华为等保2.0解决方案

华为等级保护2.0解决方案如何抓住等保2.0机会点HUAWEI.COM等保2.0基础知识解读enterprise.uHuaweiconfidentiala2等保定义网络安全等级保护网络安全等级保护:对信息和信息载体按照重要性等级分级别进行保护的一种工作。是国家政策要求是国家政策要求由公安监督检查由公安监督检查各机关和行业执行各机关和行业执行enterprise.uHuaweiconfidential-3全社会+所有保护对象第一级：信息系统受到破坏后，会对公民、法人和第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级：信息系统受到破坏后，会对国家安全造成特别严重损害。drisehuaweicomuHuaweiconfientiale4enterp.等级保护的划分与评定主要依据：主要依据：根据系统被破坏后，对公民、社会、国家造成的损害程度定级。否否第二级严重损害损害否第三级特别严重损害严重损害损害///害差距分析（测评机构）①定级备案②差距分析差距分析（测评机构）①定级备案②差距分析标准技术③规划设计管理⑤等保测评⑥等保运维④整改加固规划设计（厂家）整改加固（厂家）等保运维（客户&厂家）定级备案（客户&公安）定级备案（客户&公安）等保测评（测评机构）等保测评（测评机构）,帮助客户顺利通过等保测评。测评周期：四级/半年三级以上/1年enterrise.huaei.couHuaweiconfidentia5HUAWEIENTERPRISEICTSOLUTIONSABETTERWAY等级保护法律依据l《中华人民共和国网络安全法》2016年11月7日发布2017年6月1日执行。l第二十一条明确规定国家实行网络安全等级保护制度。第三十一条规定国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。l网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的…处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。…不履行本法第三十三条、第三十四条（二十一条补充规定）…拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。aHuawei网络安全法第一次将网络安全写入法律！confidentiale6网络安全等级保护条例（总要求）实施指南GB/T25058设计要求GB/T25070-2019等级划分准则（GB17859-1999）定级指南GB/T22240测评要求GB/T28448-2019测评过程指网络安全等级保护条例（总要求）实施指南GB/T25058设计要求GB/T25070-2019等级划分准则（GB17859-1999）定级指南GB/T22240测评要求GB/T28448-2019测评过程指南GB/T28449-2018物联网安全扩展要求工业控制系统扩展要求安全通用要求云计算安全扩展要求等保2.0标准体系网络安全等级网络安全等级保护标准体系基本要求基本要求GB/T22239-2019移动互移动互联安全扩展要求enteirpirise.huawuei.connHuawneiconfidentiala7HUAWEIENTERPRISEICTSOLUTIONSABETTERWAY等保2.0和1.0差异一：标准名称差异 1.0标准《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》依据国家信息安全等级保护管理规定制定本标准 2.0标准《GB/T22239-2019信息安全技术网络安全等级保护基本要求》为了配合《中华人民共和国网络安全法》的实施enteirpirise.huawuei.connHuaweiconfidentialu8HUAWEIENTERPRISEICTSOLUTIONSHUAWEIENTERPRISEICTSOLUTIONSABETTERWAYenteirpirise.huawuei.connHuaweiconfidentialu9HUAWEIENTERPRISEICTSOLUTIONSABETTERWAY等保2.0和1.0差异三：定级流程差异HUAWEIENTERPRISEICTSOLUTIONSABETTERWAY2.0新增“定级流程”包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。