等级保护建设思路及h3c解决方案

1、等级保护建设思绪及H3C处理方案密级：公开杭州华三通信技术有限企业日期：4月15日第1页信息安全等级保护政策H3C等级保护建设思绪H3C等级保护处理方案H3C安全产品线介绍第2页信息安全等级保护政策介绍信息安全等级化保护（以下简称等保）定义等保是指国家经过制订统一标准，依据信息系统不一样主要程度，有针对性开展保护工作，分等级对信息系统进行保护，国家对不一样等级信息系统实施不一样强度监督管理。等保将信息系统安全等级分为5级，1级最低，5级最高。当前已经确定等级为电子政务内网要到达4级保护要求，外网要到达3级保护要求。等保工作主要性信息安全等级保护是国家信息安全保障基本制度、基本策略、基本方法。是

2、信息安全保障工作中国家意志表达。引自7月20日公安部、国务院信息办等4部门在北京联合召开“全国主要信息系统安全等级保护定级工作电视电话会议”上公安部代表讲话。第3页信息安全等级保护政策发展历程中华人民共和国计算机信息系统安全保护条例公布19941999计算机信息系统安全保护等级划分准则 GB17859-1999公布国家发改委“计算机信息系统安全保护等级评定体系及互联网络电子身份管理与安全保护平台建设项目”（1110）工程实施7月22日，国家信息化领导小组召开了第三次会议，专门讨论了信息安全问题。会议审议经过了关于加强信息安全保障工作意见，并经由中央办公厅、国务院办公厅颁布(中办发【】 27号文

3、件)公安部、国家保密局、国家密码管理局和国信办联合签发了关于信息安全等级保护工作实施意见 （公通字【】66号）信息系统安全保护等级定级指南 (1231)信息系统安全等级保护基本要求（0429）信息系统安全等级保护测评准则（0429）信息系统安全等级保护实施指南（0429）公安部、国家保密局、国家密码管理局和国信办联合签发了信息系统安全等级保护管理方法（试行）（公通字【】7号)3月1日执行第4页等级保护政策文件与技术演进9月中办国办颁发关于加强信息安全保障工作意见（中办发27号）11月四部委会签关于信息安全等级保护工作实施意见（公通字66号）9月国信办文件 关于转发电子政务信息安全等级保护实施指

4、南通知 （国信办25号） 公安部标准等级保护安全要求等级保护定级指南等级保护实施指南等级保护测评准则总结成一个安全工作方法和标准最先作为“适度安全”工作思绪提出确认为国家信息安全基本制度，安全工作根本方法形成等级保护基本理论框架，制订了方法，过程和标准第5页等级保护5个监管等级等级正当权益社会秩序和公共利益国家安全损害严重损害损害严重损害尤其严重损害损害严重损害尤其严重损害一级二级三级四级五级第6页不一样级别之间保护能力区分总体来看，各级系统应对威胁能力不一样，即能够反抗系统面临威胁程度以及在遭到威胁破坏后，系统能够恢复之前各种状态能力是不一样。一级含有15个技术目标，16个管理目标；二级含有

5、29个技术目标，25个管理目标；三级含有36个技术目标，27个管理目标；四级含有41个技术目标，28个管理目标。技术要求改变包含：安全要求增加安全要求增强管理要求改变包含：管理活动控制点增加，每个控制点详细管理要求增多管理活动能力逐步加强，借鉴能力成熟度模型（CMM）第7页决定等级主要原因分析信息系统所属类型业务数据类别信息系统服务范围业务处理自动化程度业务主要性业务数据安全性业务处理连续性业务依赖性基于业务主要性和依赖性分析关键要素，确定业务数据安全性和业务处理连续性要求。业务数据安全性业务处理连续性信息系统安全保护等级依据业务数据安全性和业务处理连续性要求确定安全保护等级。第8页安全控制定

6、级指南过程方法确定系统等级开启采购/开发实施运行/维护废弃确定安全需求设计安全方案安全建设安全测评监督管理运行维护暂不考虑特殊需求等级需求基本要求产品使用选型监督管理测评准则流程方法监管流程应急预案应急响应等级保护定义信息安全建设过程等级保护工作对应完整信息安全建设生命周期第9页等保建设主要阶段详细工作系统定级阶段安全规划设计阶段产品采购和工程实施阶段运行管理和状态监控阶段系统调查和描述子系统划分子系统定级子系统边界设定等级化风险评定分级保护模型化处理安全策略规划安全建设规划安全建设详细方案设计安全产品采购安全控制开发安全控制集成测试与验收安全等级测评运行同意系统立案操作管理和控制配置管理和控

