华为三级系统等级保护安全解决方案

华为等级保护三级系统安全解决方案提供三级系统安全保护方案等级保护要求范围下的中央企业客户，可以扩展到政府，金融，电力等行业客户1.等级保护基本信息简介2.等级保护三级系统安全保护方案3.成功故事V1.0_20110807文档创建张迎慧/00126124贾照坤/90005009卢熔/90006144国内销服咨询服务部2.等级保护需求分析3.华为等级保护安全方案行业信息安全事件Page等级保护背景介绍-发展历程•信息安全等级保护是基本制度、基–信息安全等级保护是党中央国务院决定在信息系统安全领域实施的基本国策–信息安全等级保护是国家信息安全保障工作的基本制度发展阶段于转发《电子政务信息安全发展阶段于转发《电子政务信息安全等级保护实施指南》的通起步阶段《关于加强信息安全保障管理办法的通知》字推行阶段推行阶段评体系建设和开展等定级工作的通知》（公信Page（公信安[2009]1429号）行业等级保护整改现状整改定级等级保护建设测评检查测评检查《定级国资委关于进一步推进中央企业信息安全等级保护工作Page等级保护安全建设参考政策和标准Page等级保护基本要求框架等级保护基本要求框架等级保护安全建设思路第一步：需求分析第二步：方案设计第二步：方案设计第三步：安全实施第四步：等级测评第四步：等级测评Page2.等级保护需求分析3.华为等级保护安全方案等级保护安全建设需求来源安全建设需求安全建设需求Page企业IT架构面临的主要安全风险Internet息Page等级保护安全建设要求-技术数据安全n数据安全n保证鉴别信息、重要n保证系统管理数据、物理安全应用安全应用安全化除n确保数据的完整性，主机安全PagePage等级保护安全建设要求-管理系统建设管理系统建设管理n信息系统要及时备案人员安全管理n建立培训制度，对不安全管理制度安全管理机构n建立安全检查制度，系统运维管理n建立安全管理中心，Page等级保护安全建设需求建设安全管理完善基础安全技术措施3完善基础安全技术措施3建立安全组织42455安全域划分完善安全制度安全域划分完善安全制度Page2.等级保护需求分析3.华为等级保护安全方案华为等级保护解决方案主要思想保障业务完整性，可用性，机密性数据安全应用安全主机安全网络安全物理安全五级级二级一级咨询数据安全应用安全主机安全网络安全物理安全五级级二级一级咨询全全符合等级保护法规的要求Page等级保护技术方案框架设计思想参考《信息安全技术信息系统等级保护安全设计技术要求》安全管理中心安全管理中心全网设备统一管理安全边界安全边界互联网边界安全内网安全域边界安全海量日志分析安全边界互联网边界安全内网安全域边界安全通信网络通信网络安全计算环境关键设备与链路冗余计算环境传输信息加密计算环境安全系统加固补丁管理系统加固补丁管理物理环境病毒，木马防护物理环境物理安全物理安全物理安全计算环境安全通信网络安全边界安全安全管理中心域及子域建设方案及措施物理位置的选择物理位置选址及楼层的选择。物理访问控制进行人员配备，制定管理制度。对进出人员采用陪同或监控设备进行限制和监控。划分机房区域，加强对区域的管理和重要区域控制力度。防盗窃和防破坏进行制定防盗窃防破坏相关管理制度。进行光、电技术防盗报警系统的配备。防雷击进行设置防雷保安器，防止感应雷。防火进行消防、耐火、隔离等措施建设。防水和防潮进行防水检测仪表的安装使用。防静电按照基本要求进行建设。安装防静电地板。温湿度控制配备空调系统。电力供应配备稳压器和过电压防护设备；配备UPS系统设置冗余或并行的电力电缆线路，建立备用供电系统；电磁防护按照基本要求进行接地，暂时无需电磁屏蔽措施。计算环境安全物理安全计算环境安全物理安全计算环境安全通信网络安全边界安全安全管理中心普通业务区普通业务区核心业务区核心业务区DMZ区1)服务器、工作站配置差距分析和加固；2)数据库配置差距分析和加固；3)应用配置差距分析和加固；4)系统渗透测试；DMZ区1)服务器、工作站配置差距分析和加固；2)数据库配置差距分析和加固；3)应用配置差距分析和加固；4)系统渗透测试；外联前置区2)CA认证中心双因素身份认证管理；5)TSM补丁分发系统简化系统安全更新流程；3)TSM安全策略检查确保终端最佳安全状态；4)TSM补丁分发系统简化系统安全更新流程；计算环境安全物理安全计算环境安全物理安全计算环境安全通信网络安全边界安全安全管理中心普通业务区普通业务区核心业务区核心业务区DMZ区1)服务器、工作站配置差距分析和加固；2)数据库配置差距分析和加固；3)应用配置差距分析和加固；4)系统渗透测试；DMZ区1)服务器、工作站配置差距分析和加固；2)数据库配置差距分析和加固；3)应用配置差