H3C安全等级保护方案V1.0-1124名师优质课获奖市赛课一等奖课件

H3C安全等级保护方案汇报H3C安全产品部年11月第1页点击添加文本点击添加文本点击添加文本点击添加文本目录等级保护概述等级保护条款解读及应对策略H3C等级保护处理方案H3C等级保护安全产品介绍H3C安全等保保护实践第2页

年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合公布《信息安全等级保护管理方法》（公字【】43号文），在全社会范围内（包含国家单位、企业单位、行业等）推行“信息安全等级保护”政策。推行“信息安全等级保护”政策意义：（一）在国民经济和社会信息化发展过程中，提升信息安全保障能力和水平。（二）调动国家、法人、其它组织、公民安全防护主动性。通俗了解为——“谁主管、谁负责、谁运行、谁负责”“管好自己一亩三分地，保家卫国”信息安全等级保护背景第3页指导监管部门：国家等保工作开展、推进、指导。技术支撑部门：国家等保标准制订、修订、培训、技术指导以及全国测评单位管理。国家测评机构行业测评机构地方测评机构信息安全等级保护管理组织第4页等级保护指导政策《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)《国家信息化领导小组关于加强信息安全保障工作意见》（中办发〔〕27号）《信息安全等级保护工作实施意见》（公通字[]66号）《信息安全技术信息系统安全等级保护实施指南》GB/T25058-《信息安全等级保护管理方法》（公通字〔〕43号）等级保护工作标准《信息安全技术信息系统安全等级保护基本要求》GB/T22239-《信息安全技术信息系统安全等级保护测评要求》MSTL-JBZ-05-005《信息安全技术信息系统安全等级保护测评过程指南》GB/T28449-信息安全等级保护国家标准第5页1级自主保护监督保护强制保护专控保护2级3级4级5级依据国家管理规范和技术标准进行保护在国家监管部门指导下保护受到国家监管部门监督、检验下保护受到国家安全监管部门强制监督、检验下保护国家指定专门部门专门监督、检验下保护指导保护信息安全等级划分监管要求第6页用户自主控制资源访问第一级用户自主保护主要敏感信息进行标识访问控制，经过标识实现强制访问控制第三级安全标识保护主体和客体之间细粒度访问控制，建立可信隐蔽通道，可信计算结构化。第四级结构化保护全部过程都需要进行验证。第五级访问验证保护第二级系统审计保护用户访问行为需要被审计信息安全等级保护级别第7页

依据业务信息和系统服务遭到破坏或泄密后，对国家安全、社会秩序、公共利及公民、法人、其它组织正当利益危害程度来进行定级。受侵害客体对客体侵害程度普通损害严重损害尤其严重损害公民、法人和其它组织正当权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级信息系统定级第8页

安全保护能力技术办法管理办法包含具备基本安全要求满足包含满足实现等级保护要求模型《基本要求》描述模型等级保护建设模型每一等级信息系统第9页等级保护生命周期信息系统等级保护实施生命周期内主要活动等级化风险评定安全总体设计安全建设规划安全方案设计安全产品采购安全控制集成测试与验收管理机构设置管理制度建设人员配置和岗位培训安全建设过程管理操作管理和控制变更管理和控制安全状态监控事件处置和应急预案安全评定和连续改进监督检验系统调查和描述子系统划分/分解子系统边界确定安全等级确定定级结果文档化定级阶段规划设计阶段安全实施阶段安全运行管理阶段第10页物理安全技术要求管理要求系统安全防护要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理经过安全产品可防护领域安全产品帮助防护第11页信息系统安全保护技术现实状况分析开展建设整改技术方案详细设计等级测评开展建设整改技术方案论证和评审确定安全策略，开展建设整改技术方案总体设计通信网络安全物理安全应用系统安全区域边界安全主机系统安全备份和恢复建设并落实安全技术办法信息系统安全技术建设整改工作流程不符合标准要求工程实施及验收第12页点击添加文本点击添加文本点击添加文本点击添加文本目录等级保护概述等级保护条款解读及应对策略H3C等级保护处理方案H3C等级保护安全产品介绍H3C安全等保保护实践第13页网络安全解读网络安全结构安全访问控制安全审计边界安全检验入侵防范恶意代码防范设备防护关键点：主要设备冗余空间、安全路径控制、整体网络带宽、带宽优先级、主要网段布署关键点：端口控制、防地址坑骗协议过滤、会话控制最大流量数及最大连接数关键点：审计统计审计报表审计统计保护关键点：非授权设备接入非授权网络联出关键点：统计、报警、阻断关键点：统计、报警、阻断关键点：组合判别技术特权用户权限分离在云计算环境中，除以上必要保护办法外，还需考虑云使用者利用云资源发起网络攻击、云租户之间隔离以及云租户与云服务商审计独立第14页网络安全解读-1分类基本要求说明及技术方案H3C产品布署网络安全结构安全（G3）a)应确保主要网络设备业务处理能力具备冗余空间，满足业务高峰期需要；主要设备、部件冗余方案及网络设备确保b)应确保网络各个部分带宽满足业务高峰期需要；带宽预留方案及网络设备确保c)应在业务终端与业务服务器之间进行路由控制建立安全访问路径；策略路由、静态路由、动态路由协议认证方案及网络设备确保d)应绘制与当前运行情况相符网络拓扑结构图；依据实际情况绘制、更新拓扑图（纸质或管理软件生成）管理软件确保e)应依据各部门工作职能、主要性和所包括信息主要程度等原因，划分不一样子网或网段，并按照方便管理和控制标准为各子网、网段分配地址段；合理划分网段整体方案确保f)应防止将主要网段布署在网络边界处且直接连接外部信息系统，主要网段与其它网段之间采取可靠技术隔离伎俩；防火墙策略H3CSecPath下一代防火墙g)应按照对业务服务主要次序来指定带宽分配优先级别，确保在网络发生拥堵时候优先保护主要主机。辅助防火墙设备布署QOS策略H3CSecPath下一代防火墙第15页15网络安全解读-2分类基本要求说明及技术方案H3C产品布署网络安全访问控制（G3）a)应在网络边界布署访问控制设备，启用访问控制功效；防火墙做边界访问控制H3CSecPath下一代防火墙b)应能依据会话状态信息为数据流提供明确允许/拒绝访问能力，控制粒度为端口级；防火墙策略H3CSecPath下一代防火墙c)应对进出网络信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级控制；IPS实现4-7层协议安全控制H3CSecpathIPSd)应在会话处于非活跃一定时间或会话结束后终止网络连接；防火墙会话老化，设置会话超时时间H3CSecPath下一代防火墙e)应限制网络最大流量数及网络连接数；防火墙策略H3CSecPath下一代防火墙f)主要网段应采取技术伎俩预防地址坑骗；ip、mac绑定防火墙、交换机组合方案确保g)应按用户和系统之间允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；第一层次基于IP访问控制，基本防火墙能力