7、制变更管理和控制安全状态监控安全事件处理和应急预案监督和检验连续改进定级结果文档化等级保护工作实施指南中对主要阶段工作细化第10页等级保护建设普通过程整改评定定级评测确定系统或者子系统安全等级依据等级要求，对现有技术和管理伎俩进行评定，并给出改进提议针对评定过程中发觉不满足等保要求地方进行整改评测机构依据等级要求，对系统是否满足要求进行评测，并给出结论监管对系统进行周期性检验，以确定系统依然满足等级保护要求第11页信息安全等级保护政策H3C等级保护建设思绪H3C等级保护处理方案H3C安全产品线介绍第12页正确了解等级保护思想系统主要程度系统保护要求安全基线安全基线安全基线一级二级三级四级等级保

8、护思想基础是分级管理思想。即经过分级管理对不一样安全需求系统进行安全保护，从而实现对整个信息系统适当安全保护和管理，防止对系统保护过渡或者保护不足。等级保护关键是为受管理系统明确定义所需最低安全保护能力。这个能力能够认为是一个最基本安全基线。结论：满足需求能力基线是最低要求，依据实际业务需要和发展，信息系统全部者和使用者有必要自行定义所需安全基线，并不停修正。第13页信息安全基线产生信息安全基线可满足当前信息安全建设需求各个方面内部需求满足知识产品保护机密信息保护脆弱性保护合规需求满足等级保护规范萨班斯方案行业安全规范信息安全基线Integrity完整性Availability可用性Confi

9、dentiality保密性满足当前需求，确保业务连续性、降低业务损失而且使投资和商务机会取得最大回报第14页等级保护技术要求和管理要求分析某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理等级保护技术要求和管理要求只是详细目标，而不强调实现方法。这就强调了信息系统全部者和使用者在信息安全建设中主体地位。等保技术要求部分不包含技术框架搭建，其技术目标实现也不固定要求对应到某一个或者某一类安全产品中。实际上，详细安全产品和处理方案能够横跨多个安全要求大项，实现多个安全目标。结论：进行等级保护建设主体是信息系统全部者和

10、使用者，由信息系统全部者和使用者依据本身特点，自行规划、设计和实现。第15页H3C等级保护建设思绪治理架构等级保护规范ISO27000萨班斯法案法规遵从机密信息保护知识产权保护内部驱动关键计算环境人机交互环境系统外部环境技术框架管理框架以ISO 27000系列为基础建立ISMS（Information Security Management System，信息安全管理体系 ），在符合性方面满足法规遵从要求以统一安全策略为基础，综合利用技术策略与管理策略最正确实践：H3C安全建设方案第16页ISO 27000系列标准含有完整规范体系，覆盖要求、最正确实践、实施指南、风险管理等各个方面以ISO 2

11、7000为框架能够指导建设满足等级保护要求信息安全架构ISO 27000系列标准和术语定义ISO 27001信息安全管理体系要求 ISMS Requirements ISO 27002信息安全管理实践准则ISO 27003实施指南ISMS Implementation guidelines ISO 27004度量指标与衡量ISMS Metrics and measurement ISO 27006灾难恢复和服务指南 ISO 27005风险管理指南Risk Management基于ISO 27000建立信息安全架构第17页安全需求随业务需求演进安全滞后业务需求安全满足现实状况业务需求更新妨碍安全

12、领先牵引安全IT基础架构业务现实状况业务发展业务需求是无法超越，但安全建设是能够先行第18页基于PDCA模型推进安全架构演进部门工具企业工具战略工具关键竞争力信息化发展历程数字化IT产品化 IT系统化 IT集中化 IT集成化 IT资源化 主要矛盾：非授权访问主要矛盾：业务不稳定主要矛盾：资料丢失主要矛盾：跨域访问主要矛盾：动态业务PDCA演进发起者：系统用户处理方案：主机防病毒发起者：网络管理员处理方案：网络防病毒防火墙系统入侵检测发起者：技术主管处理方案：分域防护入侵抵抗终端控制发起者：CIO处理方案：统一规划统一管理风险控制发起者：CEO处理方案：机构战略决议生命周期管理机构内部控制执行计

13、划检验行动安全建设规律 安全基线更新安全基线更新安全基线更新安全基线更新第19页信息安全等级保护政策H3C等级保护建设思绪H3C等级保护处理方案H3C安全产品线介绍第20页H3C在等级保护建设过程中能够参加工作安全控制过程方法确定系统等级安全规划设计实施运行/维护确定安全需求设计安全方案安全建设安全测评运行监控维护响应特殊需求等级需求基本要求产品使用选型系统监控测评准则流程方法监控流程应急预案应急响应PlanDoCheckAction等保建设过程：基于PDCA、遵从公安部信息安全等级保护规范！ 应急响应评定咨询方案设计周期性检测第21页H3C SecCare安全服务体系安全三要素人流程技术培训

