網(wǎng)絡(luò)安全等級防護(hù)2.0建設(shè)方案V1.0匯報(bào)提綱

CONTENT匯報(bào)提綱

CONTENT02等保建設(shè)思路01等保制度介紹03應(yīng)用場景等保制度介紹01等級保護(hù)基本概念第五級訪問驗(yàn)證保護(hù)級第四級結(jié)構(gòu)化保護(hù)第三級安全標(biāo)記級第二級系統(tǒng)審計(jì)保護(hù)級第一級用戶自主保護(hù)級-定義等級保護(hù)全稱為“信息系統(tǒng)安全等級保護(hù)”，現(xiàn)改為“網(wǎng)絡(luò)安全等級保護(hù)”，是指對網(wǎng)絡(luò)和信息系統(tǒng)按照重要性等級分級別保護(hù)的一種工作；根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高被劃分為五個(gè)安全保護(hù)等級-概括說明系統(tǒng)重要程度有多高，安全保護(hù)就應(yīng)當(dāng)有多強(qiáng)，既不能保護(hù)不足，也不能過度保護(hù)。-等級保護(hù)對客戶意義遵循客觀規(guī)律，網(wǎng)絡(luò)安全的等級是客觀存在的有利于突出重點(diǎn)，加強(qiáng)安全建設(shè)和管理有利于控制信息安全建設(shè)的成本，平衡安全建設(shè)與成本-等級保護(hù)對國家意義制度：是為了構(gòu)建國家信息安全保障體系。抓手：提高信息系統(tǒng)安全防護(hù)能力。帶有很強(qiáng)技術(shù)性的國家風(fēng)險(xiǎn)管控行為等級保護(hù)制度演進(jìn)網(wǎng)絡(luò)安全等級保護(hù)制度是我國信息安全工作保障工作的基本制度和基本國策，是開展信息安全工作的基本方法，是促進(jìn)信息化、維護(hù)國家信息安全的基本保障。根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；將信息系統(tǒng)劃分為不同的安全保護(hù)等級并對其實(shí)施不同的保護(hù)和監(jiān)管。1994國務(wù)院令第147號第九條“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)”首次提出了等級保護(hù)的概念1999GB17859強(qiáng)制性標(biāo)準(zhǔn)：本標(biāo)準(zhǔn)規(guī)定了我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級2003中辦發(fā)[2003]27號信息安全保障綱領(lǐng)性文件，明確指出“實(shí)行信息安全等級保護(hù)“主要任務(wù)2004公通字[2004]66號進(jìn)一步明確了信息安全等級保護(hù)制度的職責(zé)分工和工作的要求等基本內(nèi)容20072017網(wǎng)絡(luò)安全法第二十一條“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度”，從法規(guī)上升到法律層面明確了信息安全等級保護(hù)的五個(gè)動作，為開展等級保護(hù)工作提供了規(guī)范保障公通字[2007]43號2019等保2.0核心標(biāo)準(zhǔn)《基本要求》《測評要求》《安全設(shè)計(jì)技術(shù)要求》正式發(fā)布2019等保2.0正式實(shí)施2019年12月1日等保2.0正式實(shí)施網(wǎng)絡(luò)安全法《網(wǎng)絡(luò)安全法》共7章79條法規(guī)，具體操作性的條款38條，主要分布在第三、四、五章。根據(jù)中華人民共和國主席令第五十三號令，《中華人民共和國網(wǎng)絡(luò)安全法》于2017年6月1日起正式實(shí)施第一章

總則14條規(guī)定第二章

網(wǎng)絡(luò)安全支持與促進(jìn)6條規(guī)定第三章

網(wǎng)絡(luò)運(yùn)行安全19條規(guī)定? 第一節(jié)

一般規(guī)定10條規(guī)定? 第二節(jié)

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全9條規(guī)定第四章

網(wǎng)絡(luò)信息安全11條規(guī)定第五章

監(jiān)測預(yù)警與應(yīng)急處置8條規(guī)定第六章

法律責(zé)任17條規(guī)定第七章

附則4條規(guī)定網(wǎng)絡(luò)安全法—等保相關(guān)要求作為我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理問題的基礎(chǔ)性法律，《網(wǎng)絡(luò)安全法》實(shí)現(xiàn)“防御、控制與懲治"三位一體，其中第21條，31條及59條分別對等保要求、關(guān)保要求及處罰規(guī)定進(jìn)行了明確第二十一條第三十一條第五十九條國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。網(wǎng)絡(luò)安全專用產(chǎn)品名錄網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄2017年6月9日正式發(fā)布其中防火墻、入侵檢測、入侵防御產(chǎn)品也在此專用目錄中等保2.0-等級劃分使用對象：非涉密信息系統(tǒng)；安全產(chǎn)品要求：等保三級以上系統(tǒng)，應(yīng)優(yōu)先考慮國內(nèi)安全產(chǎn)品，除非國外安全產(chǎn)品無法使用國內(nèi)產(chǎn)品替代時(shí)，才允許使用國外安全產(chǎn)品。測評要求：二級建議兩年1次，三級，每年至少開展1次。等級對象侵害客體侵害程度監(jiān)管程度定級參考第一級