第二层次基于用户身份访问控制，下一代防火墙支持，配合AAA系统使用H3CSecPath下一代防火墙h)应限制含有拨号访问权限用户数量。拨号接入设备控制（可能包含PPTP等VPN方式）H3CSecPath下一代防火墙第16页16网络安全解读-3分类基本要求说明及技术方案H3C产品布署网络安全安全审计（G3）a)应对网络系统中网络设备运行情况、网络流量、用户行为等进行日志统计；技术点解析：

审计网络设备操作统计，提供有效展示，并确保日志安全存放。

应对方案：

经过流量分析系统、运维管理系统配合实现H3C综合日志审计系统、堡垒机、iMCb)审计统计应包含：事件日期和时间、用户、事件类型、事件是否成功及其它与审计相关信息；c)应能够依据统计数据进行分析，并生成审计报表；d)应对审计统计进行保护，防止受到未预期删除、修改或覆盖等。边界完整性检验（S3）a)应能够对非授权设备私自联到内部网络行为进行检验，准确定出位置，并对其进行有效阻断；接入认证、IP/MAC绑定H3CEADb)应能够对内部网络用户私自联到外部网络行为进行检验，准确定出位置，并对其进行有效阻断。防私接H3CEAD第17页17网络安全解读-4分类基本要求说明及技术方案H3C产品布署网络安全入侵防范（G3）a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；攻击检测和防御H3CSecPathIPS系列、H3CSSM安管平台b)当检测到攻击行为时，统计攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。恶意代码防范（G3）a)应在网络边界处对恶意代码进行检测和去除；攻击、病毒检测和防御H3CSecPathIPS系列b)应维护恶意代码库升级和检测系统更新。定时升级特征库第18页18网络安全解读-5分类基本要求说明及技术方案H3C产品布署网络安全网络设备防护（G3）a)应对登录网络设备用户进行身份判别；网络运维人员身份管理网络设备安全策略控制设定+H3C堡垒机辅助b)应对网络设备管理员登录地址进行限制；ACL、安全策略c)网络设备用户标识应唯一；堡垒机做双原因认证d)主要网络设备应对同一用户选择两种或两种以上组合判别技术来进行身份判别；堡垒机做双原因认证e)身份判别信息应含有不易被冒用特点，口令应有复杂度要求并定时更换；设置复杂口令f)应含有登录失败处理功效，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等方法；设置策略控制非法登录次数和超时退出g)当对网络设备进行远程管理时，应采取必要方法预防判别信息在网络传输过程中被窃听；远程管理使用加密协议，如SSHh)应实现设备特权用户权限分离。设备上设置用户权限第19页19主机安全解读主机安全身份判别访问控制安全审计剩下信息保护入侵防范恶意代码防范资源控制关键点：组合判别技术关键点：管理用户权限分离敏感标识设置关键点：审计统计审计报表审计统计保护关键点：空间释放信息去除关键点：统计、报警、阻断关键点：统计、报警、阻断与网络恶意代码库分离关键点：监控主要服务器最小化服务检测告警在云计算环境中，除以上必要保护办法外，还需考虑不一样租户存放空间隔离、对外提供API访问控制、虚拟资源占用控制以及杀毒风暴防止等办法第20页主机安全解读-1分类基本要求说明及技术方案H3C产品布署主机安全身份判别（S3）a)应对登录操作系统和数据库系统用户进行身份标识和判别；操作系统和数据库系统统一身份判别，操作系统和数据库系统用户权限分离，可由堡垒机辅助实现主机身份判别设定+H3C堡垒机辅助b)操作系统和数据库系统管理用户身份标识应含有不易被冒用特点，口令应有复杂度要求并定时更换；设置复杂密码，