等保建设交流--深信服教程文件.pptx

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2015/4/9,#,信息安全等级保护,建设,等级保护政策介绍和建设思路,等级保护政策介绍,等级保护政策解读,等级保护建设思路探讨,等保建设方案统一规划,等保项目注意事项,目录,信息安全等级保护制度,信息安全等级保护,（,以下,简称等保,）,是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的,信息系统分等级实行安全保护,，对信息系统中使用的,信息安全产品实行按等级管理,，对信息系统中发生的信息,安全事件分等级响应、处置,。,等保的,5,个监管等级,对象,等级,合法权益,社会秩序和公共利益,国家安全,损害,严重,损害,损害,严重,损害,特别严重损害,损害,严重,损害,特别严,重损害,一般系统,一级,二级,重要系统,三级,四级,极端重要系统,五级,等保采用,分系统定级的方法，当拥有多个信息系统时，需要分别进行定级，并分别进行保护。,在五个监管等级中，,三级与四级系统,为监管的重点，也是建设的重点。,决定等级的主要因素分析,信息系统所属类型,业务数据类别,信息系统服务范围,业务处理的自动化程度,业务重要性,业务数据安全性,业务处理连续性,业务依赖性,基于业务的重要性和依赖性分析关键要素，确定业务数据安全性和业务处理连续性要求。,业务数据安全性,业务处理连续性,信息系统安全保护等级,根据业务数据安全性和业务处理连续性要求确定安全保护等级。,从等保的定级要求可以看出，等保关注的重点在于业务的可靠性和信息保密性。,不同级别之间保护能力的区别,总体来看，各级系统应对威胁的能力不同，即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后，系统能够恢复之前的各种状态的能力是不同的。,一级具有,15,个技术目标，,16,个管理目标；,二级具有,29,个技术目标，,25,个管理目标；,三级具有,36,个技术目标，,27,个管理目标；,四级具有,41,个技术目标，,28,个管理目标。,技术要求的变化包括：,安全要求的增加,安全要求的增强,管理要求的变化包括：,管理活动控制点的增加，每个控制点具体管理要求的增多,管理活动的能力逐步加强，借鉴能力成熟度模型（,CMM,）,安全,控制,定级指南,过程,方法,确定系统等级,启动,采购,/,开发,实施,运行,/,维护,废弃,确定安全需求,设计安全方案,安全,建设,安全,测评,监督,管理,运行,维护,暂不,考虑,特殊需求,等级需求,基本,要求,产品,使用,选,型,监督,管理,测评,准则,流程,方法,监管,流程,应急,预案,应急,响应,等级保护定义的信息安全建设过程,等级保护工作对应完整的信息安全建设生命周期,等级保护建设的一般过程,整改,评估,定级,评测,确定系统或者子系统的安全等级,依据等级要求，对现有技术和管理手段的进行评估，并给出改进建议,针对评估过程中发现的不满足等保要求的地方进行整改,评测机构依据等级要求，对系统是否满足要求进行评测，并给出结论,监管,对系统进行周期性的检查，以确定系统依然满足等级保护的要求,等级保护政策介绍和建设思路,等级保护政策介绍,等级保护,政策与技术解读,等级保护建设思路探讨,等保建设方案统一规划,等保分步实施实践,目录,等,保的地位和作,用,是信息安全工作的基本制度；,是信息安全工作的基本国策；,是信息安全工作的基本方法；,是保护信息化、维护国家信息安全的根本保障，是国家意志的体现；,是开展信息安全工作的抓手，也是灵魂。,摘自公安部的领导讲话,等保核心思想：适度安全,信息安全工作中，等保给予用户,明确的目标,，帮助用户,更清晰的认识,安全薄弱环节。,没有,100%,的安全，,适度安全,的核心思想让用户达到投资,/,收益最佳比。