等级保护建设思路及H3C解决方案V1.0.ppt

,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,内页的小标题（华文细黑加粗20point）,一级内文：这里是一级内文的示意，字体请用华文细黑18point，1.5倍行距，段前0.5倍行距，重点部分可用红色标出（R204）。,二级内文：这里是二级内文的示意，字体请用华文细黑16point，1.5倍行距，段前0.5倍行距，重点部分可用红色标出（R204）。,三级内文：这里是三级内文的示意，字体请用华文细黑14point，1.5倍行距，段前0.5倍行距，重点部分可用红色标出（R204）。,*,等级,保护建设思路及H3C解决方案,密级：公开,杭州华三通信技术有限公司,日期：,2008,年,4,月,15,日,信息安全等级保护政策,H3C,等级保护建设思路,H3C,等级保护解决方案,H3C,安全产品线简介,信息安全等级保护政策简介,信息安全等级化保护,（以下简称等保）,定义,等保是指国家通过制订统一的标准，根据信息系统不同重要程度，有针对性开展保护工作，分等级对信息系统进行保护，国家对不同等级的信息系统实行不同强度的监督管理。,等保将信息系统的安全等级分为,5,级，,1,级最低，,5,级最高。目前已经确定等级的为电子政务内网要达到,4,级保护要求，外网要达到,3,级保护要求。,等保工作的重要性,信息安全等级保护,是国家信息安全保障的基本制度、基本策略、基本方法。,是信息安全保障工作中,国家意志,的体现。,引自,2007,年,7,月,20,日公安部、国务院信息办等,4,部门在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”上公安部代表的讲话。,信息安全等级保护政策的发展历程,中华人民共和国计算机信息系统安全保护条例,发布,1994,1999,2001,2004,计算机信息系统安全保护等级划分准则,GB17859-1999,发布,国家发改委“计算机信息系统安全保护等级评估体系,及互联网络电子身份管理与安全保护平台建设项目”（,1110,）工程实施,7,月,22,日，国家信息化领导小组召开了第三次会议，专门讨论了信息安全问,题。会议审议通过了,关于加强信息安全保障工作的意见,，并经由中央办公厅、国务院办公厅颁布,(,中办发,【2003】,27,号文件,),公安部、国家保密局、国家密码管理局和国信办联合签发了,关于信息安全等级保护工作的实施意见,（公通字,【2004】66,号）,信息系统安全保护等级定级指南,(20051231),信息系统安全等级保护基本要求（,20060429,）,信息系统安全等级保护测评准则（,20060429,）,信息系统安全等级保护实施指南（,20060429,）,2006,公安部、国家保密局、国家密码管理局和国信办联合签发了,信息系统安全等级保护管理办法（试行）,（公通字,【2006】7,号,)2006,年,3,月,1,日执行,2003,等级保护的政策文件与技术演进,2003,年,9,月,中办国办颁发,关于加强信息安全保障工作的意见,（中办发,200327,号）,2004,年,11,月,四部委会签,关于信息安全等级保护工作的实施意见,（公通字,200466,号）,2005,年,9,月,国信办文件,关于转发,电子政务信息安全等级保护实施指南,的通知,（国信办,200425,号）,2005,年 公安部标准,等级保护安全要求,等级保护定级指南,等级保护实施指南,等级保护测评准则,总结成一种安全工作的方法和原则,最先作为“适度安全”的工作思路提出,确认为国家信息安全的基本制度，安全工作的根本方法,形成等级保护的基本理论框架，制定了方法，过程和标准,等级保护的5个监管等级,等级,合法权益,社会秩序和,公共利益,国家安全,损害,严重,损害,损害,严重,损害,特别严重,损害,损害,严重损害,特别严,重损害,一级,二级,三级,四级,五级,不同级别之间保护能力的区别,总体来看，各级系统应对威胁的能力不同，即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后，系统能够恢复之前的各种状态的能力是不同的。,一级具有,15,个技术目标，,16,个管理目标；,二级具有,29,个技术目标，,25,个管理目标；,三级具有,36,个技术目标，,27,个管理目标；,四级具有,41,个技术目标，,28,个管理目标。