<del id="1spl9"></del>
              <big id="1spl9"><em id="1spl9"></em></big>
            1. 計算機網絡系統安全等級保護V2.0安全服務購買套餐解決方案

              2021-11-12

              計算機網絡系統安全等級保護V2.0安全服務購買套餐解決方案

              一、 計算機網絡系統安全等級保護項目背景

              1.1計算機網絡系統安全等級保護管理背景

              當前全球網絡安全形勢嚴峻,網絡安全面臨著各種新的挑戰,網絡攻擊層出不窮,且攻擊來源、攻擊目的、攻擊方法以及攻擊規模都在發生著巨大的變化。與此同時,伴隨我國信息化發展進入新階段,云計算、大數據、移動辦公等新技術新應用已經十分成熟,并大規模應用,新技術是一把雙刃劍,在促進信息化發展的同時也帶來新的安全風險,原有安全防護體系的適應性和防護能力出現不足。

              為應對網絡安全面臨的全新形勢和挑戰,2014年2月,中央網絡安全和信息化領導小組成立,習近平總書記作為領導小組組長,指出“沒有網絡安全就沒有國家安全”、“網絡安全和信息化是一體之兩翼、驅動之雙輪,必須統一謀劃、統一部署、統一推進、統一實施”,確定了國家網絡安全和信息化發展的方向。與此同時,我國網絡安全制度體系建設和組織機制建設也進入了快車道,隨著《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)的正式發布,將網絡安全工作提升到法律的高度,各單位在信息化建設過程中,必須同步考慮網絡安全建設。

              網絡安全等級保護制度是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設健康發展的一項基本制度。自從2007年《信息安全等級保護管理辦法》發布以來,在公安部的監管下,我國開始全面推行信息安全等級保護制度,各單位按照等級保護制度的要求開展定級備案、建設整改和等級測評工作,等級保護制度開展對促進我國信息安全的發展起到重要的推動作用。

              隨著信息化的快速發展,新技術新應用逐漸成為各單位信息化建設的重要基礎或重要組成,同時,新的安全威脅層出不窮,原有的安全保障制度體系已經遠不能解決信息安全工作面臨的新風險新問題。2016年11月7日,《中華人民共和國網絡安全法》發布,于2017年6月1日起正式施行,這是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律,是我國網絡空間法治建設的重要里程碑,網絡安全法進一步明確了信息化發展與網絡安全并重的原則,指出“國家實行網絡安全等級保護制度”,“對關鍵信息基礎設施在網絡安全等級保護制度的基礎上,實行重點保護”,并“保證安全技術措施同步規劃、同步建設、同步使用”。隨著《網絡安全法》的發布施行,國家網絡安全保障制度和標準體系也在逐步完善,2018年6月,由公安部牽頭制定的《網絡安全等級保護條例》發布征求意見稿,與此同時,等級保護核心系列標準也基本修訂完成,此外,針對關鍵信息基礎設施的相關制度和標準也在加緊制定中。

              可以說,為適應信息化技術的快速發展和新的信息安全形勢,我國網絡安全等級保護制度體系已經發生了巨大的變化,同時,也對各單位的信息安全保障工作也提出了新的要求。在系統建設過程中,考慮到系統承載業務的重要性和即將面臨的安全風險,按照等級保護制度的相關要求,需同步規劃安全保障體系,并在系統建設過程中,落實安全保障技術措施和管理措施。

              1.2計算機網絡系統安全等級保護2.0與1.0對比分析

              2019年《信息安全技術網絡安全等級保護基本要求》(GB/T 22239-2019)正式實施。以下分析《GB/T22239-2019》相較《GB/T22239-2008》發生的主要變化。

              1.2.1總體結構的變化

              1.2.1.1主要變化內容

              《GB/T22239-2019》相較于《GB/T22239-2008》,無論是在總體結構方面還是在細節內容方面均發生了變化。在總體結構方面的主要變化為:

              1)為適應網絡安全法,配合落實網絡安全等級保護制度,標準的名稱由原來的《信息系統安全等級保護基本要求》改為《網絡安全等級保護基本要求》。

              2)等級保護對象由原來的信息系統調整為基礎信息網絡、信息系統(含采用移動互聯技術的系統)、云計算平臺/系統、大數據應用/平臺/資源、物聯網和工業控制系統等。

              3)將原來各個級別的安全要求分為安全通用要求和安全擴展要求,安全擴展要求包括云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求以及工業控制系統安全擴展要求。安全通用要求是不管等級保護對象形態如何必須滿足的要求;針對云計算、移動互聯、物聯網和工業控制系統提出的特殊要求稱為安全擴展要求。

              4)原來基本要求中各級技術要求的“物理安全”、“網絡安全”、“主機安全”、“應用安全”和“數據安全和備份與恢復”修訂為“安全物理環境”、“安全通信網絡”、“安全區域邊界”、“安全計算環境”和“安全管理中心”;原各級管理要求的“安全管理制度”、“安全管理機構”、“人員安全管理”、“系統建設管理”和“系統運維管理,修訂為“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”和“安全運維管理”。

              5)云計算安全擴展要求針對云計算環境的特點提出。主要內容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云計算環境管理”和“云服務商選擇”等。

              6)移動互聯安全擴展要求針對移動互聯的特點提出。主要內容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購” 和“移動應用軟件開發”等。

              7)物聯網安全擴展要求針對物聯網的特點提出。主要內容包括“感知節點的物理防護”、“感知節點設備安全”、“網關節點設備安全”、“感知節點的管理” 和“數據融合處理”等。

              8)工業控制系統安全擴展要求針對工業控制系統的特點提出。主要內容包括“室外控制設備防護”、“工業控制系統網絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等。

              9)取消了原來安全控制點的S、A、G標注,增加附錄A“關于安全通用要求和安全擴展要求的選擇和使用描述等級保護對象的定級結果和安全要求之間的關系,說明如何根據定級的S、A結果選擇安全要求的相關條款,簡化了標準正文部分的內容。

              10)增加附錄C描述等級保護安全框架和關鍵技術、附錄D描述云計算應用場景、附錄E描述移動互聯應用場景、附錄F描述物聯網應用場景、附錄G描述工業控制系統應用場景、附錄H描述大數據應用場景。

              1.2.1.2變化的意義和作用

              《GB/T22239-2019》采用安全通用要求和安全擴展要求的劃分使得標準的使用更加具有靈活性和針對性。不同等級保護對象由于采用的信息技術不同,所采用的保護措施也會不同。例如,傳統的信息系統和云計算平臺的保護措施有差異,云計算平臺和工業控制系統的保護措施也有差異。為了體現不同對象的保護差異,《GB/T22239-2019》將安全要求劃分為安全通用要求和安全擴展要求。

              安全通用要求針對共性化保護需求提出,無論等級保護對象以何種形式出現,需要根據安全保護等級實現相應級別的安全通用要求。安全擴展要求針對個性化保護需求提出,等級保護對象需要根據安全保護等級、使用的特定技術或特定的應用場景實現安全擴展要求。等級保護對象的安全保護措施需要同時實現安全通用要求和安全擴展要求,從而更加有效地保護等級保護對象。例如,傳統的信息系統可能只需要采用安全通用要求提出的保護措施即可,而云計算平臺不僅需要采用安全通用要求提出的保護措施,還要針對云計算平臺的技術特點采用云計算安全擴展要求提出的保護措施; 工業控制系統不僅需要采用安全通用要求提出的保護措施,還要針對工業控制系統的技術特點采用工業 控制系統安全擴展要求提出的保護措施。

