等级保护建设培训课件

信息安全等级保护建设信息安全等级保护建设1了解等保政策与技术要求我司产品如何与等保要求对应关系培训目的了解等保政策与技术要求培训目的2等级保护政策介绍和建设思路等保建设方案统一规划等保项目注意事项目录等级保护政策介绍和建设思路目录3等级保护政策介绍和建设思路等级保护政策介绍等级保护政策解读等级保护建设思路探讨等保建设方案统一规划等保项目注意事项目录等级保护政策介绍和建设思路目录4信息安全等级保护制度信息安全等级保护（以下简称等保）是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护制度信息安全等级保护（以下简称等保）是指对国5等保的5个监管等级对象等级合法权益社会秩序和

公共利益国家安全损害严重损害损害严重损害特别严

重损害损害严重损害特别严重损害一般

系统一级√二级√√重要

系统三级√√四级√√极端重

要系统五级√等保采用分系统定级的方法，当拥有多个信息系统时，需要分别进行定级，并分别进行保护。在五个监管等级中，三级与四级系统为监管的重点，也是建设的重点。等保的5个监管等级对象等级合法权益社会秩序和

公共利益国家安决定等级的主要因素分析信息系统所属类型业务数据类别信息系统服务范围业务处理的自动化程度业务重要性业务数据安全性业务处理连续性业务依赖性基于业务的重要性和依赖性分析关键要素，确定业务数据安全性和业务处理连续性要求。业务数据安全性业务处理连续性信息系统安全保护等级根据业务数据安全性和业务处理连续性要求确定安全保护等级。从等保的定级要求可以看出，等保关注的重点在于业务的可靠性和信息保密性。决定等级的主要因素分析信息系统所属类型业务数据类别信息系统服7不同级别之间保护能力的区别总体来看，各级系统应对威胁的能力不同，即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后，系统能够恢复之前的各种状态的能力是不同的。一级具有15个技术目标，16个管理目标；二级具有29个技术目标，25个管理目标；三级具有36个技术目标，27个管理目标；四级具有41个技术目标，28个管理目标。技术要求的变化包括：安全要求的增加安全要求的增强管理要求的变化包括：管理活动控制点的增加，每个控制点具体管理要求的增多管理活动的能力逐步加强，借鉴能力成熟度模型（CMM）不同级别之间保护能力的区别总体来看，各级系统应对威胁的能力不8安全控制定级指南过程方法确定系统等级启动采购/开发实施运行/维护废弃确定安全需求设计安全方案安全建设安全测评监督管理运行维护暂不考虑特殊需求等级需求基本要求产品使用选型监督管理测评准则流程方法监管流程应急预案应急响应等级保护定义的信息安全建设过程等级保护工作对应完整的信息安全建设生命周期安全定级指南过程确定系统等级启动采购/开发实施运行/维护废弃9等级保护建设的一般过程整改评估定级评测确定系统或者子系统的安全等级依据等级要求，对现有技术和管理手段的进行评估，并给出改进建议针对评估过程中发现的不满足等保要求的地方进行整改评测机构依据等级要求，对系统是否满足要求进行评测，并给出结论监管对系统进行周期性的检查，以确定系统依然满足等级保护的要求等级保护建设的一般过程整改评估定级评测确定系统或者子系统的安10等级保护政策介绍和建设思路等级保护政策介绍等级保护政策与技术解读等级保护建设思路探讨等保建设方案统一规划等保分步实施实践目录等级保护政策介绍和建设思路目录11等保的地位和作用是信息安全工作的基本制度；是信息安全工作的基本国策；是信息安全工作的基本方法；是保护信息化、维护国家信息安全的根本保障，是国家意志的体现；是开展信息安全工作的抓手，也是灵魂。——摘自公安部的领导讲话等保的地位和作用是信息安全工作的基本制度；——摘自公安部的领12等保核心思想：适度安全信息安全工作中，等保给予用户明确的目标，帮助用户更清晰的认识安全薄弱环节。没有100%的安全，适度安全的核心思想让用户达到投资/收益最佳比。系统重要程度系统保护要求安全基线安全基线安全基线一级二级三级四级等保核心思想：适度安全信息安全工作中，等保给予用户明确的目标13等保基本保护要求框架物理安全安全管理制度网络安全系统安全应用安全数据安全安全管理机构人员安全管理系统建设管理系统运维管理技术要求管理要求某级要求等保基本保护要求框架物理安全安全管理制度网络安全系统安全应用14等保不同级别的保护能力的区别各级系统应对威胁的能力不同，即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后，系统能够恢复之前的各种状态的能力是不同的。技术要求：安全要求的增加安全要求的增强管理要求：管理活动控制点的增加，每个控制点具体管理要求的增多管理活动的能力逐步加强，借鉴能力成熟度模型（CMM）等保不同级别的保护能力的区别各级系统应对威胁的能力不同，即能15等级保护技术要求归纳13个核心技术要求涉及层面涉及1级系统涉及2级系统涉及3级系统涉及4级系统身份鉴别和自主访问控制网络、主机、应用√√√√强制访问控制主机

