安恒 等保&商用密码整体解决方案 2022

安恒信息等保&商用密码整体解决方案深圳市场行销盛会琴 www.dbappsecurity.com.cn 400-6059-110 Part01 等保解决方案目录 01 等保核心内容 02 等保2.0解决方案 03 等级保护咨询服务 04 安恒优势价值 Contents 等级保护2.0安全体系等保2.0安全框架内容网络安全战略规划目标总体安全策略国家网络安全等级保护制度国家网络安全法律法规政策体系定级备案组织管理机制建设安全建设安全规划安全监测通报预警等级测评应急处置态势感知能力建设安全整改技术检测安全可控监督检查队伍建设教育培训经费保障网络安全综合防御体系风险管理体系安全管理体系安全技术体系网络信任体系安全管理中心通信网络区域边界计算环境等级保护对象网络基础设施、信息系统、云计算平台、大数据平台、物联网、工业控制系统等国家网络安全等级保护政策标准体系 1 依据国家网络安全法律法规和等级保护政策标准开展等级保护工作； 2 确定等级保护对象； 3 依然采用“一个中心、三重防护” 的理念； 4 建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系。 5 开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。等级2.0新增要求应对新技术提出新要求等级保护2.0为应对新技术对传统安全和传统等保的冲击，通过安全扩展要求提出了新的安全要求，以保障云计算、大数据等新技术下安全合规。增强未知威胁防范和攻击溯源能力增强了对未知威胁的防范要求，针对邮件攻击威胁提出邮件安全要求，提出统一管控，要求能够对攻击进行溯源和取证。建立主动安全保障体系感知预警、安全分析、动态防护、全面检测、应急处置兵种，打造主动安全保障体系，提高信息系统网络抗攻击能力。注重数据安全和个人信息保护更加注重数据安全保障和个人信息保护，数据是IT的核心和生命，个人信息保护在互联网时代被无限放大。等级2.0新增要求可信以访问控制技术为核心，实现主体对客体的受控访问，保证所有的访问行为均在可控范围之内进行，在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作，永远都按系统设计的策略进行资源访问，保证了系统的信息安全可控。可控以可信认证为基础，构建一个可信的业务系统执行环境，即用户、平台、程序都是可信的，确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行，不会出现非预期的流程，从而保障了业务系统安全可信。可管通过构建集中管控、最小权限管理与三权分立的管理平台，为管理员创建一个工作平台，使其可以进行技术平台支撑下的安全策略管理，从而保证信息系统安全可管。信息系统的安全设计应基于业务流程自身特点，建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受信息安全攻击和破坏。做等保之前，你需要了解客户的哪些信息？ 1、什么系统做等保？系统的服务功能是什么？ 2、系统做等保几级？二级还是三级？ 3、系统是在本地机房？还是云平台上？ 4、内部业务系统还是外部业务系统？系统中的用户数？ 5、系统所运行的网络环境？已经有哪些防护措施（设备）？有拓扑图吗？ 6、资产情况：有多少服务器（物理机&虚拟机）？有多少数据库？有多少PC终端？多少web资产？ 7、客户打算在什么时候做完整改及测评？ 8、打算花多少钱？建设原则  等保合规为基础保障客户传统信息系统安全、云安全、大数据安全、工控安全、物联网安全和智慧城市安全等。等保合规是基础动态保障是提升通过新技术、新产品、新服务，协助客户建立感知预警、主动防护、全面监测、应急处置的动态保障体系。 数据驱动聚变有效防护是核心 动态保障是提升数据驱动聚变数据驱动安全，通过大数据安全分析技术，降低客户安全运维成本，提升发现威胁和感知态势的能力，实现安全可视化，安全智能化。 有效防护是核心通过多维度的闭环保障体系，采用安全数据分析有效改变防护策略，全面审计有效发现问题，协助客户进行安全咨询和服务，最终达到有效防护，保障客户核心资产安全。