H3C安全等級保護方案V1.0-20151124

H3C平安等級保護方案匯報H3C平安產(chǎn)品部2015年11月點擊添加文本點擊添加文本點擊添加文本點擊添加文本目錄等級保護概述等級保護條款解讀及應對策略H3C等級保護解決方案H3C等級保護平安產(chǎn)品簡介H3C平安等保保護實踐2007年6月，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯(lián)合發(fā)布《信息平安等級保護管理方法》〔公字【2007】43號文〕，在全社會范圍內〔包括國家單位、企業(yè)單位、行業(yè)等〕推行“信息平安等級保護”政策。推行“信息平安等級保護”政策意義：〔一〕在國民經(jīng)濟和社會信息化開展過程中，提高信息平安保障能力和水平?！捕痴{動國家、法人、其他組織、公民平安防護積極性。通俗理解為——“誰主管、誰負責、誰運營、誰負責”“管好自己的一畝三分地，保家衛(wèi)國”信息平安等級保護背景指導監(jiān)管部門：國家等保工作開展、推進、指導。技術支撐部門：國家等保標準制定、修訂、培訓、技術指導以及全國測評單位管理。國家測評機構行業(yè)測評機構地方測評機構信息平安等級保護管理組織等級保護指導政策《中華人民共和國計算機信息系統(tǒng)平安保護條例》(國務院147號令)《國家信息化領導小組關于加強信息平安保障工作的意見》〔中辦發(fā)〔2003〕27號〕《信息平安等級保護工作的實施意見》〔公通字[2004]66號〕《信息平安技術信息系統(tǒng)平安等級保護實施指南》GB/T25058-2010《信息平安等級保護管理方法》〔公通字〔2007〕43號〕等級保護工作標準《信息平安技術信息系統(tǒng)平安等級保護根本要求》GB/T22239-2008《信息平安技術信息系統(tǒng)平安等級保護測評要求》MSTL-JBZ-05-005《信息平安技術信息系統(tǒng)平安等級保護測評過程指南》GB/T28449-2012信息平安等級保護國家標準1級自主保護監(jiān)督保護強制保護?？乇Ｗo2級3級4級5級依據(jù)國家管理標準和技術標準進行保護在國家監(jiān)管部門指導下保護受到國家監(jiān)管部門監(jiān)督、檢查下保護受到國家平安監(jiān)管部門強制監(jiān)督、檢查下保護國家指定專門部門專門監(jiān)督、檢查下保護指導保護信息平安等級劃分監(jiān)管要求用戶自主控制資源訪問第一級用戶自主保護重要敏感信息進行標記訪問控制，通過標記實現(xiàn)強制訪問控制第三級安全標記保護主體和客體之間細粒度訪問控制，建立可信隱蔽通道，可信計算結構化。第四級結構化保護所有過程都需要進行驗證。第五級訪問驗證保護第二級系統(tǒng)審計保護用戶訪問行為需要被審計信息平安等級保護級別根據(jù)業(yè)務信息和系統(tǒng)效勞遭到破壞或泄密后，對國家平安、社會秩序、公共利及公民、法人、其他組織的合法利益的危害程度來進行定級。受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級信息系統(tǒng)定級

平安保護能力技術措施管理措施包含具備根本平安要求滿足包含滿足實現(xiàn)等級保護要求模型《根本要求》的描述模型等級保護的建設模型每一等級信息系統(tǒng)等級保護的生命周期信息系統(tǒng)等級保護實施生命周期內的主要活動等級化風險評估平安總體設計平安建設規(guī)劃平安方案設計平安產(chǎn)品采購平安控制集成測試與驗收管理機構的設置管理制度的建設人員配置和崗位培訓平安建設過程的管理操作管理和控制變更管理和控制平安狀態(tài)監(jiān)控事件處置和應急預案平安評估和持續(xù)改進監(jiān)督檢查系統(tǒng)調查和描述子系統(tǒng)劃分/分解子系統(tǒng)邊界確定平安等級確定定級結果文檔化定級階段規(guī)劃設計階段平安實施階段平安運行管理階段物理平安技術要求管理要求系統(tǒng)平安防護要求網(wǎng)絡平安主機平安應用平安數(shù)據(jù)平安平安管理機構平安管理制度人員平安管理系統(tǒng)建設管理系統(tǒng)運維管理通過平安產(chǎn)品可防護的領域平安產(chǎn)品協(xié)助防護信息系統(tǒng)平安保護技術現(xiàn)狀分析開展建設整改技術方案詳細設計等級測評開展建設整改技術方案論證和評審確定平安策略，開展建設整改技術方案總體設計通信網(wǎng)絡平安物理平安應用系統(tǒng)平安區(qū)域邊界平安主機系統(tǒng)平安備份和恢復建設并落實平安技術措施信息系統(tǒng)平安技術建設整改工作流程不符合標準要求工程實施及驗收點擊添加文本點擊添加文本點擊添加文本點擊添加文本目錄等級保護概述等級保護條款解讀及應對策略H3C等級保護解決方案H3C等級保護平安產(chǎn)品簡介H3C平安等保保護實踐網(wǎng)絡平安解讀網(wǎng)絡安全結構安全訪問控制安全審計邊界安全檢查入侵防范惡意代碼防范設備防護要點：主要設備冗余空間、平安路徑控制、整體網(wǎng)絡帶寬、帶寬優(yōu)先級、重要網(wǎng)段部署要點：端口控制、防地址欺騙協(xié)議過濾、會話控制最大流量數(shù)及最大連接數(shù)要點：審計記錄審計報表審計記錄的保護要點：非授權設備接入非授權網(wǎng)絡聯(lián)出要點：記錄、報警、阻斷要點：記錄、報警、阻斷要點：組合鑒別技術特權用戶權限別離在云計算環(huán)境中，除以上必要的保護措施外，還需考慮云使用者利用云資源發(fā)起的網(wǎng)絡攻擊、云租戶之間的隔離以及云租戶與云效勞商的審計獨立網(wǎng)絡平安解讀-115分類基本要求說明及技術方案H3C產(chǎn)品部署網(wǎng)絡安全結構安全（G3）a)應保證主要網(wǎng)絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；主要設備、部件冗余方案及網(wǎng)絡設備保證b)應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要；帶寬預留方案及網(wǎng)絡設備保證c)應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑；策略路由、靜態(tài)路由、動態(tài)路由協(xié)議認證方案及網(wǎng)絡設備保證d)應繪制與當前運行情況相符的網(wǎng)絡拓撲結構圖；根據(jù)實際情況繪制、更新拓撲圖（紙質或管理軟件生成）管理軟件保證e)應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；合理劃分網(wǎng)段整體方案保證f)應避免將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術隔離手段；防火墻策略H3CSecPath下一代防火墻g)應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡發(fā)生擁堵的時候優(yōu)先保護重要主機。輔助防火墻設備部署QOS策略H3CSecPath下一代防火墻網(wǎng)絡平安解讀-216分類基本要求說明及技術方案H3C產(chǎn)品部署網(wǎng)絡安全訪問控制（G3）a)應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能；防火墻做邊界訪問控制H3CSecPath下一代防火墻b)應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；防火墻策略H3CSecPath下一代防火墻c)應對進出網(wǎng)絡的信息內容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；IPS實現(xiàn)4-7層協(xié)議安全控制H3CSecpathIPSd)應在會話處于非活躍一定時間或會話結束后終止網(wǎng)絡連接；防火墻會話老化，設置會話超時時間H3CSecPath下一代防火墻e)應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)；防火墻策略H3CSecPath下一代防火墻f)重要網(wǎng)段應采取技術手段防止地址欺騙；ip、mac綁定防火墻、交換機組合方案保證g)應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；第一層次基于IP的訪問控制，基本防火墻能力