√√安全审计网络、主机、应用

√√√完整性和保密性保护网络、应用、数据√√√√边界保护网络

√√√资源控制网络、主机、应用√√√入侵防范和恶意代码防范网络、主机、应用√√√√可信路径设置网络、主机、应用√系统防渗透措施网络、主机、应用√安全管理平台设置网络、主机、应用√√备份与恢复网络、数据√√密码技术应用网络、主机、应用√√环境与设施安全物理√√√√等级保护技术要求归纳13个核心技术要求涉及层面涉及1级系统涉16不同等级保护技术措施要求不同等级保护技术措施要求17不同等级保护技术措施要求不同等级保护技术措施要求18等级保护管理要求安全管理制度信息安全管理的前提安全管理机构信息安全管理的基础人员安全管理信息安全管理的保障系统建设管理围绕安全建设的设计、采购、实施，不断完善信息安全系统运维管理信息安全管理的核心安全管理安全管理的目标是让管理制度切实落地，日常运维是最繁杂的工作。等级保护管理要求安全管理制度安全管理机构人员安全管理系统建设19等级保护政策介绍和建设思路等级保护政策介绍等级保护政策解读等级保护建设思路探讨等保建设方案统一规划等保分步实施实践目录等级保护政策介绍和建设思路目录20建设思路：主动应对，借梯上楼借梯上楼方法：以等保为契机，统一进行安全规划和建设，加强整个系统的信息安全优点：重整优化IT基础架构有计划地满足等保缺点：改造工作资金投入较大对象：没有针对某安全体系标准进行重整过的查漏补缺方法：在现有IT架构中收集证据，不满足的地方适当修补优点：改造工作资金投入小缺点：IT架构越补越复杂，最后补不胜补等保满足时间点不可预期对象：已经采用其他安全体系标准的IT系统，例如运营商等保建设中常见的两种应对思路：借梯上楼是主动的改造思路。对于大多数IT系统，建议采用“借梯上楼”的方法，优化IT架构，满足等保建设思路：主动应对，借梯上楼借梯上楼查漏补缺等保建设中常21分责运维等级保护建设流程建议广域网改造数据中心安全局域网加固全网审计安全管理中心应急联动分步建设数据中心广域网局域网数据安全应用安全主机安全网络安全物理安全分区分域统一规划分责运维等级保护建设流程建议广域网改造局域网加固安全管理中心22关于统一规划三点建议分区分域为基础整个IT系统的安全基础在于信息资产的有序排列，排列方法即根据业务对资产分区分域，并针对性地实施安全策略。分模块设计，便于分步建设在分区分域基础上，统一规划，同时针对每个区域模块化设计，每区域可独立实施，方便后期分步建设。注重技术支撑管理规划方案中，管理的方便性做为统一规划的重点“三分技术，七分管理”，通过技术手段，可以减少管理的工作量，让管理制度更好的落地。关于统一规划三点建议分区分域为基础23公安部《等级保护设计要求》公安部《信息系统等级保护安全设计技术要求》设计要求从安全威胁角度的划分，高度抽象了安全关注的场景。公安部《等级保护设计要求》公安部《信息系统等级保护安全设计技24等保模块化设计框架基础

网络数据

中心安全

管理计算存储通信安全监控安全审计CDP远程灾备应用安全系统安全以信息的三种状态为基础，针对等保物理、网络、系统、应用、数据技术方面要求和安全管理要求，划分出可分步实施的局域网、广域网、数据中心、安全管理中心等模块。等保模块化设计框架基础

网络数据

中心安全

管理计算存储通信25技术建设漏洞监控，脆弱性管理集中策略部署管理行为监控/异常流量监控安全事件集中采集监控病毒集中采集监控安全审计工具风险评估工具威胁定位，响应管理管理建设安全管理机构建设安全管理制度完善应急响应流程制定、演练人员培训安全区域划分，目标制定符合法规要求持续改进、优化、预防重技术、轻管理，或者是重管理、轻技术都是不可取的技术与管理并重技术建设漏洞监控，脆弱性管理集中策略部署管理行为监控/异常流26分责运维：技术支撑管理行为审计安全监控身份认证权限控制......数据备份恢复技术体系管理体系网络安全主机安全应用安全数据安全物理安全通过技术手段，减轻运维中的工作量和复杂度，让管理制度更好落地分责运维：技术支撑管理行为审计身份认证......数据备份恢27等级保护政策介绍和建设思路等保建设方案统一规划区域划分方法分域设计方案等保分步实施实践目录等级保护政策介绍和建设思路目录28分区分域方法横向分区，纵向分域按照等保要求，业务系统需要保持边界完整性，横向分区保持业务系统隔离纵向根据业务系统的不同角色，划分为数据中心/广域网/局域网虚拟分区，灵活节约多业务系统共用一套物理网络，虚拟分区保障业务系统隔离的同时，节省投资，在增加/变更业务系统时灵活方便四级业务四级业务二级业务一级业务数据中心域广域网安全域局域网安全域纵向分域横向虚拟分区三级业务三级业务分区分域方法横向分区，纵向分域四级业务四级业务二级业务一级业29分域：控制业务访问流程按照业务访问流程，将整个网络划分为三个域：数据中心、广域网、局域网域之间进行严格的访问控制，针对攻击进行全面防范域内包含多个业务的情况下，通过分区的方法进行隔离权限控制攻击防范资源控制链路安全攻击防范广域网优化局域网广域网数据

中心终端数据数据备份行为控制行为审计

终端认证分域：控制业务访问流程按照业务访问流程，将整个网络划分为三个30分区：保持业务系统的独立性通过分区，各业务系统具有独立的IT环境保持边界完整，满足业务之间隔离需求每套业务系统具有独立资源，更好满足业务连续性要求分区隔离的方法网络改造进行物理隔离，例如涉密内网与其他业务系统结合应用类型采用IPSec或者SSL实现业务系统虚拟划分局域网广域网数据

中心局域网广域网数据

中心局域网广域网数据

中心业务A业务B业务CIPSecSSL分区：保持业务系统的独立性通过分区，各业务系统具有独立的IT31生产分区物理资源办公分区Internet分区虚拟化分区在一套物理资源上，采用VPN技术为多个业务系统虚拟出隔离的IT环境虚拟化分区具有独立的逻辑资源：带宽、计算、策略数、管理员、QoS虚拟化分区：节省投资数据中心广域网数据中心广域网数据中心广域网数据中心广域网生产分区物理资源办公分区Internet分区虚拟化分区在一套32等级保护政策介绍和建设思路等保建设方案统一规划区域划分方法分域设计方案等保分步实施实践目录等级保护政策介绍和建设思路目录33数据中心对内服务域非涉密内网办公域Internet外联域网络核心交换域分支广域网域数据中心核心交换域数据中心对外服务域补丁与特征库升级服务域网络与安全管理域涉密内网办公域异地灾备中心VPN路由器SGInternetAD等保分域设计方案SSL/NGAF/ADMPLS数据中心区域图例局域网区域广域网区域安全管理中心GAPWOCNGAFBMNGAFADInternetNGAFNGAFNGAFNGAFWOCNGAF数据中心对内服务域非涉密内网办公域Internet外联域网34金融行业金融行业35某政府行业基础网络：拓扑/路由/资源共享智能安全数据灾难回复与备份IP智能管理中心(IMC)战略与决策资源化管理平台广域网络局域交换接入网络互联网安全服务无线服务存储服务计算服务应急指挥服务语音视讯服务IP网络存储IP监控IP集合通信应用系统三大业务平台：情报信息综合应用、警用地理信息应用、警务综合信息系统8大信息资源库全国人口基本信息全国出入境人员信息全国机动车驾驶人信息全国警员基本信息全国在逃人员信息全国违法犯罪人员信息全国被盗抢汽车信息全国安全重点单位信息一类应用系统信息中心应急指挥中心协作沟通平台风险隐患检测防控指挥调度应急保障视频监控系统摄

