1、H3C安全等級保護方案匯報H3C安全產品部 點擊添加文本點擊添加文本點擊添加文本點擊添加文本目錄等級保護概述等級保護條款解讀及應對策略H3C等級保護解決方案H3C等級保護安全產品簡介H3C安全等保保護實踐 2007年6月，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯合發布信息安全等級保護管理辦法（公字【2007】43號文），在全社會范圍內（包括國家單位、企業單位、行業等）推行“信息安全等級保護”政策。 推行“信息安全等級保護”政策意義： （一）在國民經濟和社會信息化發展過程中，提高信息安全保障能力和水平。 （二）調動國家、法人、其他組織、公民安全防護積極性。通俗理解為 “誰主管

2、、誰負責、誰運營、誰負責” “管好自己的一畝三分地，保家衛國”信息安全等級保護背景指導監管部門：國家等保工作 開展、推進、指導。技術支撐部門：國家等保標準制定、修訂、培訓、技術指導以及全國測評單位管理。國家測評機構行業測評機構地方測評機構信息安全等級保護管理組織等級保護指導政策中華人民共和國計算機信息系統安全保護條例(國務院147號令)國家信息化領導小組關于加強信息安全保障工作的意見（中辦發200327號）信息安全等級保護工作的實施意見（公通字200466號）信息安全技術 信息系統安全等級保護實施指南GB/T 25058-2010信息安全等級保護管理辦法（公通字200743號）等級保護工作標準

3、信息安全技術 信息系統安全等級保護基本要求GB/T 22239-2008信息安全技術 信息系統安全等級保護測評要求 MSTL-JBZ-05-005信息安全技術 信息系統安全等級保護測評過程指南GB/T 28449-2012信息安全等級保護國家標準1級自主保護監督保護強制保護專控保護2級3級4級5級依據國家管理規范和技術標準進行保護在國家監管部門指導下保護受到國家監管部門監督、檢查下保護受到國家安全監管部門強制監督、檢查下保護國家指定專門部門專門監督、檢查下保護指導保護信息安全等級劃分監管要求用戶自主控制資源訪問第一級用戶自主保護重要敏感信息進行標記訪問控制，通過標記實現強制訪問控制第三級安全標

4、記保護主體和客體之間細粒度訪問控制，建立可信隱蔽通道，可信計算結構化。第四級結構化保護所有過程都需要進行驗證。第五級訪問驗證保護第二級系統審計保護用戶訪問行為需要被審計信息安全等級保護級別根據業務信息和系統服務遭到破壞或泄密后，對國家安全、社會秩序、公共利及公民、法人、其他組織的合法利益的危害程度來進行定級。受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級信息系統定級 安全保護能力技術措施管理措施包含具備基本安全要求滿足包含滿足實現等級保護要求模型基本要求的描述模型等級保護的建

5、設模型每一等級信息系統等級保護的生命周期信息系統等級保護實施生命周期內的主要活動等級化風險評估安全總體設計安全建設規劃安全方案設計 安全產品采購安全控制集成測試與驗收管理機構的設置管理制度的建設人員配置和崗位培訓安全建設過程的管理操作管理和控制變更管理和控制安全狀態監控事件處置和應急預案安全評估和持續改進監督檢查系統調查和描述子系統劃分/分解子系統邊界確定安全等級確定定級結果文檔化 定級階段 規劃設計階段 安全實施階段 安全運行管理階段物理安全技術要求管理要求系統安全防護要求網絡安全主機安全應用安全數據安全安全管理機構安全管理制度人員安全管理系統建設管理系統運維管理通過安全產品可防護的領域安全

6、產品協助防護信息系統安全保護技術現狀分析開展建設整改技術方案詳細設計等級測評開展建設整改技術方案論證和評審確定安全策略，開展建設整改技術方案總體設計通信網絡安全物理安全應用系統安全區域邊界安全主機系統安全備份和恢復建設并落實安全技術措施信息系統安全技術建設整改工作流程不符合標準要求工程實施及驗收點擊添加文本點擊添加文本點擊添加文本點擊添加文本目錄等級保護概述等級保護條款解讀及應對策略H3C等級保護解決方案H3C等級保護安全產品簡介H3C安全等保保護實踐網絡安全解讀網絡安全結構安全訪問控制安全審計邊界安全檢查入侵防范惡意代碼防范設備防護要點：主要設備冗余空間、安全路徑控制、整體網絡帶寬、帶寬優先

7、級、重要網段部署要點：端口控制、防地址欺騙協議過濾、會話控制最大流量數及最大連接數要點：審計記錄審計報表審計記錄的保護要點：非授權設備接入非授權網絡聯出要點：記錄、報警、阻斷要點：記錄、報警、阻斷要點：組合鑒別技術特權用戶權限分離在云計算環境中，除以上必要的保護措施外，還需考慮云使用者利用云資源發起的網絡攻擊、云租戶之間的隔離以及云租戶與云服務商的審計獨立網絡安全解讀-115分類基本要求說明及技術方案H3C產品部署網絡安全結構安全（G3）a) 應保證主要網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要； 主要設備、部件冗余方案及網絡設備保證b) 應保證網絡各個部分的帶寬滿足業務高峰期需要

