民生行業等級保護安全建設方案民生行業等級保護安全建設方案PART/01標準介紹PART/02PART/03PART/04建設清單CONTENTS/目錄PART/05等保優勢建設方案行業現狀360企業安全.民生行業

PART/01標準介紹PART/02PART/0PART/01等級保護標準介紹360企業安全.民生行業

PART/01等級保護標準介紹360企業安全.民生行業3網絡安全法第二十一條

國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；第二十五條

網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。2014年2月首次在政府工作報告中提及2016年7月5日網絡安全法草案二審稿啟動關鍵信息基礎設施全國檢查工作2016年7月8日2016年11月1日網絡安全法草案三審稿人大常委會表決通過網絡安全法2016年11月7日2016年12月末結束關鍵信息基礎設施全國檢查工作實施網絡安全法2017年6月1日應急響應：將監測預警與應急處置工作制度化、法制化，明確國家建立網絡安全監測預警和信息通報制度。CII保護：《網絡安全法》明確了對國家關鍵信息基礎設施（簡稱CII）要加強安全保護，初步給出了CII的范圍，在法案第三章專門對關鍵信息基礎設施的運行安全提出了具體要求。等保制度：《網絡安全法》明確國家實行網絡安全等級保護制度。網絡運營者應當按照網全等級保護制度的要求，切實加強網絡安全建設日志留存：記錄網絡運行狀態、網絡安全事件的技術措并按照規定留存相關的網絡日志不少于六個月。網絡安全法草案一審稿2015年7月7日網絡安全法第二十一條國家實行網絡安全等級保護制度。網絡運4等保2.0擴展—安全通用要求+五個擴展分冊GB/T22239.1-XXXX信息安全技術網絡安全等級保護基本要求第1部分安全通用要求GB/T22239.2-XXXX信息安全技術網絡安全等級保護基本要求第2部分云計算安全擴展要求GB/T22239.3-XXXX信息安全技術網絡安全等級保護基本要求第3部分移動互聯安全擴展要求GB/T22239.4-XXXX信息安全技術網絡安全等級保護基本要求第4部分物聯網安全擴展要求GB/T22239.5-XXXX信息安全技術網絡安全等級保護基本要求第5部分工業控制系統安全擴展要求GB/T22239.6-XXXX信息安全技術網絡安全等級保護基本要求第6部分大數據安全擴展要求等保2.0擴展—安全通用要求+五個擴展分冊GB/T22239三級安全控制項1.0：290項技術136管理154技術要求應用和數據安全設備和計算安全網絡和通信安全物理和環境安全管理要求安全策略和管理制度安全管理機構和人員安全建設管理安全運維管理等保三級安全的控制項技術要求數據安全及備份恢復應用安全主機安全網絡安全物理安全管理要求系統運維管理系統建設管理人員安全管理安全管理機構安全管理制度三級安全控制項2.0：229項技術116管理113三級安全控制項1.0：技術要求應用和數據安全設備和計算安全網等級保護生命周期安全服務定級備案安全設計實施安全運行維護應急響應保障總體安全規劃等保咨詢服務安全規劃設計服務等保集成服務安全運維服務系統調查系統定級定級報告專家評審協助備案安全需求分析安全策略設計解決方案設計安全建設規劃詳細設計技術實現管理實現安全培訓運行管理服務商管控等級測評檢測改進基礎環境評估服務現場評估報告編制應急預案監測響應評估改進應急保障安全應急服務行業/領域主管部門屬地公安機關有等保建設資質的廠商，設計院等有等保建設資質的廠商等保用戶專業安全廠商等保用戶專業安全廠商等級保護生命周期安全服務定級備案安全設計實施安全運行維護應急PART/02行業現狀概覽360企業安全.民生行業