包括确定受侵害的客体、侵害对客体的侵害程度以及综合判定侵害程度。第二级以上的，定级对象的运营、使用单位应组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见。定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。定级对象的运营、使用单位应按照相关管理规定，将初步定级结果提交公安机关进行备案审查，审查不通过，其运营使用单位应组织重新定级；审查通过后最终确定定级对象的安全保护等级。enteirpirise.huawuei.connuHuaweiconfidentiala10信息和信等保2.0和1.0差异四：等保对象差异信息和信2.0定级对象分为基础信息网络、信息系统和其他enteirpirise.huawuei.connHuawneiconfidentiala11HUAWEIENTERPRISEICTSOLUTIONSABETTERWAY基础信息网络基础信息网络云计算平台/系统大数据应用/平台/工业控制系统采用移动互联技术采用移动互联技术HUAWEIENTERPRISEICTSOLUTIONSABETTERWAY等保2.0和1.0差异五：测评结论差异等保1.0等保2.0没有任何安全问题••90没有任何安全问题••优符合••且，不存在高、中风险优符合•••良80分及以上•良•且，不存在高风险•基本符合••基本符合••且，不存在高风险•70分及以上•中•且，不存在高风险中•60分以下或，存在高风险差••7060分以下或，存在高风险差••不符合••或，存在高风险不符合••enteirpirise.huawuei.connHuawneiconfidentiala12HUAWEIENTERPRISEICTSOLUTIONSABETTERWAY等保2.0技术要点—等保二级等保技术要求子项主要内容对应产品基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序跨越边界的访问和数据流通过边界设备提供的受控接口进身份唯一性、鉴别信息复杂度定期更换、登录失败处理功能、远程管理过程中防检测入侵行为、非使用端口关闭、管理终端限制、发现应对系统管理员进行身份鉴别、应通过系统管理员对系统的资源和运行进行配置、控制理enteirpirise.huawuei.connHuawneiconfidentiala13HUAWEIENTERPRISEICTSOLUTIONSABETTERWAY等保2.0技术要点—等保三级NGFW、防DDoS采用校验技术/密码技术保证通信过程中数据网络设备可信启动机制NGFW、网络准入控制NGFW、安全控制器IPS/IDS、探针、沙箱GNGFW（AV）、NGFW（防垃圾邮件）堡垒机，上网行为管理、综合日志审计系统设备自身可信启动机制enteirpirise.huawuei.connHuawneiconfidentiala14HUAWEIENTERPRISEICTSOLUTIONSABETTERWAY等保2.0技术要点—等保三级等保技术要求子项主要内容对应产品堡垒机、认证服务器访问控制平台上网行为管理、日志审计系统IPS、漏洞扫描恶意代码防范GNGFW（AV）、主机防病毒软件计算设备可信启动机制保障NGFW、VPN、WAF、网页防篡改数据本地备份和恢复、提供异地实时备份功能多活数据中心应用自身机制个人信息保护S应用自身机制enteirpirise.huawuei.connHuawneiconfidentiala15HUAWEIENTERPRISEICTSOLUTIONSABETTERWAY等保2.0技术要点—等保三级应对系统管理员进行身份鉴别、应通过系统管理员对系统网管系统、堡垒机应对安全审计员进行身份鉴别、应通过安全审计员对审计数据库审计网管系统、安全控制器、态势感知系统、补丁服务器应对安全管理员进行身份鉴别、应通过安全审计员对审计堡垒机、日志审计系统enteirpirise.huawuei.connHuawneiconfidentiala16访问控制访问控制通信传输入侵防范•实现对网络攻击特别是未知的新型网络攻击的检测和分析；•应在关键网络节点处检测和限制从内部发起的网络攻击行为；恶意代码防范集中管控析数据安全个人信息保护则。