第二層次基于用戶身份的訪問控制，下一代防火墻支持，配合AAA系統(tǒng)使用H3CSecPath下一代防火墻h)應限制具有撥號訪問權限的用戶數(shù)量。撥號接入設備控制（可能包括PPTP等VPN方式）H3CSecPath下一代防火墻網(wǎng)絡平安解讀-317分類基本要求說明及技術方案H3C產(chǎn)品部署網(wǎng)絡安全安全審計（G3）a)應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄；技術點解析：

審計網(wǎng)絡設備操作記錄，提供有效展示，并確保日志安全存儲。

應對方案：

通過流量分析系統(tǒng)、運維管理系統(tǒng)配合實現(xiàn)H3C綜合日志審計系統(tǒng)、堡壘機、iMCb)審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；d)應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。邊界完整性檢查（S3）a)應能夠對非授權設備私自聯(lián)到內部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；接入認證、IP/MAC綁定H3CEADb)應能夠對內部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。防私接H3CEAD網(wǎng)絡平安解讀-418分類基本要求說明及技術方案H3C產(chǎn)品部署網(wǎng)絡安全入侵防范（G3）a)應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等；攻擊檢測和防御H3CSecPathIPS系列、H3CSSM安管平臺b)當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。惡意代碼防范（G3）a)應在網(wǎng)絡邊界處對惡意代碼進行檢測和清除；攻擊、病毒檢測和防御H3CSecPathIPS系列b)應維護惡意代碼庫的升級和檢測系統(tǒng)的更新。定期升級特征庫網(wǎng)絡平安解讀-519分類基本要求說明及技術方案H3C產(chǎn)品部署網(wǎng)絡安全網(wǎng)絡設備防護（G3）a)應對登錄網(wǎng)絡設備的用戶進行身份鑒別；網(wǎng)絡運維人員身份管理網(wǎng)絡設備安全策略控制設定+H3C堡壘機輔助b)應對網(wǎng)絡設備的管理員登錄地址進行限制；ACL、安全策略c)網(wǎng)絡設備用戶的標識應唯一；堡壘機做雙因素認證d)主要網(wǎng)絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；堡壘機做雙因素認證e)身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；設置復雜口令f)應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施；設置策略控制非法登錄次數(shù)和超時退出g)當對網(wǎng)絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；遠程管理使用加密協(xié)議，如SSHh)應實現(xiàn)設備特權用戶的權限分離。設備上設置用戶權限主機平安解讀主機平安身份鑒別訪問控制平安審計剩余信息保護入侵防范惡意代碼防范資源控制要點：組合鑒別技術要點：管理用戶權限別離敏感標記的設置要點：審計記錄審計報表審計記錄的保護要點：空間釋放信息去除要點：記錄、報警、阻斷要點：記錄、報警、阻斷與網(wǎng)絡惡意代碼庫別離要點：監(jiān)控重要效勞器最小化效勞檢測告警在云計算環(huán)境中，除以上必要的保護措施外，還需考慮不同租戶存儲空間的隔離、對外提供API的訪問控制、虛擬資源占用控制以及殺毒風暴的防止等措施主機平安解讀-121分類基本要求說明及技術方案H3C產(chǎn)品部署主機安全身份鑒別（S3）a)應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的統(tǒng)一身份鑒別，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶權限分離，可由堡壘機輔助實現(xiàn)主機身份鑒別設定+H3C堡壘機輔助b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；設置復雜密碼，檢測弱口令，堡壘機定期改密，可由堡壘機輔助實現(xiàn)主機身份鑒別設定+H3C堡壘機、漏掃輔助c)應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施；主機策略設置登錄限制，安全配置核查系統(tǒng)定期對服務器嘗試登錄閾值進行檢查，配置服務器檢測到超過一定失敗次數(shù)的登錄行為后，鎖定該賬號，重新啟用賬號需向管理員提交申請，可由堡壘機輔助實現(xiàn)主機身份鑒別設定+H3C堡壘機輔助d)當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；加密管理，對服務器的遠程管理采用SSH、SSL等加密協(xié)議，可由堡壘機輔助實現(xiàn)主機身份鑒別設定+H3C堡壘機輔助e)應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。主機策略，按照不同用戶的職責為用戶分配不同權限，管理賬號不共用，確保用戶名唯一，可由堡壘機輔助實現(xiàn)主機身份鑒別設定+H3C堡壘機輔助f)應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。靜態(tài)口令+動態(tài)口令/證書/生物識別/短信認證等技術，可由堡壘機輔助實現(xiàn)主機身份鑒別設定+H3C堡壘機輔助主機平安解讀-222分類基本要求說明及技術方案H3C產(chǎn)品部署主機安全訪問控制（S3）a)應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；由操作系統(tǒng)自身的權限控制實現(xiàn)，可由堡壘機輔助主機訪問控制策略設定+H3C堡壘機輔助b)應根據(jù)管理用戶的角色分配權限，實現(xiàn)管理用戶的權限分離，僅授予管理用戶所需的最小權限；由操作系統(tǒng)自身的權限控制實現(xiàn)，可由堡壘機輔助主機訪問控制策略設定+H3C堡壘機輔助c)應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離；系統(tǒng)分級管理，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶分離，由不同的管理員行使特權主機訪問控制策略設定+H3C堡壘機輔助d)應嚴格限制默認帳戶的訪問權限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令；漏掃系統(tǒng)定期檢查系統(tǒng)默認賬戶口令主機訪問控制策略設定+H3C堡壘機、漏掃輔助e)應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。定期檢查系統(tǒng)多余賬號，員工離職或調崗需提交賬戶銷戶申請主機訪問控制策略設定+H3C堡壘機輔助f)應對重要信息資源設置敏感標記；基于安全標志實施強制訪問控制，控制主體對客體的操作操作系統(tǒng)加固g)應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；基于安全標志實施強制訪問控制，控制主體對客體的操作操作系統(tǒng)加固主機平安解讀-323分類基本要求說明及技術方案H3C產(chǎn)品部署主機安全安全審計（G3）a)審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；技術點解析：

