信息安全等级保护解决方案

地市电子政务网络的信息安全等级保护（一）一、背景自从国家启动政府信息化建设以来，各地市政府大都已经完成了从无到有的电子政务网络建设。但是，初期的地市电子政务网连接范围一般较小，纵向上,没有连接起区县一级的政府办公网络；横向上，没有连接起各局、委、办的办公网络;相互之间缺乏有机联系，形成了信息孤岛,导致无论是政府内部办公还是公众服务，都存在沟通不畅、效率低的问题.为了加强政府内部的交流、提高政府的整体办公效率和服务水平,许多地市已经开始规划、建设具有更大连接范围、更快传输速度的大型电子政务网络.大型地市电子政务网络建设的基本目标是为各接入单位提供统一、优质的信息化传输平台。但与此同时,由于接入人员的身份复杂（分属不同的行政部门），各部门对信息安全的要求也存在差异,所以电子政务网在为正常业务数据提供高速通路的同时，也有可能成为网络安全威胁快速扩散和蔓延的温床。这已经成为地市电子政务网络建设中需要考虑的头号问题换句话说：“大型地市电子政务网建设的好与不好，标准就是网络安全是否达标”。二、“等保”与电子政务网适逢其时的是，国家的相关部门已经制订了标准、规范,可以非常细致地指导地市电子政务网的“网络安全规划、建设和监管”.这个标准和规范就是“信息安全等级保护"。信息安全等级保护（简称“等保”）就是国家通过制订统一的标准，根据信息系统不同重要程度,有针对性开展保护工作，分等级对信息系统进行保护，国家对不同等级的信息系统实行不同强度的监督管理。“等保”将信息系统的安全等级分为5级，1级最低，5级最高。例如,电子政务内网要达到4级保护要求，电子政务外网要达到3级保护要求。“等保”有具体的实施指南，把实施流程进行了细化，在其中的“安全规划设计阶段、”“产品采购和工程实施阶段”“运营管理和状态监控阶段”，H3C公司都能提供很好的服务和帮助，尤其是在安全建设规划、详细方案设计的过程中。-EF“产品采购和工程实施阶段”“运营管理和状态监控阶段”，H3C公司都能提供很好的服务和帮助，尤其是在安全建设规划、详细方案设计的过程中。-EF划羸统皇找翳s.一彳妥临摊甥设呂册识地市电子政务网络的信息安全等级保护（二）H3C公司多年服务于电子政务网,了解电子政务网运行中的安全需求，开发了“五大安全解决方案”,分别是:远程安全接入解决方案、边界防护解决方案、内网控制解决方案、数据中心保护解决方案和行为监管解决方案.这些解决方案不是单一的产品，而是多产品的联动配合，能够响应“等保"中的许多技术要求和管理要求，是落实“等保”的优秀解决方案。02—24.02—24.应具有限制网络、操作系统和应用系统资源使用的能力远程安全接入解决方案合惟慎伴xscPam33LVPM気用沖c訪央弘InternetBtM£:aniaiMcnoqctfi3・中小璧时史VF^N；S»cCBirlejMcnr*IPS&c^PN'SaePdlhek・h利qIPS'KVPN1兀案桶还实珥木空注吏・中小主豎爻/台衍惯侔■芒动用户平同安主逼人带击一「：冥理空|fg安全览一营程3-E.5WVF1j?.?!鼻砚全同训M芦阳利监拴..岳动用严74rr厂卩能够响应的等保要求：O1—6。应具有对传输和存储数据进行完整性检测的能力O1-8.应具有合理使用和控制系统资源的能力O1－9。应具有设计合理、安全网络结构的能力01—14。应具有对网络、系统和应用的访问进行控制的能力O1－15.应具有对数据、文件或其他资源的访问进行控制的能力01—16。应具有对用户进行标识和鉴别的能力O1-17。应具有保证鉴别数据传输和存储保密性的能力02—11。应具有对传输和存储数据进行完整性检测的能力O2-12.应具有对硬件故障产品进行替换的能力02—13.应具有系统软件、应用软件容错的能力O2-14。应具有软件故障分析的能力O2—15。应具有合理使用和控制系统资源的能力02—16.应具有记录用户操作行为的能力02-22。应具有对传输和存储中的信息进行保密性保护的能力02—25.