,技术要求的变化包括：,安全要求的增加,安全要求的增强,管理要求的变化包括：,管理活动控制点的增加，每个控制点具体管理要求的增多,管理活动的能力逐步加强，借鉴能力成熟度模型（,CMM,）,决定等级的主要因素分析,信息系统所属类型,业务数据类别,信息系统服务范围,业务处理的自动化程度,业务重要性,业务数据安全性,业务处理连续性,业务依赖性,基于业务的重要性和依赖性分析关键要素，确定业务数据安全性和业务处理连续性要求。,业务数据安全性,业务处理连续性,信息系统安全保护等级,根据业务数据安全性和业务处理连续性要求确定安全保护等级。,安全,控制,定级指南,过程,方法,确定系统等级,启动,采购,/,开发,实施,运行,/,维护,废弃,确定安全需求,设计安全方案,安全,建设,安全,测评,监督,管理,运行,维护,暂不,考虑,特殊需求,等级需求,基本,要求,产品,使用,选,型,监督,管理,测评,准则,流程,方法,监管,流程,应急,预案,应急,响应,等级保护定义的信息安全建设过程,等级保护工作对应完整的信息安全建设生命周期,等保建设主要阶段的详细工作,系统定级阶段,安全规划设计阶段,产品采购和工程实施阶段,运行管理和状态监控阶段,系统调查和描述,子系统划分,子系统定级,子系统边界设定,等级化风险评估,分级保护模型化处理,安全策略规划,安全建设规划,安全建设详细方案设计,安全产品采购,安全控制开发,安全控制集成,测试与验收,安全等级测评,运行批准,系统备案,操作管理和控制,配置管理和控制,变更管理和控制,安全状态监控,安全事件处理和应急预案,监督和检查,持续改进,定级结果文档化,等级保护工作的实施指南,中对主要阶段的工作细化,等级保护建设的一般过程,整改,评估,定级,评测,确定系统或者子系统的安全等级,依据等级要求，对现有技术和管理手段的进行评估，并给出改进建议,针对评估过程中发现的不满足等保要求的地方进行整改,评测机构依据等级要求，对系统是否满足要求进行评测，并给出结论,监管,对系统进行周期性的检查，以确定系统依然满足等级保护的要求,信息安全等级保护政策,H3C,等级保护建设思路,H3C,等级保护解决方案,H3C,安全产品线简介,正确理解等级保护思想,系统重要程度,系统保护要求,安全基线,安全基线,安全基线,一级,二级,三级,四级,等级保护思想的基础是分级管理思想。即通过分级管理对不同安全需求的系统进行安全保护，从而实现对整个信息系统的适当的安全保护和管理，避免对系统保护过渡或者保护不足。,等级保护的核心是为受管理的系统明确定义所需最低的安全保护能力。这个能力可以认为是一个最基本的安全基线。,结论：满足需求的能力基线是最低要求，根据实际业务的需要和发展，信息系统的所有者和使用者有必要自行定义所需的安全基线，并不断修正。,信息安全基线的产生,信息安全基线可满足当前信息安全建设需求的各个方面,内部需求满足,知识产品保护,机密信息保护,脆弱性保护,合规需求满足,等级保护规范,萨班斯方案,行业安全规范,信息安全基线,Integrity,完整性,Availability,可用性,Confidentiality,保密性,满足当前需求，确保业务的连续性、减少业务损失并且使投资和商务机会获得最大的回报,等级保护技术要求和管理要求分析,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,等级保护的技术要求和管理要求只是具体的目标，而不强调实现的方法。这就强调了信息系统的所有者和使用者在信息安全建设中的主体地位。,等保的技术要求部分不包含技术框架的搭建，其技术目标的实现也不固定要求对应到某一种或者某一类安全产品中。事实上，具体的安全产品和解决方案可以横跨多个安全要求大项，实现多个安全目标。,结论：进行等级保护建设的主体是信息系统的所有者和使用者，由信息系统的所有者和使用者根据自身的特点，自行规划、设计和实现。,H3C等级保护建设思路,治理架构,等级保护规范,ISO27000,萨班斯法案,法规遵从,机密信息保护,知识产权保护,内部驱动,核心计算环境,人机交互环境,系统外部环境,技术框架,管理框架,以,ISO 27000,系列为基础建立,ISMS,（,Information Security Management System,，信息安全管理体系），在符合性方面满足法规遵从要求,以统一安全策略为基础，综合运用技术策略与管理策略,最佳实践：,H3C,安全建设方案,ISO 27000,系列标准具有完整的规范体系，覆盖要求、最佳实践、实施指南、风险管理等各个方面,以,ISO 