píng)估合格證書(shū)√√√×××××√×√√2ISCCC信息安全服務(wù)資質(zhì)-應(yīng)急處理服務(wù)一級(jí)一級(jí)一級(jí)一級(jí)×一級(jí)一級(jí)一級(jí)××一級(jí)×3ISCCC信息安全服務(wù)資質(zhì)-風(fēng)險(xiǎn)評(píng)估服務(wù)一級(jí)一級(jí)一級(jí)一級(jí)×一級(jí)一級(jí)一級(jí)××一級(jí)×4ISCCC信息安全服務(wù)資質(zhì)-信息系統(tǒng)安全集成服務(wù)一級(jí)一級(jí)一級(jí)一級(jí)×一級(jí)一級(jí)一級(jí)×一級(jí)××5國(guó)測(cè)信息安全服務(wù)資質(zhì)-安全開(kāi)發(fā)類(lèi)一級(jí)一級(jí)一級(jí)一級(jí)××一級(jí)×一級(jí)一級(jí)一級(jí)×6國(guó)測(cè)信息安全服務(wù)資質(zhì)-安全工程類(lèi)二級(jí)二級(jí)二級(jí)二級(jí)×二級(jí)二級(jí)××一級(jí)二級(jí)×7CISP授權(quán)服務(wù)機(jī)構(gòu)√√×√××√×××√×8通信網(wǎng)絡(luò)安全服務(wù)能力評(píng)定證書(shū)

安全設(shè)計(jì)與集成（三級(jí)為最高級(jí)）二級(jí)一級(jí)二級(jí)二級(jí)×××一級(jí)×一級(jí)××9通信網(wǎng)絡(luò)安全服務(wù)能力評(píng)定證書(shū)

風(fēng)險(xiǎn)評(píng)估（三級(jí)為最高級(jí)）二級(jí)二級(jí)二級(jí)二級(jí)×××一級(jí)×一級(jí)一級(jí)×10通信網(wǎng)絡(luò)安全服務(wù)能力評(píng)定證書(shū)

應(yīng)急響應(yīng)（三級(jí)為最高級(jí)）一級(jí)一級(jí)一級(jí)一級(jí)××××××××11通信網(wǎng)絡(luò)安全服務(wù)能力評(píng)定證書(shū)

安全培訓(xùn)（三級(jí)為最高級(jí)）一級(jí)一級(jí)一級(jí)一級(jí)××××××××服務(wù)支撐類(lèi)1CNCERT/CC網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位國(guó)家級(jí)國(guó)家級(jí)國(guó)家級(jí)國(guó)家級(jí)國(guó)家級(jí)省級(jí)國(guó)家級(jí)省級(jí)××國(guó)家級(jí)省級(jí)2CNCERT網(wǎng)絡(luò)安全信息通報(bào)單位√√√√×√×××√××優(yōu)勢(shì)3--威脅情報(bào)及大數(shù)據(jù)分析能力最強(qiáng)方案價(jià)值--“不止合規(guī)”等保2.0預(yù)警研判應(yīng)急處置協(xié)同防御自動(dòng)化的閉環(huán)協(xié)同處置“終端-網(wǎng)關(guān)-云端”聯(lián)動(dòng)的動(dòng)態(tài)縱深防御體系技術(shù)支援和決策建議幫助建設(shè)事件的應(yīng)急處置能力。提供安全人才的實(shí)訓(xùn)培養(yǎng)可視化技術(shù)--網(wǎng)絡(luò)整體安全態(tài)勢(shì)監(jiān)測(cè)及相關(guān)威脅的預(yù)警，提升組織安全管理效率。高質(zhì)量的威脅情報(bào)支撐，描繪攻擊者畫(huà)像，了解相關(guān)攻擊歷史15等級(jí)保護(hù)通用要求三級(jí)等保方案介紹方案優(yōu)勢(shì)&價(jià)值典型案例可銷(xiāo)售產(chǎn)品清單農(nóng)業(yè)部（金農(nóng)工程一期安全集成與服務(wù)項(xiàng)目）：

