高校信息安全等级保护建设

高校信息安全等级保护建设解决方案汇报杭州华三通信技术有限公司2016.1信息安全等级保护概述教育信息安全等级保护建设思路H3C信息安全等级保护解决方案H3C优势总结信息安全等级保护背景

2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布《信息安全等级保护管理办法》（公字【2007】43号文），在全社会范围内（包括国家单位、企业单位、行业等）推行“信息安全等级保护”政策。推行“信息安全等级保护”政策意义：（一）在国民经济和社会信息化发展过程中，提高信息安全保障能力和水平。（二）调动国家、法人、其他组织、公民安全防护积极性。通俗理解为——“谁主管、谁负责、谁运营、谁负责”“管好自己的一亩三分地，保家卫国”信息安全等级保护管理组织指导监管部门：国家等保工作开展、推进、指导。技术支撑部门：国家等保标准制定、修订、培训、技术指导以及全国测评单位管理。国家测评机构行业测评机构地方测评机构信息安全等级保护国家标准等级保护指导政策《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）《信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全技术信息系统安全等级保护实施指南》GB/T25058-2010《信息安全等级保护管理办法》（公通字〔2007〕43号）等级保护工作标准《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008《信息安全技术信息系统安全等级保护测评要求》MSTL-JBZ-05-005《信息安全技术信息系统安全等级保护测评过程指南》GB/T28449-2012信息安全等级划分监管要求1级自主保护监督保护强制保护专控保护2级3级4级5级依据国家管理规范和技术标准进行保护在国家监管部门指导下保护受到国家监管部门监督、检查下保护受到国家安全监管部门强制监督、检查下保护国家指定专门部门专门监督、检查下保护指导保护信息安全等级保护级别用户自主控制资源访问第一级用户自主保护重要敏感信息进行标记访问控制，通过标记实现强制访问控制第三级安全标记保护主体和客体之间细粒度访问控制，建立可信隐蔽通道，可信计算结构化。第四级结构化保护所有过程都需要进行验证。第五级访问验证保护第二级系统审计保护用户访问行为需要被审计教育行业等级保护开展现状I类学校：重点建设类高等学校，如985高校和211高校等II类学校：高等学校信息系统III类高校：中小学校（含中职中专院校）信息系统校务管理类、教学科研类信息系统业务信息安全或系统服务招生就业类、综合服务类信息系统的业务信息安全或系统服务需要重点关注的学校的信息系统学校信息系统分类分类等级保护带来的价值信息安全等级保护概述教育信息安全等级保护建设思路H3C信息安全等级保护解决方案H3C优势总结信息安全等级保护建设模型

