安恒信息等保&商用密码 整体解决方案 深圳市场行销 盛会琴 www.dbappsecurity.com.cn 400-6059-110 Part01 等保解决方案 目录 01 等保核心内容 02 等保2.0解决方案 03 等级保护咨询服务 04 安恒优势价值 Contents 等级保护2.0安全体系 等保2.0安全框架内容 网络安全战略规划目标 总体安全策略 国家网络安全等级保护制度 国 家 网 络 安 全 法 律 法 规 政 策 体 系 定级备案 组 织 管 理 机 制 建 设 安全建设 安 全 规 划 安 全 监 测 通 报 预 警 等级测评 应 急 处 置 态 势 感 知 能 力 建 设 安全整改 技 术 检 测 安 全 可 控 监督检查 队 伍 建 设 教 育 培 训 经 费 保 障 网络安全综合防御体系 风险管理体系 安全管理体系 安全技术体系 网络信任体系 安全管理中心 通信网络 区域边界 计算环境 等级保护对象 网络基础设施、信息系统、云计算平台、大数据平台、物联网、工业 控制系统等 国 家 网 络 安 全 等 级 保 护 政 策 标 准 体 系 1 依据国家网络安全法律法规和等级 保护政策标准开展等级保护工作; 2 确定等级保护对象; 3 依然采用“一个中心、三重防护” 的理念; 4 建立安全技术体系和安全管理体系, 构建具备相应等级安全保护能力的 网络安全综合防御体系。 5 开展组织管理、机制建设、安全规划、 通报预警、应急处置、态势感知、能 力建设、监督检查、技术检测、队伍 建设、教育培训和经费保障等工作 。 等级2.0新增要求 应对新技术提出新要求 等级保护2.0为应对新技术对传统安全和传统等保的冲击, 通过安全扩展要求提出了新的安全要求,以保障云计算、 大数据等新技术下安全合规。 增强未知威胁防范和攻击溯源能力 增强了对未知威胁的防范要求,针对邮件攻击威胁提出 邮件安全要求,提出统一管控,要求能够对攻击进行溯 源和取证。 建立主动安全保障体系 感知预警、安全分析、动态防护、全面检测、应急处置 兵种,打造主动安全保障体系,提高信息系统网络抗攻 击能力。 注重数据安全和个人信息保护 更加注重数据安全保障和个人信息保护,数据是IT的核 心和生命,个人信息保护在互联网时代被无限放大。 等级2.0新增要求 可信 以访问控制技术为核心,实现主体对客体 的受控访问,保证所有的访问行为均在可控 范围之内进行,在防范内部攻击的同时有效 防止了从外部发起的攻击行为。对用户访问 权限的控制可以确保系统中的用户不会出现 越权操作,永远都按系统设计的策略进行资 源访问,保证了系统的信息安全可控。 可控 以可信认证为基础,构建一个可信的业务系 统执行环境,即用户、平台、程序都是可信的, 确保用户无法被冒充、病毒无法执行、入侵行为 无法成功。可信的环境保证业务系统永远都按照 设计预期的方式执行,不会出现非预期的流程, 从而保障了业务系统安全可信。 可管 通过构建集中管控、最小权限管理与 三权分立的管理平台,为管理员创建一个 工作平台,使其可以进行技术平台支撑下 的安全策略管理,从而保证信息系统安全 可管。 信息系统的安全设计应基于业务流程自身特点,建立“可信、可控、可管”的安全防护体 系,使得系统能够按照预期运行,免受信息安全攻击和破坏。 做等保之前,你需要了解客户的哪些信息? 1、什么系统做等保?系统的服务功能是什么? 2、系统做等保几级?二级还是三级? 3、系统是在本地机房?还是云平台上? 4、内部业务系统还是外部业务系统?系统中的用户数? 5、系统所运行的网络环境?已经有哪些防护措施(设备)?有拓扑图吗? 6、资产情况:有多少服务器(物理机&虚拟机)?有多少数据库?有多少PC终端? 多少web资产? 7、客户打算在什么时候做完整改及测评? 8、打算花多少钱? 建设原则  等保合规为基础 保障客户传统信息系统安全、云安全、大数据安全、工控安全、物 联网安全和智慧城市安全等。 等保合规是 基础 动态保障是 提升 通过新技术、新产品、新服务,协助客户建立感知预警、主动防护、 全面监测、应急处置的动态保障体系。 数据驱动聚变 有效防护是 核心 动态保障是提升 数据驱动 聚变 数据驱动安全,通过大数据安全分析技术,降低客户安全运维成本, 提升发现威胁和感知态势的能力,实现安全可视化,安全智能化。 有效防护是核心 通过多维度的闭环保障体系,采用安全数据分析有效改变防护策略, 全面审计有效发现问题,协助客户进行安全咨询和服务,最终达到 有效防护,保障客户核心资产安全。 遵循标准:基本要求框架(三级) 系统管理 技术要求 管理要求 安全管理中心 安全管理制度 审计管理 安全管理 集中管控 安全策略 管理制度 安全计算环境 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 数据完整性 数据保密性 数据备份恢复 剩余信息保护 个人信息保护 安全区域边界 访问控制 入侵防范 恶意代码和垃圾邮件防范 通信传输 岗位设置 人员配备 人员离岗 可信验证 安全物理环境 防雷击 防火 防水和防潮 温湿度控制 电力供应 电磁防护 安全意识教育和培训 定级和备案 安全方案设计 自行软件开发 外包软件开发 系统交付 等级测评 环境管理 安全运维管理 资产管理 介质管理 可信验证 物理访问控制 沟通和合作 审查和检查 外部人员访问管理 