1、等级保护建设思路及H3C解决方案,密级:公开,杭州华三通信技术有限公司,日期:2008年4月15日,信息安全等级保护政策 H3C等级保护建设思路 H3C等级保护解决方案 H3C安全产品线简介,信息安全等级保护政策简介,信息安全等级化保护(以下简称等保)定义 等保是指国家通过制订统一的标准,根据信息系统不同重要程度,有针对性开展保护工作,分等级对信息系统进行保护,国家对不同等级的信息系统实行不同强度的监督管理。 等保将信息系统的安全等级分为5级,1级最低,5级最高。目前已经确定等级的为电子政务内网要达到4级保护要求,外网要达到3级保护要求。 等保工作的重要性 信息安全等级保护是国家信息安全保障的
2、基本制度、基本策略、基本方法。是信息安全保障工作中国家意志的体现。 引自2007年7月20日公安部、国务院信息办等4部门在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”上公安部代表的讲话。,信息安全等级保护政策的发展历程,中华人民共和国计算机信息系统安全保护条例发布,1994,1999,2001,2004,计算机信息系统安全保护等级划分准则 GB17859-1999发布,国家发改委“计算机信息系统安全保护等级评估体系 及互联网络电子身份管理与安全保护平台建设项目”(1110)工程实施,7月22日,国家信息化领导小组召开了第三次会议,专门讨论了信息安全问 题。会议审议通过了关于
3、加强信息安全保障工作的意见,并经由中央办公厅、国务院办公厅颁布(中办发【2003】 27号文件),公安部、国家保密局、国家密码管理局和国信办联合签发了关于信息安全等级保护工作的实施意见 (公通字【2004】66号),信息系统安全保护等级定级指南 (20051231) 信息系统安全等级保护基本要求(20060429) 信息系统安全等级保护测评准则(20060429) 信息系统安全等级保护实施指南(20060429),2006,公安部、国家保密局、国家密码管理局和国信办联合签发了信息系统安全等级保护管理办法(试行)(公通字【2006】7号)2006年3月1日执行,2003,等级保护的政策文件与技术
4、演进,2003年9月 中办国办颁发 关于加强信息安全保障工作的意见 (中办发200327号),2004年11月 四部委会签 关于信息安全等级保护工作的实施意见 (公通字200466号),2005年9月 国信办文件 关于转发电子政务信息安全等级保护实施指南的通知 (国信办200425号),2005年 公安部标准 等级保护安全要求 等级保护定级指南 等级保护实施指南 等级保护测评准则,总结成一种安全工作的方法和原则,最先作为“适度安全”的工作思路提出,确认为国家信息安全的基本制度,安全工作的根本方法,形成等级保护的基本理论框架,制定了方法,过程和标准,等级保护的5个监管等级,不同级别之间保护能力的
5、区别,总体来看,各级系统应对威胁的能力不同,即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后,系统能够恢复之前的各种状态的能力是不同的。 一级具有15个技术目标,16个管理目标; 二级具有29个技术目标,25个管理目标; 三级具有36个技术目标,27个管理目标; 四级具有41个技术目标,28个管理目标。 技术要求的变化包括: 安全要求的增加 安全要求的增强 管理要求的变化包括: 管理活动控制点的增加,每个控制点具体管理要求的增多 管理活动的能力逐步加强,借鉴能力成熟度模型(CMM),决定等级的主要因素分析,信息系统所属类型,业务数据类别,信息系统服务范围,业务处理的自动化程度,业务重要性,业
6、务数据安全性,业务处理连续性,业务依赖性,基于业务的重要性和依赖性分析关键要素,确定业务数据安全性和业务处理连续性要求。,业务数据安全性,业务处理连续性,信息系统安全保护等级,根据业务数据安全性和业务处理连续性要求确定安全保护等级。,等级保护定义的信息安全建设过程,等级保护工作对应完整的信息安全建设生命周期,等保建设主要阶段的详细工作,等级保护工作的实施指南中对主要阶段的工作细化,等级保护建设的一般过程,整改,评估,定级,评测,确定系统或者子系统的安全等级,依据等级要求,对现有技术和管理手段的进行评估,并给出改进建议,针对评估过程中发现的不满足等保要求的地方进行整改,评测机构依据等级要求,对系
7、统是否满足要求进行评测,并给出结论,监管,对系统进行周期性的检查,以确定系统依然满足等级保护的要求,信息安全等级保护政策 H3C等级保护建设思路 H3C等级保护解决方案 H3C安全产品线简介,正确理解等级保护思想,等级保护思想的基础是分级管理思想。即通过分级管理对不同安全需求的系统进行安全保护,从而实现对整个信息系统的适当的安全保护和管理,避免对系统保护过渡或者保护不足。 等级保护的核心是为受管理的系统明确定义所需最低的安全保护能力。这个能力可以认为是一个最基本的安全基线。 结论:满足需求的能力基线是最低要求,根据实际业务的需要和发展,信息系统的所有者和使用者有必要自行定义所需的安全基线,并不