8、； 帶寬預留方案及網絡設備保證c) 應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑； 策略路由、靜態路由、動態路由協議認證方案及網絡設備保證d) 應繪制與當前運行情況相符的網絡拓撲結構圖； 根據實際情況繪制、更新拓撲圖（紙質或管理軟件生成）管理軟件保證e) 應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段； 合理劃分網段整體方案保證f) 應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網段與其他網段之間采取可靠的技術隔離手段； 防火墻策略H3C SecPath下一代防火墻g) 應按照對業

9、務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保護重要主機。輔助防火墻設備部署QOS策略H3C SecPath下一代防火墻網絡安全解讀-216分類基本要求說明及技術方案H3C產品部署網絡安全訪問控制（G3） a) 應在網絡邊界部署訪問控制設備，啟用訪問控制功能； 防火墻做邊界訪問控制H3C SecPath下一代防火墻b) 應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級； 防火墻策略H3C SecPath下一代防火墻c) 應對進出網絡的信息內容進行過濾，實現對應用層 HTTP、FTP 、TELNET、SMTP 、POP3等協議命令級的控制； I

10、PS實現4-7層協議安全控制H3C Secpath IPSd) 應在會話處于非活躍一定時間或會話結束后終止網絡連接； 防火墻會話老化，設置會話超時時間H3C SecPath下一代防火墻e) 應限制網絡最大流量數及網絡連接數； 防火墻策略H3C SecPath下一代防火墻f) 重要網段應采取技術手段防止地址欺騙； ip、mac綁定防火墻、交換機組合方案保證g) 應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶； 第一層次基于IP的訪問控制，基本防火墻能力第二層次基于用戶身份的訪問控制，下一代防火墻支持，配合AAA系統使用H3C SecPath下一代防

11、火墻h) 應限制具有撥號訪問權限的用戶數量。撥號接入設備控制（可能包括PPTP等VPN方式）H3C SecPath下一代防火墻網絡安全解讀-317分類基本要求說明及技術方案H3C產品部署網絡安全安全審計（G3）a) 應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄； 技術點解析：審計網絡設備操作記錄，提供有效展示，并確保日志安全存儲。應對方案：通過流量分析系統、運維管理系統配合實現H3C綜合日志審計系統、堡壘機、iMCb) 審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c) 應能夠根據記錄數據進行分析，并生成審計報表； d) 應對審計記

12、錄進行保護，避免受到未預期的刪除、修改或覆蓋等。邊界完整性檢查（S3）a) 應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷； 接入認證、IP/MAC綁定H3C EADb) 應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。防私接H3C EAD網絡安全解讀-418分類基本要求說明及技術方案H3C產品部署網絡安全入侵防范（G3）a) 應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP 碎片攻擊和網絡蠕蟲攻擊等；攻擊檢測和防御H3C SecPath IPS系列、H3C SSM安管

13、平臺b) 當檢測到攻擊行為時，記錄攻擊源 IP 、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。 惡意代碼防范（G3）a) 應在網絡邊界處對惡意代碼進行檢測和清除； 攻擊、病毒檢測和防御H3C SecPath IPS系列b) 應維護惡意代碼庫的升級和檢測系統的更新。定期升級特征庫網絡安全解讀-519分類基本要求說明及技術方案H3C產品部署網絡安全網絡設備防護（G3） a) 應對登錄網絡設備的用戶進行身份鑒別； 網絡運維人員身份管理網絡設備安全策略控制設定+H3C堡壘機輔助b) 應對網絡設備的管理員登錄地址進行限制； ACL、安全策略c) 網絡設備用戶的標識應唯一； 堡壘機做雙因

14、素認證d) 主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別； 堡壘機做雙因素認證e) 身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換； 設置復雜口令f) 應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施； 設置策略控制非法登錄次數和超時退出g) 當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽； 遠程管理使用加密協議，如SSHh) 應實現設備特權用戶的權限分離。設備上設置用戶權限主機安全解讀主機安全身份鑒別訪問控制安全審計剩余信息保護入侵防范惡意代碼防范資源控制要點：組合鑒別技術要點

15、：管理用戶權限分離敏感標記的設置要點：審計記錄審計報表審計記錄的保護要點：空間釋放信息清除要點：記錄、報警、阻斷要點：記錄、報警、阻斷與網絡惡意代碼庫分離要點：監控重要服務器最小化服務檢測告警在云計算環境中，除以上必要的保護措施外，還需考慮不同租戶存儲空間的隔離、對外提供API的訪問控制、虛擬資源占用控制以及殺毒風暴的避免等措施主機安全解讀-121分類基本要求說明及技術方案H3C產品部署主機安全身份鑒別（S3）a) 應對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別； 操作系統和數據庫系統的統一身份鑒別，操作系統和數據庫系統用戶權限分離，可由堡壘機輔助實現主機身份鑒別設定+H3C堡壘機輔助b