等保2.0通用要求重要变更—安全能力边界防护控enteirpirise.huawuei.connHuawneiconfidentiala17HUAWEIENTERPRISEICTSOLUTIONSABETTERWAY等保2.0通用要求重要变更—可信验证要配置参数和边界防护应用进行报警,并将验证结果形行动态可信验证，在检测到enteirpirise.huawuei.conn.Huawneiconfidentiala18标准执行对网络、边界、计算环境均提出可信验证要求立法支撑三级以上标准执行对网络、边界、计算环境均提出可信验证要求立法支撑三级以上周期一年定级流程需审批安全强度一致要求对网络攻击特别是未知的新型网络攻击的检测和分析各纵深维度均要求并要求审计管理扩大到五个场景，按照通用安全+扩展要求等保2.0的差异化小结安全管理中心单独成章，并提出集中管控要求enteirpirise.huawuei.connHuawneiconfidentiala19华为等保解决方案enterprise.uHuaweiconfidentiala20enterpri华为等保2.0解决方案，依托HiSecenterpri建设建设“一个中心”管理下的“三重防护”体系对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。安全通信网络安全区域边界安全管理中心对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。安全通信网络安全区域边界安全管理中心对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。安全计算环境对定级系统的信息进行存储对定级系统的信息进行存储、处理及实施安全策略的相关部件。uHuaweiconfidentiala22分支机构漏洞扫描IAM认证服务器主机杀毒探针网页防篡改计算环境双链路冗余运维管理internetyVPN通信网络无线网络分支机构漏洞扫描IAM认证服务器主机杀毒探针网页防篡改计算环境双链路冗余运维管理internetyVPN通信网络无线网络等保2.0通用要求解决方案态势感知运维管理平台安全管理中心综合日志审计安全管理平台数据库审计补丁/病毒库升级服务器防DDoS防火墙堡垒机WAFNAC准入控制沙箱上网行为管理区域边界PoweredbyHuaweiSDSecenterprise.huawei.PoweredbyHuaweiSDSec分支机构边界防御防DDoS双链路冗余运维管理internet防火墙yVPN通信网络无线网络等保2.0通用要求方案-通信网络分支机构边界防御防DDoS双链路冗余运维管理internet防火墙yVPN通信网络无线网络安全管理中心计算环境PoweredbyHuaweiSDSecenterprise.huawei.PoweredbyHuaweiSDSec合规要点合规要点分支机构通信网络计算环境运维管理internety无线网络等保2.0通用要求方案-区域边界分支机构通信网络计算环境运维管理internety无线网络安全管理中心防DDoSNGFWVPN堡垒机WAFNAC沙箱上网行为管理区域边界PoweredbyHuaweiSDSecenterprise.huawei.PoweredbyHuaweiSDSec合规要点合规要点基于可信根对边界设备的系统引导，应用关键点动态验证，可报警、可审计分支机构区域边界通信网络运维管理internety无线网络等保2.0通用要求方案--计算环境分支机构区域边界通信网络运维管理internety无线网络安全管理中心VPN漏洞扫描主机杀毒VPN漏洞扫描探针数据库审计IAM网页防数据库审计IAM网页防篡改务器计算环境PoweredbyHuaweiSDSecenterprise.huawei.PoweredbyHuaweiSDSec合规要点合规要点•双因素认证：采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现;•管理通道加密传输：远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；•弱点和漏洞处理删除默认账号/过期账号/默认口令，要求密码复杂度、密码定期更换；关闭无需服务、高危端口，修复已知系统漏洞；•主机安全识别并阻断入侵和病毒；•数据安全采用校验技术或密码技术保证重要数据在传输（存储）过程中的完整性（保密性）；数据备份方案、剩余数据处理、个人信息保护。