開(kāi)展定級(jí)、調(diào)研、設(shè)計(jì)、技術(shù)實(shí)施、管理實(shí)施、評(píng)估加固、測(cè)評(píng)、產(chǎn)品采購(gòu)、運(yùn)維等全過(guò)程。最終測(cè)評(píng)三級(jí)系統(tǒng)85分，二級(jí)系統(tǒng)95分。水利部（水利信息安全等級(jí)保護(hù)集成與服務(wù)項(xiàng)目）：

開(kāi)展定級(jí)、調(diào)研、設(shè)計(jì)、技術(shù)實(shí)施、管理實(shí)施、評(píng)估加固、測(cè)評(píng)、產(chǎn)品采購(gòu)、運(yùn)維等全過(guò)程。最終測(cè)評(píng)三級(jí)系統(tǒng)88分，二級(jí)系統(tǒng)97分。教育部（小金教等級(jí)保護(hù)咨詢服務(wù)項(xiàng)目）：

495萬(wàn)，等級(jí)保護(hù)咨詢項(xiàng)目，包含信息系統(tǒng)安全建設(shè)全生命周期。安監(jiān)總局國(guó)土等……承建了多個(gè)部委的等級(jí)保護(hù)建設(shè)項(xiàng)目的咨詢、集成與產(chǎn)品集成實(shí)施工作。承建了諸如金盾、金安、金農(nóng)、金水、金信、金質(zhì)、金土、金審等重大項(xiàng)目。部分案例17等級(jí)保護(hù)通用要求三級(jí)等保方案介紹方案優(yōu)勢(shì)&價(jià)值典型案例可銷(xiāo)售產(chǎn)品清單可銷(xiāo)售產(chǎn)品清單-23款產(chǎn)品產(chǎn)品名稱(chēng)產(chǎn)品描述產(chǎn)品形態(tài)滿足的等保控制域數(shù)據(jù)庫(kù)審計(jì)網(wǎng)絡(luò)數(shù)據(jù)捕獲能力、數(shù)據(jù)庫(kù)協(xié)議解析、事件關(guān)聯(lián)分析為基礎(chǔ)，可以精準(zhǔn)識(shí)別數(shù)據(jù)庫(kù)操作硬件應(yīng)用和數(shù)據(jù)安全DLP保護(hù)數(shù)據(jù)防竊密軟件應(yīng)用和數(shù)據(jù)安全WAF+防篡改對(duì)網(wǎng)站服務(wù)器提供安全防護(hù)，作為針對(duì)網(wǎng)站服務(wù)器的各類(lèi)訪問(wèn)請(qǐng)求進(jìn)行檢測(cè)和驗(yàn)證。確保其安全性和合法性，對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷，防止網(wǎng)頁(yè)被篡改，從而對(duì)各類(lèi)網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。硬件應(yīng)用和數(shù)據(jù)安全鷹眼通過(guò)鏡像流量的方式識(shí)別web資產(chǎn)、發(fā)現(xiàn)web漏洞硬件應(yīng)用和數(shù)據(jù)安全天擎集防病毒與終端安全管控于一體的終端安全解決方案，提供終端資產(chǎn)管理、漏洞補(bǔ)丁管理、安全運(yùn)維管控、網(wǎng)絡(luò)安全準(zhǔn)入、移動(dòng)存儲(chǔ)管理、終端安全審計(jì)、XP盾甲防護(hù)諸多功能軟件設(shè)備和計(jì)算安全NAC為企業(yè)終端提供安全合規(guī)準(zhǔn)入規(guī)范及手段硬件設(shè)備和計(jì)算安全漏洞掃描由系統(tǒng)掃描、Web掃描、弱口令破解、配置指標(biāo)檢查于一體化的專(zhuān)業(yè)安全產(chǎn)品硬件設(shè)備和計(jì)算安全+網(wǎng)絡(luò)和通信安全360ID一次性口令系統(tǒng)軟件/硬件設(shè)備和計(jì)算安全+網(wǎng)絡(luò)和通信安全NGFW為各行業(yè)網(wǎng)絡(luò)出口打造的“云+端+邊界+聯(lián)動(dòng)”下一代安全防御體系硬件網(wǎng)絡(luò)和通信安全Anti-DDoS能夠解決流量型DDOS以及連接型DDOS攻擊造成的網(wǎng)絡(luò)癱瘓，服務(wù)無(wú)法正常運(yùn)行的問(wèn)題，是集攻擊檢測(cè)、攻擊防御、網(wǎng)絡(luò)監(jiān)控及管理于一體的安全產(chǎn)品硬件網(wǎng)絡(luò)和通信安全行為管理為企業(yè)提供法律遵從、企業(yè)合規(guī)、工作效率提升、互聯(lián)網(wǎng)防泄密等價(jià)值硬件網(wǎng)絡(luò)和通信安全I(xiàn)DS檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。硬件網(wǎng)絡(luò)和通信安全I(xiàn)PS將深度內(nèi)容檢測(cè)、安全防護(hù)、應(yīng)用識(shí)別管理等技術(shù)完美地結(jié)合在一起，配合定期更新的入侵攻擊特征庫(kù)，可檢測(cè)包括探測(cè)與掃描、溢出攻擊、DDOS攻擊、SQL注入、可疑代碼、蠕蟲(chóng)、木馬、間諜軟件等各種網(wǎng)絡(luò)威脅并進(jìn)行細(xì)粒度的處置。硬件網(wǎng)絡(luò)和通信安全天眼利用大數(shù)據(jù)分析技術(shù)，提升用戶“精準(zhǔn)發(fā)現(xiàn)”其網(wǎng)絡(luò)中威脅的能力，需捆綁安服銷(xiāo)售硬件網(wǎng)絡(luò)和通信安全防病毒墻NGFW加AVLicense提供防病毒墻功能硬件網(wǎng)絡(luò)和通信安全網(wǎng)閘位于不同安全級(jí)別的網(wǎng)絡(luò)之間或者不同的安全域之間，采用專(zhuān)用的2+1架構(gòu)實(shí)現(xiàn)安全隔離，通過(guò)協(xié)議轉(zhuǎn)換、信息擺渡的方式實(shí)現(xiàn)高效安全的數(shù)據(jù)交換硬件網(wǎng)絡(luò)和通信安全I(xiàn)DS檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。硬件網(wǎng)絡(luò)和通信安全I(xiàn)PS將深度內(nèi)容檢測(cè)、安全防護(hù)、應(yīng)用識(shí)別管理等技術(shù)完美地結(jié)合在一起，配合定期更新的入侵攻擊特征庫(kù)升級(jí)硬件網(wǎng)絡(luò)和通信安全SMAC防火墻集中配置，策略管理中心

