华为安全等保二、三级方案介绍

华为等级保护解决方案（等保二、三级）国家出台法律强化网络安全，合规需求上升为法律强制1122采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施4455网络安全等级保护网络安全等级保护:对信息和信息载体按照重要性等级分级别进行保护的一种工作。政策要求由公安监督检查各机关和行业执行政策要求由公安监督检查满足监管要求明确安全责任体系化建设集约化运营阶段进行建设，安全建设更加体系化优化安全收益等保工作流程1、定级2、备案5、监督3、整改4、测评1、定级2、备案5、监督3、整改\运行单位\运行单位特别严重损害。主要依据：根据系统被破坏后，对公民、社会、国家造成的损害程度定级。否否否////害等保测评结论等级测评结论为“符合、“基本符合”或者“不符测评结论符合性判别依据综合得分计算公式符合信息系统中未发现安全问题，等级测评结果中所有测评项得分均为5分。100分基本符合信息系统中存在安全问题，但不会导致信息系统面临高等级安全风不符合信息系统中存在安全问题，而且会导致信息系统面临高等级安全风新等保已经于5月发布变化1：标准名称变化变化3：各级别安全要求由“信息安全技术信息系统安全等级保护基本要求”变更为“信息安全技术网络安全等级保护基本要求”调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理技术要求老等保新等保物理安全安全物理环境网络安全安全通信网络、安全区域边界主机安全安全计算环境、安全管理中心应用安全数据安全管理要求老等保新等保安全管理制度安全管理制度安全管理机构安全管理机构、安全管理人员人员安全管理系统建设管理安全建设管理系统运维管理安全运维管理调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求/新等保2.0具体通用要求重要变更控 边界防护 入侵防范 访问控制新恶意代码防范 通信传输析 集中管控等保技术要求子项主要内容对应产品基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序跨越边界的访问和数据流通过边界设备提供的受控接口进身份唯一性、鉴别信息复杂度定期更换、登录失败处理功能、远程管理过程中防检测入侵行为、非使用端口关闭、管理终端限制、发现应对系统管理员进行身份鉴别、应通过系统管理员对系统的资源和运行进行配置、控制理等保技术要求子项主要内容对应产品基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序跨越边界的访问和数据流通过边界设备提供的受控接口进五元组过滤、内容过滤、策略优化、基于应用协议和应用内容的已知威胁防护、新型网络攻击行为的分析、记录攻击源IP检测入侵行为、非使用端口关闭、管理终端限制、发现数据本地备份和恢复、提供异地实时备份功能、数据处理系统热应对系统管理员进行身份鉴别、应通过系统管理员对系统的资源和运行进行配置、控制理特定管理分区、统一网管和检测、日志采集和统应对安全管理员进行身份鉴别、应通过安全审保护等级复测要求第二级保护等级复测要求第二级不强制，一般两年一测第三级强制每年一测保护等级公民、法人和其他组织的合法权益社会秩序和公共利益国家安全第二级严重损害损害否第三级/严重损害损害安全物理环境三级新增冗余供电要求冗余供电产品安全通信网络三级新增链路和设备冗余要求双机部署三级新增网络的业务处理能力满足业务高峰期需要抗DDOS设备三级新增数据传输保密性要求VPN安全区域边界三级增加基于应用协议和应用内容的访问控制要求NGFW内容过滤功能三级增加在关键节点的未知威胁检测要求未知威胁检测沙箱、态势感知设备探针三级新增基于重要业务带宽保障流控或NGFW流控功能三级新增垃圾邮件防护要求网络防病毒或NGFW防病毒功能安全计算环境三级新增主机入侵检测要求HIPS/HIDS三级新增异地容灾要求异地容灾产品建设“一个中心”管理下的“三重防护”体系3.1等级保护整体解决方案3.2等级保护分区解决方案网络边界区管理区办公区系统堡垒机管理区办公区系统堡垒机办公用户办公用户办公用户方案说明n分区分域安全设计：按照国家二级等保要求，可以将网络分为：互联网接入区、办公区、安全管理区，然后分别按照等保要求进行安全方案设计：n安全防御体系：NGFW【必配】：融合传统防火墙安全策略、入侵防御、防病毒功能。解决安全区域边界要求【主机杀毒软件】【必配】：解决安全计算环境要求【日志审计系统】【必配】：解决安全管理中心要求【堡垒机】【必配】：解决安全管理中心->系统管理要求日志审计系统堡垒机日志审计系统堡垒机下一代防火墙下一代防火墙下一代防火墙下一代防火墙主机杀毒软件主机杀毒软件网络边界区管理区堡垒机办公区系统管理区堡垒机办公区系统办户办公用户方案说明n分区分域安全设计：按照国家二级等保要求，可以将网络分为：互联网接入区、办公区、安全管理区，然后分别按照等保要求进行安全方案设计：n安全防御体系：【NGFW】【必配】：融合传统防火墙安全策略、入侵防御、防病毒功能。