安全建设管理 安全审计 物理位置选择 授权和审批 安全管理人员 人员录用 安全通信网络 网络架构 评审和修订 安全管理机构 身份鉴别 边界防护 制定和发布 防盗窃和防破坏 防静电 漏洞和风险管理 产品采购和使用 工程实施 服务供应商选择 网络和系统安全管理 配置管理 密码管理 变更管理 安全事件处置 测试验收 设备维护管理 恶意代码防范管理 备份与恢复管理 应急预案管理 外包运维管理 威胁情报中心 态势感知平台 安全技术体系 安全管理体系 安全计算环境 明御Web 防火墙 安全管理人员 安全区域边界 明御防 火墙 安全建设管理 安全通信网络 网络结构 优化 安全运维管理 新技术体系 资产梳理分析 安全管理中心 安恒云 安全风险发现 态势感知 日志审计 玄武盾 漏洞管理 平台 堡垒机 通用技术体系 安全管理制度 安全管理机构 安全运营体系 安全物理环境 安恒专家服务 明御数据 库审计 咨询顾问 明御 APT 明御入 侵检测 明御防 火墙 物理位置 网页防篡 改 数据库 防火墙 SSL VPN 防水防盗 等保加固 主机安全 管理EDR 网络准 人 上网行 为管理 漏洞扫描 主机安全管 理系统 网络监控 温湿度 应急响应 电力供应 工业防火墙 工业漏洞扫描 工业安全监测审计 物联网感知防护设 备 情报分析 安恒核心能力 漏洞研究 重大活动安保服务 威胁情报 安全咨询服务 大数据分析 海特实验室 兵刃实验室 评估加固/安全运维 安全漏洞加固 安全分析处置 安全运营管理 人才培养 等级保护三级典型拓扑 安全通信网络 Internet 抗DDoS 安全计算环境 数据库 防火墙 研发区 安全计算环境 安全区域边界 数据库 审计 NGFW 办公区 NGFW 路由器 安全区域边界 NGFW 上网行为管理 联网区 核心交换机 安全通信网络 核心交换区 NGFW 安全计算环境 NGFW WAF 安全区域边界 路由器 分支外联 安全通信网络 区 DMZ WAF 安全区域边界 数据中心区 负载均衡 安全计算环境 VPN NGFW NGFW 视频准入引擎 安全计算环境 物联网安全心 前端IPC 安防设施区 日志审计 DPI 物联网监测 远程评估 安全管理中心 运维审计 APT 大数据 运维管理区 EDR中心 安全通信网络设计 等保要求 安全通信网络 控制点 对应产品和方案 网络架构 网络设备性能冗余、链路带宽冗余、安全域划分、QoS、负载均衡、核心设备/主干链路冗余部署 通信传输 IPsec VPN/SSL VPN 可信验证 可信计算机制 移动办公 SSL VPN Internet 1 区 DMZ 负载均衡 数据中心区 NGFW VPN 路由器 NGFW NGFW 研发区 联网区 NGFW 核心交换机 办公区 NGFW 核心交换区 NGFW NGFW 2 安防设施区 分支机构 IPSEC VPN 运维管理区 网络分区: 根据不同的功能进行网络区域划分,区域内划分 VLAN,区域之间通过防火墙进行区域隔离和访问 控制。 3 加密通信: 采用SSL VPN对移动办公用户数据进行加密; 采用IPSEC VPN对分支机构接入数据进行加密。 4 冗余架构: 网络出口区、核心交换区、数据中心区等提供设备 冗余、双链路冗余。 5 路由器 分支外联 前端IPC 网络设计合理: 选择具有冗余性能的路由器、交换机、防火墙等设备; 链路带宽需要根据业务高峰期的峰值带宽进行设计。 可信验证: 基于可信根对通信设备的系统引导程序、系统程序、 重要配置参数和通信应用程序等进行可信验证,报警、 审计。 安全区域边界设计 等保要求 安全区域边界 控制点 对应产品和方案 边界防护 下一代防火墙,身份认证与准入 访问控制 下一代防火墙,Web应用防火墙,数据库防火墙 入侵防范 入侵检测与防御系统、APT防护、DPI流量分析 恶意代码和垃圾邮件防范 防病毒网关、垃圾邮件网关、邮件审计、下一代防火墙 安全审计 集中日志审计、上网行为管理 可信验证 可信计算机制 Internet 1 抗DDoS WAF 数据库 防火墙 区 DMZ 数据中心区 WAF 路由器 NGFW NGFW VPN NGFW 视频准入引擎 上网行为管理 研发区 联网区 办公区 NGFW NGFW 核心交换机 核心交换区 NGFW 前端IPC 安防设施区 NGFW 日志审计 DPI APT 路由器 运维管理区 分支外联 2 边界防护: 跨越边界的访问和数据流通过边界防火墙提供的受控接口 进行通信; 身份认证与准入对非授权设备、用户等进行检查与控制。 访问控制: 边界防火墙设置访问控制策略,进行受控通

pdf文档 安恒 等保&商用密码整体解决方案 2022

文档预览
中文文档 55 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共55页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
安恒 等保&商用密码整体解决方案 2022 第 1 页 安恒 等保&商用密码整体解决方案 2022 第 2 页 安恒 等保&商用密码整体解决方案 2022 第 3 页
下载文档到电脑,方便使用
本文档由 思安 于 2022-10-19 12:25:07上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。