14、咨询评定安全咨询以ISO 17799/27001、GB/T 17859等级保护规范为基础，以安全最正确实践为模板，提供一个切实可行安全建设思绪。风险评定以ISO 17799/27001、GB/T 17859等级保护规范为标准，遵照GB/T 20984-信息安全风险评定规范，对信息安全建设现实状况进行评价。安全培训提供针对CIO/信息主管、主要工程师和普通用户不一样培训课程，全方面提升安全意识和技术能力。应急响应对信息系统出现紧急安全事件进行响应，包含电话支持、远程支持以及现场支持等形式。H3C SecCare 安全服务体系第22页网络安全技术体系iSPN局部安全全局安全智能安全端到端安全处理方

15、案X86ASICNPFPGAMulti-core万兆安全平台FW/VPN/UTM/IPS/.EAD/Anti-Virus.SecCenter/SecBlade/ACG.CRMERPOASCMP2PWEB2.0.IT 应用第23页远程安全接入边界防护安全统一管理平台内网控制行为监管数据中心保护五大处理方案第24页SecCenter大型分支SecPath 防火墙中小型分支IPSec VPNIPSec+GRE VPN移动用户BIMSSSL VPN合作搭档IPSec VPN内部网InternetVPN ManagerSecPath 防火墙SecPath 防火墙SecPath 防火墙SecPath 防火

16、墙安全管理平台 VPN是成本最低、应用最广泛接入技术，预计年14亿人民币空间-计世资讯H3C远程安全接入处理方案方案描述SecPath系列防火墙：实现大型分支、中小型分支/合作搭档、移动用户不一样安全接入需求SecCenter ：实现全网安全统一管理BIMS/VPN Manager ：实现全网VPN布署和监控。第25页等保满足性可满足一级技术目标O1-6. 应含有对传输和存放数据进行完整性检测能力O1-8. 应含有合理使用和控制系统资源能力O1-9. 应含有设计合理、安全网络结构能力O1-14. 应含有对网络、系统和应用访问进行控制能力O1-15. 应含有对数据、文件或其它资源访问进行控制能力

17、O1-16. 应含有对用户进行标识和判别能力O1-17. 应含有确保判别数据传输和存放保密性能力第26页等保满足性可满足二级技术目标O2-11. 应含有对传输和存放数据进行完整性检测能力O2-12. 应含有对硬件故障产品进行替换能力O2-13. 应含有系统软件、应用软件容错能力O2-14. 应含有软件故障分析能力O2-15. 应含有合理使用和控制系统资源能力O2-16. 应含有统计用户操作行为能力O2-22. 应含有对传输和存放中信息进行保密性保护能力O2-24. 应含有限制网络、操作系统和应用系统资源使用能力O2-25. 应含有能够检测对网络各种攻击并统计其活动能力O2-27. 应含有对网络

18、、系统和应用访问进行控制能力O2-28. 应含有对数据、文件或其它资源访问进行控制能力O2-29. 应含有对资源访问行为进行统计能力O2-30. 应含有对用户进行唯一标识能力O2-31. 应含有对用户产生复杂判别信息并进行判别能力O2-35. 应含有确保判别数据传输和存放保密性能力O2-37. 应含有非活动状态一段时间后自动切断连接能力O2-38. 应含有网络边界完整性检测能力第27页等保满足性可满足三级技术目标O3-14. 应含有监测通信线路传输情况能力O3-15. 应含有及时恢复正常通信能力O3-16. 应含有对传输和存放数据进行完整性检测和纠错能力O3-17. 应含有系统软件、应用软件容

19、错能力O3-18. 应含有软件故障分析能力O3-19. 应含有软件状态监测和报警能力O3-20. 应含有自动保护当前工作状态能力O3-21. 应含有合理使用和控制系统资源能力O3-22. 应含有按优先级自动分配系统资源能力O3-33. 应含有使主要通信线路及时恢复能力O3-34. 应含有限制网络、操作系统和应用系统资源使用能力O3-35. 应含有合理分配、控制网络、操作系统和应用系统资源能力O3-36. 应含有能够检测、分析、响应对网络和主要主机各种攻击能力O3-38. 应含有对网络、系统和应用访问进行严格控制能力O3-39. 应含有对数据、文件或其它资源访问进行严格控制能力O3-44. 应含

20、有确保判别数据传输和存放保密性能力O3-45. 应含有对用户进行唯一标识能力O3-51. 应含有对传输和存放中信息进行保密性保护能力O3-52. 应含有预防加密数据被破解能力O3-53. 应含有路由选择和控制能力O3-54. 应含有信息源发判别能力O3-55. 应含有通信数据完整性检测和纠错能力O3-57. 应含有连续非活动状态一段时间后自动切断连接能力O3-58. 应含有基于密码技术抗抵赖能力O3-59. 应含有预防未授权下载、拷贝软件或者文件能力O3-61. 应含有切断非法连接能力O3-62. 应含有主要数据和程序进行完整性检测和纠错能力O3-66. 应含有确保主要业务系统及时恢复运行能力