              1.2.2.安全通用要求的內容

              1.2.2.1安全通用要求基本分類

              《GB/T22239-2019》規定了第一級到第四級等級保護對象的安全要求,每個級別的安全要求均由安全通用要求和安全擴展要求構成。例如,《GB/T22239-2019》提出的第三級安全要求基本結構為:

              8 第三級安全要求

              8.1 安全通用要求

              8.2 云計算安全擴展要求

              8.3 移動互聯安全擴展要求

              8.4 物聯網安全擴展要求

              8.5 工控制系統安全擴展要求

              安全通用要求細分為技術要求和管理要求。其中技術要求包括“安全物理環境”、“安全通信網絡”、“安全區域邊界”、“安全計算環境”和“安全管理中心”;管理要求包括“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”和“安全運維管理”。兩者合計10大類,如下圖所示。

                                                           

              安全通用要求基本分類

              1.2.2.2技術要求

              技術要求分類體現了從外部到內部的縱深防御思想。對等級保護對象的安全防護應考慮從通信網絡到區域邊界再到計算環境的從外到內的整體防護,同時考慮對其所處的物理環境的安全防護。對級別較高的等級保護對象還需要考慮對分布在整個系統中的安全功能或安全組件的集中技術管理手段。

              1)安全物理環境

              安全通用要求中的安全物理環境部分是針對物理機房提出的安全控制要求。主要對象為物理環境、物理設備和物理設施等;涉及的安全控制點包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護。

              *下圖中數字表示每個控制點下各個級別的要求項數量,級別越高,要求項越多。后續表中的數字均為此含義。

              序號

              控制點

              一級

              二級

              三級

              四級

              1

              物理位置的選擇

              0

              2

              2

              2

              2

              物理訪問控制

              1

              1

              1

              2

              3

              防盜竊和防破壞

              1

              2

              3

              3

              4

              防雷擊

              1

              1

              2

              2

              5

              防火

              1

              2

              3

              3

              6

              防水和防潮

              1

              2

              3

              3

              7

              防靜電

              0

              1

              2

              2

              8

              溫濕度控制

              1

              1

              1

              1

              9

              電力供應

              1

              2

              3

              4

              10

              電磁防護

              0

              1

              2

              2

              表1安全物理環境控制點/要求項的逐級變化

              承載高級別系統的機房相對承載低級別系統的機房強化了物理訪問控制、電力供應和電磁防護等方面的要求。例如,四級相比三級增設了“重要區域應配置第二道電子門禁系統”、“應提供應急供電設施”、“應對關鍵區域實施電磁屏蔽”等要求。

              2)安全通信網絡

              安全通用要求中的安全通信網絡部分是針對通信網絡提出的安全控制要求。主要對象為廣域網、城域網和局域網等;涉及的安全控制點包括網絡架構、通信傳輸和可信驗證。

              序號

              控制點

              一級

              二級

              三級

              四級

              1

              網絡架構

              0

              2

              5

              6

              2

              通信傳輸

              1

              1

              2

              4

              3

              可信認證

              1

              1

              1

              1

              表2安全通信網絡控制點/要求項的逐級變化

              高級別系統的通信網絡相對低級別系統的通信網絡強化了優先帶寬分配、設備接入認證、通信設備認證等方面的要求。例如,四級相比三級增設了“應可按照業務服務的重要程度分配帶寬,優先保障重要業務”,“應采用可信驗證機制對接入網絡中的設備進行可信驗證,保證接入網絡的設備真實可信“應在通信前基于密碼技術對通信雙方進行驗證或認證”等要求。

              3)安全區域邊界

              安全通用要求中的安全區域邊界部分是針對網絡邊界提出的安全控制要求。主要對象為系統邊界和區域邊界等;涉及的安全控制點包括邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計和可信驗證。

              序號

              控制點

              一級

              二級

              三級

              四級

              1

              邊界防護

              1

              1

              4

              5

              2

              訪問控制

              3

              4

              5

              5

              3

              入侵防范

              0

              1

              4

              4

              4

              惡意代碼防范

              0

              1

              2

              2

              5

              安全審計

              0

              3

              4

              3

              6

              可信驗證

              1

              1

              1

              1

              表3安全區域邊界控制點/要求項的逐級變化

              高級別系統的網絡邊界相對低級別系統的網絡邊界強化了高強度隔離和非法接入阻斷等方面的要求。例如,四級相比三級增設了“應在網絡邊界通過通信協議轉換或通信協議隔離等方式進行數據交換”,“應能夠在發現非授權設備私自聯到內部網絡的行為或內部用戶非授權聯到外部網絡的行為時,對其進行有效阻斷”等要求。

              4) 安全計算環境

              安全通用要求中的安全計算環境部分是針對邊界內部提出的安全控制要求。主要對象為邊界內部的所有對象,包括網絡設備、安全設備、服務器設備、終端設備、應用系統、數據對象和其他設備等;涉及的安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份與恢復、剩余信息保護和個人信息保護。

              序號

              控制點

              一級

              二級

              三級

              四級

              1

              身份鑒別

              2

              3

              4

              4

              2

              訪問控制

              3

              4

              7

              7

              3

              安全審計

              0

              3

              4

              4

              4

              入侵防范

              2

              5

              6

              6

              5

              惡意代碼防范

              1

              1

              1

              1

              6

              可信驗證

              1

              1

              1

              1

              7

              數據完整性

              1

              1

              2

              3

              8

              數據保密性

              0

              0

              2

              2

              9

              數據備份與恢復

              1

              2

              3

              4

              10

              剩余信息保護

              0

              1

              2

              2

              11

              個人信息保護

              0

              2

              2

              2

              表4安全計算環境控制點/要求項的逐級變化

              高級別系統的計算環境相對低級別系統的計算環境強化了身份鑒別、訪問控制和程序完整性等方面的要求。例如,四級相比三級增設了“應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現”,“應對主體、客體設置安全標記,并依據安全標記和強制訪問控制規則確定主體對客體的訪問”,“應采用主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷”等要求。

              5)安全管理中心

              安全通用要求中的安全管理中心部分是針對整個系統提出的安全管理方面的技術控制要求,通過技術手段實現集中管理。涉及的安全控制點包括系統管理、審計管理、安全管理和集中管控。

              高級別系統的安全管理相對低級別系統的安全管理強化了采用技術手段進行集中管控等方面的要求。

              序號

              控制點

              一級

              二級

              三級

              四級

              1

              系統控制

              2

              2

              2

              2

              2

              審計控制

              2

              2

              2

              2

              3

              安全管理

              0

              2

              2

              2

              4

              集中控制

              0

              0

              6

              7

              表5安全管理中心控制點/要求項的逐級變化

              例如,三級相比二級增設了“應劃分出特定的管理區域,對分布在網絡中的安全設備或安全組件進行管控”,“應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測”,“應對分散在各個設備上的審計數據進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求”,“應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理”等要求。

              1.2.2.3管理要求

              管理要求分類體現了從要素到活動的綜合管理思想。安全管理需要的“機構”、“制度”和“人員”三要素缺一不可,同時還應對系統建設整改過程中和運行維護過程中的重要活動實施控制和管理。對級別較高的等級保護對象需要構建完備的安全管理體系。

