安数云擎安保等保一体机技术白皮书

©安数云安数云擎安保等保一体机技术白皮书北京安数云信息技术有限公司

二0—八年五月背景介绍 错误•/未定义书签。等级保护 错误J未定义书签。等保定义 错误!未定义书签。等保工作内容 错误!未定义书签。等保等级划分 错误!未定义书签。等保建设意义 错误!未定义书签。产品概述 错误J未定义书签。产品功能 错误J未定义书签。自查评估 错误!未定义书签。整改加固 错误!未定义书签。下一代防火墙（含上网行为管理和VPN） 错误!未定义书签。WEB应用防火墙 错误!未定义书签。堡垒机 错误!未定义书签。网络入侵防御系统 错误!未定义书签。数据库审计与风险控制系统 错误!未定义书签。日志审计 错误!未定义书签。主机杀毒 错误!未定义书签。态势感知增值服务 错误!未定义书签。产品优势 错误J未定义书签。一站式等保合规解决方案 错误!未定义书签。灵活部署 错误!未定义书签。统一管理 错误!未定义书签。随需而变 错误!未定义书签。功能丰富 错误!未定义书签。安全可视 错误!未定义书签。配置清单 错误J未定义书签。二级系统推荐配置 错误J未定义书签。三级系统推荐配置 错误J未定义书签。产品部署 错误J未定义书签。10培训与服务 错误J未定义书签。产品培训内容 错误!未定义书签。培训计划 错误!未定义书签。培训目的 错误!未定义书签。培训对象 错误!未定义书签。培训内容 错误!未定义书签。培训师资 错误!未定义书签。培训方法 错误!未定义书签。产品服务承诺 错误!未定义书签。保修期内的服务内容 错误!未定义书签。保修期后的服务内容 错误!未定义书签。服务承诺 错误!未定义书签。版本控制时间版本说明修改人2018-6-1V首次提交常帅1背景介绍信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障，是信息安全保障工作中国家意志的体现。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合国家要求的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。履行国家《网络安全法》法律义务、满足行业监管机构在信息安全领域的合规要求，开展等级保护建设工作可以有效规避组织所面临的信息安全法律及合规风险。以等级保护为标准开展安全建设，让安全建设更加体系化，可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设，避免头痛医头、脚痛医脚，实现体系化的建设提高安全运维效率的成果。2等级保护2.1等保定义信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。2.2等保工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。2.3等保等级划分《信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。［1］国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。2.4等保建设意义实行信息安全等级保护制度，能够有效提高我国信息和信息系统安全建设的整体水平。有利于在进行信息化建设的同时建设新的安全设施，保障信息安全和信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本；有利于优化安全资源的配置，有利于保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面重要信息系统的安全等。通过开展信息安全等级保护工作，可以有效解决我国信息安全面临的威胁和存在的主要问题，充分体现“适度安全、重点保护”的目的。信息安全等级保护是国家意志的体现，在国家信息安全保障工作中只有等级保护制度是强制实施的，实行信息安全等级保护制度，能够充分调动国家、法人、其他组织和公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，是新系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展起到重要的推动作用。3产品概述擎安保•等保一体机是安数云公司遵循国标：GBT22239《信息安全技术信息系统安全等级保护基本要求》自主研发的一套全流程自动化、一键式、可反复自查的信息系统，融合了自查评估与整改加固两大功能，适用于物理环境和虚拟化环境，为二、三、四级等保系统提供一站式等保合规整体解决方案。擎安保能够帮助用户顺利通过等级保护测评，从物理安全、网络安全、主机安全、应用安全、数据安全等多个层面进行体系化等保建设，提高安全运维效率。同时，通过擎安保提供的定制化安全增值服务，实现全网动态监测、精确感知、主动防护。系统架构如下:4产品功能4.1自查评估自查评估功能通过擎安保等保工具箱实现。擎安保等保工具箱依据国标:GBT22239《信息安全技术信息系统安全等级保护基本要求》，为用户提供等级保护自查评估功能，自动生成“安全检查报告”，实现对用户信息系统“定级、备案、测评、整改、安全自查和监督检查”全过程的监督管理。等保工具箱包含任务管理、检查执行、报表管理三部分，其中，检查执行由问卷调查与工具检查（系统漏洞检查、网站漏洞检查、数据库漏洞检查、Linux主机配置检查、网络及安全设备配置检查、弱口令检查、Windows主机配置检查、主机病毒检查、主机木马检查、网站恶意代码检查等）两部分组成。评估流程如下：

