華為安全等保二、三級(jí)方案介紹

華為等級(jí)保護(hù)解決方案（等保二、三級(jí)）國(guó)家出臺(tái)法律強(qiáng)化網(wǎng)絡(luò)安全，合規(guī)需求上升為法律強(qiáng)制1122采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施4455網(wǎng)絡(luò)安全等級(jí)保護(hù)網(wǎng)絡(luò)安全等級(jí)保護(hù):對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作。政策要求由公安監(jiān)督檢查各機(jī)關(guān)和行業(yè)執(zhí)行政策要求由公安監(jiān)督檢查滿足監(jiān)管要求明確安全責(zé)任體系化建設(shè)集約化運(yùn)營(yíng)階段進(jìn)行建設(shè)，安全建設(shè)更加體系化優(yōu)化安全收益等保工作流程1、定級(jí)2、備案5、監(jiān)督3、整改4、測(cè)評(píng)1、定級(jí)2、備案5、監(jiān)督3、整改\運(yùn)行單位\運(yùn)行單位特別嚴(yán)重?fù)p害。主要依據(jù)：根據(jù)系統(tǒng)被破壞后，對(duì)公民、社會(huì)、國(guó)家造成的損害程度定級(jí)。否否否////害等保測(cè)評(píng)結(jié)論等級(jí)測(cè)評(píng)結(jié)論為“符合、“基本符合”或者“不符測(cè)評(píng)結(jié)論符合性判別依據(jù)綜合得分計(jì)算公式符合信息系統(tǒng)中未發(fā)現(xiàn)安全問(wèn)題，等級(jí)測(cè)評(píng)結(jié)果中所有測(cè)評(píng)項(xiàng)得分均為5分。100分基本符合信息系統(tǒng)中存在安全問(wèn)題，但不會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)不符合信息系統(tǒng)中存在安全問(wèn)題，而且會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)新等保已經(jīng)于5月發(fā)布變化1：標(biāo)準(zhǔn)名稱變化變化3：各級(jí)別安全要求由“信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求”變更為“信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求”調(diào)整分類為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理技術(shù)要求老等保新等保物理安全安全物理環(huán)境網(wǎng)絡(luò)安全安全通信網(wǎng)絡(luò)、安全區(qū)域邊界主機(jī)安全安全計(jì)算環(huán)境、安全管理中心應(yīng)用安全數(shù)據(jù)安全管理要求老等保新等保安全管理制度安全管理制度安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)、安全管理人員人員安全管理系統(tǒng)建設(shè)管理安全建設(shè)管理系統(tǒng)運(yùn)維管理安全運(yùn)維管理調(diào)整各個(gè)級(jí)別的安全要求為安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求/新等保2.0具體通用要求重要變更控 邊界防護(hù) 入侵防范 訪問(wèn)控制新惡意代碼防范 通信傳輸析 集中管控等保技術(shù)要求子項(xiàng)主要內(nèi)容對(duì)應(yīng)產(chǎn)品基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界設(shè)備提供的受控接口進(jìn)身份唯一性、鑒別信息復(fù)雜度定期更換、登錄失敗處理功能、遠(yuǎn)程管理過(guò)程中防檢測(cè)入侵行為、非使用端口關(guān)閉、管理終端限制、發(fā)現(xiàn)應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別、應(yīng)通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制理等保技術(shù)要求子項(xiàng)主要內(nèi)容對(duì)