合规解决方案

合规解决方案,暨绿盟等保一体机产品方案,目录,CONTENTS,01背景之法律、法规、标准02实施等保遇到的问题03产品介绍04产品核心功能05方案场景06产品特色与优势,背景之法律、法规、标准,什么是等级保护,国家制定统一的规范和标准信安标委牵头，网信办、工信部、公安部等部委共同制定的针对网络安全等级保护安全设计技术要求的国家标准；对网络安全分等级实行安全保护针对不同等级的安全保护对象采用不同的合规标准；对等级保护实施进行监管和管理公安机关（网安大队）负责信息安全等级保护工作的监督、检查、指导和行政处罚；,等级保护发展,安全法与等级保护,等级保护2.0GB/T22239-2019信息安全技术网络安全等级保护基本要求,网络基础设置、重要信息系统、网站；大数据中心、云计算平台、物联网、工控系统；公众服务平台；,监管范围,2019年05月13日，2.0系列标准正式发布2019年12月01日，2.0系列标准正式实施,中华人民共和国网络安全法第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。,法律要求,151号令,151号令公安机关互联网安全监督检查规定,（一）提供互联网接入、互联网数据中心、内容分发、域名服务的；（二）提供互联网信息服务的；（三）提供公共上网服务的；（四）提供其他互联网服务的；,监管范围,第十条公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况，依照国家有关规定和标准，对下列内容进行监督检查：（七）是否履行法律、行政法规规定的网络安全等级保护等义务。,法规要求,2018年09月5日，公安部部长办公室会议通过2018年11月1日，151号令实施,等级保护系列标准,GB/T22239-2019代替GB/T22239一2008信息安全技术网络安全等级保护基本要求,GB/T28448-2019代替GB/T28448一2012信息安全技术网络安全等级保护测评要求,GB/T25070-2019代替GB/T25070-2010信息安全技术网络安全等级保护安全设计技术要求,GB/T28449-2018代替GB/T28449-2012信息安全技术网络安全等级保护测评过程指南,等保1.0vs2.0,新安全风险APT攻击无线安全内容安全个人信息,云计算移动互联网工控物联网大数据,一个中心三重防护,可信计算的安全要求,测评结果打破60分合格的底线（中-75分以上）,安全物理环境,安全通信网络,安全区域边界,安全计算环境,安全管理中心,物理安全,网络安全,主机安全,应用安全,数据安全,等保1.0,等保2.0,技术要求,管理要求,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,安全管理制度,安全管理机构,安全管理人员,安全建设管理,安全运维管理,信息系统,网络基础设施、信息系统、网站、互联网企业,测评对象,1.0,2.0,实施等保遇到的问题,02,等级保护标准动作,定级、备案,建设整改,等保测评,监督检查,主体：信息系统运营、使用单位对象：安网监部门目的：申请等级备案,主体：安全服务公司对象：使用单位的系统目的：系统等级建设,主体：等保测评公司对象：等级业务系统目的：测评出具报告,主体：公安网监督查部门对象：申报单位目的：监督检查定级及建设,传统方案,边界防护建设-下一代防火墙-入侵检测-抗DDos系统-Web应用防护系统安全运维建设-运维审计（堡垒机）-数据库审计-日志审计-漏洞扫描终端防护建设-主机杀毒与管理-入侵检测-抗DDos系统-Web应用防护系统,一个建设方案需要至少4台+设备,实施等级保护遇到的问题,方案复杂需要多台，多种安全产品组合才能完成,费用高为了过等保，需要购买大量的安全设备，费用高昂,扩展难硬件堆叠无法弹性应对业务变化要求,实施周期长需要实施不同厂商，不同种类的产品,运维成本高不同厂家无联动，安全事件无法进行有效响应和闭环,网络改造难安全设备多，难于部署进原有环境，无法整体配置,产品介绍,03,绿盟等级保护2.0系列解决方案,什么是等保一体机,为等保通用场景提供一套实用有效的一体化解决方案,防火墙,入侵防御,内容检测,网络