,系统重要程度,系统保护要求,安全基线,安全基线,安全基线,一级,二级,三级,四级,等保基本保护要求框架,物理安全,安全管理制度,网络安全,系统安全,应用安全,数据安全,安全管理机构,人员安全管理,系统建设管理,系统运维管理,技术要求,管理要求,某级要求,等保不同级别的保护能力的区别,各级系统应对威胁的能力不同，即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后，系统能够恢复之前的各种状态的能力是不同的。,技术要求：,安全要求的增加,安全要求的增强,管理要求：,管理活动控制点的增加，每个控制点具体管理要求的增多,管理活动的能力逐步加强，借鉴能力成熟度模型（,CMM,）,等级保护技术要求归纳,13,个核心技术要求,涉及层面,涉及,1,级系统,涉及,2,级系统,涉及,3,级系统,涉及,4,级系统,身份鉴别和自主访问控制,网络、,主机、应用,强制访问控制,主机,安全审计,网络、,主机、应用,完整性和保密性保护,网络、,应用、数据,边界保护,网络,资源控制,网络、,主机、应用,入侵防范和恶意代码防范,网络、,主机、应用,可信路径设置,网络、,主机、应用,系统防渗透措施,网络、,主机、应用,安全管理平台设置,网络、,主机、应用,备份与恢复,网络、,数据,密码技术应用,网络、,主机、应用,环境与设施安全,物理,不同等级保护技术措施要求,不同等级保护技术措施要求,等级保护管理要求,安全管理制度,信息安全管理的前提,安全管理机构,信息安全管理的基础,人员安全管理,信息安全管理的保障,系统建设管理,围绕安全建设的设计、采购、实施，不断完善信息安全,系统运维管理,信息安全管理的核心,安全管理,安全管理的目标是让管理制度切实落地，日常运维是最繁杂的工作。,等级保护政策介绍和建设思路,等级保护政策介绍,等级保护政策解读,等级保护建设思路探讨,等保建设方案统一规划,等保分步实施实践,目录,建设思路：主动应对，借梯上楼,借梯上楼,方法：,以等保为契机，统一进行安全规划和建设，加强整个系统的信息安全,优点：,重整优化,IT,基础架构,有计划地满足等保,缺点：,改造工作资金投入较大,对象：,没有针对某安全体系标准进行重整过的,查漏补缺,方法：,在现有,IT,架构中收集证据，不满足的地方适当修补,优点：,改造工作资金投入小,缺点：,IT,架构越补越复杂，最后补不胜补,等保满足时间点不可预期,对象：,已经采用其他安全体系标准的,IT,系统，例如运营商,等保建设中常见的两种应对思路：借梯上楼是主动的改造思路。,对于大多数,IT,系统，建议采用“借梯上楼”的方法，优化,IT,架构，满足等保,分责运维,等级保护建设流程建议,广域网改造,数据中心安全,局域网加固,全网审计,安全管理中心,应急联动,分步建设,数据,中心,广域,网,局域,网,数据安全,应用,安全,主机安全,网络安全,物理安全,分区分域统一规划,关于统一规划三点建议,分区分域为基础,整个,IT,系统的安全基础在于信息资产的有序排列，排列方法即根据业务对资产分区分域，并针对性地实施安全策略。,分模块设计，便于分步建设,在分区分域基础上，统一规划，同时针对每个区域模块化设计，每区域可独立实施，方便后期分步建设。,注重技术支撑管理,规划方案中，管理的方便性做为统一规划的重点,“三分技术，七分管理”，通过技术手段，可以减少管理的工作量，让管理制度更好的落地。,公安部,等级保护设计要求,公安部,信息系统等级保护安全设计技术要求,设计要求从安全威胁角度的划分，高度抽象了安全关注的场景。,等保模块化设计框架,基础,网络,数据,中心,安全,管理,计算,存储,通信,安全监控,安全审计,CDP,远程灾备,应用安全,系统安全,以信息的三种状态为基础，针对等保物理、网络、系统、应用、数据技术方面要求和安全管理要求，划分出可分步实施的局域网、广域网、数据中心、安全管理中心等模块。