審計主機操作記錄，提供有效展示，并確保日志安全存儲、穩(wěn)定可靠。

應對方案：

通過專用審計系統(tǒng)、運維管理系統(tǒng)配合實現(xiàn)H3C綜合日志審計系統(tǒng)、堡壘機、數(shù)據(jù)庫審計b)審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件；c)審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；d)應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；e)應保護審計進程，避免受到未預期的中斷；f)應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。主機平安解讀-424分類基本要求說明及技術方案H3C產(chǎn)品部署主機安全剩余信息保護（S3）a)應保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中；用戶鑒別信息不在硬盤上靜態(tài)存儲，并配置服務器不顯示上次登錄用戶名系統(tǒng)加固b)應確保系統(tǒng)內的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。操作系統(tǒng)對剩余信息進行處理設置。

以Windows系統(tǒng)為例：

打開“本地安全策略”->本地策略中的安全選項

查看是否選中“關機前清除虛擬內存頁面”

打開“本地安全策略”->“帳戶策略”中的密碼策略

查看是否選中“用可還原的加密來存儲密碼”系統(tǒng)加固入侵防范（G3）a)應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；系統(tǒng)入侵防范，網(wǎng)絡入侵防范系統(tǒng)輔助H3CIPS、IPS日志審計告警b)應能夠對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施；操作系統(tǒng)自身的安全機制保障系統(tǒng)配置和管理保障c)操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。強制補丁檢查、補丁分發(fā)