21、第28页等保满足性可满足四级技术目标O4-15. 应含有监测通信线路传输情况能力O4-21. 应含有合理使用和控制系统资源能力O4-22. 应含有按优先级自动分配系统资源能力O4-23. 应含有对传输和存放数据进行完整性检测和纠错能力O4-36. 应含有使主要通信线路及时恢复能力O4-37. 应含有限制网络、操作系统和应用系统资源使用能力O4-38. 应含有能够检测、集中分析、响应、阻止对网络和全部主机各种攻击能力O4-39. 应含有合理分配、控制网络、操作系统和应用系统资源能力O4-41. 应含有对网络、系统和应用访问进行严格控制能力O4-42. 应含有对数据、文件或其它资源访问进行严格控制

22、能力O4-47. 应含有确保判别数据传输和存放保密性能力O4-48. 应含有对用户进行唯一标识能力O4-49. 应含有对同一个用户产生多重判别信息，其中一个是不可伪造判别信息并进行多重判别能力O4-53. 应含有对传输和存放中信息进行保密性保护能力O4-55. 应含有预防加密数据被破解能力O4-56. 应含有路由选择和控制能力O4-57. 应含有信息源发判别能力O4-59. 应含有连续非活动状态一段时间后自动切断连接能力O4-60. 应含有基于密码技术抗抵赖能力O4-61. 应含有预防未授权下载、拷贝软件或者文件能力O4-63. 应含有切断非法连接能力O4-64. 应含有主要数据和程序进行完整

23、性检测和纠错能力O4-68. 应含有确保通信不中止能力O4-69. 应含有确保业务系统不中止能力第29页方案包括产品与等级保护对应关系产品等保一级等保二级等保三级等保四级防火墙/VPN网关必选必选必选必选SecKey身份认证令牌推荐必选必选必选BIMS/VPN Manager网管推荐推荐必选必选SecCenter安全管理中心推荐推荐推荐推荐第30页安全管理平台SecCenterSecPath防火墙交换机DMZ路由器SecPath IPSSecPath防火墙数据中心SecBlade FW/IPS方案描述SecPath/SecBlade防火墙：提供2-4层包过滤、状态检测等技术实现边界隔离SecP

24、ath/SecBlade IPS ： 提供4-7层安全防护SecCenter：对布署防火墙、IPS以及其它不一样厂商产品进行统一安全管理。外联单位H3C边界防护处理方案第31页等保满足性可满足一级技术目标O1-8. 应含有合理使用和控制系统资源能力O1-9. 应含有设计合理、安全网络结构能力O1-13. 应含有发觉网络协议、操作系统、应用系统等主要漏洞并及时修补能力O1-14. 应含有对网络、系统和应用访问进行控制能力O1-15. 应含有对数据、文件或其它资源访问进行控制能力O1-16. 应含有对用户进行标识和判别能力O1-17. 应含有确保判别数据传输和存放保密性能力O1-18. 应含有对恶

25、意代码检测、阻止和去除能力第32页等保满足性可满足二级技术目标O2-15. 应含有合理使用和控制系统资源能力O2-16. 应含有统计用户操作行为能力O2-25. 应含有能够检测对网络各种攻击并统计其活动能力O2-26. 应含有发觉全部已知漏洞并及时修补能力O2-27. 应含有对网络、系统和应用访问进行控制能力O2-28. 应含有对数据、文件或其它资源访问进行控制能力O2-32. 应含有对恶意代码检测、阻止和去除能力O2-33. 应含有预防恶意代码在网络中扩散能力O2-34. 应含有对恶意代码库和搜索引擎及时更新能力O2-38. 应含有网络边界完整性检测能力第33页等保满足性可满足三级技术目标O

26、3-21. 应含有合理使用和控制系统资源能力O3-34. 应含有限制网络、操作系统和应用系统资源使用能力O3-35. 应含有合理分配、控制网络、操作系统和应用系统资源能力O3-36. 应含有能够检测、分析、响应对网络和主要主机各种攻击能力O3-37. 应含有发觉全部已知漏洞并及时修补能力O3-38. 应含有对网络、系统和应用访问进行严格控制能力O3-39. 应含有对数据、文件或其它资源访问进行严格控制能力O3-40. 应含有对资源访问行为进行统计、分析并响应能力O3-41. 应含有对恶意代码检测、阻止和去除能力O3-42. 应含有预防恶意代码等在网络中扩散能力O3-43. 应含有对恶意代码库和

