网络安全等级保护2.0安全解决方案

网络安全等级保护2.0解决方案目录01等级保护概述02等级保护实施流程03等级保护建设方案04等级保护案例等级保护概述1第二十一条国家实行

网络安全等级保护制度

。

网络运营者应当按照网络安全等级保护制度的要求

，履行下列安全保护义务，保

障网络免受干扰、

破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡

改

。第三十一条国家对公共通信和信息服务、

能源

、交通

、水利

、金融

、公共服务

、

电子政努等重要行业和领域，以及其他一旦遭到破坏

、丧失功能或者数据泄露，可能严重危害国家安全

、

国计

民生

、公共利益

的关键信息基础设施，在

网络安全等级保护制度的基础上，实行重点保护

。关键信息基础设施的具体范围和皮全保护办法由国务院制定。第九条计算机信息系统实行安全等级保护

。安全等级的划分标准和安全等级保护的具体办法

，由公安部会

同有关部

门制定

。中华人民共和国国家安全法中华人民共和国计算机信息系统安全保护条例(国务院发(1994)147号4/4220ı6《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第三十四次会议手2016年11月7日涵过公布，自2017年6月1日起施行。2007公安部

国家探密肩、国家密码管理肩、国信办公通字

[2007]43号印发《信息安全等级保护管理办法》

,

推进规范管理等级保护建设工作。由国家公安部提出井组织制定，国家质量技术监督肩发布了《GB

17859-1999计算机信息系统安全保护等级划分准则》,

把廿算机信息安全划分为了5个等级.2008《信息安全技术信息系统安全等级保护基本要求(GB/T

22239-2008)》。2月9月

6月9月

5

月中华人民共和国個务院令(147号)发布《中华人民共和

国计算机信滬系统

安全保护条例》.第一次提出计算

机信息系统实行安全等级保护”概念。国家市场监督管理总局召开新闻发布会正式泼布《信

息安全技术网络信息安全等级保护基本要求》国家标

准。数字经济”首次被写入政府工作报告。2扣17

20191994

1sĸ汨新一代信息化和业务系统；从以数据业务为核心的

，以云计算+物联网+大数据、人工智能、移动互联网等新一代T技等级保护发展历程术设施为支撑.6/42通信

网络设

施●

对于

电信

网

、

广

播

电视

传

输

网等通信网络设施，宜

根据安

全责任主体

、

服

务

类型

或服务地域等

因素

将

其划

分

为不

同的

定级

对象。跨

省

的行业或单位

的专

用

通信网可

作

为一

个整

体

对

象定级，或

分

区域划

分为

若干个

定

级对象。数

据

资源●

当

安

全责

任主体

相同时，大

数据

、

大数据

平

台/系统

宜

作为一

个整

体

对

象

定级；当安

全责任主

体不同时，大

数据

应

独立定

级

.·

云计算环境中

，云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级

，并根据不同服务模怯将云计算平台/系统划分为不同的定级对象.·

对于大型云计算平台，宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象,·云计算环境中

，云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级

，并根据不同服务模怯将云计算平台/系统划分为不同的定级对象>·

对于大型云计算平台

，宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。物联网主要包括感知、网络传输和处理应用等特征要素

，需将以上要素作为一个整体

对象定级

，各要素不单独定

级.采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素

，可作为一个整体独立定级或与相关联业务系统一起定级

，各要素不单独定级.网络安全等级保护(定级)对象具有信息系统基本要素.

