1、華為等級(jí)保護(hù)三級(jí)系統(tǒng)安全解決方案Description文檔名稱華為等級(jí)保護(hù)三級(jí)系統(tǒng)安全解決方案目標(biāo)提供三級(jí)系統(tǒng)安全保護(hù)方案目標(biāo)客戶等級(jí)保護(hù)要求范圍下的中央企業(yè)客戶，可以擴(kuò)展到政府，金融，電力等行業(yè)客戶關(guān)鍵信息等級(jí)保護(hù)基本信息簡(jiǎn)介等級(jí)保護(hù)三級(jí)系統(tǒng)安全保護(hù)方案成功故事修訂記錄版本/日期修改描述作者/工號(hào)審核/工號(hào)部門(mén)V1.0_20110807文檔創(chuàng)建張迎慧/00126124賈照坤/90005009盧 熔/90006144MTS國(guó)內(nèi)銷(xiāo)服咨詢服務(wù)部宣講前請(qǐng)刪除此頁(yè)等級(jí)保護(hù)現(xiàn)狀等級(jí)保護(hù)需求分析華為等級(jí)保護(hù)安全方案成功案例目錄Page 4政府金融電力企業(yè)2011年1月建行一周四曝系統(tǒng)安全安全性遭疑，儲(chǔ)戶不

2、滿2010年11月上交所交易系統(tǒng)出現(xiàn)技術(shù)故障，導(dǎo)致主機(jī)系統(tǒng)癱瘓3小時(shí)2009年8月 XX政府建設(shè)廳網(wǎng)站被惡意掛馬2009年9月 XX政府科技廳網(wǎng)站被惡意篡改2003年4月 外國(guó)工程調(diào)式設(shè)備將病毒帶至電網(wǎng)調(diào)度系統(tǒng)，造成大面積癱瘓2006年7月 XX電網(wǎng)XX機(jī)密信息提前泄露2011年7月 77% 企業(yè)機(jī)構(gòu)數(shù)據(jù)遭泄密行業(yè)信息安全事件等級(jí)保護(hù)背景介紹-發(fā)展歷程信息安全等級(jí)保護(hù)是基本制度、基本國(guó)策、基本方法信息安全等級(jí)保護(hù)是黨中央國(guó)務(wù)院決定在信息系統(tǒng)安全領(lǐng)域?qū)嵤┑幕緡?guó)策信息安全等級(jí)保護(hù)是國(guó)家信息安全保障工作的基本制度信息安全等級(jí)保護(hù)是國(guó)家信息安全保障工作的基本方法Page 5中華人民共和國(guó)計(jì)算機(jī)信息系

3、統(tǒng)安全保護(hù)條例 (1994年2月18日中華人民共和國(guó)國(guó)務(wù)院令147號(hào)發(fā)布)2003年9月中辦國(guó)辦頒發(fā)關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)200327號(hào)）2004年11月四部委會(huì)簽關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)（公通字200466號(hào)）2005年9月國(guó)信辦文件 關(guān)于轉(zhuǎn)發(fā)電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南的通知 （國(guó)信辦200425號(hào)）2006年1月四部委會(huì)簽 關(guān)于印發(fā)信息安全等級(jí)保護(hù)管理辦法的通知 （公通字20067號(hào)）2007年6月公安部、保密局、國(guó)密局、國(guó)信辦聯(lián)合印發(fā)信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào) ）2007年7月關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知 （公信安

4、2007861號(hào)）2008年發(fā)布GB/T 222392008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求、GB/T 222402008 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南2009年公安部發(fā)文關(guān)于開(kāi)展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)（公信安20091429號(hào)）2010年3月公安部發(fā)文關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知（公信安303號(hào)）起步階段發(fā)展階段推行階段Page 6整改金融：生產(chǎn)系統(tǒng)和重要管理系統(tǒng)：3級(jí)辦公系統(tǒng) 2級(jí)電力：實(shí)時(shí)調(diào)度系統(tǒng)：4級(jí)信息管理系統(tǒng)：3級(jí)信息委：政務(wù)專網(wǎng)數(shù)據(jù)系統(tǒng)：3級(jí)政務(wù)專網(wǎng)辦公系統(tǒng)：2級(jí)央企：國(guó)資委 2010定級(jí)國(guó)資委關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級(jí)保

5、護(hù)工作的通知 信息委，稅務(wù)、金融，電力整改完畢，測(cè)評(píng)檢查中定級(jí)等級(jí)保護(hù)建設(shè)社保，廣電，教育整改進(jìn)行中測(cè)評(píng)檢查行業(yè)等級(jí)保護(hù)整改現(xiàn)狀等級(jí)保護(hù)安全建設(shè)參考政策和標(biāo)準(zhǔn)Page 7中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例(國(guó)務(wù)院147號(hào)令)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)(中辦發(fā)200327 號(hào))關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)（公通字200466號(hào)）信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào))關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公信安2007861號(hào)）信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則（公信安20071360號(hào)）公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范（公信安2008736

6、號(hào)）關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知（發(fā)改高技20082071號(hào)）關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)(公信安20091429號(hào))等級(jí)保護(hù)政策要求計(jì)算機(jī)信息系統(tǒng) 安全等級(jí)保護(hù)劃分準(zhǔn)則信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息安全技術(shù) 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)

7、運(yùn)維管理等級(jí)保護(hù)基本要求框架等級(jí)保護(hù)安全建設(shè)思路Page 9選擇測(cè)評(píng)機(jī)構(gòu)系統(tǒng)等級(jí)測(cè)評(píng)第四步：等級(jí)測(cè)評(píng)安全管理建設(shè)安全技術(shù)建設(shè)第三步：安全實(shí)施建設(shè)方案設(shè)計(jì)建設(shè)方案評(píng)審第二步：方案設(shè)計(jì)差距分析風(fēng)險(xiǎn)分析第一步：需求分析等級(jí)保護(hù)現(xiàn)狀等級(jí)保護(hù)需求分析華為等級(jí)保護(hù)安全方案成功案例目錄等級(jí)保護(hù)安全建設(shè)需求來(lái)源Page 11信息系統(tǒng)定級(jí) 差距分析 識(shí)別關(guān)鍵信息資產(chǎn) 識(shí)別威脅識(shí)別信息系統(tǒng)弱點(diǎn) 風(fēng)險(xiǎn)分析信息系統(tǒng)安全風(fēng)險(xiǎn)等級(jí)保護(hù)基本要求安全建設(shè)需求企業(yè)IT架構(gòu)面臨的主要安全風(fēng)險(xiǎn)Page 12外聯(lián)前置系統(tǒng)核心業(yè)務(wù)系統(tǒng)一般業(yè)務(wù)系統(tǒng)網(wǎng)管系統(tǒng)外聯(lián)網(wǎng)普通業(yè)務(wù)終端核心業(yè)務(wù)終端外聯(lián)單位對(duì)外服務(wù)系統(tǒng)Internet病毒、蠕蟲(chóng)、木馬

8、、后門(mén)、間諜軟件等惡意代碼非授權(quán)訪問(wèn)資源、篡改網(wǎng)絡(luò)配置信息網(wǎng)絡(luò)探測(cè)、漏洞探測(cè)和信息采集拒絕服務(wù)、系統(tǒng)運(yùn)行的控制和破壞用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞互聯(lián)網(wǎng)邊界風(fēng)險(xiǎn)系統(tǒng)內(nèi)部的病毒，通過(guò)內(nèi)部網(wǎng)絡(luò)、U盤(pán)等的傳播，影響系統(tǒng)的完整性及可用性濫用權(quán)限過(guò)度使用系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)維護(hù)錯(cuò)誤、操作失誤安全管理風(fēng)險(xiǎn)病毒、蠕蟲(chóng)、木馬、后門(mén)、間諜軟件等惡意代碼非授權(quán)訪問(wèn)資源、篡改網(wǎng)絡(luò)配置信息、篡改安全配置信息、篡改用戶身份信息、篡改業(yè)務(wù)數(shù)據(jù)信息網(wǎng)絡(luò)探測(cè)、漏洞探測(cè)、信息采集、嗅探（帳號(hào)、口令、敏感數(shù)據(jù)等）系統(tǒng)運(yùn)行的控制和破壞、內(nèi)部信息泄露濫用權(quán)限過(guò)度使用系統(tǒng)資源、濫用權(quán)限非正常修改系