防病毒,日志审计,堡垒机,漏洞扫描,配置核查,授权管理,主机防护,一台设备，包含等保所要求的安全能力,Web扫描,+,扩展组件,方案架构,网络安全访问控制安全审计边界完整性入侵检测恶意代码防范主机安全身份鉴别安全标记访问控制安全审计应用安全身份鉴别安全标记访问控制数据安全数据保密性备份和恢复,等保要求,安全通信网络网络架构通信传输可信验证安全区域边界边界防护访问控制入侵防范恶意代码安全审计安全计算环境身份鉴别访问控制安全审计安全管理中心系统管理审计管理集中管控,等保2.0,等保1.0,等保要求,以一体化，服务化的方式,三级套餐,二级套餐,交付,安全组件1,下一代防火墙NGFW,远程安全评估系统RSAS,安全审计-堡垒机SAS-H,安全组件2,日志审计系统LAS,数据库审计系统DAS,终端安全系统V9Kingsoftv9,基于业务形态的接口设计,管理口,转发口,代理口,一体机的集中管理各个虚拟安全设备的管理（端口映射）,流量转发口防火墙业务的流量入口与出口配置接口类型与引流IP地址,流量镜像接口数据库审计的业务接口只配置接口类型,监听口,流量代理接口堡垒机、扫描器和金山安全的业务接口只配置接口类型（金山除外）,统一管理,安全能力统一虚拟化-集成NF、RSAS、SAS-H、Kingsoft、LAS、DAS虚拟安全设备-统一虚拟化、实例化安全能力统一管理-基于证书授权自动启动安全设备-提供各安全设备统一访问接口安全设备统一授权-一体机授权，控制安全设备启用-ESPC对安全设备进行集中授权,授权管理,授权两步走,第一步平台授权,第二步安全组件授权,导入平台证书，根据证书内容，启动授权的安全组件镜像并授权对应的功能模块和规格,安全组件，通过授权管理中心的集中授权模块进行统一证书下发和管理，包含NF、SAS-H、RSAS,说明：当前我司的虚拟化产品主要采用ESPC（企业安全中心）的集中授权模块进行统一授权。,产品核心功能,04,下一代防火墙NF,安全通信网络防护-安全域划分与隔离-带宽保障-高可用性-传输保证-VPN,核心特性防火墙支持透明、路由等网络接入；支持划分不同的安全区域，并按照不同的区域进行访问控制隔离；支持流量分析与管理，高峰时期保证重要业务的访问；支持高可用性，系统故障可切换到备份设备，保证网络冗余；支持VPN，多种加密算法保证数据传输的完整性和保密性。,下一代防火墙NF,安全区域边界防护-访问控制策略-基于协议和会话的控制-攻击/危险行为识别-病毒事件识别-行为、访问记录审计,核心特性防火墙支持一体化访问控制策略；访问控制策略支持源目的IP、端口、服务、应用、时间、安全模板等一体化配置；支持入侵防护（IPS）和病毒检测（AV），提供远程扫描、暴力破解、木马后门、蠕虫病毒、恶意文件等检测；支持内容过滤（SCM），对网站访问、邮件发送、言论发表、即时通信等行为的审计和记录。,安全审计（堡垒机）SAS-H,安全计算环境防护-账号管理与鉴别-账号访问控制策略-运维操作审计记录,核心特性堡垒机支持运维托管，可基于IP、时间、设备账号、命令关键字等组合策略，授权用户访问目标设备；支持字符、文件、图形、数据库等运维审计；支持多角色划分，用户认证策略和密码策略等；支持不同类型设备和不同类型设备账号的托管。,远程安全评估系统RSAS,安全计算环境防护-关闭不需要的端口、服务-发现已知漏洞并修补,核心特性远程安全评估系统支持安全漏洞、安全配置问题、应用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、服务、端口；支持全方位的安全漏洞、安全配置、应用系统安全漏洞扫描，通过绿盟科技专利安全风险计算方法，对网络系统中多个方面的安全脆弱性统一进行分析和风险评估；支持识别非标准端口上的应用服务类型，并进一步进行漏洞检测。,远程安全评估系统RSAS,安全管理制度-协助网络管理人员进行资产盘点和配置核查,核心特性配置核查：支持不修改系统配置，即可核查个类型设备和产品，且不影响系统工作资产管理：以资产为核心的风险管理，可基于资产管理进行全网风险分析,终端管理系统KingsoftV9,安全计算环境防护-重要入侵行为检测，事件严重时发出告警-恶意代码防范,核心特性提供终端安全保障，分为安全防御、主机防火墙、漏洞加固、勒索病毒、安全审计、XP防护盾。