1、H3C安全等级保护方案汇报,H3C安全产品部 2015年11月,点击添加文本,点击添加文本,点击添加文本,点击添加文本,目录,等级保护概述等级保护条款解读及应对策略H3C等级保护解决方案H3C等级保护安全产品简介H3C安全等保保护实践,2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布信息安全等级保护管理办法(公字【2007】43号文),在全社会范围内(包括国家单位、企业单位、行业等)推行“信息安全等级保护”政策。 推行“信息安全等级保护”政策意义: (一)在国民经济和社会信息化发展过程中,提高信息安全保障能力和水平。 (二)调动国家、法人、其他组织、公民安全防
2、护积极性。,通俗理解为 “谁主管、谁负责、谁运营、谁负责” “管好自己的一亩三分地,保家卫国”,信息安全等级保护背景,指导监管部门:国家等保工作 开展、推进、指导。,技术支撑部门:国家等保标准制定、修订、培训、技术指导以及全国测评单位管理。,国家测评机构,行业测评机构,地方测评机构,信息安全等级保护管理组织,等级保护指导政策中华人民共和国计算机信息系统安全保护条例(国务院147号令)国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)信息安全等级保护工作的实施意见(公通字200466号)信息安全技术 信息系统安全等级保护实施指南GB/T 25058-2010信息安全等级保护
3、管理办法(公通字200743号)等级保护工作标准信息安全技术 信息系统安全等级保护基本要求GB/T 22239-2008信息安全技术 信息系统安全等级保护测评要求 MSTL-JBZ-05-005信息安全技术 信息系统安全等级保护测评过程指南GB/T 28449-2012,信息安全等级保护国家标准,1级,自主保护,监督保护,强制保护,专控保护,2级,3级,4级,5级,依据国家管理规范和技术标准进行保护,在国家监管部门指导下保护,受到国家监管部门监督、检查下保护,受到国家安全监管部门强制监督、检查下保护,国家指定专门部门专门监督、检查下保护,指导保护,信息安全等级划分监管要求,信息安全等级保护级别
4、,根据业务信息和系统服务遭到破坏或泄密后,对国家安全、社会秩序、公共利及公民、法人、其他组织的合法利益的危害程度来进行定级。,信息系统定级,安全保护能力,技术措施,管理措施,包含,具备,基本安全要求,满足,包含,满足,实现,等级保护要求模型,基本要求的描述模型,等级保护的建设模型,每一等级信息系统,等级保护的生命周期,信息系统等级保护实施生命周期内的主要活动,等级化风险评估,安全总体设计,安全建设规划,安全方案设计,安全产品采购,安全控制集成,测试与验收,管理机构的设置,管理制度的建设,人员配置和岗位培训,安全建设过程的管理,操作管理和控制,变更管理和控制,安全状态监控,事件处置和应急预案,安
5、全评估和持续改进,监督检查,系统调查和描述,子系统划分/分解,子系统边界确定,安全等级确定,定级结果文档化,定级阶段,规划设计阶段,安全实施阶段,安全运行管理阶段,物理安全,技术要求,管理要求,系统安全防护要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,通过安全产品可防护的领域,安全产品协助防护,信息系统安全保护技术现状分析,开展建设整改技术方案详细设计,等级测评,开展建设整改技术方案论证和评审,确定安全策略,开展建设整改技术方案总体设计,通信网络安全,物理安全,应用系统安全,区域边界安全,主机系统安全,备份和恢复,建设并落实