避免将某个单一的系统组件、如终端、服务器或网络设备作为定级对象。采用移动互联技

术的

系

统云

计

算平

台

/系统信息系

统

物联网工业控制系统7/42GB17859-1999GB/T22240-2020信息安全技术网络安全等级保护定级指南第五级

：访问验证探护第五

级等级保护对象受到破坏后，会对国家安全造成特别严重危害。第四级

：结构化保护第四级等级保护对象受到破

坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害

。第三级

：安全标记保护第三

级等级保护对象受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成危害。第二级：系统审计保护第二

级等级保护对象受到破坏后，会对相关公

民

、法

人和其他组织的合法权益造成严重损害或者特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全。第一级

：用户自主保护第一级等级保护对象受到破坏后，会对相关公民

、

法

人和其他组织的合法权益造成一般损害，但不危害国家安全、社会秩序和公共利益

。网络安全等级对象安全等级8/42网络安全等级保护是指对

国家秘密信息

、法

人和其他组织及公民的专有信息以及公开信息和存储

、

传输

、

处

理

这些

信

息

的网络

资源

及

功能

组

件

分等

级

实行安

全保

护

，对

网络

中使用的安全技

术和管

理

制度实行按等级管理，对

网络

中发生

的信

息安

全事

件分等级

响应

、处

置。●

计算机信息系统安全保护等级划分准则

(

GB;1

7859-1999

)●

信息安全技术

网络安全等级保护定级指南

(GB/T22240-2020

)●

信息安全技术

网络安全等级保护实施指南

(GB/T25058-2019)●

信息安全技术

网络安全等级保护基本要求

(GB/T22239-2019)●

信息安全技术

网络安全等级保护设计技术要求

(GB/T25070-2019)●

信息安全技术

网络安全等级保护测评要求

(GB/T28448-2019

)●

信息安全技术

网络安全等级保护测评过程指南

(GB/T28449-2018)网络安全等级保护及相关标准9/420201

03分类结

构统

一“一个

中心，三重防护”

的

体系架构：“安全通信网络

”、“

安全区域边界

”、“

安

全计

算环境

”和

“

安全

管理

中心”

。等保2

.0将云计算

、移动互联

、物联网

、工业控制系统

、大数据等列入标准范围，构成了“

安全通用要求+新型应用安全扩展要求

”的要求内容

.对象

范

围扩大等保2

.