9、統(tǒng)配置或數(shù)據(jù)維護(hù)錯(cuò)誤、操作失誤內(nèi)網(wǎng)服務(wù)器側(cè)風(fēng)險(xiǎn)外聯(lián)網(wǎng)邊界風(fēng)險(xiǎn)內(nèi)網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施風(fēng)險(xiǎn)設(shè)備硬件故障，影響網(wǎng)絡(luò)設(shè)備的可用性蠕蟲(chóng)通過(guò)系統(tǒng)內(nèi)部網(wǎng)絡(luò)及U盤(pán)等傳播，導(dǎo)致網(wǎng)絡(luò)擁塞甚至癱瘓，影響網(wǎng)絡(luò)可用性嗅探獲取明文傳輸?shù)挠脩裘?、口令及敏感?shù)據(jù)內(nèi)部人員登陸網(wǎng)絡(luò)設(shè)備，修改配置及網(wǎng)絡(luò)安全，影響網(wǎng)絡(luò)的可用性內(nèi)部維護(hù)人員操作時(shí)輸入錯(cuò)誤指令或路由配置錯(cuò)誤，影響配置的完整性及網(wǎng)絡(luò)的可用性病毒、蠕蟲(chóng)、木馬、后門(mén)、間諜軟件等惡意代碼網(wǎng)絡(luò)探測(cè)、漏洞探測(cè)和信息采集用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞等級(jí)保護(hù)安全建設(shè)要求-技術(shù)Page 13物理安全應(yīng)用安全網(wǎng)絡(luò)安全主機(jī)安全數(shù)據(jù)安全對(duì)機(jī)房分區(qū)域管理，出入由專用設(shè)施進(jìn)行控制，具備

10、監(jiān)控、防盜報(bào)警設(shè)施具備防雷設(shè)施，自動(dòng)檢測(cè)火災(zāi)、水災(zāi)發(fā)生并報(bào)警，有適當(dāng)?shù)臏缁鹪O(shè)備具備接地、防靜電地板等防靜電措施和自動(dòng)調(diào)控溫濕度的設(shè)施配備不間斷電源和備份供電系統(tǒng)，設(shè)備的電磁屏蔽進(jìn)行安全域劃分，邊界處具備防火墻、惡意代碼防護(hù)、邊界完整性保護(hù)、入侵檢測(cè)等控制措施對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行、網(wǎng)絡(luò)流量等基本情況進(jìn)行記錄、分析，并形成報(bào)表，保護(hù)審計(jì)記錄不被刪除和篡改設(shè)備登錄雙因素驗(yàn)證，特權(quán)用戶權(quán)限分離對(duì)用戶行為、系統(tǒng)異常情況等進(jìn)行記錄、分析，并形成報(bào)表，保護(hù)審計(jì)記錄不被刪除和篡改系統(tǒng)安裝遵循最小授權(quán)原則、設(shè)置服務(wù)器及時(shí)更新，對(duì)入侵行為進(jìn)行檢測(cè)、報(bào)警和記錄對(duì)惡意代碼進(jìn)行統(tǒng)一管理，與網(wǎng)絡(luò)處的惡意代碼防范產(chǎn)品異構(gòu)設(shè)備登錄

11、雙因素驗(yàn)證，限制用戶對(duì)系統(tǒng)資源的訪問(wèn)，實(shí)現(xiàn)不同系統(tǒng)用戶的權(quán)限分離，用戶的權(quán)限最小化系統(tǒng)登錄雙因素驗(yàn)證，實(shí)現(xiàn)用戶的權(quán)限最小化對(duì)用戶行為、安全事件進(jìn)行記錄，并能夠統(tǒng)計(jì)、分析、并生成報(bào)表對(duì)存放鑒別信息、文件、記錄等存儲(chǔ)空間進(jìn)行重新使用前的清除確保數(shù)據(jù)的完整性，通信過(guò)程整個(gè)報(bào)文或會(huì)話過(guò)程信息加密限制單個(gè)用戶或單位時(shí)間會(huì)話數(shù)量、最大并發(fā)會(huì)話數(shù)量保證鑒別信息、重要業(yè)務(wù)數(shù)據(jù)、系統(tǒng)管理數(shù)據(jù)的傳輸完整性，能檢測(cè)，能恢復(fù)保證系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸和存儲(chǔ)的保密性本地完全數(shù)據(jù)備份，重要數(shù)據(jù)異地備份具備冗余網(wǎng)絡(luò)拓?fù)涞燃?jí)保護(hù)安全建設(shè)要求-管理Page 14安全管理制度系統(tǒng)建設(shè)管理安全管理機(jī)構(gòu)人員安全管

12、理系統(tǒng)運(yùn)維管理特定部門(mén)制定信息安全管理制度，包括：總體方針、安全策略、操作規(guī)程等對(duì)制度的文件格式、發(fā)布范圍、方式進(jìn)行控制定期對(duì)管理制度進(jìn)行評(píng)審成立安全領(lǐng)導(dǎo)小組、設(shè)置信息安全職能部門(mén)和專職安全管理員明確授權(quán)和審批職責(zé)、審批形式和規(guī)程，并進(jìn)行記錄和審查與相關(guān)機(jī)構(gòu)內(nèi)部門(mén)及外界組織進(jìn)行溝通建立安全檢查制度，明確檢查周期、內(nèi)容、負(fù)責(zé)人、流程、結(jié)果處理等對(duì)錄用人員背景、身份、專業(yè)等進(jìn)行審查，并對(duì)技能進(jìn)行考核，與全部員工簽署保密協(xié)議規(guī)范離崗過(guò)程，對(duì)離崗人員進(jìn)行設(shè)備歸還和權(quán)限中止人員定期進(jìn)行技能考核，并進(jìn)行后續(xù)處置建立培訓(xùn)制度，對(duì)不同崗位人員進(jìn)行安全培訓(xùn)建立外部人員訪問(wèn)制度，要求得到書(shū)面授權(quán)和審批，并有人員全

13、程陪同對(duì)信息系統(tǒng)定級(jí)并論證，對(duì)安全建設(shè)進(jìn)行規(guī)劃和設(shè)計(jì)，且通過(guò)論證和批準(zhǔn)，產(chǎn)品采購(gòu)進(jìn)行選型測(cè)試信息系統(tǒng)要及時(shí)備案和測(cè)評(píng)工程實(shí)施、驗(yàn)收和系統(tǒng)交付管理制度化，工程驗(yàn)收委托第三方測(cè)試選擇那些已獲得國(guó)家的相關(guān)規(guī)定服務(wù)商，并簽訂相關(guān)的安全協(xié)議安全檢查、安全事件處置、惡意代碼管理、備份和恢復(fù)、密碼使用、系統(tǒng)變更、介質(zhì)管理、設(shè)備使用過(guò)程，機(jī)房出入管理，辦公環(huán)境保密，資產(chǎn)管理，帶離設(shè)備控制規(guī)范化、制度化；建立安全管理中心，對(duì)各種安全事項(xiàng)和監(jiān)測(cè)結(jié)果進(jìn)行集中監(jiān)控和管理等級(jí)保護(hù)安全建設(shè)需求Page 1531542等保安全建設(shè)需求完善基礎(chǔ)安全技術(shù)措施安全域劃分建設(shè)安全管理中心建立安全組織完善安全制度等級(jí)保護(hù)現(xiàn)狀等級(jí)保護(hù)

