等级保护建设思路及H3C解决方案V1.0.ppt

等级等级保护建设思路及保护建设思路及H3C解决方案解决方案密级：公开杭州华三通信技术有限公司日期：2008年4月15日2信息安全等级保护政策信息安全等级保护政策H3C等级保护建设思路等级保护建设思路H3C等级保护解决方案等级保护解决方案H3C安全产品线简介安全产品线简介3信息安全等级保护政策简介信息安全等级保护政策简介n n信息安全等级化保护信息安全等级化保护信息安全等级化保护信息安全等级化保护（以下简称等保）定义定义定义定义-等保是指国家通过制订统一的标准，根据信息系统不同重要程度，有针对性开展保护工作，分等级对信息系统进行保护，国家对不同等级的信息系统实行不同强度的监督管理。-等保将信息系统的安全等级分为5级，1级最低，5级最高。目前已经确定等级的为电子政务内网要达到4级保护要求，外网要达到3级保护要求。n n等保工作的重要性等保工作的重要性等保工作的重要性等保工作的重要性-信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。是信息安全保障工作中国家意志国家意志国家意志国家意志的体现。-引自2007年7月20日公安部、国务院信息办等4部门在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”上公安部代表的讲话。4信息安全等级保护政策的发展历程信息安全等级保护政策的发展历程中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例发布发布19941994199919992001200120042004计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 GB17859-1999 GB17859-1999发布发布国家发改委国家发改委“计算机信息系统安全保护等级评估体系计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建设项目及互联网络电子身份管理与安全保护平台建设项目”（11101110）工程实施）工程实施7 7月月2222日，国家信息化领导小组召开了第三次会议，专门讨论了信息安全问日，国家信息化领导小组召开了第三次会议，专门讨论了信息安全问题。会议审议通过了题。会议审议通过了关于加强信息安全保障工作的意见关于加强信息安全保障工作的意见，并经由中央办公厅、国，并经由中央办公厅、国务院办公厅颁布务院办公厅颁布(中办发中办发【20032003】27 27号文件号文件)公安部、国家保密局、国家密码管理公安部、国家保密局、国家密码管理局和国信办联合签发了局和国信办联合签发了关于信息安关于信息安全等级保护工作的实施意见全等级保护工作的实施意见 （公（公通字通字【20042004】6666号）号）信息系统安全保护等级定级指南信息系统安全保护等级定级指南 (20051231)(20051231)信息系统安全等级保护基本要求（信息系统安全等级保护基本要求（2006042920060429）信息系统安全等级保护测评准则（信息系统安全等级保护测评准则（2006042920060429）信息系统安全等级保护实施指南（信息系统安全等级保护实施指南（2006042920060429）20062006公安部、国家保密局、国家密码管理局和国信办联公安部、国家保密局、国家密码管理局和国信办联合签发了合签发了信息系统安全等级保护管理办法（试行）信息系统安全等级保护管理办法（试行）（公通字（公通字【20062006】7 7号号)2006)2006年年3 3月月1 1日执行日执行200320035等级保护的政策文件与技术演进等级保护的政策文件与技术演进20032003年年9 9月月中办国办颁发中办国办颁发关于加强信息安全保关于加强信息安全保障工作的意见障工作的意见（中办发（中办发200327200327号）号）20042004年年1111月月四部委会签四部委会签关于信息安全等级保关于信息安全等级保护工作的实施意见护工作的实施意见（公通字（公通字200466200466号）号）20052005年年9 9月月国信办文件国信办文件 关于转发关于转发电子政电子政务信息安全等级保护实务信息安全等级保护实施指南施指南的通知的通知 （国信办（国信办200425200425号）号）20052005年年 