27、搜索引擎及时更新能力O3-53. 应含有路由选择和控制能力O3-54. 应含有信息源发判别能力O3-59. 应含有预防未授权下载、拷贝软件或者文件能力O3-60. 应含有网络边界完整性检测能力O3-61. 应含有切断非法连接能力第34页等保满足性可满足四级技术目标O4-21. 应含有合理使用和控制系统资源能力O4-22. 应含有按优先级自动分配系统资源能力O4-37. 应含有限制网络、操作系统和应用系统资源使用能力O4-38. 应含有能够检测、集中分析、响应、阻止对网络和全部主机各种攻击能力O4-39. 应含有合理分配、控制网络、操作系统和应用系统资源能力O4-40. 应含有发觉全部已知漏洞并

28、及时修补能力O4-41. 应含有对网络、系统和应用访问进行严格控制能力O4-42. 应含有对数据、文件或其它资源访问进行严格控制能力O4-44. 应含有对恶意代码检测、集中分析、阻止和去除能力O4-45. 应含有预防恶意代码在网络中扩散能力O4-46. 应含有对恶意代码库和搜索引擎及时更新能力O4-47. 应含有确保判别数据传输和存放保密性能力O4-56. 应含有路由选择和控制能力O4-57. 应含有信息源发判别能力O4-61. 应含有预防未授权下载、拷贝软件或者文件能力O4-62. 应含有网络边界完整性检测能力O4-63. 应含有切断非法连接能力第35页方案包括产品与等级保护对应关系产品等保

29、一级等保二级等保三级等保四级防火墙必选必选必选必选IPS必选必选必选必选SecCenter安全管理中心推荐推荐推荐推荐第36页H3C内网控制处理方案组成SecPath 防火墙EADEADEADSecPath IPSSecBlade服务器区安全管理中心SecCenter智能网管中心iMC安全管理平台H3C内网控制处理方案方案描述终端接入软件EAD：进行身份认证和和终端安全状态评定安全防护设备防火墙/IPS：阻断内网攻击，同时上报安全管理平台，并与之联动安全管理SecCenter/iMC：对网络和安全设备统一管理，并提供整网审计汇报第37页等保满足性可满足一级技术目标O1-13. 应含有发觉网络协

30、议、操作系统、应用系统等主要漏洞并及时修补能力O1-14. 应含有对网络、系统和应用访问进行控制能力O1-15. 应含有对数据、文件或其它资源访问进行控制能力O1-16. 应含有对用户进行标识和判别能力O1-18. 应含有对恶意代码检测、阻止和去除能力第38页等保满足性可满足二级技术目标O2-15. 应含有合理使用和控制系统资源能力O2-16. 应含有统计用户操作行为能力O2-17. 应含有对用户误操作行为进行检测和报警能力O2-24. 应含有限制网络、操作系统和应用系统资源使用能力O2-25. 应含有能够检测对网络各种攻击并统计其活动能力O2-26. 应含有发觉全部已知漏洞并及时修补能力O2

31、-27. 应含有对网络、系统和应用访问进行控制能力O2-28. 应含有对数据、文件或其它资源访问进行控制能力O2-29. 应含有对资源访问行为进行统计能力O2-30. 应含有对用户进行唯一标识能力O2-31. 应含有对用户产生复杂判别信息并进行判别能力O2-32. 应含有对恶意代码检测、阻止和去除能力O2-33. 应含有预防恶意代码在网络中扩散能力O2-34. 应含有对恶意代码库和搜索引擎及时更新能力第39页等保满足性可满足三级技术目标O3-19. 应含有软件状态监测和报警能力O3-21. 应含有合理使用和控制系统资源能力O3-22. 应含有按优先级自动分配系统资源能力O3-24. 应含有统计

32、用户操作行为和分析统计结果能力O3-34. 应含有限制网络、操作系统和应用系统资源使用能力O3-35. 应含有合理分配、控制网络、操作系统和应用系统资源能力O3-36. 应含有能够检测、分析、响应对网络和主要主机各种攻击能力O3-37. 应含有发觉全部已知漏洞并及时修补能力O3-38. 应含有对网络、系统和应用访问进行严格控制能力O3-39. 应含有对数据、文件或其它资源访问进行严格控制能力O3-40. 应含有对资源访问行为进行统计、分析并响应能力O3-41. 应含有对恶意代码检测、阻止和去除能力O3-42. 应含有预防恶意代码等在网络中扩散能力O3-43. 应含有对恶意代码库和搜索引擎及时更