8、断修正。,信息安全基线的产生,信息安全基线可满足当前信息安全建设需求的各个方面,内部需求满足,知识产品保护 机密信息保护 脆弱性保护,合规需求满足,等级保护规范 萨班斯方案 行业安全规范,信息安全基线,满足当前需求,确保业务的连续性、减少业务损失并且使投资和商务机会获得最大的回报,等级保护技术要求和管理要求分析,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,等级保护的技术要求和管理要求只是具体的目标,而不强调实现的方法。这就强调了信息系统的所有者和使用者在信息安全建设中的主体地位。
9、 等保的技术要求部分不包含技术框架的搭建,其技术目标的实现也不固定要求对应到某一种或者某一类安全产品中。事实上,具体的安全产品和解决方案可以横跨多个安全要求大项,实现多个安全目标。 结论:进行等级保护建设的主体是信息系统的所有者和使用者,由信息系统的所有者和使用者根据自身的特点,自行规划、设计和实现。,H3C等级保护建设思路,治理架构,等级保护规范 ISO27000 萨班斯法案,法规遵从,机密信息保护 知识产权保护,内部驱动,技术框架,管理框架,以ISO 27000系列为基础建立ISMS(Information Security Management System,信息安全管理体系 ),在符合
10、性方面满足法规遵从要求 以统一安全策略为基础,综合运用技术策略与管理策略,最佳实践:H3C安全建设方案,ISO 27000系列标准具有完整的规范体系,覆盖要求、最佳实践、实施指南、风险管理等各个方面 以ISO 27000为框架可以指导建设满足等级保护要求的信息安全架构,基于ISO 27000建立信息安全架构,安全需求随业务需求演进,安全滞后,业务需求,安全满足现状,业务需求更新,阻碍,安全领先,牵引,安全IT基础架构,业务现状,业务发展,业务需求是无法超越的,但安全建设是可以先行的,基于PDCA模型推动安全架构演进,部门工具,企业工具,战略工具,核心竞争力,信息化发展历程,数字化,IT产品化,
11、IT系统化,IT集中化,IT集成化,IT资源化,主要矛盾: 非授权访问,主要矛盾: 业务不稳定,主要矛盾: 资料丢失,主要矛盾: 跨域访问,主要矛盾: 动态业务,PDCA的演进,发起者: 系统用户 解决方案: 主机防病毒,发起者: 网络管理员 解决方案: 网络防病毒 防火墙系统 入侵检测,发起者: 技术主管 解决方案: 分域防护 入侵抵御 终端控制,发起者: CIO 解决方案: 统一规划 统一管理 风险控制,发起者: CEO 解决方案: 机构战略决策 生命周期管理 机构内部控制,安全建设规律,安全基线更新,安全基线更新,安全基线更新,安全基线更新,信息安全等级保护政策 H3C等级保护建设思路
12、H3C等级保护解决方案 H3C安全产品线简介,H3C在等级保护建设过程中能够参与的工作,安全 控制,过程 方法,确定系统等级,安全规划,设计实施,运行/维护,确定安全需求,设计安全方案,安全建设,安全测评,运行监控,维护响应,特殊需求,等级需求,基本 要求,产品 使用,选 型,系统监控,测评 准则,流程 方法,监控 流程,应急 预案,应急 响应,Plan,Do,Check,Action,等保建设过程:基于PDCA、遵从公安部信息安全等级保护规范!,应急响应,评估咨询,方案设计,周期性检测,H3C SecCare安全服务体系,安全咨询 以ISO 17799/27001、GB/T 17859等级保
13、护规范为基础,以安全最佳实践为模板,提供一种切实可行的安全建设的思路。 风险评估 以ISO 17799/27001、GB/T 17859等级保护规范为标准,遵循GB/T 20984-2007信息安全风险评估规范,对信息安全建设现状进行评价。,安全培训 提供针对CIO/信息主管、主要工程师和一般用户的不同的培训课程,全面提高安全意识和技术能力。 应急响应 对信息系统出现的紧急安全事件进行响应,包括电话支持、远程支持以及现场支持等形式。,H3C SecCare 安全服务体系,网络安全技术体系iSPN,局部安全,全局安全,智能安全,端到端安全解决方案,X86,ASIC,NP,FPGA,Multi-c