安全保护能力技术措施管理措施包含具备基本安全要求满足包含满足实现等级保护要求模型《基本要求》的描述模型每一等级信息系统安全控制定级指南过程方法确定系统等级启动采购/开发实施运行/维护废弃确定安全需求设计安全方案安全建设安全测评监督管理运行维护暂不考虑特殊需求等级需求基本要求产品使用选型监督管理测评准则流程方法监管流程应急预案应急响应等级保护工作对应完整的信息安全建设生命周期等级保护定义的信息安全建设过程等保建设主要阶段的详细工作信息系统等级保护实施生命周期内的主要活动等级化风险评估安全总体设计安全建设规划安全方案设计安全产品采购安全控制集成测试与验收管理机构的设置管理制度的建设人员配置和岗位培训安全建设过程的管理操作管理和控制变更管理和控制安全状态监控事件处置和应急预案安全评估和持续改进监督检查系统调查和描述子系统划分/分解子系统边界确定安全等级确定定级结果文档化定级阶段规划设计阶段安全实施阶段安全运行管理阶段定级备案整改、建设等级测评监督检查一般由用户自行完成，用户依据《等级保护管理办法》和《定级指南》确定信息系统的安全保护等级，并报主管部门审批等级确定后，向当地同级公安机关提请备案在等级保护的整个工作流程中，H3C发挥作用重要阶段由具备测评资质的第三方测评机构完成又国家监管智能部门完成，通过监督检查督促信息系统安全防护能力不断提高等级保护总体工作流程等级保护具体工作流程物理安全安全管理制度网络安全系统安全应用安全数据安全安全管理机构人员安全管理系统建设管理系统运维管理技术要求管理要求确定安全策略，指定安全策略方案信息系统安全需求分析/相应级别的要求开展信息系统安全自查和等级测评安全产品协助防护等级保护具体工作流程简图需求分析策略制定自查&测评管理层面技术层面制度机构人员建设运维物理网络主机应用数据等级保护的技术要求和管理要求只是具体的目标，而不强调实现的方法。这就强调了信息系统的所有者和使用者在信息安全建设中的主体地位。等保的技术要求部分不包含技术框架的搭建，其技术目标的实现也不固定要求对应到某一种或者某一类安全产品中。事实上，具体的安全产品和解决方案可以横跨多个安全要求大项，实现多个安全目标。结论：进行等级保护建设的主体是信息系统的所有者和使用者，由信息系统的所有者和使用者根据自身的特点，自行规划、设计和实现。等保的核心本质等保的价值等保给予用户明确的安全目标，帮助用户清晰认识安全薄弱环节。没有100%安全，适度安全核心思想让用户达到投资/收益最佳比。“过犹不及、无过不及”“有目标”的建设安全，建设“适度的安全”信息安全等级保护概述信息安全等级保护建设思路H3C信息安全等级保护解决方案H3C优势总结ActionCheckDoPlan安全控制过程方法确定系统等级安全规划设计实施运行/维护确定安全需求设计安全方案安全建设安全测评运行监控维护响应特殊需求等级需求基本要求产品使用选型系统监控测评准则流程方法监控流程应急预案应急响应等保建设过程：基于PDCA、遵从公安部信息安全等级保护规范！应急响应评估咨询方案设计周期性检测H3C在等级保护建设过程中发挥重要作用信息安全等级保护建设关注点满足要求问题能否顺利通过测评目标达成问题等保要求只写明目标，如何达成？重复工作问题单一系统出发，孤岛式分散安全建设运维复杂问题增加安全设备带来管理成本提升，如何平衡？长期监管问题建设完成后如何实现业务视角的安全监控问题H3C承诺用户H3C提供专业的等级保护咨询服务全局视角，整体设计，业务分类H3C天机系统，面向业务，实现整网安全风险的监测、预警、响应、运维的闭环管理H3C5大场景化校园安全实现等保要求全覆盖H3C教育等级保护解决方案信息安全等级保护管理组织业务1/业务2/业务3终端网络应用存储等保一级等保二级等保三级共享信息系统平台定级对象是业务：业务是真正的信息资产，业务有不同的安全要求；防护实施的对象：业务数据流经的终端、网络、应用平台、存储设备；优秀的网络架构，是等保建设的基础数据中心域校园出口域校园接入域科研管理系统教学评估系统学籍管理系统门户网站系统教师培训系统学生就业系统……横向业务分类纵向安全域分区设计理论：合理的网络结构，才能精细的分隔业务流量，形成清晰的安全域边界，符合等保面向业务的安全定级模型；横向业务分类、纵向安全分域校园安全统一管理平台H3C四大校园安全解决方案实现等保需求的覆盖校园出口安全一体化解决方案校园用户认证与管理解决方案数据中心安全解决方案数据中心运维管理安全解决方案校园网出口数据中心校园网接入场景一：校园网出口安全一体化解决方案核心交换核心交换计费网关统一管理中心校园网InternetCernet2Cernet计费网关H3C多业务安全网关融合部署模式核心交换核心交换计费网关审计及流控统一管理中心校园网ISP1Cernet1ISP2入侵防御负载均衡计费网关审计及流控入侵防御负载均衡防火墙分散部署模式防火墙缓存加速方案描述出口融合安全网关：高性能硬件，简化出口架构，融合多业务，支持虚拟化大容量NAT：实现多个校区统一出口的高性能地址转换下一代防火墙/IPS：实现L2-L7层的安全防护负载均衡：可实现基于业务的负载均衡上网流量的管理与审计：流量可管可控，对学生上网行为进行审计M9006M9010M9014采用控制、业务、数据相分离的全分布式架构，独立的硬件交换引擎，支撑高性能安全业务无阻塞处理及转发支持SCF（安全集群系统），支持多框集群和异构集群，实现灵活管理和弹性扩展。支持智能分流（IFF），部署多业务插卡后，流量自动在多个业务板卡内负载分担从而实现分布式处理。支持安全ONE平台（SOP）。采用创新的基于容器的虚拟化技术实现了真正意义上的虚拟防火墙。整机40G-960G吞吐率基于NGFW架构的M9000多业务安全网关一块NGFW板卡，多种安全功能NGFW-FW吞吐量并发连接数每秒新建连接40G2400万40万NGFW-LB吞吐量（L4）吞吐量（L7）并发连接数每秒新建连接20G10G1200万30万NGFW-流控