合法權(quán)益損害自主保護(hù)級適用于小型私企、個(gè)體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。第二級一般系統(tǒng)合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)保護(hù)級適用于縣級某些單位中的重要的信息系統(tǒng)；地市級以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。社會秩序和公共利益損害第三級重要系統(tǒng)社會秩序和公共利益嚴(yán)重?fù)p害監(jiān)督保護(hù)級一般適用于地市級以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如省級門戶網(wǎng)站和地市級及以上重要的業(yè)務(wù)網(wǎng)站需定為三級，地市級及以上內(nèi)部涉及到工作秘密、敏感信息重要信息的辦公系統(tǒng)，管理系統(tǒng)需要定到三級，跨省的用于生產(chǎn)、調(diào)度、管理、指揮等在省、市的分支系統(tǒng)需要定為三級，跨省聯(lián)結(jié)的網(wǎng)絡(luò)系統(tǒng)要定為三級（這個(gè)一般都是全國運(yùn)營的專網(wǎng)系統(tǒng)）。國家安全損害第四級社會秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制保護(hù)級一般適用于國家重要領(lǐng)域、部門中涉及國計(jì)民生、國家利益、國家安全，影響社會穩(wěn)定的核心系統(tǒng)。例如電力生產(chǎn)控制系統(tǒng)、銀行核心業(yè)務(wù)系統(tǒng)、電信核心網(wǎng)絡(luò)、鐵路客票系統(tǒng)、列車指揮調(diào)度系統(tǒng)等。國家安全嚴(yán)重?fù)p害第五級極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害專控保護(hù)級一般適用于國家重要領(lǐng)域，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害的系統(tǒng)。等保2.0-行業(yè)化要求1.政府2.醫(yī)療4.教育3.企業(yè)新等保安全體系框架網(wǎng)絡(luò)安全總體戰(zhàn)略目標(biāo)技術(shù)支撐體系安全運(yùn)營體系安全通信網(wǎng)絡(luò)安全運(yùn)營和管理中心安全計(jì)算環(huán)境合規(guī)要求、業(yè)務(wù)安全需求總體安全策略安全區(qū)域邊界新技術(shù)安全防護(hù)體系安全管理體系網(wǎng)絡(luò)架構(gòu)通信完整性通信保密性可信驗(yàn)證邊界防護(hù)入侵防范病毒\垃圾郵件防范訪問控制安全審計(jì)身份鑒別安全審計(jì)入侵防范病毒防范訪問控制備份恢復(fù)安全管理制度安全管理機(jī)構(gòu)安全建設(shè)管理安全運(yùn)維管理日常安全運(yùn)營重要時(shí)期保障專家分析等保咨詢及培訓(xùn)技術(shù)體系總體策略管理體系總體策略運(yùn)營體系總體策略安全管理人員可信驗(yàn)證數(shù)據(jù)完整性剩余/個(gè)人信息保護(hù)可信驗(yàn)證安全基礎(chǔ)設(shè)施安全物理環(huán)境機(jī)房位置防水\防潮溫濕度電力供應(yīng)防靜電\電磁防盜\防火數(shù)據(jù)保密性物理訪問控制統(tǒng)一身份管理統(tǒng)一認(rèn)證管理統(tǒng)一授權(quán)管理統(tǒng)一密鑰管理以“一個(gè)中心、三重防護(hù)、三個(gè)體系”為核心指導(dǎo)思想，構(gòu)建集防護(hù)、檢測、響應(yīng)、恢復(fù)于一體的全面的安全保障體系。等保2.0核心變化點(diǎn)—“235”兩個(gè)全覆蓋三個(gè)特點(diǎn)五個(gè)主要變化一是覆蓋各地區(qū)、各單位、各部門、各企業(yè)、各機(jī)構(gòu)，也就是覆蓋全社會。除個(gè)人及家庭自建網(wǎng)絡(luò)的全覆蓋。二是覆蓋所有保護(hù)對象，包括網(wǎng)絡(luò)、信息系統(tǒng)，以及新的保護(hù)對象，云平臺、物聯(lián)網(wǎng)、工控系統(tǒng)、大數(shù)據(jù)、移動互聯(lián)等各類新技術(shù)應(yīng)用。等級保護(hù)2.0基本要求、測評要求、安全設(shè)計(jì)技術(shù)要求框架統(tǒng)一，即：安全管理中心支持下的三重防護(hù)結(jié)構(gòu)框架。通用安全要求+新型應(yīng)用安全擴(kuò)展要求，將云計(jì)算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入標(biāo)準(zhǔn)規(guī)范。把可信驗(yàn)證列入各級別和各環(huán)節(jié)的主要功能要求。名稱變化定級對象變化安全要求變化控制措施分類結(jié)構(gòu)變化內(nèi)容變化三個(gè)核心標(biāo)準(zhǔn)結(jié)構(gòu)的統(tǒng)一體系結(jié)構(gòu)安全技術(shù)要求安全管理要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心安全管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理與GB/T25070《網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》的體系結(jié)構(gòu)保持一致.保護(hù)要求精簡《基本要求》1.0（三級通用要求）《基本要求》2.0（三級通用要求）序號安全控制類安全控制點(diǎn)安全要求項(xiàng)序號安全控制類安全控制點(diǎn)安全要求項(xiàng)1物理安全10321安全物理環(huán)境10222網(wǎng)絡(luò)安全7332安全通信網(wǎng)絡(luò)383主機(jī)安全8323安全區(qū)域邊界6204應(yīng)用安全8314安全計(jì)算環(huán)境11345數(shù)據(jù)安全385安全管理中心4126安全管理制度3116安全管理制度477安全管理機(jī)構(gòu)5207安全管理機(jī)構(gòu)5148人員安全管理5168安全管理人員4129系統(tǒng)建設(shè)管理11459安全建設(shè)管理103410系統(tǒng)運(yùn)維管理136210安全運(yùn)維管理1448合計(jì)73290合計(jì)71211安全通信網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)要求項(xiàng)1通信傳輸要求項(xiàng)2傳輸數(shù)據(jù)完整性—完整性校驗(yàn)密碼技術(shù)傳輸數(shù)據(jù)保密性—密碼技術(shù)重要區(qū)域的位置和保護(hù)可用性冗余安全區(qū)域劃分設(shè)備處理能力滿足業(yè)務(wù)需求網(wǎng)絡(luò)帶寬滿足業(yè)務(wù)需求可信驗(yàn)證要求項(xiàng)3通信設(shè)備可信驗(yàn)證應(yīng)用程序可信驗(yàn)證破壞報(bào)警審計(jì)記錄外發(fā)從網(wǎng)絡(luò)架構(gòu)、設(shè)備、通信線路等方面對網(wǎng)絡(luò)通信提出保密性、完整性和可用性安全保護(hù)要求網(wǎng)絡(luò)架構(gòu)通信傳輸可信驗(yàn)證123通信網(wǎng)絡(luò)控制點(diǎn)技術(shù)措施防火墻\網(wǎng)閘路由器\三層交換機(jī)1234技術(shù)措施IPSec