问卷调查 工具检查测评任务 资产录入整改建议测评报告任务管理检查执行报表管理擎安保等保工具箱工作机制如下:管mt应用安全向卷调查工具检查报表数据安全物理安全安全管理机构安全管理制度人员安全管理系统建设管理系统运塞管理网绪安全主机安全问卷调查 工具检查测评任务 资产录入整改建议测评报告任务管理检查执行报表管理擎安保等保工具箱工作机制如下:管mt应用安全向卷调查工具检查报表数据安全物理安全安全管理机构安全管理制度人员安全管理系统建设管理系统运塞管理网绪安全主机安全系坑漏扫网站漏扫

敷据库漏扫基钱配昼核查

弱口令检查

木马病毒网站罂意代码4.2整改加固擎安保•等保一体机在一台硬件设备上提供下一代防火墙、数据库审计与风险控制、WEB应用防火墙、堡垒机、VPN、入侵检测与防御、日志审计等各类等级保护建设所需要的安全组件，实现整改加固的效果。在满足合规要求的同时，让用户的等级保护建设可信可控、简单高效。下一代防火墙（含上网行为管理和VPN）下一代防火墙主要由下面这些方面组成：•高度灵活、高性能的QoS流量控制能力；•高性能、细粒度的会话控制能力；•超大容量VPN链接；•高性能的应用层检测能力；•高性能、高容量的病毒过滤（AV）；•高可靠性和稳定性、易于使用和维护、最低的总体拥有成本。WEB应用防火墙WEB应用防火墙是结合多年在应用安全领域理论研究与攻防实践经验积累的基础上，自主研发的新一代应用级综合防护系统。保护您的WEB网站免受众多已知或未知的应用层攻击，诸如SQL注入、XSS跨站、木马上传、CC攻击等。安数云WEB应用防火墙能够帮助用户解决目前所面临的各类常见及最新的应用安全问题，同时满足如等级保护、行业规范等政策法规的安全建设要求。主要功能如下：防SQL注入、防XSS注入、防扫描、防CC攻击、COOKIE防护、防CSRF、防盗链、文件上传下载防护、防撞库、客户端访问频率控制、流量控制、防绕过、HTTP协议校验、敏感信息防护、防篡改、FLOOD防护等。堡垒机堡垒机包括账号管理、授权管理、认证管理、访问控制、审计管理五大功能。实现集中账户管理，降低管理费用；实现集中身份认证和访问控制，避免冒名访问，提供访问安全性；实现集中授权管理，简化授权流程，减轻管理压力；实现单点登录，规范操作过程，简化操作流程；实现实名运维审计，满足安全规范要求。4.2.4网络入侵防御系统网络入侵防御系统（简称ips）采用在线部署方式，能够实时检测和防御包括拒绝服务、缓冲区溢出、木马蠕虫、CMS、WEBSHELL等3000多种网络攻击行为，第一时间将安全威胁阻隔在企业网络之外。IPS有力的弥补了防火墙和入侵检测系统的不足，其能自主的进行深度检测和自动防御，而不只是简单的告警等待用户处理。因此，IPS能有效保护用户的网络资源，使其免收各种外部攻击，全面保证业务系统的健康运行。主要功能如下：DOS/DDos防御、病毒过滤、流量控制、上网行为管理、未知威胁检测。4.2.5数据库审计与风险控制系统数据库审计与风险控制系统是一款专业、主动、实时监控数据库安全的审计产品。本系统采用有效的对数据库监控与审计方式，针对数据库漏洞攻击、SQL注入、XSS跨站、风险操作等数据库风险操作行为发生记录与告警。能对不同的场景定制审计策略，如：白名单、sql操作高中低风险、行为告警等策略。实时监控数据库用户的访问行为；它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，同时加强内外部网络行为记录，提高数据资产安全。4.2.6日志审计日志审计系统通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。4.2.7主机杀毒主机杀毒是为各种简单或复杂网络环境设计的计算机病毒网络防护系统，既适用于包含若干台主机的单一网段网络，也适用于包含各种Web服务器、邮件服务器、应用服务器，分布在不同城市，包含数十万台主机的超大型网络。主机杀毒的控制中心采取了多项先进的技术，功能强大，简单易用。智能升级功能保证了病毒库的及时更新；智能安装功能极大的减轻了管理员的负担；采用组策略后，管理员可以对成组的计算机进行统一管理，让往常繁重的日常管理工作变得轻松自如。主机杀毒的病毒监控功能非常强大，监控的对象包括软盘、光盘、硬盘、内存、网络邻

