华为安全等保二三级方案介绍

华为等级保护解决方案（等保二、三级）目录等级保护概述华为等级保护解决方案23网络安全态势1监测数据显示，互联网安全形势十分严峻，敲诈勒索病毒盛行，分布式拒绝服务攻击峰值持续新高、工业控制系统安全风险加剧！1101万余台主机被境外控制服务器控制，来自美国的控制服务器数量居首位，其次是俄罗斯和日本。某著名企业互联网恶意程序达到253万个，同比增长23.4%。国家信息安全漏洞共享平台VD）所收录的安全漏洞数量达到15955个，同比增长47.4%。

205万余个某著名企业互联网恶意程序，较上一年增长39.0%，近7年来持续保持高速增长趋势2017年我国遭受DDoS攻击依然严重，攻击峰值流量持续攀升。大流量攻击事件的主要攻击方式为TCPSYNFlood、NTP反射放大攻击和SSDP反射放大攻击。国家信息安全漏洞共享平台VD）共收录通用软硬件漏洞10822个，高危漏洞收录数量高达4146个，占38.3%，”零日”漏洞3203个，较2015年增长82.5%2017年CERT监测发现我国境内约2万个网站被篡改，较2016年的约1.7万个增长20.0%，其中被篡改的政府网站有618个，较2016年的467个增长32.3%网站安全形势十分严峻拒绝服务攻击变成常用手段工业互联网安全安全漏洞数量持续走高大量主机被木马远程控制互联网金融安全网络安全形势严峻制定安全管理制度和操作规程，确定网络安全责任人，落实网络安全保护责任采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施12采取检测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月3采取数据分类、重要数据备份和加密等措施4法律、行政法规规定的其他义务5国家实行网络安全等级保护制度，安全保护义务包括：对不履行第二十一条规定的，将对运营者及直接负责的主管人员处以责令整改、警告、罚款等行政处罚，情节严重的还将追究刑事责任国家出台法律强化网络安全，合规需求上升为法律强制目录等级保护概述华为等级保护解决方案23网络安全态势1等级保护定义主要内容：实行网络安全等级保护政策重视网络安全风险评估工作建设和完善网络安全监控体系保证网络安全资产健全网络安全管理责任制公安机关负责信息安全等级保护工作的监督、检查、指导国家工作部门负责等级保护工作中有关工作的监督、检查、指导国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导（一）某著名企业、广电行业的公用通信网、广播电视传输网等基础信息网络、经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统（二）铁路、银行、海关、税务、银行、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源能源、交通、文化、教育、统计、工商行政管理、某著名企业行业部门的生产、调度、管理、办公等重要信息系统网络安全等级保护:对信息和信息载体按照重要性等级分级别进行保护的一种工作。政策要求由公安监督检查各机关和行业执行等级保护价值谁主管，谁负责谁使用，谁负责谁运营，谁负责满足政策、法律与行业要求，安全状况获得公安机关认可根据信息资产价值实施保护，平衡安全投入与产出利于企业集约化运营，相同等级的信息资产共享相同的保护措施整体规划，分区域,分层,分类,分级别,分阶段进行建设，安全建设更加体系化满足监管要求明确安全责任体系化建设集约化运营等级保护工作流程

等保工作流程1、定级2、备案3、整改4、测评备案是向监管部门告知等保建设的必要流程建设整改是等保工作落实的关键等级测评是评价安全保护状况的方法定级是等级保护的首要环节5、监督监督检查是等保工作外在动力等保流程各角色与关系安全厂家主管\使用\运行单位测评机构专家组支持测评提供技术、工程和加固文档整改实施的配合提供解决方案公安网监部门测评工作组织协调确保技术、工程和质量文档、提供运营相关文档的提供评审实施方案等相关文档配合等级测评实施测评过程中的风险管理和应急管理制定测评计划和方案等相关文档在相关单位支持下实施等级测评提交测评报告监督方案评审和系统测评监督确保遵守公正的测评原则和方法对评估结论进行评审测评工作组织与监管保护等级公民、法人的合法权益社会秩序和公共利益国家安全第一级损害否否第二级严重损害损害否第三级/严重损害损害第四级/严重损害严重损害第五级//特别严重损害第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级：信息系统受到破坏后，会对国家安全造成特别严重损害。等级的划分与评定主要依据：根据系统被破坏后，对公民、社会、国家造成的损害程度定级。等保测评结论测评结论符合性判别依据综合得分计算公式符合信息系统中未发现安全问题，等级测评结果中所有测评项得分均为5分。100分基本符合信息系统中存在安全问题，但不会导致信息系统面临高等级安全风险。不符合信息系统中存在安全问题，而且会导致信息系统面临高等级安全风险。等级测评结论为“符合、“基本符合”或者“不符合”三种新等保2.0主要变化