VPNSSLVPN123技術(shù)措施可信通信設(shè)備123集中審計(jì)系統(tǒng)網(wǎng)關(guān)設(shè)備\負(fù)載均衡設(shè)備設(shè)備\線路冗余應(yīng)用安全網(wǎng)關(guān)可信組件安全區(qū)域邊界設(shè)計(jì)邊界防護(hù)要求項(xiàng)1無線網(wǎng)絡(luò)受控接入外聯(lián)檢查或限制受控接口通信入網(wǎng)檢查或限制入侵防范要求項(xiàng)3檢測、防止或限制從外發(fā)起的網(wǎng)絡(luò)攻擊檢測和分析新型攻擊發(fā)現(xiàn)時(shí)記錄和報(bào)警從訪問控制、入侵和惡意代碼防范、網(wǎng)絡(luò)審計(jì)等方面對網(wǎng)絡(luò)和安全域邊界提出可防、可控、可審和可信的安全保護(hù)要求邊界防護(hù)入侵防范安全審計(jì)訪問控制惡意代碼/垃圾郵件防范可信驗(yàn)證135區(qū)域邊界控制點(diǎn)技術(shù)措施邊界設(shè)備策略網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)1234技術(shù)措施1234入侵防御系統(tǒng)違規(guī)外聯(lián)檢測無線接入網(wǎng)關(guān)246訪問控制要求項(xiàng)2基于會話的訪問控制訪問控制策略訪問控制規(guī)則精簡優(yōu)化技術(shù)措施下一代防火墻訪問控制規(guī)則12應(yīng)用層訪問控制檢測、防止或限制從內(nèi)發(fā)起的網(wǎng)絡(luò)攻擊抗DDOS攻擊系統(tǒng)抗APT攻擊系統(tǒng)威脅情報(bào)安全區(qū)域邊界設(shè)計(jì)惡意代碼和垃圾郵件防范要求項(xiàng)4垃圾郵件規(guī)則庫升級垃圾郵件檢測和清除網(wǎng)絡(luò)惡意代碼檢測和清除惡意代碼庫升級從訪問控制、入侵和惡意代碼防范、網(wǎng)絡(luò)審計(jì)等方面對網(wǎng)絡(luò)和安全域邊界提出可防、可控、可審和可信的安全保護(hù)要求邊界防護(hù)入侵防范安全審計(jì)訪問控制惡意代碼/垃圾郵件防范可信驗(yàn)證135區(qū)域邊界控制點(diǎn)技術(shù)措施防病毒網(wǎng)關(guān)/功能模塊防垃圾郵件網(wǎng)關(guān)/功能模塊12246安全審計(jì)要求項(xiàng)5審計(jì)記錄備份和保護(hù)要求全用戶審計(jì)和重要審計(jì)審計(jì)記錄項(xiàng)要求技術(shù)措施網(wǎng)絡(luò)審計(jì)系統(tǒng)上網(wǎng)行為管理系統(tǒng)12遠(yuǎn)程訪問和訪問互聯(lián)網(wǎng)單獨(dú)審計(jì)堡壘機(jī)3邊界設(shè)備可信驗(yàn)證應(yīng)用程序可信驗(yàn)證破壞報(bào)警審計(jì)記錄外發(fā)技術(shù)措施可信驗(yàn)證要求項(xiàng)6可信邊界設(shè)備123集中審計(jì)系統(tǒng)可信組件安全計(jì)算環(huán)境設(shè)計(jì)身份鑒別要求項(xiàng)1訪問控制要求項(xiàng)2分配賬號和權(quán)限默認(rèn)賬號和口令的處置多余、過期賬號的處置角色劃分和最小授權(quán)原則訪問控制策略和控制粒度基于安全標(biāo)記的強(qiáng)制訪問控制雙因素鑒別機(jī)制—其中一種使用密碼技術(shù)遠(yuǎn)程管理的傳輸保護(hù)用戶標(biāo)識和鑒別、鑒別信息復(fù)雜度鑒別失敗的處理機(jī)制對環(huán)境內(nèi)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備（包括虛擬機(jī)）、終端設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)接提出安全保護(hù)要求。技術(shù)措施終端安全登錄系統(tǒng)身份認(rèn)證系統(tǒng)1234技術(shù)措施配置核查工具主機(jī)加固系統(tǒng)1234應(yīng)用單點(diǎn)登錄堡壘機(jī)身份鑒別訪問控制安全審計(jì)1計(jì)算環(huán)境控制點(diǎn)入侵防范惡意代碼可信驗(yàn)證數(shù)據(jù)完整性數(shù)據(jù)保密性備份恢復(fù)剩余信息\個(gè)人信息保護(hù)4235697810應(yīng)用訪問控制功能安全數(shù)據(jù)庫全用戶審計(jì)和重要審計(jì)審計(jì)記錄項(xiàng)要求審計(jì)記錄備份和保護(hù)要求審計(jì)進(jìn)程保護(hù)終端安全管理系統(tǒng)123應(yīng)用系統(tǒng)審計(jì)功能上網(wǎng)行為管理系統(tǒng)安全審計(jì)要求項(xiàng)3技術(shù)措施3數(shù)據(jù)庫審計(jì)系統(tǒng)安全計(jì)算環(huán)境設(shè)計(jì)入侵防范要求項(xiàng)4惡意代碼防范要求項(xiàng)5采用防病毒或可信機(jī)制識別入侵和病毒行為對病毒或入侵有效阻斷最小化組件安裝關(guān)閉不必要的端口限定管理終端輸入的有效性驗(yàn)證漏洞發(fā)現(xiàn)、評估和修補(bǔ)重要節(jié)點(diǎn)的攻擊檢測和報(bào)警技術(shù)措施配置檢查工具漏洞掃描系統(tǒng)1234技術(shù)措施防病毒系統(tǒng)12主機(jī)入侵防范系統(tǒng)WAF可信計(jì)算計(jì)算設(shè)備可信驗(yàn)證應(yīng)用程序可信驗(yàn)證破壞報(bào)警審計(jì)記錄外發(fā)可信服務(wù)器123可信組件可信終端可信驗(yàn)證要求項(xiàng)6技術(shù)措施對環(huán)境內(nèi)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備（包括虛擬機(jī)）、終端設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)接提出安全保護(hù)要求。身份鑒別訪問控制安全審計(jì)1計(jì)算環(huán)境控制點(diǎn)入侵防范惡意代碼可信驗(yàn)證數(shù)據(jù)完整性數(shù)據(jù)保密性備份恢復(fù)剩余信息\個(gè)人信息保護(hù)4235697810安全計(jì)算環(huán)境設(shè)計(jì)數(shù)據(jù)完整性要求項(xiàng)7備份恢復(fù)要求項(xiàng)9本地?cái)?shù)據(jù)備份與恢復(fù)異地實(shí)時(shí)備份重要系統(tǒng)熱冗余、高可用傳輸完整性存儲完整性剩余信息保護(hù)要求項(xiàng)10技術(shù)措施SSLVPN應(yīng)用安全設(shè)計(jì)1234技術(shù)措施數(shù)據(jù)備份系統(tǒng)備份策略123數(shù)據(jù)防泄密（DLP）數(shù)據(jù)庫加密應(yīng)用系統(tǒng)雙冗余鑒別信息清除敏感信息清除技術(shù)措施應(yīng)用安全功能主機(jī)安全配置123個(gè)人\敏感數(shù)據(jù)標(biāo)識數(shù)據(jù)保密性要求項(xiàng)8傳輸保密性存儲保密性依賴基礎(chǔ)數(shù)據(jù)治理數(shù)據(jù)分類123數(shù)據(jù)標(biāo)識身份鑒別訪問控制安全審計(jì)1計(jì)算環(huán)境控制點(diǎn)入侵防范惡意代碼可信驗(yàn)證數(shù)據(jù)完整性數(shù)據(jù)保密性備份恢復(fù)剩余信息\個(gè)人信息保護(hù)4235697810個(gè)人信息保護(hù)要求項(xiàng)僅采集必需個(gè)人數(shù)據(jù)禁止非授權(quán)訪問和使用對環(huán)境內(nèi)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備（包括虛擬機(jī)）、終端設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)接提出安全保護(hù)要求。安全管理中心設(shè)計(jì)身份識別操作規(guī)范行為審計(jì)特定的管理區(qū)域管理數(shù)據(jù)的安全傳輸全面的集中監(jiān)控審計(jì)數(shù)據(jù)匯總和集中分析安全策略、惡意代碼、補(bǔ)丁升級等集中管理安全事件識別、報(bào)警和分析系統(tǒng)管理審計(jì)管理安全管理集中管理1243安全管理中心控制點(diǎn)123集中管理要求項(xiàng)4技術(shù)措施安全域劃分NGSOC1234威脅情報(bào)策略集中管理5基礎(chǔ)/高級安全運(yùn)營堡壘機(jī)12NGSOC技術(shù)措施安全分析專家安全處置人員1234日常運(yùn)維通報(bào)預(yù)警5應(yīng)急處置人員設(shè)置流程設(shè)置三員分離--系統(tǒng)管理員--安全管理員--審計(jì)管理員定級備案證明-樣例測評報(bào)告-樣例等保建設(shè)思路02等保2.0建設(shè)思路等保2.0設(shè)計(jì)思路1.了解行業(yè)規(guī)范和標(biāo)準(zhǔn)2.熟悉客戶網(wǎng)絡(luò)結(jié)構(gòu)3.等保2.0方案設(shè)計(jì)電子政務(wù)、金融、教育、醫(yī)療.....例如

：電子政務(wù)相關(guān)規(guī)范申明確要求省市必須按照三級要

求建設(shè)，區(qū)縣必須滿足二級要求

，也可按三級進(jìn)行建設(shè)1.了解用戶網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)2.了解業(yè)務(wù)系統(tǒng)分布和流量走

向3.明確使用區(qū)域，這里指物理環(huán)境（例如辦公區(qū)

、生產(chǎn)區(qū)、管理區(qū)等）4.明確需要過檢的核

心業(yè)務(wù)所在以及訪問該業(yè)務(wù)的線路5.明確業(yè)務(wù)之間的隔離關(guān)系（對于存在關(guān)聯(lián)性的業(yè)務(wù)，無法直接做隔離

，則需要加設(shè)安全措施）1.查閱各行業(yè)定級指南

，明確標(biāo)注的業(yè)務(wù)中哪些做二級，哪些做三級2.了解等保2.0通用要求和行業(yè)要求井對應(yīng)到二級系統(tǒng)和三級系統(tǒng)所屬的區(qū)域3.針對2中各系統(tǒng)需要的能力選擇我司合適的產(chǎn)品