6、安全技术措施,信息系统安全技术建设整改工作流程,不符合标准要求,工程实施及验收,点击添加文本,点击添加文本,点击添加文本,点击添加文本,目录,等级保护概述等级保护条款解读及应对策略H3C等级保护解决方案H3C等级保护安全产品简介H3C安全等保保护实践,网络安全解读,要点:主要设备冗余空间、安全路径控制、整体网络带宽、带宽优先级、重要网段部署,要点:端口控制、防地址欺骗协议过滤、会话控制最大流量数及最大连接数,要点:审计记录审计报表审计记录的保护,要点:非授权设备接入非授权网络联出,要点:记录、报警、阻断,要点:记录、报警、阻断,要点:组合鉴别技术特权用户权限分离,在云计算环境中,除以上必要的保
7、护措施外,还需考虑云使用者利用云资源发起的网络攻击、云租户之间的隔离以及云租户与云服务商的审计独立,网络安全解读-1,15,网络安全解读-2,16,网络安全解读-3,17,网络安全解读-4,18,网络安全解读-5,19,主机安全解读,主机安全,身份鉴别,访问控制,安全审计,剩余信息保护,入侵防范,恶意代码防范,资源控制,要点:组合鉴别技术,要点:管理用户权限分离敏感标记的设置,要点:审计记录审计报表审计记录的保护,要点:空间释放信息清除,要点:记录、报警、阻断,要点:记录、报警、阻断与网络恶意代码库分离,要点:监控重要服务器最小化服务检测告警,在云计算环境中,除以上必要的保护措施外,还需考虑不
8、同租户存储空间的隔离、对外提供API的访问控制、虚拟资源占用控制以及杀毒风暴的避免等措施,主机安全解读-1,21,主机安全解读-2,22,主机安全解读-3,23,主机安全解读-4,24,主机安全解读-5,25,应用安全,应用及数据安全,身份鉴别,访问控制,安全审计,剩余信息保护,通信完整性,通信保密性,防抵赖,软件容错,资源控制,要点,身份鉴别,访问控制,安全审计,剩余信息保护,通信完整性,通信保密性,防抵赖,软件容错,资源控制,组合鉴别技术,敏感标记的设置,审计报表及审计记录的保护,敏感信息清楚、存储空间释放,加密技术,整个报文及会话传输过程加密,原发证据的提供,出错校验、自动保护,资源分配
9、、优先级、最小化服务及检测报警,数据安全,要点,数据完整性,数据保密性,备份和回复,数据完整性,数据保密性,备份和恢复,数据存储、传输,完整性检测和恢复,数据存储、传输,加密保护,冗余、备份,应用安全解读-1,27,应用安全解读-2,28,应用安全解读-3,29,应用安全解读-4,30,应用安全解读-5,31,数据安全解读-1,32,数据安全解读-2,33,点击添加文本,点击添加文本,点击添加文本,点击添加文本,目录,等级保护概述等级保护条款解读及应对策略H3C等级保护解决方案H3C等级保护安全产品简介H3C安全等保保护实践,H3C在等级保护建设过程中能够参与的工作,安全控制,过程方法,确定系
10、统等级,安全规划,设计实施,运行/维护,确定安全需求,设计安全方案,安全建设,安全测评,运行监控,维护响应,特殊需求,等级需求,基本要求,产品使用,选型,系统监控,测评准则,流程方法,监控流程,应急预案,应急响应,Plan,Do,Check,Action,等保建设过程:基于PDCA、遵从公安部信息安全等级保护规范!,应急响应,评估咨询,方案设计,周期性检测,H3C SecCare安全服务体系,安全咨询以ISO 17799/27001、GB/T 17859等级保护规范为基础,以安全最佳实践为模板,提供一种切实可行的安全建设的思路。风险评估以ISO 17799/27001、GB/T 17859等级
11、保护规范为标准,遵循GB/T 20984-2007信息安全风险评估规范,对信息安全建设现状进行评价。,安全培训提供针对CIO/信息主管、主要工程师和一般用户的不同的培训课程,全面提高安全意识和技术能力。应急响应对信息系统出现的紧急安全事件进行响应,包括电话支持、远程支持以及现场支持等形式。,H3C等级保护安全方案解析罗盘,等级保护,安全管理,数据安全,网络安全,主机安全,应用安全,防DDOS设备,防火墙,VFW,IPS,堡垒机,准入控制系统,管理责任,执行责任,检查责任,数据泄露,数据篡改,数据丢失,动态口令卡生物识别系统,防火墙,操作系统加固产品,防病毒服务器,SOC,网页防篡改产品,WAF