检测弱口令，堡垒机定时改密，可由堡垒机辅助实现主机身份判别设定+H3C堡垒机、漏扫辅助c)应启用登录失败处理功效，可采取结束会话、限制非法登录次数和自动退出等方法；主机策略设置登录限制，安全配置核查系统定时对服务器尝试登录阈值进行检验，配置服务器检测到超出一定失败次数登录行为后，锁定该账号，重新启用账号需向管理员提交申请，可由堡垒机辅助实现主机身份判别设定+H3C堡垒机辅助d)当对服务器进行远程管理时，应采取必要方法，预防判别信息在网络传输过程中被窃听；加密管理，对服务器远程管理采取SSH、SSL等加密协议，可由堡垒机辅助实现主机身份判别设定+H3C堡垒机辅助e)应为操作系统和数据库系统不一样用户分配不一样用户名，确保用户名含有唯一性。主机策略，按照不一样用户职责为用户分配不一样权限，管理账号不共用，确保用户名唯一，可由堡垒机辅助实现主机身份判别设定+H3C堡垒机辅助f)应采取两种或两种以上组合判别技术对管理用户进行身份判别。静态口令+动态口令/证书/生物识别/短信认证等技术，可由堡垒机辅助实现主机身份判别设定+H3C堡垒机辅助第21页21主机安全解读-2分类基本要求说明及技术方案H3C产品布署主机安全访问控制（S3）a)应启用访问控制功效，依据安全策略控制用户对资源访问；由操作系统本身权限控制实现，可由堡垒机辅助主机访问控制策略设定+H3C堡垒机辅助b)应依据管理用户角色分配权限，实现管理用户权限分离，仅授予管理用户所需最小权限；由操作系统本身权限控制实现，可由堡垒机辅助主机访问控制策略设定+H3C堡垒机辅助c)应实现操作系统和数据库系统特权用户权限分离；系统分级管理，操作系统和数据库系统特权用户分离，由不一样管理员行使特权主机访问控制策略设定+H3C堡垒机辅助d)应严格限制默认帐户访问权限，重命名系统默认帐户，修改这些帐户默认口令；漏扫系统定时检验系统默认账户口令主机访问控制策略设定+H3C堡垒机、漏扫辅助e)应及时删除多出、过期帐户，防止共享帐户存在。定时检验系统多出账号，员工离职或调岗需提交账户销户申请主机访问控制策略设定+H3C堡垒机辅助f)应对主要信息资源设置敏感标识；基于安全标志实施强制访问控制，控制主体对客体操作操作系统加固g)应依据安全策略严格控制用户对有敏感标识主要信息资源操作；基于安全标志实施强制访问控制，控制主体对客体操作操作系统加固第22页22主机安全解读-3分类基本要求说明及技术方案H3C产品布署主机安全安全审计（G3）a)审计范围应覆盖到服务器和主要客户端上每个操作系统用户和数据库用户；技术点解析：

审计主机操作统计，提供有效展示，并确保日志安全存放、稳定可靠。

应对方案：

经过专用审计系统、运维管理系统配合实现H3C综合日志审计系统、堡垒机、数据库审计b)审计内容应包含主要用户行为、系统资源异常使用和主要系统命令使用等系统内主要安全相关事件；c)审计统计应包含事件日期、时间、类型、主体标识、客体标识和结果等；d)应能够依据统计数据进行分析，并生成审计报表；e)应保护审计进程，防止受到未预期中止；f)应保护审计统计，防止受到未预期删除、修改或覆盖等。第23页23主机安全解读-4分类基本要求说明及技术方案H3C产品布署主机安全剩下信息保护（S3）a)应确保操作系统和数据库系统用户判别信息所在存放空间，被释放或再分配给其它用户前得到完全去除，不论这些信息是存放在硬盘上还是在内存中；用户判别信息不在硬盘上静态存放，并配置服务器不显示上次登录用户名系统加固b)应确保系统内文件、目录和数据库统计等资源所在存放空间，被释放或重新分配给其它用户前得到完全去除。操作系统对剩下信息进行处理设置。

以Windows系统为例：

打开“当地安全策略”->当地策略中安全选项

查看是否选中“关机前去除虚拟内存页面”