以滿足等保

2.0要求通過1-5，快速了解用戶整網(wǎng)結(jié)構(gòu)和備區(qū)域間業(yè)務(wù)訪問關(guān)系，有

助于后續(xù)詳細(xì)設(shè)計(jì)建設(shè)方案結(jié)合架為害戶進(jìn)行設(shè)計(jì)說

明，注意不是我司有什么，而是在等保2.0的要求下，每個(gè)區(qū)、每個(gè)系統(tǒng)必須要做什么等保2.0三級建設(shè)方案整體設(shè)計(jì)思路辦公網(wǎng)絡(luò)入侵防范邊界防護(hù)行為審計(jì)VPN接入綜合安全防護(hù)遠(yuǎn)程接入VPNiNACScanner分支機(jī)構(gòu)/遠(yuǎn)程辦公I(xiàn)nternetFW辦公終端互聯(lián)網(wǎng)接入?yún)^(qū)外聯(lián)網(wǎng)核心區(qū)域ScannerWAF一體化安全防護(hù)一體化安全防護(hù)及核心交換外聯(lián)網(wǎng)絡(luò)訪問控制邊界防護(hù)

核心交換安全防護(hù)外部服務(wù)器區(qū)FW訪問控制邊界防護(hù)生產(chǎn)網(wǎng)絡(luò)內(nèi)聯(lián)網(wǎng)核心區(qū)域FW訪問控制邊界防護(hù)生產(chǎn)區(qū)域辦公區(qū)域維護(hù)與生產(chǎn)終端iNAC漏掃ADXIPS安全防護(hù)內(nèi)部服務(wù)器區(qū)綜合防護(hù)核心交換動態(tài)攻擊防護(hù)Web服務(wù)器監(jiān)控系統(tǒng)漏洞DDoS防護(hù)Web應(yīng)用加速在線防篡改應(yīng)用加速入侵防范訪問控制ADXIPSFWFW補(bǔ)丁升級病毒升級災(zāi)難備份漏洞評估負(fù)載均衡應(yīng)用加速病毒防護(hù)入侵防護(hù)訪問控制數(shù)據(jù)安全統(tǒng)一管理區(qū)FW可信驗(yàn)證安全管理UMC策略管理漏洞管理攻擊監(jiān)控行為審計(jì)病毒監(jiān)控流量監(jiān)控事件分析動態(tài)告警訪問控制交換機(jī)網(wǎng)絡(luò)匯聚網(wǎng)絡(luò)接入交換機(jī)

入侵防范AV行為審計(jì)權(quán)限控制接入控制終端維護(hù)工業(yè)環(huán)境傳輸防塵耐振動耐高/低溫抗磁場干擾網(wǎng)絡(luò)防病毒異常流量檢測AVProbe版本升級綜合防護(hù)核心交換FW綜合防護(hù)核心交換安全防護(hù)安全防護(hù)

一體化安全防護(hù)及核心交換FWUAGVPNIPS

Guard異常流量清洗ADX鏈路負(fù)載均衡DAC

物聯(lián)網(wǎng)安全內(nèi)聯(lián)網(wǎng)絡(luò)統(tǒng)一身份鑒別堡壘機(jī)訪問控制災(zāi)難備份數(shù)據(jù)安全準(zhǔn)入控制可信驗(yàn)證權(quán)限控制終端審計(jì)安全檢查防病毒漏洞評估補(bǔ)丁管理無線接入工控防火墻工業(yè)交換機(jī)WAF網(wǎng)站篡改恢復(fù)網(wǎng)站內(nèi)容發(fā)布WEB業(yè)務(wù)漏洞應(yīng)用層防護(hù)Web負(fù)載均衡HTTP協(xié)議加固服務(wù)器負(fù)載均衡邊界防護(hù)邊界防護(hù)可信驗(yàn)證可信驗(yàn)證可信驗(yàn)證可信驗(yàn)證邊界防護(hù)

VPN接入行為審計(jì)入侵防范安全防護(hù)安全防護(hù)針對高風(fēng)險(xiǎn)項(xiàng)的應(yīng)對思路重點(diǎn)措施高風(fēng)險(xiǎn)項(xiàng)判定條件應(yīng)對思路安全通信網(wǎng)絡(luò)互聯(lián)網(wǎng)邊界訪問控制互聯(lián)網(wǎng)出口無任何訪問控制措施；配置不當(dāng)有較大安全隱患；配置措施失效無法起到訪問控制功能。部署訪問控制設(shè)備并合理配置，確保控制措施有效。傳輸保密性口令、密鑰等重要敏感信息在網(wǎng)絡(luò)中明文傳輸。相關(guān)設(shè)備開啟SSH或HTTPS協(xié)議或創(chuàng)建加密通道，通過這些加密方式傳輸敏感信息。安全區(qū)域邊界內(nèi)聯(lián)檢查措施非授權(quán)設(shè)備能夠直接接入重要網(wǎng)絡(luò)區(qū)域，如服務(wù)器區(qū)、管理網(wǎng)段等，且無任何告警、限制、阻斷等措施。部署能夠?qū)Ψ欠▋?nèi)聯(lián)行為進(jìn)行檢查、定位和阻斷的安全準(zhǔn)入產(chǎn)品。外聯(lián)檢查措施核心重要服務(wù)器設(shè)備、重要核心管理終端，如無法對非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制，或內(nèi)部人員可旁路、繞過邊界訪問控制設(shè)備私自外聯(lián)互聯(lián)網(wǎng)。部署能夠?qū)Ψ欠ㄍ饴?lián)行為進(jìn)行檢查、定位和阻斷的安全管理產(chǎn)品。內(nèi)部網(wǎng)絡(luò)攻擊防御關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū)域邊界處)未采取任何防護(hù)措施，無法檢測、阻止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。部署相關(guān)的防護(hù)設(shè)備，檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。外部網(wǎng)絡(luò)攻擊防御關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如互聯(lián)網(wǎng)邊界處)未采取任何防護(hù)措施，無法檢測、阻止或限制互聯(lián)網(wǎng)發(fā)起的攻擊行為。在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如互聯(lián)網(wǎng)邊界處)部署入侵防御、WAF等對可攻擊行為進(jìn)行檢測、阻斷或限制的設(shè)備，或購買云防等外部抗攻擊服務(wù)。在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署惡意代碼檢測和清除產(chǎn)品，且與主惡意代碼防范主機(jī)和網(wǎng)絡(luò)層均無任何惡意代碼檢測和清除措施的。機(jī)層惡意代碼防范產(chǎn)品形成異構(gòu)模式，有效檢測及清除可能出現(xiàn)的惡意代碼攻擊。網(wǎng)絡(luò)安全審計(jì)措施在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)無任何安全審計(jì)措施，無法對重要的用戶行為和重要安全事件進(jìn)行日志審計(jì)。建議在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)，對重要的用戶行為和重要安全事件進(jìn)行日志審計(jì)，便于對相關(guān)事件或行為進(jìn)行追溯。針對高風(fēng)險(xiǎn)項(xiàng)的應(yīng)對思路重點(diǎn)措施 高危隱患判定條件 應(yīng)對思路安全計(jì)算環(huán)境應(yīng)用系統(tǒng)雙因素認(rèn)證網(wǎng)絡(luò)設(shè)備、安全設(shè)備、重要核心設(shè)備、操作系統(tǒng)等未采用兩種或兩種以上鑒別技術(shù)對用戶增加除用戶名/口令以外的身份鑒別技術(shù)，如密碼/令牌、生物安全設(shè)備、應(yīng)用系統(tǒng)安全審計(jì)身份進(jìn)行鑒別。 鑒別方式等，實(shí)現(xiàn)雙因子身份鑒別，增強(qiáng)身份鑒別的安全力度。重要核心網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等未重要核心設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫性能允許的前提開啟任何審計(jì)功能，無法對重要的用戶行為和重要安全事件進(jìn)行審下，開啟用戶操作類、安全事件類和重要用戶操作、行為操作計(jì)，也無法對事件進(jìn)行溯源。 審計(jì)策略或使用第三方日志審計(jì)工具。已知重大漏洞修補(bǔ)對于一些互聯(lián)網(wǎng)直接能夠訪問到的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等，如存在外界披露的重大漏洞，未及時(shí)修補(bǔ)更新；應(yīng)用系統(tǒng)所使用的環(huán)境、框架、組件等存在可被利用的高風(fēng)險(xiǎn)漏洞，可能造成嚴(yán)重后果的。訂閱安全廠商漏洞推送或本地安裝安全軟件，及時(shí)了解漏洞動態(tài)，在充分測試評估的基礎(chǔ)上，彌補(bǔ)嚴(yán)重安全漏洞；導(dǎo)致敏感數(shù)據(jù)泄露、網(wǎng)頁篡改、服務(wù)器被入侵等安全事件的發(fā)生，

