信息安全等级保护解决方案资料

1、地市电子政务网络的信息安全等级保护（一）一、背景自从国家启动政府信息化建设以来，各地市政府大都已经完成了从无到有的电子政务网络建设。但是，初期的地市电子政务网连接范围一般较小，纵向上，没有连接起区县一级的 政府办公网络；横向上，没有连接起各局、委、办的办公网络；相互之间缺乏有机联系，形 成了信息孤岛，导致无论是政府内部办公还是公众服务，都存在沟通不畅、效率低的问题。 为了加强政府内部的交流、提高政府的整体办公效率和服务水平，许多地市已经开始规划、 建设具有更大连接范围、更快传输速度的大型电子政务网络。大型地市电子政务网络建设的基本目标是为各接入单位提供统一、优质的信息化传输平台。但与此同时，由

2、于接入人员的身份复杂（分属不同的行政部门），各部门对信息安全的要求也存在差异，所以电子政务网在为正常业务数据提供高速通路的同时，也有可能成为网络安全威胁快速扩散和蔓延的温床。这已经成为地市电子政务网络建设中需要考虑的头号问 题，换句话说：“大型地市电子政务网建设的好与不好，标准就是网络安全是否达标”。二、“等保”与电子政务网适逢其时的是，国家的相关部门已经制订了标准、规范，可以非常细致地指导地市电子政务网的“网络安全规划、建设和监管”。这个标准和规范就是“信息安全等级保护”。信息安全等级保护（简称“等保”）就是国家通过制订统一的标准，根据信息系统不同国家对不同等级的信息系5级，1级最低，5级最

3、高。3级保护要求。重要程度，有针对性开展保护工作， 分等级对信息系统进行保护, 统实行不同强度的监督管理。“等保”将信息系统的安全等级分为 例如，电子政务内网要达到 4级保护要求，电子政务外网要达到- .1if* irxil介枕席和公九列益IS家安全等级严朿硕:*;严靈损寓初别严业 st严级二级三纵p【l緇T杠纵7“等保”有具体的实施指南，把实施流程进行了细化，在其中的“安全规划设计阶段”“产品采购和工程实施阶段”、“运营管理和状态监控阶段”，H3C公司都能提供很好的服务和帮助，尤其是在安全建设规划、详细方案设计的过程中。子崔蹑坍宣立萨W地市电子政务网络的信息安全等级保护（二）H3C公司多年服

4、务于电子政务网，了解电子政务网运行中的安全需求，开发 了“五大安全解决方案”，分别是：远程安全接入解决方案、边界防护解决方 案、内网控制解决方案、数据中心保护解决方案和行为监管解决方案。这些解 决方案不是单一的产品，而是多产品的联动配合，能够响应“等保”中的许多 技术要求和管理要求，是落实“等保”的优秀解决方案。1. 远程安全接入解决方案XS5JJL安供说歼曾汙VPM5rcCenrsi- Mu：h： /t B二二 i5*eFatftIPSt<VSMFMh S j阳心 /rtntcrn<hSStyRMFr f7F移动用户>E :J，“十 S '1 >-!2门主*忙

5、翼警他滥*能够响应的等保要求：01-6.应具有对传输和存储数据进行完整性检测的能力01-8.应具有合理使用和控制系统资源的能力01-9.应具有设计合理、安全网络结构的能力01-14.应具有对网络、系统和应用的访问进行控制的能力01-15.应具有对数据、文件或其他资源的访问进行控制的能力01-16.应具有对用户进行标识和鉴别的能力01-17.应具有保证鉴别数据传输和存储保密性的能力02-11.应具有对传输和存储数据进行完整性检测的能力02-12.应具有对硬件故障产品进行替换的能力02-13.应具有系统软件、应用软件容错的能力02-14.应具有软件故障分析的能力02-15.应具有合理使用和控制系统

