【正文】 薦 必選 必選SecCenter安全管理中心 推薦 必選 必選 必選43SecBlade AFCSecBlade IPSWEB 區(qū) 應(yīng) 用區(qū) 數(shù)據(jù) 庫 區(qū)SecPath ASE核心交 換匯 聚交 換SecBlade 防火 墻應(yīng) 用 優(yōu) 化安全防 護SecCenter安全管理平臺iMCCampus WAN/MANInter數(shù)據(jù)中心保護解決方案方案描述216。終 端接入 軟 件 EAD： 進 行身份 認(rèn)證 和和 終 端安全狀 態(tài)評 估216。SecCenter： 對 部署的防火墻 、 IPS以及其他不同廠商的 產(chǎn)品 進 行 統(tǒng) 一安全管理。SecPath/SecBlade防火 墻 ：提供 24層 包 過濾 、狀 態(tài)檢測 等技 術(shù)實現(xiàn)邊 界隔離216。BIMS/VPN Manager ：實現(xiàn) 全網(wǎng) VPN部署和 監(jiān)控。SecPath系列防火 墻 ： 實現(xiàn) 大型分支、中小型分支 /合作伙伴、移 動 用 戶 不同安全接入需求216。n 應(yīng)急響應(yīng) 對信息系統(tǒng)出現(xiàn)的緊急安全事件進行響應(yīng)，包括電話支持、遠(yuǎn)程支持以及現(xiàn)場支持等形式。n 風(fēng)險評估 以 ISO 17799/2700 GB/T 17859等級保護規(guī)范為標(biāo)準(zhǔn)，遵循 GB/T 209842023信息安全風(fēng)險評估規(guī)范，對信息安全建設(shè)現(xiàn)狀進行評價。n 結(jié)論：進行等級保護建設(shè)的主體是信息系統(tǒng)的所有者和使用者，由信息系統(tǒng)的所有者和使用者根據(jù)自身的特點，自行規(guī)劃、設(shè)計和實現(xiàn)。‐ 等保的技術(shù)要求部分不包含技術(shù)框架的搭建，其技術(shù)目標(biāo)的實現(xiàn)也不固定要求對應(yīng)到某一種或者某一類安全產(chǎn)品中。14信息安全基線的產(chǎn)生信息安全基線可滿足當(dāng)前信息安全建設(shè)需求的各個方面內(nèi)部需求滿足內(nèi)部需求滿足? 知識產(chǎn)品保護知識產(chǎn)品保護? 機密信息保護機密信息保護? 脆弱性保護脆弱性保護合規(guī)需求滿足合規(guī)需求滿足? 等級保護規(guī)范等級保護規(guī)范? 薩班斯方案薩班斯方案? 行業(yè)安全規(guī)范行業(yè)安全規(guī)范信息安全基線信息安全基線Integrity完整性完整性Availability可用性可用性Confidentiality保密性保密性滿足當(dāng)前需求，確保業(yè)務(wù)的連續(xù)滿足當(dāng)前需求，確保業(yè)務(wù)的連續(xù)性、減少業(yè)務(wù)損失并且使投資和性、減少業(yè)務(wù)損失并且使投資和商務(wù)機會獲得最大的回報商務(wù)機會獲得最大的回報15等級保護技術(shù)要求和管理要求分析某級系統(tǒng)某級系統(tǒng)物理安全物理安全技術(shù)要求技術(shù)要求 管理要求管理要求基本要求基本要求網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 主機安全主機安全 應(yīng)用安全應(yīng)用安全 數(shù)據(jù)安全數(shù)據(jù)安全安全管理機構(gòu)安全管理機構(gòu) 安全管理制度安全管理制度 人員安全管理人員安全管理 系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理 系統(tǒng)運維管理系統(tǒng)運維管理n 等級保護的技術(shù)要求和管理要求只是具體的目標(biāo)，而不強調(diào)實現(xiàn)的方法。這個能力可以認(rèn)為是一個最基本的安全基線。即通過分級管理對不同安全需求的系統(tǒng)進行安全保護，從而實現(xiàn)對整個信息系統(tǒng)的適當(dāng)?shù)陌踩Ｗo和管理，避免對系統(tǒng)保護過渡或者保護不足。根據(jù)業(yè)務(wù)數(shù)據(jù)安全性和業(yè)務(wù)處理連續(xù)性要求確定安全保護等級。處理連續(xù)性要求。一級具有 15個技術(shù)目標(biāo)， 16個管理目標(biāo)；二級具有 29個技術(shù)目標(biāo)， 25個管理目標(biāo)；三級具有 36個技術(shù)目標(biāo)， 27個管理目標(biāo)；四級具有 41個技術(shù)目標(biāo)， 28個管理目標(biāo)。