像

系

统显

示

系

统编

码

器视频管理系统智

能

分析模

数

互

控解

码

器应急评估预警预测会议电视系统电话通信系统通信自动化系统全国边防前台查询系统全国公民出国境管理信息系统全国境外人员管理信息系统全国在逃人员信息系统全国重大刑事案件信息系统全国现场指纹远程传输系统全国法轮功邪教组织重点人员。。。。公安外事管理信息系统公安部国有资产管理信息系统公安信息网远程教育系统公安部机关电子政务系统公安信息化标准动态发布维护系统公安档案信息管理系统机要文件交换自动化管理系统。。。。二三类应用系统应急综合应用平台某政府行业基础网络：拓扑/路由/资源共享智能安全数据灾难回复36等级保护政策介绍和建设思路等保建设方案统一规划区域划分方法分域设计方案等保分步实施实践目录等级保护政策介绍和建设思路目录37三大区域的核心技术措施要求编号10个核心技术要求数据中心

设计目标广域网

设计目标局域网

设计目标1身份鉴别和自主访问控制是是是2安全审计是是是3完整性和保密性保护是是是4边界保护是是是5资源控制是是否6入侵防范和恶意代码防范是是是7安全管理平台设置是是是8备份与恢复是否否9强制访问控制是否否10环境与设施安全是是是三大区域的核心技术措施要求编号10个核心技术要求数据中心

设38措施解读1：身份鉴别和自主访问控制第一级第二级第三级第四级总体

要求要求身份鉴别，允许设置给其他用户共享资源，限制非授权访问(同左)(增加)采用两种以上身份识别技术(同左)网络

要求防火墙要求有包过滤功能；VPN接入控制粒度为用户组防火墙要求基于状态过滤；VPN接入控制粒度为单个用户对便携设备接入进行控制；VPN实现分级分权访问(SSLVPN)禁止通用协议和移动便携设备；禁止VPN用户接入主机

和应用

要求对操作系统和服务器进行访问控制(同左)要求两种接入控制措施，可采取Windows域账户/SSLVPN相结合方式(同左)措施解读1：身份鉴别和自主访问控制第一级第二级第三级第四级总应用访问控制网站访问言论发布文件传输邮件收发IM/P2P等应用控制与提醒要求1：身份鉴别和自主访问控制（1）需求描述：针对互联网业务鉴别用户身份，对不同用户进行不同权限下发，控制其可访问的资源。技术方案：通过AC或者SG针对用户互联网访问完成多维度的自主访问控制认证服务器AC/SG应用访问控制要求1：身份鉴别和自主访问控制（1）需求描述：针40与或

组合用户名密码硬件特征码短信认证USBKEY认证动态令牌CA认证LDAPRADIUS要求1：身份鉴别和自主访问控制（2）需求描述：对关键业系统的访问，可进行身份鉴别并根据鉴别结果设置细粒度的访问权限。技术方案：通过SSL

VPN，结合多种认证方式，控制内/外部用户的访问权限。角色细粒度授权，URL级别授权主从账号绑定服务器地址伪装、资源隐藏基于客户端安全级别的授权应用权限控制身份鉴别局域网广域网数据

中心终端系统SSL与或

组合用户名密码硬件特征码短信认证USBKEY认证动态41措施解读2：强制访问控制第一级第二级第三级第四级总体要求资源分类分级标记，按照访问控制策略，控制用户的访问要求(同左)主机要求主体粒度为用户级，对客体粒度为文件、数据库表/记录、字段级（建议采取SSLVPN配合数据库管理工具满足）(同左)措施解读2：强制访问控制第一级第二级第三级第四级总体要求资源措施解读3：安全审计第一级第二级第三级第四级总体

要求对网络、主机、应用系统、用户行为进行审计、记录(增加)对审计的统计分析和报警、确保审计记录可用，防止被非法访问和破坏(增加)违例行为中止要求网络、主机

和应用

要求网络流量分析（BM）服务器访问和上网行为审计(AC)对日志进行收集分析，输出审计报表；并增加抗抵赖要求安全事件统一管理审计，跟踪监测到的安全侵害事件，并终止违规进程措施解读3：安全审计第一级第二级第三级第四级总体

要求对网络病毒日志、安全日志等其他文件传输、炒股、网游等各种行为Email、Webmail正文和附件精细的SSL应用访问日志URL地址、网页内容、发贴内容流量审计、时间审计要求3：安全审计需求描述：覆盖网络、安全、应用的行为进行审计。技术方案：网络中旁挂或者在线部署审计系统，审计所有流量，分析网络/主机/应用行为，提供丰富的审计报表，定期自动发送。局域网广域网数据

中心终端系统SSLNGAFACNGAF病毒日志、安全日志等其他文件传输、炒股、网游等各种行为Ema44要求3：安全审计（补充）针对数据库、设备操作、主机等方面的审计我们暂不涉及收集&分析Syslog审计网关操作日志主机系统SOC系统事件网络事件行为事件数据库事件数据库系统SNMP网络系统安全事件防火墙/IPS行为日志要求3：安全审计（补充）针对数据库、设备操作、主机等方面的审45措施解读4：完整性和保密性保护第一级第二级第三级第四级总体

要求数据和信息完整性要求(增加)对信息加密、防泄漏、可重用要求(增加)对信息完整性要求，重要信息恢复要求(同左)网络

要求关注带宽和拓扑合理性硬件冗余设计(双机热备)和防地址欺骗功能QoS功能，配置恢复应用

要求无对敏感信息加密(VPN)非对称密钥加密(SSLVPN)硬件设备加密(网关+USBKey)数据

要求有选择的备份具备自动备份功能剩余数据要清除重要系统本地热备，异地备份CDP方案)重要系统本/异地热备(CDP方案)措施解读4：完整性和保密性保护第一级第二级第三级第四级总体

要求4：完整性和保密性需求描述：通过加密技术、完整性校验技术保障。技术方案：采用SSL或者IPSec

VPN的方式，对内/外部访问内容加密实现。外部数据中心接入点移动用户分支/机构SSL

VPNIPSec

VPNIPSec/WOC/ACEasyConnSSLVPN内部专网分支/机构EasyConn内部数据中心IPSec/SSL二合一业务A业务BSSL

VPN引导虚拟门户，针对不同等级业务系统进行隔离引导主从绑定、国密算法、精细控制要求4：完整性和保密性需求描述：通过加密技术、完整性校验技术47措施解读5：边界保护第一级第二级第三级第四级总体