6、资源的能力02-16.应具有记录用户操作行为的能力02-22.应具有对传输和存储中的信息进行保密性保护的能力02-24.应具有限制网络、操作系统和应用系统资源使用的能力O2-25.应具有能够检测对网络的各种攻击并记录其活动的能力O2-27.应具有对网络、系统和应用的访问进行控制的能力O2-28.应具有对数据、文件或其他资源的访问进行控制的能力O2-29.应具有对资源访问的行为进行记录的能力O2-30.应具有对用户进行唯一标识的能力O2-31.应具有对用户产生复杂鉴别信息并进行鉴别的能力O2-35.应具有保证鉴别数据传输和存储保密性的能力O2-37.应具有非活动状态一段时间后自动切断连接的能力O

7、2-38.应具有网络边界完整性检测能力O3-14.应具有监测通信线路传输状况的能力O3-15.应具有及时恢复正常通信的能力O3-16.应具有对传输和存储数据进行完整性检测和纠错的能力O3-17.应具有系统软件、应用软件容错的能力O3-18.应具有软件故障分析的能力O3-19.应具有软件状态监测和报警的能力O3-20.应具有自动保护当前工作状态的能力O3-21.应具有合理使用和控制系统资源的能力O3-22.应具有按优先级自动分配系统资源的能力O3-33.应具有使重要通信线路及时恢复的能力O3-34.应具有限制网络、操作系统和应用系统资源使用的能力O3-35.应具有合理分配、控制网络、操作系统和应

8、用系统资源的能力O3-36.应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力O3-38.应具有对网络、系统和应用的访问进行严格控制的能力O3-39.应具有对数据、文件或其他资源的访问进行严格控制的能力O3-44.应具有保证鉴别数据传输和存储保密性的能力O3-45.应具有对用户进行唯一标识的能力O3-51.应具有对传输和存储中的信息进行保密性保护的能力O3-52.应具有防止加密数据被破解的能力O3-53.应具有路由选择和控制的能力O3-54.应具有信息源发的鉴别能力O3-55.应具有通信数据完整性检测和纠错能力O3-57.应具有持续非活动状态一段时间后自动切断连接的能力O3-58.应具

9、有基于密码技术的抗抵赖能力O3-59.应具有防止未授权下载、拷贝软件或者文件的能力O3-61.应具有切断非法连接的能力O3-62.应具有重要数据和程序进行完整性检测和纠错能力O3-66.应具有保证重要业务系统及时恢复运行的能力O4-15.应具有监测通信线路传输状况的能力O4-21.应具有合理使用和控制系统资源的能力O4-22.应具有按优先级自动分配系统资源的能力O4-23.应具有对传输和存储数据进行完整性检测和纠错的能力O4-36.应具有使重要通信线路及时恢复的能力O4-37.应具有限制网络、操作系统和应用系统资源使用的能力O4-38.应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种

10、攻击的能力O4-39.应具有合理分配、控制网络、操作系统和应用系统资源的能力O4-41.应具有对网络、系统和应用的访问进行严格控制的能力O4-42.应具有对数据、文件或其他资源的访问进行严格控制的能力O4-47.应具有保证鉴别数据传输和存储保密性的能力O4-48.应具有对用户进行唯一标识的能力O4-49.应具有对同一个用户产生多重鉴别信息，其中一个是不可伪造的鉴别信息并进行多重鉴别的能力O4-53.应具有对传输和存储中的信息进行保密性保护的能力O4-55.应具有防止加密数据被破解的能力O4-56.应具有路由选择和控制的能力O4-57.应具有信息源发的鉴别能力04-59.应具有持续非活动状态一段