打开“当地安全策略”->“帐户策略”中密码策略

查看是否选中“用可还原加密来存放密码”系统加固入侵防范（G3）a)应能够检测到对主要服务器进行入侵行为，能够统计入侵源IP、攻击类型、攻击目标、攻击时间，并在发生严重入侵事件时提供报警；系统入侵防范，网络入侵防范系统辅助H3CIPS、IPS日志审计告警b)应能够对主要程序完整性进行检测，并在检测到完整性受到破坏后含有恢复方法；操作系统本身安全机制保障系统配置和管理保障c)操作系统应遵照最小安装标准，仅安装需要组件和应用程序，并经过设置升级服务器等方式保持系统补丁及时得到更新。强制补丁检验、补丁分发

主要包括到两个方面内容，分别是：系统服

务、补丁升级。遵照最小安装标准，仅开启需要服务，安装需要组件和程序，能够极大降低系统遭受攻击可能性。

及时更新系统补丁，能够防止遭受由系统漏洞带来风险H3CEAD+漏扫系统第24页24主机安全解读-5分类基本要求说明及技术方案H3C产品布署主机安全恶意代码防范（G3）a)应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；安装杀毒软件，及时升级特征库，EAD强制认证检验杀毒软件版本和病毒库H3CEAD+防病毒软件b)主机防恶意代码产品应含有与网络防恶意代码产品不一样恶意代码库；c)应支持防恶意代码统一管理。资源控制（A3）a)应经过设定终端接入方式、网络地址范围等条件限制终端登录；准入控制H3CEADb)应依据安全策略设置登录终端操作超时锁定；系统配置保障系统策略+H3C堡垒机辅助c)应对主要服务器进行监视，包含监视服务器CPU、硬盘、内存、网络等资源使用情况；应用管理平台辅助H3CAPM+H3C应用交付系统d)应限制单个用户对系统资源最大或最小使用程度；系统配置保障系统配置保障+H3C应用交付系统e)应能够对系统服务水平降低到预先要求最小值进行检测和报警。应用管理平台辅助H3CAPM+H3C应用交付系统第25页25应用安全应用及数据安全身份判别访问控制安全审计剩下信息保护通信完整性通信保密性防抵赖软件容错资源控制关键点身份判别访问控制安全审计剩下信息保护通信完整性通信保密性防抵赖软件容错资源控制组合判别技术敏感标识设置审计报表及审计统计保护敏感信息清楚、存放空间释放加密技术整个报文及会话传输过程加密原发证据提供犯错校验、自动保护资源分配、优先级、最小化服务及检测报警数据安全关键点数据完整性数据保密性备份和回复数据完整性数据保密性备份和恢复数据存放、传输，完整性检测和恢复数据存放、传输，加密保护冗余、备份第26页应用安全解读-1分类基本要求说明及技术方案H3C产品布署应用安全身份判别（S3）a)应提供专用登录控制模块对登录用户进行身份标识和判别；应用系统本身保障外部认证系统b)应对同一用户采取两种或两种以上组合判别技术实现用户身份判别；双原因认证，比如：静态密码+动态口令外部认证系统c)应提供用户身份标识唯一和判别信息复杂度检验功效，确保应用系统中不存在重复用户身份标识，身份判别信息不易被冒用；不存在共享账号应用配置d)应提供登录失败处理功效，可采取结束会话、限制非法登录次数和自动退出等方法；应用设置应用配置e)应启用身份判别、用户身份标识唯一性检验、用户身份判别信息复杂度检验以及登录失败处理功效，并依据安全策略配置相关参数。不存在共享账号应用配置第27页27应用安全解读-2分类基本要求说明及技术方案H3C产品布署应用安全访问控制（S3）a)应提供访问控制功效，依据安全策略控制用户对文件、数据库表等客体访问；系统配置保障系统配置保障+H3C网页防篡改系统辅助（针对WEB系统）+H3C漏扫系统b)访问控制覆盖范围应包含与资源访问相关主体、客体及它们之间操作；系统配置保障c)应由授权主体配置访问控制策略，并严格限制默认帐户访问权限；系统配置保障d)应授予不一样帐户为完成各自负担任务所需最小权限，并在它们之间形成相互制约关系。系统配置保障e)应含有对主要信息资源设置敏感标识功效；系统配置保障f)应依据安全策略严格控制用户对有敏感标识主要信息资源操作；系统配置保障第28页28应用安全解读-3分类基本要求说明及技术方案H3C产品布署应用安全安全审计（G3）a)应提供覆盖到每个用户安全审计功效，对应用系统主要安全事件进行审计；技术点解析：