公安部标准公安部标准等级保护安全要求等级保护安全要求等级保护定级指南等级保护定级指南等级保护实施指南等级保护实施指南等级保护测评准则等级保护测评准则总结成一种安全工总结成一种安全工作的方法和原则作的方法和原则最先作为最先作为“适度适度安全安全”的工作思的工作思路提出路提出确认为国家信息安确认为国家信息安全的基本制度，安全的基本制度，安全工作的根本方法全工作的根本方法形成等级保护的基形成等级保护的基本理论框架，制定本理论框架，制定了方法，过程和标了方法，过程和标准准6等级保护的等级保护的5个监管等级个监管等级等级合法权益社会秩序和公共利益国家安全损害严重损害损害严重损害特别严重损害损害严重损害特别严重损害一级二级三级四级五级7不同级别之间保护能力的区别不同级别之间保护能力的区别n总总体体来来看看，各各级级系系统统应应对对威威胁胁的的能能力力不不同同，即即能能够够对对抗抗系系统统面面临临的的威威胁胁的的程程度度以及在遭到威胁破坏后，系统能够恢复之前的各种状态的能力是不同的。以及在遭到威胁破坏后，系统能够恢复之前的各种状态的能力是不同的。一级具有15个技术目标，16个管理目标；二级具有29个技术目标，25个管理目标；三级具有36个技术目标，27个管理目标；四级具有41个技术目标，28个管理目标。n技术要求的变化包括：技术要求的变化包括：安全要求的增加安全要求的增强n管理要求的变化包括：管理要求的变化包括：管理活动控制点的增加，每个控制点具体管理要求的增多管理活动的能力逐步加强，借鉴能力成熟度模型（CMM）8决定等级的主要因素分析决定等级的主要因素分析信息系统所属类型信息系统所属类型业务数据类别业务数据类别信息系统服务范围信息系统服务范围业务处理的自动化程度业务处理的自动化程度业务重要性业务重要性业务数据安全性业务数据安全性业务处理连续性业务处理连续性业务依赖性业务依赖性基于业务的重要性和依赖性分析关键要素，确定业务数据安全性和业务基于业务的重要性和依赖性分析关键要素，确定业务数据安全性和业务基于业务的重要性和依赖性分析关键要素，确定业务数据安全性和业务基于业务的重要性和依赖性分析关键要素，确定业务数据安全性和业务处理连续性要求。处理连续性要求。处理连续性要求。处理连续性要求。业务数据安全性业务数据安全性业务处理连续性业务处理连续性信息系统安全保护等级信息系统安全保护等级根据业务数据安全性和业务处理连续性要求确定安全保护等级。根据业务数据安全性和业务处理连续性要求确定安全保护等级。根据业务数据安全性和业务处理连续性要求确定安全保护等级。根据业务数据安全性和业务处理连续性要求确定安全保护等级。9安全控制定级指南过程方法确定系统等级启动采购/开发实施运行/维护废弃确定安全需求设计安全方案安全建设安全测评监督管理运行维护暂不考虑特殊需求等级需求基本要求产品使用选型监督管理测评准则流程方法监管流程应急预案应急响应等级保护定义的信息安全建设过程等级保护定义的信息安全建设过程等级保护工作对应完整的信息安全建设生命周期等级保护工作对应完整的信息安全建设生命周期等级保护工作对应完整的信息安全建设生命周期等级保护工作对应完整的信息安全建设生命周期10等保建设主要阶段的详细工作等保建设主要阶段的详细工作系统定级阶段系统定级阶段安全规划设计阶段安全规划设计阶段产品采购和工程实施阶段产品采购和工程实施阶段运行管理和状态监控阶段运行管理和状态监控阶段系系统统调调查查和和描描述述子子系系统统划划分分子子系系统统定定级级子子系系统统边边界界设设定定等等级级化化风风险险评评估估分分级级保保护护模模型型化化处处理理安安全全策策略略规规划划安安全全建建设设规规划划安安全全建建设设详详细细方方案案设设计计安安全全产产品品采采购购安安全全控控制制开开发发安安全全控控制制集集成成测测试试与与验验收收安安全全等等级级测测评评运运行行批批准准系系统统备备案案操操作作管管理理和和控控制制配配置置管管理理和和控控制制变变更更管管理理和和控控制制安安全全状状态态监监控控安安全全事事件件处处理理和和应应急急预预案案监监督督和和检检查查持持续续改改进进定定级级结结果果文文档档化化等级保护工作的实施指南等级保护工作的实施指南等级保护工作的实施指南等级保护工作的实施指南中对主要阶段的工作细化中对主要阶段的工作细化中对主要阶段的工作细化中对主要阶段的工作细化11等级保护建设的一般过程等级保护建设的一般过程整改整改评估评估定级定级评测评测确定系统确定系统或者子系或者子系统的安全统的安全等级等级依据等级依据等级要