華為安全等保二、三級方案介紹

華為等級保護解決方案（等保二、三級）國家出臺法律強化網(wǎng)絡安全，合規(guī)需求上升為法律強制1122采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施4455網(wǎng)絡安全等級保護網(wǎng)絡安全等級保護:對信息和信息載體按照重要性等級分級別進行保護的一種工作。政策要求由公安監(jiān)督檢查各機關和行業(yè)執(zhí)行政策要求由公安監(jiān)督檢查滿足監(jiān)管要求明確安全責任體系化建設集約化運營階段進行建設，安全建設更加體系化優(yōu)化安全收益等保工作流程1、定級2、備案5、監(jiān)督3、整改4、測評1、定級2、備案5、監(jiān)督3、整改\運行單位\運行單位特別嚴重損害。主要依據(jù)：根據(jù)系統(tǒng)被破壞后，對公民、社會、國家造成的損害程度定級。否否否////害等保測評結論等級測評結論為“符合、“基本符合”或者“不符測評結論符合性判別依據(jù)綜合得分計算公式符合信息系統(tǒng)中未發(fā)現(xiàn)安全問題，等級測評結果中所有測評項得分均為5分。100分基本符合信息系統(tǒng)中存在安全問題，但不會導致信息系統(tǒng)面臨高等級安全風不符合信息系統(tǒng)中存在安全問題，而且會導致信息系統(tǒng)面臨高等級安全風新等保已經(jīng)于5月發(fā)布變化1：標準名稱變化變化3：各級別安全要求由“信息安全技術信息系統(tǒng)安全等級保護基本要求”變更為“信息安全技術網(wǎng)絡安全等級保護基本要求”調整分類為安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理技術要求老等保新等保物理安全安全物理環(huán)境網(wǎng)絡安全安全通信網(wǎng)絡、安全區(qū)域邊界主機安全安全計算環(huán)境、安全管理中心應用安全數(shù)據(jù)安全管理要求老等保新等保安全管理制度安全管理制度安全管理機構安全管理機構、安全管理人員人員安全管理系統(tǒng)建設管理安全建設管理系統(tǒng)運維管理安全運維管理調整各個級別的安全要求為安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求/新等保2.0具體通用要求重要變更控 邊界防護 入侵防范 訪問控制新惡意代碼防范 通信傳輸析 集中管控等保技術要求子項主要內容對應產(chǎn)品基于可信根對通信設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和通信應用程序跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進身份唯一性、鑒別信息復雜度定期更換、登錄失敗處理功能、遠程管理過程中防檢測入侵行為、非使用端口關閉、管理終端限制、發(fā)現(xiàn)應對系統(tǒng)管理員進行身份鑒別、應通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制理等保技術要求子項主要內容對應產(chǎn)品基于可信根對通信設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和通信應用程序跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進五元組過濾、內容過濾、策略優(yōu)化、基于應用協(xié)議和應用內容的已知威脅防護、新型網(wǎng)絡攻擊行為的分析、記錄攻擊源IP檢測入侵行為、非使用端口關閉、管理終端限制、發(fā)現(xiàn)數(shù)據(jù)本地備份和恢復、提供異地實時備份功能、數(shù)據(jù)處理系統(tǒng)熱應對系統(tǒng)管理員進行身份鑒別、應通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制理特定管理分區(qū)、統(tǒng)一網(wǎng)管和檢測、日志采集和統(tǒng)應對安全管理員進行身份鑒別、應通過安全審保護等級復測要求第二級保護等級復測要求第二級不強制，一般兩年一測第三級強制每年一測保護等級公民、法人和其他組織的合法權益社會秩序和公共利益國家安全第二級嚴重損害損害否第三級/嚴重損害損害安全物理環(huán)境三級新增冗余供電要求冗余供電產(chǎn)品安全通信網(wǎng)絡三級新增鏈路和設備冗余要求雙機部署三級新增網(wǎng)絡的業(yè)務處