应具有能够检测对网络的各种攻击并记录其活动的能力O2-27.应具有对网络、系统和应用的访问进行控制的能力02—28.应具有对数据、文件或其他资源的访问进行控制的能力02—29.应具有对资源访问的行为进行记录的能力02—30。应具有对用户进行唯一标识的能力02—31。应具有对用户产生复杂鉴别信息并进行鉴别的能力02-35。应具有保证鉴别数据传输和存储保密性的能力02—37。应具有非活动状态一段时间后自动切断连接的能力02—38.应具有网络边界完整性检测能力03—14.应具有监测通信线路传输状况的能力03—15.应具有及时恢复正常通信的能力03—16。应具有对传输和存储数据进行完整性检测和纠错的能力03-17.应具有系统软件、应用软件容错的能力03-18.应具有软件故障分析的能力03—19。应具有软件状态监测和报警的能力03-20。应具有自动保护当前工作状态的能力03—21。应具有合理使用和控制系统资源的能力03-22.应具有按优先级自动分配系统资源的能力03—33。应具有使重要通信线路及时恢复的能力03—34.应具有限制网络、操作系统和应用系统资源使用的能力03-35.应具有合理分配、控制网络、操作系统和应用系统资源的能力03—36。应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力03—38.应具有对网络、系统和应用的访问进行严格控制的能力03—39。应具有对数据、文件或其他资源的访问进行严格控制的能力03-44.应具有保证鉴别数据传输和存储保密性的能力03—45.应具有对用户进行唯一标识的能力03-51.应具有对传输和存储中的信息进行保密性保护的能力03—52。应具有防止加密数据被破解的能力O3—53。应具有路由选择和控制的能力03—54。应具有信息源发的鉴别能力03-55。应具有通信数据完整性检测和纠错能力03-57.应具有持续非活动状态一段时间后自动切断连接的能力03－58。应具有基于密码技术的抗抵赖能力03—59.应具有防止未授权下载、拷贝软件或者文件的能力03-61o应具有切断非法连接的能力03—62.应具有重要数据和程序进行完整性检测和纠错能力03—66.应具有保证重要业务系统及时恢复运行的能力04—15。应具有监测通信线路传输状况的能力04-21.应具有合理使用和控制系统资源的能力04—22.应具有按优先级自动分配系统资源的能力04—23。应具有对传输和存储数据进行完整性检测和纠错的能力04—36.应具有使重要通信线路及时恢复的能力04—37.应具有限制网络、操作系统和应用系统资源使用的能力04—38。应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力04-39.应具有合理分配、控制网络、操作系统和应用系统资源的能力04-41.应具有对网络、系统和应用的访问进行严格控制的能力04—42。应具有对数据、文件或其他资源的访问进行严格控制的能力04—47。应具有保证鉴别数据传输和存储保密性的能力04—48.应具有对用户进行唯一标识的能力04-49.应具有对同一个用户产生多重鉴别信息,其中一个是不可伪造的鉴别信息并进行多重鉴别的能力04—53.应具有对传输和存储中的信息进行保密性保护的能力04—55.应具有防止加密数据被破解的能力04—56。应具有路由选择和控制的能力01-18.01-18.应具有对恶意代码的检测、阻止和清除能力O4－57。应具有信息源发的鉴别能力O4-59。应具有持续非活动状态一段时间后自动切断连接的能力04-60.应具有基于密码技术的抗抵赖能力04-61。应具有防止未授权下载、拷贝软件或者文件的能力04—63.应具有切断非法连接的能力04-64.应具有重要数据和程序进行完整性检测和纠错能力04-68。应具有保证通信不中断的能力O4-69。应具有保证业务系统不中断的能力边界防护解决方案取以q心Sct[jlut>jFW/lP5Interne-t女上阵理平甘.DM/取以q心Sct[jlut>jFW/lP5Interne-t女上阵理平甘.DM/Zenter:>SecPtifh/SecBlcick?