14、ore,万兆 安全平台,FW/VPN/UTM/IPS/.,EAD/Anti-Virus.,SecCenter/SecBlade/ACG.,CRM,ERP,OA,SCM,P2P,WEB2.0,.,IT 应用,远程安全接入,边界防护,安全统一管理平台,内网控制,行为监管,数据中心保护,五大解决方案,SecCenter,大型分支,SecPath 防火墙,中小型分支,IPSec VPN,IPSec+GRE VPN,移动用户,BIMS,SSL VPN,合作伙伴,IPSec VPN,VPN Manager,SecPath 防火墙,SecPath 防火墙,SecPath 防火墙,SecPath 防火墙,安全
15、管理平台,VPN是成本最低、应用最广泛的接入技术,预计2008年14亿人民币空间-计世资讯,H3C远程安全接入解决方案,方案描述,SecPath系列防火墙:实现大型分支、中小型分支/合作伙伴、移动用户不同安全接入需求 SecCenter :实现全网安全统一管理 BIMS/VPN Manager :实现全网VPN部署和监控。,等保满足性可满足的一级技术目标,O1-6. 应具有对传输和存储数据进行完整性检测的能力 O1-8. 应具有合理使用和控制系统资源的能力 O1-9. 应具有设计合理、安全网络结构的能力 O1-14. 应具有对网络、系统和应用的访问进行控制的能力 O1-15. 应具有对数据、文
16、件或其他资源的访问进行控制的能力 O1-16. 应具有对用户进行标识和鉴别的能力 O1-17. 应具有保证鉴别数据传输和存储保密性的能力,等保满足性可满足的二级技术目标,O2-11. 应具有对传输和存储数据进行完整性检测的能力 O2-12. 应具有对硬件故障产品进行替换的能力 O2-13. 应具有系统软件、应用软件容错的能力 O2-14. 应具有软件故障分析的能力 O2-15. 应具有合理使用和控制系统资源的能力 O2-16. 应具有记录用户操作行为的能力 O2-22. 应具有对传输和存储中的信息进行保密性保护的能力 O2-24. 应具有限制网络、操作系统和应用系统资源使用的能力 O2-25.
17、 应具有能够检测对网络的各种攻击并记录其活动的能力,O2-27. 应具有对网络、系统和应用的访问进行控制的能力 O2-28. 应具有对数据、文件或其他资源的访问进行控制的能力 O2-29. 应具有对资源访问的行为进行记录的能力 O2-30. 应具有对用户进行唯一标识的能力 O2-31. 应具有对用户产生复杂鉴别信息并进行鉴别的能力 O2-35. 应具有保证鉴别数据传输和存储保密性的能力 O2-37. 应具有非活动状态一段时间后自动切断连接的能力 O2-38. 应具有网络边界完整性检测能力,等保满足性可满足的三级技术目标,O3-14. 应具有监测通信线路传输状况的能力 O3-15. 应具有及时恢
18、复正常通信的能力 O3-16. 应具有对传输和存储数据进行完整性检测和纠错的能力 O3-17. 应具有系统软件、应用软件容错的能力 O3-18. 应具有软件故障分析的能力 O3-19. 应具有软件状态监测和报警的能力 O3-20. 应具有自动保护当前工作状态的能力 O3-21. 应具有合理使用和控制系统资源的能力 O3-22. 应具有按优先级自动分配系统资源的能力 O3-33. 应具有使重要通信线路及时恢复的能力 O3-34. 应具有限制网络、操作系统和应用系统资源使用的能力 O3-35. 应具有合理分配、控制网络、操作系统和应用系统资源的能力 O3-36. 应具有能够检测、分析、响应对网络和
19、重要主机的各种攻击的能力,O3-38. 应具有对网络、系统和应用的访问进行严格控制的能力 O3-39. 应具有对数据、文件或其他资源的访问进行严格控制的能力 O3-44. 应具有保证鉴别数据传输和存储保密性的能力 O3-45. 应具有对用户进行唯一标识的能力 O3-51. 应具有对传输和存储中的信息进行保密性保护的能力 O3-52. 应具有防止加密数据被破解的能力 O3-53. 应具有路由选择和控制的能力 O3-54. 应具有信息源发的鉴别能力 O3-55. 应具有通信数据完整性检测和纠错能力 O3-57. 应具有持续非活动状态一段时间后自动切断连接的能力 O3-58. 应具有基于密码技术的抗
20、抵赖能力 O3-59. 应具有防止未授权下载、拷贝软件或者文件的能力 O3-61. 应具有切断非法连接的能力 O3-62. 应具有重要数据和程序进行完整性检测和纠错能力 O3-66. 应具有保证重要业务系统及时恢复运行的能力,等保满足性可满足的四级技术目标,O4-15. 应具有监测通信线路传输状况的能力 O4-21. 应具有合理使用和控制系统资源的能力 O4-22. 应具有按优先级自动分配系统资源的能力 O4-23. 应具有对传输和存储数据进行完整性检测和纠错的能力 O4-36. 应具有使重要通信线路及时恢复的能力 O4-37. 应具有限制网络、操作系统和应用系统资源使用的能力 O4-38.