14、需求分析華為等級(jí)保護(hù)安全方案成功案例目錄安全策略信息安全組織資產(chǎn)管理訪問(wèn)控制人力資源安全物理和環(huán)境安全通信和操作安全信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)信息安全事件管理業(yè)務(wù)連續(xù)性管理符合型華為等級(jí)保護(hù)解決方案主要思想Page 17咨詢服務(wù)Text in hereText in here保障業(yè)務(wù)完整性，可用性，機(jī)密性符合等級(jí)保護(hù)法規(guī)的要求方案產(chǎn)品一級(jí)二級(jí)三級(jí)四級(jí)五級(jí)安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理中心邊界安全通信網(wǎng)絡(luò)安全計(jì)算環(huán)境安全等級(jí)保護(hù)技術(shù)方案 框架設(shè)計(jì)思想Page 18安全管理中心安全邊界通信網(wǎng)絡(luò)計(jì)算環(huán)境核心信息資產(chǎn)通信網(wǎng)絡(luò)安全

15、關(guān)鍵設(shè)備與鏈路冗余傳輸信息加密計(jì)算環(huán)境安全系統(tǒng)加固補(bǔ)丁管理病毒，木馬防護(hù)安全管理中心全網(wǎng)設(shè)備統(tǒng)一管理海量日志分析，風(fēng)險(xiǎn)預(yù)警安全事件快速響應(yīng)All phrases can be replaced with your own text.安全邊界互聯(lián)網(wǎng)邊界安全內(nèi)網(wǎng)安全域邊界安全參考信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì) 技術(shù)要求物理環(huán)境物理安全域及子域建設(shè)方案及措施物理位置的選擇物理位置選址及樓層的選擇。物理訪問(wèn)控制進(jìn)行人員配備，制定管理制度。對(duì)進(jìn)出人員采用陪同或監(jiān)控設(shè)備進(jìn)行限制和監(jiān)控。劃分機(jī)房區(qū)域，加強(qiáng)對(duì)區(qū)域的管理和重要區(qū)域控制力度。防盜竊和防破壞進(jìn)行制定防盜竊防破壞相關(guān)管理制度。進(jìn)行光、電技術(shù)防盜

16、報(bào)警系統(tǒng)的配備。防雷擊進(jìn)行設(shè)置防雷保安器，防止感應(yīng)雷。防火進(jìn)行消防、耐火、隔離等措施建設(shè)。防水和防潮進(jìn)行防水檢測(cè)儀表的安裝使用。防靜電按照基本要求進(jìn)行建設(shè)。安裝防靜電地板。溫濕度控制配備空調(diào)系統(tǒng)。電力供應(yīng)配備穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；配備UPS系統(tǒng)設(shè)置冗余或并行的電力電纜線路，建立備用供電系統(tǒng)；電磁防護(hù)按照基本要求進(jìn)行接地，暫時(shí)無(wú)需電磁屏蔽措施。物理安全計(jì)算環(huán)境安全安全管理中心通信網(wǎng)絡(luò)安全邊界安全物理安全安全服務(wù)計(jì)算環(huán)境安全外聯(lián)前置系統(tǒng)核心業(yè)務(wù)系統(tǒng)一般業(yè)務(wù)系統(tǒng)普通業(yè)務(wù)終端核心業(yè)務(wù)終端對(duì)外服務(wù)系統(tǒng)核心業(yè)務(wù)區(qū)普通業(yè)務(wù)區(qū)外聯(lián)前置區(qū)DMZ區(qū)SACG網(wǎng)管區(qū)CA中心E1000E-X標(biāo)準(zhǔn)的安全域劃分，控制風(fēng)險(xiǎn)

17、范圍；CA認(rèn)證中心雙因素身份認(rèn)證管理；Norton防病毒軟件防止終端感染病毒，木馬；Norton病毒庫(kù)自動(dòng)更新抵御零日攻擊；TSM補(bǔ)丁分發(fā)系統(tǒng)簡(jiǎn)化系統(tǒng)安全更新流程；iSoc收集服務(wù)器，數(shù)據(jù)庫(kù)操作上傳日志審計(jì)；Norton防病毒軟件防止終端感染病毒，木馬；Norton病毒庫(kù)自動(dòng)更新抵御零日攻擊；TSM安全策略檢查確保終端最佳安全狀態(tài)；TSM補(bǔ)丁分發(fā)系統(tǒng)簡(jiǎn)化系統(tǒng)安全更新流程；防病毒，補(bǔ)丁服務(wù)器2、終端計(jì)算環(huán)境安全1、服務(wù)器計(jì)算環(huán)境安全計(jì)算環(huán)境安全安全管理中心通信網(wǎng)絡(luò)安全邊界安全物理安全服務(wù)器、工作站配置差距分析和加固；數(shù)據(jù)庫(kù)配置差距分析和加固；應(yīng)用配置差距分析和加固；系統(tǒng)滲透測(cè)試；安全漏洞掃描；3

18、、服務(wù)器計(jì)算環(huán)境安全加固安全服務(wù)計(jì)算環(huán)境安全外聯(lián)前置系統(tǒng)核心業(yè)務(wù)系統(tǒng)一般業(yè)務(wù)系統(tǒng)普通業(yè)務(wù)終端核心業(yè)務(wù)終端對(duì)外服務(wù)系統(tǒng)核心業(yè)務(wù)區(qū)普通業(yè)務(wù)區(qū)外聯(lián)前置區(qū)DMZ區(qū)SACG網(wǎng)管區(qū)CA中心E1000E-X標(biāo)準(zhǔn)的安全域劃分，控制風(fēng)險(xiǎn)范圍；CA認(rèn)證中心雙因素身份認(rèn)證管理；Norton防病毒軟件防止終端感染病毒，木馬；Norton病毒庫(kù)自動(dòng)更新抵御零日攻擊；TSM補(bǔ)丁分發(fā)系統(tǒng)簡(jiǎn)化系統(tǒng)安全更新流程；iSoc收集服務(wù)器，數(shù)據(jù)庫(kù)操作上傳日志審計(jì)；Norton防病毒軟件防止終端感染病毒，木馬；Norton病毒庫(kù)自動(dòng)更新抵御零日攻擊；TSM安全策略檢查確保終端最佳安全狀態(tài)；TSM補(bǔ)丁分發(fā)系統(tǒng)簡(jiǎn)化系統(tǒng)安全更新流程；防病毒，

19、補(bǔ)丁服務(wù)器2、終端計(jì)算環(huán)境安全1、服務(wù)器計(jì)算環(huán)境安全計(jì)算環(huán)境安全安全管理中心通信網(wǎng)絡(luò)安全邊界安全物理安全服務(wù)器、工作站配置差距分析和加固；數(shù)據(jù)庫(kù)配置差距分析和加固；應(yīng)用配置差距分析和加固；系統(tǒng)滲透測(cè)試；安全漏洞掃描；3、服務(wù)器計(jì)算環(huán)境安全加固安全服務(wù)計(jì)算環(huán)境安全安全管理中心通信網(wǎng)絡(luò)安全邊界安全物理安全通信網(wǎng)絡(luò)Page 22外聯(lián)前置區(qū)SACGE1000E-X全網(wǎng)設(shè)備冗余，鏈路冗余全面提升可靠性，保障業(yè)務(wù)連續(xù)性；E1000E-X 建立 IP-SEC VPN隧道防止傳出信息被偵聽(tīng)；SVN 2000 提供SSL VPN遠(yuǎn)程安全接入和訪問(wèn)；E1000E-X 流量分析和控制，凈化網(wǎng)絡(luò)流量，提升帶寬利用率；