應(yīng)產(chǎn)品基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界設(shè)備提供的受控接口進(jìn)五元組過(guò)濾、內(nèi)容過(guò)濾、策略優(yōu)化、基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的已知威脅防護(hù)、新型網(wǎng)絡(luò)攻擊行為的分析、記錄攻擊源IP檢測(cè)入侵行為、非使用端口關(guān)閉、管理終端限制、發(fā)現(xiàn)數(shù)據(jù)本地備份和恢復(fù)、提供異地實(shí)時(shí)備份功能、數(shù)據(jù)處理系統(tǒng)熱應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別、應(yīng)通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制理特定管理分區(qū)、統(tǒng)一網(wǎng)管和檢測(cè)、日志采集和統(tǒng)應(yīng)對(duì)安全管理員進(jìn)行身份鑒別、應(yīng)通過(guò)安全審保護(hù)等級(jí)復(fù)測(cè)要求第二級(jí)保護(hù)等級(jí)復(fù)測(cè)要求第二級(jí)不強(qiáng)制，一般兩年一測(cè)第三級(jí)強(qiáng)制每年一測(cè)保護(hù)等級(jí)公民、法人和其他組織的合法權(quán)益社會(huì)秩序和公共利益國(guó)家安全第二級(jí)嚴(yán)重?fù)p害損害否第三級(jí)/嚴(yán)重?fù)p害損害安全物理環(huán)境三級(jí)新增冗余供電要求冗余供電產(chǎn)品安全通信網(wǎng)絡(luò)三級(jí)新增鏈路和設(shè)備冗余要求雙機(jī)部署三級(jí)新增網(wǎng)絡(luò)的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要抗DDOS設(shè)備三級(jí)新增數(shù)據(jù)傳輸保密性要求VPN安全區(qū)域邊界三級(jí)增加基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問(wèn)控制要求NGFW內(nèi)容過(guò)濾功能三級(jí)增加在關(guān)鍵節(jié)點(diǎn)的未知威脅檢測(cè)要求未知威脅檢測(cè)沙箱、態(tài)勢(shì)感知設(shè)備探針三級(jí)新增基于重要業(yè)務(wù)帶寬保障流控或NGFW流控功能三級(jí)新增垃圾郵件防護(hù)要求網(wǎng)絡(luò)防病毒或NGFW防病毒功能安全計(jì)算環(huán)境三級(jí)新增主機(jī)入侵檢測(cè)要求HIPS/HIDS三級(jí)新增異地容災(zāi)要求異地容災(zāi)產(chǎn)品建設(shè)“一個(gè)中心”管理下的“三重防護(hù)”體系3.1等級(jí)保護(hù)整體解決方案3.2等級(jí)保護(hù)分區(qū)解決方案網(wǎng)絡(luò)邊界區(qū)管理區(qū)辦公區(qū)系統(tǒng)堡壘機(jī)管理區(qū)辦公區(qū)系統(tǒng)堡壘機(jī)辦公用戶辦公用戶辦公用戶方案說(shuō)明n分區(qū)分域安全設(shè)計(jì)：按照國(guó)家二級(jí)等保要求，可以將網(wǎng)絡(luò)分為：互聯(lián)網(wǎng)接入?yún)^(qū)、辦公區(qū)、安全管理區(qū)，然后分別按照等保要求進(jìn)行安全方案設(shè)計(jì)：n安全防御體系：NGFW【必配】：融合傳統(tǒng)防火墻安全策略、入侵防御、防病毒功能。解決安全區(qū)域邊界要求【主機(jī)殺毒軟件】【必配】：解決安全計(jì)算環(huán)境要求【日志審計(jì)系統(tǒng)】【必配】：解決安全管理中心要求【堡壘機(jī)】【必配】：解決安全管理中心->系統(tǒng)管理要求日志審計(jì)系統(tǒng)堡壘機(jī)日志審計(jì)系統(tǒng)堡壘機(jī)下一代防火墻下一代防火墻下一代防火墻下一代防火墻主機(jī)殺毒軟件主機(jī)殺毒軟件網(wǎng)絡(luò)邊界區(qū)管理區(qū)堡壘機(jī)辦公區(qū)系統(tǒng)管理區(qū)堡壘機(jī)辦公區(qū)系統(tǒng)辦戶辦公用戶方案說(shuō)明n分區(qū)分域安全設(shè)計(jì)：按照國(guó)家二級(jí)等保要求，可以將網(wǎng)絡(luò)分為：互聯(lián)網(wǎng)接入?yún)^(qū)、辦公區(qū)、安全管理區(qū)，然后分別按照等保要求進(jìn)行安全方案設(shè)計(jì)：n安全防御體系：【NGFW】【必配】：融合傳統(tǒng)防火墻安全策略、入侵防御、防病毒功能。