華為安全等保二三級方案介紹

華為等級保護解決方案（等保二、三級）目錄等級保護概述華為等級保護解決方案23網(wǎng)絡(luò)安全態(tài)勢1監(jiān)測數(shù)據(jù)顯示，互聯(lián)網(wǎng)安全形勢十分嚴峻，敲詐勒索病毒盛行，分布式拒絕服務(wù)攻擊峰值持續(xù)新高、工業(yè)控制系統(tǒng)安全風險加??！1101萬余臺主機被境外控制服務(wù)器控制，來自美國的控制服務(wù)器數(shù)量居首位，其次是俄羅斯和日本。某著名企業(yè)互聯(lián)網(wǎng)惡意程序達到253萬個，同比增長23.4%。國家信息安全漏洞共享平臺VD）所收錄的安全漏洞數(shù)量達到15955個，同比增長47.4%。

205萬余個某著名企業(yè)互聯(lián)網(wǎng)惡意程序，較上一年增長39.0%，近7年來持續(xù)保持高速增長趨勢2017年我國遭受DDoS攻擊依然嚴重，攻擊峰值流量持續(xù)攀升。大流量攻擊事件的主要攻擊方式為TCPSYNFlood、NTP反射放大攻擊和SSDP反射放大攻擊。國家信息安全漏洞共享平臺VD）共收錄通用軟硬件漏洞10822個，高危漏洞收錄數(shù)量高達4146個，占38.3%，”零日”漏洞3203個，較2015年增長82.5%2017年CERT監(jiān)測發(fā)現(xiàn)我國境內(nèi)約2萬個網(wǎng)站被篡改，較2016年的約1.7萬個增長20.0%，其中被篡改的政府網(wǎng)站有618個，較2016年的467個增長32.3%網(wǎng)站安全形勢十分嚴峻拒絕服務(wù)攻擊變成常用手段工業(yè)互聯(lián)網(wǎng)安全安全漏洞數(shù)量持續(xù)走高大量主機被木馬遠程控制互聯(lián)網(wǎng)金融安全網(wǎng)絡(luò)安全形勢嚴峻制定安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全責任人，落實網(wǎng)絡(luò)安全保護責任采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施12采取檢測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月3采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施4法律、行政法規(guī)規(guī)定的其他義務(wù)5國家實行網(wǎng)絡(luò)安全等級保護制度，安全保護義務(wù)包括：對不履行第二十一條規(guī)定的，將對運營者及直接負責的主管人員處以責令整改、警告、罰款等行政處罰，情節(jié)嚴重的還將追究刑事責任國家出臺法律強化網(wǎng)絡(luò)安全，合規(guī)需求上升為法律強制目錄等級保護概述華為等級保護解決方案23網(wǎng)絡(luò)安全態(tài)勢1等級保護定義主要內(nèi)容：實行網(wǎng)絡(luò)安全等級保護政策重視網(wǎng)絡(luò)安全風險評估工作建設(shè)和完善網(wǎng)絡(luò)安全監(jiān)控體系保證網(wǎng)絡(luò)安全資產(chǎn)健全網(wǎng)絡(luò)安全管理責任制公安機關(guān)負責信息安全等級保護工作的監(jiān)督、檢查、指導國家工作部門負責等級保護工作中有關(guān)工作的監(jiān)督、檢查、指導國家密碼管理部門負責等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導（一）某著名企業(yè)、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)、經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)（二）鐵路、銀行、海關(guān)、稅務(wù)、銀行、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源能源、交通、文化、教育、統(tǒng)計、工商行政管理、某著名企業(yè)行業(yè)部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)網(wǎng)絡(luò)安全等級保護:對信息和信息載體按照重要性等級分級別進行保護的一種工作。政策要求由公安監(jiān)督檢查各機關(guān)和行業(yè)執(zhí)行等級保護價值誰主管，誰負責誰使用，誰負責誰運營，誰負責滿足政策、法律與行業(yè)要求，安全狀況獲得公安機關(guān)認可根據(jù)信息資產(chǎn)價值實施保護，平衡安全投入與產(chǎn)出利于企業(yè)集約化運營，相同等級的信息資產(chǎn)共享相同的保護措施整體規(guī)劃，分區(qū)域,分層,分類,分級別,分階段進行建設(shè)，安全建設(shè)更加體系化滿足監(jiān)管要求明確安全責任體系化建設(shè)集約化運營等級保護工作流程