PART/02行業現狀概覽360企業安全.民生行業8“十二五”國家政務信息化工程與金保二期工程關系“十二五”國家政務信息化工程與金保二期工程關系9人力資源和社會保障事業發展“十三五”規劃綱要加快實施人力資源和社會保障信息化建設工程，建設人力資源和社會保障信息資源庫，繼續推進信息系統和數據省級集中。加快推進人員、單位、管理服務機構等基礎信息庫及異地就醫聯網結算、社保關系轉移接續、公共就業信息服務、就業信息監測等重點建設任務。積極實施“互聯網+人社”行動，促進勞動就業、社會保障、人才服務等工作與互聯網深度融合。建立一體化公共服務信息平臺，逐步實現線上線下服務渠道的有機銜接，形成跨領域、跨部門、跨層級的聯動服務能力。加快推進社會保障卡應用，實現社會保障一卡通。加快推動信息資源開發利用，構建大數據應用體系。依托政府數據共享交換平臺，實現與相關政府部門的協同共享，逐步拓展基于互聯網等社會化途徑的信息資源獲取途徑。運用云計算技術，提升信息化基礎設施的支撐保障能力。逐步建成全網安全監測系統，提升信息安全保障能力。十三五規劃的網絡安全部分主要是金保二期工程建設內容。人力資源和社會保障事業發展“十三五”規劃綱要加快實施人力資源10金保二期工程網絡安全目標金保工程二期基礎安全防護系統建設目標1套體系2個重點3個全面4項機制建立一套包括技術和管理兩方面，外防和內控兼顧，以縱深防御、分等級分區域保護為核心的綜合安全防護體系。重點解決應用安全和數據安全兩方面突出問題。全面通過等級保護測評防火墻、入侵檢測和防護系統、網絡監控和審計系統等邊界防護系統全面部署到網絡互聯邊界數據訪問控制和審計功能全面配置到核心業務區域的重要系統加強信息安全風險評估和測評工作機制信息安全通報和檢查機制信息安全應急處理協調機制信息安全綜合管理和監督機制的四項安全保障機制的建設。金保二期工程網絡安全目標金保工程二期基礎安全防護系統建設目標11金保工程二期安全建設內容部省兩級基礎安全防護、電子認證體系、災備系統，納入全國統一立項的金保工程二期建設任務，主要內容包括：1. 按照信息安全等級保護基本要求，結合金保工程已建、新建和改擴建信息系統對信息安全防護能力的差異性安全需求分析，立足于金保工程一期信息安全建設成果，完善部、省、市各級人力資源社會保障部門的基礎安全防護系統的建設。2. 優化網絡結構，合理劃分網絡安全防護邊界和安全區域，實現縱深防御、區域訪問控制和有效安全隔離。3. 按照互聯部門業務數據和用戶屬性分類規劃統一的數據交換區，實現網絡互聯出入口的集中防護和監控。4. 建立重要信息系統、重要網絡區域的安全監控和審計機制。5. 加強面向互聯網業務信息系統的安全防護和監控，建立網站防滲透、防篡改、防信息泄露和安全監測審計機制。6. 加強關鍵業務數據的防丟失、防泄露和防篡改。7. 加強信息安全風險評估和測評工作,建立信息安全等級保護綜合工作平臺，落實信息安全等級保護的各項制度和要求。8. 建立和完善信息安全監控平臺和安全審計平臺。在部、省、市各級網絡系統部署統一信息安全監控平臺和安全審計平臺，實現邊界防御、網絡監控、主機監控、應用保護和桌面終端安全的全方位安全審計和安全監管功能。9. 建立和完善安全管理機制和組織體系，建立健全信息安全應急處理協調機制、安全通報機制和制度化專業化的檢查機制，提高對網絡安全事件應對和防范能力。金保工程二期安全建設內容部省兩級基礎安全防護、電子認證體系、12行業等級保護現狀金保二期等級保護安全建設目標：部級信息系統的信息安全等級保護符合度達到85%以上，省級達到80%以上，市級達到75%以上。全國已定級備案系統：988個，還未定級350個。系統定級情況：一級系統占比1.39%,二級系統占比43.01%,三級系統占比55.4%,四級系統占比0.2%整改系統情況：未整改645個，已整改693個。測評情況：未測評790個，已測評548。業務模式：省集中模式（青海、寧夏、內蒙），其余省份的業務系統多數在市級。目前正在由市集中向省集中遷移。等級保護安全建設是人社行業最大的安全需求，資金來源于金保二期，市級等級保護建設需求大。行業等級保護現狀金保二期等級保護安全建設目標：部級信息系統的13網絡架構概述面向互聯網用戶的業務應用，如網站、12333等；部、省、市各自建設，沒有互聯關系。安全部分按照等級保護標準建設，最高三級。人社行業主要業務區，數據生產匯集；部、省、市各自建設，部具備指導檢查權力，網絡互聯，最終全國數據匯集到部里。業務系統多數集中在地市中，目前正在進行省集中，如內蒙、青海等。安全部分按照等級保護標準建設，最高三級。接入電子政務外網。終端不允許上外網，業務數據通過網閘與公眾服務網交互。內部業務系統，如OA等。部、省、市各自建設。FJBH，JM級。公眾服務網業務專網內部辦公網網絡架構概述面向互聯網用戶的業務應用，如網站、12333等；14人社業務內容人社業務內容15PART/03建設設計360企業安全.民生行業