要求防止非授权外联要求(增加)防止非授权接入、防止信息非授权交换(同左)网络

要求防止内部用户非法外联(NGAF、AC、SSL)(增加)防止非法接入网络(终端软件)(同左)措施解读5：边界保护第一级第二级第三级第四级总体

要求防止非要求5：边界保护需求描述：保持边界完整性，业务系统之间隔离。技术方案：采用NGAF+VPN，构造2-7层的全面隔离体系。物理层链路层网络层传输层会话层表示层应用层基础安全深度安全NGAFVPN如何定义边界：通俗来说就是在各个安全域之间，可以有内部边界、外部边界等等。内部边界：数据中心内部、数据中心与广域网、广域网与局域网外部边界：外联区与互联网、局域网与互联网、终端拨号要求5：边界保护需求描述：保持边界完整性，业务系统之间隔离。49措施解读6：资源控制第一级第二级第三级第四级总体

要求分配用户资源使用权限，保护主机和系统资源要求(增加)对系统软硬件资源进行配置和检测，对违规使用行为进行报警要求(增加)系统管理员配置和检测资源，安全管理员分配资源权限应用

和主机要求通过FW控制单个用户和系统总共连接数AC控制单个用户对系统资源的使用；AD对服务资源进行检测和分配全部资源采取优先级访问；限制违规终端登陆措施解读6：资源控制第一级第二级第三级第四级总体

要求分配用要求5：入侵防范和恶意代码防范需求描述：保护终端和服务器不受入侵/病毒的攻击。技术方案：采用NGAF/AC及网络版防病毒软件

，实现从终端到应用系统的端到端防护，保障特征库的即时升级。终端安全终端安全检查

URL过滤过滤脚本、插件危险流量封堵查杀木马、病毒

系统安全

服务器隐藏

Web防护

漏洞防护

抗DDoS查杀木马、病毒

局域网广域网数据

中心终端系统要求5：入侵防范和恶意代码防范需求描述：保护终端和服务器不受51措施解读7：入侵防范和恶意代码防范第一级第二级第三级第四级总体

要求要求防范病毒等恶意代码(增加)检测入侵攻击网络、系统行为要求(增加)防范恶意代码入侵、植入、发作、传播要求，报警和清除要求(增加)实时报警和清除措施网络、主机

和应用要求重要服务器安装杀毒软件，并实时升级(终端软件自动完成)服务器和重要终端安全杀毒软件；边界有入侵检测和防病毒网关(推荐具有专业病毒库的IPS实现(增加)攻击日志记录，通过安全管理中心

记录入侵源、目的、类型、时间等(增加)入侵实时告警、阻断；所有服务器和终端安装杀毒软件措施解读7：入侵防范和恶意代码防范第一级第二级第三级第四级总要求6：资源控制需求描述：保护服务器、带宽等资源的合理分配。技术方案：网络资源控制，部署广域网优化WOC，为广域网传输过程中的关键业务提供带宽保障。服务器资源控制，部署应用交付AD设备，限制访问者及其连接数，提升服务器的响应速度和计算性能，节省服务器资源。负荷80％负荷80％负荷80％广域网控制服务器最大连接数控制单用户新建连接、并发连接、超时连接提升服务器对用户请求的响应速度根据用户、业务类别，分配不同的带宽资源提供数据、链路、应用的全面优化，提升广域网访问速度应用交付AD广域网优化WOC要求6：资源控制需求描述：保护服务器、带宽等资源的合理分配。53措施解读10：安全管理平台第一级第二级第三级第四级总体

要求要求进行集中安全管理和控制(同左)网络、主机

和应用

要求建立安管中心统一收集日志，下发安全策略，统一升级病毒特征库(同左)措施解读10：安全管理平台第一级第二级第三级第四级总体

要求需求10：安全管理平台设置需求描述：集中策略部署，集中审计，集中响应。技术方案：数据中心的安全事件必须及时上报道安全管理平台，且接受管理平台统一的策略部署。支持将所有产品的安全事件支持统一上报SOC，由安全管理中心进行联动分析SOC需求10：安全管理平台设置需求描述：集中策略部署，集中审计，55措施解读11：备份与恢复第一级第二级第三级第四级总体

要求要求系统资源本、异地备份，能够有效恢复(同左)网络

和数据要求对重要业务本地热备、异地备份(CDP方案)，网络设备、通信线路和服务器硬件冗余所有数据本/异地实时备份，并且有灾备要求(CDP方案)措施解读11：备份与恢复第一级第二级第三级第四级总体