主要涉及到兩個方面的內容，分別是：系統(tǒng)服

務、補丁升級。遵循最小安裝原則，僅開啟需要的服務，安裝需要的組件和程序，可以極大的降低系統(tǒng)遭受攻擊的可能性。

及時更新系統(tǒng)補丁，可以避免遭受由系統(tǒng)漏洞帶來的風險H3CEAD+漏掃系統(tǒng)主機平安解讀-525分類基本要求說明及技術方案H3C產(chǎn)品部署主機安全惡意代碼防范（G3）a)應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；安裝殺毒軟件，及時升級特征庫，EAD強制認證檢查殺毒軟件版本和病毒庫H3CEAD+防病毒軟件b)主機防惡意代碼產(chǎn)品應具有與網(wǎng)絡防惡意代碼產(chǎn)品不同的惡意代碼庫；c)應支持防惡意代碼的統(tǒng)一管理。資源控制（A3）a)應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄；準入控制H3CEADb)應根據(jù)安全策略設置登錄終端的操作超時鎖定；系統(tǒng)配置保障系統(tǒng)策略+H3C堡壘機輔助c)應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內存、網(wǎng)絡等資源的使用情況；應用管理平臺輔助H3CAPM+H3C應用交付系統(tǒng)d)應限制單個用戶對系統(tǒng)資源的最大或最小使用限度；系統(tǒng)配置保障系統(tǒng)配置保障+H3C應用交付系統(tǒng)e)應能夠對系統(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警。應用管理平臺輔助H3CAPM+H3C應用交付系統(tǒng)應用平安應用及數(shù)據(jù)平安身份鑒別訪問控制平安審計剩余信息保護通信完整性通信保密性防抵賴軟件容錯資源控制要點身份鑒別訪問控制平安審計剩余信息保護通信完整性通信保密性防抵賴軟件容錯資源控制組合鑒別技術敏感標記的設置審計報表及審計記錄的保護敏感信息清楚、存儲空間釋放加密技術整個報文及會話傳輸過程加密原發(fā)證據(jù)的提供出錯校驗、自動保護資源分配、優(yōu)先級、最小化效勞及檢測報警數(shù)據(jù)平安要點數(shù)據(jù)完整性數(shù)據(jù)保密性備份和回復數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復數(shù)據(jù)存儲、傳輸，完整性檢測和恢復數(shù)據(jù)存儲、傳輸，加密保護冗余、備份應用平安解讀-127分類基本要求說明及技術方案H3C產(chǎn)品部署應用安全身份鑒別（S3）a)應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；應用系統(tǒng)自身保障外部認證系統(tǒng)b)應對同一用戶采用兩種或兩種以上組合的鑒別技術實現(xiàn)用戶身份鑒別；雙因素認證，例如：靜態(tài)密碼+動態(tài)口令外部認證系統(tǒng)c)應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；不存在共享賬號應用配置d)應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施；應用設置應用配置e)應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關參數(shù)。不存在共享賬號應用配置應用平安解讀-228分類基本要求說明及技術方案H3C產(chǎn)品部署應用安全訪問控制（S3）a)應提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；系統(tǒng)配置保障系統(tǒng)配置保障+H3C網(wǎng)頁防篡改系統(tǒng)輔助（針對WEB系統(tǒng)）+H3C漏掃系統(tǒng)b)訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；系統(tǒng)配置保障c)應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；系統(tǒng)配置保障d)應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。系統(tǒng)配置保障e)應具有對重要信息資源設置敏感標記的功能；系統(tǒng)配置保障f)應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；系統(tǒng)配置保障應用平安解讀-329分類基本要求說明及技術方案H3C產(chǎn)品部署應用安全安全審計（G3）a)應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；技術點解析：