定期對應(yīng)用系統(tǒng)進(jìn)行漏洞掃描，對可能存在的已知漏洞，在重復(fù)測試評估后及時(shí)進(jìn)行修補(bǔ)，降低安全隱患。數(shù)據(jù)備份措施應(yīng)用系統(tǒng)未提供任何數(shù)據(jù)備份措施，一旦遭受數(shù)據(jù)破壞，無法進(jìn)行建立備份恢復(fù)機(jī)制，定期對重要數(shù)據(jù)進(jìn)行備份以及恢復(fù)測試，數(shù)據(jù)恢復(fù)的。 確保在出現(xiàn)數(shù)據(jù)破壞時(shí)，可利用備份數(shù)據(jù)進(jìn)行恢復(fù)。異地備份措施對系統(tǒng)、數(shù)據(jù)容災(zāi)要求較高的系統(tǒng)，如金融、醫(yī)療衛(wèi)生、社會保障務(wù)需要。等行業(yè)系統(tǒng)，如無異地?cái)?shù)據(jù)災(zāi)備措施，或異地備份機(jī)制無法滿足業(yè)

設(shè)置異地災(zāi)備機(jī)房，并利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場地。安全管理中心運(yùn)行監(jiān)控措施對可用性要求較高的系統(tǒng)，若沒有任何監(jiān)測措施，發(fā)生故障時(shí)難以對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行及時(shí)對故障進(jìn)行定位和處理。 集中監(jiān)測。日志集中收集存儲相關(guān)設(shè)備日志留存不滿足法律法規(guī)相關(guān)要求。部署日志服務(wù)器，統(tǒng)一收集各設(shè)備的審計(jì)數(shù)據(jù)，進(jìn)行集中分析，并根據(jù)法律法規(guī)的要求留存日志。安全事件發(fā)現(xiàn)處置措施未部署相關(guān)安全設(shè)備，識別網(wǎng)絡(luò)中發(fā)生的安全事件，并對重要安全部署相關(guān)專業(yè)防護(hù)設(shè)備，對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識事件進(jìn)行報(bào)警。 別、報(bào)警和分析，確保相關(guān)安全事件得到及時(shí)發(fā)現(xiàn)，及時(shí)處置。等保網(wǎng)絡(luò)安全產(chǎn)品清單產(chǎn)品服務(wù)二級三級可應(yīng)對的主要高風(fēng)險(xiǎn)項(xiàng)下一代防火墻??互聯(lián)網(wǎng)邊界訪問控制、安全事件發(fā)現(xiàn)處置措施殺毒軟件??惡意代碼防范、已知重大漏洞修補(bǔ)IDS/入侵防御系統(tǒng)??外部網(wǎng)絡(luò)攻擊防御、安全事件發(fā)現(xiàn)處置措施日志審計(jì)系統(tǒng)??日志集中收集存儲、安全設(shè)備、應(yīng)用系統(tǒng)安全審計(jì)數(shù)據(jù)庫審計(jì)??網(wǎng)絡(luò)安全審計(jì)措施、安全設(shè)備、應(yīng)用系統(tǒng)安全審計(jì)、安全事件發(fā)現(xiàn)處置措施VPN接入及集中管理??傳輸保密性上網(wǎng)行為管理??網(wǎng)絡(luò)安全審計(jì)措施、安全事件發(fā)現(xiàn)處置措施WAF防火墻??外部網(wǎng)絡(luò)攻擊防御、惡意代碼防范、安全事件發(fā)現(xiàn)處置措施檢測探針+安全威脅感知平臺??內(nèi)聯(lián)檢查措施、外聯(lián)檢查措施、運(yùn)行監(jiān)控措施

、安全事件發(fā)現(xiàn)處置措施漏洞掃描??內(nèi)聯(lián)檢查措施、外聯(lián)檢查措施、已知重大漏洞修補(bǔ)、安全事件發(fā)現(xiàn)處置措施終端準(zhǔn)入與集中管控??運(yùn)行監(jiān)控措施

、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)雙因素認(rèn)證、安全事件發(fā)現(xiàn)處置措施EDS應(yīng)急處置設(shè)備?安全事件發(fā)現(xiàn)處置措施、外部網(wǎng)絡(luò)攻擊防御抗DDoS攻擊設(shè)備及平臺?內(nèi)部網(wǎng)絡(luò)攻擊防御、外部網(wǎng)絡(luò)攻擊防御、安全事件發(fā)現(xiàn)處置措施負(fù)載均衡設(shè)備?雙鏈路冗余、帶寬保障堡壘機(jī)?運(yùn)行監(jiān)控措施、網(wǎng)絡(luò)安全審計(jì)措施郵件網(wǎng)關(guān)?網(wǎng)絡(luò)安全審計(jì)措施、惡意代碼防范風(fēng)險(xiǎn)評估服務(wù)??安全事件發(fā)現(xiàn)處置措施、內(nèi)部網(wǎng)絡(luò)攻擊防御、外部網(wǎng)絡(luò)攻擊防御、惡意代碼防范……滲透測試服務(wù)?安全事件發(fā)現(xiàn)處置措施、外聯(lián)檢查措施、內(nèi)聯(lián)檢查措施、惡意代碼防范……應(yīng)急響應(yīng)及演練服務(wù)?安全事件發(fā)現(xiàn)處置措施、外聯(lián)檢查措施、內(nèi)聯(lián)檢查措施、惡意代碼防范……設(shè)備與平臺租賃服務(wù)?安全事件發(fā)現(xiàn)處置措施、外聯(lián)檢查措施、內(nèi)聯(lián)檢查措施、惡意代碼防范……重點(diǎn)行業(yè)解決方案-電子政務(wù)按照國家電子政務(wù)外網(wǎng)統(tǒng)一技術(shù)路線的要求，在廣域網(wǎng)、城域網(wǎng)內(nèi)可通過MPLSVPN或其他VPN隔離技術(shù)、路由控制、防火墻、認(rèn)證網(wǎng)關(guān)、邊界訪問控制設(shè)備等技術(shù)手段，劃分不同的區(qū)域來保證政務(wù)外網(wǎng)和業(yè)務(wù)信息系統(tǒng)的安全。政務(wù)外網(wǎng)開展安全等級保護(hù)工作的重點(diǎn)是廣域網(wǎng)和各級城域網(wǎng)。政務(wù)外網(wǎng)中央至省、省至地