^火墙；捉供2<2包迥辿、状态零测等技术买规边畀隔谢>$ecp<ilh/Se<:B-k-KieIPS;援供4©全肪护>SGcCenter:对冊詐的防火诸iI凸限淫其他巾同厂倉的产品谨行统一妥全艺埋。L能够响应的等保要求：O1-8.应具有合理使用和控制系统资源的能力O1—9。应具有设计合理、安全网络结构的能力O1-13.应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力O1—14.应具有对网络、系统和应用的访问进行控制的能力O1-15.应具有对数据、文件或其他资源的访问进行控制的能力01-16.应具有对用户进行标识和鉴别的能力01-17。应具有保证鉴别数据传输和存储保密性的能力02-15.应具有合理使用和控制系统资源的能力02—16.应具有记录用户操作行为的能力02—25.应具有能够检测对网络的各种攻击并记录其活动的能力02—26。应具有发现所有已知漏洞并及时修补的能力02—27.应具有对网络、系统和应用的访问进行控制的能力02—28.应具有对数据、文件或其他资源的访问进行控制的能力02—32。应具有对恶意代码的检测、阻止和清除能力02-33.应具有防止恶意代码在网络中扩散的能力02-34.应具有对恶意代码库和搜索引擎及时更新的能力02-38.应具有网络边界完整性检测能力03-21。应具有合理使用和控制系统资源的能力03—34.应具有限制网络、操作系统和应用系统资源使用的能力03-35.应具有合理分配、控制网络、操作系统和应用系统资源的能力03—36.应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力03-37.应具有发现所有已知漏洞并及时修补的能力03－38.应具有对网络、系统和应用的访问进行严格控制的能力03－39.应具有对数据、文件或其他资源的访问进行严格控制的能力03—40.应具有对资源访问的行为进行记录、分析并响应的能力03-41.应具有对恶意代码的检测、阻止和清除能力03-42.应具有防止恶意代码等在网络中扩散的能力03-43。应具有对恶意代码库和搜索引擎及时更新的能力03－53.应具有路由选择和控制的能力03－54。应具有信息源发的鉴别能力03—59。应具有防止未授权下载、拷贝软件或者文件的能力03-60.应具有网络边界完整性检测能力03-61.应具有切断非法连接的能力04—21。应具有合理使用和控制系统资源的能力

04—22。应具有按优先级自动分配系统资源的能力04—37.应具有限制网络、操作系统和应用系统资源使用的能力04—38.应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力04-39。应具有合理分配、控制网络、操作系统和应用系统资源的能力04—40。应具有发现所有已知漏洞并及时修补的能力04-41.应具有对网络、系统和应用的访问进行严格控制的能力04—42。应具有对数据、文件或其他资源的访问进行严格控制的能力04—44.应具有对恶意代码的检测、集中分析、阻止和清除能力04—45.应具有防止恶意代码在网络中扩散的能力04-46。应具有对恶意代码库和搜索引擎及时更新的能力04—47.应具有保证鉴别数据传输和存储保密性的能力04—56.应具有路由选择和控制的能力04—57。应具有信息源发的鉴别能力04—61.应具有防止未授权下载、拷贝软件或者文件的能力04-62。应具有网络边界完整性检测能力04-63．应具有切断非法连接的能力内网控制解决方案me債搀揺接人SKftlAD!曲行身协认证种桦愣広左摩默态御恪me債搀揺接人SKftlAD!曲行身协认证种桦愣広左摩默态御恪能够响应的等保要求：01—13.应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力01—14.