20、通信網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備配置差距分析和加固；安全漏洞掃描；安全加固DMZ區(qū)網(wǎng)管區(qū)普通業(yè)務(wù)區(qū)核心業(yè)務(wù)區(qū)終端接入?yún)^(qū)InternetSSL VPNIP-SEC VPN流量分析與控制安全服務(wù)計(jì)算環(huán)境安全安全管理中心通信網(wǎng)絡(luò)安全邊界安全物理安全安全邊界：域邊界防護(hù)Page 23外聯(lián)前置系統(tǒng)核心業(yè)務(wù)系統(tǒng)一般業(yè)務(wù)系統(tǒng)普通業(yè)務(wù)終端核心業(yè)務(wù)終端對(duì)外服務(wù)系統(tǒng)核心業(yè)務(wù)區(qū)邊界普通業(yè)務(wù)區(qū)邊界外聯(lián)前置區(qū)邊界DMZ區(qū)邊界入侵檢測(cè)防御NIP系列準(zhǔn)入控制網(wǎng)關(guān)SACG網(wǎng)管區(qū)UTM+USG系列標(biāo)準(zhǔn)的安全域劃分，控制風(fēng)險(xiǎn)范圍UTM+ USG系列提供首層網(wǎng)絡(luò)訪問(wèn)控制IPS NIP系列為核心業(yè)務(wù)區(qū)邊界提供二層應(yīng)用防護(hù)數(shù)據(jù)中心域邊界安全安全設(shè)

21、備配置差距分析和加固；安全漏洞掃描；安全加固終端接入邊界TSM按照部門(mén)劃分區(qū)域，并設(shè)定不同準(zhǔn)入控制和資源訪問(wèn)策略；TSM網(wǎng)絡(luò)準(zhǔn)入控制確?？尚沤尤朐L問(wèn)TSM終端行為管理控制用戶內(nèi)網(wǎng)行為控制非法外聯(lián)等；接入?yún)^(qū)域邊界安全安全服務(wù)安全邊界：互聯(lián)（外聯(lián)）網(wǎng)邊界Page 24外聯(lián)網(wǎng)外聯(lián)單位InternetUTM+ USG系列入侵檢測(cè)防御NIP系列入侵檢測(cè)防御NIP系列UTM+ USG系列DDOS流量清洗網(wǎng)關(guān)ADI/G系列內(nèi)網(wǎng)終端側(cè)內(nèi)網(wǎng)服務(wù)器側(cè)SSL VPN網(wǎng)關(guān)SVN系列DDOS ADI/G系列流量清洗-保障業(yè)務(wù)永續(xù)UTM+ USG系列提供精細(xì)的網(wǎng)絡(luò)準(zhǔn)入控制直路部署，秒級(jí)檢測(cè)和清洗，第一時(shí)間啟動(dòng)防御；七層防

22、御架構(gòu)，抵擋網(wǎng)絡(luò)層泛洪和應(yīng)用層流量攻擊續(xù)性VPN隧道防止傳出信息被偵聽(tīng)；多核CPU硬件處理架構(gòu)+基于DPI技術(shù)的軟件架構(gòu)，提供業(yè)務(wù)無(wú)延遲準(zhǔn)入控制和防御；基于文件級(jí)的病毒掃描，使病毒無(wú)處可藏；IPS NIP系列智能檢測(cè)引擎抵御各種應(yīng)用層攻擊基于漏洞的簽名技術(shù)為內(nèi)網(wǎng)系統(tǒng)提供虛擬補(bǔ)丁；智能檢測(cè)引擎抵御針對(duì)WEB應(yīng)用，瀏覽器木馬和攻擊；應(yīng)用識(shí)別和管控凈化網(wǎng)絡(luò)流量，提高帶寬利用率；外聯(lián)邊界Internet邊界計(jì)算環(huán)境安全安全管理中心通信網(wǎng)絡(luò)安全邊界安全物理安全安全管理中心Page 25網(wǎng)管區(qū)VSMiSocCA認(rèn)證中心業(yè)界最佳 天威誠(chéng)信 合作，提供高可靠，高安全，高擴(kuò)展，高兼容的數(shù)據(jù)認(rèn)證體系；全網(wǎng)統(tǒng)一的身

23、份管理（CA）單點(diǎn)登錄，不同用戶分配不同管理權(quán)限，最小授權(quán)；全面運(yùn)維代理，有效保護(hù)網(wǎng)內(nèi)設(shè)備；操作審計(jì)與回放，符合法規(guī)要求；統(tǒng)一安全運(yùn)維（UMA）全網(wǎng)設(shè)備統(tǒng)一管理，減輕運(yùn)維負(fù)擔(dān)；全網(wǎng)日志收集和審計(jì)，符合法規(guī)要求；海量日志過(guò)濾與關(guān)聯(lián)分析，風(fēng)險(xiǎn)預(yù)警呈現(xiàn)，防患于未然；安全事件報(bào)警，第一時(shí)間響應(yīng)，減少安全損失；全網(wǎng)安全管理與審計(jì)（VSM，iSoc）UMA安全管理員服務(wù)器，數(shù)據(jù)庫(kù)網(wǎng)絡(luò)設(shè)備主機(jī)，終端軟件安全設(shè)備計(jì)算環(huán)境安全安全管理中心通信網(wǎng)絡(luò)安全邊界安全物理安全Page 26華為三級(jí)信息系統(tǒng)等級(jí)保護(hù)解決方案整體部署圖外聯(lián)前置系統(tǒng)核心業(yè)務(wù)系統(tǒng)一般業(yè)務(wù)系統(tǒng)普通業(yè)務(wù)終端核心業(yè)務(wù)終端對(duì)外服務(wù)系統(tǒng)核心業(yè)務(wù)區(qū)普通業(yè)務(wù)區(qū)

24、外聯(lián)前置區(qū)DMZ區(qū)入侵（檢測(cè)）防御NIP系列準(zhǔn)入控制網(wǎng)關(guān)網(wǎng)管區(qū)CA中心防火墻USG系列防病毒，補(bǔ)丁服務(wù)器外聯(lián)網(wǎng)外聯(lián)單位Internet入侵（檢測(cè)）防御NIP系列防火墻USG系列Anti-DDOSADI/G系列防火墻USG系列VPNSVN系列入侵（檢測(cè)）防御NIP系列終端安全管理代理防病毒軟件Norton網(wǎng)管和安全管理中心：iSoc & VSM內(nèi)控堡壘主機(jī)：UMA安全服務(wù)安全加固服務(wù)漏洞掃描服務(wù)滲透測(cè)試服務(wù)Page 27等級(jí)保護(hù)安全建設(shè)技術(shù)體系：網(wǎng)絡(luò)終端NAC防火墻IPS/IDS系統(tǒng)安全掃描文件加密技術(shù)內(nèi)容加密技術(shù)補(bǔ)丁管理物理分區(qū)門(mén)禁監(jiān)控?cái)z像環(huán)境監(jiān)控建筑安全機(jī)房安全終端監(jiān)控審計(jì)應(yīng)用安全審計(jì)終端補(bǔ)

25、丁管理硬件防病毒網(wǎng)關(guān)本地?cái)?shù)據(jù)備份郵件防病毒惡意代碼過(guò)濾應(yīng)用備份和復(fù)制鑒別和認(rèn)證訪問(wèn)控制內(nèi)容安全監(jiān)控和審計(jì)備份和恢復(fù)應(yīng)用系統(tǒng)物理口令、數(shù)字證書(shū)統(tǒng)一認(rèn)證管理統(tǒng)一身份管理流量控制/QOS傳輸安全/VPN惡意代碼防范系統(tǒng)安全審計(jì)主機(jī)入侵檢測(cè)網(wǎng)絡(luò)安全掃描網(wǎng)絡(luò)安全檢測(cè)網(wǎng)絡(luò)安全審計(jì)應(yīng)用安全掃描數(shù)據(jù)庫(kù)備份恢復(fù)遠(yuǎn)程數(shù)據(jù)備份安全策略信息安全組織資產(chǎn)管理訪問(wèn)控制人力資源安全物理和環(huán)境安全通信和操作安全信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)信息安全事件管理業(yè)務(wù)連續(xù)性管理符合型華為等級(jí)保護(hù)解決方案主要思想Page 28咨詢服務(wù)Text in hereText in here保障業(yè)務(wù)完整性，可用性，機(jī)密性符合等級(jí)保護(hù)法規(guī)的要求方案產(chǎn)品一