16、) 操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換； 設置復雜密碼，檢測弱口令，堡壘機定期改密，可由堡壘機輔助實現主機身份鑒別設定+H3C堡壘機、漏掃輔助c) 應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施； 主機策略設置登錄限制，安全配置核查系統定期對服務器嘗試登錄閾值進行檢查，配置服務器檢測到超過一定失敗次數的登錄行為后，鎖定該賬號，重新啟用賬號需向管理員提交申請，可由堡壘機輔助實現主機身份鑒別設定+H3C堡壘機輔助d) 當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽； 加密管理，對服務器的遠

17、程管理采用SSH、SSL等加密協議，可由堡壘機輔助實現主機身份鑒別設定+H3C堡壘機輔助e) 應為操作系統和數據庫系統的不同用戶分配不同的用戶名，確保用戶名具有唯一性。 主機策略，按照不同用戶的職責為用戶分配不同權限，管理賬號不共用，確保用戶名唯一，可由堡壘機輔助實現主機身份鑒別設定+H3C堡壘機輔助f) 應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。靜態口令+動態口令/證書/生物識別/短信認證等技術，可由堡壘機輔助實現主機身份鑒別設定+H3C堡壘機輔助主機安全解讀-222分類基本要求說明及技術方案H3C產品部署主機安全訪問控制（S3） a) 應啟用訪問控制功能，依據安全策略控制用

18、戶對資源的訪問； 由操作系統自身的權限控制實現，可由堡壘機輔助主機訪問控制策略設定+H3C堡壘機輔助b) 應根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶所需的最小權限； 由操作系統自身的權限控制實現，可由堡壘機輔助主機訪問控制策略設定+H3C堡壘機輔助c) 應實現操作系統和數據庫系統特權用戶的權限分離； 系統分級管理，操作系統和數據庫系統特權用戶分離，由不同的管理員行使特權主機訪問控制策略設定+H3C堡壘機輔助d) 應嚴格限制默認帳戶的訪問權限，重命名系統默認帳戶，修改這些帳戶的默認口令； 漏掃系統定期檢查系統默認賬戶口令主機訪問控制策略設定+H3C堡壘機、漏掃輔助e)

19、應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。 定期檢查系統多余賬號，員工離職或調崗需提交賬戶銷戶申請主機訪問控制策略設定+H3C堡壘機輔助f) 應對重要信息資源設置敏感標記； 基于安全標志實施強制訪問控制，控制主體對客體的操作操作系統加固g) 應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；基于安全標志實施強制訪問控制，控制主體對客體的操作操作系統加固主機安全解讀-323分類基本要求說明及技術方案H3C產品部署主機安全安全審計（G3）a) 審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶； 技術點解析：審計主機操作記錄，提供有效展示，并確保日志安全存儲、穩定可

20、靠。應對方案：通過專用審計系統、運維管理系統配合實現H3C綜合日志審計系統、堡壘機、數據庫審計b) 審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件； c) 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等； d) 應能夠根據記錄數據進行分析，并生成審計報表； e) 應保護審計進程，避免受到未預期的中斷； f) 應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。 主機安全解讀-424分類基本要求說明及技術方案H3C產品部署主機安全剩余信息保護（S3） a) 應保證操作系統和數據庫系統用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他

21、用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中； 用戶鑒別信息不在硬盤上靜態存儲，并配置服務器不顯示上次登錄用戶名系統加固b) 應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。操作系統對剩余信息進行處理設置。以Windows系統為例：打開“本地安全策略”-本地策略中的安全選項查看是否選中“關機前清除虛擬內存頁面”打開“本地安全策略”-“帳戶策略”中的密碼策略查看是否選中“用可還原的加密來存儲密碼”系統加固入侵防范（G3） a) 應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發

22、生嚴重入侵事件時提供報警； 系統入侵防范，網絡入侵防范系統輔助H3C IPS、IPS日志審計告警b) 應能夠對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施； 操作系統自身的安全機制保障系統配置和管理保障c) 操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新。強制補丁檢查、補丁分發主要涉及到兩個方面的內容，分別是：系統服務、補丁升級。遵循最小安裝原則，僅開啟需要的服務，安裝需要的組件和程序，可以極大的降低系統遭受攻擊的可能性。及時更新系統補丁，可以避免遭受由系統漏洞帶來的風險H3C EAD+漏掃系統主機安全解讀-5