,技术建设,漏洞监控，脆弱性管理,集中策略部署管理,行为监控,/,异常流量监控,安全事件集中采集监控,病毒集中采集监控,安全审计工具,风险评估工具,威胁定位，响应管理,管理建设,安全管理机构建设,安全管理制度完善,应急响应流程制定、演练,人员培训,安全区域划分，目标制定,符合法规要求,持续改进、优化、预防,重,技术、轻管理，或者是重管,理、轻,技术都是不可取的,技术与管理并重,分责运维：技术支撑管理,行为审计,安全监控,身份认证,权限控制,.,数据备份恢复,技术体系,管理体系,网络安全,主机安全,应用安全,数据安全,物理安全,通过技术手段，减轻运维中的工作量和复杂度，让管理制度更好落地,等级保护政策介绍和建设思路,等保建设方案统一规划,区域划分方法,分域设计方案,等保分步实施实践,目录,分区分域方法,横向分区，纵向分域,按照等保要求，业务系统需要保持边界完整性，横向分区保持业务系统隔离,纵向根据业务系统的不同角色，划分为数据中心,/,广域网,/,局域网,虚拟分区，灵活节约,多业务系统共用一套物理网络，虚拟分区保障业务系统隔离的同时，节省投资，在增加,/,变更业务系统时灵活方便,四级业务,四级业务,二级业务,一级业务,数据中心域,广域网安全域,局域网安全域,纵向分域,横向虚拟分区,三级业务,三级业务,分域：控制业务访问流程,按照业务访问流程，将整个网络划分为三个域：,数据中心、,广域网、,局域网,域之间进行严格的访问控制，针对攻击进行全面防范,域内包含多个业务的情况下，通过分区的方法进行隔离,权限控制,攻击防范,资源控制,链路安全,攻击防范,广域网优化,局域网,广域网,数据中心,终端,数据,数据备份,行为控制,行为审计,终端认证,分区：保持业务系统的独立性,通过分区，各业务系统具有独立的,IT,环境,保持边界完整，满足业务之间隔离需求,每套业务系统具有独立,资源,，更好满足业务连续性要求,分区隔离的方法,网络改造进行物理隔离，例如涉密内网与其他业务系统,结合应用类型采用,IPSec,或者,SSL,实现业务系统虚拟划分,局域网,广域网,数据中心,局域网,广域网,数据中心,局域网,广域网,数据中心,业务,A,业务,B,业务,C,IPSec,SSL,生产分区,物理资源,办公分区,Internet,分区,虚,拟,化分区,在一,套物,理资源上，,采用,VPN,技术为多个业务系统虚拟出隔离的,IT,环境,虚拟化分区具有独立的逻辑资源：,带宽、计算、策略数、管理员、,QoS,虚拟化分区：节省投资,数据中心,广域网,数据中心,广域网,数据中心,广域网,数据中心,广域网,等级保护政策介绍和建设思路,等保建设方案统一规划,区域划分方法,分域设计方案,等保分步实施实践,目录,数据中心对内服务域,非涉密内网办公域,Internet,外联域,网络核心交换域,分支,广域,网域,数据中心核心交换域,数据中心对外服务域,补丁与特征库升级服务域,网络与安全管理域,涉密内网办公域,异地灾备中心,VPN,路由器,SG,Internet,AD,等保分域设计方案,SSL/NGAF/AD,MPLS,数据中心区域,图例,局域网区域,广域网区域,安全管理中心,GAP,WOC,NGAF,BM,NGAF,AD,Internet,NGAF,NGAF,NGAF,NGAF,WOC,NGAF,金融行业,某政府行业,基础网络：拓扑,/,路由,/,资源共享,智能安全,数据灾难回复与备份,IP,智能管理中心,(IMC),战略与决策,资源化管理平台,广域网络,局域交换,接入网络,互联网,安全服务 无线服务 存储服务 计算服务 应急指挥服务 