11、时间后自动切断连接的能力04-60.应具有基于密码技术的抗抵赖能力04-61.应具有防止未授权下载、拷贝软件或者文件的能力04-63.应具有切断非法连接的能力04-64.应具有重要数据和程序进行完整性检测和纠错能力04-68.应具有保证通信不中断的能力04-69.应具有保证业务系统不中断的能力cCenJef2. 边界防护解决方案堆：提悦2 4星包过血状态 檜潟窈弦术实現边界隔离1 th/S c cSfade IPS :拧佻4 FC安全訪护>3ccContor:对器曙 的防 火堵、IPS以及其他邢罔厂商 的产品追行统一安全簷瑾。L能够响应的等保要求：01-8.应具有合理使用和控制系统资源的

12、能力01-9.应具有设计合理、安全网络结构的能力01-13.应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力01-14.应具有对网络、系统和应用的访问进行控制的能力01-15.应具有对数据、文件或其他资源的访问进行控制的能力01-16.应具有对用户进行标识和鉴别的能力01-17.应具有保证鉴别数据传输和存储保密性的能力01-18.应具有对恶意代码的检测、阻止和清除能力02-15.应具有合理使用和控制系统资源的能力O2-16.应具有记录用户操作行为的能力O2-25.应具有能够检测对网络的各种攻击并记录其活动的能力O2-26.应具有发现所有已知漏洞并及时修补的能力O2-27.应具有

13、对网络、系统和应用的访问进行控制的能力O2-28.应具有对数据、文件或其他资源的访问进行控制的能力O2-32.应具有对恶意代码的检测、阻止和清除能力O2-33.应具有防止恶意代码在网络中扩散的能力O2-34.应具有对恶意代码库和搜索引擎及时更新的能力O2-38.应具有网络边界完整性检测能力O3-21.应具有合理使用和控制系统资源的能力O3-34.应具有限制网络、操作系统和应用系统资源使用的能力O3-35.应具有合理分配、控制网络、操作系统和应用系统资源的能力O3-36.应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力O3-37.应具有发现所有已知漏洞并及时修补的能力O3-38.应具有

14、对网络、系统和应用的访问进行严格控制的能力O3-39.应具有对数据、文件或其他资源的访问进行严格控制的能力O3-40.应具有对资源访问的行为进行记录、分析并响应的能力O3-41.应具有对恶意代码的检测、阻止和清除能力O3-42.应具有防止恶意代码等在网络中扩散的能力O3-43.应具有对恶意代码库和搜索引擎及时更新的能力O3-53.应具有路由选择和控制的能力O3-54.应具有信息源发的鉴别能力O3-59.应具有防止未授权下载、拷贝软件或者文件的能力O3-60.应具有网络边界完整性检测能力O3-61.应具有切断非法连接的能力O4-21.应具有合理使用和控制系统资源的能力O4-22.应具有按优先级自

15、动分配系统资源的能力04-37.应具有限制网络、操作系统和应用系统资源使用的能力04-38.应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力04-39.应具有合理分配、控制网络、操作系统和应用系统资源的能力04-40.应具有发现所有已知漏洞并及时修补的能力04-41.应具有对网络、系统和应用的访问进行严格控制的能力04-42.应具有对数据、文件或其他资源的访问进行严格控制的能力04-44.应具有对恶意代码的检测、集中分析、阻止和清除能力04-45.应具有防止恶意代码在网络中扩散的能力04-46.应具有对恶意代码库和搜索引擎及时更新的能力04-47.应具有保证鉴别数据传输和存

16、储保密性的能力04-56.应具有路由选择和控制的能力04-57.应具有信息源发的鉴别能力04-61.应具有防止未授权下载、拷贝软件或者文件的能力04-62.应具有网络边界完整性检测能力04-63.应具有切断非法连接的能力3. 内网控制解决方案Internet方衰描谨5：林样mi ¥1MCa安寸貼卜戌荷訪火墙/iPV軒| 新內网攻击* IJM I报*M? 评平台.«左庁低坪如匚匸小叩诃riwi： 对网站和安亍设怖嫌说岬， 幷理机!?拥事计握営能够响应的等保要求:O1-13.应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力O1-14.应具有对网络、系统和应用的访