23、25分類基本要求說明及技術方案H3C產品部署主機安全惡意代碼防范（G3）a) 應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫； 安裝殺毒軟件，及時升級特征庫，EAD強制認證檢查殺毒軟件版本和病毒庫H3C EAD+防病毒軟件b) 主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫； c) 應支持防惡意代碼的統一管理。資源控制（A3） a) 應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄； 準入控制H3C EADb) 應根據安全策略設置登錄終端的操作超時鎖定； 系統配置保障系統策略+H3C堡壘機輔助c) 應對重要服務器進行監視，包括監視服務器的CPU、硬盤、內存、

24、網絡等資源的使用情況； 應用管理平臺輔助H3C APM+H3C應用交付系統d) 應限制單個用戶對系統資源的最大或最小使用限度； 系統配置保障系統配置保障+H3C應用交付系統e) 應能夠對系統的服務水平降低到預先規定的最小值進行檢測和報警。應用管理平臺輔助H3C APM+H3C應用交付系統應用安全應用及數據安全身份鑒別訪問控制安全審計剩余信息保護通信完整性通信保密性防抵賴軟件容錯資源控制要點身份鑒別訪問控制安全審計剩余信息保護通信完整性通信保密性防抵賴軟件容錯資源控制組合鑒別技術敏感標記的設置審計報表及審計記錄的保護敏感信息清楚、存儲空間釋放加密技術整個報文及會話傳輸過程加密原發證據的提供出錯校

25、驗、自動保護資源分配、優先級、最小化服務及檢測報警數據安全要點數據完整性數據保密性備份和回復數據完整性數據保密性備份和恢復數據存儲、傳輸，完整性檢測和恢復數據存儲、傳輸，加密保護冗余、備份應用安全解讀-127分類基本要求說明及技術方案H3C產品部署應用安全身份鑒別（S3）a) 應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別； 應用系統自身保障外部認證系統b) 應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別； 雙因素認證，例如：靜態密碼+動態口令外部認證系統c) 應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用； 不

26、存在共享賬號應用配置d) 應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施； 應用設置應用配置e) 應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數。 不存在共享賬號應用配置應用安全解讀-228分類基本要求說明及技術方案H3C產品部署應用安全訪問控制（S3）a) 應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客體的訪問； 系統配置保障系統配置保障+H3C網頁防篡改系統輔助（針對WEB系統）+H3C 漏掃系統b) 訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作； 系統配置保障

27、c) 應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限； 系統配置保障d) 應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。 系統配置保障e) 應具有對重要信息資源設置敏感標記的功能； 系統配置保障f) 應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；系統配置保障應用安全解讀-329分類基本要求說明及技術方案H3C產品部署應用安全安全審計（G3） a) 應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行審計； 技術點解析：審計應用系統操作記錄，提供有效展示，并確保日志安全存儲、穩定可靠。應對方案：通過專用審計系統、運維管理系統配合

28、實現H3C堡壘機、綜合日志審計（堡壘機）、數據庫審計、APMb) 應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄； c) 審計記錄的內容至少應包括事件的日期、時間、發起者信息、類型、描述和結果等； d) 應提供對審計記錄數據進行統計、查詢、分析及生成審計報表的功能。剩余信息保護（S3）a) 應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中； 應用策略，用戶在退出、注銷系統后，系統要對訪問進程清理，對存儲用戶鑒別信息數據空間進行完全清除應用配置b) 應保證系統內的文件、目錄和數據庫記錄等資源所在的存儲空間被釋放或重新分配給其

29、他用戶前得到完全清除。 應用策略，系統對訪問進程清理應用配置應用安全解讀-430分類基本要求說明及技術方案H3C產品部署應用安全通信完整性（S3）應采用密碼技術保證通信過程中數據的完整性。應用策略，完整性校驗應用配置實現通信保密性（S3）a) 在通信雙方建立連接之前，應用系統應利用密碼技術進行會話初始化驗證； 應用加密，HTTPS指紋識別等技術b) 應對通信過程中的整個報文或會話過程進行加密。通信協議加密、內容加密抗抵賴（G3）a) 應具有在請求的情況下為數據原發者或接收者提供數據原發證據的功能； 用戶操作要有日志記錄、交易電子簽名b) 應具有在請求的情況下為數據原發者或接收者提供數據接收證據

30、的功能。用戶操作要有日志記錄、交易電子簽名軟件容錯（A3）a) 應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求； 應用自身防護，對數據有效性檢驗，并規定每個輸入接口只允許輸入數字、字符等限制 b) 應提供自動保護功能，當故障發生時自動保護當前所有狀態，保證系統能夠進行恢復。防攻擊系統提供保護功能，當故障發生時或操作失敗能回退，并且數據庫有實時鏡像備份，能夠進行恢復應用安全解讀-531分類基本要求說明及技術方案H3C產品部署應用安全資源控制（A3）a) 當應用系統的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話； 應用安全策略