              1)安全管理制度

              安全通用要求中的安全管理制度部分是針對整個管理制度體系提出的安全控制要求,涉及的安全控制點包括安全策略、管理制度、制定和發布以及評審和修訂。

              序號

              控制點

              一級

              二級

              三級

              四級

              1

              安全策略

              0

              1

              1

              1

              2

              管理制度

              1

              2

              3

              3

              3

              制定和發布

              0

              2

              2

              2

              4

              評審和修訂

              0

              1

              1

              1

              表6安全管理制度控制點/要求項的逐級變化

              2)安全管理機構

              安全通用要求中的安全管理機構部分是針對整個管理組織架構提出的安全控制要求,涉及的安全控制點包括崗位設置、人員配備、授權和審批、溝通和合作以及審核和檢查。

              序號

              控制點

              一級

              二級

              三級

              四級

              1

              崗位設置

              1

              2

              3

              3

              2

              人員配備

              1

              1

              2

              3

              3

              授權和審批

              1

              2

              3

              3

              4

              溝通和合作

              0

              3

              3

              3

              5

              審核和檢查

              0

              1

              3

              3

              表7安全管理機構控制點/要求項的逐級變化

              3)安全管理人員

              安全通用要求中的安全管理人員部分是針對人員管理模式提出的安全控制要求,涉及的安全控制點包括人員錄用、人員離崗、安全意識教育和培訓以及外部人員訪問管理。

              序號

              控制點

              一級

              二級

              三級

              四級

              1

              人員錄入

              1

              2

              3

              4

              2

              人員離崗

              1

              1

              2

              2

              3

              安全意識教育和培訓

              1

              1

              3

              3

              4

              外部人員訪問管理

              1

              3

              4

              5

              表8安全管理人員控制點/要求項的逐級變化

              4)安全建設管理

              安全通用要求中的安全建設管理部分是針對安全建設過程提出的安全控制要求,涉及的安全控制點包括定級和備案、安全方案設計、安全產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、等級測評和服務供應商管理。

              序號

              控制點

              一級

              二級

              三級

              四級

              1

              定級和備案

              1

              4

              4

              4

              2

              安全方案設計

              1

              3

              3

              3

              3

              安全產品采購和使用

              1

              2

              3

              4

              4

              自行軟件開發

              0

              2

              7

              7

              5

              外包軟件開發

              0

              2

              3

              3

              6

              工程實施

              1

              2

              3

              3

              7

              測試驗收

              1

              2

              2

              2

              8

              系統交付

              2

              3

              3

              3

              9

              等級測評

              0

              3

              3

              3

              10

              服務供應商管理

              2

              2

              3

              3

              表9安全建設管理控制點/要求項的逐級變化

              5)安全運維管理

              安全通用要求中的安全運維管理部分是針對安全運維過程括環境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理和外包運維管理。

              序號

              控制點

              一級

              二級

              三級

              四級

              1

              環境管理

              2

              3

              3

              4

              2

              資產管理

              0

              1

              3

              3

              3

              介質管理

              1

              2

              2

              2

              4

              設備維護管理

              1

              2

              4

              4

              5

              漏洞和風險管理

              1

              1

              2

              2

              6

              網絡和系統安全管理

              2

              5

              10

              10

              7

              惡意代碼防范管理

              2

              3

              2

              2

              8

              配置管理

              0

              1

              2

              2

              9

              密碼管理

              0

              2

              2

              3

              10

              變更管理

              0

              1

              3

              3

              11

              備份與恢復管理

              2

              3

              3

              3

              12

              安全事件處置

              2

              3

              4

              5

              13

              應急預案管理

              0

              2

              4

              5

              14

              外包運維管理

              0

              2

              4

              4

              表10安全運維管理控制點/要求項的逐級變化

              1.2.3.安全擴展要求的內容

              安全擴展要求是采用特定技術或特定應用場景下的等級保護對象需要增加實現的安全要求?!禛B/T22239-2019》提出的安全擴展要求包括云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求。

              1.2.3.1云計算安全擴展要求

              采用了云計算技術的信息系統通常稱為云計算平臺。云計算平臺由設施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件等組成。云計算平臺中通常有云服務商和云服務客戶/云租戶兩種角色。根據云服務商所提供服務的類型,云計算平臺有軟件即服務(SaaS)、平臺即服務(PaaS)、基礎設施即服務(IaaS)3種基本的云計算服務模式。在不同的服務模式中,云服務商和云服務客戶對資源擁有不同的控制范圍,控制范圍決定了安全責任的邊界。

              云計算安全擴展要求是針對云計算平臺提出的安全通用要求之外額外需要實現的安全要求。云計算安全擴展要求涉及的控制點包括基礎設施位置、網絡架構、網絡邊界的訪問控制、網絡邊界的入侵防范、網絡邊界的安全審計、集中管控、計算環境的身份鑒別、計算環境的訪問控制、計算環境的入侵防范、鏡像和快照保護、數據安全性、數據備份恢復、剩余信息保護、云服務商選擇、供應鏈管理和云計算環境管理

              序號

              控制點

              一級

              二級

              三級

              四級

              1

              基礎設施位置

              1

              1

              1

              1

              2

              網絡架構

              2

              3

              5

              8

              3

              網絡邊界的訪問控制

              1

              2

              2

              2

              4

              網絡邊界的入侵防范

              0

              3

              4

              4

              5

              網絡邊界的安全審計

              0

              2

              2

              2

              6

              集中管控

              0

              0

              4

              4

              7

              計算機環境的身份鑒別

              0

              0

              1

              1

              8

              計算機環境的訪問控制

              2

              2

              2

              2

              9

              計算機環境的入侵防范

              0

              0

              3

              3

              10

              鏡像和快照保護

              0

              2

              4

              4

              11

              數據安全性

              1

              3

              4

              4

              12

              數據備份恢復

              0

              2

              4

              4

              13

              剩余信息保護

              0

              2

              2

              2

              14

              云服務商選擇

              3

              4

              5

              5

              15

              供應鏈管理

              1

              2

              3

              3

              16

              云計算環境管理

              0

              1

              1

              1

              表11云計算安全擴展要求控制點/要求項的逐級變化

              1.2.3.2移動互聯安全擴展要求

              采用移動互聯技術的等級保護對象,其移動互聯部分通常由移動終端、移動應用和無線網絡3部分組成。移動終端通過無線通道連接無線接入設備接入有線網絡;無線接入網關通過訪問控制策略限制移動終端的訪問行為;后臺的移動終端管理系統(如果配置)負責對移動終端的管理,包括向客戶端軟件發送移動設備管理、移動應用管理和移動內容管理策略等。

              移動互聯安全擴展要求是針對移動終端、移動應用和無線網絡提出的特殊安全要求,它們與安全通用要求一起構成針對采用移動互聯技術的等級保護對象的完整安全要求。移動互聯安全擴展要求涉及的控制點包括無線接入點的物理位置、無線和有線網絡之間的邊界防護、無線和有線網絡之間的訪問控制、無線和有線網絡之間的入侵防范,移動終端管控、移動應用管控、移動應用軟件采購、移動應用軟件開發和配置管理。

              序號

              控制點

              一級

              二級

              三級

              四級

              1

              無線接入點的物理位置

              1

              1

              1

              1

              2

              無線和有線網絡之間的邊界防護

              1

              1

              1

              1

              3

              無線和有線網絡之間的訪問控制

              1

              1

              1

              1

              4

              無線和有線網絡之間的入侵防范

              0

              5

              6

              6

              5

              移動終端管控

              0

              0

              2

              3

              6

              移動應用管控

              1

              2

              3

              4

              7

              移動應用軟件采購

              1

              2

              2

              2

              8

              移動應用軟件開發

              0

              2

              2

              2

              9

              配置管理

              0

              0

              1

              1

              表12移動互聯安全擴展要求控制點/要求項的逐級變化

              1.2.3.3物聯網安全擴展要求

              物聯網從架構上通??煞譃?個邏輯層,即感知層、網絡傳輸層和處理應用層。其中感知層包括傳感器節點和傳感網網關節點或RFID標簽和RFID讀寫器,也包括感知設備與傳感網網關之間、RFID標簽與RFID讀寫器之間的短距離通信(通常為無線)部分;網絡傳輸層包括將感知數據遠距離傳輸到處理中心的網絡,如互聯網、移動網或幾種不同網絡的融合;處理應用層包括對感知數據進行存儲與智能處理的平臺,并對業務應用終端提供服務。對大型物聯網來說,處理應用層一般由云計算平臺和業務應用終端構成。