27000,为框架可以指导建设,满足等级保护要求的信息安全架构,ISO 27000,系列标准和术语定义,ISO 27001,信息安全管理体系要求,ISMS Requirements,ISO 27002,信息安全管理实践准则,ISO 27003,实施指南,ISMS Implementation guidelines,ISO 27004,度量,指标与衡量,ISMS Metrics and measurement,ISO 27006,灾难恢复和服务指南,ISO 27005,风险管理指南,Risk,Management,基于ISO 27000建立信息安全架构,安全需求随业务需求演进,安全滞后,业务需求,安全满足现状,业务需求更新,阻碍,安全领先,牵引,安全,IT,基础架构,业务现状,业务发展,业务需求是无法超越的，但安全建设是可以先行的,基于PDCA模型推动安全架构演进,部门工具,企业工具,战略工具,核心竞争力,信息化发展历程,数字化,IT,产品化,IT,系统化,IT,集中,化,IT,集,成,化,IT,资源化,主要矛盾：,非授权访问,主要矛盾：,业务不稳定,主要矛盾：,资料丢失,主要矛盾：,跨域访问,主要矛盾：,动态业务,PDCA,的演进,发起者：,系统用户,解决方案：,主机防病毒,发起者：,网络管理员,解决方案：,网络防病毒,防火墙系统,入侵检测,发起者：,技术主管,解决方案：,分域防护,入侵抵御,终端控制,发起者：,CIO,解决方案：,统一规划,统一管理,风险控制,发起者：,CEO,解决方案：,机构战略决策,生命周期管理,机构内部控制,执行,计划,检查,行动,安全建设规律,安全基线更新,安全基线更新,安全基线更新,安全基线更新,信息安全等级保护政策,H3C,等级保护建设思路,H3C,等级保护解决方案,H3C,安全产品线简介,H3C在等级保护建设过程中能够参与的工作,安全,控制,过程,方法,确定系统等级,安全规划,设计实施,运行,/,维护,确定安全需求,设计安全方案,安全,建设,安全,测评,运行,监控,维护,响应,特殊需求,等级需求,基本,要求,产品,使用,选,型,系统监控,测评,准则,流程,方法,监控,流程,应急,预案,应急,响应,Plan,Do,Check,Action,等保建设过程：基于,PDCA,、遵从公安部信息安全等级保护规范！,应急响应,评估咨询,方案设计,周期性检测,H3C SecCare安全服务体系,安全三要素,人,流程,技术,培训,咨询,评估,安全咨询,以,ISO 17799/27001,、,GB/T 17859,等级保护规范为基础，以安全最佳实践为模板，提供一种切实可行的安全建设的思路。,风险评估,以,ISO 17799/27001,、,GB/T 17859,等级保护规范为标准，遵循,GB/T 20984-2007,信息安全风险评估规范，对信息安全建设现状进行评价。,安全培训,提供针对,CIO/,信息主管、主要工程师和一般用户的不同的培训课程，全面提高安全意识和技术能力。,应急响应,对信息系统出现的紧急安全事件进行响应，包括电话支持、远程支持以及现场支持等形式。,H3C SecCare,安全服务体系,网络安全技术体系iSPN,局部安全,全局安全,智能安全,端到端安全解决方案,X86,ASIC,NP,FPGA,Multi-core,万兆,安全平台,FW/VPN/UTM/IPS/.,EAD/Anti-Virus.,SecCenter/SecBlade/ACG.,CRM,ERP,OA,SCM,P2P,WEB2.0,.,IT,应用,远程安全接入,边界防护,安全统一管理平台,内网控制,行为监管,数据中心保护,五大解决方案,SecCenter,大型分支,SecPath,防火墙,中小型分支,IPSec VPN,IPSec+GRE VPN,移动用户,BIMS,SSL VPN,合作伙伴,IPSec VPN,内部网,Internet,VPN,Manager,SecPath,防火墙,SecPath,防火墙,SecPath,防火墙,SecPath,防火墙,安全管理平台,VPN,是成本最低、应用最广泛的接入技术，预计,2008年,14,亿人民币空间,-,计世资讯,H3C远程安全接入解决方案,方案描述,SecPath系列防火墙,：,实现大型分支、中小型分支,/,合作伙伴、移动用户不同安全接入需求,SecCenter,：,实现全网安全统一管理,BIMS/VPN Manager：,实现全网,VPN,部署和监控。,等保满足性可满足的一级技术目标,O1-6.应具有对传输和存储数据进行完整性检测的能力,O1-8.