（市）廣域網(wǎng)和中央、省級、地（市）級城域網(wǎng)應(yīng)達(dá)到安全等級保護(hù)第三級要求，地（市）級

至區(qū)縣廣域網(wǎng)和地（市）以下城域網(wǎng)應(yīng)至少達(dá)到安全等級保護(hù)第二級的要求。《國家電子政務(wù)外網(wǎng)

安全等級保護(hù)實(shí)施指南》---國家電子政務(wù)外網(wǎng)管理中心安全區(qū)域劃分訪問者身份要求公用網(wǎng)絡(luò)區(qū)要求互聯(lián)網(wǎng)用戶不能直接訪問這個(gè)區(qū)域的數(shù)據(jù)和信息系統(tǒng)專用網(wǎng)絡(luò)區(qū)要求非本部門用戶和互聯(lián)網(wǎng)用戶不能直接訪問這個(gè)區(qū)域的數(shù)據(jù)和信息系統(tǒng)互聯(lián)網(wǎng)區(qū)滿足政務(wù)部門利用互聯(lián)網(wǎng)開展公共服務(wù)、社會管理、經(jīng)濟(jì)調(diào)節(jié)和市場監(jiān)管的電子政務(wù)業(yè)務(wù)需要功能區(qū)域劃分安全防護(hù)要求公用網(wǎng)絡(luò)區(qū)互聯(lián)網(wǎng)出口應(yīng)部署防火墻、IPS、防DDOS

攻擊設(shè)備及流量控制設(shè)備等，或具有上述功能的綜合網(wǎng)關(guān)類設(shè)備；將政務(wù)部門用戶主動訪問互聯(lián)網(wǎng)的流量與互聯(lián)網(wǎng)公眾用戶訪問政府門戶網(wǎng)站的流量在城域網(wǎng)分開，通過各種VPN技術(shù)等安全手段進(jìn)行隔離，進(jìn)一步保證政務(wù)外

網(wǎng)城域網(wǎng)的安全。安全接入平臺區(qū)通過IPSecVPN、3A認(rèn)證、數(shù)字證書、VPDN保障移動辦公接入，且需要終端身份認(rèn)證通過終端身份認(rèn)證、加密傳輸?shù)劝踩侄螌⒁苿咏K端接入到相應(yīng)的業(yè)務(wù)應(yīng)用系統(tǒng)，保證數(shù)據(jù)和應(yīng)用系統(tǒng)的使用安全網(wǎng)絡(luò)管理區(qū)根據(jù)網(wǎng)絡(luò)業(yè)務(wù)及安全自身的需要，將網(wǎng)絡(luò)管理系統(tǒng)、安全管理系統(tǒng)、電子認(rèn)證服務(wù)等信息系統(tǒng)部署在管理區(qū)，并設(shè)置與之相適應(yīng)的訪問控制策略數(shù)據(jù)中心區(qū)可分為互聯(lián)網(wǎng)區(qū)和公用網(wǎng)絡(luò)區(qū)，實(shí)現(xiàn)相關(guān)政務(wù)部門各類業(yè)務(wù)的分業(yè)務(wù)分區(qū)域集中部署或托管等重點(diǎn)行業(yè)解決方案-電子政務(wù)政務(wù)外網(wǎng)中央骨干網(wǎng)地市政務(wù)外網(wǎng)地市政務(wù)外網(wǎng)接入路由器……省骨干路由器政務(wù)外網(wǎng)接入路由器出口安全防護(hù)

核心環(huán)網(wǎng)城域接入路由器跨網(wǎng)數(shù)據(jù)安全交換系統(tǒng)Internet認(rèn)證服務(wù)器授權(quán)系統(tǒng)網(wǎng)關(guān)管理系統(tǒng)政務(wù)部門非專線接入移動辦公城域網(wǎng)廣域骨干網(wǎng)互聯(lián)網(wǎng)區(qū)上報(bào)數(shù)據(jù)3GPSTNVPDN訪問控制FWGuard抗DDoS攻擊IDS/IPS 入侵檢測/防御UAG流量控制

行為審計(jì)專線接入?yún)^(qū)委辦廳局城域網(wǎng)部分企事業(yè)單位

WAF 惡意代碼防范互聯(lián)網(wǎng)區(qū)數(shù)據(jù)中心安全防護(hù)FW 訪問控制IDS/IPS

入侵防范安全接入平臺VPN網(wǎng)關(guān)集群等設(shè)備安全接入加密傳輸

訪問控制公用網(wǎng)絡(luò)區(qū)數(shù)據(jù)交換共享平臺IDS/IPS入侵防范WAF 惡意代碼防范公用網(wǎng)絡(luò)區(qū)數(shù)據(jù)中心FW 訪問控制DNS等公共網(wǎng)絡(luò)門戶網(wǎng)站群服務(wù)設(shè)施 應(yīng)用數(shù)據(jù)中心管理區(qū)域網(wǎng)絡(luò)網(wǎng)絡(luò)管理區(qū)安全管理區(qū)電子認(rèn)證區(qū)FW

訪問控制UMC異常告警態(tài)勢感知安全監(jiān)測堡壘機(jī)日志審計(jì)電子認(rèn)證密碼管理身份認(rèn)證行為審計(jì)UAG

漏洞掃描終端防病毒軟件重點(diǎn)行業(yè)解決方案-金融

金融三級系統(tǒng)測評指標(biāo)技術(shù)/管理安全分類安全子類數(shù)量S(3

級)A(3

級)G(3

級)小計(jì)安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1—67主機(jī)安全3137應(yīng)用安全5229數(shù)據(jù)安全及備份恢復(fù)21—3安全管理安全管理制度——55安全管理機(jī)構(gòu)——33人員安全管理——55系統(tǒng)建設(shè)管理——1111系統(tǒng)運(yùn)維管理——1311《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)測評指南》JR/T0072-2012重點(diǎn)行業(yè)解決方案-金融隔離業(yè)務(wù)區(qū)網(wǎng)銀區(qū)外聯(lián)區(qū)運(yùn)維管理區(qū)生產(chǎn)業(yè)務(wù)區(qū)核心交換區(qū)廣域網(wǎng)區(qū)測試業(yè)務(wù)區(qū)開發(fā)測試區(qū)抗DDoS攻擊入侵防范訪問控制鏈路負(fù)載均衡GuardFWADXIPSWAF惡意代碼防范入侵防范訪問控制惡意代碼防范FWWAFIPS入侵防范辦公互聯(lián)網(wǎng)區(qū)邊界防護(hù)終端防病毒FWIPSWAF惡意代碼防范UAG安全審計(jì)FW訪問控制流量控制

安全審計(jì)UAG邊界防護(hù)FWVPN接入VPN抗DDoS攻擊Guard鏈路負(fù)載均衡ADX入侵防范IPS入侵防范邊界防護(hù)數(shù)據(jù)庫審計(jì)UAG生產(chǎn)一區(qū)IPSFW入侵防范邊界防護(hù)數(shù)據(jù)庫審計(jì)UAG生產(chǎn)二區(qū)IPSFW邊界防護(hù)鏈路負(fù)載均衡入侵防范應(yīng)用層防護(hù)FWIPSUAGWAF入侵防范邊界防護(hù)數(shù)據(jù)庫審計(jì)UAG準(zhǔn)生產(chǎn)區(qū)IPSFW網(wǎng)絡(luò)管理區(qū)安全管理平臺UMC異常告警態(tài)勢感知堡壘機(jī)