语音视讯服务,IP,网络存储,IP,监控,IP,集合通信,应用系统,三大业务平台：情报信息综合应用、警用地理信息应用、警务综合信息系统,8,大信息资源库,全国人口基本信息,全国出入境人员信息,全国机动车驾驶人信息,全国警员基本信息,全国在逃人员信息,全国违法犯罪人员信息,全国被盗抢汽车信息,全国安全重点单位信息,一类应用系统,信息中心,应急指挥中心,协作沟通平台,风,险,隐,患,检,测,防,控,指,挥,调,度,应,急,保,障,视频监控系统,摄像系统,显示系统,编码器,视频管理系统,智能分,析,模数互控,解码器,应,急,评,估,预,警,预,测,会,议,电,视,系,统,电,话,通,信,系,统,通信自动化系统,全国边防前台查询系统,全国公民出国境管理信息系统,全国境外人员管理信息系统,全国在逃人员信息系统,全国重大刑事案件信息系统,全国现场指纹远程传输系统,全国法轮功邪教组织重点人员,。,公安外事管理信息系统,公安部国有资产管理信息系统,公安信息网远程教育系统,公安部机关电子政务系统,公安信息化标准动态发布维护系统,公安档案信息管理系统,机要文件交换自动化管理系统,。,二三类应用系统,应急综合应用平台,等级保护政策介绍和建设思路,等保建设方案统一规划,区域划分方法,分域设计方案,等保分步实施实践,目录,三大区域的核心技术措施要求,编号,10,个核心技术要求,数据中心设计目标,广域网设计目标,局域网设计目标,1,身份鉴别和自主访问控制,是,是,是,2,安全审计,是,是,是,3,完整性和保密性保护,是,是,是,4,边界保护,是,是,是,5,资源控制,是,是,否,6,入侵防范和恶意代码防范,是,是,是,7,安全管理平台设置,是,是,是,8,备份与恢复,是,否,否,9,强制访问控制,是,否,否,10,环境与设施安全,是,是,是,措施解读,1,：身份鉴别和自主访问控制,第一级,第二级,第三级,第四级,总体要求,要求身份鉴别，允许设置给其他用户共享资源，限制非授权访问,(,同左,),(,增加,),采用两种以上身份识别技术,(,同左,),网络要求,防火墙要求有包过滤功能；,VPN,接入控制粒度为用户组,防火墙要求基于状态过滤；,VPN,接入控制粒度为单个用户,对便携设备接入进行控制；,VPN,实现分级分权访问,(SSL VPN),禁止通用协议和移动便携设备；禁止,VPN,用户接入,主机和应用要求,对操作系统和服务器进行访问控制,(,同左,),要求两种接入控制措施，可采取,Windows,域账户,/SSL VPN,相结合方式,(,同左,),应用访问控制,网站访问,言论发布,文件传输,邮件收发,IM/,P2P,等应用,控制与提醒,要求,1,：身份鉴别和自主访问控制（,1,）,需求描述,：,针对,互联网业务,鉴别,用户身份，对不同用户进行不同权限下发，控制其可访问的资源。,技术方案,：,通过,AC,或者,SG,针对用户互联网访问完成多维度的自主,访问控制,认证服务器,AC/SG,与或,组合,用户名密码,硬件特征码,短信认证,USB KEY,认证,动态令牌,CA,认证,LDAP,RADIUS,要求,1,：身份鉴别和自主访问控制（,2,）,需求描述：,对,关键业系统,的访问，,可进行身份鉴别并根据鉴别结果,设置细粒度的访问,权限。,技术方案：,通过,SSL,VPN,，结合多种认证方式，,控制内,/,外部,用户的,访问权限。,角色细粒度授权，,URL,级别授权,主从账号绑定,服务器地址伪装、资源隐藏,基于客户端安全级别的授权,应用权限控制,身份鉴别,局域网,广域网,数据中心,终端,系统,SSL,措施解读,2,：强制访问控制,第一级,第二级,第三级,第四级,总体要求,资源分类分级标记，按照访问控制策略，控制用户的访问要求,(,同左,),主机要求,主体粒度为用户级，对客体粒度为文件、数据库表/记录、字段级,（,建议采取SSL VPN配合数据库管理工具满足,）,(,同左,),措施解读,3,：安全审计,第一级,第二级,第三级,第四级,总体要求,对网络、主机、应用系统、用户行为进行审计、记录,(,增加,),对审计的统计分析和报警、确保审计记录可用，防止被非法访问和破坏,(,增加,),违例行为中止要求,网络、主机和应用要求,网络流量分析（,BM,）服务器访问和上网行为审计,(AC),对日志进行收集分析，输出审计报表；并增加抗抵赖要求,安全事件统一管理审计，跟踪监测到的安全侵害事件，并终止违规进程,病毒日志、安全日志等其他,文件传输、炒股、网游等各种行为,Email,、,Webmail,正文和附件,精细的,SSL,应用访问日志,URL,地址、网页内容、发贴内容,流量审计、时间审计,要求,3,：安全审计,需求描述：,覆盖,网络、安全、应用的行为,进行审计。