1、等級保護建設思緒及H3C處理方案密級：公開杭州華三通信技術有限企業(yè)日期：4月15日第1頁信息安全等級保護政策H3C等級保護建設思緒H3C等級保護處理方案H3C安全產品線介紹第2頁信息安全等級保護政策介紹信息安全等級化保護（以下簡稱等保）定義等保是指國家經過制訂統一標準，依據信息系統不一樣主要程度，有針對性開展保護工作，分等級對信息系統進行保護，國家對不一樣等級信息系統實施不一樣強度監(jiān)督管理。等保將信息系統安全等級分為5級，1級最低，5級最高。當前已經確定等級為電子政務內網要到達4級保護要求，外網要到達3級保護要求。等保工作主要性信息安全等級保護是國家信息安全保障基本制度、基本策略、基本方法。是

2、信息安全保障工作中國家意志表達。引自7月20日公安部、國務院信息辦等4部門在北京聯合召開“全國主要信息系統安全等級保護定級工作電視電話會議”上公安部代表講話。第3頁信息安全等級保護政策發(fā)展歷程中華人民共和國計算機信息系統安全保護條例公布19941999計算機信息系統安全保護等級劃分準則 GB17859-1999公布國家發(fā)改委“計算機信息系統安全保護等級評定體系及互聯網絡電子身份管理與安全保護平臺建設項目”（1110）工程實施7月22日，國家信息化領導小組召開了第三次會議，專門討論了信息安全問題。會議審議經過了關于加強信息安全保障工作意見，并經由中央辦公廳、國務院辦公廳頒布(中辦發(fā)【】 27號文

3、件)公安部、國家保密局、國家密碼管理局和國信辦聯合簽發(fā)了關于信息安全等級保護工作實施意見 （公通字【】66號）信息系統安全保護等級定級指南 (1231)信息系統安全等級保護基本要求（0429）信息系統安全等級保護測評準則（0429）信息系統安全等級保護實施指南（0429）公安部、國家保密局、國家密碼管理局和國信辦聯合簽發(fā)了信息系統安全等級保護管理方法（試行）（公通字【】7號)3月1日執(zhí)行第4頁等級保護政策文件與技術演進9月中辦國辦頒發(fā)關于加強信息安全保障工作意見（中辦發(fā)27號）11月四部委會簽關于信息安全等級保護工作實施意見（公通字66號）9月國信辦文件 關于轉發(fā)電子政務信息安全等級保護實施指

4、南通知 （國信辦25號） 公安部標準等級保護安全要求等級保護定級指南等級保護實施指南等級保護測評準則總結成一個安全工作方法和標準最先作為“適度安全”工作思緒提出確認為國家信息安全基本制度，安全工作根本方法形成等級保護基本理論框架，制訂了方法，過程和標準第5頁等級保護5個監(jiān)管等級等級正當權益社會秩序和公共利益國家安全損害嚴重損害損害嚴重損害尤其嚴重損害損害嚴重損害尤其嚴重損害一級二級三級四級五級第6頁不一樣級別之間保護能力區(qū)分總體來看，各級系統應對威脅能力不一樣，即能夠反抗系統面臨威脅程度以及在遭到威脅破壞后，系統能夠恢復之前各種狀態(tài)能力是不一樣。一級含有15個技術目標，16個管理目標；二級含有

5、29個技術目標，25個管理目標；三級含有36個技術目標，27個管理目標；四級含有41個技術目標，28個管理目標。技術要求改變包含：安全要求增加安全要求增強管理要求改變包含：管理活動控制點增加，每個控制點詳細管理要求增多管理活動能力逐步加強，借鑒能力成熟度模型（CMM）第7頁決定等級主要原因分析信息系統所屬類型業(yè)務數據類別信息系統服務范圍業(yè)務處理自動化程度業(yè)務主要性業(yè)務數據安全性業(yè)務處理連續(xù)性業(yè)務依賴性基于業(yè)務主要性和依賴性分析關鍵要素，確定業(yè)務數據安全性和業(yè)務處理連續(xù)性要求。業(yè)務數據安全性業(yè)務處理連續(xù)性信息系統安全保護等級依據業(yè)務數據安全性和業(yè)務處理連續(xù)性要求確定安全保護等級。第8頁安全控制定

6、級指南過程方法確定系統等級開啟采購/開發(fā)實施運行/維護廢棄確定安全需求設計安全方案安全建設安全測評監(jiān)督管理運行維護暫不考慮特殊需求等級需求基本要求產品使用選型監(jiān)督管理測評準則流程方法監(jiān)管流程應急預案應急響應等級保護定義信息安全建設過程等級保護工作對應完整信息安全建設生命周期第9頁等保建設主要階段詳細工作系統定級階段安全規(guī)劃設計階段產品采購和工程實施階段運行管理和狀態(tài)監(jiān)控階段系統調查和描述子系統劃分子系統定級子系統邊界設定等級化風險評定分級保護模型化處理安全策略規(guī)劃安全建設規(guī)劃安全建設詳細方案設計安全產品采購安全控制開發(fā)安全控制集成測試與驗收安全等級測評運行同意系統立案操作管理和控制配置管理和控