求，对要求，对现有技术现有技术和管理手和管理手段的进行段的进行评估，并评估，并给出改进给出改进建议建议针对评估针对评估过程中发过程中发现的不满现的不满足等保要足等保要求的地方求的地方进行整改进行整改评测机构评测机构依据等级依据等级要求，对要求，对系统是否系统是否满足要求满足要求进行评测，进行评测，并给出结并给出结论论监管监管对系统进对系统进行周期性行周期性的检查，的检查，以确定系以确定系统依然满统依然满足等级保足等级保护的要求护的要求12信息安全等级保护政策信息安全等级保护政策H3C等级保护建设思路等级保护建设思路H3C等级保护解决方案等级保护解决方案H3C安全产品线简介安全产品线简介13正确理解等级保护思想正确理解等级保护思想系统重要程度系统保护要求安全基线安全基线安全基线一级二级三级四级n等等级级保保护护思思想想的的基基础础是是分分级级管管理理思思想想。即即通通过过分分级级管管理理对对不不同同安安全全需需求求的的系系统统进进行行安安全全保保护护，从从而而实实现现对对整整个个信信息息系系统统的的适适当当的的安安全全保保护护和和管管理理，避避免免对对系系统保护过渡或者保护不足。统保护过渡或者保护不足。n等等级级保保护护的的核核心心是是为为受受管管理理的的系系统统明明确确定定义义所所需需最最低低的的安安全全保保护护能能力力。这这个个能能力可以认为是一个最基本的安全基线。力可以认为是一个最基本的安全基线。n结结论论：满满足足需需求求的的能能力力基基线线是是最最低低要要求求，根根据据实实际际业业务务的的需需要要和和发发展展，信信息息系系统的所有者和使用者有必要自行定义所需的安全基线，并不断修正。统的所有者和使用者有必要自行定义所需的安全基线，并不断修正。14信息安全基线的产生信息安全基线的产生信息安全基线可满足当前信息安全建设需求的各个方面信息安全基线可满足当前信息安全建设需求的各个方面内部需求满足内部需求满足内部需求满足内部需求满足 知识产品保护知识产品保护知识产品保护知识产品保护 机密信息保护机密信息保护机密信息保护机密信息保护 脆弱性保护脆弱性保护脆弱性保护脆弱性保护合规需求满足合规需求满足合规需求满足合规需求满足 等级保护规范等级保护规范等级保护规范等级保护规范 萨班斯方案萨班斯方案萨班斯方案萨班斯方案 行业安全规范行业安全规范行业安全规范行业安全规范信息安全基线信息安全基线信息安全基线信息安全基线Integrity完整性完整性完整性完整性Availability可用性可用性可用性可用性Confidentiality保密性保密性保密性保密性满足当前需求，确保业务的连续满足当前需求，确保业务的连续性、减少业务损失并且使投资和性、减少业务损失并且使投资和商务机会获得最大的回报商务机会获得最大的回报15等级保护技术要求和管理要求分析等级保护技术要求和管理要求分析某级系统某级系统某级系统某级系统物物物物理理理理安安安安全全全全技术要求技术要求技术要求技术要求管理要求管理要求管理要求管理要求基本要求基本要求基本要求基本要求网网网网络络络络安安安安全全全全主主主主机机机机安安安安全全全全应应应应用用用用安安安安全全全全数数数数据据据据安安安安全全全全安安安安全全全全管管管管理理理理机机机机构构构构安安安安全全全全管管管管理理理理制制制制度度度度人人人人员员员员安安安安全全全全管管管管理理理理系系系系统统统统建建建建设设设设管管管管理理理理系系系系统统统统运运运运维维维维管管管管理理理理n等等级级保保护护的的技技术术要要求求和和管管理理要要求求只只是是具具体体的的目目标标，而而不不强强调调实实现现的的方方法法。这这就就强调了信息系统的所有者和使用者在信息安全建设中的主体地位。强调了信息系统的所有者和使用者在信息安全建设中的主体地位。等保的技术要求部分不包含技术框架的搭建，其技术目标的实现也不固定要求对应到某一种或者某一类安全产品中。事实上，具体的安全产品和解决方案可以横跨多个安全要求大项，实现多个安全目标。n结结论论：进进行行等等级级保保护护建建设设的的主主体体是是信信息息系系统统的的所所有有者者和和使使用用者者，由由信信息息系系统统的的所有者和使用者根据自身的特点，自行规划、设计和实现。所有者和使用者根据自身的特点，自行规划、设计和实现。