•可信验证：基于可信根对计算设备的系统引导，应用关键点动态验证，可报警、可审计分支机构通信网络计算环境运维管理internet无线网络等保2.0通用方案—安全管理中心分支机构通信网络计算环境运维管理internet无线网络安全管理中心态势感知安全管理平台运维管理中心综合日志审计数据库审计堡垒机补丁/病毒库升级服务器区域边界PoweredbyHuaweiSDSecenterprise.huawei.PoweredbyHuaweiSDSec合规要点合规要点•分权分角色：包括系统管理员、审计管理员、安全管理员;网络链路、安全设备、网络设备和服务器等的运行状况；对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；对系统的资源和运行进行配置、控制和管理；•集中审计对分散在各个设备上的审计数据进行收集汇总和集中分析；•态势感知对网络中发生的各类安全事件进行识别、报警和分析。华为可信根密钥华为可信根密钥uHuaweiconfidentiala28方案特点方案特点•合规要求：可基于可信根对边界设备系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。可信根：华为设备采用自研海思CPU芯片，完全自主可控，硬件可信根固化在CPU内部，完成最基础的启动验证，验证引导程序完整性；可信启动：启动过程由硬件可信根开始并逐级向后校验，确保启动过程中的信任链。硬件信任根在上电第一时间执行，BIOS阶段使用数字签名验证下一阶段的完整性，以此类推，每个阶段启动完成后都要对下一个启动阶段进行完整性校验，如果验证不通过，启动过程中止。应用关键环节可信验证：对应用软件版本升级前，补丁和插件加载前，将使用数字签名对软件包进行完整性校验；告警日志与远程证明：网络安全智能分等保2.0方案新增关键点—未知威胁网络安全智能分流量流量析系统CIS文件文件PoweredbyHuaweiSDSecenterprise.huawei.PoweredbyHuaweiSDSec方案特点方案特点•合规要求：应采取技术措施对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析；•主动诱捕低成本布防探针，可手动或自动设置诱捕陷阱，诱导攻击者攻击诱捕器，诱捕器通过交互确认攻击并产生告警、记录交互过程。•大数据分析华为CIS网络安全智能系统，基于机器学习样本分析，采用大数据分析方法检测威胁，实现的是对APT等高级威胁检测，其核心思想是以持续检测应对持续攻击；•联动阻断对流量和威胁日志的进行采集，通过大数据分析，网络与安全联动闭环，实现APT威胁的自动阻断隔离。华为等保二、三级方案包PoweredbyHuaweiSDSecenterprise.huawei.PoweredbyHuaweiSDSec管理中心计算环境系统数据库华为等保解决方案——二级基础版管理中心计算环境系统数据库通信网络区域边界方案说明NGFW【必配】：融合传统防火墙安全策略、入侵防御、防病毒功能、VPN功能。解决安全区域边界、通信网络加密传输要求【主机杀毒软件】【必配】：解决安全计算环境要求【日志审计系统】【必配】：解决安全管理中心要求【数据库审计】【必配】：解决安全管理中心审计要求enterprise.uHuaweiconfidentiala31通信网络&区域边界堡垒机华为等保解决方案——二级增强版通信网络&区域边界堡垒机扫描系统扫描系统计算环境方案说明【NGFW】【必配】：融合传统防火墙安全策略、防病毒功能、VPN功能。解决安全区域边界要求【IPS】【必配】：解决安全区域边界->入侵防御要求【主机杀毒软件】【必配】：解决安全计算环境要求【日志审计系统】【必配】：解决安全管理中心审计要求【数据库审计】【必配】：解决安全管理中心审计要求【漏洞扫描】【必配】；解决计算环境入侵防范要求enterprise.uHuaweiconfidentiala32堡垒机华为等保解决方案——三级基础版堡垒机(VPN/IPS(VPN/IPS/AV/NAC)区域边界上网行为管理管理中心上网行为管理管理中心漏洞扫描 enterprise.uHuaweiconfidentiala33整体方案说明【接入边界NGFW】【必配】：融合防火墙安全策略、访问控制功能。