26、級(jí)二級(jí)三級(jí)四級(jí)五級(jí)安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理中心邊界安全通信網(wǎng)絡(luò)安全計(jì)算環(huán)境安全華為等級(jí)保護(hù)管理框架設(shè)計(jì)Page 29安全策略信息安全組織資產(chǎn)管理訪問(wèn)控制人力資源安全物理和環(huán)境安全通信和操作安全信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)信息安全事件管理業(yè)務(wù)連續(xù)性管理符合型安全管理制度安全管理機(jī)構(gòu)人員安全管理安全建設(shè)管理安全運(yùn)維管理建立安全組織Page 30安全組織安全制度宣傳推廣1.負(fù)責(zé)安全建設(shè)方針與安全策略的審批。2.負(fù)責(zé)安全規(guī)劃與建設(shè)重大事項(xiàng)的決策。3.負(fù)責(zé)跨部門(mén)安全工作的協(xié)調(diào)和溝通。4.負(fù)責(zé)安全規(guī)劃和建設(shè)的資源保障。1.負(fù)責(zé)安

27、全策略、運(yùn)行和技術(shù)體系建設(shè)。2.負(fù)責(zé)推進(jìn)安全建設(shè)工作的開(kāi)展。3.負(fù)責(zé)監(jiān)督、運(yùn)行和技術(shù)體系的執(zhí)行。4.負(fù)責(zé)領(lǐng)導(dǎo)安全突發(fā)事件的響應(yīng)和處理。5.負(fù)責(zé)推進(jìn)安全相關(guān)人員培訓(xùn)和考核。6.負(fù)責(zé)對(duì)系統(tǒng)安全進(jìn)行審計(jì)1.負(fù)責(zé)安全管理層布置的任務(wù)，參與安全策略、運(yùn)行和技術(shù)體系的建設(shè)。2.負(fù)責(zé)安全日常運(yùn)維工作，監(jiān)控安全總體狀況。3.負(fù)責(zé)及時(shí)向安全管理層報(bào)告IT安全事件，并及時(shí)處理，參與重大突發(fā)安全事件的應(yīng)急響應(yīng)。4.負(fù)責(zé)對(duì)系統(tǒng)安全進(jìn)行檢查、分析。完善安全制度Page 31記錄、日志、表格等作業(yè)指導(dǎo)書(shū)、操作規(guī)范方針制度、規(guī)定、流程做了沒(méi)有？做得怎樣？ 怎么去做 做什么事情 目標(biāo)是什么全面的文件化的管理制度體系 1.在整

28、體方針指導(dǎo)下，從制度層面覆蓋所有IT管理流程活動(dòng)和安全要點(diǎn)2.與已有文件制度的融合,包容已有管理要求3.層級(jí)落實(shí)，責(zé)任到人4.意識(shí)推廣，考核跟進(jìn)5.關(guān)鍵的一些文件：信息安全方針信息資產(chǎn)安全管理規(guī)定風(fēng)險(xiǎn)評(píng)估管理程序各流程管理制度信息事件管理程序業(yè)務(wù)連續(xù)性BCP/DRP安全組織安全制度宣傳推廣安全制度推廣Page 32安全組織安全制度宣傳推廣等級(jí)保護(hù)解決方案總結(jié)Page 33物理安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全物理位置的選擇（G3）物理訪問(wèn)控制（G3）防盜竊和破壞（G3）防雷/火/水（G3）溫濕度控制（G3）電力供應(yīng)（A3）防靜電（G3）電磁防護(hù)（S3）身份鑒別（S3）安全標(biāo)記（S3）訪問(wèn)控制（S3）

29、可信路徑（S3）安全審計(jì)（G3）剩余信息保護(hù)（S3）入侵防范（G3）資源控制（A3）惡意代碼防范（G3）身份鑒別（S3）剩余信息保護(hù)（S3）安全標(biāo)記（S3）訪問(wèn)控制（S3）可信路徑（S3）安全審計(jì)（G3）通信完整性（S3）通信保密性（S3）抗抵賴（G3）軟件容錯(cuò)（A3）資源控制（A3）數(shù)據(jù)完整性（S3）數(shù)據(jù)保密性（S3）備份與恢復(fù)（A3）網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G3）訪問(wèn)控制（G3）安全審計(jì)（G3）邊界完整性檢查（S3）入侵防范（G3）惡意代碼防范（G3）網(wǎng)絡(luò)設(shè)備防護(hù)（G3）技術(shù)要求-物理安全-安全域劃分與邊界整合UTM+ USG系列IPS NIP系列網(wǎng)絡(luò)入侵與惡意代碼防范-Norton防病毒軟件T

30、SM終端安全管理-VSM & iSoc集中監(jiān)控及審計(jì)iSoc & VSM提供安全管理中心-兩地三中心備份中心災(zāi)備中心-CA/PKI統(tǒng)一身份認(rèn)證管理安全加固服務(wù)漏洞掃描服務(wù)滲透測(cè)試服務(wù)安全服務(wù)等級(jí)保護(hù)解決方案總結(jié)Page 34安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理人員錄用（G3）人員離崗（G3）人員考核（G3）安全意識(shí)教育培訓(xùn)（G3）外部人員訪問(wèn)管理（G3）管理制度（G3）制訂和發(fā)布（G3）評(píng)審和修訂（G3）崗位設(shè)置（G3）人員配備（G3）授權(quán)和審批（G3）溝通和合作（G3）審核和檢查（G3）系統(tǒng)定級(jí)（G3）工程實(shí)施（G3）安全方案設(shè)計(jì)（G3）產(chǎn)品采購(gòu)和使用（G3）自行軟件

31、開(kāi)發(fā)（G3）外包軟件開(kāi)發(fā)（G3）驗(yàn)收測(cè)試（G3）系統(tǒng)交付（G3）安全服務(wù)商選擇（G3）系統(tǒng)備案（G3）等級(jí)測(cè)評(píng)（G3）環(huán)境管理（G3）網(wǎng)絡(luò)安全管理（G3）資產(chǎn)管理（G3）介質(zhì)管理（G3）設(shè)備管理（G3）監(jiān)控管理和安全管理中心（G3）系統(tǒng)安全管理（G3）惡意代碼防范管理（G3）備份與恢復(fù)管理（G3）安全事件處置（G3）密碼管理（G3）變更管理（G3）應(yīng)急預(yù)案管理（G3）管理要求-建立安全組織-完善安全管理制度-安全管理制度宣傳推廣-安全意識(shí)/技能培訓(xùn)安全服務(wù)安全服務(wù)安全服務(wù)安全服務(wù)Page 35客戶價(jià)值：致力保護(hù)客戶業(yè)務(wù)完整性，可用性，機(jī)密性立體的防御體系豐富的實(shí)踐經(jīng)驗(yàn)專業(yè)的安全保障領(lǐng)先的硬件架

32、構(gòu)（多核）無(wú)業(yè)務(wù)延遲抵御網(wǎng)絡(luò)流量型攻擊；漏洞，攻擊等簽名技術(shù)準(zhǔn)確識(shí)別應(yīng)用層攻擊、病毒、木馬等并進(jìn)行阻斷；多種VPN技術(shù)保護(hù)機(jī)密信息；化繁為簡(jiǎn)、可信安全業(yè)界最佳的攻擊，病毒庫(kù)，精確防御各種安全威脅；全球威脅感知系統(tǒng)抵御最新的病毒威脅；400+的安全團(tuán)隊(duì)提供7X24小時(shí)的安全保障；華為精細(xì)化信息安全管理最佳實(shí)踐；豐富的政府、電信、金融、電力等行業(yè)咨詢與服務(wù)實(shí)施經(jīng)驗(yàn)；端到端解決方案統(tǒng)一管理，統(tǒng)一維護(hù)，減輕IT管理員負(fù)擔(dān)；合理分區(qū)，重點(diǎn)防御核心信息系統(tǒng)，節(jié)省企業(yè)安全投資；最佳的TCOPage 36安全設(shè)備&安全咨詢服務(wù)部署位置管理安全咨詢服務(wù)安全評(píng)估、差距分析與加固完善管理制度和安全組織技術(shù)方案安全管