0强化可信计算技术使用的要求，将可信验证列入各安全保护级别，并逐级提

出各环节主要可信验证要求

。强化

可信

计

算10/42安全运维管理安全建设管理安全管理人员安全管理机构安全管理制度安全管理中心安全计算环境安全区域边界安全通信网络安

全物

理环

境“

一个

中心，三

重

防护

”纵深防御思想。技术要求管理要求从要

素到活动的综合管理思想。网络安全等级保护基本要求安全技术要求从通信网络到区域边界再到计算环境的从外到内的整体防护，同时考虑对其所处的物理环境的安

全防护。对级别较高的等级保护对象还要求对分布在整个系统

中的安全功能或安全组件的集中技术管理手段。安全管理三要素：“机构

”、“

制度

”和

“

人员

”+

系统建设整改过程中和运行维护过程中的重要活动实施控制和管理。对级别较高的等级保护对象需要构建完备的安全管理体系。网络安全等级保护基本架构11/42网

络安全综合防御体系风险管理体系

安全

管理体系安全技术体系

网络信任体系安全

管理中心网

络安全战略规划目

标总体安

全策略国

家

网络安全等级保护制

度经费保障教育培训队伍建设安全可控技术检测能力建设态势感知应急处置通报预警安全监测安全规划盐覆等级保护对象基础信息网

络

、

信息系统

、

云计算平

台

、

大数据平

台

、

物联网、工业控制

系统等组织管理国家网络安全法律法规政策体系定级备案

安

全建设

等级测评

安全整改

监督检查通信

网

络

区域边界

计算环境国家网络安全等级保护政策标准体系等级保护2.0总体安全规划12/42合法要求

：满足法律

法规要求

，清晰化责任和工作方法

，让安全贯穿全生命周期惠体系建设

：明确组织整体目标

，改变以往单点防御方式

，让安全建设更加体系化。安全防护

：健全安全防护体系

，提高人员安全意识

，树立等级化防护思想

，合理分配网络安全投资。13/42定级步骤

：确定定级对象

，初步确认定级对象

，专家评审

，主管部门审核、公安机关备案审查备案持定级报告、备案表等材料到当她公安机关网安部门备案建设整改参照信息系统当前等级要求和标准

，对信息系统进行整改加固等级测评委托具备测评资质的测评机构对信息系统进行等级测评

，形成正式的测评报告监督检查向当地公安机关网监部门提交测评报告

，配合完成对信息安全等级保护实施情况的检查等级保护2.0工作流程网络安全等级保护五个步骤等级测评建设整改监督检查备案定级15/42定级

/备

案安

全规划安全设

计

/实施

安全运行/维护定

级对

象终

止●

运

行/状态管控●

变

更管控●

等级测评●

应

急响应●

监测响应●

检查改进●

实施方案设计●

安全产品

(

服务●

等保技术实现●

等保管理实现●

安全合规

自评估●

需求分析

(

差距评估

)●

总体设计●

建设方案规划●

信息处理●

设备处理●存储介质处理等级保护2.0建设基本流程●

定级●

评

审●

备

案17/42安全要求，发现不符合项

。明确安

全建

设需

求根据不符合项，确定安全建设需求>18J42等级保护2.0差距评估·

等

级保护对象安全防护级别

；·

等

级保护对

象关联资产梳理；·已有安全措施梳理

。确定

不符

合项现状梳理1

1

1/cn

0忆人工

核

查

工

具

测试对标

网络安全等级保护基

本要求相应级别的安全

管理制度评

估网络

架构分析分析利用网络安全等级保护对象威胁满旧固保护对象

弓

出形成安全技术能力

安全措施测评准备

02

方案编制03

现场测怦安全合规能力/要求

识别一

脆弱性

04

分析与报告编制测:19/42等级保护2.0等级测评本

安

测要

全

的求

能

是间

力

等的

与

级符

等

保合

级护程

保

对度

护

象。

基

;足被测怦对象中存在安全问题

，但不会导致被测对象面临中、高等级安全冈险，且系统综合得分90分以上(含90分)。陂测评对象中存在安全问题，但吓会导致被测对象面临高等级安全风脸

，且系统综合得分80分以上(含80分)。被测评对象中存在安全问题

，但不会导致被测对象面临高等级安全风险，且系统综合得分70分以上(含70分)。被测评对象中存在安全问题

，而且会导致被测对象面临高等级安全风险

，或被测对象综合得分低于70分。·测评成绩：等保1.0测评60分及格

，等保2.0测评70分及格

，70分以下即为不及格

；·

测评频次

：等保等保2.0测评频次三级、

四级系统强制每年1次(等保1.0测评频次四级系统每半年1次

),

二级系统建议每两年1次

；·

测评结论：等保测评结论将由1.0时代的符合、基本符合、不符合改为2.0时代的优、良、中、差四个等级。20/42等级保护2.0等级测评测评结论

判别依据优

良

中

差要求项入侵

防范新增要求项

内容应在关键网络节点处检测

、防止或限制从

内部发起的网络攻击行为对应产品情况防火墙

、IDS、

IPS入侵防范应对网络行为进行分析，对

网络攻击特别是新型网络攻击行为的分析APT、流量分析恶意代码防范关键网络节点处对垃圾邮件进行检测和防护

，

维护防护机制的升级和更新防垃圾邮件系统边界防护应保证跨越边界的访问和数据流通过边界设备提供的受控接口

进行通信准入控制

、可信

网关数据完整性应采用校验技术或密码技术保证重要数据在传输过程中的完整性

，包括但不限于鉴别数据

、重要业务数据

、重要审计数据

、重要配置数据

、重要视频数据和重要个人信息等密码技术

、

电子水印人个信息安全应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除文档安全集中管控应能对网络中发生的各类安全事件进行识别

、报

警和分析安全管理平台集中管控应确保审计记录的留存时间符合法律法规要求日志审计等级保护2.0等级测评-新增要求项(重点举例)21/42系统管理安全管理审惟管理集中管控安全管理中心用户终端□构建纵深的防御体系□采取互补的安全措施口保证一致的安全强度□进行集中的安全管理安全区域安全网络通信边界安全计算环境应用与数据计算节点计算节点

安全防护架构

统一◆等级保护2.0《基本要求》、《测评要求》、《安全设计技术》三个标准的要求框架统一

，即：安全管理中心支持下的三重防护结构框架【一个中心(安全管理中心)

,

三重防护(安全计算环境、安全区域边界、安全通信网络)”架构】

。23/42“一个中心三重防护”