技术要求老等保新等保物理安全安全物理环境网络安全安全通信网络、安全区域边界主机安全安全计算环境、安全管理中心应用安全数据安全管理要求老等保新等保安全管理制度安全管理制度安全管理机构安全管理机构、安全管理人员人员安全管理系统建设管理安全建设管理系统运维管理安全运维管理新等保已经于5月发布变化1：标准名称变化变化3：各级别安全要求加粗字体：新老旧主要差异由“信息安全技术

信息系统安全等级保护基本要求”变更为“信息安全技术

网络安全等级保护基本要求”变化2：分类变化调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、某著名企业互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求变化4：安全通用要求调整老等保新等保老等保老等保新等保网络和通信安全安全通信网络安全区域边界设备和计算安全应用和数据安全安全计算环境结构安全网络架构

身份鉴别身份鉴别身份鉴别边界完整性检查

边界防护安全审计安全审计安全审计访问控制

访问控制入侵防范

入侵防范入侵防范

入侵防范恶意代码防范

恶意代码防范恶意代码防范

恶意代码和垃圾邮件防范资源控制

安全审计

安全审计剩余信息保护剩余信息保护剩余信息保护网络设备防护

/

备份恢复数据恢复备份

可信验证（通信设备）集中管控

资源控制访问控制

可信验证（边界设备）

抗抵赖性

软件容错

可信验证（计算设备）

数据的完整性数据完整性

数据的性数据的性

通信传输

通信的完整性

通信的性

个人信息保护新等保2.0具体通用要求重要变更入侵防范恶意代码防范集中管控边界防护明确限制无线网络的使用对非授权终端连接内网、用户非授权外联行为进行检测和监控访问控制通信传输明确应在关键网络节点处对进出网络的数据流实现基于应用协议和应用内容的访问控制加密传输在网络与通信和应用和数据都有强调，老等保在网络安全处章节没有强调应采取技术措施对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析；应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新新等保新增为技术要求，老等保对应管理要求，强调集中管控，集中监测，集中分析等保技术要求子项主要内容对应产品安全通信网络网络架构分区隔离NGFW通信传输采用校验技术保证通信过程中数据的完整性NGFW（IPSec&SSLVPN）可信验证基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并将验证结果形成审计记录送至安全管理中心网络设备自身可信启动机制安全区域边界边界防护跨越边界的访问和数据流通过边界设备提供的受控接口进行通信NGFW访问控制基于五元组的会话状态进行访问控制、策略优化NGFW入侵防范在关键网络节点处监视网络攻击行为IPS、IDS恶意代码防范恶意代码检测和清除，防护机制支持升级和更新防病毒网关/防火墙防病毒能力安全审计网络行为审计日志审计系统安全计算环境身份鉴别身份唯一性、鉴别信息复杂度定期更换、登录失败处理功能、远程管理过程中防鉴别信息被窃听设备自身机制+堡垒机访问控制用户权限管理、管理用户权限最小化设备自身机制安全审计用户行为审计设备自身机制、日志审计系统入侵防范检测入侵行为、非使用端口关闭、管理终端限制、发现已知漏洞IPS、漏洞扫描恶意代码防范安装防恶意代码软件，防护机制支持升级和更新防毒墙、主机防病毒软件数据完整性数据防篡改NGFW、SVN、WAF数据备份恢复数据本地备份和恢复、批量数据异地备份多活数据中心剩余信息保护鉴别信息、敏感信息缓存清除应用自身机制个人信息保护个人信息最小采集原则、访问控制应用自身机制安全管理中心系统管理应对系统管理员进行身份鉴别、应通过系统管理员对系统的资源和运行进行配置、控制和管理网管系统、堡垒机审计管理应对安全审计员进行身份鉴别、应通过安全审计员对审计记录应进行分析，并根据分析结果进行处理堡垒机等保二级关键安全要求等保技术要求子项主要内容对应产品安全通信网络网络架构分区隔离NGFW通信传输采用校验技术保证通信过程中数据的完整性NGFW（IPSec&SSLVPN）可信验证基