審計應用系統(tǒng)操作記錄，提供有效展示，并確保日志安全存儲、穩(wěn)定可靠。

應對方案：

通過專用審計系統(tǒng)、運維管理系統(tǒng)配合實現(xiàn)H3C堡壘機、綜合日志審計（堡壘機）、數(shù)據(jù)庫審計、APMb)應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；c)審計記錄的內容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結果等；d)應提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。剩余信息保護（S3）a)應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中；應用策略，用戶在退出、注銷系統(tǒng)后，系統(tǒng)要對訪問進程清理，對存儲用戶鑒別信息數(shù)據(jù)空間進行完全清除應用配置b)應保證系統(tǒng)內的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。應用策略，系統(tǒng)對訪問進程清理應用配置應用平安解讀-430分類基本要求說明及技術方案H3C產(chǎn)品部署應用安全通信完整性（S3）應采用密碼技術保證通信過程中數(shù)據(jù)的完整性。應用策略，完整性校驗應用配置實現(xiàn)通信保密性（S3）a)在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術進行會話初始化驗證；應用加密，HTTPS指紋識別等技術b)應對通信過程中的整個報文或會話過程進行加密。通信協(xié)議加密、內容加密抗抵賴（G3）a)應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；用戶操作要有日志記錄、交易電子簽名b)應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。用戶操作要有日志記錄、交易電子簽名軟件容錯（A3）a)應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設定要求；應用自身防護，對數(shù)據(jù)有效性檢驗，并規(guī)定每個輸入接口只允許輸入數(shù)字、字符等限制b)應提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復。防攻擊系統(tǒng)提供保護功能，當故障發(fā)生時或操作失敗能回退，并且數(shù)據(jù)庫有實時鏡像備份，能夠進行恢復應用平安解讀-531分類基本要求說明及技術方案H3C產(chǎn)品部署應用安全資源控制（A3）a)當應用系統(tǒng)的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話；應用安全策略，設置會話超時時間應用配置實現(xiàn)b)應能夠對系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；應用安全策略，通過配置數(shù)據(jù)庫和中間件實現(xiàn)c)應能夠對單個帳戶的多重并發(fā)會話進行限制；應用安全策略，限制單用戶不能同時多點登錄，且只能在單一瀏覽器窗口登錄d)應能夠對一個時間段內可能的并發(fā)會話連接數(shù)進行限制；應用安全策略，流量控制設備/通過中間件線程池進行配置限制e)應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；應用安全策略，設置應用系統(tǒng)資源限額，超出限額時會給出提示信息f)應能夠對系統(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警；應用安全策略，通過安全監(jiān)控平臺/管理平臺，監(jiān)測應用系統(tǒng)服務水平g)應提供服務優(yōu)先級設定功能，并在安裝后根據(jù)安全策略設定訪問帳戶或請求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。應用安全策略，配置應用根據(jù)不同用戶的資源使用優(yōu)先級分配系統(tǒng)資源數(shù)據(jù)平安解讀-132分類基本要求說明及技術方案H3C產(chǎn)品部署數(shù)據(jù)安全數(shù)據(jù)完整性（S3）a)應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；利用校驗技術來保證數(shù)據(jù)傳輸?shù)耐暾詡鬏敿用茌o助：防火墻、下一代防火墻b)應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。將存儲數(shù)據(jù)生成多份，保證當數(shù)據(jù)完整性受到破壞時可恢復數(shù)據(jù)傳輸加密輔助：防火墻、下一代防火墻數(shù)據(jù)保密性（S3）a)應采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)傳輸保密性；加密機、加密協(xié)議、傳輸加密傳輸加密：防火墻、下一代防火墻b)應采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)存儲保密性。備份和加密存儲，審計日志直接存儲，關鍵用戶信息進行加密存儲應用配置數(shù)據(jù)平安解讀-233分類基本要求說明及技術方案H3C產(chǎn)品部署數(shù)據(jù)安全備份和恢復（A3）a)應提供本地數(shù)據(jù)備份與恢復功能，完全數(shù)據(jù)備份至少每天一次，備份介質場外存放；管理要求每天進行完全數(shù)據(jù)備份，本地實時鏡像備份b)應提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡將關鍵數(shù)據(jù)定時批量傳送至備用場地；管理要求同城和異地準時備份，批量傳送c)應采用冗余技術設計網(wǎng)絡拓撲結構，避免關鍵節(jié)點存在單點故障；管理要求重要設備、服務器均采用冗余設計d)應提供主要網(wǎng)絡設備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。管理要求重要設備、服務器均采用冗余設計點擊添加文本點擊添加文本點擊添加文本點擊添加文本目錄等級保護概述等級保護條款解讀及應對策略H3C等級保護解決方案H3C等級保護平安產(chǎn)品簡介H3C平安等保保護實踐H3C在等級保護建設過程中能夠參與的工作平安控制過程方法確定系統(tǒng)等級平安規(guī)劃設計實施運行/維護確定平安需求設計平安方案平安建設平安測評運行監(jiān)控維護響應特殊需求等級需求根本要求產(chǎn)品使用選型系統(tǒng)監(jiān)控測評準那么流程方法監(jiān)控流程應急預案應急響應PlanDoCheckAction等保建設過程：基于PDCA、遵從公安部信息平安等級保護標準！應急響應評估咨詢方案設計周期性檢測H3CSecCare平安效勞體系安全三要素人流程技術培訓咨詢評估平安咨詢以ISO17799/27001、GB/T17859等級保護標準為根底，以平安最正確實踐為模板，提供一種切實可行的平安建設的思路。風險評估以ISO17799/27001、GB/T17859等級保護標準為標準，遵循GB/T20984-2007信息平安風險評估標準，對信息平安建設現(xiàn)狀進行評價。平安培訓提供針對CIO/信息主管、主要工程師和一般用戶的不同的培訓課程，全面提高平安意識和技術能力。