7、制變更管理和控制安全狀態(tài)監(jiān)控安全事件處理和應急預案監(jiān)督和檢驗連續(xù)改進定級結果文檔化等級保護工作實施指南中對主要階段工作細化第10頁等級保護建設普通過程整改評定定級評測確定系統或者子系統安全等級依據等級要求，對現有技術和管理伎倆進行評定，并給出改進提議針對評定過程中發(fā)覺不滿足等保要求地方進行整改評測機構依據等級要求，對系統是否滿足要求進行評測，并給出結論監(jiān)管對系統進行周期性檢驗，以確定系統依然滿足等級保護要求第11頁信息安全等級保護政策H3C等級保護建設思緒H3C等級保護處理方案H3C安全產品線介紹第12頁正確了解等級保護思想系統主要程度系統保護要求安全基線安全基線安全基線一級二級三級四級等級保

8、護思想基礎是分級管理思想。即經過分級管理對不一樣安全需求系統進行安全保護，從而實現對整個信息系統適當安全保護和管理，防止對系統保護過渡或者保護不足。等級保護關鍵是為受管理系統明確定義所需最低安全保護能力。這個能力能夠認為是一個最基本安全基線。結論：滿足需求能力基線是最低要求，依據實際業(yè)務需要和發(fā)展，信息系統全部者和使用者有必要自行定義所需安全基線，并不停修正。第13頁信息安全基線產生信息安全基線可滿足當前信息安全建設需求各個方面內部需求滿足知識產品保護機密信息保護脆弱性保護合規(guī)需求滿足等級保護規(guī)范薩班斯方案行業(yè)安全規(guī)范信息安全基線Integrity完整性Availability可用性Confi

9、dentiality保密性滿足當前需求，確保業(yè)務連續(xù)性、降低業(yè)務損失而且使投資和商務機會取得最大回報第14頁等級保護技術要求和管理要求分析某級系統物理安全技術要求管理要求基本要求網絡安全主機安全應用安全數據安全安全管理機構安全管理制度人員安全管理系統建設管理系統運維管理等級保護技術要求和管理要求只是詳細目標，而不強調實現方法。這就強調了信息系統全部者和使用者在信息安全建設中主體地位。等保技術要求部分不包含技術框架搭建，其技術目標實現也不固定要求對應到某一個或者某一類安全產品中。實際上，詳細安全產品和處理方案能夠橫跨多個安全要求大項，實現多個安全目標。結論：進行等級保護建設主體是信息系統全部者和

10、使用者，由信息系統全部者和使用者依據本身特點，自行規(guī)劃、設計和實現。第15頁H3C等級保護建設思緒治理架構等級保護規(guī)范ISO27000薩班斯法案法規(guī)遵從機密信息保護知識產權保護內部驅動關鍵計算環(huán)境人機交互環(huán)境系統外部環(huán)境技術框架管理框架以ISO 27000系列為基礎建立ISMS（Information Security Management System，信息安全管理體系 ），在符合性方面滿足法規(guī)遵從要求以統一安全策略為基礎，綜合利用技術策略與管理策略最正確實踐：H3C安全建設方案第16頁ISO 27000系列標準含有完整規(guī)范體系，覆蓋要求、最正確實踐、實施指南、風險管理等各個方面以ISO 2

11、7000為框架能夠指導建設滿足等級保護要求信息安全架構ISO 27000系列標準和術語定義ISO 27001信息安全管理體系要求 ISMS Requirements ISO 27002信息安全管理實踐準則ISO 27003實施指南ISMS Implementation guidelines ISO 27004度量指標與衡量ISMS Metrics and measurement ISO 27006災難恢復和服務指南 ISO 27005風險管理指南Risk Management基于ISO 27000建立信息安全架構第17頁安全需求隨業(yè)務需求演進安全滯后業(yè)務需求安全滿足現實狀況業(yè)務需求更新妨礙安全

12、領先牽引安全IT基礎架構業(yè)務現實狀況業(yè)務發(fā)展業(yè)務需求是無法超越，但安全建設是能夠先行第18頁基于PDCA模型推進安全架構演進部門工具企業(yè)工具戰(zhàn)略工具關鍵競爭力信息化發(fā)展歷程數字化IT產品化 IT系統化 IT集中化 IT集成化 IT資源化 主要矛盾：非授權訪問主要矛盾：業(yè)務不穩(wěn)定主要矛盾：資料丟失主要矛盾：跨域訪問主要矛盾：動態(tài)業(yè)務PDCA演進發(fā)起者：系統用戶處理方案：主機防病毒發(fā)起者：網絡管理員處理方案：網絡防病毒防火墻系統入侵檢測發(fā)起者：技術主管處理方案：分域防護入侵抵抗終端控制發(fā)起者：CIO處理方案：統一規(guī)劃統一管理風險控制發(fā)起者：CEO處理方案：機構戰(zhàn)略決議生命周期管理機構內部控制執(zhí)行計