遵循标准：基本要求框架（三级）系统管理技术要求管理要求安全管理中心安全管理制度审计管理安全管理集中管控安全策略管理制度安全计算环境访问控制安全审计入侵防范恶意代码防范可信验证数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护安全区域边界访问控制入侵防范恶意代码和垃圾邮件防范通信传输岗位设置人员配备人员离岗可信验证安全物理环境防雷击防火防水和防潮温湿度控制电力供应电磁防护安全意识教育和培训定级和备案安全方案设计自行软件开发外包软件开发系统交付等级测评环境管理安全运维管理资产管理介质管理可信验证物理访问控制沟通和合作审查和检查外部人员访问管理安全建设管理安全审计物理位置选择授权和审批安全管理人员人员录用安全通信网络网络架构评审和修订安全管理机构身份鉴别边界防护制定和发布防盗窃和防破坏防静电漏洞和风险管理产品采购和使用工程实施服务供应商选择网络和系统安全管理配置管理密码管理变更管理安全事件处置测试验收设备维护管理恶意代码防范管理备份与恢复管理应急预案管理外包运维管理威胁情报中心态势感知平台安全技术体系安全管理体系安全计算环境明御Web 防火墙安全管理人员安全区域边界明御防火墙安全建设管理安全通信网络网络结构优化安全运维管理新技术体系资产梳理分析安全管理中心安恒云安全风险发现态势感知日志审计玄武盾漏洞管理平台堡垒机通用技术体系安全管理制度安全管理机构安全运营体系安全物理环境安恒专家服务明御数据库审计咨询顾问明御 APT 明御入侵检测明御防火墙物理位置网页防篡改数据库防火墙 SSL VPN 防水防盗等保加固主机安全管理EDR 网络准人上网行为管理漏洞扫描主机安全管理系统网络监控温湿度应急响应电力供应工业防火墙工业漏洞扫描工业安全监测审计物联网感知防护设备情报分析安恒核心能力漏洞研究重大活动安保服务威胁情报安全咨询服务大数据分析海特实验室兵刃实验室评估加固/安全运维安全漏洞加固安全分析处置安全运营管理人才培养等级保护三级典型拓扑安全通信网络 Internet 抗DDoS 安全计算环境数据库防火墙研发区安全计算环境安全区域边界数据库审计 NGFW 办公区 NGFW 路由器安全区域边界 NGFW 上网行为管理联网区核心交换机安全通信网络核心交换区 NGFW 安全计算环境 NGFW WAF 安全区域边界路由器分支外联安全通信网络区 DMZ WAF 安全区域边界数据中心区负载均衡安全计算环境 VPN NGFW NGFW 视频准入引擎安全计算环境物联网安全心前端IPC 安防设施区日志审计 DPI 物联网监测远程评估安全管理中心运维审计 APT 大数据运维管理区 EDR中心安全通信网络设计等保要求安全通信网络控制点对应产品和方案网络架构网络设备性能冗余、链路带宽冗余、安全域划分、QoS、负载均衡、核心设备/主干链路冗余部署通信传输 IPsec VPN/SSL VPN 可信验证可信计算机制移动办公 SSL VPN Internet 1 区 DMZ 负载均衡数据中心区 NGFW VPN 路由器 NGFW NGFW 研发区联网区 NGFW 核心交换机办公区 NGFW 核心交换区 NGFW NGFW 2 安防设施区分支机构 IPSEC VPN 运维管理区网络分区：根据不同的功能进行网络区域划分，区域内划分 VLAN，区域之间通过防火墙进行区域隔离和访问控制。 3 加密通信：采用SSL VPN对移动办公用户数据进行加密；采用IPSEC VPN对分支机构接入数据进行加密。 4 冗余架构：网络出口区、核心交换区、数据中心区等提供设备冗余、双链路冗余。 5 路由器分支外联前端IPC 网络设计合理：选择具有冗余性能的路由器、交换机、防火墙等设备；链路带宽需要根据业务高峰期的峰值带宽进行设计。可信验证：基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，报警、审计。安全区域边界设计等保要求安全区域边界控制点对应产品和方案边界防护下一代防火墙，身份认证与准入访问控制下一代防火墙，Web应用防火墙，数据库防火墙入侵防范入侵检测与防御系统、APT防护、DPI流量分析恶意代码和垃圾邮件防范防病毒网关、垃圾邮件网关、邮件审计、下一代防火墙安全审计集中日志审计、上网行为管理可信验证可信计算机制 Internet 1 抗DDoS WAF 数据库防火墙区 DMZ 数据中心区 WAF 路由器 NGFW NGFW VPN NGFW 视频准入引擎上网行为管理研发区联网区办公区 NGFW NGFW 核心交换机核心交换区 NGFW 前端IPC 安防设施区 NGFW 日志审计 DPI APT 路由器运维管理区分支外联 2 边界防护：跨越边界的访问和数据流通过边界防火墙提供的受控接口进行通信；身份认证与准入对非授权设备、用户等进行检查与控制。访问控制：边界防火墙设置访问控制策略，进行受控通

安恒 等保&商用密码整体解决方案 2022

安恒等保&商用密码整体解决方案 2022