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并将验证结果形成审计记录送至安全管理中心网络设备自身可信启动机制安全区域边界边界防护跨越边界的访问和数据流通过边界设备提供的受控接口进行通信NGFW访问控制五元组过滤、内容过滤、策略优化、基于应用协议和应用内容的访问控制NGFW入侵防范已知威胁防护、新型网络攻击行为的分析、记录攻击源IP&类型&时间并遭受攻击时告警IPS、IDS、探针、沙箱恶意代码防范网络防病毒、垃圾邮件过滤防病毒网关/防火墙防病毒能力安全审计网络行为审计、用户行为单独审计和数据分析堡垒机安全计算环境身份鉴别身份唯一性、鉴别信息复杂度，口令、密码技术、生物技术等双因子及以上认证且其中一种必须为密码技术设备自身机制+堡垒机访问控制用户权限管理、管理用户权限最小化设备自身机制安全审计用户行为审计设备自身机制、日志审计系统入侵防范检测入侵行为、非使用端口关闭、管理终端限制、发现已知漏洞IPS、漏洞扫描恶意代码防范安装防恶意代码软件，防护机制支持升级和更新、可信验证防毒墙、主机防病毒软件数据完整性数据防篡改NGFW、SVN、WAF数据备份恢复数据本地备份和恢复、提供异地实时备份功能、数据处理系统热冗余多活数据中心剩余信息保护鉴别信息、敏感信息缓存清除应用自身机制个人信息保护个人信息最小采集原则、访问控制应用自身机制安全管理中心系统管理应对系统管理员进行身份鉴别、应通过系统管理员对系统的资源和运行进行配置、控制和管理网管系统、堡垒机审计管理应对安全审计员进行身份鉴别、应通过安全审计员对审计记录应进行分析，并根据分析结果进行处理堡垒机、日志审计系统集中管控特定管理分区、统一网管和检测、日志采集和集中分析、安全事件识别告警和分析、安全策略集中管理统一网管、安全控制器、态势感知系统安全管理应对安全管理员进行身份鉴别、应通过安全审计员对审计记录应进行分析，并根据分析结果进行处理堡垒机、日志审计系统等保三级关键安全要求等级二三级差异

1、对客体侵害程度不同2、复测周期要求不同3、技术要求不同等保要求二三级主要差异对应产品安全物理环境三级新增冗余供电要求冗余供电产品安全通信网络三级新增链路和设备冗余要求双机部署三级新增网络的业务处理能力满足业务高峰期需要抗DDOS设备三级新增数据传输性要求VPN安全区域边界三级增加基于应用协议和应用内容的访问控制要求NGFW内容过滤功能三级增加在关键节点的未知威胁检测要求未知威胁检测沙箱、态势感知设备探针三级新增基于重要业务带宽保障流控或NGFW流控功能三级新增垃圾邮件防护要求网络防病毒或NGFW防病毒功能安全计算环境三级新增主机入侵检测要求HIPS/HIDS三级新增异地容灾要求异地容灾产品保护等级公民、法人和其他组织的合法权益社会秩序和公共利益国家安全第二级严重损害损害否第三级/严重损害损害保护等级复测要求第二级不强制，一般两年一测第三级强制每年一测目录等级保护概述华为等级保护解决方案23网络安全态势1华为等保解决方案设计思想1安全管理中心2安全通信网络3安全区域边界4安全计算环境核心信息资产区域边界安全防护边界已知威胁全面防护未知威胁深度防护计算环境安全防护最小粒度的访问策略主机防病毒和入侵数据完整性、性安全安全管理中心统一管理集中审计集中管控安全态势感知通信网络安全防护网络架构冗余传输信息加密可信设备保护物理环境建设“一个中心”管理下的“三重防护”体系其它定级系统安全接入/隔离设备计算环境区域边界通信网络网站/应用服务器交换设备用户终端安全管理中心安全通信网络安全区域边界安全计算环境安全管理中心华为等保解决方案设计模型对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。对定级系统的信息进行存储、处理及实施安全策略的相关部件。对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。华为等保解决方案安全防护措施其它定级系统安全接入/隔离设备计算环境区域边界通信网络网站/应用服务器交换设备用户终端安全管理中心安全通信网络安全区域边界安全计算环境安全管理中心DDOS清洗与准入控制边界隔离边界访问控制完整性保护边界安全审计边界恶意代码过滤边界入侵防范网络架构设计与整改关键流量传输加密远程接入流量传输加密流量管理控制主机安全主机安全加固

