等级保护安全建设方案课件

民生行业等级保护安全建设方案民生行业等级保护安全建设方案PART/01标准介绍PART/02PART/03PART/04建设清单CONTENTS/目录PART/05等保优势建设方案行业现状360企业安全.民生行业

PART/01标准介绍PART/02PART/0PART/01等级保护标准介绍360企业安全.民生行业

PART/01等级保护标准介绍360企业安全.民生行业3网络安全法第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；第二十五条

网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。2014年2月首次在政府工作报告中提及2016年7月5日网络安全法草案二审稿启动关键信息基础设施全国检查工作2016年7月8日2016年11月1日网络安全法草案三审稿人大常委会表决通过网络安全法2016年11月7日2016年12月末结束关键信息基础设施全国检查工作实施网络安全法2017年6月1日应急响应：将监测预警与应急处置工作制度化、法制化，明确国家建立网络安全监测预警和信息通报制度。CII保护：《网络安全法》明确了对国家关键信息基础设施（简称CII）要加强安全保护，初步给出了CII的范围，在法案第三章专门对关键信息基础设施的运行安全提出了具体要求。等保制度：《网络安全法》明确国家实行网络安全等级保护制度。网络运营者应当按照网全等级保护制度的要求，切实加强网络安全建设日志留存：记录网络运行状态、网络安全事件的技术措并按照规定留存相关的网络日志不少于六个月。网络安全法草案一审稿2015年7月7日网络安全法第二十一条国家实行网络安全等级保护制度。网络运4等保2.0扩展—安全通用要求+五个扩展分册GB/T22239.1-XXXX信息安全技术网络安全等级保护基本要求第1部分安全通用要求GB/T22239.2-XXXX信息安全技术网络安全等级保护基本要求第2部分云计算安全扩展要求GB/T22239.3-XXXX信息安全技术网络安全等级保护基本要求第3部分移动互联安全扩展要求GB/T22239.4-XXXX信息安全技术网络安全等级保护基本要求第4部分物联网安全扩展要求GB/T22239.5-XXXX信息安全技术网络安全等级保护基本要求第5部分工业控制系统安全扩展要求GB/T22239.6-XXXX信息安全技术网络安全等级保护基本要求第6部分大数据安全扩展要求等保2.0扩展—安全通用要求+五个扩展分册GB/T22239三级安全控制项1.0：290项技术136管理154技术要求应用和数据安全设备和计算安全网络和通信安全物理和环境安全管理要求安全策略和管理制度安全管理机构和人员安全建设管理安全运维管理等保三级安全的控制项技术要求数据安全及备份恢复应用安全主机安全网络安全物理安全管理要求系统运维管理系统建设管理人员安全管理安全管理机构安全管理制度三级安全控制项2.0：229项技术116管理113三级安全控制项1.0：技术要求应用和数据安全设备和计算安全网等级保护生命周期安全服务定级备案安全设计实施安全运行维护应急响应保障总体安全规划等保咨询服务安全规划设计服务等保集成服务安全运维服务系统调查系统定级定级报告专家评审协助备案安全需求分析安全策略设计解决方案设计安全建设规划详细设计技术实现管理实现安全培训运行管理服务商管控等级测评检测改进基础环境评估服务现场评估报告编制应急预案监测响应评估改进应急保障安全应急服务行业/领域主管部门属地公安机关有等保建设资质的厂商，设计院等有等保建设资质的厂商等保用户专业安全厂商等保用户专业安全厂商等级保护生命周期安全服务定级备案安全设计实施安全运行维护应急PART/02行业现状概览360企业安全.民生行业