应具有对网络、系统和应用的访问进行控制的能力01—15。应具有对数据、文件或其他资源的访问进行控制的能力01—16。应具有对用户进行标识和鉴别的能力01-18．应具有对恶意代码的检测、阻止和清除能力02-15.应具有合理使用和控制系统资源的能力02—16。应具有记录用户操作行为的能力02—17.应具有对用户的误操作行为进行检测和报警的能力02—24。应具有限制网络、操作系统和应用系统资源使用的能力02-25.应具有能够检测对网络的各种攻击并记录其活动的能力02—26。应具有发现所有已知漏洞并及时修补的能力02—27.应具有对网络、系统和应用的访问进行控制的能力02—28.应具有对数据、文件或其他资源的访问进行控制的能力02—29。应具有对资源访问的行为进行记录的能力02—30。应具有对用户进行唯一标识的能力02—31。应具有对用户产生复杂鉴别信息并进行鉴别的能力02—32.应具有对恶意代码的检测、阻止和清除能力02—33.应具有防止恶意代码在网络中扩散的能力02-34.应具有对恶意代码库和搜索引擎及时更新的能力03-19.应具有软件状态监测和报警的能力03—21.应具有合理使用和控制系统资源的能力03-22。应具有按优先级自动分配系统资源的能力03—24。应具有记录用户操作行为和分析记录结果的能力03-34.应具有限制网络、操作系统和应用系统资源使用的能力03—35.应具有合理分配、控制网络、操作系统和应用系统资源的能力03-36.应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力03-37.应具有发现所有已知漏洞并及时修补的能力03-38.应具有对网络、系统和应用的访问进行严格控制的能力03-39.应具有对数据、文件或其他资源的访问进行严格控制的能力03—40.应具有对资源访问的行为进行记录、分析并响应的能力03-41.应具有对恶意代码的检测、阻止和清除能力03—42。应具有防止恶意代码等在网络中扩散的能力03-43。应具有对恶意代码库和搜索引擎及时更新的能力03—45.应具有对用户进行唯一标识的能力03—46.应具有对同一个用户产生多重鉴别信息并进行多重鉴别的能力03—47.应具有对硬件设备进行唯一标识的能力03—48.应具有对硬件设备进行合法身份确定的能力03—49.应具有检测非法接入设备的能力O3-54.应具有信息源发的鉴别能力03—58.应具有基于密码技术的抗抵赖能力O3-59.应具有防止未授权下载、拷贝软件或者文件的能力03—61.应具有切断非法连接的能力04—21。应具有合理使用和控制系统资源的能力04—22。应具有按优先级自动分配系统资源的能力04—25.应具有记录用户操作行为和分析记录结果的能力04—27.应具有安全机制失效的自动检测和报警能力04—28。应具有检测到安全机制失效后恢复安全机制的能力O4-37.应具有限制网络、操作系统和应用系统资源使用的能力04-38。应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力04-39。应具有合理分配、控制网络、操作系统和应用系统资源的能力04-40.应具有发现所有已知漏洞并及时修补的能力04—41.应具有对网络、系统和应用的访问进行严格控制的能力

O4—42。应具有对数据、文件或其他资源的访问进行严格控制的能力O4—43。应具有对资源访问的行为进行记录、集中分析并响应的能力O4—44．应具有对恶意代码的检测、集中分析、阻止和清除能力O4—45.应具有防止恶意代码在网络中扩散的能力04—46。应具有对恶意代码库和搜索引擎及时更新的能力O4－47。应具有保证鉴别数据传输和存储保密性的能力04-48．应具有对用户进行唯一标识的能力O4—49.应具有对同一个用户产生多重鉴别信息,其中一个是不可伪造的鉴别信息并进行多重鉴别的能力O4-50．应具有对硬件设备进行唯一标识的能力O4-51。应具有对硬件设备进行合法身份确定的能力O4-52。