PART/03建設設計360企業安全.民生行業16部級網絡架構兩地三中心雙活數據中心省生產中心、部生產中心間，利用電子政務外網人社專用MPLSVPN部署生產雙鏈路，承載生產業務流量、視頻流量，保證鏈路可靠性，并進行負載分擔。在省同城災備至部同城災備中心間，部署災備單鏈路，當生產雙鏈路故障時（部生產中心發生災難時），災備單鏈路可承載災備業務流量，提高省、部中心間連接的可靠性，保證業務流量不中斷。部同城災備中心、異地災備中心間，采用電子政務外網人社專用MPLS專線或電信運營商專線連接，形成部級三中心環狀網絡，提高部級三中心互聯的可靠性。當其中一條中斷時，災備流量仍然可以正常運行。部級網絡架構兩地三中心雙活數據中心17部級業務專網與各省數據中心連接，自有業務專網，逐漸向電子政務外網轉移。接入層：具備4個接入區，業務專網接入區采用FW、IPS、WAF防護措施，其他采用FW、IPS。DMZ區：采用數據庫審計、網絡審計、入侵檢測系統。縱向DMZ與公眾服務網DMZ區采用網閘對接。核心交換區：部署防火墻、網絡審計、入侵檢測、數據庫審計等措施。與公眾服務網采用網閘對接。應用層：具備安全管理區，NGSOC、防病毒、漏洞掃描、堡壘機、天眼、數據庫審計等系統。部級業務專網與各省數據中心連接，自有業務專網，逐漸向電子政務18部級公眾服務網接入層：公眾服務網接入區采用抗DDOS、FW、IPS防護措施。具備多個運營商線路，采用負載均衡措施。DMZ區：采用網絡審計、入侵檢測系統。對外業務服務器部署WAF、網頁防篡改系統。公眾服務網DMZ區與業務專網縱向DMZ采用網閘對接。核心交換區：部署防火墻、網絡審計、入侵檢測、網絡數據包日志和安全取證系統等措施。與業務專網采用網閘對接。與二級單位采用防火墻隔離，內部用戶區采用防病毒網關隔離。應用層：具備安全管理區，NGSOC、防病毒、漏洞掃描、堡壘機、天眼、數據庫審計等系統。部級公眾服務網接入層：公眾服務網接入區采用抗DDOS、FW、19等級保護安全建設分析業務專網與公眾服務網均遵守等級保護建設要求，多數為等保三級系統（全國僅江蘇存在2個四級系統）。內部辦公網采用FJBH標準，最高為JM級。等級保護建設涉及安全產品眾多，我司絕大部分產品均可覆蓋，全國各地均有各類產品案例。可通過代理商、與用戶直接交流等方式參與建設部級完成了NGSOC、天眼、天擎、EDR等新產品的建設。根據網絡安全法、等保2.0的要求，應提升安全服務地位，建議直接與用戶交流，拿下安全服務，提升與用戶的交流粘度。專網天擎專網NGSOC部級案例標準執行四大抓手等級保護安全建設分析業務專網與公眾服務網均遵守等級保護建設要20PART/