33、新能力O3-45. 应含有对用户进行唯一标识能力O3-46. 应含有对同一个用户产生多重判别信息并进行多重判别能力O3-47. 应含有对硬件设备进行唯一标识能力O3-48. 应含有对硬件设备进行正当身份确定能力O3-49. 应含有检测非法接入设备能力O3-54. 应含有信息源发判别能力O3-58. 应含有基于密码技术抗抵赖能力O3-59. 应含有预防未授权下载、拷贝软件或者文件能力O3-61. 应含有切断非法连接能力第40页等保满足性可满足四级技术目标O4-21. 应含有合理使用和控制系统资源能力O4-22. 应含有按优先级自动分配系统资源能力O4-25. 应含有统计用户操作行为和分析统计结果

34、能力O4-27. 应含有安全机制失效自动检测和报警能力O4-28. 应含有检测到安全机制失效后恢复安全机制能力O4-37. 应含有限制网络、操作系统和应用系统资源使用能力O4-38. 应含有能够检测、集中分析、响应、阻止对网络和全部主机各种攻击能力O4-39. 应含有合理分配、控制网络、操作系统和应用系统资源能力O4-40. 应含有发觉全部已知漏洞并及时修补能力O4-41. 应含有对网络、系统和应用访问进行严格控制能力O4-42. 应含有对数据、文件或其它资源访问进行严格控制能力O4-43. 应含有对资源访问行为进行统计、集中分析并响应能力O4-44. 应含有对恶意代码检测、集中分析、阻止和去

35、除能力O4-45. 应含有预防恶意代码在网络中扩散能力O4-46. 应含有对恶意代码库和搜索引擎及时更新能力O4-47. 应含有确保判别数据传输和存放保密性能力O4-48. 应含有对用户进行唯一标识能力O4-49. 应含有对同一个用户产生多重判别信息，其中一个是不可伪造判别信息并进行多重判别能力O4-50. 应含有对硬件设备进行唯一标识能力O4-51. 应含有对硬件设备进行正当身份确定能力O4-52. 应含有检测非法接入设备能力O4-56. 应含有路由选择和控制能力O4-57. 应含有信息源发判别能力O4-61. 应含有预防未授权下载、拷贝软件或者文件能力O4-63. 应含有切断非法连接能力第

36、41页方案包括产品与等级保护对应关系产品等保一级等保二级等保三级等保四级EAD端点准入系统必选必选必选必选防火墙必选必选必选必选IPS推荐推荐必选必选SecCenter安全管理中心推荐必选必选必选第42页SecBlade AFCSecBlade IPSWEB 区应用区数据库区SecPath ASE关键交换汇聚交换SecBlade 防火墙应用优化安全防护SecCenter安全管理平台iMCCampusWAN/MANInternet数据中心保护处理方案方案描述SecBlade AFC：彻底去除DDoS攻击SecBlade防火墙/IPS：有效防范27层攻击SecPath ASE：510倍提升服务器响

37、应速度和处理能力SecCenter/iMC：实现服务器、设备统一安全管理第43页等保满足性可满足一级技术目标O1-13. 应含有发觉网络协议、操作系统、应用系统等主要漏洞并及时修补能力O1-14. 应含有对网络、系统和应用访问进行控制能力O1-15. 应含有对数据、文件或其它资源访问进行控制能力O1-18. 应含有对恶意代码检测、阻止和去除能力第44页等保满足性可满足二级技术目标O2-15. 应含有合理使用和控制系统资源能力O2-24. 应含有限制网络、操作系统和应用系统资源使用能力O2-25. 应含有能够检测对网络各种攻击并统计其活动能力O2-26. 应含有发觉全部已知漏洞并及时修补能力O2

38、-27. 应含有对网络、系统和应用访问进行控制能力O2-28. 应含有对数据、文件或其它资源访问进行控制能力O2-32. 应含有对恶意代码检测、阻止和去除能力O2-33. 应含有预防恶意代码在网络中扩散能力O2-34. 应含有对恶意代码库和搜索引擎及时更新能力第45页等保满足性可满足三级技术目标O3-34. 应含有限制网络、操作系统和应用系统资源使用能力O3-35. 应含有合理分配、控制网络、操作系统和应用系统资源能力O3-36. 应含有能够检测、分析、响应对网络和主要主机各种攻击能力O3-37. 应含有发觉全部已知漏洞并及时修补能力O3-38. 应含有对网络、系统和应用访问进行严格控制能力O

39、3-39. 应含有对数据、文件或其它资源访问进行严格控制能力O3-40. 应含有对资源访问行为进行统计、分析并响应能力O3-41. 应含有对恶意代码检测、阻止和去除能力O3-42. 应含有预防恶意代码等在网络中扩散能力O3-43. 应含有对恶意代码库和搜索引擎及时更新能力第46页等保满足性可满足四级技术目标O4-37. 应含有限制网络、操作系统和应用系统资源使用能力O4-38. 应含有能够检测、集中分析、响应、阻止对网络和全部主机各种攻击能力O4-39. 应含有合理分配、控制网络、操作系统和应用系统资源能力O4-40. 应含有发觉全部已知漏洞并及时修补能力O4-41. 应含有对网络、系统和应用