16H3C等级保护建设思路等级保护建设思路治理架构治理架构n等级保护规范nISO27000n萨班斯法案法规遵从法规遵从n机密信息保护n知识产权保护内部驱动内部驱动核心计算环境核心计算环境人机交互环境人机交互环境系统外部环境系统外部环境技术框架管理框架n以以ISO 27000系列为基础建立系列为基础建立ISMS（Information Security Management System，信息安全管理体系，信息安全管理体系），在符合性方面满足法规遵从要求），在符合性方面满足法规遵从要求n以统一安全策略为基础，综合运用技术策略与管理策略以统一安全策略为基础，综合运用技术策略与管理策略最佳实践：最佳实践：最佳实践：最佳实践：H3CH3C安全建设方案安全建设方案安全建设方案安全建设方案17nISO 27000系系列列标标准准具具有有完完整整的的规规范范体体系系，覆覆盖盖要要求求、最最佳佳实实践践、实实施施指指南南、风风险险管理等各个方面管理等各个方面n以以ISO 27000为为框框架架可可以以指指导导建建设设满满足足等等级级保保护护要要求求的的信息安全架构信息安全架构ISO 27000系列标准和术语定义ISO 27001信息安全管理体系要求 ISMS Requirements ISO 27002信息安全管理实践准则ISO 27003实施指南ISMS Implementation guidelines ISO 27004度量指标与衡量ISMS Metrics and measurement ISO 27006灾难恢复和服务指南 ISO 27005风险管理指南Risk Management基于基于ISO 27000建立信息安全架构建立信息安全架构18安全需求随业务需求演进安全需求随业务需求演进安全滞后安全滞后业务需求业务需求业务需求业务需求安全满足现状安全满足现状业务需求更新业务需求更新业务需求更新业务需求更新阻碍阻碍安全领先安全领先牵引牵引安全安全安全安全ITIT基础架构基础架构基础架构基础架构业务现状业务现状业务现状业务现状业务发展业务发展业务发展业务发展业务需求是无法超越的，但安全建设是可以先行的业务需求是无法超越的，但安全建设是可以先行的19基于基于PDCA模型推动安全架构演进模型推动安全架构演进部门工具部门工具部门工具部门工具企业工具企业工具企业工具企业工具战略工具战略工具战略工具战略工具核心竞争力核心竞争力核心竞争力核心竞争力信息化发展历程信息化发展历程数字化数字化数字化数字化IT产品化产品化 IT系统化系统化 IT集中集中化化 IT集集成成化化 IT资源化资源化 主要矛盾：主要矛盾：非授权访问主要矛盾：主要矛盾：业务不稳定主要矛盾：主要矛盾：资料丢失主要矛盾：主要矛盾：跨域访问主要矛盾：主要矛盾：动态业务PDCAPDCA的演进的演进的演进的演进发起者：发起者：系统用户解决方案：解决方案：主机防病毒发起者：发起者：网络管理员解决方案：解决方案：网络防病毒防火墙系统入侵检测发起者：发起者：技术主管解决方案：解决方案：分域防护入侵抵御终端控制发起者：发起者：CIO解决方案：解决方案：统一规划统一管理风险控制发起者：发起者：CEO解决方案：解决方案：机构战略决策生命周期管理机构内部控制执行执行计划计划检查检查行动行动安全建设规律安全建设规律 安全基线更新安全基线更新安全基线更新安全基线更新安全基线更新安全基线更新安全基线更新安全基线更新20信息安全等级保护政策信息安全等级保护政策H3C等级保护建设思路等级保护建设思路H3C等级保护解决方案等级保护解决方案H3C安全产品线简介安全产品线简介21H3C在等级保护建设过程中能够参与的工作在等级保护建设过程中能够参与的工作安全控制过程方法确定系统等级安全规划设计实施运行/维护确定安全需求设计安全方案安全建设安全测评运行监控维护响应特殊需求等级需求基本要求产品使用选型系统监控测评准则流程方法监控流程应急预案应急响应PlanDoCheckAction等保建设过程：基于等保建设过程：基于等保建设过程：基于等保建设过程：基于PDCAPDCA、遵从公安部信息安全等级保护规范！、遵从公安部信息安全等级保护规范！、遵从公安部信息安全等级保护规范！、遵从公安部信息安全等级保护规范！应急响应应急响应应急响应应急响应评估咨询评估咨询评估咨询评估咨询方案设计方案设计方案设计方案设计周期性检测周期性检测周期性检测周期性检测22H3C SecCare安全服务体系安全服务体系安全三要安全三要安全三要安全三要素素素素人人人人流程流程流程流程技术技术技术技术培训培训培训培训咨询咨询咨询咨询评估评估评估评估n安全咨询安全咨询-以ISO 17799/27001、GB/T 17859等级保护规范为基础，以安全最佳实践为模板，提供一种切实可行的安全建设的思路。