理能力滿足業(yè)務高峰期需要抗DDOS設備三級新增數(shù)據(jù)傳輸保密性要求VPN安全區(qū)域邊界三級增加基于應用協(xié)議和應用內容的訪問控制要求NGFW內容過濾功能三級增加在關鍵節(jié)點的未知威脅檢測要求未知威脅檢測沙箱、態(tài)勢感知設備探針三級新增基于重要業(yè)務帶寬保障流控或NGFW流控功能三級新增垃圾郵件防護要求網(wǎng)絡防病毒或NGFW防病毒功能安全計算環(huán)境三級新增主機入侵檢測要求HIPS/HIDS三級新增異地容災要求異地容災產(chǎn)品建設“一個中心”管理下的“三重防護”體系3.1等級保護整體解決方案3.2等級保護分區(qū)解決方案網(wǎng)絡邊界區(qū)管理區(qū)辦公區(qū)系統(tǒng)堡壘機管理區(qū)辦公區(qū)系統(tǒng)堡壘機辦公用戶辦公用戶辦公用戶方案說明n分區(qū)分域安全設計：按照國家二級等保要求，可以將網(wǎng)絡分為：互聯(lián)網(wǎng)接入?yún)^(qū)、辦公區(qū)、安全管理區(qū)，然后分別按照等保要求進行安全方案設計：n安全防御體系：NGFW【必配】：融合傳統(tǒng)防火墻安全策略、入侵防御、防病毒功能。解決安全區(qū)域邊界要求【主機殺毒軟件】【必配】：解決安全計算環(huán)境要求【日志審計系統(tǒng)】【必配】：解決安全管理中心要求【堡壘機】【必配】：解決安全管理中心->系統(tǒng)管理要求日志審計系統(tǒng)堡壘機日志審計系統(tǒng)堡壘機下一代防火墻下一代防火墻下一代防火墻下一代防火墻主機殺毒軟件主機殺毒軟件網(wǎng)絡邊界區(qū)管理區(qū)堡壘機辦公區(qū)系統(tǒng)管理區(qū)堡壘機辦公區(qū)系統(tǒng)辦戶辦公用戶方案說明n分區(qū)分域安全設計：按照國家二級等保要求，可以將網(wǎng)絡分為：互聯(lián)網(wǎng)接入?yún)^(qū)、辦公區(qū)、安全管理區(qū)，然后分別按照等保要求進行安全方案設計：n安全防御體系：【NGFW】【必配】：融合傳統(tǒng)防火墻安全策略、入侵防御、防病毒功能。解決安全區(qū)域邊界要求【主機殺毒軟件】【必配】：解決安全計算環(huán)境要求【日志審計系統(tǒng)】【必配】：解決安全管理中心要求【IPS】【必配】：解決安全區(qū)域邊界->入侵防御要求【堡壘機】【必配】：解決安全管理中心->系統(tǒng)管理要求日志審計系統(tǒng)堡壘機日志審計系統(tǒng)堡壘機下一代防火墻下一代防火墻下一代防火墻下一代防火墻主機殺毒軟件主機殺毒軟件網(wǎng)絡邊界區(qū)管理區(qū)堡壘機數(shù)據(jù)庫審計辦公區(qū)辦公區(qū)漏洞掃描公用戶公用戶辦辦公用戶公用戶辦整體方案說明n分區(qū)分域安全設計：按照國家三級等保要求，可以將網(wǎng)絡分為：互聯(lián)網(wǎng)接入?yún)^(qū)、辦公區(qū)、安全管理區(qū)，然后分別按照等保要求進行安全方案設計：n安全防御體系：【接入邊界NGFW】【必配】：融合防火墻安全策略、訪問控制功能。解決安全區(qū)域邊界要求，并開啟IPS、AV模塊功能；配置網(wǎng)絡接入控制功能（802.1X）【分區(qū)邊界NGFW】【必配】：用于解決安全分區(qū)邊界的訪問控制問題【IPS】【必配】：解決安全區(qū)域邊界->入侵防御要求【主機殺毒軟件】【必配】：解決安全計算環(huán)境要求【日志審計系統(tǒng)】【必配】：解決安全管理中心要求【堡壘機】【必配】：解決集中管控、安全審計要求【數(shù)據(jù)庫審計】【可選】：解決數(shù)據(jù)庫操作行為和內容等進行細粒度的審計和管理，解決數(shù)據(jù)完整性要求，需要根據(jù)系統(tǒng)內是否包含數(shù)據(jù)庫業(yè)務系統(tǒng)選擇【漏洞掃描】【必配】：解決設備和計算的入侵防護和惡意代碼防護下一代防火墻下一代防火墻下一代防火墻下一代防火墻主機殺毒軟件主機殺毒軟件公用戶公用戶網(wǎng)絡邊界區(qū)Anti-DDOS管理區(qū)堡壘機態(tài)勢感知數(shù)據(jù)庫審計計系統(tǒng)辦公區(qū)漏洞掃描辦辦公用戶公用戶網(wǎng)絡邊界區(qū)Anti-DDOS管理區(qū)堡壘機態(tài)勢感知數(shù)據(jù)庫審計計系統(tǒng)辦公區(qū)漏洞掃描辦辦整體方案說明n分區(qū)分域安全設計：按照國家三級等保要求，可以將網(wǎng)絡分為：互聯(lián)網(wǎng)接入?