應急響應對信息系統(tǒng)出現(xiàn)的緊急平安事件進行響應，包括支持、遠程支持以及現(xiàn)場支持等形式。H3C等級保護平安方案解析羅盤等級保護平安管理數(shù)據(jù)平安網(wǎng)絡平安主機平安應用平安防DDOS設備防火墻VFWIPS堡壘機準入控制系統(tǒng)管理責任執(zhí)行責任檢查責任數(shù)據(jù)泄露數(shù)據(jù)篡改數(shù)據(jù)喪失動態(tài)口令卡生物識別系統(tǒng)防火墻操作系統(tǒng)加固產(chǎn)品防病毒效勞器SOC網(wǎng)頁防篡改產(chǎn)品WAF加密機網(wǎng)閘堡壘機ACG產(chǎn)品制度、文件、記錄崗位設置平安建設平安運維數(shù)據(jù)庫審計訪問控制云租戶隔離網(wǎng)絡攻擊云資源濫用平安審計云環(huán)境獨立審計結構平安、訪問控制、審計邊界防護、入侵防護惡意代碼防護、設備防護身份鑒別、訪問控制、審計入侵防護、剩余信息保護惡意代碼防護、資源控制身份鑒別、訪問控制、審計剩余信息保護、通信平安、防抵賴軟件容錯、資源控制保密性、完整性可用性操作系統(tǒng)保護效勞器隔離認證、審計云環(huán)境租戶授權入侵防護云環(huán)境病毒防范認證、授權審計、防抵賴通信加密敏感信息防護云對外接口及效勞平安互聯(lián)網(wǎng)出口平安域之間虛擬資源之間網(wǎng)絡核心重要資源區(qū)內網(wǎng)邊界DMZ區(qū)網(wǎng)絡核心網(wǎng)絡防護區(qū)網(wǎng)絡核心數(shù)據(jù)庫接入?yún)^(qū)重要主機系統(tǒng)漏洞掃描信息平安綜合強審計系統(tǒng)數(shù)據(jù)共享與交換系統(tǒng)統(tǒng)一互聯(lián)網(wǎng)出口平安防護設備異地備份應用漏洞掃描平安數(shù)據(jù)交換系統(tǒng)H3C平安等保H3C平安等保漏掃系統(tǒng)堡壘機防病毒效勞器云平安監(jiān)測中心平安管理中心綜合平安管理區(qū)核心交換區(qū)互聯(lián)網(wǎng)接入?yún)^(qū)WEB效勞器業(yè)務服務器群公共效勞數(shù)據(jù)庫ISP1ISP2DMZ區(qū)DNS效勞器區(qū)多業(yè)務硬件平安資源池辦公網(wǎng)H3C平安等保部署全景圖〔通用〕行為管理系統(tǒng)IPS防火墻鏈路負載均衡WEB應用防火墻效勞器負載均衡數(shù)據(jù)庫審計入侵防御〔檢測〕系統(tǒng)防火墻網(wǎng)頁防篡改系統(tǒng)桌面平安管理EADCA網(wǎng)絡服務器ACG防火墻IPSLB應用漏掃終端其他設備支撐設備安全服務管理安全資源池安全服務編排安全服務申請安全策略管理部署和編排引擎安全事件分析事件告警事件關聯(lián)多維度關聯(lián)明細審計事件分析引擎行為異常分析行為告警異常事件關聯(lián)多維度關聯(lián)明細審計行為分析引擎安全風險分析風險告警安全評估等保合規(guī)業(yè)務/資產(chǎn)風險風險分析引擎安全運維聯(lián)動響應告警工單運維及工作流引擎服務工單資產(chǎn)及業(yè)務風險建模知識庫服務管理層綜合監(jiān)控管理業(yè)務風險分析事件關聯(lián)分析行為關聯(lián)分析安全服務管理安全等級保護業(yè)務展現(xiàn)層行為數(shù)據(jù)安全事件應用日志漏洞數(shù)據(jù)性能數(shù)據(jù)配置數(shù)據(jù)資產(chǎn)數(shù)據(jù)格式標準化數(shù)據(jù)歸并文件索引文件存儲內存裝載/高速檢索數(shù)據(jù)處理層DPI/NetStream/Netflow/SNMP/WMI/CLI/Trap/代理程序…存儲彈性擴展H3C平安管理平臺功能架構大平安管理平臺—全景風險展示及告警多維度關聯(lián)分析海量數(shù)據(jù)的聚類統(tǒng)計多維度關聯(lián)綜合展現(xiàn)：業(yè)務安全風險、健康、繁忙業(yè)務風險評估基于平安事件、行為異常、平安評估情況，結合業(yè)務建模，進行業(yè)務風險評估、直觀呈現(xiàn)行為異常事件關聯(lián)分析和呈現(xiàn)、快速感知APT等未知威脅并采取行動全面的合規(guī)評估分析41資產(chǎn)風險平安域風險風險評級矩陣分析風險趨勢網(wǎng)絡設備配置主機配置數(shù)據(jù)庫配置中間件配置應用配置平安設備配置平安通告攻擊預警漏洞預警病毒預警影響性分析配置核查風險評估威脅預警最全面的合規(guī)評估分析矩陣H3C大平安實現(xiàn)面向業(yè)務的端到端平安保障效勞器客戶機桌面平安應用平安技術平面產(chǎn)品集成智能平安滲透網(wǎng)絡端到端平安保障解決方案L2~L7層深度平安技術平安產(chǎn)品與網(wǎng)絡產(chǎn)品的集成集成了網(wǎng)絡技術的平安產(chǎn)品集成了平安技術的網(wǎng)絡產(chǎn)品數(shù)據(jù)中心保護解決方案內網(wǎng)控制解決方案邊界防護解決方案遠程平安接入解決方案管理平面智能管理統(tǒng)一根底平安管理統(tǒng)一用戶認證與授權統(tǒng)一威脅與策略管理OAA開放應用架構CHECKCHECK存儲系統(tǒng)數(shù)據(jù)平安系統(tǒng)平安應用平安用戶認證補丁管理病毒庫管理用戶管理在線備份平安存儲異地容災行為監(jiān)管解決方案H3C為用戶提供端到端的平安防護43VLAN1VLAN2VLANX內網(wǎng)辦公區(qū)數(shù)據(jù)中心區(qū)核心業(yè)務非核心業(yè)務廣域網(wǎng)接入?yún)^(qū)網(wǎng)絡管理區(qū)對外接入?yún)^(qū)互聯(lián)網(wǎng)接入?yún)^(qū)互聯(lián)網(wǎng)服務互聯(lián)網(wǎng)連接局域網(wǎng)骨干局域網(wǎng)連接廣域網(wǎng)連接iNode終端圖例外聯(lián)服務區(qū)分支機構分支機構專線分支機構分支機構分支機構合作伙伴合作伙伴外聯(lián)服務前置SecPath防火墻SecPathIPS負載均衡SecPathIPSSecPathIPSSecPathNGFWSecPathACGSecPathNGFW安全管理中心SecCenterSecBlade插卡實現(xiàn)安全隔離支持802.1x/portal認證的以太網(wǎng)設備SecPathNGFWSecPath防火墻SecPath防火墻/VPN網(wǎng)頁防篡改系統(tǒng)網(wǎng)頁防篡改系統(tǒng)堡壘機數(shù)據(jù)庫審計系統(tǒng)SecPathWAFSecPathNGFW漏掃點擊添加文本點擊添加文本點擊添加文本點擊添加文本目錄等級保護概述等級保護條款解讀及應對策略H3C等級保護解決方案H3C等級保護平安產(chǎn)品簡介H3C平安等保保護實踐T9000系列SecBladeIPSII/IIIT1000系列T5000系列H3C平安產(chǎn)品全家福安全管理網(wǎng)絡層安全M9006M9010M9014平安管理中心云平安監(jiān)測中心終端平安管理漏洞掃描ACG1000系列SecBladeACGACG8800-S3L5000系列SecbladeADE/LBL1000系列W2000系列網(wǎng)頁防篡改產(chǎn)品系列IPS產(chǎn)品系列應用控制產(chǎn)品系列負載均衡產(chǎn)品系列WAF產(chǎn)品系列W1000系列堡壘機產(chǎn)品系列D2000系列A2000系列數(shù)據(jù)庫審計產(chǎn)品系列F100系列U200系列F1000系列SecBladeFW