13、劃檢驗行動安全建設規(guī)律 安全基線更新安全基線更新安全基線更新安全基線更新第19頁信息安全等級保護政策H3C等級保護建設思緒H3C等級保護處理方案H3C安全產品線介紹第20頁H3C在等級保護建設過程中能夠參加工作安全控制過程方法確定系統等級安全規(guī)劃設計實施運行/維護確定安全需求設計安全方案安全建設安全測評運行監(jiān)控維護響應特殊需求等級需求基本要求產品使用選型系統監(jiān)控測評準則流程方法監(jiān)控流程應急預案應急響應PlanDoCheckAction等保建設過程：基于PDCA、遵從公安部信息安全等級保護規(guī)范！ 應急響應評定咨詢方案設計周期性檢測第21頁H3C SecCare安全服務體系安全三要素人流程技術培訓

14、咨詢評定安全咨詢以ISO 17799/27001、GB/T 17859等級保護規(guī)范為基礎，以安全最正確實踐為模板，提供一個切實可行安全建設思緒。風險評定以ISO 17799/27001、GB/T 17859等級保護規(guī)范為標準，遵照GB/T 20984-信息安全風險評定規(guī)范，對信息安全建設現實狀況進行評價。安全培訓提供針對CIO/信息主管、主要工程師和普通用戶不一樣培訓課程，全方面提升安全意識和技術能力。應急響應對信息系統出現緊急安全事件進行響應，包含電話支持、遠程支持以及現場支持等形式。H3C SecCare 安全服務體系第22頁網絡安全技術體系iSPN局部安全全局安全智能安全端到端安全處理方

15、案X86ASICNPFPGAMulti-core萬兆安全平臺FW/VPN/UTM/IPS/.EAD/Anti-Virus.SecCenter/SecBlade/ACG.CRMERPOASCMP2PWEB2.0.IT 應用第23頁遠程安全接入邊界防護安全統一管理平臺內網控制行為監(jiān)管數據中心保護五大處理方案第24頁SecCenter大型分支SecPath 防火墻中小型分支IPSec VPNIPSec+GRE VPN移動用戶BIMSSSL VPN合作搭檔IPSec VPN內部網InternetVPN ManagerSecPath 防火墻SecPath 防火墻SecPath 防火墻SecPath 防火

16、墻安全管理平臺 VPN是成本最低、應用最廣泛接入技術，預計年14億人民幣空間-計世資訊H3C遠程安全接入處理方案方案描述SecPath系列防火墻：實現大型分支、中小型分支/合作搭檔、移動用戶不一樣安全接入需求SecCenter ：實現全網安全統一管理BIMS/VPN Manager ：實現全網VPN布署和監(jiān)控。第25頁等保滿足性可滿足一級技術目標O1-6. 應含有對傳輸和存放數據進行完整性檢測能力O1-8. 應含有合理使用和控制系統資源能力O1-9. 應含有設計合理、安全網絡結構能力O1-14. 應含有對網絡、系統和應用訪問進行控制能力O1-15. 應含有對數據、文件或其它資源訪問進行控制能力

17、O1-16. 應含有對用戶進行標識和判別能力O1-17. 應含有確保判別數據傳輸和存放保密性能力第26頁等保滿足性可滿足二級技術目標O2-11. 應含有對傳輸和存放數據進行完整性檢測能力O2-12. 應含有對硬件故障產品進行替換能力O2-13. 應含有系統軟件、應用軟件容錯能力O2-14. 應含有軟件故障分析能力O2-15. 應含有合理使用和控制系統資源能力O2-16. 應含有統計用戶操作行為能力O2-22. 應含有對傳輸和存放中信息進行保密性保護能力O2-24. 應含有限制網絡、操作系統和應用系統資源使用能力O2-25. 應含有能夠檢測對網絡各種攻擊并統計其活動能力O2-27. 應含有對網絡

18、、系統和應用訪問進行控制能力O2-28. 應含有對數據、文件或其它資源訪問進行控制能力O2-29. 應含有對資源訪問行為進行統計能力O2-30. 應含有對用戶進行唯一標識能力O2-31. 應含有對用戶產生復雜判別信息并進行判別能力O2-35. 應含有確保判別數據傳輸和存放保密性能力O2-37. 應含有非活動狀態(tài)一段時間后自動切斷連接能力O2-38. 應含有網絡邊界完整性檢測能力第27頁等保滿足性可滿足三級技術目標O3-14. 應含有監(jiān)測通信線路傳輸情況能力O3-15. 應含有及時恢復正常通信能力O3-16. 應含有對傳輸和存放數據進行完整性檢測和糾錯能力O3-17. 應含有系統軟件、應用軟件容

19、錯能力O3-18. 應含有軟件故障分析能力O3-19. 應含有軟件狀態(tài)監(jiān)測和報警能力O3-20. 應含有自動保護當前工作狀態(tài)能力O3-21. 應含有合理使用和控制系統資源能力O3-22. 應含有按優(yōu)先級自動分配系統資源能力O3-33. 應含有使主要通信線路及時恢復能力O3-34. 應含有限制網絡、操作系統和應用系統資源使用能力O3-35. 應含有合理分配、控制網絡、操作系統和應用系統資源能力O3-36. 應含有能夠檢測、分析、響應對網絡和主要主機各種攻擊能力O3-38. 應含有對網絡、系統和應用訪問進行嚴格控制能力O3-39. 應含有對數據、文件或其它資源訪問進行嚴格控制能力O3-44. 應含