21、应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力 O4-39. 应具有合理分配、控制网络、操作系统和应用系统资源的能力 O4-41. 应具有对网络、系统和应用的访问进行严格控制的能力 O4-42. 应具有对数据、文件或其他资源的访问进行严格控制的能力,O4-47. 应具有保证鉴别数据传输和存储保密性的能力 O4-48. 应具有对用户进行唯一标识的能力 O4-49. 应具有对同一个用户产生多重鉴别信息,其中一个是不可伪造的鉴别信息并进行多重鉴别的能力 O4-53. 应具有对传输和存储中的信息进行保密性保护的能力 O4-55. 应具有防止加密数据被破解的能力 O4-56. 应具
22、有路由选择和控制的能力 O4-57. 应具有信息源发的鉴别能力 O4-59. 应具有持续非活动状态一段时间后自动切断连接的能力 O4-60. 应具有基于密码技术的抗抵赖能力 O4-61. 应具有防止未授权下载、拷贝软件或者文件的能力 O4-63. 应具有切断非法连接的能力 O4-64. 应具有重要数据和程序进行完整性检测和纠错能力 O4-68. 应具有保证通信不中断的能力 O4-69. 应具有保证业务系统不中断的能力,方案涉及产品与等级保护对应关系,安全管理平台,SecCenter,SecPath 防火墙,交换机,DMZ,路由器,SecPath IPS,SecPath 防火墙,数据中心,Sec
23、Blade FW/IPS,方案描述,SecPath/SecBlade防火墙:提供2-4层包过滤、状态检测等技术实现边界隔离 SecPath/SecBlade IPS : 提供4-7层安全防护 SecCenter:对部署的防火墙、IPS以及其他不同厂商的产品进行统一安全管理。,外联单位,H3C边界防护解决方案,等保满足性可满足的一级技术目标,O1-8. 应具有合理使用和控制系统资源的能力 O1-9. 应具有设计合理、安全网络结构的能力 O1-13. 应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力 O1-14. 应具有对网络、系统和应用的访问进行控制的能力 O1-15. 应具有对
24、数据、文件或其他资源的访问进行控制的能力 O1-16. 应具有对用户进行标识和鉴别的能力 O1-17. 应具有保证鉴别数据传输和存储保密性的能力 O1-18. 应具有对恶意代码的检测、阻止和清除能力,等保满足性可满足的二级技术目标,O2-15. 应具有合理使用和控制系统资源的能力 O2-16. 应具有记录用户操作行为的能力 O2-25. 应具有能够检测对网络的各种攻击并记录其活动的能力 O2-26. 应具有发现所有已知漏洞并及时修补的能力 O2-27. 应具有对网络、系统和应用的访问进行控制的能力 O2-28. 应具有对数据、文件或其他资源的访问进行控制的能力 O2-32. 应具有对恶意代码的
25、检测、阻止和清除能力 O2-33. 应具有防止恶意代码在网络中扩散的能力 O2-34. 应具有对恶意代码库和搜索引擎及时更新的能力 O2-38. 应具有网络边界完整性检测能力,等保满足性可满足的三级技术目标,O3-21. 应具有合理使用和控制系统资源的能力 O3-34. 应具有限制网络、操作系统和应用系统资源使用的能力 O3-35. 应具有合理分配、控制网络、操作系统和应用系统资源的能力 O3-36. 应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力 O3-37. 应具有发现所有已知漏洞并及时修补的能力 O3-38. 应具有对网络、系统和应用的访问进行严格控制的能力 O3-39. 应
26、具有对数据、文件或其他资源的访问进行严格控制的能力 O3-40. 应具有对资源访问的行为进行记录、分析并响应的能力 O3-41. 应具有对恶意代码的检测、阻止和清除能力 O3-42. 应具有防止恶意代码等在网络中扩散的能力 O3-43. 应具有对恶意代码库和搜索引擎及时更新的能力 O3-53. 应具有路由选择和控制的能力 O3-54. 应具有信息源发的鉴别能力 O3-59. 应具有防止未授权下载、拷贝软件或者文件的能力 O3-60. 应具有网络边界完整性检测能力 O3-61. 应具有切断非法连接的能力,等保满足性可满足的四级技术目标,O4-21. 应具有合理使用和控制系统资源的能力 O4-22