解決安全區(qū)域邊界要求【主機(jī)殺毒軟件】【必配】：解決安全計(jì)算環(huán)境要求【日志審計(jì)系統(tǒng)】【必配】：解決安全管理中心要求【IPS】【必配】：解決安全區(qū)域邊界->入侵防御要求【堡壘機(jī)】【必配】：解決安全管理中心->系統(tǒng)管理要求日志審計(jì)系統(tǒng)堡壘機(jī)日志審計(jì)系統(tǒng)堡壘機(jī)下一代防火墻下一代防火墻下一代防火墻下一代防火墻主機(jī)殺毒軟件主機(jī)殺毒軟件網(wǎng)絡(luò)邊界區(qū)管理區(qū)堡壘機(jī)數(shù)據(jù)庫(kù)審計(jì)辦公區(qū)辦公區(qū)漏洞掃描公用戶公用戶辦辦公用戶公用戶辦整體方案說(shuō)明n分區(qū)分域安全設(shè)計(jì)：按照國(guó)家三級(jí)等保要求，可以將網(wǎng)絡(luò)分為：互聯(lián)網(wǎng)接入?yún)^(qū)、辦公區(qū)、安全管理區(qū)，然后分別按照等保要求進(jìn)行安全方案設(shè)計(jì)：n安全防御體系：【接入邊界NGFW】【必配】：融合防火墻安全策略、訪問(wèn)控制功能。解決安全區(qū)域邊界要求，并開(kāi)啟IPS、AV模塊功能；配置網(wǎng)絡(luò)接入控制功能（802.1X）【分區(qū)邊界NGFW】【必配】：用于解決安全分區(qū)邊界的訪問(wèn)控制問(wèn)題【IPS】【必配】：解決安全區(qū)域邊界->入侵防御要求【主機(jī)殺毒軟件】【必配】：解決安全計(jì)算環(huán)境要求【日志審計(jì)系統(tǒng)】【必配】：解決安全管理中心要求【堡壘機(jī)】【必配】：解決集中管控、安全審計(jì)要求【數(shù)據(jù)庫(kù)審計(jì)】【可選】：解決數(shù)據(jù)庫(kù)操作行為和內(nèi)容等進(jìn)行細(xì)粒度的審計(jì)和管理，解決數(shù)據(jù)完整性要求，需要根據(jù)系統(tǒng)內(nèi)是否包含數(shù)據(jù)庫(kù)業(yè)務(wù)系統(tǒng)選擇【漏洞掃描】【必配】：解決設(shè)備和計(jì)算的入侵防護(hù)和惡意代碼防護(hù)下一代防火墻下一代防火墻下一代防火墻下一代防火墻主機(jī)殺毒軟件主機(jī)殺毒軟件公用戶公用戶網(wǎng)絡(luò)邊界區(qū)Anti-DDOS管理區(qū)堡壘機(jī)態(tài)勢(shì)感知數(shù)據(jù)庫(kù)審計(jì)計(jì)系統(tǒng)辦公區(qū)漏洞掃描辦辦公用戶公用戶網(wǎng)絡(luò)邊界區(qū)Anti-DDOS管理區(qū)堡壘機(jī)態(tài)勢(shì)感知數(shù)據(jù)庫(kù)審計(jì)計(jì)系統(tǒng)辦公區(qū)漏洞掃描辦辦整體方案說(shuō)明n分區(qū)分域安全設(shè)計(jì)：按照國(guó)家三級(jí)等保要求，可以將網(wǎng)絡(luò)分為：互聯(lián)網(wǎng)接入?yún)^(qū)、辦公區(qū)、安全管理區(qū)，然后分別【防毒墻】【可選】通過(guò)防火墻的AV功能，解決惡【Anti-DDoS】【可選】：解決互聯(lián)網(wǎng)流量型攻擊，保障【APT沙箱】【必選】：解決新型網(wǎng)絡(luò)攻擊行為的分析的【態(tài)勢(shì)感知探針】【可選】：解決新型網(wǎng)絡(luò)攻擊行為的分析能力，保障安全區(qū)域邊界->入侵防御要求，復(fù)用NGFW【上網(wǎng)行為管理】【可選】：解決基于應(yīng)用協(xié)議和應(yīng)用內(nèi)【態(tài)勢(shì)感知】【必選】：保障安全管理中心->安全管理要求下一代防火墻下一代防火墻主機(jī)殺毒軟件主機(jī)殺毒軟件安全管理區(qū)網(wǎng)絡(luò)管理平臺(tái)安全控制平臺(tái)堡壘機(jī)漏洞掃描日志審計(jì)系統(tǒng)態(tài)勢(shì)感知WEB應(yīng)用服務(wù)器E-mail服務(wù)器內(nèi)部核心業(yè)務(wù)區(qū)NGFW數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