PART/02行业现状概览360企业安全.民生行业8“十二五”国家政务信息化工程与金保二期工程关系“十二五”国家政务信息化工程与金保二期工程关系9人力资源和社会保障事业发展“十三五”规划纲要加快实施人力资源和社会保障信息化建设工程，建设人力资源和社会保障信息资源库，继续推进信息系统和数据省级集中。加快推进人员、单位、管理服务机构等基础信息库及异地就医联网结算、社保关系转移接续、公共就业信息服务、就业信息监测等重点建设任务。积极实施“互联网+人社”行动，促进劳动就业、社会保障、人才服务等工作与互联网深度融合。建立一体化公共服务信息平台，逐步实现线上线下服务渠道的有机衔接，形成跨领域、跨部门、跨层级的联动服务能力。加快推进社会保障卡应用，实现社会保障一卡通。加快推动信息资源开发利用，构建大数据应用体系。依托政府数据共享交换平台，实现与相关政府部门的协同共享，逐步拓展基于互联网等社会化途径的信息资源获取途径。运用云计算技术，提升信息化基础设施的支撑保障能力。逐步建成全网安全监测系统，提升信息安全保障能力。十三五规划的网络安全部分主要是金保二期工程建设内容。人力资源和社会保障事业发展“十三五”规划纲要加快实施人力资源10金保二期工程网络安全目标金保工程二期基础安全防护系统建设目标1套体系2个重点3个全面4项机制建立一套包括技术和管理两方面，外防和内控兼顾，以纵深防御、分等级分区域保护为核心的综合安全防护体系。重点解决应用安全和数据安全两方面突出问题。全面通过等级保护测评防火墙、入侵检测和防护系统、网络监控和审计系统等边界防护系统全面部署到网络互联边界数据访问控制和审计功能全面配置到核心业务区域的重要系统加强信息安全风险评估和测评工作机制信息安全通报和检查机制信息安全应急处理协调机制信息安全综合管理和监督机制的四项安全保障机制的建设。金保二期工程网络安全目标金保工程二期基础安全防护系统建设目标11金保工程二期安全建设内容部省两级基础安全防护、电子认证体系、灾备系统，纳入全国统一立项的金保工程二期建设任务，主要内容包括：1. 按照信息安全等级保护基本要求，结合金保工程已建、新建和改扩建信息系统对信息安全防护能力的差异性安全需求分析，立足于金保工程一期信息安全建设成果，完善部、省、市各级人力资源社会保障部门的基础安全防护系统的建设。2. 优化网络结构，合理划分网络安全防护边界和安全区域，实现纵深防御、区域访问控制和有效安全隔离。3. 按照互联部门业务数据和用户属性分类规划统一的数据交换区，实现网络互联出入口的集中防护和监控。4. 建立重要信息系统、重要网络区域的安全监控和审计机制。5. 加强面向互联网业务信息系统的安全防护和监控，建立网站防渗透、防篡改、防信息泄露和安全监测审计机制。6. 加强关键业务数据的防丢失、防泄露和防篡改。7. 加强信息安全风险评估和测评工作,建立信息安全等级保护综合工作平台，落实信息安全等级保护的各项制度和要求。8. 建立和完善信息安全监控平台和安全审计平台。在部、省、市各级网络系统部署统一信息安全监控平台和安全审计平台，实现边界防御、网络监控、主机监控、应用保护和桌面终端安全的全方位安全审计和安全监管功能。9. 建立和完善安全管理机制和组织体系，建立健全信息安全应急处理协调机制、安全通报机制和制度化专业化的检查机制，提高对网络安全事件应对和防范能力。金保工程二期安全建设内容部省两级基础安全防护、电子认证体系、12行业等级保护现状金保二期等级保护安全建设目标：部级信息系统的信息安全等级保护符合度达到85%以上，省级达到80%以上，市级达到75%以上。全国已定级备案系统：988个，还未定级350个。系统定级情况：一级系统占比1.39%,二级系统占比43.01%,三级系统占比55.4%,四级系统占比0.2%整改系统情况：未整改645个，已整改693个。测评情况：未测评790个，已测评548。业务模式：省集中模式（青海、宁夏、内蒙），其余省份的业务系统多数在市级。目前正在由市集中向省集中迁移。等级保护安全建设是人社行业最大的安全需求，资金来源于金保二期，市级等级保护建设需求大。行业等级保护现状金保二期等级保护安全建设目标：部级信息系统的13网络架构概述面向互联网用户的业务应用，如网站、12333等；部、省、市各自建设，没有互联关系。安全部分按照等级保护标准建设，最高三级。人社行业主要业务区，数据生产汇集；部、省、市各自建设，部具备指导检查权力，网络互联，最终全国数据汇集到部里。业务系统多数集中在地市中，目前正在进行省集中，如内蒙、青海等。安全部分按照等级保护标准建设，最高三级。接入电子政务外网。终端不允许上外网，业务数据通过网闸与公众服务网交互。内部业务系统，如OA等。部、省、市各自建设。FJBH，JM级。公众服务网业务专网内部办公网网络架构概述面向互联网用户的业务应用，如网站、12333等；14人社业务内容人社业务内容15PART/03建设设计360企业安全.民生行业