20、有確保判別數據傳輸和存放保密性能力O3-45. 應含有對用戶進行唯一標識能力O3-51. 應含有對傳輸和存放中信息進行保密性保護能力O3-52. 應含有預防加密數據被破解能力O3-53. 應含有路由選擇和控制能力O3-54. 應含有信息源發(fā)判別能力O3-55. 應含有通信數據完整性檢測和糾錯能力O3-57. 應含有連續(xù)非活動狀態(tài)一段時間后自動切斷連接能力O3-58. 應含有基于密碼技術抗抵賴能力O3-59. 應含有預防未授權下載、拷貝軟件或者文件能力O3-61. 應含有切斷非法連接能力O3-62. 應含有主要數據和程序進行完整性檢測和糾錯能力O3-66. 應含有確保主要業(yè)務系統及時恢復運行能力

21、第28頁等保滿足性可滿足四級技術目標O4-15. 應含有監(jiān)測通信線路傳輸情況能力O4-21. 應含有合理使用和控制系統資源能力O4-22. 應含有按優(yōu)先級自動分配系統資源能力O4-23. 應含有對傳輸和存放數據進行完整性檢測和糾錯能力O4-36. 應含有使主要通信線路及時恢復能力O4-37. 應含有限制網絡、操作系統和應用系統資源使用能力O4-38. 應含有能夠檢測、集中分析、響應、阻止對網絡和全部主機各種攻擊能力O4-39. 應含有合理分配、控制網絡、操作系統和應用系統資源能力O4-41. 應含有對網絡、系統和應用訪問進行嚴格控制能力O4-42. 應含有對數據、文件或其它資源訪問進行嚴格控制

22、能力O4-47. 應含有確保判別數據傳輸和存放保密性能力O4-48. 應含有對用戶進行唯一標識能力O4-49. 應含有對同一個用戶產生多重判別信息，其中一個是不可偽造判別信息并進行多重判別能力O4-53. 應含有對傳輸和存放中信息進行保密性保護能力O4-55. 應含有預防加密數據被破解能力O4-56. 應含有路由選擇和控制能力O4-57. 應含有信息源發(fā)判別能力O4-59. 應含有連續(xù)非活動狀態(tài)一段時間后自動切斷連接能力O4-60. 應含有基于密碼技術抗抵賴能力O4-61. 應含有預防未授權下載、拷貝軟件或者文件能力O4-63. 應含有切斷非法連接能力O4-64. 應含有主要數據和程序進行完整

23、性檢測和糾錯能力O4-68. 應含有確保通信不中止能力O4-69. 應含有確保業(yè)務系統不中止能力第29頁方案包括產品與等級保護對應關系產品等保一級等保二級等保三級等保四級防火墻/VPN網關必選必選必選必選SecKey身份認證令牌推薦必選必選必選BIMS/VPN Manager網管推薦推薦必選必選SecCenter安全管理中心推薦推薦推薦推薦第30頁安全管理平臺SecCenterSecPath防火墻交換機DMZ路由器SecPath IPSSecPath防火墻數據中心SecBlade FW/IPS方案描述SecPath/SecBlade防火墻：提供2-4層包過濾、狀態(tài)檢測等技術實現邊界隔離SecP

24、ath/SecBlade IPS ： 提供4-7層安全防護SecCenter：對布署防火墻、IPS以及其它不一樣廠商產品進行統一安全管理。外聯單位H3C邊界防護處理方案第31頁等保滿足性可滿足一級技術目標O1-8. 應含有合理使用和控制系統資源能力O1-9. 應含有設計合理、安全網絡結構能力O1-13. 應含有發(fā)覺網絡協議、操作系統、應用系統等主要漏洞并及時修補能力O1-14. 應含有對網絡、系統和應用訪問進行控制能力O1-15. 應含有對數據、文件或其它資源訪問進行控制能力O1-16. 應含有對用戶進行標識和判別能力O1-17. 應含有確保判別數據傳輸和存放保密性能力O1-18. 應含有對惡

25、意代碼檢測、阻止和去除能力第32頁等保滿足性可滿足二級技術目標O2-15. 應含有合理使用和控制系統資源能力O2-16. 應含有統計用戶操作行為能力O2-25. 應含有能夠檢測對網絡各種攻擊并統計其活動能力O2-26. 應含有發(fā)覺全部已知漏洞并及時修補能力O2-27. 應含有對網絡、系統和應用訪問進行控制能力O2-28. 應含有對數據、文件或其它資源訪問進行控制能力O2-32. 應含有對惡意代碼檢測、阻止和去除能力O2-33. 應含有預防惡意代碼在網絡中擴散能力O2-34. 應含有對惡意代碼庫和搜索引擎及時更新能力O2-38. 應含有網絡邊界完整性檢測能力第33頁等保滿足性可滿足三級技術目標O