27、. 应具有按优先级自动分配系统资源的能力 O4-37. 应具有限制网络、操作系统和应用系统资源使用的能力 O4-38. 应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力 O4-39. 应具有合理分配、控制网络、操作系统和应用系统资源的能力 O4-40. 应具有发现所有已知漏洞并及时修补的能力 O4-41. 应具有对网络、系统和应用的访问进行严格控制的能力 O4-42. 应具有对数据、文件或其他资源的访问进行严格控制的能力 O4-44. 应具有对恶意代码的检测、集中分析、阻止和清除能力 O4-45. 应具有防止恶意代码在网络中扩散的能力 O4-46. 应具有对恶意代码库和搜索
28、引擎及时更新的能力 O4-47. 应具有保证鉴别数据传输和存储保密性的能力 O4-56. 应具有路由选择和控制的能力 O4-57. 应具有信息源发的鉴别能力 O4-61. 应具有防止未授权下载、拷贝软件或者文件的能力 O4-62. 应具有网络边界完整性检测能力 O4-63. 应具有切断非法连接的能力,方案涉及产品与等级保护对应关系,H3C内网控制解决方案组成,SecPath 防火墙,EAD,EAD,EAD,SecPath IPS,SecBlade,安全管理中心SecCenter,智能网管中心iMC,安全管理平台,H3C内网控制解决方案,终端接入软件EAD:进行身份认证和和终端安全状态评估安全防
29、护设备防火墙/IPS:阻断内网攻击,同时上报安全管理平台,并与之联动安全管理SecCenter/iMC:对网络和安全设备统一管理,并提供整网审计报告,等保满足性可满足的一级技术目标,O1-13. 应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力 O1-14. 应具有对网络、系统和应用的访问进行控制的能力 O1-15. 应具有对数据、文件或其他资源的访问进行控制的能力 O1-16. 应具有对用户进行标识和鉴别的能力 O1-18. 应具有对恶意代码的检测、阻止和清除能力,等保满足性可满足的二级技术目标,O2-15. 应具有合理使用和控制系统资源的能力 O2-16. 应具有记录用户操
30、作行为的能力 O2-17. 应具有对用户的误操作行为进行检测和报警的能力 O2-24. 应具有限制网络、操作系统和应用系统资源使用的能力 O2-25. 应具有能够检测对网络的各种攻击并记录其活动的能力 O2-26. 应具有发现所有已知漏洞并及时修补的能力 O2-27. 应具有对网络、系统和应用的访问进行控制的能力 O2-28. 应具有对数据、文件或其他资源的访问进行控制的能力 O2-29. 应具有对资源访问的行为进行记录的能力 O2-30. 应具有对用户进行唯一标识的能力 O2-31. 应具有对用户产生复杂鉴别信息并进行鉴别的能力 O2-32. 应具有对恶意代码的检测、阻止和清除能力 O2-3
31、3. 应具有防止恶意代码在网络中扩散的能力 O2-34. 应具有对恶意代码库和搜索引擎及时更新的能力,等保满足性可满足的三级技术目标,O3-19. 应具有软件状态监测和报警的能力 O3-21. 应具有合理使用和控制系统资源的能力 O3-22. 应具有按优先级自动分配系统资源的能力 O3-24. 应具有记录用户操作行为和分析记录结果的能力 O3-34. 应具有限制网络、操作系统和应用系统资源使用的能力 O3-35. 应具有合理分配、控制网络、操作系统和应用系统资源的能力 O3-36. 应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力 O3-37. 应具有发现所有已知漏洞并及时修补的能力