n风险评估风险评估-以ISO 17799/27001、GB/T 17859等级保护规范为标准，遵循GB/T 20984-2007信息安全风险评估规范，对信息安全建设现状进行评价。n安全培训安全培训-提供针对CIO/信息主管、主要工程师和一般用户的不同的培训课程，全面提高安全意识和技术能力。n应急响应应急响应-对信息系统出现的紧急安全事件进行响应，包括电话支持、远程支持以及现场支持等形式。H3C SecCare H3C SecCare 安全服务体系安全服务体系安全服务体系安全服务体系23网络安全技术体系网络安全技术体系iSPN局部安全局部安全全局安全全局安全智能安全智能安全端到端安全端到端安全解决方案解决方案X86ASICNPFPGAMulti-core万兆万兆安全平台安全平台FW/VPN/UTM/IPS/.EAD/Anti-Virus.SecCenter/SecBlade/ACG.CRMERPOASCMP2PWEB2.0.IT 应用应用24远程安全接入远程安全接入边界防护边界防护安全统一管理平台安全统一管理平台内网控制内网控制行为监管行为监管数据中心保护数据中心保护五大解决方案五大解决方案25SecCenter大型分支大型分支SecPath 防火墙防火墙中小型分支中小型分支IPSec VPNIPSec+GRE VPN移动用户移动用户BIMSSSL VPN合作伙伴合作伙伴IPSec VPN内部网内部网InternetVPN VPN ManagerManagerSecPath 防火墙防火墙SecPath 防火墙防火墙SecPath 防火墙防火墙SecPath 防火墙防火墙安全管理平台安全管理平台n VPN是成本最低、应用最广泛的接入技术，预计2008年14亿人民币空间-计世资讯H3C远程安全接入解决方案远程安全接入解决方案方案描述方案描述SecPath系列防火墙：实现大型分支、中小型分支/合作伙伴、移动用户不同安全接入需求SecCenter：实现全网安全统一管理BIMS/VPN Manager：实现全网VPN部署和监控。26等保满足性等保满足性可满足的一级技术目标可满足的一级技术目标O1-6.应具有对传输和存储数据进行完整性检测的能力应具有对传输和存储数据进行完整性检测的能力O1-8.应具有合理使用和控制系统资源的能力应具有合理使用和控制系统资源的能力O1-9.应具有设计合理、安全网络结构的能力应具有设计合理、安全网络结构的能力O1-14.应具有对网络、系统和应用的访问进行控制的能力应具有对网络、系统和应用的访问进行控制的能力O1-15.应具有对数据、文件或其他资源的访问进行控制的能力应具有对数据、文件或其他资源的访问进行控制的能力O1-16.应具有对用户进行标识和鉴别的能力应具有对用户进行标识和鉴别的能力O1-17.应具有保证鉴别数据传输和存储保密性的能力应具有保证鉴别数据传输和存储保密性的能力27等保满足性等保满足性可满足的二级技术目标可满足的二级技术目标O2-11.应应具具有有对对传传输输和和存存储储数数据据进进行行完完整整性性检检测测的能力的能力O2-12.应具有对硬件故障产品进行替换的能力应具有对硬件故障产品进行替换的能力O2-13.应具有系统软件、应用软件容错的能力应具有系统软件、应用软件容错的能力O2-14.应具有软件故障分析的能力应具有软件故障分析的能力O2-15.应具有合理使用和控制系统资源的能力应具有合理使用和控制系统资源的能力O2-16.应具有记录用户操作行为的能力应具有记录用户操作行为的能力O2-22.应应具具有有对对传传输输和和存存储储中中的的信信息息进进行行保保密密性性保护的能力保护的能力O2-24.应应具具有有限限制制网网络络、操操作作系系统统和和应应用用系系统统资资源使用的能力源使用的能力O2-25.应应具具有有能能够够检检测测对对网网络络的的各各种种攻攻击击并并记记录录其活动的能力其活动的能力O2-27.应应具具有有对对网网络络、系系统统和和应应用用的的访访问问进进行行控控制制的能力的能力O2-28.应应具具有有对对数数据据、文文件件或或其其他他资资源源的的访访问问进进行行控制的能力控制的能力O2-29.应具有对资源访问的行为进行记录的能力应具有对资源访问的行为进行记录的能力O2-30.应具有对用户进行唯一标识的能力应具有对用户进行唯一标识的能力O2-31.应应具具有有对对用用户户产产生生复复杂杂鉴鉴别别信信息息并并进进行行鉴鉴别别的能力的能力O2-35.