居、文件夹、OFFICE文档、邮件、网页、注册表、各类脚本等，帮助您构筑起全方位的安全壁垒，让您的计算机远离病毒侵袭。对于已经中病毒的客户端，控制中心可以通过断开网络连接的功能，将带毒客户端进行隔离，防止病毒继续扩散。4.3态势感知增值服务4.3态势感知增值服务匹

1=1大数据态势感知系统为等保一体机提供增值服务，是一款基于大数据分析的综合安全处理系统，系统用户行为分析，系统分为三层基础架构：数据采集层、数据存储层、数据分析层。各层功能如下：＞数据采集层：资产发现与管理、数据志采集、威胁情报采集等＞数据存储层：数据初处理、数据统一存储等＞数据分析层：异常行为智能感知、高级威胁智能感知、安全事件审计系统通过对全网信息资产以及相关环境的数据采集、统一管理与安全分析，实现全网综合安全感知，通过智能安全处理保护信息环境稳定安全，同时通过持续检查与预警实现7*24小时安全防护。数据分析交互管理可视化螟船数据待侃、口志七/ 安全芈件日志数据存储跋据转化#格式化/丰・化其他命Bi情报申心病毒库漏册DNS库数据分析交互管理可视化螟船数据待侃、口志七/ 安全芈件日志数据存储跋据转化#格式化/丰・化其他命Bi情报申心病毒库漏册DNS库安全中件II志《安全设器、网缗设备，服务器、系统、应用程序、中同件等）流包恶意IP恶点域名悲克代码5产品优势5.1—站式等保合规解决方案既支持等级保护合规自查评估功能，又包含等级保护要求的整改加固需要的安全组件，一站式解决等保合规问题。5.2灵活部署集多个安全组件于一台硬件服务器，部署更简单，管理更方便。5.3统一管理安全组件统一管理，单点登录。5.4随需而变软件定义安全，软件定义安全(SoftwareDefinedSecurity，SDS)是从软件定义网络(SoftwareDefinedNetwork，SDN)引申而来，原理是将物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行了解耦，底层抽象为安全资源池里的资源，顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理，以完成相应的安全功能，从而实现一种灵活的安全防护。随着业务的快速变化，可以灵活增加或者删除安全组件，灵活扩展。5.5功能丰富安全能力丰富，与UTM相比，更加全面，更加高效，更加深入：等保一体机可以融合任意厂商的安全产品，客户可以根据需要提出订制。运维方面，等保一体机安全模块的升级维护是相互独立的，对某安全模块升级不会影响其他安全模块。尤其是串行的防护类安全模块，升级不会影响用户业务，不会影响其他安全模块。等保一体机更加安全可靠。5.6安全可视基于大数据分析，采用可视化设计，实现资产可视化、威胁可视化、攻击可视化，提供多维度安全报表为安全决策提供数据支撑，提升组织安全管理效率。6配置清单功能模块备注管理平台标配等保工具箱标配防火墙+VPN选配WEB应用防火墙选配堡垒机选配网络入侵防御系统选配数据库审计与风险控制系统选配日志审计选配大数据库态势感知系统选配

7二级系统推荐配置套餐功能模块备注最低配置套餐等保工具箱自查评估，含漏洞扫描防火墙网络版杀毒软件基本配置套餐最低配置套餐网络入侵防御系统含防病毒模块WEB应用防火墙有WEB应用的话日志审计网络安全法要求日志要保留6个月以上标准配置套餐基本配置套餐VPN数据库审计与风险控制系统堡垒机运维管理标准配置套餐全尊配置套餐大数据库态势感知系统提供态势分析增值服务8三级系统推荐配置套餐功能模块备注最低配置套餐等保工具箱自查评估，含漏洞扫描防火墙网络入侵防御系统含防病毒模块网络版杀毒软件基本配置套餐最低配置套餐数据库审计与风险控制系统WEB应用防火墙有WEB应用的话