等保工作流程1、定級2、備案3、整改4、測評備案是向監(jiān)管部門告知等保建設(shè)的必要流程建設(shè)整改是等保工作落實的關(guān)鍵等級測評是評價安全保護狀況的方法定級是等級保護的首要環(huán)節(jié)5、監(jiān)督監(jiān)督檢查是等保工作外在動力等保流程各角色與關(guān)系安全廠家主管\使用\運行單位測評機構(gòu)專家組支持測評提供技術(shù)、工程和加固文檔整改實施的配合提供解決方案公安網(wǎng)監(jiān)部門測評工作組織協(xié)調(diào)確保技術(shù)、工程和質(zhì)量文檔、提供運營相關(guān)文檔的提供評審實施方案等相關(guān)文檔配合等級測評實施測評過程中的風險管理和應(yīng)急管理制定測評計劃和方案等相關(guān)文檔在相關(guān)單位支持下實施等級測評提交測評報告監(jiān)督方案評審和系統(tǒng)測評監(jiān)督確保遵守公正的測評原則和方法對評估結(jié)論進行評審測評工作組織與監(jiān)管保護等級公民、法人的合法權(quán)益社會秩序和公共利益國家安全第一級損害否否第二級嚴重損害損害否第三級/嚴重損害損害第四級/嚴重損害嚴重損害第五級//特別嚴重損害第一級：信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級：信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級：信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。等級的劃分與評定主要依據(jù)：根據(jù)系統(tǒng)被破壞后，對公民、社會、國家造成的損害程度定級。等保測評結(jié)論測評結(jié)論符合性判別依據(jù)綜合得分計算公式符合信息系統(tǒng)中未發(fā)現(xiàn)安全問題，等級測評結(jié)果中所有測評項得分均為5分。100分基本符合信息系統(tǒng)中存在安全問題，但不會導致信息系統(tǒng)面臨高等級安全風險。不符合信息系統(tǒng)中存在安全問題，而且會導致信息系統(tǒng)面臨高等級安全風險。等級測評結(jié)論為“符合、“基本符合”或者“不符合”三種新等保2.0主要變化

技術(shù)要求老等保新等保物理安全安全物理環(huán)境網(wǎng)絡(luò)安全安全通信網(wǎng)絡(luò)、安全區(qū)域邊界主機安全安全計算環(huán)境、安全管理中心應(yīng)用安全數(shù)據(jù)安全管理要求老等保新等保安全管理制度安全管理制度安全管理機構(gòu)安全管理機構(gòu)、安全管理人員人員安全管理系統(tǒng)建設(shè)管理安全建設(shè)管理系統(tǒng)運維管理安全運維管理新等保已經(jīng)于5月發(fā)布變化1：標準名稱變化變化3：各級別安全要求加粗字體：新老舊主要差異由“信息安全技術(shù)

信息系統(tǒng)安全等級保護基本要求”變更為“信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護基本要求”變化2：分類變化調(diào)整分類為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理調(diào)整各個級別的安全要求為安全通用要求、云計算安全擴展要求、某著名企業(yè)互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求變化4：安全通用要求調(diào)整老等保新等保老等保老等保新等保網(wǎng)絡(luò)和通信安全安全通信網(wǎng)絡(luò)安全區(qū)域邊界設(shè)備和計算安全應(yīng)用和數(shù)據(jù)安全安全計算環(huán)境結(jié)構(gòu)安全網(wǎng)絡(luò)架構(gòu)

