需求與挑戰(zhàn)

         國(guó)家政策：2018年6月27日，公安部會(huì)同中央網(wǎng)信辦、國(guó)家保密局、國(guó)家密碼管理局起草發(fā)布《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見稿）》（簡(jiǎn)稱“《等保條例》”）。作為《網(wǎng)絡(luò)安全法》的重要配套法規(guī)，“等保條例”為等保建設(shè)建設(shè)提出了更加具體、操作性也更強(qiáng)的要求，為開展等級(jí)保護(hù)工作提供了重要的法律支撐。

等保2.0解讀：

        網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求之整體框架——

技術(shù)框架——

管理框架——

等保2.0三級(jí)通用要求解讀：

等保2.0解決方案

安全通用要求：技術(shù)方案總體框架

（1）安全物理環(huán)境

• 物理訪問控制

機(jī)房出入口應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員

• 防盜竊和防破壞

應(yīng)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)

• 防火

機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情，自動(dòng)報(bào)警，并自動(dòng)滅火，

• 溫濕度控制

應(yīng)設(shè)置溫濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)，

• 電力供應(yīng)

應(yīng)提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情況下的正常運(yùn)行要求。

應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電

（2）安全通信網(wǎng)絡(luò)

• 選型合理

保證各個(gè)部分的路由器、交換機(jī)、防火墻等設(shè)備業(yè)務(wù)處理能力和各個(gè)部分網(wǎng)絡(luò)帶寬滿足業(yè)務(wù)高峰期需要；

• 分區(qū)分域（①所用設(shè)備）

劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段；

• 加密通信（②所用設(shè)備）

采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性及保密性

• 冗余架構(gòu)

提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余。

• 可信驗(yàn)證：

基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)，應(yīng)用關(guān)鍵點(diǎn)動(dòng)態(tài)驗(yàn)證，可報(bào)警、可審計(jì)。

（3）安全區(qū)域邊界

• 訪問控制（①所用設(shè)備）

跨邊界、非授權(quán)設(shè)備接入、非授權(quán)用戶外聯(lián)、無線設(shè)備接入、聯(lián)接行為檢查、應(yīng)用協(xié)議和內(nèi)容檢查，優(yōu)化訪問控制規(guī)則。

• 入侵防范：（②所用設(shè)備）

內(nèi)/外部發(fā)起的攻擊，對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，未知的新型網(wǎng)絡(luò)攻擊；

• 惡意代碼和垃圾郵件（③所用設(shè)備）

在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì) 惡意代碼/垃圾郵件,進(jìn)行檢測(cè)和清除，并維護(hù)其升級(jí)和更新；

• 安全審計(jì)（④所用設(shè)備）

覆蓋到用戶，審計(jì)用戶行為，重要安全事件，記錄需備份，重要內(nèi)網(wǎng)用戶、遠(yuǎn)程訪問用戶、訪問互聯(lián)網(wǎng)用戶行為審計(jì)和數(shù)據(jù)分析；

• 可信驗(yàn)證：

基于可信根對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)，應(yīng)用關(guān)鍵點(diǎn)動(dòng)態(tài)驗(yàn)證，可報(bào)警、可審計(jì)

（4）安全計(jì)算環(huán)境

• 身份鑒別（①所用設(shè)備）

應(yīng)對(duì)登錄的用戶進(jìn)行身份唯一性鑒別；遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；采用口令、密碼技術(shù)、生物技術(shù)等組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別

• 訪問控制

用戶權(quán)限管理、管理用戶權(quán)限最小化（應(yīng)用自身實(shí)現(xiàn)）

• 安全審計(jì)（②所用設(shè)備）

應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的訪問

• 入侵防范（③所用設(shè)備）

檢測(cè)入侵行為、非使用端口關(guān)閉、管理終端限制、發(fā)現(xiàn)已知漏洞（滲透測(cè)試）

• 惡意代碼防范（④所用設(shè)備）

應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為，并將其有效阻斷。

• 可信驗(yàn)證

可基于可信根對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)，應(yīng)用關(guān)鍵點(diǎn)動(dòng)態(tài)驗(yàn)證，可報(bào)警、可審計(jì)

• 數(shù)據(jù)完整性（⑤所用設(shè)備）

采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲(chǔ)過程中的完整性、防篡改

• 數(shù)據(jù)保密性（⑥所用設(shè)備）

采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲(chǔ)過程中的保密性

• 數(shù)據(jù)備份恢復(fù)

數(shù)據(jù)本地備份和恢復(fù)、提供異地實(shí)時(shí)備份功能、數(shù)據(jù)處理系統(tǒng)熱冗余（災(zāi)備或多活數(shù)據(jù)中心）

• 剩余信息保護(hù)

鑒別信息、敏感信息緩存清除（應(yīng)用自身實(shí)現(xiàn)）

• 個(gè)人信息保護(hù)

個(gè)人信息最小采集存儲(chǔ)原則、訪問控制（應(yīng)用自身實(shí)現(xiàn)）           

（5）安全管理中心

• 系統(tǒng)管理（①所用設(shè)備）

應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別、應(yīng)通過系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理

• 審計(jì)管理（②所用設(shè)備）

應(yīng)對(duì)安全審計(jì)員進(jìn)行身份鑒別、應(yīng)通過安全審計(jì)員對(duì)審計(jì)記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理

• 集中管控（③所用設(shè)備）

特定管理分區(qū)、統(tǒng)一網(wǎng)管和檢測(cè)、日志采集和集中分析、安全事件識(shí)別告警和分析（態(tài)勢(shì)感知）、安全策略集中管理

• 安全管理（④所用設(shè)備）

應(yīng)對(duì)安全管理員進(jìn)行身份鑒別、應(yīng)通過安全審計(jì)員對(duì)審計(jì)記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理

通用產(chǎn)品清單

注意：

1. 防火墻可以通過license控制IPS功能，因此可單獨(dú)配置硬件IPS設(shè)備或開通防火墻IPS功能滿足該要求
2. 防火墻或者IPS設(shè)備上可以通過license控制AV功能，任一設(shè)備開啟均可滿足要求

方案價(jià)值：

• 滿足合法合規(guī)要求，落實(shí)網(wǎng)絡(luò)安全保護(hù)義務(wù)，合理規(guī)避風(fēng)險(xiǎn)。
• 明確組織整體目標(biāo)，改變以往單點(diǎn)防御方式，讓安全建設(shè)更加體系化。
• 提高人員安全意識(shí)，樹立等級(jí)化防護(hù)思想，合理分配網(wǎng)絡(luò)安全投資
• 以等保為契機(jī)，加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，源于等保，不止于等保，滿足自身業(yè)務(wù)安全需求