31、，設置會話超時時間應用配置實現b) 應能夠對系統的最大并發會話連接數進行限制； 應用安全策略，通過配置數據庫和中間件實現c) 應能夠對單個帳戶的多重并發會話進行限制； 應用安全策略，限制單用戶不能同時多點登錄，且只能在單一瀏覽器窗口登錄d) 應能夠對一個時間段內可能的并發會話連接數進行限制； 應用安全策略，流量控制設備/通過中間件線程池進行配置限制e) 應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額； 應用安全策略，設置應用系統資源限額，超出限額時會給出提示信息f) 應能夠對系統服務水平降低到預先規定的最小值進行檢測和報警； 應用安全策略，通過安全監控平臺/管理平臺，監測應

32、用系統服務水平g) 應提供服務優先級設定功能，并在安裝后根據安全策略設定訪問帳戶或請求進程的優先級，根據優先級分配系統資源。 應用安全策略，配置應用根據不同用戶的資源使用優先級分配系統資源數據安全解讀-132分類基本要求說明及技術方案H3C產品部署數據安全數據完整性（S3）a) 應能夠檢測到系統管理數據、鑒別信息和重要業務數據在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施； 利用校驗技術來保證數據傳輸的完整性傳輸加密輔助：防火墻、下一代防火墻b) 應能夠檢測到系統管理數據、鑒別信息和重要業務數據在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。 將存儲

33、數據生成多份，保證當數據完整性受到破壞時可恢復數據傳輸加密輔助：防火墻、下一代防火墻數據保密性（S3）a) 應采用加密或其他有效措施實現系統管理數據、鑒別信息和重要業務數據傳輸保密性； 加密機、加密協議、傳輸加密傳輸加密：防火墻、下一代防火墻b) 應采用加密或其他保護措施實現系統管理數據、鑒別信息和重要業務數據存儲保密性。備份和加密存儲，審計日志直接存儲，關鍵用戶信息進行加密存儲應用配置數據安全解讀-233分類基本要求說明及技術方案H3C產品部署數據安全備份和恢復（A3）a) 應提供本地數據備份與恢復功能，完全數據備份至少每天一次，備份介質場外存放； 管理要求每天進行完全數據備份，本地實時鏡像

34、備份b) 應提供異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至備用場地； 管理要求同城和異地準時備份，批量傳送c) 應采用冗余技術設計網絡拓撲結構，避免關鍵節點存在單點故障； 管理要求重要設備、服務器均采用冗余設計d) 應提供主要網絡設備、通信線路和數據處理系統的硬件冗余，保證系統的高可用性。管理要求重要設備、服務器均采用冗余設計點擊添加文本點擊添加文本點擊添加文本點擊添加文本目錄等級保護概述等級保護條款解讀及應對策略H3C等級保護解決方案H3C等級保護安全產品簡介H3C安全等保保護實踐H3C在等級保護建設過程中能夠參與的工作安全控制過程方法確定系統等級安全規劃設計實施運行/維護確定安

35、全需求設計安全方案安全建設安全測評運行監控維護響應特殊需求等級需求基本要求產品使用選型系統監控測評準則流程方法監控流程應急預案應急響應PlanDoCheckAction等保建設過程：基于PDCA、遵從公安部信息安全等級保護規范！ 應急響應評估咨詢方案設計周期性檢測H3C SecCare安全服務體系安全三要素人流程技術培訓咨詢評估安全咨詢以ISO 17799/27001、GB/T 17859等級保護規范為基礎，以安全最佳實踐為模板，提供一種切實可行的安全建設的思路。風險評估以ISO 17799/27001、GB/T 17859等級保護規范為標準，遵循GB/T 20984-2007信息安全風險評估

36、規范，對信息安全建設現狀進行評價。安全培訓提供針對CIO/信息主管、主要工程師和一般用戶的不同的培訓課程，全面提高安全意識和技術能力。應急響應對信息系統出現的緊急安全事件進行響應，包括電話支持、遠程支持以及現場支持等形式。H3C等級保護安全方案解析羅盤等級保護安全管理數據安全網絡安全主機安全應用安全防DDOS設備防火墻VFWIPS堡壘機準入控制系統管理責任執行責任檢查責任數據泄露數據篡改數據丟失動態口令卡生物識別系統防火墻操作系統加固產品防病毒服務器SOC網頁防篡改產品WAF加密機網閘堡壘機ACG產品制度、文件、記錄崗位設置安全建設安全運維數據庫審計訪問控制云租戶隔離網絡攻擊云資源濫用安全審計