33、理中心：iSoc & VSM安全管理中心數(shù)字認(rèn)證中心：CA CenterCA認(rèn)證中心統(tǒng)一運(yùn)維審計(jì)：UMA網(wǎng)管中心 2臺(tái)數(shù)據(jù)安全咨詢服務(wù)安全評(píng)估、差距分析與加固數(shù)據(jù)存儲(chǔ)和傳輸技術(shù)方案文檔安全管理：DSM終端部署應(yīng)用安全咨詢服務(wù)安全評(píng)估、差距分析與加固應(yīng)用系統(tǒng)（含滲透測(cè)試）技術(shù)方案主機(jī)安全咨詢服務(wù)安全評(píng)估、差距分析與加固服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)技術(shù)方案終端安全管理：TSM接入終端（5000）網(wǎng)絡(luò)安全咨詢服務(wù)安全評(píng)估、差距分析與加固網(wǎng)絡(luò)架構(gòu)、重要網(wǎng)絡(luò)設(shè)備和安全設(shè)備技術(shù)方案防火墻：E1000E-XAV License業(yè)務(wù)系統(tǒng)域邊界 2臺(tái)， 網(wǎng)絡(luò)（外聯(lián)，互聯(lián)網(wǎng)）邊界 1臺(tái)終端接入邊界 2臺(tái)入侵防御系統(tǒng)：N

34、IP 5100業(yè)務(wù)系統(tǒng)域邊界2臺(tái)， 網(wǎng)絡(luò)（外聯(lián)，互聯(lián)網(wǎng)）邊界 1臺(tái)等級(jí)保護(hù)解決方案 整體概覽等級(jí)保護(hù)現(xiàn)狀等級(jí)保護(hù)需求分析華為等級(jí)保護(hù)安全方案成功案例目錄深圳市人民政府12345公開(kāi)電話系統(tǒng)安全建設(shè)項(xiàng)目Page 38面臨的挑戰(zhàn)全程的等保安全建設(shè)包括：定級(jí)、備案、差距分析、安全整改、安全測(cè)評(píng)系統(tǒng)建設(shè)項(xiàng)目驗(yàn)收要求盡快進(jìn)行等級(jí)保護(hù)安全建設(shè)，時(shí)間緊、任務(wù)重解決方案等級(jí)保護(hù)安全建設(shè)與項(xiàng)目建設(shè)同步進(jìn)行在定級(jí)的基礎(chǔ)上進(jìn)行詳盡的差距分析和安全評(píng)估，準(zhǔn)確定位系統(tǒng)安全需求掌握安全需求基礎(chǔ)上從管理和技術(shù)兩個(gè)方面制定安全建設(shè)方案，并組織相關(guān)專家進(jìn)行評(píng)審，確保安全建設(shè)充分且有效帶來(lái)價(jià)值遵照計(jì)劃順利完成等保安全建設(shè)各階段工

35、作，順利通過(guò)測(cè)評(píng)滿足了合規(guī)性要求，提升了整體安全保護(hù)能力，推動(dòng)了整個(gè)項(xiàng)目驗(yàn)收進(jìn)程同步規(guī)劃、同步建設(shè)，保證質(zhì)量和安全同時(shí)節(jié)約了資金國(guó)家超級(jí)計(jì)算深圳中心網(wǎng)絡(luò)系統(tǒng)面臨的挑戰(zhàn)確保實(shí)現(xiàn)對(duì)內(nèi)應(yīng)用與運(yùn)維管理、對(duì)外提供可靠服務(wù)的重要子項(xiàng)目。建立高性能、高可靠、高安全、高可控管的信息網(wǎng)絡(luò)系統(tǒng)，確保能夠充分滿足未來(lái)三至五年國(guó)家超級(jí)計(jì)算深圳中心的業(yè)務(wù)發(fā)展需求。 解決方案網(wǎng)絡(luò)系統(tǒng)(包括：路由器、交換機(jī)、無(wú)線接入等網(wǎng)絡(luò)系統(tǒng))；信息安全系統(tǒng)（包括：防火墻、DDoS防御、流量控制、WEB防護(hù)、入侵檢測(cè)防御、業(yè)務(wù)監(jiān)控、訪問(wèn)控制、VPN安全接入網(wǎng)關(guān)、集中日志審計(jì)、病毒防護(hù)、終端安全管理等信息安全系統(tǒng)）；應(yīng)用系統(tǒng)（包括：桌面云系

36、統(tǒng)、在線數(shù)據(jù)存儲(chǔ)備份、統(tǒng)一網(wǎng)管等）；帶來(lái)價(jià)值華為賽門(mén)鐵克通過(guò)完整的解決方案和強(qiáng)大的咨詢服務(wù)能力，為深圳超算中心打造了一套技術(shù)先進(jìn)、高度可靠、可控易管的信息網(wǎng)絡(luò)系統(tǒng)，滿足深圳超算中心在未來(lái)幾年內(nèi)快速的業(yè)務(wù)增長(zhǎng)需求。為打造國(guó)際一流的超算中心保駕護(hù)航。無(wú)錫云計(jì)算中心網(wǎng)絡(luò)安全面臨的挑戰(zhàn)要求實(shí)現(xiàn)強(qiáng)大的VPN功能：SSL VPN接入、接入后從IP-SEC VPN出去要求IP-SEC VPN1，2n對(duì)應(yīng)不同的SSL VPN接入的用戶，且不能相互介入解決方案采用扁平化設(shè)計(jì)，分成核心層、接入層、服務(wù)器、存儲(chǔ)網(wǎng)絡(luò)在Internet接入層部署2臺(tái)USG5320高端防火墻，進(jìn)行網(wǎng)絡(luò)安全防護(hù)部署SVN3000 提供IP

37、-SEC VPN和SSL VPN 接入，支持加密算法、文件共享等常用功能，且有網(wǎng)絡(luò)擴(kuò)展模式，可以在無(wú)客戶端情形下實(shí)現(xiàn)VPN無(wú)錫云計(jì)算是中國(guó)首個(gè)云計(jì)算中心，由無(wú)錫市政府出資建立，為無(wú)錫科技園區(qū)提供IT服務(wù)。帶來(lái)價(jià)值SVN3000支持虛擬網(wǎng)關(guān)，使得管理更加靈活支持光口，方便部署和未來(lái)網(wǎng)絡(luò)的升級(jí)靈活全面的VPN管理功能與強(qiáng)大的VPN接入能力為云計(jì)算中心的業(yè)務(wù)運(yùn)營(yíng)奠定了基礎(chǔ)行業(yè)客戶渠道客戶 電信客戶全球客戶 華為安全100+： 服務(wù)于100多個(gè)運(yùn)營(yíng)商1000+：服務(wù)于1000多個(gè)重要行業(yè)客戶Page 42華為等級(jí)保護(hù)安全解決方案等級(jí)保護(hù)基本要求 遵從情況附件物理安全（無(wú)）技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安

38、全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)（無(wú)）安全管理制度（無(wú)）人員安全管理（無(wú)）系統(tǒng)建設(shè)管理（無(wú)）系統(tǒng)運(yùn)維管理等級(jí)保護(hù)基本要求：網(wǎng)絡(luò)安全 7個(gè)控制點(diǎn)結(jié)構(gòu)安全（G）訪問(wèn)控制（G）安全審計(jì)（G）邊界完整性檢查（A）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護(hù)（G）等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求a, 業(yè)務(wù)處理能力滿足高峰期需要1）主要設(shè)備性能冗余是b, 帶寬滿足高峰期需要2）主要設(shè)備帶寬冗余c, 繪制拓補(bǔ)圖3）咨詢服務(wù)協(xié)助客戶復(fù)制d, 各部門(mén)工作職能，重要性等原則劃分子網(wǎng)和網(wǎng)段4）咨詢服務(wù)3級(jí)要求e, 業(yè)務(wù)終端和業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑5）咨詢服務(wù)f, 避免重要網(wǎng)段