代碼衛(wèi)士源代碼安全缺陷檢測(cè)、合規(guī)檢測(cè)、溯源檢測(cè)三大檢測(cè)功能，并可實(shí)現(xiàn)軟件安全開(kāi)發(fā)生命周期管理硬件安全建設(shè)管理堡壘機(jī)基于軟硬件一體化設(shè)計(jì)，集賬號(hào)、認(rèn)證、授權(quán)、審計(jì)為一體的設(shè)計(jì)理念，實(shí)現(xiàn)對(duì)事企業(yè)IT中心的網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、安全設(shè)備、主機(jī)系統(tǒng)、中間件等資源統(tǒng)一運(yùn)維管理和審計(jì)硬件安全運(yùn)維日志審計(jì)系統(tǒng)滿足各個(gè)行業(yè)及單位對(duì)合規(guī)性要求的日志審計(jì)軟件/硬件安全運(yùn)維SNI/NGSOC實(shí)現(xiàn)威脅發(fā)現(xiàn)、持續(xù)性內(nèi)外部態(tài)勢(shì)感知、分析溯源、聯(lián)動(dòng)處置和安全運(yùn)維，有效提升管理能力硬件安全運(yùn)維可銷(xiāo)售服務(wù)清單-7款服務(wù)產(chǎn)品名稱(chēng)產(chǎn)品描述產(chǎn)品形態(tài)滿足的等?？刂朴虻燃?jí)保護(hù)咨詢1、定級(jí)咨詢；2、差距評(píng)估；3、方案設(shè)計(jì)；4、協(xié)助測(cè)評(píng)服務(wù)一次性安全管理機(jī)構(gòu)和人員安全策略和管理制度等級(jí)保護(hù)建設(shè)集成（行業(yè)五群CSI