37、云環境獨立審計結構安全、訪問控制、審計邊界防護、入侵防護惡意代碼防護、設備防護身份鑒別、訪問控制、審計入侵防護、剩余信息保護惡意代碼防護、資源控制身份鑒別、訪問控制、審計剩余信息保護、通信安全、防抵賴軟件容錯、資源控制保密性、完整性可用性操作系統保護服務器隔離認證、審計云環境租戶授權入侵防護云環境病毒防范認證、授權審計、防抵賴通信加密敏感信息防護云對外接口及服務安全互聯網出口安全域之間虛擬資源之間網絡核心重要資源區內網邊界DMZ區網絡核心網絡防護區網絡核心數據庫接入區重要主機系統漏洞掃描信息安全綜合強審計系統數據共享與交換系統統一互聯網出口安全防護設備異地備份應用漏洞掃描安全數據交換系統H3C

38、安全等保H3C安全等保漏掃系統堡壘機防病毒服務器云安全監測中心安全管理中心綜合安全管理區核心交換區互聯網接入區WEB服務器業務服務器群公共服務數據庫ISP1ISP2DMZ區DNS服務器區多業務硬件安全資源池辦公網H3C安全等保部署全景圖（通用）行為管理系統IPS防火墻鏈路負載均衡WEB應用防火墻服務器負載均衡數據庫審計入侵防御（檢測）系統防火墻網頁防篡改系統桌面安全管理EADCA網絡服務器ACG防火墻IPSLB應用漏掃終端其他設備支撐設備 安全服務管理安全資源池安全服務編排安全服務申請安全策略管理部署和編排引擎 安全事件分析事件告警事件關聯多維度關聯明細審計事件分析引擎 行為異常分析行為告警異

39、常事件關聯多維度關聯明細審計行為分析引擎 安全風險分析風險告警安全評估等保合規業務/資產風險風險分析引擎 安全運維聯動響應告警工單運維及工作流引擎服務工單資產及業務風險建模知識庫服務管理層綜合監控管理業務風險分析事件關聯分析行為關聯分析安全服務管理安全等級保護業務展現層行為數據安全事件應用日志漏洞數據性能數據配置數據資產數據格式標準化數據歸并文件索引文件存儲內存裝載/高速檢索數據處理層DPI / NetStream / Netflow / SNMP / WMI / CLI / Trap / 代理程序存儲彈性擴展H3C安全管理平臺功能架構大安全管理平臺全景風險展示及告警多維度關聯分析海量數據的聚

40、類統計多維度關聯綜合展現：業務安全風險、健康、繁忙業務風險評估基于安全事件、行為異常、安全評估情況，結合業務建模，進行業務風險評估、直觀呈現行為異常事件關聯分析和呈現、快速感知APT等未知威脅并采取行動全面的合規評估分析41資產風險安全域風險風險評級矩陣分析風險趨勢網絡設備配置主機配置數據庫配置中間件配置應用配置安全設備配置安全通告攻擊預警漏洞預警病毒預警影響性分析配置核查風險評估威脅預警最全面的合規評估分析矩陣H3C 大安全實現面向業務的端到端安全保障服務器客戶機桌面安全應用安全技術平面產品集成智能安全滲透網絡端到端安全保障解決方案L2L7層深度安全技術安全產品與網絡產品的集成集成了網絡技術

41、的安全產品集成了安全技術的網絡產品數據中心保護解決方案內網控制解決方案邊界防護解決方案遠程安全接入解決方案管理平面智能管理統一基礎安全管理統一用戶認證與授權統一威脅與策略管理OAA開放應用架構CHECKCHECK存儲系統數據安全系統安全應用安全用戶認證補丁管理病毒庫管理用戶管理在線備份安全存儲異地容災行為監管解決方案H3C為用戶提供端到端的安全防護43VLAN 1VLAN 2VLAN X內網辦公區數據中心區核心業務非核心業務廣域網接入區網絡管理區對外接入區互聯網接入區互聯網服務互聯網連接局域網骨干局域網連接廣域網連接iNode終端圖例外聯服務區分支機構分支機構專線分支機構分支機構分支機構合作伙

42、伴合作伙伴外聯服務前置SecPath 防火墻SecPath IPS負載均衡SecPath IPSSecPath IPSSecPath NGFWSecPath ACGSecPath NGFW安全管理中心SecCenterSecBlade插卡實現安全隔離支持802.1x/portal認證的以太網設備SecPath NGFWSecPath 防火墻SecPath防火墻/VPN網頁防篡改系統網頁防篡改系統堡壘機數據庫審計系統SecPath WAFSecPath NGFW漏掃點擊添加文本點擊添加文本點擊添加文本點擊添加文本目錄等級保護概述等級保護條款解讀及應對策略H3C等級保護解決方案H3C等級保護安全產

43、品簡介H3C安全等保保護實踐T9000系列SecBlade IPS II/IIIT1000系列T5000系列H3C安全產品全家福安全管理網絡層安全M9006M9010M9014安全管理中心云安全監測中心終端安全管理漏洞掃描ACG1000系列SecBlade ACGACG8800-S3L5000系列Secblade ADE/LBL1000系列W2000系列網頁防篡改產品系列IPS產品系列應用控制產品系列負載均衡產品系列WAF產品系列W1000系列堡壘機產品系列D2000系列A2000系列數據庫審計產品系列F100系列U200系列F1000系列SecBlade FW II/Lite/III/IVF