身份鑒別身份鑒別身份鑒別邊界完整性檢查

邊界防護安全審計安全審計安全審計訪問控制

訪問控制入侵防范

入侵防范入侵防范

入侵防范惡意代碼防范

惡意代碼防范惡意代碼防范

惡意代碼和垃圾郵件防范資源控制

安全審計

安全審計剩余信息保護剩余信息保護剩余信息保護網(wǎng)絡(luò)設(shè)備防護

/

備份恢復數(shù)據(jù)恢復備份

可信驗證（通信設(shè)備）集中管控

資源控制訪問控制

可信驗證（邊界設(shè)備）

抗抵賴性

軟件容錯

可信驗證（計算設(shè)備）

數(shù)據(jù)的完整性數(shù)據(jù)完整性

數(shù)據(jù)的性數(shù)據(jù)的性

通信傳輸

通信的完整性

通信的性

個人信息保護新等保2.0具體通用要求重要變更入侵防范惡意代碼防范集中管控邊界防護明確限制無線網(wǎng)絡(luò)的使用對非授權(quán)終端連接內(nèi)網(wǎng)、用戶非授權(quán)外聯(lián)行為進行檢測和監(jiān)控訪問控制通信傳輸明確應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對進出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制加密傳輸在網(wǎng)絡(luò)與通信和應(yīng)用和數(shù)據(jù)都有強調(diào)，老等保在網(wǎng)絡(luò)安全處章節(jié)沒有強調(diào)應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析；應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新新等保新增為技術(shù)要求，老等保對應(yīng)管理要求，強調(diào)集中管控，集中監(jiān)測，集中分析等保技術(shù)要求子項主要內(nèi)容對應(yīng)產(chǎn)品安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)分區(qū)隔離NGFW通信傳輸采用校驗技術(shù)保證通信過程中數(shù)據(jù)的完整性NGFW（IPSec&SSLVPN）可信驗證基于可信根對通信設(shè)備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進行可信驗證，并將驗證結(jié)果形成審計記錄送至安全管理中心網(wǎng)絡(luò)設(shè)備自身可信啟動機制安全區(qū)域邊界邊界防護跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信NGFW訪問控制基于五元組的會話狀態(tài)進行訪問控制、策略優(yōu)化NGFW入侵防范在關(guān)鍵網(wǎng)絡(luò)節(jié)點處監(jiān)視網(wǎng)絡(luò)攻擊行為IPS、IDS惡意代碼防范惡意代碼檢測和清除，防護機制支持升級和更新防病毒網(wǎng)關(guān)/防火墻防病毒能力安全審計網(wǎng)絡(luò)行為審計日志審計系統(tǒng)安全計算環(huán)境身份鑒別身份唯一性、鑒別信息復雜度定期更換、登錄失敗處理功能、遠程管理過程中防鑒別信息被竊聽設(shè)備自身機制+堡壘機訪問控制用戶權(quán)限管理、管理用戶權(quán)限最小化設(shè)備自身機制安全審計用戶行為審計設(shè)備自身機制、日志審計系統(tǒng)入侵防范檢測入侵行為、非使用端口關(guān)閉、管理終端限制、發(fā)現(xiàn)已知漏洞IPS、漏洞掃描惡意代碼防范安裝防惡意代碼軟件，防護機制支持升級和更新防毒墻、主機防病毒軟件數(shù)據(jù)完整性數(shù)據(jù)防篡改NGFW、SVN、WAF數(shù)據(jù)備份恢復數(shù)據(jù)本地備份和恢復、批量數(shù)據(jù)異地備份多活數(shù)據(jù)中心剩余信息保護鑒別信息、敏感信息緩存清除應(yīng)用自身機制個人信息保護個人信息最小采集原則、訪問控制應(yīng)用自身機制安全管理中心系統(tǒng)管理應(yīng)對系統(tǒng)管理員進行身份鑒別、應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理網(wǎng)管系統(tǒng)、堡壘機審計管理應(yīng)對安全審計員進行身份鑒別、應(yīng)通過安全審計員對審計記錄應(yīng)進行分析，并根據(jù)分析結(jié)果進行處理堡壘機等保二級關(guān)鍵安全要求等保技術(shù)要求子項主要內(nèi)容對應(yīng)產(chǎn)品安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)分區(qū)隔離NGFW通信傳輸采用校驗技術(shù)保證通信過程中數(shù)據(jù)的完整性NGFW（IPSec&SSLVPN）可信驗證基于可信根對通信設(shè)備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進行可信驗證，并將驗證結(jié)果形成審計記錄送至安全管理中心網(wǎng)絡(luò)設(shè)備自身可信啟動機制安全區(qū)域邊界邊界防護跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信NGFW訪問控制五元組過濾、內(nèi)容過濾、策略優(yōu)化、基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制NGFW入侵防范已知威脅防護、新型網(wǎng)絡(luò)攻擊行為的分析、記錄攻擊源IP&類型&時間并遭受攻擊時告警IPS、IDS、探針、沙箱惡意代碼防范網(wǎng)絡(luò)防病毒、垃圾郵件過濾防病毒網(wǎng)關(guān)/防火墻防病毒能力安全審計網(wǎng)絡(luò)行為審計、用戶行為單獨審計和數(shù)據(jù)分析堡壘機安全計算環(huán)境身份鑒別身份唯一性、鑒別信息復雜度，口令、密碼技術(shù)、生物技術(shù)等雙因子及以上認證且其中一種必須為密碼技術(shù)設(shè)備自身機制+堡壘機訪問控制用戶權(quán)限管理、管理用戶權(quán)限最小化設(shè)備自身機制安全審計用戶行為審計設(shè)備自身機制、日志審計系統(tǒng)入侵防范檢測入侵行為、非使用端口關(guān)閉、管理終端限制、發(fā)現(xiàn)已知漏洞IPS、漏洞掃描惡意代碼防范安裝防惡意代碼軟件，防護機制支持升級和更新、可信驗證防毒墻、主機防病毒軟件數(shù)據(jù)完整性數(shù)據(jù)防篡改NGFW、SVN、WAF數(shù)據(jù)備份恢復數(shù)據(jù)本地備份和恢復、提供異地實時備份功能、數(shù)據(jù)處理系統(tǒng)熱冗余多活數(shù)據(jù)中心剩余信息保護鑒別信息、敏感信息緩存清除應(yīng)用自身機制個人信息保護個人信息最小采集原則、訪問控制應(yīng)用自身機制安全管理中心系統(tǒng)管理應(yīng)對系統(tǒng)管理員進行身份鑒別、應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理網(wǎng)管系統(tǒng)、堡壘機審計管理應(yīng)對安全審計員進行身份鑒別、應(yīng)通過安全審計員對審計記錄應(yīng)進行分析，并根據(jù)分析結(jié)果進行處理堡壘機、日志審計系統(tǒng)集中管控特定管理分區(qū)、統(tǒng)一網(wǎng)管和檢測、日志采集和集中分析、安全事件識別告警和分析、安全策略集中管理統(tǒng)一網(wǎng)管、安全控制器、態(tài)勢感知系統(tǒng)安全管理應(yīng)對安全管理員進行身份鑒別、應(yīng)通過安全審計員對審計記錄應(yīng)進行分析，并根據(jù)分析結(jié)果進行處理堡壘機、日志審計系統(tǒng)等保三級關(guān)鍵安全要求等級二三級差異