26、3-21. 應含有合理使用和控制系統資源能力O3-34. 應含有限制網絡、操作系統和應用系統資源使用能力O3-35. 應含有合理分配、控制網絡、操作系統和應用系統資源能力O3-36. 應含有能夠檢測、分析、響應對網絡和主要主機各種攻擊能力O3-37. 應含有發(fā)覺全部已知漏洞并及時修補能力O3-38. 應含有對網絡、系統和應用訪問進行嚴格控制能力O3-39. 應含有對數據、文件或其它資源訪問進行嚴格控制能力O3-40. 應含有對資源訪問行為進行統計、分析并響應能力O3-41. 應含有對惡意代碼檢測、阻止和去除能力O3-42. 應含有預防惡意代碼等在網絡中擴散能力O3-43. 應含有對惡意代碼庫和

27、搜索引擎及時更新能力O3-53. 應含有路由選擇和控制能力O3-54. 應含有信息源發(fā)判別能力O3-59. 應含有預防未授權下載、拷貝軟件或者文件能力O3-60. 應含有網絡邊界完整性檢測能力O3-61. 應含有切斷非法連接能力第34頁等保滿足性可滿足四級技術目標O4-21. 應含有合理使用和控制系統資源能力O4-22. 應含有按優(yōu)先級自動分配系統資源能力O4-37. 應含有限制網絡、操作系統和應用系統資源使用能力O4-38. 應含有能夠檢測、集中分析、響應、阻止對網絡和全部主機各種攻擊能力O4-39. 應含有合理分配、控制網絡、操作系統和應用系統資源能力O4-40. 應含有發(fā)覺全部已知漏洞并

28、及時修補能力O4-41. 應含有對網絡、系統和應用訪問進行嚴格控制能力O4-42. 應含有對數據、文件或其它資源訪問進行嚴格控制能力O4-44. 應含有對惡意代碼檢測、集中分析、阻止和去除能力O4-45. 應含有預防惡意代碼在網絡中擴散能力O4-46. 應含有對惡意代碼庫和搜索引擎及時更新能力O4-47. 應含有確保判別數據傳輸和存放保密性能力O4-56. 應含有路由選擇和控制能力O4-57. 應含有信息源發(fā)判別能力O4-61. 應含有預防未授權下載、拷貝軟件或者文件能力O4-62. 應含有網絡邊界完整性檢測能力O4-63. 應含有切斷非法連接能力第35頁方案包括產品與等級保護對應關系產品等保

29、一級等保二級等保三級等保四級防火墻必選必選必選必選IPS必選必選必選必選SecCenter安全管理中心推薦推薦推薦推薦第36頁H3C內網控制處理方案組成SecPath 防火墻EADEADEADSecPath IPSSecBlade服務器區(qū)安全管理中心SecCenter智能網管中心iMC安全管理平臺H3C內網控制處理方案方案描述終端接入軟件EAD：進行身份認證和和終端安全狀態(tài)評定安全防護設備防火墻/IPS：阻斷內網攻擊，同時上報安全管理平臺，并與之聯動安全管理SecCenter/iMC：對網絡和安全設備統一管理，并提供整網審計匯報第37頁等保滿足性可滿足一級技術目標O1-13. 應含有發(fā)覺網絡協

30、議、操作系統、應用系統等主要漏洞并及時修補能力O1-14. 應含有對網絡、系統和應用訪問進行控制能力O1-15. 應含有對數據、文件或其它資源訪問進行控制能力O1-16. 應含有對用戶進行標識和判別能力O1-18. 應含有對惡意代碼檢測、阻止和去除能力第38頁等保滿足性可滿足二級技術目標O2-15. 應含有合理使用和控制系統資源能力O2-16. 應含有統計用戶操作行為能力O2-17. 應含有對用戶誤操作行為進行檢測和報警能力O2-24. 應含有限制網絡、操作系統和應用系統資源使用能力O2-25. 應含有能夠檢測對網絡各種攻擊并統計其活動能力O2-26. 應含有發(fā)覺全部已知漏洞并及時修補能力O2

31、-27. 應含有對網絡、系統和應用訪問進行控制能力O2-28. 應含有對數據、文件或其它資源訪問進行控制能力O2-29. 應含有對資源訪問行為進行統計能力O2-30. 應含有對用戶進行唯一標識能力O2-31. 應含有對用戶產生復雜判別信息并進行判別能力O2-32. 應含有對惡意代碼檢測、阻止和去除能力O2-33. 應含有預防惡意代碼在網絡中擴散能力O2-34. 應含有對惡意代碼庫和搜索引擎及時更新能力第39頁等保滿足性可滿足三級技術目標O3-19. 應含有軟件狀態(tài)監(jiān)測和報警能力O3-21. 應含有合理使用和控制系統資源能力O3-22. 應含有按優(yōu)先級自動分配系統資源能力O3-24. 應含有統計

32、用戶操作行為和分析統計結果能力O3-34. 應含有限制網絡、操作系統和應用系統資源使用能力O3-35. 應含有合理分配、控制網絡、操作系統和應用系統資源能力O3-36. 應含有能夠檢測、分析、響應對網絡和主要主機各種攻擊能力O3-37. 應含有發(fā)覺全部已知漏洞并及時修補能力O3-38. 應含有對網絡、系統和應用訪問進行嚴格控制能力O3-39. 應含有對數據、文件或其它資源訪問進行嚴格控制能力O3-40. 應含有對資源訪問行為進行統計、分析并響應能力O3-41. 應含有對惡意代碼檢測、阻止和去除能力O3-42. 應含有預防惡意代碼等在網絡中擴散能力O3-43. 應含有對惡意代碼庫和搜索引擎及時更