周華濤）1、安全技術(shù)體系設(shè)計(jì)；2、安全管理體系設(shè)計(jì)；3、安全產(chǎn)品集成實(shí)施；4、風(fēng)險(xiǎn)評(píng)估；5、安全加固服務(wù)一次性安全建設(shè)管理滲透測(cè)試360CERT滲透測(cè)試工具采用高速滲透式掃描引擎配合漏洞驗(yàn)證手段?？梢钥焖賹?duì)大批量網(wǎng)站進(jìn)行工具滲透并對(duì)結(jié)果進(jìn)行驗(yàn)證。100%無(wú)誤報(bào)，所有漏洞均提供截圖驗(yàn)證。服務(wù)一次性安全策略和管理制度安全運(yùn)維管理基礎(chǔ)環(huán)境評(píng)估1，漏洞掃描2，對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)邊界進(jìn)行配置核查一次性，人工服務(wù)安全建設(shè)管理應(yīng)急響應(yīng)在用戶發(fā)生確切的安全事件時(shí)，應(yīng)急響應(yīng)實(shí)施人員及時(shí)采取行動(dòng)限制事件擴(kuò)散和影響的范圍，限制潛在的損失與破壞服務(wù)一次性安全運(yùn)維管理駐場(chǎng)安全保障服務(wù)安全策略優(yōu)化，定期風(fēng)險(xiǎn)評(píng)估，安全監(jiān)控服務(wù)年付安全運(yùn)維管理機(jī)構(gòu)和人員管理業(yè)務(wù)安全技能培訓(xùn)培訓(xùn)內(nèi)容從攻擊者、防御者、管理者等多角度對(duì)企業(yè)安全進(jìn)行深入淺出的解一次學(xué)員不超過(guò)10人安全管理機(jī)構(gòu)和人員THANKS解決方案負(fù)責(zé)人產(chǎn)品與解決方案中心王亮

wangliang01@周永剛

zhouyonggang@張培蔚z(mì)hangpeiwei@附錄一安全要求和屬性標(biāo)識(shí)技術(shù)/管理分類(lèi)安全控制點(diǎn)屬性標(biāo)識(shí)安全技術(shù)要求物理和環(huán)境安全物理位置選擇G物理訪問(wèn)控制G防盜竊和防破壞G防雷擊G防火G防水和防潮G防靜電G溫濕度控制G電力供應(yīng)A電磁防護(hù)S網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)架構(gòu)G通信傳輸G邊界防護(hù)G訪問(wèn)控制G入侵防范G惡意代碼防范G安全審計(jì)G集中管控G安全技術(shù)要求設(shè)備和計(jì)算安全身份鑒別S訪問(wèn)控制S安全審計(jì)G入侵防范G惡意代碼防范G資源控制A應(yīng)用和數(shù)據(jù)安全身份鑒別S訪問(wèn)控制S安全審計(jì)G軟件容錯(cuò)A資源控制A數(shù)據(jù)完整性S數(shù)據(jù)保密性S數(shù)據(jù)備份恢復(fù)A剩余信息保護(hù)S個(gè)人信息保護(hù)S安全管理要求安全策略和管理制度安全策略G管理制度G制定和發(fā)布G評(píng)審和修訂G安全管理機(jī)構(gòu)和人員崗位設(shè)置G人員配備G授權(quán)和審批G溝通和合作G審核和檢查G人員錄用G人員離崗G安全意識(shí)教育和培訓(xùn)G外部人員訪問(wèn)管理G安全管理要求安全建設(shè)管理定級(jí)和備案G安全方案設(shè)計(jì)G產(chǎn)品采購(gòu)和使用G自行軟件開(kāi)發(fā)G外包軟件開(kāi)發(fā)G工程實(shí)施G測(cè)試驗(yàn)收G系統(tǒng)交付G等級(jí)測(cè)評(píng)G服務(wù)供應(yīng)商管理G安全管理要求安全運(yùn)維管理環(huán)境管理G資產(chǎn)管理G介質(zhì)管理G設(shè)備維護(hù)管理G漏洞和風(fēng)險(xiǎn)管理G網(wǎng)絡(luò)與系統(tǒng)安全管理G惡意代碼防范管理G配置管理G密碼管理G變更管理G備份與恢復(fù)管理G安全事件處置G應(yīng)急預(yù)案管理G外包運(yùn)維管理G網(wǎng)絡(luò)和通信安全安全要求分類(lèi)安全要求細(xì)則主要應(yīng)對(duì)產(chǎn)品及功能網(wǎng)絡(luò)架構(gòu)a)