4信息安全等級保護政策的發(fā)展歷程《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》 發(fā)布1994199920232023《 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 》 GB178591999發(fā)布國家發(fā)改委 “ 計算機信息系統(tǒng)安全保護等級評估體系及互聯(lián)網(wǎng)絡(luò)電子身份管理與安全保護平臺建設(shè)項目 ” （ 1110）工程實施7月 22日，國家信息化領(lǐng)導(dǎo)小組召開了第三次會議，專門討論了信息安全問題。 …… 是信息安全保障工作中 國家意志國家意志 的體現(xiàn)。目前已經(jīng)確定等級的為電子政務(wù)內(nèi)網(wǎng)要達(dá)到 4級保護要求，外網(wǎng)要達(dá)到 3級保護要求。等級等級 保護建設(shè)思路及保護建設(shè)思路及 H3C解決方案解決方案密級：公開杭州華三通信技術(shù)有限公司日期： 2023年 4月 15日2信息安全等級保護政策H3C等級保護建設(shè)思路H3C等級保護解決方案H3C安全產(chǎn)品線簡介3信息安全等級保護政策簡介n 信息安全等級化保護信息安全等級化保護 （以下簡稱等保） 定義定義 等保是指國家通過制訂統(tǒng)一的標(biāo)準(zhǔn)，根據(jù)信息系統(tǒng)不同重要程度，有針對性開展保護工作，分等級對信息系統(tǒng)進行保護，國家對不同等級的信息系統(tǒng)實行不同強度的監(jiān)督管理。 等保將信息系統(tǒng)的安全等級分為 5級， 1級最低， 5級最高。n 等保工作的重要性等保工作的重要性 信息安全等級保護 是國家信息安全保障的基本制度、基本策略、基本方法。 引自 2023年 7月 20日公安部、國務(wù)院信息辦等 4部門在北京聯(lián)合召開 “全國重要信息系統(tǒng)安全等級保護定級工作電視電話會議 ”上公安部代表的講話。會議審議通過了 《 關(guān)于加強信息安全保障工作的意見 》 ，并經(jīng)由中央辦公廳、國務(wù)院辦公廳頒布 (中辦發(fā) 【 2023】 27號文件 )公安部、國家保密局、國家密碼管理局和國信辦聯(lián)合簽發(fā)了 《 關(guān)于信息安全等級保護工作的實施意見 》（公通字 【 2023】 66號）信息系統(tǒng)安全保護等級定級指南 (20231231)信息系統(tǒng)安全等級保護基本要求（ 20230429）信息系統(tǒng)安全等級保護測評準(zhǔn)則（ 20230429）信息系統(tǒng)安全等級保護實施指南（ 20230429）2023公安部、國家保密局、國家密碼管理局和國信辦聯(lián)合簽發(fā)了 《 信息系統(tǒng)安全等級保護管理辦法（試行） 》 （公通字 【 2023】 7號 )——2023 年 3月 1日執(zhí)行20235等級保護的政策文件與技術(shù)演進2023年 9月中辦國辦頒發(fā)《 關(guān)于加強信息安全保障工作的意見 》（中辦發(fā) [2023]27號）2023年 11月四部委會簽《 關(guān)于信息安全等級保護工作的實施意見 》（公通字 [2023]66號）2023年 9月國信辦文件《 關(guān)于轉(zhuǎn)發(fā) 《 電子政務(wù)信息安全等級保護實施指南 》 的通知 》（國信辦 [2023]25號）2023年 公安部標(biāo)準(zhǔn)《 等級保護安全要求 》《 等級保護定級指南 》《 等級保護實施指南 》《 等級保護測評準(zhǔn)則 》總結(jié)成一種安全工作的方法和原則最先作為 “ 適度安全 ” 的工作思路提出確認(rèn)為國家信息安全的基本制度，安全工作的根本方法形成等級保護的基本理論框架，制定了方法，過程和標(biāo)準(zhǔn)6等級保護的 5個監(jiān)管等級等級 合法權(quán)益 社會秩序和公共利益 國家安全損害 嚴(yán)重?fù)p害 損害 嚴(yán)重?fù)p害 特別嚴(yán)重 損害 損害 嚴(yán)重?fù)p 害 特別嚴(yán)重?fù)p害一級 √二級 √ √三級 √ √四級 √ √五級 √7不同級別之間保護能力的區(qū)別n 總體來看，各級系統(tǒng)應(yīng)對威脅的能力不同，即能夠?qū)瓜到y(tǒng)面臨的威脅的程度以及在遭到威脅破壞后，系統(tǒng)能夠恢復(fù)之前的各種狀態(tài)的能力是不同的。