1、對客體侵害程度不同2、復測周期要求不同3、技術(shù)要求不同等保要求二三級主要差異對應(yīng)產(chǎn)品安全物理環(huán)境三級新增冗余供電要求冗余供電產(chǎn)品安全通信網(wǎng)絡(luò)三級新增鏈路和設(shè)備冗余要求雙機部署三級新增網(wǎng)絡(luò)的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要抗DDOS設(shè)備三級新增數(shù)據(jù)傳輸性要求VPN安全區(qū)域邊界三級增加基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制要求NGFW內(nèi)容過濾功能三級增加在關(guān)鍵節(jié)點的未知威脅檢測要求未知威脅檢測沙箱、態(tài)勢感知設(shè)備探針三級新增基于重要業(yè)務(wù)帶寬保障流控或NGFW流控功能三級新增垃圾郵件防護要求網(wǎng)絡(luò)防病毒或NGFW防病毒功能安全計算環(huán)境三級新增主機入侵檢測要求HIPS/HIDS三級新增異地容災(zāi)要求異地容災(zāi)產(chǎn)品保護等級公民、法人和其他組織的合法權(quán)益社會秩序和公共利益國家安全第二級嚴重損害損害否第三級/嚴重損害損害保護等級復測要求第二級不強制，一般兩年一測第三級強制每年一測目錄等級保護概述華為等級保護解決方案23網(wǎng)絡(luò)安全態(tài)勢1華為等保解決方案設(shè)計思想1安全管理中心2安全通信網(wǎng)絡(luò)3安全區(qū)域邊界4安全計算環(huán)境核心信息資產(chǎn)區(qū)域邊界安全防護邊界已知威脅全面防護未知威脅深度防護計算環(huán)境安全防護最小粒度的訪問策略主機防病毒和入侵數(shù)據(jù)完整性、性安全安全管理中心統(tǒng)一管理集中審計集中管控安全態(tài)勢感知通信網(wǎng)絡(luò)安全防護網(wǎng)絡(luò)架構(gòu)冗余傳輸信息加密可信設(shè)備保護物理環(huán)境建設(shè)“一個中心”管理下的“三重防護”體系其它定級系統(tǒng)安全接入/隔離設(shè)備計算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應(yīng)用服務(wù)器交換設(shè)備用戶終端安全管理中心安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計算環(huán)境安全管理中心華為等保解決方案設(shè)計模型對定級系統(tǒng)的安全策略及安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機制實施統(tǒng)一管理的平臺。對定級系統(tǒng)的信息進行存儲、處理及實施安全策略的相關(guān)部件。對定級系統(tǒng)的安全計算環(huán)境邊界，以及安全計算環(huán)境與安全通信網(wǎng)絡(luò)之間實現(xiàn)連接并實施安全策略的相關(guān)部件。對定級系統(tǒng)安全計算環(huán)境之間進行信息傳輸及實施安全策略的相關(guān)部件。華為等保解決方案安全防護措施其它定級系統(tǒng)安全接入/隔離設(shè)備計算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應(yīng)用服務(wù)器交換設(shè)備用戶終端安全管理中心安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計算環(huán)境安全管理中心DDOS清洗與準入控制邊界隔離邊界訪問控制完整性保護邊界安全審計邊界惡意代碼過濾邊界入侵防范網(wǎng)絡(luò)架構(gòu)設(shè)計與整改關(guān)鍵流量傳輸加密遠程接入流量傳輸加密流量管理控制主機安全主機安全加固

