新等保解决方案产品销售指导

新等保解决方案产品销售指导正式版V1.0产品与解决方案中心王亮张培蔚2等级保护通用要求三级等保方案介绍方案优势&价值典型案例可销售产品清单等级保护有法可依违法必究第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改…第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。等保2.0扩展—安全通用要求+五个扩展分册GB/T22239.1-XXXX信息安全技术网络安全等级保护基本要求第1部分安全通用要求GB/T22239.2-XXXX信息安全技术网络安全等级保护基本要求第2部分云计算安全扩展要求GB/T22239.3-XXXX信息安全技术网络安全等级保护基本要求第3部分移动互联安全扩展要求GB/T22239.4-XXXX信息安全技术网络安全等级保护基本要求第4部分物联网安全扩展要求GB/T22239.5-XXXX信息安全技术网络安全等级保护基本要求第5部分工业控制安全扩展要求GB/T22239.6-XXXX信息安全技术网络安全等级保护基本要求第6部分大数据安全扩展要求三级安全控制项1.0：290项技术136管理154技术要求应用和数据安全设备和计算安全网络和通信安全物理和环境安全管理要求安全策略和管理制度安全管理机构和人员安全建设管理安全运维管理等保三级安全的控制项技术要求数据安全及备份恢复应用安全主机安全网络安全物理安全管理要求系统运维管理系统建设管理人员安全管理安全管理机构安全管理制度三级安全控制项2.0：229项技术116管理113等保2.0控制域控制项变化示例7等级保护通用要求三级等保方案介绍方案优势&价值典型案例可销售产品清单安全运维安全产品与等保要求对应情况网络技术要求物理安全网络与通信安全设备和计算安全应用和数据安全机构人员数据应用操作系统虚拟化NGFWAntiDDoS虚拟化安全天擎NACWAF网页防篡改鹰眼VPNDB审计等保咨询物理环境CCTV门禁漏扫管理要求机构人员建设管理等保集成渗透测试建设管理SNINGSOC安全运维堡垒机等级保护安全架构策略制度等保咨询策略制度360ID应急响应驻场保障DLP安全培训ICGIPS天眼防病毒墙防火防水电力保障机房抗震日志审计LAS电磁防护基础环境评估注：物理安全由等保防护对象或电信基础设施运营商提供网闸天巡漏扫代码卫士SMAC等保二级要求等保三级增加要求CA应用改造邮件网关容灾备份等保二级要求等保三级增加要求第三方设备：360自有设备：等级保护生命周期安全服务（等保2.0）定级备案安全设计实施安全运行维护应急响应保障总体安全规划等保咨询服务安全规划设计服务等保集成服务安全运维服务系统调查系统定级定级报告专家评审协助备案安全需求分析安全策略设计解决方案设计安全建设规划详细设计技术实现管理实现安全培训运行管理服务商管控等级测评检测改进基础环境评估服务现场评估报告编制应急预案监测响应评估改进应急保障安全应急服务行业/领域主管部门属地公安机关有等保建设资质的厂商，设计院等有等保建设资质的厂商等保用户专业安全厂商等保用户专业安全厂商10等级保护通用要求三级等保方案介绍方案优势&价值典型案例可销售产品清单1安全风险评估3安全运维2等保咨询4应急响应5安全架构设计安全集成一站式新等保三级解决方案优势1--产品覆盖最全优势2--公司资质最全序号资质名称网神启明星辰绿盟科技天融信深信服华为东软蓝盾北信源亚信安恒阿里云认定认可类1计算机信息系统集成企业资质（大型一级为最高级）二级二级二级二级×一级一级一级××二级×2商用密码产品销售许可证√√√√√√√×√×××3商用密码产品生产定点单位证书√√√√××××√×××4纳税信用A级企业√√√√√√√√√√√√5ISO9001:2008质量管理体系(包含网神科技)√√√√√√√√√×√×6ISO20000:2011信息技术服务管理体系√××√×√√√×√×√7ISO27001:2005信息安全管理体系√√√√×√√√×√√√8ISO14000环境管理体系认证√√×√×√√××√√×9ISO18000职业健康安全管理体系√××××√√×××××10TL9000电讯业质量管理体系认证×××√×√××××××安全服务类1信息安全等级保护建设服务机构能力评估合格证书√√√×××××√×√√2ISCCC信息安全服务资质-应急处理服务一级一级一级一级×一级一级一级××一级×3ISCCC信息安全服务资质-风险评估服务一级一级一级一级×一级一级一级××一级×4ISCCC信息安全服务资质-信息系统安全集成服务一级一级一级一级×一级一级一级×一级××5国测信息安全服务资质-安全开发类一级一级一级一级××一级×一级一级一级×6国测信息安全服务资质-安全工程类二级二级二级二级×二级二级××一级二级×7CISP授权服务机构√√×√××√×××√×8通信网络安全服务能力评定证书