,技术方案：,网络中旁,挂或者在线部署审计,系统，审计所有流量，分析网络,/,主机,/,应用行为，提供丰富的审计报表，定期自动发送。,局域网,广域网,数据中心,终端,系统,SSL,NGAF,AC,NGAF,要求,3,：安全审计（补充）,针对数据库、设备操作、主机等方面的审计,我们暂不涉及,收集,&,分析,Syslog,审计网关,操作日志,主机系统,SOC,系统事件,网络事件,行为事件,数据库事件,数据库系统,SNMP,网络系统,安全事件,防火墙,/IPS,行为日志,措施解读,4,：完整性和保密性保护,第一级,第二级,第三级,第四级,总体要求,数据和信息完整性要求,(,增加,),对信息加密、防泄漏、可重用要求,(,增加,),对信息完整性要求，重要信息恢复要求,(,同左,),网络要求,关注带宽和拓扑合理性,硬件冗余设计,(,双机热备,),和防地址欺骗功能,QoS,功能，配置恢复,应用要求,无,对敏感信息加密,(VPN),非对称密钥加密,(SSL VPN),硬件设备加密,(,网关,+USB Key),数据要求,有选择的备份,具备自动备份功能,剩余数据要清除,重要系统本地热备，异地备份,CDP,方案,),重要系统本,/,异地热备,(CDP,方案,),要求,4,：完整性和保密性,需求描述：,通过加密技术、完整性校验技术保障。,技术方案：,采用,SSL,或者,IPSec,VPN,的方式，,对内,/,外部,访问内容加密实现。,外部数据中心,接入点,移动用户,分支,/,机构,SSL,VPN,IPSec,VPN,IPSec/WOC/AC,EasyConn,SSL VPN,内部专网,分支,/,机构,EasyConn,内部数据中心,IPSec/SSL,二合一,业务,A,业务,B,SSL,VPN,引导虚拟门户，针对不同等级业务系统进行隔离,引导主从绑定、国密算法、精细控制,措施解读,5,：边界保护,第一级,第二级,第三级,第四级,总体要求,防止非授权外联要求,(,增加,),防止非授权接入、防止信息非授权交换,(,同左,),网络要求,防止内部用户非法外联,(NGAF,、,AC,、,SSL),(,增加,),防止非法接入网络,(,终端软件,),(,同左,),要求,5,：边界保护,需求描述：,保持边界完整性，业务系统之间隔离。,技术方案：,采用,NGAF+VPN,，,构造,2-7,层,的全面隔离体系。,物理层,链路层,网络层,传输层,会话层,表示层,应用层,基础,安全,深度,安全,N,G,A,F,VPN,如何定义边界：,通俗来说就是在各个安全域之间，可以有内部边界、外部边界等等。,内部边界：,数据中心内部、数据中心与广域网、广域网与局域网,外部边界：,外联区与互联网、局域网与互联网、,终端拨号,措施解读,6,：资源控制,第一级,第二级,第三级,第四级,总体要求,分配用户资源使用权限，保护主机和系统资源要求,(,增加,),对系统软硬件资源进行配置和检测，对违规使用行为进行报警要求,(,增加,),系统管理员配置和检测资源，安全管理员分配资源权限,应用和主机要求,通过,FW,控制单个用户和系统总共连接数,AC,控制单个用户对系统资源的使用；,AD,对服务资源进行检测和分配,全部资源采取优先级访问；限制违规终端登陆,要求,5,：入侵防范和恶意代码防范,需求描述：,保护终端和服务器不受入侵,/,病毒的攻击。,技术方案：,采用,NGAF/AC,及,网络版防,病毒软件,，实现从终端到应用系统的端到端防护，,保障特征库的即时升级。