n 技術(shù)要求的變化包括：安全要求的增加安全要求的增強n 管理要求的變化包括：管理活動控制點的增加，每個控制點具體管理要求的增多管理活動的能力逐步加強，借鑒能力成熟度模型（ CMM）8決定等級的主要因素分析信息系統(tǒng)所屬類型業(yè)務(wù)數(shù)據(jù)類別信息系統(tǒng)服務(wù)范圍業(yè)務(wù)處理的自動化程度業(yè)務(wù)重要性 業(yè)務(wù)數(shù)據(jù)安全性業(yè)務(wù)處理連續(xù)性業(yè)務(wù)依賴性基于業(yè)務(wù)的重要性和依賴性分析關(guān)鍵要素，確定業(yè)務(wù)數(shù)據(jù)安全性和業(yè)務(wù)基于業(yè)務(wù)的重要性和依賴性分析關(guān)鍵要素，確定業(yè)務(wù)數(shù)據(jù)安全性和業(yè)務(wù)處理連續(xù)性要求。業(yè)務(wù)數(shù)據(jù)安全性業(yè)務(wù)處理連續(xù)性信息系統(tǒng)安全保護等級根據(jù)業(yè)務(wù)數(shù)據(jù)安全性和業(yè)務(wù)處理連續(xù)性要求確定安全保護等級。9安全控制定級指南過程方法確定系統(tǒng)等級啟動 采購 /開發(fā) 實施 運行 /維護 廢棄確定安全需求設(shè)計安全方案安全建設(shè)安全測評監(jiān)督管理運行維護暫不考慮特殊需求等級需求基本要求產(chǎn)品使用選型監(jiān)督管理測評準(zhǔn)則流程方法監(jiān)管流程應(yīng)急預(yù)案應(yīng)急響應(yīng)等級保護定義的信息安全建設(shè)過程等級保護工作對應(yīng)完整的信息安全建設(shè)生命周期等級保護工作對應(yīng)完整的信息安全建設(shè)生命周期10等保建設(shè)主要階段的詳細(xì)工作系統(tǒng)定級階段 安全規(guī)劃設(shè)計階段 產(chǎn)品采購和工程實施階段 運行管理和狀態(tài)監(jiān)控階段系統(tǒng)調(diào)查和描述 子系統(tǒng)劃分 子系統(tǒng)定級 子系統(tǒng)邊界設(shè)定 等級化風(fēng)險評估 分級保護模型化處理 安全策略規(guī)劃 安全建設(shè)規(guī)劃 安全建設(shè)詳細(xì)方案設(shè)計 安全產(chǎn)品采購 安全控制開發(fā) 安全控制集成 測試與驗收 安全等級測評 運行批準(zhǔn) 系統(tǒng)備案 操作管理和控制 配置管理和控制 變更管理和控制 安全狀態(tài)監(jiān)控 安全事件處理和應(yīng)急預(yù)案 監(jiān)督和檢查 持續(xù)改進定級結(jié)果文檔化《《 等級保護工作的實施指南等級保護工作的實施指南 》》 中對主要階段的工作細(xì)化中對主要階段的工作細(xì)化11等級保護建設(shè)的一般過程整改評估定級 評測? 確定系統(tǒng)或者子系統(tǒng)的安全等級? 依據(jù)等級要求，對現(xiàn)有技術(shù)和管理手段的進行評估，并給出改進建議? 針對評估過程中發(fā)現(xiàn)的不滿足等保要求的地方進行整改? 評測機構(gòu)依據(jù)等級要求，對系統(tǒng)是否滿足要求進行評測，并給出結(jié)論監(jiān)管? 對系統(tǒng)進行周期性的檢查，以確定系統(tǒng)依然滿足等級保護的要求12信息安全等級保護政策H3C等級保護建設(shè)思路H3C等級保護解決方案H3C安全產(chǎn)品線簡介13正確理解等級保護思想系統(tǒng)重要程度系統(tǒng)保護要求安全基線安全基線安全基線一級二級三級四級n 等級保護思想的基礎(chǔ)是分級管理思想。n 等級保護的核心是為受管理的系統(tǒng)明確定義所需最低的安全保護能力。n 結(jié)論：滿足需求的能力基線是最低要求，根據(jù)實際業(yè)務(wù)的需要和發(fā)展，信息系統(tǒng)的所有者和使用者有必要自行定義所需的安全基線，并不斷修正。這就強調(diào)了信息系統(tǒng)的所有者和使用者在信息安全建設(shè)中的主體地位。事實上，具體的安全產(chǎn)品和解決方案可以橫跨多個安全要求大項，實現(xiàn)多個安全目標(biāo)。16H3C等級保護建設(shè)思路治理架構(gòu)n 等級保護規(guī)范n ISO27000n 薩班斯法案法規(guī)遵從n 機密信息保護n 知識產(chǎn)權(quán)保護內(nèi)部驅(qū)動核心計算環(huán)境人機交互環(huán)境