32、 O3-38. 应具有对网络、系统和应用的访问进行严格控制的能力 O3-39. 应具有对数据、文件或其他资源的访问进行严格控制的能力 O3-40. 应具有对资源访问的行为进行记录、分析并响应的能力,O3-41. 应具有对恶意代码的检测、阻止和清除能力 O3-42. 应具有防止恶意代码等在网络中扩散的能力 O3-43. 应具有对恶意代码库和搜索引擎及时更新的能力 O3-45. 应具有对用户进行唯一标识的能力 O3-46. 应具有对同一个用户产生多重鉴别信息并进行多重鉴别的能力 O3-47. 应具有对硬件设备进行唯一标识的能力 O3-48. 应具有对硬件设备进行合法身份确定的能力 O3-49. 应
33、具有检测非法接入设备的能力 O3-54. 应具有信息源发的鉴别能力 O3-58. 应具有基于密码技术的抗抵赖能力 O3-59. 应具有防止未授权下载、拷贝软件或者文件的能力 O3-61. 应具有切断非法连接的能力,等保满足性可满足的四级技术目标,O4-21. 应具有合理使用和控制系统资源的能力 O4-22. 应具有按优先级自动分配系统资源的能力 O4-25. 应具有记录用户操作行为和分析记录结果的能力 O4-27. 应具有安全机制失效的自动检测和报警能力 O4-28. 应具有检测到安全机制失效后恢复安全机制的能力 O4-37. 应具有限制网络、操作系统和应用系统资源使用的能力 O4-38. 应
34、具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力 O4-39. 应具有合理分配、控制网络、操作系统和应用系统资源的能力 O4-40. 应具有发现所有已知漏洞并及时修补的能力 O4-41. 应具有对网络、系统和应用的访问进行严格控制的能力 O4-42. 应具有对数据、文件或其他资源的访问进行严格控制的能力 O4-43. 应具有对资源访问的行为进行记录、集中分析并响应的能力,O4-44. 应具有对恶意代码的检测、集中分析、阻止和清除能力 O4-45. 应具有防止恶意代码在网络中扩散的能力 O4-46. 应具有对恶意代码库和搜索引擎及时更新的能力 O4-47. 应具有保证鉴别数据传
35、输和存储保密性的能力 O4-48. 应具有对用户进行唯一标识的能力 O4-49. 应具有对同一个用户产生多重鉴别信息,其中一个是不可伪造的鉴别信息并进行多重鉴别的能力 O4-50. 应具有对硬件设备进行唯一标识的能力 O4-51. 应具有对硬件设备进行合法身份确定的能力 O4-52. 应具有检测非法接入设备的能力 O4-56. 应具有路由选择和控制的能力 O4-57. 应具有信息源发的鉴别能力 O4-61. 应具有防止未授权下载、拷贝软件或者文件的能力 O4-63. 应具有切断非法连接的能力,方案涉及产品与等级保护对应关系,SecBlade AFC,SecBlade IPS,WEB 区,应用区
36、,数据库区,SecPath ASE,核心交换,汇聚交换,SecBlade 防火墙,应用优化,安全防护,SecCenter,安全管理平台,iMC,数据中心保护解决方案,方案描述,SecBlade AFC:彻底清除DDoS攻击 SecBlade防火墙/IPS:有效防范27层攻击 SecPath ASE:510倍提升服务器响应速度和处理能力 SecCenter/iMC:实现服务器、设备的统一安全管理,等保满足性可满足的一级技术目标,O1-13. 应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力 O1-14. 应具有对网络、系统和应用的访问进行控制的能力 O1-15. 应具有对数据、文
37、件或其他资源的访问进行控制的能力 O1-18. 应具有对恶意代码的检测、阻止和清除能力,等保满足性可满足的二级技术目标,O2-15. 应具有合理使用和控制系统资源的能力 O2-24. 应具有限制网络、操作系统和应用系统资源使用的能力 O2-25. 应具有能够检测对网络的各种攻击并记录其活动的能力 O2-26. 应具有发现所有已知漏洞并及时修补的能力 O2-27. 应具有对网络、系统和应用的访问进行控制的能力 O2-28. 应具有对数据、文件或其他资源的访问进行控制的能力 O2-32. 应具有对恶意代码的检测、阻止和清除能力 O2-33. 应具有防止恶意代码在网络中扩散的能力 O2-34. 应具
