等保2.0解決方案

需求與挑戰

↔€;國(guó)家(jiā)政策：2018年(nián)6月(yuè)27日(rì)，公安部會( εφhuì)同中央網信辦、國(guó)家(jiā)保密局、國(guó)家 ↓(jiā)密碼管理(lǐ)局起草(cǎo)發布《網絡安全等級保護條例（征∞ 求意見(jiàn)稿）》（簡稱“《等保條例》”）。作(zuò)為(wèi ™&∑)《網絡安全法》的(de)重要(yào)配套法規，“等保條例< ' ”為(wèi)等保建設建設提出了(le)更加具體(®©tǐ)、操作(zuò)性也(yě)更強的(de)要≤(yào)求，為(wèi)開(kāi)展等級保護工(gōng)作(zuòδ₹)提供了(le)重要(yào)的(de)法律&∞®支撐。

等保2.0解讀(dú)：

♠< 網絡安全等級保護基本要(yào)求之整體(tǐ)框架——

技(jì)術(shù)框架——

技(jì)術(shù)框架

管理(lǐ)框架——

管理(lǐ)框架

等保2.0三級通(tōng)用(yòng)要(yào)求解讀(dú)：←¥™

要(yào)求解讀(dú)

安全通(tōng)用(yòng)要(yào)求：技(jì)術(§®₩shù)方案總體(tǐ)框架

技(jì)術(shù)方案架構

（1）安全物(wù)理(lǐ)環境

物(wù)理(lǐ)安全

物(wù)理(lǐ)訪問(wèn)控制(↓'πzhì)

機(jī)房(fáng)出入口應配置電(diàn)子(zǐ)門♦∑'(mén)禁系統，控制(zhì)、鑒别和(hé)記錄進♥$‍∏入的(de)人(rén)員(yuán)

防盜竊和(hé)防破壞

應設置機(jī)房(fáng)防盜報(bβ$ào)警系統或設置有(yǒu)專人(rén)值守的(de)視( ∏Ωshì)頻(pín)監控系統

防火(huǒ)

機(jī)房(fáng)應設置火(huǒ)災自(zì)動消防系統，能(néng&¥ )夠自(zì)動檢測火(huǒ)情，自(zì)動報(bào)警×™∞，并自(zì)動滅火(huǒ)，

溫濕度控制(zhì)

應設置溫濕度自(zì)動調節設施，使機(jī)房(fáng)溫濕度的(de)變♥₩∑化(huà)在設備運行(xíng)所允許的(de)∞♥範圍之內(nèi)，

電(diàn)力供應

應提供短(duǎn)期的(de)備用(yòng)電(diàn)力供應，至©"少(shǎo)滿足設備在斷電(diàn)情況下(xià)的(de)₽β♦正常運行(xíng)要(yào)求。

應設置冗餘或并行(xíng)的(de)電(diàn)力電(di£₹εàn)纜線路(lù)為(wèi)計(jì)算(suàn)機(jī)系統§&•∑供電(diàn)

（2）安全通(tōng)信網絡

安全通(tōng)信網絡

選型合理(lǐ)

保證各個(gè)部分(fēn)的(de)路Ω<←(lù)由器(qì)、交換機(jī)、防火(huǒ)牆等<✘ ≈設備業(yè)務處理(lǐ)能(néng)力和(hé)各個(gè)部分(f$ε∑ēn)網絡帶寬滿足業(yè)務高(gāo)峰∞ ₹<期需要(yào)；

分(fēn)區(qū)分(fēn)域（①≠ ₩♣所用(yòng)設備）

劃分(fēn)不(bù)同的(de)網絡區(qū₩γ)域，并按照(zhào)方便管理(lǐ)α₹和(hé)控制(zhì)的(de)原則為(wβ∑→èi)各網絡區(qū)域分(fēn)配地(dì✘$←£)址；重要(yào)網絡區(qū)域與其他(tā)網絡區Ω©(qū)域之間(jiān)應采取可(kě)靠的(de)技(jì)術(<σσ shù)隔離(lí)手段；