吞吐量并发连接数每秒新建连接10G1200万20万大规模策略访问控制多样化VPN接入多链路智能调度全面流量分析BYOD安全部署高性能DDoS防护高性能入侵防御服务器应用加速精细化应用管控细粒度上网审计大容量NAT专业病毒防护虚机扩容动态均衡云计算虚拟化安全全网络日志联动安全集群框架（SCF），毫秒级可靠性FWIPSLBFWIPSLBFWIPSLBFWIPSLBFWIPSLB防火墙模块防火墙模块防火墙模块防火墙模块零配置自动实现多机箱多板卡自动智能分流（IFF）①登录Master，配置策略②策略自动下发到所有业务模块③业务流自接口单元进入④智能分流，全业务负载分担主控引擎1主控引擎2防火墙模块防火墙模块防火墙模块IPS模块LB模块接口模块⑤业务引擎动态加入/退出，流量自动分担⑥多业务智能调度交换网智能业务分发一虚多作为按需分配的安全资源池FWIPSLBFWIPSLB

传统虚拟防火墙虚机方式SOP隔离VRF路由隔离操作系统隔离业务系统隔离业务虚拟化程度部分业务VPN实例化完全虚拟化完全虚拟化动态资源有限资源分配所有动态资源均可分配所有动态资源均可分配

保障+限制+抢占性能性能高性能低性能高可靠性一个实例故障，整机故障一个系统故障，其它系统不受影响一个SOP故障，其他SOP不受影响FWIPSLBFWIPSLB方案涉及产品与等级保护对应关系产品等保一级等保二级等保三级等保四级下一代防火墙—必选必选必选下一代IPS—必选必选必选负载均衡—推荐推荐推荐ACG—推荐推荐推荐SecCenter安全管理中心—推荐推荐推荐校园用户认证与管理解决方案SecPath防火墙EIAEIAEIASecPathIPS服务器区安全管理中心SecCenter智能网管中心iMC安全管理平台方案描述终端接入软件EIA：进行身份认证和和终端安全状态评估BRAS：实现有线无线的统一接入认证安全管理SecCenter/iMC：对网络和安全设备统一管理，并提供整网审计报告方案涉及产品与等级保护对应关系产品等保一级等保二级等保三级等保四级EIA准入控制系统—必选必选必选NAS设备—必选必选必选SecCenter安全管理中心—推荐推荐推荐数据中心安全解决方案SecBladeIPS/SecPathIPSWEB区应用区数据库区SecPathLB校园网核心数据中心核心SecBlade防火墙/SecPathNGFW应用优化安全防护ISP2CernetISP1方案描述SecBlade防火墙/IPS：有效防范2~7层攻击、DDoS攻击SecPathLB：5~10倍提升服务器响应速度和处理能力SecPath