38、有对恶意代码库和搜索引擎及时更新的能力,等保满足性可满足的三级技术目标,O3-34. 应具有限制网络、操作系统和应用系统资源使用的能力 O3-35. 应具有合理分配、控制网络、操作系统和应用系统资源的能力 O3-36. 应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力 O3-37. 应具有发现所有已知漏洞并及时修补的能力 O3-38. 应具有对网络、系统和应用的访问进行严格控制的能力 O3-39. 应具有对数据、文件或其他资源的访问进行严格控制的能力 O3-40. 应具有对资源访问的行为进行记录、分析并响应的能力 O3-41. 应具有对恶意代码的检测、阻止和清除能力 O3-42. 应
39、具有防止恶意代码等在网络中扩散的能力 O3-43. 应具有对恶意代码库和搜索引擎及时更新的能力,等保满足性可满足的四级技术目标,O4-37. 应具有限制网络、操作系统和应用系统资源使用的能力 O4-38. 应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力 O4-39. 应具有合理分配、控制网络、操作系统和应用系统资源的能力 O4-40. 应具有发现所有已知漏洞并及时修补的能力 O4-41. 应具有对网络、系统和应用的访问进行严格控制的能力 O4-42. 应具有对数据、文件或其他资源的访问进行严格控制的能力 O4-44. 应具有对恶意代码的检测、集中分析、阻止和清除能力 O4
40、-45. 应具有防止恶意代码在网络中扩散的能力 O4-46. 应具有对恶意代码库和搜索引擎及时更新的能力,方案涉及产品与等级保护对应关系,控制台,SecCenter,SecPath IPS,SecPath防火墙,交换机,数据中心,内部网络,SecPath ACG,安全管理平台,方案描述,ACG:对P2P应用进行精确识别和控制,保护带宽资源; ACG:对IM、网络游戏、炒股、非法网站访问等行为进行识别和控制,提高工作效率 SecCenter:对ACG上报的安全事件进行深入分析并输出审计报告,对非法行为进行追溯,H3C行为监管解决方案,等保满足性可满足的一级技术目标,O1-14. 应具有对网络、系
41、统和应用的访问进行控制的能力 O1-15. 应具有对数据、文件或其他资源的访问进行控制的能力 O1-16. 应具有对用户进行标识和鉴别的能力,等保满足性可满足的二级技术目标,O2-15. 应具有合理使用和控制系统资源的能力 O2-16. 应具有记录用户操作行为的能力 O2-24. 应具有限制网络、操作系统和应用系统资源使用的能力 O2-25. 应具有能够检测对网络的各种攻击并记录其活动的能力 O2-27. 应具有对网络、系统和应用的访问进行控制的能力 O2-28. 应具有对数据、文件或其他资源的访问进行控制的能力 O2-29. 应具有对资源访问的行为进行记录的能力 O2-30. 应具有对用户进
42、行唯一标识的能力 O2-31. 应具有对用户产生复杂鉴别信息并进行鉴别的能力,等保满足性可满足的三级技术目标,O3-21. 应具有合理使用和控制系统资源的能力 O3-22. 应具有按优先级自动分配系统资源的能力 O3-24. 应具有记录用户操作行为和分析记录结果的能力 O3-34. 应具有限制网络、操作系统和应用系统资源使用的能力 O3-35. 应具有合理分配、控制网络、操作系统和应用系统资源的能力 O3-38. 应具有对网络、系统和应用的访问进行严格控制的能力 O3-39. 应具有对数据、文件或其他资源的访问进行严格控制的能力 O3-40. 应具有对资源访问的行为进行记录、分析并响应的能力
43、O3-45. 应具有对用户进行唯一标识的能力 O3-46. 应具有对同一个用户产生多重鉴别信息并进行多重鉴别的能力 O3-59. 应具有防止未授权下载、拷贝软件或者文件的能力 O3-61. 应具有切断非法连接的能力,等保满足性可满足的四级技术目标,O4-21. 应具有合理使用和控制系统资源的能力 O4-25. 应具有记录用户操作行为和分析记录结果的能力 O4-37. 应具有限制网络、操作系统和应用系统资源使用的能力 O4-39. 应具有合理分配、控制网络、操作系统和应用系统资源的能力 O4-41. 应具有对网络、系统和应用的访问进行严格控制的能力 O4-42. 应具有对数据、文件或其他资源的访