要求要需求10：备份与恢复需求描述：数据及时备份，发生威胁时可快速恢复业务。技术方案：通过CDP及WSAN技术，提供实时远程的备份恢复功能。FC磁盘阵列虚拟化虚拟化IPSAN系列灾备生产卷C快照快照快照备份卷B生产卷A生产卷B快照快照快照备份卷C快照快照快照备份卷A可达秒级的最佳数据恢复技术自动连续快照保护，预防软灾难支持小带宽的广域网备份实时在线备份与恢复NAS需求10：备份与恢复需求描述：数据及时备份，发生威胁时可快速57其他技术要求编号目标实现方法9强制访问控制配置操作系统，使用户不可阅读超出权限文档，也不可写文档为低权限。即做到“不上读，不下写”。10可信路径设置（四级要求）要求VPN在用户身份认证之前建立。H3CVPN产品均在身份认证前有加密保护措施。11系统防渗透措施（四级要求）关闭主机编程功能。例如禁止ActiveX，禁止Coding，禁止Email附件的运行等12密码技术应用所购买密码产品需要满足国家密码管理办公室规定，有相关认证13环境与设施安全机房与办公场所按照国标GB50173-93《电子计算机机房设计规范》GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》建设其他技术要求编号目标实现方法9强制访问控制配置操作系统，使用58等保方案设计——数据中心对内服务区SSLVPN业务A业务B业务C核心交换汇聚交换NGAF资源优化与控制安全加固安全管理平台方案描述NGAF：有效防范2~7层攻击，进行应用访问控制AD：限制单用户资源分配，提升服务器响应速度和处理能力，提供SSL加密SSLVPN：保证链路安全性，实现业务系统间的安全隔离和精细化控制，并进行访问审计APM：针对业务连续性提供监测依据异地备份恢复中心AD园区网广域网APM等保方案设计——数据中心对内服务区SSLVPN业务A业务B59Internet外网NGAF托管区边界FW互联网接口DMZ区服务托管区内网区ADAD链路分担NGAF等保方案设计——数据中心对外服务区网银WEB网银APP网银DB数据中心核心层交换机服务器分担ADSSLVPNNGAFInternet外网NGAF托管区边界FW互联网DMZ区服务方案描述IPSecVPN：实现跨广域网的加密传输/不同级别系统隔离需求NGAF：配合VPN，防范广域网上2~7层攻击WOC：实现全网带宽合理分配，提供QoS带宽保障双链路冗余：根据等保要求，广域网链路采用双链路冗余。等保方案设计——骨干链路专网/互联网网络核心交换区IPSecVPNCEIPSec+MPLS隧道数据中心业务系统2业务系统1访问者区域IPSec+MPLS隧道业务系统2访问者区域WOC核心分布式部署NGAF数据中心业务系统1二合一方案IPSecVPNWOCNGAF方案描述等保方案设计——骨干链路专网/互联网网络核心交换区I61数据中心对内服务域非涉密内网办公域Internet外联域网络核心交换域分支广域网域数据中心核心交换域数据中心对外服务域补丁与特征库升级服务域网络与安全管理域涉密内网办公域异地灾备中心VPN路由器SGInternetADSSL/NGAF/ADMPLS数据中心区域图例局域网区域广域网区域安全管理中心GAPWOCNGAFBMNGAFADInternetNGAFNGAFNGAFNGAFWOCNGAF数据中心身份鉴别和自主访问控制安全审计完整性和保密性保护边界保护资源控制入侵防范和恶意代码防范安全管理平台设置备份与恢复强制访问控制可信路径设置系统防渗透措施密码技术应用环境与设施安全局域网身份鉴别和自主访问控制安全审计完整性和保密性保护边界保护资源控制入侵防范和恶意代码防范密码技术应用环境与设施安全安全管理中心广域网身份鉴别和自主访问控制安全审计完整性和保密性保护边界保护环境与设施安全等保需求覆盖总图数据中心对内服务域非涉密内网办公域Internet外联域网62等级保护政策介绍和建设思路等保建设方案统一规划注意事项目录等级保护政策介绍和建设思路目录63注意事项三个重点重点通过VPN实现不同级别系统之间的隔离重点通过NGAF实现不同区域边界之间的隔离重点通过AC实现互联网访问的审计和控制两个结合结合在进行的IT系统改造项目，充分考虑等级保护的要求结合各行业的等保落地规范要求，如证券、运营商等一个认证关注各省保密局或网监要求的安全设备入围认证要求注意事项三个重点64等级保护建设培训65演讲完毕，谢谢观看！演讲完毕，谢谢观看！66信息安全等级保护建设信息安全等级保护建设67了解等保政策与技术要求我司产品如何与等保要求对应关系培训目的了解等保政策与技术要求培训目的68等级保护政策介绍和建设思路等保建设方案统一规划等保项目注意事项目录等级保护政策介绍和建设思路目录69等级保护政策介绍和建设思路等级保护政策介绍等级保护政策解读等级保护建设思路探讨等保建设方案统一规划等保项目注意事项目录等级保护政策介绍和建设思路目录70信息安全等级保护制度信息安全等级保护（以下简称等保）是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护制度信息安全等级保护（以下简称等保）是指对国71等保的5个监管等级对象等级合法权益社会秩序和

公共利益国家安全损害严重损害损害严重损害特别严

重损害损害严重损害特别严重损害一般

系统一级√二级√√重要

系统三级√√四级√√极端重

要系统五级√等保采用分系统定级的方法，当拥有多个信息系统时，需要分别进行定级，并分别进行保护。在五个监管等级中，三级与四级系统为监管的重点，也是建设的重点。等保的5个监管等级对象等级合法权益社会秩序和

公共利益国家安决定等级的主要因素分析信息系统所属类型业务数据类别信息系统服务范围业务处理的自动化程度业务重要性业务数据安全性业务处理连续性业务依赖性基于业务的重要性和依赖性分析关键要素，确定业务数据安全性和业务处理连续性要求。业务数据安全性业务处理连续性信息系统安全保护等级根据业务数据安全性和业务处理连续性要求确定安全保护等级。从等保的定级要求可以看出，等保关注的重点在于业务的可靠性和信息保密性。决定等级的主要因素分析信息系统所属类型业务数据类别信息系统服73不同级别之间保护能力的区别总体来看，各级系统应对威胁的能力不同，即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后，系统能够恢复之前的各种状态的能力是不同的。一级具有15个技术目标，16个管理目标；二级具有29个技术目标，25个管理目标；三级具有36个技术目标，27个管理目标；四级具有41个技术目标，28个管理目标。技术要求的变化包括：安全要求的增加安全要求的增强管理要求的变化包括：管理活动控制点的增加，每个控制点具体管理要求的增多管理活动的能力逐步加强，借鉴能力成熟度模型（CMM）不同级别之间保护能力的区别总体来看，各级系统应对威胁的能力不74安全控制定级指南过程方法确定系统等级启动采购/开发实施运行/维护废弃确定安全需求设计安全方案安全建设安全测评监督管理运行维护暂不考虑特殊需求等级需求基本要求产品使用选型监督管理测评准则流程方法监管流程应急预案应急响应等级保护定义的信息安全建设过程等级保护工作对应完整的信息安全建设生命周期安全定级指南过程确定系统等级启动采购/开发实施运行/维护废弃75等级保护建设的一般过程整改评估定级评测确定系统或者子系统的安全等级依据等级要求，对现有技术和管理手段的进行评估，并给出改进建议针对评估过程中发现的不满足等保要求的地方进行整改评测机构依据等级要求，对系统是否满足要求进行评测，并给出结论监管对系统进行周期性的检查，以确定系统依然满足等级保护的要求等级保护建设的一般过程整改评估定级评测确定系统或者子系统的安76等级保护政策介绍和建设思路等级保护政策介绍等级保护政策与技术解读等级保护建设思路探讨等保建设方案统一规划等保分步实施实践目录等级保护政策介绍和建设思路目录77等保的地位和作用是信息安全工作的基本制度；是信息安全工作的基本国策；是信息安全工作的基本方法；是保护信息化、维护国家信息安全的根本保障，是国家意志的体现；是开展信息安全工作的抓手，也是灵魂。——摘自公安部的领导讲话等保的地位和作用是信息安全工作的基本制度；——摘自公安部的领78等保核心思想：适度安全信息安全工作中，等保给予用户明确的目标，帮助用户更清晰的认识安全薄弱环节。没有100%的安全，适度安全的核心思想让用户达到投资/收益最佳比。系统重要程度系统保护要求安全基线安全基线安全基线一级二级三级四级等保核心思想：适度安全信息安全工作中，等保给予用户明确的目标79等保基本保护要求框架物理安全安全管理制度网络安全系统安全应用安全数据安全安全管理机构人员安全管理系统建设管理系统运维管理技术要求管理要求某级要求等保基本保护要求框架物理安全安全管理制度网络安全系统安全应用80等保不同级别的保护能力的区别各级系统应对威胁的能力不同，即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后，系统能够恢复之前的各种状态的能力是不同的。技术要求：安全要求的增加安全要求的增强管理要求：管理活动控制点的增加，每个控制点具体管理要求的增多管理活动的能力逐步加强，借鉴能力成熟度模型（CMM）等保不同级别的保护能力的区别各级系统应对威胁的能力不同，即能81等级保护技术要求归纳13个核心技术要求涉及层面涉及1级系统涉及2级系统涉及3级系统涉及4级系统身份鉴别和自主访问控制网络、主机、应用√√√√强制访问控制主机