审计应用系统操作统计，提供有效展示，并确保日志安全存放、稳定可靠。

应对方案：

经过专用审计系统、运维管理系统配合实现H3C堡垒机、综合日志审计（堡垒机）、数据库审计、APMb)应确保无法单独中止审计进程，无法删除、修改或覆盖审计统计；c)审计统计内容最少应包含事件日期、时间、发起者信息、类型、描述和结果等；d)应提供对审计统计数据进行统计、查询、分析及生成审计报表功效。剩下信息保护（S3）a)应确保用户判别信息所在存放空间被释放或再分配给其它用户前得到完全去除，不论这些信息是存放在硬盘上还是在内存中；应用策略，用户在退出、注销系统后，系统要对访问进程清理，对存放用户判别信息数据空间进行完全去除应用配置b)应确保系统内文件、目录和数据库统计等资源所在存放空间被释放或重新分配给其它用户前得到完全去除。应用策略，系统对访问进程清理应用配置第29页29应用安全解读-4分类基本要求说明及技术方案H3C产品布署应用安全通信完整性（S3）应采取密码技术确保通信过程中数据完整性。应用策略，完整性校验应用配置实现通信保密性（S3）a)在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；应用加密，HTTPS指纹识别等技术b)应对通信过程中整个报文或会话过程进行加密。通信协议加密、内容加密抗抵赖（G3）a)应含有在请求情况下为数据原发者或接收者提供数据原发证据功效；用户操作要有日志统计、交易电子署名b)应含有在请求情况下为数据原发者或接收者提供数据接收证据功效。用户操作要有日志统计、交易电子署名软件容错（A3）a)应提供数据有效性检验功效，确保经过人机接口输入或经过通信接口输入数据格式或长度符合系统设定要求；应用本身防护，对数据有效性检验，并要求每个输入接口只允许输入数字、字符等限制b)应提供自动保护功效，当故障发生时自动保护当前全部状态，确保系统能够进行恢复。防攻击系统提供保护功效，当故障发生时或操作失败能回退，而且数据库有实时镜像备份，能够进行恢复第30页30应用安全解读-5分类基本要求说明及技术方案H3C产品布署应用安全资源控制（A3）a)当应用系统通信双方中一方在一段时间内未作任何响应，另一方应能够自动结束会话；应用安全策略，设置会话超时时间应用配置实现b)应能够对系统最大并发会话连接数进行限制；应用安全策略，经过配置数据库和中间件实现c)应能够对单个帐户多重并发会话进行限制；应用安全策略，限制单用户不能同时多点登录，且只能在单一浏览器窗口登录d)应能够对一个时间段内可能并发会话连接数进行限制；应用安全策略，流量控制设备/经过中间件线程池进行配置限制e)应能够对一个访问帐户或一个请求进程占用资源分配最大限额和最小限额；应用安全策略，设置应用系统资源限额，超出限额时会给出提醒信息f)应能够对系统服务水平降低到预先要求最小值进行检测和报警；应用安全策略，经过安全监控平台/管理平台，监测应用系统服务水平g)应提供服务优先级设定功效，并在安装后依据安全策略设定访问帐户或请求进程优先级，依据优先级分配系统资源。应用安全策略，配置应用依据不一样用户资源使用优先级分配系统资源第31页31数据安全解读-1分类基本要求说明及技术方案H3C产品布署数据安全数据完整性（S3）a)应能够检测到系统管理数据、判别信息和主要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要恢复方法；利用校验技术来确保数据传输完整性传输加密辅助：防火墙、下一代防火墙b)应能够检测到系统管理数据、判别信息和主要业务数据在存放过程中完整性受到破坏，并在检测到完整性错误时采取必要恢复方法。将存放数据生成多份，确保当数据完整性受到破坏时可恢复数据传输加密辅助：防火墙、下一代防火墙数据保密性（S3）a)应采取加密或其它有效方法实现系统管理数据、判别信息和主要业务数据传输保密性；加密机、加密协议、传输加密传输加密：防火墙、下一代防火墙b)应采取加密或其它保护方法实现系统管理数据、判别信息和主要业务数据存放保密性。备份和加密存放，审计日志直接存放，关键用户信息进行加密存放应用配置第32页32数据安全解读-2分类基本要求说明及技术方案H3C产品布署数据安全备份和恢复（A3）a)应提供当地数据备份与恢复功效，完全数据备份最少天天一次，备份介质场外存放；管理要求天天进行完全数据备份，当地实时镜像备份b)应提供异地数据备份功效，利用通信网络将关键数据定时批量传送至备用场地；管理要求同城和异地按时备份，批量传送c)应采取冗余技术设计网络拓扑结构，防止关键节点存在单点故障；管理要求主要设备、服务器均采取冗余设计d)应提供主要网络设备、通信线路和数据处理系统硬件冗余，确保系统高可用性。管理要求主要设备、服务器均采取冗余设计第33页33点击添加文本点击添加文本点击添加文本点击添加文本目录等级保护概述等级保护条款解读及应对策略H3C等级保护处理方案H3C等级保护安全产品介绍H3C安全等保保护实践第34页H3C在等级保护建设过程中能够参加工作安全控制过程方法确定系统等级安全规划设计实施运行/维护确定安全需求设计安全方案安全建设安全测评运行监控维护响应特殊需求等级需求基本要求产品使用选型系统监控测评准则流程方法监控流程应急预案应急响应PlanDoCheckAction等保建设过程：基于PDCA、遵从公安部信息安全等级保护规范！应急响应评定咨询方案设计周期性检测第35页H3CSecCare安全服务体系安全三要素人流程技术培训咨询评定安全咨询以ISO17799/27001、GB/T17859等级保护规范为基础，以安全最正确实践为模板，提供一个切实可行安全建设思绪。