WAF：通过执行一系列针对HTTP/HTTPS的安全策略，抵御应用层的攻击网页防篡改：保护网站内容不被非法恶意篡改SecPath数据库审计：对数据库操作进行细粒度审计的合规性管理SecCenter：实现服务器、设备的统一安全管理SecPath数据库审计SecPathWEB应用防火墙SecPath网页防篡改LB负载均衡/应用交付系列产品产品特色多核CPU处理架构。高性能，易扩展集成了四层、七层以及链路等各种负载均衡功能完善的网络及路由协议支持，满足任意组网最全面的业务深度应用健康检测高安全防护能力，保护服务器免受攻击成就共享连续多年入围中国移动、中国电信负载均衡设备集采工商银行、财政部、国税总局、国家电力、中航信选型入围规模应用于公安部、新闻出版署、国家图书馆、中石化、北京大学、国家质监总局、华润集团、北京国税等SecPathL1000系列SecPathL5000系列SecBladeLB/ADE系列WEB应用防火墙系列产品产品特色基于多点特征检测技术，能解析多种WEB攻击方式，从根源上避免绕过及穿透攻击；创新的黑名单、白名单双引擎检测技术，各种复杂攻击无所遁形；访问集中度和HTTP协议细粒度检测算法，有效应对了应用层CC攻击对业务的冲击高安全防护能力，成就共享成功应用于大连市政务云计算中心、浙江省电子口岸公司跨境电子商务云平台、中信银行、山东邮政、江西电信、南开大学、天津大学、山东经贸学院、复旦附中、新兴际华集团（世界500强）等、正常访问注入、跨站攻击Webshell上传攻击服务器漏洞攻击敏感言论提交CC攻击检查商业爬虫检查0day攻击检查安全基线检查注入攻击检查跨站攻击检查Webshell检查中间件漏洞检查敏感言论提交正常访问信息泄露正常访问最快在5秒内定位到攻击者，并智能锁定us级延时转发网络安全检查访问行为安全检查安全白名单检查WEB应用安全检查内容安全检查敏感信息检查产品：网页防篡改

对非法请求，恶意扫描及数据库注入攻击等进行拦截，只有合法的请求被正常响应，对访问网页进行实时规则检查，对网页的篡改及删除等操作进行拦截，并且产生日志及报警成就共享杭州华数传媒中国移动、福州电信江苏省国税、深圳测评中心、甘肃省审计厅产品特色提供文件驱动防篡改技术、WEB核心内嵌和实时触发机制结合，保护文件安全；支持防攻击、防篡改功能模块；支持即时内容恢复与实时动态攻击防护；支持WEB服务器可用性监测，全面保护各类网页和网站数据安全；CPU，内存占用资小于3%；产品：数据库审计产品特色高性能引擎，保证审计准确性和效率；数据库自动发现功能；内置30多种极具价值的报表，同时支持20多个维度的自定义报表，支持报表自动生成和发送；国内领先的支持IPV6环境数据库审计；支持超长最大64KSQL语句成就共享成功应用于江苏广电、贵阳国土资源局、沈阳铁路局、厦门市教育局等SAN管理中心日志存储中心采集器考试系统选课系统采集器教师学生信息系统图书馆图书管理系统方案涉及产品与等级保护对应关系产品等保一级等保二级等保三级等保四级下一代防火墙—必选必选必选下一代IPS—必选必选必选负载均衡—推荐必选必选Web应用防火墙—推荐必选必选网页防篡改—推荐必选必选数据库审计—推荐必选必选数据中心运维管理安全解决方案WEB区应用区数据库区校园网核心数据中心核心SecCenter安全管理区漏扫ISP2CernetISP1方案描述SecBlade防火墙/IPS：有效防范2~7层攻击、DDoS攻击SecPathLB：5~10倍提升服务器响应速度和处理能力SecPath