44、问进行严格控制的能力 O4-43. 应具有对资源访问的行为进行记录、集中分析并响应的能力 O4-48. 应具有对用户进行唯一标识的能力 O4-49. 应具有对同一个用户产生多重鉴别信息,其中一个是不可伪造的鉴别信息并进行多重鉴别的能力 O4-61. 应具有防止未授权下载、拷贝软件或者文件的能力 O4-63. 应具有切断非法连接的能力 O4-65. 应具有对敏感信息进行标识的能力 O4-66. 应具有对敏感信息的流向进行控制的能力,方案涉及产品与等级保护对应关系,CDP连续数据保护解决方案,FC磁盘阵列,IX3000 /IX1000系列,IV5000,IV5000,IX5000系列,IX3000
45、系列,IX1000系列,生产卷 C,生产卷 A,生产卷 B,在线/近线存储,可达秒级的最佳数据恢复技术 自动连续快照保护,预防软灾难 完善的数据库一致性技术 备份数据立即检查及恢复验证 支持广域网保护,可扩展为容灾模式,等保满足性可满足的技术目标,满足的一级技术指标 O1-19. 应具有重要数据恢复的能力 满足的二级技术指标 O2-36. 应具有对存储介质中的残余信息进行删除的能力 O2-39. 应具有重要数据恢复的能力 满足的三级技术指标 O3-50. 应具有对存储介质中的残余信息进行删除的能力 O3-65. 应具有及时恢复重要数据的能力 O3-66. 应具有保证重要业务系统及时恢复运行的能
46、力 满足的四级技术指标 O4-54. 应具有对存储介质中的残余信息进行删除的能力 O4-67. 应具有迅速恢复重要数据的能力 O4-68. 应具有保证通信不中断的能力 O4-69. 应具有保证业务系统不中断的能力,视频监控与智能视频分析系统的集成 智能分析系统可以对实时图像的内容进行分析,分析图像中一个或多个人、物、车辆的移动轨迹,实现对警戒区闯入、遗留物、受保护物品移动、警戒区域人员徘徊、人群异常聚集、抢劫抢夺、打架斗殴等的自动检测。 还可以实现视频诊断、人流统计、事后图像超清晰处理等增值业务。 智能视频系统将自动分析结果反馈给H3C监控系统实现各项联动功能。,机房监控功能智能监控,等保满足
47、性可满足的技术目标,满足的三级技术指标 O3-29. 应具有实时监控机房内部活动的能力 O3-30. 应具有对物理入侵事件进行报警的能力 O3-32. 应具有对通信线路进行物理保护的能力 O3-33. 应具有使重要通信线路及时恢复的能力 满足的四级技术指标 O4-29. 应具有严格控制机房进出的能力 O4-30. 应具有防止设备、介质等丢失的能力 O4-31. 应具有严格控制机房内人员活动的能力 O4-32. 应具有实时监控机房内部活动的能力 O4-33. 应具有对物理入侵事件进行报警的能力 O4-34. 应具有控制接触重要设备、介质的能力 O4-35. 应具有对通信线路进行物理保护的能力 O
48、4-36. 应具有使重要通信线路及时恢复的能力,信息安全体系的管理框架,基础网络,数据中心,案例文档库,基础知识库,地理信息库,事件信息库,模型库,视频会议,图像接入,多媒体中心,语音调度,安全保障,防火墙,IPS,接入安全,病毒防护,统一管理平台,网络管理,数据管理,用户管理,视讯管理,安全管理,H3C智能安全管理中心:统一管理,支持近100家主流厂家设备及应用,包括防火墙/VPN、IDS、IPS、防病毒、路由器、交换机、操作系统、数据库等各类IT资源内部包含有各厂家的日志解析解析模块,转换成统一的日志格式,Syslog,NetStream,二进制日志,WMI、API,Netflow,防火墙日志,对应解析程序,对应解析程序,对应解析程序,对应解析程序,对应解析程序,对应解析程序,事件统一管理,整合各类安全资源为统一的安全联动方案,H3C智能安全管理中心: 智能联动,H3C iSPN实现面向业务的端到端安全保障,服务器,客户机,桌面安全,应用安全,技术平面,产品集成,智能安全渗透网络,端到端安全保障,解决方案,L2L7层深度安全技术,安全产品与网络产品的集成,集成了网络技术的安全产品,集成了安全技术的网络产品,数据中心保护解决方案,内网控制解决方案,边界防护解决方案,远程安全接入解决方案,管理平面,智能管理,统一基础安全管理,统一用户认证与授权,