安全審計身份認證與管理終端管理主機防病毒剩余信息保護應(yīng)用安全

資源控制程序完整性保護抗抵賴技術(shù)數(shù)據(jù)安全數(shù)據(jù)備份與恢復數(shù)據(jù)防泄漏數(shù)據(jù)完整性與性安全管理中心安全審計中心系統(tǒng)管理中心集中管控中心目錄等級保護概述華為等級保護解決方案23網(wǎng)絡(luò)安全態(tài)勢1等級保護整體解決方案等級保護分區(qū)解決方案3.13.2網(wǎng)絡(luò)邊界區(qū)NGFW管理區(qū)NGFW日志審計系統(tǒng)辦公區(qū)辦公用戶辦公用戶主機殺毒軟件華為等保解決方案——二級基礎(chǔ)合規(guī)版方案說明分區(qū)分域安全設(shè)計：按照國家二級等保要求，可以將網(wǎng)絡(luò)分為：互聯(lián)網(wǎng)接入?yún)^(qū)、辦公區(qū)、安全管理區(qū)，然后分別按照等保要求進行安全方案設(shè)計：安全防御體系：NGFW【必配】：融合傳統(tǒng)防火墻安全策略、入侵防御、防病毒功能。解決安全區(qū)域邊界要求【主機殺毒軟件】【必配】：解決安全計算環(huán)境要求【日志審計系統(tǒng)】【必配】：解決安全管理中心要求【堡壘機】【必配】：解決安全管理中心->系統(tǒng)管理要求Internet堡壘機安全管理中心安全區(qū)域邊界下一代防火墻堡壘機二級基礎(chǔ)合規(guī)版方案產(chǎn)品列表日志審計系統(tǒng)安全計算環(huán)境安全通信網(wǎng)絡(luò)下一代防火墻主機殺毒軟件網(wǎng)絡(luò)邊界區(qū)NGFW管理區(qū)NGFW日志審計系統(tǒng)辦公區(qū)辦公用戶辦公用戶主機殺毒軟件華為等保解決方案——二級增強合規(guī)版方案說明分區(qū)分域安全設(shè)計：按照國家二級等保要求，可以將網(wǎng)絡(luò)分為：互聯(lián)網(wǎng)接入?yún)^(qū)、辦公區(qū)、安全管理區(qū)，然后分別按照等保要求進行安全方案設(shè)計：安全防御體系：【NGFW】【必配】：融合傳統(tǒng)防火墻安全策略、入侵防御、防病毒功能。解決安全區(qū)域邊界要求【主機殺毒軟件】【必配】：解決安全計算環(huán)境要求【日志審計系統(tǒng)】【必配】：解決安全管理中心要求【IPS】【必配】：解決安全區(qū)域邊界->入侵防御要求【堡壘機】【必配】：解決安全管理中心->系統(tǒng)管理要求IPSInternet堡壘機安全管理中心安全區(qū)域邊界下一代防火墻堡壘機二級基礎(chǔ)合規(guī)版方案產(chǎn)品列表日志審計系統(tǒng)安全計算環(huán)境安全通信網(wǎng)絡(luò)下一代防火墻主機殺毒軟件IPS網(wǎng)絡(luò)邊界區(qū)NGFW管理區(qū)堡壘機NGFW漏洞掃描日志審計系統(tǒng)辦公區(qū)辦公用戶辦公用戶主機殺毒軟件華為等保解決方案——三級基礎(chǔ)合規(guī)版整體方案說明分區(qū)分域安全設(shè)計：按照國家三級等保要求，可以將網(wǎng)絡(luò)分為：互聯(lián)網(wǎng)接入?yún)^(qū)、辦公區(qū)、安全管理區(qū)，然后分別按照等保要求進行安全方案設(shè)計：安全防御體系：【接入邊界NGFW】【必配】：融合防火墻安全策略、訪問控制功能。解決安全區(qū)域邊界要求，并開啟IPS、AV模塊功能；配置網(wǎng)絡(luò)接入控制功能（802.1X）【分區(qū)邊界NGFW】【必配】：用于解決安全分區(qū)邊界的訪問控制問題【IPS】【必配】：解決安全區(qū)域邊界->入侵防御要求【主機殺毒軟件】【必配】：解決安全計算環(huán)境要求【日志審計系統(tǒng)】【必配】：解決安全管理中心要求【堡壘機】【必配】：解決集中管控、安全審計要求【數(shù)據(jù)庫審計】【可選】：解決數(shù)據(jù)庫操作行為和內(nèi)容等進行細粒度的審計和管理，解決數(shù)據(jù)完整性要求，需要根據(jù)系統(tǒng)內(nèi)是否包含數(shù)據(jù)庫業(yè)務(wù)系統(tǒng)選擇【漏洞掃描】【必配】：解決設(shè)備和計算的入侵防護和惡意代碼防護InternetNGFWIPSIPS數(shù)據(jù)庫審計安全區(qū)域邊界下一代防火墻三級基礎(chǔ)合規(guī)版方案產(chǎn)品列表安全計算環(huán)境安全通信網(wǎng)絡(luò)下一代防火墻主機殺毒軟件IPS安全管理中心統(tǒng)一運維審計日志審計系統(tǒng)漏洞掃描數(shù)據(jù)庫審計【根據(jù)場景選擇】網(wǎng)絡(luò)邊界區(qū)Anti-DDOSNGFW管理區(qū)堡壘機NGFW漏洞掃描日志審計系統(tǒng)APT沙箱IPS辦公區(qū)辦公用戶辦公用戶主機殺毒軟件態(tài)勢感知上網(wǎng)行為管理華為等保解決方案——三級增強合規(guī)版整體方案說明分區(qū)分域安全設(shè)計：按照國家三級等保要求，可以將網(wǎng)絡(luò)分為：互聯(lián)網(wǎng)接入?yún)^(qū)、辦公區(qū)、安全管理區(qū)，然后分別按照等保要求進行安全方案設(shè)計：安全防御體系：三級基本合規(guī)版：不再贅述【防毒墻】【可選】通過防火墻的AV功能，解決惡意病毒的檢測【Anti-DDoS】【可選】：解決互聯(lián)網(wǎng)流量型攻擊，保障安全區(qū)域邊界->入侵防御要求【APT沙箱】【必選】：解決新型網(wǎng)絡(luò)攻擊行為的分析的網(wǎng)絡(luò)和通信安全要求【態(tài)勢感知探針】【可選】：解決新型網(wǎng)絡(luò)攻擊行為的分析能力，保障安全區(qū)域邊界->入侵防御要求，復用NGFW的能力【上網(wǎng)行為管理】【可選】：解決基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制，保障安全區(qū)域邊界->訪問控制要求【態(tài)勢感知】【必選】：保障安全管理中心->安全管理要求InternetNGFWIPS探針探針數(shù)據(jù)庫審計防毒墻防毒墻安全通信網(wǎng)絡(luò)下一代防火墻三級增強合規(guī)版方案產(chǎn)品列表安全計算環(huán)境主機殺毒軟件安全管理中心統(tǒng)一運維審計日志審計系統(tǒng)網(wǎng)絡(luò)管理平臺漏洞掃描態(tài)勢感知系統(tǒng)安全區(qū)域邊界下一代防火墻IPS抗DDoSAPT沙箱上網(wǎng)行為管理【可選】態(tài)勢感知探針數(shù)據(jù)庫審計【根據(jù)場景選擇】防毒墻【可選】普通終端辦公用戶無線環(huán)境互聯(lián)網(wǎng)接入?yún)^(qū)WEB應(yīng)用服務(wù)器E-mail服務(wù)器NGFWAPT沙箱NGFW數(shù)據(jù)庫服務(wù)器核心業(yè)務(wù)區(qū)外網(wǎng)辦公區(qū)NGFWWAF數(shù)據(jù)庫審計數(shù)據(jù)庫審計WAFSSLVPNSSLVPNIPS日志審計系統(tǒng)安全管理區(qū)網(wǎng)絡(luò)管理平臺堡壘機NGFWISP2ISP1公眾用戶遠程辦公分支機構(gòu)、辦事處SSLVPNVPNAnti-DDOS核心交換機WEB應(yīng)用服務(wù)器三級業(yè)務(wù)應(yīng)用服務(wù)器統(tǒng)一認證管理系統(tǒng)二級業(yè)務(wù)應(yīng)用服務(wù)器互聯(lián)網(wǎng)業(yè)務(wù)發(fā)布區(qū)網(wǎng)閘內(nèi)前置機外前置機ASGNGFW內(nèi)網(wǎng)終端辦公用戶內(nèi)網(wǎng)辦公區(qū)漏洞掃描態(tài)勢感知終端殺毒軟件終端殺毒軟件政府行業(yè)業(yè)務(wù)全網(wǎng)等保方案——三級高級合規(guī)版安全控制平臺防毒墻安全管理中心安全區(qū)域邊界下一代防火墻IPS防毒墻【可選】抗DDoS統(tǒng)一運維審計三級等保方案高級版產(chǎn)品列表APT沙箱日志審計系統(tǒng)網(wǎng)絡(luò)管理平臺漏洞掃描上網(wǎng)行為管理【可選】安全計算環(huán)境WAF數(shù)據(jù)庫審計主機殺毒軟件HIPS/HIDS安全通信網(wǎng)絡(luò)下一代防火墻SVN安全控制器網(wǎng)閘（特定行業(yè)）大數(shù)據(jù)安全分析IPS目錄等級保護概述華為等級保護解決方案23網(wǎng)絡(luò)安全態(tài)勢1等級保護整體解決方案等級保護分區(qū)解決方案3.13.2安全通信網(wǎng)絡(luò)——加密傳輸解決方案方案特點分支機構(gòu)和總部建立IPSecVPN隧道防止傳出信息被偵聽某著名企業(yè)終端和PC建立SSLVPN加密隧道，保證數(shù)據(jù)及應(yīng)用傳輸?shù)陌踩K端管理系統(tǒng):外網(wǎng)用戶的接入控制FW（含IPSecVPN）:防火墻支持商密、國密等多種VPN高強度加密算法安全區(qū)域邊界安全通信網(wǎng)絡(luò)合規(guī)要求等級保護（三級）安全通用要求：