加密通(tōng)信（②所用(yòng)設備）"₩♥

采用(yòng)校(xiào)驗技(jì)術(shβ‌∞ù)或密碼技(jì)術(shù)保證通(tōng)信過程中數(shù)據的∏♦≠π(de)完整性及保密性

冗餘架構

提供通(tōng)信線路(lù)、關鍵網絡設•↓<≤備的(de)硬件(jiàn)冗餘。

可(kě)信驗證：

基于可(kě)信根對(duì)通(tōng)ε♦₽✘信設備的(de)系統引導，應用(yòng)關£鍵點動态驗證，可(kě)報(bào)警、可(kě)審計(jì•←)。

（3）安全區(qū)域邊界

安全區(qū)域邊界

訪問(wèn)控制(zhì)（①所用(yòng)設備）

跨邊界、非授權設備接入、非授權用(yòng)戶外(wài)聯、®無線設備接入、聯接行(xíng)為(wèi)檢查→¥、應用(yòng)協議(yì)和(hé)內(nèi)容檢查，優化(♠∞±huà)訪問(wèn)控制(zhì)規則。

入侵防範：（②所用(yòng)設備）

內(nèi)/外(wài)部發起的(de)攻擊，對(duì)網ε♠絡行(xíng)為(wèi)進行(xíng)分(fē♥→n)析，未知(zhī)的(de)新型網絡攻擊；

惡意代碼和(hé)垃圾郵件(jiàn)（③所用(yòng)設備）$

在關鍵網絡節點處對(duì) 惡意代碼/垃圾郵件(≈∑¥jiàn),進行(xíng)檢測和(hé)清除，•™&≠并維護其升級和(hé)更新；

安全審計(jì)（④所用(yòng)設備）

覆蓋到(dào)用(yòng)戶，審計(jπ"ì)用(yòng)戶行(xíng)為(wèi)，重要(yào)安全事(s♠‍←₽hì)件(jiàn)，記錄需備份，重要(yào)內(nèi)網用♦α←(yòng)戶、遠(yuǎn)程訪問(wèn)用(yòng)戶、訪≠&Ω₽問(wèn)互聯網用(yòng)戶行(xíφ£ng)為(wèi)審計(jì)和(hé)數(s→δhù)據分(fēn)析；

可(kě)信驗證：

基于可(kě)信根對(duì)邊界設備的(de)系♠"λ統引導，應用(yòng)關鍵點動态驗證，可(kě)報(bào)警、可(kπ££ě)審計(jì)

（4）安全計(jì)算(suàn)環境

安全計(jì)算(suàn)環境

身(shēn)份鑒别（①所用(yòng)設備）

應對(duì)登錄的(de)用(yòng)戶進行(xíng)身(shēn)份≈$≤唯一(yī)性鑒别；遠(yuǎn)程管理(lǐ)時(shí≠δ♣)，應采取必要(yào)措施，防止鑒别信息在網絡傳輸過程中被竊聽(tīng)；♥α采用(yòng)口令、密碼技(jì)術(shù)、生(shēng$≤¶)物(wù)技(jì)術(shù)等組合的(de$"↑)鑒别技(jì)術(shù)對(duì)用(yòng)戶進行(xíng)¶↕↑≈身(shēn)份鑒别

訪問(wèn)控制(zhì)

用(yòng)戶權限管理(lǐ)、管理(×σβ$lǐ)用(yòng)戶權限最小(xiǎo)化(h↓π∏♥uà)（應用(yòng)自(zì)身(shφσ¶δēn)實現(xiàn)）

安全審計(jì)（②所用(yòng)設備）

應對(duì)審計(jì)進程進行(xíng)保護，防止未經≥←$✔授權的(de)訪問(wèn)

入侵防範（③所用(yòng)設備）

檢測入侵行(xíng)為(wèi)、非使用(yònΩ ×∏g)端口關閉、管理(lǐ)終端限制(zh πì)、發現(xiàn)已知(zhī)漏洞（滲透測試）

惡意代碼防範（④所用(yòng)設備）

應采用(yòng)免受惡意代碼攻擊的(de)技(j∏≥ì)術(shù)措施或主動免疫可(kě)信驗證機(jī)制(zhì)∑©及時(shí)識别入侵和(hé)病毒行(≤✔÷xíng)為(wèi)，并将其有(yǒu)效¶±Ω≤阻斷。