应具有检测非法接入设备的能力O4-56．应具有路由选择和控制的能力O4—57。应具有信息源发的鉴别能力04-61.应具有防止未授权下载、拷贝软件或者文件的能力O4-63．应具有切断非法连接的能力4。数据中心保护解决方案血用忧让CampusInremat5亡匚他曲占FCfyffiK炖FH駅命空描址>5ocF血用忧让CampusInremat5亡匚他曲占FCfyffiK炖FH駅命空描址>5ocF]al^A5E:勺“赂聲于I畏务■審ifi应筮度和业理It力严如泗①如跡火a/ips：石数防范A宓歧击>it?ceiodoAlC:初底话酔DDoSlfi击SocWode申火横SecElndi?IPS^SeeCentwflMC:窪鲫湧曙、SS备的绕-一妾全衽理02—2702—27。应具有对网络、系统和应用的访问进行控制的能力0404—38。应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力能够响应的等保要求:01—13.应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力01-14.应具有对网络、系统和应用的访问进行控制的能力01—15.应具有对数据、文件或其他资源的访问进行控制的能力01－18.应具有对恶意代码的检测、阻止和清除能力02-15.应具有合理使用和控制系统资源的能力02-24.应具有限制网络、操作系统和应用系统资源使用的能力02—25.应具有能够检测对网络的各种攻击并记录其活动的能力02-26.应具有发现所有已知漏洞并及时修补的能力02—27。应具有对网络、系统和应用的访问进行控制的能力02－28。应具有对数据、文件或其他资源的访问进行控制的能力02—32。应具有对恶意代码的检测、阻止和清除能力02—33.应具有防止恶意代码在网络中扩散的能力02—34。应具有对恶意代码库和搜索引擎及时更新的能力03-34.应具有限制网络、操作系统和应用系统资源使用的能力03-35。应具有合理分配、控制网络、操作系统和应用系统资源的能力03-36.应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力03-37。应具有发现所有已知漏洞并及时修补的能力03-38.应具有对网络、系统和应用的访问进行严格控制的能力03—39.应具有对数据、文件或其他资源的访问进行严格控制的能力03—40.应具有对资源访问的行为进行记录、分析并响应的能力03—41。应具有对恶意代码的检测、阻止和清除能力03—42。应具有防止恶意代码等在网络中扩散的能力03—43。应具有对恶意代码库和搜索引擎及时更新的能力04—37.应具有限制网络、操作系统和应用系统资源使用的能力

04-39.应具有合理分配、控制网络、操作系统和应用系统资源的能力04—40。应具有发现所有已知漏洞并及时修补的能力04—41.应具有对网络、系统和应用的访问进行严格控制的能力04—42.应具有对数据、文件或其他资源的访问进行严格控制的能力04-44．应具有对恶意代码的检测、集中分析、阻止和清除能力04－45．应具有防止恶意代码在网络中扩散的能力04－46。应具有对恶意代码库和搜索引擎及时更新的能力5。行为监管解决方案>ACG;对F2P应闪迸和尿确识到和控拈，塚护带耀资藩；能够响应的等保要求：01－14.应具有对网络、系统和应用的访问进行控制的能力01-15．应具有对数据、文件或其他资源的访问进行控制的能力01-16.应具有对用户进行标识和鉴别的能力02-15。应具有合理使用和控制系统资源的能力02-16。应具有记录用户操作行为的能力02－24．应具有限制网络、操作系统和应用系统资源使用的能力02—25.应具有能够检测对网络的各种攻击并记录其活动的能力02—28。应具有对数据、文件或其他资源的访问进行控制的能力O2-29.应具有对资源访问的行为进行记录的能力02—30。应具有对用户进行唯一标识的能力02—31．应具有对用户产生复杂鉴别信息并进行