40、访问进行严格控制能力O4-42. 应含有对数据、文件或其它资源访问进行严格控制能力O4-44. 应含有对恶意代码检测、集中分析、阻止和去除能力O4-45. 应含有预防恶意代码在网络中扩散能力O4-46. 应含有对恶意代码库和搜索引擎及时更新能力第47页方案包括产品与等级保护对应关系产品等保一级等保二级等保三级等保四级防火墙必选必选必选必选IPS必选必选必选必选ASE应用加速引擎推荐推荐必选必选AFC流量清洗推荐推荐必选必选SecCenter安全管理中心推荐必选必选必选第48页控制台SecCenterSecPath IPSSecPath防火墙交换机数据中心内部网络SecPath ACG安全管理平

41、台方案描述ACG：对P2P应用进行准确识别和控制，保护带宽资源；ACG：对IM、网络游戏、炒股、非法网站访问等行为进行识别和控制，提升工作效率SecCenter：对ACG上报安全事件进行深入分析并输出审计汇报，对非法行为进行追溯H3C行为监管处理方案第49页等保满足性可满足一级技术目标O1-14. 应含有对网络、系统和应用访问进行控制能力O1-15. 应含有对数据、文件或其它资源访问进行控制能力O1-16. 应含有对用户进行标识和判别能力第50页等保满足性可满足二级技术目标O2-15. 应含有合理使用和控制系统资源能力O2-16. 应含有统计用户操作行为能力O2-24. 应含有限制网络、操作系

42、统和应用系统资源使用能力O2-25. 应含有能够检测对网络各种攻击并统计其活动能力O2-27. 应含有对网络、系统和应用访问进行控制能力O2-28. 应含有对数据、文件或其它资源访问进行控制能力O2-29. 应含有对资源访问行为进行统计能力O2-30. 应含有对用户进行唯一标识能力O2-31. 应含有对用户产生复杂判别信息并进行判别能力第51页等保满足性可满足三级技术目标O3-21. 应含有合理使用和控制系统资源能力O3-22. 应含有按优先级自动分配系统资源能力O3-24. 应含有统计用户操作行为和分析统计结果能力O3-34. 应含有限制网络、操作系统和应用系统资源使用能力O3-35. 应含

43、有合理分配、控制网络、操作系统和应用系统资源能力O3-38. 应含有对网络、系统和应用访问进行严格控制能力O3-39. 应含有对数据、文件或其它资源访问进行严格控制能力O3-40. 应含有对资源访问行为进行统计、分析并响应能力O3-45. 应含有对用户进行唯一标识能力O3-46. 应含有对同一个用户产生多重判别信息并进行多重判别能力O3-59. 应含有预防未授权下载、拷贝软件或者文件能力O3-61. 应含有切断非法连接能力第52页等保满足性可满足四级技术目标O4-21. 应含有合理使用和控制系统资源能力O4-25. 应含有统计用户操作行为和分析统计结果能力O4-37. 应含有限制网络、操作系统

44、和应用系统资源使用能力O4-39. 应含有合理分配、控制网络、操作系统和应用系统资源能力O4-41. 应含有对网络、系统和应用访问进行严格控制能力O4-42. 应含有对数据、文件或其它资源访问进行严格控制能力O4-43. 应含有对资源访问行为进行统计、集中分析并响应能力O4-48. 应含有对用户进行唯一标识能力O4-49. 应含有对同一个用户产生多重判别信息，其中一个是不可伪造判别信息并进行多重判别能力O4-61. 应含有预防未授权下载、拷贝软件或者文件能力O4-63. 应含有切断非法连接能力O4-65. 应含有对敏感信息进行标识能力O4-66. 应含有对敏感信息流向进行控制能力第53页方案包

45、括产品与等级保护对应关系产品等保一级等保二级等保三级等保四级ACG应用控制网关推荐推荐必选必选SecCenter安全管理中心推荐推荐必选必选第54页CDP连续数据保护处理方案FC磁盘阵列IX3000 /IX1000系列IV5000IV5000IX5000系列IX3000系列IX1000系列生产卷C快照快照快照备份卷B生产卷A生产卷B快照快照快照备份卷C万兆千兆快照快照快照备份卷A在线/近线存放可达秒级最正确数据恢复技术自动连续快照保护，预防软灾难完善数据库一致性技术备份数据马上检验及恢复验证支持广域网保护，可扩展为容灾模式第55页等保满足性可满足技术目标满足一级技术指标O1-19. 应含有主要