漏洞掃描日志審計(jì)重點(diǎn)行業(yè)解決方案-教育根據(jù)辦學(xué)規(guī)模和社會影響力，將高等學(xué)校分為三類：Ⅰ類高校：重點(diǎn)關(guān)注類高等學(xué)校，如985高校和211高校等Ⅱ類高校：其他普通本科類院校Ⅲ類高校：高職、高專院校分類涉及信息系統(tǒng)建議定級Ⅰ類高校Ⅱ類高校Ⅲ類高校1、校務(wù)管理類辦公、人事、財(cái)務(wù)、后勤、資產(chǎn)、檔案、黨務(wù)二級二級二級2、教學(xué)科研類教學(xué)管理、教務(wù)管理、學(xué)科管理、教務(wù)資源管理二級二級二級科研管理、科研情報(bào)三級二級二級3、招生就業(yè)類國家統(tǒng)一招生管理、自主招生管理三級二級二級普通高校招生網(wǎng)上錄取管理三級三級三級學(xué)生就業(yè)管理二級二級二級4、綜合服務(wù)類門戶網(wǎng)站、論壇、社區(qū)類網(wǎng)站三級二級二級電子郵件、視頻服務(wù)、安防監(jiān)控、身份認(rèn)證、公共數(shù)據(jù)庫、數(shù)字圖書館等二級二級二級校園一卡通三級二級二級《教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南》重點(diǎn)行業(yè)解決方案-教育分校接入?yún)^(qū)DMZ區(qū)核心交換區(qū)外聯(lián)區(qū)門戶網(wǎng)站數(shù)據(jù)中心區(qū)互聯(lián)網(wǎng)出口附屬小學(xué)教育局運(yùn)維管理區(qū)分校區(qū)1分校區(qū)2分校區(qū)3入侵防范邊界防護(hù)VPN接入鏈路負(fù)載均衡ADXIPSFWVPN訪問控制FWWAF惡意代碼防范入侵防范邊界防護(hù)IPSFW邊界防護(hù)鏈路負(fù)載均衡ADXIPSFWWAF應(yīng)用層防護(hù)入侵防范數(shù)據(jù)庫審計(jì)數(shù)據(jù)庫審計(jì)安全管理平臺態(tài)勢感知堡壘機(jī)漏洞掃描日志審計(jì)流量控制

安全審計(jì)UAG邊界防護(hù)FWVPN接入VPN抗DDoS攻擊Guard鏈路負(fù)載均衡ADX入侵防范IPS網(wǎng)絡(luò)管理平臺UMC 異常告警FW

訪問控制入侵防范IPS重點(diǎn)行業(yè)解決方案-醫(yī)療以下重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級原則上不低于第三級：（1）衛(wèi)生統(tǒng)計(jì)網(wǎng)絡(luò)直報(bào)系統(tǒng)、傳染性疾病報(bào)告系統(tǒng)、衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)；（2）國家、省、地市三級衛(wèi)生信息平臺，新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等國家級數(shù)據(jù)中心；（3）三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)；（4）衛(wèi)生部網(wǎng)站系統(tǒng)；（5）其他經(jīng)過信息安全技術(shù)專家委員會評定為第三級以上（含第三級）的信息系統(tǒng)。《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》（衛(wèi)生辦[2011]85號）序號信息系統(tǒng)類別說明可能侵害的客體定級建議1面向患者提供服務(wù)的系統(tǒng)例如：HIS、門診系統(tǒng)、網(wǎng)站等社會秩序、公共利益，公民、法人和其他組織的合法權(quán)益三級2管理病人隱私、商業(yè)秘密的系統(tǒng)例如：LIS、PACS、電子病歷等社會秩序、公共利益，公民、法人和其他組織的合法權(quán)益三級3醫(yī)生、護(hù)士業(yè)務(wù)管理的系統(tǒng)例如：醫(yī)生、護(hù)士工作站等社會秩序、公共利益，公民、法人和其他組織的合法權(quán)益二級4面向內(nèi)部行政管理的系統(tǒng)例如：人事管理、OA等公民、法人和其他組織的合法權(quán)益二級重點(diǎn)行業(yè)解決方案-醫(yī)療外網(wǎng)核心交換區(qū)互聯(lián)網(wǎng)出口區(qū)支付寶前置網(wǎng)站郵件DMZ區(qū)外網(wǎng)接入?yún)^(qū)內(nèi)網(wǎng)核心交換區(qū)網(wǎng)閘

自助終端自助終端服務(wù)器區(qū)HISLISPACS內(nèi)網(wǎng)接入?yún)^(qū)住院系統(tǒng)門診系統(tǒng)外聯(lián)區(qū)內(nèi)網(wǎng)外網(wǎng)安全管理區(qū)醫(yī)/社保衛(wèi)計(jì)委FW訪問控制安全管理UMC入侵防范邊界防護(hù)鏈路負(fù)載均衡ADXIPSFWWAF應(yīng)用層防護(hù)入侵防范邊界防護(hù)IPSFW邊界防護(hù)FW邊界防護(hù)FW入侵防范VPN接入異常流量清洗邊界防護(hù)行為審計(jì)鏈路負(fù)載均衡ADXUAGIPSGuardFWVPN安全管理平臺態(tài)勢感知堡壘機(jī)日志審計(jì)

漏洞掃描網(wǎng)絡(luò)管理平臺訪問控制FWWAF惡意代碼防范入侵防范IPS安全準(zhǔn)入iNAC安全準(zhǔn)入iNAC應(yīng)用場景03最佳實(shí)踐—政府一、項(xiàng)目背景XXXX電子政務(wù)外網(wǎng)需進(jìn)行網(wǎng)絡(luò)安全加固，并實(shí)現(xiàn)全網(wǎng)安全資源統(tǒng)一管理滿足行業(yè)條規(guī)對于安全建設(shè)的要求。二、需求分析1.

需要滿足三級等保合規(guī)要求；2.

側(cè)重防御，缺乏統(tǒng)一管控手段；3.

設(shè)備使用年限長，無法發(fā)揮應(yīng)有價(jià)值。三、方案設(shè)計(jì)1. 通過兩臺安全融合網(wǎng)關(guān)（防火墻、入侵檢測、入侵防護(hù)、防病毒網(wǎng)關(guān)），實(shí)現(xiàn)了互聯(lián)網(wǎng)出口網(wǎng)絡(luò)安全防護(hù)2. 通過在接入層到出口部署一系列的網(wǎng)絡(luò)安全設(shè)備完成內(nèi)外網(wǎng)之間的安全互訪3. 通過統(tǒng)一管理中心UMC，實(shí)現(xiàn)整網(wǎng)網(wǎng)絡(luò)安全設(shè)備統(tǒng)一管理，實(shí)現(xiàn)安全的可視可控統(tǒng)一管理中心UMC上級電子政務(wù)外網(wǎng)MPLS

VPN下級電子政務(wù)外網(wǎng)MPLS

VPN中小型單位大型單位市直、區(qū)直單位接入?yún)^(qū)省縣WEB

DNS廣電MPLS

VPN中小型單位大型單位聯(lián)通MPLS

VPN應(yīng)用服務(wù)器群VOD移動聯(lián)通LSW5600/LSW3600LSW5600/LSW3600DPX8000-A5DPX8000-A5VSM最佳實(shí)踐—醫(yī)療一、項(xiàng)目背景XXXX人民醫(yī)院在安全評估基礎(chǔ)上，對醫(yī)院園區(qū)網(wǎng)絡(luò)的安全防范進(jìn)行加固，達(dá)到信息安全等級保護(hù)體系對網(wǎng)絡(luò)安全的相關(guān)要求的同時(shí)，建立滿足未來管理和數(shù)據(jù)業(yè)務(wù)發(fā)展要求的網(wǎng)絡(luò)、安全一體化平臺網(wǎng)絡(luò)，確立區(qū)人民醫(yī)院信息化在XXX衛(wèi)生系統(tǒng)的領(lǐng)先地位。二、需求分析1.基于等保差距分析結(jié)果決定對存在的設(shè)備老化、性能不足、網(wǎng)絡(luò)結(jié)構(gòu)不合理等問題；2.