44、5000系列F100-X-G系列F1000-X-G系列U200-CX系列F10X0系列F50X0系列vFW1000防火墻/VPN產品系列NGFW產品系列SecBlade NGFWvLB1000NFV產品系列應用層安全M9000多業務網關產品系列Cache產品系列華三天機安全一體化交付平臺產品1：華三天機全球首款企業安全一體化交付平臺安全業務單元安全檢測單元服務安全管理單元政府教育醫療電力金融天機防火墻、WAF、LB、堡壘機等各種安全匯聚成資源池，統一部署及策略管理，將安全變成服務 最全云安全能力合規評估能力基于國家等級保護標準，提供針對核心業務、資產提供三級等保以上合規分析分析最強安全管控業務

45、及資產的安全風險威脅、漏洞及網絡行為實時呈現，并支持各類終端、網絡及安全設備聯動控制在天機聚安全評風險施管控成就共享全球10萬多臺防火墻成熟應用案例入圍中國移動、中國電信、國家電力、財政部、國稅總局和中央直屬機關等數十個選型應用于：中國移動的IMS核心網、70的中央部委、8個金字號工程國干網、百勝餐飲、平安保險3000個點產品特色強安全+強網絡特性融合，組網能力強，選型入圍的行業最多產品系列最全，覆蓋10M-160G性能需求，提供業界160G防火墻性能最高。功能擴展能力強，SSL VPN、流量監控、防病毒等硬件模塊產品2：防火墻/VPN系列產品M9006M9010M9014采用控制、業務、數據

46、相分離的全分布式架構，獨立的硬件交換引擎，支撐高性能安全業務無阻塞處理及轉發支持SCF（安全集群系統），支持多框集群和異構集群，實現靈活管理和彈性擴展支持智能分流（IFF）。部署多業務插卡后，流量自動在多個業務板卡內負載分擔從而實現分布式處理支持安全ONE平臺（SOP）。采用創新的基于容器的虛擬化技術實現了真正意義上的虛擬防火墻H3C安全旗艦：M9000多業務安全網關領先的業務處理能力 NGFW板卡NGFW-FW吞吐量并發連接數每秒新建連接40G2400萬40萬NGFW-LB吞吐量（L4）吞吐量（L7）并發連接數每秒新建連接20G10G1200萬30萬NGFW-流控 吞吐量并發連接數每秒新建連

47、接10G1200萬20萬大規模策略訪問控制多樣化VPN接入多鏈路智能調度全面流量分析BYOD安全部署高性能DDoS防護高性能入侵防御服務器應用加速精細化應用管控細粒度上網審計大容量NAT專業病毒防護虛機擴容動態均衡云計算虛擬化安全全網絡日志聯動產品特色業界唯一集成專業防病毒的IPS產品專業漏洞和攻防研究團隊，提供零日攻擊防范創新的多核技術，提供線速性能保證多重高可靠性設計，永遠不會成為業務故障點通過微軟MAPP、CVE等國際權威認證成就共享H3C IPS持續保持市場第一品牌成功應用于工商銀行總行北、南兩大數據中心，工行IPS獨家供應商奧運期間為17家證券/基金等金融機構提供安全保障服務于全國7

48、0以上的省電力公司(湖南電力 數十臺千兆IPS，承建國內最大的千兆IPS網絡)產品3：下一代入侵防御（NIPS）系列產品SecPath T1000系列SecPath T5000系列SecPath T9000系列產品特色基于最新的64位多核高性能處理器，實現靈活一體化DPI深度安全?；谌录杭夹g及1：N虛擬化技術的安全資源池。多種高性能VPN，無縫對接IOS、Android，結合H3C BYOD方案，移動辦公一觸即得！全面支持SDN Overlay網絡，改變復雜部署模式，用軟件量身定制的安全即服務（SAAS）！成就共享成功應用于中國農行、央視國際、百度、中航信、中石化、貴州高法、浙江電信、四

49、川電信、安徽電信、江蘇移動等成功應用于上海銀聯互聯網系統，保護每一筆網上交易數據產品4：下一代防火墻（NGFW）系列產品SecPath F1000系列SecPath F5000系列SecBlade NGFW插卡系列下一代防火墻（NGFW）系列產品F1000系列F5000系列中端款型： F1020/30/50/60/70/80存儲擴展： 高速大容量硬盤。2*500G（F1070/1080）性能覆蓋：1.5G10G，最高1000萬級并發，虛擬化能力： 8:1虛擬化集群（當前實現2:1）序列款型：F5020、F5040性能覆蓋：20G40G，最高3000萬并發，萬兆深度安全虛擬化能力：8:1虛擬化集