应应具具有有保保证证鉴鉴别别数数据据传传输输和和存存储储保保密密性性的的能能力力O2-37.应应具具有有非非活活动动状状态态一一段段时时间间后后自自动动切切断断连连接接的能力的能力O2-38.应具有网络边界完整性检测能力应具有网络边界完整性检测能力28等保满足性等保满足性可满足的三级技术目标可满足的三级技术目标O3-14.应具有监测通信线路传输状况的能力应具有监测通信线路传输状况的能力O3-15.应具有及时恢复正常通信的能力应具有及时恢复正常通信的能力O3-16.应应具具有有对对传传输输和和存存储储数数据据进进行行完完整整性性检检测测和和纠纠错错的的能力能力O3-17.应具有系统软件、应用软件容错的能力应具有系统软件、应用软件容错的能力O3-18.应具有软件故障分析的能力应具有软件故障分析的能力O3-19.应具有软件状态监测和报警的能力应具有软件状态监测和报警的能力O3-20.应具有自动保护当前工作状态的能力应具有自动保护当前工作状态的能力O3-21.应具有合理使用和控制系统资源的能力应具有合理使用和控制系统资源的能力O3-22.应具有按优先级自动分配系统资源的能力应具有按优先级自动分配系统资源的能力O3-33.应具有使重要通信线路及时恢复的能力应具有使重要通信线路及时恢复的能力O3-34.应应具具有有限限制制网网络络、操操作作系系统统和和应应用用系系统统资资源源使使用用的的能力能力O3-35.应应具具有有合合理理分分配配、控控制制网网络络、操操作作系系统统和和应应用用系系统统资源的能力资源的能力O3-36.应应具具有有能能够够检检测测、分分析析、响响应应对对网网络络和和重重要要主主机机的的各种攻击的能力各种攻击的能力O3-38.应具有对网络、系统和应用的访问进行严格控制的能力应具有对网络、系统和应用的访问进行严格控制的能力O3-39.应应具具有有对对数数据据、文文件件或或其其他他资资源源的的访访问问进进行行严严格格控控制制的的能力能力O3-44.应具有保证鉴别数据传输和存储保密性的能力应具有保证鉴别数据传输和存储保密性的能力O3-45.应具有对用户进行唯一标识的能力应具有对用户进行唯一标识的能力O3-51.应具有对传输和存储中的信息进行保密性保护的能力应具有对传输和存储中的信息进行保密性保护的能力O3-52.应具有防止加密数据被破解的能力应具有防止加密数据被破解的能力O3-53.应具有路由选择和控制的能力应具有路由选择和控制的能力O3-54.应具有信息源发的鉴别能力应具有信息源发的鉴别能力O3-55.应具有通信数据完整性检测和纠错能力应具有通信数据完整性检测和纠错能力O3-57.应具有持续非活动状态一段时间后自动切断连接的能力应具有持续非活动状态一段时间后自动切断连接的能力O3-58.应具有基于密码技术的抗抵赖能力应具有基于密码技术的抗抵赖能力O3-59.应具有防止未授权下载、拷贝软件或者文件的能力应具有防止未授权下载、拷贝软件或者文件的能力O3-61.应具有切断非法连接的能力应具有切断非法连接的能力O3-62.应具有重要数据和程序进行完整性检测和纠错能力应具有重要数据和程序进行完整性检测和纠错能力O3-66.应具有保证重要业务系统及时恢复运行的能力应具有保证重要业务系统及时恢复运行的能力29等保满足性等保满足性可满足的四级技术目标可满足的四级技术目标O4-15.应具有监测通信线路传输状况的能力应具有监测通信线路传输状况的能力O4-21.应具有合理使用和控制系统资源的能力应具有合理使用和控制系统资源的能力O4-22.应具有按优先级自动分配系统资源的能力应具有按优先级自动分配系统资源的能力O4-23.应应具具有有对对传传输输和和存存储储数数据据进进行行完完整整性性检检测测和和纠纠错错的能力的能力O4-36.应具有使重要通信线路及时恢复的能力应具有使重要通信线路及时恢复的能力O4-37.应应具具有有限限制制网网络络、操操作作系系统统和和应应用用系系统统资资源源使使用用的能力的能力O4-38.应应具具有有能能够够检检测测、集集中中分分析析、响响应应、阻阻止止对对网网络络和所有主机的各种攻击的能力和所有主机的各种攻击的能力O4-39.应应具具有有合合理理分分配配、控控制制网网络络、操操作作系系统统和和应应用用系系统资源的能力统资源的能力O4-41.应应具具有有对对网网络络、系系统统和和应应用用的的访访问问进进行行严严格格控控制制的能力的能力O4-42.