应具有合理使用和控制系统资源的能力,O1-9.应具有设计合理、安全网络结构的能力,O1-14.应具有对网络、系统和应用的访问进行控制的能力,O1-15.应具有对数据、文件或其他资源的访问进行控制的能力,O1-16.应具有对用户进行标识和鉴别的能力,O1-17.应具有保证鉴别数据传输和存储保密性的能力,等保满足性可满足的二级技术目标,O2-11.,应具有对传输和存储数据进行完整性检测的能力,O2-12.,应具有对硬件故障产品进行替换的能力,O2-13.,应具有系统软件、应用软件容错的能力,O2-14.,应具有软件故障分析的能力,O2-15.,应具有合理使用和控制系统资源的能力,O2-16.,应具有记录用户操作行为的能力,O2-22.,应具有对传输和存储中的信息进行保密性保护的能力,O2-24.,应具有限制网络、操作系统和应用系统资源使用的能力,O2-25.,应具有能够检测对网络的各种攻击并记录其活动的能力,O2-27.,应具有对网络、系统和应用的访问进行控制的能力,O2-28.,应具有对数据、文件或其他资源的访问进行控制的能力,O2-29.,应具有对资源访问的行为进行记录的能力,O2-30.,应具有对用户进行唯一标识的能力,O2-31.,应具有对用户产生复杂鉴别信息并进行鉴别的能力,O2-35.,应具有保证鉴别数据传输和存储保密性的能力,O2-37.,应具有非活动状态一段时间后自动切断连接的能力,O2-38.,应具有网络边界完整性检测能力,等保满足性可满足的三级技术目标,O3-14.,应具有监测通信线路传输状况的能力,O3-15.,应具有及时恢复正常通信的能力,O3-16.,应具有对传输和存储数据进行完整性检测和纠错的能力,O3-17.,应具有系统软件、应用软件容错的能力,O3-18.,应具有软件故障分析的能力,O3-19.,应具有软件状态监测和报警的能力,O3-20.,应具有自动保护当前工作状态的能力,O3-21.,应具有合理使用和控制系统资源的能力,O3-22.,应具有按优先级自动分配系统资源的能力,O3-33.,应具有使重要通信线路及时恢复的能力,O3-34.,应具有限制网络、操作系统和应用系统资源使用的能力,O3-35.,应具有合理分配、控制网络、操作系统和应用系统资源的能力,O3-36.,应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力,O3-38.,应具有对网络、系统和应用的访问进行严格控制的能力,O3-39.,应具有对数据、文件或其他资源的访问进行严格控制的能力,O3-44.,应具有保证鉴别数据传输和存储保密性的能力,O3-45.,应具有对用户进行唯一标识的能力,O3-51.,应具有对传输和存储中的信息进行保密性保护的能力,O3-52.,应具有防止加密数据被破解的能力,O3-53.,应具有路由选择和控制的能力,O3-54.,应具有信息源发的鉴别能力,O3-55.,应具有通信数据完整性检测和纠错能力,O3-57.,应具有持续非活动状态一段时间后自动切断连接的能力,O3-58.,应具有基于密码技术的抗抵赖能力,O3-59.,应具有防止未授权下载、拷贝软件或者文件的能力,O3-61.,应具有切断非法连接的能力,O3-62.,应具有重要数据和程序进行完整性检测和纠错能力,O3-66.,应具有保证重要业务系统及时恢复运行的能力,等保满足性可满足的四级技术目标,O4-15.,应具有监测通信线路传输状况的能力,O4-21.,应具有合理使用和控制系统资源的能力,O4-22.,应具有按优先级自动分配系统资源的能力,O4-23.,应具有对传输和存储数据进行完整性检测和纠错的能力,O4-36.,应具有使重要通信线路及时恢复的能力,O4-37.,应具有限制网络、操作系统和应用系统资源使用的能力,O4-38.,应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力,O4-39.,应具有合理分配、控制网络、操作系统和应用系统资源的能力,O4-41.,应具有对网络、系统和应用的访问进行严格控制的能力,O4-42.,应具有对数据、文件或其他资源的访问进行严格控制的能力,O4-47.,应具有保证鉴别数据传输和存储保密性的能力,O4-48.,应具有对用户进行唯一标识的能力,O4-49.,应具有对同一个用户产生多重鉴别信息，其中一个是不可伪造的鉴别信息并进行多重鉴别的能力,O4-53.,应具有对传输和存储中的信息进行保密性保护的能力,O4-55.,应具有