√√安全审计网络、主机、应用

√√√完整性和保密性保护网络、应用、数据√√√√边界保护网络

√√√资源控制网络、主机、应用√√√入侵防范和恶意代码防范网络、主机、应用√√√√可信路径设置网络、主机、应用√系统防渗透措施网络、主机、应用√安全管理平台设置网络、主机、应用√√备份与恢复网络、数据√√密码技术应用网络、主机、应用√√环境与设施安全物理√√√√等级保护技术要求归纳13个核心技术要求涉及层面涉及1级系统涉82不同等级保护技术措施要求不同等级保护技术措施要求83不同等级保护技术措施要求不同等级保护技术措施要求84等级保护管理要求安全管理制度信息安全管理的前提安全管理机构信息安全管理的基础人员安全管理信息安全管理的保障系统建设管理围绕安全建设的设计、采购、实施，不断完善信息安全系统运维管理信息安全管理的核心安全管理安全管理的目标是让管理制度切实落地，日常运维是最繁杂的工作。等级保护管理要求安全管理制度安全管理机构人员安全管理系统建设85等级保护政策介绍和建设思路等级保护政策介绍等级保护政策解读等级保护建设思路探讨等保建设方案统一规划等保分步实施实践目录等级保护政策介绍和建设思路目录86建设思路：主动应对，借梯上楼借梯上楼方法：以等保为契机，统一进行安全规划和建设，加强整个系统的信息安全优点：重整优化IT基础架构有计划地满足等保缺点：改造工作资金投入较大对象：没有针对某安全体系标准进行重整过的查漏补缺方法：在现有IT架构中收集证据，不满足的地方适当修补优点：改造工作资金投入小缺点：IT架构越补越复杂，最后补不胜补等保满足时间点不可预期对象：已经采用其他安全体系标准的IT系统，例如运营商等保建设中常见的两种应对思路：借梯上楼是主动的改造思路。对于大多数IT系统，建议采用“借梯上楼”的方法，优化IT架构，满足等保建设思路：主动应对，借梯上楼借梯上楼查漏补缺等保建设中常87分责运维等级保护建设流程建议广域网改造数据中心安全局域网加固全网审计安全管理中心应急联动分步建设数据中心广域网局域网数据安全应用安全主机安全网络安全物理安全分区分域统一规划分责运维等级保护建设流程建议广域网改造局域网加固安全管理中心88关于统一规划三点建议分区分域为基础整个IT系统的安全基础在于信息资产的有序排列，排列方法即根据业务对资产分区分域，并针对性地实施安全策略。分模块设计，便于分步建设在分区分域基础上，统一规划，同时针对每个区域模块化设计，每区域可独立实施，方便后期分步建设。注重技术支撑管理规划方案中，管理的方便性做为统一规划的重点“三分技术，七分管理”，通过技术手段，可以减少管理的工作量，让管理制度更好的落地。关于统一规划三点建议分区分域为基础89公安部《等级保护设计要求》公安部《信息系统等级保护安全设计技术要求》设计要求从安全威胁角度的划分，高度抽象了安全关注的场景。公安部《等级保护设计要求》公安部《信息系统等级保护安全设计技90等保模块化设计框架基础

网络数据

中心安全

管理计算存储通信安全监控安全审计CDP远程灾备应用安全系统安全以信息的三种状态为基础，针对等保物理、网络、系统、应用、数据技术方面要求和安全管理要求，划分出可分步实施的局域网、广域网、数据中心、安全管理中心等模块。等保模块化设计框架基础

网络数据

中心安全

管理计算存储通信91技术建设漏洞监控，脆弱性管理集中策略部署管理行为监控/异常流量监控安全事件集中采集监控病毒集中采集监控安全审计工具风险评估工具威胁定位，响应管理管理建设安全管理机构建设安全管理制度完善应急响应流程制定、演练人员培训安全区域划分，目标制定符合法规要求持续改进、优化、预防重技术、轻管理，或者是重管理、轻技术都是不可取的技术与管理并重技术建设漏洞监控，脆弱性管理集中策略部署管理行为监控/异常流92分责运维：技术支撑管理行为审计安全监控身份认证权限控制......数据备份恢复技术体系管理体系网络安全主机安全应用安全数据安全物理安全通过技术手段，减轻运维中的工作量和复杂度，让管理制度更好落地分责运维：技术支撑管理行为审计身份认证......数据备份恢93等级保护政策介绍和建设思路等保建设方案统一规划区域划分方法分域设计方案等保分步实施实践目录等级保护政策介绍和建设思路目录94分区分域方法横向分区，纵向分域按照等保要求，业务系统需要保持边界完整性，横向分区保持业务系统隔离纵向根据业务系统的不同角色，划分为数据中心/广域网/局域网虚拟分区，灵活节约多业务系统共用一套物理网络，虚拟分区保障业务系统隔离的同时，节省投资，在增加/变更业务系统时灵活方便四级业务四级业务二级业务一级业务数据中心域广域网安全域局域网安全域纵向分域横向虚拟分区三级业务三级业务分区分域方法横向分区，纵向分域四级业务四级业务二级业务一级业95分域：控制业务访问流程按照业务访问流程，将整个网络划分为三个域：数据中心、广域网、局域网域之间进行严格的访问控制，针对攻击进行全面防范域内包含多个业务的情况下，通过分区的方法进行隔离权限控制攻击防范资源控制链路安全攻击防范广域网优化局域网广域网数据