50、群（當前實現2:1）安全守望者（Security Watchmen）基于多因素的安全管控全新三態合一威脅感知策略智能下發智能策略調優服務器負載均衡基于應用選路技術N:1虛擬化1:N虛擬化安全智能策略導航安全威脅全息解構虛擬業務全景支撐全業務感知與調度 產品特色全新一代應用控制網關，全方位上網行為管理產品。支持包括微信認證在內的多種認證方式，真正的基于用戶的應用審計和管控！提供細粒度的網絡應用審計，多維度組合定制報表！提供創新的微信推廣方案，用戶只需關注企業公眾號后簡單操作即可獲得上網權限！覆蓋10M5G帶寬出口場景 成就共享產品成熟穩定、性能突出，入圍國稅總局、中央直屬機關等選型近100所教育

51、用戶（包括近十所211、985類高校），北京航天航空大學、中央黨校、中國外交部、國家自然基金委員會、國家海事局、央視國際、中國一重等產品5： ACG應用控制系列產品SecPath ACG1000系列SecPath ACG8800系列SecBlade ACG系列產品特色多核CPU處理架構。高性能，易擴展集成了四層、七層以及鏈路等各種負載均衡功能完善的網絡及路由協議支持，滿足任意組網最全面的業務深度應用健康檢測高安全防護能力，保護服務器免受攻擊成就共享連續多年入圍中國移動、中國電信負載均衡設備集采工商銀行、財政部、國稅總局、國家電力、中航信選型入圍規模應用于公安部、新聞出版署、國家圖書館、中石化、

52、北京大學、國家質監總局、華潤集團、北京國稅等產品6： LB負載均衡/應用交付系列產品SecPath L1000系列SecPath L5000系列SecBlade LB/ADE系列產品特色基于多點特征檢測技術，能解析多種WEB攻擊方式，從根源上避免繞過及穿透攻擊；創新的黑名單、白名單雙引擎檢測技術，各種復雜攻擊無所遁形；訪問集中度和HTTP協議細粒度檢測算法，有效應對了應用層CC攻擊對業務的沖擊高安全防護能力，成就共享成功應用于大連市政務云計算中心、浙江省電子口岸公司跨境電子商務云平臺、中信銀行、山東郵政、江西電信、南開大學、天津大學、山東經貿學院、復旦附中、新興際華集團（世界500強）等、產品

53、7： WEB應用防火墻系列產品正常訪問注入、跨站攻擊Webshell上傳攻擊服務器漏洞攻擊敏感言論提交CC攻擊檢查商業爬蟲檢查0day攻擊檢查安全基線檢查注入攻擊檢查跨站攻擊檢查Webshell檢查中間件漏洞檢查敏感言論提交正常訪問信息泄露正常訪問最快在5秒內定位到攻擊者，并智能鎖定us級延時轉發網絡安全檢查訪問行為安全檢查安全白名單檢查WEB應用安全檢查內容安全檢查敏感信息檢查產品特色采用了專用的64位多核高性能處理器和高速存儲器；支持將目標資產的賬號密碼交由運維審計系統進行集中托管；運維審計系統的審計分成圖形、字符、應用、文件四種審計類型；提供豐富的報表，包括基于應用和基于網流的分析報表等

54、；成就共享成功應用于中信銀行、山東郵政、天津大學、福建健康之路、杭州公安局、江蘇廣電等產品8：運維審計系列產品telnet到交換機https訪問防火墻ssh到linux、遠程到windowsIT人員首先實現運維入口統一統一運維入口通道安全封殺其他所有訪問通道（防火墻、交換機ACL）運維審計產品特色高性能引擎，保證審計準確性和效率；數據庫自動發現功能；內置30多種極具價值的報表，同時支持20多個維度的自定義報表，支持報表自動生成和發送；國內領先的支持IPV6環境數據庫審計；支持超長最大64K SQL語句成就共享成功應用于江蘇廣電、貴陽國土資源局、沈陽鐵路局、廈門市教育局等產品9：數據庫審計系列產

55、品SAN管理中心日志存儲中心采集器考試系統選課系統采集器教師學生信息系統圖書館圖書管理系統產品10：網頁防篡改系列產品 對非法請求，惡意掃描及數據庫注入攻擊等進行攔截，只有合法的請求被正常響應，對訪問網頁進行實時規則檢查，對網頁的篡改及刪除等操作進行攔截，并且產生日志及報警成就共享杭州華數傳媒中國移動、福州電信江蘇省國稅、深圳測評中心、甘肅省審計廳產品特色提供文件驅動防篡改技術、WEB核心內嵌和實時觸發機制結合，保護文件安全；支持防攻擊、防篡改功能模塊；支持即時內容恢復與實時動態攻擊防護；支持WEB服務器可用性監測，全面保護各類網頁和網站數據安全；CPU，內存占用資小于3%；產品特色WINDOWS系統應用程序，