按照等保三級要求進(jìn)行網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)。三、方案設(shè)計(jì)采用綜合安全網(wǎng)關(guān)（防火墻、入侵檢測、入侵防護(hù)、防病毒網(wǎng)關(guān)）作為出口、數(shù)據(jù)中心安全設(shè)備，實(shí)現(xiàn)了出口、數(shù)據(jù)中心安全的全面防護(hù)與簡化部署電子病歷PACS其它系統(tǒng)HIS LIS新機(jī)房服務(wù)器區(qū)UAG3000LISHIS電子病歷PACS其它系統(tǒng)舊機(jī)房服務(wù)器區(qū)互聯(lián)網(wǎng)核心交換機(jī)UAG3000外聯(lián)區(qū)醫(yī)保/金保建行衛(wèi)生廳安全管理區(qū)Web臨檢中心Web網(wǎng)上預(yù)約掛號DMZ區(qū)綜合門診內(nèi)科最佳實(shí)踐—教育一、項(xiàng)目背景XXX學(xué)校現(xiàn)有現(xiàn)有2萬余學(xué)生，學(xué)校計(jì)劃將三個(gè)校區(qū)通過專線采用統(tǒng)一互聯(lián)網(wǎng)出口進(jìn)行外網(wǎng)連接，出口總帶寬2G，并發(fā)用戶數(shù)約為1萬用戶。隨著學(xué)生人數(shù)不斷增多，視頻、P2P等應(yīng)用的廣泛使用，占據(jù)互聯(lián)網(wǎng)帶寬接近70%，網(wǎng)絡(luò)擁塞時(shí)有發(fā)生，為此需要對上網(wǎng)的行為進(jìn)行優(yōu)化及安全防護(hù)。同時(shí)，師范學(xué)院客戶要求數(shù)據(jù)中心按照等級保護(hù)的建設(shè)思路進(jìn)行安全加固。

二、需求分析1.

需要滿足等級保護(hù)相關(guān)要求；2.

在實(shí)現(xiàn)安全防護(hù)的基礎(chǔ)上保障出口使用體驗(yàn)。三、方案設(shè)計(jì)通過在出口和數(shù)據(jù)中心部署合安全網(wǎng)關(guān)（防火墻、IDS、IPS、WAF），配置高端萬兆FW、IPS、WAF板卡，實(shí)現(xiàn)了數(shù)據(jù)中心云平臺和傳統(tǒng)業(yè)務(wù)區(qū)的安全防護(hù)。電信教育網(wǎng)辦公區(qū)學(xué)生區(qū)服務(wù)器區(qū)XXX校區(qū)分校區(qū)等保2.0二級信息系統(tǒng)>75分終端有互聯(lián)網(wǎng)訪問需求，增加上網(wǎng)行為管理進(jìn)行行為管控、審計(jì)DMZ區(qū)有對外WEB業(yè)務(wù)且數(shù)據(jù)比較重要需增加WEB應(yīng)用防火墻終端安全系統(tǒng)所有操作可追溯網(wǎng)絡(luò)邊界區(qū)域DMZ區(qū)Web應(yīng)用防火墻下一代防火墻上網(wǎng)行為管理核心交換智慧防火墻安全計(jì)算環(huán)境辦公環(huán)境安全管理中心數(shù)據(jù)備份系統(tǒng)堡壘機(jī)網(wǎng)絡(luò)準(zhǔn)入殺毒軟件補(bǔ)丁防護(hù)應(yīng)用服務(wù)器集群三層交換接入交換管理交換身份認(rèn)證違規(guī)外聯(lián)各業(yè)務(wù)專網(wǎng)移動網(wǎng)備份提升配置清單：1.殺毒軟件補(bǔ)丁防護(hù)2.統(tǒng)一運(yùn)維管理3.下一代防火墻（UTM）4.數(shù)據(jù)備份系統(tǒng)5.上網(wǎng)行為管理6.日志審計(jì)系統(tǒng)7.堡壘機(jī)9.核心交換機(jī)（冗余）10.漏洞掃描系統(tǒng)11.網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)12.WEB應(yīng)用防火墻集中收集審計(jì)記錄保護(hù)日志保存周期180天以上實(shí)時(shí)備份，保護(hù)數(shù)據(jù)的有效性統(tǒng)一集中運(yùn)維審計(jì)，保證所有操作可溯源日志審計(jì)系統(tǒng)統(tǒng)一運(yùn)維管理平臺定期對服務(wù)器設(shè)備進(jìn)行漏洞掃描漏洞掃描系統(tǒng)安全通信網(wǎng)絡(luò)等保2.0二級詳解在網(wǎng)絡(luò)中需部署日志審計(jì)系統(tǒng)對網(wǎng)絡(luò)中的設(shè)備日志進(jìn)行集中收集、定期備份保護(hù)日志的可用性；在辦公網(wǎng)的業(yè)務(wù)終端和管理終端上同時(shí)需安裝企業(yè)級殺毒軟件進(jìn)行安全防護(hù)；增加服務(wù)器區(qū)的下一代防火墻，對應(yīng)用系統(tǒng)所在網(wǎng)絡(luò)區(qū)域進(jìn)行重點(diǎn)保護(hù)；在安全管理中心增加一臺堡壘機(jī)進(jìn)行統(tǒng)一的安全運(yùn)維和審計(jì)，保證運(yùn)維人員的所有操作可溯源；在安全管理中心增加了一臺數(shù)據(jù)備份系統(tǒng)，對應(yīng)用系統(tǒng)進(jìn)行實(shí)時(shí)的數(shù)據(jù)備份保護(hù)數(shù)據(jù)丟失和被攻擊；在辦公網(wǎng)里有上網(wǎng)需求的還需部署上網(wǎng)行為管理系統(tǒng)來對終端的上網(wǎng)行為和訪問的內(nèi)容進(jìn)行審計(jì)阻斷；增加一臺WAF對DMZ區(qū)的應(yīng)用系統(tǒng)進(jìn)行防護(hù)，在核心交換區(qū)增加一臺核心交換機(jī)來做設(shè)備堆疊，保證核心交換設(shè)備的處理性能和高可用性，在安全管理區(qū)新曾一套網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，對內(nèi)部所有接入內(nèi)網(wǎng)人員進(jìn)行強(qiáng)身份認(rèn)證及接入條件限制，部署一臺漏洞掃描定期對內(nèi)部的服務(wù)器、網(wǎng)絡(luò)設(shè)備及應(yīng)用系統(tǒng)進(jìn)行漏洞掃描及時(shí)發(fā)現(xiàn)漏洞并及時(shí)修復(fù)，部署一臺數(shù)據(jù)庫審計(jì)對所有數(shù)據(jù)庫操作進(jìn)行審計(jì)及分析，防止管理員人員或是惡意攻擊者對數(shù)據(jù)庫的誤操作、惡意操作及破壞等行為無法追溯。等保2.0三級信息系統(tǒng)>75分未知威脅防范（行為、流量、進(jìn)程新型攻擊手段檢測分析）