日志审计网络安全法要求日志要保留6个月以上标准配置套餐基本配置套餐VPN堡垒机运维管理标准配置套餐全尊配置套餐大数据库态势感知系统提供态势分析增值服务9产品部署场景：保护接入交换机下面的设备安全。部署：1、 在汇聚交换机和加入交换机部署部署等保一体机；2、 在汇聚交换机和接入交换机中部署链路（拉网线）；3、 交换机配置需要配置静态lacp类型的eth-thrunk，让对端发送lacp报文检测链路状态。一旦发生异常可以自动切换。10培训与服务北京安数云公司始终把用户的实际需求与未来发展放在第一位。在售后服务方面，我们一贯坚持“快速响应，优质高效”的服务原则，确保整个项目的技术先进、功能完善、性能稳定可靠和使用效果良好，为信息系统安全可靠的可持续运行提供有力保障。10.1产品培训内容10.1.1培训计划产品培训是本次项目的重要组成部分，是实现业务系统安全、提高系统效率的重要保证。为此，我们为用户制定了如下的培训计划，对技术人员进行必要的培训，确保技术人员能够完全掌握系统正常情况下的日常运行维护和简单故障的排除等。10.1.2培训目的通过对用户提供全面的培训，使用户对目前的安全技术和管理有充分了解，熟悉安全产品的原理、部署，充分掌握维护系统正常运行的技术知识，从而快捷的维护系统日常运行，能独立解决系统使用中的一般故障。还能根据网络等需求的变化，对产品配置进行一定的调整，从而保证系统长期稳定的运行。10.1.3培训对象培训的对象主要分为贵单位的安全管理人员、技术人员等。10.1.4培训内容根据本次项目所涉及到的安全产品，及培训对象的不同，准备的培训课程和培训内容可以根据用户的实际情况进行灵活的调整。我们在培训前会准备好相应的培训教材，包括产品技术培训教材和相应的PPT文档等，培训讲师由我们的资深技术人员担任，培训地点将与用户协商后确定。10.1.5培训师资北京安数云公司在应用安全、云安全方面一直处于领先地位，技术力量雄厚，已经为多个行业和部门进行过安全培训，成效显著。北京安数云公司的培训讲师遍及公司管理层、产品经理及技术工程师，不仅理论知识丰富，而且拥有大量的实践经验，表达能力强，能够很好地与学员交流，为保证对技术人员及相关参与人员的培训取得最佳效果，我们将配备最佳的授课队伍为本次项目提供最优的培训。10.1.6培训方法本次培训力求体现简单、实用的特点，针对不同的培训对象，选派不同的培训教员，采用不同的培训方法。技术人员能够在培训后熟悉这些安全产品的安装、维护，能解决一般的常见问题，具备安全管理的能力。具体方法如下：•培训教师详细讲解培训内容中的重点、难点。•用户对培训中存在的问题进行提问，并由培训教师进行解答。•培训教师在具体环境上进行产品演示。•用户自己在具体环境上进行实践操作。10.2产品服务承诺北京安数云公司秉承“客户为本、服务立业”之宗旨，希望以专业、高效、多样的服务，为本项目中所提供的产品提供及时、完备的技术支持。10.2.1保修期内的服务内容对于用户使用的产品在保修期内的服务，安数云公司提供以下服务内容。一年免费服务安数云公司对本项目中所提供的安全产品提供一年的免费服务，包括硬件维护、软件升级、备品更换和其它技术支持服务。保修期自双方代表在产品验收单上签字之日起计算。技术咨询服务安数云公司为用户提供7*24小时的热线电话技术指导，用户可以通过免费技术服务热线电话解决产品使用中的疑难问题，了解产品的功能、特点，并且可以获得有关产品的最新动态。贵单位的安全产品维护人员如果遇到系统故障时，可以通过电话、电子邮件等方式远程联系安数云公司的客户服务中心，安数云公司的安全专家会在4小时内提供快速响应，根据经验对系统故障进行分析，提出具体的指导意见。贵单位的技术人员按照步骤逐一实施，如果能够解决问题此次服务结束；如果不能解决问题，安数云公司的相关技术人员会在约定时间内到达现场，提供下一节中提到的现场服务。现场技术服务安数云公司可向用户提供的现场服务包括：在快速响应技术咨询后，贵单位的技术故障仍然