II/Lite/III/IVF5000系列F100-X-G系列F1000-X-G系列U200-CX系列F10X0系列F50X0系列vFW1000防火墻/VPN產(chǎn)品系列NGFW產(chǎn)品系列SecBladeNGFWvLB1000NFV產(chǎn)品系列應用層安全M9000多業(yè)務網(wǎng)關產(chǎn)品系列Cache產(chǎn)品系列華三天機平安一體化交付平臺產(chǎn)品1：華三天機——全球首款企業(yè)平安一體化交付平臺平安業(yè)務單元平安檢測單元效勞平安管理單元政府教育醫(yī)療電力…金融天機防火墻、WAF、LB、堡壘機等各種安全匯聚成資源池，統(tǒng)一部署及策略管理，將安全變成服務

最全云安全能力合規(guī)評估能力基于國家等級保護標準，提供針對核心業(yè)務、資產(chǎn)提供三級等保以上合規(guī)分析分析最強安全管控業(yè)務及資產(chǎn)的安全風險威脅、漏洞及網(wǎng)絡行為實時呈現(xiàn)，并支持各類終端、網(wǎng)絡及安全設備聯(lián)動控制在天機◎聚平安◎評風險◎施管控成就共享全球10萬多臺防火墻成熟應用案例入圍中國移動、中國電信、國家電力、財政部、國稅總局和中央直屬機關等數(shù)十個選型應用于：中國移動的IMS核心網(wǎng)、70％的中央部委、8個金字號工程國干網(wǎng)、百勝餐飲、平安保險3000個點產(chǎn)品特色強平安+強網(wǎng)絡特性融合，組網(wǎng)能力強，選型入圍的行業(yè)最多產(chǎn)品系列最全，覆蓋10M-160G性能需求，提供業(yè)界160G防火墻性能最高。功能擴展能力強，SSLVPN、流量監(jiān)控、防病毒等硬件模塊產(chǎn)品2：防火墻/VPN系列產(chǎn)品M9006M9010M9014采用控制、業(yè)務、數(shù)據(jù)相別離的全分布式架構，獨立的硬件交換引擎，支撐高性能平安業(yè)務無阻塞處理及轉發(fā)支持SCF〔平安集群系統(tǒng)〕，支持多框集群和異構集群，實現(xiàn)靈活管理和彈性擴展支持智能分流〔IFF〕。部署多業(yè)務插卡后，流量自動在多個業(yè)務板卡內負載分擔從而實現(xiàn)分布式處理支持平安ONE平臺〔SOP〕。采用創(chuàng)新的基于容器的虛擬化技術實現(xiàn)了真正意義上的虛擬防火墻H3C平安旗艦：M9000多業(yè)務平安網(wǎng)關領先的業(yè)務處理能力–NGFW板卡NGFW-FW吞吐量并發(fā)連接數(shù)每秒新建連接40G2400萬40萬NGFW-LB吞吐量〔L4〕吞吐量〔L7〕并發(fā)連接數(shù)每秒新建連接20G10G1200萬30萬NGFW-流控