12、,加密机,网闸,堡垒机,ACG产品,制度、文件、记录,岗位设置,安全建设,安全运维,数据库审计,访问控制云租户隔离,网络攻击云资源滥用,安全审计云环境独立审计,结构安全、访问控制、审计边界防护、入侵防护恶意代码防护、设备防护,身份鉴别、访问控制、审计入侵防护、剩余信息保护恶意代码防护、资源控制,身份鉴别、访问控制、审计剩余信息保护、通信安全、防抵赖软件容错、资源控制,保密性、完整性可用性,操作系统保护服务器隔离,认证、审计云环境租户授权,入侵防护云环境病毒防范,认证、授权审计、防抵赖,通信加密敏感信息防护,云对外接口及服务安全,互联网出口,安全域之间,虚拟资源之间,网络核心,重要资源区,内网边
13、界,DMZ区,网络核心,网络防护区,网络核心,数据库接入区,重要主机,系统漏洞扫描,信息安全综合强审计系统,数据共享与交换系统,统一互联网出口安全防护设备,异地备份,应用漏洞扫描,安全数据交换系统,H3C安全等保,H3C安全等保,漏扫系统,堡垒机,防病毒服务器,云安全监测中心,安全管理中心,综合安全管理区,互联网接入区,WEB服务器,公共服务数据库,ISP1,ISP2,DMZ区,DNS,服务器区,多业务硬件安全资源池,办公网,H3C安全等保部署全景图(通用),行为管理系统,IPS,防火墙,链路负载均衡,WEB应用防火墙,服务器负载均衡,数据库审计,入侵防御(检测)系统,防火墙,网页防篡改系统,
14、桌面安全管理EAD,CA,H3C安全管理平台功能架构,大安全管理平台全景风险展示及告警,多维度关联分析,基于安全事件、行为异常、安全评估情况,结合业务建模,进行业务风险评估、直观呈现行为异常事件关联分析和呈现、快速感知APT等未知威胁并采取行动,全面的合规评估分析,41,资产风险,安全域风险,风险评级,矩阵分析,风险趋势,网络设备配置,主机配置,数据库配置,中间件配置,应用配置,安全设备配置,安全通告,攻击预警,漏洞预警,病毒预警,影响性分析,配置核查,风险评估,威胁预警,最全面的合规评估分析矩阵,H3C 大安全实现面向业务的端到端安全保障,服务器,客户机,桌面安全,应用安全,技术平面,产品集
15、成,智能安全渗透网络,端到端安全保障,解决方案,L2L7层深度安全技术,安全产品与网络产品的集成,集成了网络技术的安全产品,集成了安全技术的网络产品,数据中心保护解决方案,内网控制解决方案,边界防护解决方案,远程安全接入解决方案,管理平面,智能管理,统一基础安全管理,统一用户认证与授权,统一威胁与策略管理,OAA开放应用架构,CHECK,CHECK,存储系统,数据安全,系统安全,应用安全,用户认证,补丁管理,病毒库管理,用户管理,在线备份,安全存储,异地容灾,行为监管解决方案,H3C为用户提供端到端的安全防护,43,点击添加文本,点击添加文本,点击添加文本,点击添加文本,目录,等级保护概述等级
16、保护条款解读及应对策略H3C等级保护解决方案H3C等级保护安全产品简介H3C安全等保保护实践,H3C安全产品全家福,安,全,管,理,网,络,层,安,全,M9006,M9010,M9014,安全管理中心,云安全监测中心,终端安全管理,漏洞扫描,ACG1000系列,SecBlade ACG,ACG8800-S3,L5000系列,Secblade ADE/LB,L1000系列,W2000系列,网页防篡改产品系列,IPS产品系列,应用控制产品系列,负载均衡产品系列,WAF产品系列,W1000系列,堡垒机产品系列,D2000系列,A2000系列,数据库审计产品系列,F100系列,U200系列,F1000