04建設及服務清單360企業安全.民生行業

PART/04建設及服務清單360企業安全.民生行業21等保合規–解決方案安全運維網絡技術要求物理安全網絡與通信安全設備和計算安全應用和數據安全機構人員數據安全應用安全操作系統虛擬化NGFWAntiDDoS虛擬化安全天擎NACWAF網頁防篡改鷹眼VPNDB審計等保咨詢物理環境CCTV門禁漏掃管理要求機構人員建設管理等保集成滲透測試建設管理SNINGSOC安全運維堡壘機等級保護安全架構策略制度等保咨詢策略制度360ID應急響應駐場保障DLP安全培訓ICGIPS天眼防病毒墻防火防水電力保障機房抗震日志審計LAS電磁防護基礎環境評估注：物理安全由等保防護對象或電信基礎設施運營商提供網閘天巡漏掃代碼衛士SMAC等保二級要求等保三級增加要求CA應用改造郵件網關容災備份等保二級要求等保三級增加要求第三方設備：360自有設備：等保合規–解決方案安全運維網絡技術要求物理安全網絡與通信22行業風險點(一)業務專網與互聯網安全隔離不充分(二)辦公區域覆蓋無線網絡，且未采取無線安全控制措施。(三)服務器存在高風險漏洞，可被遠程控制利用。(四)應用系統存在安全漏洞，可能造成數據泄露。(五)數據的共享和交換存在安全隱患。(六)計算機終端的日常安全管理需進一步加強。(七)風險評估機制未建立，安全服務未定期開展。(八)系統運維嚴重依賴外包服務單位，且缺少內控機制。(九)日常安全管理執行力度不夠，未定期開展安全檢查和監管。(十)安全管理制度尚不健全。檢查手段：天擎非法外聯實施手段：網閘檢查手段：天擎運維管理模塊、天巡實施手段：天擎、天巡檢查手段：網站云監測、漏掃、補天漏洞感知實施手段：安域、WAF、眾測檢查手段：風險評估、滲透測試、眾測實施手段：安全制度、安全運維、安全服務檢查手段：天擎數據價值評估、EDA實施手段：DLP、安全U盤人社部發文安全風險提示行業風險點(一)業務專網與互聯網安全隔離不充分檢查手段：天擎23網絡和通信安全安全要求分類安全要求細則主要應對產品及功能網絡架構a)

應保證網絡設備的業務處理能力滿足業務高峰期需要；1、防火墻、網閘隔離安全域2、防火墻、網閘、行為管理、WAF、抗DDOS和堡壘機具備HA功能b)

應保證網絡各個部分的帶寬滿足業務高峰期需要；c)

應劃分不同的網絡區域，并按照方便管理和控制的原則為各網絡區域分配地址；d)

應避免將重要網絡區域部署在網絡邊界處且沒有邊界防護措施；e)

應提供通信線路、關鍵網絡設備的硬件冗余，保證系統的可用性。通信傳輸a)

應采用校驗碼技術或加解密技術保證通信過程中數據的完整性；防火墻和網閘均可滿足b)

應采用加解密技術保證通信過程中敏感信息字段或整個報文的保密性。邊界防護a)

應保證跨越邊界的訪問和數據流通過邊界防護設備提供的受控接口進行通信；防火墻和網閘提供訪問控制和身份認證b)

應能夠對非授權設備私自聯到內部網絡的行為進行限制或檢查；c)

應能夠對內部用戶非授權聯到外部網絡的行為進行限制或檢查；行為管理具備防私接能力d)

應限制無線網絡的使用，確保無線網絡通過受控的邊界防護設備接入內部網絡。天巡網絡和通信安全安全要求分類安全要求細則主要應對產品及功能網絡網絡和通信安全安全要求分類安全要求細則主要應對產品及功能訪問控制a)

應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信；防火墻、網閘b)

應刪除多余或無效的訪問控制規則，優化訪問控制列表，并保證訪問控制規則數量最小化；c)

應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據包進出；d)

應能根據會話狀態信息為進出數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；e)

應在關鍵網絡節點處對進出網絡的信息內容進行過濾，實現對內容的訪問控制。入侵防范a)

應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為；1、防火墻和IPS的入侵防御2、天眼的威脅檢測b)

應在關鍵網絡節點處檢測和限制從內部發起的網絡攻擊行為；c)

應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析；d)

當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。惡意代碼防范a)

應在關鍵網絡節點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新；防火墻和網閘的病毒防護功能b)

應在關鍵網絡節點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新。網絡和通信安全安全要求分類安全要求細則主要應對產品及功能訪問網絡和通信安全安全要求分類安全要求細則主要應對產品及功能安全審計a)

應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；1、防火墻、網閘、行為管理、抗DDOS、WAF等產品2、數據庫審計系統、堡壘機、SNI、LAS等產品b)

審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)

應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；d)

審計記錄產生時的時間應由系統范圍內唯一確定的時鐘產生，以確保審計分析的正確性；e)