风险评定以ISO17799/27001、GB/T17859等级保护规范为标准，遵照GB/T20984-信息安全风险评定规范，对信息安全建设现实状况进行评价。安全培训提供针对CIO/信息主管、主要工程师和普通用户不一样培训课程，全方面提升安全意识和技术能力。应急响应对信息系统出现紧急安全事件进行响应，包含电话支持、远程支持以及现场支持等形式。第36页H3C等级保护安全方案解析罗盘等级保护安全管理数据安全网络安全主机安全应用安全防DDOS设备防火墙VFWIPS堡垒机准入控制系统管理责任执行责任检验责任数据泄露数据篡改数据丢失动态口令卡生物识别系统防火墙操作系统加固产品防病毒服务器SOC网页防篡改产品WAF加密机网闸堡垒机ACG产品制度、文件、统计岗位设置安全建设安全运维数据库审计访问控制云租户隔离网络攻击云资源滥用安全审计云环境独立审计结构安全、访问控制、审计边界防护、入侵防护恶意代码防护、设备防护身份判别、访问控制、审计入侵防护、剩下信息保护恶意代码防护、资源控制身份判别、访问控制、审计剩下信息保护、通信安全、防抵赖软件容错、资源控制保密性、完整性可用性操作系统保护服务器隔离认证、审计云环境租户授权入侵防护云环境病毒防范认证、授权审计、防抵赖通信加密敏感信息防护云对外接口及服务安全互联网出口安全域之间虚拟资源之间网络关键主要资源区内网边界DMZ区网络关键网络防护区网络关键数据库接入区主要主机系统漏洞扫描信息安全综合强审计系统数据共享与交换系统统一互联网出口安全防护设备异地备份应用漏洞扫描安全数据交换系统H3C安全等保H3C安全等保第37页漏扫系统堡垒机防病毒服务器云安全监测中心安全管理中心综合安全管理区关键交换区互联网接入区WEB服务器业务服务器群公共服务数据库ISP1ISP2DMZ区DNS服务器区多业务硬件安全资源池办公网H3C安全等保布署全景图（通用）行为管理系统IPS防火墙链路负载均衡WEB应用防火墙服务器负载均衡数据库审计入侵防御（检测）系统防火墙网页防篡改系统桌面安全管理EADCA第38页网络服务器ACG防火墙IPSLB应用漏扫终端其它设备支撑设备安全服务管理安全资源池安全服务编排安全服务申请安全策略管理布署和编排引擎安全事件分析事件告警事件关联多维度关联明细审计事件分析引擎行为异常分析行为告警异常事件关联多维度关联明细审计行为分析引擎安全风险分析风险告警安全评定等保合规业务/资产风险风险分析引擎安全运维联动响应告警工单运维及工作流引擎服务工单资产及业务风险建模知识库服务管理层综合监控管理业务风险分析事件关联分析行为关联分析安全服务管理安全等级保护业务展现层行为数据安全事件应用日志漏洞数据性能数据配置数据资产数据格式标准化数据归并文件索引文件存放内存装载/高速检索数据处理层DPI/NetStream/Netflow/SNMP/WMI/CLI/Trap/代理程序…存放弹性扩展H3C安全管理平台功效架构第39页大安全管理平台—全景风险展示及告警多维度关联分析海量数据聚类统计多维度关联综合展现：业务安全风险、健康、繁忙业务风险评定基于安全事件、行为异常、安全评定情况，结合业务建模，进行业务风险评定、直观展现行为异常事件关联分析和展现、快速感知APT等未知威胁并采取行动第40页全方面合规评定分析资产风险安全域风险风险评级矩阵分析风险趋势网络设备配置主机配置数据库配置中间件配置应用配置安全设备配置安全通告攻击预警漏洞预警病毒预警影响性分析配置核查风险评定威胁预警最全方面合规评定分析矩阵第41页41H3C大安全实现面向业务端到端安全保障服务器客户机桌面安全应用安全技术平面产品集成智能安全渗透网络端到端安全保障处理方案L2~L7层深度安全技术安全产品与网络产品集成集成了网络技术安全产品集成了安全技术网络产品数据中心保护处理方案内网控制处理方案边界防护处理方案远程安全接入处理方案管理平面智能管理统一基础安全管理统一用户认证与授权统一威胁与策略管理OAA开放应用架构CHECKCHECK存放系统数据安全系统安全应用安全用户认证补丁管理病毒库管理用户管理在线备份安全存放异地容灾行为监管处理方案第42页H3C为用户提供端到端安全防护VLAN1VLAN2VLANX内网办公区数据中心区关键业务非关键业务广域网接入区网络管理区对外接入区互联网接入区互联网服务互联网连接局域网骨干局域网连接广域网连接iNode终端图例外联服务区分支机构分支机构专线分支机构分支机构分支机构合作搭档合作搭档外联服务前置SecPath防火墙SecPathIPS负载均衡SecPathIPSSecPathIPSSecPathNGFWSecPathACGSecPathNGFW安全管理中心SecCenterSecBlade插卡实现安全隔离支持802.1x/portal认证以太网设备SecPathNGFWSecPath防火墙SecPath防火墙/VPN网页防篡改系统网页防篡改系统堡垒机数据库审计系统SecPathWAFSecPathNGFW漏扫第43页43点击添加文本点击添加文本点击添加文本点击添加文本目录等级保护概述等级保护条款解读及应对策略H3C等级保护处理方案H3C等级保护安全产品介绍H3C安全等保保护实践第44页T9000系列SecBladeIPSII/IIIT1000系列T5000系列H3C安全产品全家福安全管理网络层安全M9006M9010M9014安全管理中心云安全监测中心终端安全管理漏洞扫描ACG1000系列SecBladeACGACG8800-S3L5000系列SecbladeADE/LBL1000系列W系列网页防篡改产品系列IPS产品系列应用控制产品系列负载均衡产品系列WAF产品系列W1000系列堡垒机产品系列D系列A系列数据库审计产品系列F100系列U200系列F1000系列SecBladeFW