17、系列,SecBlade FW II/Lite/III/IV,F5000系列,F100-X-G系列,F1000-X-G系列,U200-CX系列,F10X0系列,F50X0系列,vFW1000,防火墙/VPN产品系列,NGFW产品系列,SecBlade NGFW,vLB1000,NFV产品系列,应,用,层,安,全,M9000多业务网关产品系列,Cache产品系列,华三天机安全一体化交付平台,产品1:华三天机全球首款企业安全一体化交付平台,安全业务单元,安全检测单元,服务,安全管理单元,政府,教育,医疗,电力,金融,天机,在天机聚安全评风险施管控,成就共享全球10万多台防火墙成熟应用案例入围中国移动
18、、中国电信、国家电力、财政部、国税总局和中央直属机关等数十个选型应用于:中国移动的IMS核心网、70的中央部委、8个金字号工程国干网、百胜餐饮、平安保险3000个点,产品特色强安全+强网络特性融合,组网能力强,选型入围的行业最多产品系列最全,覆盖10M-160G性能需求,提供业界160G防火墙性能最高。功能扩展能力强,SSL VPN、流量监控、防病毒等硬件模块,产品2:防火墙/VPN系列产品,采用控制、业务、数据相分离的全分布式架构,独立的硬件交换引擎,支撑高性能安全业务无阻塞处理及转发支持SCF(安全集群系统),支持多框集群和异构集群,实现灵活管理和弹性扩展支持智能分流(IFF)。部署多业务
19、插卡后,流量自动在多个业务板卡内负载分担从而实现分布式处理支持安全ONE平台(SOP)。采用创新的基于容器的虚拟化技术实现了真正意义上的虚拟防火墙,H3C安全旗舰:M9000多业务安全网关,领先的业务处理能力 NGFW板卡,NGFW-FW,吞吐量,并发连接数,每秒新建连接,40G,2400万,40万,NGFW-LB,吞吐量(L4),吞吐量(L7),并发连接数,每秒新建连接,20G,10G,1200万,30万,NGFW-流控,吞吐量,并发连接数,每秒新建连接,10G,1200万,20万,大规模策略访问控制,多样化VPN接入,多链路智能调度,全面流量分析,B,Y,OD安全部署,高性能DDoS防护,
20、高性能入侵防御,服务器应用加速,精细化应用管控,细粒度上网审计,大容量N,A,T,专业病毒防护,虚机扩容动态均衡,云计算虚拟化安全,全网络日志联动,产品特色业界唯一集成专业防病毒的IPS产品专业漏洞和攻防研究团队,提供零日攻击防范创新的多核技术,提供线速性能保证多重高可靠性设计,永远不会成为业务故障点通过微软MAPP、CVE等国际权威认证,成就共享H3C IPS持续保持市场第一品牌成功应用于工商银行总行北、南两大数据中心,工行IPS独家供应商奥运期间为17家证券/基金等金融机构提供安全保障服务于全国70以上的省电力公司(湖南电力 数十台千兆IPS,承建国内最大的千兆IPS网络),产品3:下一代
21、入侵防御(NIPS)系列产品,SecPath T1000系列,SecPath T5000系列,SecPath T9000系列,产品特色基于最新的64位多核高性能处理器,实现灵活一体化DPI深度安全。基于全新集群技术及1:N虚拟化技术的安全资源池。多种高性能VPN,无缝对接IOS、Android,结合H3C BYOD方案,移动办公一触即得!全面支持SDN Overlay网络,改变复杂部署模式,用软件量身定制的安全即服务(SAAS)!,成就共享成功应用于中国农行、央视国际、百度、中航信、中石化、贵州高法、浙江电信、四川电信、安徽电信、江苏移动等成功应用于上海银联互联网系统,保护每一笔网上交易数据,
22、产品4:下一代防火墙(NGFW)系列产品,SecPath F1000系列,SecPath F5000系列,SecBlade NGFW插卡系列,下一代防火墙(NGFW)系列产品,F1000系列,F5000系列,中端款型: F1020/30/50/60/70/80存储扩展: 高速大容量硬盘。2*500G(F1070/1080)性能覆盖:1.5G10G,最高1000万级并发,虚拟化能力: 8:1虚拟化集群(当前实现2:1),序列款型:F5020、F5040性能覆盖:20G40G,最高3000万并发,万兆深度安全虚拟化能力:8:1虚拟化集群(当前实现2:1),安全守望者(Security Watchm