中心终端数据数据备份行为控制行为审计

终端认证分域：控制业务访问流程按照业务访问流程，将整个网络划分为三个96分区：保持业务系统的独立性通过分区，各业务系统具有独立的IT环境保持边界完整，满足业务之间隔离需求每套业务系统具有独立资源，更好满足业务连续性要求分区隔离的方法网络改造进行物理隔离，例如涉密内网与其他业务系统结合应用类型采用IPSec或者SSL实现业务系统虚拟划分局域网广域网数据

中心局域网广域网数据

中心局域网广域网数据

中心业务A业务B业务CIPSecSSL分区：保持业务系统的独立性通过分区，各业务系统具有独立的IT97生产分区物理资源办公分区Internet分区虚拟化分区在一套物理资源上，采用VPN技术为多个业务系统虚拟出隔离的IT环境虚拟化分区具有独立的逻辑资源：带宽、计算、策略数、管理员、QoS虚拟化分区：节省投资数据中心广域网数据中心广域网数据中心广域网数据中心广域网生产分区物理资源办公分区Internet分区虚拟化分区在一套98等级保护政策介绍和建设思路等保建设方案统一规划区域划分方法分域设计方案等保分步实施实践目录等级保护政策介绍和建设思路目录99数据中心对内服务域非涉密内网办公域Internet外联域网络核心交换域分支广域网域数据中心核心交换域数据中心对外服务域补丁与特征库升级服务域网络与安全管理域涉密内网办公域异地灾备中心VPN路由器SGInternetAD等保分域设计方案SSL/NGAF/ADMPLS数据中心区域图例局域网区域广域网区域安全管理中心GAPWOCNGAFBMNGAFADInternetNGAFNGAFNGAFNGAFWOCNGAF数据中心对内服务域非涉密内网办公域Internet外联域网100金融行业金融行业101某政府行业基础网络：拓扑/路由/资源共享智能安全数据灾难回复与备份IP智能管理中心(IMC)战略与决策资源化管理平台广域网络局域交换接入网络互联网安全服务无线服务存储服务计算服务应急指挥服务语音视讯服务IP网络存储IP监控IP集合通信应用系统三大业务平台：情报信息综合应用、警用地理信息应用、警务综合信息系统8大信息资源库全国人口基本信息全国出入境人员信息全国机动车驾驶人信息全国警员基本信息全国在逃人员信息全国违法犯罪人员信息全国被盗抢汽车信息全国安全重点单位信息一类应用系统信息中心应急指挥中心协作沟通平台风险隐患检测防控指挥调度应急保障视频监控系统摄

像

系

统显

示

系

统编

码

器视频管理系统智

能

分析模

数

互

控解

码

器应急评估预警预测会议电视系统电话通信系统通信自动化系统全国边防前台查询系统全国公民出国境管理信息系统全国境外人员管理信息系统全国在逃人员信息系统全国重大刑事案件信息系统全国现场指纹远程传输系统全国法轮功邪教组织重点人员。。。。公安外事管理信息系统公安部国有资产管理信息系统公安信息网远程教育系统公安部机关电子政务系统公安信息化标准动态发布维护系统公安档案信息管理系统机要文件交换自动化管理系统。。。。二三类应用系统应急综合应用平台某政府行业基础网络：拓扑/路由/资源共享智能安全数据灾难回复102等级保护政策介绍和建设思路等保建设方案统一规划区域划分方法分域设计方案等保分步实施实践目录等级保护政策介绍和建设思路目录103三大区域的核心技术措施要求编号10个核心技术要求数据中心

设计目标广域网

设计目标局域网

设计目标1身份鉴别和自主访问控制是是是2安全审计是是是3完整性和保密性保护是是是4边界保护是是是5资源控制是是否6入侵防范和恶意代码防范是是是7安全管理平台设置是是是8备份与恢复是否否9强制访问控制是否否10环境与设施安全是是是三大区域的核心技术措施要求编号10个核心技术要求数据中心

设104措施解读1：身份鉴别和自主访问控制第一级第二级第三级第四级总体

要求要求身份鉴别，允许设置给其他用户共享资源，限制非授权访问(同左)(增加)采用两种以上身份识别技术(同左)网络

要求防火墙要求有包过滤功能；VPN接入控制粒度为用户组防火墙要求基于状态过滤；VPN接入控制粒度为单个用户对便携设备接入进行控制；VPN实现分级分权访问(SSLVPN)禁止通用协议和移动便携设备；禁止VPN用户接入主机

和应用

要求对操作系统和服务器进行访问控制(同左)要求两种接入控制措施，可采取Windows域账户/SSLVPN相结合方式(同左)措施解读1：身份鉴别和自主访问控制第一级第二级第三级第四级总应用访问控制网站访问言论发布文件传输邮件收发IM/P2P等应用控制与提醒要求1：身份鉴别和自主访问控制（1）需求描述：针对互联网业务鉴别用户身份，对不同用户进行不同权限下发，控制其可访问的资源。技术方案：通过AC或者SG针对用户互联网访问完成多维度的自主访问控制认证服务器AC/SG应用访问控制要求1：身份鉴别和自主访问控制（1）需求描述：针106与或

组合用户名密码硬件特征码短信认证USBKEY认证动态令牌CA认证LDAPRADIUS要求1：身份鉴别和自主访问控制（2）需求描述：对关键业系统的访问，可进行身份鉴别并根据鉴别结果设置细粒度的访问权限。技术方案：通过SSL

VPN，结合多种认证方式，控制内/外部用户的访问权限。角色细粒度授权，URL级别授权主从账号绑定服务器地址伪装、资源隐藏基于客户端安全级别的授权应用权限控制身份鉴别局域网广域网数据

中心终端系统SSL与或

组合用户名密码硬件特征码短信认证USBKEY认证动态107措施解读2：强制访问控制第一级第二级第三级第四级总体要求资源分类分级标记，按照访问控制策略，控制用户的访问要求(同左)主机要求主体粒度为用户级，对客体粒度为文件、数据库表/记录、字段级（建议采取SSLVPN配合数据库管理工具满足）(同左)措施解读2：强制访问控制第一级第二级第三级第四级总体要求资源措施解读3：安全审计第一级第二级第三级第四级总体