WAF：通过执行一系列针对HTTP/HTTPS的安全策略，抵御应用层的攻击SecPath数据库审计：对数据库操作进行细粒度审计的合规性管理SecCenter：实现服务器、设备的统一安全管理堡垒机产品：X-Scan漏洞扫描系统产品特色WINDOWS系统应用程序，简单易用，系统资源占用极少；强大的扫描引擎，支持常见网站编程语言、数据库及web服务器，支持第三方插件扩展；支持数据库授权和非授权扫描；支持对主流系统、中间件、网络设备进行扫描；支持渗透测试，一键验证漏洞；三权分立管理，防止权限滥用；内置直观图形报表，并对漏洞有详细描述和加固建议；WEB漏扫系统漏扫数据库漏扫成就共享教育部、水利部水利信息中心、浙江省国家税务局、江苏省统计局、广西省交通厅、浙商银行等产品：运维审计系列产品产品特色采用了专用的64位多核高性能处理器和高速存储器；支持将目标资产的账号密码交由运维审计系统进行集中托管；运维审计系统的审计分成图形、字符、应用、文件四种审计类型；提供丰富的报表，包括基于应用和基于网流的分析报表等；成就共享成功应用于中信银行、山东邮政、天津大学、福建健康之路、杭州公安局、江苏广电等telnet到交换机https访问防火墙ssh到linux、远程到windowsIT人员首先实现运维入口统一统一运维入口通道安全封杀其他所有访问通道（防火墙、交换机ACL）运维审计产品：安全管理中心产品（SSM）产品特色整网安全设备统一管理，对全网范围内的安全事件进行集中的关联分析；整网网络与安全联动，实现主动式安全防御；内置丰富的应用流量分析报表和安全威胁报表；成就共享国内安全管理中心第一集团安全各解决方案“大脑”核心，入围工行、中央直属机关等选型服务超过50%的省电力公司，并应用于新华社国际网、国家电子政务网、中石化ERP、中央党校、中国一重、国家金融交易平台等产品：网站安全监测产品产品特色集成分布式扫描引擎，精确快速发现网站存在的漏洞、风险；实时监控网站可用性、篡改、挂马和敏感词；分级、分角色管理，集中监控各级网站风险级别和整改进度；多视角报表，降低网站维护难度，提高风险防御能力；适合大屏展示的友好界面；根据网站规模灵活扩展；成就共享江西省工信委、河南省交通运输厅、湖北省统计局、江苏移动、湖南移动、天津移动、四川移动等方案涉及产品与等级保护对应关系产品等保一级等保二级等保三级等保四级堡垒机—推荐必选必选漏扫—推荐必选必选SecCenter安全管理中心—必选必选必选网络服务器ACG防火墙IPSLB应用漏扫终端其他设备支撑设备安全服务管理安全资源池安全服务编排安全服务申请安全策略管理部署和编排引擎安全事件分析事件告警事件关联多维度关联明细审计事件分析引擎行为异常分析行为告警异常事件关联多维度关联明细审计行为分析引擎安全风险分析风险告警安全评估等保合规业务/资产风险风险分析引擎安全运维联动响应告警工单运维及工作流引擎服务工单资产及业务风险建模知识库服务管理层综合监控管理业务风险分析事件关联分析行为关联分析安全服务管理安全等级保护业务展现层行为数据安全事件应用日志漏洞数据性能数据配置数据资产数据格式标准化数据归并文件索引文件存储内存装载/高速检索数据处理层DPI/NetStream/Netflow/SNMP/WMI/CLI/Trap/代理程序…存储弹性扩展天机系统：基于业务的安全管理平台架构多维度关联分析海量数据的聚类统计多维度关联综合展现：业务安全风险、健康、繁忙业务风险评估基于安全事件、行为异常、安全评估情况，结合业务建模，进行业务风险评估、直观呈现行为异常事件关联分析和呈现、快速感知APT等未知威胁并采取行动基于业务的安全管理平台展示资产风险安全域风险风险评级矩阵分析风险趋势网络设备配置主机配置数据库配置中间件配置应用配置安全设备配置安全通告攻击预警漏洞预警病毒预警影响性分析配置核查风险评估威胁预警最全面的合规评估分析矩阵全面合规的评估分析华三大安全：提供丰富的教育安全产品和方案T9000系列SecBladeIPSII/IIIT1000系列T5000系列安全管理网络层安全M9006M9010M9014安全管理中心网站安全监测中心终端安全管理漏洞扫描ACG1000系列SecBladeACGACG8800-S3L5000系列SecbladeADE/LBL1000系列W2000系列网页防篡改产品系列IPS产品系列应用控制产品系列负载均衡产品系列WAF产品系列W1000系列堡垒机产品系列D2000系列A2000系列数据库审计产品系列F100系列U200系列F1000系列SecBladeFW

II/Lite/III/IVF5000系列F100-X-G系列F1000-X-G系列U200-CX系列F10X0系列F50X0系列vFW1000防火墙/VPN产品系列NGFW产品系列SecBladeNGFWvLB1000NFV产品系列应用层安全M9000多业务网关产品系列Cache产品系列华三天机安全一体化交付平台华三大安全：提供丰富的教育安全产品和方案服务器客户机桌面安全应用安全技术平面产品集成智能安全渗透网络端到端安全保障解决方案L2~L7层深度安全技术安全产品与网络产品的集成集成了网络技术的安全产品集成了安全技术的网络产品数据中心保护解决方案内网控制解决方案边界防护解决方案远程安全