防止加密数据被破解的能力,O4-56.,应具有路由选择和控制的能力,O4-57.,应具有信息源发的鉴别能力,O4-59.,应具有持续非活动状态一段时间后自动切断连接的能力,O4-60.,应具有基于密码技术的抗抵赖能力,O4-61.,应具有防止未授权下载、拷贝软件或者文件的能力,O4-63.,应具有切断非法连接的能力,O4-64.,应具有重要数据和程序进行完整性检测和纠错能力,O4-68.,应具有保证通信不中断的能力,O4-69.,应具有保证业务系统不中断的能力,方案涉及产品与等级保护对应关系,产品,等保一级,等保二级,等保三级,等保四级,防火墙,/VPN,网关,必选,必选,必选,必选,SecKey,身份认证令牌,推荐,必选,必选,必选,BIMS/VPN Manager,网管,推荐,推荐,必选,必选,SecCenter,安全管理中心,推荐,推荐,推荐,推荐,安全管理平台,SecCenter,SecPath,防火墙,交换机,DMZ,路由器,SecPath IPS,SecPath,防火墙,数据中心,SecBlade FW/IPS,方案描述,SecPath/SecBlade,防火墙：,提供,2-4,层包过滤、状态检测等技术实现边界隔离,SecPath,/SecBlade,IPS,：,提供4-7层安全防护,SecCenter,：,对部署的防火墙、,IPS,以及其他不同厂商的产品进行统一安全管理。,外联单位,H3C边界防护解决方案,等保满足性可满足的一级技术目标,O1-8.应具有合理使用和控制系统资源的能力,O1-9.应具有设计合理、安全网络结构的能力,O1-13.应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力,O1-14.应具有对网络、系统和应用的访问进行控制的能力,O1-15.应具有对数据、文件或其他资源的访问进行控制的能力,O1-16.应具有对用户进行标识和鉴别的能力,O1-17.应具有保证鉴别数据传输和存储保密性的能力,O1-18.应具有对恶意代码的检测、阻止和清除能力,等保满足性可满足的二级技术目标,O2-15.,应具有合理使用和控制系统资源的能力,O2-16.,应具有记录用户操作行为的能力,O2-25.,应具有能够检测对网络的各种攻击并记录其活动的能力,O2-26.,应具有发现所有已知漏洞并及时修补的能力,O2-27.,应具有对网络、系统和应用的访问进行控制的能力,O2-28.,应具有对数据、文件或其他资源的访问进行控制的能力,O2-32.,应具有对恶意代码的检测、阻止和清除能力,O2-33.,应具有防止恶意代码在网络中扩散的能力,O2-34.,应具有对恶意代码库和搜索引擎及时更新的能力,O2-38.,应具有网络边界完整性检测能力,等保满足性可满足的三级技术目标,O3-21.应具有合理使用和控制系统资源的能力,O3-34.,应具有限制网络、操作系统和应用系统资源使用的能力,O3-35.,应具有合理分配、控制网络、操作系统和应用系统资源的能力,O3-36.,应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力,O3-37.,应具有发现所有已知漏洞并及时修补的能力,O3-38.,应具有对网络、系统和应用的访问进行严格控制的能力,O3-39.,应具有对数据、文件或其他资源的访问进行严格控制的能力,O3-40.,应具有对资源访问的行为进行记录、分析并响应的能力,O3-41.,应具有对恶意代码的检测、阻止和清除能力,O3-42.,应具有防止恶意代码等在网络中扩散的能力,O3-43.,应具有对恶意代码库和搜索引擎及时更新的能力,O3-53.应具有路由选择和控制的能力,O3-54.应具有信息源发的鉴别能力,O3-59.,应具有防止未授权下载、拷贝软件或者文件的能力,O3-60.,应具有网络边界完整性检测能力,O3-61.,应具有切断非法连接的能力,等保满足性可满足的四级技术目标,O4-21.应具有合理使用和控制系统资源的能力,O4-22.应具有按优先级自动分配系统资源的能力,O4-37.,应具有限制网络、操作系统和应用系统资源使用的能力,O4-38.,应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力,O4-39.,应具有合理分配、控制网络、操作系统和应用系统资源的能力,O4-40.,应具有发现所有已知漏洞并及时修补的能力,O4-41.,应具有对网络、系统和应用的访问进行严格控制的能力,O4-42.,应具有对数据、文件或其他资源的访问进行严格控制的能力,O4-44.,应具有对恶意代码的检测、集中分析、阻止和清除能力,O4-45.,应具有防止恶意代码在网络中扩散的能力,O4-46.,应具有对恶意代码库和搜索引擎及时更新的能力,O4-47.,应具有保证鉴别数据传输和存储保密性的能力,O4-56.