吞吐量并發(fā)連接數(shù)每秒新建連接10G1200萬20萬大規(guī)模策略訪問控制多樣化VPN接入多鏈路智能調度全面流量分析BYOD平安部署高性能DDoS防護高性能入侵防御效勞器應用加速精細化應用管控細粒度上網(wǎng)審計大容量NAT專業(yè)病毒防護虛機擴容動態(tài)均衡云計算虛擬化平安全網(wǎng)絡日志聯(lián)動產(chǎn)品特色業(yè)界唯一集成專業(yè)防病毒的IPS產(chǎn)品專業(yè)漏洞和攻防研究團隊，提供零日攻擊防范創(chuàng)新的多核技術，提供線速性能保證多重高可靠性設計，永遠不會成為業(yè)務故障點通過微軟MAPP、CVE等國際權威認證成就共享H3CIPS持續(xù)保持市場第一品牌成功應用于工商銀行總行北、南兩大數(shù)據(jù)中心，工行IPS獨家供給商奧運期間為17家證券/基金等金融機構提供平安保障效勞于全國70％以上的省電力公司(湖南電力數(shù)十臺千兆IPS，承建國內最大的千兆IPS網(wǎng)絡)產(chǎn)品3：下一代入侵防御〔NIPS〕系列產(chǎn)品SecPathT1000系列SecPathT5000系列SecPathT9000系列產(chǎn)品特色基于最新的64位多核高性能處理器，實現(xiàn)靈活一體化DPI深度平安?；谌录杭夹g及1：N虛擬化技術的平安資源池。多種高性能VPN，無縫對接IOS、Android，結合H3CBYOD方案，移動辦公一觸即得！全面支持SDNOverlay網(wǎng)絡，改變復雜部署模式，用軟件量身定制的平安即效勞〔SAAS〕！成就共享成功應用于中國農(nóng)行、央視國際、百度、中航信、中石化、貴州高法、浙江電信、四川電信、安徽電信、江蘇移動等成功應用于上海銀聯(lián)互聯(lián)網(wǎng)系統(tǒng)，保護每一筆網(wǎng)上交易數(shù)據(jù)產(chǎn)品4：下一代防火墻〔NGFW〕系列產(chǎn)品SecPathF1000系列SecPathF5000系列SecBladeNGFW插卡系列下一代防火墻〔NGFW〕系列產(chǎn)品F1000系列F5000系列中端款型：F1020/30/50/60/70/80存儲擴展：高速大容量硬盤。2*500G〔F1070/1080〕性能覆蓋：1.5G~10G，最高1000萬級并發(fā)，虛擬化能力：8:1虛擬化集群〔當前實現(xiàn)2:1〕序列款型：F5020、F5040性能覆蓋：20G~40G，最高3000萬并發(fā)，萬兆深度平安虛擬化能力：8:1虛擬化集群〔當前實現(xiàn)2:1〕平安守望者〔SecurityWatchmen〕基于多因素的平安管控全新三態(tài)合一威脅感知策略智能下發(fā)智能策略調優(yōu)效勞器負載均衡基于應用選路技術N:1虛擬化1:N虛擬化平安智能策略導航平安威脅全息解構虛擬業(yè)務全景支撐全業(yè)務感知與調度產(chǎn)品特色全新一代應用控制網(wǎng)關，全方位上網(wǎng)行為管理產(chǎn)品。支持包括微信認證在內的多種認證方式，真正的基于用戶的應用審計和管控！提供細粒度的網(wǎng)絡應用審計，多維度組合定制報表！提供創(chuàng)新的微信推廣方案，用戶只需關注企業(yè)公眾號后簡單操作即可獲得上網(wǎng)權限！覆蓋10M~5G帶寬出口場景成就共享產(chǎn)品成熟穩(wěn)定、性能突出，入圍國稅總局、中央直屬機關等選型近100所教育用戶〔包括近十所211、985類高?！?，北京航天航空大學、中央黨校、中國外交部、國家自然基金委員會、國家海事局、央視國際、中國一重等產(chǎn)品5：ACG應用控制系列產(chǎn)品SecPathACG1000系列SecPathACG8800系列SecBladeACG系列產(chǎn)品特色多核CPU處理架構。高性能，易擴展集成了四層、七層以及鏈路等各種負載均衡功能完善的網(wǎng)絡及路由協(xié)議支持，滿足任意組網(wǎng)最全面的業(yè)務深度應用健康檢測高平安防護能力，保護效勞器免受攻擊成就共享連續(xù)多年入圍中國移動、中國電信負載均衡設備集采工商銀行、財政部、國稅總局、國家電力、中航信選型入圍規(guī)模應用于公安部、新聞出版署、國家圖書館、中石化、北京大學、國家質監(jiān)總局、華潤集團、北京國稅等產(chǎn)品6：LB負載均衡/應用交付系列產(chǎn)品SecPathL1000系列SecPathL5000系列SecBladeLB/ADE系列產(chǎn)品特色基于多點特征檢測技術，能解析多種WEB攻擊方式，從根源上防止繞過及穿透攻擊；創(chuàng)新的黑名單、白名單雙引擎檢測技術，各種復雜攻擊無所遁形；訪問集中度和HTTP協(xié)議細粒度檢測算法，有效應對了應用層CC攻擊對業(yè)務的沖擊高平安防護能力，成就共享成功應用于大連市政務云計算中心、浙江省電子口岸公司跨境電子商務云平臺、中信銀行、山東郵政、江西電信、南開大學、天津大學、山東經(jīng)貿學院、復旦附中、新興際華集團〔世界500強〕等、產(chǎn)品7：WEB應用防火墻系列產(chǎn)品正常訪問注入、跨站攻擊Webshell上傳攻擊服務器漏洞攻擊敏感言論提交CC攻擊檢查商業(yè)爬蟲檢查0day攻擊檢查安全基線檢查注入攻擊檢查跨站攻擊檢查Webshell檢查中間件漏洞檢查敏感言論提交正常訪問信息泄露正常訪問最快在5秒內定位到攻擊者，并智能鎖定us級延時轉發(fā)網(wǎng)絡安全檢查訪問行為安全檢查安全白名單檢查WEB應用安全檢查內容安全檢查敏感信息檢查產(chǎn)品特色采用了專用的64位多核高性能處理器和高速存儲器；支持將目標資產(chǎn)的賬號密碼交由運維審計系統(tǒng)進行集中托管；運維審計系統(tǒng)的審計分成圖形、字符、應用、文件四種審計類型；提供豐富的報表，包括基于應用和基于網(wǎng)流的分析報表等；成就共享成功應用于中信銀行、山東郵政、天津大學、福建健康之路、杭州公安局、江蘇廣電等產(chǎn)品8：運維審計系列產(chǎn)品telnet到交換機https訪問防火墻ssh到linux、遠程到windowsIT人員首先實現(xiàn)運維入口統(tǒng)一統(tǒng)一運維入口通道安全封殺其他所有訪問通道（防火墻、交換機ACL）運維審計產(chǎn)品特色高性能引擎，保證審計準確性和效率；數(shù)據(jù)庫自動發(fā)現(xiàn)功能；內置30多種極具價值的報表，同時支持20多個維度的自定義報表，支持報表自動生成和發(fā)送；國內領先的支持IPV6環(huán)境數(shù)據(jù)庫審計；支持超長最大64KSQL語句成就共享成功應用于江蘇廣電、貴陽國土資源局、沈陽鐵路局、廈門市教育局等產(chǎn)品9：數(shù)據(jù)庫審計系列產(chǎn)品SAN管理中心日志存儲中心采集器考試系統(tǒng)選課系統(tǒng)采集器教師學生信息系統(tǒng)圖書館圖書管理系統(tǒng)產(chǎn)品10：網(wǎng)頁防篡改系列產(chǎn)品

對非法請求，惡意掃描及數(shù)據(jù)庫注入攻擊等進行攔截，只有合法的請求被正常響應，對訪問網(wǎng)頁進行實時規(guī)則檢查，對網(wǎng)頁的篡改及刪除等操作進行攔截，并且產(chǎn)生日志及報警成就共享杭州華數(shù)傳媒中國移動、福州電信江蘇省國稅、深圳測評中心、甘肅省審計廳產(chǎn)品特色提供文件驅動防篡改技術、WEB核心內嵌和實時觸發(fā)機制結合，保護文件平安；支持防攻擊、防篡改功能模塊；