應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。集中管控a)

應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控；1、防火墻通過SMAC做集中管控2、網閘可集中監控3、SNI支持ssh網絡管理防火墻和網閘的病毒防護功能b)

應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理；c)

應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測；d)

應對分散在各個設備上的審計數據進行收集匯總和集中分析；e)

應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理；f)

應能對網絡中發生的各類安全事件進行識別、報警和分析。網絡和通信安全安全要求分類安全要求細則主要應對產品及功能安全設備和計算安全安全要求分類安全要求細則主要應對產品及功能身份鑒別a)

應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；防火墻、網閘、行為管理、數據庫審計系統、堡壘機和天擎、360IDb)

應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施；c)

當進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽；d)

應采用兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別。訪問控制a)

應對登錄的用戶分配賬號和權限；1、防火墻、網閘、數據庫審計系統、堡壘機和天擎的功能完整2、行為管理、WAF、抗DDOS和漏掃支持用戶權限管理和三權分立b)

應重命名默認賬號或修改默認口令；c)

應及時刪除或停用多余的、過期的賬號，避免共享賬號的存在；d)

應授予管理用戶所需的最小權限，實現管理用戶的權限分離；e)

應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則；f)

訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級；g)

應對敏感信息資源設置安全標記，并控制主體對有安全標記信息資源的訪問。設備和計算安全安全要求分類安全要求細則主要應對產品及功能身份安全要求分類安全要求細則主要應對產品及功能安全審計a)

應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；數據庫審計、堡壘機、天擎、行為管理、LAS和SNIb)

審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)

應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；d)

應對審計進程進行保護，防止未經授權的中斷；e)審計記錄產生時的時間應由系統范圍內唯一確定的時鐘產生，以確保審計分析的正確性入侵防范a)

應遵循最小安裝的原則，僅安裝需要的組件和應用程序。1、天擎的準入、綁定、漏洞管理等功能滿足2、WAF和抗DDOS可以抵御對應的WEB攻擊和DDOS攻擊b)

應關閉不需要的系統服務、默認共享和高危端口；c)

應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制；d)

應能發現可能存在的漏洞，并在經過充分測試評估后，及時修補漏洞；e)

應能夠檢測到對重要節點進行入侵的行為，并在發生嚴重入侵事件時提供報警。惡意代碼防范應采用免受惡意代碼攻擊的技術措施或采用可信計算技術建立從系統到應用的信任鏈，實現系統運行過程中重要程序或文件完整性檢測，并在檢測到破壞后進行恢復。天擎的殺毒功能設備和計算安全安全要求分類安全要求細則主要應對產品及功能安全審計a)

安全要求分類安全要求細則主要應對產品及功能資源控制a)

應限制單個用戶或進程對系統資源的最大使用限度；行為管理、抗DDOS、WAF、堡壘機和天擎b)

應提供重要節點設備的硬件冗余，保證系統的可用性；c)

應對重要節點進行監視，包括監視CPU、硬盤、內存等資源的使用情況；d)

應能夠對重要節點的服務水平降低到預先規定的最小值進行檢測和報警。設備和計算安全安全要求分類安全要求細則主要應對產品及功能資源控制a)

應用和數據安全安全要求分類安全要求細則主要應對產品及功能身份鑒別a)

應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，鑒別信息具有復雜度要求并定期更換；數據庫審計和堡壘機的用戶管理及認證管理功能b)

應提供并啟用登錄失敗處理功能，多次登錄失敗后應采取必要的保護措施；c)

應強制用戶首次登錄時修改初始口令；d)

用戶身份鑒別信息丟失或失效時，應采用鑒別信息重置或其他技術措施保證系統安全；訪問控制a)

應提供訪問控制功能，對登錄的用戶分配賬號和權限；網閘、數據庫審計和堡壘機b)

應重命名默認賬號或修改這些賬號的默認口令；c)

應及時刪除或停用多余的、過期的賬號，避免共享賬號的存在；d)

應授予不同賬號為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系；e)

應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則；f)

訪問控制的粒度應達到主體為用戶級，客體為文件、數據庫表級、記錄或字段級；g)

應對敏感信息資源設置安全標記，并控制主體對有安全標記信息資源的訪問。應用和數據安全安全要求分類安全要求細則主要應對產品及功能身份應用和數據安全安全要求分類安全要求細則主要應對產品及功能安全審計a)