应具有路由选择和控制的能力,O4-57.应具有信息源发的鉴别能力,O4-61.,应具有防止未授权下载、拷贝软件或者文件的能力,O4-62.,应具有网络边界完整性检测能力,O4-63.,应具有切断非法连接的能力,方案涉及产品与等级保护对应关系,产品,等保一级,等保二级,等保三级,等保四级,防火墙,必选,必选,必选,必选,IPS,必选,必选,必选,必选,SecCenter,安全管理中心,推荐,推荐,推荐,推荐,H3C内网控制解决方案组成,SecPath,防火墙,EAD,EAD,EAD,SecPath IPS,SecBlade,服务器区,安全管理中心,SecCenter,智能网管中心,iMC,安全管理平台,H3C,内网控制解决方案,方案描述,终端接入软件,EAD,：进行身份认证和和终端安全状态评估,安全防护设备防火墙,/IPS,：阻断内网攻击，同时上报安全管理平台，并与之联动,安全管理,SecCenter/iMC,：对网络和安全设备统一管理，并提供整网审计报告,等保满足性可满足的一级技术目标,O1-13.应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力,O1-14.应具有对网络、系统和应用的访问进行控制的能力,O1-15.应具有对数据、文件或其他资源的访问进行控制的能力,O1-16.应具有对用户进行标识和鉴别的能力,O1-18.应具有对恶意代码的检测、阻止和清除能力,等保满足性可满足的二级技术目标,O2-15.,应具有合理使用和控制系统资源的能力,O2-16.,应具有记录用户操作行为的能力,O2-17.,应具有对用户的误操作行为进行检测和报警的能力,O2-24.,应具有限制网络、操作系统和应用系统资源使用的能力,O2-25.,应具有能够检测对网络的各种攻击并记录其活动的能力,O2-26.,应具有发现所有已知漏洞并及时修补的能力,O2-27.,应具有对网络、系统和应用的访问进行控制的能力,O2-28.,应具有对数据、文件或其他资源的访问进行控制的能力,O2-29.,应具有对资源访问的行为进行记录的能力,O2-30.,应具有对用户进行唯一标识的能力,O2-31.,应具有对用户产生复杂鉴别信息并进行鉴别的能力,O2-32.,应具有对恶意代码的检测、阻止和清除能力,O2-33.,应具有防止恶意代码在网络中扩散的能力,O2-34.,应具有对恶意代码库和搜索引擎及时更新的能力,等保满足性可满足的三级技术目标,O3-19.应具有软件状态监测和报警的能力,O3-21.应具有合理使用和控制系统资源的能力,O3-22.应具有按优先级自动分配系统资源的能力,O3-24.应具有记录用户操作行为和分析记录结果的能力,O3-34.,应具有限制网络、操作系统和应用系统资源使用的能力,O3-35.,应具有合理分配、控制网络、操作系统和应用系统资源的能力,O3-36.,应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力,O3-37.,应具有发现所有已知漏洞并及时修补的能力,O3-38.,应具有对网络、系统和应用的访问进行严格控制的能力,O3-39.,应具有对数据、文件或其他资源的访问进行严格控制的能力,O3-40.,应具有对资源访问的行为进行记录、分析并响应的能力,O3-41.,应具有对恶意代码的检测、阻止和清除能力,O3-42.,应具有防止恶意代码等在网络中扩散的能力,O3-43.,应具有对恶意代码库和搜索引擎及时更新的能力,O3-45.,应具有对用户进行唯一标识的能力,O3-46.,应具有对同一个用户产生多重鉴别信息并进行多重鉴别的能力,O3-47.,应具有对硬件设备进行唯一标识的能力,O3-48.,应具有对硬件设备进行合法身份确定的能力,O3-49.,应具有检测非法接入设备的能力,O3-54.应具有信息源发的鉴别能力,O3-58.,应具有基于密码技术的抗抵赖能力,O3-59.,应具有防止未授权下载、拷贝软件或者文件的能力,O3-61.,应具有切断非法连接的能力,等保满足性可满足的四级技术目标,O4-21.应具有合理使用和控制系统资源的能力,O4-22.