              對物聯網的安全防護應包括感知層、網絡傳輸層和處理應用層。由于網絡傳輸層和處理應用層通常由計算機設備構成,因此這兩部分按照安全通用要求提出的要求進行保護。物聯網安全擴展要求是針對感知層提出的特殊安全要求,它們與安全通用要求一起構成針對物聯網的完整安全要求。

              物聯網安全擴展要求涉及的控制點包括感知節點的物理防護、感知網的入侵防范、感知網的接入控制、感知節點設備安全、網關節點設備安全、抗數據重放、數據融合處理和感知節點的管理。

              序號

              控制點

              一級

              二級

              三級

              四級

              1

              感知節點的物理防護

              2

              2

              4

              4

              2

              感知網的入侵防范

              0

              2

              2

              2

              3

              感知網的接入控制

              1

              1

              1

              1

              4

              感知節點設備安全

              0

              0

              3

              3

              5

              網關節點設備安全

              0

              0

              4

              4

              6

              抗數據重放

              0

              0

              2

              2

              7

              數據融合處理

              0

              0

              1

              2

              8

              感知節點的管理

              1

              2

              3

              3

              表13物聯網安全擴展要求控制點/要求項的逐級變化

              1.2.3.4工業控制系統安全擴展要求

              工業控制系統通常是可用性要求較高的等級保護對象。工業控制系統是各種控制系統的總稱,典型的如數據采集與監視控制系統(SCADA)、集散控制系統(DCS)等。工業控制系統通常用于電力,水和污水處理,石油和天然氣,化工,交通運輸,制藥,紙漿和造紙,食品和飲料以及離散制造(如汽車、航空航天和耐用品)等行業。

              工業控制系統從上到下一般分為5個層級,依次為企業資源層,生產管理層、過程監控層、現場控制層和現場設備層,不同層級的實時性要求有所不同,工業控制系統的安全防護應包括各個層級。由于企業資源層、生產管理層和過程監控層通常由計算機設備構成,因此這些層級按照安全通用要求提出的要求進行保護。

              工業控制系統安全擴展要求是針對現場控制層和現場設備層提出的特殊安全要求,它們與安全通用要求一起構成針對工業控制系統的完整安全要求。工業控制系統安全擴展要求涉及的控制點包括室外控制設備防護、網絡架構、通信傳輸、訪問控制、撥號使用控制、無線使用控制、控制設備安全、產品采購和使用以及外包軟件開發。

              序號

              控制點

              一級

              二級

              三級

              四級

              1

              室外控制設備防護

              2

              2

              2

              2

              2

              網絡架構

              2

              3

              3

              3

              3

              通信傳輸

              0

              1

              1

              1

              4

              訪問控制

              1

              2

              2

              2

              5

              撥號使用控制

              0

              1

              2

              3

              6

              無線使用控制

              2

              2

              4

              4

              7

              控制設備安全

              2

              2

              5

              5

              8

              產品采購和使用

              0

              1

              1

              1

              9

              外包軟件開發

              0

              1

              1

              1

              表14工業控制系統安全擴展要求控制點/要求項的逐級變化

              二、計算機網絡系統等級保護安全產品廠家介紹

              奇安信科技集團股份有限公司(以下簡稱奇安信,股票代碼688561)成立于2014年,專注于網絡空間安全市場,為政府、企業用戶提供新一代企業級網絡安全產品和服務。憑借持續的研發創新和以實戰攻防為核心的安全能力,已發展成為國內領先的基于大數據、人工智能和安全運營技術的網絡安全供應商。同時,奇安信是北京2022年冬奧會和冬殘奧會官方網絡安全服務和殺毒軟件贊助商;此外,公司已在印度尼西亞、新加坡、加拿大、中國香港等國家和地區開展網絡安全業務。

              奇安信面向新型基礎設施建設、面向數字化業務,運用系統工程的方法論,結合“內生安全”思想,將新一代網絡安全框架作為頂層設計指導,以“數據驅動安全”為技術理念、以打造網絡安全顛覆性和非對稱性能力為目標、以“人+機器”協同運營為手段,創建了面向萬物互聯時代的網絡安全協同聯動防御體系。奇安信擁有完備的網絡安全產品和創新的網絡安全服務,完善的研發、采購、生產和銷售模式。針對云計算、大數據、物聯網、移動互聯網、工業互聯網和5G等新技術下產生的新業態、新業務和新場景,為政府與企業等用戶提供全面、有效的網絡安全解決方案。

              近年來奇安信以高投入研發下的技術創新為引領,特別針對云計算、大數據、移動互聯網、工業互聯網、物聯網等新技術運用下產生的新業態、新場景,為政府與企業等機構客戶提供全面有效的網絡安全解決方案,率先提出并成功實踐“數據驅動安全”“44333”“內生安全”等先進的安全理念,推出了“天狗”系列第三代安全引擎,零信任、“天眼”等創新的安全產品,并于2020年發布面向新基建的新一代網絡安全框架,此框架下的"十大工程五大任務",可以適用于各個應用場景,能指導不同的行業輸出符合其業務特點的網絡安全架構。

              奇安信重點涵蓋了網絡安全行業多個前沿領域,包括建設云和大數據安全防護與管理運營中心、物聯網安全防護與管理系統、工業互聯網安全服務中心、安全服務化項目、基于“零信任”的動態可信訪問控制平臺,以及網絡空間測繪與安全態勢感知平臺。其中,工業互聯網安全服務中心將構建全國性的三級工業互聯網安全服務中心體系,為4000家以上工業互聯網企業及工業關鍵基礎設施建立安全管理中心,提供工業安全防護、監測、安全托管服務;針對目前市場上云安全和大數據安全的有效防護產品和方案稀缺的現狀,奇安信的云和大數據安全防護與管理運營中心項目將通過構建能力平臺、產品體系和服務中心三部分,全面提升奇安信全方位安全防護的服務能力。

              三、計算機網絡系統等級保護所選安全產品介紹

              3.1下一代智慧防火墻(NSG3000-TE15P)

              硬件性能配置

              千兆以太網電接口≥4 個,千兆光口≥4 個,1個Console口,支持液晶屏;網絡層吞吐量≥3G,并發連接≥160萬,每秒新建連接數≥4萬,標準1U機箱;

              服  務

              含三年產品保修服務。

              部署模式

              產品支持路由、透明、交換以及混合模式接入,滿足復雜應用環境的接入需求。支持旁路模式;

              基礎組網

              *支持VTEP模式接入VxLAN網絡,并可作為VXLAN二層、三層網關實現VxLan網絡與傳統以太網的相同子網內、跨子網間互聯互通;

              *支持支持靜態路由、策略路由及動態路由。策略路由支持用戶自定義其優先級,動態路由應至少支持RIP v1/v2/ng, OSPFv2/v3,BGP4/4+協議;

              *支持IPv4的DNS代理功能,即從指定的入接口或源ISP接收到的DNS解析請求,設備可根據自定義的IP、域名對應關系,代理DNS服務器返回查詢結果;