纵深防御；0网

络全局合理规划建设；0

通信线路安全规划；0

计算环境层层防护

。安全技术建设理念24/42●

构

建安全网络架构；●

合理进行分区分域；●

设备

、链

路冗余部署；●

保

障信息

网络

传输安

全

.安

全通

信

网

络●

安全策

略

、安

全设备统一管理

、

管控；●

日志集中统计分析；●

定期漏扫

，主

动

识别安全

风

险；●

持续监测

，动

态

风

险预警

>安全

管理中

心●

健

全身份认证体

系，强

化

口令

策

略；●

合

理授权，重

于

资源安全

标记，制

定访

问控制策

略

；●

设备层面日志

收

集

、

管

理；●

强化设备层入侵防范策略；●

数据安全防护

。●

明

确

网

络安全边

界；●

强化边界安全防护

策

略，合理部署边

界

防护

设备；●

优化边界防护设备

安全控制

策

略；●

跨边界访

问进行安

全审计

.安

全

区

域

边

界

安全计算环境25/42网络/安全统一管理对网络设备运行状况、性能监控，安全策略、安全事件统一管理。日志集中管理实现对网络安全设备及计算设备的集中审计

，对安全事件进行分析、识别、记录和存储

，监控内外部活动。安全管理中心身份统一管理网络安全设备及计算设备的身份认证功能实现统一的、支持令牌或证书的强身份认证。安全技术体系--安全管理中心26/42联通

电信

移动核心交换区数据中

办公区

ηNX灬安全管理区互联网接入区清晰定义安全

区域，划

分

出明确边界的网络

区域；安全技术体系—安全通信网络主要网络设备和链路冗余部署；通

信传输加密。27/42安全产品安全措施安全基线认证授权类日志审计/监测防护类操作系统/数据库安全加固手册、网络安全设备安全加固手册计算环境合规性安全建设主要针对网络安全设备(管理系统)、服务器(操作系统、数据库、中间件)、业务应用系统、系统管理软件的安全参数配置和安全防护措施

，涉及的安全防护措施有

：●

防病毒●

入侵防范●数据完整性校验●

数据保密性●

数据备份●残留数据清除●个人信息保护●

账号安全●双因素认证●

权限管理●安全标记●访问控制●

日志审计●

系统服务安全技术体系--安全计算环境29/42安全通信网络安全计算环境安全管理中心控制点

安全产品控制点安全产品控制点安全产品网络架构

负载均衡

服务器安全加固

系统管理

堡垒机安全配置核查管理系统身份认证系统安全区域边界身份认证和访问控制类产品访问控制防火墙堡垒机日志审计系统安全审计数据库审计系统

安全服务

：上网行为管理系统

终端安全管理系统

日常安全运营

：包括风险评估

、渗透测试

、安全加固

、代码审计

、应急响

入侵检测系统入侵防范漏洞扫描系统应、应急演练

、安全扫描

、安全通告、入侵防御系统

WAF

网站远程监测

、安全咨询等服务

。入侵防范抗

DDOS攻击系统恶意代码防范和程序可信执行防病毒系统重大事件安全保障

：全

阶段重大事件APT攻击系统

数据防泄密

(

DLP

)

保障服务。数据完整性与保密性防病毒网关数据加密安全审计网络安全审计数据备份与恢复数据备份与恢复系统30/42等保通用要求(技术)安全产品运营赋能

：包括等级保护咨询服务、安全培训服务等。态势感知防火墙集中管理系统网闸网络准入控制日志

审计系统TSOC控制点安全产品Ipsec

VPNSSL

VPN安全管理审计管理边界防护访问控制集中管控通信传输身份鉴别建设对象等保控制点对应产品

(方

案

)备注数据中

心

(

物

理机房

)物理位置的选择防震

、防风和防雨等能力的建筑建筑顶层或地下室的机房，加强防水和防潮措施物理访问控制电子

门禁系统防盗窃和防破坏防盗报警系统或视频监控系统视频监控需专人值守防雷击设备接地、安装防雷装置和过压保护装置防火自动气体消防系统、

自动喷淋消防系统防水和防潮排水槽

、

水敏感检测报警漏水检测绳防静电防静电地板

(地面

)