17、问进行控制的能力O1-15.应具有对数据、文件或其他资源的访问进行控制的能力O1-16.应具有对用户进行标识和鉴别的能力O1-18.应具有对恶意代码的检测、阻止和清除能力O2-15.应具有合理使用和控制系统资源的能力O2-16.应具有记录用户操作行为的能力O2-17.应具有对用户的误操作行为进行检测和报警的能力O2-24.应具有限制网络、操作系统和应用系统资源使用的能力O2-25.应具有能够检测对网络的各种攻击并记录其活动的能力O2-26.应具有发现所有已知漏洞并及时修补的能力O2-27.应具有对网络、系统和应用的访问进行控制的能力O2-28.应具有对数据、文件或其他资源的访问进行控制的能力O

18、2-29.应具有对资源访问的行为进行记录的能力O2-30.应具有对用户进行唯一标识的能力O2-31.应具有对用户产生复杂鉴别信息并进行鉴别的能力O2-32.应具有对恶意代码的检测、阻止和清除能力O2-33.应具有防止恶意代码在网络中扩散的能力O2-34.应具有对恶意代码库和搜索引擎及时更新的能力O3-19.应具有软件状态监测和报警的能力O3-21.应具有合理使用和控制系统资源的能力O3-22.应具有按优先级自动分配系统资源的能力O3-24.应具有记录用户操作行为和分析记录结果的能力O3-34.应具有限制网络、操作系统和应用系统资源使用的能力O3-35.应具有合理分配、控制网络、操作系统和应用系

19、统资源的能力O3-36.应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力O3-37.应具有发现所有已知漏洞并及时修补的能力O3-38.应具有对网络、系统和应用的访问进行严格控制的能力O3-39.应具有对数据、文件或其他资源的访问进行严格控制的能力O3-40.应具有对资源访问的行为进行记录、分析并响应的能力O3-41.应具有对恶意代码的检测、阻止和清除能力O3-42.应具有防止恶意代码等在网络中扩散的能力O3-43.应具有对恶意代码库和搜索引擎及时更新的能力O3-45.应具有对用户进行唯一标识的能力O3-46.应具有对同一个用户产生多重鉴别信息并进行多重鉴别的能力O3-47.应具有对硬

20、件设备进行唯一标识的能力O3-48.应具有对硬件设备进行合法身份确定的能力O3-49.应具有检测非法接入设备的能力O3-54.应具有信息源发的鉴别能力O3-58.应具有基于密码技术的抗抵赖能力O3-59.应具有防止未授权下载、拷贝软件或者文件的能力O3-61.应具有切断非法连接的能力O4-21.应具有合理使用和控制系统资源的能力O4-22.应具有按优先级自动分配系统资源的能力O4-25.应具有记录用户操作行为和分析记录结果的能力O4-27.应具有安全机制失效的自动检测和报警能力O4-28.应具有检测到安全机制失效后恢复安全机制的能力O4-37.应具有限制网络、操作系统和应用系统资源使用的能力O

21、4-38.应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力O4-39.应具有合理分配、控制网络、操作系统和应用系统资源的能力O4-40.应具有发现所有已知漏洞并及时修补的能力O4-41.应具有对网络、系统和应用的访问进行严格控制的能力O4-42.应具有对数据、文件或其他资源的访问进行严格控制的能力O4-43.应具有对资源访问的行为进行记录、集中分析并响应的能力O4-44.应具有对恶意代码的检测、集中分析、阻止和清除能力O4-45.应具有防止恶意代码在网络中扩散的能力O4-46.应具有对恶意代码库和搜索引擎及时更新的能力O4-47.应具有保证鉴别数据传输和存储保密性的能力O4