              *支持NAT64,包括:對源地址為IPv6地址、目的地址為IPv4地址的會話執行源地址轉換,將IPv6地址轉換為IPv4地址,實現IPv6客戶端轉換為IPv4地址后訪問IPv4資源;源地址為IPv4地址、目的地址為IPv4地址的會話執行目的地址轉換,將IPv4地址轉換為IPv6地址,實現IPv4客戶端通過IPv4地址訪問IPv6資源;支持路由模式、透明模式的HA高可靠性部署,可工作于主備、主主模式,會話、用戶、配置可實時同步;

              攻擊防護

              *支持基于源安全域、目的安全域、源用戶、源地址、源地區、目的地址、目的地區、服務、應用、隧道、時間、VLAN等多種方式進行訪問控制,并支持地理區域對象的導入以及重復策略的檢查;

              *支持基于IPv4/v6地址、應用的會話限制,限制動作包每IP新建、每IP并發、所有IP新建、所有IP并發,且可以基于安全域指定限制方向;

              *支持上傳、下載、雙向的文件內容過濾;內容過濾支持手工及文件批量導入兩種方式進行敏感信息定義;內容過濾至少支持html、doc、docx、xls、xlsx、ppt、pptx、chm、7z等30種常見文件類型;文件類型識別基于文件特征而非擴展名,更改文件擴展名后仍可有效識別;

              *支持基于不同安全區域防御DNS Flood、HTTP Flood攻擊,并支持警告、阻斷、首包丟棄、TC反彈技術、NS重定向、自動重定向、手工確認等多種防護措施;能夠對HTTP/FTP/POP3/SMTP/IMAP/SMB六種協議進行病毒查殺;

              *支持漏洞防護功能,同時將漏洞防護特征庫分類,至少包括緩沖區溢出、跨站腳本、拒絕服務、惡意掃描、SQL注入、WEB攻擊等六種分類;漏洞防護支持日志、阻斷、放行、重置等執行動作,可批量設置針對某一分類或全部攻擊簽名的執行動作;

              安全管理

              *支持基于主機或威脅情報視圖,統計網絡中確認被入侵、攻破的主機數量,至少可查看被入侵、攻破的時間、威脅類別、情報來源、威脅簡介、被入侵、攻破的主機IP、用戶名、資產等信息;并對威脅情報發現的惡意主機執行自動阻斷;

              *支持安全策略的快速檢索及基于名稱、地址、端口、協議多維度的高級策略檢索,支持策略的復制、調序、查詢;

              持將告警信息以SNMP Trap、郵件、聲音、短信等形式通知管理員,告警信息的范圍至少包括配置變更、病毒事件、攻擊事件、異常事件、CPU利用率、內存利用率、硬盤利用率、接口帶寬利用率等;

              3.2上網行為管理(NBM3240

              硬件性能配置

              千兆電口≥6個,并發連接數≥16萬,最大新建連接數≥24000個/秒,硬盤128G   SSD;

              服務要求

              含三年軟件特征庫升級服務,三年產品保修服務;

              部署模式

              支持網關模式、鏡像模式、網橋模式及多路橋接,支持多臺設備主主模式部署;

               

               

               

               

               

               

               

               

               

              審計功能

               

               

               

               

               

               

               

               

              *可集中呈現上網行為風險等級和狀態;行為風險等級包括安全等級、效率等級、合規等級和管控等級;
                *行為狀態包括管控效果、運行狀態、安全狀態、泄密風險狀態、合規狀態和應用使用狀態;能夠實時提供在線用戶趨勢、設備流速趨勢、用戶流量排名、應用流量排名、用戶實時流量和應用實時流量等信息。

              *支持配置病毒查殺策略,檢查網絡中傳輸的文件是否是病毒,

              *支持記錄日志、病毒過濾;

              *支持與云端殺毒平臺聯動,對網絡中傳輸的文件進行特征比對,以便減少對本地計算資源的消耗;至少應支持對以下幾類網絡應用傳輸的文件進行病毒云查殺:HTTP/FTP/IMAP/SMTP/POP3;

              *支持基于云端大數據安全平臺,對惡意URL訪問進行封堵和記錄日志;

              *支持通過惡意軟件特征檢測方式識別失陷主機并記錄日志。

              *支持與威脅情報大數據平臺對接,能夠快速識別、封堵失陷主機、記錄日志。應用協議庫包含的應用數量不低于7100種,應用規則總數不低于30000種;為覆蓋工作無關應用,移動應用不少于1000種,即時消息應不低于150種,網絡游戲不低于270種,在線購物不低于50種,虛擬貨幣交易平臺不低于40種。

              *根據URL庫及URL關鍵字進行網址訪問管理,一條策略實現阻斷、記錄、告警,方便維護。

              *能夠基于發件人、收件人、主題、內容、附件名維度進行過濾、記錄、告警;能夠支持SSL加密的SMTP郵件審計;一條策略可實現Webmail以及SSL加密的Webmail基于發件人、收件人、主題、內容、附件名維度的記錄、阻塞、告警。

              *通過HTTPS審計功能,可以針對網站分類、證書頒發者、證書所有者、證書有效期等進行審計,加以控制;通過SNMP審計策略對SNMP通信內容進行審計和控制。

              *所有日志可以按照用戶,IP地址,匹配策略,訪問控制,時間等各個列排序;可生成網頁訪問、論壇發帖,webmail、郵件收發、應用訪問、應用流量等各種統計報表;

              *支持鉆入式關聯檢索?;谟脩?、應用、內容等訪問行為的統計排名,從不同角度發現異常行為,并能根據相關統計結果,逐層點擊定位詳細日志內容。

              *支持上網行為分析報表、網絡帶寬分析報表、合規分析報表、效率分析報表、安全分析報表;設備必須提供告警信息集中展示頁面,便于快速發現所有告警。

              *支持通過FTP和SFTP方式將日志導出到指定服務器,日志支持SSL加密和ZIP壓縮,支持自定義導出數據的時間段和數據定時上傳的頻率。支持定義導出日志數據的范圍、用戶、位置和工具。

              *支持將日志數據通過設備USB接口導出。

              *支持策略管理、日志審計、權限分配相互獨立的三權制衡管理機制,避免超級管理員權限過大的弊端。系統管理員和審計員的賬號創建,權限變更需要審核員審批才能生效。管理員和審計員的操作會形成日志受審核員監督。

              *支持多臺設備可以被集中管理平臺統一下發、回收策略。

              *支持將多臺設備日志集中存儲于一臺日志中心服務器,便于數據的集中查詢與統計。必須支持采用PC自帶超級終端通過設備串口管理設備,配置命令行。

               

               

               

               

               

               

               

               

               

               

               

              日志報表管理

               

               

               

               

               

               

               

               

               

               

               

              系統管理

               

               

               

              3.3終端安全管理(TQ-ESM-FL-BOU-AV+FIX)

              360天擎終端安全管理系統是面向政府、企業、金融、軍隊、醫療、教育、制造業等大型企事業單位推出的集防病毒與終端安全管控于一體的解決方案。360天擎終端安全管理系統,以大數據技術為支撐、以可靠服務為保障,它能夠為用戶精確檢測已知病毒木馬、未知惡意代碼,有效防御APT攻擊,并提供終端資產管理、漏洞補丁管理、安全運維管控、網絡安全準入、移動存儲管理、終端安全審計、XP盾甲防護諸多功能。

              針對政企客戶終端面臨的外部威脅和內部管理痛點,奇安信集團基于“終端安全一體化”產品理念,推出集防病毒和安全管控于一體的安全管理系統,結合云端統一的大數據和威脅情報,有效發現識別病毒、木馬、APT等各類威脅,通過病毒查殺、準入、防黑加固等安能力,為用戶構建立體防護體系,同時完美兼容不同操作系統和計算平臺,實現平臺一體化。