安全设计与集成（三级为最高级）二级一级二级二级×××一级×一级××9通信网络安全服务能力评定证书

风险评估（三级为最高级）二级二级二级二级×××一级×一级一级×10通信网络安全服务能力评定证书

应急响应（三级为最高级）一级一级一级一级××××××××11通信网络安全服务能力评定证书

安全培训（三级为最高级）一级一级一级一级××××××××服务支撑类1CNCERT/CC网络安全应急服务支撑单位国家级国家级国家级国家级国家级省级国家级省级××国家级省级2CNCERT网络安全信息通报单位√√√√×√×××√××优势3--威胁情报及大数据分析能力最强方案价值--“不止合规”等保2.0预警研判应急处置协同防御自动化的闭环协同处置“终端-网关-云端”联动的动态纵深防御体系技术支援和决策建议帮助建设事件的应急处置能力。提供安全人才的实训培养可视化技术--网络整体安全态势监测及相关威胁的预警，提升组织安全管理效率。高质量的威胁情报支撑，描绘攻击者画像，了解相关攻击历史15等级保护通用要求三级等保方案介绍方案优势&价值典型案例可销售产品清单农业部（金农工程一期安全集成与服务项目）：

开展定级、调研、设计、技术实施、管理实施、评估加固、测评、产品采购、运维等全过程。最终测评三级系统85分，二级系统95分。水利部（水利信息安全等级保护集成与服务项目）：

开展定级、调研、设计、技术实施、管理实施、评估加固、测评、产品采购、运维等全过程。最终测评三级系统88分，二级系统97分。教育部（小金教等级保护咨询服务项目）：

495万，等级保护咨询项目，包含信息系统安全建设全生命周期。安监总局国土等……承建了多个部委的等级保护建设项目的咨询、集成与产品集成实施工作。承建了诸如金盾、金安、金农、金水、金信、金质、金土、金审等重大项目。部分案例17等级保护通用要求三级等保方案介绍方案优势&价值典型案例可销售产品清单可销售产品清单-23款产品产品名称产品描述产品形态满足的等保控制域数据库审计网络数据捕获能力、数据库协议解析、事件关联分析为基础，可以精准识别数据库操作硬件应用和数据安全DLP保护数据防窃密软件应用和数据安全WAF+防篡改对网站服务器提供安全防护，作为针对网站服务器的各类访问请求进行检测和验证。确保其安全性和合法性，对非法的请求予以实时阻断，防止网页被篡改，从而对各类网站站点进行有效防护。硬件应用和数据安全鹰眼通过镜像流量的方式识别web资产、发现web漏洞硬件应用和数据安全天擎集防病毒与终端安全管控于一体的终端安全解决方案，提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、XP盾甲防护诸多功能软件设备和计算安全NAC为企业终端提供安全合规准入规范及手段硬件设备和计算安全漏洞扫描由系统扫描、Web扫描、弱口令破解、配置指标检查于一体化的专业安全产品硬件设备和计算安全+网络和通信安全360ID一次性口令系统软件/硬件设备和计算安全+网络和通信安全NGFW为各行业网络出口打造的“云+端+边界+联动”下一代安全防御体系硬件网络和通信安全Anti-DDoS能够解决流量型DDOS以及连接型DDOS攻击造成的网络瘫痪，服务无法正常运行的问题，是集攻击检测、攻击防御、网络监控及管理于一体的安全产品硬件网络和通信安全行为管理为企业提供法律遵从、企业合规、工作效率提升、互联网防泄密等价值硬件网络和通信安全IDS检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。硬件网络和通信安全IPS将深度内容检测、安全防护、应用识别管理等技术完美地结合在一起，配合定期更新的入侵攻击特征库，可检测包括探测与扫描、溢出攻击、DDOS攻击、SQL注入、可疑代码、蠕虫、木马、间谍软件等各种网络威胁并进行细粒度的处置。硬件网络和通信安全天眼利用大数据分析技术，提升用户“精准发现”其网络中威胁的能力，需捆绑安服销售硬件网络和通信安全防病毒墙NGFW加AVLicense提供防病毒墙功能硬件网络和通信安全网闸位于不同安全级别的网络之间或者不同的安全域之间，采用专用的2+1架构实现安全隔离，通过协议转换、信息摆渡的方式实现高效安全的数据交换硬件网络和通信安全IDS检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。硬件网络和通信安全IPS将深度内容检测、安全防护、应用识别管理等技术完美地结合在一起，配合定期更新的入侵攻击特征库升级硬件网络和通信安全SMAC防火墙集中配置，策略管理中心