距分析和加固；4)系统渗透测试；外联前置区2)CA认证中心双因素身份认证管理；5)TSM补丁分发系统简化系统安全更新流程；3)TSM安全策略检查确保终端最佳安全状态；4)TSM补丁分发系统简化系统安全更新流程；通信网络物理安全物理安全计算环境安全通信网络安全边界安全安全管普通业务区普通业务区核心业务区核心业务区网管区SSLVPNSSLVPNDMZ区外联前置区流量分析与控制IP-SEC外联前置区流量分析与控制IP-SECVPN终端接入区终端接入区3)SVN2000提供SSLVPage安全边界：域边界防护物理安全计算环境安全物理安全计算环境安全通信网络安全边界安全安全管理中心核心业务区边界核心业务区边界外联前置区边界外联前置区边界2)TSM网络准入控制确保可信接入访问3)TSM终端行为管理控制用户内网行为Page安全边界：互联（外联）网边界物理安全物理安全计算环境安全通信网络安全边界安全安全管理中心InternetInternetADI/G系列ADI/G系列1)基于漏洞的签名技术为内网系统提供虚拟补丁；Page物理安全物理安全计算环境安全通信网络安全边界安全安全管理中心 Page华为三级信息系统等级保护解决方案整体部署图普通业务区普通业务区网管区DMZ区DMZ区外联前置区外联前置区Page等级保护安全建设技术体系：物鉴别和认证访问控制数字证书份管理证管理Page华为等级保护解决方案主要思想保障业务完整性，可用性，机密性数据安全应用安全主机安全网络安全物理安全五级级二级一级咨询数据安全应用安全主机安全网络安全物理安全五级级二级一级咨询和安信作全通操和安控制符合等级保护法规的要求Page华为等级保护管理框架设计Page建立安全组织,并及时处理，参与重大突发安全事件的Page完善安全制度全面的文件化的管理制度体系作业指导书、操作规范1.在整体方针指导下，从制度层面覆盖所有IT管理流程活动和安全要点2.与已有文件制度的融合,包容已有管理要求3.层级落实，责任到人4.意识推广，考核跟进5.关键的一些文件：−−PagePage安全组织安全组织安全制度宣传推广Page等级保护解决方案总结技术要求TSM终端安全管理物理安全-安全域划分与边界整合TSM终端安全管理物理安全-安全域划分与边界整合-两地三中心备份中心灾备中心-CA/PKI统一身份认证管理集中监控及审计iSoc&VSM提供安全管理中心-物理安全UTM+USG系列网络入侵与恶意代码防范安全加固服务漏洞扫描服务渗透测试服务Page管理要求等级保护解决方案总结管理要求-建立安全组织-建立安全组织-完善安全管理制度-完善安全管理制度-安全管理制度宣传推广-安全管理制度宣传推广-安全意识/技能培训-安全意识/技能培训Page客户价值：致力保护客户业务完整性，可用性，机密性Page等级保护解决方案整体概览Page2.等级保护需求分析3.华为等级保护安全方案深圳市人民政府12345公开电话系统安全建设项目Page）；无锡云计算是中国首个云计算中心，由无etisaletisalat传ma淘宝网Hndex淘宝网Hndexl100+：服务于100多个运营商l1000+：服务于1000多个重要行业客户Page等级保护基本要求：网络安全个控制点结构安全（结构安全（G）访问控制（G）安全审计（G）边界完整性检查（A）入侵防范（G）等级保护要求等级保护安全策略遵从情况是等级保护基本要求：网络安全个控制点结构安全（结构安全（G）访问控制（G）安全审计（G）边界完整性检查（A）入侵防范（G）恶意代码防范（G）网络设备防护（G）等级保护要求等级保护安全策略遵从情况是等级保护基本要求：网络安全个控制点结构安全（结构安全（G）访问控制（G）安全审计（G）边界完整性检查（A）入侵防范（G）恶意代码防范（G）网络设备防护（G）等级保护要求等级保护安全策略遵从情况是等级保护基本要求：网络安全个控制点结构安全（结构安全（G）访问控制（G）安全审计（G）边界完整性检查（A）入侵防范（G）恶意代码防范（G）网络设备防护（G）等级保护要求等级保护安全策略遵从情况是等级保护基本要求：网络安全个控制点结构安全（结构安全（G）访问控制（G）安全审计（G）边界完整性检查（A）入侵防范（G）恶意代码防范（G）网络设备防护（G）等级保护要求等级保护安全策略遵从情况a,应在网络边界处监视以下攻击行为：），是等级保护基本要求：网络安全个控制点结构安全（结构安全（G）访问控制（G）安全审计（G）边界完整性检查（A）入侵防范（G）恶意代码防范（G）网络设备防护（G）等级保护要求等级保护安全策略遵从情况无无无是等级保护基本要求：网络安全个控制点结构安全（结构安全（G）访问控制（G）安全审计（G）边界完整性检查（A）入侵防范（