              ?  控制中心

              安全控制中心是360天擎終端安全管理系統的核心,部署在服務器端,主要包括安全管控和安全事件收集告警兩大功能。

              安全控制中心采用B/S架構,管理員可以隨時隨地的通過瀏覽器打開訪問,對360天擎終端安全管理系統終端進行管理和控制。主要有分組管理、策略制定下發、全網健康狀況監測、統一殺毒、統一漏洞修復、網絡流量監控、終端軟硬件資產管理等。安全此外安全控制中心還提供了系統運維的基礎服務,如:云查殺服務、終端升級服務、數據服務、通訊服務等。

              安全事件收集告警,通過管控中心,管理員可以了解全網終端的告警信息,通過報表分析,掌握全網威脅狀況。

              ?  客戶端

              客戶端部署在需要被保護的終端或服務器上,執行最終的木馬病毒查殺、漏洞修復、安全防護等安全操作。并與安全控制中心通信,提供控制中心管理所需的相關安全告警信息。

              ?  終端安全一體化

              n  功能一體化:國內首家集終端防病毒和安全管控于一體的終端安全管理系統;

              n  平臺一體化:完美兼容Windows、Linux、國產操作系統、MacOS X,同時支持桌面和服務器操作系統;

              n  數據一體化:結合云端大數據和威脅情報,有效感知本地安全態勢;

              ?  病毒防御多維化

              n  多引擎技術:擁有領先的云查殺引擎、系統修復引擎、QEX腳本查殺引擎、啟發式引擎、QVM人工智能引擎,有效查殺已知和未知病毒

              n  立體化主防:具備隔離防護、5層入口防護、7層系統防護及8層應用防護等主動防御技術

              n  智能自學習:通過海量病毒樣本數據自學習,QVM-II人工智能引擎無需頻繁更新特征庫、病毒檢出率仍遠超傳統查殺引擎

              n  “非白即黑”安全策略:具備及時發現和抵御未知威脅的能力,并可以通過與天眼系統進行聯動,有效抵御APT攻擊

              ?  安全管控智能化

              n  資產管理:自動識別全網終端資產信息,實時監控系統狀態并告警,保障業務連續性

              n  安全策略管理:通過非法外聯、外設管理、進程控制、主機防火墻、桌面安全加固等多元化方式,提升終端安全等級

              n  漏洞補丁管理:對全網終端漏洞進行掃描并關聯,根據終端分組或操作系統類型錯峰下發補丁

              n  網絡安全準入:支持旁路應用準入、802.1x準入及其它多種準入技術,對不滿足安全性檢查的終端不予接入網絡,并引導到修復區進行安全修復

              n  審計管控:全網文件安全審計,外設使用審計,多級管理,多種報警方式,實現高效的全網管控

              3.4日志審計(LAS-R21P

              3.5信息系統等級保護一體機

              合規一體機產品是一個架構先進、適用范圍廣的統一安全管理產品,能廣泛兼容多種客戶環境,為客戶搭建安全服務能力供給平臺,實現安全服務的可運營、可持續產出。平臺提供的整體安全能力覆蓋了南北向安全、東西向安全、主機安全、漏洞管理、web應用層面等完整的安全防護體系和多種審計手段,能夠為各種公有云、行業云、私有云構建一套真正屬于云時代的安全防護框架。

              合規一體機產品提供了一個統一的安全管理平臺。平臺內集成了豐富的安全組件,包括智慧防火墻、IPS、VPN、WAF、堡壘機、數據庫審計、日志審計、主機安全、網絡安全審計等安全產品組件,從網絡、主機、應用等多個層面保障客戶的業務安全。

              合規一體機產品的架構如下圖所示:

               

              主要組成及其功能:

              ?  安全管理平臺:核心管理平臺,負責本地安全組件的生命周期管理、授權激活、日志收集、安全策略。安全管理平臺提供對客戶的自助門戶和系統管理門戶,根據不同的登錄角色進行區分。

              ?  基礎合規套餐:合規一體機產品內提供的安全功能和安全防護實例包括:智慧防火墻、IPS、VPN、主機安全、數據庫審計、日志審計、堡壘機產品組件,由合規一體機產品的安全管理平臺進行統一管理。

              ?  增強合規套餐:合規一體機產品內提供的安全功能和安全防護實例包括:智慧防火墻、IPS、VPN、web應用防火墻、主機安全、漏洞掃描、數據庫審計、日志審計、堡壘機產品安全組件,由合規一體機產品的安全管理平臺進行統一管理。

              ?  旁路審計套餐:合規一體機產品內提供的安全功能和安全防護實例包括:數據庫審計、日志審計、堡壘機、網絡安全審計、漏洞掃描產品安全組件,由合規一體機產品的安全管理平臺進行統一管理。

              合規一體機產品為客戶提供了一個能夠持續運營的安全業務平臺,每個客戶都可以輕松地在本地快速搭建起一套符合等保合規要求的安全服務平臺。合規一體機產品內集成的各種組件能為客戶的提供多個層面上的安全防護能力,充分滿足等保合規的要求。

              總結合規一體機產品帶給客戶的價值如下:

              1)  可運營、可管理的安全管理平臺:

              l  與各種安全組件的無縫集成,客戶在平臺上即可完成安全組件的創建和基礎的安全策略配置工作,無需復雜安裝部署過程,用戶體驗良好。

              l  所有安全事件的統一收集、呈現、威脅態勢分析,并可以統一設置告警策略。

              l  服務鏈支持與傳統網絡設備對接實現自動化的網絡引流,減少人工操作,縮短安全服務上線時間。

              2)  豐富的安全組件協助客戶構建立體的安全防護體系。合規一體機產品已經集成的安全能力包括:

              l  智慧防火墻(建議單獨配置)

              l  IPS

              l  VPN

              l  主機安全

              l  Web應用防火墻

              l  數據庫審計

              l  網絡安全審計

              l  堡壘機

              l  漏洞掃描

              l  日志審計

              3)等保一體機技術參數

              部署模式

              合規一體機支持服務器三節點部署模式,安全管理平臺支持主備部署模式,主備部署模式下支持當主的服務故障時能夠在幾秒內切換到備的服務,保證安全服務的不中斷。

              提供標準的北向接口,并能提供安全組件的計量數據、安全組件資源監控數據、安全事件等數據給第三方平臺。

              安全管理平臺和虛擬安全產品部署在合規一體機的安全資源池內,合規一體機采用標準X86服務器。虛擬安全產品的安裝數量可以隨著標準X86服務器數量的擴容而增長。

              系統概覽

              支持展示最近24小時、7天、30天安全組件數量增長趨勢,安全組件已使用的授權數量、剩余授權數量,待審核訂單數和項目數。

              支持展示最近24小時、7天、30天發生的安全威脅的類型的TOP 10,每種安全威脅的24小時、7天、30天變化的趨勢,可以查看平臺內最新7條安全威脅事件。

              可基于所有掌握的安全組件的安全數據,形成客戶視角的安全資源池綜合安全態勢展示。

              支持客戶視角的安全防護和攻擊威脅狀態的綜合呈現,包括安全組件防護態勢、用戶等保合規態勢、用戶風險、數據中心受攻擊態勢、主機失陷、攻擊威脅類型、威脅趨勢及威脅源態勢等豐富的展示維度,并采用地圖炮、分布圖、趨勢圖等多種可視化手段進行呈現。