应应具具有有对对数数据据、文文件件或或其其他他资资源源的的访访问问进进行行严严格格控制的能力控制的能力O4-47.应具有保证鉴别数据传输和存储保密性的能力应具有保证鉴别数据传输和存储保密性的能力O4-48.应具有对用户进行唯一标识的能力应具有对用户进行唯一标识的能力O4-49.应应具具有有对对同同一一个个用用户户产产生生多多重重鉴鉴别别信信息息，其其中中一一个个是是不不可伪造的鉴别信息并进行多重鉴别的能力可伪造的鉴别信息并进行多重鉴别的能力O4-53.应具有对传输和存储中的信息进行保密性保护的能力应具有对传输和存储中的信息进行保密性保护的能力O4-55.应具有防止加密数据被破解的能力应具有防止加密数据被破解的能力O4-56.应具有路由选择和控制的能力应具有路由选择和控制的能力O4-57.应具有信息源发的鉴别能力应具有信息源发的鉴别能力O4-59.应具有持续非活动状态一段时间后自动切断连接的能力应具有持续非活动状态一段时间后自动切断连接的能力O4-60.应具有基于密码技术的抗抵赖能力应具有基于密码技术的抗抵赖能力O4-61.应具有防止未授权下载、拷贝软件或者文件的能力应具有防止未授权下载、拷贝软件或者文件的能力O4-63.应具有切断非法连接的能力应具有切断非法连接的能力O4-64.应具有重要数据和程序进行完整性检测和纠错能力应具有重要数据和程序进行完整性检测和纠错能力O4-68.应具有保证通信不中断的能力应具有保证通信不中断的能力O4-69.应具有保证业务系统不中断的能力应具有保证业务系统不中断的能力30方案涉及产品与等级保护对应关系方案涉及产品与等级保护对应关系产品产品等保一级等保一级等保二级等保二级等保三级等保三级等保四级等保四级防火墙防火墙/VPN/VPN网关网关必选必选必选必选必选必选必选必选SecKeySecKey身份身份认证令牌认证令牌推荐推荐必选必选必选必选必选必选BIMS/VPN BIMS/VPN ManagerManager网网管管推荐推荐推荐推荐必选必选必选必选SecCenterSecCenter安全管理中安全管理中心心推荐推荐推荐推荐推荐推荐推荐推荐31安全管理平台安全管理平台SecCenterSecCenterSecPathSecPath防火墙防火墙交换机交换机DMZDMZ路由器路由器SecPath IPSSecPath IPSSecPathSecPath防火墙防火墙数据中心数据中心SecBlade FW/IPSSecBlade FW/IPS方案描述方案描述SecPath/SecBlade防火墙：提供2-4层包过滤、状态检测等技术实现边界隔离SecPath/SecBlade IPS：提供4-7层安全防护SecCenter：对部署的防火墙、IPS以及其他不同厂商的产品进行统一安全管理。外联单位外联单位H3C边界防护解决方案边界防护解决方案32等保满足性等保满足性可满足的一级技术目标可满足的一级技术目标O1-8.应具有合理使用和控制系统资源的能力应具有合理使用和控制系统资源的能力O1-9.应具有设计合理、安全网络结构的能力应具有设计合理、安全网络结构的能力O1-13.应应具具有有发发现现网网络络协协议议、操操作作系系统统、应应用用系系统统等等重重要要漏漏洞洞并并及及时时修修补的能力补的能力O1-14.应具有对网络、系统和应用的访问进行控制的能力应具有对网络、系统和应用的访问进行控制的能力O1-15.应具有对数据、文件或其他资源的访问进行控制的能力应具有对数据、文件或其他资源的访问进行控制的能力O1-16.应具有对用户进行标识和鉴别的能力应具有对用户进行标识和鉴别的能力O1-17.应具有保证鉴别数据传输和存储保密性的能力应具有保证鉴别数据传输和存储保密性的能力O1-18.应具有对恶意代码的检测、阻止和清除能力应具有对恶意代码的检测、阻止和清除能力33等保满足性等保满足性可满足的二级技术目标可满足的二级技术目标O2-15.应具有合理使用和控制系统资源的能力应具有合理使用和控制系统资源的能力O2-16.应具有记录用户操作行为的能力应具有记录用户操作行为的能力O2-25.应具有能够检测对网络的各种攻击并记录其活动的能力应具有能够检测对网络的各种攻击并记录其活动的能力O2-26.应具有发现所有已知漏洞并及时修补的能力应具有发现所有已知漏洞并及时修补的能力O2-27.应具有对网络、系统和应用的访问进行控制的能力应具有对网络、系统和应用的访问进行控制的能力O2-28.