安全审计身份认证与管理终端管理主机防病毒剩余信息保护应用安全

资源控制程序完整性保护抗抵赖技术数据安全数据备份与恢复数据防泄漏数据完整性与性安全管理中心安全审计中心系统管理中心集中管控中心目录等级保护概述华为等级保护解决方案23网络安全态势1等级保护整体解决方案等级保护分区解决方案3.13.2网络边界区NGFW管理区NGFW日志审计系统办公区办公用户办公用户主机杀毒软件华为等保解决方案——二级基础合规版方案说明分区分域安全设计：按照国家二级等保要求，可以将网络分为：互联网接入区、办公区、安全管理区，然后分别按照等保要求进行安全方案设计：安全防御体系：NGFW【必配】：融合传统防火墙安全策略、入侵防御、防病毒功能。解决安全区域边界要求【主机杀毒软件】【必配】：解决安全计算环境要求【日志审计系统】【必配】：解决安全管理中心要求【堡垒机】【必配】：解决安全管理中心->系统管理要求Internet堡垒机安全管理中心安全区域边界下一代防火墙堡垒机二级基础合规版方案产品列表日志审计系统安全计算环境安全通信网络下一代防火墙主机杀毒软件网络边界区NGFW管理区NGFW日志审计系统办公区办公用户办公用户主机杀毒软件华为等保解决方案——二级增强合规版方案说明分区分域安全设计：按照国家二级等保要求，可以将网络分为：互联网接入区、办公区、安全管理区，然后分别按照等保要求进行安全方案设计：安全防御体系：【NGFW】【必配】：融合传统防火墙安全策略、入侵防御、防病毒功能。解决安全区域边界要求【主机杀毒软件】【必配】：解决安全计算环境要求【日志审计系统】【必配】：解决安全管理中心要求【IPS】【必配】：解决安全区域边界->入侵防御要求【堡垒机】【必配】：解决安全管理中心->系统管理要求IPSInternet堡垒机安全管理中心安全区域边界下一代防火墙堡垒机二级基础合规版方案产品列表日志审计系统安全计算环境安全通信网络下一代防火墙主机杀毒软件IPS网络边界区NGFW管理区堡垒机NGFW漏洞扫描日志审计系统办公区办公用户办公用户主机杀毒软件华为等保解决方案——三级基础合规版整体方案说明分区分域安全设计：按照国家三级等保要求，可以将网络分为：互联网接入区、办公区、安全管理区，然后分别按照等保要求进行安全方案设计：安全防御体系：【接入边界NGFW】【必配】：融合防火墙安全策略、访问控制功能。解决安全区域边界要求，并开启IPS、AV模块功能；配置网络接入控制功能（802.1X）【分区边界NGFW】【必配】：用于解决安全分区边界的访问控制问题【IPS】【必配】：解决安全区域边界->入侵防御要求【主机杀毒软件】【必配】：解决安全计算环境要求【日志审计系统】【必配】：解决安全管理中心要求【堡垒机】【必配】：解决集中管控、安全审计要求【数据库审计】【可选】：解决数据库操作行为和内容等进行细粒度的审计和管理，解决数据完整性要求，需要根据系统内是否包含数据库业务系统选择【漏洞扫描】【必配】：解决设备和计算的入侵防护和恶意代码防护InternetNGFWIPSIPS数据库审计安全区域边界下一代防火墙三级基础合规版方案产品列表安全计算环境安全通信网络下一代防火墙主机杀毒软件IPS安全管理中心统一运维审计日志审计系统漏洞扫描数据库审计【根据场景选择】网络边界区Anti-DDOSNGFW管理区堡垒机NGFW漏洞扫描日志审计系统APT沙箱IPS办公区办公用户办公用户主机杀毒软件态势感知上网行为管理华为等保解决方案——三级增强合规版整体方案说明分区分域安全设计：按照国家三级等保要求，可以将网络分为：互联网接入区、办公区、安全管理区，然后分别按照等保要求进行安全方案设计：安全防御体系：三级基本合规版：不再赘述【防毒墙】【可选】通过防火墙的AV功能，解决恶意病毒的检测【Anti-DDoS】【可选】