解决安全区域边界要求【主机杀毒软件】【必配】：解决安全计算环境要求【日志审计系统】【必配】：解决安全管理中心要求【IPS】【必配】：解决安全区域边界->入侵防御要求【堡垒机】【必配】：解决安全管理中心->系统管理要求日志审计系统堡垒机日志审计系统堡垒机下一代防火墙下一代防火墙下一代防火墙下一代防火墙主机杀毒软件主机杀毒软件网络边界区管理区堡垒机数据库审计办公区办公区漏洞扫描公用户公用户办办公用户公用户办整体方案说明n分区分域安全设计：按照国家三级等保要求，可以将网络分为：互联网接入区、办公区、安全管理区，然后分别按照等保要求进行安全方案设计：n安全防御体系：【接入边界NGFW】【必配】：融合防火墙安全策略、访问控制功能。解决安全区域边界要求，并开启IPS、AV模块功能；配置网络接入控制功能（802.1X）【分区边界NGFW】【必配】：用于解决安全分区边界的访问控制问题【IPS】【必配】：解决安全区域边界->入侵防御要求【主机杀毒软件】【必配】：解决安全计算环境要求【日志审计系统】【必配】：解决安全管理中心要求【堡垒机】【必配】：解决集中管控、安全审计要求【数据库审计】【可选】：解决数据库操作行为和内容等进行细粒度的审计和管理，解决数据完整性要求，需要根据系统内是否包含数据库业务系统选择【漏洞扫描】【必配】：解决设备和计算的入侵防护和恶意代码防护下一代防火墙下一代防火墙下一代防火墙下一代防火墙主机杀毒软件主机杀毒软件公用户公用户网络边界区Anti-DDOS管理区堡垒机态势感知数据库审计计系统办公区漏洞扫描办办公用户公用户网络边界区Anti-DDOS管理区堡垒机态势感知数据库审计计系统办公区漏洞扫描办办整体方案说明n分区分域安全设计：按照国家三级等保要求，可以将网络分为：互联网接入区、办公区、安全管理区，然后分别【防毒墙】【可选】通过防火墙的AV功能，解决恶【Anti-DDoS】【可选】：解决互联网流量型攻击，保障【APT沙箱】【必选】：解决新型网络攻击行为的分析的【态势感知探针】【可选】：解决新型网络攻击行为的分析能力，保障安全区域边界->入侵防御要求，复用NGFW【上网行为管理】【可选】：解决基于应用协议和应用内【态势感知】【必选】：保障安全管理中心->安全管理要求下一代防火墙下一代防火墙主机杀毒软件主机杀毒软件安全管理区网络管理平台安全控制平台堡垒机漏洞扫描日志审计系统态势感知WEB应用服务器E-mail服务器内部核心业务区NGFW数据库审计数据库服务器数据库审计WEB应用服务器E-mail服务器内部核心业务区NGFW数据库审计数据库服务器数据库审计内网办公区内网终端办公用户NGFW终端杀毒软件NGFWSSLVPN远程办公SSLVPNISP1ISP2分支机构、VPNISP1ISP2分支机构、VPN互联网接入区Anti-DDOSNGFWSSLVPNIPS防毒墙公众用户互联网接入区Anti-DDOSNGFWSSLVPNIPS防毒墙SSLVPNAPT沙箱内前置机外前置机内前置机网闸核心交换机外网办公区NGFWASG普通终端办公用户无线环境用户终端杀毒软件办事处互联网业务发布区WAFNGFWWAFWEB应用服务器三级业务应用服务器统一认证管理系统二级业务应用服务器3.1等级保护整体解决方案3.2等级保护分区解决方案分支机构移动终端用户PC终端用户PC终端用户VPNVPN加密隧道安全通信网络安全通信网络安全区域边界安全计算环境安全管理中心合规要求解决方案n移动终端和PC建立SSLVPN加密隧道，保证数n终端管理系统:外网用户的接入控制方案特点安全通信网络安全通信网络安全区域边界安全计算环境安全管理中心办公区统一准入控制中心(CampusController)MAC/802.1x/Portal认证合规要求解决方案安全管理中心安全通信网络安全区域边界安全管理中心安全通信网络安全区域边界安全计算环境合规要求合规要求解决方案安全沙箱下一代防火墙日志审计系统EEEEEEE安全通信网络安全通信网络安全区域边界安全计算环境安全管理中心合规要求解决方案方案特点安全通信网络安全区域边界安全通信网络安全区域边界安全计算环境安全管理中心管理区服务器区服务器区办公区服务器合规要求解决方案安全通信网络安全通信网络安全区域边界安全计算环境安全管理中心合规要求合规要求解决方案方案特点安全通信网络安全通信网络安全区域边界安全计算环境安全管理中心合规要求合规要求事前事中事后漏洞扫描UMA数据库审计解决方案方案特点安全通信网络安全通信网络安全区域边界安全计算环境安全管理中心合规要求合规要求解决方案力方案特点方案特点管理区大数据安全分析平台统一运大数据安全分析平台统一运维审计日志审计系统漏洞扫描安全控制器安全通信网络安全通信网络安全区域边界安全计算环境安全管理中心合规要求解决方案方案特点安全通信网络安全通信网络安全区域边界安全计算环境安全管理中心理理理理理理理理理理置置合规要求合