应具有对数据、文件或其他资源的访问进行控制的能力应具有对数据、文件或其他资源的访问进行控制的能力O2-32.应具有对恶意代码的检测、阻止和清除能力应具有对恶意代码的检测、阻止和清除能力O2-33.应具有防止恶意代码在网络中扩散的能力应具有防止恶意代码在网络中扩散的能力O2-34.应具有对恶意代码库和搜索引擎及时更新的能力应具有对恶意代码库和搜索引擎及时更新的能力O2-38.应具有网络边界完整性检测能力应具有网络边界完整性检测能力34等保满足性等保满足性可满足的三级技术目标可满足的三级技术目标O3-21.应具有合理使用和控制系统资源的能力应具有合理使用和控制系统资源的能力O3-34.应具有限制网络、操作系统和应用系统资源使用的能力应具有限制网络、操作系统和应用系统资源使用的能力O3-35.应具有合理分配、控制网络、操作系统和应用系统资源的能力应具有合理分配、控制网络、操作系统和应用系统资源的能力O3-36.应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力O3-37.应具有发现所有已知漏洞并及时修补的能力应具有发现所有已知漏洞并及时修补的能力O3-38.应具有对网络、系统和应用的访问进行严格控制的能力应具有对网络、系统和应用的访问进行严格控制的能力O3-39.应具有对数据、文件或其他资源的访问进行严格控制的能力应具有对数据、文件或其他资源的访问进行严格控制的能力O3-40.应具有对资源访问的行为进行记录、分析并响应的能力应具有对资源访问的行为进行记录、分析并响应的能力O3-41.应具有对恶意代码的检测、阻止和清除能力应具有对恶意代码的检测、阻止和清除能力O3-42.应具有防止恶意代码等在网络中扩散的能力应具有防止恶意代码等在网络中扩散的能力O3-43.应具有对恶意代码库和搜索引擎及时更新的能力应具有对恶意代码库和搜索引擎及时更新的能力O3-53.应具有路由选择和控制的能力应具有路由选择和控制的能力O3-54.应具有信息源发的鉴别能力应具有信息源发的鉴别能力O3-59.应具有防止未授权下载、拷贝软件或者文件的能力应具有防止未授权下载、拷贝软件或者文件的能力O3-60.应具有网络边界完整性检测能力应具有网络边界完整性检测能力O3-61.应具有切断非法连接的能力应具有切断非法连接的能力35等保满足性等保满足性可满足的四级技术目标可满足的四级技术目标O4-21.应具有合理使用和控制系统资源的能力应具有合理使用和控制系统资源的能力O4-22.应具有按优先级自动分配系统资源的能力应具有按优先级自动分配系统资源的能力O4-37.应具有限制网络、操作系统和应用系统资源使用的能力应具有限制网络、操作系统和应用系统资源使用的能力O4-38.应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力O4-39.应具有合理分配、控制网络、操作系统和应用系统资源的能力应具有合理分配、控制网络、操作系统和应用系统资源的能力O4-40.应具有发现所有已知漏洞并及时修补的能力应具有发现所有已知漏洞并及时修补的能力O4-41.应具有对网络、系统和应用的访问进行严格控制的能力应具有对网络、系统和应用的访问进行严格控制的能力O4-42.应具有对数据、文件或其他资源的访问进行严格控制的能力应具有对数据、文件或其他资源的访问进行严格控制的能力O4-44.应具有对恶意代码的检测、集中分析、阻止和清除能力应具有对恶意代码的检测、集中分析、阻止和清除能力O4-45.应具有防止恶意代码在网络中扩散的能力应具有防止恶意代码在网络中扩散的能力O4-46.应具有对恶意代码库和搜索引擎及时更新的能力应具有对恶意代码库和搜索引擎及时更新的能力O4-47.应具有保证鉴别数据传输和存储保密性的能力应具有保证鉴别数据传输和存储保密性的能力O4-56.应具有路由选择和控制的能力应具有路由选择和控制的能力O4-57.应具有信息源发的鉴别能力应具有信息源发的鉴别能力O4-61.应具有防止未授权下载、拷贝软件或者文件的能力应具有防止未授权下载、拷贝软件或者文件的能力O4-62.应具有网络边界完整性检测能力应具有网络边界完整性检测能力O4-63.应具有切断非法连接的能力应具有切断非法连接的能力36方案涉及产品与等级保护对应关系方案涉及产品与等级保护对应关系产品产品等保一级等保一级等保二级等保二级等保三级等保三级等保四级等保四级防火墙防火墙必选必选必选必选必选必选必选必选IPSIPS必选必选必选必选必选必选必选必选SecCent