等保设计及产品对应

要求类别产品/措施部署效果区域边界安全边界访问控制1.防火墙产品2.安全隔离网闸产品防火墙：各安全区域边界，对进出边界数据流量进行控制，并与内网安全管理、入侵检测等进行防护联动；安全隔离网闸：互联网服务区与核心区边界，隔离非信任网络，保证电子政务平台的的高度隔离状态。边界完整性检查内网安全管理系统产品启用防非法外联模块，保持网络边界完整。边界入侵防范1.入侵防护系统（IPS）产品2.异常流量管理系统产品IPS：政务共享服务区、各政务处理服务区边界，防火墙设备内侧，拦截各类应用层入侵行为。异常流量管理系统：互联网服务区边界，阻止对web危害最大的DDoS攻击行为。边界安全审计启用边界安全设备的审计功能启用边界安全设备的日志审计功能，进行数据的日志记录与审计，并由安全管理中心统一管理。边界恶意代码防范AV防病毒网关产品部署于办公终端区边界、电子政务外网边界，在边界处进行恶意代码的清除。计算环境安全身份鉴别1.CA系统产品2.安全加固CA系统：采用CA证书进行完善的身份鉴别安全加固：安全配置用户名/口令强度、启用失败处理，启用SSH等措施加密管理数据。系统安全审计1.内网安全管理系统产品2.开发应用层审计功能内网安全管理系统：启用主机审计功能，进行主机行为审计；开发、改造应用系统的应用审计功能，进行应用层安全审计。入侵防范1. 入侵检测系统（IDS）产品2. 内网安全管理系统产品IDS：网络核心区，实时检测入侵行为，并与边界网关设备形成安全联动；内网安全管理系统：启用补丁分发模块，及时进行系统漏洞修复。主机恶意代码防范网络防病毒软件产品进行强制桌面病毒防范，并与AV网关采用不同厂家产品进行异构。强制访问控制安装安全操作系统，启用强制访问控制采用安全操作系统，启用系统强制访问控制，对应用系统的文件、数据库等资源的进行强制访问控制。软件容错1.软件容错设计2.代码审计应用系统软件设计时要充分考虑软件容错设计；进行代码审计，考察软件容错性设计。数据完整性与保密性1.CA系统产品2.应用系统开发数据校验与加密功能CA系统提供完备的数据完整性与保密性措施；应用软件自身开发采用消息摘要机制的数据校验与加密功能。备份与恢复1.本地备份2.异地备份建立本地备份机制，利用SAN网络进行数据备份，备份介质采用磁带，磁盘、光盘等；建立远程数据备份中心，实现异地数据备份。资源控制1. 应用安全管理系统产品（APM）2.安全加固部署应用安全管理系统（APM）：对应用资源进行资源监控与优化。安全加固：安全配置主机及应用系统：在登录、会话控制、系统资源监控与限定等方面进行配置。客体安全重用安全加固通过对操作系统及数据库进行安全加固配置，及时清除用户鉴别信息、目录、文件等敏感信息。抗抵赖1.CA系统产品2.数字签名CA系统：采用数字签名进行抗抵赖设计。应用系统开发数字签名功能实现抗抵赖。通信网络安全网络结构安全1.产品性能满足峰值流量要求2.VLAN划分3.带宽管理网络性能：网络设备的选择需满足业务处理的峰值流量需要；划分VLAN：根据业务属性、部门等因素进行VLAN划分；带宽控制；根据业务重要次序设置带宽优先级；安全审计安全审计产品对网络数据进行相应安全审计。实现日志采集、储存、分析各系统的人员操作维护信息，及时发现非法、越权操作，同时，可对高危操作实现实时分析、实时监控和阻断。网络设备防护安全加固安全配置用户名/口令强度、启用失败处理，启用SSH等措施加密管理数据通信完整性加密机产品IP加密机（VPN）提供完备的数据完整性措施。采用消息摘要机制进行完整性校验。通信保密性加密机产品IP加密机（VPN）提供完备的数据保密性措施。采用数据价目进行通信保密。网络可信接入内网安全管理系统产品启用安全准入控制功能，确保经过认证的主机才能接入到网络，实现网络可信接入控制。安全管理中心安全管理安全管理中心通过安全管理员为安全计算环境、安全区域边界、安全通信网络配置统一的安全策略；对系统中的主体、客体进行统一标记；对全网的安全设备、安全事件、安全策略、安全运维进行统一集中的监控、调度、预警和管理。对安全管理员进行身份鉴别，根据权限进行操作及操作审计。审计管理安全管理中心通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理