：解决互联网流量型攻击，保障安全区域边界->入侵防御要求【APT沙箱】【必选】：解决新型网络攻击行为的分析的网络和通信安全要求【态势感知探针】【可选】：解决新型网络攻击行为的分析能力，保障安全区域边界->入侵防御要求，复用NGFW的能力【上网行为管理】【可选】：解决基于应用协议和应用内容的访问控制，保障安全区域边界->访问控制要求【态势感知】【必选】：保障安全管理中心->安全管理要求InternetNGFWIPS探针探针数据库审计防毒墙防毒墙安全通信网络下一代防火墙三级增强合规版方案产品列表安全计算环境主机杀毒软件安全管理中心统一运维审计日志审计系统网络管理平台漏洞扫描态势感知系统安全区域边界下一代防火墙IPS抗DDoSAPT沙箱上网行为管理【可选】态势感知探针数据库审计【根据场景选择】防毒墙【可选】普通终端办公用户无线环境互联网接入区WEB应用服务器E-mail服务器NGFWAPT沙箱NGFW数据库服务器核心业务区外网办公区NGFWWAF数据库审计数据库审计WAFSSLVPNSSLVPNIPS日志审计系统安全管理区网络管理平台堡垒机NGFWISP2ISP1公众用户远程办公分支机构、办事处SSLVPNVPNAnti-DDOS核心交换机WEB应用服务器三级业务应用服务器统一认证管理系统二级业务应用服务器互联网业务发布区网闸内前置机外前置机ASGNGFW内网终端办公用户内网办公区漏洞扫描态势感知终端杀毒软件终端杀毒软件政府行业业务全网等保方案——三级高级合规版安全控制平台防毒墙安全管理中心安全区域边界下一代防火墙IPS防毒墙【可选】抗DDoS统一运维审计三级等保方案高级版产品列表APT沙箱日志审计系统网络管理平台漏洞扫描上网行为管理【可选】安全计算环境WAF数据库审计主机杀毒软件HIPS/HIDS安全通信网络下一代防火墙SVN安全控制器网闸（特定行业）大数据安全分析IPS目录等级保护概述华为等级保护解决方案23网络安全态势1等级保护整体解决方案等级保护分区解决方案3.13.2安全通信网络——加密传输解决方案方案特点分支机构和总部建立IPSecVPN隧道防止传出信息被侦听某著名企业终端和PC建立SSLVPN加密隧道，保证数据及应用传输的安全终端管理系统:外网用户的接入控制FW（含IPSecVPN）:防火墙支持商密、国密等多种VPN高强度加密算法安全区域边界安全通信网络合规要求等级保护（三级）安全通用要求：

：通信传输：加密传输、数据的完整性、数据的性：边界防护：外网用户的接入控制统一入口数据中心网络出口FWVPN网关AD/LDAP/Radius认证审计SVN（远程安全接入网关）PC终端用户某著名企业终端用户日志审计系统InternetVPDN专网VPN加密隧道安全通信网络——准入控制解决方案用户接入管理：支持多种认证方式MAC/802.1x/Portal认证多种网络设备的策略统一部署合规要求等级保护（三级）安全通用要求：：边界防护：外网用户的接入控制：安全策略、补丁集中管理办公用户办公用户办公用户MAC/802.1x/Portal认证统一准入控制中心(CampusController)数据中心网络办公区安全区域边界安全通信网络DDoS检测设备ISP1ISP2DDoS清洗设备DDoS管理中心数据中心网络IPS防火墙上网行为管理沙箱防病毒网关解决方案AntiDDoS：防止对网络的DDoS攻击负载均衡：通过NGFW实现互联网多出口链路的负载均衡IPS：对异常流量进行检测和阻断防病毒网关针对HTTP、FTP、邮件等应用协议的防病毒功能，防止病毒在网络传播扩散沙箱对未知恶意文件的检测，并与防火墙联动，防护APT攻击FW提供安全控制和隔离，防止非法访问上网行为管理：针对网络用户私自联到外部网络的行为进行检查合规要求等级保护（三级）安全通用要求：