应具有按优先级自动分配系统资源的能力,O4-25.应具有记录用户操作行为和分析记录结果的能力,O4-27.应具有安全机制失效的自动检测和报警能力,O4-28.应具有检测到安全机制失效后恢复安全机制的能力,O4-37.,应具有限制网络、操作系统和应用系统资源使用的能力,O4-38.,应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力,O4-39.,应具有合理分配、控制网络、操作系统和应用系统资源的能力,O4-40.,应具有发现所有已知漏洞并及时修补的能力,O4-41.,应具有对网络、系统和应用的访问进行严格控制的能力,O4-42.,应具有对数据、文件或其他资源的访问进行严格控制的能力,O4-43.,应具有对资源访问的行为进行记录、集中分析并响应的能力,O4-44.,应具有对恶意代码的检测、集中分析、阻止和清除能力,O4-45.,应具有防止恶意代码在网络中扩散的能力,O4-46.,应具有对恶意代码库和搜索引擎及时更新的能力,O4-47.,应具有保证鉴别数据传输和存储保密性的能力,O4-48.,应具有对用户进行唯一标识的能力,O4-49.,应具有对同一个用户产生多重鉴别信息，其中一个是不可伪造的鉴别信息并进行多重鉴别的能力,O4-50.,应具有对硬件设备进行唯一标识的能力,O4-51.,应具有对硬件设备进行合法身份确定的能力,O4-52.,应具有检测非法接入设备的能力,O4-56.,应具有路由选择和控制的能力,O4-57.,应具有信息源发的鉴别能力,O4-61.,应具有防止未授权下载、拷贝软件或者文件的能力,O4-63.,应具有切断非法连接的能力,方案涉及产品与等级保护对应关系,产品,等保一级,等保二级,等保三级,等保四级,EAD,端点准入系统,必选,必选,必选,必选,防火墙,必选,必选,必选,必选,IPS,推荐,推荐,必选,必选,SecCenter,安全管理中心,推荐,必选,必选,必选,SecBlade AFC,SecBlade IPS,WEB,区,应用区,数据库区,SecPath ASE,核心交换,汇聚交换,SecBlade,防火墙,应用优化,安全防护,SecCenter,安全管理平台,iMC,Campus,WAN/MAN,Internet,数据中心保护解决方案,方案描述,SecBlade AFC,：,彻底清除,DDoS,攻击,SecBlade,防火墙,/IPS,：,有效防范,27,层攻击,SecPath ASE,：,510,倍提升服务器响应速度和处理能力,SecCenter/iMC,：,实现服务器、设备的统一安全管理,等保满足性可满足的一级技术目标,O1-13.应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力,O1-14.应具有对网络、系统和应用的访问进行控制的能力,O1-15.应具有对数据、文件或其他资源的访问进行控制的能力,O1-18.应具有对恶意代码的检测、阻止和清除能力,等保满足性可满足的二级技术目标,O2-15.应具有合理使用和控制系统资源的能力,O2-24.,应具有限制网络、操作系统和应用系统资源使用的能力,O2-25.,应具有能够检测对网络的各种攻击并记录其活动的能力,O2-26.,应具有发现所有已知漏洞并及时修补的能力,O2-27.,应具有对网络、系统和应用的访问进行控制的能力,O2-28.,应具有对数据、文件或其他资源的访问进行控制的能力,O2-32.,应具有对恶意代码的检测、阻止和清除能力,O2-33.,应具有防止恶意代码在网络中扩散的能力,O2-34.,应具有对恶意代码库和搜索引擎及时更新的能力,等保满足性可满足的三级技术目标,O3-34.,应具有限制网络、操作系统和应用系统资源使用的能力,O3-35.,应具有合理分配、控制网络、操作系统和应用系统资源的能力,O3-36.,应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力,O3-37.,应具有发现所有已知漏洞并及时修补的能力,O3-38.,应具有对网络、系统和应用的访问进行严格控制的能力,O3-39.,应具有对数据、文件或其他资源的访问进行严格控制的能力,O3-40.,应具有对资源访问的行为进行记录、分析并响应的能力,O3-41.,应具有对恶意代码的检测、阻止和清除能力,O3-42.,应具有防止恶意代码等在网络中扩散的能力,O3-43.,应具有对恶意代码库和搜索引擎及时更新的能力,等保满足性可满足的四级技术目标,O4-37.