PART/03建设设计360企业安全.民生行业16部级网络架构两地三中心双活数据中心省生产中心、部生产中心间，利用电子政务外网人社专用MPLSVPN部署生产双链路，承载生产业务流量、视频流量，保证链路可靠性，并进行负载分担。在省同城灾备至部同城灾备中心间，部署灾备单链路，当生产双链路故障时（部生产中心发生灾难时），灾备单链路可承载灾备业务流量，提高省、部中心间连接的可靠性，保证业务流量不中断。部同城灾备中心、异地灾备中心间，采用电子政务外网人社专用MPLS专线或电信运营商专线连接，形成部级三中心环状网络，提高部级三中心互联的可靠性。当其中一条中断时，灾备流量仍然可以正常运行。部级网络架构两地三中心双活数据中心17部级业务专网与各省数据中心连接，自有业务专网，逐渐向电子政务外网转移。接入层：具备4个接入区，业务专网接入区采用FW、IPS、WAF防护措施，其他采用FW、IPS。DMZ区：采用数据库审计、网络审计、入侵检测系统。纵向DMZ与公众服务网DMZ区采用网闸对接。核心交换区：部署防火墙、网络审计、入侵检测、数据库审计等措施。与公众服务网采用网闸对接。应用层：具备安全管理区，NGSOC、防病毒、漏洞扫描、堡垒机、天眼、数据库审计等系统。部级业务专网与各省数据中心连接，自有业务专网，逐渐向电子政务18部级公众服务网接入层：公众服务网接入区采用抗DDOS、FW、IPS防护措施。具备多个运营商线路，采用负载均衡措施。DMZ区：采用网络审计、入侵检测系统。对外业务服务器部署WAF、网页防篡改系统。公众服务网DMZ区与业务专网纵向DMZ采用网闸对接。核心交换区：部署防火墙、网络审计、入侵检测、网络数据包日志和安全取证系统等措施。与业务专网采用网闸对接。与二级单位采用防火墙隔离，内部用户区采用防病毒网关隔离。应用层：具备安全管理区，NGSOC、防病毒、漏洞扫描、堡垒机、天眼、数据库审计等系统。部级公众服务网接入层：公众服务网接入区采用抗DDOS、FW、19等级保护安全建设分析业务专网与公众服务网均遵守等级保护建设要求，多数为等保三级系统（全国仅江苏存在2个四级系统）。内部办公网采用FJBH标准，最高为JM级。等级保护建设涉及安全产品众多，我司绝大部分产品均可覆盖，全国各地均有各类产品案例。可通过代理商、与用户直接交流等方式参与建设部级完成了NGSOC、天眼、天擎、EDR等新产品的建设。根据网络安全法、等保2.0的要求，应提升安全服务地位，建议直接与用户交流，拿下安全服务，提升与用户的交流粘度。专网天擎专网NGSOC部级案例标准执行四大抓手等级保护安全建设分析业务专网与公众服务网均遵守等级保护建设要20PART/