,终端安全,终端安全检查,URL,过滤,过滤脚本、插件,危险流量封堵,查杀木马、病毒,系统安全,服务器隐藏,Web,防护,漏洞防护,抗,DDoS,查杀木马、病毒,局域网,广域网,数据中心,终端,系统,措施解读,7,：入侵防范和恶意代码防范,第一级,第二级,第三级,第四级,总体要求,要求防范病毒等恶意代码,(,增加,),检测入侵攻击网络、系统行为要求,(,增加,),防范恶意代码入侵、植入、发作、传播要求，报警和清除要求,(,增加,),实时报警和清除措施,网络、主机和应用要求,重要服务器安装杀毒软件，并实时升级,(,终端软件自动完成,),服务器和重要终端安全杀毒软件；,边界有入侵检测和防病毒网关,(,推荐具有专业病毒库的,IPS,实现,(,增加,),攻击日志记录，通过安全管理中心,记录入侵源、目的、类型、时间等,(,增加,),入侵实时告警、阻断；,所有服务器和终端安装杀毒软件,要求,6,：资源控制,需求描述：,保护,服务器、带宽等资源,的合理分配。,技术方案：,网络资源控制，,部署广域网优化,WOC,，为广域网传输过程中的关键业务提供,带宽保障。服务器资源控制，,部署应用交付,AD,设备，,限制访问者及其连接数，提升服务器的响应速度和计算性能，节省服务器资源。,负荷,80,负荷,80,负荷,80,广域网,控制服务器最大连接数,控制单用户新建连接、并发连接、超时连接,提升服务器对用户请求的响应速度,根据用户、业务类别，分配不同的带宽资源,提供数据、链路、应用的全面优化，提升广域网访问速度,应用交付,AD,广域网优化,WOC,措施解读,10,：安全管理平台,第一级,第二级,第三级,第四级,总体要求,要求进行集中安全管理和控制,(,同左,),网络、主机和应用要求,建立安管中心统一收集日志，下发安全策略，统一升级病毒特征库,(,同左,),需求,10,：安全管理平台设置,需求描述：,集中策略部署，集中审计，集中响应。,技术方案：,数据中心的安全事件必须及时上报道安全管理平台，且接受管理平台统一的策略部署。,支持将所有产品的安全事件支持统一上报,SOC,，由安全管理中心进行联动分析,SOC,措施解读,11,：备份与恢复,第一级,第二级,第三级,第四级,总体要求,要求系统资源本、异地备份，能够有效恢复,(,同左,),网络和数据要求,对重要业务本地热备、异地备份,(CDP,方案,),，网络设备、通信线路和服务器硬件冗余,所有数据本,/,异地实时备份，并且有灾备要求,(CDP,方案,),需求,10,：备份与恢复,需求描述：,数据及时备份，发生威胁时可快速恢复业务。,技术方案：,通过,CDP,及,WSAN,技术，提供实时远程的备份恢复功能。,FC,磁盘阵列,虚拟化,虚拟化,IPSAN,系列,灾备,生产卷,C,快照,快照,快照,备份卷,B,生产卷,A,生产卷,B,快照,快照,快照,备份卷,C,快照,快照,快照,备份卷,A,可,达秒级的最佳数据恢复技术,自动连续快照保护，预防软灾难,支持小带宽的广,域,网备份,实时在线备份与恢复,NAS,其他技术要求,编号,目标,实现方法,9,强制访问控制,配置操作系统，使用户不可阅读超出权限文档，也不可写文档为低权限。即做到“不上读，不下写”。,10,可信路径设置（四级要求）,要求,VPN,在用户身,份认证之前建立,。,H3CVPN,产品均在身份认证前有加密保护措施。,11,系统防渗透措施（四级要求）,关闭主机编程功,能。