要求对网络、主机、应用系统、用户行为进行审计、记录(增加)对审计的统计分析和报警、确保审计记录可用，防止被非法访问和破坏(增加)违例行为中止要求网络、主机

和应用

要求网络流量分析（BM）服务器访问和上网行为审计(AC)对日志进行收集分析，输出审计报表；并增加抗抵赖要求安全事件统一管理审计，跟踪监测到的安全侵害事件，并终止违规进程措施解读3：安全审计第一级第二级第三级第四级总体

要求对网络病毒日志、安全日志等其他文件传输、炒股、网游等各种行为Email、Webmail正文和附件精细的SSL应用访问日志URL地址、网页内容、发贴内容流量审计、时间审计要求3：安全审计需求描述：覆盖网络、安全、应用的行为进行审计。技术方案：网络中旁挂或者在线部署审计系统，审计所有流量，分析网络/主机/应用行为，提供丰富的审计报表，定期自动发送。局域网广域网数据

中心终端系统SSLNGAFACNGAF病毒日志、安全日志等其他文件传输、炒股、网游等各种行为Ema110要求3：安全审计（补充）针对数据库、设备操作、主机等方面的审计我们暂不涉及收集&分析Syslog审计网关操作日志主机系统SOC系统事件网络事件行为事件数据库事件数据库系统SNMP网络系统安全事件防火墙/IPS行为日志要求3：安全审计（补充）针对数据库、设备操作、主机等方面的审111措施解读4：完整性和保密性保护第一级第二级第三级第四级总体

要求数据和信息完整性要求(增加)对信息加密、防泄漏、可重用要求(增加)对信息完整性要求，重要信息恢复要求(同左)网络

要求关注带宽和拓扑合理性硬件冗余设计(双机热备)和防地址欺骗功能QoS功能，配置恢复应用

要求无对敏感信息加密(VPN)非对称密钥加密(SSLVPN)硬件设备加密(网关+USBKey)数据

要求有选择的备份具备自动备份功能剩余数据要清除重要系统本地热备，异地备份CDP方案)重要系统本/异地热备(CDP方案)措施解读4：完整性和保密性保护第一级第二级第三级第四级总体

要求4：完整性和保密性需求描述：通过加密技术、完整性校验技术保障。技术方案：采用SSL或者IPSec

VPN的方式，对内/外部访问内容加密实现。外部数据中心接入点移动用户分支/机构SSL

VPNIPSec

VPNIPSec/WOC/ACEasyConnSSLVPN内部专网分支/机构EasyConn内部数据中心IPSec/SSL二合一业务A业务BSSL

VPN引导虚拟门户，针对不同等级业务系统进行隔离引导主从绑定、国密算法、精细控制要求4：完整性和保密性需求描述：通过加密技术、完整性校验技术113措施解读5：边界保护第一级第二级第三级第四级总体

要求防止非授权外联要求(增加)防止非授权接入、防止信息非授权交换(同左)网络

要求防止内部用户非法外联(NGAF、AC、SSL)(增加)防止非法接入网络(终端软件)(同左)措施解读5：边界保护第一级第二级第三级第四级总体

要求防止非要求5：边界保护需求描述：保持边界完整性，业务系统之间隔离。技术方案：采用NGAF+VPN，构造2-7层的全面隔离体系。物理层链路层网络层传输层会话层表示层应用层基础安全深度安全NGAFVPN如何定义边界：通俗来说就是在各个安全域之间，可以有内部边界、外部边界等等。内部边界：数据中心内部、数据中心与广域网、广域网与局域网外部边界：外联区与互联网、局域网与互联网、终端拨号要求5：边界保护需求描述：保持边界完整性，业务系统之间隔离。115措施解读6：资源控制第一级第二级第三级第四级总体

要求分配用户资源使用权限，保护主机和系统资源要求(增加)对系统软硬件资源进行配置和检测，对违规使用行为进行报警要求(增加)系统管理员配置和检测资源，安全管理员分配资源权限应用

和主机要求通过FW控制单个用户和系统总共连接数AC控制单个用户对系统资源的使用；AD对服务资源进行检测和分配全部资源采取优先级访问；限制违规终端登陆措施解读6：资源控制第一级第二级第三级第四级总体

要求分配用要求5：入侵防范和恶意代码防范需求描述：保护终端和服务器不受入侵/病毒的攻击。技术方案：采用NGAF/AC及网络版防病毒软件

，实现从终端到应用系统的端到端防护，保障特征库的即时升级。终端安全终端安全检查

URL过滤过滤脚本、插件危险流量封堵查杀木马、病毒

系统安全

服务器隐藏

Web防护

漏洞防护

抗DDoS查杀木马、病毒

局域网广域网数据

中心终端系统要求5：入侵防范和恶意代码防范需求描述：保护终端和服务器不受117措施解读7：入侵防范和恶意代码防范第一级第二级第三级第四级总体

要求要求防范病毒等恶意代码(增加)检测入侵攻击网络、系统行为要求(增加)防范恶意代码入侵、植入、发作、传播要求，报警和清除要求(增加)实时报警和清除措施网络、主机

和应用要求重要服务器安装杀毒软件，并实时升级(终端软件自动完成)服务器和重要终端安全杀毒软件；边界有入侵检测和防病毒网关(推荐具有专业病毒库的IPS实现(增加)攻击日志记录，通过安全管理中心

记录入侵源、目的、类型、时间等(增加)入侵实时告警、阻断；所有服务器和终端安装杀毒软件措施解读7：入侵防范和恶意代码防范第一级第二级第三级第四级总要求6：资源控制需求描述：保护服务器、带宽等资源的合理分配。技术方案：网络资源控制，部署广域网优化WOC，为广域网传输过程中的关键业务提供带宽保障。服务器资源控制，部署应用交付AD设备，限制访问者及其连接数，提升服务器的响应速度和计算性能，节省服务器资源。负荷80％负荷80％负荷80％广域网控制服务器最大连接数控制单用户新建连接、并发连接、超时连接提升服务器对用户请求的响应速度根据用户、业务类别，分配不同的带宽资源提供数据、链路、应用的全面优化，提升广域网访问速度应用交付AD广域网优化WOC要求6：资源控制需求描述：保护服务器、带宽等资源的合理分配。119措施解读