04建设及服务清单360企业安全.民生行业

PART/04建设及服务清单360企业安全.民生行业21等保合规–解决方案安全运维网络技术要求物理安全网络与通信安全设备和计算安全应用和数据安全机构人员数据安全应用安全操作系统虚拟化NGFWAntiDDoS虚拟化安全天擎NACWAF网页防篡改鹰眼VPNDB审计等保咨询物理环境CCTV门禁漏扫管理要求机构人员建设管理等保集成渗透测试建设管理SNINGSOC安全运维堡垒机等级保护安全架构策略制度等保咨询策略制度360ID应急响应驻场保障DLP安全培训ICGIPS天眼防病毒墙防火防水电力保障机房抗震日志审计LAS电磁防护基础环境评估注：物理安全由等保防护对象或电信基础设施运营商提供网闸天巡漏扫代码卫士SMAC等保二级要求等保三级增加要求CA应用改造邮件网关容灾备份等保二级要求等保三级增加要求第三方设备：360自有设备：等保合规–解决方案安全运维网络技术要求物理安全网络与通信22行业风险点(一)业务专网与互联网安全隔离不充分(二)办公区域覆盖无线网络，且未采取无线安全控制措施。(三)服务器存在高风险漏洞，可被远程控制利用。(四)应用系统存在安全漏洞，可能造成数据泄露。(五)数据的共享和交换存在安全隐患。(六)计算机终端的日常安全管理需进一步加强。(七)风险评估机制未建立，安全服务未定期开展。(八)系统运维严重依赖外包服务单位，且缺少内控机制。(九)日常安全管理执行力度不够，未定期开展安全检查和监管。(十)安全管理制度尚不健全。检查手段：天擎非法外联实施手段：网闸检查手段：天擎运维管理模块、天巡实施手段：天擎、天巡检查手段：网站云监测、漏扫、补天漏洞感知实施手段：安域、WAF、众测检查手段：风险评估、渗透测试、众测实施手段：安全制度、安全运维、安全服务检查手段：天擎数据价值评估、EDA实施手段：DLP、安全U盘人社部发文安全风险提示行业风险点(一)业务专网与互联网安全隔离不充分检查手段：天擎23网络和通信安全安全要求分类安全要求细则主要应对产品及功能网络架构a)

应保证网络设备的业务处理能力满足业务高峰期需要；1、防火墙、网闸隔离安全域2、防火墙、网闸、行为管理、WAF、抗DDOS和堡垒机具备HA功能b)

应保证网络各个部分的带宽满足业务高峰期需要；c)

应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；d)

应避免将重要网络区域部署在网络边界处且没有边界防护措施；e)

应提供通信线路、关键网络设备的硬件冗余，保证系统的可用性。通信传输a)

应采用校验码技术或加解密技术保证通信过程中数据的完整性；防火墙和网闸均可满足b)

应采用加解密技术保证通信过程中敏感信息字段或整个报文的保密性。边界防护a)

应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信；防火墙和网闸提供访问控制和身份认证b)

应能够对非授权设备私自联到内部网络的行为进行限制或检查；c)

应能够对内部用户非授权联到外部网络的行为进行限制或检查；行为管理具备防私接能力d)

应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部网络。天巡网络和通信安全安全要求分类安全要求细则主要应对产品及功能网络网络和通信安全安全要求分类安全要求细则主要应对产品及功能访问控制a)

应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；防火墙、网闸b)

应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；c)

应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；d)

应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；e)

应在关键网络节点处对进出网络的信息内容进行过滤，实现对内容的访问控制。入侵防范a)

应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；1、防火墙和IPS的入侵防御2、天眼的威胁检测b)

应在关键网络节点处检测和限制从内部发起的网络攻击行为；c)

应采取技术措施对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析；d)

当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。恶意代码防范a)

应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；防火墙和网闸的病毒防护功能b)