代码卫士源代码安全缺陷检测、合规检测、溯源检测三大检测功能，并可实现软件安全开发生命周期管理硬件安全建设管理堡垒机基于软硬件一体化设计，集账号、认证、授权、审计为一体的设计理念，实现对事企业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计硬件安全运维日志审计系统满足各个行业及单位对合规性要求的日志审计软件/硬件安全运维SNI/NGSOC实现威胁发现、持续性内外部态势感知、分析溯源、联动处置和安全运维，有效提升管理能力硬件安全运维可销售服务清单-7款服务产品名称产品描述产品形态满足的等保控制域等级保护咨询1、定级咨询；2、差距评估；3、方案设计；4、协助测评服务一次性安全管理机构和人员安全策略和管理制度等级保护建设集成（行业五群CSI

周华涛）1、安全技术体系设计；2、安全管理体系设计；3、安全产品集成实施；4、风险评估；5、安全加固服务一次性安全建设管理渗透测试360CERT渗透测试工具采用高速渗透式扫描引擎配合漏洞验证手段。可以快速对大批量网站进行工具渗透并对结果进行验证。100%无误报，所有漏洞均提供截图验证。服务一次性安全策略和管理制度安全运维管理基础环境评估1，漏洞扫描2，对操作系统、数据库、中间件、网络设备、网络安全设备、网络边界进行配置核查一次性，人工服务安全建设管理应急响应在用户发生确切的安全事件时，应急响应实施人员及时采取行动限制事件扩散和影响的范围，限制潜在的损失与破坏服务一次性安全运维管理驻场安全保障服务安全策略优化，定期风险评估，安全监控服务年付安全运维管理机构和人员管理业务安全技能培训培训内容从攻击者、防御者、管理者等多角度对企业安全进行深入浅出的解一次学员不超过10人安全管理机构和人员THANKS解决方案负责人产品与解决方案中心王亮

wangliang01@周永刚

zhouyonggang@张培蔚zhangpeiwei@附录一安全要求和属性标识技术/管理分类安全控制点属性标识安全技术要求物理和环境安全物理位置选择G物理访问控制G防盗窃和防破坏G防雷击G防火G防水和防潮G防静电G温湿度控制G电力供应A电磁防护S网络和通信安全网络架构G通信传输G边界防护G访问控制G入侵防范G恶意代码防范G安全审计G集中管控G安全技术要求设备和计算安全身份鉴别S访问控制S安全审计G入侵防范G恶意代码防范G资源控制A应用和数据安全身份鉴别S访问控制S安全审计G软件容错A资源控制A数据完整性S数据保密性S数据备份恢复A剩余信息保护S个人信息保护S安全管理要求安全策略和管理制度安全策略G管理制度G制定和发布G评审和修订G安全管理机构和人员岗位设置G人员配备G授权和审批G沟通和合作G审核和检查G人员录用G人员离岗G安全意识教育和培训G外部人员访问管理G安全管理要求安全建设管理定级和备案G安全方案设计G产品采购和使用G自行软件开发G外包软件开发G工程实施G测试验收G系统交付G等级测评G服务供应商管理G安全管理要求安全运维管理环境管理G资产管理G介质管理G设备维护管理G漏洞和风险管理G网络与系统安全管理G恶意代码防范管理G配置管理G密码管理G变更管理G备份与恢复管理G安全事件处置G应急预案管理G外包运维管理G网络和通信安全安全要求分类安全要求细则主要应对产品及功能网络架构a)

应保证网络设备的业务处理能力满足业务高峰期需要；1、防火墙、网闸隔离安全域2、防火墙、网闸、行为管理、WAF、抗DDOS和堡垒机具备HA功能b)

应保证网络各个部分的带宽满足业务高峰期需要；c)

应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；d)

应避免将重要网络区域部署在网络边界处且没有边界防护措施；e)

应提供通信线路、关键网络设备的硬件冗余，保证系统的可用性。通信传输a)

应采用校验码技术或加解密技术保证通信过程中数据的完整性；防火墙和网闸均可满足b)

应采用加解密技术保证通信过程中敏感信息字段或整个报文的保密性。边界防护a)

应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信；防火墙和网闸提供访问控制和身份认证b)

应能够对非授权设备私自联到内部网络的行为进行限制或检查；c)