              組件性能

              合規一體機能夠提供輕代理主機安全防護服務,集成防病毒、主機防火墻、主機入侵防御、Webshell檢測、防暴力破解等功能,用戶能夠選擇主機安全輕代理的規格、授權終端數、使用時長,以及所屬的區域和網絡。
                本項目要求提供不少于150個主機數量的主機安全輕代理的授權許可。

              合規一體機能夠提供網站防護服務,用戶能夠選擇網站防護的規格、可管理的域名數、使用時長,以及所屬的區域和網絡。
                本項目要求提供不少于10個網站防護的授權許可。

              合規一體機能夠提供綜合漏洞掃描服務,包含多個模塊:數據庫漏洞掃描、系統漏洞掃描、WEB漏洞掃描、等保合規檢查模塊,用戶能夠選擇綜合漏洞掃描的規格、授權、使用時長,以及所屬的區域和網絡;
                本項目要求提供不少于30個綜合漏洞掃描資產的授權許可。

              合規一體機能夠提供堡壘機服務,提供運維安全管理與審計能力。用戶能夠選擇堡壘機的規格、授權、使用時長,以及所屬的區域和網絡。
                本項目要求提供不少于25個堡壘機資產的授權許可。

              合規一體機能夠提供日志收集與分析系統,集日志采集與存儲、日志歸一化、關聯分析、報表統計功能于一身,實現網絡設備、安全設備、主機操作系統、中間件、數據庫、應用系統在內的設備及系統的全面日志審計。
                本項目要求提供不少于25個安全日志審計資產的授權許可。

              合規一體機能夠提供數據庫審計服務,用戶能夠選擇數據庫審計的規格、授權、使用時長,以及所屬的區域和網絡。
                本項目要求提供不少于10個數據庫審計的授權許可。

              支持對第三方安全組件的生命周期管理。支持在合規一體機上發布自定義的第三方安全組件,支持用戶申請開通第三方安全組件。

              安全服務

              可通過合規一體機直接控制安全組件實例開機、關機、重啟、刪除,并支持查看安全實例的狀態。

              支持安全組件的批量開機、關機、重啟操作。

              支持用戶通過訂單實現安全組件授權許可的擴容(授權數量增加)、續費(授權時長增加)。

              支持用戶通過合規一體機單點登錄到組件內置的管理頁面。

              用戶可以查看當前安全組件防護的資產列表,支持可以查看防火墻防護的IP地址、WAF內配置的域名、綜合掃描內的掃描任務、數據庫審計的審計對象、堡壘機審計的虛擬機、主機安全(無代理)防護的虛擬機。

              支持在綜合漏洞掃描詳情頁直接添加漏洞掃描任務。

              支持在Web應用防火墻詳情頁直接添加普通服務器、代理服務器、安全策略。

              支持在數據庫審計詳情頁添加數據庫審計對象。

              服務編排

              支持可視化拖拽的方式實現防火墻、網站防護組件的服務鏈建立、刪除。

              支持以拖拽的方式為虛擬機添加防護。包括將虛擬機流量引流到防火墻,在網站防護中添加防護域名。

              支持在添加引流交換機后,通過添加保護IP的方式,使用netconf協議在引流交換機上下發策略路由配置,牽引用戶需要保護的流量。

              支持華為CloudEngine系列交換機(如:CE 5800系列、CE 6800系列、CE12800系列)和華三數據中心交換機(如:S6800系列)。

              支持在同一安全資源池內設置多臺引流的交換機。滿足復雜網絡環境下的資源池部署要求。

              監控告警

              支持對安全資源池設備的總覽性展示,包括配置摘要信息、服務健康狀態、設備資源監控告警情況、物理資源使用和分配情況、外網流量趨勢、IP使用情況、TOP5 CPU使用率最高設備、TOP5 內存使用率最高設備、TOP5 磁盤使用率最高設備等情況的概覽;支持導出。

              支持列出全部物理資源和虛擬資源信息,除基本信息外,還展示單機實時服務狀態、實時告警數量、實時CPU/內存/磁盤使用率;支持按不同維度篩選和搜索;支持導出;支持告警數和單機監控鏈接跳轉。

              支持展示設備單機相關告警和主要信息,支持1小時、12小時、1天、7天、30天或自定義時間段內的CPU使用率、內存使用率、磁盤使用率(多磁盤)、網卡流量(多網卡,流入和流出流量)的趨勢圖;支持告警鏈接跳轉;支持導出。

              展示告警策略基本信息;支持新建、編輯、復制、刪除、啟用和停用告警策略;支持按時間和類型等維度篩選和搜索策略;支持出廠預定義告警策略模板;支持資源監控告警、授權告警、日志存儲告警、設備變更告警、安全威脅事件告警等不同告警類型和相應具體指標的設置和選擇,可選擇目標告警設備和告警接收郵件等;支持查看策略詳情并看到關聯具體策略的告警事件。

              支持匹配告警策略產生告警事件,分別以郵件和在線展示對用戶進行告警。支持過去1天、7天和30天的告警威脅分布情況圖表和列表數據展示;支持全部告警事件列表導出;告警事件可根據時間和不同維度進行篩選和搜索;支持查看告警事件詳情且鏈接跳轉到相關告警來源頁面。

              系統管理

              支持查看當前平臺已經導入的授權的類型和授權數量,可單獨查看每類授權的更新記錄。

              允許在訂單中加入多個審核角色,可以自定義流程中各個節點的審核角色。不同的流程可以關聯到不同的租戶。

              支持Web云防護的接入配置。

              可選擇是否展示威脅感知頁面,填寫對接的天眼威脅感知產品

              支持創建新的鏡像類型,添加第三方鏡像類型可以用于在安全市場中發布第三方組件。

              支持通過管理平臺上傳安全組件的鏡像文件。

              支持管理員手動選擇各類安全組件的鏡像版本,第三方鏡像類型支持刪除。

              支持合規一體機系統通過安裝包離線升級,通過瀏覽器上傳升級包后可升級主程序版本。

              支持合規一體機作為智慧防火墻vNGFW的本地特征庫升級服務器。用戶可以上傳、刪除vNGFW的特征庫文件,并一鍵觸發vNGFW的升級任務。

              允許管理員修改日志存儲策略,包括剩余存儲容量、日志存儲時長、存儲容量使用率告警。


               

              四、計算機網絡系統安全等級保護V2.0套餐產品選型及服務列表

              4.1計算機網絡系統通過二級等級保護安全測評套餐服務方案

              系統設備名稱

              設備型號及編碼

              參數及詳細描述

              單位

              數量

                  防火墻

              NSG3000-TE15P

              多核AMP+架構,網絡層吞吐量3G,并發連接≥160萬,每秒新建連接數4萬,標準1U機箱,單電源,標準配置4個10/100/1000M自適應電口,2個千兆SFP插槽,1個Console口,   含三年硬件維保服務。

              1

              上網行為管理系統

              NBM3240

              120M帶寬/1000人網絡環境使用;最大并發連接數為16萬;最大新建連接數為24000個/秒; 含專用操作系統與上網行為管理標準軟件。1U硬件;標配6個千兆電接口(其中含1個管理接口和1個HA接口);4個千兆SFP插槽;單交流電源含三年硬件質保服務。 三年軟件版本升級三年URL庫應用協議庫定期更新。

              1

              終端安全管理系統

              TQ-ESM-FL-BOU-AV+FIX

              防病毒功能+補丁功能,支持Windows XP/VISTA/WIN7/WIN8/WIN10,可擴展其它操作系統平臺和其它功能,含三年升級服務。

              50

              日志審計系統

              LAS-R21P

              事件處理最高1000EPS。硬件規格:標準1U機箱,6個千兆電口,2個擴展插槽,1個Console接口單電源,2T硬盤。包含25授權節點包含三年維保。

              1

              網絡中心安全環境、安全管理整改(測評機構提出甲方完成)