46、数据恢复能力满足二级技术指标O2-36. 应含有对存放介质中残余信息进行删除能力O2-39. 应含有主要数据恢复能力满足三级技术指标O3-50. 应含有对存放介质中残余信息进行删除能力O3-65. 应含有及时恢复主要数据能力O3-66. 应含有确保主要业务系统及时恢复运行能力满足四级技术指标O4-54. 应含有对存放介质中残余信息进行删除能力O4-67. 应含有快速恢复主要数据能力O4-68. 应含有确保通信不中止能力O4-69. 应含有确保业务系统不中止能力第56页视频监控与智能视频分析系统集成智能分析系统能够对实时图像内容进行分析，分析图像中一个或多个人、物、车辆移动轨迹，实现对警戒区闯进

47、、遗留物、受保护物品移动、警戒区域人员徘徊、人群异常聚集、抢劫抢夺、打架斗殴等自动检测。还能够实现视频诊疗、人流统计、事后图像超清楚处理等增值业务。智能视频系统将自动分析结果反馈给H3C监控系统实现各项联动功效。机房监控功效智能监控第57页等保满足性可满足技术目标满足三级技术指标O3-29. 应含有实时监控机房内部活动能力O3-30. 应含有对物理入侵事件进行报警能力O3-32. 应含有对通信线路进行物理保护能力O3-33. 应含有使主要通信线路及时恢复能力满足四级技术指标O4-29. 应含有严格控制机房进出能力O4-30. 应含有预防设备、介质等丢失能力O4-31. 应含有严格控制机房内人员

48、活动能力O4-32. 应含有实时监控机房内部活动能力O4-33. 应含有对物理入侵事件进行报警能力O4-34. 应含有控制接触主要设备、介质能力O4-35. 应含有对通信线路进行物理保护能力O4-36. 应含有使主要通信线路及时恢复能力第58页信息安全体系管理框架基础网络关键网可靠性全方面设备可靠性高可靠关键高可靠汇聚汇聚双归属双机热备数据中心案例文档库基础知识库地理信息库事件信息库模型库视频会议图像接入多媒体中心语音调度安全保障防火墙IPS接入安全病毒防护统一管理平台网络管理数据管理用户管理视讯管理安全管理第59页H3C智能安全管理中心：统一管理 支持近100家主流厂家设备及应用，包含防火墙

49、/VPN、IDS、IPS、防病毒、路由器、交换机、操作系统、数据库等各类IT资源 内部包含有各厂家日志解析解析模块，转换成统一日志格式SyslogNetStream二进制日志WMI、APINetflow防火墙日志对应解析程序对应解析程序对应解析程序对应解析程序对应解析程序对应解析程序 事件统一管理第60页整合各类安全资源为统一安全联动方案H3C智能安全管理中心： 智能联动第61页H3C iSPN实现面向业务端到端安全保障服务器客户机桌面安全应用安全技术平面产品集成智能安全渗透网络端到端安全保障处理方案L2L7层深度安全技术安全产品与网络产品集成集成了网络技术安全产品集成了安全技术网络产品数据中

50、心保护处理方案内网控制处理方案边界防护处理方案远程安全接入处理方案管理平面智能管理统一基础安全管理统一用户认证与授权统一威胁与策略管理OAA开放应用架构CHECKCHECK存放系统数据安全系统安全应用安全用户认证补丁管理病毒库管理用户管理在线备份安全存放异地容灾面向业务端到端安全保障行为监管处理方案第62页信息安全等级保护政策H3C等级保护建设思绪H3C等级保护处理方案H3C安全产品线介绍第63页H3C专业安全、应用为本H3C已成为IT安全领域领导者之一市场份额国内第二位，销售增加率国内第一IPS产品连续两年市场份额第一，IPS技术和市场领导者VPN类产品市场占有国内第一，承建全国最大VPN网

51、络中国人寿桌面管理软件市场占有第一，EAD全国已经有超出30万用户安全管理中心市场占有国内第一，已经有百个以上应用布署案例图 -H3C安全产品销售数据图 H3C安全产品屡获殊荣第64页最完整：H3C安全产品和处理方案基于领先产品和技术，H3C提出远程安全接入、边界防护、内网控制、数据中心保护、行为监管等5大行业处理方案；流量清洗、流量精细化运行、安全托管等3大运行商处理方案应用控制与优化T系列I PS T200-S安全业务管理SecCenterEADiMCBIMSASE 5000T200-ET1000-ST1000-MT1000-AACG -MSecPathUTMU200-CU200-SU200-MU200-AU-SU-AACG 8800-AT5000-A安全评定与咨询安全系列模块NSMASMWAN优化SSL VPNFWACGIPSL