：通信傳輸：加密傳輸、數(shù)據(jù)的完整性、數(shù)據(jù)的性：邊界防護：外網(wǎng)用戶的接入控制統(tǒng)一入口數(shù)據(jù)中心網(wǎng)絡(luò)出口FWVPN網(wǎng)關(guān)AD/LDAP/Radius認證審計SVN（遠程安全接入網(wǎng)關(guān)）PC終端用戶某著名企業(yè)終端用戶日志審計系統(tǒng)InternetVPDN專網(wǎng)VPN加密隧道安全通信網(wǎng)絡(luò)——準入控制解決方案用戶接入管理：支持多種認證方式MAC/802.1x/Portal認證多種網(wǎng)絡(luò)設(shè)備的策略統(tǒng)一部署合規(guī)要求等級保護（三級）安全通用要求：：邊界防護：外網(wǎng)用戶的接入控制：安全策略、補丁集中管理辦公用戶辦公用戶辦公用戶MAC/802.1x/Portal認證統(tǒng)一準入控制中心(CampusController)數(shù)據(jù)中心網(wǎng)絡(luò)辦公區(qū)安全區(qū)域邊界安全通信網(wǎng)絡(luò)DDoS檢測設(shè)備ISP1ISP2DDoS清洗設(shè)備DDoS管理中心數(shù)據(jù)中心網(wǎng)絡(luò)IPS防火墻上網(wǎng)行為管理沙箱防病毒網(wǎng)關(guān)解決方案AntiDDoS：防止對網(wǎng)絡(luò)的DDoS攻擊負載均衡：通過NGFW實現(xiàn)互聯(lián)網(wǎng)多出口鏈路的負載均衡IPS：對異常流量進行檢測和阻斷防病毒網(wǎng)關(guān)針對HTTP、FTP、郵件等應(yīng)用協(xié)議的防病毒功能，防止病毒在網(wǎng)絡(luò)傳播擴散沙箱對未知惡意文件的檢測，并與防火墻聯(lián)動，防護APT攻擊FW提供安全控制和隔離，防止非法訪問上網(wǎng)行為管理：針對網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查合規(guī)要求等級保護（三級）安全通用要求：