22、-48.应具有对用户进行唯一标识的能力O4-49.应具有对同一个用户产生多重鉴别信息，其中一个是不可伪造的鉴别信息并进行多重鉴别的能力04-50.应具有对硬件设备进行唯一标识的能力04-51.应具有对硬件设备进行合法身份确定的能力04-52.应具有检测非法接入设备的能力04-56.应具有路由选择和控制的能力04-57.应具有信息源发的鉴别能力04-61.应具有防止未授权下载、拷贝软件或者文件的能力04-63.应具有切断非法连接的能力4. 数据中心保护解决方案InternalCampus>SecRlodeAFC-初堆蒲静DOoMJT击曽acModc峯见第:应用侃亀JK帽区 安个黄件平舍为用

23、1? U能够响应的等保要求:O1-13.应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力O1-14.应具有对网络、系统和应用的访问进行控制的能力O1-15.应具有对数据、文件或其他资源的访问进行控制的能力O1-18.应具有对恶意代码的检测、阻止和清除能力O2-15.应具有合理使用和控制系统资源的能力O2-24.应具有限制网络、操作系统和应用系统资源使用的能力O2-25.应具有能够检测对网络的各种攻击并记录其活动的能力O2-26.应具有发现所有已知漏洞并及时修补的能力O2-27.应具有对网络、系统和应用的访问进行控制的能力O2-28.应具有对数据、文件或其他资源的访问进行控制的能

24、力O2-32.应具有对恶意代码的检测、阻止和清除能力O2-33.应具有防止恶意代码在网络中扩散的能力O2-34.应具有对恶意代码库和搜索引擎及时更新的能力O3-34.应具有限制网络、操作系统和应用系统资源使用的能力O3-35.应具有合理分配、控制网络、操作系统和应用系统资源的能力O3-36.应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力O3-37.应具有发现所有已知漏洞并及时修补的能力O3-38.应具有对网络、系统和应用的访问进行严格控制的能力O3-39.应具有对数据、文件或其他资源的访问进行严格控制的能力O3-40.应具有对资源访问的行为进行记录、分析并响应的能力O3-41.应具

25、有对恶意代码的检测、阻止和清除能力O3-42.应具有防止恶意代码等在网络中扩散的能力O3-43.应具有对恶意代码库和搜索引擎及时更新的能力O4-37.应具有限制网络、操作系统和应用系统资源使用的能力O4-38.应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力O4-39.应具有合理分配、控制网络、操作系统和应用系统资源的能力O4-40.应具有发现所有已知漏洞并及时修补的能力04-41.应具有对网络、系统和应用的访问进行严格控制的能力04-42.应具有对数据、文件或其他资源的访问进行严格控制的能力04-44.应具有对恶意代码的检测、集中分析、阻止和清除能力04-45.应具有防止

26、恶意代码在网络中扩散的能力04-46.应具有对恶意代码库和搜索引擎及时更新的能力5. 行为监管解决方案>ACG：对P2PE凋雉硼潘：股、罪怨捋站让佃萼行人进 齐识屈和榨制，捉玄工件效*对AUG 上报 的析井岀审计报萄对菲湖沙 进行暹黑能够响应的等保要求:01-14.应具有对网络、系统和应用的访问进行控制的能力01-15.应具有对数据、文件或其他资源的访问进行控制的能力01-16.应具有对用户进行标识和鉴别的能力02-15.应具有合理使用和控制系统资源的能力02-16.应具有记录用户操作行为的能力02-24.应具有限制网络、操作系统和应用系统资源使用的能力02-25.应具有能够检测对网络的各种攻击并记录其活动的能力02-27.应具有对网络、系统和应用的访问进行控制的能力02-28.应具有对数据、文件或其他资源的访问进行控制的能力02-29.应具有对资源访问的行为进行记录的能力O2-30.应具有对用户进行唯一标识的能力O2-31.应具有对用户产生复杂鉴别信息并进行鉴别的能力O3-21.应具有合理使用和控制系统资源的能力O3-22.应具