安全防御体系包括本地、边界及云端防护，全链路关联分析追踪，能够精准识别、分析及响应病毒传播、0day攻击及APT攻击等异常行为。内置了已申请专利基于HIPS的勒索者主动防御机制，蠕虫病毒、勒索病毒、宏病毒等已知未知威胁防范无忧。具有日志审计功能，能够对攻击、病毒及漏洞等终端运行信息以及上网行为、U盘使用及文件操作等终端行为信息进行统一收集、汇总并有效管理，形成图形化的审计报告,终端管理系统为第三方产品金山V9,终端管理系统KingsoftV9,安全计算环境防护-关闭不需要的端口、服务-发现已知漏洞并修补-病毒库统一升级,核心特性主机防火墙，(网络管控)策略，能有效防护全网终端免受网络安全攻击；通过漏洞加固能够掌握全网终端漏洞情况及补丁修复，实时扫描记录终端的操作系统及常用应用软件漏洞，快速掌握全网终端漏洞情况及风险状况；支持根据漏洞危险级别一键修复，或根据企业实际情况进行补丁忽略设置；可以制订详细升级策略下发任务进行升级,终端管理系统为第三方产品金山V9,日志审计系统LAS,安全管理中心建设-分散在各个设备上的审计数据进行收集汇总和集中分析-审计记录的留存时间符合法律法规要求,核心特性数据采集范围，支持多种类型设备数据采集，不限于我司安全设备、交换路由设备、操作系统、应用系统；数据存储，支持海量异构日志格式进行统一化处理并统一保存；日志备份，系统应支持设置日志存储备份策略，可设置备份周期、备份日志类型；系统应支持基于事件分类的告警规则，支持短信、声音、邮件、界面提示等多种告警方式,数据库审计系统,安全计算环境防护-数据库表的安全审计-审计记录的留存时间符合法律法规要求,核心特性数据库审计类型，支持主流数据库类型审计，如SQLServer、Informix、MySQL、Oracle、DB2、Sybase等；支持国产数据库审计，例如达梦DM、人大金仓、南大通用、神通OSCAR等；支持用户关联应用类型的审计；支持数据库自动发现，无需添加；审计内容丰富，包含会话终端信息、会话主机信息、操作信息（DDL、DML、DCL等）、操作时间、执行时长、操作成功与失败、受影响行数、操作对象（表、列、存储过程名称）、SQL语句支持加密信道审计，支持MySQL5.6等SSL/TSL加密信道,方案场景,05,等级保护场景等保安全架构,网络安全战略规划目标,国家网络安全法律法规政策体系,国家网络安全等级保护政策标准体系,总体安全策略,网络安全综合防御体系,国家网络安全等级保护制度,等级保护对象网络基础设施、信息系统、大数据、物联网云平台、工控系统、移动互联网、智能设备等,等级保护安全架构,安全管理中心,等保一体机,日志审计中心,设备管理中心,下一代防火墙,运维审计堡垒机,远程安全评估,终端安全系统,数据库审计系统,”一个中心三重防护“,安全能力模板交付,增强级安全能力模板,NGFW,IPS,网络防病毒,上网行为管理,堡垒机,日志审计,漏洞扫描,一体化管理，一体化运营,基本级安全能力模板,NGFW,IPS,堡垒机,日志审计,漏洞扫描,+扩展能力,+扩展能力,主机防病毒,边界防护,运维管理,终端安全,NGFW,网络防病毒,IPS,上网行为管理,堡垒机,漏洞扫描,数据库审计,主机防病毒,日志审计,单一安全能力交付,安全能力模板交付,说明：产品授权基于选择的安全能力模板，授权不同的安全组件/模块。,等保配置指导,等级保护技术要求,安全设备,安全功能,安全建设场景部署篇,部署1业务侧串联接入,核心交换机,Internet,串联示意图,等保一体机部署于业务侧。,等保一体机,转发业务NF业务一体机物理接口类型为转发口NF部署可以为透明、路由等模式代理业务RSASSAS-HLASKingsoftV9一体机物理接口类型为代理口RSASSAS-HLASKingsoftV9共用一个接口实际的业务IP，在各安全组件中配置监听业务DAS业务一体机物理接口类型为监听口对接的交换机配置镜像模式，DAS审计镜像流量管理业务一体机及各安全组件管理一体机物理接口类型为管理口HTTPS访问平台，基于代理，跳转到不同端口的安全组件,业务侧串联，主要针对于转发业务的串联。