、静

电

消除器、

防静电手环温湿度控制机房专用空调温度：18～

27

℃

,空气湿度：35～75%电力供应多路交流供电、配备UPS、柴油发电机电磁防护配备电磁屏蔽区域机柜或电磁屏蔽机柜旧密机等关键设备

物理机房安全设计31/42硬件规格标准机架怯设备

，吞吐量≥4G

,

千兆

电口≥6个

，扩展插槽≥1

,

RJ45串囗≥1

,

USB接囗≥2。标准机架怯设备

，吞吐量≥1G,千兆电口≥6个

，扩展插槽≥1,RJ45串囗≥1

,USB接口≥2,硬盘≥1T,冗余电源。标准机架怯设备

，吞吐量≥1G

,

千兆电口≥6个，千兆光口≥4个

，

内存≥32G

,扩展插槽≥1,RJ45串口≥1

,USB接口≥2,硬盘≥2T,冗

余电源

。标准机架怯设备

，吞吐量≥10G

,千兆电口≥6个，千兆光口≥4个

，扩展插槽≥2

,

RJ45串口≥1,USB接口≥2

,

内置存储容量≥60GSSD

,

冗余

电源。标准机架怯设备

，千兆电口≥6个

，扩展插槽≥1,

RJ45串口≥1,USB接口≥2

,

内置存储容量≥2T,日志处理性能≥2000EPS

,

资产接入

授权≥30。标准机架怯设备

，千兆电口≥6个

，扩展插槽≥2,

RJ45串口≥1,USB接口≥2

,内置存储容量≥1T

,

字符并发≥800

,

图形并发≥200,资

产管理数≥50

,标准机架怯设备，千兆电口≥6个

，扩展插槽≥1,RJ45串囗≥1,

USB接囗≥2

,

内置存储容量≥2T,

入库速度≥6000条/秒

，

日处理事件

数≥8000万条

，数量库审计数量≥3。标准机架怯设备

，千兆电口≥6,

USB接口≥2

,

RJ45串口≥1

,

吞

吐量≥2G

,

并发≥200,移动端授权≥50

,

PC端授权≥50。含准入认证

、移动介质管控

、网络防护

、终端审计

、终端加固等功能；

终端管理授权≥100

,

支持在Windows2008R2X64、5.1内网安全风险管理与审计系统Windows2012R2X64、Win2012R2

Datacenter版和Win2016操作

系统上部署。1台软件出货

。服务器配置要求如下：CPU≥4核2.5G、

内存≥16G、硬盘≥2兀。

等保三级小型企业建议配置等保三级小型(终端数量200左右，

出口带宽100兆左右)序号设备名称1

互联网接入区1.1

防火墙2全流量感知区2.