33、新能力O3-45. 應含有對用戶進行唯一標識能力O3-46. 應含有對同一個用戶產生多重判別信息并進行多重判別能力O3-47. 應含有對硬件設備進行唯一標識能力O3-48. 應含有對硬件設備進行正當身份確定能力O3-49. 應含有檢測非法接入設備能力O3-54. 應含有信息源發(fā)判別能力O3-58. 應含有基于密碼技術抗抵賴能力O3-59. 應含有預防未授權下載、拷貝軟件或者文件能力O3-61. 應含有切斷非法連接能力第40頁等保滿足性可滿足四級技術目標O4-21. 應含有合理使用和控制系統資源能力O4-22. 應含有按優(yōu)先級自動分配系統資源能力O4-25. 應含有統計用戶操作行為和分析統計結果

34、能力O4-27. 應含有安全機制失效自動檢測和報警能力O4-28. 應含有檢測到安全機制失效后恢復安全機制能力O4-37. 應含有限制網絡、操作系統和應用系統資源使用能力O4-38. 應含有能夠檢測、集中分析、響應、阻止對網絡和全部主機各種攻擊能力O4-39. 應含有合理分配、控制網絡、操作系統和應用系統資源能力O4-40. 應含有發(fā)覺全部已知漏洞并及時修補能力O4-41. 應含有對網絡、系統和應用訪問進行嚴格控制能力O4-42. 應含有對數據、文件或其它資源訪問進行嚴格控制能力O4-43. 應含有對資源訪問行為進行統計、集中分析并響應能力O4-44. 應含有對惡意代碼檢測、集中分析、阻止和去

35、除能力O4-45. 應含有預防惡意代碼在網絡中擴散能力O4-46. 應含有對惡意代碼庫和搜索引擎及時更新能力O4-47. 應含有確保判別數據傳輸和存放保密性能力O4-48. 應含有對用戶進行唯一標識能力O4-49. 應含有對同一個用戶產生多重判別信息，其中一個是不可偽造判別信息并進行多重判別能力O4-50. 應含有對硬件設備進行唯一標識能力O4-51. 應含有對硬件設備進行正當身份確定能力O4-52. 應含有檢測非法接入設備能力O4-56. 應含有路由選擇和控制能力O4-57. 應含有信息源發(fā)判別能力O4-61. 應含有預防未授權下載、拷貝軟件或者文件能力O4-63. 應含有切斷非法連接能力第

36、41頁方案包括產品與等級保護對應關系產品等保一級等保二級等保三級等保四級EAD端點準入系統必選必選必選必選防火墻必選必選必選必選IPS推薦推薦必選必選SecCenter安全管理中心推薦必選必選必選第42頁SecBlade AFCSecBlade IPSWEB 區(qū)應用區(qū)數據庫區(qū)SecPath ASE關鍵交換匯聚交換SecBlade 防火墻應用優(yōu)化安全防護SecCenter安全管理平臺iMCCampusWAN/MANInternet數據中心保護處理方案方案描述SecBlade AFC：徹底去除DDoS攻擊SecBlade防火墻/IPS：有效防范27層攻擊SecPath ASE：510倍提升服務器響

37、應速度和處理能力SecCenter/iMC：實現服務器、設備統一安全管理第43頁等保滿足性可滿足一級技術目標O1-13. 應含有發(fā)覺網絡協議、操作系統、應用系統等主要漏洞并及時修補能力O1-14. 應含有對網絡、系統和應用訪問進行控制能力O1-15. 應含有對數據、文件或其它資源訪問進行控制能力O1-18. 應含有對惡意代碼檢測、阻止和去除能力第44頁等保滿足性可滿足二級技術目標O2-15. 應含有合理使用和控制系統資源能力O2-24. 應含有限制網絡、操作系統和應用系統資源使用能力O2-25. 應含有能夠檢測對網絡各種攻擊并統計其活動能力O2-26. 應含有發(fā)覺全部已知漏洞并及時修補能力O2

38、-27. 應含有對網絡、系統和應用訪問進行控制能力O2-28. 應含有對數據、文件或其它資源訪問進行控制能力O2-32. 應含有對惡意代碼檢測、阻止和去除能力O2-33. 應含有預防惡意代碼在網絡中擴散能力O2-34. 應含有對惡意代碼庫和搜索引擎及時更新能力第45頁等保滿足性可滿足三級技術目標O3-34. 應含有限制網絡、操作系統和應用系統資源使用能力O3-35. 應含有合理分配、控制網絡、操作系統和應用系統資源能力O3-36. 應含有能夠檢測、分析、響應對網絡和主要主機各種攻擊能力O3-37. 應含有發(fā)覺全部已知漏洞并及時修補能力O3-38. 應含有對網絡、系統和應用訪問進行嚴格控制能力O