應提供安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；數據庫審計、堡壘機、網閘、LAS和SNIb)

審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)

應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；d)

應對審計進程進行保護，防止未經授權的中斷；e)

審計記錄產生時的時間應由系統范圍內唯一確定的時鐘產生，以確保審計分析的正確性。軟件容錯a)

應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求；1、數據庫審計、堡壘機的內置系統機制2、WAF的系統回滾功能b)

在故障發生時，應能夠繼續提供一部分功能，確保能夠實施必要的措施；c)

應提供自動保護功能，當故障發生時自動保護當前所有狀態，保證系統能夠進行恢復。資源控制b)

應能夠對系統的最大并發會話連接數進行限制；數據庫審計、堡壘機的許可限制數據完整性a)應采用校驗碼技術或加解密技術保證重要數據在傳輸過程中的完整性；VPNb)應采用校驗碼技術或加解密技術保證重要數據在存儲過程中的完整性。數據保密性a)

應采用加解密技術保證重要數據在傳輸過程中的保密性；b)

應采用加解密技術保證重要數據在存儲過程中的保密性。應用和數據安全安全要求分類安全要求細則主要應對產品及功能安全應用和數據安全安全要求分類安全要求細則主要應對產品及功能數據備份恢復a)

應提供重要數據的本地數據備份與恢復功能；1、數據庫審計、堡壘機的數據備份機制2、WAF和防篡改軟件的網頁數據還原功能b)

應提供異地實時備份功能，利用通信網絡將重要數據實時備份至備份場地；c)

應提供重要數據處理系統的熱冗余，保證系統的高可用性。剩余信息保護a)

應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除；須安服介入b)

應保證存有敏感數據的存儲空間被釋放或重新分配前得到完全清除。個人信息保護a)

應僅采集和保存業務必需的用戶個人信息；數據庫審計、堡壘機可合規審計b)

應禁止未授權訪問和使用用戶個人信息。應用和數據安全安全要求分類安全要求細則主要應對產品及功能數據安全服務產品名稱產品描述產品形態滿足的等保控制域等級保護咨詢1、定級咨詢；2、差距評估；3、方案設計；4、協助測評服務一次性安全管理機構和人員安全策略和管理制度等級保護建設集成1、安全技術體系設計；2、安全管理體系設計；3、安全產品集成實施；4、風險評估；5、安全加固服務一次性安全建設管理滲透測試采用人工或眾測的方式進行滲透測試服務。服務一次性安全策略和管理制度安全運維管理代碼審計對業務代碼進行安全審計。服務一次性安全運維管理基礎環境評估1，漏洞掃描2，對操作系統、數據庫、中間件、網絡設備、網絡安全設備、網絡邊界進行配置核查一次性，人工服務安全建設管理應急響應在用戶發生確切的安全事件時，應急響應實施人員及時采取行動限制事件擴散和影響的范圍，限制潛在的損失與破壞服務一次性安全運維管理駐場安全保障服務安全策略優化，定期風險評估，安全監控服務年付安全運維管理機構和人員管理業務安全技能培訓培訓內容從攻擊者、防御者、管理者等多角度對企業安全進行深入淺出的解一次學員不超過10人安全管理機構和人員安全服務產品名稱產品描述產品形態滿足的等保控制域等級保護咨詢PART/

05等級保護建設優勢360企業安全.民生行業

PART/05等級保護建設優勢360企業安全.民生行業341安全風險評估3安全運維2等保咨詢4應急響應5安全架構設計安全集成一站式新等保三級解決方案優勢1--產品覆蓋最全1安全風險評估3安全運維2等保咨詢4應急響應5安全架構設計一優勢2--公司資質最全序號資質名稱網神啟明星辰綠盟科技天融信深信服華為東軟藍盾北信源亞信安恒阿里云認定認可類1計算機信息系統集成企業資質（大型一級為最高級）二級二級二級二級×一級一級一級××二級×2商用密碼產品銷售許可證√√√√√√√×√×××3商用密碼產品生產定點單位證書√√√√××××√×××4納稅信用A級企業√√√√√√√√√√√√5ISO9001:2008質量管理體系(包含網神科技)√√√√√√√√√×√×6ISO20000:2011信息技術服務管理體系√××√×√√√×√×√7ISO27001:2005