23、en),基于多因素的安全管控全新三态合一威胁感知,策略智能下发智能策略调优,服务器负载均衡基于应用选路技术,N:1虚拟化1:N虚拟化,安全智能策略导航,安全威胁全息解构,虚拟业务全景支撑,全业务感知与调度,产品特色全新一代应用控制网关,全方位上网行为管理产品。支持包括微信认证在内的多种认证方式,真正的基于用户的应用审计和管控!提供细粒度的网络应用审计,多维度组合定制报表!提供创新的微信推广方案,用户只需关注企业公众号后简单操作即可获得上网权限!覆盖10M5G带宽出口场景,成就共享产品成熟稳定、性能突出,入围国税总局、中央直属机关等选型近100所教育用户(包括近十所211、985类高校),北京航
24、天航空大学、中央党校、中国外交部、国家自然基金委员会、国家海事局、央视国际、中国一重等,产品5: ACG应用控制系列产品,SecPath ACG1000系列,SecPath ACG8800系列,SecBlade ACG系列,产品特色多核CPU处理架构。高性能,易扩展集成了四层、七层以及链路等各种负载均衡功能完善的网络及路由协议支持,满足任意组网最全面的业务深度应用健康检测高安全防护能力,保护服务器免受攻击,成就共享连续多年入围中国移动、中国电信负载均衡设备集采工商银行、财政部、国税总局、国家电力、中航信选型入围规模应用于公安部、新闻出版署、国家图书馆、中石化、北京大学、国家质监总局、华润集团、
25、北京国税等,产品6: LB负载均衡/应用交付系列产品,SecPath L1000系列,SecPath L5000系列,SecBlade LB/ADE系列,产品特色基于多点特征检测技术,能解析多种WEB攻击方式,从根源上避免绕过及穿透攻击;创新的黑名单、白名单双引擎检测技术,各种复杂攻击无所遁形;访问集中度和HTTP协议细粒度检测算法,有效应对了应用层CC攻击对业务的冲击高安全防护能力,,成就共享成功应用于大连市政务云计算中心、浙江省电子口岸公司跨境电子商务云平台、中信银行、山东邮政、江西电信、南开大学、天津大学、山东经贸学院、复旦附中、新兴际华集团(世界500强)等、,产品7: WEB应用防火
26、墙系列产品,产品特色采用了专用的64位多核高性能处理器和高速存储器;支持将目标资产的账号密码交由运维审计系统进行集中托管;运维审计系统的审计分成图形、字符、应用、文件四种审计类型;提供丰富的报表,包括基于应用和基于网流的分析报表等;,成就共享成功应用于中信银行、山东邮政、天津大学、福建健康之路、杭州公安局、江苏广电等,产品8:运维审计系列产品,产品特色高性能引擎,保证审计准确性和效率;数据库自动发现功能;内置30多种极具价值的报表,同时支持20多个维度的自定义报表,支持报表自动生成和发送;国内领先的支持IPV6环境数据库审计;支持超长最大64K SQL语句,成就共享成功应用于江苏广电、贵阳国土
27、资源局、沈阳铁路局、厦门市教育局等,产品9:数据库审计系列产品,产品10:网页防篡改系列产品,成就共享杭州华数传媒中国移动、福州电信江苏省国税、深圳测评中心、甘肃省审计厅,产品特色提供文件驱动防篡改技术、WEB核心内嵌和实时触发机制结合,保护文件安全;支持防攻击、防篡改功能模块;支持即时内容恢复与实时动态攻击防护;支持WEB服务器可用性监测,全面保护各类网页和网站数据安全;CPU,内存占用资小于3%;,产品特色WINDOWS系统应用程序,简单易用,系统资源占用极少;强大的扫描引擎,支持常见网站编程语言、数据库及web服务器,支持第三方插件扩展;支持数据库授权和非授权扫描;支持对主流系统、中间件