網(wǎng)絡(luò)架構(gòu)：區(qū)域隔離，流量控制、高峰期帶寬保證，鏈路均衡

邊界防護：安全策略控制

訪問控制：訪問策略控制

入侵防范：未知威脅檢測、入侵檢測、防護、大流量攻擊防護

惡意代碼防范：防病毒安全區(qū)域邊界

安全區(qū)域邊界安全通信網(wǎng)絡(luò)解決方案送檢未知文件：防火墻或IPS檢測并攔截含已知威脅的文件，還原流量中的未知文件上傳給沙箱進行檢測未知文件檢測：沙箱在虛擬執(zhí)行環(huán)境中執(zhí)行檢測文件，分析檢測文件行為是否具備惡意，并進行威脅標識聯(lián)動阻斷：防火墻或IPS緩存檢測結(jié)果并實施攔截防止再次感染多維度顯示和告警：日志審計系統(tǒng)通過關(guān)聯(lián)分析進行多維度展示和告警，確定疑似受攻擊用戶或設(shè)備，作為調(diào)整策略的參考方案特點防御未知，增強防御體系完整性自動聯(lián)動，檢測結(jié)果與安全設(shè)備直接聯(lián)動，在入口阻斷未知威脅合規(guī)要求等級保護（三級）安全通用要求：

入侵防范：未知威脅檢測

惡意代碼防范：防病毒EEE終端管理系統(tǒng)E郵件服務(wù)器安全沙箱日志審計系統(tǒng)下一代防火墻Internet安全區(qū)域邊界——未知威脅防御

安全區(qū)域邊界安全通信網(wǎng)絡(luò)安全計算環(huán)境——主機安全漏掃主機入侵檢測（HIDS）主機殺毒軟件服務(wù)器辦公終端日志審計系統(tǒng)合規(guī)要求解決方案等級保護（三級）安全通用要求：入侵防范：系統(tǒng)漏洞管理、入侵檢測、終端接入范圍限制7.1.3,2訪問控制：主機訪問控制策略

惡意代碼防范：防病毒

身份鑒別：身份標識和鑒別

安全審計：終端、主機日志審計漏洞掃描，靜態(tài)的評估主機系統(tǒng)的風險軟件主機殺毒/HIPS/HIDS:惡意代碼防范、防病毒日志審計：事后審計管理區(qū)服務(wù)器區(qū)辦公區(qū)安全區(qū)域邊界安全通信網(wǎng)絡(luò)安全計算環(huán)境——Web安全Web應(yīng)用網(wǎng)頁防篡改事先檢查與防護NGFWAPT沙箱WAF事中檢測與防御漏洞掃描事前事中事后漏洞掃描沙箱+FW+WAFCIS大數(shù)據(jù)安全分析平臺(CIS)解決方案方案特點事前檢查：WEB漏洞掃描事中檢測：沙箱、FW、WAF、網(wǎng)頁防篡改事后分析：數(shù)據(jù)分析和協(xié)同，事前、事中、事后處理的結(jié)果統(tǒng)一匯聚到CIS進行關(guān)聯(lián)分析，對安全態(tài)勢進行實時感知基于沙箱構(gòu)建未知WEB威脅防御能力構(gòu)建針對WEB應(yīng)用核心資源的“事先檢查與防護、事中檢測與防御、事后審計與回溯”的全生命周期防御合規(guī)要求等級保護（三級）安全通用要求：

入侵防范：系統(tǒng)漏洞管理

入侵防范：未知威脅檢測

訪問控制：業(yè)務(wù)系統(tǒng)的訪問控制策略

數(shù)據(jù)的完整性：業(yè)務(wù)系統(tǒng)數(shù)據(jù)的完整性安全區(qū)域邊界安全通信網(wǎng)絡(luò)安全計算環(huán)境——數(shù)據(jù)庫安全外部人員應(yīng)用系統(tǒng)管理人員數(shù)據(jù)庫集群UMA漏洞掃描數(shù)據(jù)庫審計事前事中事后漏洞掃描UMA數(shù)據(jù)庫審計解決方案方案特點漏洞掃描：靜態(tài)的評估數(shù)據(jù)庫系統(tǒng)的風險UMA：細粒度訪問控制，防止敏感數(shù)據(jù)泄漏、篡改數(shù)據(jù)庫審計：全面審計，對數(shù)據(jù)的訪問進行全方位的監(jiān)控和記錄，便于事后審計和追查構(gòu)建針對數(shù)據(jù)庫應(yīng)用核心資源的“事先檢查與防護、事中檢測與防御、事后審計與回溯”的全生命周期防御合規(guī)要求等級保護（三級）安全通用要求：

入侵防范：系統(tǒng)漏洞管理

訪問控制：數(shù)據(jù)庫系統(tǒng)的訪問控制策略

安全審計：數(shù)據(jù)庫系統(tǒng)的日志統(tǒng)一審計安全區(qū)域邊界安全通信網(wǎng)絡(luò)安全計算環(huán)