可(kě)信驗證

可(kě)基于可(kě)信根對(duì)計(jì)算(suànφ♣€≤)設備的(de)系統引導，應用(yòng)關鍵點動态驗證，φ∑£φ可(kě)報(bào)警、可(kě)審計¥‍(jì)

數(shù)據完整性（⑤所用(yòng)設備）

采用(yòng)校(xiào)驗技(jì)術(s₩↔hù)或密碼技(jì)術(shù)保證重要(yào)數(shù)據在傳輸和(h♥λé)存儲過程中的(de)完整性、防篡改

數(shù)據保密性（⑥所用(yòng)設備）

采用(yòng)校(xiào)驗技(jì)術(shù)或密碼技(jì)術₩‍"(shù)保證重要(yào)數(shù)據在傳輸÷δ∏₩和(hé)存儲過程中的(de)保密性

數(shù)據備份恢複

數(shù)據本地(dì)備份和(hé)恢複、提供異地ε¶(dì)實時(shí)備份功能(néng&∞✘)、數(shù)據處理(lǐ)系統熱(rè)冗餘（災備或‍≥₽✘多(duō)活數(shù)據中心）

剩餘信息保護

鑒别信息、敏感信息緩存清除（應用(yòng)自(zì)身(shēn)實現(xi•ε✘àn)）

個(gè)人(rén)信息保護

個(gè)人(rén)信息最小(xiǎo)σ£✔≤采集存儲原則、訪問(wèn)控制(zhì)（應用(yònα >g)自(zì)身(shēn)實現(xiàn)） §♠ &nb§♣•sp; &≥λnbsp;

（5）安全管理(lǐ)中心

安全管理(lǐ)中心

系統管理(lǐ)（①所用(yòng)設備）

應對(duì)系統管理(lǐ)員(yuán)進行(xíng)身(£$≠☆shēn)份鑒别、應通(tōng)過系統管理(lǐ)員(yuá←n)對(duì)系統的(de)資源和(hé)運行(xíng)進行£♥≤∑(xíng)配置、控制(zhì)和(hé)管理(lǐ₩∞₹)

審計(jì)管理(lǐ)（②所用(yòng)設↑☆'ε備）

應對(duì)安全審計(jì)員(yuán)進行(≤§xíng)身(shēn)份鑒别、應通(tōng)過→€✘∑安全審計(jì)員(yuán)對(duì)審計(jì)記錄應進"↕δ行(xíng)分(fēn)析，并根據分(fēn)析結果進行(xíng∏ ✔)處理(lǐ)

集中管控（③所用(yòng)設備）

特定管理(lǐ)分(fēn)區(qū)、統一(yī)網管•Ω∑和(hé)檢測、日(rì)志(zhì)采集和(hé)集中分(fēn↕∞φ)析、安全事(shì)件(jiàn)識别告警和(hé)分(fēn)析（态&∏勢感知(zhī)）、安全策略集中管理(lǐ)©¶★

安全管理(lǐ)（④所用(yòng)設備）

應對(duì)安全管理(lǐ)員(yuán)進行(xínσ♣$¥g)身(shēn)份鑒别、應通(tōng)過安全審計(j¶¥ì)員(yuán)對(duì)審計(jì)記錄應進行(xíng)分(fēn→"←')析，并根據分(fēn)析結果進行(xíng)處理(lǐ)

通(tōng)用(yòng)産品清單

通(tōng)用(yòng)産品清單

注意：

防火(huǒ)牆可(kě)以通(tōng)過license控制(zhì)IPS &βλ功能(néng)，因此可(kě)單獨配置•→♠≈硬件(jiàn)IPS設備或開(kāi) ε→→通(tōng)防火(huǒ)牆IPS功能(nén ×g)滿足該要(yào)求

方案價值：

滿足合法合規要(yào)求，落實網絡安全保護義務，合理(lǐ)規避≈ 風(fēng)險。
明(míng)确組織整體(tǐ)目标，改變以往單點防禦方式，讓安全建設更加±‌♦×體(tǐ)系化(huà)。
提高(gāo)人(rén)員(yuán)安全意識，樹(shù)立等級化(huδ€à)防護思想，合理(lǐ)分(fēn)配網絡安全投資
以等保為(wèi)契機(jī)，加強網絡安全建設，源于等保，不(bù)止Ω↓β 于等保，滿足自(zì)身(shēn)業(yè)務安全需求