28、、网络设备进行扫描;支持渗透测试,一键验证漏洞;三权分立管理,防止权限滥用;内置直观图形报表,并对漏洞有详细描述和加固 建议;,产品11: X-Scan 漏洞扫描系统,成就共享教育部、水利部水利信息中心、浙江省国家税务局、江苏省统计局、广西省交通厅、浙商银行等,产品特色集成分布式扫描引擎,精确快速发现网站存在的漏洞、风险;实时监控网站可用性、篡改、挂马和敏感词;分级、分角色管理,集中监控各级网站风险级别和整改进度;多视角报表,降低网站维护难度,提高风险防御能力;适合大屏展示的友好界面;根据网站规模灵活扩展;,产品12:云安全监测中心产品(软件),成就共享江西省工信委、河南省交通运输厅、湖北省统
29、计局、江苏移动、湖南移动、天津移动、四川移动等,产品特色整网安全设备统一管理,对全网范围内的安全事件进行集中的关联分析;整网网络与安全联动,实现主动式安全防御;内置丰富的应用流量分析报表和安全威胁报表;,产品13:安全管理中心产品(SSM),成就共享国内安全管理中心第一集团安全各解决方案“大脑”核心,入围工行、中央直属机关等选型服务超过50%的省电力公司,并应用于新华社国际网、国家电子政务网、中石化ERP、中央党校、中国一重、国家金融交易平台等,点击添加文本,点击添加文本,点击添加文本,点击添加文本,目录,等级保护概述等级保护条款解读及应对策略H3C等级保护解决方案H3C等级保护安全产品简介H
30、3C安全等保保护实践,国内第一个政务云建设和运维,云计算安全规范还不够完善 全程的等保安全建设包括:定级、备案、差距分析、安全整改、安全测评 系统建设项目验收要求尽快进行等级保护安全建设,时间紧、任务重,业务挑战,等级保护安全建设与项目建设同步进行 在定级的基础上进行详尽的差距分析和安全评估,准确定位系统安全需求 掌握安全需求基础上从管理和技术两个方面制定安全建设方案,并组织相关专家进行评审,确保安全建设充分且有效,解决方案,遵照计划顺利完成等保安全建设各阶段工作,顺利通过测评满足了合规性要求,提升了整体安全保护能力,推动了整个项目验收进程同步规划、同步建设,保证质量和安全同时节约了资金,客户
31、收益,XX省政务云等级保护建设,实践:XX电子政务云安全需求,用户侧安全:1)桌面安全:病毒、钓鱼、盗号木马;数据泄露2)帐号安全:认证USB Key或密码防护,应用安全 &数据泄露安全:1)应用层攻击:是否有安全漏洞导致应用层攻击?2)数据库安全隔离、容灾备份、信息泄露防护3)多用户认证、权限控制、单点登录、密钥管理4)系统安全日志审计,中间件平台安全:1)平台多用户之间的数据库安全隔离2)中间件软件平台的漏洞安全,开发环境API安全?,基础设施安全:1)网络安全:FW、ACL;DOS/DDOS攻击、VPN接入安全;2)虚拟化:虚拟化层安全,VM虚拟机之间的安全控制、流量监控3)服务器:Ho
32、st-level的OS安全、补丁管理,负载均衡、防病毒4)存储:数据加密存储,容灾备份;5)安全日志管理、安全事件报表分析,internet,传输安全:1)数据访问加密,VPN或SSL加密,实践:XX电子政务云部署,S12500-x,S12500-x,LB,Leaf,S6800,Leaf,VxLAN Network,服务器,FW,Router,LB,FW,Router,DDOS流量清洗,WAN,阿里公有云,CSM云管理平台,WEB应用及OS云安全扫描服务,VSwitch层VM访问控制策略,交换机网络安全控制策略,云安全服务之:云防火墙虚拟防火墙,安全缓冲区域间策略,云安全服务之:云负载均衡,云安全服务之:应用系统代码安全分析,云安全服务之 业务自动化部署及WEB扫描服务,云安全服务之:流量清洗,VM虚拟机病毒防护云服务,应用系统代码安全分析服务,VM-VM 之间的内部流量交换安全防护服务(VMSG),Leaf,VPC 业务模型下的VFW/VLB 服务每个租户有自身的VFW/VLB虚拟机安全网关,