              機房環境整改、安全制度機構人員運維管理健全

              初次測評后提出整改方案:安全防盜、安全供電、機房動環監控、通訊安全標準布線、設備安全安裝、防漏水防靜電等;管理制度、機構、人員、運維管理建立。

              1

              二級網絡安全等保系統測評

              系統項目

              整套網絡架構或者按照一個功能系統安全級別分值測評(分別初測和終測)。

              1

              4.2計算機網絡系統通過三級等級保護安全測評套餐服務方案

              系統設備名稱

              設備型號及編碼

              參數及詳細描述

              單位

              數量

              防火墻

              NSG3000-TE15P

              多核AMP+架構,網絡層吞吐量3G,并發連接≥160萬,每秒新建連接數4萬,標準1U機箱,單電源,標準配置4個10/100/1000M自適應電口,2個千兆SFP插槽,1個Console口,   含三年硬件維保服務。

              1

               上網行為管理系統

              NBM3240

              建議120M帶寬/1000人網絡環境使用;最大并發連接數為16萬;最大新建連接數為24000個/秒;   含專用操作系統與上網行為管理標準軟件。1U硬件;標配6個千兆電接口(其中含1個管理接口和1個HA接口);4個千兆SFP插槽;單交流電源。含三年硬件質保服務, 三年軟件版本升級服務,三年URL庫、應用協議庫定期更新。

              1

              合規一體機服務器主機(磁盤基礎型)

              CSMPv2.0-QAX-SDSec-MGR-HM-1000-L

              提供系統主機硬件,硬件規格:英特爾4210處理器*2, 128G內存, 600G SAS硬盤 *2+ 4T SATA硬盤 *2, 9361 1G RAID卡 ,4口千兆網卡, 800W電源*2,含3年硬件質保。

              1

              合規一體機安全管理中心

              CSMPv2.0-QAX-SDSec

              合規一體機安全管理中心軟件,進行遠程管理、策略下發安全更新等

              1

              合規一體機終端安全管理增強包A型3年使用授權

              CSMPv2.0-QAX-SDSec-TQA-AV+FIX+YWGK-3Y

              合規一體機終端安全管理組件,提供增強包A型,包含防病毒+補丁+運維管控三個功能150點,含三年升級服務。支持Windows   XP/VISTA/WIN7/WIN8/WIN10,可擴展其它操作系統平臺和其它功能。

              1

              合規一體機綜合日志審計25資產組件3年使用授權

              CSMPv2.0-QAX-SDSec-LAS-25-3Y

              綜合日志審計安全組件,包含25個日志源授權,功能包括日志采集、存儲、查詢、關聯分析、告警、報表等。支持安全設備、操作系統、數據庫、應用系統、網絡設備的日志采集,含三年升級許可。

              1

              合規一體機數據庫審計基礎版組件3年使用授權

              CSMPv2.0-QAX-SDSec-DBAudit-200-3Y

              數據庫審計安全組件,支持200Mbps吞吐,含三年升級許可。

              1

              合規一體機堡壘機25資產組件3年使用授權

              CSMPv2.0-QAX-SDSec-BH-25-3Y

              堡壘機安全組件,可管理25資產(服務器、數據庫、網絡設備),含三年升級更新服務。

              1

              合規一體機綜合漏洞掃描標準版組件3年使用授權

              CSMPv2.0-QAX-SDSec-SCAN-100-3Y

              漏洞掃描組件,支持數據庫漏洞掃描(100個IP)、系統漏洞掃描(100個IP)、WEB漏洞掃描(25個URL)、主機基線配置核查(100個IP)、網絡基線配置核查(100個IP)、等保合規檢查模塊含三年升級許可。

              1

              合規一體機Web應用防火墻基礎版組件3年使用授權

              CSMPv2.0-QAX-SDSec-vWAF-300-3Y

              Web應用防火墻安全組件,提供網站及Web應用系統防護,支持SQL注入、跨站腳本、掃描嗅探、應用層拒絕服務等攻擊防護。最大應用層防護帶寬300M,QPS:4000/S,包含3年特征庫升級、維保服務。

              1

              網絡中心各項安全環境安全管理整改建議方案(測評機構提出甲方完成)

              定制(測評機構初次測評后整改方案提出的環境和管理方面的整改方案)

              信息中心安全環境(防盜、防漏水、防火、停電等動環監控)、通訊安全(通訊線路整理)、邊界整改建議方案由甲方完成,安全管理制度、安全機構及安全人員、系統設備管理、運維管理方案規劃建立(服務提供方協助甲方完成)。

              1

              安全系統集成技術服務

              定制(服務方提供的安全設備)

              按照三級網絡等級保護V2.0進行安全技術集成及等保安全技術服務

              1

              三級安全等保系統測評

              按單個信息系統

              整套網絡架構或者按照一個功能型信息系統的安全級別測評分值;專業結構在需方網絡整改前初次測評交付安全整改方案;按方案整改后(安全環境、管理制度、安全系統設備集成)最終測評出系統安全分值級別,按測評報告向公安部門備案。

              1


              五、計算機網絡系統等級保護購買服務方案

                 5.1、安全服務方式及等保測評服務方案介紹

              以上所列等保服務套餐,根據服務需方情況可以選擇軟硬件及服務一次性購買的方式,也可以選擇分三年購買網絡等保安全服務的方式。選擇一次性購買方式,安全軟硬件產品產權歸采購單位所有。選擇只購買網絡等級安全服務的方式,服務提供方所提供的安全硬件產品產權歸服務提供方所有,服務購買方只享有購買網絡等保安全服務的權益。購買網絡等保安全服務方式,簽訂分期三年的安全服務合同,在三年內逐年向服務方支付服務費。服務提供方推薦測評機構(購方可自選),測評費在行業規定的標準收費基礎上可以優惠折扣,測評費由服務購買方另外支付。網絡機房安全環境完善及制度機構人員建立由需求方完成,服務提供方也可協助需方完成。服務提供方保證提供的服務方案能夠順利通過測評并取得公安網安的等保備案證書。

                 5.2、等保服務購買服務方案

                   5.2.1二級網絡安全等保購買服務收費

              二級網絡安全等保購買服務的方式,服務提供方提供方案第四項二級等級保護套餐的系統和設備,并安裝調試完成并確保通過測評后,服務購買方第一年支付服務提供方10萬元的等保安全服務費,第二年服務購買方支付8萬元的等保安全服務費,第三年服務購買方支付5萬元的等保安全服務費,測評費由測評機構另行收取,三年服務結束后雙方另行協商后續服務合同。

                   5.2.2三級網絡安全等保購買服務收費

              三級網絡安全等保購買服務的方式,服務方提供第四項三級網絡安全等保套餐系統設備并安裝集成并確保通過等保測評后,服務購買方第一年支付15萬元的等保安全服務費,第二年支付12萬元的等保安全服務費,第三年支付8萬元的等保安全服務費,三級網絡等保測評費由測評機構單獨收取,三年服務結束后雙方另行協商后續服務方式。

               

               

               

               

               

               

               

               

               

               

               

               

               

               

               

               

               

              單位:張家口市金誠科技有限責任公司

                                                                          地址:張家口市勝利中路24號橋東區


              本網站由阿里云提供云計算及安全服務 Powered by CloudDream
              人妻无码AV中文系列久久兔费,欧美精品欧美人与动人物牲交,99视频在线精品国自产拍