yún)^(qū)、辦公區(qū)、安全管理區(qū)，然后分別【防毒墻】【可選】通過防火墻的AV功能，解決惡【Anti-DDoS】【可選】：解決互聯(lián)網(wǎng)流量型攻擊，保障【APT沙箱】【必選】：解決新型網(wǎng)絡攻擊行為的分析的【態(tài)勢感知探針】【可選】：解決新型網(wǎng)絡攻擊行為的分析能力，保障安全區(qū)域邊界->入侵防御要求，復用NGFW【上網(wǎng)行為管理】【可選】：解決基于應用協(xié)議和應用內【態(tài)勢感知】【必選】：保障安全管理中心->安全管理要求下一代防火墻下一代防火墻主機殺毒軟件主機殺毒軟件安全管理區(qū)網(wǎng)絡管理平臺安全控制平臺堡壘機漏洞掃描日志審計系統(tǒng)態(tài)勢感知WEB應用服務器E-mail服務器內部核心業(yè)務區(qū)NGFW數(shù)據(jù)庫審計數(shù)據(jù)庫服務器數(shù)據(jù)庫審計WEB應用服務器E-mail服務器內部核心業(yè)務區(qū)NGFW數(shù)據(jù)庫審計數(shù)據(jù)庫服務器數(shù)據(jù)庫審計內網(wǎng)辦公區(qū)內網(wǎng)終端辦公用戶NGFW終端殺毒軟件NGFWSSLVPN遠程辦公SSLVPNISP1ISP2分支機構、VPNISP1ISP2分支機構、VPN互聯(lián)網(wǎng)接入?yún)^(qū)Anti-DDOSNGFWSSLVPNIPS防毒墻公眾用戶互聯(lián)網(wǎng)接入?yún)^(qū)Anti-DDOSNGFWSSLVPNIPS防毒墻SSLVPNAPT沙箱內前置機外前置機內前置機網(wǎng)閘核心交換機外網(wǎng)辦公區(qū)NGFWASG普通終端辦公用戶無線環(huán)境用戶終端殺毒軟件辦事處互聯(lián)網(wǎng)業(yè)務發(fā)布區(qū)WAFNGFWWAFWEB應用服務器三級業(yè)務應用服務器統(tǒng)一認證管理系統(tǒng)二級業(yè)務應用服務器3.1等級保護整體解決方案3.2等級保護分區(qū)解決方案分支機構移動終端用戶PC終端用戶PC終端用戶VPNVPN加密隧道安全通信網(wǎng)絡安全通信網(wǎng)絡安全區(qū)域邊界安全計算環(huán)境安全管理中心合規(guī)要求解決方案n移動終端和PC建立SSLVPN加密隧道，保證數(shù)n終端管理系統(tǒng):外網(wǎng)用戶的接入控制方案特點安全通信網(wǎng)絡安全通信網(wǎng)絡安全區(qū)域邊界安全計算環(huán)境安全管理中心辦公區(qū)統(tǒng)一準入控制中心(CampusController)MAC/802.1x/Portal認證合規(guī)要求解決方案安全管理中心安全通信網(wǎng)絡安全區(qū)域邊界安全管理中心安全通信網(wǎng)絡安全區(qū)域邊界安全計算環(huán)境合規(guī)要求合規(guī)要求解決方案安全沙箱下一代防火墻日志審計系統(tǒng)EEEEEEE安全通信網(wǎng)絡安全通信網(wǎng)絡安全區(qū)域邊界安全計算環(huán)境安全管理中心合規(guī)要求解決方案方案特點安全通信網(wǎng)絡安全區(qū)域邊界安全通信網(wǎng)絡安全區(qū)域邊界安全計算環(huán)境安全管理中心管理區(qū)服務器區(qū)服務器區(qū)辦公區(qū)服務器合規(guī)要求解決方案安全通信網(wǎng)絡安全通信網(wǎng)絡安全區(qū)域邊界安全計算環(huán)境安全管理中心合規(guī)要求合規(guī)要求解決方案方案特點安全通信網(wǎng)絡安全通信網(wǎng)絡安全區(qū)域邊界安全計算環(huán)境安全管理中心合規(guī)要求合規(guī)要求事前事中事后漏洞掃描UMA數(shù)據(jù)庫審計解決方案方案特點安全通信網(wǎng)絡安全通信網(wǎng)絡安全區(qū)域邊界安全計算環(huán)境安全管理中心合規(guī)要求合規(guī)要求解決方案力方案特點方案特點管理區(qū)大數(shù)據(jù)安全分析平臺統(tǒng)一運大數(shù)據(jù)安全分析平臺統(tǒng)一運維審計日志審計系統(tǒng)漏洞掃描安全控制器安全通信網(wǎng)絡安全通信網(wǎng)絡安全區(qū)域邊界安全計算環(huán)境安全管理中心合規(guī)要求解決方案方案特點安全通信網(wǎng)絡安全通信網(wǎng)絡安全區(qū)域邊界安全計算環(huán)境安全管理中心理理理理理理理理理理置置合規(guī)要求合