應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要；1、防火墻、網(wǎng)閘隔離安全域2、防火墻、網(wǎng)閘、行為管理、WAF、抗DDOS和堡壘機(jī)具備HA功能b)

應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；c)

應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；d)

應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在網(wǎng)絡(luò)邊界處且沒(méi)有邊界防護(hù)措施；e)

應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余，保證系統(tǒng)的可用性。通信傳輸a)

應(yīng)采用校驗(yàn)碼技術(shù)或加解密技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性；防火墻和網(wǎng)閘均可滿足b)

應(yīng)采用加解密技術(shù)保證通信過(guò)程中敏感信息字段或整個(gè)報(bào)文的保密性。邊界防護(hù)a)

應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界防護(hù)設(shè)備提供的受控接口進(jìn)行通信；防火墻和網(wǎng)閘提供訪問(wèn)控制和身份認(rèn)證b)

應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；c)

應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；行為管理具備防私接能力d)

應(yīng)限制無(wú)線網(wǎng)絡(luò)的使用，確保無(wú)線網(wǎng)絡(luò)通過(guò)受控的邊界防護(hù)設(shè)備接入內(nèi)部網(wǎng)絡(luò)。天巡網(wǎng)絡(luò)和通信安全安全要求分類(lèi)安全要求細(xì)則主要應(yīng)對(duì)產(chǎn)品及功能訪問(wèn)控制a)

應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信；防火墻、網(wǎng)閘b)

應(yīng)刪除多余或無(wú)效的訪問(wèn)控制規(guī)則，優(yōu)化訪問(wèn)控制列表，并保證訪問(wèn)控制規(guī)則數(shù)量最小化；c)

應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出；d)

應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；e)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)內(nèi)容的訪問(wèn)控制。入侵防范a)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；1、防火墻和IPS的入侵防御2、天眼的威脅檢測(cè)b)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)和限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；c)

應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測(cè)和分析；d)

當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。惡意代碼防范a)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè)和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新；防火墻和網(wǎng)閘的病毒防護(hù)功能b)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)垃圾郵件進(jìn)行檢測(cè)和防護(hù)，并維護(hù)垃圾郵件防護(hù)機(jī)制的升級(jí)和更新。網(wǎng)絡(luò)和通信安全安全要求分類(lèi)安全要求細(xì)則主要應(yīng)對(duì)產(chǎn)品及功能安全審計(jì)a)

應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)；1、防火墻、網(wǎng)閘、行為管理、抗DDOS、WAF等產(chǎn)品2、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、堡壘機(jī)、SNI、LAS等產(chǎn)品b)

審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息；c)

應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；d)

審計(jì)記錄產(chǎn)生時(shí)的時(shí)間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時(shí)鐘產(chǎn)生，以確保審計(jì)分析的正確性；e)

應(yīng)能對(duì)遠(yuǎn)程訪問(wèn)的用戶行為、訪問(wèn)互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。集中管控a)

應(yīng)劃分出特定的管理區(qū)域，對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控；1、防火墻通過(guò)SMAC做集中管控2、網(wǎng)閘可集中監(jiān)控3、SNI支持ssh網(wǎng)絡(luò)管理防火墻和網(wǎng)閘的病毒防護(hù)功能b)

應(yīng)能夠建立一條安全的信息傳輸路徑，對(duì)網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理；c)

應(yīng)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)；d)

應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析；e)

應(yīng)對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理；f)

應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類(lèi)安全事件進(jìn)行識(shí)別、報(bào)警和分析。設(shè)備和計(jì)算安全安全要求分類(lèi)安全要求細(xì)則主要應(yīng)對(duì)產(chǎn)品及功能身份鑒別a)

應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；防火墻、網(wǎng)閘、行為管理、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、堡壘機(jī)和天擎、360IDb)

應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施；c)

當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；d)

應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別。訪問(wèn)控制a)

應(yīng)對(duì)登錄的用戶分配賬號(hào)和權(quán)限；1、防火墻、網(wǎng)閘、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、堡壘機(jī)和天擎的功能完整2、行為管理、WAF、抗DDOS和漏掃支持用戶權(quán)限管理和三權(quán)分立b)