39、部署在網(wǎng)絡(luò)邊界，重要網(wǎng)段和其他網(wǎng)段采取可靠的技術(shù)隔離6）互聯(lián)網(wǎng)邊界部署DMZ區(qū)7）外聯(lián)網(wǎng)邊界部署外聯(lián)前置區(qū)8）重要網(wǎng)段前部署防火墻進(jìn)行隔離g, 業(yè)務(wù)的重要次序制定帶寬，保證網(wǎng)絡(luò)發(fā)生擁堵時(shí)優(yōu)先保護(hù)重要主機(jī)9）咨詢服務(wù)（依據(jù)業(yè)務(wù)優(yōu)先級(jí)設(shè)定QOS策略）等級(jí)保護(hù)基本要求：網(wǎng)絡(luò)安全 7個(gè)控制點(diǎn)等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求a, 網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能1）部署防火墻（互聯(lián)網(wǎng)邊界，外聯(lián)網(wǎng)邊界）啟用ACL訪問(wèn)控制策略是b, 根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許，拒絕訪問(wèn)的能力，控制粒度為端口級(jí)2）防火墻配置ACL和ASPF訪問(wèn)控制規(guī)則和策略c, 應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)

40、規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶3）部署終端安全管理，開(kāi)啟資源訪問(wèn)策略。FW:V3R1 版本支持基于用戶的策略控制；（Q1 12.2.7日 TR5）d, 應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量4）終端安全管理策略，防火墻開(kāi)啟L2TP/PPOE AAA配置中控制撥號(hào)訪問(wèn)3級(jí)要求e, 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制5）在（互聯(lián)網(wǎng)邊界，外聯(lián)網(wǎng)邊界）開(kāi)啟應(yīng)用協(xié)議控制f, 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接6）防火墻會(huì)話超時(shí)策略g, 限制網(wǎng)絡(luò)最大流量數(shù)和網(wǎng)絡(luò)連接數(shù)8）防火墻配置流

41、量控制和連接限制h, 重要網(wǎng)段采取技術(shù)手段防止地址欺騙9) 在三級(jí)系統(tǒng)部署防火墻，并開(kāi)啟防止地址（防ARP）欺騙策略結(jié)構(gòu)安全（G）訪問(wèn)控制（G）安全審計(jì)（G）邊界完整性檢查（A）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護(hù)（G）等級(jí)保護(hù)基本要求：網(wǎng)絡(luò)安全 7個(gè)控制點(diǎn)結(jié)構(gòu)安全（G）訪問(wèn)控制（G）安全審計(jì)（G）邊界完整性檢查（A）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護(hù)（G）等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求a, 應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄1）部署VSM，iSOC系統(tǒng)，日志審計(jì)功能部分 對(duì)日志按照要求進(jìn)行記錄，并可生成審計(jì)報(bào)表和對(duì)日志進(jìn)行保護(hù)（

42、Vsm目前已支持對(duì)日志記錄加密/MD5校驗(yàn)，且所有日志記錄不可以刪掉和更改）是b, 審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息； 3級(jí)要求c, 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表d, 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等等級(jí)保護(hù)基本要求：網(wǎng)絡(luò)安全 7個(gè)控制點(diǎn)結(jié)構(gòu)安全（G）訪問(wèn)控制（G）安全審計(jì)（G）邊界完整性檢查（A）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護(hù)（G）等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求a, 應(yīng)能夠?qū)λ阶月?lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查;A&C：1、通過(guò)802.1X準(zhǔn)入控制控制外來(lái)終端接入網(wǎng)絡(luò)；Guest

43、VLAN允許訪問(wèn)小范圍，組網(wǎng)保障；2、SACG準(zhǔn)入控制方案，部署位置較高；發(fā)現(xiàn)外來(lái)終端，只能掃描方式一天一次（2000個(gè)終端， 半個(gè)小時(shí)一次，對(duì)網(wǎng)絡(luò)流量產(chǎn)生影響）；3、準(zhǔn)確定出位置，暫時(shí)不支持，和網(wǎng)管配合使用，定位交換機(jī)端口；B&D:1、TSM終端代理，沒(méi)有任何合法途徑上網(wǎng)，可以探測(cè)，直接斷網(wǎng)；2、沒(méi)有連到內(nèi)網(wǎng)， 準(zhǔn)確定出位置，無(wú)法確認(rèn)。 連到內(nèi)網(wǎng)可以結(jié)合VSM實(shí)現(xiàn)，但目前不支持；3、允許Proxy上網(wǎng)，但不允許私自外聯(lián)；是b, 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查;3級(jí)要求c, 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷； d, 應(yīng)能夠?qū)?/p>

44、內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷;等級(jí)保護(hù)基本要求：網(wǎng)絡(luò)安全 7個(gè)控制點(diǎn)結(jié)構(gòu)安全（G）訪問(wèn)控制（G）安全審計(jì)（G）邊界完整性檢查（A）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護(hù)（G）等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求a, 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩 沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等； 1）在網(wǎng)絡(luò)邊界（互聯(lián)網(wǎng)邊界，外聯(lián)網(wǎng)邊界）部署IPS系統(tǒng)，并開(kāi)啟入侵檢測(cè)，記錄和報(bào)警策略，部署NIP，Nip本身syslog日志，日志可發(fā)送到VSM （V2版本包含elog，NIP manage

45、r功能），由vsm進(jìn)行日志、郵件、短信等報(bào)警功能；VSM V2版本是3級(jí)要求b, 當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。等級(jí)保護(hù)基本要求：網(wǎng)絡(luò)安全 7個(gè)控制點(diǎn)結(jié)構(gòu)安全（G）訪問(wèn)控制（G）安全審計(jì)（G）邊界完整性檢查（A）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護(hù)（G）等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求無(wú)無(wú)無(wú)3級(jí)要求a, 應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；1）在網(wǎng)絡(luò)邊界（互聯(lián)網(wǎng)邊界，外聯(lián)網(wǎng)邊界）防火墻系統(tǒng)開(kāi)啟防病毒模塊，并開(kāi)啟自動(dòng)升級(jí)功能是b, 應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新等級(jí)保護(hù)基本要求：網(wǎng)絡(luò)安全 7個(gè)控制

46、點(diǎn)結(jié)構(gòu)安全（G）訪問(wèn)控制（G）安全審計(jì)（G）邊界完整性檢查（A）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護(hù)（G）等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求a, 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別； 1）部署UMA統(tǒng)一運(yùn)維審計(jì)系統(tǒng)用戶名加密碼；或者證書(shū)加密碼；是b, 應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；2）開(kāi)啟登錄地址限制控制c, 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一； 3）為網(wǎng)絡(luò)設(shè)備用戶分配唯一的標(biāo)識(shí)；（咨詢服務(wù)）d, 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換； 4）設(shè)定口令復(fù)雜度要求和定期更改要求策略e, 應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄

47、連接超時(shí)自動(dòng)退出等措施；5）設(shè)定登錄失敗策略f, 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；6）UMA Https 進(jìn)行安全WEB管理Stelnet/ssh登錄，加密用戶名和密碼3級(jí)要求g, 主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；8）使用數(shù)字認(rèn)證或者USB keyh, 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。9) 為不同用戶分配不同的管理權(quán)限物理安全（無(wú)）技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)（無(wú)）安全管理制度（無(wú)）人員安全管理（無(wú)）系統(tǒng)建設(shè)管理（無(wú)）系統(tǒng)運(yùn)維管理等級(jí)保護(hù)基本要求：主機(jī)安全 7個(gè)控制點(diǎn)身份

48、鑒別（S）訪問(wèn)控制（S）安全審計(jì)（G）剩余信息保護(hù)（S）入侵防范（G）惡意代碼防范（G）資源控制（A）等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求a, 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別； 1）部署CA證書(shū)系統(tǒng)2）由UMA統(tǒng)一運(yùn)維審計(jì)系統(tǒng)進(jìn)行統(tǒng)一登錄和身份驗(yàn)證是b, 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換2）UMA開(kāi)啟口令復(fù)雜度要求策略c, 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施3）UMA開(kāi)啟登錄限制要求策略d, 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)4）