应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。网络和通信安全安全要求分类安全要求细则主要应对产品及功能访问网络和通信安全安全要求分类安全要求细则主要应对产品及功能安全审计a)

应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；1、防火墙、网闸、行为管理、抗DDOS、WAF等产品2、数据库审计系统、堡垒机、SNI、LAS等产品b)

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)

应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；d)

审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性；e)

应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。集中管控a)

应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；1、防火墙通过SMAC做集中管控2、网闸可集中监控3、SNI支持ssh网络管理防火墙和网闸的病毒防护功能b)

应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；c)

应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；d)

应对分散在各个设备上的审计数据进行收集汇总和集中分析；e)

应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；f)

应能对网络中发生的各类安全事件进行识别、报警和分析。网络和通信安全安全要求分类安全要求细则主要应对产品及功能安全设备和计算安全安全要求分类安全要求细则主要应对产品及功能身份鉴别a)

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；防火墙、网闸、行为管理、数据库审计系统、堡垒机和天擎、360IDb)

应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；c)

当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；d)

应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别。访问控制a)

应对登录的用户分配账号和权限；1、防火墙、网闸、数据库审计系统、堡垒机和天擎的功能完整2、行为管理、WAF、抗DDOS和漏扫支持用户权限管理和三权分立b)

应重命名默认账号或修改默认口令；c)

应及时删除或停用多余的、过期的账号，避免共享账号的存在；d)

应授予管理用户所需的最小权限，实现管理用户的权限分离；e)

应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；f)

访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；g)

应对敏感信息资源设置安全标记，并控制主体对有安全标记信息资源的访问。设备和计算安全安全要求分类安全要求细则主要应对产品及功能身份安全要求分类安全要求细则主要应对产品及功能安全审计a)

应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；数据库审计、堡垒机、天擎、行为管理、LAS和SNIb)

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)

应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；d)

应对审计进程进行保护，防止未经授权的中断；e)审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性入侵防范a)

应遵循最小安装的原则，仅安装需要的组件和应用程序。1、天擎的准入、绑定、漏洞管理等功能满足2、WAF和抗DDOS可以抵御对应的WEB攻击和DDOS攻击b)

应关闭不需要的系统服务、默认共享和高危端口；c)

应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；d)

应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞；e)

应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。恶意代码防范应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应用的信任链，实现系统运行过程中重要程序或文件完整性检测，并在检测到破坏后进行恢复。天擎的杀毒功能设备和计算安全安全要求分类安全要求细则主要应对产品及功能安全审计a)

安全要求分类安全要求细则主要应对产品及功能资源控制a)

应限制单个用户或进程对系统资源的最大使用限度；行为管理、抗DDOS、WAF、堡垒机和天擎b)

应提供重要节点设备的硬件冗余，保证系统的可用性；c)

应对重要节点进行监视，包括监视CPU、硬盘、内存等资源的使用情况；d)

应能够对重要节点的服务水平降低到预先规定的最小值进行检测和报警。设备和计算安全安全要求分类安全要求细则主要应对产品及功能资源控制a)

应用和数据安全安全要求分类安全要求细则主要应对产品及功能身份鉴别a)

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，鉴别信息具有复杂度要求并定期更换；数据库审计和堡垒机的用户管理及认证管理功能b)

应提供并启用登录失败处理功能，多次登录失败后应采取必要的保护措施；c)

应强制用户首次登录时修改初始口令；d)

用户身份鉴别信息丢失或失效时，应采用鉴别信息重置或其他技术措施保证系统安全；访问控制a)

应提供访问控制功能，对登录的用户分配账号和权限；网闸、数据库审计和堡垒机b)

应重命名默认账号或修改这些账号的默认口令；c)

应及时删除或停用多余的、过期的账号，避免共享账号的存在；d)

应授予不同账号为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；e)

应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；f)

访问控制的粒度应达到主体为用户级，客体为文件、数据库表级、记录或字段级；g)