G）恶意代码防范（G）网络设备防护（G）等级保护要求等级保护安全策略遵从情况是3）为网络设备用户分配唯一的标识咨略等级保护基本要求：主机安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）入侵防范（G）恶意代码防范（G）资源控制（A）等级保护要求等级保护安全策略遵从情况是等级保护基本要求：主机安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）入侵防范（G）恶意代码防范（G）资源控制（A）等级保护要求等级保护安全策略遵从情况是；）9)TSM终端对重要资源信息进行访问控制；等级保护基本要求：主机安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）入侵防范（G）恶意代码防范（G）资源控制（A）等级保护要求等级保护安全策略遵从情况是等级保护基本要求：主机安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）入侵防范（G）恶意代码防范（G）资源控制（A）等级保护要求等级保护安全策略遵从情况等级保护基本要求：主机安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）入侵防范（G）恶意代码防范（G）资源控制（A）等级保护要求等级保护安全策略遵从情况并通过设置升级服务器等方式保持系统补丁及是是否等级保护基本要求：主机安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）入侵防范（G）恶意代码防范（G）资源控制（A）等级保护要求等级保护安全策略遵从情况是是离是等级保护基本要求：主机安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）入侵防范（G）恶意代码防范（G）资源控制（A）等级保护要求等级保护安全策略遵从情况是是无否是是等级保护基本要求：应用安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）通信完整性（G）通信保密性（G）抗抵赖（A）软件容错（A）资源控制（A）等级保护要求等级保护安全策略遵从情况d,应启用身份鉴别、用户身份标识唯一e,应对同一用户采用两种或两种以上组合等级保护基本要求：应用安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）通信完整性（G）通信保密性（G）抗抵赖（A）软件容错（A）资源控制（A）等级保护要求等级保护安全策略遵从情况等级保护基本要求：应用安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）通信完整性（G）通信保密性（G）抗抵赖（A）软件容错（A）资源控制（A）等级保护要求等级保护安全策略遵从情况等级保护基本要求：应用安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）通信完整性（G）通信保密性（G）抗抵赖（A）软件容错（A）资源控制（A）等级保护要求等级保护安全策略遵从情况无等级保护基本要求：应用安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）通信完整性（G）通信保密性（G）抗抵赖（A）软件容错（A）资源控制（A）等级保护要求等级保护安全策略遵从情况等级保护基本要求：应用安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）通信完整性（G）通信保密性（G）抗抵赖（A）软件容错（A）资源控制（A）等级保护要求等级保护安全策略遵从情况等级保护基本要求：应用安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）通信完整性（G）通信保密性（G）抗抵赖（A）软件容错（A）资源控制（A）等级保护要求等级保护安全策略遵从情况等级保护基本要求：应用安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）通信完整性（G）通信保密性（G）抗抵赖（A）软件容错（A）资源控制（A）等级保护要求等级保护安全策略遵从情况等级保护基本要求：应用安全个控制点身份鉴别（身份鉴别（S）访问控制（S）安全审计（G）剩余信息保护（S）通信完整性（G）通信保密性（G）等级保护要求等级保护安全策略遵从情况等级保护基本要求：数据安全个控制点数据完整性（无数据完整性（无S）