II/Lite/III/IVF5000系列F100-X-G系列F1000-X-G系列U200-CX系列F10X0系列F50X0系列vFW1000防火墙/VPN产品系列NGFW产品系列SecBladeNGFWvLB1000NFV产品系列应用层安全M9000多业务网关产品系列Cache产品系列华三天机安全一体化交付平台第45页产品1：华三天机——全球首款企业安全一体化交付平台安全业务单元安全检测单元服务安全管理单元政府教育医疗电力…金融天机防火墙、WAF、LB、堡垒机等各种安全汇聚成资源池，统一布署及策略管理，将安全变成服务

最全云安全能力合规评定能力基于国家等级保护标准，提供针对关键业务、资产提供三级等保以上合规分析分析最强安全管控业务及资产安全风险威胁、漏洞及网络行为实时展现，并支持各类终端、网络及安全设备联动控制在天机◎聚安全◎评风险◎施管控第46页成就共享全球10万多台防火墙成熟应用案例入围中国移动、中国电信、国家电力、财政部、国税总局和中央直属机关等数十个选型应用于：中国移动IMS关键网、70％中央部委、8个金字号工程国干网、百胜餐饮、平安保险3000个点产品特色强安全+强网络特征融合，组网能力强，选型入围行业最多产品系列最全，覆盖10M-160G性能需求，提供业界160G防火墙性能最高。功效扩展能力强，SSLVPN、流量监控、防病毒等硬件模块产品2：防火墙/VPN系列产品第47页M9006M9010M9014采取控制、业务、数据相分离全分布式架构，独立硬件交换引擎，支撑高性能安全业务无阻塞处理及转发支持SCF（安全集群系统），支持多框集群和异构集群，实现灵活管理和弹性扩展支持智能分流（IFF）。布署多业务插卡后，流量自动在多个业务板卡内负载分担从而实现分布式处理支持安全ONE平台（SOP）。采取创新基于容器虚拟化技术实现了真正意义上虚拟防火墙H3C安全旗舰：M9000多业务安全网关第48页领先业务处理能力–NGFW板卡NGFW-FW吞吐量并发连接数每秒新建连接40G2400万40万NGFW-LB吞吐量（L4）吞吐量（L7）并发连接数每秒新建连接20G10G1200万30万NGFW-流控

吞吐量并发连接数每秒新建连接10G1200万20万大规模策略访问控制多样化VPN接入多链路智能调度全方面流量分析BYOD安全布署高性能DDoS防护高性能入侵防御服务器应用加速精细化应用管控细粒度上网审计大容量NAT专业病毒防护虚机扩容动态均衡云计算虚拟化安全全网络日志联动第49页产品特色业界唯一集成专业防病毒IPS产品专业漏洞和攻防研究团体，提供零日攻击防范创新多核技术，提供线速性能确保多重高可靠性设计，永远不会成为业务故障点经过微软MAPP、CVE等国际权威认证成就共享H3CIPS连续保持市场第一品牌成功应用于工商银行总行北、南两大数据中心，工行IPS独家供给商奥运期间为17家证券/基金等金融机构提供安全保障服务于全国70％以上省电力企业(湖南电力数十台千兆IPS，承建国内最大千兆IPS网络)产品3：下一代入侵防御（NIPS）系列产品SecPathT1000系列SecPathT5000系列SecPathT9000系列第50页产品特色基于最新64位多核高性能处理器，实现灵活一体化DPI深度安全。基于全新集群技术及1：N虚拟化技术安全资源池。各种高性能VPN，无缝对接IOS、Android，结合H3CBYOD方案，移动办公一触即得！全方面支持SDNOverlay网络，改变复杂布署模式，用软件量身定制安全即服务（SAAS）！成就共享成功应用于中国农行、中央电视台国际、baidu、中航信、中石化、贵州高法、浙江电信、四川电信、安徽电信、江苏移动等成功应用于上海银联互联网系统，保护每一笔网上交易数据产品4：下一代防火墙（NGFW）系列产品SecPathF1000系列SecPathF5000系列SecBladeNGFW插卡系列第51页下一代防火墙（NGFW）系列产品F1000系列F5000系列中端款型：F1020/30/50/60/70/80存放扩展：