应对敏感信息资源设置安全标记，并控制主体对有安全标记信息资源的访问。应用和数据安全安全要求分类安全要求细则主要应对产品及功能身份应用和数据安全安全要求分类安全要求细则主要应对产品及功能安全审计a)

应提供安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；数据库审计、堡垒机、网闸、LAS和SNIb)

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)

应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；d)

应对审计进程进行保护，防止未经授权的中断；e)

审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性。软件容错a)

应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；1、数据库审计、堡垒机的内置系统机制2、WAF的系统回滚功能b)

在故障发生时，应能够继续提供一部分功能，确保能够实施必要的措施；c)

应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。资源控制b)

应能够对系统的最大并发会话连接数进行限制；数据库审计、堡垒机的许可限制数据完整性a)应采用校验码技术或加解密技术保证重要数据在传输过程中的完整性；VPNb)应采用校验码技术或加解密技术保证重要数据在存储过程中的完整性。数据保密性a)

应采用加解密技术保证重要数据在传输过程中的保密性；b)

应采用加解密技术保证重要数据在存储过程中的保密性。应用和数据安全安全要求分类安全要求细则主要应对产品及功能安全应用和数据安全安全要求分类安全要求细则主要应对产品及功能数据备份恢复a)

应提供重要数据的本地数据备份与恢复功能；1、数据库审计、堡垒机的数据备份机制2、WAF和防篡改软件的网页数据还原功能b)

应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；c)

应提供重要数据处理系统的热冗余，保证系统的高可用性。剩余信息保护a)

应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；须安服介入b)

应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。个人信息保护a)

应仅采集和保存业务必需的用户个人信息；数据库审计、堡垒机可合规审计b)

应禁止未授权访问和使用用户个人信息。应用和数据安全安全要求分类安全要求细则主要应对产品及功能数据安全服务产品名称产品描述产品形态满足的等保控制域等级保护咨询1、定级咨询；2、差距评估；3、方案设计；4、协助测评服务一次性安全管理机构和人员安全策略和管理制度等级保护建设集成1、安全技术体系设计；2、安全管理体系设计；3、安全产品集成实施；4、风险评估；5、安全加固服务一次性安全建设管理渗透测试采用人工或众测的方式进行渗透测试服务。服务一次性安全策略和管理制度安全运维管理代码审计对业务代码进行安全审计。服务一次性安全运维管理基础环境评估1，漏洞扫描2，对操作系统、数据库、中间件、网络设备、网络安全设备、网络边界进行配置核查一次性，人工服务安全建设管理应急响应在用户发生确切的安全事件时，应急响应实施人员及时采取行动限制事件扩散和影响的范围，限制潜在的损失与破坏服务一次性安全运维管理驻场安全保障服务安全策略优化，定期风险评估，安全监控服务年付安全运维管理机构和人员管理业务安全技能培训培训内容从攻击者、防御者、管理者等多角度对企业安全进行深入浅出的解一次学员不超过10人安全管理机构和人员安全服务产品名称产品描述产品形态满足的等保控制域等级保护咨询PART/

05等级保护建设优势360企业安全.民生行业

PART/05等级保护建设优势360企业安全.民生行业341安全风险评估3安全运维2等保咨询4应急响应5安全架构设计安全集成一站式新等保三级解决方案优势1--产品覆盖最全1安全风险评估3安全运维2等保咨询4应急响应5安全架构设计一优势2--公司资质最全序号资质名称网神启明星辰绿盟科技天融信深信服华为东软蓝盾北信源亚信安恒阿里云认定认可类1计算机信息系统集成企业资质（大型一级为最高级）二级二级二级二级×一级一级一级××二级×2商用密码产品销售许可证√√√√√√√×√×××3商用密码产品生产定点单位证书√√√√××××√×××4纳税信用A级企业√√√√√√√√√√√√5ISO9001:2008质量管理体系(包含网神科技)√√√√√√√√√×√×6ISO20000:2011信息技术服务管理体系√××√×√√√×√×√7ISO27001:2005