应能够对内部用户非授权联到外部网络的行为进行限制或检查；行为管理具备防私接能力d)

应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部网络。天巡网络和通信安全安全要求分类安全要求细则主要应对产品及功能访问控制a)

应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；防火墙、网闸b)

应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；c)

应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；d)

应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；e)

应在关键网络节点处对进出网络的信息内容进行过滤，实现对内容的访问控制。入侵防范a)

应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；1、防火墙和IPS的入侵防御2、天眼的威胁检测b)

应在关键网络节点处检测和限制从内部发起的网络攻击行为；c)

应采取技术措施对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析；d)

当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。恶意代码防范a)

应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；防火墙和网闸的病毒防护功能b)

应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。网络和通信安全安全要求分类安全要求细则主要应对产品及功能安全审计a)

应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；1、防火墙、网闸、行为管理、抗DDOS、WAF等产品2、数据库审计系统、堡垒机、SNI、LAS等产品b)

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)

应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；d)

审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性；e)

应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。集中管控a)

应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；1、防火墙通过SMAC做集中管控2、网闸可集中监控3、SNI支持ssh网络管理防火墙和网闸的病毒防护功能b)

应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；c)

应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；d)

应对分散在各个设备上的审计数据进行收集汇总和集中分析；e)

应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；f)

应能对网络中发生的各类安全事件进行识别、报警和分析。设备和计算安全安全要求分类安全要求细则主要应对产品及功能身份鉴别a)

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；防火墙、网闸、行为管理、数据库审计系统、堡垒机和天擎、360IDb)

应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；c)

当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；d)

应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别。访问控制a)

应对登录的用户分配账号和权限；1、防火墙、网闸、数据库审计系统、堡垒机和天擎的功能完整2、行为管理、WAF、抗DDOS和漏扫支持用户权限管理和三权分立b)

应重命名默认账号或修改默认口令；c)

应及时删除或停用多余的、过期的账号，避免共享账号的存在；d)

应授予管理用户所需的最小权限，实现管理用户的权限分离；e)

应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；f)

访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；g)

应对敏感信息资源设置安全标记，并控制主体对有安全标记信息资源的访问。安全要求分类安全要求细则主要应对产品及功能安全审计a)

应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；数据库审计、堡垒机、天擎、行为管理、LAS和SNIb)

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)

应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；d)

应对审计进程进行保护，防止未经授权的中断；e)审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性入侵防范a)

应遵循最小安装的原则，仅安装需要的组件和应用程序。1、天擎的准入、绑定、漏洞管理等功能满足2、WAF和抗DDOS可以抵御对应的WEB攻击和DDOS攻击b)

应关闭不需要的系统服务、默认共享和高危端口；c)

应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；d)

应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞；e)

应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。恶意代码防范应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应用的信任链，实现系统运行过程中重要程序或文件完整性检测，并在检测到破坏后进行恢复。天擎的杀毒功能设备和计算安全安全要求分类安全要求细则主要应对产品及功能资源控制a)

应限制单个用户或进程对系统资源的最大使用限度；行为管理、抗DDOS、WAF、堡垒机和天擎b)

应提供重要节点设备的硬件冗余，保证系统的可用性；c)

应对重要节点进行监视，包括监视CPU、硬盘、内存等资源的使用情况；d)

应能够对重要节点的服务水平降低到预先规定的最小值进行检测和报警。设备和计算安全应用和数据安全安全要求分类安全要求细则主要应对产品及功能身份鉴别a)

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，鉴别信息具有复杂度要求并定期更换；数据库审计和堡垒机的用户管理及认证管理功能b)

应提供并启用登录失败处理功能，多次登录失败后应采取必要的保护措施；c)

应强制用户首次登录时修改初始口令；d)

用户身份鉴别信息丢失或失效时，应采用鉴别信息重置或其他技术措施保证系统安全；访问控制a)

应提供访问控制功能，对登录的用户分配账号和权限；网闸、数据库审计和堡垒机b)

应重命名默认账号或修改这些账号的默认口令；c)

应及时删除或停用多余的、过期的账号，避免共享账号的存在；d)

应授予不同账号为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；e)

应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；f)

访问控制的粒度应达到主体为用户级，客体为文件、数据库表级、记录或字段级；g)

应对敏感信息资源设置安全标记，并控制主体对有安全标记信息资源的访问。应用和数据安全安全要求分类安全要求细则主要应对产品及功能安全审计a)

应提供安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；数据库审计、堡垒机、网闸、LAS和SNIb)

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)

应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；d)

应对审计进程进行保护，防止未经授权的中断；e)

审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性。软件容错a)