高速大容量硬盘。2*500G（F1070/1080）性能覆盖：1.5G~10G，最高1000万级并发，虚拟化能力：

8:1虚拟化集群（当前实现2:1）序列款型：F5020、F5040性能覆盖：20G~40G，最高3000万并发，万兆深度安全虚拟化能力：8:1虚拟化集群（当前实现2:1）安全守望者（SecurityWatchmen）基于多原因安全管控全新三态合一威胁感知策略智能下发智能策略调优服务器负载均衡基于应用选路技术N:1虚拟化1:N虚拟化安全智能策略导航安全威胁全息解构虚拟业务全景支撑全业务感知与调度第52页产品特色全新一代应用控制网关，全方位上网行为管理产品。支持包含微信认证在内各种认证方式，真正基于用户应用审计和管控！提供细粒度网络应用审计，多维度组合定制报表！提供创新微信推广方案，用户只需关注企业公众号后简单操作即可取得上网权限！覆盖10M~5G带宽出口场景成就共享产品成熟稳定、性能突出，入围国税总局、中央直属机关等选型近100所教育用户（包含近十所211、985类高校），北京航天航空大学、中央党校、中国外交部、国家自然基金委员会、国家海事局、中央电视台国际、中国一重等产品5：ACG应用控制系列产品SecPathACG1000系列SecPathACG8800系列SecBladeACG系列第53页产品特色多核CPU处理架构。高性能，易扩展集成了四层、七层以及链路等各种负载均衡功效完善网络及路由协议支持，满足任意组网最全方面业务深度应用健康检测高安全防护能力，保护服务器免受攻击成就共享连续多年入围中国移动、中国电信负载均衡设备集采工商银行、财政部、国税总局、国家电力、中航信选型入围规模应用于公安部、新闻出版署、国家图书馆、中石化、北京大学、国家质监总局、华润集团、北京国税等产品6：LB负载均衡/应用交付系列产品SecPathL1000系列SecPathL5000系列SecBladeLB/ADE系列第54页产品特色基于多点特征检测技术，能解析各种WEB攻击方式，从根源上防止绕过及穿透攻击；创新黑名单、白名单双引擎检测技术，各种复杂攻击无所遁形；访问集中度和HTTP协议细粒度检测算法，有效应对了应用层CC攻击对业务冲击高安全防护能力，成就共享成功应用于大连市政务云计算中心、浙江省电子口岸企业跨境电子商务云平台、中信银行、山东邮政、江西电信、南开大学、天津大学、山东经贸学院、复旦附中、新兴际华集团（世界500强）等、产品7：WEB应用防火墙系列产品正常访问注入、跨站攻击Webshell上传攻击服务器漏洞攻击敏感言论提交CC攻击检验商业爬虫检验0day攻击检验安全基线检验注入攻击检验跨站攻击检验Webshell检验中间件漏洞检验敏感言论提交正常访问信息泄露正常访问最快在5秒内定位到攻击者，并智能锁定us级延时转发网络安全检验访问行为安全检验安全白名单检验WEB应用安全检验内容安全检验敏感信息检验第55页产品特色采取了专用64位多核高性能处理器和高速存放器；支持将目标资产账号密码交由运维审计系统进行集中托管；运维审计系统审计分成图形、字符、应用、文件四种审计类型；提供丰富报表，包含基于应用和基于网流分析报表等；成就共享成功应用于中信银行、山东邮政、天津大学、福建健康之路、杭州公安局、江苏广电等产品8：运维审计系列产品telnet到交换机https访问防火墙ssh到linux、远程到windowsIT人员首先实现运维入口统一统一运维入口通道安全封杀其它全部访问通道（防火墙、交换机ACL）运维审计第56页产品特色高性能引擎，确保审计准确性和效率；数据库自动发觉功效；内置30各种极具价值报表，同时支持20多个维度自定义报表，支持报表自动生成和发送；国内领先支持IPV6环境数据库审计；支持超长最大64KSQL语句成就共享成功应用于江苏广电、贵阳国土资源局、沈阳铁路局、厦门市教育局等产品9：数据库审计系列产品SAN管理中心日志存放中心采集器考试系统选课系统采集器教师学生信息系统图书馆图书管理系统第57页产品10：网页防篡改系列产品

对非法请求，恶意扫描及数据库注入攻击等进行拦截，只有正当请求被正常响应，对访问网页进行实时规则检验，对网页篡改及删除等操作进行拦截，并且产生日志及报警成就共享杭州华数传媒中国移动、福州电信江苏省国税、深圳测评中心、甘肃省审计厅产品特色提供文件驱动防篡改技术、WEB关键内嵌和实时触发机制结合，保护文件安全；支持防攻击、防篡改功效模块；支持即时内容恢复与实时动态攻击防护；支持WEB服务器可用性监测，全方面保护各类网页和网站数据安全；CPU，内存占用资小于3%；第58页产品特色WINDOWS系统应用程序，简单易用，系统资源占用