39、3-39. 應含有對數據、文件或其它資源訪問進行嚴格控制能力O3-40. 應含有對資源訪問行為進行統計、分析并響應能力O3-41. 應含有對惡意代碼檢測、阻止和去除能力O3-42. 應含有預防惡意代碼等在網絡中擴散能力O3-43. 應含有對惡意代碼庫和搜索引擎及時更新能力第46頁等保滿足性可滿足四級技術目標O4-37. 應含有限制網絡、操作系統和應用系統資源使用能力O4-38. 應含有能夠檢測、集中分析、響應、阻止對網絡和全部主機各種攻擊能力O4-39. 應含有合理分配、控制網絡、操作系統和應用系統資源能力O4-40. 應含有發(fā)覺全部已知漏洞并及時修補能力O4-41. 應含有對網絡、系統和應用

40、訪問進行嚴格控制能力O4-42. 應含有對數據、文件或其它資源訪問進行嚴格控制能力O4-44. 應含有對惡意代碼檢測、集中分析、阻止和去除能力O4-45. 應含有預防惡意代碼在網絡中擴散能力O4-46. 應含有對惡意代碼庫和搜索引擎及時更新能力第47頁方案包括產品與等級保護對應關系產品等保一級等保二級等保三級等保四級防火墻必選必選必選必選IPS必選必選必選必選ASE應用加速引擎推薦推薦必選必選AFC流量清洗推薦推薦必選必選SecCenter安全管理中心推薦必選必選必選第48頁控制臺SecCenterSecPath IPSSecPath防火墻交換機數據中心內部網絡SecPath ACG安全管理平

41、臺方案描述ACG：對P2P應用進行準確識別和控制，保護帶寬資源；ACG：對IM、網絡游戲、炒股、非法網站訪問等行為進行識別和控制，提升工作效率SecCenter：對ACG上報安全事件進行深入分析并輸出審計匯報，對非法行為進行追溯H3C行為監(jiān)管處理方案第49頁等保滿足性可滿足一級技術目標O1-14. 應含有對網絡、系統和應用訪問進行控制能力O1-15. 應含有對數據、文件或其它資源訪問進行控制能力O1-16. 應含有對用戶進行標識和判別能力第50頁等保滿足性可滿足二級技術目標O2-15. 應含有合理使用和控制系統資源能力O2-16. 應含有統計用戶操作行為能力O2-24. 應含有限制網絡、操作系

42、統和應用系統資源使用能力O2-25. 應含有能夠檢測對網絡各種攻擊并統計其活動能力O2-27. 應含有對網絡、系統和應用訪問進行控制能力O2-28. 應含有對數據、文件或其它資源訪問進行控制能力O2-29. 應含有對資源訪問行為進行統計能力O2-30. 應含有對用戶進行唯一標識能力O2-31. 應含有對用戶產生復雜判別信息并進行判別能力第51頁等保滿足性可滿足三級技術目標O3-21. 應含有合理使用和控制系統資源能力O3-22. 應含有按優(yōu)先級自動分配系統資源能力O3-24. 應含有統計用戶操作行為和分析統計結果能力O3-34. 應含有限制網絡、操作系統和應用系統資源使用能力O3-35. 應含

43、有合理分配、控制網絡、操作系統和應用系統資源能力O3-38. 應含有對網絡、系統和應用訪問進行嚴格控制能力O3-39. 應含有對數據、文件或其它資源訪問進行嚴格控制能力O3-40. 應含有對資源訪問行為進行統計、分析并響應能力O3-45. 應含有對用戶進行唯一標識能力O3-46. 應含有對同一個用戶產生多重判別信息并進行多重判別能力O3-59. 應含有預防未授權下載、拷貝軟件或者文件能力O3-61. 應含有切斷非法連接能力第52頁等保滿足性可滿足四級技術目標O4-21. 應含有合理使用和控制系統資源能力O4-25. 應含有統計用戶操作行為和分析統計結果能力O4-37. 應含有限制網絡、操作系統

44、和應用系統資源使用能力O4-39. 應含有合理分配、控制網絡、操作系統和應用系統資源能力O4-41. 應含有對網絡、系統和應用訪問進行嚴格控制能力O4-42. 應含有對數據、文件或其它資源訪問進行嚴格控制能力O4-43. 應含有對資源訪問行為進行統計、集中分析并響應能力O4-48. 應含有對用戶進行唯一標識能力O4-49. 應含有對同一個用戶產生多重判別信息，其中一個是不可偽造判別信息并進行多重判別能力O4-61. 應含有預防未授權下載、拷貝軟件或者文件能力O4-63. 應含有切斷非法連接能力O4-65. 應含有對敏感信息進行標識能力O4-66. 應含有對敏感信息流向進行控制能力第53頁方案包

45、括產品與等級保護對應關系產品等保一級等保二級等保三級等保四級ACG應用控制網關推薦推薦必選必選SecCenter安全管理中心推薦推薦必選必選第54頁CDP連續(xù)數據保護處理方案FC磁盤陣列IX3000 /IX1000系列IV5000IV5000IX5000系列IX3000系列IX1000系列生產卷C快照快照快照備份卷B生產卷A生產卷B快照快照快照備份卷C萬兆千兆快照快照快照備份卷A在線/近線存放可達秒級最正確數據恢復技術自動連續(xù)快照保護，預防軟災難完善數據庫一致性技術備份數據馬上檢驗及恢復驗證支持廣域網保護，可擴展為容災模式第55頁等保滿足性可滿足技術目標滿足一級技術指標O1-19. 應含有主要