网络架构：区域隔离，流量控制、高峰期带宽保证，链路均衡

边界防护：安全策略控制

访问控制：访问策略控制

入侵防范：未知威胁检测、入侵检测、防护、大流量攻击防护

恶意代码防范：防病毒安全区域边界

安全区域边界安全通信网络解决方案送检未知文件：防火墙或IPS检测并拦截含已知威胁的文件，还原流量中的未知文件上传给沙箱进行检测未知文件检测：沙箱在虚拟执行环境中执行检测文件，分析检测文件行为是否具备恶意，并进行威胁标识联动阻断：防火墙或IPS缓存检测结果并实施拦截防止再次感染多维度显示和告警：日志审计系统通过关联分析进行多维度展示和告警，确定疑似受攻击用户或设备，作为调整策略的参考方案特点防御未知，增强防御体系完整性自动联动，检测结果与安全设备直接联动，在入口阻断未知威胁合规要求等级保护（三级）安全通用要求：

入侵防范：未知威胁检测

恶意代码防范：防病毒EEE终端管理系统E邮件服务器安全沙箱日志审计系统下一代防火墙Internet安全区域边界——未知威胁防御

安全区域边界安全通信网络安全计算环境——主机安全漏扫主机入侵检测（HIDS）主机杀毒软件服务器办公终端日志审计系统合规要求解决方案等级保护（三级）安全通用要求：入侵防范：系统漏洞管理、入侵检测、终端接入范围限制7.1.3,2访问控制：主机访问控制策略

恶意代码防范：防病毒

身份鉴别：身份标识和鉴别

安全审计：终端、主机日志审计漏洞扫描，静态的评估主机系统的风险软件主机杀毒/HIPS/HIDS:恶意代码防范、防病毒日志审计：事后审计管理区服务器区办公区安全区域边界安全通信网络安全计算环境——Web安全Web应用网页防篡改事先检查与防护NGFWAPT沙箱WAF事中检测与防御漏洞扫描事前事中事后漏洞扫描沙箱+FW+WAFCIS大数据安全分析平台(CIS)解决方案方案特点事前检查：WEB漏洞扫描事中检测：沙箱、FW、WAF、网页防篡改事后分析：数据分析和协同，事前、事中、事后处理的结果统一汇聚到CIS进行关联分析，对安全态势进行实时感知基于沙箱构建未知WEB威胁防御能力构建针对WEB应用核心资源的“事先检查与防护、事中检测与防御、事后审计与回溯”的全生命周期防御合规要求等级保护（三级）安全通用要求：

入侵防范：系统漏洞管理

入侵防范：未知威胁检测

访问控制：业务系统的访问控制策略

数据的完整性：业务系统数据的完整性安全区域边界安全通信网络安全计算环境——数据库安全外部人员应用系统管理人员数据库集群UMA漏洞扫描数据库审计事前事中事后漏洞扫描UMA数据库审计解决方案方案特点漏洞扫描：静态的评估数据库系统的风险UMA：细粒度访问控制，防止敏感数据泄漏、篡改数据库审计：全面审计，对数据的访问进行全方位的监控和记录，便于事后审计和追查构建针对数据库应用核心资源的“事先检查与防护、事中检测与防御、事后审计与回溯”的全生命周期防御合规要求等级保护（三级）安全通用要求：

入侵防范：系统漏洞管理

访问控制：数据库系统的访问控制策略

安全审计：数据库系统的日志统一审计安全区域边界安全通信网络安全计算环