應(yīng)重命名默認(rèn)賬號(hào)或修改默認(rèn)口令；c)

應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬號(hào)，避免共享賬號(hào)的存在；d)

應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離；e)

應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則；f)

訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)；g)

應(yīng)對(duì)敏感信息資源設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問(wèn)。安全要求分類(lèi)安全要求細(xì)則主要應(yīng)對(duì)產(chǎn)品及功能安全審計(jì)a)

應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)；數(shù)據(jù)庫(kù)審計(jì)、堡壘機(jī)、天擎、行為管理、LAS和SNIb)

審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息；c)

應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；d)

應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷；e)審計(jì)記錄產(chǎn)生時(shí)的時(shí)間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時(shí)鐘產(chǎn)生，以確保審計(jì)分析的正確性入侵防范a)

應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序。1、天擎的準(zhǔn)入、綁定、漏洞管理等功能滿足2、WAF和抗DDOS可以抵御對(duì)應(yīng)的WEB攻擊和DDOS攻擊b)

應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；c)

應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制；d)

應(yīng)能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞；e)

應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。惡意代碼防范應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或采用可信計(jì)算技術(shù)建立從系統(tǒng)到應(yīng)用的信任鏈，實(shí)現(xiàn)系統(tǒng)運(yùn)行過(guò)程中重要程序或文件完整性檢測(cè)，并在檢測(cè)到破壞后進(jìn)行恢復(fù)。天擎的殺毒功能設(shè)備和計(jì)算安全安全要求分類(lèi)安全要求細(xì)則主要應(yīng)對(duì)產(chǎn)品及功能資源控制a)

應(yīng)限制單個(gè)用戶或進(jìn)程對(duì)系統(tǒng)資源的最大使用限度；行為管理、抗DDOS、WAF、堡壘機(jī)和天擎b)

應(yīng)提供重要節(jié)點(diǎn)設(shè)備的硬件冗余，保證系統(tǒng)的可用性；c)

應(yīng)對(duì)重要節(jié)點(diǎn)進(jìn)行監(jiān)視，包括監(jiān)視CPU、硬盤(pán)、內(nèi)存等資源的使用情況；d)

應(yīng)能夠?qū)χ匾?jié)點(diǎn)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。設(shè)備和計(jì)算安全應(yīng)用和數(shù)據(jù)安全安全要求分類(lèi)安全要求細(xì)則主要應(yīng)對(duì)產(chǎn)品及功能身份鑒別a)

應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，鑒別信息具有復(fù)雜度要求并定期更換；數(shù)據(jù)庫(kù)審計(jì)和堡壘機(jī)的用戶管理及認(rèn)證管理功能b)

應(yīng)提供并啟用登錄失敗處理功能，多次登錄失敗后應(yīng)采取必要的保護(hù)措施；c)

應(yīng)強(qiáng)制用戶首次登錄時(shí)修改初始口令；d)

用戶身份鑒別信息丟失或失效時(shí)，應(yīng)采用鑒別信息重置或其他技術(shù)措施保證系統(tǒng)安全；訪問(wèn)控制a)

應(yīng)提供訪問(wèn)控制功能，對(duì)登錄的用戶分配賬號(hào)和權(quán)限；網(wǎng)閘、數(shù)據(jù)庫(kù)審計(jì)和堡壘機(jī)b)

應(yīng)重命名默認(rèn)賬號(hào)或修改這些賬號(hào)的默認(rèn)口令；c)

應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬號(hào)，避免共享賬號(hào)的存在；d)

應(yīng)授予不同賬號(hào)為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；e)

應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則；f)

訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)、記錄或字段級(jí)；g)

應(yīng)對(duì)敏感信息資源設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問(wèn)。應(yīng)用和數(shù)據(jù)安全安全要求分類(lèi)安全要求細(xì)則主要應(yīng)對(duì)產(chǎn)品及功能安全審計(jì)a)

應(yīng)提供安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)；數(shù)據(jù)庫(kù)審計(jì)、堡壘機(jī)、網(wǎng)閘、LAS和SNIb)

審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息；c)

應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；d)

應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷；e)

審計(jì)記錄產(chǎn)生時(shí)的時(shí)間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時(shí)鐘產(chǎn)生，以確保審計(jì)分析的正確性。軟件容錯(cuò)a)