,应具有限制网络、操作系统和应用系统资源使用的能力,O4-38.,应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力,O4-39.,应具有合理分配、控制网络、操作系统和应用系统资源的能力,O4-40.,应具有发现所有已知漏洞并及时修补的能力,O4-41.,应具有对网络、系统和应用的访问进行严格控制的能力,O4-42.,应具有对数据、文件或其他资源的访问进行严格控制的能力,O4-44.,应具有对恶意代码的检测、集中分析、阻止和清除能力,O4-45.,应具有防止恶意代码在网络中扩散的能力,O4-46.,应具有对恶意代码库和搜索引擎及时更新的能力,方案涉及产品与等级保护对应关系,产品,等保一级,等保二级,等保三级,等保四级,防火墙,必选,必选,必选,必选,IPS,必选,必选,必选,必选,ASE,应用加速引擎,推荐,推荐,必选,必选,AFC,流量清洗,推荐,推荐,必选,必选,SecCenter,安全管理中心,推荐,必选,必选,必选,控制台,SecCenter,SecPath IPS,SecPath,防火墙,交换机,数据中心,内部网络,SecPath ACG,安全管理平台,方案描述,ACG,：对,P2P,应用进行精确识别和控制，保护带宽资源；,ACG,：,对,IM,、网络游戏、炒股、非法网站访问等行为进行识别和控制，提高工作效率,SecCenter,：,对,ACG,上报的安全事件进行深入分析并输出审计报告，对非法行为进行追溯,H3C行为监管解决方案,等保满足性可满足的一级技术目标,O1-14.应具有对网络、系统和应用的访问进行控制的能力,O1-15.应具有对数据、文件或其他资源的访问进行控制的能力,O1-16.应具有对用户进行标识和鉴别的能力,等保满足性可满足的二级技术目标,O2-15.应具有合理使用和控制系统资源的能力,O2-16.应具有记录用户操作行为的能力,O2-24.,应具有限制网络、操作系统和应用系统资源使用的能力,O2-25.,应具有能够检测对网络的各种攻击并记录其活动的能力,O2-27.,应具有对网络、系统和应用的访问进行控制的能力,O2-28.,应具有对数据、文件或其他资源的访问进行控制的能力,O2-29.,应具有对资源访问的行为进行记录的能力,O2-30.,应具有对用户进行唯一标识的能力,O2-31.,应具有对用户产生复杂鉴别信息并进行鉴别的能力,等保满足性可满足的三级技术目标,O3-21.,应具有合理使用和控制系统资源的能力,O3-22.,应具有按优先级自动分配系统资源的能力,O3-24.,应具有记录用户操作行为和分析记录结果的能力,O3-34.,应具有限制网络、操作系统和应用系统资源使用的能力,O3-35.,应具有合理分配、控制网络、操作系统和应用系统资源的能力,O3-38.,应具有对网络、系统和应用的访问进行严格控制的能力,O3-39.,应具有对数据、文件或其他资源的访问进行严格控制的能力,O3-40.,应具有对资源访问的行为进行记录、分析并响应的能力,O3-45.,应具有对用户进行唯一标识的能力,O3-46.,应具有对同一个用户产生多重鉴别信息并进行多重鉴别的能力,O3-59.应具有防止未授权下载、拷贝软件或者文件的能力,O3-61.,应具有切断非法连接的能力,等保满足性可满足的四级技术目标,O4-21.,应具有合理使用和控制系统资源的能力,O4-25.,应具有记录用户操作行为和分析记录结果的能力,O4-37.,应具有限制网络、操作系统和应用系统资源使用的能力,O4-39.,应具有合理分配、控制网络、操作系统和应用系统资源的能力,O4-41.,应具有对网络、系统和应用的访问进行严格控制的能力,O4-42.,应具有对数据、文件或其他资源的访问进行严格控制的能力,O4-43.,应具有对资源访问的行为进行记录、集中分析并响应的能力,O4-48.,应具有对用户进行唯一标识的能力,O4-49.,应具有对同一个用户产生多重鉴别信息，其中一个是不可伪造的鉴别信息并进行多重鉴别的能力,O4-61.,应具有防止未授权下载、拷贝软件或者文件的能力,O4-63.,应具有切断非法连接的能力,O4-65.,应具有对敏感信息进行标识的能力,O4-66.,应具有对敏感信息的流向进行控制的能力,方案涉及产品与等级保护对应关系,产品,等保一级,等保二级,等保三级,等保四级,ACG,应用控制网关,推荐,推荐,必选,必选,SecCenter,安全管理中心,推荐,推荐,必选,必选,CDP连续数据保护解决方案,FC,磁盘阵