)服務(wù)器數(shù)據(jù)庫(kù)審計(jì)WEB應(yīng)用服務(wù)器E-mail服務(wù)器內(nèi)部核心業(yè)務(wù)區(qū)NGFW數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)服務(wù)器數(shù)據(jù)庫(kù)審計(jì)內(nèi)網(wǎng)辦公區(qū)內(nèi)網(wǎng)終端辦公用戶NGFW終端殺毒軟件NGFWSSLVPN遠(yuǎn)程辦公SSLVPNISP1ISP2分支機(jī)構(gòu)、VPNISP1ISP2分支機(jī)構(gòu)、VPN互聯(lián)網(wǎng)接入?yún)^(qū)Anti-DDOSNGFWSSLVPNIPS防毒墻公眾用戶互聯(lián)網(wǎng)接入?yún)^(qū)Anti-DDOSNGFWSSLVPNIPS防毒墻SSLVPNAPT沙箱內(nèi)前置機(jī)外前置機(jī)內(nèi)前置機(jī)網(wǎng)閘核心交換機(jī)外網(wǎng)辦公區(qū)NGFWASG普通終端辦公用戶無(wú)線環(huán)境用戶終端殺毒軟件辦事處互聯(lián)網(wǎng)業(yè)務(wù)發(fā)布區(qū)WAFNGFWWAFWEB應(yīng)用服務(wù)器三級(jí)業(yè)務(wù)應(yīng)用服務(wù)器統(tǒng)一認(rèn)證管理系統(tǒng)二級(jí)業(yè)務(wù)應(yīng)用服務(wù)器3.1等級(jí)保護(hù)整體解決方案3.2等級(jí)保護(hù)分區(qū)解決方案分支機(jī)構(gòu)移動(dòng)終端用戶PC終端用戶PC終端用戶VPNVPN加密隧道安全通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心合規(guī)要求解決方案n移動(dòng)終端和PC建立SSLVPN加密隧道，保證數(shù)n終端管理系統(tǒng):外網(wǎng)用戶的接入控制方案特點(diǎn)安全通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心辦公區(qū)統(tǒng)一準(zhǔn)入控制中心(CampusController)MAC/802.1x/Portal認(rèn)證合規(guī)要求解決方案安全管理中心安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全管理中心安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境合規(guī)要求合規(guī)要求解決方案安全沙箱下一代防火墻日志審計(jì)系統(tǒng)EEEEEEE安全通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心合規(guī)要求解決方案方案特點(diǎn)安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心管理區(qū)服務(wù)器區(qū)服務(wù)器區(qū)辦公區(qū)服務(wù)器合規(guī)要求解決方案安全通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心合規(guī)要求合規(guī)要求解決方案方案特點(diǎn)安全通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心合規(guī)要求合規(guī)要求事前事中事后漏洞掃描UMA數(shù)據(jù)庫(kù)審計(jì)解決方案方案特點(diǎn)安全通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心合規(guī)要求合規(guī)要求解決方案力方案特點(diǎn)方案特點(diǎn)管理區(qū)大數(shù)據(jù)安全分析平臺(tái)統(tǒng)一運(yùn)大數(shù)據(jù)安全分析平臺(tái)統(tǒng)一運(yùn)維審計(jì)日志審計(jì)系統(tǒng)漏洞掃描安全控制器安全通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心合規(guī)要求解決方案方案特點(diǎn)安全通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心理理理理理理理理理理置置合規(guī)要求合