例如禁止,ActiveX,，禁止,Coding,，禁止,Email,附件的运行等,12,密码技术应用,所购买密码产品需要满足国家密码管理办公室规定，有相关认证,13,环境与设施安全,机房与办公场所按,照国标,GB50173-93,电子计算机机房设计规范,GB2887-89,计算站场地技术条件,、,GB9361-88,计算站场地安全要求,建设,等保方案设计,数据中心对内服务区,SSL VPN,业务,A,业务,B,业务,C,核心交,换,汇聚交,换,NGAF,资源优化与控制,安全加固,安全管理平台,方案描述,NGAF,：,有效防范,27,层,攻击，进行应用访问控制,AD,：,限制单用户资源分配，提升服务器响应速度和处理能力，提供,SSL,加密,SSL VPN,：,保证链路安全性，实现业务系统间的安全隔离和精细化控制，并进行访问审计,APM,：,针对业务连续性提供监测依据,异地备份恢复中心,AD,园区网,广域网,APM,Internet,外,网,NGAF,托管区边界,FW,互联网,接口,DMZ,区,服务,托管区,内网区,AD,AD,链路分担,NGAF,等保方案设计,数据中心对外服务区,网银,WEB,网银,APP,网银,DB,数据中心核心层交换机,服务器分担,AD,SSL VPN,NGAF,方案描述,IPSec VPN,：,实现跨广域网的加密传输,/,不同级别系统隔离需求,NGAF,：,配合,VPN,，防范广域网上,27,层攻击,WOC,：,实现全,网带宽合理分配，提供,QoS,带宽保障,双链路冗余：,根据等保要求，广域网链路采用双链路冗余。,等保方案设计,骨干链路,专网,/,互联网,网络核心交换区,IPSec VPN,CE,IPSec+MPLS,隧道,数据中心,业务系统,2,业务系统,1,访问者区域,IPSec+MPLS,隧道,业务系统,2,访问者区域,WOC,核心分布式部署,NGAF,数据中心,业务系统,1,二合一方案,IPSec VPN,WOC,NGAF,深信服产品部署图,数据中心对内服务域,非涉密内网办公域,Internet,外联域,网络核心交换域,分支,广域,网域,数据中心核心交换域,数据中心对外服务域,补丁与特征库升级服务域,网络与安全管理域,涉密内网办公域,异地灾备中心,VPN,路由器,SG,Internet,AD,SSL/NGAF/AD,MPLS,数据中心区域,图例,局域网区域,广域网区域,安全管理中心,GAP,WOC,NGAF,BM,NGAF,AD,Internet,NGAF,NGAF,NGAF,NGAF,WOC,NGAF,数据中,心,身份鉴别和自主访问控制,安全审计,完整性和保密性保护,边界保护,资源控制,入侵防范和恶意代码防范,安全管理平台设置,备份与恢复,强制访问控制,可信路径设置,系统防渗透措施,密码技术应用,环境与设施安全,局域网,身份鉴别和自主访问控制,安全审计,完整性和保密性保护,边界保护,资源控制,入侵防范和恶意代码防范,密码技术应用,环境与设施安全,安全管理中心,广域网,身份鉴别和自主访问控制,安全审计,完整性和保密性保护,边界保护,环境与设施安全,等保需求覆盖总图,深信服产品与基本要求的对应,基本要求,对应解决方案,网络安全,结构安全,WOC/BM/AD,访问控制,AF,安全审计,AC,边界完整性检查,AC,入侵防范,AF,恶意代码防范,AF,主机安全,资源控制,APM,应用安全,身份鉴别,SSL VPN/EasyConnect,访问控制,SSL VPN/EasyConnect,安全审计,SSL VPN/EasyConnect,通信完整性,SSL VPN/EasyConnect,通信保密性,SSL VPN/EasyConnect,资源控制,APM,数据安全及备份恢复,数据完整性,WOC/IPSEC VPN,数据保密性,WOC/IPSEC VPN,备份和恢复,WOC/BM/AD,等级保护政策介绍和建设思路,等保建设方案统一规划,注意事项,目录,注意事项,三个重点,重点通过,VPN,实现不同级别系统之间的隔离,重点通过,NGAF,实现不同区域边界之间的隔离,重点通过,AC,实现互联网访问的审计和控制,两个结合,结合在进行的,IT,系统改造项目，充分考虑等级保护的要求,结合各行业的等保落地规范要求，如证券、运营商等,一个认证,关注各省保密局或网监要求的安全设备入围认证要求,