46、數據恢復能力滿足二級技術指標O2-36. 應含有對存放介質中殘余信息進行刪除能力O2-39. 應含有主要數據恢復能力滿足三級技術指標O3-50. 應含有對存放介質中殘余信息進行刪除能力O3-65. 應含有及時恢復主要數據能力O3-66. 應含有確保主要業(yè)務系統及時恢復運行能力滿足四級技術指標O4-54. 應含有對存放介質中殘余信息進行刪除能力O4-67. 應含有快速恢復主要數據能力O4-68. 應含有確保通信不中止能力O4-69. 應含有確保業(yè)務系統不中止能力第56頁視頻監(jiān)控與智能視頻分析系統集成智能分析系統能夠對實時圖像內容進行分析，分析圖像中一個或多個人、物、車輛移動軌跡，實現對警戒區(qū)闖進

47、、遺留物、受保護物品移動、警戒區(qū)域人員徘徊、人群異常聚集、搶劫搶奪、打架斗毆等自動檢測。還能夠實現視頻診療、人流統計、事后圖像超清楚處理等增值業(yè)務。智能視頻系統將自動分析結果反饋給H3C監(jiān)控系統實現各項聯動功效。機房監(jiān)控功效智能監(jiān)控第57頁等保滿足性可滿足技術目標滿足三級技術指標O3-29. 應含有實時監(jiān)控機房內部活動能力O3-30. 應含有對物理入侵事件進行報警能力O3-32. 應含有對通信線路進行物理保護能力O3-33. 應含有使主要通信線路及時恢復能力滿足四級技術指標O4-29. 應含有嚴格控制機房進出能力O4-30. 應含有預防設備、介質等丟失能力O4-31. 應含有嚴格控制機房內人員

48、活動能力O4-32. 應含有實時監(jiān)控機房內部活動能力O4-33. 應含有對物理入侵事件進行報警能力O4-34. 應含有控制接觸主要設備、介質能力O4-35. 應含有對通信線路進行物理保護能力O4-36. 應含有使主要通信線路及時恢復能力第58頁信息安全體系管理框架基礎網絡關鍵網可靠性全方面設備可靠性高可靠關鍵高可靠匯聚匯聚雙歸屬雙機熱備數據中心案例文檔庫基礎知識庫地理信息庫事件信息庫模型庫視頻會議圖像接入多媒體中心語音調度安全保障防火墻IPS接入安全病毒防護統一管理平臺網絡管理數據管理用戶管理視訊管理安全管理第59頁H3C智能安全管理中心：統一管理 支持近100家主流廠家設備及應用，包含防火墻

49、/VPN、IDS、IPS、防病毒、路由器、交換機、操作系統、數據庫等各類IT資源 內部包含有各廠家日志解析解析模塊，轉換成統一日志格式SyslogNetStream二進制日志WMI、APINetflow防火墻日志對應解析程序對應解析程序對應解析程序對應解析程序對應解析程序對應解析程序 事件統一管理第60頁整合各類安全資源為統一安全聯動方案H3C智能安全管理中心： 智能聯動第61頁H3C iSPN實現面向業(yè)務端到端安全保障服務器客戶機桌面安全應用安全技術平面產品集成智能安全滲透網絡端到端安全保障處理方案L2L7層深度安全技術安全產品與網絡產品集成集成了網絡技術安全產品集成了安全技術網絡產品數據中

50、心保護處理方案內網控制處理方案邊界防護處理方案遠程安全接入處理方案管理平面智能管理統一基礎安全管理統一用戶認證與授權統一威脅與策略管理OAA開放應用架構CHECKCHECK存放系統數據安全系統安全應用安全用戶認證補丁管理病毒庫管理用戶管理在線備份安全存放異地容災面向業(yè)務端到端安全保障行為監(jiān)管處理方案第62頁信息安全等級保護政策H3C等級保護建設思緒H3C等級保護處理方案H3C安全產品線介紹第63頁H3C專業(yè)安全、應用為本H3C已成為IT安全領域領導者之一市場份額國內第二位，銷售增加率國內第一IPS產品連續(xù)兩年市場份額第一，IPS技術和市場領導者VPN類產品市場占有國內第一，承建全國最大VPN網

51、絡中國人壽桌面管理軟件市場占有第一，EAD全國已經有超出30萬用戶安全管理中心市場占有國內第一，已經有百個以上應用布署案例圖 -H3C安全產品銷售數據圖 H3C安全產品屢獲殊榮第64頁最完整：H3C安全產品和處理方案基于領先產品和技術，H3C提出遠程安全接入、邊界防護、內網控制、數據中心保護、行為監(jiān)管等5大行業(yè)處理方案；流量清洗、流量精細化運行、安全托管等3大運行商處理方案應用控制與優(yōu)化T系列I PS T200-S安全業(yè)務管理SecCenterEADiMCBIMSASE 5000T200-ET1000-ST1000-MT1000-AACG -MSecPathUTMU200-CU200-SU200-MU200-AU-SU-AACG 8800-AT5000-A安全評定與咨詢安全系列模塊NSMASMWAN優(yōu)化SSL VPNFWACGIPSL