49、使用Https 進(jìn)行安全web管理Stelnet/ssh登錄，加密用戶名和密碼e, 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。5）UMA系統(tǒng)實(shí)現(xiàn)權(quán)限分離3級(jí)要求f, 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。 8）使用數(shù)字認(rèn)證或者USB key等級(jí)保護(hù)基本要求：主機(jī)安全 7個(gè)控制點(diǎn)身份鑒別（S）訪問(wèn)控制（S）安全審計(jì)（G）剩余信息保護(hù)（S）入侵防范（G）惡意代碼防范（G）資源控制（A）等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求a, 應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)；1）TSM資源訪問(wèn)粒度，控制到ACL粒度，控制到IP地址和端

50、口；每種類(lèi)型用戶劃分VLAN，VLAN配置ACL規(guī)則，ACL規(guī)則可以支撐。 SACG ACL數(shù)目一般可以滿足要求；是b, 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離；2）UMA為操作數(shù)據(jù)庫(kù) 系統(tǒng)用戶分配權(quán)限c, 應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；3）TSM終端安全管理設(shè)定統(tǒng)一安全策略，包括限制默認(rèn)賬戶等（TSM限制訪問(wèn)權(quán)限ok，重命名目前不支持，修改默認(rèn)口令不支持；取決操作系統(tǒng)賬戶是否有API；）d, 應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在。4）TSM終端安全管理設(shè)定安全策略，刪除共享賬戶3級(jí)要求e, 應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用

51、戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；8）UMA控制管理用戶的角色，實(shí)現(xiàn)最小授權(quán)f, 應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記； TSM終端對(duì)重要資源信息進(jìn)行訪問(wèn)控制；UMA-SERVER上文件名、訪問(wèn)路徑控制； DSM 文檔內(nèi)容權(quán)限管控；g,應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作； 等級(jí)保護(hù)基本要求：主機(jī)安全 7個(gè)控制點(diǎn)身份鑒別（S）訪問(wèn)控制（S）安全審計(jì)（G）剩余信息保護(hù)（S）入侵防范（G）惡意代碼防范（G）資源控制（A）等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求a, 審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶； 1）UMA 數(shù)據(jù)庫(kù)審計(jì)；TSM- TS

52、M server- soc ; 或者TSM - SOC ;TSM審計(jì)：非法外聯(lián)、運(yùn)行進(jìn)程、訪問(wèn)網(wǎng)站、U盤(pán)拷貝、B。 服務(wù)器： UMA 終端：TSM C. SOC /ELOGD. SOC /ELOG系統(tǒng)及服務(wù)器操作日志記錄，并上傳至soc日志審計(jì)系統(tǒng)2）通過(guò)SOC 對(duì)安全事件關(guān)聯(lián)分析，兼容第三方日志信息；是b, 審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件c, 審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；d, 應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等；（送到Soc， 防篡改）3級(jí)要求e, 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，

53、并生成審計(jì)報(bào)表；8）eLog統(tǒng)一生成報(bào)表f, 應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；9) TSM終端安全管理審計(jì)使用兩個(gè)進(jìn)程互相守護(hù)；等級(jí)保護(hù)基本要求：主機(jī)安全 7個(gè)控制點(diǎn)身份鑒別（S）訪問(wèn)控制（S）安全審計(jì)（G）剩余信息保護(hù)（S）入侵防范（G）惡意代碼防范（G）資源控制（A）等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況3級(jí)要求b, 應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中；8）c, 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除；9) 等級(jí)保護(hù)基本要求：主

54、機(jī)安全 7個(gè)控制點(diǎn)身份鑒別（S）訪問(wèn)控制（S）安全審計(jì)（G）剩余信息保護(hù)（S）入侵防范（G）惡意代碼防范（G）資源控制（A）等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求a, 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新； 1）TSM終端安全管理統(tǒng)一安全策略(TSM沒(méi)有做，理論是可以)，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新；Windows操作系統(tǒng)的補(bǔ)丁，應(yīng)用程序補(bǔ)丁不支持； 是3級(jí)要求b, 應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類(lèi)型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；

55、8）重要服務(wù)器前部署IPS，IPS注重網(wǎng)絡(luò)層；WAFWEB類(lèi)型內(nèi)容攻擊防護(hù)；是c, 應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施；應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；9) TSM不支持否等級(jí)保護(hù)基本要求：主機(jī)安全 7個(gè)控制點(diǎn)身份鑒別（S）訪問(wèn)控制（S）安全審計(jì)（G）剩余信息保護(hù)（S）入侵防范（G）惡意代碼防范（G）資源控制（A）等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求a, 應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)； 1）賽門(mén)鐵克諾頓是b, 應(yīng)支持防惡意代碼的統(tǒng)一管理；2) 賽門(mén)鐵克諾頓是3級(jí)要求c, 主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意

56、代碼產(chǎn)品不同的惡意代碼庫(kù)；3）諾頓惡意代碼庫(kù)與AV 網(wǎng)關(guān)惡意代碼庫(kù)分離是等級(jí)保護(hù)基本要求：主機(jī)安全 7個(gè)控制點(diǎn)身份鑒別（S）訪問(wèn)控制（S）安全審計(jì)（G）剩余信息保護(hù)（S）入侵防范（G）惡意代碼防范（G）資源控制（A）等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求a, 應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄； TSM限制內(nèi)網(wǎng)使用WIFI；安全策略控制1、不限制接入方式；2、不允許用WIFI；3、不允許用撥號(hào)；4、限制特定環(huán)境（辦公環(huán)境）不允許WIFI和3G撥號(hào)；網(wǎng)絡(luò)地址范圍：1、IP和MAC綁定；UMA是b, 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；TSM終端支持屏保設(shè)定策略；U

57、MA是c, 應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度；無(wú)否3級(jí)要求e, 應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；SOC(通過(guò)讀業(yè)務(wù)系統(tǒng)日志實(shí)現(xiàn)，定制性安裝策略）服務(wù)器安全加固服務(wù)是f, 應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；是物理安全（無(wú)）技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)（無(wú)）安全管理制度（無(wú)）人員安全管理（無(wú)）系統(tǒng)建設(shè)管理（無(wú)）系統(tǒng)運(yùn)維管理等級(jí)保護(hù)基本要求：應(yīng)用安全 7個(gè)控制點(diǎn)等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求a, 應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別 ； b,

58、應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用；c, 應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；d, 應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)； 3級(jí)要求e, 應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；身份鑒別（S）訪問(wèn)控制（S）安全審計(jì)（G）剩余信息保護(hù)（S）通信完整性（G）通信保密性（G）軟件容錯(cuò)（A）抗抵賴（A）資源控制（A）等級(jí)保護(hù)基本要求：應(yīng)用安全 7個(gè)控制點(diǎn)等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)

59、要求a, 應(yīng)提供訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)； b, 訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作；c, 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；d, 應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限; 3級(jí)要求e, 應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能f, 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作；身份鑒別（S）訪問(wèn)控制（S）安全審計(jì)（G）剩余信息保護(hù)（S）通信完整性（G）通信保密性（G）軟件容錯(cuò)（A）抗抵賴（A）資源控制（A）等級(jí)保護(hù)基本要求：應(yīng)用安全 7個(gè)控制點(diǎn)等級(jí)

60、保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求a, 應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)； b, 無(wú)法刪除、修改或覆蓋審計(jì)記錄；c, 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果等；3級(jí)要求d, 應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄；e, 應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能;身份鑒別（S）訪問(wèn)控制（S）安全審計(jì)（G）剩余信息保護(hù)（S）通信完整性（G）通信保密性（G）軟件容錯(cuò)（A）抗抵賴（A）資源控制（A）等級(jí)保護(hù)基本要求：應(yīng)用安全 7個(gè)控制點(diǎn)等級(jí)保護(hù)要求等級(jí)保護(hù)安全策略遵從情況2級(jí)要求無(wú)3級(jí)要求a,