1入侵检测系统2.2

高级威胁检测系统APT久

数据中

心隔离区3.1

防火墙4

安全管理中心4.1

日志审计4.2

运维安全网关(堡垒机)4,3数据库审计系统4.4

VPN安全网关1111台台台台5

终端安全管理区1

台1

台口1

台1

台数量单位32/42扩展插槽≥1,RJ45串口≥1,

USB接口≥2

,

硬盘≥1T;冗余电源

,千兆光口≥4个

，万兆光口≥2个

，

内存≥32G

,

扩展插槽≥6,

RJ45串囗≥1

,千兆光口≥4个

，万兆光

口≥2个

，扩展插槽≥5

,

RJ45串口≥1

,

USB接口≥2RJ45串口≥1

,USB接口≥2

,

内置存储容量≥2T,

日志处理性能≥3000EPS,RJ45串口≥1,USB接口≥2,

内置存储容量≥1T,

字符并发≥800,

图

形并

USB接口≥2

,

内置存储容量≥4T,入库速度≥25000条/秒

，

日处理事件数含准入认证

、移动介质管控

、网络防护

、终端审计

、终端加固等功能；终端管理授权≥500

,支持在Windows2008R2.X64

内网安全风

险管理与审计系统

、Windows2012R2.X64

、Win2012R2

Datacenter版和Win2016操作系统上部署。软件出货

。服务器配置要求如下：CPU≥4核2.5G、

内存≥16G、硬盘≥2T。1

台标准机架怯设备

，吞吐量≥4G

,千兆电口≥6个，标准机架怯设备

，吞吐量≥5G

,

千兆电囗≥6个，

USB接口≥2,硬盘≥2T,冗余电源

。标准机架怯设备

，吞吐量≥25G

,千兆电口≥6个，内置存储容量≥60GSSD

,冗余电源>标准机架怯设备

，千兆电口≥6个，扩展插槽≥2,冗余电源

，

资产接入授权≥80>标准机架怯设备

，千兆电口≥6个

，扩展插槽≥1

,发≥200

,资产管理数≥50。标准机架怯设备

，千兆电口≥6个

，RJ45串口≥1,

≥1.5亿条

，数量库审计数量≥3

。3

全流量感知区3.1

入侵检测系统3.2

高级威胁检测系统APT4

数据中

心隔离区4.1

防火墙5

安全管理中心5.1日志

审计5.2

运维安全网关(堡垒机)5.3

数据库审计系统等保三级中型企业建议配置等保三级中型企业

(终端数量1000左右，

出口带宽500兆左右)序号设备名称1

互联网接入区1.1

防火墙2DNz区域2.1

WEB应用防火墙标准机架怯设备，吞吐量≥17G,HTTP吞吐量≥1G,千兆电口≥6个，千兆光口≥4个，扩展插槽≥2,RJ45串口≥1,USB接口≥2

,

冗余电源。标准机架怯设备

，吞吐量≥10G

,

千兆电口≥6个，千兆光口≥4个

，扩展插槽≥2

,

RJ45串口≥1

,

USB接口≥2

,

内置存储容量≥60G

SSD

,

冗余

电源

。硬件规格

数量单位6.11

台1台台台台6

终端安全管理区11台台1111

台33/42标准机架怯设备，7层吞吐量≥18G

,

千兆电口≥6个，千兆光口≥4个

，万兆光口≥2个

，扩展插槽≥1

,

RJ45串口≥1

,USB接口≥2

,

内置存储容量≥60GSSD,

冗余电源。标准机架怯设备，千兆电口≥6个，扩展插槽≥2

,

RJ45串口≥1,

USB接口≥2,

内置存储容量≥有效存储容量采用Raid5,4TB(3*2T),日志处理性能≥6000EPS

,冗余电源，资产接入授权≥130.标准机架怯设备，千兆电口≥6个，扩展插槽≥1,

RJ45串口≥1

,

USB接口≥2

,内置存储容量≥1T,内存≥8G

,≥20lP并发。标准机架怯设备

，千兆电口≥6个

，扩展插槽≥1,

RJ45串口≥1

,

USB接口≥2,内置存储容量≥1T,字符并发≥800,图形并发≥200,

资产管理数≥100

,标准机架怯设备，千兆电口≥6个，千兆光口≥4个

，RJ45串口≥1

,USB接口≥2,内置存储容量≥6T,入库速度≥32000条/秒

，

日处理事件数≥5亿条，数量库审计数量≥3。标准机架怯设备

，抗攻击能力(bps)