解决安全区域边界要求，并开启AV模块功能；配置网络接入控制功能（802.1X配置SSLVPN功能；【分区边界NGFW】【必配】：用于解决安全分区边界的访问控制问题【主机杀毒软件】【必配】：解决安全计算环境要求【日志审计系统】【必配】：解决安全管理中心要求【堡垒机】【必配】：解决集中管控、安全审计要求【数据库审计】【必选】：解决数据库操作行为和内容等进行细粒度的审计和管理，需要根据系统内是否包含数据库业务系统选择【上网行为管理】【必选】；通信网络态势感知管理中心运维审计堡垒机漏洞扫描认证服务器区域边界APT沙箱准华为等保解决方案——三级增强版通信网络态势感知管理中心运维审计堡垒机漏洞扫描认证服务器区域边界APT沙箱准计算环境入控制enterprise.uHuaweiconfidentiala34整体方案说明整体方案说明【IPS】（必选解决区域边界入侵防御【Anti-DDoS】【必选】;【APT沙箱】【必选】：新型网络攻击行为【上网行为管理】【必选】；【数据库审计系统】（必选）；【WAF应用防火墙】【必选】；【运维堡垒机】【必选】；【网络准入控制系统】【必选】；【认证服务器】【必选】；【网页防篡改】【可选】；【主机入侵防御HIPS】【可选】；【态势感知探针】【可选】：可复用NGFW的能力核心交换机核心交换机ISP1ISP2分支机构、办事处IPSAPT沙箱外前置机网闸外网办公区NGFW普通终端办公ASG准入控制终端杀毒软件SSLVPNISP1ISP2分支机构、办事处IPSAPT沙箱外前置机网闸外网办公区NGFW普通终端办公ASG准入控制终端杀毒软件SSLVPN政府行业业务全网等保方案——三级高级增强版安全管理区网络管理平台安全控制平台堡垒机漏洞扫描日志审计系统态势感知内部核心业务区WEB数据库审计应用服务器数据库审计E-mail服务器NGFW数据库审计数据库数据库审计服务器内网办公区内网终端办公用户NGFW终端杀毒软件NGFWenterprisehuaueico-maHuaweiconfidentiala35内前置机远程办公VPNVPN公众用户互联网接入区Anti-DDOSNGFWNGFW互联网业务发布区NGFWWAFWAFWAFWAF网页防篡改三级业务应用服务器统一认证管理系统二级业务应用服务器用户无线用户环境政府行业三级等保方案产品列表一个三级等保可以卖很多安全产品，uHuaweiconfidentiala36这是做大安全项目的机会国家网络安全主管管理部门:l国家网络安全主管管理部门:l公安部网络安全保卫局l网信办信息化推进局l网信办安全协调局l国家密码管理局l电子政务外网管理中心华为是极少数全程参与等保2.0标准编写，助力标准规范化全面参与等保2.0（云等保）标准制定与标准管理部门良性互动lGB/T22239.2019网络安全等级保护基本要求lGB/T25070.2019网络安全等级保护安全设计技术要求lGW0013-2017政务云安全要求lGW0202-2014安全接入平台技术规范lGW0203-2014安全监测体系技术规范与实施指南lGW0204-2014安全管理系统技术要求与接口规范uHuaweiconfidentiala37华为等保方案建设实践…政务云其他enterprise.uHuaweiconfidentiala38等保2.0市场拓展策略enterprise.uHuaweiconfidentiala39中国进入等保2.0时代，国家史无前例的重视网络安全2017年6月1日网络安全法正式实施2017年6月1日网络安全法正式实施没有网络安全，就没有国家安全4.19讲话4.19讲话2018年6月GAB组织护网行动，百家以上大型企事业单位参与2019年5月13日《网络安全等级保护2.0》正式发布enterprise.uHuaweiconfidentiala40等级保护对象扩展了等级保护对象扩展了等级保护要求提高了在定级、备案、建设整改、等级测评和监督检查等规定考核等这些与网络安全密切相关的措施都将全部纳入等级保护制口等级保护测评更严了抓住等保的热潮，学会如何和客户己的方案和故在新增的市场实现份额领先>所有客户都要花更多的钱部署安全产品>过去很多应付的客户逐步提高重视>觉悟高的客户不满足现有等保2.0要求，希望构筑更安全的IT基础设施防护体系enterprise.uHuaweiconfidentiala41等保1.0看行业：涉及国家基础设施所有行业，并扩展云计算、移动互联、工控、物联网领域，形成大量新建或者安全加固市场等保1.0政府政务外网、海关、税务、国土等多个领域均发布等政府金融金融教育教育等保2.0涉及行业等保2.0涉及行业交通交通等保等保2.0范围扩大通用信息系统一通用系统云计算移动互联工控系统范围扩大通用信息系统一enterprise.uHuaweiconfidentiala42抓住等保2.0的这波浪潮，需要和测评机构合作>扩大华为安全品牌在最终客户侧影响enterprise..Huaweiconfidential★.43合作伙伴需要聚焦海量中小型项目项目规模市场分布比例现状主要对手安全大颗粒项目25%安全中等颗粒项目（客户预算50W~200W）25%H3