,部署篇1业务侧接入,优势-网络适应性强，可适用于各种网络部署缺点-单点故障，会影响业务访问；-规避措施：接口支持Bypass或者部署双机场景,安全建设场景部署篇,部署2网关接入,核心交换机,Internet,办公区,路由/网关示意图,一体机可部署于核心，路由接入，也可直接部署在出口，充当出口网关，可支持NAT和VPN,等保一体机,转发业务NF业务一体机物理接口类型为转发口NF部署支持路由模式，可配置NAT和VPN代理业务RSASSAS-HLASKingsoftV9一体机物理接口类型为代理口RSASSAS-HLASKingsoftV9共用一个接口实际的业务IP，在各安全组件中配置监听业务DAS业务一体机物理接口类型为监听口对接的交换机配置镜像模式，DAS审计镜像流量管理业务一体机及各安全组件管理一体机物理接口类型为管理口HTTPS访问平台，基于代理，跳转到不同端口的安全组件,网关接入，主要针对于NF部署于网关的场景。,部署篇2网关接入,优势-适用于无网关设备的建设方案，充当网关设备；-可做NAT映射和VPN接入。缺点-单点故障，会影响全部流量访问；-规避措施，出口环境建议使用双机场景。,安全建设场景部署篇,部署3旁路接入,核心交换机,Internet,办公区,单臂旁挂示意图,等保一体机,通过SW的策略路由将流量引入一体机，一体机通过策略路由再回注。,转发业务NF业务一体机物理接口类型为转发口对端交换配置策略路由，将流量引入一体机代理业务RSASSAS-HLASKingsoftV9一体机物理接口类型为代理口RSASSAS-HLASKingsoftV9共用一个接口实际的业务IP，在各安全组件中配置监听业务DAS业务一体机物理接口类型为监听口对接的交换机配置镜像模式，DAS审计镜像流量管理业务一体机及各安全组件管理一体机物理接口类型为管理口HTTPS访问平台，基于代理，跳转到不同端口的安全组件,旁路接入，主要针对于旁路接入网络的场景。,部署篇3旁路接入,优势-不改变原有的网络结构；-设备单点故障时，由于策略路由不可达，切换到静态路由，不影响业务访问缺点-网络部署局限，需要三层交换机，支持基于接口的策略路由-工程实施难度大，对业务流量进行牵引,安全建设场景高可用篇,部署4双机部署,双机场景-可部署于业务侧，也可部署于网关；-可部署成透明双机，也可以部署成VRRP场景。双机优势-单点故障时，可切换到备机，保障业务访问；-满足等保三级要求，做到关键网络设备硬件冗余。,安全建设场景运维篇,设备管理-B/S架构，支持https访问，默认使用443端口；-首次登录需要修改密码；-对设备硬件信息，如内存、CPU、磁盘和温度进行监控；-安全组件设备，复用一体机管理口，使用不同的端口；镜像管理-使用KVM的虚拟化技术；-安全镜像无需人为干预，根据授权，自动启动对应的虚拟化镜像；,运维篇授权管理,首次授权-按照初始化向导，完成一体机产品授权；-ESPC自身授权、ESPC集中授权模块向一体机安全组件授权（金山、DAS和LAS除外）授权更新-设备授权到期，可证书管理页面，完成一体机证书重新导入；-完成ESPC授权和各安全组件授权,运维篇账号管理,账号管理-默认账号包括管理员账号和审计员账号；-审计员账号默认不启用，需启用后方可登录；-用户可自定义账号和账号类型账号参数-可设置账号的登录失败策略：锁定账号/锁定IP-设置登录空闲超时退出-外部认证服务器配置,运维篇日志管理,日志统一存储-一体机中的NF和SAS-H日志可通过安全中心，将日志发送到LAS中统一存储；-DAS自带硬盘，可存储审计日志，也通过syslog传送至LAS；日志外发,方案特色与价值,06,特色1配置简单,特色2设计独特的安全概览,等保要做什么？安全能力概览在结构上和等保分类、测评项完成一致,等保要怎么做？对每个测评项都给出配置说明可以直接跳转到配置页面，完成相关配置,当前已经配了哪些？当前的配置情况，哪些配置了，哪些还没有配置，一目了然,特色3灵活切换,等级保护定级,初始向导,等级保护套餐,产品优势,绿盟安全审计系统堡垒机,绿盟远程安全评估系统,IPS检测能力,EAL4+,IPV6Ready认证,CNNVD兼容证书,2018Gartner防火墙亚太区,NSSLAB认证,4500+规则,插件数48000+,国内唯一入选Gartner,2014中国IT运