≥10G

,千兆电口≥4个

，千兆光口≥4个

，万兆光口≥2个

，扩展插槽≥2,RJ45串口≥1,

USB接口≥2

,≥电口2组bypass,冗余电源。标准机架怯设备，吞吐量≥25G

,千兆电口≥6个，千兆光口≥4个

，万兆光囗≥2个

，扩展插槽≥5,

RJ45串口≥1,USB接口≥2

,内置存储容量≥60GSSD,冗余电源。标准机架怯设备

，吞

吐量≥30G

,千兆电口≥12个

，千兆光

口≥12个

，万兆光口≥4个

，扩展插槽≥2

,RJ45串口≥1

,

USB接

口≥1

,

冗余

电源>标准机架怯设备，

吞吐量≥20G,

HTTP吞吐量≥2G,千兆电口≥6个，

千兆光口≥4个，

万兆光

口≥2个，扩展插槽≥1,RJ45串口≥1,USB接口≥2,

冗余电源。标准机架怯设备，吞

吐量≥4G,千兆电口≥6个

，扩展插槽≥1

,RJ45串口≥1,USB接口≥2

,硬盘≥1T

,

冗余电源。高性能硬件架构，集流量采集

、沙箱检测

、大数据分析

、展示于一体。2U服务器怯机架

，冗余电源

，

支持热插拔

。具备RAID能力

。CPU不低于24核，硬盘容量大于40TB,

内存大于128GB

。提供1个管理接口

、1个私有云

口

，1个数据采集口

，

1个10/100/1000M业务口，2个万兆光口，额外配置6个接

口扩展槽位>标准机架怯设备，吞吐量≥1G

,

千兆电口≥6个

，千兆光

口≥4个

，

内存≥32G,扩展插槽≥1

,RJ45串口≥1

,

USB接口≥2

,硬盘≥2T

,

冗余电源。标准机架怯设备，吞

吐量≥60G

,千兆电口≥6个

，千兆光

口≥4个

，万兆光口≥2个

，扩展插槽≥5

,

RJ45串口≥1

,

USB接口≥2

,内置存储容量≥60G

SSD

,冗余电源。等保三级大型企业(终端数量2000左右

，

出口带宽1.5G左右)序号设备名称

硬件规格1

互联网接入区1.1链路负载均衡标准机架怯设备

，吞吐量≥30G

,

千兆电口≥6个

，千兆光口≥4个

，万兆光口≥2个

，扩展插槽≥5,RJ45串口≥1

,USB接口≥2

,

内置存储容量≥60GSSD,

冗余电源。34/42等保三级大型企业建议配置含准入认证、移动介质管控

、网络防护

、终端审计、终端加固等功能；终端管理授权≥2000

,

支持在Window52008R2

X64、Windows2012R2

X64、Win20:2R2:Datacenter版和Win2016操作系统上部署

>软件出货

。服务器配置要求如下：CPU≥4核2.5G、内存≥16G、

硬盘≥2兀胎内网安全风险管理与审计系统4.2

服务器负载均衡5

安全管理中

心5.1

日志审计5.2漏洞扫描系统5.3

运维安全网关(堡垒机)5.4

数据库审计系统抗DDOS防火墙上网行为管理系统DNZ区域WEB应用防火墙

全流量感知区

入侵检测系统1

台1

台1

台1

台VPN安全网关

标准机架怯设备，千兆电口≥10个

，千兆光口≥6个

，USB接囗≥2,R丨45串囗≥1

,

吞

吐量≥5G

,

并发≥2000

,移动端授权≥200,

PC端授权≥500。威胁感知平

台威胁感知平

台探针数据中心隔离区

防火墙1

台1台1

台数量

单位1

台1台1

台6

终端安全管理区1台1

台1

台1台3.23.34

4.15.51台231.21.31.41

台6.12.13.1方针程序

文件作业

指导书记录网络安全工作的纲领性文件

，规定总方向和目标.在安全策略的指导下，制定的各项安全管理和技术制度、办法和准则

，用来规范单位各部门安全管理工作。细化的实施细则、管理技术标准等内容

，用来支撑第二层对应的制度与管理办法的有效实施,记录活动实行以符合等级1,

2,和3的文件要求的客观证据

，阐明所取得的结果或提供完成活动的证据

。

安全管理体系建设思路方针策略制度方法实施方法记录表单安全管理制度体系35/42分类控制点对应体系文件安全管理制度安全策略管理制度《网络安全工作的总体方针和安全策略》《安全管理制度》《操作规程》《安全管理规范》记录表单安全管理机构制定和发布评审和修订岗位设置人员配备授权和审批沟通和合作审核和检查《制定

、发布、评审和修订管理制度》《定期评审和修订管理制度》《安全管理组织规范》配备专职的安全管理人员《授权审批制度》《沟通和合作管理规范》《审核和检查管理规范》安全管理人员人员录用人员离职安全意识教育和培训外部人员访问管理《人力资源安全管理规定》《人力资源安全管理规定》《网络安全培训管理制度》《外部人员访问管理制渡》《机房安

全管理制度》《办公环境保密管理》《信息资产和设备管理制度》《介质管理制度》《资产

和设备管理制度》《信息系统漏洞和

风险管理制

度》《网络

安全管理规范》《主机安全管理规范》《应

用

安全管理规范》《恶意代码防范管理制度》《配置变更管理制度》《密码

管理制度》《变更管理制度》《数据备份与恢复管理制度》《安

全事件处置和报告》《安全应急预案》《信息安全外包运维管理制度》《定级备案报告》《定级专家评

审意

见稿》审批记录《定级备案表》《定级报告》《网络与信息系统安全设计

规范

》《IT资产采购管理制度》《软件开发管理规范》《外包软件开发管理规定》《工程实施

管理制度》《工程测试验收管理》《系统交付管理规定》《等级测评报告》《服务供应商安全管理规定》环

境

管理资产

管理介质管理设备维护

管理漏洞和风险管理网络和系统安全管理恶意代码

防范管理配置

管理密码

管理变更

管理备份与恢

复管理安全事件处置应急预案管理外包运维管理安全方案方针产品采购和使用自行软件开发外包软件开发工程实施测试验

收系统

交付等级测评服务供应商选择对应体系文件安全管理体系--管理制度对

应体系文件安

全

运

维

管

理安全建设管理控制点控制点定级和备

案分类分类36/42◆综合运行态势◆系统采集管理◆系统配置管理◆事件基础课维护◆智能关联分析◆综合查询和展现◆告警响应和处理◆快速定位和预警安全运维事件响应中心◆图形化建模工具◆可配置的预案流程◆智能化工单系统◆全程事件处理监控◆知识库积累安全运维评估中心

安全运维监控中心安全运维告警中心◆集中监控◆综合展现资产管理为核心◆评估◆考核◆审计37/42

!≤

安全能力层安全合规平台

安全态势平台数据安全管控平台安全审计平台合规检测

合规闭环

态势分析

预警告警

数据分级

访问控制

日志收集

审计策略合规分析管理/接口态势呈现管理/处置安全防护